Aufrufe
vor 6 Jahren

RISIKO MANAGER 05.2016

  • Text
  • Risiko
  • Gumbel
  • Risiken
  • Oprisk
  • Insbesondere
  • Beispielsweise
  • Risikomanagement
  • Laufzeit
  • Gleichung
  • Verschiedenen
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

28 firm Frankfurter

28 firm Frankfurter Institut für Risikomanagement und Regulierung Paul Embrechts: Diese Einschätzung ist korrekt und wurde von Akademikern von Anfang an vertreten. Bisher stehen uns nur wenige OpRisk-Datensätze zur Verfügung, an denen wir neue Methodiken testen oder auf deren Grundlagen wir uns entschließen könnten, „zu höchster Vorsicht zu mahnen“, wie Sie es vorhin formuliert haben. Unsere statistische Analyse für das neue, in der ersten Frage besprochene Modell basiert auf den Daten ausgewählter Medien, die von der Firma Willis Professional Risks zusammengetragen wurden. Aufgrund der umfassenden Anonymisierung sind selbst branchenweit erfasste Daten für die Unternehmen, die an dem zugrunde liegenden Konsortium beteiligt sind, von nur begrenztem Wert. Außerdem dürfen wir nicht vergessen, dass die finalen Daten für Risikokapital-Kalkulationen nicht nur auf internen historischen und branchenweiten Konsortium-Daten, sondern auch auf unternehmensinternen Experteneinschätzungen beruhen. Genau diese auf verschiedenen Quellen beruhende Datenstruktur schafft Raum für die Anwendung der Glaubwürdigkeitstheorie, die Versicherungsmathematikern gut bekannt ist. Ich persönlich mache mir keine großen Hoffnungen, dass der Wissenschaft in relativ naher Zukunft der Zugang zu hochwertigen OpRisk-Datensätzen erleichtert wird. Nehmen wir nur einmal die hochrelevante Klasse des Rechtsrisikos; der Rekordverlust in dieser Klasse liegt bei etwa 16,65 Milliarden US-Dollar (!), die das US-Justizministerium 2014 gegen die Bank of America verhängt hat. Solche Verluste entstehen häufig durch außergerichtlich vereinbarte Geldbußen. Wie soll man an die relevanten Informationen zu solch hohen Verlusten kommen, die für die betroffene Einrichtung eine Art Todsünde darstellen? Natürlich gibt es untergeordnete Klassen wie Hardund Softwareverluste, für die weitaus detailliertere Daten und Methodiken (in diesem Fall Hardware- und Softwarezuverlässigkeit) verfügbar sind. FIRM-Redaktion: In der wissenschaftlichen Gemeinschaft wird derzeit eine interessante Diskussion über elizitierbare Risikomaße geführt. Sind diese jetzt der lachende Dritte im Streit VaR oder ES? Paul Embrechts: Nein, keineswegs. Elizitierbarkeit (engl. elicitability) bezeichnet ein Konzept, das im Zusammenhang mit der Vorhersage und dem Rückvergleich (engl. backtesting) von Risikomaßen steht. Sie bietet eine solide Grundlage für den Vergleich zwischen verschiedenen statistischen Schätzfunktionen im Hinblick auf deren statistische Eigenschaften. Die gesamte Diskussion im Risikomanagement hinsichtlich der Elizitierbarkeit, die es als Konzept bereits seit vielen Jahren gibt, nahm massiv an Fahrt auf, nachdem ich am Imperial College in London einen Vortrag zur Frage „VaR oder ES“ für das Handelsbuch gehalten hatte. Um es klar und deutlich zu sagen: Meiner Ansicht nach lassen sich sowohl VaR als auch ES in einer Weise rückvergleichen, die für das Risikomanagement in der Praxis ausreichend genau ist. Bitte bedenken Sie auch, dass der ES alleine zwar nicht elizitierbar ist, das Paar (VaR, ES) gemeinsam jedoch schon. Es lohnt sich definitiv, sorgfältiger über den Einsatz bestimmter Risikomaße nachzudenken. Bei der Entscheidung sollten verschiedene Kriterien berücksichtigt werden, wie etwa das praktische Verständnis und die einfache Kommunizierbarkeit, aber auch die statistische Schätzung. Elizitierbarkeit und Robustheit sind weitere relevante Kriterien. Letztendlich hängt die Entscheidung vor allem davon ab, was mit der Nutzung eines speziellen Risikomaßes erreicht werden soll. Gemeinsam mit Ruodu Wang und Haiyan Liu (Waterloo) habe ich gerade eine Abhandlung zur quantilbasierten Risikoteilung fertiggestellt, in der mehrere Ergebnisse vorgestellt werden, von denen ich persönlich denke, dass sie mindestens ebenso relevant für die Auseinandersetzung bezüglich ES oder VaR sind. Selbstverständlich ist dieses „mindestens“ zu einem Großteil auch meinen persönlichen Vorlieben geschuldet. FIRM-Redaktion: Sollten Unternehmen dem operationellen Risiko einen höheren Stellenwert beimessen, um Wettbewerbsvorteile zu entwickeln? Sollten sie den Schwerpunkt auf die Entwicklung von Modellen zur Quantifizierung des operationellen Risikos legen, oder sollten sie eher versuchen, die Betriebsabläufe besser zu verstehen und Fehler auszumerzen? Paul Embrechts: Wenn wir eines aus der Qualitätskontrolle im verarbeitenden Gewerbe gelernt haben, dann, dass das eine, also das Ausräumen von Fehlern, ohne das andere, sprich die Entwicklung von Modellen zur Quantifizierung von Risiken, nicht gut gelingen kann. Die Daten und (internen) Modelle sind dafür da, Schwachstellen einer Einrichtung besser erkennbar zu machen. Sicherlich ist ein tiefgreifendes Verständnis des Betriebs auf verschiedenen Ebenen des Unternehmens als Best Practice unabdingbar. Dieser Standpunkt ist auch eine der Triebkräfte hinter der zweiten Säule der ORSA- (Own Risk and Solvency Assessment) Komponente von Solvency II. In der Folge führt eine stärkere Beachtung des operationellen Risikos zweifellos zu einem Wettbewerbsvorteil. FIRM-Redaktion: Handelt es sich beim Reputationsrisiko um ein Nebenprodukt des operationellen Risikos? Wie sollten Unternehmen mit der Herausforderung umgehen, dieses mit negativen Auswirkungen auf das Kundenverhalten im Zusammenhang stehende Risiko zu quantifizieren? Paul Embrechts: Interessanterweise ist das Reputationsrisiko nicht Teil der präzisen Definition des operationellen Risikos gemäß Basel II (und damit auch Basel III) oder Solvency II. Es ist vor allem eine Frage der Corporate Governance. Gleichzeitig droht einer Einrichtung – wie die wissenschaftliche Forschung belegt – als Folge größerer Verluste aufgrund operationeller Risiken ein erheblicher Reputationsverlust. Im Fall des rechtlichen Risikos ist dies offensichtlich. Darüber hinaus wirken sich erhebliche OpRisk-Verluste (besonders unter dem Aspekt der rechtlichen Risiken) üblicherweise direkt auf den Aktienkurs des Unternehmens aus. Denken Sie beispielsweise nur einmal an den aktuellen Fall VW. Die Quantifizierung des Reputationsrisikos empfinde ich als schwierige, nahezu unmögliche Aufgabe. Viel wichtiger ist es, dieses Risiko qualitativ zu verstehen. Eine Sache, die ich – als Vorstandsmitglied in der Banken- und Versicherungsbranche – schon früh über Reputationsrisiken gelernt habe, ist: „Wenn du eine Handlung erwägst, von der du nicht willst, dass sie morgen in der Zeitung steht, dann verzichte lieber darauf!“ FIRM-Redaktion: Ist das Regulierungsrisiko ein weiteres – schnell zunehmendes – Nebenprodukt des operationellen Risikos? Paul Embrechts: Hier würde ich die Grenze ziehen, andernfalls rutschen wir auf die Definition zurück, die ganz zu Beginn der Diskussion um Basel II auf dem Tisch lag, nämlich, dass das operationelle

29 Ausgabe 05/2016 Risiko alles einschließt, bei dem es sich nicht um Markt- und Kreditrisiken handelt. Es ist nicht so einfach, eine praktikable Definition für das Regulationsrisiko zu finden. Natürlich besteht eine offensichtliche gegenseitige Wechselwirkung zwischen Regulierung und Solvenz, und zwar quasi per definitionem. Wenn Sie unter Regulierungsrisiko die Möglichkeit verstehen, dass ein überregulierter Markt bei ansonsten gesunden Unternehmen zu Solvenzproblemen führt, oder umgekehrt, dass ein ungehemmter Volumenzuwachs bei bestimmten Produkten oder eine starke Zunahme der Komplexität von Finanzinstituten der Gesellschaft insgesamt schadet, stelle ich fest, dass weltweit politische Debatten mit dem Ziel geführt werden, solche Entwicklungen per Gesetz zu verhindern. Allerdings kann eine Überregulierung auch das Wachstum von Schattenbanken und Schattenversicherungen zur Folge haben. Erstere kennen wir alle, bei den Letztgenannten ist dies trotz ihrer Bedeutung leider weniger der Fall. Lassen Sie mich kurz die Tatsache erwähnen, dass der im Jahr 1933 verabschiedete Glass-Steagall Act 37 Seiten umfasste, der Dodd-Frank Act aus dem Jahr 2010 dagegen ursprünglich 848 Seiten, plus tausende Seiten rechtlicher Ausführungen. Andererseits hat eine fehlerhafte Regulierung häufig massive Versuche zur Regulierungsarbitrage zur Folge. In einem stark beachteten Dokument mit dem Titel „An academic response to Basel II“ habe ich 2010 gemeinsam mit Kollegen der London School of Economics insbesondere auf schwere Mängel in den damals neuen regulatorischen Vorgaben vor allem zum Kredit- und operationellen Risiko hingewiesen. In diesem Dokument, das dem Basler Ausschuss offiziell vorgelegt wurde, forderten wir diesen (im Jahr 2001!) explizit auf: „Überdenken Sie diese Regeln, bevor es zu spät ist!“ Damals geschah so gut wie nichts, und 2007 war es dann tatsächlich zu spät. Ich wünschte, ein größerer Teil meiner Forscherkollegen auf der ganzen Welt würde mehr Zeit in diese Art der interdisziplinären Forschung investieren. Leider schaffen es Ergebnisse aus solchen Bereichen nur selten in die „Top“-Fachzeitschriften. Dies betrifft verschiedene Aspekte der derzeitigen, von Rankings besessenen Welt der Wissenschaft, die weit über das (quantitative) Risikomanagement hinausgehen. Da das Thema dieses Interviews das operationelle Risiko ist, möchte ich als Beispiel noch einmal meine gemeinsame Arbeit mit Giovanni Puccetti anführen, die ich bereits in der Antwort auf Frage 1 erwähnt habe. Wie gesagt, wurde die Fragestellung durch die Aufsichtsbehörden an uns herangetragen. Wir präsentierten eine Teillösung und reichten die Arbeit bei einer wissenschaftlichen Fachzeitschrift zur Wahrscheinlichkeitsrechnung ein, da wir diese Art von Problemen einem breiteren wissenschaftlichen Publikum bekannt machen wollten. Nach mehreren Begutachtungsrunden (zwei Gutachten unterstützten die Veröffentlichung und lobten die praktische Relevanz, drei lehnten die Veröffentlichung ab und kritisierten vor allem die fehlende mathematische Tiefe) wurde der Fachartikel abgelehnt, und uns wurde empfohlen, es bei einer anwendungsbezogeneren (Risikomanagement-) Fachzeitschrift zu versuchen. Interessanterweise äußerte einer der beiden Referees, die die Veröffentlichung unterstützt hatten, dass die Fachzeitschrift, bei der wir das Papier als erstes eingereicht hatten, anfangs genau diese Art von Artikeln im Sinn hatte. Letztendlich reichten wir den Artikel wie empfohlen bei einer anwendungsbezogeneren (Risikomanagement-) Fachzeitschrift ein, dem Journal of Operational Risk, wo er innerhalb weniger Wochen zur Veröffentlichung angenommen wurde. Ich könnte noch weitere, ähnliche Beispiele nennen. FIRM-Redaktion: Mehr als 90 Prozent der weltweiten Daten wurden in den letzten beiden Jahren erzeugt, und Big Data werden bereits in vielen Bereichen eingesetzt. Denken Sie, dass Big Data das Potenzial haben, die Welt des Risikomanagements zu revolutionieren? Können Big Data die Vorhersagekraft oder die Effektivität von Risikomodellen verbessern? Ermöglichen sie genauere Risikoerkenntnisse, oder handelt es sich nur um einen weiteren großen Hype? Paul Embrechts: Zunächst einmal bedeuten größere Mengen an Daten nicht zwangsweise mehr Informationen. Außerdem spreche ich lieber von Datenwissenschaft als von Big Data. In bestimmten Bereichen des Risikomanagements haben Big Data zweifellos großes Potenzial, beispielsweise im Hinblick auf Kreditkartenbetrug oder Kreditwürdigkeitsprüfungen, wo maschinelle Lernverfahren bereits jetzt äußerst erfolgreich eingesetzt werden. In diesem Sinn würde ich persönlich nicht von einem großen Hype sprechen. Lassen Sie mich aber etwas zu den aktuellen, IT-gestützten Entwicklungen im Hinblick auf das operationelle Risiko sagen. Es ist gar keine Frage, dass die IT-gestützte Datenrevolution sich in erheblichem Maße auf die Gesellschaft im Allgemeinen und das operationelle Risiko bei Versicherungen und Banken im Speziellen auswirken wird. Was mich beunruhigt, ist die Tatsache, dass im Zuge dieser IT-Revolution die Cyberkriminalität sehr schnell ins Zentrum des operationellen Risikos rückt. Hierzu möchte ich gerne eine weitere Anekdote erzählen: Bei einer meiner frühen Konferenzen zum Thema operationelles Risiko im Jahr 2004 wurde die IT nur am Rande als erheblicher Verlustfaktor erwähnt. Ich erinnere mich, bei der Konferenz die Frage gestellt zu haben, ob dies gerechtfertigt sei, da mir damals absolut bewusst war, welche Verluste Banken und Versicherungen aufgrund fehlgeleiteter IT-Investitionen erlitten. Ich hoffe, dass mittlerweile niemand mehr die enormen Paradigmenwechsel anzweifelt, die im Cyberspace stattfinden. Das Verlustpotenzial hinsichtlich des operationellen Risikos wird erheblich sein. Beispielsweise stellen wir bereits jetzt einen starken Anstieg bei den Peer-to-Peer- (P2P) Krediten und bei dem fest, was ich gerne als „Facebook-Banking und -Versicherung“ bezeichne. Dies sind typische „Schatten“-Entwicklungen. Wenn wir zu diesen Entwicklungen Bestrebungen wie Hochfrequenzhandel und Distributed-Ledger-Transaktionen auf Grundlage der Blockchain-Technologie (auf der Kryptowährungen wie Bitcoin basieren) hinzunehmen, bin ich davon überzeugt, dass wir uns an einem wichtigen Scheideweg befinden. An diesem Punkt ist es meiner Ansicht nach entscheidend, dem operationellen Risiko die ihm gebührende Aufmerksamkeit zukommen zu lassen. FIRM-Redaktion: Welche (von anderen Forschern veröffentlichten) aktuellen Erkenntnisse zum operationellen Risiko würden Sie als Lektüre empfehlen? Welchen historischen OpRisk-Ansatz sollte jeder kennen? Paul Embrechts: In den letzten Jahren wurden umfassende Lehrbücher zu diesem Thema geschrieben, bei denen ich hier das folgende, voluminöse Werk herausgreifen möchte: „Fundamental Aspects of Operational Risk and Insurance Analytics: A Handbook of Operational Risk“, erschienen 2015 bei Wiley, verfasst von M.G. Cruz, G.W. Peters

RISIKO MANAGER

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.