Wie lassen sich Risiken heute erfolgreich managen? Wir sprachen mit Dr. Martin Deckert, Mitglied des Vorstands der UBS Deutschland AG und Chief Operations Officer/Chief Risk Officer.
CIO.de: Die Auswirkungen der Finanzkrise sind noch allgegenwärtig, da erschütterten neue Betrugsdelikte und fehlerhafter Umgang mit Produkten und IT das bereits stark geschwächte Vertrauen der Kunden in die Banken. Was ist die Ursache für diese nicht enden wollende Kette von Pleiten, Pech und Pannen?
Foto: UBS
Martin Deckert: Angesichts sinkender Margen, massiv steigender regulatorischer Anforderungen, geringer Personaldecke und der Suche nach zukunftsweisenden Geschäftsmodellen ist der Druck auf die Banken sehr hoch. Die Finanzmärkte sind derzeit sehr volatil. Das führt zu Hektik unter den Akteuren und in Phasen großer Hektik können Fehler passieren. Das ist zwar nicht entschuldbar, erklärt aber, woher diese Fehler rühren.
CIO.de: Es geht heute also mehr denn je darum, Risiken zu managen. Welches sind für Sie die Hauptstoßrichtungen?
Deckert: Es gibt verschiedene Sichten – die regulatorische Sicht, die Unternehmenssicht, die Mitarbeitersicht und insbesondere auch die Kundensicht.
CIO.de: Regulatorische Verschärfungen sollen helfen, Risiken besser zu managen - setzen aber die Banken sehr unter Handlungszwang. Wie begegnen Sie diesen Anforderungen?
Deckert: Die Verschärfung der Anforderungen der Aufsichtsbehörden ist nachvollziehbar und im Sinne einer Selbstkontrolle auch richtig. Auch wenn dies mit einem großen administrativem Aufwand und höheren Ressourceneinsatz für die Kreditinstitute verbunden ist. Die Kapitalmaßnahmen wie die Aufstockung der Eigenkapitaldecke halte ich ebenfalls für sinnvoll. Insgesamt lässt sich sagen, dass das Risikobewusstsein auf diese Weise geschärft worden ist.
CIO.de: Haben Sie auf Unternehmensebene neue Mechanismen eingeführt, um Risiken zu kontrollieren? Und wenn ja, welche?
Deckert: Ja, wir analysieren und diskutieren Risiken in verschiedenen Gremien. In unserem Risk-Compliance-Komitee beschreiben alle Abteilungsleiter ihre Risikofelder. Auf Vorstandsebene haben wir das Local-Risk-Komitee. Hier werden die identifizierten Risikofaktoren qualitativ und quantitativ bewertet und über die Risikotragfähigkeit gegen das Eigenkapital gestellt. Diese Ergebnisse werden sehr eng und permanent durch die Fachabteilungen und das Management begleitet.
Letztlich müssen sich in einem Self-Assessment alle Gremien mit der Frage auseinandersetzen, ob sie in allen relevanten Bereichen auf der Risikoseite umfassend im Bilde sind. Wir fragen uns gemeinsam, ob wir alle wichtigen Punkte auf dem Radar haben und ob wir unsere Handlungsweisen anpassen müssen. Das Antizipieren möglicher neu auftretender Risiken wollen wir weiter intensivieren. Denn in diesen schnelllebigen Zeiten müssen Handlungsweisen schneller als früher wieder auf den Prüfstand.
„Das Antizipieren möglicher neu auftretender Risiken wollen wir weiter intensivieren.“
CIO.de: Haben Sie eine Kristallkugel?
Deckert: Nein, aber Anfang des Jahres definieren wir in einem Risk-Workshop mit Wirtschaftsprüfern, Risiko- und IT-Spezialisten, wo die Handlungsfelder der nächsten 18 Monate liegen werden. Nach einem halben Jahr überprüfen wir unsere Ergebnisse in einem Review.
CIO.de: Können Sie ein Beispiel nennen?
Deckert: Sehr anschaulich wird das Thema am Beispiel des Produkt-Lebenszyklus. Wir bieten unseren Kunden Closed-End-Funds an. Die Laufzeiten liegen durchaus auch bei zehn Jahren. Da lohnt es sich durchaus, diese Produkte im Zeitverlauf zu überprüfen – unter steuerlichen und regulatorischen Gesichtspunkten, aber auch in punkto Konsumentenverhalten.
Wenn Sie ein Produkt mit einer Rendite von drei Prozent zuzüglich Inflation anbieten, dieses aber aufgrund außergewöhnlicher Vorkommnisse plötzlich bei minus fünf Prozent steht, muss man eingreifen. Hier leistet die IT sehr gute Unterstützung bei der Durchforstung der Anlegerdaten: Welche Kunden haben dieses Produkt im Portefeuille? Passt es noch zu ihrer Anlagestrategie? Muss hier korrigierend eingegriffen werden.
CIO.de: Aber durch die IT-Gläubigkeit von Bankern und Ratingagenturen sind in den vergangenen Monaten auch erstaunliche Fehler passiert und Fehleinschätzungen herausgegeben worden. Wie sehen Sie das? Sind wir alle zu sehr überzeugt davon, dass das, was die IT ausspuckt, korrekt ist? Oder haben Banker die IT nicht mehr im Griff?
Deckert: Da sehe ich zwei große Aspekte. Zum einen glaube ich nicht, dass wir alle aktuellen Aufgaben und Herausforderungen im Risikomanagement über IT lösen können. Zum anderen glaube ich, dass die Fehler, die Sie ansprechen, nicht in erster Linie IT-Fehler sind, sondern das sind Management-Fehler und Fehler in Prozessen. Wir brauchen vielmehr Führungsstrukturen und Kontrollen, die nicht nur auf Technik beruhen. Institute müssen ihre IT beherrschen, aber sie brauchen auch eine Fehlerkultur in ihren Häusern. Nur wenn Vertrauen zwischen Vorgesetzten und Mitarbeitern, aber auch unter Kollegen, vorhanden ist, ist jeder frei, Fehler zuzugeben. So lassen sich etwaige Probleme rechtzeitig erkennen und lösen oder noch verhindern.
„Bank, Steuern und IT verstehen nur noch wenige wirklich.“
CIO.de: Sie sprechen Fehler in Prozessen an. Wie lassen sich diese verhindern?
Deckert: Wir brauchen Menschen, die das Geschäft in seiner Ganzheit verstehen und IT-Experten erklären können, welche IT-Unterstützung sie an welcher Schnittstelle benötigen. Die Kompetenz der Banken muss die Umsetzung von Business-Anforderungen in IT-Lösungen sein, nicht in der reinen IT an sich. Wie kompliziert das ist, kann man sehr am Thema „Steuern“ sehen. Bank, Steuern und IT – das sind Schnittstellen, die in Deutschland vielleicht noch eine Handvoll Personen wirklich verstehen.
Wir bündeln verstärkt Ressourcen. Mitarbeiter aus der Risikokontrolle, aus dem Projektmanagement und Business Analysten sitzen zusammen in Teams, um die gesamte Prozesskette zu verstehen. Wenn man es darüber hinaus schafft, eine niedrige Personal-Fluktuation zu haben, dann erhöht man die Beherrschbarkeit der IT und senkt die Fehlerquote.
Heute benötigen wir beispielsweise rund ein Viertel der Zeit für einen Release-Wechsel; gegenüber dem Stand vor drei-vier Jahren. Wir haben Erfahrungen gesammelt und eine Lernkurve aus der Vergangenheit. Wir kennen die neuralgischen Stellen und prüfen dort besonders. Auch hier braucht man Menschen mit Erfahrung, die wissen, wenn man an einer bestimmten Stelle in das System eingreift, dann hat das diese oder jene Auswirkungen.
CIO.de: Ist es aber nicht auch so, dass durch die Mitarbeiter – Menschen eben – auch Sicherheitsrisiken entstehen?
Deckert: Wo Menschen arbeiten, gibt es auch Fehler. Das ist an sich nicht schlimm, wenn es eine Fehlerkultur und eine Risikokultur gibt. Wir haben daher unter anderem einen Risk-Training-Day für Mitarbeiter eingeführt und das Thema Risikobewusstsein wird bei der UBS auch konzernweit in den Zielen der Mitarbeiter verankert. Man kann es vielleicht mit einem Produktionsbetrieb vergleichen.
Wenn Sie eine Brauerei haben, dann sehen Sie ganz genau, wo was schiefläuft. Im Idealfall werden Hopfen, Malz und Wasser in den Produktionsprozess hinein gegeben und am Ende der Prozesskette steht das fertige Bier in Flaschen. Wenn nicht, können Sie sehen, wo etwas nicht funktioniert hat. Wenn Sie aber mit Menschen in Beratungssituationen arbeiten, sind sie drauf angewiesen, dass ihnen Fehler berichtet werden.
„Transaktionen ab einer Million kontrollieren wir doppelt.“
CIO.de: Was unternehmen Sie in der UBS, um menschliche Fehler zu verhindern oder zu minimieren?
Deckert: Wir stufen Transaktionen und Geschäftsvorfälle nach Risiken ab und definieren, wann wir ein Vier-Augen-Prinzip benötigen. Wir setzen auf Mitarbeiter, die prüfen, ob das plausibel ist, was auf ihrem Bildschirm angezeigt wird oder auf Kundenreports und -aufträgen erscheint. In unseren Prozessen haben wir Plausibilitätskontrollen genauso verankert wie einfache rechnerische Kontrollen.
Dennoch bleiben Fehler nicht vollständig aus. In Nano-Sekunden werden heute Order ausgeführt. Wenn sich ein Kollege vertippt, hat er kaum eine Möglichkeit das zu ändern. Vertippen Sie sich in zwei Nullen und ordern im Kundenauftrag zwei Millionen Aktien statt 20.000 – und haben dann auch noch Pech in der Rückabwicklung – dann laufen schnell Verluste auf. Deshalb kontrollieren wir Transaktionen ab einer Million doppelt.
CIO.de: Wie machen Sie das – mit IT-Unterstützung …?
Deckert: Bei uns gibt es nicht nur eine Liste aus dem Backoffice als Reminder zu offenen Positionen. Diese Mittel sind Standard in der Risikoüberwachung. Aber: Wir müssen heute wieder wegkommen von der reinen IT-Unterstützung hin zu einem ausgeprägten Verantwortungsbewusstsein. Ja, eine Liste aus dem Backoffice ist gut, aber man muss wissen, ob man abends noch eine Position offen hat. Da wären wir in der Tat beim Thema IT-Gläubigkeit. Risikomanagement findet auf allen Ebenen in allen Bereichen der Bank statt und darf nicht nur auf IT getriebenen Hilfsmitteln und "Erinnerungslisten" basieren.
Und da kommt man vielleicht auf ganz einfache Dinge – man nimmt einen gelben Zettel und klebt ihn sich zur Erinnerung an den Bildschirm – und checkt die Transaktion nochmals bevor der PC ausgeschaltet wird. Gerade bei außergewöhnlichen Volumina oder Transaktionen muss jedem Mitarbeiter klar sein, dass erhöhte Aufmerksamkeit und die eigene Kontrolle ein sehr wichtiger Bestandteil im Risikomanagement sind.
„Wir visualieren Risikofaktoren mit Magneten in Ampelfarben.“
CIO.de: Gelbe Notizzettel – das scheint eine Methode aus einer anderen Zeitrechnung zu sein?
Deckert: Einfache und visuelle Hilfsmittel sind hervorragend für solche Kontrollaufgaben geeignet. Unsere Abteilungsleiter im Bereich Operations treffen sich regelmäßig an der Skulptur unseres Börsen-Bullen auf ihrem Stockwerk. In der Runde ‚Meet the Bull‘ kennzeichnen sie an einer Tafel mit roten, gelben und grünen Magneten Aufgaben nach Inhalten, Ressourcen, Tagesverarbeitung und weiteren abteilungsspezifischen Kriterien. Gemeinsam wird diskutiert, wie die roten Punkte zu lösen sind.
Dann haben wir noch das Whiteboard auf dem der „Event oder die Transaktion der Woche“ festgehalten wird, zum Beispiel eine Warnung, dass die Anlage x hoch risikobehaftet ist. Das lässt sich dann nicht wegklicken und sagen, es wird sich schon jemand anderes drum kümmern.
So visualisieren wir Risikofaktoren ganz anschaulich. Der Vorteil ist klar. Das Verfahren – unser Operations Hub - ist nicht aufwendig, man erkennt neuralgische Punkte auf einen Blick. Zu Dokumentationszwecken machen wir mit einer Digitalkamera ein Foto und senden dies auf digitalem Weg auch an die Abteilungsleiter, die nicht in der Runde anwesend sein konnten – also keine aufwändigen Reports und Präsentationen.
CIO.de: Sie haben bereits die Schnittstelle Berater-Kunde angesprochen. Da geht es ja insbesondere auch um das gegenseitige Verstehen. Haben Sie auch hier spezielle Methoden im Einsatz, um beratungsindizierte Risiken zu minimieren?
Deckert: Die Schnittstelle zwischen Mensch und Berater, die ist eindeutig menschlich, nicht technikgetrieben. Es sei denn, sie lassen den Kunden alle seine Geschäfte über e-Banking abwickeln. Doch das ist bei uns jedoch nicht der Fall, da die direkte Interaktion mit dem Kunden im Vordergrund steht. Die Schwäche an dieser Schnittstelle liegt primär in der Kommunikation, d.h. wie stellen wir sicher, dass Kunde und Berater über die besprochenen Themen das gleiche Verständnis haben.
CIO.de: Wie versuchen Sie die daraus resultierenden möglichen Risiken einzudämmen?
Deckert: Wir fahren auf Basis gewisser Risiko- und Verhaltensfaktoren sogenannte Red-Flag-Analysen. Beispiel: Ein Kunde ist etwas älter, nicht so mobil, kommt äußerst selten in die Bank, lebt die meiste Zeit in seinem Feriendomizil. Außer dem Kundenberater ist er niemandem im Detail persönlich bekannt. Er hält ein Portfolio mit hochrisikobehafteten Produkten. Kundenreports erhält er alle sechs Monate per Post. Dann prüfen wir, wie sich die Performance des Portfolios entwickelt hat – insbesondere in volatilen Zeiten. Ist der Mitarbeiter dann zusätzlich über einen längeren Zeitraum nicht mehr als 14 Tage im Urlaub gewesen, zeigt eine rote Flagge Handlungs- bzw. Prüfungsbedarf an.
„Führung zeigen ist wichtig.“
CIO.de: Stellen Sie dann nicht alle erfolgreichen Kundenberater unter Generalverdacht?
Deckert: Nein, ein solcher Generalverdacht ist keinesfalls begründet. Allerdings kennt man aus Branchenerfahrungen Konstellationen, bei denen eine gewisse Wachsamkeit angebracht ist. In manchen Betrugsfällen der Vergangenheit ließ sich eine Korrelation zwischen Fehlverhalten in der Funktion und gutem Erfolg feststellen.
Es gilt daher in diesen Konstellationen sehr wachsam zu sein, Führung zu zeigen und das Red-Flag-System zur Sicherheit der Mitarbeiter anzuwenden. Damit ist allerdings auf keinen Fall ein Generalverdacht gegenüber erfolgreichen Kundenberatern begründet.
Darüber hinaus haben wir neu auch Kontrollen, die aus allen Systemen Indikatoren aus diversen Ebenen, also von Kundenberatern, Teamleitern, Abteilungen und Management zusammenführen. In unserem Tool sehen wir auf einen Klick, wie viel Mismatches es bei einem Kunden und Kundenberater gegeben hat.
Ferner erhalten Sie Aufschluss darüber, wo eine Dokumentation fehlt, ob alle Pflichten erfüllt wurden. Sie können sehen, ob ein Berater Geschäfte abgeschlossen hat, zu denen der Kunde aufgrund seines Risikoprofils nicht geeignet war, obwohl er dies auf eigenen Wunsch explizit so gewollt hat oder ob es anderweitige Verletzungen zwischen Risikoneigung und Risikoklasse des Kunden gegeben hat. Der Vorgesetzte hat damit ein ausgezeichnetes Tool um zusammen mit seinem Mitarbeiter die Situation zu klären.
CIO.de: Da kommt dann also doch auch wieder IT ins Spiel?
Deckert: Ja, aber es kommt dabei sehr auf die Daten in System an. Man braucht eine hohe Datenintegrität. Das bedeutet, Daten müssen immer aktuell und genau sein. Sie brauchen eine Daten Friendliness, sprich, der Berater tippt auf einen Knopf und hat die Daten, die er benötigt und weiß, was er mit ihnen machen muss.
“Der Data Access muss stimmen.“
Foto: UBS
Hinzu kommt, dass der Data Access stimmen muss. Das heißt der Kundenberater sieht nur, was er wirklich wissen muss – dieser „Need-to-know-Ansatz“ ist uns aus interner Sicht als auch aus Kundensicht extrem wichtig. Und schließlich geht es um die Data Availability – heißt, wie flexibel und schnell können wir aktuelle Daten verfügbar machen? Wir sind überzeugt, auf diese Weise Sicherheitsstandards und Risikomanagement an der Schnittstelle zwischen Kunde und Kundenberater sicherzustellen.
CIO.de: Welche Erfahrungen haben Sie mit dem vorgeschriebenen Beratungsprotokoll in der Anlageberatung gemacht?
Deckert: Die Protokollierung von Anlageberatungen ist gut, denn man muss sagen, dass gerade seit Beginn der Krise auch die Fälle zugenommen haben, in denen Kunden angeben, nicht korrekt beraten worden zu sein. Wenn die Bank dann jedoch vorlegen kann, dass er bereits drei Mal unterschrieben hat Produkt x verstanden zu haben, ist das schon zweckdienlich. Das setzt andererseits voraus, dass der Berater auch ein zum Risikoprofil des Kunden passendes Portfolio führt.
Wir gehen sogar so weit, dass wir wie Kreditkartenunternehmen bei außergewöhnlichen Ordern bei den Kunden nachfragen, ob der Auftrag korrekt ist. Das freut zwar die Kundenberater nicht unbedingt, denn es ist ein Eingriff in die Kundenbeziehung. Aber die Kunden sehen das eigentlich sehr positiv. Das stärkt das Vertrauen und die Sicherheit und damit auch die Kundenbeziehung.
Ab 2012 werden wir in diese telefonischen Nachfassaktionen noch Feedback abfragen. Wir wollen die positive Grundstimmung des Kunden nutzen, um beispielsweise noch ein bis zwei Fragen zu unserem Serviceportfolio zu stellen und Verbesserungsmöglichkeiten abzufragen.
„Mehrwert der IT liegt in Datenaufbereitung für die Kunden.“
CIO.de: In welchen Punkten lässt sich Vermögensberatung optimieren?
Deckert: Banken müssten meiner Ansicht nach innovativer im Kundenreporting sein. Hier gibt es noch einen riesengroßen Bedarf. In den meisten Reports finden Kunden keine wirklich nutzenstiftenden Informationen zum Thema Risiko. In der Regel werden ihnen mathematische Modelle präsentiert, und sie fragen sich, was ist das und was heißt das für mich? Der große Mehrwert der IT liegt aber gerade in einer sinnstiftenden Aufbereitung und zur Verfügungstellung von Daten für Kunden.
CIO.de: Wie sehen die Kunden-Reports der UBS aus?
Deckert: Wir wollen unseren Kunden über ein Ampelfarben-System erläutern, wo ihr Risikoprofil gemäß vereinbarter Anlagestrategie liegen sollte, wo es tatsächlich steht und was sich daraus für Justierungen ableiten. Diese Risiko-Einordnung aus Branchen- und Länderrisiken, aus dem Währungsrisiko, Liquidität und anderen Kriterien wird mit Ampelfarben bewertet. Hinzu kommen kundenspezifische Faktoren wie die individuelle Cash Flow-Analyse, Vermögen und Immobilien.
Der Kundenberater wird dann verpflichtet, mit seinem Kunden alle roten Punkte zu besprechen. Wenn Sie diese Auswertung noch mit Risiko-Rendite-Modellen, der Benchmark der Anlagen und im Vergleich dazu die Peer-Group abbilden, erhalten Kunde und Berater ein umfassendes Bild für das Beratungsgespräch und eine solide Basis für weitere Entscheidungen – inklusive Anlageempfehlungen auf einen Klick. Und dazu kommen dann noch bedarfsgerechte Pricing-Modelle. So ist IT interessant!
CIO.de: Also Quantensprünge durch IT?
Deckert: Ja – vorausgesetzt, es sind auf den Kunden hin ausgerichtete Innovationen mit Mehrwert.
Weitere Informationen lesen und sehen Sie im iPad-Special "IT-Security in Banken - Wie Top-CIOs für Sicherheit sorgen". Laden Sie hier die App.