IT-Falle Basel II

Dass die Bestimmungen von Basel II unausweichlich im Kommen sind, ist kein Geheimnis mehr. Die neuen Ratingmechanismen der Banken werden ab 2007 offiziell zu greifen beginnen, in Wirklichkeit läuft die Vorbereitung bei den Kreditinstituten intern schon seit Jahren. Für die Unternehmen tickt die Basel-II-Uhr also unerbittlich, trotzdem sieht es mit dem Bewusstsein fallweise düster aus. »Vor allem KMU haben noch immer deutliche Informationsdefizite«, stellt beispielsweise Wirtschaftskammerexperte Erich Kühnelt fest. Das könnte sich schnell ändern. Der Kreditsektor hängt die Finanzierungslatte deutlich höher, spätestens dadurch bedingte Liquiditätslücken dürften den Umdenkprozess beschleunigen. Bei den Informationen rund um Basel II gibt es einige Konstanten: Um bei der Hausbank eine Kreditlinie loszueisen, zu behalten oder die Konditionen zu verbessern oder zumindest nicht zu verschlechtern, muss man seinen Betreuer vor allem von »harten« Faktoren überzeugen. Killerargumente sind eine ausgefeilte Finanzplanung, Bilanzkennzahlen oder bestechende Eigenkapitalquoten. »Der Gedanke des Shareholder-Value zwingt die Institute halt zur Risikominierung und Ertragsmaximierung«, sagt Kammer-Mann Kühnelt. Noch sind die harten Faktoren die Kristallisationspunkte dieser Entwicklung. Ob die Banken auch weiche Faktoren nützen werden, um ihre Risiken weiter zu minimieren und die Eintrittshürden der Kreditvergabe zu erhöhen, ist noch nicht ganz ausgemacht. Der Baseler Ausschuss hat als weiteres Kriterium das operationale Risiko definiert (siehe Kasten). Darunter werden beispielsweise Naturkatastrophen wie Erdbeben oder Feuersbrünste, Terroranschläge, Gebäudesanierungen wegen Umweltauflagen, Beschlagnahmen durch die Regierung, Regulierungsrisiken und menschliches Versagen subsumiert, um nur einige Beispiele zu nennen. Als kleine Kostenbombe für den Durchschnittsbetrieb könnte sich jedoch der Risikofaktor »interne Prozesse und Systeme« - vulgo Unternehmens-EDV - erweisen. Die Einschätzungen über die zukünftigen Konsequenzen fallen je nach Sichtweise höchst unterschiedlich aus. »Solche Fragen sind im Zusammenhang mit Ratinggesprächen schon ein paar Mal aufgetaucht«, konzediert Kammer-Mann Kühnelt. Der Kreditsektor hätte freilich weder das Know-how noch die Kapazitäten, sich dieser Fragen selbst anzunehmen. Was dieser aber auch gar nicht will, folgt man anderen Aussagen. »Es ist den Banken unangenehm, die Kunden auf IT-Risiken hinzuweisen«, sagt Hannes Lubich, Ex-Banker und heute Security-Spezialist der Schweizer Tochter von Computer Associates. Auch in der Emmentalerrepublik seien die Banken zum Schluss gekommen, dass externe Revisionen herangezogen werden müssen, weil intern noch einiges »handgestrickt« läuft. »Dabei sind die Schweizer noch weiter als ihre deutschen Kollegen«, wie Lubich meint. Bereits ab 2006 müssen die Banken selbst baselfit sein. Dabei herrscht selbst bei den Deutschen in Sachen IT & Basel schon einiges an Bewegung. »Die Nachfrage nach zertifizierten IT-Revisionen zieht bereits deutlich an«, beobachtet Günther Siebenbrunner, Boss der ACP IT Finanzierung und berichtet dabei aus erster Hand. Das österreichische Systemhaus ACP ist auch in Deutschland mit einer Tochter vertreten. »Hier sind auch schon Wirtschaftstreuhänder und Steuerberater angehalten, die Bilanz auch aus der Sicht der IT-Betriebssicherheit zu testieren«, so Siebenbrunner.