Im Gespräch mit Isabella Stalder, PostFinance

Interview mit Isabella Stalder, Leiterin Interne Revision bei PostFinance

Im Rahmen der PwC 2020 Global Risk Studie haben wir Isabella Stalder, Leiterin Interne Revision bei PostFinance interviewt. Im Gespräch mit PwC erzählte sie, wie neue Technologien bereits eingesetzt werden und wie sich die Digitalisierung auf Prozesse auswirkt.

PostFinance setzt bei der Revision auf drei Linien. Wie stark arbeiten die drei Linien zusammen?

Bei uns ist das «Three Lines of Defence»-Modell bezüglich Zuweisung der Verantwortlichkeiten sehr ausgeprägt. Die zweite Linie baut auf der ersten auf und sichert diese mit entsprechenden Kontrollen und Prüfungen ab. Und die dritte Linie kann gegenüber dem Verwaltungsrat eine entsprechend unabhängige Risikoeinschätzung bzw. Berichterstattung garantieren. Beispielsweise bei der Identifizierung von Toprisiken. Während die zweite Line die Toprisiken der Geschäftsleitung in den Verwaltungsrat einbringt, präsentieren wir dort als dritte Linie unsere Risk Map, die wir nach innerhalb des Konzerns abgestimmten Messinstrumenten generieren. Der Verwaltungsrat erhält dadurch eine weitere Informationsgrundlage für die Verabschiedung der Toprisiken.

Wo arbeitet die PostFinance bereits mit Machine Learning oder AI?

Alle drei Linien implementieren entsprechende Tools. Die erste Linie führt im Finanzbereich das Team Data Science, welches Datenanalysen, u.a. auch mit Machine Learning, erstellt. Die zweite Linie setzt für die Auswertung von Szenarien im Bereich der Verhinderung der Geldwäscherei ebenfalls Instrumente des Machine Learning ein. Um die Themen Machine Learning und AI in der dritten Linie zu erarbeiten, haben wir eine neue Stabstelle für Data Analytics und Digitale Transformation aufgebaut, die diese Themen konzeptionell weitertreibt, koordiniert und Ressourcen bereitstellt bzw. ausbildet. Aktuell arbeiten wir vor allem mit Data Analytics, die wir für rund die Hälfte der Revisionen einsetzen. Wo möglich, beurteilen wir statt Stichproben die Grundgesamtheit, um eine bessere Risikoeinschätzung vornehmen zu können.

Haben Sie ein konkretes Beispiel, wo die Digitalisierung einen Mehrwert geschaffen hat?

Im Devisenbereich haben wir eine Programmierung mit R implementiert. Geprüft wurde, ob sich die definierten Margen innerhalb der Margenbänder bewegen und ob das Pricing zu Gunsten der Kunden abgewickelt wurde. Die Linie nutzt diese Applikation jetzt operativ und ist damit vom manuellen Handling von Papierstapeln und Stichproben entlastet. In anderen Bereichen von PostFinance wird mit Robotic Process Automation gearbeitet. Dadurch konnten einzelne (Teil-)Prozesse automatisiert werden. Für 40 Cases laufen bereits 230 Roboter. Mit der Automatisierung konnten die Risiken der manuellen Tätigkeiten klar minimiert werden.

Was waren die grössten Herausforderungen beim Vorantreiben der technologischen Entwicklung?

Eine grosse Herausforderung ist die Datenqualität, um die vorhandenen Tools auch einsetzen und Opportunitäten nutzen zu können. Dabei stösst die Infrastruktur wegen des Datenvolumens an ihre Grenzen. Wir sind deshalb dabei, eine entsprechende Dateninfrastruktur innerhalb der Internen Revision aufzubauen, die wir separat nutzen können, beispielsweise in Form eines Data Lake. Eine weitere Herausforderung ist, die richtigen Leute mit den relevanten Skills im Team zu haben, welche programmieren können und die Vernetzung zwischen Fach- und IT-Audit herstellen.

Wie stellen Sie sicher, dass bestehende Mitarbeitende abgeholt werden und mitziehen?

Das ist eine Herausforderung, die wir in unsere Strategie aufgenommen haben. Als Erstes planen wir im aktuellen Jahr eine Bestandsaufnahme und werden diese dem Soll-Bild gegenüberstellen. Dann legen wir fest, wie sich die Mitarbeitenden weiterentwickeln sollten, damit sie auch noch in fünf oder zehn Jahren kompetenzmässig an der Spitze stehen. Wir möchten prioritär unsere Mitarbeitenden weiterbilden und das Know-how intern entwickeln, statt extern einkaufen. Dafür haben wir die Strategie «Basic and Advanced Analytics» definiert. Als Teil der Basic Analytics wollen wir Fachrevision-Teams auf ein digitales Wissensniveau bringen, das ihnen beispielsweise erlaubt, Visualisierungen oder einfache Datenauswertungen selber erstellen zu können. Daneben wollen wir den Spezialisten-Pool für Programmierungen weiter ausbauen. Damit wir alle Mitarbeitende im Boot haben, war das gesamte Team in die Entwicklung der Vision und Strategie eingebunden.

Wie datengetrieben ist die Risikoanalyse – werden gezielt Datenauswertungen gemacht?

Viele Inputs, die wir für die Risikoanalyse verwenden, basieren auf Auswertungen des bankweiten Data Warehouse bzw. auf externen Datenquellen. Diesen Prozess wollen wir in der aktualisierten Strategie konsequent weiter digitalisieren, z.B. um in Zukunft auch für die Risikoanalyse mit Machine Learning oder AI Tools Prozessdaten auswerten zu können. Aktuell messen wir insbesondere die Eintretenswahrscheinlichkeit und das Schadenausmass stärker mittels qualitativer Faktoren. Zentral für unsere Risikoeinschätzung sind der Einfluss auf die operative Leistungserbringung, die Erreichung der finanziellen Ziele, die Vermeidung bzw. Aufdeckung allfälliger Verstösse gegen Gesetz und Verordnungen sowie das Reputationsrisiko.

Welche Prozesse in der Internen Revision haben Sie bereits digitalisiert und automatisiert?

Neben Continuous-Audit-Anwendungen haben wir beispielsweise auch ein Planungs- und Trackingsystem aufgebaut, das wir basierend auf einem im Konzern entwickelten Audit-Tool für uns weiterentwickelt und angepasst haben. Die Verantwortlichen je Feststellung werden zum Ablaufzeitpunkt auf komplett automatisierte Weise informiert und gemahnt. Die Statusmeldung inkl. Nachweis wird von den Verantwortlichen im Tool erfasst, und wir führen anschliessend die Prüfungen durch. Den Nachrevisionsbericht generiert das Tool automatisch. Innerhalb der Prüfprozesse haben wir aber noch viel Potenzial. 

Wie weit ist Ihr Departement auf einer Skala von 1 bis 10 schon digitalisiert? 

Ich schätze, wir befinden uns im mittleren Bereich zwischen 5 bis 6. Wir haben zwar viel in verschiedene Digitalisierungsprojekte investiert, befinden uns bezüglich Systematisierung und Stabilisierung aber immer noch in der Aufbauphase. So haben wir beispielsweise in den letzten drei Jahren zwei Trainees zu Datenanalysten ausgebildet, die ein sehr gutes Know-how aufgebaut haben, jetzt aber in Funktionen ausserhalb des Audits wechseln. Das zeigt einerseits, dass wir eine gute Ausbildung bieten, andererseits bedeutet es aber einen Know-how-Verlust für das Team.

Wie sieht Ihre Prognose für die Zusammenarbeit und Nutzung von Technologie aus?

Die Zusammenarbeit zwischen den Fachbereichen und der IT wird sich stark verändern. Wir wollen keine nach IT Audit und Fachrevision aufgeteilten Fachabteilungen, sondern eine Interne Revision als Kompetenz-Center mit integrierten Teams für alle Mandate. Aufgrund der Tools, die wir künftig vermehrt nutzen können, wird sich die Berichterstattung von vergangenheitsbezogenen Feststellungen hin zu Real Time Findings entwickeln.