Etablierung einer Risikokultur aufgrund der 5. MaRisk-Novelle

Erstellt von Dr. Christopher Zilch | |  Financial Services

Die fünfte überarbeitete Fassung der Mindestanforderungen an das Risikomanagement (MaRisk) wurde durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 27. Oktober 2017 publiziert. Ein zentraler Baustein der 5. MaRisk-Novelle, neben der Umsetzung der Risikoberichterstattung gemäß BCBS 239 sowie neuen Anforderungen an Auslagerungen, ist die Verpflichtung von Geschäftsleitern von Instituten, eine adäquate Risikokultur in ihrer Gesellschaft umzusetzen.

Der Begriff Risikokultur ist nach Ansicht der BaFin kein neues Thema oder ein neuer Risikomanagementansatz. Risikokultur gilt in internationalen Arbeitsgruppen bereits seit einigen Jahren als Bestandteil einer guten Corporate Governance. Auch der Basler Ausschuss für Bankenaufsicht (BCBS) hat sich mit der Risikokultur auseinandergesetzt. Im Juli 2015 publizierte der Ausschuss eine neue Fassung seiner Corporate-Governance-Prinzipien. Demnach ist die Risikokultur „die Gesamtheit der Normen, Einstellungen und Verhaltensweisen (…) in Bezug auf Risikobewusstsein, Risikobereitschaft und Risikomanagement sowie Kontrollen, die Risikoentscheidungen gestalten. Risikokultur beeinflusst die Entscheidungen des Managements und der Mitarbeiter bei ihrer täglichen Arbeit und hat Auswirkungen auf die Risiken, die sie eingehen“.

Im April 2014 veröffentlichte der Finanzstabilitätsrat einen Leitfaden hinsichtlich der Risikokultur. Hier werden vier Indikatoren für eine angemessene Risikokultur aufgeführt, die auch in den Baseler Grundsätzen wiedergegeben werden:

  1. die Leitungskultur,
  2. Verantwortlichkeiten der Mitarbeiter,
  3. offene Kommunikation und kritischer Dialog sowie
  4. angemessene Anreizstrukturen.

Die Leitungskultur umfasst das Verhalten der Führungsorgane. Die Geschäftsleitung hat eine Vorbildfunktion, da sich in ihrem Verhalten das Wertesystem widerspiegeln soll. Dafür ist ein Verhaltenskodex zu entwickeln, der klarstellen soll, dass ethisch einwandfreies Verhalten von den Mitarbeitern erwartet wird. Die Geschäftsleitung hat dafür Sorge zu tragen, dass das Wertesystem kommuniziert, beim Eingehen von Risiken beachtet und mit dem Risikomanagement und den internen Kontrollen verbunden wird. Neben dem Verhalten der Geschäftsleitung ist auch das der nächsten Führungsebene essenziell. Beide Ebenen sind dafür verantwortlich, Wertesystem und die Risikokultur in die weiteren Unternehmensbereiche zu überführen und dies zu kommunizieren.

Sowohl Geschäftsleitung als auch Mitarbeiter haben ihre Tätigkeit am Wertesystem, am festgelegten Risikoappetit und den Risikolimiten auszurichten. Sie sollen sich über die Folgen bewusst sein, die drohen, wenn sie die erwarteten Verhaltensweisen nicht befolgen, das heißt, wenn sie zu hohe Risiken eingehen oder nicht akzeptable Geschäftsaktivitäten durchführen. Konsequenzen könnten zum Beispiel in arbeitsrechtlichen Maßnahmen wie Kürzungen der Boni, Abmahnungen oder im Extremfall auch Kündigungen bestehen, soweit diese Maßnahmen arbeitsrechtlich möglich sind.

Um eine adäquate Risikokultur zu fördern und zu kommunizieren, ihre Einhaltung sicherzustellen und unerwünschte Verhaltensweisen zu verhindern, sind Transparenz und offene Dialoge sowohl zwischen Geschäftsleitung und Aufsichtsorganen als auch zwischen Geschäftsleitung und Mitarbeitern notwendig. Alle Beteiligten müssen alternative Sichtweisen, konstruktive Ideen und Kritik offen mitteilen können. Dies bedeutet, dass sie Bedenken über Praktiken äußern können, die sie für illegal, unethisch oder zumindest fragwürdig halten.

Unabhängig von den beschriebenen Regelungen fehlte es bislang an einem expliziten Rahmen für die Risikokultur. Daher werden die Geschäftsleiter künftig durch die MaRisk verpflichtet, diese zu entwickeln, zu fördern und in das Risikomanagementsystem zu integrieren. Die Risikokultur soll verdeutlichen, welches Verhalten erwünscht ist und welches nicht. Es ist eine originäre Aufgabe der Geschäftsleitung, die Entwicklung, Förderung und Integration einer angemessenen Risikokultur innerhalb des Instituts und der Gruppe umzusetzen.

Die Risikokultur wird in den MaRisk wie folgt definiert: „Die Risikokultur beschreibt allgemein die Art und Weise, wie Mitarbeiter des Instituts im Rahmen ihrer Tätigkeit mit Risiken umgehen (sollen). Die Risikokultur soll die Identifizierung und den bewussten Umgang mit Risiken fördern und sicherstellen, dass Entscheidungsprozesse zu Ergebnissen führen, die auch unter Risikogesichtspunkten ausgewogen sind. Kennzeichnend für eine angemessene Risikokultur ist vor allem das klare Bekenntnis der Geschäftsleitung zu risikoangemessenem Verhalten, die strikte Beachtung des durch die Geschäftsleitung kommunizierten Risikoappetits durch alle Mitarbeiter und die Ermöglichung und Förderung eines transparenten und offenen Dialogs innerhalb des Instituts zu risikorelevanten Fragen.“

Gemäß der Aufsicht sollen die Institute Grundsätze einführen, die eine wirksame Risikokontrolle durch die Organe gewährleisten. Diese Prinzipien sollen eine adäquate Risikokultur auf allen Unternehmensebenen fördern. Das Ziel dieser neuen Anforderung bestehe darin, die bewusste Auseinandersetzung mit Risiken in der Unternehmenskultur zu verankern und sowohl bei der Geschäftsleitung als auch bei den Handeln prägt. Dies umfasst auch einen kritischen Dialog innerhalb des Unternehmens, der von den Führungsebenen gefördert werden soll. Eine adäquate Risikokultur setze ein offenes und kollegiales Führungskonzept voraus. Wesentlich sei es, Mitarbeiter dazu zu bringen, sich gemäß dem Wertesystem zu verhalten und innerhalb des vorgegebenen Risikoappetits zu handeln, wozu entsprechende Anreize zu setzen sind. Wenngleich die Anforderung allgemeine Gültigkeit für alle Institute besitze, so sieht die BaFin dennoch vor allem große Institute mit komplexen Geschäftsaktivitäten besonders in der Pflicht, sich der Risikokultur intensiv auseinanderzusetzen.

Die Maßnahmen zur Erreichung der gewünschten Risikokultur sollen allen Beteiligten nicht nur vermitteln, welches Verhalten erwünscht bzw. unerwünscht ist, sondern auch, welche Risiken und Geschäfte überhaupt eingegangen werden können und welche nicht. Dafür ist ein entsprechender Verhaltenskodex für Mitarbeiter eine wesentliche Voraussetzung. Deswegen werden die Institute künftig dazu verpflichtet, einen Verhaltenskodex vorzuhalten. Dieser ist jedoch nur in Abhängigkeit von der Größe des Instituts sowie der Art, dem Umfang, der Komplexität und dem Risikogehalt der Geschäftsaktivitäten des Instituts verpflichtend zu erstellen.

Neben den MaRisk enthalten auch weitere institutsspezifische Regulierungen wie das Kreditwesengesetz und die Institutsvergütungsverordnung Anforderungen an die Corporate Governance von Finanzdienstleistungsinstituten, die dazu dienen können, um die beschriebenen Indikatoren einer angemessenen Risikokultur zu erfüllen.

In der Praxis sollten Institute als ersten Schritt alle Elemente des Risikomanagementsystems einer Überprüfung unterziehen, ob sie in Einklang mit den neuen Anforderungen stehen. Da eine klare Positionierung der Geschäftsleitung, sollte dies in der Folge entsprechend dokumentiert werden. Dies kann etwa durch ein Statement an alle Mitarbeiter, zum Beispiel via E-Mail, Dokumentation im Intranet des Instituts oder Ansprache bei entsprechenden Mitarbeiterversammlungen, geschehen. Auch im Außenauftritt, z. B. auf der Homepage oder auf entsprechenden Werbebroschüren kann eine entsprechende Positionierung sinnvoll sein.

Solche Ausführungen sollten auch in die schriftlich fixierte Ordnung des Instituts übernommen werden. Zentraler Bestandteil dieser Organisationsrichtlinien hat künftig ggf. ein Verhaltenskodex für die Mitarbeiter zu sein. Innerhalb dieser Organisationsrichtlinien muss ein wirksames Anreizsystem geschaffen werden, dass die Mitarbeiter dazu anhält, sich an das Wertesystem und den Verhaltenskodex zu halten.

Die Meldung von möglichen Verstößen sollte ggf. noch weiter gefördert werden, als dies bislang in Hinweisgebersystemen getan wird. Dies könnte durch die Prämierung von gemeldeten Verstößen erfolgen, sofern diese eine belastbare Grundlage haben. Auf der anderen Seite müssen Mitarbeiter stärker gefördert werden, die Standpunkte und Ideen einbringen, die die Einhaltung des Verhaltenskodex gewährleisten. Es muss ein System implementiert werden, dass auch entsprechende Rückmeldungen an die Mitarbeiter vorsieht. Es darf keine Unternehmenskultur vorherrschen, in sie als Denunzianten eingestuft werden. Ebenso müssen Verstöße gegen die Risikokultur stärker geahndet werden, als dies schon der Fall ist, wobei die entsprechenden arbeitsrechtlichen Restriktionen zu beachten sind.

Die Förderung einer offenen und kritischen Kommunikation innerhalb des Instituts kann durch verschiedene Maßnahmen flankiert werden. Zusätzlich zu den turnusmäßigen Personalgesprächen, bei denen i. d. R. der Mitarbeiter eine Beurteilung durch seinen Vorgesetzten erhält, kann ein sogenanntes Upward-Feedback, das heißt eine Beurteilung des Vorgesetzten durch den Mitarbeiter, eingeführt werden.

Es könnten auch Arbeitsgruppen eingerichtet werden, die aus Mitarbeitern verschiedener Ebenen besetzt sein könnten, um den aktuellen Stand der Umsetzung der Risikokultur zu besprechen. Darüber hinaus können – eine entsprechende Größe des Instituts vorausgesetzt – auch spezielle Stellenprofile geschaffen werden, die sich schwerpunktmäßig mit der Risikokultur beschäftigen, wie z. B. eine eigene Stabsstelle oder einen Referenten für Ethik- und Verhaltensfragen.