Interview mit Prof. Paul Embrechts, ETH Zürich

Operationelle Risiken sowie Reputationsrisiken spielen für die Finanz- und Realwirtschaft eine zunehmend bedeutende Rolle. Doch aus methodischer Sicht sind diese – oft einzelfallbezogenen und bisweilen existenzbedrohend hohen Verluste – nur schwer zu bändigen, ähnliches gilt für eine erfolgreiche Regulierung dieser Risikoklassen. Wir sprechen mit einem der Gründungsväter des quantitativen Risikomanagements – Prof. Paul Embrechts, Mitautor von "Modelling Extremal Events for Insurance and Finance" und "Quantitative Risk Management: Concepts, Techniques and Tools" – über neue Ansätze zur Modellierung, Schätzung und Quantifizierung von operationellen Verlusten und den Chancen und Grenzen quantitativer Modelle. In unserem Interview teilt Paul Embrechts interessante Anekdoten aus vielen Jahren seiner lebhaften Diskussion mit Banken, Versicherungen, Regulatoren und der wissenschaftlichen Gemeinschaft.

Zusammen  mit  Valérie  Chavez-Demoulin  und Marius Hofert haben Sie kürzlich einige wissenschaftliche Arbeiten zum Thema OpRisk veröffentlicht. Was waren die wichtigsten Erkenntnisse und praktischen Schlussfolgerungen?

Paul Embrechts: Innerhalb der regulatorischen Risiken, denen Finanzinstitute ausgesetzt sind (Markt-, Kredit- und operationelle Risiken), spielt das operationelle Risiko (OpRisk) aus rein wissenschaftlicher Sicht eine sehr interessante Rolle. Sowohl ihre Struktur (Ausrichtung der Matrix an Business Lines (BL) und Event Types (ET)) als auch ihre statistischen Eigenschaften erschweren die Analyse von OpRisk-Daten. In der von Ihnen erwähnten Arbeit entwickeln wir ein Tool auf Basis der Extreme Value Theory (EVT), das eine Untersuchung dieser Daten anhand der verschiedenen BLs, ETs und weiterer Co-Variablen wie beispielsweise der Zeit ermöglicht, sodass sich die Datenmatrix als ein einziger (dynamischer) Datensatz modellieren lässt. Wir verstehen diese Arbeit als "statistische Forschung auf Grundlage von OpRisk-Daten" und wollen nicht behaupten, "ein endgültiges Modell für die OpRisk-Praxis" vorlegen zu können. Weitere meiner Arbeiten sind ähnlich angehaucht; so habe ich zusammen mit Giovanni Puccetti (2008) quantil-(VaR)basierte Schätzungen für in Matrixform angeordnete Verlustdaten als Funktion der Reihenfolge betrachtet, in der marginale VaR-Maße aggregiert werden, beispielsweise Erste-Zeile-Schätzung gefolgt von VaR-Aggregation oder Erste-Spalte-Schätzung gefolgt von VaR-Aggregation. Diese Frage kam bei uns durch den Basler Ausschuss auf. Beide Arbeiten sind insofern von praktischer Relevanz, als sie deutlich aufzeigen, dass es fast unmöglich ist, Risikomaß-Schätzungen für OpRisk-Daten objektiv durchzuführen.

Ein Gutachter aus der Bankenbranche, der bei dem Paper, das ich mit Valérie und Marius herausgebracht habe, als Referee diente, war zunächst ganz aufgeregt, weil er dachte, wir hätten tatsächlich DIE Methode für die OpRisk-Praxis vorgelegt! Diese Person setzte alles daran, die neue statistische Methodik für die interne OpRisk-Datenbank der Bank umzuprogrammieren, um dann leider zu dem Schluss zu kommen, dass auch diese Methode nicht das "gewünschte" Ergebnis lieferte. Natürlich können wir nur schwer nachvollziehen, was im Einzelnen zu diesem Ergebnis geführt hat, da uns die dabei verwendeten Daten nicht zur Verfügung stehen. Höchstwahrscheinlich hängt es mit der ausgeprägten Komplexität und den extrem schweren Ränder der OpRisk-Daten zusammen; auf diesen Punkt werden wir im Laufe des Gesprächs bestimmt noch zurückkommen.

Was denken Sie über die Methodik, mit der die Eigenkapitalanforderung für OpRisk in der Solvency-II-Standardformel berechnet wird? Ergibt sie aus ökonomischer Perspektive Sinn?

Paul Embrechts: Das Solvency-II-Standardmodell für OpRisk basiert hauptsächlich auf größenspezifischen Merkmalen, insbesondere auf Prämien/Einnahmen und Rückstellungen. Die verschiedenen Gewichtungsfaktoren werden mithilfe aufeinander folgender quantitativer Auswirkungsstudien festgelegt und falls nötig aktualisiert. Dies erfolgt in enger Absprache mit der Branche. Im Großen und Ganzen ist dies ein löbliches Vorgehen, das auf die ersten Tage der Versicherungsaufsicht zurückgeht und sogar Eingang in die Basel-Standardansätze zur Bankenregulierung gefunden hat. Wie bei jedem Standardansatz kann man sich natürlich hinterfragen, ob die verwendeten Indikatoren – also Prämien und Rückstellungen – die ökonomische Realität, wie beispielsweise Wirtschaftszyklen oder die dynamische Entwicklung eines Unternehmens, ausreichend erfassen. Es ist kein Zufall, dass kürzlich beschlossen wurde, in der Basel-III-Standardformel für OpRisk den Schlüsselindikator "Bruttoeinnahmen" (engl. Gross Income) durch den so genannten Business Indicator (BI) zu ersetzen. Diese Entscheidung zielt zweifellos darauf ab, eine "größere Risikosensitivität" sowie eine "verbesserte ökonomische Realitätsnähe" zu erreichen. Bei der Versicherungsaufsicht ist mit ähnlichen Entwicklungen zu rechnen. Ursprünglich gab es beim Swiss Solvency Test (SST), der seit dem 1. Januar 2011 rechtsgültig in Kraft ist, keine (quantitative) Eigenkapitalanforderung für operationelle Risiken – bis heute nicht. Das OpRisk ist dem Swiss Quality Assessment (als Teil der zweiten Säule) zugeordnet. Interessanterweise scheint bei der Eidgenössischen Finanzmarktaufsicht FINMA neuerdings eine (quantitative) Eigenkapitalanforderung für OpRisk im Gespräch zu sein. Dies würde die beiden Regulierungsansätze (zumindest  im Hinblick auf das OpRisk) einander annähern.

Werden wir jemals in der Lage sein, hohe Quantile für OpRisk exakt abzuleiten? Oder sollte die mathematische Forschung bei diesem Thema zu höchster Vorsicht gemahnen und den Einfluss des Modellrisikos klären?

Paul Embrechts: Hier kann ich die erste Frage entschieden mit "Nein" und die zweite ebenso entschieden mit "Ja" beantworten. Hauptgrund für das "Nein" ist die Komplexität von OpRisk-Verlustdaten: große Ungleichheit zwischen den verschiedenen Verlustarten, schlecht erforschte Interdependenz, schwer er Einfluss ökonomischer und regulatorischer Faktoren auf die Zeitabhängigkeit und so weiter. Dies zeigt deutlich den entscheidenden Einfluss des Modellrisikos im Zusammenhang mit dem OpRisk auf (und begründet somit das "Ja" zur zweiten Fragen); dennoch möchte ich betonen, dass das Modellrisiko für das Risikomanagement im Ganzen äußerst wichtig ist. Was das OpRisk anbelangt, habe ich meine Bedenken hinsichtlich des Modellrisikos wiederholt geäußert, auch gegenüber Aufsichtsbehörden und wichtigen Branchenvertretern. Ich erinnere mich noch sehr gut daran, wie RiskLab im Jahr 2005 gebeten wurde, bei der Boston Federal Reserve Bank einen einwöchigen Kurs zur Extreme Value Theory (EVT) abzuhalten; damals galt die EVT als Deus ex Machina zu Berechnung der Eigenkapitalanforderung für OpRisk. Nachdem wir die verschiedenen erforderlichen Modellbedingungen für eine EVT-basierte Schätzung hoher Quantile erläutert hatten, wurde deutlich, dass das OpRisk angesichts der uns damals bekannten Dateneigenschaften den Rahmen der Standard-EVT bei Weitem überschritt. Der Leiter der OpRisk-Abteilung der Boston Fed sagte mir daraufhin unter vier Augen: "In dem Fall wäre es gut, diese Erkenntnis möglichst bald zu verbreiten." Wie Recht er hatte. Ich erinnere außerdem daran, dass mir ungefähr zur selben Zeit ein britischer Risikomanager sagte, die britischen Banken würden die Verwendung der EVT bei OpRisk vermeiden, weil ich in einem Vortrag geäußert hatte, ein EVT-basierter Ansatz würde keine zufriedenstellenden Ergebnisse hervorbringen. Dieser Standpunkt wurde indirekt noch unterstützt durch eine bedeutende Publikation von Marco Moscadelli (2004), einem Manager der Banca d'Italia, der die QIS-Daten des damaligen Basler Ausschusses mithilfe der EVT analysierte und mehrere so genannte Infinite-Mean-Modelle für die auf Geschäftsbereichsebene aggregierten Daten erhielt. Dies zeigte deutlich die statistischen Probleme auf, die sich im Zusammenhang mit OpRisk-Daten ergeben.

Daraus folgt in erster Linie, dass Aufsichtsbehörden und Risikomanager angesichts der extrem schweren Ränder der Daten mehr Skepsis an den Tag legen und die Solidität der ermittelten quantitativen Werte sowie die durchgeführten Analysen ernsthaft hinterfragen sollten. Zusammen mit Valérie Chavez-Demoulin und Johanna Nešlehová verfasste ich den ersten (man könnte sagen Antritts-) Artikel für das damals (2006) neue Journal of Operational Risk, genau zu diesem Thema. Ich möchte jedoch betonen, dass gerade die EVT uns Aufschluss darüber gibt, wo wir die Grenze zwischen quantitativ erreichbaren und unerreichbaren Zielen ziehen müssen. In diesem Zusammenhang lege ich allen, die sich für operationelle Risiken interessieren, ans Herz, sich mit ähnlichen Fragestellungen im Bereich der Umweltrisiken zu beschäftigen, wie sie im so genannten Dismal Theorem (Martin Weitzman, Harvard-Professor) zusammengefasst sind. Bei verschiedenen Gesprächen mit Fachleuten aus der Praxis habe ich diese mit der Behauptung konfrontiert, dass wir es in nicht wenigen Fällen mit einer invertierten Konstruktion zu tun haben, nach dem Motto: "Gib mir das Ergebnis, ich gebe dir das Modell (die Parameter), das zu diesem Ergebnis führt." Mir ist klar, dass ich hier etwas zynisch werde, aber die Komplexität der OpRisk-Daten verleitet mich zu solch kühnen Behauptungen. Allzu oft war ich Zeuge davon, wie die Feinabstimmung der Parameter nach einer anfänglichen statistischen Schätzung aufgrund eines gut gemeinten Modells zu einer lächerlich hohen Eigenkapitalanforderung geführt hat.

Beim Marktrisiko verbessert der Einbezug empirischer Daten die Prognose eindeutig. Aber was ist mit OpRisk, wo unsere Reaktion auf die Verluste (hoffentlich) die Verteilung künftiger Verluste verbessert? Erfordert das nicht einen anderen philosophischen Ansatz?

Paul Embrechts: Zunächst einmal finde ich es – unabhängig vom regulatorischen Ansatz – absolut wichtig, dass OpRisk-Daten erfasst, eingehend überwacht und innerhalb der jeweiligen Einrichtung korrekt kommuniziert werden. Es handelt sich dabei um ein Verfahren zur Qualitätskontrolle, das sich in der produzierenden Wirtschaft schon seit etlichen Jahren bewährt hat. Sie haben außerdem absolut recht damit, dass ein datenbasiertes Vorgehen sich hoffentlich positiv auf künftige OpRisk-Verluste auswirkt und naturgemäß standardmäßige statistische Annahmen infrage stellt, die einer verlässlichen Vorhersage zukünftiger Verluste zugrunde liegen. Definitionsgemäß wird OpRisk nicht gehandelt, es gibt also keine "implizite Volatilität" wie beim Marktrisiko, die die Stimmung "am Markt" und verborgene Informationen misst. Interessanterweise wird diese Stimmung zunehmend durch Google-Recherchen und das Zählen spezifischer Stichwörter erfasst, die für OpRisk relevant sein könnten.

Apropos Daten. Meiner Meinung nach wäre es für die wissenschaftliche Forschung zum Thema OpRisk extrem förderlich, wenn ihr ein Pool anonymisierter Daten zur Verfügung gestellt würde. Was halten Sie von einer solchen Initiative, und wie ließe sie sich realisieren?

Paul Embrechts: Diese Einschätzung ist korrekt und wurde von Akademikern von Anfang an vertreten. Bisher stehen uns nur wenige OpRisk-Datensätze zur Verfügung, an denen wir neue Methodiken testen oder auf deren Grundlagen wir uns entschließen könnten, "zu höchster Vorsicht zu mahnen", wie Sie es vorhin formuliert haben. Unsere statistische Analyse für das neue, in der ersten Frage besprochene Modell basiert auf den Daten ausgewählter Medien, die von der Firma Willis Professional Risks zusammengetragen wurden. Aufgrund der umfassenden Anonymisierung sind selbst branchenweit erfasste Daten für die Unternehmen, die an dem zugrunde liegenden Konsortium beteiligt sind, von nur begrenztem Wert. Außerdem dürfen wir nicht vergessen, dass die finalen Daten für Risikokapital-Kalkulationen nicht nur auf internen historischen und branchen- weiten Konsortium-Daten, sondern auch auf unternehmensinternen Experteneinschätzungen beruhen. Genau diese auf verschiedenen Quellen beruhende Datenstruktur schafft Raum für die Anwendung der Glaubwürdigkeitstheorie, die Versicherungsmathematikern gut bekannt ist. Ich persönlich mache mir keine großen Hoffnungen, dass der Wissenschaft in relativ naher Zukunft der Zugang zu hochwertigen OpRisk-Datensätzen erleichtert wird. Nehmen wir nur einmal die hochrelevante Klasse des Rechtsrisikos; der Rekordverlust in dieser Klasse liegt bei etwa 16,65 Milliarden US-Dollar (!), die das US-Justizministerium 2014 gegen die Bank of America verhängt hat. Solche Verluste entstehen häufig durch außergerichtlich vereinbarte Geldbußen. Wie soll man an die relevanten Informationen zu solch hohen Verlusten kommen, die für die betroffene Einrichtung eine Art Todsünde darstellen? Natürlich gibt es untergeordnete Klassen wie Hard- und Softwareverluste, für die weitaus detailliertere Daten und Methodiken (in diesem Fall Hardware- und Softwarezuverlässigkeit) verfügbar sind.

In der wissenschaftlichen Gemeinschaft wird derzeit eine interessante Diskussion über elizitierbare Risikomaße geführt. Sind diese jetzt der lachende Dritte im Streit VaR oder ES?

Paul Embrechts: Nein, keineswegs. Elizitierbarkeit (engl. elicitability) bezeichnet ein Konzept, das im Zusammenhang mit der Vorhersage und dem Rückvergleich (engl. backtesting) von Risikomaßen steht. Sie bietet eine solide Grundlage für den Vergleich zwischen verschiedenen statistischen Schätzfunktionen im Hinblick auf deren statistische Eigenschaften. Die gesamte Diskussion im Risikomanagement hinsichtlich der Elizitierbarkeit (die es als Konzept bereits seit vielen Jahren gibt) nahm massiv an Fahrt auf, nachdem ich am Imperial College in London einen Vortrag zur Frage "VaR oder ES" für das Handelsbuch gehalten hatte. Um es klar und deutlich zu sagen: Meiner Ansicht nach lassen sich sowohl VaR als auch ES in einer Weise rückvergleichen, die für das Risikomanagement in der Praxis ausreichend genau ist. Bitte bedenken Sie auch, dass der ES alleine zwar nicht elizitierbar ist, das Paar (VaR, ES) gemeinsam jedoch schon. Es lohnt sich definitiv, sorgfältiger über den Einsatz bestimmter Risikomaße nachzudenken. Bei der Entscheidung sollten verschiedene Kriterien berücksichtigt werden, wie etwa das praktische Verständnis und die einfache Kommunizierbarkeit, aber auch die statistische Schätzung. Elizitierbarkeit und Robustheit sind weitere relevante Kriterien. Letztendlich hängt die Entscheidung vor allem davon ab, was mit der Nutzung eines speziellen Risikomaßes erreicht werden soll. Gemeinsam mit Ruodu Wang und Haiyan Liu (Waterloo) habe ich gerade eine Abhandlung zur quantilbasierten Risikoteilung fertiggestellt, in der mehrere Ergebnisse vorgestellt werden, von denen ich persönlich denke, dass sie mindestens ebenso relevant für die Auseinandersetzung bezüglich ES oder VaR sind. Selbstverständlich ist dieses "mindestens" zu einem Großteil auch meinen persönlichen Vorlieben  geschuldet.

Sollten Unternehmen dem operationellen Risiko einen höheren Stellenwert beimessen, um Wettbewerbsvorteile zu entwickeln? Sollten sie den Schwerpunkt auf die Entwicklung von Modellen zur Quantifizierung des operationellen Risikos legen, oder sollten sie eher versuchen, die Betriebsabläufe besser zu verstehen und Fehler auszumerzen?

Paul Embrechts: Wenn wir eines aus der Qualitätskontrolle im verarbeitenden Gewerbe gelernt haben, dann, dass das eine, also das Ausräumen von Fehlern, ohne das andere, sprich die Entwicklung von Modellen zur Quantifizierung von Risiken, nicht gut gelingen kann. Die Daten und (internen) Modelle sind dafür da, Schwachstellen einer Einrichtung besser erkennbar zu machen. Sicherlich ist ein tiefgreifendes Verständnis des Betriebs auf verschiedenen Ebenen des Unternehmens als Best Practice unabdingbar. Dieser Standpunkt ist auch eine der Triebkräfte hinter der zweiten Säule der ORSA- (Own Risk and Solvency Assessment) Komponente von Solvency II. In der Folge führt eine stärkere Beachtung des operationellen Risikos zweifellos zu einem Wettbewerbsvorteil.

Handelt es sich beim Reputationsrisiko um ein Nebenprodukt des operationellen Risikos? Wie sollten Unternehmen mit der Herausforderung umgehen, dieses mit negativen Auswirkungen auf das Kundenverhalten im Zusammenhang stehende Risiko zu quantifizieren?

Paul Embrechts: Interessanterweise ist das Reputationsrisiko nicht Teil der präzisen Definition des operationellen Risikos gemäß Basel II (und damit auch Basel III) oder Solvency II. Es ist vor allem eine Frage der Corporate Governance. Gleichzeitig droht einer Einrichtung – wie die wissenschaftliche Forschung belegt – als Folge größerer Verluste aufgrund operationeller Risiken ein erheblicher Reputationsverlust. Im Fall des rechtlichen Risikos ist dies offensichtlich. Darüber hinaus wirken sich erhebliche OpRisk Verluste (besonders unter dem Aspekt der rechtlichen Risiken) üblicherweise direkt auf den Aktienkurs des Unternehmens aus. Denken Sie beispielsweise nur einmal an den aktuellen Fall VW. Die Quantifizierung des Reputationsrisikos empfinde ich als schwierige, nahezu unmögliche Aufgabe. Viel wichtiger ist es, dieses Risiko qualitativ zu verstehen. Eine Sache, die ich – als Vorstandsmitglied in der Banken- und Versicherungsbranche – schon früh über Reputationsrisiken gelernt habe, ist: "Wenn du eine Handlung erwägst, von der du nicht willst, dass sie morgen in der Zeitung steht, dann verzichte lieber darauf!"

Ist das Regulierungsrisiko ein weiteres – schnell zunehmendes – Nebenprodukt des operationellen Risikos?

Paul Embrechts: Hier würde ich die Grenze ziehen, andernfalls rutschen wir auf die Definition zurück, die ganz zu Beginn der Diskussion um Basel II auf dem Tisch lag, nämlich, dass das operationelle Risiko alles einschließt, bei dem es sich nicht um Markt- und Kreditrisiken handelt. Es ist nicht so einfach, eine praktikable Definition für das Regulationsrisiko zu finden. Natürlich besteht eine offensichtliche gegenseitige Wechselwirkung zwischen Regulierung und Solvenz, und zwar quasi per definitionem. Wenn Sie unter Regulierungsrisiko die Möglichkeit verstehen, dass ein überregulierter Markt bei ansonsten gesunden Unternehmen zu Solvenzproblemen führt, oder umgekehrt, dass ein ungehemmter Volumenzuwachs bei bestimmten Produkten oder eine starke Zunahme der Komplexität von Finanzinstituten der Gesellschaft insgesamt schadet, stelle ich fest, dass weltweit politische Debatten mit dem Ziel geführt werden, solche Entwicklungen per Gesetz zu verhindern. Allerdings kann eine Überregulierung auch das Wachstum von Schattenbanken und Schattenversicherungen zur Folge haben. Erstere kennen wir alle, bei den Letztgenannten ist dies trotz ihrer Bedeutung leider weniger der Fall. Lassen Sie mich kurz die Tatsache erwähnen, dass der im Jahr 1933 verabschiedete Glass-Steagall Act 37 Seiten umfasste, der Dodd-Frank Act aus dem Jahr 2010 dagegen ursprünglich 848 Seiten, plus tausende Seiten rechtlicher Ausführungen. Andererseits hat eine fehlerhafte Regulierung häufig massive Versuche zur Regulierungsarbitrage zur Folge. In einem stark beachteten Dokument mit dem Titel "An academic response to Basel II" habe ich 2010 gemeinsam mit Kollegen der London School of Economics insbesondere auf schwere Mängel in den damals neuen regulatorischen Vorgaben vor allem zum Kredit- und operationellen Risiko hingewiesen. In diesem Dokument, das dem Basler Ausschuss offiziell vorgelegt wurde, forderten wir diesen (im Jahr 2001!) explizit auf: "Überdenken Sie diese Regeln, bevor es zu spät ist!" Damals geschah so gut wie nichts, und 2007 war es dann tatsächlich zu spät.

Ich wünschte, ein größerer Teil meiner Forscherkollegen auf der ganzen Welt würde mehr Zeit in diese Art der interdisziplinären Forschung investieren. Leider schaffen es Ergebnisse aus solchen Bereichen nur selten in die "Top"-Fachzeitschriften. Dies betrifft verschiedene Aspekte der derzeitigen, von Rankings besessenen Welt der Wissenschaft, die weit über das (quantitative) Risikomanagement hinausgehen. Da das Thema dieses Interviews das operationelle Risiko ist, möchte ich als Beispiel noch einmal meine gemeinsame Arbeit mit Giovanni Puccetti anführen, die ich bereits in Antwort auf Frage 1 erwähnt habe. Wie gesagt, wurde die Fragestellung durch die Aufsichtsbehörden an uns herangetragen. Wir präsentierten eine Teillösung und reichten die Arbeit bei einer wissenschaftlichen Fachzeitschrift zur Wahrscheinlichkeitsrechnung ein, da wir diese Art von Problemen einem breiteren wissenschaftlichen Publikum bekannt machen wollten. Nach mehreren Begutachtungsrunden (zwei Gutachten unterstützten die Veröffentlichung und lobten die praktische Relevanz, drei lehnten die Veröffentlichung ab und kritisierten vor allem die fehlende mathematische Tiefe) wurde der Fachartikel abgelehnt, und uns wurde empfohlen, es bei einer anwendungsbezogeneren (Risikomanagement-) Fachzeitschrift zu versuchen. Interessanterweise äußerte einer der beiden Referees, die die Veröffentlichung unterstützt hatten, dass die Fachzeitschrift, bei der wir das Papier als erstes eingereicht hatten, anfangs genau diese Art von Artikeln im Sinn hatte. Letztendlich reichten wir den Artikel wie empfohlen bei einer anwendungsbezogeneren (Risikomanagement-) Fachzeitschrift ein, dem Journal of Operational Risk, wo er innerhalb weniger Wochen zur Veröffentlichung angenommen wurde. Ich könnte noch weitere, ähnliche Beispiele nennen.

Mehr als 90 Prozent der weltweiten Daten wurden in den letzten beiden Jahren erzeugt, und Big Data werden bereits in vielen Bereichen eingesetzt. Denken Sie, dass Big Data das Potenzial haben, die Welt des Risikomanagements zu revolutionieren? Können Big Data die Vorhersagekraft oder die Effektivität von Risikomodellen verbessern? Ermöglichen sie genauere Risikoerkenntnisse, oder handelt es sich nur um einen weiteren großen Hype?

Paul Embrechts: Zunächst einmal bedeuten größere Mengen an Daten nicht zwangsweise mehr Informationen. Außerdem spreche ich lieber von Datenwissenschaft als von Big Data. In bestimmten Bereichen des Risikomanagements haben Big Data zweifellos großes Potenzial, beispielsweise im Hinblick auf Kreditkartenbetrug oder Kreditwürdigkeitsprüfungen, wo maschinelle Lernverfahren bereits jetzt äußerst erfolgreich eingesetzt werden. In diesem Sinne würde ich persönlich nicht von einem großen Hype sprechen. Lassen Sie mich aber etwas zu den aktuellen, IT-gestützten Entwicklungen im Hinblick auf das operationelle Risiko sagen. Es ist gar keine Frage, dass die IT-gestützte Datenrevolution sich in erheblichem Maße auf die Gesellschaft im Allgemeinen und das operationelle Risiko bei Versicherungen und Banken im Speziellen auswirken wird. Was mich beunruhigt, ist die Tatsache, dass im Zuge dieser IT-Revolution die Cyberkriminalität sehr schnell ins Zentrum des operationellen Risikos rückt. Hierzu möchte ich gerne eine weitere Anekdote erzählen: Bei einer meiner frühen Konferenzen zum Thema operationelles Risiko im Jahr 2004 wurde die IT nur am Rande als erheblicher Verlustfaktor erwähnt. Ich erinnere mich, bei der Konferenz die Frage gestellt zu haben, ob dies gerechtfertigt sei, da mir damals absolut bewusst war, welche Verluste Banken und Versicherungen aufgrund fehlgeleiteter IT-Investitionen erlitten.

Ich hoffe, dass mittlerweile niemand mehr die enormen Paradigmenwechsel anzweifelt, die im Cyberspace stattfinden. Das Verlustpotenzial hinsichtlich des operationellen Risikos wird erheblich sein. Beispielsweise stellen wir bereits jetzt einen starken Anstieg bei den Peer-to-Peer- (P2P) Krediten und bei dem fest, was ich gerne als "Facebook-Banking und -Versicherung" bezeichne. Dies sind typische "Schatten"-Entwicklungen. Wenn wir zu diesen Entwicklungen Bestrebungen wie Hochfrequenzhandel und Distributed-Ledger-Transaktionen auf Grundlage der Blockchain-Technologie (auf der Kryptowährungen wie Bitcoin basieren) hinzunehmen, bin ich davon überzeugt, dass wir uns an einem wichtigen Scheideweg befinden. An diesem Punkt ist es meiner Ansicht nach entscheidend, dem operationellen Risiko die ihm gebührende Aufmerksamkeit zukommen zu lassen.

Welche (von anderen Forschern veröffentlichten) aktuellen Erkenntnisse zum operationellen Risiko würden Sie als Lektüre empfehlen? Welchen historischen OpRisk-Ansatz sollte jeder kennen?

Paul Embrechts: In den letzten Jahren wurden umfassende Lehrbücher zu diesem Thema geschrieben, bei denen ich hier das folgende, voluminöse Werk herausgreifen möchte: "Fundamental Aspects of Operational Risk and Insurance Analytics: A Handbook of Operational Risk", erschienen 2015 bei Wiley, verfasst von M.G. Cruz, G.W. Peters und P.V. Shevchenko". Die Autoren verbinden wissenschaftliche Exzellenz mit praktischer Relevanz, ein Muss in diesem Bereich. Häufig empfehle ich auch zwei ältere Veröffentlichungen: erstens die bereits erwähnte statistische Analyse von Marco Moscadelli "The modelling of operational risk: experience with the analysis of the data, collected by the Basel Committee. Banca d’Italia, Discussion Paper No 517, Juli 2014" und zweitens, als Beispiel dafür, wie eine Großbank (in diesem Fall die Deutsche Bank) bei der Entwicklung eines internen Modells zum operationellen Risiko vorgeht, "F. Aue und M. Kalkbrener (2006). LDA at work: Deutsche Bank’s approach to quantifying operational risk. J. Operational Risk, 1(4): 49-93." Zum Abschluss möchte ich noch einen weiteren historischen Verweis anführen, allerdings mit erheblichem Gegenwartsbezug. In mehreren aktuellen Veröffentlichungen zum quantitativen Risikomanagement im Allgemeinen und zu den Bereichen Stresstests und OpRisk im Besonderen spielen hierarchische Bayes'sche Netze (Bayesian Hierarchical Networks, BHN) eine immer wichtigere Rolle, meiner Ansicht nach zurecht. Ich kann mich noch gut daran erinnern, wie ich um 1999 das Büro von Alexander McNeil betrat, der damals Post Doc im RiskLab der ETH war, und dort ein BHN für OpRisk auf seiner Tafel erblickte … wie so oft wiederholt sich die Geschichte!

[Das Interview führten Prof. Dr. Matthias Scherer/TU München sowie Frank Romeike/Chefredakteur RISIKO MANAGER, Chefredakteur und geschäftsführender Gesellschafter RiskNET und Vorstandsmitglied FIRM]