Integrales Risikomanagement: alle Risiken auf dem Radar

19.05.2025

Vom Verwaltungsrat und der Geschäftsleitung über die Geschäftseinheiten bis hin zum einzelnen Mitarbeitenden: Risikomanagement ist bei PostFinance Sache des ganzen Unternehmens. Matthias Lips leitet ein Team in der Abteilung Risk Control, das sich um den professionellen Umgang mit Risiken kümmert. Im Interview schildert er seine Aufgaben und aktuellen Herausforderungen.

Cyberangriffe, Fehler in der operativen Abwicklung, ungenügende Leistungen eines Partnerunternehmens oder Zinsbewegungen, die Einfluss auf die Eigenmittel und Erträge der Bank haben: All dies sind Risiken, die bei Finanzinstituten auftreten können. Mit der Etablierung eines Risikomanagements identifizieren, bewerten, überwachen und steuern Unternehmen die für sie relevanten Risiken. Matthias Lips, Leiter Monitoring Operational Risks bei PostFinance, zeigt auf, mit welchen Arten von Risiken PostFinance konfrontiert ist, wie das Risikomanagement intern organisiert ist und wie sämtliche Mitarbeiter:innen für die Risiken in ihrem Bereich sensibilisiert werden.

Risikoarten im Überblick

Unternehmen wie PostFinance sind verschiedenen Risiken ausgesetzt. Im Grundsatz kann man zwischen drei Risikoarten unterscheiden – den finanziellen, den strategischen und den operationellen Risiken.

  • Finanzielle Risiken: Finanzielle Risiken beziehen sich auf die Gefahr von unerwarteten Verlusten aus dem Anlage- und Einlagengeschäft. Dazu zählen unter anderem Risiken aus Zins- oder Marktentwicklungen, Anlageentwicklungen oder Liquiditätsschwierigkeiten.
  • Strategische Risiken: Strategische Risiken beziehen sich auf die Gefahr der Verfehlung von Unternehmenszielen auf der Ebene der grundsätzlichen bzw. langfristigen Ausrichtung des Unternehmens infolge von unerwarteten Entwicklungen. Dazu zählt beispielsweise das Risiko, dass sich der Entscheid zur Erschliessung eines neuen Markts im Nachhinein als Fehlentscheid erweist – oder dass disruptive Veränderungen im Marktumfeld das Geschäftsmodell unter Druck setzen.
  • Operationelle Risiken: Operationelle Risiken beziehen sich auf die Gefahr von unerwarteten Kosten oder unerwünschten Ereignissen (z. B. negative Auswirkung auf die Reputation oder Compliance-Verstösse), die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen oder Systemen oder in Folge von externen Ereignissen eintreten. Zu ihnen zählt eine sehr breite Palette an Risiken, beispielsweise sind dies Ereignisse im Zusammenhang mit Cyberkriminalität, Sourcingpartner:innen, fehlerhaften Geschäftsprozessen, Pandemien, der finanziellen Berichterstattung oder dem Umgang mit Daten.

Interview mit Matthias Lips, Leiter Monitoring Operational Risks bei PostFinance

Matthias Lips arbeitet seit November 2016 bei PostFinance. Er hat als Trainee im Risikomanagement angefangen und leitet seit April 2020 das Team Monitoring Operational Risks. Er studierte an der Universität Bern Betriebswirtschaftslehre (BWL) mit Vertiefung Finanzmanagement und absolvierte Weiterbildungen zu Risikoassessment, Transformationsmanagement und Leadership. Während seines Studiums hatte er verschiedene Stellen bei der Kantonspolizei Bern in der Logistik, IT und im HR und war bei der UBS als Kundenberater für nachrichtenlose Vermögen tätig.

Welche Aufgaben übernimmt deine Abteilung Monitoring Operational Risks ganz konkret?

Matthias Lips: Wir gehören zum Bereich Risk Control und stellen aus einer integralen und unabhängigen Perspektive die Identifikation, Beurteilung und Steuerung der Risiken über alle Bereiche des Unternehmens sicher. Wir stellen sicher, dass alle wesentlichen Risiken der Bank identifiziert sind und die jeweiligen Verantwortlichen einen angemessenen Umgang mit diesen Risiken haben.

Im Bereich Risk Control sind drei Monitoring Teams angesiedelt: Eines davon überwacht die finanziellen Risiken, ein weiteres die Cyber-, IT- und Datenrisiken und mein Team alle weiteren operationellen Risiken. In unseren Themenbereichen führen wir dazu Prüfungen, Analysen oder Kontrollen durch und stellen eine angemessene Berichterstattung an das Management sicher. Wir checken in aller Tiefe, ob jeweils alle Risiken identifiziert sind, sie korrekt gemessen und angemessen gesteuert werden.

Welche Kompetenzen sind in deiner Abteilung gebündelt?

Da die Aufgaben bei uns sehr unterschiedlich sind, arbeiten in meinem Team Mitarbeitende mit ganz unterschiedlichem Hintergrund. Wir nehmen die Verantwortung für einzelne Risikokategorien in unserem Team wahr. Dabei handelt es sich beispielsweise um die Kategorien Drittpartei, Abwicklungsrisiken, Legal oder Payment. Entsprechend sind auch spezifische Kompetenzen und Kenntnisse gefordert. Ist ein Teammitglied zum Beispiel für die Payment-Risiken zuständig, bringt es idealerweise Erfahrungen im Bereich Zahlungslösungen mit, betreut es IT und Security, sollte es einen IT- und Security-Background haben. Als Team sind wir also sehr breit aufgestellt und haben unter anderem Erfahrungen in den Bereichen Banking, Security, Revision und finanzielle Berichterstattung.

Wie hat sich das Risikomanagement von Banken und insbesondere von PostFinance in den letzten Jahren entwickelt?

Es hat sich in den vergangenen Jahren sehr stark professionalisiert. Bei PostFinance ist insbesondere seit der FINMA-Unterstellung bzw. der Vergabe der Banklizenz 2013 eine starke Intensivierung des Risikomanagements zu beobachten. Dieser Trend hat sich mit der Einstufung als systemrelevante Bank noch verstärkt. So hat die FINMA erst kürzlich in einem Rundschreiben an alle Banken zusätzliche Anforderungen im Bereich der operationellen Risiken angekündigt, die wir nun umsetzen werden. Aber auch die Digitalisierung hat grossen Einfluss auf die Qualität des Risikomanagements. Vor einigen Jahren haben wir etwa ein neues Tool in unserem internen Kontrollsystem eingeführt, das es uns erlaubt, für die inventarisierten Risiken per Workflows automatisch Kontrollen und Aufgaben auszulösen. Dieses Tool hat sich in der Zwischenzeit wesentlich weiterentwickelt und weist nun diverse zusätzliche Inventare und Funktionen auf.

Mit welchen besonderen Herausforderungen ist das Risikomanagement von Banken in der heutigen Zeit konfrontiert?

Zum einen mit der Tatsache, dass Banken immer im Visier von Cyberkriminellen stehen, wobei zu erwähnen ist, dass Banken im Bereich Cyber- und IT-Security erstklassig unterwegs sind – auch was das Risikomanagement anbelangt. Dennoch sind wir laufend gefordert, in diesem Bereich entsprechendes Know-how aufzubauen. Zum anderen sind wir wie alle anderen Unternehmen mit einer zunehmenden Marktunsicherheit konfrontiert – angefangen bei Corona bis hin zum Russland-Ukraine-Krieg. In Zeiten solcher Unsicherheiten ist Risikomanagement extrem wichtig und kann für das Fortbestehen eines Unternehmens zentral sein. Was aber auch wichtig ist: Risikomanagement ist nicht direktes Krisenmanagement. Wir im Risikomanagement versuchen, die Risiken präventiv einzuordnen und zu steuern. Im Falle einer Krise sind entsprechende Organe wie der Krisenstab vorhanden. Selbstverständlich sind wir in diesen Gremien aber auch vertreten und arbeiten mit.

Setzt ihr bereits Künstliche Intelligenz im Risikomanagement bei PostFinance ein – und falls ja, in welchen Bereichen und mit welchen Erfahrungen?

Künstliche Intelligenz hat für uns zwei Aspekte, die relevant sind. Einerseits wirkt sie risikotreibend und bringt neue Angriffsvektoren für Kriminelle mit oder birgt Risiken im Bereich der Anwendung von KI-Modellen. Andererseits kann sie auch Risiken mindern, indem die Überwachung oder Kontrolle mittels Künstlicher Intelligenz verbessert oder umfassender durchgeführt werden kann. Sie ermöglicht es uns zum Beispiel, grosse Datenmengen zu analysieren oder Kontrollprozesse zu automatisieren.

Wie schafft es PostFinance, das Risikobewusstsein bei allen Mitarbeiterinnen und Mitarbeitern zu verankern?

Indem wir die Mitarbeiterinnen und Mitarbeiter regelmässig sensibilisieren und ihnen vor Augen führen, dass es weit weniger Aufwand bedeutet, die Risiken im eigenen Verantwortungsbereich zu kennen und deren negative Folgen präventiv abzuwenden als im Nachhinein Schadensbekämpfung zu betreiben. Dazu informieren wir über die entsprechenden Vorgaben und führen Risikoassessments durch. Zudem sind alle Mitarbeitenden verpflichtet, in regelmässigen Abständen ihr Wissen anhand eines E-Learnings zum Thema aufzufrischen.

Und noch eine persönliche Frage: Wird man als Risikomanager:in allem gegenüber kritisch? Sieht man nur noch Gefahren?

Man nimmt beruflich sicher eine kritische Grundhaltung ein, was aber nicht heisst, dass man ängstlich durchs Leben geht. Auch eine Risikomanagerin bzw. ein Risikomanager wagt mal einen Fallschirmsprung! Unsere Aufgabe ist es, die richtigen Fragen zu stellen und zu erkennen, was trotz Massnahmen im realistischen Fall schiefgehen kann, besonders unter Berücksichtigung des Faktors Mensch. Da liegt es dann auch an uns, sicherzustellen, dass solche Ereignisse eben nicht eintreten und wir Wege finden, wie wir diese Gefahren eliminieren oder zumindest auf ein akzeptables Mass reduzieren können. Dabei gilt es, hartnäckig zu bleiben, auch wenn unser Gegenüber bei einem Risikoszenario sagt: So etwas ist doch noch nie passiert. Ich bringe in diesem Fall gerne das Beispiel einer deutschen Bank, die am Morgen der Pleite, die bereits in den Medien kommuniziert war, 300 Millionen Euro zu Lehman Brothers transferiert hatte. Zur erwarteten Rückzahlung von 500 Millionen Dollar ist es nicht mehr gekommen bzw. diese war dann Teil des Insolvenzverfahrens. Dieser Fall war zuvor auch noch nie eingetroffen, hätte aber verhindert werden können.

Gut zu wissen

Risikomanagement und Resilienz sind eng miteinander verknüpft: Durch systematisches Risikomanagement erkennt ein Unternehmen frühzeitig potenzielle Gefahren und kann gezielt Gegenmassnahmen ergreifen. So stärkt es seine Widerstandsfähigkeit gegenüber Krisen und sichert langfristig Stabilität und Handlungsfähigkeit.

Fragen und Antworten

  • Integrales Risikomanagement ist ein ganzheitlicher Ansatz zur Identifikation, Bewertung, Steuerung und Überwachung aller wesentlichen Risiken eines Unternehmens. Es ist in die Unternehmensstrategie eingebettet und umfasst alle Geschäftsbereiche.

  • Der Risikomanagementprozess umfasst folgende fünf Schritte: Risikoidentifikation, Risikobewertung (Wahrscheinlichkeit des Eintretens und Schadensausmass des Risikos), Risikosteuerung, Risikoüberwachung und Rapportierung. Er ist essenziell, um frühzeitig Gefahren zu erkennen und gezielt Gegenmassnahmen zu treffen.

  • Das Reputationsrisiko bezeichnet die Gefahr, dass das Vertrauen von Kund:innen, Geschäftspartnern oder der Öffentlichkeit in eine Bank durch negative öffentliche Wahrnehmung geschädigt wird und es dadurch zu einem Kundenverlust oder schlechterer Stellung auf dem Arbeitsmarkt kommt. Im Bankensektor spielt dieses Risiko eine zentrale Rolle, da Vertrauen eine der wichtigsten Grundlagen für stabile Kundenbeziehungen und langfristigen Erfolg ist. Ein aktives Reputationsmanagement unterstützt Banken dabei, Transparenz, Integrität und Verantwortungsbewusstsein nach aussen zu tragen.

  • KI kann grosse Datenmengen analysieren, Risiken frühzeitig erkennen, Prognosen erstellen und Prozesse automatisieren. So verbessert sie die Effizienz und Genauigkeit im Risikomanagement.

  • Risikocontrolling sorgt für Transparenz über Risiken und stellt sicher, dass Risiken rechtzeitig erkannt und angemessen gesteuert werden. Es trägt wesentlich zur Stabilität, Planungssicherheit und nachhaltigen Unternehmensentwicklung bei.

Diese Seite hat eine durchschnittliche Bewertung von %r von maximal 5 Sternen. Total sind %t Bewertung vorhanden.
Sie können die Seite mit 1 bis 5 Sternen bewerten. 5 Sterne ist die beste Bewertung.
Vielen Dank für die Bewertung
Beitrag bewerten

Dies könnte Sie ebenfalls interessieren