Risiko-Management für das Rating

18.05.2005
Von Wolfgang Rempe
Welche Anforderungen die IT erfüllen muss, um im Hinblick auf Basel II zu punkten.

Ob ein Unternehmen seiner Bank ein externes Rating vorzulegen hat, oder ob es ein internes Rating über sich ergehen lassen muss - auf jeden Fall wird es seine Einstufung deutlich verbessern können, wenn es ein umfassendes Risiko-Management-System vorweisen kann. Denn das Rating hat eine ganzheitliche Bewertung der Firma zum Ziel. Und das Risiko-Management-System bietet Informationen, die weit über die betriebswirtschaftlichen Kennzahlen hinausgehen: Sie beschreiben die Zukunftsfähigkeit des Unternehmens und seines Geschäftsmodells.

Bislang hatten Banken und Rating-Agenturen keinen Zugang zu derartigen Informationen. Nun hat die TÜV Rheinland Group gemeinsam mit Hermes Euler Rating die "Rating Alliance" gegründet, die gebündeltes Know-how anbietet. Wie sich bei den von der Alliance untersuchten Unternehmen herausstellte, weisen vorhandene Risiko-Management-Systeme häufig Mängel auf. In den meisten Fällen fehlte den Unternehmen schlicht und einfach eine verbindliche Vorgabe, wie ein solches System zu gestalten sei.

Es galt also, Kriterien zu definieren, die ein Risiko-Management-System im Rahmen eines Basel-II-Ratings erfüllen sollte. Diese Aufgabe übernahm das auf Risiko-Management spezialisierte Beratungshaus IFS AG mit Sitz in Köln. Seine aus vielen erfolgreichen Implementierungsprojekten gewonnenen Erfahrungen lassen sich unmittelbar in die Anforderungen an eine Standardsoftware übertragen.

Ein Risiko-Management-System hat die Aufgabe, Unternehmensrisiken frühzeitig zu erkennen, die Wirksamkeit von Gegenmaßnahmen zu überwachen und - falls es sich um bestandsgefährdende Risiken handelt - die Aufsichtsgremien zu unterrichten. Dabei darf die Bedeutung der Risikokommunikation nicht unterschätzt werden: Für die Finanzierungsentscheidung einer Bank oder eines Investors ist letztendlich das Wissen über die Risiken eines Unternehmens entscheidend. Also hat das System sicherzustellen, dass die Risiken nicht nur rechtzeitig erkannt, sondern auch über die interne und externe Berichterstattung kommuniziert werden.

Wenn ein Risiko-Management-System diese Aufgaben erfüllen soll, muss es sechs Prozesse unterstützen und in Form einer Standardsoftware implementiert haben:

Risikostrategie:

Innerhalb einer Softwarelösung findet sich die Risikostrategie als Definition von Risikoklassen, Risikokatalogen, beteiligten Organisationseinheiten, Bewertungskriterien und Verantwortlichkeiten wieder. Parametrisiert werden diese Elemente in der Regel durch das zentrale Risiko-Controlling. Für den erfolgreichen Einsatz einer Standardlösung ist unbedingt sicherzustellen, dass die Unternehmensstrukturen im System adäquat abgebildet werden können.

Risikoidentifizierung:

Sie erfolgt im Rahmen einer unternehmensweiten "Risikoinventur", die monatlich, quartalsweise oder jährlich stattfinden sollte. Hier hat die Unterstützung durch eine Softwarelösung besondere Bedeutung, denn sie ermöglicht es, alle Führungskräfte an dem Prozess zu beteiligen. Unbedingt erforderlich ist eine Historisierung der Daten, mit der sich auch die zeitliche Entwicklung von Risiken darstellen lässt. Für einen unternehmensweiten Rollout der Software empfehlen sich Web-basierende Lösungen, damit die beteiligten Mitarbeiter ohne zusätzlichen Installationsaufwand eingebunden werden können. Aus Akzeptanzgründen sind eine einfache Benutzeroberfläche und Anwendungslogik wichtig.

Risikobewertung:

In die Risikobewertung können auch Verlustdaten und Risikoindikatoren einfließen. Erstere erfordern einen eigenen Prozess. Sie werden nach dem Eintreten eines Verlustereignisses unternehmensweit erfasst und dienen als historische Daten für die Risikobewertung. Bei der Verwendung von Risikoindikatoren muss das System die automatische Datenversorgung aus Vorsystemen ermöglichen. Dazu sind entsprechende Schnittstellen und eine Zeitsteuerung notwendig.

Risikoaggregation:

Dieser Prozess zielt darauf ab, die Risikotragfähigkeit eines Unternehmens zu bewerten. Er wird vom zentralen Risiko-Controlling bewerkstelligt. Eine Standardsoftware sollte hier die Möglichkeit bieten, den Value at Risk (VaR) eines Risikoportfolios zu berechen, beispielsweise mit Hilfe einer "Monte-Carlo-Simulation". Zudem sind Korrelationen zwischen den Einzelrisiken zu berücksichtigen. Nicht fehlen darf eine individuelle Zusammenstellung des Risikoportfolios als Basis für die Aggregation. Anspruchsvolle Anwender werden gegebenenfalls eine Möglichkeit zum Customizing der verwendeten Algorithmen, zum Beispiel durch eine Skript-Sprache, verlangen.

Risikoanalyse:

Für die Risikoanalyse sollte das System über ein leistungsfähiges Reporting verfügen. Die Mindestanforderung besteht in einer tabellarischen und grafischen Portfolio-Darstellung der Einzelrisiken und ihrer zeitlichen Entwicklung. Wünschenswert ist die Möglichkeit, individuelle Reports zu erstellen. Alternativ sollten die Anwender die Daten des Risiko-Management-Systems exportieren oder über eine Schnittstelle darauf zugreifen können, um sie in das Unternehmens-Reporting einzubinden. In der Praxis sind diese Daten häufig mit anderen - beispielsweise aus der Planung - zu konsolidieren.

Risikosteuerung:

Sie basiert auf Steuerungsmaßnahmen, die im Risiko-Management-System bezüglich ihres Umsetzungsstatus und ihrer Wirksamkeit dokumentiert werden müssen. Auch Versicherungen können als Steuerungsmaßnahmen dienen - unter Berücksichtigung von Selbstbehalt, Deckung und Versicherungsquote.

Was die technischen Anforderungen angeht, so spielt ein leistungsfähiges Berechtigungssystem eine besonders wichtige Rolle. Außerdem sollte jede Veränderung der Daten durch das System geloggt werden. Für Unternehmen mit komplexen Strukturen und Risiken bietet sich auch eine Workflow-Unterstützung an.

Da die Daten sehr sensibel sind, ist - vor allem beim Einsatz einer Browser-Lösung - auf eine wirksame Verschlüsselung zu achten. In Konzernen ebenfalls wichtig: das Thema Mandantenfähigkeit. Bei der Konsolidierung von Risiken auf Konzernebene sind die Risiken gegebenenfalls so zu anonymisieren, dass personen- oder kundenbezogene Informationen nicht weitergereicht werden können.

Last, but not least sind einige Schnittstellen notwendig: beispielsweise zum Export von Daten für das Unternehmens-Reporting sowie zur Anbindung von Vorsystemen für die Datenversorgung der Risikoindikatoren. Unter Umständen ist es auch notwendig, Mails aus dem System automatisch versenden zu können, um etwa Fristen zu überwachen oder Nachrichten bei Limit-Überschreitungen abzusetzen.

Denkbar ist sogar eine Zertifizierung der Systeme

Die TÜV Rheinland Group hat einen "Quick Check" für das unternehmensweite Risiko-Management-System entwickelt. Mit seiner Hilfe können die TÜV-Mitarbeiter feststellen, ob die Ausgestaltung des Systems den Standardanforderungen entspricht, ob es in allen relevanten Bereichen Anwendung findet und ob die getroffenen Maßnahmen zur Risikoprävention nachvollziehbar sind.

Zudem ist geplant, eine Referenzdatenbank mit den branchentypischen Risiken aufzubauen, um die Risiko-Management-Systeme auch hinsichtlich ihrer fachlichen Qualität objektiv beurteilen zu können. Am Ende einer solchen Untersuchung könnte möglicherweise sogar die Zertifizierung des Risiko-Management-Systems stehen. (qua)