"Taunus. Die Höhe. Weil der Taunus voller Höhepunkte ist – und so vieles auf hohem Niveau bietet", heißt es werbewirksam auf den Internetseiten von Taunus Touristik. Höhepunkte auf hohem Niveau konnten die Besucher der FIRM-Forschungskonferenz und FIRM-Offsite 2015 im Collegium Glashütten im Taunus erleben. Am 11. und 12. Juni trafen sich namhafte Wissenschaftler und Praktiker, um den Teilnehmern Risikomanagement-Einblicke par excellence zu gewähren. Und dafür war der Ort – das Collegium auf rund 500 Höhenmetern im Hochtaunus – wie geschaffen. Also beste Aussichten für inspirierende und anregende Diskussionen und viel Weitblick im Risikomanagement.
Von aktuellen Projekten und der Interdisziplinarität
Wie bereits in den vergangenen Jahren stand auch bei der diesjährigen Forschungskonferenz die Kommunikation im Zentrum. Es wurden aktuelle Forschungsprojekte, etwa zu den Themen "Expected Loss over Lifetime", zum Einfluss des Vier-Augen-Prinzips auf Ausfallraten im Kreditgeschäft sowie zur Prozyklizität der Regulierung, präsentiert und diskutiert. Einmal mehr spiegelte die Heterogenität der Vorträge und Diskussionsbeiträge die Vielfalt und Interdisziplinarität der Themen im Bereich Risikomanagement und Regulierung wider. Das Offsite 2015 sowie die Forschungskonferenz hat an zwei Tagen viele Brücken zwischen unterschiedlichen Disziplinen sowie zwischen Wissenschaft und Praxis gebaut.
Segeln ohne Steuerung
Praxis und Theorie sind zwei Begriffe, in deren Verhältnis zueinander häufig ein Widerspruch vermutet wird, obwohl sie tatsächlich in einem rationalen Verhältnis zueinander stehen. Diejenigen, welche sich in Praxis ohne Wissenschaft verlieren, sind wie Schiffer, die ohne Steuerruder und ohne Kompass zu Schiffe gehen, so der italienische Universalgelehrte Leonardo da Vinci. Sie können nie sicher sein, wohin die Reise gehen wird. Sein Fazit: Die Praxis soll stets auf guter Theorie aufgebaut sein. Und der berühmte Universalgelehrte war nicht nur Wissenschaftler, sondern auch Maler, Bildhauer, Architekt, Anatom, Mechaniker, Ingenieur und Naturphilosoph.
Nicht selten werden heute Theorie und Praxis als Gegensätze betrachtet, ohne dass ihr wechselseitiges Verhältnis begriffen würde. Vor diesem Kontext ist das Brückenbauen umso wichtiger, um von der scheinbar "grauen Theorie" in die "bunte Welt der Praxis" zu gelangen.
Prozyklische Effekte bei der Kapitalregulierung
Markus Behn (Universität Bonn), Rainer Haselmann (Universität Frankfurt) und Paul A. Wachtel (New York University) präsentierten in ihrem Vortrag ihre Forschungsergebnisse über die Prozyklizität der Kapitalregulierung und Kreditvergabe der Banken. Ein primäres Ziel der Bankenregulierung seit Einführung der Basel-I-Richtlinien im Jahr 1988 war vor allem eine stärkere Orientierung der Eigenkapitalanforderungen am tatsächlichen Risiko einer Bank. Eine solche Regulierung kann negative Nebeneffekte haben, da sich das tatsächliche Risiko einer Bank und damit die Eigenkapitalanforderungen an die Bank im Abschwung erhöhen werden. In der Konsequenz könnten die Banken ihr Kreditangebot im Abschwung verknappen. Die wissenschaftliche Studie analysiert die Auswirkungen modellbasierter Eigenkapitalregulierung auf die Kreditvergabe in einer Rezession.
Es handelt sich um die erste Studie, die den Effekt modellbasierter Eigenkapitalregulierung auf die Kreditvergabe der Banken sowie die Finanzierungsmöglichkeiten der Unternehmen direkt quantifizieren kann. Die Untersuchung weist eine signifikante Einschränkung der Kreditvergabe im Anschluss an den Zusammenbruch der US-amerikanischen Investmentbank Lehman Brothers im Herbst 2008 als Folge der prozyklischen Regulierung nach.
Die Wissenschaftler konnten aufzeigen, dass Kredite, die den modellbasierten IRB-Ansatz verwenden, um 3,5 Prozent stärker reduziert werden als Kredite, die einen traditionellen Bewertungsansatz verwenden. Die Studie zeigt einen signifikanten Effekt: Banken, die einen höheren Anteil ihrer Kredite als (risikosensitive) IRB-Kredite beziehen, verzeichnen in der Krise einen stärkeren Rückgang der gesamten Kreditvergabe. Fazit: Die Mikroaufsicht Eigenkapitalregulierung kann beträchtliche reale Auswirkungen auf die Kreditvergabe haben.
Mehr Augen reduzieren Risiko
Tobias Berg, Juniorprofessor am Institut für Finanzmarktökonomie & Statistik an der Friedrich-Wilhelms-Universität Bonn, setzte sich in seinem Beitrag mit dem Einfluss des Vier-Augen-Prinzips auf die Ausfallraten im Kreditgeschäft auseinander. Es wurde dargestellt, dass die Beteiligung der Marktfolge bei Kreditentscheidungen die Ausfallraten um rund 50 Prozent reduzieren kann. Die vorgestellte Methodik erlaubt es außerdem, die Effizienz verschiedener Bankprozesse zu vergleichen, die durch eine klare und transparente Grenze definiert sind. Beispiele sind das Vier-Augen-Prinzip, Kreditausschüsse sowie die Abgrenzung des Privatkunden- vom Geschäftskundengeschäft.
Expected Loss over Lifetime
Schätzungen des erwarteten Verlusts über die gesamte Laufzeit eines Geschäfts werden sowohl in der Rechnungslegung als auch im Aufsichtsrecht zunehmend gefordert. Die Schätzung des kreditrisikoinduzierten erwarteten Verlusts ist insbesondere im Zuge von IFRS 9 (Phase 2 – Impairment), aber auch in Themengebieten wie der verlustfreien Bewertung des Bankbuchs nach HGB oder der mehrjährigen Kapitalbedarfsrechnung nach den aktuellen MaRisk BA von hoher Relevanz. So wird IFRS 9 im Jahr 2018 die Berechnung der erwarteten Verluste über die gesamte Lebenszeit von Finanzinstrumenten einfordern. Dies steht im Gegensatz zu der gegenwärtigen Praxis von einer einzigen Betrachtungsperiode, beispielsweise einem Tag oder einem Jahr. So müssen beispielsweise zukünftig erwartete konjunkturelle Entwicklungen bei der Berechnung des Lifetime Expected Loss berücksichtigt werden. Weder seitens des Regulators noch seitens des International Accounting Standards Board werden konkrete Methoden für die Schätzung des Lifetime Expected Loss für die Zwecke der Rechnungslegung festgelegt. Es wird lediglich ein grober Rahmen für die Schätzverfahren definiert.
Ein von Steffen Krüger, Toni Oehme und Daniel Rösch (Universität Regensburg) veröffentlichtes Papier, beschreibt einen gemeinsamen Schätzansatz für den (erwarteten) Verlust und für seine Bestandteile, das heißt Standardzeiten, die Laufzeitstruktur der Verluste bei Ausfall und ihre Abhängigkeit mit Copulas.
Einfluss von Finanzbildung auf Einlagenzinsen
Florian Deuflhard von der Universität Frankfurt setzte sich in seinem Vortrag mit dem Einfluss von Finanzbildung auf die Einlagenzinsen auseinander. Hierbei stand die folgende Forschungsfrage im Mittelpunkt: Spiegeln die beobachteten Zinsdifferenzen nur Unterschiede in Produkteigenschaften wider oder können diese auch durch Investorencharakteristika wie Finanzwissen erklärt werden?
Bereits veröffentlichte Studien zeigen auf, dass Haushalte mit einem hohen Finanzwissen besser auf die Pension vorbereitet sind und häufiger in Aktien investieren und ein höheres Vermögen akkumulieren. Die Ergebnisse der Untersuchung sind eindeutig: Das Finanzwissen erklärt Teile der Zinsunterschiede. Die Wirkungskanäle resultieren vor allem aus der Vertrautheit mit modernen Technologien (Online-Konten) sowie dem Produktvergleich zwischen Banken. Hieraus resultieren, so die Autoren, nicht-triviale Wohlfahrtsverluste für die Mehrheit der Haushalte.
Managing a global bank
Wilfried H. Paus, Global Head of Risk Analytics & Living Wills bei der Deutsche Bank AG, wies in seinem Vortrag auf die Herausforderungen in der Branche durch ein schwieriges wirtschaftliches Umfeld sowie grundlegende Reformen hin. Als Stichworte nannte Paus hierbei unter anderem EMIR, MiFID, CRR/CRD IV, BRRD, APAC und OTC regimes. Der Trend ist eindeutig: Die Komplexität der Regulierung hat massiv zugenommen. In diesem Kontext findet aktuell eine Evolution des Risikomanagements resultierend aus der Regulierung statt. Wilfried H. Paus sieht hierbei vor allem drei Trends: 1. mehr regulatorische Stresstests; 2. die Reduzierung der RWA-Volatilität durch "RWA floors” sowie 3. das Thema Subsidiarisation, das heißt die wachsende Nachfrage nach lokalem Risikomanagement und Reporting.
Gute und verantwortungsvolle Unternehmensführung
Klaus-Peter Müller, Aufsichtsratsvorsitzender der Commerzbank AG und von 1990 bis 2008 Mitglied des Vorstands der Commerzbank AG, setzte sich in seiner Rede mit dem aktuellen Thema "Corporate Governance und Management von Compliance-Risiken" auseinander. Allgemein wird Compliance mit Regeltreue oder -konformität übersetzt. Dies umfasst die Einhaltung von gesetzlichen Bestimmungen sowie von freiwilligen, unternehmenseigenen Kodizes. Müller wies darauf hin, dass unternehmerisches Handeln nicht nur Einzelinteressen verfolgen darf, sondern neben den Interessen des jeweiligen Unternehmens auch die Auswirkungen auf das Gemeinwohl berücksichtigen muss. Ein Unternehmen kann nur dann auf Dauer wirtschaftlich erfolgreich sein, wenn es das Gemeinwohl und die in der Gesellschaft maßgeblichen Wertvorstellungen achtet, ja sich daran bewusst orientiert. Sein Fazit: Die Beachtung der Grundsätze guter und verantwortungsvoller Unternehmensführung bildet im globalen Wettbewerb einen nicht zu unterschätzenden Standortfaktor und dient damit der Stärkung eines Wirtschaftsstandorts.
Globale Risikothemen der Finanzindustrie
Nach Finja Carolin Kütz, Partnerin bei Oliver Wyman in München, ist die Themenlandkarte "Risiko" heute so voll wie nie zuvor. Stress Testing, SREP, ILAAP, RWA review, Governance, BCBS 239 und Cyber-Risiken sind nur einige Stichworte in diesem Kontext. Der Trend ist klar: Anforderungen und auch Aufsichtspraxis werden anhaltend granularer, datenaffiner, holistischer. Fakt ist jedoch auch, dass – ganz unabhängig von der regulatorischen Seite – das Risikomanagement in den letzten Jahren komplexer geworden ist.
Wachsende Bedeutung von Compliance-Risiken
Joyce Clark, Principal bei McKinsey & Company in Düsseldorf, wies in ihrem Vortrag darauf hin, dass die Finanzkrise gezeigt hat, dass Unternehmenskulturen, die auf einer Integration von Governance, Risikomanagement und Kontrollmechanismen beruhen, unabdingbar für eine solide eingebettete Compliance sind und das Fundament erfolgreicher Geschäftsmodelle sind. In den letzten Jahren sind die Strafen, die Unternehmen auferlegt wurden, nachdem ihre Kontrollmechanismen versagten, in schwindelerregende Höhen gestiegen. Besonders hart traf es die Bankenbranche: Die Strafen für die zehn am stärksten zur Rechenschaft gezogenen Banken beliefen sich auf fast 100 Milliarden US-Dollar. Hierbei ist besonders hervorzuheben, dass immer häufiger Manager persönlich für das Fehlverhalten verantwortlich gemacht werden. Ihr Fazit: Unternehmen, die im Bestreben, "alle Dinge richtig machen zu wollen", enorme Summen in zusätzliche Kontrollen, Schranken und Nachprüfungen investieren, werfen ihr Geld allzu oft zum Fenster hinaus. Wirklich erfolgreiche Unternehmen konzentrieren sich darauf, die "richtigen Dinge zu machen": Sie bauen ein intelligentes Netz aus Governance, Kontrollmechanismen und Risikomanagement auf, das ihren Führungskräften die nötige Sicherheit gibt, und beginnen, Compliance zum festen Bestandteil ihres Leistungsversprechens zu machen.
Ziel muss es sein, dass Unternehmen durch einen integrierten Compliance-Ansatz die Wirksamkeit ihrer Governance und der Kontrollmechanismen signifikant steigern können. Hiermit verbunden ist eine Verminderung des Risikos von Geldbußen und Haftstrafen sowie die Verringerung der Belastung durch übermäßige bürokratische Prüfungen und Kontrollen. Kurz gesagt: Sie geben ihrem Unternehmen wieder die Freiheit, sich auf das Wesentliche zu konzentrieren – das Kerngeschäft.
Drei Verteidigungslinien
Es ist weder neu noch innovativ, dass Risiken an ihrem Entstehungsort am effektivsten erkannt und gesteuert werden können. Nichts selten wird in der Unternehmenspraxis der Risikomanager als der "Manager von Risiken" missverstanden. Ein präventives Risikomanagement, das mehr ist als eine rückspiegelorientierte Risikobuchhaltung, muss dezentral in den operativen Einheiten eines Unternehmens verankert und gelebt werden.
Nicht erst die Finanzkrise und diverse Unternehmensskandale haben zur Erkenntnis geführt, die Corporate Governance zu modifizieren und vor allem Kontrollmechanismen neu einzuführen, um potenzielle Risiken früher zu erkennen. In diesem Zusammenhang wurde das sogenannte Three-Lines-of-Defense-Modell (kurz TLoD) als funktionsfähiges Kontroll- und Überwachungssystem in vielen Unternehmen eingeführt.
Die "erste Verteidigungslinie" bilden die operativen Einheiten, das heißt die Risikoeigentümer. Sie verantworten für ihren Bereich die gesunde Balance zwischen Risiken und Chancen bzw. zwischen Risiken und Risikotragfähigkeit. Auf der "zweiten Verteidigungslinie" finden die operativen Kontrollen statt. Dies ist vor allem das Betätigungsfeld der Unternehmensbereiche Risikomanagement, Unternehmenssicherheit, Compliance, IT-Security etc. Als eine Art "Inhouse-Berater" stellen sie für die operativen Einheiten Werkzeuge und Prozesse zur Verfügung. Außerdem nehmen sie Einfluss auf die Risikopolitik und schlagen erforderliche Kontrollen zur Beachtung von risikobehafteten Prozessen vor. Des Weiteren sind sie das Sprachrohr gegenüber der Geschäftsleitung, führen alle Unternehmensrisiken (und Chancen) zu einem Gesamtbild zusammen und unterstützen die Geschäftsleitung bei der Umsetzung einer chancen- und risikoorientierten – und damit wertorientierten – Unternehmensführung. Die "dritte Verteidigungslinie" stellt eine weitere unabhängige Organisationseinheit dar, die Vorstand und Aufsichtsrat bei der abschließenden Überwachung und Kontrolle bestehender und potenzieller Risiken unterstützt. In der Praxis ist dies in der Regel die interne Revision, die die untergeordneten Verteidigungslinien überwacht und unterstützt.
Das unterschätzte Risiko
Der vor wenigen Wochen bekannt gewordene Totalschaden im Zusammenhang mit dem Cyber-Angriff im Deutschen Bundestag zeigt die Dimension: Experten des Bundesamts für Sicherheit in der Informationstechnik gehen davon aus, dass das Netz nach den Attacken nicht mehr zu retten sei.
Rolf Riemenschnitter, Chief Information Security Officer (CISO) bei der Deutschen Bank, wies in seinem Vortrag darauf hin, dass das Cyberrisiko das Kernrisiko sowohl für Unternehmen als auch für uns privat sein wird. Und das größte Risiko hierbei sind wir selbst. Erst vor wenigen Monaten wurde bekannt, dass es einem Hacker aus den USA laut FBI gelungen sein soll, sich mehrfach in die Bordelektronik verschiedener Airbus- und Boeing-Flugzeuge zu hacken. In verschiedenen Medien wird berichtet, dass der Hacker sogar die Schubkontrolle eines Flugzeugs unter seine Kontrolle gebracht hat. Über einen "Steig"-Befehl habe er aus der Kabine die Turbinen steuern können.
Im Juni 2014 meldeten die Experten von Kaspersky Lab eine Attacke auf Kunden einer großen europäischen Bank. Der unter dem Namen "Luuuk" bekannte gewordene Angriff basierte auf einem Man-in-the-Browser-Angriff (MITB). Über einen Zugang zu den Anmeldedaten fürs Online-Banking buchten die Cyberkriminellen zwischen 1.700 und 39.000 Euro von den kompromittierten Konten ab.
Kaspersky Lab geht in seinen IT-Sicherheitsprognosen für das Jahr 2015 davon aus, dass es eine Weiterentwicklung bei Angriffen gegen Geldautomaten geben wird. Dabei könnten APT-Techniken (Advanced Persistent Threat) zum Einsatz kommen, die es auf das Herz der Geldautomaten abgesehen haben. Darüber hinaus könnten Angreifer Netzwerke von Banken kompromittieren und dadurch Geldautomaten in Echtzeit manipulieren. Wie vage und fragil alles in Zeiten wie diesen ist, zeigt sich in der Tatsache, dass selbst die Experten von Kaspersky Lab jüngst das Ziel eines Cyber-Angriffs wurden.
Dementsprechend schlussfolgert Rolf Riemenschnitter, dass es eine hundertprozentige Sicherheit nicht geben wird. Jedoch kann Prävention eine Vielzahl an Szenarien verhindert. Der Schlüssel hierfür heißt Risikokultur. Nach Informationen des Federal Bureau of Investigation (FBI), das heißt der zentralen Sicherheitsbehörde der Vereinigten Staaten, könnten 80 Prozent der Cyber-Risiken präventiv verhindert werden, wenn Systemadministratoren Patches installiert hätten. Unabhängige Studien zeigen auf, dass mehr als ein Drittel der IT-Risiken durch Fahrlässigkeit oder menschliches Versagen verursacht werden. Dies hat zur Konsequenz, dass Ausbildung und Sensibilisierung für eine adäquate Informationssicherheit ein wesentlicher Bestandteil des IT-Risikomanagements sind.
Rolf Riemenschnitter wies darauf hin, dass traditionelle IT-Sicherheitsansätze das Geschäft der Deutschen Bank nicht schützen können. Vor diesem Hintergrund hat die Deutsche Bank die Rolle eines Chief Information Security Officers (CISO) als zweite Verteidigungslinie etabliert. Der CISO ist unter anderem für die Definition und Umsetzung der Vision und Strategie im Bereich Informationssicherheit verantwortlich. Außerdem enthält sein Aufgabengebiet die Entwicklung, Implementierung und Aufrechterhaltung von IT-Sicherheitsprozessen in der gesamten Organisation. Hierzu gehört auch die Schaffung von geeigneten Standards und Kontrollen sowie die Ausarbeitung und Umsetzung von Richtlinien.
Studien bestätigen einen klaren Trend: Bereits zum vierten Mal hat der Versicherungskonzern Allianz analysiert, welche Risiken Unternehmen weltweit drohen. Auf Basis der Angaben von 516 Risikomanagern entstand das "Allianz Risk Barometer – Die 10 größten Geschäftsrisiken 2015". Für das Jahr 2015 liegt Cyber-Kriminalität auf Rang fünf. Zum Vergleich: Im Vorjahr erreichten Risiken wie IT-Ausfälle, Spionage und Datenmissbrauch Platz zwölf, 2013 war es Rang 15.
Risiko bleibt riskant
Das FIRM Offsite und die FIRM-Forschungskonferenz 2015 faltete nunmehr im dritten Jahr in Folge die Risikolandkarte der Banken auf. Auf der einen Seite wurde deutlich, dass es in einem immer komplexeren und volatilen Marktumfeld zunehmend schwieriger wird, die Zusammenhänge und möglichen Auswirkungen der relevanten Risiken präventiv zu identifizieren. Als Stichwort sei hier nur das Thema Cyber-Risiken genannt. Auf der anderen Seite bestätigten die Diskussionen im Collegium Glashütten, dass es immer wichtiger ist, dass das Risikomanagement in die Gesamtstrategie der Bank integriert wird. Risiken sind die Grundlage des Bankgeschäfts. Verantwortlich mit ihnen umzugehen, heißt für alle Akteure, sorgsam zwischen erwarteter Wertschöpfung und möglichen Downside-Risiken abzuwägen.
Um Risiken als Kern des Bankgeschäfts in einer komplexer werdenden Welt optimal zu managen, braucht es einen klaren Kopf sowie Über- und Weitsicht. Und dafür bot FIRM wiederholt beste Bedingungen – nicht nur in Bezug auf den Konferenzort im Hochtaunus.
Download Bildstrecke
[Quelle: RISIKO MANAGER 13/2015, S. 11-20]
Autor
Frank Romeike, Geschäftsführender Gesellschafter RiskNET GmbH, Mitglied des Vorstands der Gesellschaft für Risikomanagement und Regulierung e. V. sowie verantwortlicher Chefredakteur der Zeitschrift RISIKO MANAGER.