Integrales Risikomanagement: alle Risiken auf dem Radar

Cyberangriffe, Fehler in der operativen Abwicklung, ungenügende Leistungen eines Partnerunternehmens oder Zinsbewegungen, die Einfluss auf die Eigenmittel und Erträge der Bank haben: All dies sind Risiken, die bei Finanzinstituten auftreten können. Mit der Etablierung eines Risikomanagements identifizieren, bewerten, überwachen und steuern Unternehmen die für sie relevanten Risiken. Matthias Lips, Leiter Monitoring Operational Risks bei PostFinance, zeigt auf, mit welchen Arten von Risiken PostFinance konfrontiert ist, wie das Risikomanagement intern organisiert ist und wie sämtliche Mitarbeiter:innen für die Risiken in ihrem Bereich sensibilisiert werden.

Interview mit Matthias Lips, Leiter Monitoring Operational Risks bei PostFinance

Welche Aufgaben übernimmt deine Abteilung Monitoring Operational Risks ganz konkret?

Matthias Lips: Wir gehören zum Bereich Risk Control und stellen aus einer integralen und unabhängigen Perspektive die Identifikation, Beurteilung und Steuerung der Risiken über alle Bereiche des Unternehmens sicher. Wir stellen sicher, dass alle wesentlichen Risiken der Bank identifiziert sind und die jeweiligen Verantwortlichen einen angemessenen Umgang mit diesen Risiken haben.

Im Bereich Risk Control sind drei Monitoring Teams angesiedelt: Eines davon überwacht die finanziellen Risiken, ein weiteres die Cyber-, IT- und Datenrisiken und mein Team alle weiteren operationellen Risiken. In unseren Themenbereichen führen wir dazu Prüfungen, Analysen oder Kontrollen durch und stellen eine angemessene Berichterstattung an das Management sicher. Wir checken in aller Tiefe, ob jeweils alle Risiken identifiziert sind, sie korrekt gemessen und angemessen gesteuert werden.

Welche Kompetenzen sind in deiner Abteilung gebündelt?

Da die Aufgaben bei uns sehr unterschiedlich sind, arbeiten in meinem Team Mitarbeitende mit ganz unterschiedlichem Hintergrund. Wir nehmen die Verantwortung für einzelne Risikokategorien in unserem Team wahr. Dabei handelt es sich beispielsweise um die Kategorien Drittpartei, Abwicklungsrisiken, Legal oder Payment. Entsprechend sind auch spezifische Kompetenzen und Kenntnisse gefordert. Ist ein Teammitglied zum Beispiel für die Payment-Risiken zuständig, bringt es idealerweise Erfahrungen im Bereich Zahlungslösungen mit, betreut es IT und Security, sollte es einen IT- und Security-Background haben. Als Team sind wir also sehr breit aufgestellt und haben unter anderem Erfahrungen in den Bereichen Banking, Security, Revision und finanzielle Berichterstattung.

Wie hat sich das Risikomanagement von Banken und insbesondere von PostFinance in den letzten Jahren entwickelt?

Es hat sich in den vergangenen Jahren sehr stark professionalisiert. Bei PostFinance ist insbesondere seit der FINMA-Unterstellung bzw. der Vergabe der Banklizenz 2013 eine starke Intensivierung des Risikomanagements zu beobachten. Dieser Trend hat sich mit der Einstufung als systemrelevante Bank noch verstärkt. So hat die FINMA erst kürzlich in einem Rundschreiben an alle Banken zusätzliche Anforderungen im Bereich der operationellen Risiken angekündigt, die wir nun umsetzen werden. Aber auch die Digitalisierung hat grossen Einfluss auf die Qualität des Risikomanagements. Vor einigen Jahren haben wir etwa ein neues Tool in unserem internen Kontrollsystem eingeführt, das es uns erlaubt, für die inventarisierten Risiken per Workflows automatisch Kontrollen und Aufgaben auszulösen. Dieses Tool hat sich in der Zwischenzeit wesentlich weiterentwickelt und weist nun diverse zusätzliche Inventare und Funktionen auf.

Mit welchen besonderen Herausforderungen ist das Risikomanagement von Banken in der heutigen Zeit konfrontiert?

Zum einen mit der Tatsache, dass Banken immer im Visier von Cyberkriminellen stehen, wobei zu erwähnen ist, dass Banken im Bereich Cyber- und IT-Security erstklassig unterwegs sind – auch was das Risikomanagement anbelangt. Dennoch sind wir laufend gefordert, in diesem Bereich entsprechendes Know-how aufzubauen. Zum anderen sind wir wie alle anderen Unternehmen mit einer zunehmenden Marktunsicherheit konfrontiert – angefangen bei Corona bis hin zum Russland-Ukraine-Krieg. In Zeiten solcher Unsicherheiten ist Risikomanagement extrem wichtig und kann für das Fortbestehen eines Unternehmens zentral sein. Was aber auch wichtig ist: Risikomanagement ist nicht direktes Krisenmanagement. Wir im Risikomanagement versuchen, die Risiken präventiv einzuordnen und zu steuern. Im Falle einer Krise sind entsprechende Organe wie der Krisenstab vorhanden. Selbstverständlich sind wir in diesen Gremien aber auch vertreten und arbeiten mit.

Setzt ihr bereits Künstliche Intelligenz im Risikomanagement bei PostFinance ein – und falls ja, in welchen Bereichen und mit welchen Erfahrungen?

Künstliche Intelligenz hat für uns zwei Aspekte, die relevant sind. Einerseits wirkt sie risikotreibend und bringt neue Angriffsvektoren für Kriminelle mit oder birgt Risiken im Bereich der Anwendung von KI-Modellen. Andererseits kann sie auch Risiken mindern, indem die Überwachung oder Kontrolle mittels Künstlicher Intelligenz verbessert oder umfassender durchgeführt werden kann. Sie ermöglicht es uns zum Beispiel, grosse Datenmengen zu analysieren oder Kontrollprozesse zu automatisieren.

Wie schafft es PostFinance, das Risikobewusstsein bei allen Mitarbeiterinnen und Mitarbeitern zu verankern?

Indem wir die Mitarbeiterinnen und Mitarbeiter regelmässig sensibilisieren und ihnen vor Augen führen, dass es weit weniger Aufwand bedeutet, die Risiken im eigenen Verantwortungsbereich zu kennen und deren negative Folgen präventiv abzuwenden als im Nachhinein Schadensbekämpfung zu betreiben. Dazu informieren wir über die entsprechenden Vorgaben und führen Risikoassessments durch. Zudem sind alle Mitarbeitenden verpflichtet, in regelmässigen Abständen ihr Wissen anhand eines E-Learnings zum Thema aufzufrischen.

Und noch eine persönliche Frage: Wird man als Risikomanager:in allem gegenüber kritisch? Sieht man nur noch Gefahren?

Man nimmt beruflich sicher eine kritische Grundhaltung ein, was aber nicht heisst, dass man ängstlich durchs Leben geht. Auch eine Risikomanagerin bzw. ein Risikomanager wagt mal einen Fallschirmsprung! Unsere Aufgabe ist es, die richtigen Fragen zu stellen und zu erkennen, was trotz Massnahmen im realistischen Fall schiefgehen kann, besonders unter Berücksichtigung des Faktors Mensch. Da liegt es dann auch an uns, sicherzustellen, dass solche Ereignisse eben nicht eintreten und wir Wege finden, wie wir diese Gefahren eliminieren oder zumindest auf ein akzeptables Mass reduzieren können. Dabei gilt es, hartnäckig zu bleiben, auch wenn unser Gegenüber bei einem Risikoszenario sagt: So etwas ist doch noch nie passiert. Ich bringe in diesem Fall gerne das Beispiel einer deutschen Bank, die am Morgen der Pleite, die bereits in den Medien kommuniziert war, 300 Millionen Euro zu Lehman Brothers transferiert hatte. Zur erwarteten Rückzahlung von 500 Millionen Dollar ist es nicht mehr gekommen bzw. diese war dann Teil des Insolvenzverfahrens. Dieser Fall war zuvor auch noch nie eingetroffen, hätte aber verhindert werden können.