Paradigma-Wechsel im Risikomanagement

Ein mangelhaftes Management operationeller Risiken kann katastrophale Auswirkungen haben, bis hin zum GAU. Das belegen zahlreiche jüngere Ereignisse – von der Zerstörung der Atomkraftwerke in Fukushima durch Erdbeben und Tsunami über den gigantischen Datenklau bei Sony Online Entertainment – bis hin zum Milliardenverlust der UBS durch einen bankinternen „Zocker“. Aus einem derartigen Versagen des operationellen Risikomanagements resultieren nicht nur gigantische Verluste und Kosten, sondern vor allem massive Reputationsschäden, die sich – wenn überhaupt – nur mit grössten Anstrengungen wieder beheben lassen. Speziell die Finanzbranche kann davon ein Lied singen. Seit dem durch die Subprime-Krise ausgelösten Liquiditäts-Engpass sind die meisten Banken immer noch emsig damit beschäftigt, ihren in der Öffentlichkeit arg ramponierten Ruf wieder herzustellen. Dass dies nur mit einem umfassenden Risikomanagement gelingen kann, liegt auf der Hand. Allerdings stellt sich diesbezüglich sofort die Frage, ob es so etwas wie ein umfassendes oder „wasserdichtes“ Risikomanagement überhaupt geben kann. Selbstverständlich behauptet und verlangt niemand, dass sämtliche – und das heisst auch: die unwahrscheinlichsten – Risiken quasi im vornhinein so „gemanagt“ werden können, dass keine Schäden entstehen. Trotzdem darf bezweifelt werden, dass die Finanzinstitute heute ihre Risikomanagement-Systeme in so starkem Mass verbessert haben, dass eine weitere globale Krise mehr oder weniger ausgeschlossen werden kann.

ICT-Risikomanagement ist selbstverständlich

Nach den Erfahrungen der jüngsten Finanzkrise ist es evident, dass eine mehr oder weniger klare Unterscheidung zwischen Markt- und Kreditrisiken einerseits und operationellen, auf die ICT bezogenen Risiken andererseits nicht mehr aufrecht erhalten werden kann. Unbestritten ist, dass die Banken und Versicherungen beim operationellen ICT-Risikomanagement im engeren Sinn ihre Hausaufgaben machen müssen. Mit anderen Worten: Es muss unbedingt gewährleistet sein, dass die Business-Seite ein umfassendes Verständnis für die ICT-Seite aufbringt und deren Bedeutung für die gesamte Unternehmensstrategie erkennt. Diesbezüglich spielt die sogenannte ICT-Governance eine entscheidende Scharnier-Rolle. Ausserdem ist klar, dass innerhalb der ICT selber die Bereiche Architektur, Implementierung und Produktion/Operation effektiv und effizient miteinander verzahnt und aufeinander abgestimmt sein müssen. Das gilt im besonderen Mass für die Koordination von ICT-Projekten und der operationellen ICT. Denn das Management der operationellen Risiken beginnt bereits beim Design der Architektur, wobei ebenfalls klar ist, dass die tatsächlichen Risiken erst im laufenden Betrieb wirklich identifiziert werden können.

Was die operationellen Risiken beim ICT-Outsourcing angeht, ist klar, dass gerade Banken keinesfalls die Probleme, sondern nur deren Lösungen auslagern sollten. Mit anderen Worten: Das operationelle Risikomanagement und das damit verbundene Know-how kann mit Sicherheit nicht einfach ausgelagert, sondern muss intensiv mit dem eventuellen Outsourcing-Anbieter geteilt werden.. Gemäss der Eidgenössischen Bankenkommission ist denn auch klar, dass die Unternehmen selber letztendlich die Verantwortung für ihr operationelles ICT-Risikomanagement tragen. Das bedeutet, dass im Fall einer Auslagerung von ICT-Systemen und -Diensten die Etablierung einer Art Task-Force angebracht ist, die auf die Identifizierung und Bewertung der ICT-Risiken spezialisiert ist – und dies eben nicht nur im Vorfeld und während des Auslagerungsprozesses, sondern auch danach während des externen Betriebs.

Wenn sich die Schlange in den Schwanz beisst

Es ist unbestritten, dass die ICT im engeren Sinn gerade in der globalen Finanzindustrie ein im Vergleich zu früher ungeheuren Komplexitätsniveau erreicht hat. Das heisst, dass sich auch das reine ICT-Risikomanagement vor laufend komplexer werdende Herausforderungen gestellt sieht. Noch viel komplexer wird aber die ganze Sache, wenn man sich vor Augen führt, dass auch Systeme für das Management von Markt- und Kreditrisiken hundertprozentig ICT-basiert sind. Das Versagen dieser Systeme – beziehungsweise deren unzureichende Konzeption – hat denn auch zu den massiven Folgen der Subprime-Krise geführt. Das ist insofern nicht weiter erstaunlich, als das Vertrauen der Banken in ihre Risikomanagement-Systeme übertrieben hoch war. Anders ausgedrückt: Die Risiken, die durch den Einsatz dieser Systeme entstanden, wurden nicht mittels eines „Risikomanagements hoch zwei“ eingeschätzt und erkannt. Genau an diesem Punkt zeigt sich, dass eine strikte Trennung von ICT- und Markt/Kredit-Risiken nicht zulässig ist. Im Grunde genommen geht es heute darum, Risikomanagement-Systeme zu entwickeln – oder auf bestehende Systeme aufzusetzen – die diesem hoch komplexen Sachverhalt gerecht werden. Unter dem Strich heisst das nichts anderes, als dass die herkömmlichen mathematischen Modelle, welche die Grundlage für die ICT-basierten Risikomanagement-Systeme bilden, nicht ausreichen. Wenn diese Modelle von den Rating-Agenturen verwendet werden, um Finanzprodukte zu bewerten, und gleichzeitig in den Banken das Risikomanagement fundieren – dann beisst sich die Schlange unweigerlich in den Schwanz.

Dass die Tendenz zur Verwendung der immer gleichen Informationstechnologien – in diesem Fall: Risikomanagement-Systeme – immer stärker wird, hat der US-Autor Nicholas Carr bereits 2003 in seinem Aufsatz „IT Doesn't Matter“ erläutert. Die Folge davon ist nicht bloss eine Uniformisierung der Software-Programme selber, sondern auch eine Vereinheitlichung der Benutzung. Dieser Trend wird gefördert durch eine wachsende Orientierung praktisch aller Finanzinstitute an den sogenannten Best Practices. Diese wiederum erhalten zusätzlichen Schub seitens der Regulatorien wie Basel II/III und Sarbanes-Oxley, die den Banken ein gleichförmiges Verhalten praktisch aufzwingen. Fatal wird es dann, wenn diese Konformität richtiggehend programmiert wird – eben in Gestalt von Risikomanagement-Systemen. Wenn diese nun die Banken aufgrund bestimmter Risiko-Indikatoren massenweise dazu veranlassen, gleichzeitig dieselben Massnahmen zu ergreifen, ist die Wahrscheinlichkeit der Zerstörung eines bestimmten Marktes sehr hoch – was die Finanzkrise zur Genüge bewiesen hat.

Paradigma-Wechsel bei den Modellen

Die gegenwärtigen Risikomanagement-Systeme im Zusammenspiel mit der gewohnheitsmässigen Orientierung an Best Practices bergen also ein nicht geringes Risikopotenzial. Da dieses mit einem noch so guten ICT-Risikomanagement im engen Sinn nie und nimmer aus Welt geschafft werden kann, stellt sich unweigerlich die Frage: Wie lassen sich derart riskante Risikomanagement-Systeme verbessern respektive erneuern? Die Antwort liegt auf der Hand: Mit besseren mathematischen Modellen, die zur Entwicklung von weniger riskanten Software-Programmen führen. Damit ist auch klar, dass die Verbesserung respektive Erneuerung der Risikomanagement-Systeme einen erheblichen Forschungs- und Entwicklungsaufwand verlangt – und dieser ist selbstredend mit entsprechenden Kosten verbunden. Akademische Forschungsinstitute arbeiten schon seit längerem an tauglicheren Modellen, die sich eher an der Biologie als an der Physik orientieren. Die Schwierigkeit besteht in erster Linie darin, das Problem des Übergangs von der Mikro- auf die Makro-Ebene unterbruchsfrei abzubilden. Für den Finanzsektor wäre dies Balsam, könnten solche Systeme doch Mikro- und Makro-Risiken gleichermassen erkennen und dadurch zu Verhinderung von Marktzusammenbrüchen entscheidend beitragen. Allerdings sollte der Forschungs- und Entwicklungsaufwand nicht einseitig von den akademischen Instituten betrieben werden müssen. Auch die Banken und Versicherungen sollten diesbezüglich ihren Beitrag leisten und damit dafür sorgen, dass mit den zukünftigen Risikomanagement-Systemen nicht nur die Produktivität und Rentabilität im Unternehmen selber gesteigert, sondern auch GAUs im globalen Finanzsystem vermieden werden können.