DE EN FR
Beratung Finanzindustrie

Digital Enterprise Risk Management

Das Enterprise Risk Management (ERM) bezeichnet die unternehmensbezogene Ordnung, wie Risiken gesamtheitlich erfasst, bewertet, eingegangen und gesteuert werden sollen. Das ERM entstammt dem ursprünglichen Anliegen des Committee of Sponsoring Organizations of the Treadway Commission (COSO) aus den frühen 1990er Jahren, die Finanzberichterstattung von Unternehmen mithilfe eines internen Kontrollsystems belastbarer und verlässlicher auszugestalten. Erst 2004 führte das COSO das ERM-Konzept ein und beschreibt es in seinem «Thought Paper Developing Key Risk Indicators to Strenghten ERM» von 2011: «Enterprise risk management is a process, effected by an entity’s board of directors, management, and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may effect the entity, and manage risk to be within the risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.»

Fast immer Bewertungsfragen
Digital Enterprise Risk Management (D-ERM) wird oft dahingehend missverstanden, es gehe darum, risikobezogene Informationen zu visualisieren. Als Standardbeispiele dienen mobile Management Cockpits. Das mag daran liegen, dass bisweilen kaum funktionierende digitale Systeme existieren, welche Risiken gesamtheitlich-kognitiv erfassen und präzise vorhersagen können. Selten hinterfragt wird, wie Risiken identifiziert und bewertet werden. Die quantitative Risikoanalyse versucht sich dem mit dynamisierten Modellen zu nähern, kann bis heute zukünftige Volatilitäten aber nicht verlässlich vorhersagen. Zudem werden von ERM-Modellen selbst ausgehende neue Risiken seit Jahren diskutiert. Zu sehen ist dies auch in dem Kontext, dass COSO schon immer auf die funktional-organisatorische Bedeutung des ERM und damit auf die Verantwortlichkeit des Managements hingewiesen hat. Haftungsrechtlich ist es problematisch, wenn ERM-Systeme Risiken nicht vollständig erfassen, neue Risiken erzeugen oder technologische Möglichkeiten nicht ausschöpfen.

Die Finanzkrise hat die Fehlerhaftigkeit vieler Bewertungs- und Risikomodelle offenbart. Juristische Streitfälle bei OTC-Derivaten werden bis heute ausgefochten. Fast immer geht es dabei um Bewertungsfragen. Es zeigen sich gravierende technische Schwächen bei sicher geglaubten Bewertungsmethoden. Das Risiko der in der Finanzkrise 2008 entstandenen kurzfristigen, erheblichen Liquiditätsengpässe war im ERM der meisten Banken ungenügend oder gar nicht erfasst. Kumulierte Margin Calls und darauf folgende Early Terminations von OTC-Derivaten verschärften das Liquiditätsproblem mit dem bekannten Ausgang der Insolvenz von Lehman Brothers. Die Entwicklung der Prämien für Credit Default Swaps auf Lehman Brothers machte ein drohendes Insolvenzrisiko zwar einige Zeit vor dem Konkurseintritt deutlich, war bisweilen aber auch indifferent. Infolge damals fehlender Predictive-Analytics-Technologien konnten diese Anzeichen womöglich nicht rechtzeitig gedeutet werden.

Verwunderlich ist das letztlich nicht. Denn sämtlichen bisherigen ERM- und Risiko-Modellen ist es gemein, dass sie nur auf historischen Daten aufbauen. Extremwert-Theorien beziehen sich auf statistisch generierte Daten. Diese sind nur in einem simulierten Kontext eingebettet. Hervorzuheben ist, dass nicht die quantitative Risikoanalyse und deren Modelle per se fragwürdig sind (wobei auch hier fehlerhafte Ausrichtungen diskutiert werden). Problematisch ist vielmehr, dass historische, statische und qualitativ für Zukunftsaussagen nur beschränkt relevante Datenfragmente verwendet werden. Die Kumulation von Risikoparametern und deren schadengeneigte Verdichtung können daher oft nicht erkannt werden.

Lücke geschlossen
Diese Lücke schliesst das Digital Enterprise Risk Management. Mithilfe digitaler Technologien können grosse Datenmengen und vermeintlich irrelevante Datenpunkte unterschiedlichster Risikodimensionen verknüpft werden. Im jeweiligen Kontext und in Echtzeit geben diese Daten völlig neue Informationen preis. Selbstlernende Algorithmen und darauf aufbauende Systeme künstlicher Intelligenz können Muster erkennen, selbstständig weiterentwickeln und zukünftige Szenarien präziser bestimmen. Auch diese Technologien bauen auf historischen Daten und statistischen Modellen auf; bei der Parametrisierung können Unschärfen entstehen. Allerdings können heute grosse Datenmengen mehrdimensional, kognitiv sowie kontextbezogen vernetzt analysiert und Vorhersagen getroffen werden. Nichts anderes vollzieht sich bei der Steuerungstechnologie selbstfahrender Autos: Innerhalb von Sekundenbruchteilen werden komplexe Echtzeit-Datenmengen risikobasiert (wie Gegenverkehr, Kurven, Wetter) in die relevanten Informationen zerlegt. Risikogewichtet werden diese priorisiert und dynamisch in den Kontext eingebettet (etwa vorausfahrendes Auto), dann in einen Steuerungsbefehl übersetzt, der wiederum durch ein D-ERM gepuffert ist.

Im Bereich von Cybercrime lassen sich zum Beispiel in Echtzeit vermeintlich irrelevante Datenspuren aggregieren und in einem realen Kontext analysieren. Aus sich aufbauenden Angriffsmustern, eingebuchten Handelspositionen oder Blockchain-basierten offenen Risikopositionen lassen sich Vorhersagen über das Risiko und dessen Eintrittswahrscheinlichkeit und Eintrittszeit treffen. Auf der Grundlage von Predictive-Analytics-Konzepten kann etwa atypisches Verhalten von Marktteilnehmern entschlüsselt werden. Aufbau oder Abbau von Handelspositionen können im Umfeld des Hochfrequenzhandels kontextbezogen unter Einbezug aller Marktbedingungen und -daten bewertet werden. Basierend auf digitalen Entscheidungsketten im Aktien- oder Derivatehandel und dem Abgleich verschiedener intern systembasierter und extern unstrukturierter Daten lassen sich operationell relevante Verhaltens- oder Systemrisiken vorhersehen und etwa die Handelslimite oder das Sicherheitenmanagement effizient steuern. Das voll integrierte kognitive Digital Enterprise Risk Management ermöglicht einen deutlichen Qualitätssprung in der materiellen Risikoerfassung, Vorhersage und der passgenauen Risikobehandlung. D-ERM-Prozesse können mit Controlling-, Legal & Compliance- oder Strategieprozessen verknüpft werden und unterstützen dabei, qualitativ bessere Entscheidungen in kürzerer Zeit treffen zu können, wobei der operationelle Aufwand umfassend vermindert und substanzielle Kosten eingespart werden können.

Sebastian Neufang