MANAGEMENT

Digitalisierung des quantitativen Risikomanagements

Chancen und Herausforderungen

Dr. Oliver Demetz, Foto: risklytics

Begriffe wie Business Intelligence, Big Data, Artificial Intelligence und Regtech1) lassen große Umbrüche erwarten. Sie eröffnen neue Möglichkeiten und revolutionieren viele Geschäftsbereiche. Doch was genau wird effizienter? Und welche Tätigkeiten profitieren konkret von moderner Software? Dieser Artikel gibt eine Übersicht über die Herausforderungen und den Nutzen dieser Techniken in Hinsicht auf das Risikomanagement. (Red.)

Aus quantitativer Perspektive besteht ein Unternehmen aus einer Vielzahl von Datenströmen. Salden, Obligos, Umsätze, offene Posten, Bonitäts-Scores, Wahrscheinlichkeiten et cetera sind sich ständig ändernde Daten, die die Gesamtsituation des Unternehmens beschreiben.

Die Aufgabe des Risikomanagers ist die Kultivierung dieser Datenmassen aus Risikosicht, also die Erfassung, Aggregation, Aufbereitung und Überwachung dieses hochdimensionalen Datenraumes.

Trotz des Prinzips der doppelten Proportionalität und des verfassungsrechtlichen Grundsatzes der Verhältnismäßigkeit des Verwaltungshandelns, also der Möglichkeit, Großteile dieser Daten schlicht zu ignorieren, bleibt dies eine große Herausforderung.

Denn die Daten beinhalten wichtige Informationen, die nicht nur für das Risikomanagement, sondern auch für den Geschäftserfolg wertvoll sind. Dazu folgt eine Übersicht über die Herausforderungen und den Nutzen von Techniken, die versprechen, die Genauigkeit und Aktualität der Risikosituation immer weiter zu treiben.

Fehler vermeiden

Der händische Umgang mit Daten erfordert höchste Aufmerksamkeit und Sorgfalt. Regelmäßig geschieht dies bei der manuellen Erfassung von Daten, zum Beispiel bei der Anforderung der Offene-Posten-Listen und deren Übertragung in das bestehende Risikomanagementsystem - meist per "Copy & Paste". Eine weitere Fehlerquelle ist das Vergessen beziehungsweise verzögerte Erledigen von Aufgaben. Je seltener die Aufgaben zu erledigen sind, desto größer ist die Gefahr. Schließlich laufen auch wechselnde Datenquellen und -formate Gefahr, zu Inkonsistenzen zu führen, die unter Umständen die Vergleichbarkeit zu früheren Berichten und Daten beeinträchtigen.

All die genannten Probleme können durch die Einführung eines Data-Warehouses und dessen (teil)automatisierte Integration in die vorhandene Infrastruktur vermieden werden. Voraussetzung ist das Vorhandensein einer Schnittstelle - hauptsächlich in der Leasing- beziehungsweise Factoring-Software, die einen standardisierten Datenexport ermöglicht. Weitere leicht nutzbare Datenquellen sind automatisch generierte Exports beispielsweise aus der Finanzbuchhaltungs-Software. Derartige Schnittstellen sind eine unerlässliche Voraussetzung für die strukturelle Vermeidung von Fehlern.

Ein weiterer Schlüssel zur Fehlerprävention ist das Verwalten einer Datenhistorie. Obwohl meist nur das Heute zählt, machen historische Daten automatische, objektive Plausibilitätsprüfungen möglich: Weicht ein neues Datum von bestehenden Daten ab, kann ein statistischer Test2) entscheiden, ob die Abweichung signifikant ist und Handlungsbedarf besteht. Moderne Software kann diese Prüfungen permanent im Hintergrund vornehmen.

Ebenso hilft ein Planungsprozess mit automatischem Soll-Ist-Abgleich Fehler - auch betriebswirtschaftliche Fehlentwicklungen - früh zu erkennen. Konkret bietet sich mit geeigneten Tools die Erfassung nicht nur tatsächlicher Daten, sondern zusätzlich auch deren Planung in die Zukunft an. Wird ein geplanter Soll-Wert durch eine Ist-Erfassung ersetzt, ist deren automatischer Vergleich für das Tool ein leichtes. Generell sollte das Data-Warehouse Planungsfunktionen für beliebige Werte bieten, um - nicht nur im Rahmen des Kapitalplanungsprozesses - von dem automatischen Abgleich profitieren zu können.

Es wird immer Daten geben, deren automatisierte Erfassung nicht lohnt beziehungsweise im Unternehmen nicht möglich ist wie zum Beispiel Bilanzpositionen, die sich selten ändern, aber für die Berechnung der Risikodeckungsmassen erforderlich sind. Hier muss jedes System manuelle Erfassungsmöglichkeiten und -prozesse bieten. Im Hintergrund sollte ein Eskalationsprinzip die manuellen Erfassungen überwachen, um im Urlaubs- oder Krankheitsfall Vertreter und Vorgesetzte, bis hin zum letztlich verantwortlichen Geschäftsführer, informieren zu können.

Wie die Datenerfassung bedarf auch die - meist manuelle - Erstellung von Berichten höchster Sorgfalt. Moderne Tools können dabei große Unterstützung bieten. So müssen Daten der Risikotragfähigkeitsrechnung reihenweise per "Copy & Paste" aus der Tabellenkalkulation in das Textdokument kopiert werden und Kennzahlen aktualisiert, berechnet, formatiert und eingetragen werden. Meist dient als Vorlage des neuen Quartalsberichtes der Vorangegangene, was die Gefahr, Werte zu vergessen oder zu vertauschen nicht verringert.

Ein Berichtssystem, das Zugriff auf die Daten des Data-Warehouses hat, kann durch einmalig angelegte Berichtsvorlagen diese Bearbeitungsfehler praktisch gänzlich ausschließen. Dabei existieren große Unterschiede in Hinblick auf Benutzerfreundlichkeit und Funktionsumfang verfügbarer Lösungen. Idealerweise sind Vorlagen leicht editierbar und Auswertungszeiträume nachträglich änderbar.

Schließlich ist ein gut organisiertes und weitgehend automatisiertes internes Kontrollsystem hilfreich bei der Vermeidung von Fehlerpotenzialen, speziell in nicht-quantitativen Bereichen. Wie bei der Datenerfassung ist für Kontrolltätigkeiten ein verlässliches Eskalationsprinzip unerlässlich. Zudem schafft eine automatische Protokollierung aller Kontrollen Nachvollziehbarkeit, vergleichbar mit der Datenhistorie.

Die meisten Unternehmensdaten sind für sich betrachtet nur mittelbar risikorelevant. Erst durch entsprechende Aggregation, also Addition, Subtraktion, Multiplikation, Division, zeitliche Glättung, Schwellwertbildung - und Kombinationen derer, werden direkt risikorelevante Informationen daraus.

Daten aggregieren

Ein naheliegendes Beispiel ist die Risikotragfähigkeitsrechnung, die aus verschiedensten Unternehmensdaten die Deckungsmassen und Risiken kalkuliert. Schlussendlich ist die Auslastung, also der Quotient aus Risiken und Deckungsmassen, ein relevanter Wert dessen Überwachung auch Teil des Risikomanagementprozesses ist.

Technische Basis dafür ist heute meist Tabellenkalkulationssoftware, die große Flexibilität bei der Aggregation bietet. Jedoch ist die Überprüfbarkeit und Nachvollziehbarkeit dieser Lösungen eingeschränkt, und Formelfehler sind unter Umständen nur durch vollständige Prüfungen auffindbar. Spezialisierte Lösungen bieten die Möglichkeit, diese Berechnungsregeln nachvollziehbar zu visualisieren und Abhängigkeiten zu verfolgen.

Eine breite Datenbasis (Data-Warehouse) vorausgesetzt, kann eine Aggregation aber auch auf viel tieferer Ebene wie beispielsweise der Adressausfallrisiken aller Mandanten einzeln in Abhängigkeit von Bonitätsratings, dem vergangenen Zahlungsverhalten, Kundenstrukturen et cetera zusammenfassen. Tabellenkalkulation kommt dabei schnell an ihr Limit, insbesondere wenn auf Basis des ganzen Kundenstamms auch historische Daten herangezogen werden sollen.

Die Aggregation von Daten ist ebenso Teil von Stresstests, denn um beispielsweise die Auswirkung eines Umsatzrückgangs auf alle Unternehmensdaten zu bewerten, müssen alle Aggregate diesen Umsatzrückgang entsprechend abbilden. Diese durchgängige Simulation ist über tabellenkalkulatorische Formeln nur in begrenztem Umfang realisierbar.

Effizienz steigern

Meist sind Effizienzsteigerungen der primär angeführte Vorteil digitaler Strategien. In allen Bereichen des Risikomanagements bieten sie in der Tat große Verbesserungspotenziale. Eine schnittstellenbasierte Datenerfassung erlaubt nicht nur das Vermeiden von Fehlern, sondern gibt im gleichen Zug auch Personalressourcen frei, da der Prozess ohne manuelle Eingriffe erfolgt.

Einmal im System, können Soll-Ist-Vergleich, Plausibilitätsprüfung, Limitüberwachung, Benachrichtigungen und die gesamte Datenaggregation ebenso automatisch erfolgen. Eine Aktion ist nur nach Benachrichtigung durch das System notwendig, zum Beispiel, wenn ein Wert von seiner Erwartung abgewichen ist.

Wie bei der Datenerfassung profitiert ein Berichtstool auch zweifach von Automatisierung. Berichte sind direkt verfügbar und stellen aktualisierte Daten dar. Frei gewordene Personalressourcen können zum Beispiel für die zielgerichtete Erstellung von Einzel- oder Detailberichten genutzt werden, um Vorstände, Aufsichtsräte, andere Kontrollgremien oder auch Abteilungsleiter regelmäßig mit maßgeschneiderten Berichten zu beliefern.

Bei allen Effizienzsteigerungen muss berücksichtigt werden, dass die Einführung einer modernen RM-Software auch einen nicht zu vernachlässigenden Aufwand darstellt. Viele Prozesse müssen angepasst und die Mitarbeiter in die neue Oberfläche eingelernt werden. Bereits mittelfristig ist jedoch sicher mit einem Effizienzgewinn zu rechnen. Zudem verführen weitreichende Berichts- und Überwachungsfunktionen dazu neue, jetzt erst möglich gewordene Auswertungen zu erstellen.

Machbarkeitsgrenzen verschieben

Moderne Tools machen bestehende Prozesse nicht nur effizienter und sicherer, sie eröffnen zudem ganz neue Möglichkeiten, die in der traditionellen manuellen Excel-Word-Welt nicht realisierbar sind. Viele dieser neuen Möglichkeiten beruhen auf Effizienzsteigerungen und der Möglichkeit große Datenmengen zu verarbeiten: So wird durch Automatisierung eine Einzelerfassung und -bewertung erst möglich. In Leasing-Unternehmen heißt dies, die regelmäßige Erfassung von noch ausstehenden Zahlungen und Restwerten jedes Vertrages und deren Risikobewertung auf Vertrags-, Branchen- beziehungsweise Schuldnerbasis. Hierdurch wird die Schätzung der Adressausfallrisiken viel genauer und (Fehl-)Entwicklungen im Vertragsbestand werden ohne Verzögerung detektierbar.

In Factoring-Unternehmen wird eine Analyse jedes Mandanten möglich, um - je nach Factoring-Art – Veritäts- beziehungsweise Adressausfallrisiken zu messen. Darüber hinaus wird mit einer durchgängigen Erfassung aller Forderungsausfälle eine statistische Schätzung des Value-at-Risk (VaR) machbar, und dadurch die übliche, unscharfe Expertenschätzung abgelöst. Voraussetzung für solche statistischen Betrachtungen ist eine ausreichende Datenbasis. Denn je nach Geschäftsmodell ist die Zahl der Ausfälle im Vergleich zur Gesamtforderungsanzahl verschwindend gering, was statistischen Analysen die Aussagekraft nimmt.

Aber auch strukturell eröffnen sich mit modernen Tools neue Möglichkeiten. Durch die Erfassung von fiktiven Daten im Zuge der Simulation eines Stress-Szenarios kann die Reaktion des Systems unter Einbeziehung aller Aggregationsregeln vollumfänglich untersucht werden. So ist es unter anderem möglich, den Zeitpunkt von Limitverletzungen während des Stresstests zu bestimmen oder durch ein verbundenes Berichtstool vergleichende Berichte der Stresssituation zu erzeugen.

Die transparenten Aggregationsregeln erlauben aber auch ohne Stresstest automatische Analysen. So ist es mithilfe von integrierten Computeralgebrasystemen möglich, die Gesamtheit aller aufgestellten Limits auf jeden Einzelwert zurück zu rechnen. Effektiv können somit inverse Stresstests permanent durchgeführt werden und der Nutzer sieht die impliziten Limits auf jedem Einzelwert.

Je nachdem welche Unternehmenskennzahl per Limit überwacht wird, ist eine Benachrichtigung bei eingetretener Verletzung des Limits viel zu spät. Vielmehr ist es wichtig, eine Entwicklung hin zu einer Limitverletzung vorzeitig zu erkennen. Frühwarn-Algorithmen können Daten zeitlich extrapolieren und damit den Verletzungszeitpunkt vorhersagen.

Durch Frühwarnung Sicherheit schaffen

Mittels dieser Algorithmen kann für neue Daten bestimmt werden, ob der prognostizierte Verletzungszeitpunkt näher rückt, das heißt, ob die neuen Daten die Gesamtrisikosituation anspannen oder entspannen (siehe Abbildung, Seite 43).

Die Delegation von Aufgaben an Mitarbeiter beziehungsweise Organisationseinheiten ist alltäglich. Aus der Perspektive des Risikomanagements ist für die Unternehmensleitung die Überwachung der delegierten Prozesse unerlässlich. Auch dabei können Softwaretools systematisch unterstützen. Durch die Bestimmung von Eskalationsketten kann die Geschäftsführung eine Maximaldauer festlegen, binnen der sie über jegliche Fehlentwicklungen vom System informiert wird. Somit kann sie ihrer gesetzlichen Verantwortung am Risikomanagement per System nachkommen.

Die Sicherstellung von Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit aller Daten ist je nach System mit großem Aufwand verbunden. Traditionelle Lösungen auf Basis von Tabellenkalkulations- und Textverarbeitungsprogrammen müssen theoretisch Dokumente nach jeder Änderung in ein Dokumentenmanagementsystem speichern, um die genannten Anforderungen zu erfüllen. Ihnen fehlen aber auch andere, bereits angesprochene Features wie eine komfortable Netzwerk- und Mehrbenutzerfähigkeit. Sollten diese gängigen Universalprogramme je von Seiten der Aufsicht als Basis für das quantitative Risikomanagement wegfallen,3) werden spezialisierte Systemlösungen ohnehin zur Pflicht werden.

Die Mindestanforderungen an das Risikomanagement (MaRisk) formulieren ein Paket von Anforderungen, deren Erfüllung oft einzeln, in vielen voneinander unabhängigen Unternehmensprozessen organisiert ist. Meist ist diese Prozessliste historisch Stück für Stück gewachsen, um neu entstandenen Anforderungen nachzukommen. Im Ergebnis wird heute mancher Arbeitsschritt doppelt durchgeführt, beispielsweise die mehrfache Anforderung der gleichen betriebswirtschaftlichen Daten von mehreren Stellen.

Gesamtprozess strukturieren

Viele Arbeiten sind außerdem überhaupt in keinem expliziten Prozess strukturiert und werden zum Beispiel durch eine Person im Unternehmen seit jeher abgedeckt. Das in dieser Person gebündelte Risiko sollte nicht unterschätzt werden. Zumindest sollte eine Vertretungsregelung und Verfahrensdokumentation mit der Vertretung abgesprochen sein.

Moderne Organisationslösungen ersetzen diese Vielzahl von Insellösungen, indem sie den gesamten MaRisk-Prozess mit allen Unterprozessen in einem System abbilden. Allen Beteiligten wird eine Schnittstelle geboten zur Erledigung und Überwachung der Aufgaben. Das Gesamtsystem kann durch Kenntnis aller Prozesse viele vorher manuell durchgeführte Aufgaben automatisch erledigen. Speziell die wiederkehrenden Aufgaben bieten sich für eine Automatisierung an, sodass die Nutzer vermehrt nur noch intervenierend bei Abweichungen vom Soll-Zustand tätig werden müssen.

Abgewogen werden sollte in diesem Zusammenhang die verringerte Flexibilität, die ein Gesamtprozess den Beteiligten bietet. Die Softwarelösung muss so flexibel sein, die Einzelprozesse jedes Unternehmens abbilden zu können. Aus diesem Grund sind Risikomanagement-Standardlösungen, die nicht auf die Leasing- und Factoring-Branche maßgeschneidert wurden, oft zu restriktiv und verkomplizieren viele Prozesse mehr als nötig.

Jedes Unternehmen muss im quantitativen Risikomanagement einen Kompromiss zwischen Aufwand und Genauigkeit finden. Digitale Gesamtsysteme erlauben eine drastische Steigerung der Genauigkeit und Effizienz ohne einen dauerhaften Mehraufwand in Kauf nehmen zu müssen. Kurzfristig ist die Einführung eines solchen Systems sicherlich mit Aufwand und Kosten verbunden, die sich aber mittelfristig rechnen werden, schon weil mit diesem Schritt die Zukunftstauglichkeit des Risikomanagements sichergestellt wird.

Fußnoten

1) In Anlehnung an Fintech bedeutet Regtech die Verbindung von "regulatory" und "technology".

2) Zum Beispiel ein t-Test, eine Regressionsanalyse.

3) Vgl. BCBS 239 36 (b): Die Verwendung solcher Anwendungen wird im Bankenumfeld schon kritisch beurteilt.

DR. OLIVER DEMETZ ist Geschäftsführer der risklytics GmbH, Saarbrücken.
E-Mail: od[at]risklytics[dot]de
Dr. Oliver Demetz , Geschäftsführer , Risklytics GmbH, Saarbrücken

Weitere Artikelbilder

Noch keine Bewertungen vorhanden


X