Cyberangriffe, Fehler in der operativen Abwicklung, ungenügende Leistungen eines Partnerunternehmens oder Zinsbewegungen, die Einfluss auf die Eigenmittel und Erträge der Bank haben: All dies sind Risiken, die bei Finanzinstituten auftreten können. Mit der Etablierung eines Risikomanagements identifizieren, bewerten, überwachen und steuern Unternehmen die für sie relevanten Risiken. Matthias Lips, Leiter Risk Assessment & Control bei PostFinance, zeigt auf, mit welchen Arten von Risiken PostFinance konfrontiert ist, wie das Risikomanagement intern organisiert ist und wie sämtliche Mitarbeiterinnen und Mitarbeiter für die Risiken in ihrem Bereich sensibilisiert werden.

Welche Arten von Risiken gibt es bei PostFinance?

Im Grundsatz unterscheiden wir zwischen finanziellen, strategischen und operationellen Risiken. Zu den finanziellen Risiken gehören insbesondere die Zins-, Kredit-, Markt-und Liquiditätsrisiken. Bei strategischen Risiken handelt es sich beispielsweise um die Gefahr, dass sich der strategische Entscheid, einen neuen Markt zu erschliessen, nachträglich als falsch erweist, oder um eine Gefahr, die von disruptiven Veränderungen im Marktumfeld ausgeht. Bei operationellen Risiken sprechen wir von einer sehr breiten Palette an möglichen Ereignissen, die zum Beispiel mit Cyberkriminalität, Sourcingpartnern, fehlerhaften Geschäftsprozessen, Pandemien oder dem Umgang mit Daten im Zusammenhang stehen.

Welche Aufgaben übernimmt deine Abteilung Risk Assessment & Control ganz konkret?

Wir gehören zum Bereich Risk Control und stellen aus einer integralen und unabhängigen Perspektive die Identifikation, Beurteilung und Steuerung der Risiken über alle Bereiche des Unternehmens sicher. Dabei legen wir den Fokus auf die strategischen und operationellen Risiken der gesamten Bank. Wir stellen sicher, dass alle wesentlichen Risiken der Bank identifiziert sind und die jeweiligen Verantwortlichen einen angemessenen Umgang mit diesen Risiken haben.

Ebenfalls im Risk Control angesiedelt sind zwei Monitoring-Teams: Eines davon überwacht die finanziellen Risiken, das andere die nicht-finanziellen Risiken. Die beiden Teams führen dazu in sehr spezifischen Themen Prüfungen, Analysen oder Kontrollen durch und stellen eine angemessene Berichterstattung an das Management sicher. Sie checken in aller Tiefe, ob jeweils alle Risiken identifiziert sind, sie korrekt gemessen und angemessen gesteuert werden. Dazu gehört etwa die Validierung von Modellen zur Berechnung von Kennzahlen von finanziellen Risiken.

Welche Kompetenzen sind in deiner Abteilung gebündelt?

Da die Aufgaben bei uns sehr unterschiedlich sind, arbeiten in meinem Team Mitarbeitende mit ganz unterschiedlichem Hintergrund. Wir nehmen hauptsächlich eine SPoC-Rolle ein (SPoC steht für «Single Point of Contact»), in der wir spezifisch einzelne Units betreuen und dies erfordert auch spezifische Kompetenzen. Ist ein Teammitglied zum Beispiel für die Geschäftseinheit Payment Solutions zuständig, bringt es idealerweise Erfahrungen im Bereich Zahlungslösungen mit, betreut es IT und Security, sollte es einen IT- und Security-Background haben. Als Team sind wir also sehr breit aufgestellt und haben unter anderem Erfahrungen in den Bereichen Banking, Security, Revision und finanzielle Berichterstattung.

Wie hat sich das Risikomanagement von Banken und insbesondere von PostFinance in den letzten Jahren entwickelt.

Es hat sich in den vergangenen Jahren sehr stark professionalisiert. Bei PostFinance ist insbesondere seit der FINMA-Unterstellung bzw. der Vergabe der Banklizenz 2013 eine starke Intensivierung des Risikomanagements zu beobachten. Dieser Trend hat sich mit der Einstufung als systemrelevante Bank noch verstärkt. So hat die FINMA erst kürzlich in einem Rundschreiben an alle Banken zusätzliche Anforderungen im Bereich der operationellen Risiken angekündigt, die wir nun umsetzen werden. Aber auch die Digitalisierung hat grossen Einfluss auf die Qualität des Risikomanagements. Vor drei Jahren haben wir etwa ein neues Tool in unserem internen Kontrollsystem eingeführt, das es uns erlaubt, für die inventarisierten Risiken per Workflows automatisch Kontrollen und Aufgaben auszulösen.

Mit welchen besonderen Herausforderungen ist das Risikomanagement von Banken in der heutigen Zeit konfrontiert?

Zum einen mit der Tatsache, dass Banken immer im Visier von Cyberkriminellen stehen, wobei zu erwähnen ist, dass Banken im Bereich Cyber- und IT-Security erstklassig unterwegs sind – auch was das Risikomanagement anbelangt. Dennoch sind wir laufend gefordert, in diesem Bereich entsprechendes Know-how aufzubauen. Zum anderen sind wir wie alle anderen Unternehmen mit einer zunehmenden Marktunsicherheit konfrontiert – angefangen bei Corona bis hin zum Russland-Ukraine-Krieg. In Zeiten solcher Unsicherheiten ist Risikomanagement extrem wichtig und kann für das Fortbestehen eines Unternehmens zentral sein. Was aber auch wichtig ist: Risikomanagement ist nicht direktes Krisenmanagement. Wir im Risikomanagement versuchen, die Risiken präventiv einzuordnen und zu steuern. Im Falle einer Krise sind entsprechende Organe wie der Krisenstab vorhanden. Selbstverständlich sind wir in diesen Gremien aber auch vertreten und arbeiten mit.

Wie schafft es PostFinance, das Risikobewusstsein bei allen Mitarbeiterinnen und Mitarbeitern zu verankern?

Indem wir die Mitarbeiterinnen und Mitarbeiter regelmässig sensibilisieren und ihnen vor Augen führen, dass es weit weniger Aufwand bedeutet, die Risiken im eigenen Verantwortungsbereich zu kennen und deren negative Folgen präventiv abzuwenden als im Nachhinein Schadensbekämpfung zu betreiben. Dazu informieren wir über die entsprechenden Vorgaben und führen Risikoassessments durch. Zudem sind alle Mitarbeitenden verpflichtet, in regelmässigen Abständen ihr Wissen anhand eines E-Learnings zum Thema aufzufrischen.

Und noch eine persönliche Frage: Wird man als Risikomanagerin bzw. Risikomanager allem gegenüber kritisch? Sieht man nur noch Gefahren?

Man nimmt beruflich sicher eine kritische Grundhaltung ein, was aber nicht heisst, dass man ängstlich durchs Leben geht. Auch eine Risikomanagerin bzw. ein Risikomanager wagt mal einen Fallschirmsprung! Unsere Aufgabe ist es, die richtigen Fragen zu stellen und zu erkennen, was trotz Massnahmen im realistischen Fall schiefgehen kann, besonders unter Berücksichtigung des Faktors Mensch. Da liegt es dann auch an uns, sicherzustellen, dass solche Ereignisse eben nicht eintreten und wir Wege finden, wie wir diese Gefahren eliminieren oder zumindest auf ein akzeptables Mass reduzieren können. Dabei gilt es, hartnäckig zu bleiben, auch wenn unser Gegenüber bei einem Risikoszenario sagt: So etwas ist doch noch nie passiert. Ich bringe in diesem Fall gerne das Beispiel einer deutschen Bank, die am Morgen der Pleite, die bereits in den Medien kommuniziert war, 300 Millionen Euro zu Lehman Brothers transferiert hatte. Zur erwarteten Rückzahlung von 500 Millionen Dollar ist es nicht mehr gekommen bzw. diese war dann Teil des Insolvenzverfahrens. Dieser Fall war zuvor auch noch nie eingetroffen, hätte aber verhindert werden können.