Risikomanagement im Zeitalter strukturierter Produkte: Aus Fehlern lernen

Transkript

1 Risikomanagement im Zeitalter strukturierter Produkte: Aus Fehlern lernen Aus Fehlern lernen! Wirtschaftsprüfung.Steuerberatung.Consulting.Corporate Finance.

2 Dieser Text basiert auf einer Veröffentlichung des Deloitte Centers for Banking Solutions, die im Herbst 2008 unter dem Titel Risk management in the age of structured products Lessons learned for improving risk intelligence erschienen ist. Die englischsprachige Originalfassung ist im Internet verfügbar unter: Deloitte AG Alle Rechte vorbehalten.

3 Inhaltsverzeichnis Einführung 2 Ein Rückblick 3 Ein kurzer historischer Überblick über das Risikomanagement im 3 Finanzdienstleistungssektor Die Kreditkrise und strukturierte Kreditprodukte 6 Der Kollaps Eine Synopse 9 Aus Fehlern lernen 10 Governance, Risikoidentifikation und Risikomanagement 10 Integration von Risiko und Rendite in die Entscheidungsfindung 13 Aufbau von Risikomanagementressourcen 14 Transparenz und Offenlegung 17 Empfehlungen der Regulatoren 18 Schlussfolgerungen 19 Zusammenfassung der gesammelten Erfahrungen 20 Risikointelligente Unternehmen 21 Ansprechpartner 22 Risikomanagement im Zeitalter strukturierter Produkte: Aus Fehlern lernen 1

4 Einführung Man ist versucht, die Schuld an der gegenwärtigen Situation den strukturierten Kreditprodukten 1 zuzuweisen, wobei die Ursachen jedoch viel tiefgreifender erscheinen. Grundlegende Probleme der jüngsten Kreditkrise sind unter anderem: Die dauerhaft niedrigen Zinssätze für kurzfristige Laufzeiten, die daraus resultierende und schließlich geplatzte Immobilienpreisblase in den USA, eine geänderte Kreditvergabepolitik mit niedrigeren Bonitätsanforderungen, ein hoher Leverage in vielen Bereichen des Finanzsystems, Bewertungs- und Risikomanagementverfahren, die mit der Produktkomplexität nicht Schritt halten konnten, sowie Zweifel an der Wirksamkeit des Risikomanagements. Wir sind der Meinung, dass es an der Zeit ist, mit veränderter Sichtweise auf die Risikomanagementkompetenzen der Finanzinstitute und die implementierten Prozesse zu blicken, die das Finanzrisikomanagement unterstützen Dies ist nicht das erste Mal, dass einzelne Firmen oder der Finanzsektor einen Abschwung erlebt haben, der auf solche Probleme zurückzuführen ist. Es ist das Ausmaß der Verluste und die Anzahl Unternehmen, die scheinbar nicht das volle Gefährdungspotenzial verstanden, die diesen Kollaps so besonders machen. Angesichts der enormen Verluste sollte das globale Finanzsystem vor einer Wiederholung geschützt werden. Das Finanzwesen hat sich noch nicht von den Auswirkungen des breiten Abschwunges erholt. Eine Deloitte-Umfrage unter Senior Executives, inklusive der Chief Risk Officers, der weltweit führenden Finanzunternehmen hat ergeben, dass mehr als 91% der Befragten glauben, dass die Wahrscheinlichkeit sowie die potenzielle wirtschaftliche Auswirkung systemischer Risikoereignisse zugenommen haben. 2 Ein Drittel der Executives erwarten keine Verbesserung der Finanz-, Kredit- und Liquiditätskrise in Die vier meistgenannten Ursachen des systemischen Risikos waren: Zunehmende Fremdkapitalaufnahme, um Investitionen zu finanzieren (44%) Kreditrisikozyklen und Bewertungsblasen (40%) Die Schwierigkeiten bei der Identifikation exzessiv angehäufter Risiken (39%) Die zunehmende Vernetzung des Marktes durch die Globalisierung (30%) Wir sind der Meinung, dass es an der Zeit ist, mit veränderter Sichtweise auf die Risikomanagementkompetenzen der Finanzinstitute und die implementierten Prozesse zu blicken, die das Finanzrisikomanagement unterstützen. 3 Es scheint, dass es manchem Unternehmen an klaren Vorgaben hinsichtlich Risikophilosophie, Risikoappetit, einer relevanten Risikopolitik und an den notwendigen Kapazitäten und Kenntnissen fehlt, um ein akkurates, aggregiertes und unternehmensweites Verständnis der Risiken, denen sie begegnen, zu schaffen. Andere Institute gingen unmittelbar auf diese Risikomanagementprobleme ein. Diese Unternehmen sehen das Risikomanagement nicht als Bremsklotz, sondern als einen Teil der strategischen Diskussion, in der die Entscheidungsträger Risiko und Rendite gleichzeitig betrachten. Der Risikoappetit wurde klar definiert, verstanden und in die Prozesse eingebettet. Das Risiko ist ein Teil der täglichen Diskussionen und wird aus einer unternehmensweiten Perspektive betrachtet. In diesen Unternehmen ist das Risikomanagement ein aktiver Teilnehmer bei allen Schlüsselentscheidungen. Jetzt ist der richtige Zeitpunkt für einen sorgfältigen Review und die Einführung der notwendigen Organisations- und Prozessänderungen, um ein wirksames Risikomanagement zu gewährleisten. In vielen Institutionen erscheint eine Anpassung der Methodik und der Abläufe des Risikomanagements dringend notwendig und soll den Unternehmen helfen, sich von einer Position der Verwundbarkeit weg zu bewegen, das Risikomanagement ganzheitlicher anzuwenden und das Unternehmen vor unbekannten aber wesentlichen Risiken besser zu schützen. 1 Als Strukturierte Kreditprodukte sollen im Folgenden ganz allgemein die Palette von klassischen und/oder synthetischen Kreditderivaten verstanden werden, die im Rahmen der Beschaffung, Distribution und Handel von kreditsensitiven Anlagen gebraucht werden, um etwa Werte zu generieren (z.b. cash collaterized debt obligations; CDOs ), Arbitrage zu betreiben (z.b. single tranche synthetic CDOs für Korrelationshandel), Bilanzmanagement vorzunehmen (z.b. synthetic CDOs mit der Absicht der Kapitalreduktion), oder um als Kreditintermediär aufzutreten (z.b. credit default swaps für den Handel von super senior Risiken mit unterschiedlichen Kontrahenten). 2 Systemic Financial Risk, Surveying the Markets, Deloitte Touche Tohmatsu, Risikomanagement kann umfassend verstanden werden und beinhaltet alle Risiken, denen ein Unternehmen ausgesetzt ist. Dies schließt Finanzrisiken wie Kredit- und Liquiditätsrisiken ebenso ein wie allgemeinere Risikokategorien (Compliancerisiken, operationelle, strategische und Reputationsrisiken, Rechtsrisiken etc.) Für die Zwecke dieses Beitrags soll sich der Begriff Risikomanagement jedoch in erster Linie auf das Management von Marktpreis-, Kredit-, Liquiditäts- und operationellen Risiken im Zusammenhang mit dem Handel von Finanzinstrumenten beziehen. 2

5 Ein Rückblick Ein kurzer historischer Überblick über das Risikomanagement im Finanzdienstleistungssektor Regulatorische Rahmenbedingungen Vor der Kreditkrise wurden die Praxis und die Erwartungshaltung im Risikomanagement oft hauptsächlich von den regulatorischen Anforderungen getrieben, da sich die Aufsichtsbehörden einige Zeit lang darauf fokussiert hatten, Finanzinstitute zu einer Verbesserung des Gesamtbankrisikomanagements anzutreiben. Eines der bedeutendsten Programme der Bankenaufsicht war die Verstärkung der risikoorientierten Kapitalausstattung und Regulierung in Form der Basler Akkorde. Basel I, veröffentlicht 1988, war die erste international standardisierte regulatorische Eigenmittelanforderung. Durch Basel I wurde erstmals weltweit eine konsistente regulatorische Kapitalanforderung für Kreditrisiken eingeführt. Nach einiger Zeit wurde aber deutlich, dass diese einfache Herangehensweise im Zusammenhang mit Finanzinnovationen und der Schaffung neuer Produkte, wie strukturierte Kreditprodukte, unzureichend war. Basel I hat das Wachstum von Verbriefungstransaktionen und anderen Methoden zur Reduzierung der Kapitalkosten begünstigt, da die Grenzen des Regelwerks ausgenutzt und Aufsichtsarbitrage unter Basel I zum Alltag wurde wurde Basel I durch Regeln zum Marktpreisrisiko ergänzt. Zudem wurde den Banken zum ersten Mal gestattet, intern entwickelte Risikomodelle, welche auf Value at Risk (VaR) Methoden und damit statistischen Daten basieren, für die Kapitalberechnung zu benutzen. Nicht zuletzt als Konsequenz der Basler Marktrisikoanforderungen haben die größten globalen Banken den VaR in der zweiten Hälfte der 1990er Jahre als Standardverfahren für die Messung des Marktrisikos übernommen. Es gibt jedoch Einschränkungen des Value at Risk. Der VaR ist kein voraussagendes Instrument. Er kann insbesondere keine Katastrophen infolge von sogenannten Stress-oder Tailevents prognostizieren, weil er normalerweise auf historischen Daten basiert. Dadurch zeichnet der VaR ein überoptimistisches Bild in anhaltenden Aufschwungzeiten. Basel II 4 war das Ergebnis ausgiebiger Diskussionen unter den Mitgliedern des Basler Ausschusses für Bankenaufsicht. Diverse Konsultationspapiere und Vorschläge wurden herausgegeben, die in den 2004 veröffentlichten Akkord mündeten, welcher zwischenzeitlich bereits revidiert und abgeändert wurde. Das erklärte Ziel des Basler Komitees bei der Überarbeitung des Regelwerks von 1988 war die Entwicklung eines Rahmens, der die Zuverlässigkeit und Stabilität des internationalen Bankensystems weiter stärken soll. Dabei soll gleichzeitig eine ausreichende Konsistenz beibehalten werden, um zu verhindern, dass die Regulierung der Kapitalanforderungen zu signifikanten Wettbewerbsnachteilen bei international tätigen Banken führt. 5 Durch Basel II wurden anspruchsvollere Messverfahren für Kreditrisiken und auch Regeln für komplexere Produkte wie z.b. verbriefte Transaktionen eingeführt. Da das Basel II-Regelwerk der individuellen Umsetzung in den einzelnen Staaten unterlag, war es zum Zeitpunkt der Kreditkrise weltweit noch nicht in vollem Umfang implementiert. In den USA war Basel II beispielsweise noch nicht in Kraft getreten. Infolge des US-Systems der unterschiedlichen Beaufsichtigung von Geschäftsbanken einerseits und Investment Banken andererseits hat die Securities and Exchange Commission ( SEC ) im Jahr 2004 für Investment Banken eigene Regelungen zur angemessenen Kapitalausstattung eingeführt; diese als Consolidated Supervisory Entity ( CSE ) bekannten Regeln 6 sind im Wesentlichen vergleichbar mit Basel II. Die Solvency II genannten Vorschläge der Europäischen Union haben dazu geführt, dass sich auch die Risiko- und Kapitalmanagementprozesse vieler Versicherungsunternehmen verändern. Die Auswirkungen von Solvency II auf das Risikomanagement in der Versicherungsbranche können durchaus mit den Veränderungen durch Basel II auf die Kreditwirtschaft verglichen werden. 4 Internationale Konvergenz der Eigenkapitalmessung und Eigenkapitalanforderung, Basler Ausschuss für Bankenaufsicht, Juni Internationale Konvergenz der Eigenkapitalmessung und Eigenkapitalanforderung, Umfassende Version, Basler Ausschuss für Bankenaufsicht, Juni Alternative Net Capital Requirements for Broker-Dealers That Are Part Consolidated Supervised Entities, Securities and Exchange Commission, final rule effective date August 20, Risikomanagement im Zeitalter strukturierter Produkte: Aus Fehlern lernen 3

6 Die Methoden der Risikomessung Die Risikomessmethoden für handelbare Produkte basieren vorwiegend auf dem VaR, insbesondere für Marktpreisrisiken. Verwandte Techniken werden bei Kontrahentenrisiken eingesetzt. Im Allgemeinen wurden die unterschiedlichen Risikoarten wie Kredit- und Marktpreisrisiken mit eigenständigen Methoden und risk engines gemessen. Manche Risikomessmethoden nutzten vereinfachende Faktoren für die Risikoeinschätzung anstatt eine vollumfängliche Neuberechnung der einzelnen Positionen durchzuführen. Jedoch neigt eine Vereinfachung häufig zu einer Unterschätzung des Risikos, da die speziellen Risiken aus den Besonderheiten bestimmter Produkte unter Umständen nicht sauber abgebildet werden. Ein weiteres Problem besteht darin, dass verschiedene Risikomanagementsysteme sowohl hinsichtlich der verschiedenen Risikoarten als auch der verschiedenen Handelsbereiche innerhalb eines Instituts oft unabhängig voneinander operierten. In der Folge mussten die für das Risikomanagement verantwortlichen Personen die einzelnen Daten teilweise manuell zum Gesamtbild zusammenfügen. Dies wiederum führte dazu, dass die Risiken für komplexe Produkte nicht immer richtig erfasst und eingeschätzt wurden und es oft nicht möglich war, einen Gesamtüberblick über alle relevanten Risiken zu bekommen. Für Marktpreis- und Kreditrisiken wurden häufig isolierte und unterschiedliche Methoden angewandt, sodass Risikoabgleiche erschwert wurden. Die Modellierung der zugrundeliegenden Sicherheiten von komplexen Kreditprodukten, wie z.b. collateralised debt obligations (CDOs), haben häufig Faktoren wie die Korrelationen der zugrundeliegenden Sicherheiten, die Auswirkungen eines möglichen Anstieges von Zahlungsausfällen oder Änderungen der Verwertungsquote nicht berücksichtigt. In einigen Banken ging man wohl davon aus, dass diese Risiken erfasst würden, obwohl dies nicht zutraf. Dieses Problem begann aber nicht erst mit der Einführung der strukturierten Produkte: Auch in der Vergangenheit neigte die Qualität der Daten und Datenprozesse, die einigen Risikomanagern zur Verfügung standen, zu Ungenauigkeit und Inkonsistenz. Dies erschwerte die Aggregation und verminderte die Glaubwürdigkeit der resultierenden Bewertungen und Analysen. In einigen Unternehmen wurde die Datenaufbereitung durch die Handels- und Abwicklungsinfrastruktur erschwert, die keinen konsolidierten Blick auf die Geschäfte zuließ. Dies war die Folge einer nur eingeschränkten Erfassung aller relevanten Geschäftsdaten zum Zeitpunkt der Ausführung als auch aufgrund von Lücken bei der Zusammenführung von erfassten Daten. Die strukturierten Kreditprodukte waren für viele Finanzinstitute unter der herrschenden Vorgehensweise im Risikomanagement angesichts der getrennten Messung von Marktpreis- und Kreditrisiko eine echte Herausforderung. Da viele dieser Produkte im Handelsbuch gehalten wurden, unterlagen sie nicht den regulatorischen Vorschriften für das Anlagebuch sondern den Marktpreisrisikoregeln. Da solche gehandelten Produkte nicht nur Marktpreisrisiken ausgesetzt sind, sondern auch eine fundamentale Kreditrisikoanalyse erfordern, wäre jedoch ein stärker integrierter Ansatz erforderlich gewesen. All zu oft schien die Verantwortung für das Risikomanagement dieser Produkte zwischen den Markt- und Kreditrisikofunktionen hindurch zu fallen. Diese fehlende Koordination zwischen den Risikofunktionen blieb unbemerkt, bis es zu spät war und Verluste eintraten. Zudem variierten die Investitionen in Risikomanagementtechnologien erheblich, nicht nur von Unternehmen zu Unternehmen, sondern auch unter den verschiedenen Risikomanagementbereichen in ein und derselben Bank. Während sich neue Produkte vermehrten, wurden die Grenzen der technischen Infrastruktur immer kritischer. Neue Produkte wurden viel schneller eingeführt als die Entwicklung der IT- Verfahren voranschritt, die notwendig gewesen wären, um diese Produkte zu bewerten. Auch dieser Umstand erschwerte mancherorts die Erfassung aller relevanten Risiken. 4

7 Organisation und Führung Obwohl viele Institute stolz auf ihre Risikomanagementprozesse waren, war das Risikomanagement rückblickend wohl doch nicht immer ausreichend entwickelt bzw. nicht gut integriert. In einigen Instituten wurde die zentrale Steuerung in größerem Umfang an die Geschäftsbereiche selbst abgegeben, welche dann zu einer eher autonomen Steuerung neigten. Die Geschäftsbereiche waren auf die Steigerung der Erträge fokussiert; Investitionen in Risikomanagementinfrastruktur und -prozesse hatten offenbar geringere Priorität. Die Genehmigungen für den Handel neuer Produkte wurden möglicherweise gegeben, ohne wirklich ein ausreichendes Verständnis der Risiken oder der notwendigen Systemunterstützung zu haben. Die möglichen Auswirkungen einer Überbetonung kurzfristiger Erträge zu Lasten des Risikomanagements sollten nicht unterschätzt werden: Bedingt durch den Druck, die Quartalserträge und Aktienkurse zu steigern, war es für einige Unternehmen offensichtlich schwierig, aus dieser Spirale auszusteigen. Auch als die Warnzeichen immer zahlreicher wurden und erste Banken ihre Verluste bekannt gaben, waren nur wenige Marktteilnehmer im Stande, ihre Steuerungsmodelle anzupassen. Andere Erwägungen Es bestehen ein paar weitere bemerkenswerte Faktoren, die zu Größe und Ausmaß der Kreditkrise beigetragen haben. Erstens liegt bei größeren Geschäftstransaktionen meist ein Anreizproblem ( agency problem ) vor, wodurch für die Händler eine Asymmetrie zwischen Risiko und Rendite besteht: Im Erfolgsfall erhält der Mitarbeiter erhebliche Prämien und Bonifikationen, während im Falle eines ungünstigen Ausgangs sein Risiko begrenzt ist (zum Beispiel auf den Verlust des Arbeitsplatzes), wobei das Kreditinstitut in diesem Fall massiv gefährdet sein könnte. Demzufolge standen die Anreize für diejenigen, die die Risiken eingehen und managen (= die Händler), nicht immer im Einklang mit denen der Aktionäre und der Institute selbst. Zweitens scheint der Fokus auf die Risikomanagementbereiche generell zyklisch zu sein. Die Aufmerksamkeit für Risikomanagementthemen erhöht sich normalerweise nach größeren Verlustereignissen und vollzieht sich deshalb meistens mit einer gewissen Verzögerung. Ein gutes Beispiel dafür sind die großen Risikoevents, welche nacheinander in den Jahren 2000 und 2001 passierten: Die Technologiekrise, die Zusammenbrüche von Enron, WorldCom und Tyco sowie die Anschläge vom 11. September Der Bilanzbetrug im Zusammenhang mit einigen dieser Vorfälle richtete den Blick auf die Rechnungsprüfung und Unternehmenssteuerung und gipfelte in den Vereinigten Staaten schlussendlich 2002 im Sarbanes-Oxley-Act. Bereits kurz darauf folgte darauf eine längere freundliche Periode. Ein Boom begann, welcher bis vor kurzem anhielt. In dieser Periode lag der Fokus viel weniger auf dem Risikomanagement als zu Zeiten von Unsicherheit und Volatilität was im Einklang mit dem erwarteten zyklischen Risikomanagementfokus steht. Drittens wurden der Ausbau des Risikomanagements und die Budgets in den letzten Jahren tendenziell von der Erfüllung regulatorischer Anforderungen getrieben, wie beispielsweise durch Basel II oder Sarbanes-Oxley. Während diese Anstrengungen zweifellos richtig und wichtig waren, hatten sie nichtsdestotrotz den Effekt, den Fokus von vielen Risikomanagementressourcen zu dominieren bis die Kreditkrise unausweichlich wurde. Die möglichen Auswirkungen einer Überbetonung kurzfristiger Erträge zu Lasten des Risikomanagements sollten nicht unterschätzt werden Risikomanagement im Zeitalter strukturierter Produkte: Aus Fehlern lernen 5

8 Die Kreditkrise und strukturierte Kreditprodukte Die Bewertung von strukturierten Kreditprodukten ist zwangsläufig komplex, wenn man an die anspruchsvollen Modellierungsverfahren denkt, die notwendig sind, um das Korrelationsrisiko tausender zugrundeliegender Anlagen unterschiedlicher Qualität einzubeziehen. Während diese Komplexität im Allgemeinen bereits ein großes Hindernis hinsichtlich eines umfassenden Risikoverständnisses darstellt, haben sehr spezifische Entwicklungen im Geschäft mit strukturierten Produkten zur Krise beigetragen. Erwartung eines steigenden Wohneigentumsmarktes in den USA Die Wertsteigerungen vergangener Perioden und die historisch niedrigen Ausfallquoten haben die Bewertung und Risikoeinschätzung der strukturierten Kreditprodukte signifikant beeinflusst. Analytische Modelle, abhängig von historischen Daten, wurden oftmals erdrückt durch den Effekt der steigenden Immobilienpreise, welche über ein halbes Jahrhundert kontinuierlich zunahmen (vgl. S&P Case- Shiller Immobilienindex 7 ). Im März 2007, als sich die Kreditkrise anzukündigen begann, fielen die Preise aber erstmals. S&P/Case-Shiller Home Price Index Home Price Index /1987 1/1989 1/1991 1/1993 1/1995 1/1997 1/1999 1/2001 1/2003 Source: Standard & Poor s, Composite-10 CSXR; January 1987 May /2005 1/2007 Auf historischen Daten beruhende, analytische Modelle waren in vielen Fällen mit dem Effekt steigender Preise von Eigenheimen überfordert 7 Der Case-Shiller Eigenheimpreisindex misst den nominalen Wert des Eigenheimmarktes in den Vereinigten Staaten von Amerika basierend auf 10 grossen städtischen Gebieten. 8 The Rating Charade, David Evans and Richard Tomlinson, Bloomberg Markets, July Ertragsziele des Managements Produktinnovation und Produktkomplexität entwickelten sich sehr schnell, größtenteils getrieben durch die Profitabilität der neuen Produkte. Anfangs gab es oft nur wenige Begrenzungen und, unterstützt durch den Erfolg, konnten sich die Marktbereiche einer zu engen Aufsicht entziehen und sich gegen die Einwände des Risikomanagements durchsetzen. Wie oben bereits erwähnt hinkte die Technik zur Unterstützung der Risikoanalyse der Entwicklung neuer Produkte hinterher. Dies schränkte die Möglichkeiten diverser Institute bei Überwachung und Kontrolle ihrer Risikoexposures in diversen Produkten ein. Einfache Refinanzierung und hohe Renditen Vereinfacht gesprochen gab es ein Überangebot an Geld zu sehr günstigen Konditionen, das zur Finanzierung von allem genutzt werden konnte: von den zugrundeliegenden Hypotheken bis zu den Transaktionen strukturierter Produkte selbst. Risikoprämien, also die Spreads über risikolosen Investitionen wie Staatsanleihen, waren auf einem historischen Tief Beweis eines Überangebotes an Geld und eines ungezügelten Risikoappetits. Viele der Investment Grade gerateten CDOs versprachen Renditen jenseits von alternativen Investitionsmöglichkeiten. Im Jahr 2006 generierten die BBB gerateten CDOs eine Rendite von 7 bis 9 Prozentpunkten über LIBOR, was in etwa einer Rendite von 13% p.a. entspricht. 8 Zur gleichen Zeit entfernten sich die Kreditvergabestandards für Immobilienfinanzierungen von den bisherigen Bonitätsanforderungen, was den Weg ebnete für Subprime- und andere nichtstandardisierte Finanzierungen. Zu diesen nichtstandardisierten Darlehens- bzw. Subprime-Kategorien gehörten in den USA auch Hypotheken mit variablen Zinssätzen (sog. Adjustable-Rate-Mortgages, kurz ARMs ), bei denen der Kreditzins alle zwei Jahre neu bestimmt wurde. Ebenso zu dieser Kategorie zählten so genannte low documentation Darlehen, für die oftmals kein Einkommensnachweis erforderlich war. Es wurden sogar Darlehen vergeben, bei denen der Schuldner die Zahlungsbeträge selbst festlegen konnte (sog. option ARMs oder pick-a-payment Produkte). 6

9 Noch wichtiger war, dass das Verhältnis zwischen dem Wert einer Immobilie und der Höhe der Hypothek (sog. Beleihungsauslauf oder loan-to-value-ratio, kurz LTV- Ratio) für viele der zwischen 2005 und 2006 begebenen Hypotheken bei ca. 90% lag. Somit war die Hypothek nur durch sehr wenig Eigenkapital des Schuldners gedeckt. 9 Des Weiteren gab es in einigen Instituten Mängel bei der Berücksichtigung bestimmter Risiken im Rahmen des Risk Pricing. In der Folge wurde versucht, durch große Exposures bei kleinen Margen Erträge zu generieren, was weiter zum Leverage-Effekt beitrug. Diese wachsenden Positionen setzten die Institute einem enormen Klumpenrisiko aus. Verbriefung Bei den Verbriefungstransaktionen fand förmlich eine Explosion statt, durch die große Mengen an komplexen Wertpapieren, abgesichert durch Hypotheken und andere Forderungen, geschaffen wurden. Das Modell der Verbriefung erlaubte die Verschiebung des Risikos von der Bilanz des Emittenten zum Enderwerber, wobei der Veräußerer zumeist nur einen kleinen Teil des Risikos zurückbehalten hat. Am Ende sammelten sich bei den Originatoren nicht nur viele nicht beabsichtigte Finanzierungen, auch die Investoren, die in hochkomplexe Instrumente mit hohen Erträgen investiert hatten, litten unter einer hohen Konzentration an Immobilienrisiken. Die durch die Verbriefung von Forderungen beabsichtigte Risikodiversifizierung stellte somit keine Absicherung dar, weder vor dem Absturz der Immobilienpreise noch vor einer unerwarteten Risikokorrelation und - konzentration. ABX 06-1 Implied Spreads bps 1,400 1,200 1, AAA AA A Das Modell der Verbriefungsindustrie ging davon aus, dass die Risiken nicht in den Bilanzen der Banken liegen würden. Mit der Zeit stellte sich diese Annahme aber als falsch heraus, da die Institute immer öfter am Markt nicht platzierbare Tranchen einbehalten mussten. Letztlich konnten auch neu angebahnte Geschäfte nicht mehr in den Markt gegeben werden. Daraus resultierte, dass die Banken substanzielle Risiken selbst übernehmen mussten, welche im ursprünglichen Geschäftsmodell nicht antizipiert wurden /2006 5/2006 8/ /2006 2/2007 5/2007 Quelle: Lehman Brothers/Markit Partners 8/ /2007 2/2008 5/2008 8/2008 Darüber hinaus wurden verbriefte Vermögenswerte auf Investoren in der ganzen Welt mit unterschiedlichem Erfahrungsschatz verteilt. Die ständige Suche der Investoren nach Überrenditen brachte einige Emittenten dazu, zunehmend komplexere Produkten mit immer exotischeren Eigenschaften und letztlich mit fragwürdigen zugrunde liegenden Sicherheiten zu schaffen. Die Käufer dieser Wertpapiere hatten nicht immer das Wissen oder die Möglichkeiten, um den Wert der Transaktionen bzw. der eingekauften Risiken unabhängig zu ermitteln. Daher wurde den Rating- Agenturen zu viel Vertrauen geschenkt. Eine Schätzung ergab, dass etwa die Hälfte der 412 Milliarden US- Dollar CDOs, die 2006 in den USA emittiert wurden, Subprime-Finanzierungen enthielten und dass von diesen im Durchschnitt 45% durch Subprime-Kredite gedeckt waren Why We Are Still in the Early Innings of the Bursting of the Housing and Credit Bubbles, T2 Partners LLC, March 16, The Rating Charade, David Evans and Richard Tomlinson, Bloomberg Markets, July Risikomanagement im Zeitalter strukturierter Produkte: Aus Fehlern lernen 7

10 Bewertung Handelspositionen, einschließlich strukturierter Kreditprodukte, sind von Marktbewertungen (mark-to-market) abhängig. Als die Neuemissionen und der Handel mit diesen Produkten zurückgingen, sank auch die Liquidität des Markts für strukturierte Kreditprodukte. Aus diesem Grund verschob sie die Bewertung der strukturierten Produkte von transaktionsbasierten Informationen zu modellbasierten Preisen, die sich aus allgemeineren Indizes berechnen lassen. Daraus resultierten weniger verlässliche Bewertungen und größere Bepreisungsrisiken. Die Bewertung der strukturierten Produkte war aufgrund der Komplexität der Produkte und anderer Faktoren eine Herausforderung für sich, unter anderem wegen der unzuverlässigen Ratings, der unvollständigen Besicherungsannahmen und der zusätzlich erforderlichen unterstützenden Analysen. Quarterly CDO Issuance in $ Billions Q1 2004Q2 2004Q3 2004Q4 2005Q1 2005Q2 2005Q3 2005Q4 2006Q1 2006Q2 2006Q3 2006Q4 2007Q1 2007Q2 2007Q3 2007Q4 2008Q1 2008Q2 Source: SIFMA, Global CDO Market Issuance Data; Total Issuance; first quarter 2004 second quarter Die Bewertung der strukturierten Produkte war aufgrund der Komplexität der Produkte und anderer Faktoren eine Herausforderung für sich, unter anderem wegen der unzuverlässigen Ratings, der unvollständigen Besicherungsannahmen und der zusätzlich erforderlichen unterstützenden Analysen 8

11 Der Kollaps Eine Synopse Die rasche Weiterentwicklung in der Komplexität der strukturierten Kreditprodukte wurde begleitet von einem Rückgang in der Qualität der zugrunde liegenden Sicherheiten und einem Liquiditätsrückgang auf den Kreditmärkten. Diese Kombination überforderte in vielen Fällen die sich noch entwickelnden Methoden und die Einstellung im Risikomanagement. Der Zusammenbruch der Finanzmärkte, der sich fortsetzte als die Verluste in den strukturierten Kreditprodukten weithin bekannt wurden, deckte zuvor verborgene Schwächen im Risikomanagement auf. Bis zum Ende der Krise könnten sich die Gesamtverluste der Branche nach verschiedenen Schätzungen zu einer Summe von 2 Billionen US-Dollar oder mehr aufsummieren. Bis Mitte Januar 2009 beliefen sich die weltweiten Abschreibungen bereits auf 780 Milliarden US-Dollar, wovon knapp ein Fünftel auf Banken der Euro-Zone entfällt. 11 Es steht zu befürchten, dass weitere Wertberichtigungen und Abschreibungen folgen werden. Die große Spannbreite der Verlustschätzungen könnte auf unterschiedliche Meinungen zurückzuführen sein, welche Verluste tatsächlich auf die Subprime-Krise zurückzuführen sind. Gleichzeitig ist dies auch ein weiterer Beweis für die andauernden Herausforderungen bei der Bewertung der zugrunde liegenden Finanzinstrumente. Eines der größten Probleme scheint der unvollständige Überblick von Finanzinstituten über den tatsächlichen Umfang der Risiken in den genannten Produkten gewesen zu sein: Die verwendeten Methoden zur Bewertung, Messung und Überwachung strukturierter Kredithandelspositionen konnten oft die zugrundeliegenden Sicherheiten nicht sauber bewerten, was zur Unterschätzung der Risiken führte. Neuere, komplexere Produkte wurden oft nicht in die vorhandene Risikoinfrastruktur einbezogen und stattdessen über Tabellenkalkulationsprogramme oder mit vereinfachten Risikoansätzen überwacht. Diese Methoden vernachlässigten bestimmte spezifische Risiken, wie z.b. Kredit- und Vorauszahlungsrisiken der jeweiligen zugrunde liegenden Darlehen. Die Analyseansätze in verschiedenen Bereichen, z.b. Strukturierungsmodelle, Bewertungsmodelle des Front Office, Marktrisikomodelle und Kontrahentenrisikomodelle, haben zum Teil inkonsistente Ergebnisse ergeben, sodass der Vergleich der Ergebnisse erschwert wurde. Angesichts der Grenzen einiger Risikomanagementmethoden stellte sich die Frage nach der Tauglichkeit der Modelle. Es zeigte sich deutlich die Abhängigkeit von historischen Daten, in denen die Zeiten des billigen Geldes, der unkritischen Kreditvergabe und der rapide gestiegenen Eigenheimpreise enthalten waren. In der Folge wurden die inhärenten Risiken strukturierter Kreditprodukte, die zwischen 2004 und 2007 begeben wurden, häufig unterschätzt. Es war jedoch die mangelnde Marktliquidität, die die Aufmerksamkeit auf die gefährlichen Risikokonzentrationen und die überhöhten Risikoexposures lenkte. Ohne beobachtbare Marktpreise wurde die Bewertung dieser Instrumente wie beschrieben zu einer großen Herausforderung. Als die Größe und der Umfang dieser Positionen identifiziert wurden, waren Finanzinstitute gezwungen, noch nie da gewesene Abschreibungen vorzunehmen. Die Kombination dieser Ereignisse erhöhte das Potential systemischer Risiken und eines Kollapses des globalen Finanzsystems. Dies wiederum führte zu noch nie da gewesenen Eingriffen diverser Regierungen und Notenbanken, um den Märkten ausreichend Liquidität zur Verfügung zu stellen, sie zu entlasten und so die systemischen Risiken zu reduzieren. Was können wir aus diesen Ereignissen lernen? Was können wir anders machen? Worauf sollten sich Finanzinstitute konzentrieren, um die Wirksamkeit ihres Risikomanagements zu verbessern? 11 Vgl. Gertrude Tumpel-Gugerell: The financial crisis looking back and the way forward, BIS Review 8/2009. Risikomanagement im Zeitalter strukturierter Produkte: Aus Fehlern lernen 9

12 Aus Fehlern lernen Mit den Erkenntnissen aus der rückblickenden Betrachtung und unter Berücksichtigung der regulatorischen Empfehlungen könnten die Lektionen aus der Kreditkrise in vier Bereiche gegliedert werden: 1. Neugestaltung von Governance, Risikoidentifikation und Risikomanagement 2. Integration von Risiko und Rendite in die Entscheidungsfindung 3. Aufbau von Ressourcen für das Verstehen und Managen von Risiken 4. Überdenken der Notwendigkeit von verbesserter Transparenz und Offenlegung Aus den folgenden Lektionen ergeben sich sowohl Handlungsempfehlungen als auch Anregungen zum Nachdenken. Einige der nachfolgenden Empfehlungen sind in bestimmten Ländern bereits verpflichtende aufsichtliche Anforderungen, in Deutschland beispielsweise im Rahmen der Mindestanforderungen an das Risikomanagement (MaRisk). Der Umstand, dass es auch in diesen Ländern zu teilweise massiven Verlusten gekommen ist, zeigt, dass die aufsichtlichen Anforderungen nicht nur formell sondern im Praxisalltag umgesetzt werden müssen. Governance, Risikoidentifikation und Risikomanagement Risikoverantwortung und -überwachung Ein Schlüsselthema der Kreditkrise ist die Rolle der Geschäftsleitung und des Aufsichts- bzw. Verwaltungsrats (AR/VR). 12 Es scheint, als ob die Geschäftsleitung und der AR/VR in einigen Fällen nicht ausreichend über die Risiken der strukturierten Produkte und die kumulierten Risiken in der Bilanz in ihren Unternehmen informiert wurden. Dies war nicht notwendigerweise ein Fehler des Risikomanagements (obwohl es durchaus Fälle gab, in denen Warnungen ungenügend kommuniziert wurden) sondern ein Versagen der grundsätzlichen Unternehmensbeaufsichtigung und -führung samt zugehöriger Systeme, Richtlinien und Verfahren. In anderen Fällen wurden die Geschäftsleitung und das Aufsichtsgremium über die Gefahren informiert, ergriffen aber keine rechtzeitigen Maßnahmen. Grund hierfür könnte sein, dass die Informationen aus dem Risikomanagement nur begrenzte Aussagekraft hatten, oder dass das potentielle Risiko unterschätzt wurde. Da in einigen Fällen weder die Risikomanagementkultur noch die methodischen Ansätze ausreichend in die Gesamtunternehmung eingebettet waren, konnten die Risiken und die Ertragsaussichten nicht verknüpft werden. Das aber wäre für ein besseres, unternehmensweites Verständnis der Risiken nötig gewesen. Dieses Nichtbegreifen des tatsächlichen Ausmaßes der Risiken in der Organisation war die Grundlage für die Verluste. Darüber hinaus hatten einige Aufsichts- bzw. Verwaltungsräte gar nicht die Möglichkeit, sich einen angemessenen Überblick über die Risiken zu verschaffen, vor allem weil vollständige und rechtzeitige Informationen fehlten. Daher stellten diese Verwaltungsräte keine Fragen zur heraufziehenden Krise, bis es zu spät war. Außerdem gab es wohl auch Verwaltungsratsmitglieder, die sozusagen Risiko- Analphabeten waren, d.h., es fehlte ihnen das Verständnis für das inhärente Risiko der Produkte, mit denen die Bank ihre Erträge generierte. Während ihre grundsätzliche Kompetenz außer Frage stand, waren sie in den Besonderheiten des Risikomanagements oder auf dem neuen und komplexen Gebiet der strukturierten Produkte zu wenig sachkundig. Schließlich waren die Definition des Risikoappetits sowie dessen Durchsetzung und Verknüpfung mit der Risikotoleranz in der Finanzbranche noch in Arbeit. Viele Institute hatten ein detailliertes Limitsystem für den Handel, ohne aber eine klare Definition und Messung des Risikoappetits oder des Ertrags aus den übernommenen Risiken zu haben. Obendrein war der Zusammenhang zwischen den Aussagen zum Risikoappetit und den tatsächlich geduldeten Risiken und Risikolimiten mitunter recht unpräzise. CRO und Risikomanagementfunktion Auch wenn es inzwischen bei den meisten Instituten einen Risikovorstand (Chief Risk Officer, CRO) gibt, so handelt es sich doch meist um den zuletzt installierten Posten auf Vorstandsebene, der dadurch implizit oder explizit nicht immer über die notwendige Autorität und Durchsetzungskraft verfügte, vor allem im Vergleich zu anderen Vorstandskollegen. Einige CROs waren zum Zeitpunkt der Krise noch mit dem Aufbau eines leistungsfähigen Risikomanagements in ihrer Organisation beschäftigt. Die CROs tendierten in erster Linie dazu, sich auf die Überwachung, Messung und das Reporting der Risiken zu konzentrieren und waren entsprechend selten in der Lage, Risikopositionen proaktiv zu beeinflussen. 12 Im Folgenden werden die Begriffe Aufsichtsrat und Verwaltungsrat synonym verwendet. 10

13 Unzureichende Kommunikation zwischen Risikomanagement und Geschäftsbereichen, sowie ein starker Einfluss des Front-Office haben zu einem Autoritätsmangel der CRO-Position beigetragen. Viele Risikoorganisationen strukturierten sich in erster Linie entlang der Risikoarten (beispielsweise Marktrisiko, Kreditrisiko, etc.), weshalb sie nicht als echte unternehmensweite Risikomanagementfunktion agieren konnten. Unter taktischen Gesichtspunkten kann diese Struktur durchaus sinnvoll sein. Sie führt aber auch dazu, dass diese Unternehmen ihre Risikomanagementabteilungen dazu animieren, in voneinander unabhängigen Silos zu operieren, was für große, übergreifende Ereignisse nicht adäquat ist. Diese abgegrenzte Risikoorganisationsstruktur trug ihren Anteil dazu bei, dass Know-how und Daten zwischen Risikomanagement und den operativen Geschäftsbereichen nur begrenzt ausgetauscht wurde. Empfehlung: Ein Unternehmen sollte einen schriftlich dokumentierten, klaren, detaillierten, vom Aufsichtsgremium genehmigten Risikomanagementrahmen haben, der die Rollen und Verantwortlichkeiten des Risikomanagements definiert und der umfassend im gesamten Unternehmen kommuniziert wird. Dieser Risikomanagementrahmen sollte die wichtigsten Definitionen von Funktionen und Verantwortlichkeiten abdecken: Aufsichtsgremium Der Aufsichts- bzw. Verwaltungsrat oder das von ihm ernannte Risikomanagement-Komitee sollte beaufsichtigen und beraten. Diese Rolle sollte in einer spezifischen Geschäftsordnung sowie verwandten Grundsätzen festgehalten sein. Während das Komitee nicht für das Management der Risiken verantwortlich ist, trägt es doch die Verantwortung für deren Überwachung. Das Aufsichtsgremium sollte Leitlinien vorgeben und Zugang zum Risikomanagement haben, um dessen Ziele und Perspektiven zu verstehen. Geschäftsleitung Die gesamte Geschäftsleitung trägt die Verantwortung für das Risikomanagement, vor allem aber der CEO. In vielen Finanzinstituten wurde eine CRO-Position geschaffen, welche die Führungsrolle übernimmt und die Risikomanagementpläne ausführt. Die Geschäftsleitung sollte eine CRO-Position etablieren und sicherstellen, dass diese Position als ein vollwertiger Bestandteil der Geschäftsleitung angesehen wird. Die Geschäftsleitung sollte dafür sorgen, dass regelmäßige Treffen zwischen dem AR/VR und dem CRO stattfinden. Diese Treffen zwischen dem CRO und dem AR/VR sollten ohne die übrigen Geschäftsleitungsmitglieder stattfinden, um eine offene Diskussion zu ermöglichen. Es sollte ein Gesamtrisiko-Komitee geschaffen werden, das eine aktive Rolle bei der Überprüfung des Risikoprofils einnimmt. Das Komitee sollte Rechenschaft über die Einhaltung von Richtlinien und Verfahren ablegen. Es sollte sich aus den relevanten Geschäftsleitern sowie dem Management der Geschäftsbereiche und Vertretern der wesentlichen Risikomanagementzweige (Markt-, Kredit-, Liquiditätsund operationelle Risiken, etc.) zusammensetzen. Es sollte ein Gesamtrisiko-Komitee geschaffen werden, das eine aktive Rolle bei der Überprüfung des Risikoprofils einnimmt Risikomanagement Der CRO sollte bei Transaktionen, Kontrahenten und risikorelevanten Entscheidungen über schriftlich fixierte Vetorechte verfügen, einschließlich der Möglichkeit, Empfehlungen über den Abbau oder das Hedging von Positionen abzugeben. Hierzu sollte ein entsprechender Eskalations- und Beschlussfassungsprozess bestehen, der den CEO und/oder andere Mitglieder des Risikomanagement- Komitees oder der Geschäftsleitung einschließt. Der CRO und die zentralen Risikomanagementfunktionen sollten nicht nur formell unabhängig von den Geschäftsbereichen sein. Die Leiter der wesentlichen Risikobereiche sollten dem Risikomanagement-Komitee Bericht erstatten, um ein vollständiges Bild der Risiken im Unternehmen zu erstellen. Risikomanagement im Zeitalter strukturierter Produkte: Aus Fehlern lernen 11

14 Das Risikomanagement sollte sich in erster Linie auf die Risikomanagementtätigkeiten konzentrieren und sich nicht in artfremde Bereiche hineinziehen lassen. Die Risikomanagement-Agenda sollte sich nicht durch Initiativen ablenken lassen, die anderswo bearbeitet werden sollten. Während einige Risikomanagementanalysen von den Geschäftsbereichen als Mehrwert gesehen werden was in vielen Fällen zu befürworten ist sollten die Verantwortlichkeiten des Risikomanagementteams sorgfältig gemanagt werden, um sicherzustellen, dass sie sich auf ihre Kernaufgaben konzentrieren. Dies gilt nicht nur hinsichtlich der Funktionstrennung sondern auch in Bezug auf die Verfügbarkeit der Ressourcen. Die Risikomanagementsilos mit spezifischen Risikodisziplinen wie Markt-, Kredit-, Liquiditäts- und operationellem Risiko sollten abgebaut werden, sodass die Risiken ganzheitlich adressiert werden und die gesamte Risikomanagementorganisation wie eine echte unternehmensweite Risikomanagementfunktion agieren kann. Wichtige Fragen, die sich jedes Aufsichts-/Verwaltungsratsmitglied stellen sollte Beaufsichtigung und Berichterstattung Sind die Risikokontrollfunktionen des AR/VR in dessen Geschäftsordnung klar definiert? Sind alle relevanten Risikoexposures angemessen im Risikoreporting an den AR/VR und die Geschäftsleitung enthalten? Versteht der AR/VR die Risikoinformationen, die er erhält? Erkennt der AR/VR, welche Maßnahmen im Rahmen der Risikokontrollfunktionen bei alarmierenden Risikoinformationen zu ergreifen sind? Umfasst das Risikokomitee des AR/VR genug Mitglieder mit Erfahrung und Verständnis für Risikomanagementthemen? Beinhaltet diese Erfahrung mehrere Konjunkturzyklen? Gibt es eine definierte und dokumentierte Berichterstattung des CROs an den Gesamtvorstand? Rollen und Verantwortlichkeiten Sind die Richtlinien und Abläufe klar und schriftlich definiert? Beinhalten diese alle wichtigen Risikokategorien, einschließlich der Risikosteuerung und -beaufsichtigung und den Prozessen für das Management aller Risikoarten? Hat der AR/VR die Definition des Risikoappetites und die wichtigsten Risikomanagementrichtlinien überprüft und genehmigt? Überprüft die Geschäftsleitung diese in regelmäßigen Abständen? Werden der CRO und die Mitarbeiter im Risikomanagement angemessen vergütet? Verfügt der CRO implizit oder explizit über die Berechtigung und das Durchsetzungsvermögen, um falls nötig sein Veto gegen Geschäfte einzulegen und den Abbau von Risikoexposures voranzutreiben? Sind die Händler des Unternehmens offen und kommunikativ gegenüber dem Risikomanagement? Beziehen sie Risikomanager proaktiv in ihre Diskussionen ein? Führt das Risikomanagement systematisch Schulungen zur Entwicklung von Kompetenzen rund um das Risikomanagement über alle Geschäftsbereiche und auf verschiedenen Ebenen durch? Prozesse Sind Risiko und Rendite Teil der strategischen Diskussion? Ist das Genehmigungsverfahren für neue Geschäfte, Produkte und Märkte dokumentiert? Welche Mechanismen gibt es zur Überwachung der Einhaltung von Richtlinien? Welche Verfahren gibt es zur Identifikation neuer oder sich entwickelnder Risiken, die möglicherweise Auswirkungen auf das Unternehmen haben, und wie werden mögliche Auswirkungen bewertet? Werden im Rahmen des Risikomanagements regelmäßig Stresstests durchgeführt, um die Sensitivität des Unternehmens gegenüber Extremrisiken zu erfassen? Wird im AR/VR regelmäßig über die Beurteilung des Risikomanagements diskutiert? Kommuniziert der AR/VR regelmäßig mit dem Risikomanagement, einschließlich: persönlicher Präsentationen und Diskussionen mit dem CRO, auch ohne Beteiligung der übrigen Geschäftsleitung? regelmäßiger Berichte über das Verhältnis wesentlicher Risiken zu ihren Limiten? Geschäftsbereiche Die Geschäftsbereiche sind verantwortlich für die Übernahme und das Management ihrer Risiken. Die Risikomanagementfunktion sollte wie ein Schiedsrichter sein und den Risikoappetit, die Risikotoleranz und Limite als Richtlinien benutzen, um das Gesamtrisiko zu überwachen, zu messen und zu reporten. Konflikte sind unvermeidlich, aber mit einer eindeutigen Festlegung der Verantwortung werden Unklarheiten und ungewollte Exposures verringert. Die Geschäftsbereiche sollten das Risikomanagement als vertrauenswürdigen Partner und aktiven Teilnehmer in der Diskussion über Geschäfte und Strategien auffassen. Regelmäßige Berichterstattungs- und Kommunikationswege sollten als Richtlinien und Anweisungen dokumentiert werden, um die Einhaltung sicherstellen zu können. Dazu gehören angemessene Diskussionen zwischen dem Risikomanagement und den operativen Einheiten, sowie zwischen den Front- und Backoffices der Geschäftsbereiche. Im Idealfall sollte jeder Mitarbeiter auf allen Ebenen des Unternehmens seine Rolle und Verantwortlichkeit für das Risikomanagement verstehen und im Einklang mit dem Risikoappetit und dem Risiko-Framework stehen. Wenn verschiedene Gruppen im gleichen Unternehmen Aufgaben wie z. B. das Strukturieren, Handeln oder Investieren in verbrieften Instrumenten übernehmen, sollten sie unter einem einheitlichen Verhaltenskodex operieren, der auf die Verringerung oder Beseitigung potenzieller Interessenkonflikte ausgerichtet ist. Die Stärkung des Risikomanagements ist Aufgabe jedes einzelnen Mitarbeiters. Kreditinstitute mit starken Risikomanagementfunktionen wenden oft eine Strategie mit drei "Verteidigungslinien an: Unternehmenssteuerung, Risikomanagement und Interne Revision stärken nebeneinander die Aufmerksamkeit für das Risiko- und Kontrollsystem. Die Geschäftsbereiche müssen ihre Rolle im Risikomanagement ernst nehmen und ausreichend Ressourcen bereitstellen, um effektives Risikomanagement zu betreiben. 12

15 Integration von Risiko und Rendite in die Entscheidungsfindung Ausbalancieren von Risiko und Rendite Bei der Konzentration auf immer höhere Renditen haben manche Finanzinstitute die Exposures nicht mehr vollständig verstanden, die zu ihren Verlusten führten. Es ist daher an der Zeit, Risiko- und Renditeaspekte effektiver in die Geschäftspraxis einzubinden. Das Geschäftsmodell einiger Finanzinstitute hat sich so entwickelt, dass die Geschäftseinheiten die Renditen überprüfen (und für diese belohnt werden), während das Risikomanagement die Risiken betrachtet, vor allem, um Verluste zu minimieren. Es hat sich gezeigt, dass viele Institute keinen operativen Konsens hinsichtlich eines angemessenen Ausgleichs zwischen aufgenommenen Risiken und der erforderlichen Rendite erzielen konnten. Es wurden keine stabilen Plattformen für eine Analyse und Diskussion der relevanten Risiken zwischen Risikomanagement, Geschäftsbereichen und Geschäftsleitung entwickelt. Auch wurden die Eskalationsmaßnahmen, die relevante Belange an die höheren Ebenen eines Instituts weiterleiten sollten, nur begrenzt akzeptiert und genutzt. Empfehlung: In die gesamte Organisation sollte eine Risikomanagementkultur eingebettet werden, deren Entscheidungsfindung auf Risiko und Rendite basiert vom Risikomanagementbereich über die Unternehmensfunktionen bis in die Geschäftsbereiche. Es gibt definierte Schritte, die ein Institut unternehmen kann, um das Risikomanagement im Unternehmen breiter zu verankern und die Balance zwischen Risiko und Rendite zu verbessern: Unabhängige Messung und Überwachung der risikoadjustierten Renditen mit Hilfe von Berechnungen des Risikomanagements Periodische unabhängige Analysen der Ergebnisse im Vergleich zur geplanten Geschäftsstrategie, in Zusammenarbeit mit der Geschäftsführung und dem Aufsichtsgremium Gemeinsame Diskussionen des CRO und CFO mit dem Verwaltungsrat über Risiko und Rendite einschließlich eines Prozesses, der die regelmäßige Durchführung dieser Gespräche sicherstellt Überarbeitete Anreizprogramme, sodass die Vergütung auf eine risikoadjustierte Basis gestellt wird. Einführung einer Gruppe unter der Leitung des Risikomanagements, welche berechtigt ist, die Genehmigung von neuen Produkten zu verhindern, und die nicht von dem Geschäftsbereich, der das Produkt entwickelt hat, überstimmt werden kann; es sollte jedoch ein Eskalationsprozess vorhanden sein, der eine höhere Instanz, wie das Risikomanagement- Komitee, mit einbezieht Die zuständigen Geschäftsbereiche sowie die Risikomanagement-Funktion sollten kontinuierlich neue oder sich entwickelnde Risiken überwachen und die Aufmerksamkeit auf sie lenken, wenn sie entstehen. Bei der Konzentration auf immer höhere Renditen haben manche Finanzinstitute die Exposures nicht mehr vollständig verstanden, die zu ihren Verlusten führten. Es ist daher an der Zeit, Risikound Renditeaspekte effektiver in die Geschäftspraxis einzubinden Wenn Finanzinstitute ihre Risiko- und Renditenanalyse stärker in ihre Abläufe integrieren, könnte sich der Fokus einzelner Unternehmen ändern. Das gesamte Verbriefungsgeschäft muss sich offenbar in ein nachhaltigeres Geschäftsmodell weiterentwickeln. Eine ausführliche Diskussion dieses Themas liegt aber nicht im Rahmen dieser Publikation. Empfehlung: Die Geschäftsleitung sollte in Zusammenarbeit mit dem Aufsichts-/Verwaltungsrat den Risikoappetit der Unternehmung schriftlich als Teil der Risikostrategie festlegen. Die grundlegende Ausrichtung muss von der Spitze kommen. Es ist die Aufgabe der Geschäftsleitung, unter Aufsicht des Verwaltungsrates, eine explizite Vorgabe für die Balance zwischen Risiko und Rendite zu treffen. Der Risikoappetit sollte dann auf Geschäftsebene über ein detailliertes System von Risikolimiten implementiert werden. Die Geschäftsbereiche brauchen klare Richtlinien von der Geschäftsleitung, um den Risikoappetit des Unternehmens zu verstehen und wie er sich auf operativer Ebene auswirkt. Die Integration des Risikomanagements in den Geschäftsbetrieb ist ein fortlaufender Prozess. Es genügt nicht, einzelne Kontrollpunkte zu haben. Risiko und Rendite müssen in die Entscheidungsfindung integriert werden und Entscheidungen müssen von einer unabhängigen Risikomanagementfunktion kontrolliert werden. Das Risikobewusstsein muss in das Alltagsgeschäft eingebettet werden. Risikomanagement im Zeitalter strukturierter Produkte: Aus Fehlern lernen 13

16 Aufbau von Risikomanagementressourcen Bewertungs-und Risikoquantifizierungssysteme für komplexe Produkte Es wurde umfassend darüber berichtet, dass der Mangel an ausgereiften Systemen und Methoden zur Analyse von Liquiditätsrisiken dazu führte, dass Manager erst mit Verzögerung auf die Finanzmarktkrise reagierten. Nach heutigem Stand ist davon auszugehen, dass die Bewertungs- und Messsysteme die Risiken auf Produktebene nicht vollständig erfassen konnten und dadurch die Erarbeitung eines vollständigen Blicks der Institute auf aggregierte Exposure verhinderten. Die Einschränkung mancher spezifischer Bewertungs- und Risikomodelle sind erwähnenswert: Einige Bewertungs- und Risikomodelle waren nicht in der Lage, die Risiken strukturierter Produkte auf Ebene der einzelnen Papiere vollständig zu zerlegen. Das heißt, sie konnten die zugrunde liegenden Sicherheiten nicht analysieren und waren aufgrund fehlender Granularität somit auch nicht in der Lage, die korrelierten Risiken dieser Komponenten zu erfassen. Einige Modelle basierten lediglich auf historischen Ausfallerfahrungen und bezogen die aktuellen Spread- Informationen nicht mit ein. In der Folge waren diese Modelle nicht sensitiv für Veränderungen in den zugehörigen Credit Spreads. Einige Modelle gingen auch generell von steigenden Immobilienpreisen und billigen Finanzierungsmöglichkeiten aus. Es ist wichtig zu erkennen, dass Risiken aus den verschiedenen Bereichen einer Unternehmung nicht aggregiert werden können, wenn die Daten und Analysen der einzelnen Bereiche und die Risikoarten nicht kompatibel sind Manche Risikomodelle nutzen vereinfachende Annahmen und verknüpften komplexe Instrumente mit allgemeinen Indizes. Die spezifischen Risiken dieser Produkte wurden entsprechend ignoriert. Konzentrationen und Korrelationen zwischen verschiedenen Kreditprodukten, den zu Grunde liegenden Sicherheiten, Kontrahenten, Garantiegebern und anderen Faktoren wurden nur unzureichend modelliert und analysiert. Liquiditätsrisiken wurden unzureichend modelliert und erfasst. Dies gilt insbesondere für unvorhergesehene Liquiditätsereignisse. Stresstests und Extremrisiken wurden oftmals nicht ausreichend in die betreffenden Modelle integriert. Noch schwerwiegender war, dass für Stresstests häufig ein sauber formulierter Maßnahmenplan fehlte. Risiken im Zusammenhang mit Monoline- bzw. Ein-Produkt-Versicherern und anderen Garantiegebern wurden in manchen Fällen nicht ausreichend analysiert. Da auch die Monoline-Versicherer den Subprime-Risiken ausgesetzt waren, stellten Versicherungen für strukturierte Kreditprodukte ein klassisches wrong way exposure dar. Gerade als die Versicherungen am dringendsten benötigt wurden, waren sie wegen der schlechten Verfassung der Monoline-Versicherer nicht verfügbar. Den externen Ratings von Wertpapieren wurde in großem Maße vertraut, in manchen Fällen sogar ohne nennenswerte interne Analyse oder Validierung. Es ist auch wichtig zu erkennen, dass Risiken aus den verschiedenen Bereichen einer Unternehmung nicht aggregiert werden können, wenn die Daten und Analysen der einzelnen Bereiche und die Risikoarten nicht kompatibel sind. Systeme, die nicht miteinander kommunizieren können, die verschiedene Datenformate benutzen und die nicht aggregierbare Resultate erzeugen, werden nicht in der Lage sein, den Anforderungen zu entsprechen! Empfehlung: Ein Unternehmen sollte in der Lage sein, die Risiken zu messen und robust zu schätzen, die mit all seinen Transaktionen in Verbindung stehen. Um das zu erreichen, sollte ein Unternehmen über einen einheitlichen und konsistenten Satz an Modellen, Daten und verwandten Systemen verfügen, die unter normalen Umständen in der Lage sind, alle relevanten Faktoren für die Bewertung und das Risiko zu erfassen. 14

17 Diese Modelle sollten so entwickelt sein, dass sie die für strukturierte Kreditprodukte relevanten Risiken wie Markt-, Kredit- und Liquiditätsrisiken umfassen. Der Modellrahmen sollte flexibel und ausbaufähig genug sein, um neue Produkte zu integrieren, während diese entwickelt werden. Ferner sollten sie zeitnahe Analysen entstehender Risiken ermöglichen, indem beispielsweise diverse Korrelations- und Konzentrationsrisiken betrachtet werden. Bewertungen sollten ausreichend häufig durchgeführt werden, im Idealfall täglich oder sogar mehrmals täglich. Zudem sollte das Bewertungsmodell einem regelmäßigen unabhängigen Review unterzogen werden, einschließlich einer Überprüfung der wesentlichen Annahmen. Soweit möglich sollten Prozesse zur Ergebnisanalyse aufgesetzt werden, um ein besseres Verständnis über die Herkunft von Gewinnen und Verlusten zu erhalten. Dadurch können die Treiber von Risiken und Bewertungsergebnissen identifiziert werden, sodass deren Bedeutung klarer wird. Liquidität Banken müssen sich stärker mit dem Thema Liquidität beschäftigen, sowohl hinsichtlich der individuellen Liquidität von Produkten als auch in Bezug auf die Refinanzierungsrisiken. Liquidität wurde lange Zeit nicht als eine Kernaufgabe des Risikomanagements betrachtet, da es keine regulatorischen Kapitalanforderungen gab. Die Bedeutung des Liquiditätsmanagements hat mittlerweile an Ansehen gewonnen, da es inzwischen als kritischer Bestandteil des Risikomanagements und nicht mehr als reines Treasury- Thema gesehen wird. Risikomanagement und der Treasury-Bereich sollten daher eng zusammen arbeiten, um Liquiditätsrisiken zu überwachen. Mögliche Liquiditätsrisiken im Zusammenhang mit Produkten, ausserbilanzlichen Geschäften und anderen Aktivitäten sollten identifiziert und in den Liquiditätsrisikosystemen erfasst sein. Zudem sollten Pläne zur Risikominderung bestehen. Modelle sollten die Liquidität des Unternehmens in Stress-Situationen bestimmen und dabei beachten, dass die Liquiditätssituation für jedes Institut abhängig vom jeweiligen Geschäft unterschiedlich sein kann. Kredit Institute, die in Märkten wie beispielsweise dem für strukturierte Kreditprodukte aktiv sind, sollten in der Lage sein, ihre eigenen (Kreditrisiko-)Analysen durchzuführen, um die Abhängigkeit von externen Analysten zu reduzieren. Da die Einschätzung des Kreditrisikos in Bezug auf den Kontrahenten oder die Transaktion eine wesentliche Managementmeinung ist, sollte ein Institut in der Lage sein, diese selbst zu bestimmen. Externe Ratings sollten lediglich als eine weitere Informationsquelle gebraucht werden, nicht als Hauptquelle. Die Bedeutung des Liquiditätsmanagements hat mittlerweile an Ansehen gewonnen, da es inzwischen als kritischer Bestandteil des Risikomanagements und nicht mehr als reines Treasury-Thema gesehen wird. Risikomanagement und der Treasury-Bereich sollten bei der Überwachung von Liquiditätsrisiken eng zusammenarbeiten Neue Produkte Für die Einführung neuer Produkte sind erweiterte Richtlinien und Prozesse notwendig, um sicherzustellen, dass die neuen Produkte richtig bewertet, das Risiko angemessen bestimmt, die Beträge korrekt ausgewiesen und die Geschäfte in den DV-Verfahren verarbeitet werden können. Da die vorhandene Technik einer Unternehmung von Natur aus Schwierigkeiten hat, die Risiken neuer Produkte zu erfassen, ist es sinnvoll, Limite zu definieren, um die Möglichkeit eines irreparablen Schadens einzuschränken. Übersehene Exposures Die Institute sollten strenge Produkt- und Portfolioanalysen durchführen, um den Blick auch auf bislang verborgene Risikoexposures zu richten, wie die verschiedenen Eventual-, Korrelationsund Klumpenrisiken, wrong way exposures und Ansteckungsrisiken. Dies alles sollte in Stressszenarien und -tests integriert werden, um einen genauen und umfassenden Überblick über die Risiken der Unternehmung zu erhalten. Neue und entstehende Risiken Die Institute sollten einen kontinuierlichen Prozess haben, welcher Märkte, Geschäftsabläufe, Gesetzgebung, Regulierung, politische Einflüsse und andere Gegebenheiten analysiert und neue und entstehende Risiken, die die Unternehmung bedrohen, identifiziert. Sobald derartige Risiken identifiziert sind, sollten unter anderem Szenarioanalysen und Planungstechniken angewandt werden, um die gesamte Tragweite der Risiken zu beurteilen und entsprechende Gegenmaßnahmen vorzubereiten. Risikomanagement im Zeitalter strukturierter Produkte: Aus Fehlern lernen 15

18 Da Kredit-, Markt-, Liquiditäts- und andere Risiken zusammenhängen, können sie nicht unabhängig voneinander analysiert werden. Sie sollten vielmehr von einem breiten, unternehmensweiten Standpunkt betrachtet werden. Limite sollten so festgesetzt und überwacht werden, dass die grundsätzliche Risikotoleranz der Produkte ganzheitlich abgebildet wird. Schlussendlich aber ist die bloße Durchführung von Risikoanalysen nicht ausreichend. Das gesamte Management im Unternehmen, vom Risikomanagement über die Geschäftsbereichsmanager bis hin zur Geschäftsleitung, sollten die Treiber der Risiken und Bewertungen in den verschiedenen Unternehmensbereichen und die Konsequenzen der Modellergebnisse verstehen. Daher ist die Anwendung eines auf langjährigen Erfahrungen basierenden Urteilsvermögens und gesundem Menschenverstand für die quantitative Analyse ebenso wichtig wie die Analyse selbst. Dieses Verständnis ist notwendig, um die Modellergebnisse in die gesamte Risiko-Rendite bezogene Entscheidungsfindung des Instituts zu integrieren. Die Anwendung eines auf langjährigen Erfahrungen basierenden Urteilsvermögens und gesundem Menschenverstand ist für die quantitative Analyse ebenso wichtig wie die Analyse selbst Empfehlung: Das Unternehmen sollte einheitliche Ansätze für Daten, Modelle und Prozesse haben. Wenn ein Finanzinstitut beabsichtigt, eine unternehmensweite Übersicht und Aggregation ihrer Risiken erstellen zu können, so sollten die benutzten Methoden und Daten über alle Geschäftsbereiche und über die spezifischen Risikoeinheiten einheitlich sein. Ansätze, die zur Vereinheitlichung von Daten, Modellen und Prozessen führen, sollten allgemein verstanden worden sein. Das betrifft auch die Prozesse zur Genehmigung von neuen Produkten, die Einschätzung der Rechts- und Reputationsrisiken, sowie die gesamte Bewertung und Risikomessung. Empfehlung: Verstärkte Investitionen in die Risikomanagement-Infrastruktur sind unumgänglich. Aus der vorangegangenen Diskussion ergibt sich die Notwendigkeit von weiteren Investitionen in die Risikomanagement-Infrastruktur. Die technischen Anforderungen und die Transaktionsarten, sowie die damit verbundenen Risiken unterscheiden sich von Institut zu Institut. Große Kreditinstitute haben beispielsweise spezielle Systeme zur Ermittlung von Kreditrisiken oder zur Verwaltung bestimmter spezifischer Assetklassen. Trotzdem fehlt ihnen jedoch möglicherweise die Fähigkeit, sich einen umfassenden Überblick über verschiedene Forderungsklassen und Risikoarten zu verschaffen, wie z.b. die Verknüpfung von Derivaten mit zugrundeliegenden Wertpapieren, die Erfassung von Extremrisiken oder die Möglichkeit, Markt- und Kreditrisiken mit den konsistenten Methoden zu analysieren. Es gibt Implementierungsempfehlungen, die für alle Finanzinstitute gelten: Alle Tools und Analysewerkzeuge sollten in der Lage sein, die Anforderungen aus den bestehenden Produkten sowie sinnvollerweise auch absehbare neue Produkte abzudecken. Dies ist kein zu unterschätzendes Unterfangen: Obwohl es für diese Zwecke Standardprodukte gibt, sind wahrscheinlich interne Anpassungen im Rahmen des Customizing erforderlich. Die Technologie sollte skalier- und ausbaubar sein, um für neue Produkte und Risiken sowie größere Volumina gerüstet zu sein. Die meisten Unternehmen haben jedoch nicht das nötige Leistungsvermögen, um den Geschäftsumfang abzudecken, der aus neuen Produkten resultieren kann. Dies ist in gewisser Weise verständlich, denn größere IT-Investitionen machen keinen Sinn, solange sich ein Produkt nicht bewährt hat. Allerdings birgt es wie gesehen auch Gefahren, wenn Geschäfte vorangetrieben werden, ohne dass das Risikomanagement und die dazugehörige Infrastruktur entsprechend weiter entwickelt werden. Dies ähnelt der Frage nach dem Huhn und dem Ei, darf aber nicht als bequeme Entschuldigung missbraucht werden, um in Boom-Phasen nicht ausreichend investieren zu müssen. 16

19 Möglicherweise muss ein Institut eine proprietäre Anwendung oder ein Data Warehouse aufbauen und die Systemintegration vorantreiben. Aufgrund des gewaltigen technologischen Aufwandes (und den resultierenden Kosten), die mit einer solchen IT-Lösung verbunden sind, ist es verständlich, dass Banken diese Investitionen hinausgeschoben haben. Erst im Lichte der jüngsten Ereignisse ist klar geworden, wie wichtig es ist, die Systeme den Anforderungen anzupassen und herauszufinden, inwieweit die Systeme untereinander kompatibel sind. Der Wert vollständiger, kompatibler und einheitlicher Daten kann nicht hoch genug eingeschätzt werden. Transparenz und Offenlegung Einbeziehung relevanter Risikoinformationen in den Entscheidungsprozess Die Beschränkungen der Risikomanagement- Infrastruktur sowie die Komplexität strukturierter Kreditprodukte führten dazu, dass grundlegende risikobezogene Informationen nicht die richtigen Stellen erreichten bzw. in wichtige risikobezogene Entscheidungen nicht eingingen. Verbesserte Risikomanagementprozesse, eindeutige Zuständigkeiten, konsistente Daten und verbesserte Modelle können zu einer deutlichen Verbesserung der Situation beitragen. Offenlegung für interne und externe Adressaten Angesichts der Probleme im Rahmen der internen Kommunikation von Risiken ist es nicht verwunderlich, dass die externe Offenlegung ebenfalls unvollständig ist bzw. war. Diese Situation wurde in einigen Bereichen bislang zudem durch die begrenzten regulatorischen Anforderungen verstärkt. Die erweiterten Offenlegungsvorschriften im Rahmen von Basel II waren für die meisten Institute in der Vergangenheit (noch) nicht relevant. 13 Empfehlung: Die Institute sollten gezielt auf Transparenz und eine angemessene Offenlegung für die verschiedenen Adressaten hinarbeiten. Für die internen Anforderungen werden folgende Leitlinien empfohlen: Risikoinformationen, die relevant sind für wichtige Entscheidungen (z.b. aktuelle und potentielle Risikoexposures, Stresstest-Resultate, Korrelationen, Konzentrationen oder Finanzierungszusagen) sollten der Geschäftsleitung und weiteren Adressaten wie dem Risikomanagement-Komitee oder der Risikogruppe des Verwaltungsrates in regelmäßigen Abständen und verständlicher Form kommuniziert werden. Die Geschäftsleitung sollte Eventualrisiken aktiv überwachen und angemessene Maßnahmenpläne vorbereiten. Hierfür sind Structured Investment Vehicles (SIV) ein gutes Beispiel. Obwohl sie ggf. bilanzneutral strukturiert wurden, sollte das Management die Umstände verstehen, unter denen die SIVs wieder auf die Bilanz genommen werden müssen. Das Reporting sollte entsprechend den Adressaten gestaltet werden informativ, transparent und relevant für mögliche Handlungen, jedoch sollten die Daten aus Standardquellen bezogen werden. Standard-Risikoberichte sollten über die Risikomanagement-Funktionen hinaus bis hin zum Front-Office und anderen geeigneten Managern verteilt werden, um die Konsistenz im Risikoanalyseprozess zu verbessern. Die Mitglieder des Aufsichts- bzw. Verwaltungsrates und der Geschäftsleitung sollten die Möglichkeit haben, an Workshops des Risikomanagements teilzunehmen, in welchen die relevanten Risiken des Instituts und erforderliche Maßnahmen behandelt werden. Auch die relevanten externen Parteien (wie Aktionäre, Aufsichtsbehörden, Ratingagenturen und Kontrahenten) sollten regelmäßig mit relevanten Risikoinformationen versorgt werden, insbesondere in Stresssituationen. Aufseher und Ratingagenturen haben deutlich gemacht, dass die Offenlegung zukünftig an Bedeutung gewinnt. Dies wird durch spezifische Anforderungen unterstrichen, wie auch der folgende Abschnitt Empfehlungen der Regulatoren verdeutlicht. In der Zwischenzeit haben einige Finanzinstitute erkannt, dass eine verbesserte Offenlegung unabhängig von regulatorischen Vorgaben ist. Am 11. April 2008 hat die Senior Supervisors Group, eine Kooperation von führenden Regulierungsbehörden aus verschiedenen Ländern, eine Studie über die Offenlegungspraktiken von 20 international tätigen Finanzinstituten veröffentlicht. Diese Studie identifizierte verschiedene führende Methoden im Rahmen der Offenlegung. 14 Insgesamt sollten Finanzinstitute in der Lage sein, allen relevanten Parteien Informationen offenzulegen, die für die Adressaten klar, verständlich und auf einem angemessenen Detaillierungsgrad sind. 13 Die Offenlegungsvorschriften nach Basel II sind von der Mehrheit der Institute erst ab dem Ende des Geschäftsjahres 2008 anzuwenden. 14 Leading-Practice Disclosures for Selected Exposures, Senior Supervisors Group, April 11, Risikomanagement im Zeitalter strukturierter Produkte: Aus Fehlern lernen 17

20 Empfehlungen der Regulatoren Verschiedene Aufsichtsbehörden und Branchenverbände, einschließlich des Basler Ausschusses, der Senior Supervisors Group, und des Institute of International Finance (IIF), haben retrospektive Analysen der Krise durchgeführt und darauf aufbauend Maßnahmen vorgeschlagen, um das Risiko ähnlicher Krisen in der Zukunft zu minimieren. Einige dieser Maßnahmen lauten: Verbesserung der grundsätzlichen Risikomanagementprozesse Einbindung von Szenarien und Stresstests in das Risikomanagement Stärkung des Liquiditätsrisikomanagements Verbesserung der Transparenz und der Offenlegung Diese Vorschläge bekräftigen die Empfehlungen, die in diesem Beitrag präsentiert wurden. Zusätzlich werden weitere übergreifende Themen angesprochen, welche die Aufmerksamkeit von Aufsichtsbehörden, Gesetzgebern und anderen Parteien erfordern. Weitere Anstrengungen sind notwendig, um die Fähigkeiten zur Überwachung und Beeinflussung von Systemrisiken zu verbessern. Dies könnte auch Veränderungen der Märkte und deren zugrundeliegende Infrastruktur betreffen, um mögliche Risikoquellen zu reduzieren. Wichtige Regelwerke wie Basel II werden voraussichtlich angepasst werden, um die Erfahrungen aus dem Umgang mit strukturierten Kreditprodukten zu integrieren. Dies wird wohl auch eine signifikante Erweiterung der aufsichtlichen Anforderungen hinsichtlich des Liquiditätsrisikos beinhalten. Unabhängig von der Zeit die benötigt wird, diese Änderungen vorzunehmen, wird sich das Wesen der aufsichtsrechtlichen Prüfungen mit Sicherheit ändern. Ein Fokus liegt dabei auf den folgenden Themen: Risikomanagement-Aufsicht Bewertungsmodelle, Prozesse und verwandte Kontrollen Prozesse zur Freigabe neuer Produkte Verbesserte Kreditrisikomanagementprozesse und - praktiken Institutsweite Berücksichtigung des Liquiditätsmanagements 18