Warum die Risk-Management-Systeme versagt haben

In den vergangenen zwei Jahrzehnten haben die Banken massiv investiert, um ihre Risiken bis auf die Stelle hinter dem Komma beziffern zu können. Offenbar vergebens, denn die derzeitige Wirtschaftskrise liess sich damit nicht verhindern: "Die verheerende Erkenntnis lautet: Das quantitative Risiko-Management hat nichts genutzt", sagt Hans-Peter Burghof, Professor für Bankwirtschaft und Finanzdienstleistungen an der Universität Hohenheim, anlässlich einer CeBIT-Konferenz des IT-Dienstleisters GFT Technologies AG. Schlimmer noch: "Den Systemen zufolge hat die Krise überhaupt nicht stattgefunden." Derartig hohe Abweichungen von der Normalsituation seien dort überhaupt nicht vorgesehen.

GFT-Vorstand Ulrich Dietz pflichtete dem Bankexperten bei: Die vorhandenen Risiko-Management-Systeme eigneten sich nicht, um Entwicklungen einzuschätzen, wie sie in den vergangenen Monaten stattgefunden haben. Die Finanzdienstleister in der "Derivate-Hype-Phase" zwar riesige Projekte gestemmt, um die Ideen der Banker umzusetzen. Aber für eine adäquate Abschätzung der Risiken sei weder genug Zeit gewesen noch das notwendige Geld bereitgestellt worden. Oder wie Burghof es formulierte: "Die Marktdynamik ist einfach über die kaufmännische Vernunft hinweggefahren."

Auf der anderen Seite hätten die Banken auch einige Dinge getan, die sie besser gelassen hätten, konstatierte der Hochschullehrer. Vor allem sei es falsch gewesen, sich auf die Beurteilung anderer zu verlassen: "Die Rating-Agenturen haben hier eine ganz unrühmliche Rolle gespielt." Dort, wo die Banken das Risiko selbst geprüft hätten, habe es - zumindest am Beginn der Krise - keine Schwierigkeiten gegeben. Problematisch sei aber gewesen, dass ihnen ein AAA-Rating durch eine der führenden Agenturen häufig als Sicherheit gereicht habe. Das allerdings ist kein IT-Problem.

Selbstversändlich plädierten weder Burghof noch Dietz dafür, auf ein IT-gestütztes Risiko-Management zu verzichten. "Als Unternehmer hat man die Pflicht, so genau zu rechnen wie man kann", bestätigte der Professor, "aber man darf nicht blind an die Zahlen glauben." Es gebe Risken, die sich quantitativ abbilden liessen, und solche, die auf diese Weise nicht darstellbar seien, beispielsweise juristische Risiken.

Zudem sollte sich das Risiko-Management nicht darauf beschränken, die Vergangenheit zu analysieren, sondern als Frühwarnsystem fungieren, fuhr der Bankenexperte fort. Dazu müsse es allerdings Szenarioanalysen erlauben, also in der Lage sein, Interdependenzen darzustellen.

Darüber hinaus müssen die Finanzinstitute, wie Dietz ergänzte, die Qualität ihres Datenmaterials verbessern: "Die Datenbasis ist die Grundlage für die Berechnung des Operational Value at Risk." Doch 90 Prozent der Banken verfügten nicht über eine zuverlässige Datenbasis - obschon sie massenhaft Daten sammelten und speicherten. Selten bildeten diese Daten aber die Geschäftsprozesse komplett ab.

Zudem seien die Systeme vieler Banken nicht wirklich vernetzt, weiss der GFT-Chef: "Die Hypo Real Estate beispielsweise wäre gar nicht in der Lage gewesen, ihre weltweiten Risiken auf die Desktops ihrer Berater zu bringen."