Zum Inhalt springen
Basel II (Verlustereignistypen) · BCBS-239 (Risikodaten-Aggregation) · MaRisk AT 4.3.2 · BAIT 5.3 · DORA (EU) 2022/2554 · EU AI Act 2024/1689

Operationelle Risiken bankweit konsolidieren – von der Verlustdatenbank bis zur Aufsichtsmeldung.

Avalon OpRisk führt operationelle Risiken aus allen Quellen Ihrer Organisation in einer einheitlichen Methodik zusammen – entlang der sieben Basel-II-Ereigniskategorien sowie der Avalon-Kategorie Auslagerungsrisiko (DORA AT9). Verlustdatenbank, RCSA, Schlüsselrisikoindikatoren, quantitative Modellierung und konsolidiertes Reporting nach BAIT 5.3, MaRisk AT 4.3.2 und DORA greifen in einem durchgängigen Workflow ineinander. So entsteht eine prüffähige Gesamtbank-Sicht für Steuerung, Aufsicht und Gremien.

Demo vereinbarenAlle Module ansehen
Im Kern

Drei Gründe für Avalon OpRisk

01

Eine konsolidierte Gesamtbank-Sicht auf das operationelle Risiko – aus nativer Erfassung sowie aggregierten ICT-, BCM- und Auslagerungsrisiken, einheitlich nach den sieben Basel-II-Ereigniskategorien.

02

Eine revisionssichere Verlustdatenbank mit klarer Abgrenzung zwischen operationellem Risiko und Kredit-/Marktrisiko – belastbare Grundlage für Steuerung und Kapitalrechnung.

03

Konsolidierte, aufsichtskonforme Berichte nach BAIT 5.3, MaRisk AT 4.3.2 und DORA auf Knopfdruck – für Aufsicht und Gremien.

Konsolidierungs-Pult

Viele Quellen, eine Methodik, ein Bericht.

Operationelle Risiken laufen aus allen Quellen Ihrer Organisation in die sieben Basel-II-Ereigniskategorien plus die Avalon-Kategorie Auslagerungsrisiko (DORA AT9) zusammen – jede Spur bleibt sichtbar getrennt, nie quer summiert. Aus der konsolidierten Schiene entsteht genau ein aufsichtskonformer Bericht.

Sieben Basel-II-Ereigniskategorien (IF, EF, EPWS, CPBP, DPA, BDSF, EDPM) plus die Avalon-Kategorie Auslagerungsrisiko (DORA AT9); BCBS-239 als separates Aggregations- und Berichtsprinzip. Operationelle Risiken werden nie über Modul-Grenzen summiert – der konsolidierte Bericht unterstützt die Berichterstattung relevant für MaRisk AT 4.3.2, BAIT 5.3 und DORA. Keine Zertifizierungsaussage.

Funktionsumfang

Was das OpRisk-Modul im Detail leistet

  • Konsolidierte operationelle Risikosicht

    Nativ erfasste operationelle Risiken sowie Risiken aus ICT-Risikomanagement, Business Continuity und Auslagerungsmanagement laufen entlang der sieben Basel-II-Ereigniskategorien (BCBS-239 Annex B) in einer Gesamtsicht zusammen – mit Drill-Down auf die Quellbewertung und strukturellem Schutz gegen Doppelzählung. Bewerten Sie einmal in der Quelle und nutzen Sie das Ergebnis modulübergreifend.

  • Verlustdatenbank mit Basel-II-Klassifikation

    Operationelle Verlustereignisse werden zentral erfasst und nach Basel-II-Ereignistypen klassifiziert – inklusive Brutto-, Netto- und Recovery-Beträgen. Fälle an der Grenze zu Kredit- und Marktrisiko werden bewusst abgegrenzt, damit die Datenbasis für Risikosteuerung und Kapitalrechnung sauber bleibt.

  • RCSA mit branchenspezifischen Vorlagen

    Strukturierte Risk-and-Control-Self-Assessments verbinden qualitative Einschätzung und laufende Überwachung. Branchenspezifische Fragebogen-Vorlagen geben einen methodisch konsistenten Rahmen; Kampagnen über mehrere Bereiche bleiben vergleichbar und nachvollziehbar dokumentiert.

  • Kontrollkatalog mit COSO-/COBIT-Bezug

    Kontrollen werden mit Ziel, Typ, Frequenz, Testmethode und Wirksamkeit geführt und über COSO- und COBIT-Zuordnungen methodisch verankert. So lässt sich von der Risikobewertung über die zugeordnete Kontrolle bis zur Wirksamkeitsprüfung eine durchgängige Linie ziehen.

  • Schlüsselrisikoindikatoren mit Ampel-Alerts

    Schlüsselrisikoindikatoren (KRI) werden mit Schwellenwerten hinterlegt und laufend überwacht. Überschreitungen lösen automatische Ampel-Alerts aus, sodass eskalierende operationelle Risiken früh sichtbar werden – qualitative Einschätzung und quantitatives Monitoring greifen in einem Modell ineinander.

  • Quantitative Modellierung und Szenarien

    OpRisk unterstützt die quantitative Bewertung operationeller Risiken über Verteilungsanpassung mit Goodness-of-Fit-Prüfung und Szenario-Analysen auf Basis einer BCBS-239-Szenariobibliothek. So lassen sich Verlustprofile modellieren und gegen den definierten Risikoappetit steuern.

  • Versioniertes Risk-Appetite-Statement

    Der Risikoappetit wird als versioniertes Statement mit Schwellen je Kategorie geführt. Aggregierte Risiken werden gegen den definierten Appetit gespiegelt, sodass Über- und Unterschreitungen transparent und über Versionsstände hinweg nachvollziehbar bleiben.

  • Audit-Findings, Issues und Workflows

    Audit-Findings und Issues werden mit Schweregrad, Verantwortlichkeit und Maßnahmenplänen geführt; eine Workflow-Steuerung mit regelbasierten Auto-Triggern lenkt Reviews und Eskalationen. Verantwortlichkeiten und Bearbeitungsstände bleiben jederzeit transparent.

Regulatorik im Detail

Welche Rahmenwerke das OpRisk-Modul abbildet

  • Basel II (Verlustereignistypen)
  • BCBS-239 (Risikodaten-Aggregation)
  • MaRisk AT 4.3.2
  • BAIT 5.3
  • DORA (EU) 2022/2554
  • EU AI Act 2024/1689
Basel II (Verlustereignistypen)
Die Aggregation operationeller Risiken folgt den sieben Basel-II-Ereigniskategorien – interner und externer Betrug, Beschäftigungspraxis und Arbeitsplatzsicherheit, Kunden/Produkte/Geschäftspraxis, Sachschäden, Geschäftsunterbrechungen und Systemausfälle sowie Abwicklung, Lieferung und Prozessmanagement – ergänzt um die Avalon-Kategorie Auslagerungsrisiko (DORA AT9). Eigene Subkategorien müssen einer dieser Standardkategorien zugeordnet werden, sodass die Methodik bankweit konsistent bleibt. Die Aggregation und Berichterstattung orientiert sich methodisch an BCBS-239.
MaRisk AT 4.3.2
Das konsolidierte OpRisk-Reporting bildet die Gesamtbank-Sicht auf operationelle Risiken nach MaRisk AT 4.3.2 ab. Verlustdaten, RCSA, Kontrollen und aggregierte Quellrisiken laufen in einem versionierten Bericht zusammen, der Aufsicht und Gremien eine prüffähige Grundlage liefert.
BAIT 5.3
Für die bankaufsichtlichen Anforderungen an die IT (BAIT) erzeugt das Reporting-Center einen konsolidierten Bericht, der die operationellen Risiken mit IT-Bezug aus den Quellmodulen aufnimmt und nach BAIT 5.3 strukturiert dokumentiert.
DORA (EU) 2022/2554
ICT-bezogene Verlustereignisse und Risiken werden in die Gesamtbank-Konsolidierung übernommen und in einem DORA-konformen Bericht abgebildet (u. a. mit Bezug zu Art. 6 IKT-Risikomanagement sowie Art. 27/28). Die operationelle Konsolidierung ergänzt die ICT-Flughöhe des Risikomanagement-Moduls auf Gesamtbank-Ebene.
EU AI Act 2024/1689
Die optionale KI-Unterstützung des Moduls ist auf die EU-Verordnung 2024/1689 ausgelegt. Für als hochrisikorelevant eingestufte Anwendungsfälle gelten die High-Risk-Pflichten nach Art. 9–15; jede KI-Ausgabe ist nach Art. 13 transparent mit Konfidenz, Begründung und Modellangabe gekennzeichnet, die Entscheidung trifft der Mensch.

Avalon unterstützt die Umsetzung dieser Rahmenwerke. Die Konformität bleibt in der Verantwortung Ihrer Organisation.

KI-Plattform

KI mit Kontrolle: Berater, nie Approver

  • Human-in-the-Loop: bei hochrisikorelevanten Anwendungsfällen gilt ein Pflicht-Akzept pro Feld – kein KI-Vorschlag wird ohne ausdrückliche Bestätigung übernommen.
  • Standardmäßig aus: jeder KI-Anwendungsfall wird einzeln und begründet aktiviert; ohne Aktivierung bleibt der manuelle Pfad vollständig nutzbar.
  • Auditierbar: jeder Vorschlag trägt Konfidenz, Begründung und Modellangabe; hochrisikorelevante Entscheidungen werden revisionssicher protokolliert.
Wie KI mit Kontrolle bei Avalon funktioniert

Häufige Fragen zum OpRisk-Modul

Wie grenzt sich OpRisk vom Risikomanagement-Modul ab?
Das Risikomanagement-Modul ist die zentrale Instanz für ICT- und Informationssicherheitsrisiken auf IT-Flughöhe. OpRisk ist die übergreifende Gesamtbank-Konsolidierung operationeller Risiken nach Basel II, MaRisk AT 4.3.2, BAIT und DORA – es aggregiert ICT-Risiken, BCM-Risiken und Auslagerungsrisiken entlang der sieben Basel-II-Ereigniskategorien und ergänzt sie um nativ erfasste operationelle Risiken.
Wie wird Doppelzählung bei der Konsolidierung verhindert?
Risiken aus den Quellmodulen werden über ihre Herkunft konsolidiert und nicht doppelt erfasst. Sie bewerten einmal in der Quelle – etwa im Risikomanagement, BCM oder TPRM – und nutzen das Ergebnis modulübergreifend; die Aggregation erfolgt entlang der Basel-II-Kategorien mit Drill-Down auf die ursprüngliche Quellbewertung und strukturellem Schutz gegen Doppelzählung.
Welche Berichte erzeugt das Reporting-Center?
Konsolidierte, versionierte Berichte über alle Quellmodule hinweg nach BAIT 5.3, MaRisk AT 4.3.2 und DORA – in den passenden Ausgabeformaten für Aufsicht und Gremien. Jeder Bericht ist nachvollziehbar dokumentiert.
Ist die KI im OpRisk-Modul Pflicht?
Nein. Der manuelle Workflow bleibt jederzeit der vollständige primäre Pfad. Die KI ist standardmäßig ausgeschaltet und wird nur durch einen bewussten, begründeten Administrationsakt pro Anwendungsfall aktiviert. Sie schlägt vor – etwa Basel-II-Klassifikationen, Wesentlichkeit, Kontrollen oder Berichts-Narrative – die Entscheidung trifft immer der Mensch, bei hochrisikorelevanten Fällen mit Pflicht-Akzept pro Feld.
Module

Welches Modul passt zu Ihrem nächsten Schritt?

Wir zeigen Ihnen Avalon entlang Ihrer aktuellen Fragestellung – konkret, in Ihrem Kontext, ohne Standard-Sales-Demo.

  • On-Premise
  • Human-in-the-Loop
  • EU-AI-Act-konform by Design
Kostenlosen Demo-Termin vereinbarenAngebot anfragen

On-Premise · Ihre Daten verlassen das Haus nicht