Nach dem Doppel-Debakel um Archegos und Greensill steht das Risikomanagement der Credit Suisse im Rampenlicht. Doch die Ursachen könnten tiefer reichen. Die Bankbranche vertraut auf ein Kontrollmodell, an dessen Tauglichkeit gezweifelt wird.

Ein knappes Jahr ist es her, als die Credit Suisse (CS) ihr internes Kontrollsystem reorganisierte. Insbesondere betraf dies die «zweite Verteidigungslinie» der Grossbank, wie das Institut damals ausführte.

Die bisherige Risikochefin, Lara Warner, übernahm als neue Chief Risk & Compliance Officer (CRCO) auch den Compliance-Bereich. Davon erhoffte sich die Bankführung unter CEO Thomas Gottstein ein effektiveres Kontrollumfeld, den Abbau von Doppelspurigkeiten – und nicht zuletzt auch Einsparungen.

Risiko-Oberchefin entlassen

Mittlerweile hängt dies alles in der Schwebe. Warner ist vergangenen April nach dem Doppel-Debakel entlassen worden. Die CS hat mit Joachim Oechslin (Risiko) und mit Thomas Grotzer (Compliance) die Funktionen wieder getrennt.

Ausserdem laufen beim Finanzkonzern zwei Untersuchungen der Eidgenössischen Finanzmarktaufsicht (Finma), die sich explizit mit der Rolle des Risikomanagements befassen. Eine interne Untersuchung geht ebenfalls dieser Frage nach. Der neue CS-Präsident António Horta-Osório hat dem Risikomanagement höchste Priorität einberaumt.

Die externen und internen Untersuchungen dauern an, und man darf auf den Befund gespannt sein. Gut möglich, dass weitere Köpfe rollen. Eher unwahrscheinlich ist hingegen, dass Grundsatzkritik an der Art und Weise geübt wird, wie die CS und die Schweizer Banken ihre Risiken kontrollieren.

Normierte Gegenwart

Dabei wäre genau diese Diskussion notwendig und überfällig: Die Branche stützt sich im Umgang mit Risiken über weite Strecken auf ein Modell, das auf die 1990er-Jahre zurückgeht und das Experten inzwischen als völlig untauglich einstufen. Dies in einer Zeit, in der detaillierte ISO-Normen jeden Winkel unseres Alltags absichern und von den Banken selber angewandt werden.

Einer, der diesem Missstand seit Jahren anprangert, ist Daniel Bühr. Der Anwalt und Partner der Wirtschaftskanzlei Lalive ist ein Überzeugungstäter, einerseits. Er opfert schon mal seine Ferien, um rund um den Globus zu jetten und in Australien an einer Risikomanagement-Tagung teilzunehmen. Und er scheut sich auch nicht, öffentlich Kritik zu üben.

Ursprünge in den 1990er-Jahren

Anderseits weiss Bühr, wovon er spricht. Als Spezialist für Forensik und «White Collar»-Kriminalität berät er Grossfirmen in der Abwehr von Risiken. Bei der Thurgauer Kantonalbank hat er mitgeholfen, den Steuerstreit mit den USA ohne Busse beizulegen und das interne Kontrollsystem weiter zu entwickeln. Er ist zudem Ehrenpräsident der Vereingung Ethics and Compliance Switzerland (ECS) und Mitglied der Expertenkomitees für Governance und Compliance-Management-Systeme bei der ISO, der Internationalen Organisation für Normung.

Besonders kritisch betrachtet er das in der Banken-Compliance breit verwendete Modell der «Three Lines of Defense», das vom amerikanischen Institute of Internal Auditors (IIA) entwickelt wurde, einer weltweit aktiven Branchenorganisation, die insbesondere in den Big-Four-Revisionsfirmen treue Mitglieder hat. Die Ursprünge des Modells gehen auf die 1990-er Jahre zurück.

Niemand weiss Genaueres

In der aktuellen Fassung aus dem Jahr 2013 ist der Beschrieb zum Modell gerade mal sieben Seiten stark und umreisst die Rollen der drei «Verteidigungslinien» im Unternehmen: Die operative Front, welche die Risiken «managt», die zweite Linie, die für die Überwachung zuständig ist, und ein internes Audit als Sicherung-Organ. Es handelt sich um ein Praktiker-Modell, das aufgrund seiner Kürze vage bleibt und entsprechend unterschiedlich angewandt wird.

Bühr berichtet von Branchenkonferenzen, an dener er immer wieder feststelle, dass niemand die genauen Funktionen und Schnittstellen der drei Verteidigungslinien konkret bezeichnen könne.

Fallstudie des Versagens

Die Unzulänglichkeiten des IIA-Modells fürs Banking bereitete schon an höchster Stelle Sorge. So kam die EU-Kommission im Lichte der jüngsten Geldwäscherei-Skandalen bei europäischen Banken zum Schluss, dass in den meisten Vorfällen die drei Verteidigungslinien einzeln oder gleich mehrfach versagt hatten. Die Kommission liess dazu gar eine Fallstudie anfertigen.

Und dennoch: im Schweizer Bankwesen wird das IIA-Modell breit angewandt, nicht zuletzt bei der CS. Das hat auch damit zu tun, dass dies mit dem Segen der Aufsicht geschieht. Das Committee on Banking Supervision der Bank für Internationalen Zahlungsausgleich (BIZ) in Basel erwähne das Modell und empfehle dieses quasi, sagt Compliance-Experte Bühr. Ebenfalls finde das Konzept der Verteidigungslinien implizit Eingang in das relevante Rundschreiben «Corporate Governance - Banken».

Vermischte Vorgaben

Dies sinnigerweise gemeinsam mit Elementen der ISO-Normierung von Management-Systemen (ISO 31000 fürs Risikomanagement und ISO 37301 für Compliance), die nach einer international abgestützten Methodik erarbeitet sind und besonders auf die Unabhängigkeit der diversen Kontrollinstanzen pochen.

Dadurch ergeben sich Widersprüchlichkeiten. So fordert das Rundschreiben zwar unabhängige Kontrollinstanzen, welche die Risiken sowie die Einhaltung gesetzlicher, regulatorischen und internen Vorschriften überwachen. Weiter darf das Vergütungssystem für Kontrollinstanzen keine Anreize setzen, die zu Interessenskonflikten mit deren Aufgaben führen. Gleiches postulieren die ISO-Normen, die auch noch streng zwischen Risikomanagement und Compliance als unabhängige Instanzen unterscheiden.

Front kontrolliert sich selber

Bei den internen Kontrollsystemen nennt das Rundschreiben dann aber frei nach IIA-Modell die «ertragsorientierten Geschäftseinheiten» als Kontrollinstanz (die erste Verteidigungslinie). Nach etablierten ISO-Normen hingegen, und das ist einleuchtend, darf sich die Front niemals selber kontrollieren. Auch müssen systemrelevante Banken einen Risikochef ernennen, der Mitglied der Geschäftsleitung ist und auch weitere Sicherungsfunktionen wie die Compliance leiten kann.

Doch damit fällt die Unabhängigkeit weg, und diese Personen unterliegen den Anreizen der Management-Vergütungen. Beides läuft den Vorgaben des Rundschreibens zuwider. Die Verbindung der unabhängigen Instanzen Risikokontrolle und Compliance-Management eliminiere die Compliance als unabhängige Kontrollfunktion, was erneut dem Rundschreiben widerspreche, sagt Bühr.

Finma überzeugt von Ansatz

Auf Anfrage von finews.ch hiess es dazu bei der Finma, das Rundschreiben sei prinzipienbasiert ausgerichtet und lasse Spielraum zur Verwirklichung unterschiedlicher Kontrollstrukturen im Einzelfall. Mit den Anforderungen an ein mehrstufiges Kontrollsystem bewege sich die Finma-Praxis auf der Linie der massgeblichen internationalen Standards, insbesondere des Basler Ausschusses für Bankenaufsicht. «Die Behörde ist von der Wirksamkeit ihres Ansatzes nach wie vor überzeugt», heisst es in Bern weiter. Zurzeit seien keine Bestrebungen im Gang, das Rundschreiben anzupassen.

Im Falle von Verstössen gegen Vorgaben des Rundschreibens hat die Aufsicht derweil einige Mittel zur Hand. Die Bandbreite möglicher Massnahmen umfasst namentlich vorsorgliche Massnahmen, Anordnungen zur Wiederherstellung des ordnungsgemässen Zustands, Feststellungsverfügungen, Berufs- und Tätigkeitsverbote, bis hin zum Bewilligungsentzug.

Eingehen von Risiken gefördert

Die CS, die derzeit Ziel von Finma-Untersuchungen ist, will sich nicht zu ihren Kontrollsystemen äussern. Es darf angenommen werden, dass die Grossbank nun überprüft, ob Anpassungen an der Corporate Governance nötig sind. Ebenfalls muss sich das Institut nach den Standards der Aufsicht richten.

Bühr konstatiert in der Bankbranche neben der fehlenden Methodik bezüglich internen Kontrollsystemen und insbesondere beim Risiko- und beim Compliance-Management auch eine mangelhafte Governance: Führung und Firmenkultur seien oft unbestimmt bezüglich der Risikotoleranz und förderten das Eingehen von Risiken, ohne sie wirksam zu steuern und kontrollieren.

Weiter moniert der Experte, die Kontrollfunktionen seien von der Linie nicht unabhängig und nicht mit den erforderlichen Kompetenzen, inklusive dem Gang zum Verwaltungsrat, ausgestattet.

Compliance übersteuert

Dass dies keine leeren Vorwürfe sind, zeigte sich etwa bei der einstmaligen Falcon Private Bank im Bestechungs-Skandal um den malaysischen Staatsfonds 1MDB. Die Finma, welche die mittlerweile liqudierte Bank im Jahr 2016 sanktionierte, hielt in ihrem Bericht die Übersteuerung der Compliance durchs Management minutiös fest.

Nun ist es nicht so, dass die Banken generell einen Bogen um ISO-Normen machen würden. Die Banken-IT etwa unterliegt strengsten Normierungen, und wie auch finews.ch berichtete, hat die Branche schätzungsweise mehr als eine halbe Milliarde Franken ausgegeben, um auf das neue Zahlungssystem SIC 4 zu wechseln. Dieses macht den hiesigen Zahlungsverkehr kompatibel mit der in der EU geltenden ISO-Standard 20022.

Horrende Kosten

Würde gegen die Einführung moderner Sicherungssysteme, welche Banken und -risiken als systemisch begreifen, das Kostenargument erhoben, wäre dies ebenfalls wenig stichhaltig. Denn die Opportunitäts-Kosten mangelhafter interner Kontrollen sind für die Institute und ihre Eigner absolut real und horrend.

Dabei müssen nicht einmal die bisher 5 Milliarden Franken Verlust herangeführt werden, welche die CS im Archegos-Debakel erlitten hat. Wie die Schweizerische Nationalbank jüngst vorrechnete, müssen die Schweizer Grossbanken rund 7 Prozentpunkte mehr Kapital für operationelle Risiken vorhalten als die ausländische Konkurrenz. Dies, weil sie in der Vergangenheit in so viele Rechtsfälle verwickelt waren.

«Es gibt gar keine Alternative»

Führt man sich vor Augen, dass die Bilanzen von UBS und CS für sich genommen jeweils grösser sind als das Schweizer BIP, lässt sich erahnen, welche Summen da im Spiel sind – und es noch sein könnten.

«Es gibt gar keine Alternative», findet Bühr. Heute gebe es umfassende internationale Normen und anerkannte Regelwerke für Risikomanagement, Compliance, für IT-Sicherheit und gegen Korruption. Diese seien technisch präzise und widerspiegelten internationale «best practice». Für ihn ist klar: Wenn man diese Regelwerke und kommende Governance-Standards wie ISO 37000 nicht berücksichtigt, dann sind die Kontrollen wenig wirksam.

Er warnt: «Das Management setzt sich dem Vorwurf mangelnder Sorgfalt und letztlich erhöhten Haftungsrisiken aus.»