Eine vor wenigen Jahren durchgeführte Studie des Kompetenzportals RiskNET legte Optimierungspotenziale im unternehmerischen Risikomanagement offen: Mehr als 50 Prozent der rund 580 befragten Unternehmen betrachten die Entwicklung einer "gelebten Risikokultur" als die größte Herausforderung in der nahen Zukunft. Bei einem Blick auf die Risikolandkarte zeigt die Studie außerdem, dass im Umfeld von Corporate Governance branchenübergreifend die unzureichende Unternehmens- und Risikokultur als größtes Risikopotenzial betrachtet wird.
Über 61 Prozent (362 Unternehmen) der Studienteilnehmer waren davon überzeugt, dass das beste System für Risikomanagement unwirksam bleibt, wenn es nicht tagtäglich im Unternehmen gelebt wird. Damit das Management der Chancen und Risiken nicht zu einem potemkinschen Dorf wird, muss Risikomanagement als wertschöpfender Prozess verstanden werden und in die Unternehmenssteuerung integriert sein. Nur so wird Risikomanagement zu einem strategischen und wertschöpfenden Instrument.
Wir sprachen mit Dr. Christian Bluhm, Group Chief Risk Officer der UBS Gruppe, über Risikokultur, quantitatives Risikomanagement und vieles mehr. Die Fragen stellten Frank Romeike, verantwortlicher Chefredakteur der Zeitschrift RISIKO MANAGER, und Prof. Dr. Matthias Scherer, Technische Universität München.
Risikomanagement insgesamt und OpRisk im Speziellen haben viel mit einer "gelebten Risikokultur" zu tun. Welche Maßnahmen würden Sie empfehlen, damit die Risikokultur mit Leben gefüllt wird? Welche Rolle spielt hierbei die Unternehmensleitung?
Christian Bluhm: Bei der UBS haben wir ein klar definiertes Set an "Principles and Behaviors", d. h. Werte, Prinzipien und Verhaltensweisen, die uns bei unserer Arbeit wichtig sind und die Unternehmenskultur prägen. Die Unternehmensleitung hat hierbei eine Vorbildfunktion. Integrität, Verantwortung, Ehrlichkeit und Kundenorientierung sind integraler Bestandteil unserer Unternehmenskultur. Aber auch gegenseitiges Infragestellen, auf Neudeutsch "Challenging", gehört dazu. Um für die Kunden und die Bank die beste Lösung zu erzielen, muss es jederzeit möglich sein, auch Standpunkte von Vorgesetzten kritisch zu hinterfragen.
Verhindert eine enge Regulierung möglicherweise eine "gelebte Risikokultur", da der Schwerpunkt des Risiko- und Compliancemanagements darauf ausgerichtet ist, die regulatorischen Anforderungen zu erfüllen?
Christian Bluhm: Nein, das denke ich nicht. Persönlich bin ich über die aktuelle Entwicklung zu den Basel-III-Richtlinien ("Basel IV") nicht glücklich, denn sie führt hin zu weniger Sensitivität in der Risikogewichtung. Man kann die seit der Finanzkrise 2008 gewachsenen regulatorischen Anforderungen allerdings auch als Herausforderung verstehen, die eigenen Risikostandards und die eigene Risikokultur laufend zu verbessern. Compliance und das Managen von sogenannten "Consequential Risks" müssen strikt ausgelegt und gelebt werden, Grauzonen sind nicht tolerierbar. Anders als bei der Frage der Kapitalunterlegung sehe ich hier die Regulatoren und die Banken als gleichgerichtet in den jeweiligen Interessen.
Im heutigen Bankwesen ist nahezu alles digital und vernetzt. Welchen Cyber-Risiken ist Ihr Institut täglich ausgesetzt und welche "erwarten" Sie in der Zukunft? Wie schult man Mitarbeiter zum verantwortlichen Umgang mit solchen Risiken?
Christian Bluhm: Cyberattacken zählen heute zu den größten Risiken im Banking. Wir sind per Gesetz verpflichtet, die Daten unserer Kunden zu schützen. Banken sind immer wieder Ziel von Cyberattacken, die unterschiedliche Formen annehmen. Das können beispielsweise sogenannte "Distributed Denial of Service"-Attacken (DDoS) sein, bei denen jemand von außerhalb versucht, die Server der Bank aus unterschiedlicher Motivation heraus lahmzulegen, oder auch Phishing-Attacken, bei denen jemand versucht, durch betrügerische E-Mails die Login-Daten von Mitarbeitern zu erlangen, um sich dann mit falscher Identität Zugang zum Inneren der Bank zu verschaffen. Die Motivationen für Phishing reichen von Diebstahl im Online Banking über Ausspähen von Geheimnissen bis hin zu zerstörerischer Aktivität, um einer Bank zu schaden (Cyber-Terror). Bankmitarbeiter müssen regelmäßig geschult werden, um Cyber-Attacken zu erkennen und ordnungsgemäß zu melden. Banken haben Spezialisten, die dann wissen, wie mit solchen Situationen umzugehen ist.
Auf methodischer Ebene lässt sich im QRM der Trend beobachten, dass neben klassischen stochastischen Modellen zusehends Szenario-basierte Stresstests eine Rolle spielen. Woher kommt dieser Trend und wie bewerten Sie ihn?
Christian Bluhm: Ende der 90er-Jahre verlief der Trend der Banken klar hin zu einem integrierten Gesamtbankmodell für Ökonomisches Kapital, typischerweise kalibriert auf ein Konfidenzniveau im sogenannten Tail der Verlustverteilung. Mithilfe bedingter Erwartungen wurden dann Risikobeiträge für die Allokation auf die einzelnen Businesses verwendet, im Extremfall bis auf Einzelkundenebene. Seit der letzten großen Finanzkrise ist in der Branche der Glaube an ein universelles Modell, welches alle Risiken der Bank einschließt, so gut wie verschwunden. Die regulatorische Entwicklung in Richtung Basel IV oder CCAR in den USA hat diesen Trend stark befeuert. Heute versuchen Banken durch sorgfältig gewählte Stressszenarien potenzielle Risiken zu simulieren, um so eine Vorstellung zu bekommen, welche potenziellen Verluste in der Zukunft die Bank treffen könnten.
Ich habe am Anfang meiner Karriere, als ich noch als Quant aktiv war, viele solcher Modelle programmiert und gesehen. Daher schmerzt es emotional ein wenig, dass diese Modelle in der Bankenwelt kaum noch eine Rolle spielen. Allerdings kann ich dem Trend, Risiken durch Stressszenarien zu simulieren, sehr viel abgewinnen. Stressszenarien sind risikosensitiv, interpretierbar, sofern durchdacht konstruiert, und daher dem Business erklär- und vermittelbar. Beispielsweise Makroszenarien, das heißt Schocks auf Aktien, Währungen oder Makroindizes, sind unmittelbar interpretierbar, und ich halte es für unabdingbar, deren Wirkung auf das eigene Bankportfolio zu kennen. Die Zukunft der quantitativen Risikomodellierung gehört klar und wohl auch zu Recht in weiten Teilen den Stresstestmodellen.
Wie konstruiert man eigentlich gute Szenarien für Stresstests? Gibt es hierzu bereits einen Konsens und ggf. empfehlenswerte Literatur?
Christian Bluhm: Über Literatur zu Stresstests kann ich nichts sagen. Wir entwickeln solche Modelle vollständig "in-house" – wobei sie vom Regulator zu genehmigen sind. Ausgangspunkt ist das bankeigene Portfolio. Die Auswahl zu stressender Risikofaktoren wird vom eigenen Portfolio bestimmt. Typische Risikofaktoren sind Markt- oder Makroindizes, wie beispielsweise Aktienindizes, Wechselkurse, Zinskurven oder auch Wachstumsindizes wie etwa GDP und Ähnliches. Die Regulatoren haben übrigens eigene Stresstests entwickelt, beispielsweise die FED in den USA lässt sich von Banken, die in den USA tätig sind, einfach deren Portfoliodaten geben, simuliert dann eigene Stresstests und vergleicht deren Ergebnisse mit den Resultaten der Stresstests der Bank.
Die Methoden und Instrumente des Risikomanagements haben in den letzten Jahren eine äußerst dynamische Entwicklung gezeigt. Welche Ansätze werden Ihrer Meinung nach künftig an Bedeutung gewinnen? Sehen Sie Möglichkeiten, die Kluft zwischen der qualitativen Natur vieler Risiken – etwa operationeller Risiken – einerseits und dem Wunsch nach einer möglichst vollständigen Quantifizierung aller Risiken andererseits in absehbarer Zeit zu überwinden?
Christian Bluhm: Risikomanagement lässt sich nicht auf quantitative Ansätze allein reduzieren. Qualitative Aspekte werden immer eine große Rolle spielen. Selbstverständlich kann man viele Risiken quantifizieren, auch im Bereich operationeller Risiken. Aber qualitative Aspekte wie beispielsweise Erfahrung bei der Kreditbewilligung oder beim Erkennen, ob beispielsweise im Rahmen von sogenannten "Consequential Risks" ein ausgelöster "Alarm" bei "Fraud Detection" eine echte Spur ist oder nur ein falscher Alarm, sind zwingend im Risikomanagement. Ich sehe beide Aspekte – sowohl quantitative als auch qualitative – als wichtig und gleichwertig an. Zahlen verleiten einen gerne dazu, sich sicher zu fühlen und zu denken, die Dinge im Griff zu haben. Leider kann dies ein Fehlschluss sein. Daher möchte ich von meinen Kolleginnen und Kollegen stets quantitative und qualitative Einschätzungen von Risiken sehen.
Auf die Frage, wie der gegenseitige Wissensaustausch zwischen Akademia und Praxis verbessert werden kann, hat Prof. Paul Embrechts vor wenigen Monaten (siehe Interview in RISIKO MANAGER 17/2015) geantwortet, dass die Wissenschaft sich aus ihrem Elfenbeinturm wagen muss. Dies erfordert häufig intellektuellen Mut und in der Regel viel Zeit. Wie bewerten Sie die Zusammenarbeit und den Austausch zwischen Wissenschaft und Praxis?
Christian Bluhm: Paul hat absolut Recht, oft sind Ansätze aus der akademischen Welt viel zu weit weg von Praxis und Realität. Wir benötigen robuste, zuverlässige, nachvollziehbare und vor allem mit vorhandenen Daten kalibrierbare Modelle, die mit den Informationen auskommen, die Banken zuverlässig über zwei Jahrzehnte hinweg gesammelt haben. Außerdem bin ich der Meinung, dass Banken ruhig verschiedene Modelle nebeneinanderlegen sollten, um ein bestimmtes Problem aus verschiedenen Richtungen zu beleuchten und zu untersuchen. Genau genommen ist jedes Modell nicht mehr als eine Art Laborversuch mit modellbedingten Einschränkungen bezüglich seiner Realitätsnähe. Es ist jedenfalls sinnvoll, dasselbe Problem oder Phänomen im Labor mehrfach unter verschiedenen Bedingungen und mit unterschiedlichen Modellen zu studieren, um so viel wie möglich über das Problem zu lernen. Das klingt nun doch ein bisschen naturwissenschaftlich, ist aber in der Analogie zum Banking zutreffend. Zur Zusammenarbeit zwischen Wissenschaft und Banken bin ich immer gerne bereit, wir können gegenseitig viel voneinander lernen.
Spielen Sie den Ball an die Universitäten zurück: Wie zufrieden sind Sie mit dem Ausbildungsstand aktueller Absolventen. In welchen Bereichen hätten Sie gerne mehr Fachwissen?
Christian Bluhm: Hochschulabgänger sind uns dann besonders willkommen, wenn sie bereits Praktika in der Industrie absolviert haben und idealerweise den Unterschied zwischen Akademia und Berufspraxis kennen. Dazu ein Beispiel: Wer als Mathematiker nach der Uni in eine Bank wechselt und denkt, er entwickelt dort Modelle mit wissenschaftlichem Anspruch, irrt sich. Quants in Banken verbringen rund 70 bis 80 Prozent der Zeit mit Arbeit an Daten. Die eigentliche Mathematik macht nur einen geringen Teil der Arbeit aus. Dazu kommen revisionssichere Dokumentation, Kooperation mit anderen Bereichen innerhalb der Bank, Programmieren, Kommunizieren an das Seniormanagement der Bank etc. Wer das bereits als Student mal gesehen hat, weiß worauf er sich einlässt. Ein weiterer Gedanke hierzu: Welches Spezialgebiet ein Kandidat im Studium hatte, ist gar nicht so entscheidend. Die Mathematik, die in Banken zur Anwendung kommt, ist für jeden Absolventen eines Masterstudiengangs in Mathematik problemlos verstehbar. Commitment zu praktischer Arbeit mit Daten, Kommunikationsstärke und die Fähigkeit, sich in ein Team zu integrieren, sind dann entscheidend, um Bewerber voneinander zu unterscheiden und den richtigen Kandidaten einzustellen. Mittels Praktika eignet man sich Erfahrung und Vorkenntnisse in den Semesterferien am besten an.
Wie halten Sie Ihre bestehenden Mitarbeiter auf dem "aktuellen Stand der Technik" im Risikomanagement?
Christian Bluhm: Unsere Mitarbeiter, speziell die Quants, bleiben auch in ihrem Job interessiert an aktuellen Entwicklungen. Wir schicken Mitarbeiter gerne zu internationalen Konferenzen. Wir motivieren unsere Mitarbeiter, eigene Arbeiten zu veröffentlichen, solange sie dabei keine Interna preisgeben. Oft bleiben Mitarbeiter auch eng mit ihren Peers aus ihren jeweiligen Universitäten in Kontakt, um sich weiterhin fachlich auszutauschen.
Der Faktor "Vertrauen" spielt in der Beziehung zwischen einer Bank und ihren Kunden eine herausragende Rolle. Welche Möglichkeiten sehen Sie, um Reputationsrisiken und ähnliche "weiche" Gefahrenpotenziale besser als bislang im Risikomanagement einer Bank zu berücksichtigen und effizienter zu steuern?
Christian Bluhm: Reputationsrisiken gehören der Kategorie operationeller Risiken an. Das Problem hierbei ist, dass es lange dauert, sich eine gute Reputation aufzubauen und dass man diese auf einen Schlag verlieren kann, wenn operationelle Risiken schlagend werden. Daher schützen Banken ihre Reputation bestmöglich. Am einfachsten erkläre ich dies illustrativ anhand eines Beispiels: Das Vertrauen ihrer Kunden erwirbt sich eine Bank dadurch, indem sie ihre Kunden davon überzeugt, dass die Bank kompromisslos im Interesse des Kunden unterwegs ist. Wenn die Bank dann allerdings in die Schlagzeilen gelangt, weil sie Kunden zugunsten eigener Profite falsch beraten hat, nimmt die Reputation der Bank nachhaltig Schaden, und es kann Jahre dauern, bis sich eine Bank davon wieder erholt. Reputationsrisiken werden bei der UBS identifiziert und in unserem "Consequential Risk Framework" entsprechend adressiert und gemanagt. Spezifischer ausgedrückt bedeutet dies, einem hohen Standard bei Themen wie Geldwäsche, "Know Your Client", "Monitoring and Surveillance" sowie weiteren Kontrollmechanismen zu entsprechen.
Wir neigen im deutschsprachigen Raum dazu, das Thema "Opportunities" und "Upside-Risiken" in unserer Betrachtung auszublenden. Hängt dies vor allem mit dem negativ belegten Begriff der Risiken im Sinne von Gefahren zusammen?
Christian Bluhm: Banken sind von ihrem Geschäftsmodell her "Risk Taker". Ohne Risiken einzugehen machen wir keine Geschäfte, und risikofreie Geschäfte gibt es nicht. Daher gehen Banken in vielen Entscheidungen Risiken bewusst und innerhalb ihres Risikoappetits ein. Risiken beinhalten in der Regel auch Chancen, und wenn man es richtig macht, kann man diese nutzen. Manchmal leider ist die einzige Chance bestimmter Risiken, dass man aus ihnen lernt. Aber auch das kann eine wichtige Lektion sein. Insofern sehe ich Risiko nicht als negativ belegten Begriff, sondern als integralen Bestandteil des Geschäftsmodells von Banken. Allerdings müssen Risiken laufend gemanagt werden, und zwar von allen Mitarbeitern der Bank, die Risiken eingehen. Risikomanagement beschränkt sich nicht auf die Funktion der Risikodivision, sondern betrifft Kundenberater ebenso wie die Personalabteilung, die bei der Einstellung neuer Mitarbeiter ebenfalls risikobewusst vorgehen muss.
Weltweit werden, oft in populistischen Debatten, bestehende Wirtschaftskooperationen und Staatenbünde in Frage gestellt. Nationale Lösungen für internationale Probleme werden als einfache Antwort auf komplexe Fragen verkauft. Wie geht man als international agierender Konzern mit solchen politischen Risiken um?
Christian Bluhm: Wir überwachen soziale und geopolitische Risiken sehr genau. Ich habe dafür eigens ein Team: "Political & Country Risks". Politische Trends zum Beispiel und daraus resultierende potenzielle Risiken sind Faktoren, die in die Überprüfung von Geschäften wie auch in unsere Geschäftsstrategie mit einfließen.
Lassen Sie uns zum Abschluss noch einen Blick in die Kristallkugel werfen. Von welchen Entwicklungen wird die Risikolandkarte in den nächsten Jahren am stärksten verändert, und wie gestalten Sie diese Entwicklungen mit?
Christian Bluhm: Regulatorische Veränderungen und Makro-Trends prägen die Bankenbranche. Nur solche Banken werden langfristig erfolgreich sein, die ihre Geschäftsmodelle auf Automatisierung trimmen, gewissermaßen den Wandel nachvollziehen, den das produzierende Gewerbe vor vielen Jahren vollzog. Ein Mittel zum Zweck neben Investition in "Process-Streamlining" und Infrastruktur könnte hierbei auch Konsolidierung sein. Makro-Trends spielen in jedem Fall eine Rolle bei der Ausrichtung unseres Geschäfts. Hierzu zähle ich auch demografische Trends, wie beispielsweise die Überalterung der Gesellschaft in westlichen Industriestaaten. Nur wer hier gut hinschaut und die richtigen Schlüsse zieht, investiert erfolgreich in Geschäftssegmente und damit in eine nachhaltig erfolgreiche Zukunft der Bank.
Dr. Christian Bluhm wurde im Januar 2016 in die Konzernleitung der UBS Group AG und UBS AG berufen und zum Group Chief Risk Officer ernannt. Er stieß zu UBS von FMS Wertmanagement, wo er ab 2010 Chief Risk & Financial Officer und von 2012 bis 2015 Vorstandssprecher war. Von 2004 bis 2009 arbeitete er bei der Credit Suisse als Managing Director, verantwortlich für Credit Risk Management in der Schweiz und Private Banking weltweit. Christian Bluhm war bis 2008 Head Credit Portfolio Management und nach der Finanzkrise im Jahr 2008 Head Credit Risk Management Analytics & Instruments.
Von 2001 bis 2004 arbeitete er bei der Hypovereinsbank in München im Group Credit Portfolio Management; er leitete ein Team, das auf Structured Finance Analytics spezialisiert war. Bevor er seine bankfachliche Karriere 1999 bei der Deutschen Bank im Credit Risk Management begann, arbeitete er als Post Doctorate Fellow an der Cornell University in New York State. Christian Bluhm besitzt einen Abschluss in Mathematik und Informatik der Universität Erlangen-Nürnberg und doktorierte 1996 in Mathematik an derselben Universität.
[Das Interview ist erstmalig in Ausgabe 01/2017 der Zeitschrift RISIKO MANAGER im FIRM Special veröffentlicht worden.]