Im Gespräch mit Dr. Jörg Steinger, Vontobel
Interview mit Dr. Jörg Steinger, Head Group Internal Audit bei Vontobel
Im Rahmen der PwC 2020 Global Risk Studie haben wir Dr. Jörg Steinger, Head Group Internal Audit bei Vontobel interviewt. Im Gespräch mit PwC erzählte er, wie neue Technologien und deren Risiken zu einer Anpassung des Prüfverhaltens führen.
Seit wann nutzt Vontobel digitale Daten, um Risiken frühzeitig zu erkennen?
Vontobel hat vor vier Jahren im grossen Stil mit der Digitalisierung angefangen. Der Verwaltungsrat hat die entsprechende Strategie entwickelt, die Geschäftsleitung hat sie dezentral umgesetzt. Die einzelnen Geschäftsfelder wissen am besten, wo sie Daten nutzen können und wo digitale Initiativen Sinn machen. Diese heterogene Digitalisierung hatte zur Folge, dass sich alle Geschäftsfelder früh damit auseinandersetzten. Heute nutzen sämtliche Verteidigungslinien die durch Digitalisierung gewonnenen Daten für KRI oder Risikoanalysen und sie entwickeln die Prozesse laufend weiter. Ein Kompetenz-Center kümmert sich um die systematische Datennutzung, primär auf der Business-Seite. Hier entstehen Projekte, die AI und Machine Learning basiert sind. Es ist nur eine Frage der Zeit, bis die Second- und Third-Line-Funktionen dort wieder anknüpfen.
Wie werden die Risikofunktion und Verteidigungslinien in neue Initiativen eingebunden?
Indem alle Ownership für ihr Thema übernehmen. Wir sprechen uns ab, verwenden gegenseitig Prozesse und entwickeln diese weiter. Aktuell sind wir mit Compliance im Austausch, um ein Indikatoren-Set aufzubauen. Mit Operational Risk klären wir, welche KPIs sie gesetzt haben und wie wir diese für uns nutzen können. Ein Vorteil unseres Instituts ist, dass es überschaubar ist. Die Mitarbeitenden, welche die Digitalisierung voranbringen, kennen sich alle persönlich. Wir brauchen keine sophistizierten Abstimmungsprozesse. Wir wissen, wer an welchen Themen arbeitet, und treffen uns regelmässig zum Austausch.
Gibt es ein Beispiel, wie Daten genutzt werden, um neue Insights zu erhalten?
In der Internen Revision haben wir mehrere Beispiele. So haben wir für unsere Risikobeurteilung des Wealth Management eine Analyse aufgebaut, um die Dynamik von Wachstum und Entwicklung der Portfolios in eine Risiko-Gesamtbetrachtung zu integrieren: In welchen Regionen und Risikobereichen wachsen wir? Mit welchen Erträgen und in welchen Risikokategorien? Die Frage nach dem Risk Return steht hier im Fokus. Im Operational Risk geht es um die Definition von Key Risk Indicators. Und auf der Business-Seite werden die Daten sowie moderne Technologien verwendet um Business Cases zu entwickeln.
Gibt es konkrete Beispiele zur Automatisierung im Audit?
Die Automatisierungskomponenten im Audit Prozess stecken noch in den Kinderschuhen. Im Moment arbeiten wir am Natural Language Processing. Wie können unstrukturierte Daten analysiert werden? Hier sehen wir grosses Potenzial. Aktuell steht für uns die Qualitätssteigerung im Fokus. Die Automatisierungsprozesse sind zweitrangig.
«Es ist eine Erleichterung, wenn Prozesse automatisiert werden. So bleibt mehr Zeit für andere und anspruchsvollere Aufgaben. Für Mitarbeitende ist es eine Chance, sich weiterzuentwickeln.»
Was waren die grössten Herausforderungen beim Vorantreiben der technologischen Entwicklung?
Ressourcen und Know-how aufzubauen. Und natürlich der Kostenfaktor.
Wie ist der Mindset der Mitarbeitenden in Bezug auf die Digitalisierung, war das ein Problem?
Im Gegenteil. Wir treiben die Digitalisierung laufend auf allen Ebenen voran. Es gehört zur Firmenkultur, dass sich alle mit dem Thema auseinandersetzen. Die Motivation der Mitarbeitenden ist hoch, neue Initiativen zu begleiten.
Gibt es Bedenken in der Second Line und den Defence Functions in Bezug auf die Änderung des Aufgabenprofils?
Das ist kaum ein Thema. Es ist eine Erleichterung, wenn Prozesse automatisiert werden. So bleibt mehr Zeit für andere und anspruchsvollere Aufgaben. Für Mitarbeitende ist es eine Chance, sich weiterzuentwickeln. Zentraler ist folgender Aspekt: Unser Geschäft entwickelt sich immer weiter. Wir entwickeln neue Produkte, erschliessen neue Märkte und Geschäftsfelder. Das erfordert auch die Entwicklung der entsprechenden Überwachungs- und Kontrollfunktionen. Diese Entwicklung können wir nicht nur mit mehr Ressourcen auffangen. Eine gezielte Automatisierung und Skaleneffekte sind hier unumgänglich.
Welche Verteidigungslinien arbeiten zusammen?
Alle Verteidigungslinien arbeiten informell zusammen. Wir tauschen uns laufend aus, um zu identifizieren, wo es neue Einsatzgebiete in anderen Abteilungen gibt. Baut z.B. Compliance neue Indikatoren auf, beobachten wir das. Sobald ein gewisser Reifegrad erreicht ist, tauschen wir uns aus und prüfen, was bei uns integriert werden kann und welche Zahlen und Werte für uns passen. Umgekehrt haben wir den Anspruch an uns, dass wir unsere Analysen an die 1st und 2nd Line of Defence weitergeben, wenn diese für laufende Überwachungsaufgaben sinnvoll eingesetzt werden können.
Sehen Sie potenziell negative Effekte der Digitalisierung für Bank und Mitarbeitende?
Jede neue Technologie beinhaltet neben vielen Chancen auch neue Risiken. Ein solches neues Risiko ist zum Beispiel, wenn wir Daten in Data Lakes anreichern oder in der Cloud verarbeiten. Selbst automatisierte Kontrollprozesse bergen Risiken, wenn sie nicht wie geplant funktionieren. Dies führt zu einer Anpassung unseres Prüfverhaltens. Wir werden weniger Prozesse an sich prüfen, denn diese sollten by Design schon kontrolliert sein. Wir werden prüfen müssen, ob die Überwachungsautomatismen richtig funktionieren und welche Massnahmen ergriffen werden, wenn etwas nicht stimmt. Das sind alles neue Entwicklungen, die vermehrt Gegenstand der Prüfungen werden.
«Wir treiben die Digitalisierung laufend auf allen Ebenen voran. Es gehört zur Firmenkultur, dass sich alle mit dem Thema auseinandersetzen.»
Wie sieht Ihre Prognose für die Zusammenarbeit und Nutzung von Technologie aus?
Die Nutzung wird intensiviert und zunehmen. Den erhöhten Assurance Qualitätsanforderungen müssen alle Kontrollinstanzen gerecht werden. Das führt zu einer laufenden Weiterentwicklung auf allen drei Linien, die sich gegenseitig befruchten. Nur so kann der Effizienzdruck bewältigt werden.
Wie weit ist Ihr Departement auf einer Skala von 1 bis 10 schon digitalisiert?
Da bin ich eher selbstkritisch. Wohl etwa zwischen 6 und 7. Wir haben viele Ideen und inzwischen auch die Ressourcen, aber es braucht einfach Zeit.
Welcher Erfolgsfaktor hat die Digitalisierung konkret weitergebracht?
Die Professionalisierung. Für uns ist es unumgänglich, in der Internen Revision eigene Fachleute zu beschäftigen, um die Digitalisierung selbstständig voranzutreiben. Wir haben in den ersten Jahren versucht, digitale Initiativen im Nebenamt umzusetzen. Wir sind aber nicht vom Fleck gekommen. Erst mit der Einstellung eines Data Analyst ging es vorwärts.
Was bieten Sie den bestehenden Mitarbeitenden, damit sich diese weiterentwickeln können?
Neben Schulungsprogrammen haben wir Datenanalyse-Aktivitäten und -Verantwortlichkeiten auf drei Ebenen. Der Datenanalyst hat die Gesamtverantwortung für die Gestaltung und ist Treiber neuer Initiativen. Aus dem IT Audit Team kommen weitere zwei Mitarbeitende dazu. Wir nennen sie Subject Matter Specialists. Sie verstehen die Thematik vertieft und besitzen die technischen Fähigkeiten, um sich in den Tools zu bewegen. Die dritte Ebene bilden alle anderen Mitarbeitenden. Wir führen Brainstorming Sessions für alle geplanten Audits durch, in welchen Ideen generiert werden, um anschliessend zu definieren, auf welchen Themen wir welche Datenanalysen durchführen. Durch diesen Prozess werden Datenanalysen in Prüfungen integriert, und die Prüfer sind automatisch involviert und müssen sich damit auseinandersetzen. Die Erfahrung zeigt, dass der Appetit mit dem Essen kommt.
