Interview mit Dr. Ralf Hannemann, Direktor und Bereichsleiter Bankenaufsicht im Bundesverband Öffentlicher Banken Deutschlands, VÖB, über regulatorische Anforderungen im Risikomanagement, den Einfluss von Digitalisierung auf die Risikomodellierung und -analyse sowie unternehmenskulturelle Aspekte im modernen Risk Management.
Herr Dr. Hannemann, der Reifegrad des Risikomanagements in Banken hat sich in den vergangenen Jahren nicht zuletzt durch die Regulatorik stark erhöht. So fließen etwa die Erkenntnisse aus internen Modellen auch in die interne Unternehmenssteuerung ein. Würde eine regulatorische Kehrtwende – hin zu Standardmodellen, wie seitens der Aufsicht geplant – den Reifegrad des Risikomanagements tendenziell reduzieren?
Ralf Hannemann: Diese Frage ist schwer zu beantworten, weil sie sich meines Erachtens nicht auf die regulatorischen Vorgaben reduzieren lässt. Natürlich sind die Institute aus eigenem Interesse bemüht, ihre Prozesse und Methoden im Risikomanagement ständig zu verbessern, um ihre Risiken so gut wie möglich steuern und überwachen zu können. Allerdings erfordern die ausgefeilten Modelle entsprechende personelle Ressourcen und sind tendenziell auch teuer. Diese Kosten müssen unter Rentabilitätsgesichtspunkten abgewogen werden und wären leichter zu verschmerzen, wenn die Modelle sowohl für die interne Steuerung als auch für die regulatorischen Zwecke sinnvoll genutzt werden könnten. Insofern trägt die "regulatorische Kehrtwende" zumindest nicht positiv zur Verbesserung des bankinternen Risikomanagements bei.
Wie bewerten Sie diese regulatorische Kehrtwende, die Standardmodelle für Kreditrisiken, Marktrisiken und operationelle Risiken favorisiert und damit der Risikosensitivität der "Basel-II-Welt" den Rücken kehrt?
Ralf Hannemann: Ich finde es bedauerlich, dass die Aufsichtsbehörden einerseits strenge Voraussetzungen für die Verwendung interner Modelle formulieren und diese Modelle letztlich auch abnehmen, während sie ihnen andererseits trotzdem nicht zu trauen scheinen. Allein durch die konservativen Vorgaben an die einfließenden Daten und Parameter werden die Bewegungsspielräume der Institute schon erheblich eingeschränkt. Zudem müssen von den Instituten weitere Kenngrößen berücksichtigt werden, die bereits als "Backstop" für die risikosensitiven Verfahren dienen, wie beispielsweise die Leverage Ratio. Es wäre wünschenswert, dass die Aufsichtsbehörden ihren eigenen Überprüfungen der internen Modelle etwas mehr vertrauen.
Welche Rolle spielen nationale Verwaltungsanweisungen der BaFin, etwa die MaRisk oder die BAIT, in einer immer stärker europäischen Regulierungswelt? Als Beispiel seien hier die Regelungen in AT 9 der MaRisk BA erwähnt und die EBA-Guidelines "on outsourcing arrangements" (EBA/GL/2019/02), die alles andere als inhaltlich kompatibel sind.
Ralf Hannemann: Aus meiner Sicht kann man die Rundschreiben der BaFin nicht mit den Leitlinien der EBA vergleichen. Das lässt sich am Beispiel der MaRisk gut verdeutlichen. In den MaRisk sind viele übergreifende Prinzipien formuliert, für deren Ausgestaltung diverse Spielräume bestehen. Die Leitlinien der EBA sind hingegen in der Regel äußerst detailliert. In vielen Fällen können sie daher als Konkretisierung beziehungsweise Orientierungshilfe für die Umsetzung der Rundschreiben der BaFin herangezogen werden. Gerade für die vielen kleinen Institute ist es allemal leichter, sich an den MaRisk zu orientieren, als hunderte Seiten der verschiedenen EBA-Leitlinien durchzuarbeiten. Problematisch wäre diese Situation eigentlich nur, wenn diese Regelwerke stark voneinander abweichen würden. Das ist meines Erachtens aber nicht der Fall, zumal die MaRisk in weiten Teilen auf Vorgaben der EBA zurückgehen. Werden die Leitlinien der EBA weiterentwickelt, wie im Falle der Regelungen zu Auslagerungen, so schließt sich daran auch eine Überarbeitung der MaRisk an. Insgesamt werden sich die nationalen Vorschriften daher zukünftig noch stärker an den europäischen Regelungen orientieren.
Welche Rolle spielt heute bereits Künstliche Intelligenz (KI) für die Risikomodellierung und -analyse?
Ralf Hannemann: Im Risikomanagement geht es zunächst um eine funktionierende Datenverarbeitung. Das betrifft sowohl die Qualität der Daten als auch deren Quantität. Die Qualität kann beispielsweise unter einer fehlerhaften Datenerfassung leiden. Die Quantität ist deshalb wichtig, weil bestimmte Methoden eine hinreichend große Grundgesamtheit erfordern, um daraus überhaupt aussagekräftige Ergebnisse ableiten zu können. Sind nicht genügend Daten vorhanden, können sich die Institute u.a. durch Expertenschätzungen behelfen, die auch in den Veröffentlichungen der Aufsichtsbehörden zunehmend wieder eine wichtige Rolle spielen. Liegen hingegen genügend Daten vor, müssen diese möglichst zeitnah nach allen möglichen Vorgaben ausgewertet werden. Insbesondere in diesem Bereich kann KI wertvolle Unterstützung leisten. Die Institute nutzen KI bereits in verschiedenen Bereichen, wobei die Einsatzmöglichkeiten nicht auf einzelne Risikoarten beschränkt sind.
Welche Entwicklungen sehen Sie in den nächsten Jahren auf der methodischen Seite vor dem Hintergrund der aktuellen technologischen Entwicklungen (Big Data, Machine Learning, Artificial Intelligence etc.) auf das Risikocontrolling/-management von Banken und Finanzdienstleistern zukommen?
Ralf Hannemann: In erster Linie wird es darum gehen, dass die Institute mit den technologischen Entwicklungen Schritt halten. Das betrifft nicht nur die Zusammenarbeit mit den zahlreichen hochspezialisierten Anbietern von speziellen Dienstleistungen in diesem Bereich, um die eigenen Wertschöpfungsketten weiter zu optimieren. Genauso geht es darum, die komplexer werdenden Prozesse dann auch noch inhaltlich zu durchdringen.
Erste Erkenntnisse von Finanzdienstleistern, die KI nutzen, zeigen zusammengefasst die folgenden Ergebnisse: Die Modelle zeigen eine hohe Prognosegüte, allerdings sind die Modelle nur schwer oder gar nicht – zumindest nicht mit traditionellen Verfahren – zu validieren. Darüber hinaus neigen sie zu Overfitting. Glauben Sie vor diesem Hintergrund, dass die neuen Methoden traditionelle Risikomodelle (Value-at-Risk/Expected Shortfall, Ratingverfahren etc.) ersetzen werden?
Ralf Hannemann: Das ist schwer zu sagen. Eine Bank wird sich nicht auf Modelle einlassen, die sie nicht versteht. Diesbezüglich haben die Institute in der Vergangenheit negative Erfahrungen gesammelt und daraus gelernt. Am Anfang neuer Entwicklungen ist es allerdings immer schwierig, deren Wert richtig einzuschätzen, weil der Praxistest noch aussteht. Insofern müssen solche Schwierigkeiten schlicht überwunden werden. Es ist auch nicht zwangsläufig so, dass die neuen Methoden alle traditionellen Modelle ersetzen. Ebenso denkbar ist eine punktuelle Ergänzung in bestimmten Bereichen, die wiederum zur Verbesserung der traditionellen Modelle beitragen könnte.
Werden Risikomodelle basierend auf diesen neuen Technologien überhaupt von der Aufsicht akzeptiert werden? Oder kommt es zu einem weitgehenden Auseinanderdriften von internem Risikomanagement und der Erfüllung von aufsichtsrechtlichen Anforderungen?
Ralf Hannemann: Die Anerkennung von Risikomodellen für regulatorische Zwecke setzt eine aufsichtliche Zulassung voraus. Da die Aufsicht hinsichtlich der technologischen Entwicklung vor denselben Herausforderungen steht wie die Institute, würde ich davon ausgehen, dass die Zulassung interner Modelle, die auf neuen Technologien beruhen, in Zukunft verstärkt auf der aufsichtlichen Agenda steht. Weder die Institute noch die Aufsicht haben ein Interesse daran, durch ein weiteres Auseinanderdriften der zugrundeliegenden Methoden unterschiedliche Steuerungsimpulse zu generieren. Die strengen Vorschriften an den ICAAP sollen ja gerade dafür sorgen, dass die internen Verfahren im Rahmen des SREP eine stärkere Rolle spielen als bisher. Deshalb würde ich sagen, die Hoffnung stirbt zuletzt.
Sind Banken kulturell und strategisch auf diese technologischen Veränderungen vorbereitet?
Ralf Hannemann: Die Banken sind gezwungen, sich auf diese Entwicklungen sehr schnell einzustellen, wenn sie dauerhaft am Markt bestehen wollen. Das bedeutet natürlich nicht, dass jeder neue Trend sofort mitgemacht werden muss. Es kommt aber darauf an, sehr schnell zu reagieren, wenn die technologische Entwicklung beispielsweise zur Optimierung der Wertschöpfungsketten beitragen kann. Werden diese Chancen genutzt, bleiben die Banken auch wettbewerbsfähig.
Sprechen wir von Datenanalyse, so müssen wir auch das Thema Datenschutz anschneiden. Wie können Finanzunternehmen den Spagat zwischen dem Herausfiltern wertvoller Informationen für sich und den datenschutzrechtlichen Anforderungen der Kunden hinbekommen?
Ralf Hannemann: Das Thema Datenschutz ist kein neues Phänomen und musste auch in der Vergangenheit berücksichtigt werden. Daten werden von den Instituten ja schon immer analysiert. Das muss auch nach wie vor möglich sein, weil etwa im Kreditgeschäft die Kapitaldienstfähigkeit eine maßgebliche Einflussgröße im Kreditvergabeprozess ist. Von einem Vermieter kann ja auch niemand verlangen, einen Mieter zu akzeptieren, von dem er überhaupt nicht einschätzen kann, ob er über die finanziellen Mittel zur Erfüllung des Mietvertrages verfügt. Das Aufstellen der dafür angemessenen Regeln ist vorrangig eine Angelegenheit des Gesetzgebers, darf aber natürlich nicht vernachlässigt werden.
Schauen wir noch nach vorne: Welche digitalen Entwicklungen erwarten Sie in den kommenden Jahren im Finanzumfeld?
Ralf Hannemann: Wir sehen ja bereits, dass es viele interessante Innovationen im Finanzumfeld gibt, die von den Instituten zum Teil auch bereits genutzt werden. Für einen genauen Blick nach vorne fehlt mir allerdings die berühmte Glaskugel. Wichtig ist vor allem, dass die Entwicklungen der nahen Zukunft mit Augenmaß begleitet werden und dabei nicht nur die möglichen Vorteile betrachtet werden. Letztlich geht es für die Institute darum, sinnvolle Entwicklungen nicht zu verschlafen, aber auch die Kontrolle über ihr Handeln zu behalten. Wenn mit neuen Innovationen "Black-Box-Effekte" verbunden sind, ist Vorsicht geboten.
Risikomanagement insgesamt und OpRisk im Speziellen hat viel mit einer gelebten Risikokultur zu tun. Welche Maßnahmen würden Sie empfehlen und welche Rolle spielt hierbei die Unternehmensleitung?
Ralf Hannemann: In den Instituten gibt es seit jeher eine ganze Reihe von Regelwerken, die sich zumindest implizit mit der Risikokultur befassen, wie etwa die Risikostrategie oder die Organisationsrichtlinien. Mit den vier Indikatoren vom Finanzstabilitätsrat (FSB) ist das Thema nochmals befördert worden. Die Banken haben bereits diverse Maßnahmen umgesetzt, die der in den MaRisk geforderten Entwicklung, Förderung und Integration der Risikokultur dienen. Dazu gehören beispielsweise Schulungen oder Workshops, in denen die angestrebte Ziel-Risikokultur sowie Beispiele für (nicht) erwünschte Verhaltensweisen erläutert werden, um den Mitarbeitern das Thema noch näher zu bringen.
Um das gegenseitige Verständnis zwischen Mitarbeitern zu fördern, können insbesondere in Bereichen, zwischen denen Interessenkonflikte bestehen oder vermutet werden, Hospitationen angeboten werden. Auch eine Rotation von Mitarbeitern kann diesem Ziel dienen. Werden Defizite festgestellt, können im Rahmen der Berichterstattung auch Handlungsvorschläge unterbreitet werden. Die Geschäftsleitung spielt dabei eine entscheidende Rolle, weil sie insgesamt eine Vorbildfunktion im Unternehmen hat, an der sich die Mitarbeiter orientieren. Außerdem würden Maßnahmen zur Verbesserung der Risikokultur ggf. weniger Beachtung finden, wenn die Geschäftsleitung nicht deutlich macht, dass sie darauf großen Wert legt.
Verhindert eine enge Regulierung möglicherweise eine positive Risikokultur, da der Schwerpunkt des Risiko- und Compliance-Managements darauf ausgerichtet ist, die regulatorischen Anforderungen zu erfüllen?
Ralf Hannemann: Das glaube ich nicht. Dieser Effekt würde ja nur entstehen, wenn die regulatorischen Anforderungen den angestrebten Zielen der Risikokultur entgegenstünden. Das ist meines Erachtens aber nicht der Fall. Man kann sich natürlich trefflich darüber streiten, wie sinnvoll oder risikosensitiv einzelne regulatorische Vorgaben sind. Die Risikokultur zielt jedoch vor allem darauf ab, eine angemessene Leitungskultur zu etablieren, klare Verantwortlichkeiten der Mitarbeiter festzulegen, einen transparenten und offenen Dialog zu risikorelevanten Fragen zu fördern sowie angemessene Anreizstrukturen zu schaffen.
Der Faktor "Vertrauen" spielt in der Beziehung zwischen einer Bank und ihren Kunden eine herausragende Rolle. Welche Möglichkeiten sehen Sie, um Reputationsrisiken und ähnliche "weiche" Gefahrenpotenziale besser als bislang im Risikomanagement einer Bank zu berücksichtigen und effizienter zu steuern?
Ralf Hannemann: Na ja, zunächst einmal dürfen wir uns im Risikomanagement einer Bank im Grunde keine Fehler erlauben. Wie die Finanzmarktkrise gezeigt hat, ist es sehr leicht, in Sippenhaft genommen zu werden, wenn einzelne Banken Fehler machen. Die Reputation der Finanzbranche hat in der Finanzmarktkrise nachhaltig Schaden genommen und darunter immer noch zu leiden. In den letzten Jahren sind deshalb die nicht-finanziellen Risiken (Non-Financial Risks) stärker in den Fokus geraten. Dazu werden neben den operationellen Risiken unter anderem auch die Reputationsrisiken sowie die Geschäfts- und die strategischen Risiken gerechnet. Das Management der nicht-finanziellen Risiken spielt eine zunehmend große Rolle in den Instituten, was sicherlich auch der Kundenbeziehung dient. Letztlich sollte sich eine gute Risikokultur im Unternehmen auch auf den Umgang mit den Kunden positiv auswirken.
Herr Dr. Hannemann, vielen Dank für dieses Interview!
[Die Fragen stellte Frank Romeike | Mitglied des Vorstands der Gesellschaft für Risikomanagement & Regulierung sowie geschäftsführender Gesellschafter des Kompetenzportals RiskNET]
Dr. Ralf Hannemann ist Direktor und Bereichsleiter Bankenaufsicht beim Bundesverband Öffentlicher Banken Deutschlands, VÖB. Der Bereich Bankenaufsicht bearbeitet alle Themen gemäß Säule 2 von Basel III einschließlich der Ermittlung des ökonomischen Kapitals und der Risikotragfähigkeit (ICAAP), der Stresstests, der guten Unternehmensführung (Governance) und des bankaufsichtlichen Überprüfungs- und Bewertungsprozesses (SREP). Ebenso kümmert er sich um die bankaufsichtlichen Vorgaben zum Beschwerdemanagement sowie zur Sanierung und Abwicklung von Kreditinstituten. Auch widmet er sich der Tätigkeit der Internen Revision und strukturellen Fragen der Bankenaufsicht, wie der Diskussion zu Trennbanken.
Ralf Hannemann ist zentraler Ansprechpartner des Verbandes für die EZB in ihrer Funktion als Bankaufsicht und koordiniert die ECB Industry Group, eine Interessenvertretung bedeutender Institute aus Deutschland, Österreich und Spanien. Außerdem ist er Autor zahlreicher Fachartikel und eines Kommentars zu den MaRisk.
