Risikokultur
Die Risikokultur soll als Teil der Unternehmenskultur ein gemeinsames Bewusstsein und positives Verständnis des Managements und sämtlicher Mitarbeiter im Umgang mit unternehmerischen Risiken schaffen, damit die Risikotragfähigkeit erhalten bleibt.
Allgemeines
Das Risikomanagement vertritt die Risikopolitik und muss für eine einheitliche Risikowahrnehmung und ein einheitliches Risikobewusstsein in Unternehmen sorgen. Eine mangelhafte oder gar fehlende Risikokultur kann zu Verlusten und letztlich zur Insolvenz führen. Die Eidgenössische Bankenkommission verdeutlichte diese Thematik im Fall der UBS, die 1997 im Derivategeschäft 725 Millionen Schweizer Franken Verluste gemacht hatte: „Die eingegangenen Risiken sind nur unvollständig erkannt und entsprechend ungenügend überwacht worden“.[1] Die Risikokultur kann auch einen Beitrag zur Innovationskultur leisten.[2] Die Risikokultur betrifft alle Unternehmen in den verschiedenen Wirtschaftszweigen, Kleinunternehmen ebenso wie Großunternehmen, insbesondere das Finanzwesen (Kreditinstitute und Versicherer).
Risikokulturtypen
KPMG unterschied 1998 zwischen den Risikokulturtypen risikoignorant („Cowboy“), risikoavers („Maus“), risikopenibel („Bürokrat“) und risikobewusst („kontrolliert handelnder Unternehmer“).[3] Teilweise handelt es sich hierbei um Risikoeinstellungen, von denen eine vom Risikomanagement umgesetzt wird – idealerweise die risikobewusste Variante.
Rechtsfragen
Nach § 91 Abs. 2 AktG hat der Vorstand einer Aktiengesellschaft oder Kommanditgesellschaft auf Aktien geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Hierunter kann das Risikomanagement mit seinem Früherkennungssystem subsumiert werden.
Risikokultur im Bankwesen
Mit dem Konzept der Risikokultur streben die europäischen Bankenaufsichtsbehörden ein systematisches, risikoangemessenes Verhalten unter den Mitarbeitern auf allen Ebenen der Kreditinstitute an.
Ursprung und Begriffsbestimmung
Durch die Etablierung einer angemessenen Risikokultur soll die Interne Governance gestärkt und hierdurch verhindert werden, dass Banken unverhältnismäßig hohe Risiken eingehen.[4] Der Begriff hielt erstmals mit dem Inkrafttreten der Richtlinie 2013/36/EU (Eigenkapitalrichtlinie)[5] im Jahre 2013 Einzug in das europäische Bankenaufsichtsrecht. In Erwägungsgrund 54 werden die EU-Mitgliedstaaten dazu aufgerufen, Grundsätze und Standards einzuführen, die eine wirksame Kontrolle von Risiken durch die Leitungsorgane von Kreditinstituten und Wertpapierfirmen gewährleisten. Diese Vorgaben sollen, als Teil eines wirksamen Risikomanagements, eine solide Risikokultur auf allen Unternehmensebenen fördern. Der Basler Ausschuss für Bankenaufsicht (BCBS) unternahm im Zuge der Überarbeitung seiner Corporate Governance Prinzipien[6] im Jahre 2015 eine erste aufsichtliche Begriffsbestimmung: Risikokultur symbolisiert nach Auffassung der Mitglieder des BCBS:
„[…] die Gesamtheit der Normen, Einstellungen und Verhaltensweisen einer Bank in Bezug auf Risikobewusstsein, Risikobereitschaft und Risikomanagement sowie Kontrollen, die Risikoentscheidungen gestalten. Risikokultur beeinflusst die Entscheidungen des Managements und der Mitarbeiter bei ihrer täglichen Arbeit und hat Auswirkungen auf die Risiken, die sie eingehen.“
Seit 27. Oktober 2017 sind diese Forderungen in nationales deutsches Aufsichtsrecht im Rahmen der MaRisk-Novellierung umgesetzt worden. Im Allgemeinen Teil der MaRisk (AT 3.1) wird die Geschäftsleitung im Rahmen ihrer Gesamtverantwortung somit auf die Entwicklung, Förderung und Integration einer angemessenen Risikokultur verpflichtet.[7] Nach Ansicht der deutschen Aufsichtsbehörden sind unter diesem Konzept folgende Sachverhalte zu subsumieren:
„Die Risikokultur beschreibt allgemein die Art und Weise, wie Mitarbeiter des Instituts im Rahmen ihrer Tätigkeit mit Risiken umgehen (sollen). Die Risikokultur soll die Identifizierung und den bewussten Umgang mit Risiken fördern und sicherstellen, dass Entscheidungsprozesse zu Ergebnissen führen, die auch unter Risikogesichtspunkten ausgewogen sind. Kennzeichnend für eine angemessene Risikokultur ist vor allem das klare Bekenntnis der Geschäftsleitung zu risikoangemessenem Verhalten, die strikte Beachtung des durch die Geschäftsleitung kommunizierten Risikoappetits durch alle Mitarbeiter und die Ermöglichung und Förderung eines transparenten und offenen Dialogs innerhalb des Instituts zu risikorelevanten Fragen.“
Trotz der Neuaufnahme dieses Begriffs in das Aufsichtsrecht wird betont, dass mit der Anforderung, eine angemessene Risikokultur in Kreditinstituten zu verankern, kein neuer Risikomanagementansatz gefordert wird, sondern Banken dazu bewogen werden sollen, sich mit dieser Thematik intensiver auseinanderzusetzen und für sich zu definieren, welche Geschäfte, Verhaltensweisen und Praktiken als wünschenswert angesehen werden bzw. welche nicht.[8]
Bestandteile einer angemessenen Risikokultur (Indikatoren)
Auch der Finanzstabilitätsrat (FSB) unterstreicht in seiner Guidance on Supervisory Interaction with Financial Institutions on Risk Culture[9] von 2014 die Bedeutung einer angemessenen Risikokultur hinsichtlich des Prozesses der Entscheidungsfindung und des Verhaltens von Bankmitarbeitern. Neben einer effektiven Risiko-Governance, einem adäquaten Risikoappetit-Rahmenwerk und einer angemessenen Vergütungspraxis, die zusammen das Fundament des Konzepts darstellen, nennt dieses Gremium auch vier Indikatoren (Leitungskultur – Tone from the Top, Verantwortlichkeiten der Mitarbeiter – Accountability, offene Kommunikation und kritischer Dialog – Effective Communication and Challenge, angemessene Anreizstrukturen – Incentives), unter Zuhilfenahme derer möglich sein soll, die jeweilige Risikokultur eines Kreditinstituts einschätzen und deren Implementierung zielgerichtet steuern zu können. Diese Indikatoren dürfen indes nicht als abschließend angesehen oder als Checkliste betrachtet werden.
Leitungskultur (Tone from the Top)
Der erstgenannte Indikator Leitungskultur adressiert im Kern die Vorbildfunktion der Unternehmensleitung. Der Vorstand eines Kreditinstituts formuliert nicht allein die Erwartungen an die Risikokultur des Unternehmens, sondern soll über sein eigenes Verhalten die zuvor definierten Unternehmenswerte widergespiegeln. Ein solches Bekenntnis der Geschäftsleitung zur Risikokultur kann über die Zeit hinweg auch durch Mitarbeiter auf nachgelagerten Hierarchieebenen nachgeahmt bzw. verinnerlicht werden. Um eine nachhaltige Veränderung der Risikokultur eines Instituts erreichen zu können, müssen jedoch auch auf der mittleren Führungsebene entsprechende Verhaltensnormen etabliert werden (Tone from the Middle). Welches Verhalten als angemessen bzw. nicht-angemessen aufzufassen ist, sollte zudem in einem Verhaltenskodex (Code of Conduct) niedergeschrieben und dessen Einhaltung durch die Unternehmensleitung kontrolliert werden.
Verantwortlichkeiten der Mitarbeiter (Accountability)
Neben der Etablierung einer Leitungskultur auf Ebene des Vorstandes bzw. der mittleren Führungsebene, über die ein aus Risikogesichtspunkten angemessenes Verhalten vorgelebt werden soll, müssen Mitarbeiter auf klare Verantwortlichkeiten hinsichtlich des Managements von Risiken (Accountability) verpflichtet und Verstöße gegen diese Obliegenheiten bzw. Vorgaben das Risikoübernahmeverhalten betreffend geahndet werden. Dies setzt jedoch deren Akzeptanz von risikobezogenen Zielvereinbarungen und damit verbundenen Werten voraus.
Grundvoraussetzung des Teilaspekts Accountability ist eine individuelle Risikoverantwortung auf Mitarbeiterebene. Der Vorstand muss im Zuge dessen eindeutige Erwartungen an die Belegschaft formulieren, was das Identifizieren, das Überwachen aber auch das angemessene Reagieren auf sich materialisierende Risiken sowie das Weiterleiten damit korrespondierender Informationen anlangt. Allen Mitarbeitern muss zu jedem Zeitpunkt präsent sein, welche Verantwortlichkeiten ihnen auferlegt wurden bzw. was von ihnen im Rahmen eines angemessenen risikobezogenen Verhaltens erwartet wird. Eskalations-Prozesse und (interne) Hinweisgeber-Prozesse (Whistleblowing) stellen in diesem Zusammenhang wichtige Werkzeuge dar, die es Mitarbeitern ermöglichen, Bedenken bezüglich Produkten / Dienstleistungen oder auch Verfahrensweisen weiterzugeben. Mitarbeiter sollen daher im Sinne einer angemessenen Risikokultur motiviert werden – bei Wahrung der Vertraulichkeit und ohne Repressalien befürchten zu müssen – illegale, unethische oder fragwürdige Praktiken an höchste Stelle melden zu können. Die Zuordnung von Verantwortlichkeiten und das zwingende Nutzen von Eskalations-Prozessen bedingt jedoch auch das Festsetzen und Kommunizieren von klar verständlichen Konsequenzen als Folge von Verstößen gegen interne Regelungen / Verfahrensweisen, Verhaltenskodizes oder Risikolimits.
Offene Kommunikation und kritischer Dialog (Effective Communication and Challenge)
In diesem Kontext zielt Kommunikation nicht allein auf den bloßen Austausch von Informationen ab, sondern geht weit darüber hinaus. Zum einen gilt es, die Vielfalt von im Institut existierenden Sichtweisen innerhalb der Entscheidungsprozesse nutzbar zu machen, aber auch einen über die Zeit hinweg verfestigten Status quo infrage stellen zu dürfen.
Offene Kommunikation beschreibt in diesem Zusammenhang einen vorbehaltlosen Austausch zwischen allen institutionellen Hierarchieebenen. Mitarbeiter sollen dazu motiviert werden, Fehlentwicklungen bzw. sich materialisierende Risiken proaktiv zu melden – hierzu müssen zunächst Barrieren, die den reibungslosen Austausch risikobezogener Sachverhalte behindern, beseitigt werden. Diese Offenheit gilt es durch die Unternehmensleitung zu fördern, zu entwickelt und final auch zu evaluieren. Mitarbeiter können indes nur dann zu einem solchen Verhalten motiviert werden, sofern im Vorfeld entsprechende Kommunikationsmechanismen bereitgestellt wurden und deren Anstrengungen auch beachtet und honoriert werden.
Kommunikation bedeutet aber auch einen anderen Umgang mit Kritik und auch Fehlern. Kontrollfunktionen, wie der Unternehmensbereich Risiko-Controlling, die Interne Revision oder die Compliance-Abteilung, traten hinsichtlich ihrer Bedeutung immer weiter hinter den operativen Geschäftseinheiten zurück. Dieser Entwicklung ist nach Auffassung der Aufsichtsbehörden insofern entgegenzuwirken, als diese Funktionen frühzeitig und proaktiv in alle Entscheidungsprozesse vollumfänglich eingebunden und nicht nur auf eine rein beratende Tätigkeit reduziert werden sollen.
Anreizsysteme (Incentives)
Die Leistungsfähigkeit einer soliden Risikokultur zeigt sich darin, Mitarbeiter intrinsisch zu motivieren nur solche Risiken einzugehen, die dem Risikoappetit des Instituts entsprechen. Dies gelingt dann, wenn diese erkennen können, dass eine angemessene Risikoübernahmebereitschaft durch die Unternehmensleitung Wertschätzung erfährt und im Rahmen der Vergütung, der Leistungsbeurteilung und Karriereentwicklung berücksichtigt werden. Performance- und Talentmanagement fördern und verstärken die Wartung des gewünschten Risikomanagement-Verhaltens des Finanzinstituts. Finanziell und nicht-finanzielle Anreize unterstützen somit die Unternehmenswerte und die Risikokultur auf allen Ebenen eines Finanzinstituts.
Hierzu müssen geeignete Systeme und Prozesse geschaffen werden, mit denen die Kosten für eingegangene Risiken angemessen bepreist und auch zugeordnet werden können. Daneben muss den Kontrollfunktionen (Risikomanagement, Compliance, Interne Revision) ein entsprechender Status innerhalb des Instituts eingeräumt werden, so dass selbige Einfluss auf die Vergütungspraktiken, Nachfolgeplanung, Talentförderung, Beförderungen/Einstellungen und Leistungsbeurteilung innerhalb der verschiedenen Unternehmensbereiche nehmen können.
Literatur
- Literatur über Risikokultur im Katalog der Deutschen Nationalbibliothek
Einzelnachweise
- Neue Zürcher Zeitung vom 3. Juli 1998, S. 21
- Jan Lies, Kompakt-Lexikon PR, 2016, S. 189
- KPMG, Integriertes Risikomanagement, 1998, S. 9
- Ira Steinbrecher: Risikokultur: Anforderungen an eine verantwortungsvolle Unternehmensführung. Abgerufen am 27. April 2018.
- Richtlinie 2013/36/EU des Europäischen Parlaments und des Rates vom 26. Juni 2013 über den Zugang zur Tätigkeit von Kreditinstituten und die Beaufsichtigung von Kreditinstituten und Wertpapierfirmen, zur Änderung der Richtlinie 2002/87/EG und zur Aufhebung der Richtlinien 2006/48/EG und 2006/49/EG (CRD IV), abgerufen am 16. April 2018
- BCBS: Corporate governance principles for banks. Abgerufen am 26. April 2018 (englisch).
- BaFin: Rundschreiben 09/2017 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk. Abgerufen am 27. April 2018.
- BaFin: MaRisk-Novelle 2017 – Veröffentlichung der Endfassung (Anschreiben). Abgerufen am 27. April 2018.
- FSB: Guidance on Supervisory Interaction with Financial Institutions on Risk Culture. (PDF) Abgerufen am 27. April 2018 (englisch).