Interview mit Erich Walter Farkas , erschienen am 2.12.2019 im SAV Bulletin.
Die Welt entwickelt sich in rasantem Tempo weiter und konfrontiert die Menschheit mit immer neuen Herausforderungen. Das Risikomanagement ist davon ganz besonders betroffen. Denn wie sollen Risiken berechnet werden, wenn es aus der Vergangenheit keine relevanten Daten gibt? Prof. Dr. Erich Walter Farkas, Co-Chair of the Board der Swiss Risk Association und Professor of Quantitative Finance an der Universität Zürich, plädiert für holistische Ansätze und länderübergreifende Initiativen.
Wer bei Themen wie Quantitative Finance und Risikomanagement an verstaubte Büros oder ausladende Büchergestelle mit Fachliteratur denkt, hat weit gefehlt. Professor Erich Walter Farkas lebt im modernen Gebäude der Universität Zürich in Oerlikon vor, was er für eine erfolgreiche Zukunft des Risikomanagement als besonders wichtig erachtet: interdisziplinäre Zusammenarbeit, Offenheit gegenüber anderen Industrien und den intensiven Austausch mit Fachpersonen aus verschiedensten Bereichen. Dabei hat er selbst einen wahrhaft paneuropäischen Werdegang: Er studierte Mathematik an der Universität Bukarest, doktorierte an der Universität Jena und habilitierte an der Universität München. 2003 kam er nach Zürich und zeichnet seither verantwortlich für den spezialisierten MSc in Quantitative Finance, gemeinsam angeboten von UZH und ETH.
Professor Dr. Farkas, was ist das Ziel der Swiss Risk Association?
Kurz zusammengefasst ist es unsere Mission, das Ansehen der Schweiz als Kompetenzzentrum für Risikomanagement und Financial Engineering zu stärken. Dazu wollen wir das Netzwerk und den Austausch zwischen Risikoexperten aus verschiedenen Branchen unterstützen und fördern. Wir wollen uns explizit nicht nur auf die Bereiche Banking & Finance und Insurance beschränken, sondern interdisziplinär arbeiten und beispielsweise auch zur Pharmaindustrie oder zur Stromindustrie Brücken schlagen. Denn auch da gibt es vergleichbare Risiken. Unsere Vision ist es, dass wir als Organisation Ansprechpartner und Bindeglied für alle wichtigen Player im Finanzmarkt, die Akademie, aber auch Regulatoren sowie andere Fachorganisationen, sind.
Wie grenzen Sie sich dabei von anderen Risk Organisationen ab?
Es gibt weltweit zahlreiche Risk-Vereinigungen, beispielsweise GARP (Global Association of Risk Professionals) oder PRMIA (Professional Risk Manager International Association), die sehr global agieren. Unser Ziel war es, eine Organisation zu gründen, die sich mit den spezifischen Gegebenheiten und Herausforderungen der Schweiz auseinandersetzt. Die Schweiz hat nicht nur politisch sehr spezifische Rahmenbedingungen, sondern je länger, je mehr auch regulatorisch. Denken Sie in der Versicherungsbranche etwa an den Swiss Solvency Test, verglichen mit dem europäischen Solvency II. Dies beeinflusst nicht nur den Finanzplatz, sondern ganz entscheidend auch die Risikoumgebung. Und nicht zuletzt zeichnet sich die Schweiz durch ein sehr hohes Ausbildungsniveau und eine grosse Innovationskraft aus. Dies wollten wir profilieren und unterstützen.
Sie organisierten früher die Risk Days an der ETH. Hat sich die Swiss Risk Association direkt daraus entwickelt?
Richtig, ich habe früher für mehr als zehn Jahre zusammen mit Prof. Paul Embrechts an der ETH die sogenannten Risk Days organisiert. Üblicherweise fanden diese vor Semesterbeginn im September statt und dauerten einen Tag. Zu den Gründungszeiten der SRA war unsere Absicht, diese doch sehr ETH-spezifischen Events mittelfristig auszubauen. Somit war die Idee der Swiss Risk Association geboren. Heute organisieren wir drei Flagship Events im Jahr und versuchen, damit so viele Interessierte wie möglich zu erreichen.
Wie ist die Swiss Risk Association heute aufgebaut?
Wir sind eine Non-Profit-Organisation und finanzieren uns durch Mitgliederbeiträge und kleine Sponsorenbeiträge. Heute haben wir fast 1 000 Mitglieder. Unser Newsletter erreicht allerdings rund 10 000 Menschen, was uns natürlich sehr freut. Unsere Themen, Ideen und Ansätze stossen offenbar auf grosses Interesse und sind für die Branche relevant.
Die Swiss Risk Association ist in Chapters aufgeteilt. Was hat es damit auf sich?
Wie bereits erwähnt organisieren wir seit der Gründung 2013 jedes Jahr einige Flagship Events. In einer zweiten Phase wollten wir gewisse Themen aber noch stärker runterbrechen und in Arbeitsgruppen behandeln. Zu diesem Zweck haben wir eine Mitgliederumfrage initiiert und unsere Community gefragt, welche Themen sie interessieren – etwa Modellrisiko, Operational Risk oder Digital Risk. Basierend auf diesen Rückmeldungen haben wir unsere sogenannten Chapters gegründet. Die von mir geleitete Arbeitsgruppe setzt sich beispielsweise mit dem Thema Stress Testing auseinander und trifft sich zwei-, dreimal im Jahr.
Sie erwähnten bereits Modellrisiko und Digital Risk. Welche Themen werden unsere Branche künftig sonst noch beschäftigen?
Das werden mit Sicherheit wichtige Themen sein wie Klimaveränderungen oder Cyber Risk, insbesondere Data Privacy oder Digital Asset Protection. Gerade Letzteres ist heute und in der Zukunft ein sehr ernst zu nehmendes Risiko. An einer kürzlich von uns organisierten Veranstaltung hat sich ein Hacker im Rahmen einer Livedemonstration relativ problemlos Zugang zum System einer der Schweizer Grossbanken verschafft. Das zeigt, wie anfällig wir sind. Im Zusammenhang mit solchen Penetration-Tests müssen wir künftig auch verstärkt die Themen Compliance, Enterprise Risk Management, sowie Cyber Pricing und Modellierungen anschauen. Dabei ist es entscheidend, beispielsweise auch KMU zu untersuchen, die natürlich andere Risiken haben als systemrelevante Banken. Auch hier würde ich wieder für die Interdisziplinarität plädieren, denn auch Pharmakonzerne oder Versicherungen haben spezifische Anforderungen, denen wir heute gerecht werden müssen.
Für diese neue Art von Risiken und im Sinne einer nachhaltigen Vorgehensweise ist es instrumentell, dass wir länder- und institutionsübergreifende Datenbanken schaffen und den Know-howTransfer sicherstellen.
Wie kann dieser interdisziplinäre Ansatz gefördert werden?
In einem ersten Schritt müssen wir alle Industrien sensibilisieren. Und wir brauchen konvergente Informationen. Für diese neue Art von Risiken und im Sinne einer nachhaltigen Vorgehensweise ist es instrumentell, dass wir länder- und institutionsübergreifende Datenbanken schaffen und den Know-how-Transfer sicherstellen. Private und Hochschulen müssen genauso miteinbezogen werden wie Aktuare, ITSpezialisten oder Finanz- und Dataspezialisten. Das ist eine grosse Herausforderung und wird politischen Willen brauchen, aber ich glaube nicht, dass wir darum herumkommen. Hier sehe ich auch meine Rolle und die meiner Kollegen an der Hochschule. Ich glaube, hier haben wir als Akademiker und auch als Teil der Swiss Risk Association nämlich den entscheidenden Vorteil, dass wir als unabhängige Kraft wahrgenommen werden.
Sie sprechen länderübergreifende Datenbanken an. Damit sind grosse Aufwände verbunden. Wie kann die Industrie motiviert werden, diese Initialaufwände auf sich zu nehmen?
Natürlich steht letztlich der Profit im Zentrum, das ist klar. Aber: Wir erhöhen mit solchen Massnahmen schlicht und einfach die Sicherheit aller involvierten Organisationen und Personen.
Sie sehen in solchen Datenbanken den entscheidenden Faktor?
Ja. Denken Sie etwa an Naturkatastrophen. Sie sind heutzutage mehr und mehr erklärbar, aber immer noch schwierig vorauszusagen. Sie stellen erhebliche Anforderungen an die Risikomodellierung. Durch die Klimaerwärmung geschehen heute mehr Naturkatastrophen als vor zehn Jahren. Das heisst, auch die uns zur Verfügung stehenden Schadendatenbanken sind inzwischen überholt. Hier ist deshalb die Kreativität der Profis aus den Bereichen Mathematik, Geophysik, Politik und Ökonomie gefragt. Wenn es uns aber gelingt, einen wichtigen Teil der verfügbaren Daten in eine zentrale Datenbank zusammenzuführen, wird die Arbeit massiv vereinfacht.
Die Herausforderungen rund um Cyber Risk
Verhält es sich bei der Entwicklung von Versicherungslösungen zu Cyber Risk ähnlich?
Auf jeden Fall. Auch diese Risiken sind neu, und wir müssen bei ihrer Berechnung auf eine Kombination aus Informationen aus der Vergangenheit und szenariobasierten Daten setzen. Vor 15 Jahren gab es keine Hackerangriffe, also kann man sich nicht auf Schäden in der Vergangenheit beziehen. Der Forecast in eine Prämie funktioniert nicht. Es braucht innovative Ansätze. Weiter müssen wir unbedingt den Dialog zwischen IT-Experten, Produktentwicklern und der Versicherungsindustrie fördern. Ich bin der Meinung, dass uns neutralen Playern auch hier eine zentrale Rolle zukommt, denn wir müssen darauf hinarbeiten, dass wir gemeinsam das Big Picture sehen. Es ist interessant, zu sehen, dass alle grossen Firmen sich mit dem Thema zwar beschäftigen, bisher aber niemand ein überzeugendes Produkt auf den Markt bringen konnte. Das hat mit der enormen Komplexität dieses Bereiches zu tun.
Was sind die grössten Cyber-Risiken für die Versicherungsindustrie?
Denken Sie etwa an den Verlust von persönlichen medizinischen Daten wegen eines Hackerangriffs auf eine Krankenversicherung und die dadurch entstehenden GDPR-Risiken. Oder an den Verlust von Daten im Rahmen einer Produktentwicklung eines Pharmaunternehmens. Oder an den Diebstahl dieser Daten durch ein Konkurrenzunternehmen, das nun das innovative Produkt selbst auf den Markt bringen kann. Intellectual Property Theft wird hier ein wichtiges Schlagwort sein. Natürlich kann ein Hackerangriff aber auch eine Produktion unterbrechen oder einen Betriebsausfall forcieren. Aber ich denke, eine der grössten Gefahren ist unter anderen das sogenannte «Silent Cyber». Aufgrund der Cyber-Risk-Exponierung mit der zunehmender Vernetzung der Endgeräte und Digitalisierung gibt es Bedarf zur Restrukturierung der Risiken in den bisherigen klassischen Versicherungsprodukten. Des Weiteren sind die Risikoprofile für einige Cyberschäden nicht klar definiert und damit nicht versicherbar. Der Ausfall einer Energy, des Internets oder eines Transportnetzwerks ist ein klassisches Beispiel, wo momentan die grosse Versicherungsplayer verschiedene Lösungen suchen. Da sind, wie auch im Fall von Naturkatastrophen, aufgrund von grossem Kumulrisiko staatliche und Poollösungen sowie spezielle Risikotransferlösungen gefragt. Wie gesagt, sind die Cyber-Risiken vielfältig.
Derzeit wird Machine Learning im Markt eingesetzt, um Verträge auf deren Exponiertheit bezüglich «stiller» Cyber-Risiken zu prüfen. Wie sehen Sie diesen Ansatz?
Meines Erachtens sind neue Technologien wie Künstliche Intelligenz und Machine Learning für die Entwicklung neuer Ansätze wichtig. Die Schwierigkeit hierbei ist meines Erachtens jedoch folgende: Wenn wir eine Maschine entscheiden lassen, können wir die Entscheidungen nicht mehr nachvollziehen. Wir können Fehlentscheide nicht mehr bewerten. Wie soll ich also die Versicherung zu einem späteren Zeitpunkt anpassen?
Sie denken folglich, dass der Mensch weiterhin entscheiden muss?
Ja, die neuen Technologien sollten immer durch eine menschliche Komponente ergänzt werden. Denken Sie etwa an selbstfahrende Autos. Hier stellt sich schon heute die Frage: Wer muss versichert werden? Die menschliche Hand, die es programmiert hat? Die Firma, die das Projekt finanziert? Der Fahrer? Wer ist verantwortlich für Fehlentscheide des Autos, die zu einem Unfall führen? Das sind extrem komplexe Entscheide, die wir – noch – nicht ganz aus der menschlichen Hand geben dürfen.
Wenn ein Risiko schwierig zu quantifizieren ist, werden Versicherungslösungen häufig auf Basis eines Indexes entwickelt. Könnte ein solcher Ansatz auch für den Cyber-Markt sinnvoll sein?
Eine indexbasierte Berechnung der Risiken wäre sicher eine valable Möglichkeit. Wenn diese von einer neutralen Organisation etabliert würde, welche die Daten zentral erfasst und zur Verfügung stellt – umso besser. Um mögliche Szenarien besser einschätzen zu können, hat es sich auch bewährt, ganz extreme Beispiele mit einer kleinen Wahrscheinlichkeit in die Berechnungen einzubauen. Falls diese dann tatsächlich so oder ähnlich eintreten, was je länger, je wahrscheinlicher wird, sind Rückversicherer und andere Player besser vorbereitet.
Die Zukunft des Risikomanagements: Ausbildungen und Visibilität
Angesichts der Veränderung in der Branche, welche Fähigkeiten werden Aktuare und Risikomanager für die Zukunft vor allem benötigen?
Ich zitiere gerne aus dem Buch «Quantitative Risk Management» von McNeil, Frey, Embrechts: «The quantitative risk manager has to be humble.» Man muss sich immer bewusst sein, dass man vieles nicht weiss und nicht kennt. Ich glaube, es ist heute wichtig, dass ein Aktuar die Grundlagen der Mikro- und Makroökonomie versteht und dass er offen ist für die neusten Erkenntnisse und ständige Weiterbildungen. Auch die Bereitschaft, holistisch und interdisziplinär zu denken und zu arbeiten, ist meines Erachtens zentral. Und nicht zuletzt werden auch die sogenannten Soft Skills immer wichtiger. Quants und Mathematiker arbeiten in grossen Unternehmen und müssen ihre Ideen gegenüber anderen Professionen präsentieren und richtig argumentieren können. Auch wenn wir an branchenübergreifende Datenbanken und Ausbildungen denken, ist es eminent wichtig, dass man sich gute Kommunikationsfähigkeiten aneignet.
Ständige Weiterbildungen sind heutzutage im Beruf eine Pflicht. Was sind die Möglichkeiten zur Weiterbildung im Bereich Risikomanagement für Aktuare?
Ich glaube, dass sich Weiterbildungen in diesem Bereich in Richtung sehr kompakter Kurse entwickeln werden. Wir haben mit dem Certificate of Advances Studies bereits ein ähnliches Gefäss. Was ich aber aus der Industrie spüre, ist der Wunsch nach Kompaktausbildungen, die vielleicht einen halben oder drei Tage dauern. Diese sollen spezifische Themen behandeln, etwa Operational Risk oder die Modellierung von Naturkatastrophen. Hier könnte ich mir als Ansatz auch vorstellen, dass eine Firma wie Novartis eine Weiterbildung zum Thema «Risiken in der Pharmaindustrie» anbietet. Wir müssen miteinander reden und die Verantwortung für relevante und aktualitätsbezogene Ausbildungen nicht nur alleine den Hochschulen übertragen.
Wie beurteilen Sie diesbezüglich die Wettbewerbsfähigkeit der Schweiz?
Es gibt Märkte, beispielsweise London oder Bermuda, die vielleicht etwas weniger stark reguliert sind und deshalb auch rascher reagieren können als die Schweiz. Aber gleichzeitig überzeugt die Schweiz mit anderen Argumenten. Das Land bietet hervorragende Ausbildungen und ist nach wie vor sehr innovativ, nicht nur dank den diversen Hochschulen, sondern auch dank den Research-Abteilungen bei Finanz- und Industriefirmen.
Wie wichtig ist es, Themen wie Risikomanagement einer breiten Öffentlichkeit näherzubringen?
Ich glaube, hier sind wir als Vertreter von Hochschulen und Verbänden in der Pflicht, uns zum Beispiel in den Medien immer wieder einer breiteren Öffentlichkeit zu stellen. Wir müssen auch mit modernen Tools arbeiten, vielleicht mit kurzen Erklärvideos oder einer Präsenz auf YouTube. Schliesslich sprechen wir auch mit den Steuerzahlern, die unsere Absichten verstehen müssen – gerade wenn wir an die von mir angesprochenen Datenbanken denken, die nicht nur von der Privatwirtschaft, sondern auch von der Politik und somit von der breiten Öffentlichkeit verstanden und unterstützt werden müssen.
Vielen Dank, Herr Prof. Dr. Farkas, für diese interessanten Ausführungen!
Martin Sigrist
Anahid Terzian
Sandra Strickler