BaFin

Thema Risikomanagement Risikokultur: Anforderungen an eine verantwortungsvolle Unternehmensführung

Ira Steinbrecher, BaFin

Datum: 17.08.2015

Die Entwicklung und Förderung einer angemessenen Risikokultur ist originäre Aufgabe der Geschäftsführung eines jeden Unternehmens.

Auf dieser Seite:

Für Finanzinstitute ist sie besonders wichtig: International ist man sich darüber einig, dass Defizite in der Unternehmensführung bei einer Reihe von Banken dazu beigetragen haben, dass sie in der Vergangenheit unverhältnismäßig hohe Risiken eingingen. Dies hat zum Ausfall einzelner Institute und zu Stabilitätsproblemen in der ganzen Welt geführt.1)

Daher verlangt der europäische Gesetzgeber im Erwägungsgrund 54 der Eigenmittelrichtlinie CRD IV (Capital Requirements Directive IV), dass die EU-Mitgliedstaaten Grundsätze und Standards einführen, die eine wirksame Kontrolle von Risiken durch die Leitungsorgane von Kreditinstituten und Wertpapierfirmen gewährleisten. Sie sollen, als Teil eines wirksamen Risikomanagements, eine solide Risikokultur auf allen Unternehmensebenen fördern.

Studien und Veröffentlichungen zum Thema
Der Begriff „Risikokultur“ ist kein neues Thema oder gar ein neuer Risikomanagementansatz. Risikokultur gilt in internationalen Arbeitsgruppen und in der einschlägigen Literatur bereits seit mehreren Jahren als integraler Bestandteil einer verantwortungsvollen Unternehmensführung – nicht nur im Hinblick auf den Finanzsektor. Bereits 2011 lagen mehr als 50 Studien vor, die sich mit dem Thema (Unternehmens-)Kultur beschäftigen. Hinzu kommen zahlreiche Veröffentlichungen internationaler Institutionen wie dem Internationalen Währungsfonds, dem Institute of International Finance – einer globalen Vereinigung von Finanzinstituten – und dem britischen Forschungszentrum Centre for Analysis of Risk and Regulation zu diesem Themenkomplex.
Dass das Thema die internationalen Standardsetzer, den europäischen und den deutschen Gesetzgeber auch weiterhin beschäftigen wird, hat zuletzt eine Studie der Universität Zürich zu Unternehmenskultur und Unehrlichkeit in der Bankenindustrie aus dem Jahr 2014 gezeigt. Die Forscher kommen zu dem Schluss, dass die Unternehmenskultur, die zumindest bei einigen Akteuren in der Bankenindustrie vorherrscht, unehrliches Verhalten bei Mitarbeitern begünstigt.

Anforderungen internationaler Standardsetzer

Auch der Basler Ausschuss für Bankenaufsicht BCBS , einer der bedeutendsten Standardsetzer für Banken, hat sich mit dem Thema Risikokultur befasst. Im Juli 2015 veröffentlichte er die überarbeitete Fassung seiner Corporate-Governance-Prinzipien für Banken. Die Grundsätze definieren nun auch den Begriff der Risikokultur. Demnach ist sie „die Gesamtheit der Normen, Einstellungen und Verhaltensweisen einer Bank in Bezug auf Risikobewusstsein, Risikobereitschaft und Risikomanagement sowie Kontrollen, die Risikoentscheidungen gestalten. Risikokultur beeinflusst die Entscheidungen des Managements und der Mitarbeiter bei ihrer täglichen Arbeit und hat Auswirkungen auf die Risiken, die sie eingehen“.

Bislang gibt es verschiedene Definitionen von Risikokultur, so dass bei Instituten und Aufsehern kein global einheitliches Verständnis über die Bedeutung und Tragweite des Begriffs existiert. Die Definition des Basler Ausschusses kann ein solches schaffen.

Für den Finanzstabilitätsrat FSB war der Aspekt der Risikokultur im vergangenen Jahr ein Themenschwerpunkt. Im April 2014 veröffentlichte er einen Leitfaden zur Interaktion von Aufsicht und Finanzinstituten hinsichtlich der Risikokultur (siehe BaFinJournal Mai 2014). Dieser gibt den Aufsehern ein Werkzeug an die Hand, anhand dessen sie die Zuverlässigkeit und Wirksamkeit der Risikokultur von Instituten beurteilen und darauf hinwirken können, dass diese eine angemessene Risikokultur einführen.

Vier Indikatoren

Der Leitfaden nennt vier Indikatoren für eine angemessene Risikokultur. Diese sollen allerdings nicht abschließend sein und sind auch nicht als Checkliste für die Aufsicht zu verstehen. Sie finden sich auch in den Baseler Grundsätzen wieder:

  1. die Leitungskultur (Tone from the Top),
  2. Verantwortlichkeiten der Mitarbeiter (Accountability),
  3. offene Kommunikation und kritischer Dialog (Effective Communication and Challenge) sowie
  4. angemessene Anreizstrukturen (Incentives).

Mit dem Tone from the Top ist das Verhalten der Leitungsorgane gemeint. Die Mitglieder der Geschäftsleitung haben eine Vorbildfunktion; in ihrem Verhalten soll sich das zuvor von ihnen definierte Wertesystem widerspiegeln, das die Grundlage für das Verhalten der Mitarbeiter und die Risikokultur darstellen soll. Hierfür hat die Geschäftsleitung einen Verhaltenskodex zu entwickeln, der bestimmt, welches Verhalten akzeptabel ist und welches nicht. Der Verhaltenskodex soll klarstellen, dass die Geschäftsführung von den Mitarbeitern ethisch einwandfreies Verhalten erwartet – dieses dürfte nicht nur durch gesetzliche Vorgaben, sondern in erheblichem Maße auch durch die gesellschaftliche Erwartungshaltung geprägt sein – und illegale Aktivitäten explizit missbilligt. Die Mitglieder der Geschäftsleitung haben auch dafür zu sorgen, dass das Wertesystem innerhalb des Instituts kommuniziert, beim Eingehen von Risiken beachtet und mit dem Risikomanagement und den internen Kontrollen verzahnt wird.

Neben dem Verhalten der Geschäftsleitung ist auch das der übrigen leitenden Angestellten von Bedeutung. Sie stellen das Bindeglied zwischen dem Leitungsorgan und den verschiedenen Geschäftsbereichen beziehungsweise Abteilungen und Unterabteilungen dar. Ihnen kommt also die Aufgabe zu, das Wertesystem und die Risikokultur dorthin zu transportieren und es zu kommunizieren. Außerdem sollen sie innerhalb ihrer Zuständigkeitsbereiche Risiken identifizieren, bewerten und kontrollieren und hierbei die Risikolimits und das Wertesystem des Instituts beachten.

Sowohl Geschäftsleitung als auch Mitarbeiter des Unternehmens sollen ihre Tätigkeit am Wertesystem, am festgelegten Risikoappetit und den bestehenden Risikolimits ausrichten. Dafür sind sie jeweils selbst verantwortlich (Accountability). Sie sollen sich über die Konsequenzen bewusst sein, die drohen, wenn sie die von ihnen erwarteten Verhaltensweisen nicht erfüllen, wenn sie also zum Beispiel zu hohe oder nicht gewünschte Risiken eingehen oder nicht tolerierte Geschäftsaktivitäten und -praktiken entwickeln. Konsequenzen können zum Beispiel disziplinarische Maßnahmen wie Kürzungen der Boni, Abmahnungen oder im Extremfall auch Kündigungen sein.

Um die gewünschte Risikokultur innerhalb eines Unternehmens zu fördern und zu kommunizieren, dessen Beachtung sicherzustellen und unerwünschte Verhaltensweisen zu vermeiden, ist Transparenz und ein möglichst offener Dialog sowohl zwischen Geschäftsleitung und Verwaltungs- beziehungsweise Aufsichtsorgan als auch zwischen Geschäftsleitung beziehungsweise den übrigen leitenden Angestellten und den Mitarbeitern notwendig, und zwar auf sämtlichen Ebenen und zu jedem Zeitpunkt. Alternative Standpunkte, konstruktive Anregungen und Kritik müssen offen kommuniziert werden können (Effective Communication and Challenge). Dazu gehört auch, dass Mitarbeiter vertraulich und ohne Sorge vor Repressalien Bedenken über Praktiken äußern können, die sie für illegal, unethisch oder zumindest fragwürdig halten. Eine angemessene Risikokultur stellt also vor allem eine große Herausforderung an die Führung von Mitarbeitern dar. Sie setzt im Idealfall ein offenes und kollegiales Führungskonzept voraus.

Wesentlich für eine angemessene Risikokultur ist es, die Mitarbeiter dazu zu motivieren, sich entsprechend dem Wertesystem und dem Verhaltenskodex zu verhalten und innerhalb der festgelegten Risikotoleranzen zu agieren. Hier können materielle und immaterielle Anreize (Incentives) sinnvoll sein. Vor allem aber ist es unerlässlich, innerhalb des Instituts Überzeugungsarbeit zu leisten. Ethisch und ökonomisch wünschenswertes Verhalten sollte nicht ausschließlich vom Gehaltszettel motiviert sein.

Nationale Anforderungen

Die BaFin wird die konkretisierten Anforderungen des Basler Ausschusses in die nationalen Anforderungen integrieren, insbesondere in die Mindestanforderungen an das Risikomanagement (MaRisk).2) Schon jetzt enthalten die MaRisk, aber auch das Kreditwesengesetz (KWG) und die Institutsvergütungsverordnung (InstitutsVergV), zahlreiche Anforderungen an die Unternehmensführung der Banken, die wesentlich sind, um die beschriebenen Indikatoren einer angemessenen Risikokultur zu erfüllen.

§ 25c KWG gibt eine Reihe von Anforderungen vor, die für die Risikokultur im Unternehmen förderlich sind. So haben die Geschäftsleiter Grundsätze einer ordnungsgemäßen Geschäftsführung zu beschließen, die die erforderliche Sorgfalt bei der Unternehmensführung des Instituts gewährleisten. Hierin sollte sich bereits die Risikokultur widerspiegeln. Sie haben ferner unter anderem für eine angemessene Unternehmensstruktur zu sorgen, die sich an den Strategien des Unternehmens ausrichtet und der für ein wirksames Risikomanagement erforderlichen Transparenz der Geschäftsaktivitäten des Instituts Rechnung trägt, sowie die Prozesse für Offenlegung und Kommunikation zu überwachen. Außerdem müssen sie sicherstellen, dass die Geschäftsstrategie an der nachhaltigen Entwicklung des Instituts ausgerichtet und die Risikostrategie damit konsistent ist.

Risikoappetit und Risikostrategie
Die Geschäftsleitung trifft mit der Festlegung des Risikoappetits eine bewusste Entscheidung darüber, in welchem Umfang das Institut bereit ist, Risiken einzugehen, um seine strategischen Ziele zu erreichen. Das Institut hat den Risikoappetit für alle wesentlichen Risiken festzulegen.
Damit ist der Risikoappetit Teil der Risikostrategie. Diese beschreibt den Umgang mit den Risiken, die aus der Geschäftsstrategie resultieren. Sie sollte daher konsistent zur Geschäftsstrategie sein (AT 4.2, Tz. 2 MaRisk).

§ 25a KWG verlangt von den Instituten als Teil einer ordnungsgemäßen Geschäftsorganisation unter anderem, ein internes Kontrollsystem einzurichten, das insbesondere aufbau- und ablauforganisatorische Regelungen mit klarer Abgrenzung der Verantwortungsbereiche sowie Prozesse zur Identifizierung, Beurteilung, Steuerung sowie Überwachung und Kommunikation der Risiken umfasst. Außerdem sind die Vergütungssysteme für Geschäftsleiter und Mitarbeiter so zu gestalten, dass sie angemessen, transparent und auf eine nachhaltige Entwicklung des Instituts ausgerichtet sind. Die InstitutsVergV konkretisiert diese Vorgabe. Darüber hinaus schreibt § 25a KWG vor, einen Prozess einzurichten, der es den Mitarbeitern unter Wahrung der Vertraulichkeit ihrer Identität ermöglicht, Gesetzesverstöße und strafbare Handlungen innerhalb des Unternehmens an geeignete Stellen zu berichten.

Die MaRisk konkretisieren die Anforderungen des § 25a KWG an ein wirksames Risikomanagement und enthalten ebenfalls Vorgaben, an denen die Indikatoren einer angemessenen Risikokultur anknüpfen können. So hat die Geschäftsleitung gemäß AT 4.2 MaRisk eine Risikostrategie festzulegen, die mit der Geschäftsstrategie konsistent ist. Dabei hat die Geschäftsleitung für alle wesentlichen Risiken Risikotoleranzen festzulegen. Sie muss also entscheiden, in welchem Umfang sie bereit ist, Risiken einzugehen. Diese Entscheidung spiegelt im Idealfall die Wertvorstellungen der Geschäftsleitung beziehungsweise des Instituts wider. AT 5 MaRisk sieht darüber hinaus vor, dass die Geschäftsaktivitäten des Instituts auf der Grundlage von Organisationsrichtlinien betrieben werden müssen. Das können zum Beispiel Handbücher, Arbeitsanweisungen oder Arbeitsablaufbeschreibungen sein. Diese Richtlinien sollten den Rahmen abstecken, wie innerhalb des Instituts in bestimmten Situationen zu handeln ist. Nichtsdestotrotz geht die Festlegung, Förderung und Kommunikation der gewünschten Risikokultur noch einen Schritt weiter und lässt sich nicht auf die Ausarbeitung von Arbeitsanweisungen, Handbüchern et cetera reduzieren.

Neue Vorgaben geplant

Unabhängig von den oben beschriebenen Regelungen fehlt es bislang an einem ausdrücklichen Rahmen für eine angemessene Risikokultur. Daher sollen die Geschäftsleiter künftig durch die MaRisk verpflichtet werden, eine solche zu entwickeln, zu fördern und zu integrieren. Dadurch soll das Risikomanagement fest in der Unternehmenskultur der Institute verankert und sowohl beim Management als auch bei den Mitarbeitern ein Risikobewusstsein geschaffen werden, das das tägliche Denken und Handeln prägt. Die Risikokultur soll den Mitarbeitern verdeutlichen, welches Verhalten erwünscht ist und welches nicht und – damit einhergehend – welche Risiken das Institut eingehen kann und welche nicht. In diesem Zusammenhang sollen die Institute verpflichtet werden, einen Verhaltenskodex für Mitarbeiter zu entwickeln.

Diese und weitere geplante Änderungen – wie zum Beispiel umfangreichere Anforderungen an die Berichterstattung, die die Etablierung, Förderung und Integration einer Risikokultur sowie deren Einhaltung erleichtern sollen – sind sinnvoll und notwendig, um eine wirksame Kontrolle durch das Leitungsorgan sicherzustellen und auf allen Ebenen von Kreditinstituten und Wertpapierfirmen eine solide Risikokultur zu fördern.

Aufsicht

Für die Aufsicht – aber auch für die Institute – ist das Thema Risikokultur zweifellos eines, das sich nur relativ schwer greifen lässt, da es nicht ohne Weiteres isoliert überprüfbar ist.

BaFin und Bundesbank werden sich aber künftig genau anschauen, wie die beaufsichtigten Institute an diese Herausforderung herangehen. Dabei wird es vor allem darum gehen, welche konkreten Schritte insbesondere die größeren, komplexeren Institute ergreifen, um den Erwartungen der Aufsicht gerecht zu werden.

Fußnoten:

1) Vgl. Erwägungsgrund 53 der europäischen Eigenmittelrichtlinie CRD IV (Capital Requirements Directive IV).

2) Zu den geplanten Änderungen der MaRisk siehe auch Jahresbericht 2014 der BaFin, Seite 98 ff.

Zusatzinformationen

Ba­F­in­Jour­nal, Aus­ga­be Au­gust 2015

  • Online-Banking: Sicherheitsaspekte aus Verbraucherschutzsicht
  • Risikokultur: Anforderungen an eine verantwortungsvolle Unternehmensführung
  • Versicherungsvertrieb: Neue europäische Richtlinie auf der Zielgeraden

Hin­weis

Der Beitrag gibt den Sachstand zum Zeitpunkt der Veröffentlichung im BaFinJournal wieder und wird nicht nachträglich aktualisiert. Bitte beachten Sie die Allgemeinen Nutzungsbedingungen.

Nut­zungs­be­din­gun­gen