Operationelles Risiko (OpRisk)

Definition des Begriffs

OpRisk steht für operationelles Risiko. Es bezeichnet die Gefahr von Verlusten, die durch unzureichende oder versagende interne Prozesse, Menschen, Systeme oder durch externe Ereignisse entstehen. Rechts- und Compliance-Risiken sind regelmäßig eingeschlossen, strategische Risiken und Reputationsrisiken dagegen nicht als eigene Bestandteile erfasst. Im europäischen Bankaufsichtsrecht ist operationelles Risiko in der Capital Requirements Regulation verankert und gehört neben Kreditrisiko und Marktrisiko zu den zentralen Risikoarten der Eigenmittelunterlegung. Die Steuerung ist Teil des internen Kontrollsystems, des Risikomanagements und der Gesamtbanksteuerung.

Vorkommen und Verwendung

Operationelles Risiko wird von Banken, Wertpapierinstituten, Zahlungsinstituten, Versicherern und anderen Finanzmarktteilnehmern erfasst, bewertet, überwacht und begrenzt. Es tritt laufend im Geschäftsbetrieb auf und wird regelmäßig in Risikoinventur, ICAAP, IKS, Notfallmanagement und Auslagerungssteuerung berücksichtigt. Die Erfassung erfolgt ereignisbezogen, präventiv und im Rahmen regelmäßiger Managementinformationen für Vorstand, Risikocontrolling und interne Revision. Kernbereiche sind:

1. Prozessrisiken, etwa fehlerhafte Buchungen, unklare Zuständigkeiten oder mangelhafte Kontrollen
2. Personenrisiken, etwa Fehlverhalten, Betrug, Qualifikationsmängel oder Interessenkonflikte
3. Systemrisiken, etwa IT-Ausfälle, Cyberangriffe, Datenverluste oder Schnittstellenfehler
4. Externe Ereignisse, etwa Naturereignisse, Dienstleisterausfälle, Rechtsänderungen oder physische Sicherheitsvorfälle

Relevanz

OpRisk ist relevant, weil operationelle Verlustereignisse Kapital, Liquidität, Kundenschutz und Marktintegrität belasten können. Institute müssen Risiken identifizieren, Kontrollen einrichten, Verlustdaten analysieren und wesentliche Vorfälle eskalieren. Ergebnisse fließen in Risikoberichte, Kapitalplanung, interne Limits, Szenarioanalysen und Prüfungsprogramme ein. Aufsichtliche Bewertungen können zusätzliche Eigenmittelanforderungen, organisatorische Maßnahmen oder Mängelbeseitigungen auslösen. Enge Verbindungen bestehen zu IT-Risiko, Cyberrisiko, Compliance-Risiko, Auslagerungsrisiko und Business-Continuity-Management.

Beispiel / Synonyme oder verwandte Begriffe

• Internes Betrugsrisiko: Verlust durch vorsätzliches Fehlverhalten innerhalb des Instituts
• Externes Betrugsrisiko: Verlust durch Angriffe, Manipulation oder Täuschung von außen
• Rechtsrisiko: Verlust durch Verträge, Verfahren, Sanktionen oder fehlerhafte Rechtsanwendung
• IKS: internes Kontrollsystem zur Vermeidung und Aufdeckung operationeller Fehler
• BCM: Business Continuity Management zur Aufrechterhaltung kritischer Prozesse

Weitere Informationen

Wichtige Bezugspunkte sind CRR, CRD, MaRisk, EBA-Leitlinien zur internen Governance und DORA für digitale operationelle Resilienz. Für Banken gelten Anforderungen an Governance, Funktionstrennung, Kontrollhandlungen, Meldewege, Auslagerungsüberwachung und Datenqualität. Die Messung kann qualitative Bewertungen, Kennzahlen, Verlustdatensammlungen, Risiko- und Kontrollselbstbewertungen sowie Szenarioanalysen kombinieren. Eine wirksame Steuerung verlangt klare Verantwortlichkeiten, belastbare IT-Kontrollen und nachvollziehbare Dokumentation.

Weiterführende Details, regulatorische Vorgaben und Methodikbeschreibungen finden Sie auf Regupedia: www.regupedia.de