„Die Bank IST Compliance!“

Im Interview

Willibald Cernko (60) war bis Februar 2016 CEO der UniCredit Bank Austria AG und zuvor über 20 Jahre in vielen verschiedenen Managementfunktionen in der Bank Austria, in der Hypo-Vereinsbank und in der UniCredit Group tätig. Ab 1. 1. 2017 übernimmt er die Verantwortung für das operationelle und strategische Risikomanagement im Vorstand der Erste Group Bank AG. Neben seiner ausgewiesenen Expertise im Firmen- und Privatkundengeschäft bringt er auch noch breite Erfahrung in den Kernmärkten der Erste Group mit.

Compliance Praxis: Sie waren nun schon von 2009 bis 2016 Chief Executive Officer der Bank Austria und daneben noch im Vorstand der Hypo-Vereinsbank tätig. Was motiviert sie, nach mehr als 20 Jahren im Bankengeschäft, das Risikomanagement der Erste Group zu übernehmen?

Willibald Cernko: Das Risikomanagement einer großen und international tätigen Bank wie der Erste Group zu leiten, ist sicherlich eine der größten Herausforderungen, die das Bankengeschäft derzeit bietet. Das dynamischste Umfeld, in dem Banker derzeit arbeiten können, liegt im Risikomanagement. Was mich motiviert, ist, dass sich aus dem aktuell großen regulatorischen Anpassungsbedarf auch diverse Gestaltungsmöglichkeiten ergeben. Wie wir das meistern, wird ein, wenn nicht der entscheidende Faktor für den Erfolg der Erste Group darstellen.

Wo sehen sie aktuell die größten Gestaltungsspielräume?

In den Jahren unter meinem Vorgänger, Andreas Gottschling, konnten viele wesentliche Erfolge verbucht werden. So wurde beispielsweise ein modernes Risikomanagementsystem innerhalb der Erste Group implementiert. Uns steht damit eine solide Ausgangsbasis für die nächsten Jahre zur Verfügung.

Jetzt gilt es, darauf aufbauend, offene Fragen in unserem System zu lösen und so einen Mehrwert für unsere Stakeholder zu bieten. Ich sehe die große Herausforderung dabei insbesondere im Bereich der sogenannten „Nicht-finanziellen Risiken“ oder „Non-Financial Risk“.

Was versteht die Erste Group unter Non-Financial Risk?

Non-Financial Risk wurde nicht gerade erst durch die Erste Group geprägt, sondern hat mittlerweile Marktgeltung erlangt, da auch Regulatoren verstärkt auf diesen Bereich aufmerksam geworden sind. Auch die Europäische Zentralbank setzte sich im Rahmen des „Single Supervisory Mechanism“(SSM) unter anderem in seinem „Supervisory Statement on Governance and Risk Appetite“ mit Nicht-finanziellen Risiken auseinander.

Unter den Nicht-finanziellen Risiken werden operationelle Risiken jeglicher Art, inklusive Reputations- und Wohlverhaltens- und Compliance-Risiken verstanden. Der Umgang mit dieser Art von Risiken ist in der täglichen Praxis deutlich schwieriger als bei den „traditionellen“ Markt-, Kredit- und Liquiditätsrisiken, für die schon seit der Erfindung des Bankgeschäfts entsprechende Prozesse aufgesetzt wurden.

Worin bestehen die größten Herausforderungen im Umgang mit Non-Financial Risk?

Für finanzielle Risiken bestehen bereits viele etablierte Methoden, Systeme, Algorithmen und Analysen. Das Spannende am „Non-Financial Risk“-Bereich ist, dass jeder im Grunde versteht, wovon man redet, es aber dann im Detail an konkreten Prozessen mangelt. Es gilt nun auch diese Risiken entsprechend zu identifizieren, zu dokumentieren sowie schlussendlich zu bewerten.

Im Gegensatz zu den traditionellen Risiken sind Nicht-finanzielle Risiken schwer quantifizierbar, da der finanzielle Schaden nicht gemessen werden kann, solange die volle Tragweite der Ereignisse und Reaktionen wesentlicher Stakeholder nicht bekannt ist.

Insgesamt sehe ich eine positive Entwicklung und Wahrnehmung zu diesem Thema im gesamten Bankensektor. Dies auch, weil diese Risiken nicht mehr unterschätzt werden können. Schauen Sie sich nur an, welche Summen die großen, weltweit aktiven Banken an Strafzahlungen im Zuge der Aufarbeitung der Finanzkrise leisten mussten. Zu einem großen Teil wurde hier das Conduct Risk schlagend. Denken sie nur an die „Sub-Prime Mortgages“, die zur Krise in den USA geführt haben, oder an die laufende Berichterstattung zu deutschen Banken, die vor allem durch ihr internationales Geschäft unfreiwillig in das Rampenlicht geraten.

Wie kann man dieses Thema bei mehr als 45.000 Mitarbeitern und 16 Millionen Kunden effizient in das Tagesgeschäft integrieren?

Ich bin davon überzeugt, dass wir für das Geschäft auch weiterhin ausreichenden Spielraum belassen müssen und nicht versuchen sollten, jeden Sachverhalt nur mehr eingeschränkt zu beurteilen. Soweit gesetzlich zulässig, wollen wir einen möglichst holistischen und integrativen Überblick über das breite Spektrum an Risiken ermöglichen. Damit – und das ist meine Annahme – lassen sich auch Kollateralschäden in unserem Umfeld weitestgehend minimieren. Ich denke, dass wir so unseren Kunden und Mitarbeitern einen erheblichen Mehrwert bieten können. Wie gesagt gelingt das derzeit nicht allen Marktteilnehmern, weder in Europa noch in den USA.

Haben sie dazu ein Patentrezept?

Natürlich haben auch wir dazu kein Patentrezept, aber unser Non-Financial Risk-Management-Ansatz beruht auf drei Säulen, die die Problematik von unterschiedlichen Seiten angehen. Wir beleuchten hier erstens Organisations-Governance-Aspekte und zweitens wesentliche Aspekte richtigen Verhaltens. Drittens ist entscheidend, wie wir diese Faktoren in Prozesse überführen und die dazu notwendige Akzeptanz aller Einheiten erhalten.

Konkret haben wir überlegt, wie solide Corporate-Governance-Strukturen etabliert werden können, die die Besonderheiten der Nicht-finanziellen Risiken widerspiegeln, und uns dazu die folgende Frage gestellt: Wie können wir unsere Mitarbeiter zu risikobewussterem und richtigem Verhalten anregen und wie können wir unsere internen Prozesse optimieren, damit sie unserem Ziel einer ganzheitlichen und effizienten Minimierung Nicht-finanzieller Risiken gerecht werden?

Könnten sie uns ein Beispiel für die Umsetzung ihres Ansatzes in der Praxis geben?

Natürlich; bei der Erste Group muss jeder Entscheidung, dem Risikoprofil entsprechend, ein angemessenes und messbares Verhältnis von Ertrag und Risiko zugrunde liegen. Dies ermöglicht es uns, Entscheidungen zu prüfen und laufend zu dokumentieren, welchen Risiken wir wie ausgesetzt sind.

Nehmen wir einmal an, dass ein Kunde Lastkraftwagen in Regionen exportieren will, die aufgrund historischer Erfahrungen als sehr risikoreich eingestuft werden müssen. Nun gibt es eine Reihe von Nicht-finanziellen Risiken, die sich in einem solchen Fall realisieren könnten. Die Verwendung der Lastkraftwagen für militärische Zwecke oder interne Repressionen oder ein Weiterexport in sanktionierte Länder könnte zweifellos einen erheblichen Reputationsschaden für die Erste Group bedeuten.

Durch eine etablierte Methodik – die sogenannte „Risk Return Decision“ – halten wir unsere Business-Einheiten innerhalb der gesamten Gruppe in solchen Fällen an, eine umfassende Evaluierung der potenziellen Risiken durchzuführen, diese in einem Raster zu bewerten und Risikominimierungsmaßnahmen vorzuschlagen und durchzuführen. Risk Management und Compliance sollen ihnen dabei lediglich unterstützend zur Seite stehen.

Dadurch generieren wir laufend ein stärkeres Bewusstsein für Risiko und Verantwortung bei den Geschäftsverantwortlichen. Gleichzeitig stellen wir sicher, dass Entscheidungen nur im Rahmen des vorgegebenen Risikoappetits getroffen werden.

Was bedeutet ein verstärkter Fokus auf Non-Financial Risk für die weitere Entwicklung?

Durch die Einführung eines konsistenten Modells für die Nicht-finanziellen Risiken erwarte ich mir im Wesentlichen, Systemverstöße zu verhindern und so das Risikospektrum, dem die Bank ausgesetzt ist, langfristig gering zu halten. Ich sehe aber auch den Nutzen einer stärkeren Vernetzung der Non-Financial-Risk-Bereiche hin zu einer holistischeren und integrativeren Betrachtungsweise von Risiken innerhalb der Organisation. Compliance wird dabei als wesentlicher Bestandteil der Nicht-finanziellen Risiken und als klassische Querschnittsmaterie endgültig in das Gesamtrisikomanagement der Bank methodisch und prozedural eingebettet. Plakativ ausgedrückt: Compliance 2.0 ist damit weit mehr als eine Organisationseinheit innerhalb der Bank, sondern die Bank ist Compliance!

Autoren

Mag. Klaus Putzer

Mag. Klaus Putzer war von 2010 bis 2023 Redakteur bzw. Chefredakteur der Compliance Praxis. Zuvor war er in mehreren Verlagen als leitender Redakteur im Magazinbereich tätig bzw. arbeitete als frei...