Anforderungen an Stresstests für Kreditinstitute
Seit der Finanzkrise wächst die Bedeutung von Stresstests; die Aufsichtsbehörden sind insgesamt strikter geworden. Banken und Versicherungen setzen Stresstests zur Steuerung ihrer Risiken ein. Grundsätzlich hängt die Umsetzung der Tests von der Größe und Komplexität des jeweiligen Unternehmens ab. Kreditinstitute in Deutschland müssen sich trotz gewisser Spielräume und Auslegungsmöglichkeiten den Mindestanforderungen an das Risikomanagement (MaRisk) anpassen, die auf Paragraf 25a des Kreditwesengesetzes basieren. Im Kern geht es bei einem Stresstest darum, zu untersuchen, wie ein Unternehmen bei extremen Marktveränderungen reagiert und ob es eine Krise überleben könnte. Es gibt hierfür diverse Möglichkeiten, etwa Szenarioanalysen, die die Entwicklung eines Portfolios unter bestimmten Umständen untersuchen, oder Sensitivitätsanalysen, die einen einzigen Risikofaktor bei Marktveränderungen betrachten. Entwickler von Stresstests können sowohl auf historische als auch auf hypothetische Szenarien zurückgreifen. Das Ziel ist stets, die Kapitalausstattung für den Krisenfall ausreichend zu gestalten, also den regulatorischen und wirtschaftlichen Mindestanforderungen zu entsprechen. Mithilfe von Stresstests lassen sich auch Risiken entdecken, die vorher unbekannt waren, und fortan überwacht werden können.
Erfolge durch organisatorische Integration der Stresstests
Im Jahr 2006 definierten die Basler Rahmenvereinbarungen (Basel II) die Anforderungen an Stresstests. Nach Auswertung der Wirtschaftskrise in den Folgejahren zog das Basler Komitee dann ein ermutigendes Fazit: All jene Institute, die Stresstests zu einem integralen Bestandteil ihrer Unternehmenspolitik gemacht hatten, überstanden die Rezession vergleichsweise gut. Ein Problem war indes, dass die Banken die Tests oftmals standardisiert umgesetzt hatten, anstatt alle wichtigen Organisationseinheiten mit einzubinden; die Akzeptanz innerhalb der Unternehmen war entsprechend gering. Auch war die IT-Infrastruktur oft nicht flexibel genug, um die Tests durchspielen zu können. Ein weiterer Schwachpunkt war, dass ihnen lediglich empirische Daten zugrunde gelegt wurden. Expertenwissen wurde nicht ausreichend berücksichtigt. Hinzu kam, dass die Verantwortlichen ihr Unternehmen oft in einem insgesamt zu optimistischen Umfeld betrachteten.
„Vor dem Hintergrund der Schwere und Länge der Finanzkrise wurden von den Banken und Aufsichtsbehörden auch Stresstests kritisch hinterfragt.“
Daraus lassen sich folgende Lehren ziehen: Die Geschäftsführung sollte Stresstests zu einem integralen Bestandteil des Unternehmens machen und die Umsetzung überwachen. Alle Annahmen müssen transparent sein. Verschiedene Modelle sind durchzuspielen, mehrere Blickwinkel zu betrachten. Experten und IT müssen eingebunden werden.
Anforderungen an Stresstests für Versicherungen
In den Jahren 2000–2010 gerieten die Kapitalmärkte ständig in Turbulenzen. Aufgrund der hohen Volatilitäten wurden auch in Versicherungen vermehrt Stresstests durchgeführt. Gleichwohl gewannen die Tests dort nicht die Bedeutung, die sie bei den Banken haben, denn die Komplexität ist bei den Versicherungen weitaus größer. So umfasst deren Risiko allerlei zusätzliche Aspekte, angefangen von gut prognostizierbaren Langlebigkeitsrisiken in der Lebensversicherung bis hin zu schwer kalkulierbaren Naturkatastrophen wie Erdbeben, Hurrikans oder Überschwemmungen in den Sachversicherungen. Die Aufsichtsbehörden verlangen von den Versicherungen zwei Formen der Überwachung: Zum einen sind Stresstests nach den Szenariovorgaben der Aufsichtsbehörde durchzuspielen. Zum anderen müssen die Unternehmen interne Beobachtungsmodelle entwickeln; hier können die Versicherungen ihre eigenen Szenarien bestimmen.
Modell der Versicherung als Kollektivprodukt
Bei kapitalbildenden Lebensversicherungen zahlt der Versicherungsnehmer in der Regel monatlich einen festen Beitrag. Die Laufzeit, beispielsweise 30 Jahre, wird vorab festgelegt. Im Erlebens- oder Todesfall erfolgt eine Leistung. Rechnungsgrundlagen sind die Sterbetafel und der garantierte Rechnungszins. Alle Beiträge werden entsprechend dem vorab bestimmten Rechnungszins verzinst. Die Versicherung muss diesen Rechnungszins vorsichtig taxieren, schließlich wird er von ihr auf Jahrzehnte hinaus garantiert. In Deutschland muss die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) diesen Zinssatz genehmigen; er darf 60 % des Durchschnitts zehnjähriger Staatsanleihen nicht übersteigen. Der wesentliche Unterschied zu Bankprodukten macht die ungewisse Lebenserwartung der Kunden aus. Ferner zahlt die Gemeinschaft der Versicherten, also das Kollektiv, während bei der Bank jeder einzelne Sparer auf sich gestellt ist. Ein anhaltendes Problem in der Branche ist die unterschätzte Lebenserwartung.
„Ein sehr wichtiger Punkt beim Reporting der Ergebnisse ist das Einführen einer Grenze, die der potenzielle Verlust nach Möglichkeit nicht überschreiten darf.“
Ende 2012 tritt die von der Europäischen Union verabschiedete Richtlinie Solvency II in Kraft. Die Umsetzung findet ähnlich wie bei Basel II in einem dreistufigen Prozess statt. Ziel ist, dass die Versicherungen ihre Eigenkapitalanforderungen angemessen ermitteln. Hierunter fällt in erster Linie die richtige Bewertung der Aktiva und Passiva in der Bilanz. Grundsätzlich sollen die Unternehmen ihre Risikokultur stärken.
Entwicklung von Stresstests
Es gibt risikoartenspezifische und risikoartenübergreifende Stresstests. Erstere beschränken sich auf eine Risikoart, etwa makroökonomische Risiken (Zinsen), Kreditrisiken (Änderung des Konkursrechts) und finanzielle Risiken (Marktvolatilität). Letztere umfassen im Idealfall alle relevanten Risiken eines Unternehmens. Um jedes realistische Szenario identifizieren zu können, ist zunächst eine umfangreiche Quellenarbeit nötig – schließlich wollen Sie keine gefährliche Situation übersehen. Binden Sie alle wichtigen internen Risikoeinheiten in den Prozess der Identifizierung von Szenarien ein – eine fortdauernde Aufgabe, die niemals endet. Außerdem müssen Sie die Zusammenhänge der Risiken erkennen und die Größenordnungen ihrer Auswirkungen beziffern. Hierbei sind folgende Methoden möglich: Ad-hoc- oder Expertenschätzung, historische Erfahrungen, Sensitivitäten aus Makrofaktorzeitreihen und die Modifikation bestehender Modelle. In einem weiteren Schritt sind Maßnahmen im Betrieb zu treffen, um die identifizierten Risiken zu vermeiden. Das Leitbild und die Unternehmensphilosophie sollten den Mitarbeitern eine Risikokultur vermitteln, d. h. die Mitarbeiter sollten die Risiken stets im Auge behalten. Interne Onlineportale können hierbei hilfreich sein. Klare Strukturen mit definierten Verantwortlichkeiten und Prozessen sind ratsam. Schaffen Sie eine Geschäftseinheit „Stresstests“.
Entwicklung von Szenarien
Für Stresstests müssen Sie plausible und relevante Szenarien finden. Eine besondere Herausforderung ist es, bei der Auswahl der Szenarien die Vorgaben der Aufsichtsgremien wie des Commitee of European Banking Supervisors zu befolgen. Es sind hypothetische, historische und inverse Stresstests mit entsprechenden Szenarien denkbar.
- Bei den hypothetischen Szenarien verändern Sie bestimmte Risikofaktoren, um zu erkennen, was passiert, wenn sich Marktparameter ändern. Sie wollen insbesondere feststellen, wo hohe Verlustgefahren drohen und wo Ihr Geschäft besonders sensitiv reagiert. Eine Schwachstelle der hypothetischen Betrachtung besteht darin, dass Sie ihr möglicherweise nicht die richtigen Korrelationen zugrunde legen und so ein falsches Bild erzeugen. Ein Vorteil ist, dass Sie etwa für Produktinnovationen oder illiquide Wertpapiere prüfen können, was im Ernstfall passieren könnte.
- Bei den historischen Stressszenarien können Sie Schlussfolgerungen aus der Vergangenheit auf die Gegenwart übertragen. Beispiele sind Aktiencrashs, Währungsabwertungen, Terroranschläge oder Staatskrisen. Hohe Glaubwürdigkeit und einfache Verständlichkeit sind die Vorzüge dieser Methode. Es stellt sich allerdings die Frage, ob sich historische Vorfälle in der gleichen Form wiederholen.
- Bei inversen Stresstests schließlich gehen Sie genau auf jene Marktkonstellationen ein, von denen Sie wissen, dass Ihr Portfolio empfindlich reagiert.
Stresstests für das Kreditrisiko
Das größte Risiko für eine Bank ist das Kreditrisiko. Hierunter fallen das bilanzielle Kreditrisiko, sprich: der Ausfall des Kreditnehmers, und das Kontrahentenrisiko, worunter der Ausfall des Kontrahenten und damit der Verlust eines Derivats zu verstehen ist. Das Kontrahentenrisiko geriet etwa beim Niedergang der New Yorker Investmentbank Bear Stearns im Frühjahr 2008 ins Blickfeld. Zur Ermittlung des möglichen Ausfalls eines Kunden wird die Ausfallwahrscheinlichkeit berechnet, das heißt die Wahrscheinlichkeit, mit der ein Kunde binnen eines Jahres seinen Kredit nicht mehr zurückzahlen kann. Verschiedene Ratingverfahren kommen dabei zur Anwendung. Diese vergleichen die Bonität der Kreditnehmer und weisen jedem Kunden eine Ausfallwahrscheinlichkeit für die nächste Periode zu.
Stresstests für das Liquiditätsmanagement
Seit der weltweiten Wirtschaftskrise wird dem Liquiditätsmanagement größte Aufmerksamkeit geschenkt. Nicht ohne Grund wird die Krise auch als Liquiditätskrise bezeichnet. Wer die Liquidität im Rahmen eines Stresstests unter die Lupe nimmt, muss extreme Situationen untersuchen, und hier sind historische Daten nicht unbedingt aussagekräftig. Für die Bank geht es darum, nicht nur kurzfristig alle Zahlungsansprüche erfüllen zu können, sondern auch langfristig in der Lage zu sein, sich genügend Refinanzierungsmittel beschaffen zu können. Ein Problem der Szenarioanalysen und Stresstests ist jedoch, dass sie sich häufig lediglich mit der kurzfristigen Liquidität beschäftigen. Um langfristig gut mit Liquidität ausgestattet zu sein, sind bilanzielle Maßnahmen notwendig.
Operationelle Risiken mit Stresstests aufspüren
Für die klassischen Risikoarten Kredit-, Markt- und Liquiditätsrisiko sind Stresstests seit vielen Jahren Usus. Bei der Überwachung operationeller Risiken ist das jedoch nicht der Fall; diese Risiken begannen die Banken erst systematisch mit den Entscheidungen von Basel II und der daraus abgeleiteten Solvabilitätsverordnung von 2006 ins Blickfeld zu nehmen. Weil es sich um eine noch junge Methode handelt, haben sich bislang keine Standards bei der Überwachung herausgebildet. Zum Einsatz kommen Sensitivitäts- und Szenarioanalysen. Im Kern geht es bei der operationellen Risikokontrolle darum, die Solvabilität (Eigenmittelausstattung) der Bank selbst im Extremfall sicherzustellen. Um den Vorgaben der BaFin gerecht zu werden, müssen Sie bei der Ermittlung der Eigenkapitalanforderungen Folgendes beachten:
- Berücksichtigen Sie potenziell schwerwiegende Verluste.
- Beziehen Sie sowohl erwartete als auch unerwartete Verluste ein.
- Addieren Sie die geschätzten operationellen Risiken.
- Achten Sie beim Risikomesssystem auf eine detaillierte Darstellung, um nicht Gefahr zu laufen, operationelle Risiken zu übersehen.
„Die Vergangenheit hat gezeigt, dass ein gutes Stresstesting ein wichtiger und wesentlicher Beitrag im Rahmen des Risikomanagements sein muss und im Sinne einer modernen Banksteuerung strategisch verankert sein sollte.“
Pflicht bei der Umsetzung ist die Einbeziehung interner Daten, also eine Verlustdatensammlung, die drei bis fünf Jahre zurückreichen muss. Ebenfalls sind externe Daten einzubeziehen, die potenziell gefährliche Verluste aufzeigen.