Wege aus der reaktiven Risikokultur: Mit (mehr) Sicherheit die Leistung steigern Teil 2: Schritte zur Umsetzung einer Sicherheitskultur

Statt nur auf Risiken zu reagieren und bestenfalls Risiken zu beherrschen, die zu erwarten sind, sollten Finanzinstitute einen anderen Weg gehen und von hoch reliablen Organisationen (HRO) lernen, wie man mit dem Unerwarteten umgehen kann. Ziel muss sein, die lange eingeübte und nicht mehr nachhaltige reaktive Risikokultur endlich zu überwinden. Orientierung geben Leitlinien für eine wertorientierte Sicherheitskultur, die zeb aus Forschungs- und Entwicklungsprojekten mit HRO-Unternehmen der Medizin und der Industrie in die Kreditindustrie übertragen hat. Im ersten Teil des Artikels wurden psychologische Hintergründe für Fehlverhalten und Systemversagen erläutert. Im zweiten Teil werden nun praktische Schlussfolgerungen für die Umsetzung in Finanzinstituten gezogen.

Nicht Risikokultur, sondern Sicherheitskultur definieren

Vor dem Hintergrund der psychologischen Erkenntnisse haben wir aktuelle Vorstellungen von einer „Risikokultur“ in Banken überprüft. Die Definition des Basler Ausschusses für Bankenaufsicht (BCBS) bezieht eine verbesserte Risikokultur auf die Gesamtheit der Normen, Einstellungen und Verhaltensweisen einer Bank in Bezug auf Risikobewusstsein, Risikobereitschaft und Risikomanagement sowie Kontrollen, die Risikoentscheidungen überprüfen. Aus aktuellen Studien ist bekannt, welche Faktoren und welche Verhaltensweisen helfen, Risiken zu erkennen und ihnen entgegenzuwirken:

  1. Nachweisbarkeit
    In der Öffentlichkeit nachvollziehbare Nachweise für Einhaltung der Regulatorik und Vermeidung von Nachweisen für Regelbruch
  2. Erlebbarkeit
    Im Kundenservice und in Kundenbeurteilungen erlebbare Fairness und Zufriedenheit
  3. Befürwortung
    Für Kunden erlebbare und glaubhafte Unterstützung von Regeleinhaltung und Umsetzung der Regulatorik

Hier können Banken von hoch reliablen Organisationen (HRO), wie z. B. Kraftwerken, Bohrinseln, Raffinerien oder der Luftfahrt, lernen: Sicherheit beruht dort nicht auf der Kontrolle bereits bekannter Risiken, sondern auf dem Umgang mit dem Nichterwartbaren, also weder ein „Expected Loss“ noch „Unexpected Loss“ nach bisheriger Definition[1], sondern die bislang nicht einkalkulierten Risiken. HRO sind definiert als Organisationen, die besser als andere mit unerwarteten und plötzlichen Änderungen und Anforderungen umgehen können. Als Faustregel kann dabei gelten, dass auch seltene Risiken, wenn sie beispielsweise als „Tail Events“ einzustufen sind, nicht zu diesen unerwarteten Risiken gehören: Ziel einer HRO ist nicht eine bessere Berechnung messbarer Risiken, sondern vor allem eine Erhöhung des Sicherheitsbewusstseins und der Reaktionsfähigkeit – egal, welche Risiken schlagend werden.

Der Wechsel von einer Risikokultur, die nur handhaben kann, was zu erwarten ist, zu einer Sicherheitskultur, die mit Unerwartetem umgehen kann, vollzieht sich in fünf Schritten:

  1. Gleichgültig
    Risiken werden ignoriert, solange keine Kontrolle erfolgt
  2. Reaktiv
    Wenn etwas passiert, werden Gegenmaßnahmen ergriffen
  3. Kalkulativ
    Für erwartbare Risiken werden Regeln aufgestellt, und deren Einhaltung wird kontrolliert. Erst die folgenden Entwicklungsstufen jedoch führen zu einer Sicherheitskultur
  4. Proaktiv
    Kleinste Abweichungen werden gesucht und als Anlass für möglichst weitreichende Verbesserungen genutzt
  5. Wertschöpfend
    Sicherheit wird als zentraler Beitrag zur Leistungssteigerung eingesetzt, indem auch ohne konkreten Anlass fortlaufend z. B. bessere Dokumentations- und Prozessstandards entwickelt und umgesetzt werden

Solange also vor allem Kosten für die Umsetzung von Regulatorik beklagt werden und bereits bekannte und zu erwartende Risiken im Fokus stehen, kann keine nachhaltige Sicherheitskultur in Banken entstehen.

Wege aus der reaktiven Risikokultur: Grafische Darstellung des Modells zur Verbesserung der Sicherheitskultur im Krankenhaus (nach einem Modell des UniversitätsSpitals Zürich)Abbildung 1: Modell zur Verbesserung der Sicherheitskultur im Krankenhaus (nach einem Modell des UniversitätsSpitals Zürich)

Von Hochsicherheitsorganisationen lernen

Der Unterschied zwischen einer robusten Risikokultur und einer wertschöpfenden Sicherheitskultur ist auch als „Antifragilität“[2]  beschrieben worden: Eine robuste Organisation widersteht Schocks bis zu einem gewissen Grad, bis sie zerbricht, eine „antifragile“ Organisation wird durch den Umgang mit abrupten Änderungen immer widerstandsfähiger. Wir haben an anderer Stelle schon darauf hingewiesen, dass die wenig vorhersehbare Entwicklung einer durch Digitalisierung getriebenen „Hyperfinance“ gar keine andere Wahl lässt, als die Anpassungsfähigkeit an Unerwartetes zu erhöhen.

Die erst vor Kurzem europaweit durchgeführten Bankenstresstests für die finanzielle Belastbarkeit und der Prüfrahmen „Supervisory Review and Evaluation Process“ (SREP) für die Stabilität von Geschäftsmodellen sind von der vorherrschenden kalkulativen Risikokultur geprägt: Problemszenarien und Benchmarkvergleiche werden herangezogen, um die Auswirkung bekannter Risiken einzuschätzen. Eine wertschöpfende Sicherheitskultur bemisst sich aber am Grad der Anpassungs- und Lernfähigkeit beim Umgang mit Problemen, auf die sich die Organisation nicht schon vorher konkret vorbereiten konnte. Forschung und Projekterfahrung mit Hochsicherheitsorganisationen in der Industrie und Gesundheitsversorgung zeigen, dass sich die folgenden Praktiken bewährt haben:

  • Kleine und kleinste Abweichungen erfassen: Eine in Sachen Patientensicherheit vorbildhafte niederländische Universitätsklinik[3] riet einem deutschen Universitätsklinikum als erste Maßnahme, die jährlich rund 1.500 Einträge in das Risikoberichtssystem[4] des Klinikums auf mindestens 15.000 zu erhöhen. Nur wenn alle Mitarbeiter alle Abweichungen ernst nehmen, entsteht die nötige Aufmerksamkeit für mehr Sicherheit.
  • Vermeidung vereinfachender Lösungen und Fokus auf korrekte Durchführung auch von vermeintlichen Routinehandlungen: Die Sicherheit in einem Flugzeugcockpit[5] wird vor allem dadurch erreicht, dass der fliegende (flying) und der kontrollierende (monitoring) Pilot nichts als „gegeben“ voraussetzen, sondern alle Handgriffe prüfen. So wird die Aufforderung „Rechten Hebel ziehen“ quittiert mit: „Hebel gezogen“ und nach Prüfung bestätigt: „Rechter Hebel gezogen“. Nur so wird verhindert, dass nicht versehentlich der linke Hebel gezogen wird.
  • Ausreichend Kapazitäten für Sicherheit bereithalten: Ernste Probleme in der Flugsicherung[6], wie z. B. Beinahezusammenstöße, können auf das Fehlen relevanter Information, auf eine unverständliche oder unvollständige Informationsdarstellung, mangelhafte Fähigkeiten und Kompetenzen sowie fehlende Kapazitäten zurückzuführen sein. Um alle möglichen Fehlerquellen zu erkennen und auszuschließen, werden daher umfangreiche Aufgaben- und Systemanalysen insbesondere für Mehrfachbelastung und Krisensituationen vorgenommen. Dadurch sind Systeme und Menschen auf plötzlich auftretende Krisen besser vorbereitet.
  • Vielfalt und Perspektivwechsel nutzen: Unfälle und Beinaheunfälle in der petrochemischen Industrie, z. B. auf Bohrinseln[7], haben dazu geführt, dass anstehende Änderungen, z. B. bei Mannschaftswechseln oder technischen Umrüstungen, immer dazu genutzt werden, Sicherheitsstandards zu prüfen, zu verbessern und zu trainieren.[8]

Erfahrungen und Modelle anderer Branchen für Banken nutzbar machen

Forschung und Projekterfahrung von zeb zeigen, dass eine Übertragung der Praktiken hoch reliabler Organisationen auf Banken möglich und sinnvoll ist. Dazu sind viele Ansätze bereits geschaffen: So bilden die vielfach bereits eingeübten agilen Arbeitsmethoden durch schnelle Anpassungsfähigkeit und Übernahme von Verantwortung durch alle Teammitglieder eine Grundlage für die Entwicklung einer Sicherheitskultur. Allerdings müssen die vorhandenen Ansätze systematisch im Sinne einer Hochsicherheitskultur ausgebaut werden. Sicherheitsbeauftragte insbesondere für Arbeits- und Gesundheitsschutz in Hochsicherheitsorganisationen[9] haben dafür Positionspapiere und Checklisten zusammengetragen, an denen Banken sich in Umsetzungsprojekten orientieren können. Am besten eigenen sich dazu ohnehin anstehende Veränderungsprozesse, z. B. durch organisatorische Restrukturierungen, die Einführung neuer Systeme oder bedeutende Wechsel in der Führungsmannschaft. Einführung und Beurteilung einer HRO orientieren sich dabei grob am „Schweizer-Käse-Modell“ des Psychologen James Reason, das in Abwandlung für Banken in der folgenden Abbildung skizziert ist.

Wege aus der reaktiven Risikokultur: Grafische Darstellung des psychologischen Modells von Sicherheit: Fehler entstehen durch aufeinanderfolgende Sicherheitslücken wie in einem Schweizer Käse (sog. „Swiss Cheese Model“)Abbildung 2: Psychologisches Modell von Sicherheit: Fehler entstehen durch aufeinanderfolgende Sicherheitslücken wie in einem Schweizer Käse (sog. „Swiss Cheese Model“ angelehnt an das Department of Mines, Industry Regulation and Safety (2018)

Aus Projekterfahrungen und anhand von Empfehlungen aus Branchen mit übergreifendem Risikomanagement[10]  ergibt sich die Etablierung einer wertschöpfenden Sicherheitskultur in drei Phasen:

  1. Mit den Projektvoraussetzungen beginnen
    Bankprojekte beginnen oft direkt mit der Analyse von Risiken und möglichen Gegenmaßnahmen.
    Sicherheitsprojekte beschäftigen sich aber eher mit ihren eigenen Startvoraussetzungen – und zwar so lange, bis ausreichende Voraussetzungen für den Erfolg geschaffen wurden. Dazu gehören Entscheidungsbefugnis und Einfluss der Projektteilnehmenden, hinreichend Erfahrung und Kapazitäten im Projektteam, klare Priorisierung gegenüber anderen Vorhaben und Routinetätigkeiten sowie regelmäßige Kontrolle und Rückmeldung durch qualifizierte Außenstehende.
  2. Risiken und Aufwände einschätzen
    In Bankprojekten sollen mögliche Gegenmaßnahmen zügig, zeit- und kostenschonend umgesetzt werden.
    In Hochsicherheitsorganisationen geht der eigentlichen Umsetzung ein ausführliches Risiko-Assessment voraus. In einem „Mapping“ werden alle relevanten Personen, Prozesse und Informationsquellen und ihre Wechselwirkungen erfasst. Daraus werden denkbare Szenarien entwickelt, die für die sicherheitsbezogene Umsetzung genutzt werden können. Während dieser Projektentwicklungsphase werden fortlaufend bisherige Erfahrungen, beteiligte Dritte (z. B. IT-Dienstleister) und die intern erforderlichen Kapazitäten und Kompetenzen geprüft und angepasst. In dieser Phase werden auch Risiko- und Leistungsindikatoren festgelegt. Risikoparameter umfassen neben finanziellen und technischen Kennziffern auch Aspekte wie Arbeitsbelastung, Wissens- und Kompetenzlücken, Probleme in der Kommunikation und der Teamzusammenarbeit, Konflikte und sinkende Zufriedenheit und Identifikation mit dem Unternehmen.
  3. Sicherheit auch in der Veränderung
    Eine Sicherheitskultur entsteht nicht erst als Ergebnis langwieriger Veränderungsprojekte, sondern beginnt mit dem ersten Projekttag.
    Auch im Veränderungsprozess geht Sicherheit vor. Veränderungsanforderungen sollten zeitlich gestreckt oder vereinfacht werden, wenn es Anzeichen für erhöhte Risiken gibt. Es sollten genügend Puffer eingeplant werden, um zusätzliche Arbeiten und Trainings durchführen zu können. Weiterhin sollte durchgehend ausreichend Unterstützung in Form von Supervision, Expertenunterstützung und im Zweifel auch zusätzlichem Personal bereitgestellt werden können, wenn dies die Durchführungssicherheit erfordert.
    Nicht nur die Erfahrungen, was getan werden sollte, sind hilfreich, sondern auch Hinweise auf Fehler: Häufig wird der Schulungsbedarf drastisch unterschätzt, erfahrenes Personal wird abgezogen, bevor die Veränderung wirklich vollzogen ist, Teams werden zu unerfahren oder zu heterogen besetzt und einmal umgesetzte Veränderungen werden oft nicht regelmäßig überprüft und angepasst.

Abonnieren Sie unseren Newsletter

Erfahren Sie alle 2 Wochen von unseren Experten, was gerade wichtig ist.

Senden Sie mir den BankingHub Newsletter zu. Ich bin ausdrücklich damit einverstanden, den Newsletter zu erhalten und weiß, dass ich mich jederzeit problemlos wieder abmelden kann.

Eine Managementagenda für eine neue Sicherheitskultur

Eckpunkte für die Entwicklung einer zukunftsorientierten, wertschöpfenden Sicherheitskultur in der Finanzdienstleistung müssen Folgendes umfassen:

    • Aufbau eines institutsübergreifenden, für alle Berechtigten zugänglichen Reportingsystems, das Vorfälle zu Analyse- und Trainingszwecken dokumentiert, wie es beispielsweise in der Luftfahrt Standard ist.
    • Aufbau von Standards für sicherheitsorientierte Personalauswahlprozesse und spezifische Trainingsabläufe, insbesondere für sog. „Risk Taker“, vor allem, um mangelnde Kompetenzen und risikoaffine Persönlichkeitsstrukturen[11] zu vermeiden.
    • Aufbau und Einführung einer risikoorientierten Gefährdungs- und Aufgabenanalyse, wie sie z. B. in der chemischen Industrie aufgebaut wurde, um Arbeits- und Umweltsicherheit zu gewährleisten.[12] 
    • Fortlaufender Abgleich bereits vorhandener Richtlinien und Erfahrungen, deren Fortschreibung und branchenübergreifender Erfahrungsaustausch zur Verbesserung der Sicherheitskultur in der Finanzdienstleistung.
    • Fortlaufende Sicherheitsprüfungen für sicherheitsrelevantes Personal („Risk Taker“) hinsichtlich persönlicher Eignung, Fachkompetenz und Rahmenbedingungen ihrer Arbeit.
    • Aufbau und Einsatz von Testverfahren für die Risikoanfälligkeit von Aufbau- und Ablaufstrukturen auf Basis vorhandener Richtlinien und Praxiserfahrungen.[13] 
    • Sichtung und Harmonisierung bestehender, unmittelbar relevanter gesetzlicher Vorgaben und Verordnungen der Finanzaufsicht mit Regelungen bzgl. Sicherheitsmanagement, Datenschutz und -sicherheit.[14]

Risikokultur ist mehr als die Verbesserung des bestehenden Risikomanagements, sie fußt auf einem Risiko- oder besser Sicherheitsbewusstsein aller Mitarbeitenden („Sicherheitskultur-Pyramide“, Teil 1). Die Umsetzung beruht auf der schrittweisen Umsetzung der hier ausgezählten Faktoren: mehr und umfassendere Dokumentation für mehr Achtsamkeit und mehr Trainingsmöglichkeiten, umfassendere und praxisnähere Schulungen, sicherheitsorientierte Personalauswahl und -platzierung, fortlaufende Personal- und Prozessüberprüfungen, bessere Nutzung anstehender personeller, technischer und organisatorischer Veränderungen durch sicherheitsorientiertes „Mapping“ sowie gezielte Nutzung der vorliegenden Erfahrungen und Ergebnisse von Hochsicherheitsorganisationen. Eine einfache Übertragung bestehender Lösungen ist nicht möglich, denn es kann keine „Null-Risiko-Bank“ geben. Finanzinstitute können aber sehr wohl hoch reliable Organisationen werden, die eine umfassende Sicherheitskultur zur Sicherung ihrer Geschäftsgrundlagen und Verbesserung ihrer Produktivität entwickeln.

 

[1] Finance Train (2018): Expected Loss, Unexpected Loss, and Loss Distribution.
[2] Verlagsgruppe Random House GmbH (2018): Special zu Nicholas Taleb »Antifragilität«.
[3] NVZ (2018): Patient safety.
[4] Ärztliches Zentrum für Qualität in der Medizin (2018): CIRSMEDICAL.DE.
[5] SKYbrary (2018): Human Factors.
[6] CORDIS (2018): Human integration into the life-cycle of aviation systems.
[7] Health and Safety Executive (2003): Organisational change and major accident hazards.
[8] Health and Safety Executive (2003): Human factors: Organisational change.
[9] Health and Safety Executive (2003): Risk management.
[10] RiskNET (2018): The Risk Management Network.
[11] Forbes (2018): The Disturbing Link Between Psychopathy And Leadership.
[12] BAuA (2018): Handlungshilfen für die Gefährdungsbeurteilung.
[13] Berufsgenossenschaft Holz und Metall (2016): BGHM – Information 102.
[14] Bundesamt für Sicherheit in der Informationstechnik (2018): Mindeststandard des BSI nach § 8 Abs. 1 Satz 1 BSIG.

Das sog. „Swiss Cheese Model“ in Abbildung 2 wurde angelehnt an das Department of Mines, Industry Regulation and Safety (2018): Why should accidents and incidents be investigated.

Mit BankingHub keinen Trend verpassen

Einfach E-Mail-Adresse eingeben, und Sie erhalten alle 2 Wochen die neuesten Analysen und Berichte unserer Banking-Experten – direkt in Ihr Postfach.

Senden Sie mir den BankingHub Newsletter zu. Ich bin ausdrücklich damit einverstanden, den Newsletter zu erhalten und weiß, dass ich mich jederzeit problemlos wieder abmelden kann.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Mit BankingHub immer auf dem Laufenden!

Einfach E-Mail-Adresse eingeben, und Sie erhalten alle 2 Wochen die neuesten Analysen und Berichte unserer Banking-Experten – direkt in Ihr Postfach. Sie können den Newsletter jederzeit wieder kündigen.