die Bank 04 // 2017

RISIKOKULTUR Jeder

RISIKOKULTUR Jeder Mitarbeiter ist ein Risikomanager In den vergangenen zehn Jahren haben wir einen Paradigmenwechsel bei den Risiken im Bankensektor erlebt. Die Banken wurden immer besser darin, ihre Kredit-, Markt- und Liquiditätsrisiken zu steuern. Inzwischen hat jedoch eine andere Art von Risiken an Bedeutung gewonnen. Seit der Finanzkrise von 2008 haben Strafzahlungen, Rechtsstreitigkeiten und Vergleiche die Branche mehr als 250 Mrd. € gekostet. Viele dieser Zahlungen sind auf das Fehlverhalten von Mitarbeitern sowie unzureichende Prozesse und Kontrollen zurückzuführen. Derart hohe Rechtskosten gab es in keiner anderen Branche. In Wahrheit ist dies jedoch Teil eines grundlegenden und noch kostspieligeren Problems – des Verlusts des Vertrauens in die Bankenbranche. Dieses Vertrauen wiederherzustellen, muss unser vorrangiges Ziel sein, wenn die Banken ihren eigentlichen Zweck erfüllen sollen: dem langfristigen Wohl der Wirtschaft und der Gesellschaft insgesamt zu dienen. OpRisk: Top-Priorität für die globale Bankenbranche Nicht-finanzielle Risiken, einschließlich operationeller Risiken, sind inzwischen genauso wichtig wie Kredit-, Markt- oder Liquiditätsrisiken. Sie müssen entsprechend gemessen, überwacht und gesteuert werden. Zu Recht berücksichtigen Regulierungs- und Aufsichtsbehörden nun operationelle Risiken, wenn sie die Stabilität der Finanzbranche bewerten. 2016 analysierte die europäische Bankenaufsichtsbehörde (EBA) im Rahmen ihres Stresstests, wie gut Banken ungünstigen Szenarien standhalten können. Dabei fielen nicht-finanzielle Risiken bereits stärker ins Gewicht als das klassische Marktrisiko. Die EBA ermittelte ein potenzielles operationelles Risiko von 105 Mrd. €, wovon allein 71 Mrd. € auf Risiko aus Fehlverhalten entfielen. Dies entspricht bei den bewerteten Banken rund 1,1 Prozentpunkte der wichtigen harten Kernkapitalquote. Diese Mittel würden den Banken dann im Kundengeschäft fehlen. Einfach ausgedrückt: Wenn Fehlverhalten sowie unzureichende Systeme und Kontrollen die Banken Geld kosten, haben sie weniger Spielraum, die europäische Wirtschaft zu unterstützen, beispielsweise mit Krediten. Wenn wir uns vor nicht-finanziellen oder operationellen Risiken schützen wollen, müssen wir zunächst den grundlegenden Unterschied zu den klassischen Risiken von Banken erkennen. Kredit-, Markt- oder Liquiditätsrisiken entstehen durch bestimmte Geschäfte in bestimmten Bereichen und werden von Expertenteams gesteuert. Das operationelle Risiko hingegen lässt sich nicht so einfach quantifizieren und messen, ist jedoch allgegenwärtig. Es kann in jedem Geschäftsfeld einer Bank überall auf der Welt auftreten. Und was noch schwerer wiegt: Operationelles Risiko kann aus dem Verhalten jedes einzelnen Mitarbeiters entstehen. 30 04 // 2017

Das macht es umso schwieriger, sich vor nicht-finanziellen Risiken zu schützen. Nötig sind nicht nur robuste Prozesse, Systeme und Kontrollen, sondern auch ein grundlegender Kulturwandel. Für die Risikosteuerung sind nicht länger nur Expertenteams oder Fachbereiche zuständig. Im Gegenteil: In dem neuen Risikoparadigma müssen alle Bankmitarbeiter Risikomanager sein. FAZIT Das neue Risikoparadigma in der Bankenbranche wird sich weiter verändern. Es wird keine Rückkehr zum „Status quo ante“ geben. Die Öffentlichkeit beobachtet uns kritisch, die Aufsichtsbehörden überwachen uns streng – allein dies wird dafür sorgen, dass operationelle Risiken eine Top-Priorität für die Bankenbranche weltweit bleiben. Und das völlig zu Recht. Deshalb brauchen wir klare Prozesse, robuste Systeme und strenge interne Kontrollen. Das Wichtigste ist jedoch: Wir müssen eine Unternehmenskultur schaffen, in der wir uns alle unserer Verantwortung bewusst sind. Dafür setzen wir auf Schulungen und klare Vorgaben der Führungsebene, und wir reagieren konsequent auf Fehlverhalten. Meine Vision ist klar: Jeder unserer Mitarbeiter muss ein Risikomanager sein. Nur wenn wir dieses Ziel erreichen, können wir darauf hoffen, das Vertrauen in unsere Branche zurückzugewinnen. Nötig ist ein grundlegender Kulturwandel Ein erster Schritt auf diesem Weg: Rollen und Verantwortlichkeiten müssen klar abgegrenzt werden. In der Deutschen Bank beispielsweise unterscheidet das Konzept der drei Verteidigungslinien („Three Lines of Defence“), wofür die Bereiche mit Kundenkontakt, wofür die unabhängigen Kontrollfunktionen wie Risk, Finance oder Compliance und wofür die interne Revision verantwortlich sind. Unsere Geschäftsbereiche mit Kundenkontakt spielen als „erste Verteidigungslinie“ eine wesentliche Rolle, um uns vor operationellen Risiken zu schützen. In den letzten Jahren haben wir den Schutz der Bank durch zahlreiche Maßnahmen verbessert. Die Prozesse zur Kontoeröffnung sowie zur Überprüfung von Neu- und Bestandskunden wurden gestärkt, um die Bank und ihre Kunden vor Geldwäsche und anderen Formen der Finanzkriminalität zu schützen. Im Unternehmens- und Investmentbanking sowie im Kapitalmarktgeschäft erfolgt eine Konzentration auf die vielversprechendsten Kunden, von anderen hat sich die Bank bewusst getrennt. In einigen Ländern, Regionen und Sektoren mit höheren Risiken sind wir nicht mehr aktiv. Insgesamt haben wir uns aus Geschäften zurückgezogen, die für die Bank ein potenzielles Reputationsrisiko darstellen. Operationelle und Reputationsrisiken können nicht nur bei Kundenbeziehungen entstehen, sondern auch bei der Zusammenarbeit mit Dienstleistern. Dieses Risiko ist zu einem wesentlichen Faktor geworden, insbesondere für große und komplexe internationale Unternehmen wie die Deutsche Bank. Um dieses Risiko einzudämmen, muss man Produkt- und Dienstleistungsanbieter gründlich bewerten – egal, wie lang man mit ihnen schon zusammenarbeitet. Die Deutsche Bank hat die Anzahl ihrer Dienstleister in den vergangenen Jahren um rund 20 Prozent reduziert, und es sollen noch weniger werden. Hier kommen wir wie geplant voran. Drei Verteidigungslinien als Schutz vor OpRisk Auch bei unseren Computersystemen drohen operationelle Risiken, die erkannt und gemindert werden müssen. Cyber-Attacken bedrohen zunehmend öffentliche Einrichtungen und Unternehmen weltweit. Der Schutz der Systeme vor unbefugtem Zugriff ist wichtiger als jemals zuvor – und es kommt auch auf Vorsichtsmaßnahmen jedes einzelnen Mitarbeiters an. Darüber hinaus können zu komplexe oder veraltete Systeme zu erheblichen operationellen Risiken führen. Die Deutsche Bank hat darauf reagiert: So wurde ein Chief Security Officer ernannt, und die Anzahl der Betriebssysteme soll um rund 90 Prozent reduziert sowie veraltete Hard- und Software ersetzt werden. Beide Initiativen laufen nach Plan. Und die Systeme sind bereits wesentlich zuverlässiger als in den vergangenen Jahren. Parallel dazu ist es für Banken unerlässlich, ihre unabhängigen Kontrollfunktionen zu stärken – die „zweite Verteidigungslinie“. Die Deutsche Bank steht zu einer robusten Kontrollumgebung – ohne Wenn und Aber. Das zeigt sich auch im Vorstand und in weiteren Führungspositionen. So wurde die Position des Chief Regulatory Officer zum ersten Mal auf der Vorstandsebene angesiedelt, um dem dynamischen aufsichtsrechtlichen Rahmen gerecht zu werden, der von großer Bedeutung ist. In der Risk-Funktion steuert jetzt ein neuer Bereichsleiter die nicht-finanziellen Risiken der Bank. Zudem wurden die Bereiche Anti-Financial Crime und Compliance personell aufgestockt. Im Jahr 2016 haben diese Funktionen mehr als 350 neue Mitarbeiter eingestellt, 2017 sollen weitere 600 dazukommen – so werden es Ende dieses Jahres 60 Prozent mehr Mitarbeiter sein als noch 2015. Auch die Interne Revision – die „dritte Verteidigungslinie“ – hat durch zusätzliche Mitarbeiter Verstärkung bekommen. Autor: Stuart Lewis ist Chief Risk Officer und Vorstand der Deutsche Bank AG. 04 // 2017 31