CIO.de: Haben Sie auf Unternehmensebene neue Mechanismen eingeführt, um Risiken zu kontrollieren? Und wenn ja, welche?

Deckert: Ja, wir analysieren und diskutieren Risiken in verschiedenen Gremien. In unserem Risk-Compliance-Komitee beschreiben alle Abteilungsleiter ihre Risikofelder. Auf Vorstandsebene haben wir das Local-Risk-Komitee. Hier werden die identifizierten Risikofaktoren qualitativ und quantitativ bewertet und über die Risikotragfähigkeit gegen das Eigenkapital gestellt. Diese Ergebnisse werden sehr eng und permanent durch die Fachabteilungen und das Management begleitet.

Letztlich müssen sich in einem Self-Assessment alle Gremien mit der Frage auseinandersetzen, ob sie in allen relevanten Bereichen auf der Risikoseite umfassend im Bilde sind. Wir fragen uns gemeinsam, ob wir alle wichtigen Punkte auf dem Radar haben und ob wir unsere Handlungsweisen anpassen müssen. Das Antizipieren möglicher neu auftretender Risiken wollen wir weiter intensivieren. Denn in diesen schnelllebigen Zeiten müssen Handlungsweisen schneller als früher wieder auf den Prüfstand.

„Das Antizipieren möglicher neu auftretender Risiken wollen wir weiter intensivieren.“

CIO.de: Haben Sie eine Kristallkugel?

Deckert: Nein, aber Anfang des Jahres definieren wir in einem Risk-Workshop mit Wirtschaftsprüfern, Risiko- und IT-Spezialisten, wo die Handlungsfelder der nächsten 18 Monate liegen werden. Nach einem halben Jahr überprüfen wir unsere Ergebnisse in einem Review.

CIO.de: Können Sie ein Beispiel nennen?

Deckert: Sehr anschaulich wird das Thema am Beispiel des Produkt-Lebenszyklus. Wir bieten unseren Kunden Closed-End-Funds an. Die Laufzeiten liegen durchaus auch bei zehn Jahren. Da lohnt es sich durchaus, diese Produkte im Zeitverlauf zu überprüfen – unter steuerlichen und regulatorischen Gesichtspunkten, aber auch in punkto Konsumentenverhalten.

Wenn Sie ein Produkt mit einer Rendite von drei Prozent zuzüglich Inflation anbieten, dieses aber aufgrund außergewöhnlicher Vorkommnisse plötzlich bei minus fünf Prozent steht, muss man eingreifen. Hier leistet die IT sehr gute Unterstützung bei der Durchforstung der Anlegerdaten: Welche Kunden haben dieses Produkt im Portefeuille? Passt es noch zu ihrer Anlagestrategie? Muss hier korrigierend eingegriffen werden.

CIO.de: Aber durch die IT-Gläubigkeit von Bankern und Ratingagenturen sind in den vergangenen Monaten auch erstaunliche Fehler passiert und Fehleinschätzungen herausgegeben worden. Wie sehen Sie das? Sind wir alle zu sehr überzeugt davon, dass das, was die IT ausspuckt, korrekt ist? Oder haben Banker die IT nicht mehr im Griff?

Deckert: Da sehe ich zwei große Aspekte. Zum einen glaube ich nicht, dass wir alle aktuellen Aufgaben und Herausforderungen im Risikomanagement über IT lösen können. Zum anderen glaube ich, dass die Fehler, die Sie ansprechen, nicht in erster Linie IT-Fehler sind, sondern das sind Management-Fehler und Fehler in Prozessen. Wir brauchen vielmehr Führungsstrukturen und Kontrollen, die nicht nur auf Technik beruhen. Institute müssen ihre IT beherrschen, aber sie brauchen auch eine Fehlerkultur in ihren Häusern. Nur wenn Vertrauen zwischen Vorgesetzten und Mitarbeitern, aber auch unter Kollegen, vorhanden ist, ist jeder frei, Fehler zuzugeben. So lassen sich etwaige Probleme rechtzeitig erkennen und lösen oder noch verhindern.