Spätestens mit Inkrafttreten der jüngsten MaRisk-Novelle müssen Banken ein explizites Rahmenwerk für die Risikokultur schaffen. Dieses sollte nicht als Insellösung, sondern als integraler Bestandteil des Risikomanagements gesehen werden, welches insbesondere auch Verbindungen zwischen Non-Financial Risks und Financial Risks herstellt.
Conduct-Themen infolge der Finanzmarktkrise haben zu geschätzten Verlusten in Höhe von 350 bis 470 Milliarden US-Dollar geführt.1) In dem Zusammenhang ist die Risikokultur in den Blickpunkt von Aufsichtsbehörden und weiterer Interessengruppen gerückt.
Die Risikokultur wird unter anderem vom Baseler Ausschuss für Bankenaufsicht als zentrales Element einer guten Governance erkannt. "A fundamental component of good governance is a corporate culture of reinforcing appropriate norms for responsible and ethical behaviour. These norms are especially critical in terms of a bank's risk awareness, risk-taking behaviour and risk management (i.e. the bank's risk culture)."2)
Fundament guten Risikomanagements
Risikokultur kann dabei definiert werden als "Die Normen, Einstellung und Verhaltensweisen eines Instituts in Zusammenhang mit Risikobewusstsein, Risikobereitschaft und Risikomanagement sowie die Kontrollen, die für Entscheidungen über Risiken maßgeblich sind. Die Risikokultur beeinflusst die Entscheidungen der Geschäftsleitung und der Mitarbeiter im Tagesgeschäft und hat Auswirkungen auf die Risiken, die sie eingehen."3)
Der Aufbau einer soliden Risikokultur sollte als Fundament guten Risikomanagements verstanden werden. Hierzu zählt insbesondere die Verringerung des Governance-Risikos, was sich sowohl kurz- als auch langfristig positiv auswirkt. Auch die Verzahnung mit allen relevanten Risikothemen ist wesentlich für die Funktionsfähigkeit:
"Institute sollten eine integrierte und institutsweite Risikokultur auf der Grundlage eines umfassenden Verständnisses und einer ganzheitlichen Sicht ihrer Risiken und deren Management entwickeln, wobei auch dem Risikoappetit des Instituts Rechnung zu tragen ist. Institute sollten eine Risikokultur mittels Richtlinien, Kommunikation und Fortbildungen der Mitarbeiter bezüglich der Tätigkeiten, Strategie und des Risikoprofils des Instituts entwickeln und Kommunikation und Mitarbeiterfortbildungen anpassen, um der Verantwortung der Mitarbeiter bezüglich Risikoappetit und Risikomanagement Rechnung zu tragen."4)
In die MaRisk-Novelle vom Oktober 2017 ist das Thema Risikokultur aufgenommen worden, jedoch mit einem geringen Detaillierungsgrad. "Entwicklung, Förderung und Integration einer angemessenen Risikokultur innerhalb des Instituts und der Gruppe"5) werden als Teil der Verantwortlichkeit der Geschäftsleiter im Rahmen des Risikomanagements aufgezählt.
Wie erwähnt wird Risikokultur einerseits oft im engen Zusammenhang mit Conduct Risk thematisiert. Andererseits ist auch die Wiederherstellung einer hohen Reputation von Banken eine wesentliche Zielstellung der Verbesserung der Risikokultur. Beide Risikoarten gehören zum weiten Feld der Non-Financial Risks (Operationelle Risiken mit zahlreichen Unterkategorien wie Conduct Risk, Cyber Risk und Compliance Risk sowie Reputationsrisiken und Geschäftsrisiken beziehungsweise strategische Risiken).6)
Risikokultur und Non-Financial Risks
Non-Financial Risks entstehen oft durch bewusstes oder unbewusstes Fehlverhalten von Mitarbeitern, nicht nur, aber insbesondere im Umgang mit Kunden. Verhaltensweisen werden durch Einstellungen geprägt. Diese wiederum bilden sich durch Vorbilder (tone from the top), aber auch durch Nachahmen der Verhaltensweisen im unmittelbaren Arbeitsumfeld heraus - "the way things are done around here".
Eine gute Risikokultur hilft, diese oft schwer quantifizierbaren Risiken greifbarer zu machen. Das Erkennen von und der richtige Umgang mit operationellen Risiken - insbesondere Boundary Events und Beinaheverlusten - erfordern von allen Mitarbeitern ein Risikobewusstsein (einschließlich einer adäquaten Fehlerkultur), das durch eine gute Risikokultur ebenfalls gestärkt wird.
Im Zusammenhang mit Cyberrisiken wird immer stärker klar, dass die technischen Möglichkeiten zu deren Begrenzung nur dann wirksam sind, wenn auch der Faktor Mensch hinreichend berücksichtigt wird (etwa das Öffnen kompromittierter Dateien, Passwortweitergabe).
Risikokultur und finanzielle Risiken
Finanzielle Risiken (im Wesentlichen Marktrisiken, Kreditrisiken und Liquiditätsrisiken) sind in Bezug auf Risikokultur noch nicht so stark im Blickfeld. Sie werden seit langer Zeit sehr granular limitiert und gesteuert. Limitsysteme sind quantitativ (Value-at-Risk-basiert) ausgelegt und werden um Einzelvorgaben (wie beispielsweise Black Lists) ergänzt. Solche Risikostrategien beziehungsweise Risikoappetit-Statements sind vergleichsweise einfach zu treffen.
Jedoch können Großverluste in diesen Risikoarten oft in Verbindung mit einer unzureichenden Risikokultur gebracht werden. Beispiele hierfür sind riskante Handelsstrategien (London Whale) oder Großkredite, die ohne die erforderliche Sorgfalt oder teilweise sogar unter Umgehung interner Vorgaben vergeben werden.
Die übergeordneten Prinzipien und das definierte Wertesystem scheinen hier teilweise zugunsten von Umsatzgenerierung und kurzfristiger Schaffung von Gewinnen in den Hintergrund zu treten (Rules versus Principles). Mit einer guten Risikokultur wird somit auch ein Umfeld für einen offenen und zielgerichteten Umgang mit finanziellen Risiken geschaffen.
Verbindung zwischen Non-Financial und Financial Risks
Alle Mitarbeiter einer Bank müssen Kenntnisse über die Risikostrategie und die darin ausgedrückten Risiken haben, um einheitlich in ihrem jeweiligen Bereich Entscheidungen bewusst und in Einklang mit dem Wertesystem, der Risikophilosophie und dem Risikoappetit treffen zu können. Das Erfassen sowie die Überprüfung und Kommunikation von Risiken sollten ein gängiges Element der täglichen Arbeit sein.
Insbesondere hilft eine gut verankerte, aussagekräftige Risikokultur, Vorgaben aus der Risikostrategie über Risikoappetit-Aussagen greifbar zu machen. Dabei können die als Leitlinien und Grundprinzipien formulierten Vorgaben je nach Risikoart durch quantitative (beispielsweise Value-at-Risk-Limits), semiquantitative (beispielsweise Kennzahlen/Risikoindikatoren) oder qualitative Risikoappetit-Aussagen konkretisiert werden.
Eine gute Risikokultur ermöglicht Mitarbeitern auf allen Verantwortungsstufen, die strategischen Vorgaben im Umgang mit allen Risiken zu erkennen und im Tagesgeschäft umzusetzen. Gleichzeitig ermöglicht sie durch offene Kommunikation bis hin zu Hinweisgebersystemen, Missstände aufzudecken und Abweichungen transparent zu machen.
Somit werden die Barrieren zwischen den relativ gut messbaren Financial Risks und den eher schwer messbaren Non-Financial Risks durch übergreifende Prinzipien, die situativ interpretiert und konkretisiert werden, reduziert. Dies ist insbesondere vor dem Hintergrund der immer stärkeren Verzahnung der Risikoarten wünschenswert.7)
Die Prüfung einer adäquaten Risikokultur ist Gegenstand der aufsichtlichen Beurteilung unter Säule II. "Competent authorities should assess whether the institution has a sound corporate and risk culture that is adequate for the scale, complexity and nature of its business, and is based on sound, clearly expressed values that take into account the institution's risk appetite" (EBA 2014).
BaFin-Präsident Felix Hufeld betont im Anschreiben zur MaRisk-Novelle vom Oktober 2017 jedoch zu Recht den betriebswirtschaftlichen Nutzen der Etablierung einer angemessenen Risikokultur: "Mir ist bewusst, dass das Thema Risikokultur nur schwer greifbar ist und eine angemessene Risikokultur gelebt werden muss. Regularien, aber auch dem Instrumentarium der Prüfung sind hier in meinen Augen Grenzen gesetzt.
Nichtsdestotrotz wird sich die Aufsicht im Laufe der Zeit ein Bild machen und auch machen müssen, wie es um die Risikokultur in den jeweiligen Instituten bestellt ist, und bei Instituten, bei denen an dieser Stelle Nachholbedarf angezeigt erscheint, das direkte Gespräch mit den Geschäftsleitern suchen. Ich möchte aber an dieser Stelle an alle Institute appellieren, die Anforderungen an eine Risikokultur als ein wesentliches Werkzeug für ein angemessenes Risikomanagement zu begreifen und dieses auch zu nutzen."8)
Somit sollten Banken bei der Überarbeitung ihrer Risikokultur-Rahmenwerke primär auf die positiven Wirkungen auf das Risikomanagement und nicht so sehr auf bürokratische Strukturen zur Erfüllung aufsichtsrechtlicher Anforderungen setzen.
Ein ganzheitlicher Ansatz
Banken haben in der Vergangenheit selbst erkannte beziehungsweise von der Aufsicht und anderen Stellen monierte Schwächen oft isoliert gelöst. Dabei sind Verbindungen zwischen den Themen nicht häufig adressiert worden. Risikokultur sollte nicht als weitere isolierte "Baustelle", sondern als ganzheitlicher Ansatz zur Verbesserung des Risikomanagements gesehen werden. Die Risikokultur eines Institutes hat direkten Einfluss auf das Handeln, Verhalten und die Entscheidungsfindung jedes einzelnen Mitarbeiters und ist damit maßgeblich für die Umsetzung von Risikomanagementzielen.
"Cultural capital is an intangible asset. It cannot be touched or held like machinery and other physical assets, but its value to an organisation can be measured and assessed, and ultimately influenced. Like physical or human capital, cultural capital is an input in a firm's production function. It affects the type of goods and services a firm provides and how it produces them. Although it is not loss absorbing like equity capital, it can be loss preventing - influencing decisions, behaviours, and reducing misconduct risk."9)
Die Risikokultur kann und sollte dazu genutzt werden, einen einheitlichen Rahmen für alle Risikoarten - Financial und Non-Financial - unabhängig von deren Quantifizierbarkeit, zu schaffen.
Literaturverzeichnis
Bundesanstalt für Finanzdienstleistungsaufsicht, Rundschreiben 09/2017 (BA), Mindestanforderungen an das Risikomanagement - MaRisk, Bonn 2017 (BaFin 2017)
Bundesanstalt für Finanzdienstleistungsaufsicht, Anlage zu Rundschreiben 09/2017 (BA), Mindestanforderungen an das Risikomanagement - MaRisk, Anschreiben an die Verbände, Bonn 2017 (BaFin 2017b)
Basel Committee on Banking Supervision, Corporate governance principles for banks, Basel 2015 (BIS 2015)European Banking Authority, Guidelines on common procedures and methodologies for the supervisory review and evaluation process (SREP), London 2014 (EBA 2014)
European Banking Authority, Guidelines on internal governance under Directive 2013/36/EU, London 2017 (EBA 2017)
Financial Conduct Authority, Transforming Culture in Financial Services, London 2018 (FCA 2018)
Group of Thirty, Banking Conduct and Culture: A Call for Sustained and Comprehensive Reform, Washington 2015 (G30 2015)
Group of Thirty, Banking Conduct and Culture. A Permanent Mindset Change, Washington 2018 (G30 2018)
Kaiser, Thomas: Management von Non-Financial Risks, Die Bank, 12.2015 (Kaiser 2015)
Kaiser, Thomas: Reputationsrisiken, Step-in-Risiken und klimabezogene Risiken als Katalysatoren in der Risikolandschaft, FIRM Jahrbuch 2019, Frankfurt 2019 (Kaiser 2019)
Kaiser, Thomas/Mark Wahrenburg: "Strategie und Governance als Grundlage effektiven Risikomanagements" in Handbuch Corporate Governance von Banken, 2. Auflage, München 2019 (in Vorbereitung) (Kaiser/Wahrenburg 2019)
Fußnoten
1) G30 2018
2) BIS 2015
3) EBA 2017
4) EBA 2017
5) BaFin 2017
6) siehe Kaiser 2015
7) siehe hierzu auch Kaiser 2019
8) BaFin 2017b
9) FCA 2018