Überwachung auf allen Ebenen?

MaRisk konkretisiert Anforderungen an eine angemessene Risikokultur

Keyfacts:

  • Mit der 5. MaRisk-Novelle wurden deutsche Institute 2017 erstmals dazu aufgefordert, eine angemessene Risikokultur zu entwickeln, zu fördern und diese innerhalb des Instituts zu integrieren.
  • Die 7. MaRisk-Novelle fordert nun zusätzlich Verfahren, mit denen die Einhaltung der gewünschten Risikokultur durch die Mitarbeitenden überwacht und Maßnahmen, durch die Mängel behoben werden können.
  • Um solche Überwachungsverfahren zu entwickeln, muss untersucht werden, wie sich Risikokultur im Verhalten von Mitarbeitenden manifestiert und wie kulturelle Grundlagen im Unternehmen etabliert und gestärkt werden können.
  • Anhand einer solchen tiefgehenden Analyse können Banken Risikokultur als Instrument verstehen, welches das Vertrauen der eigenen Stakeholder aufbaut und damit die Resilienz des Instituts in einem rasant voranschreitenden, immer dynamischeren und komplexeren Marktumfeld stärkt.

Mangelhafte Risikokultur als Ursache für Krisen und Skandale

Defizite in der Unternehmensführung, mangelhafte kulturelle Grundlagen und ethisches Versagen wurden im Nachgang der Finanzkrise 2008 unter anderem als Hauptursachen identifiziert. Auch weitere, zahllose Skandale in den weiteren Jahren rückten die Themen Risikokultur und risikoadäquates Verhalten im Finanzdienstleistungssektor immer wieder in das Interesse der Öffentlichkeit. Das Vertrauen in die Finanzmarktbranche wird immer wieder erschüttert und lässt sich nur schwer wieder aufbauen.

Mit der 5. MaRisk-Novelle wurden erstmals 2017 Richtlinien zur Entwicklung, Förderung und Integration der Risikokultur in die deutsche Bankenregulatorik aufgenommen. Daraufhin haben die meisten deutschen Banken Stellungnahmen zu ihrer Risikokultur entwickelt und diese als eigenständige Risikokulturdokumente oder als Kapitel in der Risikostrategie in ihre schriftlich fixierte Ordnung aufgenommen. Problematisch hierbei: Die meisten dieser Stellungnahmen gehen nicht über Absichtserklärungen oder Aufzählungen von Kontrollmechanismen, Kommunikationsmitteln oder Limitsystemen hinaus. Zur Förderung risikoadäquaten Verhaltens reicht das aber nicht aus. Eine Verbindung zu den Unternehmenswerten oder eine konkrete Übersetzung in Verhaltensanforderungen sind selten. Noch seltener zu beobachten sind Überwachungsmechanismen und die regelmäßige Berichterstattung über risikobezogenes Verhalten. Die Absicht der Aufsichtsbehörden – die Stärkung risikoadäquaten Verhaltens – scheint in Anbetracht der nicht abfallenden Zahl der Skandale im Bankensektor mit den bisherigen Anforderungen nicht erfüllt worden zu sein. 

Der entscheidende Unterschied

Als Konsequenz hierauf konkretisiert die Bankenaufsicht ihre Anforderungen an die Risikokultur nun mit der 7. MaRisk-Novelle: Um diesen Anforderungen gerecht zu werden, muss die Geschäftsleitung ein Verständnis über die vorherrschende Kultur entwickeln, die gewünschte Kultur klar formulieren, Methoden einführen, um diese zu überwachen und beeinflussen zu können und sich regelmäßig Bericht erstatten lassen.

Allumfassende Überwachung als Weg zum Ziel?

Müssen Banken nun ihre Mitarbeitenden auf Schritt und Tritt überwachen, Kameras und Keyloggers installieren? Eine solche allumfassende Überwachung liegt sicher nicht in der Absicht der Aufsicht.

Vielmehr ist die Untersuchung, in welchen Verhaltensweisen sich die vorherrschende Risikokultur manifestiert, ein unverzichtbarer Schritt auf dem Weg zu einer sinnvollen Überwachung. Das kann schon mit der Frage beginnen, ob alle Regeln, Strategien und Arbeitsanweisungen präzise, konkret und vollständig sind, sodass Klarheit über erwünschtes und unerwünschtes Verhalten besteht. Nur wer ein klares Bild der aktuell vorherrschenden Kultur im Haus hat, kann auch Maßnahmen entwickeln, deren Angemessenheit zu stärken. Eine Prävention von Fehlverhalten beginnt mit der kritischen Auseinandersetzung mit dem eigenen Fehlverhaltensrisiko.

Schrittweise Implementierung und Weiterentwicklung eines Kulturrahmenwerks

Daher sollte eine Überprüfung der bestehenden Kultur als erster Schritt in einem Kreislaufmodell (siehe Abbildung 1) verstanden werden, anhand dessen die gewünschte Kultur im Haus implementiert und stetig weiterentwickelt werden kann. Eine erste Untersuchung kann durch eine Kombination aus Interviews, Mitarbeiter-Befragungen und Desk Research durchgeführt werden.

Bei der Formulierung der Zielkultur genügen wohlklingende Absichtserklärungen nicht mehr. Vielmehr sollte hier eine Verbindung zu den Unternehmenswerten hergestellt, Aspekte der eigenen Kultur (z. B. Vergütungspraktiken) dahingehend untersucht werden, ob sie Fehlverhalten fördern und bereits Maßnahmen zur Beeinflussung vorgedacht werden. Ein Kultur-Rahmenwerk sollte alle Aspekte kulturellen Wandels berücksichtigen. Nur so können Methoden und Instrumente zur Überwachung entwickelt und Ergebnisse sinnvoll berichtet werden.

Eine nachhaltige Kultur zu etablieren und zu erhalten, muss als Daueraufgabe verstanden werden – nicht als Projekt, das nach einem definierten Zeitraum abgeschlossen ist.

Risikokultur als Instrument zur Stärkung der eigenen Resilienz

Um die Angemessenheit der Risikokultur zu stärken, sind nicht unbedingt neue Kontrollmechanismen notwendig. Denn selbst die ausgereiftesten Methoden, Systeme und Prozesse des Risikomanagements können nur bedingt wirksam sein, wenn die gewünschte Kultur nicht das Verhalten der Mitarbeitenden beeinflusst. Eine höhere Bedeutung des internen Kontrollsystems, ein neuer, mutiger Umgang mit Fehlern, neue Kommunikationswege und der Abbau von Silos können allerdings Schritte in die richtige Richtung sein. Zentral ist die Erkenntnis über die Relevanz risikoadäquaten Verhaltens und die Rolle jeder Einzelperson. Risikomanagement ist nicht als notweniges Übel, sondern als wertvolles Instrument der Bank zu verstehen.

Eine gesunde und tragfähige Risikokultur ist nicht nur der Schlüssel zur Reduktion (nicht) finanzieller Risiken, sondern auch eine Strategie zur Bewältigung zunehmend volatilerer Rahmenbedingungen. Ihre Entwicklung, Förderung, Integration und Überwachung stellen Herausforderungen dar, bieten aber vor allem Chancen.

Model Risk Management Diagnostic Tool

Wie gut steuern Sie Ihre Modellrisiken?

Nutzen Sie diese Business Analytics, um potenzielle Schwächen im Modellrisikomanagement hinsichtlich der Einhaltung von Vorschriften und Praktiken zu erkennen.

Jetzt Analyse starten
Weiterlesen

Future of Risk

Thema vertiefen

Gut aufgestellt für kommende Herausforderungen: Das Risikomanagement für Banken und Versicherungen weitergedacht.

Chief Risk Officer (CRO) in Banken, Versicherungen, Asset Managern und Immobilienunternehmen stehen unter Druck. Auf der einen Seite nehmen die regulatorischen Anforderungen und die Erwartungen interner Stakeholder an das Risikomanagement seit Jahren stetig zu. Es gilt, immer mehr Risiken und Risikotreiber zu erkennen, zu bewerten und zu steuern. Immer häufiger sind Stresstests und Analysen durchzuführen, und immer umfassender soll die Risikoorganisation über die entwickelten Aktivitäten berichten.

Auf der anderen Seite kann sich auch das Risikomanagement dem Effizienzdruck in der Finanzindustrie nicht entziehen. Es muss seine finanziellen und personellen Ressourcen kontinuierlich hinterfragen und Beiträge zu den unternehmensweiten Kostenzielen leisten. Auch eine klar erkennbare Ausweitung der regulatorischen Anforderungen reicht nicht aus, um hohe Kosten oder gar eine Aufstockung des Personals zu rechtfertigen – ein schwieriges Spannungsfeld.

Thema vertiefen