Ihren konkreten Ursprung hat das Erfordernis der Einführung einer adäquaten Risikokultur in Erwägungsgrund 54 im Rahmen der Umsetzung der Capital Requirements Directive IV (CRD IV), die am 17. April 2013 durch das Europäische Parlament angenommen wurde.1 Im Rahmen der internationalen Diskussionen der Aufsichtsbehörden war man sich darüber einig, dass Defizite in der Corporate Governance bei einer Reihe von Instituten dazu beigetragen haben, dass sie in der Vergangenheit unverhältnismäßig hohe Risiken eingingen.
Der Begriff Risikokultur ist nach Ansicht der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) kein neues Thema oder ein neuer Risikomanagementansatz. Risikokultur gilt in internationalen Arbeitsgruppen und in der Literatur bereits seit einigen Jahren als integraler Bestandteil einer guten Corporate Governance. Dazu gibt es zahlreiche Veröffentlichungen wie zum Beispiel vom Internationalen Währungsfonds2 , dem Institute of International Finance3 oder dem Forschungszentrum Centre for Analysis of Risk and Regulation4 .
Prinzipien einer Risikokultur
Auch der Basler Ausschuss für Bankenaufsicht (BCBS) hat sich mit dem Thema Risikokultur auseinandergesetzt. Im Juli 2015 publizierte der Ausschuss eine überarbeitete Fassung seiner Corporate-Governance-Prinzipien. In diesem Rahmen wird seitdem eine Definition der Risikokultur vorgenommen. Demnach ist sie "die Gesamtheit der Normen, Einstellungen und Verhaltensweisen (...) in Bezug auf Risikobewusstsein, Risikobereitschaft und Risikomanagement sowie Kontrollen, die Risikoentscheidungen gestalten. Risikokultur beeinflusst die Entscheidungen des Managements und der Mitarbeiter bei ihrer täglichen Arbeit und hat Auswirkungen auf die Risiken, die sie eingehen".5
Beim Finanzstabilitätsrat (FSB) war der Aspekt der Risikokultur in jüngster Zeit ebenfalls im Fokus. Im April 2014 veröffentlichte er einen Leitfaden hinsichtlich der Risikokultur.6 Anhand dieser Vorgaben sollen die Aufsichtsbehörden die Zuverlässigkeit und Wirksamkeit der Risikokultur von Instituten einschätzen und darauf hinwirken können, dass diese eine adäquate Risikokultur einführen. Im Leitfaden werden vier Indikatoren für eine angemessene Risikokultur aufgeführt, die auch in den Baseler Grundsätzen wiedergegeben werden:
- die Leitungskultur,
- Verantwortlichkeiten der Mitarbeiter,
- offene Kommunikation und kritischer Dialog sowie
- angemessene Anreizstrukturen.
Die Leitungskultur umfasst das Verhalten der Führungsorgane. Die Geschäftsleitung hat insofern eine Vorbildfunktion, da sich in ihrem Verhalten das Wertesystem widerspiegeln soll, das die Grundlage für das Verhalten der Mitarbeiter und die Risikokultur bildet. Dafür ist ein Verhaltenskodex zu entwickeln, der klarstellen soll, dass die Geschäftsführung von den Mitarbeitern ethisch einwandfreies Verhalten erwartet. Die Geschäftsleitung hat ebenfalls dafür Sorge zu tragen, dass das Wertesystem kommuniziert, beim Eingehen von Risiken beachtet und mit dem Risikomanagement und den internen Kontrollen verbunden wird. Neben dem Verhalten der Geschäftsleitung ist auch das der nächsten Führungsebene essenziell. Beide Ebenen sind dafür verantwortlich, Wertesystem und die Risikokultur in die weiteren Unternehmensbereiche zu überführen und dies zu kommunizieren.
Sowohl Geschäftsleitung als auch Mitarbeiter des Unternehmens haben ihre Tätigkeit am Wertesystem, am festgelegten Risikoappetit und den Risikolimiten auszurichten. Sie sollen sich über die Folgen im Klaren sein, die drohen, wenn sie die von ihnen erwarteten Verhaltensweisen nicht erfüllen, das heißt, wenn sie etwa zu hohe Risiken eingehen oder nicht akzeptable Geschäftsaktivitäten durchführen. Konsequenzen könnten zum Beispiel in arbeitsrechtlichen Maßnahmen wie Kürzungen der Boni, Abmahnungen oder im Extremfall auch Kündigungen bestehen, soweit diese Maßnahmen arbeitsrechtlich möglich sind.
Um eine adäquate Risikokultur zu fördern und zu kommunizieren, ihre Einhaltung sicherzustellen und unerwünschte Verhaltensweisen zu verhindern, sind Transparenz und offene Dialoge sowohl zwischen Geschäftsleitung und Aufsichtsorganen als auch zwischen Geschäftsleitung und den Mitarbeitern notwendig. Alle beim Unternehmen Beschäftigten müssen alternative Sichtweisen, konstruktive Ideen und Kritik offen mitteilen können. Dies bedeutet ebenfalls, dass sie Bedenken über Praktiken äußern können, die sie für illegal, unethisch oder zumindest fragwürdig halten.
Eine angemessene Risikokultur stellt somit eine Herausforderung an die Führung von Mitarbeitern dar. Essenziell für eine adäquate Risikokultur ist es, die Mitarbeiter dazu anzuhalten, sich entsprechend dem Wertesystem und dem Verhaltenskodex zu verhalten und nur innerhalb der Risikotoleranzen zu handeln. Zu diesem Zweck können materielle und immaterielle Anreize sinnvoll sein. Vor allem aber ist es unerlässlich, innerhalb des Unternehmens Überzeugungsarbeit zu leisten, um ethisch und ökonomisch wünschenswertes Verhalten weiter zu fördern.
Rahmen einer Risikokultur
Unabhängig von den beschriebenen Regelungen fehlte es bislang an einem expliziten Rahmen für eine Risikokultur. Daher sollen die Geschäftsleiter künftig durch die MaRisk verpflichtet werden, eine solche zu entwickeln, zu fördern und in das bestehende Risikomanagementsystem zu integrieren. Die Risikokultur soll den Mitarbeitern verdeutlichen, welches Verhalten erwünscht ist und welches nicht. Sie soll den Rahmen dafür bilden, welche Risiken das Unternehmen eingehen kann und welche nicht.
In die MaRisk n.F. wurde der Begriff der Risikokultur in den AT 3 Textziffer 1 Satz 4 aufgenommen.7 Im Rahmen dieser Umsetzung orientierte sich die BaFin im Wesentlichen an vorab genannten Verlautbarungen der internationalen Diskussion um die Risikokultur. Durch die Aufnahme in den allgemeinen Teil der MaRisk wird diese Anforderung für alle Unternehmen relevant, die in den Anwendungsbereich dieser Regulierung fallen und somit auch für Leasing- und Factoring-Gesellschaften. Demnach ist es eine originäre Aufgabe der Geschäftsleitung, die Entwicklung, Förderung und Integration einer angemessenen Risikokultur innerhalb des Instituts und der Gruppe umzusetzen.
Im Rahmen der zugehörigen Erläuterungen zu dieser Textziffer wird die Risikokultur wie folgt definiert: "Die Risikokultur beschreibt allgemein die Art und Weise, wie Mitarbeiter des Instituts im Rahmen ihrer Tätigkeit mit Risiken umgehen (sollen). Die Risikokultur soll die Identifizierung und den bewussten Umgang mit Risiken fördern und sicherstellen, dass Entscheidungsprozesse zu Ergebnissen führen, die auch unter Risikogesichtspunkten ausgewogen sind. Kennzeichnend für eine angemessene Risikokultur ist vor allem das klare Bekenntnis der Geschäftsleitung zu risikoangemessenem Verhalten, die strikte Beachtung des durch die Geschäftsleitung kommunizierten Risikoappetits durch alle Mitarbeiter und die Ermöglichung und Förderung eines transparenten und offenen Dialogs innerhalb des Instituts zu risikorelevanten Fragen."8 Weitere Ausführungen zur Risikokultur wurden in die MaRisk n.F. nicht aufgenommen.
Gemäß dem zugehörigen Anschreiben zum Konsultationsentwurf der BaFin9 sollen die Institute Grundsätze und Standards einführen, die eine wirksame Risikokontrolle durch die zuständigen Organe gewährleisten. Diese Prinzipien sollen eine adäquate Risikokultur auf allen Unternehmensebenen fördern. Es wird Wert darauf gelegt, dass mit dem Konzept einer Risikokultur kein neuer Risikomanagementansatz verfolgt wird. Vielmehr beinhalte dies eine Reihe von bereits vorhandenen Elementen, die im Zusammenhang mit einer angemessenen Risikokultur grundlegend sind, zum Beispiel die Festlegung strategischer Ziele und des Risikoappetits inklusive der Kommunikation dieser Ziele.
Das Ziel dieser neuen Anforderung bestehe darin, die bewusste Auseinandersetzung mit Risiken fest in der Unternehmenskultur zu verankern und sowohl bei der Geschäftsleitung als auch bei den Mitarbeitern des Instituts ein Risikobewusstsein zu etablieren, das das tägliche Denken und Agieren prägt. Dies umfasst auch einen kritischen Dialog innerhalb des Unternehmens, der von den Führungsebenen gefördert werden soll.
Eine adäquate Risikokultur setze ein offenes und kollegiales Führungskonzept voraus. Wesentlich sei es, Mitarbeiter dazu zu bringen, sich gemäß dem Wertesystem des Instituts zu verhalten und innerhalb des vorgegebenen Risikoappetits zu handeln, wozu entsprechende Anreize zu setzen sind. Wenngleich die Anforderung in AT 3 allgemeine Gültigkeit für alle Institute besitze, so sieht die BaFin dennoch vor allem große Institute mit komplexen Geschäftsaktivitäten besonders in der Pflicht, sich mit dem Thema Risikokultur intensiv auseinanderzusetzen.
Die Maßnahmen zur Erreichung der gewünschten Risikokultur sollen allen Beteiligten nicht nur vermitteln, welches Verhalten erwünscht beziehungsweise unerwünscht ist, sondern auch, welche Risiken und Geschäfte überhaupt eingegangen werden können und welche nicht. Dafür ist ein entsprechender Verhaltenskodex für Mitarbeiter eine wesentliche Voraussetzung. Deswegen werden die Institute künftig gemäß AT 5 Textziffer 3g) dazu verpflichtet, einen solchen Verhaltenskodex vorzuhalten. Dieser ist jedoch nur in Abhängigkeit von der Größe des Instituts sowie der Art, dem Umfang, der Komplexität und dem Risikogehalt der Geschäftsaktivitäten des Instituts verpflichtend zu erstellen.
Neben den MaRisk enthalten auch weitere institutsspezifische Regulierungen wie das Kreditwesengesetz und die Institutsvergütungsverordnung Anforderungen an die Corporate Governance von Finanzdienstleistungsinstituten, die dazu dienen können, um die beschriebenen Indikatoren einer angemessenen Risikokultur zu erfüllen.10
Der § 25 c Kreditwesengesetz (KWG) enthält einige Leitlinien, die für die Entwicklung einer adäquaten Risikokultur dienlich sein können. Die Geschäftsleiter eines Instituts haben etwa Grundsätze einer ordnungsgemäßen Geschäftsführung zu beschließen, worin bereits die Risikokultur berücksichtigt werden sollte. Darüber hinaus haben sie für eine angemessene Unternehmensstruktur zu sorgen, die sich an den Strategien des Instituts ausrichtet sowie sicherstellt, dass die Geschäftsstrategie an der nachhaltigen Entwicklung ausgerichtet und die Risikostrategie mit dieser konsistent ist. Im Rahmen der Bestimmung des Risikoappetits wird eine bewusste Entscheidung darüber getroffen, in welchem Umfang das Institut bereit ist, Risiken einzugehen, um die gesetzten strategischen Ziele zu erreichen.
Der § 25 a KWG schreibt den Instituten im Rahmen der ordnungsgemäßen Geschäftsorganisation etwa vor, ein adäquates Internes Kontrollsystem zu implementieren, das auf - bau- und ablauforganisatorische Regelungen mit genauer Definition der Verantwortlichkeiten sowie Prozesse zur Identifizierung, Beurteilung, Steuerung sowie Überwachung und Kommunikation der Risiken umfasst. Darüber hinaus sind die Vergütungssysteme so zu gestalten, dass sie angemessen, transparent und auf eine nachhaltige Entwicklung des Instituts ausgerichtet sind, was durch die Institutsvergütungsverordnung konkretisiert wird. Außerdem muss gemäß § 25 a KWG ein Prozess eingerichtet werden, der es den Mitarbeitern - gegebenenfalls anonym - ermöglicht, Verstöße und strafbare Handlungen innerhalb des Unternehmens berichten zu können.
Neue Herausforderung für Unternehmen?
Grundsätzlich stellt die Etablierung einer adäquaten Risikokultur eine neue Herausforderung für Leasing- und Factoring-Gesellschaften dar. Dennoch sind vor allem solche Aussagen seitens der Aufsichtsbehörden für diesen Adressatenkreis besonders wichtig:
- Mit dem Konzept einer Risikokultur wird kein neuer Risikomanagementansatz angestrebt.
- Kennzeichnend für eine angemessene Risikokultur ist vor allem das klare Bekenntnis der Geschäftsleitung zu risikoangemessenem Verhalten.
- Ein entsprechender Verhaltenskodex für Mitarbeiter ist ein wesentlicher Baustein der Risikokultur (unter Beachtung der Größe des Instituts sowie der Art, dem Umfang, der Komplexität und dem Risikogehalt der Geschäftsaktivitäten).
- Die Mitarbeiter sind dazu anzuhalten, sich entsprechend dem Wertesystem und dem Verhaltenskodex zu verhalten und innerhalb der Risikotoleranzen zu handeln. Zu diesem Zweck können materielle und immaterielle Anreize sinnvoll sein.
- Vor allem große Institute mit komplexen Geschäftsaktivitäten stehen besonders in der Pflicht, sich mit dem Thema Risikokultur intensiv auseinanderzusetzen.
In der Praxis sollten somit Leasing- und Factoring-Gesellschaften als einen der ersten Schritte alle bestehenden Elemente des Risikomanagementsystems einer erneuten Überprüfung unterziehen, ob diese in Einklang mit den neuen Anforderungen stehen. Da eine klare Positionierung der Geschäftsleitung zu einer adäquaten Risikokultur verlangt wird, sollte dies in der Folge entsprechend dokumentiert werden.
Dies kann etwa durch ein Statement an alle Mitarbeiter, zum Beispiel via E-Mail, Dokumentation im Intranet des Instituts oder Ansprache bei entsprechenden Mitarbeiterversammlungen, geschehen. Auch im Außenauftritt der Gesellschaft, zum Beispiel auf der Homepage oder auf entsprechenden Werbebroschüren oder anderen Publikationen kann eine entsprechende Positionierung sinnvoll sein, um das Bekenntnis zu einer adäquaten Risikokultur entsprechend zu dokumentieren.
Solche Ausführungen sollten auch in die schriftlich fixierte Ordnung beziehungsweise das Organisationshandbuch des Instituts an prominenter Stelle übernommen werden. Zentraler Bestandteil dieser Organisationsrichtlinien hat, unter Beachtung der Größe des Instituts sowie der Art, dem Umfang, der Komplexität und dem Risikogehalt der Geschäftsaktivitäten, künftig ein Verhaltenskodex für die Mitarbeiter zu sein, der aber auch ohne diese zwingende Anforderung bereits bei einigen Leasing- und Factoring-Gesellschaften vorliegt.
Selbst wenn keine zwingende Verpflichtung für sämtliche Leasing- und Factoring-Gesellschaften implementiert wurde, ist zu überlegen, ob solch ein Kodex nicht zumindest in einer kurzen, einfach strukturierten Form eingeführt werden sollte. Innerhalb dieser Organisationsrichtlinien muss ein wirksames Anreizsystem geschaffen werden, das die Mitarbeiter dazu anhält, sich an das Wertesystem und den Verhaltenskodex zu halten.
Die Meldung von möglichen Verstößen sollte gegebenenfalls noch weiter gefördert werden, als dies schon bislang in Hinweisgebersystemen verankert ist. Dies könnte etwa durch die Prämierung von gemeldeten Verstößen erfolgen, sofern diese auch eine belastbare Grundlage haben. Auf der anderen Seite müssen Mitarbeiter stärker gefördert werden, die Standpunkte und Ideen einbringen, die die Einhaltung des Verhaltenskodex gewährleisten.
Es muss ein System implementiert werden, dass auch entsprechende (zeitnahe) Rückmeldungen an die meldenden Mitarbeiter vorsieht. Es darf keine Unternehmenskultur vorherrschen, in der solche Mitarbeiter als Denunzianten eingestuft werden. Ebenso müssen Verstöße gegen die Risikokultur noch stärker geahndet werden, als dies schon ohnehin der Fall ist, wobei die entsprechenden arbeitsrechtlichen Restriktionen zu beachten sind.
Die Förderung einer offenen und kritischen Kommunikation innerhalb des Instituts kann durch verschiedene Maßnahmen flankiert werden. Zusätzlich zu den turnusmäßigen Personalgesprächen, bei denen in der Regel der Mitarbeiter eine Beurteilung durch seinen Vorgesetzten erhält, kann ein sogenanntes Upward-Feedback, das heißt eine Beurteilung des Vorgesetzten durch den Mitarbeiter, eingeführt werden.
Es könnten auch turnusmäßig tagende Arbeitsgruppen eingerichtet werden, die aus Mitarbeitern verschiedener Ebenen des Instituts besetzt sein könnten, um den aktuellen Stand der Umsetzung der Risikokultur zu besprechen. Darüber hinaus können - eine entsprechende Größe des Instituts vorausgesetzt - auch spezielle Stellenprofile geschaffen werden, die sich schwerpunktmäßig mit der Umsetzung einer angemessenen Risikokultur beschäftigen, wie zum Beispiel eine eigene Stabsstelle oder einen Referenten für Ethik- und Verhaltensfragen beziehungsweise eine zusätzliche Stelle innerhalb des Risikomanagements. Auch eine entsprechende Einbindung von Aufsichts- oder Verwaltungsorganen sollte in Erwägung gezogen werden.
Insgesamt bleibt festzuhalten, dass die Auswirkungen der Etablierung einer Risikokultur für Leasing- und Factoring-Gesellschaften zwar auf einem noch überschaubaren Maß bleiben sollten. Es wird jedoch nicht reichen, lediglich entsprechende Ausführungen in die Arbeitsanweisungen oder Handbücher aufzunehmen.
Neuer einheitlicher Rahmen
Mit der Forderung nach der Etablierung einer adäquaten Risikokultur haben die Aufsichtsbehörden einen neuen Begriff in die MaRisk eingeführt. Hintergrund sind langjährige Diskussionen auf internationaler Ebene über die Gründe von Fehlverhalten in Instituten. Damit wird kein neuer Ansatz für das Risikomanagement von Instituten angestrebt, sondern es geht vor allem darum, alle bisherigen Instrumente in einen neuen einheitlichen Rahmen zu fügen und neue Anreize für ein risikobewussteres Verhalten von Geschäftsleitern und Mitarbeitern zu setzen.
Als zentrale Maßnahmen sind durch die Leasing- und Factoring-Gesellschaften eine klare Positionierung der Geschäftsleitung hinsichtlich einer adäquaten Risikokultur, gegebenenfalls ein Verhaltenskodex für alle Mitarbeiter, eine Aufnahme der Risikokultur in die schriftlich fixierte Ordnung sowie Anreize für ein zu diesen Maßnahmen passendes Verhalten der Mitarbeiter zu setzen. Es bleibt abzuwarten, ob die Aufsicht diese Anforderungen künftig noch weiter konkretisieren wird.
1) Vgl. im Folgenden Steinbrecher unter www.bafin.de, Abruf: 7. September 2017.
2) Vgl. IMF, unter www.imf.org, Abruf: 13. September 017.
3) Vgl. IIF, unter www.iif.com, Abruf: 13. September 2017.
4) Vgl. CARR unter www.lse.ac.uk, Abruf: 13. September 2017.
5) Vgl. BCBS unter ww.bis.org, Abruf: 7. September 2017.
6) Vgl. FSB unter www.fsb.org, Abruf: 7. September 2017.
7) Vgl. BaFin unter www.bafin.de, Abruf: 2. November 2017.
8) Vgl. BaFin unter www.bafin.de, Abruf: 2. November 2017.
9) Vgl. BaFin unter www.bafin.de, Abruf: 7. September 2017.
10) Vgl. Steinbrecher unter www.bafin.de, Abruf: 13. September 2017.
