Die Bankenaufsicht betont in ihrem Entwurf zu den überarbeiteten Mindestanforderungen an das Risikomanagement die Bedeutung der Risikokultur. Gute und vor allem skeptische Gespräche über das, was das Top-Management wirklich möchte, sollen Mitarbeiter stärker befähigen sich aktiv am Risikomanagement zu beteiligen. Ein institutsinterner Verhaltenskodex soll das Rahmenwerk sein. Doch wie kann ein Aufsichtsorgan oder ein Prüfer die Güte der Risikokultur erkennen und woran lässt sich arbeiten?

I. Risikokultur ist auch Chancenkultur

Wie unternehmerisches Denken, Innovationsfähigkeit und ein bewusstes Agieren aller Beteiligten in Unternehmen durch die Führung kulturell gefördert werden kann, ist eine Frage, die nicht nur Kreditinstitute betrifft. Das Nutzen von Chancen und der professionelle Umgang mit Wagnissen entscheiden über die Wettbewerbs- und Zukunftsfähigkeit jedes Unternehmens, über die auch Aufsichtsräte wachen. Das weiß auch die Bankenaufsicht. Ein Eingriff in die Geschäftspolitik ist für Aufseher rechtlich ein Tabu, das Wachen über die Güte des Risikomanagements von Banken ist hingegen zentraler Auftrag. Um Risiken beherrschen und aktiv steuern zu können, ist die Kulturfrage der Gradmesser. Was sich aufgrund des definierten Auftrags der Bankenaufsicht auf das Risikomanagement beschränkt, kann und darf in der Praxis einen größeren Nutzen entfalten. Risikokultur ist eine Chance.

II. Bankaufsichtliche Hintergründe

1. MaRisk-Konsultation 2016

Im Februar legte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ihren Entwurf für die Novellierung der vor rund zehn Jahren eingeführten Mindestanforderungen an das Risikomanagement der Kreditinstitute (MaRisk) vor. Risikodatenaggregation sowie Berichterstattung, Risikokultur und Auslagerungen sind die großen Überschriften, welche adressiert und in der laufenden Konsultation diskutiert werden. Das Ergebnis der Konsultationen steht zwar noch aus, doch unterstreicht die Aufsicht: Die Forderungen zur Risikokultur sind im Kern nicht neu. Aufgrund der europäischen Vorgaben sowie der schon jetzt bestehenden Prüfungsrelevanz im bankaufsichtlichen Überprüfungsprozess geht es bei der Ausgestaltung nicht mehr um das Ob, sondern mehr um das Wie und Was in der Umsetzung.

2. Kultur als Herausforderung

Vorbehaltlich der Ratifizierung deuten die Ausführungen im Anschreiben der BaFin auch darauf hin, dass diese mit der erlebten Umsetzung der MaRisk-Philosophie noch nicht vollends glücklich ist. Genau hier liegt die große Herausforderung für alle Beteiligten gleichermaßen: Kultur lässt sich nur schwerlich mit Umsetzungsleitfäden und Checklisten regeln. Entsprechend hoch ist die Unsicherheit, wenn diese – wie von der BaFin angestrebt – per Verhaltenskodex definiert, eingehalten und geprüft werden soll. Das betrifft auch Aufsichtsräte, welche letztlich ebenso darüber zu wachen haben wie interne und externe Prüfer. Zu Recht fragt das Institut der Wirtschaftsprüfer (IDW) etwas genauer nach und bittet um konkretisierende Hinweise, welche die Prüfungssicherheit erhöhen sollen.

III. Sichtweise im Aufsichtsrecht

1. Präventive Überwachungsmentalität

Als maßgebliches europäisches Rahmenwerk für die Ausgestaltun der Risikokultur gelten die „Guidance on Supervisory Interaction with Financial Institutions on Risk Culture“ des Financial Stability Board (FSB). Wesentlicher Ausgangspunkt des Dokuments ist die Zielsetzung einer präventiven Überwachungsmentalität. Risikokultur soll stärker an der Ursache ansetzen und vorausschauend wirken. Das beginnt in dem Moment, wo Geschäfte abgeschlossen und Risiken eingegangen werden. Es geht also weniger darum, die Risiken nur zu messen und bei Bedarf Handlungsimpulse abzuleiten, sondern darum, das gesamte Steuerungssystem von vornherein auf die individuell definierten Ziele und Motivationen und die Risikobereitschaft des Managements abstimmen zu können. Diese Abstimmung ist letztlich eine umfassende Kommunikationsaufgabe, weshalb die Risikokultur hier so entscheidend ist.

2. Die vier Indikatoren der Risikokultur

Das FSB nennt exemplarisch vier Indikatoren, welche die gewünschte Risikokultur auszeichnen.

  • Tone from the top: Das Management als Ausgangspunkt für die Kommunikation von Erwartungshaltungen, Risikobereitschaft, Werten und Risikokultur.
  • Accountability: Beteiligte Führungskräfte und Mitarbeiter auf allen Ebenen werden zu einer bewussten und verantwortungsvollen
    Ausübung ihrer Funktion ermächtigt, indem Werte und Ziele im Risikomanagement bekannt und verstanden sowie Zuständigkeiten geklärt sind.
  • Effective communication and challenge: Förderung einer offenen und kritischen Kommunikation mit Challenge-Kultur in Entscheidungsprozessen, welche zum Einbringen unterschiedlicher Perspektiven motiviert.
  • Incentives: Anreizsysteme, welche im Einklang mit den verfolgten Risikomanagement-Ansätzen stehen und das Einhalten der angestrebten Risikokultur fördern.

Doch das FSB betont auch, dass die genannten Punkte nicht isoliert betrachtet, sondern die Funktionsfähigkeit und Wirksamkeit des Ganzen gesehen und permanent reflektiert werden müssen. Das gilt gleichermaßen für die Auswahl und Weiterentwicklung von Indikatoren durch die Aufsicht selbst. Der gemeinsame rote Faden dabei ist, dass die genannten Indikatoren alle ein Ziel verfolgen: die Gewinnung einer umfassenden, interaktiven, offenen und kritischen Auseinandersetzung mit Risiken und die Unterstützung zügiger Eskalations- und Steuerungsprozesse im Risikofall selbst. Bereichsgrenzen und Hierarchieebenen sollen und dürfen hier keine Hindernisse in der Kommunikation sein.

IV. Impulse für eine wirksame Risikokultur

Auf welche Aspekte und Sachverhalte können Aufseher in der Praxis nun besonderes Augenmerk richten, um kritische Dialoge wirklich zu fördern? Aus meiner Erfahrung sollen einige Anregungen gegeben werden.

1. Umgang mit Zielen und Absichten im Strategiekontext.

Der englischsprachige Bestseller „Start With Why“ von S. Sinek trifft den Nagel in der Kommunikationskultur wohl auf den Kopf. Die Botschaft ist einfach: Wir sollten mehr darüber sprechen, wozu wir Dinge tun und was wir bezwecken wollen. Um es zu veranschaulichen: Ist es Ihre Absicht, bei Sonne und Meeresrauschen zu entspannen, kann die Adria ebenso ausgemachtes Ziel sein wie die Ostsee.

Soll der kritische Dialog in einem Institut gefördert werden, ist die Festlegung und Kommunikation der Absichten entscheidend. Nur so werden die Beteiligten überhaupt ermächtigt, kritisch zu hinterfragen und zu diskutieren, ob der eingeschlagene Weg nicht nur im Detail (z.B. in Bezug auf einen Unternehmensbereich oder eine Risikoart), sondern auch im größeren Kontext noch zielführend ist. Sowohl die Güte von Strategien, deren Kommunikation und Verständnis als auch der Zugriff auf Strategien sind für alle am Risikomanagement beteiligten Personen und Bereiche daher unerlässlich, um das eigene Handeln und dessen Auswirkungen nicht nur fragmentarisch, sondern im Gesamtzusammenhang einordnen und diskutieren zu können.

2. Die Challenge mit der Ampel.

Dass zentrale Limits und gesetzlich vorgegebene Kennziffern einzuhalten sind, steht außer Frage. Wer die Challenge möchte, der braucht dennoch Steuerungssysteme, die greifen. Die Qualität eines guten Risikomanagements zeigt sich nicht zwingend darin, dass alle Ampeln permanent grün zeigen. Gelegentlich ist eine ehrliche gelbe oder rote Ampel die bessere Ampel. Dies soll nicht dazu aufrufen, Ampeln zu ignorieren. Vielmehr geht es darum, dass ein gutes Management ehrliche und auch ambitionierte Grenzen braucht. Nicht jede Bewegung an diesen Grenzen ist Zeichen eines schlechten Managements, denn genau an diesen Grenzen beginnt kritischer und konstruktiver Diskurs in der Praxis, welcher gefördert werden muss. Das einheitliche und institutsweite Verständnis des Umgangs mit Limits und Ampeln muss daher klar definiert sein, um allen Beteiligten auch Sicherheit zu geben.

3. Der kritische Dialog und das Machtgefälle

Machtgefälle, welche in hierarchisch organisierten Unternehmen zwangsläufig vorliegen, sind wohl der Hauptgrund, weshalb die kritische Auseinandersetzung gelegentlich zu kurz kommt. Die Gründe sind vielfältig. Manchmal sind Ängste vor offenen Worten objektiv berechtigt, manchmal herrschen diese auch völlig zu Unrecht. Deshalb ist es umso wichtiger, bestehende Machtgefälle offen anzusprechen und diesen durch Kommunikation entgegenzuwirken. Das gilt bei Weitem nicht allein zwischen Vorständen, Führungskräften und Mitarbeitern, sondern auch für Aufsichtsorgane, externe Prüfer und den Kontakt zur Bankenaufsicht selbst. Für eine kritische Auseinandersetzung ist eine Vertrauenskultur unerlässlich, welche den inhaltlichen Diskurs ohne Sanktionen zulässt.

4. Aufsichtsräte zwischen Offenheit und Intervention

Um eine wirksame Risikokultur zu etablieren, müssen Aufsichtsorgane eine Doppelfunktion erfüllen: einerseits die wirksame Überwachung der Risikokultur im Institut und andererseits das interne Leben dieser im Gremium selbst. Das erfordert einen geschützten Rahmen, in welchem Disput möglich ist. Dennoch darf die Überwachungsfunktion, welche im Einzelfall auch Interventionen erfordert, nicht darunter leiden. Hierfür sind ein gemeinsames Selbstverständnis sowie klar kommunizierte und dokumentierte Spielregeln im Gremium wichtig. Ein interner Kodex zur Risikokultur im Aufsichtsgremium kann allen Beteiligten Sicherheit geben, Offenheit fördern und den „tone from the top“ unterstützen. Zusammenfassend braucht Risikokultur in vielen Bereichen eine eher sportliche Einstellung bei der inhaltlichen Auseinandersetzung mit Geschäften, Chancen und Risiken. Sie bewegt sich somit zwangsläufig am Rande der Komfortzone aller Beteiligten. Nur, wenn der Dialog herausfordernd ist, lässt sich unternehmerisch und menschlich daran wachsen.


erschienen im Rahmen der MaRisk-Konsultation in: Der Aufsichtsrat (07-08/2016), Verlag Handelsblatt Fachmedien.

MaRisk 2017: Kodex zur Risikokultur in Banken