Upload
lykiet
View
225
Download
0
Embed Size (px)
Citation preview
1
System Dynamics und Key Risk Indicators - PKRI-LI im Wholesale Banking
1
Michael Mainelli
System Dynamics und Key Risk Indicators - PKRI-LI im Wholesale Banking
1 Einleitung
2 Das Betriebsrisiko im Bankgeschäft
3 Was ist ein Key Risk Indicator (KRI)?
4 Warum sind KRIs wichtig?
5 PKRILI Elemente
6 PKRILI Modellierung unter Gebrauch der Support Vector Machines (SVM)
7 Wie sieht die aktuelle Praxis aus? – Zwei frühe Beispiele
7.1 Europäische Investment Bank
7.2 Der globale Warentermingeschäft-Anbieter
8 Schlussfolgerung
1 Dieser Text ist eine gekürzte Übertragung aus dem englischen Original „System Dynamics
and key risk indicators – PKRI-LI in Wholesale Financial Institutions.“ Die Überarbeitung
erfolgte durch Nina Körner und Jürgen Sehnert.
2
1 Einleitung
Der Zweck des Beitrages besteht darin, die Möglichkeiten eines fortgeschrittenen
statistischen Verfahrens aufzuzeigen, die Variablenauswahl und damit die
Entwicklung von SD-Modellen zu unterstützen. Die Frage, auf die eine Antwort
versucht werden soll, lautet: Wie ist vorzugehen, wenn die schiere Anzahl an
möglichen Modell-Parametern übermächtig erscheint, aber dennoch eine Auswahl
getroffen und ein überschaubar komplexes Modell entwickelt werden muss? Hierfür
bieten sich auf den ersten Blick zwei grundsätzliche Vorgehensweisen an: „trial and
error“ und fortgeschrittene statistische Methoden der Variablenidentifikation.
Im „trial and error“-Verfahren werden die Variablen beispielsweise aus der
Problembeschreibung, über Workshop-Diskussionen identifiziert oder über
Brainstorming-Verfahren ermittelt. Variablen, die sich in daran anschließenden
Diskussionen als nicht problembezogen erweisen, oder im
Modellentwicklungsprozess als ungeeignet herausstellen, werden wieder aus der
Liste von Schlüsselvariablen entfernt. Über den gesamten SD-Prozess hinweg ergibt
sich ein vielfaches Iterieren, bis die wirklich entscheidenden Variablen feststehen.
Falls die Vielzahl potentiell relevanter Variablen ein derartiges Vorgehen sehr
zeitraubend gestaltet, könnte der Einsatz fortgeschrittener, statistischer Methoden
helfen. Vor diesem Hintergrund schlage ich vor, in die Problembeschreibungsphase
des System-Dynamics-Prozesses eine schnelle, statistische Methode zur
Mustererkennung und -analyse einzubauen. Dadurch lässt sich die Identifikation und
Auflistung von Schlüsselvariablen erleichtern und Beschleunigen. Bei der
vorgeschlagenen Methode handelt es sich um den Ansatz der Support Vector
Machines (SVM).2 Dieser wird im Rahmen dieses Beitrags herangezogen, um
Predictive Key Risk Indicators for Losses and Incidents (PKRI LI, gesprochen
„Prickli“) zu entwickeln. Zwei Anwendungsbeispiele verdeutlichen die weit
reichenden Möglichkeiten und zeigen viel versprechende Resultate. Das
Themengebiet, aus dem ich sowohl das Vorgehen als auch zwei Beispiele vorstellen
möchte, gehört zu den „brennendsten“ der Steuerung von Banken: das Management
operationeller Risiken.
2 Im Internet findet sich bei Eingabe des Begriffs Support Vector Machines (SVM) in einer
Suchmaschine eine Vielzahl von weiterführenden Quellen. Auf eine tiefer gehende
Darstellung sei deshalb in diesem Artikel verzichtet.
3
2 Das Betriebsrisiko im Bankgeschäft
Gemäß §644 der Ausführungen für die „Internationale Konvergenz von
Eigenkapitalmessung und der Eigenkapitalanforderung“3, herausgegeben von der
Bank für internationalen Zahlungsausgleich, wird das Betriebsrisiko definiert als
„Gefahr von Verlusten, die infolge einer Unzulänglichkeit oder des Versagens von
internen Verfahren, Menschen und Systemen oder infolge externer Ereignisse
eintreten. Diese Definition schließt Rechtsrisiken ein, nicht jedoch strategische
Risiken oder Reputationsrisiken.“ Da Betriebsrisiken in den frühen 90ern zu einem
regulatorischen Thema wurden, versuchte man in verschiedener Weise, diese zu
messen und zu steuern. Bei der Steuerung von Betriebsrisiken lassen sich bisher drei
Entwicklungsstadien erkennen:
OpVAR – „Operational Value at Risk“
Dieser frühe Denkansatz versuchte Betriebsrisiken genauso wie Marktrisiken
oder Kreditrisiken zu behandeln. Die eigentliche Idee war, ein großes
stochastisches Modell der verschiedenen Betriebsrisiken zu entwickeln und
Monte Carlo Simulationen zu benutzen, um das Wertrisiko zu berechnen. Dies
sollte einer Finanzinstitution ermöglichen, die geeignete Menge an Kapital
vorzusehen. Dieser Ansatz erfordert eine Wahrscheinlichkeitsverteilung des
Betriebsrisikos auf eine Weise, in der Banken Marktentwicklungen und
Kreditausfälle berechnen. Einige Initiativen innerhalb der Branche bauten große
Datensammlungen zu Verlusten durch Betriebsrisiko auf (Schadensfall-
Datenbanken), beispielsweise Beträge durch Veruntreuung durch Mitarbeiter.
Die Daten zeigten sich zu heterogen und wegen ihrer Sensitivität schwierig zu
exzerpieren – wer hätte öffentlich zugeben wollen, von seinen eigenen
Mitarbeitern betrogen worden zu sein. Dennoch gilt der OpVAR noch immer als
nützlicher analytischer Ansatz, Betriebsrisiken zu messen und zu steuern; er
sollte jedoch m.E. nicht das Mittel der ersten Wahl sein.
Prozess-Modellierung und Dokumentation
Viele Finanzinstitutionen dokumentierten ihre Abläufe, um das Betriebsrisiko zu
analysieren. Sie benutzten dazu Workflow-Diagramme, ereignisorientierte
Prozessketten oder ähnliche Instrumente. Da diese den Bestands-Flussgrößen-
Diagrammen des System-Dynamics-Ansatzes ähnlich sind, veranlasste dies
einige Institute auch mit SD-Simulationen zu experimentieren – allerdings nicht
3 Bekannter unter dem Stichwort Basel II, vgl. http://www.bis.org/publ/bcbs107a_ger.pdf
[Zugriff: 22.8.2007].
4
immer mit dem gewünschten Erfolg. Nicht ausreichend abgebildete
Feedbackbeziehungen führten zum Teil zu sehr sensitiven Modellen, die dann
Verhaltensweisen zeigten, die aus der Chaostheorie bekannt sind. Außerdem ist
es für Banken auf diese Weise nicht möglich, die Menge an Kapital zu
berechnen, die zur Deckung der Betriebsrisiken vorgehalten werden muss.
Risiko-Radar (oder Risiko-Cockpit):
Einige Finanzinstitutionen untersuchten den Einsatz von sog. Compliance Tools,
die von den operativ Verantwortlichen Nachweise einforderten, dass sie Schritte
zur Minimierung der Betriebsrisiken unternommen habe. Während dieser
heuristisch angelegte Ansatz für die Bankenkultur geeignet ist – dort ist
bürokratisches und von Listen geprägtes Arbeiten durchaus bekannt – so bietet er
dennoch kein umfassendes Maß für Betriebsrisiken. Zudem wurde der Faktor
Mensch als wesentlicher Systembestandteil bei der Produktion von
Dienstleistungen nicht ausreichend berücksichtigt. So beantworteten Personen
Fragen wiederholt mit den erwarteten Antworten, wie bspw. „Ist Ihr Daten- oder
Rechnerraum sicher?“ mit „Ja“ und machten damit jede Aussagekraft zunichte.
Zuletzt endet diese Denkweise meist in vielen Ampel-Berichten, die nicht
numerisch erfasst werden können und deshalb ungeeignet sind, verschiedene
Risiken anders als nach ihrer Häufigkeit oder ihrem Platz in der Rangreihe zu
vergleichen. So wurden, ohne die Ernsthaftigkeit der Lage zu beachten, fünf
offene Türen zu Computerräumen für riskanter eingeschätzt als ein einziger
kompletter Stromausfall.
Zu Teilen sind diese Ansätze noch immer in Gebrauch und nützlich, doch für sich
alleine bieten sie weder ein Maß noch eine Steuerungsmöglichkeit für
Betriebsrisiken. Einige andere Konzepte sind es Wert, erwähnt zu werden. Obschon
sie wenig Popularität genießen, bieten sie möglicherweise längerfristige Vorteile
gegenüber den traditionellen Ansätzen:
Veränderung der Unternehmenskultur
Da Betriebsrisiken vor allem von betriebszugehörigen Personen verursachte
Risiken sind (bspw. wenn Personen definierten Prozessen nicht ausreichend
folgen, sie mitunter gar absichtlich sabotieren oder einfach falsche
Entscheidungen treffen), sollte eine Unternehmenskultur, die das Betriebsrisiko
minimiert, erhebliche Vorteile versprechen.4 Dieser Ansatz bietet jedoch (auch)
kein Maß für die notwendige bzw. geforderte Unterlegung mit Risikokapital.
4 Vgl. Howitt, J./Mainelli, M./Taylor Charles (2004).
5
Varianz der Transaktionskosten5
Diese Methode vergleicht das Betriebsrisiko aller Produkte, indem die
kompletten Kosten einer Transaktion ermittelt werden, was eine typischere
Verteilungskurve zum Risiko ergibt.6 Diese Methode baut auf der Methodik der
Prozesskostenrechnung auf und scheint in der Praxis gut zu funktionieren.
Dennoch wurde sie vergleichsweise selten angenommen. Es mag daran liegen,
dass die komplette Version eine umfangreiche und relativ teure
Unternehmensmodellierung verlangt. Möglicherweise haben die
Aufsichtsbehörden auch nur zu langsam erkannt, dass diese Methode
vergleichbare Metriken bietet, auch wenn sie aufgrund ihrer Komplexität (etwas)
schwieriger zu verstehen sind.
Als weitere Alternative bietet sich der Gebrauch von Key Risk Indicators (KRI) an,
der im Folgenden näher zu analysiert und beurteilt wird.
3 Was ist ein Key Risk Indicator (KRI)?
Das Basel Committee in Banking Supervision kennzeichnet Risikoindikatoren als
„statistische Werte und/oder Messungen, häufig finanzieller Art, die Einblick in die
Risikosituation einer Bank gewähren. Die Indikatoren sollten periodisch, monatlich
oder vierteljährlich, geprüft werden, um Banken vor Veränderungen zu warnen, die
möglicherweise Risiken darstellen. Diese Indikatoren beinhalten zum Beispiel die
Anzahl der missglückten Geschäftsabschlüsse, Mitarbeiterfluktuation und die
Häufigkeit und Bedeutung von Fehlern und Unterlassungen.“7
5 In diesem Zusammenhang handelt es sich um die Kosten pro Wertpapiertransaktion, im
Gegensatz zum Verständnis aus der Transaktionskostentheorie nach Coase/Williamson.
Vgl. hierzu z. B. Williamson, O. E./Winter, S. G./Coase, R. H. (1991). 6 Vgl. Mainelli, M. (2004a) 7 Basel Committee in Banking Supervision (2001), S. 8
6
Risiko-
indikatoren
prüfen
Umsetzungs-
indikatoren(Projekte,
Kontrollen etc.)
Zustands-
indikatoren
(gefundene
Fehler etc.)
OpRisk
Vorfälle/
Maßnahmen
Keine
Maßnahmen,
oder aber
ungeeignete
Aktivitäten
Auswahl von
Maßnahmen, die
die Ergebnisse
nicht
verbessern
Steuerung von
unwesentlichen
Risiko-Treibern
zu Lasten der
‚richtigen‘
Treiber
Fehlinforma-
tionen über das
wirkliche Risiko
-Ausmaß und
abzuleitende
Maßnahmen
die richtigen
Treiber
aufzeigen und
geeignete
Maßnahmen
anstoßen
Auswahl von
Maßnahmen, die
die Ergebnisse
verbessern
Aufmerksamkeit
auf die Treiber
lenken, die die
Schadenshöhe
der OpRisk-
Vorfälle treiben
Berechnung
und Ausweis
der Beträge für
OpRisk-Vorfälle
Hau
pte
ffek
teS
ch
ritt
ab
folg
eN
eb
en
eff
ekte
Abbildung 1: Identifikation von KRIs und deren positive Effekte
KRIs können umweltbedingt, betrieblich oder finanziell sein. Umweltbedingte
Indikatoren, die KRIs sein könnten, sind zum Beispiel das Handelsvolumen, die
Volatilität von wichtigen Gütern oder der Devisenmarkt. Betriebliche Indikatoren,
die KRIs sein könnten, wären das allgemeine Niveau der Geschäftsaktivität, die
Anzahl der Geschäftsabschlüsse, die Zahl der Änderungen, Mitarbeiterfluktuation,
Überstunden oder IT-bedingte Ausfallzeit. Indikatoren finanzieller Art, die als KRIs
benutzt werden könnten, sind die ‚Deal Volatilität’, aktivitätsabhängige
Kostenschwankungen oder der Wert von Nachbesserungen.
Viele Finanzdienstleister zeigen mittlerweile ein großes Interesse daran, ihre
internen Daten zu analysieren, um Verluste durch operationelle Risiken zu
prognostizieren. Hinzu kommt ein zunehmendes Interesse daran, diese Daten auf
ihre Aussagekraft hin zu testen. Die Untersuchung konkreter Verluste bzw. Vorfälle
soll zunächst zeigen, welches die richtigen Indikatoren gewesen wären. Genauer
gesagt, was treibt die operationellen Riskikokosten? Ich bezeichne diese Methode
als ‚Predictive key risk indicators to/from loss/incidents prediction’, kurz:
PKRILI.
Es lassen sich zahlreiche mögliche Risikoindikatoren (RIs) erkennen, die allerdings
nicht als Key Risk Indicators (KRIs) taugen, wenn sie nicht ein belegbares Potential
7
zur Einschätzung von Verlusten und Vorfällen aufweisen. Ein KRI muss zur
Vorhersage von Schadensfällen beitragen, um als solcher auch als aussagekräftig zu
gelten. Werden derartige Situationen nicht vorausgesagt, bleibt der RI eine
interessante, doch lediglich unbestätigte Hypothese. Praktische Erfahrung hilft, die
tatsächlichen Ursachen des Betriebsrisikos zu identifizieren, Aufmerksamkeit zu
fokussieren und Handlungen zu kontrollieren. Doch der PKRILI-Ansatz
unterstützt und validiert derartige professionelle Einschätzung zu den tatsächlichen
Ursachen von operationellen Risiken. Die Beurteilung von Experten zu ersetzen, ist
jedoch nicht die Idee dieser Methode. Vielmehr sollte sie Expertenmeinungen durch
eine nachvollziehbare Systematik in einem schnelllebigen Umfeld unterstützen.
4 Warum sind KRIs wichtig?
KRIs sind aus vier Gründen wichtig:
KRIs zeichnen die Betriebsrisiken nicht nur nach, sondern sie messen deren
Eintrittswahrscheinlichkeiten. Das macht sie zu einem geeigneten
Management Tool zur aktiven Steuerung von operationellen Risiken.
KRIs unterstützen die wirtschaftliche Seite der Kapitalhinterlegung, indem
sie Schätzungen zukünftiger Verluste durch operationelle Risiken liefern.
Damit helfen sie, die notwendige Kapitaldeckung des Betriebsrisikos
festzusetzen.
KRIs werden zunehmend von Ratingfirmen berücksichtigt, zum Beispiel
von Moody’s, Standard & Poors oder anderen Finanzanalysten.
KRIs werden zunehmend wichtig für Aufsichtsbehörden.8
Ohne Daten zu Verlusten und Vorfällen festzuhalten, lässt sich allerdings nichts
vorhersagen. Einwandfreie Datensammlung ist eine der wesentlichen
Voraussetzungen für eine ausreichende Kapitalunterlegung. Es existieren
verschiedene KRI-Initiativen in der Finanzdienstleistungsindustrie, sich zur Aufgabe
gemacht haben, beste Verfahrensweisen zur Sammlung, Aufbereitung und
Auswertung von Verlust- und Vorfallsinformationen zu entwickeln. Eine der
führenden Initiativen ist derzeit die KRI Bankenstudie der Risk Management
Association, KRIeX9, in der 50 Banken 1.809 KRIs definierten, obschon deren
8 Basel Committee in Banking Supervision (2004) 9 Siehe www.kriex.org [Zugriff: 21.8.2007].
8
Relevanz nicht mit der PKRILI Voraussage überprüft wurde.10
Einige Beispiele
für KRIs der Risk Management Association sind die Prozentzahl der Transaktionen,
die eine manuelle Eingabe erfordern, oder die Prozentzahl der nicht gesettelten
Transaktionen nach Fälligkeit, oder aber eine Kennzahl zur Anzahl der
Raubüberfälle je 1.000 Geldautomaten. Abbildung 2 zeigt eine Aufgliederung der
KRIs nach Kategorie und Anzahl:
322 60
250 59
69 56
237 56
112 67
576 73
74 70
305 72
34 55
0
27 46
30 31
19 29
46 49
226 57
0 100 200 300 400 500 600 700
Human Processing Error
Data Management
Reporting & Disclosure
Infrastructure & Systems
Fiduciary
Improper Practices
Unauthorised Market Activity
Internal Fraud & Theft
Diversity & Discrimination
Employee Relations
Safe Environment
Natural Disaster & Accident
Wilful Damage
Hacking & Disruption
External Fraud & Theft
Specific Indicators Common Indicators
Abbildung 2: KRIs am Beispiel detailliert
Von einer Organisation zu fordern, 1.809 KRIs zu verfolgen, erscheint nicht
wirklich machbar. Immerhin gelten lediglich 74 der Indikatoren als üblich und
treffen auf nahezu alle Risikopunkte zu. Trotzdem werden sagenhafte insgesamt 533
als sog. High Risk Points definiert. Sicherlich ist dies eine anstrengende
Vorgehensweise für ein derartig frühes Stadium, bei der bisher über 70 Teilnehmer
unterstützen und Daten zuliefern. Dennoch ist KRIeX möglicherweise ein nützliches
Hilfsmittel für einige Teilnehmer, um den Regulierungsbehörden ihre Aktivität in
diesem Bereich zu verdeutlichen. Die nachfolgende Tabelle (vgl. Tabelle 2) zeigt die
Merkmale eines KRI nach der Einschätzung der Risk Management Association:
10 Der Fairness halber sei an dieser Stelle angemerkt, dass es immerhin bereits erste
Gespräche gab, dies in der Zukunft zu tun. Allerdings wurde bis jetzt kein Zeitpunkt
festgelegt.
9
Kriterium Indikatoren sollten …
Effektivität auf mindestens einen spezifischen Risikopunkt, eine spezifische Risikokategorie und eine Businessfunktion anzuwenden sein
zu bestimmten Zeitpunkten messbar sein
objektives Maß sein, statt subjektive Schätzung reflektieren
mindestens einen Parameter des Schadensprofils oder der Vorfalls-Historie nachzeichnen, wie Häufigkeit, Durchschnitt, Schwierigkeit, wachsenden Verlust oder ‚near-miss rates’
dem Management nützliche Informationen bieten
Vergleichbarkeit als Menge, Betrag, Prozent oder Verhältnis quantifiziert sein
halbwegs präzise sein und die Quantität bestimmen
Werte haben, die über eine Zeitspanne vergleichbar sind
Wertketten übergreifend vergleichbar sein
berichtet werden in eindeutigen Kennzahlen und auch ohne Interpretation aussagekräftig sein
zu prüfen sein
organisationsübergreifend verwendet werden können, sofern dies möglich ist
Leichte Anwendung zeitnah verfügbar sein
möglichst (kosten-) effizient zu ermitteln sein
leicht zu verstehen und zu kommunizieren sein
Tabelle 1: Merkmale eines KRI nach der Risk Management Association
Eigentlich liegt die Wahl zwischen dem, was gegenwärtig informell bereits
gehandhabt und gelebt wird (kein vernünftig betriebener Geschäftsbereich
verzichtet, wenn auch implizit auf RIs) und dem, was zu verbessern wäre, indem
man diese durch Formalität, Statistik und Wissenschaft zu KRIs machte. Jeder KRI
benötigt Definition und Spezifizierung. Die Vorlage der Risk Management
Association zur Form der Spezifizierung liefert einen Vorgeschmack, was hierunter
zu verstehen ist:
Kriterium Informationsbestandteile
Definition KRI Nummer
KRI Name
Beschreibung
Ziele/Kommentare
Natur
Typ
Typography
Ratings
10
Spezifizierung Spezifikations Version
Konditionen
Wertart
Dimensionen
Beobachtungsgrenzen
Sammelkennzahlen
Definition der Schwellenwerte
Mess- und Erhebungsregeln
Abhängigkeiten zu anderen KRIS
Berechnungs-Methode
Benchmark Regeln
Aggregations-Methode
Skalierungs-Nenner
Skalierungs-Regeln
Leitung Nutzung
Erhebungsintervall
Berichtsintervall
Änderungshäufigkeit
Detailebene
Varianten
Steuerungs-Informationen
Fremde Einflüsse
Kontroll-Indikatoren
Datenquelle
Tabelle 2 Beschreibungskriterien eines KRI
Es ließe sich leicht hieraus annehmen, dass ein relativ stabiler KRI kein
‚Schlüsselkriterium’ sein kann. Zum Beispiel könnte sich ein KRI, wie etwa die
Anzahl der Gerichtsverfahren hervorgerufen durch einen bestimmten Prozess, über
längere Zeiträume eventuell sehr geringfügig ändern. Ehrlicherweise ist ein komplett
statischer KRI sicherlich kein Schlüsselkriterium. In diesem Fall wäre es besser
‚Gerichtsverfahren während einer bestimmten Zeit’, oder den ‚geschätzten
Abrechnungswert’ oder andere empfindsame Maße bzw. Kennziffern
heranzuziehen, als lediglich die langsam veränderliche Zahl der ‚unerledigten
Gerichtsverfahren’. Wesentlich ist, ob der KRI zur Vorhersagbarkeit des
Betriebsrisikos beiträgt, nicht zu dessen Veränderlichkeit.
5 PKRILI Elemente
KRIs und Key Performance Indicators (KPIs) überschneiden sich teilweise. Es wäre
simplifizierend, zu behaupten, KRIs wären vorausblickend und KPIs
zurückblickend. Überschneidungen sind deutlich erkennbar. An einem Tag können
11
beispielsweise ein hohes Geschäftsvolumen und eine hohe Volatilität einerseits
Hinweise auf eine sehr gute finanzielle Performance eines Handelsbereichs sein,
gleichzeitig aber auch entstehende operationelle Risiken desselben Zeitraums
anzeigen.
KRIs nehmen in bestimmten Bereichen ab und in anderen wiederum zu, d.h. sie
verlaufen in der Regel ‚nicht-linear’, was möglicherweise tendenziell eher
Verwirrung stiftet. Doch KRIs müssen nicht unbedingt linear sein. Die Anzahl an
geleisteten Überstunden kann beispielsweise ein KRI mit dem Verlauf einer
Glockenkurve sein. So können fehlende Überstunden ein gewisses Risiko andeuten,
moderate Überstunden ein geringeres und eine hohe Anzahl von Überstunden
wiederum ein erhöhtes Risiko anzeigen. In Zusammenhang mit einem KRI kann es
Entwicklungssprünge im Betriebsrisiko geben. So mag eine Hand voll offener
Orders am Ende eines Tages normal sein, doch das Risiko mag bei über einem
Dutzend erheblich steigen. KRIs sollten sich somit verändern, sowie sich das Risiko
ändert, sie müssen jedoch nicht linear schwanken.
Was ist mit all den Dingen, die für selbstverständlich gehalten werden? So scheinen
zum Beispiel Elektrizitäts- und Wasserversorgung wichtige Aspekte zu sein, wenn
KRIs für Orte in Entwicklungsländern untersucht werden, doch in PKRI Studien der
Industrieländer werden sie nicht berücksichtigt. In den Hauptfinanzzentren werden
viele Dinge vorausgesetzt wie zum Beispiel die Abwesenheit von
Naturkatastrophen, von Stürmen und Sturmfluten. Doch London pflegte ein
erhebliches Flutrisiko zu haben, und wird es möglicherweise wieder haben, da der
Themse-Damm das Ende seiner Einsetzdauer nahezu erreicht hat. Geologische
Aspekte wie die Erdbebensicherheit oder gesundheitliche Aspekte wie Malaria
spielen ebenfalls keine Rolle. Auch das Terrorismusrisiko wird kaum als
ausschlaggebend berücksichtigt. Genauso werden personelle Aspekte kaum
wahrgenommen – Arbeitserlaubnis, Bankkonten, Schulen, Sicherheit – jeder
einzelne könnte das Handelsparkett zum Erliegen bringen. Natürlich neigen
Menschen dazu, sich um das zu kümmern, was ihnen bewusst ist. In einigen Jahren
werden wir vielleicht zurückblicken und ungehalten den Kopf schütteln darüber, wie
der Handel zum Erliegen kam als Leute es tunlichst vermeiden wollten in einer
größeren Menschenansammlung zu sein, um kein unerhofftes Ziel terroristischer
Übergriffe zu werden; oder als ansteckende Krankheiten zu gefährlich wurden, um
so viele Menschen auf einer bestimmten Fläche zu konzentrieren. PKRILI ist eine
Methode für die reguläre Steuerung, nicht für die Prognose von Extremsituationen.
12
Nicht ein einzelner, sondern eine Kombination mehrerer Faktoren macht eine
Aufstellung von KRIs erfolgreich. Jared Diamond zieht einen Grundsatz aus den
Anfangszeilen von Tolstoi’s Roman ‚Anna Karenina’ heran: „Alle glücklichen
Familien sind gleich; jede unglückliche Familie ist auf ihre Art unglücklich.“
Diamond ist der Meinung, dieser Grundsatz beschreibe Situationen, die eine Zahl
korrekter Handlungen erfordern, um Erfolge zu erzielen.11
Eine einzige falsche,
nachlässig ausgeführte Handlung dagegen könne zum Scheitern führen. Das trifft
auf KRIs sicherlich zu; die sich ergebende (richtige) Menge von KRIs ist wichtig,
nicht die Berücksichtigung des einen zu einem bestimmten Zeitpunkt, noch die von
vielen zu jeder Zeit.
6 PKRILI Modellierung unter Gebrauch der Support Vector Machines (SVM)
Zwei PKRILI-Projekte (eine europäische Investmentbank und ein globaler
commodities Trader) sollen als Beispiele für die praktische Verwendbarkeit näher
betrachtet werden. Um voraussagende Analysen ihrer Daten durchzuführen,
benutzten beide Finanzdienstleister Tools zur Klassifizierung und Vorhersage, die
auf der Mathematik von Support Vector Maschinen (SVM) basierten. SVMs sind
Algorithmen zur Klassifikation und Regression von Massendaten. Sie resultieren aus
klassifizierenden Algorithmen, die Vladimir Vapnik während der 60er Jahre in
seiner Arbeit zu Statistischer Lerntheorie als Erster aufstellte.12
SVMs basieren auf
einigen wunderbaren mathematischen Ideen zur Datenklassifizierung und liefern
gleichzeitig genaue Angaben zur Implementierung von maschinellem Lernen.
Einige Ideen hinter SMVs stammen aus den 60ern, doch die Einführung der SMVs
kam erst zu Beginn der 90er Jahre mit der computergestützten Methode von COLT-
92.13
SMVs sind heute essentielle Bestandteile vieler Applikationen, mit denen Computer
Fälle von Daten klassifizieren (zum Beispiel: zu welcher definierten Anzahl gehört
diese Gruppe von Variablen), Regressionsschätzungen ausführen und Anomalien
bzw. Abweichungen feststellen und identifizieren (sog. ‚Novelty detection’). Sie
wurden erfolgreich in der Zeitreihenanalyse, bei der Rekonstruktion chaotischer
Systeme und in der Hauptkomponentenanalyse angewendet. SVM-Anwendungen
11 Diamond, J. M. (2005) 12 Vgl. Vapnik, V. N. (1998); Vapnik, V. N. (2000) 13 Vgl. Boser, B. E./Guyon, I. M./Vapnik, V. N. (1992)
13
unterscheiden sich teilweise sehr stark voneinander. Sie beinhalten, um nur einige
Beispiele zu nennen, Kreditpunktbewertung für gute und schlechte Kredite,
Handschrifterkennung, Bilderkennung, Bioinformatik- und Datenbankmarketing.
SVM gelten als unabhängig von der Dimensionalität der untersuchten Rohdaten.
Denn die Hauptidee für ihre Klassifizierungstechnik ist eine Trennung der Klassen
in viele Datendimensionen mit Oberflächen (sog. ‚hyperplanes’). Diese maximieren
die Spanne dazwischen, indem sie das Prinzip der Strukturrisikominimierung
anwenden. Die für die Klassifizierung algorithmisch nötigen Eckdaten, sind
hauptsächlich die den hyperplane Grenzen nächstgelegenen, eben die ‚Support
Vektoren’. So werden nur einige wenige Eckdaten in vielen komplexen
Datenräumen benötigt. SVMs können bei kleinen Datenbeständen gut eingesetzt
werden, auch wenn die Struktur der Trainings- und Testdaten eine wichtige
Determinante der SVM-Effektivität in jeder gewünschten Anwendung ist.
Als Werkzeuge für Probleme der Mustererkennung, konkurrieren SVMs
nachdrücklich mit Neuralen Netzwerken, sowie mit weiteren selbst lernenden und
‚Data mining’-Algorithmen. Wenn SVMs weniger gut funktionieren, mag es daran
liegen, dass die Regel hinter dem Support Vektor Algorithmen weniger die
Unzulänglichkeit der lernenden Maschine reflektiert als vielmehr die
Regelmäßigkeit der Daten. Kurzum, die gängige Meinung besagt, dass – sofern die
Daten innerhalb der Domäne vorhersagbar sind – SVMs höchstwahrscheinlich fähig
sind, den voraussagenden Algorithmus zu produzieren. SVMs sind somit äußerst
robuste Werkzeuge in der praktischen Anwendung. (Dies spiegelt sich wieder in
einer verständlichen Erklärung, einfachen algorithmischen Validierungen, besseren
Klassifizierungsraten, ‚overfitting avoidance’, weniger falschen Positivmeldungen
und einer schnelleren Durchführung). „Der SVM ist nicht lediglich ‚ein weiterer
Algorithmus’, da er - was die Theorie von Generalisierung und Optimierung betrifft
- auf soliden statistischen und mathematischen Grundlagen basiert“14
. Dennoch
zeigen vergleichende Tests mit anderen Techniken, dass SVMs, obschon sie zu
hohen Wahrscheinlichkeitsaussagen in der Lage sind, nicht die beste Methode für
jeden Datenbestand sind. Mit PropheZy and VizZy hat Z/Yen zwei Softwarepakete
für die Klassifizierung und Visualisierung von Daten entwickelt. PropheZy
installiert in der Regel eine SVM auf einem Server, auf die der client zugreift, kann
jedoch auch auf einem lokalen client installiert werden. Natürlich gibt es, wie in
jedem Bereich der IT, eine Vielzahl verschiedener SVM-Installationen.
14 [Burbridge & Buxton, 2001]
14
Die Verknüpfung von SVMs mit System Dynamics mag auf den ersten Blick
unorthodox erscheinen. Betrachtet man jedoch ein breiteres System der
institutionellen Finanzdienstleister, sind ausschließlich ähnliche High-level Systeme
zu erkennen. Das folgende Diagramm zeigt ein einfaches Model der Finanzbranche,
nach dem es gilt, Risiken nach Positionierung und Marketing zu verteilen und
preislich zu bemessen; dies passiert im Spannungsfeld zwischen dem Wert, den der
Kunden dieser Leistung beimisst und den hierbei entstehenden Kapitalkosten:
Risiko-Selektion
Value Pricing
Kapital
Kunden
Marketing – Pricing – Underwriting
Abbildung 3: Spannungsfeld zwischen Wert und Risiko
Ein KRI-System hat, wie jedes andere System, einige grundsätzliche Komponenten:
Governance:
Vom Hauptziel des Geschäfts ausgehend entstand eine Definition des operational
risk frameworks, nämlich die Berechnung des wirtschaftlichen Kapitals und
einiger grundlegender KRIs;
Input:
‚Stakeholder commitment’ schaffen, Ressourcen und ein Team aufstellen, das
die potentiellen KRI einführt;
Prozess:
Den Manager des Betriebsrisikos durch Datenerhebung, statistische Validierung
und Tests, Korrelation und multivariate Vorhersagen, projektübergreifende
Diskussion, Training, Vorlagen und Methodik unterstützen;
15
Output:
Mit Fokus auf die Sichtweise des Klienten (wie hilft es mir, mein Geschäft
besser zu managen?) die KRIs evaluieren, damit die Betreffenden aus Erfolg und
Fehlern lernen.
Monitoring:
Managementinformation muss zur Koordination aller vom Leitenden, über den
Kunden bis hin zum Projektmanager und zwischen diesen gewährt werden.
Monitoring gebraucht das ‚Feed-back’ der KRI-Ergebnisse, um damit erneut
Ideen und Berechnungen zu KRIs zu füttern (‚Feed-forward’), das KRI-Portfolio
zu überdenken und umzuformen. Ein fester Bestandteil des Monitoring ist die
Evaluation von KRIs auf technischem Niveau – treffen sie tatsächlich zu?
PKRILI Prognosen sind dabei eine Möglichkeit, LIPKRI die anderen.
INPUT
Feed-
forward
Feed-
back
Über-
wachung
Governance
(Leitung)
PROZESS OUTPUT
Abbildung 4: Schematische Darstellung eines KRI-Modells
Das KRI System ist ein klassisches kybernetisches (‚feed-back and feed-forward’)
System..KRIs unterstützen Manager bei ihrer Arbeit, indem sie die Menge der zum
‚feed-back’ and ‚feed-forward’ nötigen Schritte reduzieren. Beim Gebrauch von
PKRILI liegt der entscheidende Unterschied in dem Gebrauch von RIs oder
KRIs, wobei letztere helfen, eine Informationsüberlastung zu bekämpfen.
„Was Information beansprucht ist offensichtlich: sie nimmt die Aufmerksamkeit der
Empfänger in Anspruch. Ein Überfluss an Information schafft demnach einen
16
Notstand bei der Aufmerksamkeit und somit einen Bedarf, Aufmerksamkeit effizient
zu verteilen in diesem Überfluss an Informationsquellen.“15
In verschiedener Hinsicht basiert die PKRILI-Methode auf der Systemtheorie.
Allerdings konzentriert sich der Gebrauch von SVM zur Verknüpfung von Input
(i.e. KRIs) mit Ergebnissen (Vorfälle und Verluste) darauf, vorhersagbare
Beziehungen zu erstellen. Die Annahme von System Dynamics, das dynamische
Modellierungs-Paradigma sei von entscheidender Bedeutung für die Bewertung der
Beziehungen und deren Interpretation, ist an dieser Stelle weniger wichtig.
Die PKRILI-Methode ist ein dynamischer Prozess. Sie dient nicht dazu, eine
statische Anzahl von KRIs zu entwickeln. Dies bedeutet, das ein Team,
möglicherweise im Abgleich mit weiteren ‚wissenschaftlichen’ Management-
Methoden wie Six Sigma, über eine bestimmte Periode hinweg beständig einen
iterativen Verbesserungsprozess durchlaufen muss.
7 Wie sieht die aktuelle Praxis aus? – Zwei frühe Beispiele
‚Verwissenschaftlichte’ Management-Ansätze im Bereich der Wholesale Financial
Operations sind immer häufiger anzutreffen. Investmentbanken steigerten ihr
operatives Benchmarking spürbar in den späten 1990ern. Gibt es Verluste und
Vorfälle, die durch Beseitigen der Ursachen eliminiert werden sollen, so folgen
Manager verschiedener Investmentbanken der DMAIC oder DMADV Six Sigma-
Methode. Die Bank of America, JPMorganChase, Citigroup und Merrill Lynch
haben zum Beispiel ihren Einsatz von Six Sigma bekannt gegeben.
Stufen Ziele
Definieren Definiere die lieferbaren Ergebnisse zu Ziel und
Kunden des Projekts
Messen Messe den Prozess, um die aktuelle Profitabilität
bzw. Performance zu bestimmen
Analysieren Analysiere und bestimme die Hauptursache der
Fehler
15 Simon, H. A./Deutsch, K. W./Shubik, M. et al. (1971), S. 40–41
17
Verbessern
(Improve)
Verbessere den Prozess durch Fehlereleminierung
Kontrollieren
(Control)
Kontrolliere zukünftige Prozess Performance
Tabelle 3 DMAIC – existierende Produkte/ Prozesse/ Services
Stufen Ziele
Definieren Definiere die lieferbaren Ergebnisse zu Ziel und
Kunden des Projekts
Messen Messe und bestimme Kundenbedürfnisse und
Spezifikationen
Analysieren Analysiere Optionen innerhalb des Prozesses, um die
Kundenbedürfnisse zu erfüllen
Design Entwerfe den Prozess, damit er Kundenbedürfnissen
entspricht
Verifizieren Prüfe die Design-Performance und die Fähigkeit,
Kundenbedürfnisse zu erfüllen
Tabelle 4 DMADV – Neue Produkte/ Prozesse/ Services
Six Sigma ist eng verbunden mit einer stark systemischen Sicht auf eine
Organisation, die in diesem Sinne verstanden wird als ein Netz von verschachtelten
Rückkopplungsschleifen. Dies führte gleichfalls zu einem gesteigerten Interesse an
voraussagenden Analysen beim Management von operativen Systemen. Führende
Investmentbanken schafften es bspw. durch den Einsatz von Six Sigma und
statistischen Techniken die Rate manueller Eingriffe bei Standardprodukten in drei
Jahren von 8% auf unter 4% zu senken. Da die Kosten pro manueller Order bis zu
250mal so hoch sein kann wie einer automatisierten Transaktion, ist dies ein
ausnehmend wichtiger Ansatz zur Kostenreduzierung und nicht zuletzt auch eine
hohe Reduktion des Betriebsrisikos.
18
Abbildung 5: Beispiel zu einer DAPR Support Vector Machine Datensets zu
aktuellen vs. prognostizierten Handelspreisen
Voraussagende Analytiken kommen auch da zur Geltung, wo Investmentbanken zu
automatischem Filtern und dem Entdecken von Anomalien (Dynamische Anomaly
und Muster Erkennung – DAPR) tendieren.16
Wie Cruz feststellt, benutzen eine
Reihe von Banken DAPR-Methoden nicht nur in der Compliance, sondern auch in
Filtern zum operationellen Risiko.17
Diese sammeln „jedes Storno oder Änderung,
die zu einer Transaktion vorgenommen wird, sowie alle Unterschiede zwischen den
Eigenschaften einer Transaktion in einem System im Vergleich zu einem anderen
System. Auch können hierbei anormale Input Parameter (zum Beispiel die geringere
Volatilität eines Derivats) gekennzeichnet und untersucht werden. Der Filter wird
das ‚operational risk loss event’ und andere Auswirkungen auf die Organisation
berechnen.” Er setzt fort, „die Entwicklung von Filtern, die operationelle Probleme
festhalten und den Betriebsverlust berechnen ist einer der teuersten Bestandteile im
16 Vgl. Mainelli, M. (2004b) 17 Vgl. Cruz, M. G. (2002)
19
gesamten Prozess der Datenerhebung, doch das Ergebnis kann entscheidend sein für
den Erfolg eines operational Risk Projektes.“18
PKRILI deckt sich mit diesem Interesse, indem es voraussagende Analytiken zur
Verbesserung des operationellen Managements benutzt. Wenn das Interesse an der
PKRILI-Methode auch steigen mag, so gibt es insbesondere bei den
Investmentbanken einen Mangel an zu diesem Zweck benötigten Daten. Sowie die
für das Betriebsrisiko zuständigen Abteilungen wachsen und anfangen
Datensammlungen und Maßsysteme zu entwickeln, nehmen in gleichem Maße auch
PKRILI-Projekte zu.
Das erste Anwendungsbeispiel stammt aus dem Investmentbanking. Eine
europäische Investmentbank nutzte die Daten dreier Jahre, um Verluste und Vorfälle
durch Daten wie Deal Probleme, IT-Ausfallzeit und Personalfluktuation über einen
Zeitraum von sechs Monaten vorherzusagen. Die Voraussage war überraschend
erfolgreich. Ein R² erreichte zeitweise 0,9, meist jedoch 0,6 (was heißt, dass 60% der
Verluste vorausgesagt werden konnten). Der unten stehende high-level Ausschnitt
gibt eine Vorstellung von den Daten:
location
ID
HR-
Headcoun
t #
HR-
Joiners in
month
HR-
Leavers in
month
IT-System
Disruption
Incidents
#
IT-System
Downtime
hr:mm
FO-Trade
Volume #
FO-Trade
Amendme
nts #
OPS-
Nostro
Breaks #
OPS-
Stock
Breaks #
OPS-
Intersyste
m Breaks
#
OPS-
Failed
Trades #
OPS-
Unmatche
d Trades
#
RIS-
Market
Risk Limit
Breaches
#
AU-High
Risk O/S
Overdue
Audit
Issues #
AU-High
Risk O/S
Audit
Issues #
1 136 6 11 2 0.350694 19218 317.1111 3 9 6 463 52.77778 0 0 4.5
2 121 6 11 2 0.03125 8999 0 17 4 2 26 0 3 0 4.5
3 23 6 11 0 0 661 8.777778 3 0 0 0 7.444444 0 0 4.5
4 30 6 11 0 0 4307 80.55556 7 1 1 17 0 1 0 4.5
Tabelle 5 Prognoseergebnisse einer Europäischen Investment Bank
Es bleibt zu beachten, dass einige Daten dieses Daten-Ausschnitts, wie zur
Personalfluktuation oder zum IT-Ausfall auf Applikationsebene, in der Praxis
schwer zu beschaffen sind. Ebenso ist es zu beachten, dass PKRILI als eine
datenbasierte Methode Analysen nur so gut vornehmen kann, wie die Daten sind,
mit denen sie gefüttert werden – „kommt Mist rein, kommt Mist raus“ (‚garbage in,
garbage out’). In manchen Fällen sind Daten völlig „unvoraussagend“. Je wichtiger
Daten werden, desto mehr Ernsthaftigkeit muss bei deren Generierung aufgebracht
werden. Die Qualität der Daten kann sich mit der Zeit auf schwer zu ergründende
Art ändern und mit den umgebenden Systemen interagieren, insbesondere mit den
Personen dieses Systems. So war zum Beispiel in diesem Versuchslauf von
18 Vgl. Cruz, M. G. (2002), S. 140.
20
PKRILI die IT-Abteilung bestürzt, dass die IT-Ausfallzeit als Schlüsselindikator
für Risiko angenommen wurde und änderte den KRI einseitig zu
„unvorhergesehener Ausfallzeit“, was die Verlustvorhersage verzerrte. Die
Änderung wurde entdeckt, als man das DAPR-System anwandte, um die
umgekehrte LIPKRI-Vorhersage zur Qualitätskontrolle zu treffen.
Das zweite Anwendungsbeispiel stammt aus dem Bereich des
Warentermingeschäfts. Ein großer globaler Commodities-Anbieter, der nicht nur in
verschiedenen Warenterminmärkten sondern auch in Devisen und Fixed Income
aktiv ist, wendete die PKRILI-Methode in einer großen Handelsabteilung an.
Obschon der voraussagbare Erfolg im Probelauf nicht besonders groß war, lediglich
ein R² von 0,5, so wurde der Verdienst der PKRILI-Methode dennoch anerkannt
und beschlossen diese global auf mehrere Geschäftseinheiten auszudehnen. Nach
Kundenangaben half die PKRILI-Methode, die Wichtigkeit guter
Datenerhebungen und ihren Gebrauch zu vergegenwärtigen, sowie weitere Gebiete
zu erkennen, in denen Datenbestimmung und -sammlung, Validierung und
Integration merklich verbessert werden konnten. Man muss auch anmerken, dass die
SVM-Methode in den frühen Stadien nicht viel zur Wertschöpfung beitrug. Viele
der vorhergesagten Beziehungen waren zu offensichtlich, wie zum Beispiel, dass
eine große Zahl von Deal-Änderungen zu späteren Problemen führen kann.
Die PKRILI-Methode wurde Teil einer wissenschaftlicheren Herangehensweise
(von Hypothesenerstellung und Tests) für das Management von Betriebsrisiken.
Moderne Organisations-Theorie hat sich zu einem „offenen-System Ansatz“ bewegt.
Die entscheidenden Qualitäten moderner Organisationstheorie sind ihre begrifflich-
analytische Grundlage, ihr Vertrauen auf Daten der empirischen Forschung und vor
allem ihre zusammenfassende, integrierende Art. Diese Eigenschaften sind umrahmt
von einer Philosophie, die voraussetzt, dass der einzige Weg eine Organisation zu
untersuchen der ist, diese als System zu sehen.19
8 Schlussfolgerung
Parameter, die sich mit der Prognose operationeller Risiken beschäftigen, sind sehr
dynamisch. Eine SD-Modellierung, die sich dieser Thematik annimmt sollte diesen
hohen Veränderungsraten angepasst werden. Eine Möglichkeit hierbei liegt meines
19 Vgl. Johnson, R. A./Kast, F. E./Rosenzweig, J. E. (1964), S. 371–372.
21
Erachtens in der Unterstützung der Parameterselektion und -validierung durch
Support Vector Maschinen. Hierdurch ist es möglich, sich gezielt um den
Modellierungsprozess zu kümmern, ohne sich in der Vielzahl der Parameter zu
verzetteln.
Etwas formaler liest sich diese Hoffnung wie folgt: KRIs müssen als ein sich
beständig weiterentwickelndes System verstanden werden und keinesfalls als
statisch, daher das Augenmerk auf und der zunehmende Fit mit der zyklischen
PKRILI-Methode. Heutige KRIs sollten zukünftig der Vergangenheit angehören,
sobald Manager es schaffen, sie mit Verbesserung des Geschäfts weniger zu
Indikatoren von Verlusten oder Vorfällen zu entwickeln. Gleichermaßen müssen
Manager neu auftauchende KRIs in Betracht ziehen und permanent validieren.
Institutionen aus dem Wholesale Banking können sicherlich Aufsichtsbehörden mit
dem PKRILI-Ansatz beeindrucken, der Fokus sollte jedoch darauf liegen das
zugrunde liegende Geschäftsmodell zu verbessern und gleichzeitig die anhaftenden
operationellen Risiken zu minimieren.
Literaturverzeichnis
Basel Committee in Banking Supervision (2001): Sound Practices for the Manage-
ment and Supervision of Operational Risk. Bank for International Set-
tlements
Basel Committee in Banking Supervision (2004): International Convergence of
Capital Measurement and Capital Standards. A Revised Framework.
Herausgegeben von Bank for International Settlements. Basel:
Boser, Bernhard/Guyon, Isabelle/Vapnik, Vladimir (1992): A Training Algorithm
for Optimal Margin Classifiers: Proceedings of the Fifth Annual ACM
Workshop on Computational Learning Theory. July 27 - 29, 1992,
Pittsburgh, Pennsylvania. New York: Association for Computing Ma-
chinery, S. 144–152.
Cruz, Marcelo (2002): Modeling, measuring and hedging operational risk. New
York: John Wiley & Sons.
22
Diamond, Jared (2005): Guns, Germs, and Steel: The Fates of Human Societies.
New York: Norton.
Howitt, Jonathan/Mainelli, Michael/Taylor Charles (2004): Marionettes, or Masters
of the Universe? The Human Factor in Operational Risk, In: Opera-
tional Risk (A Special Edition of The RMA Journal), S. 52–57.
Johnson, Richard/Kast, Fremont/Rosenzweig, James (1964): Systems Theory and
Management, In: Management Science 10. Jg., Nr. 2, S. 367–384.
Mainelli, Michael (2004a): Toward a Prime Metric: Operational Risk Measurement
and Activity-Based Costing, In: Operational Risk (A Special Edition
of The RMA Journal), S. 34–40.
Mainelli, Michael (2004b): Finance Looking Fine, Looking DAPR: The Importance
of Dynamic Anomaly and Pattern Response, In: Journal of Risk Fi-
nance (Emerald) 12. Jg., Nr. 4, S. 56–59.
Simon, Herbert/Deutsch, Karl/Shubik, Martin et al. (1971): Designing organizations
for an information-rich world. In: Greenberger, Martin (Hg.): Com-
puters, communications, and the public interest. Baltimore: Johns
Hopkins Press, S. 37–72.
Vapnik, Vladimir (1998): Statistical learning theory. New York: Wiley.
Vapnik, Vladimir (2000): The nature of statistical learning theory. New York u. a.:
Springer.
Williamson, Oliver/Winter, Sidney/Coase, R. (1991): The nature of the firm. Ori-
gins, evolution, and development. New York: Oxford University
Press.