1 System Dynamics und Key Risk Indicators - PKRI-LI im Wholesale Banking 1 Michael Mainelli System Dynamics und Key Risk Indicators - PKRI-LI im Wholesale Banking 1 Einleitung 2 Das Betriebsrisiko im Bankgeschäft 3 Was ist ein Key Risk Indicator (KRI)? 4 Warum sind KRIs wichtig? 5 PKRILI Elemente 6 PKRILI Modellierung unter Gebrauch der Support Vector Machines (SVM) 7 Wie sieht die aktuelle Praxis aus? – Zwei frühe Beispiele 7.1 Europäische Investment Bank 7.2 Der globale Warentermingeschäft-Anbieter 8 Schlussfolgerung 1 Dieser Text ist eine gekürzte Übertragung aus dem englischen Original „System Dynamics and key risk indicators – PKRI-LI in Wholesale Financial Institutions.“ Die Überarbeitung erfolgte durch Nina Körner und Jürgen Sehnert.
22
Embed
System Dynamics und Key Risk Indicators - PKRI-LI im ... · 1 System Dynamics und Key Risk Indicators - PKRI-LI im Wholesale Banking1 Michael Mainelli System Dynamics und Key Risk
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
1
System Dynamics und Key Risk Indicators - PKRI-LI im Wholesale Banking
1
Michael Mainelli
System Dynamics und Key Risk Indicators - PKRI-LI im Wholesale Banking
1 Einleitung
2 Das Betriebsrisiko im Bankgeschäft
3 Was ist ein Key Risk Indicator (KRI)?
4 Warum sind KRIs wichtig?
5 PKRILI Elemente
6 PKRILI Modellierung unter Gebrauch der Support Vector Machines (SVM)
7 Wie sieht die aktuelle Praxis aus? – Zwei frühe Beispiele
7.1 Europäische Investment Bank
7.2 Der globale Warentermingeschäft-Anbieter
8 Schlussfolgerung
1 Dieser Text ist eine gekürzte Übertragung aus dem englischen Original „System Dynamics
and key risk indicators – PKRI-LI in Wholesale Financial Institutions.“ Die Überarbeitung
erfolgte durch Nina Körner und Jürgen Sehnert.
2
1 Einleitung
Der Zweck des Beitrages besteht darin, die Möglichkeiten eines fortgeschrittenen
statistischen Verfahrens aufzuzeigen, die Variablenauswahl und damit die
Entwicklung von SD-Modellen zu unterstützen. Die Frage, auf die eine Antwort
versucht werden soll, lautet: Wie ist vorzugehen, wenn die schiere Anzahl an
möglichen Modell-Parametern übermächtig erscheint, aber dennoch eine Auswahl
getroffen und ein überschaubar komplexes Modell entwickelt werden muss? Hierfür
bieten sich auf den ersten Blick zwei grundsätzliche Vorgehensweisen an: „trial and
error“ und fortgeschrittene statistische Methoden der Variablenidentifikation.
Im „trial and error“-Verfahren werden die Variablen beispielsweise aus der
Problembeschreibung, über Workshop-Diskussionen identifiziert oder über
Brainstorming-Verfahren ermittelt. Variablen, die sich in daran anschließenden
Diskussionen als nicht problembezogen erweisen, oder im
Modellentwicklungsprozess als ungeeignet herausstellen, werden wieder aus der
Liste von Schlüsselvariablen entfernt. Über den gesamten SD-Prozess hinweg ergibt
sich ein vielfaches Iterieren, bis die wirklich entscheidenden Variablen feststehen.
Falls die Vielzahl potentiell relevanter Variablen ein derartiges Vorgehen sehr
zeitraubend gestaltet, könnte der Einsatz fortgeschrittener, statistischer Methoden
helfen. Vor diesem Hintergrund schlage ich vor, in die Problembeschreibungsphase
des System-Dynamics-Prozesses eine schnelle, statistische Methode zur
Mustererkennung und -analyse einzubauen. Dadurch lässt sich die Identifikation und
Auflistung von Schlüsselvariablen erleichtern und Beschleunigen. Bei der
vorgeschlagenen Methode handelt es sich um den Ansatz der Support Vector
Machines (SVM).2 Dieser wird im Rahmen dieses Beitrags herangezogen, um
Predictive Key Risk Indicators for Losses and Incidents (PKRI LI, gesprochen
„Prickli“) zu entwickeln. Zwei Anwendungsbeispiele verdeutlichen die weit
reichenden Möglichkeiten und zeigen viel versprechende Resultate. Das
Themengebiet, aus dem ich sowohl das Vorgehen als auch zwei Beispiele vorstellen
möchte, gehört zu den „brennendsten“ der Steuerung von Banken: das Management
operationeller Risiken.
2 Im Internet findet sich bei Eingabe des Begriffs Support Vector Machines (SVM) in einer
Suchmaschine eine Vielzahl von weiterführenden Quellen. Auf eine tiefer gehende
Darstellung sei deshalb in diesem Artikel verzichtet.
3
2 Das Betriebsrisiko im Bankgeschäft
Gemäß §644 der Ausführungen für die „Internationale Konvergenz von
Eigenkapitalmessung und der Eigenkapitalanforderung“3, herausgegeben von der
Bank für internationalen Zahlungsausgleich, wird das Betriebsrisiko definiert als
„Gefahr von Verlusten, die infolge einer Unzulänglichkeit oder des Versagens von
internen Verfahren, Menschen und Systemen oder infolge externer Ereignisse
eintreten. Diese Definition schließt Rechtsrisiken ein, nicht jedoch strategische
Risiken oder Reputationsrisiken.“ Da Betriebsrisiken in den frühen 90ern zu einem
regulatorischen Thema wurden, versuchte man in verschiedener Weise, diese zu
messen und zu steuern. Bei der Steuerung von Betriebsrisiken lassen sich bisher drei
Entwicklungsstadien erkennen:
OpVAR – „Operational Value at Risk“
Dieser frühe Denkansatz versuchte Betriebsrisiken genauso wie Marktrisiken
oder Kreditrisiken zu behandeln. Die eigentliche Idee war, ein großes
stochastisches Modell der verschiedenen Betriebsrisiken zu entwickeln und
Monte Carlo Simulationen zu benutzen, um das Wertrisiko zu berechnen. Dies
sollte einer Finanzinstitution ermöglichen, die geeignete Menge an Kapital
vorzusehen. Dieser Ansatz erfordert eine Wahrscheinlichkeitsverteilung des
Betriebsrisikos auf eine Weise, in der Banken Marktentwicklungen und
Kreditausfälle berechnen. Einige Initiativen innerhalb der Branche bauten große
Datensammlungen zu Verlusten durch Betriebsrisiko auf (Schadensfall-
Datenbanken), beispielsweise Beträge durch Veruntreuung durch Mitarbeiter.
Die Daten zeigten sich zu heterogen und wegen ihrer Sensitivität schwierig zu
exzerpieren – wer hätte öffentlich zugeben wollen, von seinen eigenen
Mitarbeitern betrogen worden zu sein. Dennoch gilt der OpVAR noch immer als
nützlicher analytischer Ansatz, Betriebsrisiken zu messen und zu steuern; er
sollte jedoch m.E. nicht das Mittel der ersten Wahl sein.
Prozess-Modellierung und Dokumentation
Viele Finanzinstitutionen dokumentierten ihre Abläufe, um das Betriebsrisiko zu
analysieren. Sie benutzten dazu Workflow-Diagramme, ereignisorientierte
Prozessketten oder ähnliche Instrumente. Da diese den Bestands-Flussgrößen-
Diagrammen des System-Dynamics-Ansatzes ähnlich sind, veranlasste dies
einige Institute auch mit SD-Simulationen zu experimentieren – allerdings nicht
3 Bekannter unter dem Stichwort Basel II, vgl. http://www.bis.org/publ/bcbs107a_ger.pdf
[Zugriff: 22.8.2007].
4
immer mit dem gewünschten Erfolg. Nicht ausreichend abgebildete
Feedbackbeziehungen führten zum Teil zu sehr sensitiven Modellen, die dann
Verhaltensweisen zeigten, die aus der Chaostheorie bekannt sind. Außerdem ist
es für Banken auf diese Weise nicht möglich, die Menge an Kapital zu
berechnen, die zur Deckung der Betriebsrisiken vorgehalten werden muss.
Risiko-Radar (oder Risiko-Cockpit):
Einige Finanzinstitutionen untersuchten den Einsatz von sog. Compliance Tools,
die von den operativ Verantwortlichen Nachweise einforderten, dass sie Schritte
zur Minimierung der Betriebsrisiken unternommen habe. Während dieser
heuristisch angelegte Ansatz für die Bankenkultur geeignet ist – dort ist
bürokratisches und von Listen geprägtes Arbeiten durchaus bekannt – so bietet er
dennoch kein umfassendes Maß für Betriebsrisiken. Zudem wurde der Faktor
Mensch als wesentlicher Systembestandteil bei der Produktion von
Dienstleistungen nicht ausreichend berücksichtigt. So beantworteten Personen
Fragen wiederholt mit den erwarteten Antworten, wie bspw. „Ist Ihr Daten- oder
Rechnerraum sicher?“ mit „Ja“ und machten damit jede Aussagekraft zunichte.
Zuletzt endet diese Denkweise meist in vielen Ampel-Berichten, die nicht
numerisch erfasst werden können und deshalb ungeeignet sind, verschiedene
Risiken anders als nach ihrer Häufigkeit oder ihrem Platz in der Rangreihe zu
vergleichen. So wurden, ohne die Ernsthaftigkeit der Lage zu beachten, fünf
offene Türen zu Computerräumen für riskanter eingeschätzt als ein einziger
kompletter Stromausfall.
Zu Teilen sind diese Ansätze noch immer in Gebrauch und nützlich, doch für sich
alleine bieten sie weder ein Maß noch eine Steuerungsmöglichkeit für
Betriebsrisiken. Einige andere Konzepte sind es Wert, erwähnt zu werden. Obschon
sie wenig Popularität genießen, bieten sie möglicherweise längerfristige Vorteile
gegenüber den traditionellen Ansätzen:
Veränderung der Unternehmenskultur
Da Betriebsrisiken vor allem von betriebszugehörigen Personen verursachte
Risiken sind (bspw. wenn Personen definierten Prozessen nicht ausreichend
folgen, sie mitunter gar absichtlich sabotieren oder einfach falsche
Entscheidungen treffen), sollte eine Unternehmenskultur, die das Betriebsrisiko
minimiert, erhebliche Vorteile versprechen.4 Dieser Ansatz bietet jedoch (auch)
kein Maß für die notwendige bzw. geforderte Unterlegung mit Risikokapital.
4 Vgl. Howitt, J./Mainelli, M./Taylor Charles (2004).
5
Varianz der Transaktionskosten5
Diese Methode vergleicht das Betriebsrisiko aller Produkte, indem die
kompletten Kosten einer Transaktion ermittelt werden, was eine typischere
Verteilungskurve zum Risiko ergibt.6 Diese Methode baut auf der Methodik der
Prozesskostenrechnung auf und scheint in der Praxis gut zu funktionieren.
Dennoch wurde sie vergleichsweise selten angenommen. Es mag daran liegen,
dass die komplette Version eine umfangreiche und relativ teure
Unternehmensmodellierung verlangt. Möglicherweise haben die
Aufsichtsbehörden auch nur zu langsam erkannt, dass diese Methode
vergleichbare Metriken bietet, auch wenn sie aufgrund ihrer Komplexität (etwas)
schwieriger zu verstehen sind.
Als weitere Alternative bietet sich der Gebrauch von Key Risk Indicators (KRI) an,
der im Folgenden näher zu analysiert und beurteilt wird.
3 Was ist ein Key Risk Indicator (KRI)?
Das Basel Committee in Banking Supervision kennzeichnet Risikoindikatoren als
„statistische Werte und/oder Messungen, häufig finanzieller Art, die Einblick in die
Risikosituation einer Bank gewähren. Die Indikatoren sollten periodisch, monatlich
oder vierteljährlich, geprüft werden, um Banken vor Veränderungen zu warnen, die
möglicherweise Risiken darstellen. Diese Indikatoren beinhalten zum Beispiel die
Anzahl der missglückten Geschäftsabschlüsse, Mitarbeiterfluktuation und die
Häufigkeit und Bedeutung von Fehlern und Unterlassungen.“7
5 In diesem Zusammenhang handelt es sich um die Kosten pro Wertpapiertransaktion, im
Gegensatz zum Verständnis aus der Transaktionskostentheorie nach Coase/Williamson.
Vgl. hierzu z. B. Williamson, O. E./Winter, S. G./Coase, R. H. (1991). 6 Vgl. Mainelli, M. (2004a) 7 Basel Committee in Banking Supervision (2001), S. 8
6
Risiko-
indikatoren
prüfen
Umsetzungs-
indikatoren(Projekte,
Kontrollen etc.)
Zustands-
indikatoren
(gefundene
Fehler etc.)
OpRisk
Vorfälle/
Maßnahmen
Keine
Maßnahmen,
oder aber
ungeeignete
Aktivitäten
Auswahl von
Maßnahmen, die
die Ergebnisse
nicht
verbessern
Steuerung von
unwesentlichen
Risiko-Treibern
zu Lasten der
‚richtigen‘
Treiber
Fehlinforma-
tionen über das
wirkliche Risiko
-Ausmaß und
abzuleitende
Maßnahmen
die richtigen
Treiber
aufzeigen und
geeignete
Maßnahmen
anstoßen
Auswahl von
Maßnahmen, die
die Ergebnisse
verbessern
Aufmerksamkeit
auf die Treiber
lenken, die die
Schadenshöhe
der OpRisk-
Vorfälle treiben
Berechnung
und Ausweis
der Beträge für
OpRisk-Vorfälle
Hau
pte
ffek
teS
ch
ritt
ab
folg
eN
eb
en
eff
ekte
Abbildung 1: Identifikation von KRIs und deren positive Effekte
KRIs können umweltbedingt, betrieblich oder finanziell sein. Umweltbedingte
Indikatoren, die KRIs sein könnten, sind zum Beispiel das Handelsvolumen, die
Volatilität von wichtigen Gütern oder der Devisenmarkt. Betriebliche Indikatoren,
die KRIs sein könnten, wären das allgemeine Niveau der Geschäftsaktivität, die
Anzahl der Geschäftsabschlüsse, die Zahl der Änderungen, Mitarbeiterfluktuation,
Überstunden oder IT-bedingte Ausfallzeit. Indikatoren finanzieller Art, die als KRIs
benutzt werden könnten, sind die ‚Deal Volatilität’, aktivitätsabhängige
Kostenschwankungen oder der Wert von Nachbesserungen.
Viele Finanzdienstleister zeigen mittlerweile ein großes Interesse daran, ihre
internen Daten zu analysieren, um Verluste durch operationelle Risiken zu
prognostizieren. Hinzu kommt ein zunehmendes Interesse daran, diese Daten auf
ihre Aussagekraft hin zu testen. Die Untersuchung konkreter Verluste bzw. Vorfälle
soll zunächst zeigen, welches die richtigen Indikatoren gewesen wären. Genauer
gesagt, was treibt die operationellen Riskikokosten? Ich bezeichne diese Methode
als ‚Predictive key risk indicators to/from loss/incidents prediction’, kurz:
PKRILI.
Es lassen sich zahlreiche mögliche Risikoindikatoren (RIs) erkennen, die allerdings
nicht als Key Risk Indicators (KRIs) taugen, wenn sie nicht ein belegbares Potential
7
zur Einschätzung von Verlusten und Vorfällen aufweisen. Ein KRI muss zur
Vorhersage von Schadensfällen beitragen, um als solcher auch als aussagekräftig zu
gelten. Werden derartige Situationen nicht vorausgesagt, bleibt der RI eine
interessante, doch lediglich unbestätigte Hypothese. Praktische Erfahrung hilft, die
tatsächlichen Ursachen des Betriebsrisikos zu identifizieren, Aufmerksamkeit zu
fokussieren und Handlungen zu kontrollieren. Doch der PKRILI-Ansatz
unterstützt und validiert derartige professionelle Einschätzung zu den tatsächlichen
Ursachen von operationellen Risiken. Die Beurteilung von Experten zu ersetzen, ist
jedoch nicht die Idee dieser Methode. Vielmehr sollte sie Expertenmeinungen durch
eine nachvollziehbare Systematik in einem schnelllebigen Umfeld unterstützen.
4 Warum sind KRIs wichtig?
KRIs sind aus vier Gründen wichtig:
KRIs zeichnen die Betriebsrisiken nicht nur nach, sondern sie messen deren
Eintrittswahrscheinlichkeiten. Das macht sie zu einem geeigneten
Management Tool zur aktiven Steuerung von operationellen Risiken.
KRIs unterstützen die wirtschaftliche Seite der Kapitalhinterlegung, indem
sie Schätzungen zukünftiger Verluste durch operationelle Risiken liefern.
Damit helfen sie, die notwendige Kapitaldeckung des Betriebsrisikos
festzusetzen.
KRIs werden zunehmend von Ratingfirmen berücksichtigt, zum Beispiel
von Moody’s, Standard & Poors oder anderen Finanzanalysten.
KRIs werden zunehmend wichtig für Aufsichtsbehörden.8
Ohne Daten zu Verlusten und Vorfällen festzuhalten, lässt sich allerdings nichts
vorhersagen. Einwandfreie Datensammlung ist eine der wesentlichen
Voraussetzungen für eine ausreichende Kapitalunterlegung. Es existieren
verschiedene KRI-Initiativen in der Finanzdienstleistungsindustrie, sich zur Aufgabe
gemacht haben, beste Verfahrensweisen zur Sammlung, Aufbereitung und
Auswertung von Verlust- und Vorfallsinformationen zu entwickeln. Eine der
führenden Initiativen ist derzeit die KRI Bankenstudie der Risk Management
Association, KRIeX9, in der 50 Banken 1.809 KRIs definierten, obschon deren
mindestens einen Parameter des Schadensprofils oder der Vorfalls-Historie nachzeichnen, wie Häufigkeit, Durchschnitt, Schwierigkeit, wachsenden Verlust oder ‚near-miss rates’
dem Management nützliche Informationen bieten
Vergleichbarkeit als Menge, Betrag, Prozent oder Verhältnis quantifiziert sein
halbwegs präzise sein und die Quantität bestimmen
Werte haben, die über eine Zeitspanne vergleichbar sind
Wertketten übergreifend vergleichbar sein
berichtet werden in eindeutigen Kennzahlen und auch ohne Interpretation aussagekräftig sein
zu prüfen sein
organisationsübergreifend verwendet werden können, sofern dies möglich ist
Leichte Anwendung zeitnah verfügbar sein
möglichst (kosten-) effizient zu ermitteln sein
leicht zu verstehen und zu kommunizieren sein
Tabelle 1: Merkmale eines KRI nach der Risk Management Association
Eigentlich liegt die Wahl zwischen dem, was gegenwärtig informell bereits
gehandhabt und gelebt wird (kein vernünftig betriebener Geschäftsbereich
verzichtet, wenn auch implizit auf RIs) und dem, was zu verbessern wäre, indem
man diese durch Formalität, Statistik und Wissenschaft zu KRIs machte. Jeder KRI
benötigt Definition und Spezifizierung. Die Vorlage der Risk Management
Association zur Form der Spezifizierung liefert einen Vorgeschmack, was hierunter
zu verstehen ist:
Kriterium Informationsbestandteile
Definition KRI Nummer
KRI Name
Beschreibung
Ziele/Kommentare
Natur
Typ
Typography
Ratings
10
Spezifizierung Spezifikations Version
Konditionen
Wertart
Dimensionen
Beobachtungsgrenzen
Sammelkennzahlen
Definition der Schwellenwerte
Mess- und Erhebungsregeln
Abhängigkeiten zu anderen KRIS
Berechnungs-Methode
Benchmark Regeln
Aggregations-Methode
Skalierungs-Nenner
Skalierungs-Regeln
Leitung Nutzung
Erhebungsintervall
Berichtsintervall
Änderungshäufigkeit
Detailebene
Varianten
Steuerungs-Informationen
Fremde Einflüsse
Kontroll-Indikatoren
Datenquelle
Tabelle 2 Beschreibungskriterien eines KRI
Es ließe sich leicht hieraus annehmen, dass ein relativ stabiler KRI kein
‚Schlüsselkriterium’ sein kann. Zum Beispiel könnte sich ein KRI, wie etwa die
Anzahl der Gerichtsverfahren hervorgerufen durch einen bestimmten Prozess, über
längere Zeiträume eventuell sehr geringfügig ändern. Ehrlicherweise ist ein komplett
statischer KRI sicherlich kein Schlüsselkriterium. In diesem Fall wäre es besser
‚Gerichtsverfahren während einer bestimmten Zeit’, oder den ‚geschätzten
Abrechnungswert’ oder andere empfindsame Maße bzw. Kennziffern
heranzuziehen, als lediglich die langsam veränderliche Zahl der ‚unerledigten
Gerichtsverfahren’. Wesentlich ist, ob der KRI zur Vorhersagbarkeit des
Betriebsrisikos beiträgt, nicht zu dessen Veränderlichkeit.
5 PKRILI Elemente
KRIs und Key Performance Indicators (KPIs) überschneiden sich teilweise. Es wäre
simplifizierend, zu behaupten, KRIs wären vorausblickend und KPIs
zurückblickend. Überschneidungen sind deutlich erkennbar. An einem Tag können
11
beispielsweise ein hohes Geschäftsvolumen und eine hohe Volatilität einerseits
Hinweise auf eine sehr gute finanzielle Performance eines Handelsbereichs sein,
gleichzeitig aber auch entstehende operationelle Risiken desselben Zeitraums
anzeigen.
KRIs nehmen in bestimmten Bereichen ab und in anderen wiederum zu, d.h. sie
verlaufen in der Regel ‚nicht-linear’, was möglicherweise tendenziell eher
Verwirrung stiftet. Doch KRIs müssen nicht unbedingt linear sein. Die Anzahl an
geleisteten Überstunden kann beispielsweise ein KRI mit dem Verlauf einer
Glockenkurve sein. So können fehlende Überstunden ein gewisses Risiko andeuten,
moderate Überstunden ein geringeres und eine hohe Anzahl von Überstunden
wiederum ein erhöhtes Risiko anzeigen. In Zusammenhang mit einem KRI kann es
Entwicklungssprünge im Betriebsrisiko geben. So mag eine Hand voll offener
Orders am Ende eines Tages normal sein, doch das Risiko mag bei über einem
Dutzend erheblich steigen. KRIs sollten sich somit verändern, sowie sich das Risiko
ändert, sie müssen jedoch nicht linear schwanken.
Was ist mit all den Dingen, die für selbstverständlich gehalten werden? So scheinen
zum Beispiel Elektrizitäts- und Wasserversorgung wichtige Aspekte zu sein, wenn
KRIs für Orte in Entwicklungsländern untersucht werden, doch in PKRI Studien der
Industrieländer werden sie nicht berücksichtigt. In den Hauptfinanzzentren werden
viele Dinge vorausgesetzt wie zum Beispiel die Abwesenheit von
Naturkatastrophen, von Stürmen und Sturmfluten. Doch London pflegte ein
erhebliches Flutrisiko zu haben, und wird es möglicherweise wieder haben, da der
Themse-Damm das Ende seiner Einsetzdauer nahezu erreicht hat. Geologische
Aspekte wie die Erdbebensicherheit oder gesundheitliche Aspekte wie Malaria
spielen ebenfalls keine Rolle. Auch das Terrorismusrisiko wird kaum als
ausschlaggebend berücksichtigt. Genauso werden personelle Aspekte kaum