Quantitatives Risikomanagement rückt mit COSO, IDW PS 340 n.F. und ISO 31000:2018 in den Vordergrund. Wird das klassische, qualitative Risikomanagement dadurch ersetzt? Keineswegs. Moderne Risikomanagement-Software ermöglicht eine sinnvolle Koexistenz.
Quantitatives und qualitatives Risikomanagement in Banken müssen harmonieren.
Partner des Bank Blogs
Quantitative Methoden im Risikomanagement? Für viele Kolleginnen und Kollegen im Risikomanagement ist das noch Neuland. Begrifflichkeiten wie Value-at-Risk und Monte-Carlo-Simulation sind zwar grundsätzlich bekannt, was sich genau dahinter verbirgt und wie sie genutzt werden können, jedoch nicht. Daher möchte ich den Schleier des Unbekannten etwas lüften und aufzeigen, wie dies für uns alle mit Hilfe entsprechender Software möglich ist – auch ohne abgeschlossenes Mathematik-Studium.
War quantitatives Risikomanagement bisher vorwiegend in Banken und Versicherungen zur Berechnung der sogenannten Financial Risks zu finden (also Zinsänderungsrisiken, Adressenausfallrisiken usw.), so ist dank der Initiativen des Instituts für Wirtschaftsprüfer (namentlich IDW EPS 340 n.F.) und des ERM-Rahmenwerks des Committee of Sponosoring Organisations (COSO), sowie die ISO 31000:2018 Richtlinien auch der Druck vorhanden, quantitative Methoden auf die sogenannten Non-Financial Risks (z. B. Operationelle Risiken, Compliance Risiken und Rechtsrisiken) anzuwenden. Die genannten Normen legen seit ihrer letzten Überarbeitung einen deutlich stärkeren Fokus auf quantitative Methoden als vorher. Dabei forderte beispielsweise schon Basel ll die quantitative Offenlegung der Eigenkapitalanforderungen für operationelle Risiken.
Wird das klassische, sprich qualitative Risikomanagement nun durch quantitatives Risikomanagement ersetzt?
Nein. Die qualitativen Einschätzungen der Risikoverantwortlichen sind weiterhin wichtig; und das aus zwei ganz einfachen Gründen: Zum einen stellt die bisherige Datenbasis aus qualitativen Risikobewertungen einen wichtigen Grundstein für das quantitative Risikomanagement dar. Zum anderen bietet sich in der in der ersten ‚Verteidigungslinie‘ – ausgehend von einem 3-Lines-of-Defense-Modell – eine qualitatitive Ersteinschätzung an. Von den am wenigsten risikogeschulten Mitarbeitern kann in den seltensten Fällen eine präzise quantitative Risikoeinschätzung erwartet werden. Die richtige Software kann dann qualitative Bewertungen in numerische Werte umwandeln, ohne die Bewertenden zu überfordern.
Wie funktioniert eine Risikomanagement-Software?
Grundsätzlich automatisieren die meisten Anbieter wie auch ServiceNow erst einmal den gesamten Risikomanagement-Prozess, wie er im ISO 31000 beschrieben wird. Dazu gehören:
- Kommunikation und Konsultation
- Anwendungsbereich, Kontext und Kriterien
- Risikobeurteilung (Identifizierung, Analyse und Bewertung der Risiken)
- Risikobehandlung
- Überwachung und Überprüfung
Die oben genannte Orientierung am ISO-Standard schließt andere Normen jedoch nicht aus. Der ISO 31000 ist vergleichsweise offen gestaltet, so dass beispielsweise das COSO Framework oder der IDW PS 340 n.F. hier genauso abgebildet werden können.
Die Risikoidentifizierung spielt dabei eine wesentliche Rolle: Vor allem, wer mit dem Risikomanagement noch am Anfang steht, sieht sich erstmal mit der Frage konfrontiert, welche Risiken überhaupt relevant sind. Teilweise helfen an dieser Stelle entsprechende Normen, oder auch Verbände denen man angeschlossen ist. Diesen Vorteil haben jedoch nicht alle. Zudem stellt sich die Frage der Zuordnung. Nicht jede Risikokategorie trifft auf jede Abteilung zu. Abhilfe schaffen teilweise Softwareanbieter selbst, in dem sie bestimmte Rahmenwerke mitliefern; oder Beratungsgesellschaften, die beim Aufbau des Risikomanagements unterstützen können.
Risikomanager und Risikoverantwortliche – nicht identisch
Haben Risikomanager einmal diese Hürde überwunden liegt der größte Aufwand meist in der Datensammlung, also die Risikobeurteilungen durchführen zu lassen. In einem ersten Schritt sollte dazu eine einheitliche Methodik im Unternehmen verankert werden. In einem zweiten Schritt geht es darum, den einzelnen Business Managern (unternehmensweit, in allen Abteilungen) zu erklären, dass sie für das Erkennen, Bewerten, und Vermeiden der Risiken verantwortlich sind. Sprich, wenn wir vom 3-Lines-of-Defense-Modell ausgehen, ist es eben nicht die zweite Verteidigungslinie – die Risikomanager –, sondern die erste (z.B. die Vertriebseinheiten), die Risiken verantwortet und mindert.
Für diese Überzeugungsarbeit ist es wichtig, dass die Risikoverantwortlichen eine einfache und intuitive Software an die Hand bekommen, die ihnen den Einstieg so einfach wie möglich macht. Diese Software muss komplexe Verteilungsfunktionen für einen möglichen Risikoeintritt visuell verdeutlichen und gegebenenfalls kurz im Hilfetext erläuteren. Verständlicherweise kann nicht jeder in der ersten Verteidigungslinie mit Begriffen wie Normalverteilung oder Dreiecksverteilung sofort etwas anfangen. Eine entsprechende bildliche Darstellung hilft an dieser Stelle ungemein.
Darüber hinaus hilft es, wenn wesentliche Prozesse des Risikomanagements durch elektronische Workflows nicht zu umgehen sind – wer eine Aufgabe zugewiesen bekommen hat, öffnet die Applikation und dokumentiert die Erledigung der zugewiesenen Aufgabe. Ansonsten gibt es bei Zeitablauf eine elektronische Erinnerung oder eine automatische Eskalation an die nächsthöhere Instanz.
Nicht zuletzt stellt sich aus der Überwachungsperspektive der zweiten Verteidigungslinie die Frage, wie die Bewertung oder Messung der Risiken aussehen soll.
Wo setzt das quantitative Risikomanagement im Gesamtprozess an?
Wer diesen Artikel liest, weiß vermutlich grundsätzlich was sich hinter den einzelnen oben genannten Kapiteln des ISO 31000:2018 verbirgt. Interessanter als diese Prozessschritte im Detail zu beleuchten ist daher die Frage, wo genau in dem Prozess das quantitative Risikomanagement ansetzen und unterstützen kann.
Für die meisten Risikomanager ist die naheliegende Antwort auf diese Frage in der Regel die Risikoanalyse, um (wie das Wort sagt) quantitative oder berechnete Ergebnisse für die Auswirkung und die Eintrittswahrscheinlichkeit eines Risikos zu erhalten. Sprich, Werte in Euro und Prozent anstelle von Schätzungen wie ‚niedrig‘, ‚moderat‘ oder ‚hoch‘. Tatsächlich kann ein quantitatives Risikomanagement aber mehr als das.
Sowohl die Risikobewertung als auch die Überwachung und Überprüfung können durch quantitative Methoden ergänzt werden. Sodass Unternehmen in der Bewertung faktenbasierte Entscheidungen treffen und im Rahmen der Überwachung versuchen durch moderne Simulationstechniken ein granulares Bild von möglichen zukünftigen Entwicklungen zu bekommen.
Dafür können zum einen eigene historische Daten aus dem klassischen Risikomanagement und tatsächlich eingetretenen Schadensereignissen genutzt werden; oder zum anderen externe Daten über vergleichbare Institute, die man für diesen Zweck nutzen kann. Theoretisch können Risikomanager darauf basierend eigenständig versuchen, entsprechende Berechnungen anzustellen… oder man stellt sich unabhängig von wenigen, einzelnen schlauen Köpfen der Mitarbeiterschaft zukunftssicher auf, indem man sich Unterstützung durch entsprechende Software ins Haus holt.
Software zur Unterstützung des Risikomanagements
Leistungsstarke Software, wie das in die Now Platform integrierte Risk Management, und der damit verknüpfbare Enterprise Risk Evaluator, bieten ihren Anwendern eine Vielzahl von quantitativen Methoden für die Risikofrüherkennung und Risikotragfähigkeit zur Auswahl. Beispielhaft zu nennen sind Monte-Carlo- und Value-at-Risk-Simulationen in Verbindung mit sowohl Risikoaggregationen als auch einer risikoadjustierten G+V-Rechnung. Zusammen mit den Risikomanagement- und Prozesssteuerungsfunktionalitäten von ServiceNow bringen Sie sich und Ihren Kollegen das quantitative Risikomanagement auf einfache Weise nahe, ohne funktionale Abstriche zu machen.
