Independent Competence Platform
for Integrated Security in Switzerland.

04.09.2012
by: Dr. Michael Wolf

Analytics statt Sandkasten

Das Risikomanagement von Banken steht unter Zugzwang: Regulatoren und das eigene Management verlangen nach Tempo und Sicherheit – aber die vorhandenen IT-Infrastrukturen lassen das nicht immer zu. Analytische Frameworks schaffen die Basis für einen ganz neuen Ansatz.

Gute Zeiten für Risikomanager: Nie wurde ihre Bedeutung für eine Bank so hoch eingeschätzt wie heute. Spätestens seit den Finanzkrisen der jüngsten Zeit sind sie ins Zentrum der Aufmerksamkeit gerückt und werden nicht mehr als «Bremser» betrachtet, sondern als unverzichtbares Regulativ.

Schlechte Zeiten für Risikomanager: Nie hat das Risikomanagement unter einem so grossen Druck gestanden wie heute. Sie sehen sich gewissermassen in der Zange zwischen einer internen Erwartungshaltung bezüglich Absicherung und Steuerung einerseits und einer immer grösser werdenden Zahl von immer komplexeren regulatorischen Anforderungen andererseits. Was beide Anspruchsgruppen wollen: Tempo, umfassende Kontrolle und volle Compliance.

Ohne Unterstützung durch intelligente IT-Konzepte und insbesondere Analytics ist dieses Lastenheft nicht realisierbar. Hier sind sich alle Experten einig. Trotzdem verläuft die Entwicklung hin zu einer Analytics- Infrastruktur aus der Sicht mancher Risk-Verantwortlichen langsam, vielleicht sogar zu langsam. Woran liegt das?

Ein Grund ist in der historischen Entwicklung der IT bei Finanzdienstleistern zu suchen. Der Einzug der Informatik in die Bankenwelt erfolgte in den zentral wichtigen und in den hierfür geeigneten Anwendungsfeldern wie etwa Kontoführung oder Zahlungsverkehr. Schon früh wurden Richtlinien für Applikationsdesign, -entwicklung und -test geschaffen und weiterentwickelt. Das geschieht in mehrstufigen Prozessen, von der noch wenig formalisierten Formulierung der Anforderungen zu fachlichen oder technischen Spezifikationen über ausgereifte Testkonzepte bis hin zu erprobten Implementierungsmechanismen. Hierfür sind spezialisierte Rollen entstanden. Solche Applikationsentwicklungen genügen zumeist höchsten Qualitäts- und Compliance-Anforderungen, sind dafür kostenintensiv und haben Entwicklungszyklen von mehreren Monaten bis zu Jahren.

Diese Prozesse sind für den Bankbetrieb massgeschneidert. Für die agile Entwicklung von Risikolösungen ist diese Entwicklungsmethodik hinderlich. Der Grund ist die streng sequenzielle Vorgehensweise – parallel laufende Arbeitsschritte sind nicht vorgesehen. Methodenund Applikationsentwicklung im Risikobereich sind dagegen typischerweise dadurch gekennzeichnet, dass es etwa vom Regulator lediglich ungefähre Vorgaben gibt, die dann von Methodenteams in erste Konzepte umgesetzt werden. Um diese Konzepte auf ihre Tauglichkeit zu prüfen und um sie Schritt für Schritt weiter zu entwickeln, ist es von Beginn an erforderlich, die Daten des entsprechenden Kunden- oder Produktportfolios zur Verfügung zu haben und die Konzepte lauffähig implementiert zu haben. Sowohl die regulatorischen Anforderungen als auch die methodischen Ansätze, aber auch die Anforderungen an die benötigten Daten verändern und präzisieren sich im Laufe des Projekts. Eine erfolgreiche Entwicklung ist nur möglich, wenn es die technische Umgebung erlaubt, die erforderlichen Veränderungen rasch zu realisieren und auszutesten.

«Sandbox-development» nennt man solche Entwicklungsmethoden – die allerdings trotz umfangreicher Tests vielfach ComRisikomanagement pliance-Defizite aufweisen: nicht ausreichend nachvollziehbare Entwicklungsprozesse, mangelhafte Dokumentation, «gewachsener» Programmiercode, nicht voll eingehaltene IT-Sicherheitsund Qualitätsstandards, Duplizitäten und Inkonsistenzen. Trotzdem werden solche Prototypen ab einem gewissen Reifegrad schon operativ eingesetzt und die Ergebnisse im Geschäftsbericht verwendet – aus der Not heraus, die Anforderungen termingerecht zu erfüllen. Es gibt Aussagen, dass bis zu 80 Prozent von Analysen und Reports im Risikobereich in solchen «Nebenwelten» entstehen.

Die «Sandbox» ist also ein verständlicher Weg zur kurzfristigen Lösung von Problemen, aber trotzdem eine Sackgasse, die nur als Übergangslösung akzeptabel war und noch ist. Ihre Weiterentwicklung zu einer tragfähigen Plattform ist nicht praktikabel – aus den genannten Compliance-Gründen, aber auch, weil Methodenteams eben nicht dazu da sind, professionelle IT-Applikationen zu entwickeln. Und nicht zuletzt sind die heute geforderten Performance-Steigerungen im Bereich von Grössenordnungen mit den im «Sandkasten» üblichen Werkzeugen kaum erreichbar.

Konsequenter Neuansatz: analytische Frameworks

Es gibt also keine Alternative dazu, die Infrastruktur der Anwendungsentwicklung für Risk neu zu denken. Nur in einem neuen Umfeld lassen sich die rasant steigenden Ansprüche an Tempo, Leistung und Qualität erfüllen – und nur in einer neuen Struktur kann die IT mit der Entwicklung auf der Fachseite zu einem produktiven Miteinander verbunden werden.

Der Infrastrukturansatz, der sich weltweit als der praktikabelste, konsequenteste und leistungsfähigste herausgestellt hat, ist das Analytische Framework. Es bietet transparente, leistungsfähige Umgebungen, die Datenmanagement, analytische Prozesse und Reporting vielfach mit graphischen Benutzeroberflächen unterstützen und durch Automatisierung der Abläufe eine «Industrialisierung» der ganzen Kette von Datenintegration über Analyse bis hin zu fertigen Reports ermöglicht, ohne die Flexibilität für Ad-hoc-Analysen einzuschränken. Die Mehrfachnutzung von Daten, Datenaufbereitungen, Definitionen (etwa Kundensegmente oder Produkte) und Analysefunktionen erhöht dabei Konsistenz und Effizienz.

In einem Analytics Framework können die Fachexperten ihre «handmade» Entwicklungen in eine professionelle Umgebung überführen. Das erlaubt nicht nur einen hohen Grad an Automatisierung, sondern dient auch der Qualitätssicherung. Umgekehrt wird bei jedem Report nachvollziehbar, welche Daten und Analyseschritte verwendet wurden (Stichwort: Audit Trail). Die Sicherstellung einer geordneten Verkettung von Entwicklung, Test und Produktion wird selbstverständlich. Ein weiterer Vorteil ist, dass dank leistungsfähiger Benutzeroberflächen der Anwender selbst komplexe Auswertungen durchführen kann, da Definitionen, Transformationen, Selektionskriterien als vordefinierte Funktionen zur Verfügung gestellt werden, und er sich auf seine Auswertungsbedürfnisse konzentrieren kann. Die nächste Stufe auf der Basis eines Analytics Frameworks sind weitgehend vorgefertigte bankfachliche Lösungen. In diesen Lösungen werden Disziplinen wie etwa Kreditrisiko, Marktrisiko, ALM und operationelles Risiko durch überwiegend standardisierte Strukturen unterstützt, die dann nur noch mit den unternehmensspezifischen Inhalten gefüllt und den Anforderungen entsprechend konfiguriert werden müssen. Viele der bei jeder Bank gleichermassen anfallenden Funktionen (zum Beispiel die Aufbereitung von Portfoliodaten oder die Simulation der Auswirkungen von Risikoszenarien auf die Finanzzahlen) werden zur Verfügung gestellt und sind hinsichtlich der Möglichkeiten der Parametrisierung und der IT-Performance bereits hochgradig optimiert. Bereits entwickelte komplexe Funktionalitäten, die nicht durch die Standardwerkzeuge zur Verfügung gestellt werden, können importiert und weiterverwendet werden. Kleine Institute können so von der ganzen Palette der State-of-the-Art-Risikomethoden profitieren. Grosse Banken mit eigenen hochkompetenten Entwicklungsteams können ihre Modelle in eine effiziente, den Compliance-Anforderungen genügende Umgebung überführen und substanzielle Effizienzgewinne der Methodenteams erzielen.

High-Performance Analytics: mehr als nur Tempo für Big Data

Analytische Frameworks schaffen signifikante Tempovorteile allein durch ihre Effizienz, SynerSynergien durch Datenabgleich, Fehlervermeidung und fast beliebige Skalierbarkeit. Darüber hinaus ist es vergleichsweise einfach, das ganze Framework durch den Einsatz von High-Performance-Technologien um Grössenordnungen zu beschleunigen. VaR-Berechnungen für ganze Portfolios brauchen nur noch wenige Stunden, statt Tage und Nächte. Allein dadurch verkürzt sich ein Reporting-Zyklus enorm. Die Vorteile liegen aber nicht nur in der Reduzierung der Laufzeiten der einzelnen Analysen. Es ergeben sich völlig neue Möglichkeiten bezüglich redundanzfreier Datenhaltung und Vereinheitlichung von Systemlandschaften. Die Möglichkeit, grosse Datenmengen zu halten und in Bruchteilen der bisher erforderlichen Zeiten zu verarbeiten, lässt es zu, Daten z. B. aus operativen Systemen ohne anwendungsspezifische Vorverarbeitungen in «Rohform» abzulegen.

«Big Data» ist damit nicht nur Schlagwort, sondern die technologische Grundlage für strukturell neue Möglichkeiten, Konsistenz- und Datenqualitätsprobleme nachhaltig in den Griff zu bekommen und dabei sowohl substanzielle Kosteneinsparungen auf der IT-Seite als auch Effizienzsteigerungen bei den IT-Entwicklungsteams und bei den Methodenteams zu realisieren. Schlechte Zeiten für Risikomanager? Nein: Dank analytischer Frameworks sind sie trotz des Drucks in der Lage, noch stärker als bisher an der Unternehmenssteuerung teilzuhaben. Und das sind doch gute Aussichten.

Beitrag aus der Schweizer Bank, Publi-Forum im Risikomanagement-Special der Schweizer Bank Nr. 09-12.


Security-Finder Schweiz: Newsletter