REGULIERUNG CORPORATE
REGULIERUNG CORPORATE GOVERNANCE Nachweisspur einer angemessenen Risikokultur Mit der 5. MaRisk-Novelle 2017 hat die deutsche Aufsicht das international in den Fokus gerückte Thema „Risikokultur“ als einen der zentralen Punkte in die Überarbeitung des Rundschreibens einfließen lassen. Dabei handelt es sich nicht um einen völlig neuen Risikomanagementansatz, sondern um eine zielgerichtete Weiterentwicklung der auch schon bisher bestehenden Erwartungshaltung der Aufsicht hinsichtlich eines systematisch vernünftigen Risikoverhaltens auf allen Ebenen des Instituts. 46 03 // 2017
REGULIERUNG Die Erwartungshaltung der Aufsicht hinsichtlich des Umgangs mit und der Einstellung zu Risiken spiegelt sich bereits u. a. in der CRD IV, den SREP-Leitlinien, dem KWG, den MaRisk in der bisherigen Fassung sowie sonstigen aufsichtlichen Verlautbarungen wider. Zu den diesbezüglich relevanten Elementen gehören z. B. die Grundsätze ordnungsgemäßer Geschäftsführung, die Forderung nach einer angemessenen Unternehmensstruktur und einem internen Kontrollsystem, das „Three Lines of Defense“- Konzept sowie die Vorgaben zu Risikosteuerung, Risikostrategie, Risikobereitschaft und Risikotoleranzen. Durch das Thema „Risikokultur“ werden die vorhandenen Bestandteile um ein weiteres Element ergänzt, das bei den Ursachen für mögliche neue Finanzkrisen ansetzt. Nach AT 3 Tz.1 MaRisk beschreibt Risikokultur allgemein die Art und Weise, wie Mitarbeiter des Instituts im Rahmen ihrer Tätigkeit mit Risiken umgehen sollen. Dies steht im Einklang mit der Definition des Baseler Ausschusses für Bankenaufsicht (BCBS), das Risikokultur als die Gesamtheit der Normen, Einstellungen und Verhaltensweisen einer Bank in Bezug auf Risikobewusstsein, Risikobereitschaft und Risikomanagement sowie Kontrollen, die Risikoentscheidungen gestalten, beschreibt. Mit der aufsichtlichen Forderung nach einer Risikokultur ist die bewusste Auseinandersetzung mit Risiken im täglichen Bankgeschäft verbunden. Risikokultur beeinflusst die Entscheidungen des Managements und der Mitarbeiter bei ihrer täglichen Arbeit und hat Auswirkungen auf die Risiken, die sie eingehen. Umsetzung in der Bankpraxis Die „Guidance on Supervisory Interaction with Financial Institutions on Risk Culture“ des Financial Stability Board (FSB) nennt vier Kennzeichen für eine grundsätzlich angemessene Risikokultur, die sich auch überwiegend in den Erläuterungen zu AT 3 Tz.1 MaRisk wiederfinden. Diese Kennzeichen sollen allerdings nicht abschließend sein und die Bewertung durch die Aufsicht erfolgt immer unter Berücksichtigung der institutsindividuellen Gegebenheiten sowie von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten. So weist die BaFin in ihrem Anschreiben zur Konsultation der 5. MaRisk Novelle auch ausdrücklich darauf hin, dass sie ungeachtet der allgemeinen Gültigkeit von AT 3 für alle Institute, die großen Institute mit weitverzweigten und komplexen Geschäftsaktivitäten besonders in der Pflicht sieht, sich mit diesem Thema intensiv auseinanderzusetzen. 1. Leitungskultur (Tone from the Top) Die Verantwortung für die Entwicklung, Integration und Förderung einer angemessenen und soliden Risikokultur innerhalb des Instituts und der Institutsgruppe sieht die deutsche Bankenaufsicht bei der gesamten Geschäftsleitung. Die gemeinschaftliche Verantwortung wird durch die Aufnahme der Thematik in Abschnitt AT 3 (Gesamtverantwortung der Geschäftsleitung) der MaRisk deutlich. Von der Geschäftsleitung wird in diesem Zusammenhang die Definition eines Wertesystems erwartet, das die Grundlage für das eigene Verhalten und das Verhalten der Mitarbeiter darstellen soll. Das Wertesystem von Banken muss in einem von der Geschäftsleitung formulierten und konzernweit zu beachtenden Verhaltenskodex bzw. Code of Conduct niedergelegt sein. Gemäß AT 5 Tz.3 MaRisk ist zu gewährleisten, dass der Verhaltenskodex formal den Status einer Organisationsrichtlinie hat. Der Code of Conduct soll ausdrücklich für ethische Standards sensibilisieren und stellt einen verbindlichen Orientierungsrahmen für das Tagesgeschäft aller Mitarbeiter dar. Dies umfasst neben den gesetzlichen Vorgaben auch die gesellschaftlichen Erwartungshaltungen. Große Bedeutung kommt dabei der Vorbildfunktion der Geschäftsleitung sowie der sonstigen Führungskräfte zu. Nur wenn dieser Personenkreis sein eigenes Verhalten konsequent auch in kritischen Risikosituationen und wirtschaftlichen Schwierigkeiten an den vorgegebenen Prinzipien ausrichtet, kann es gelingen, die gewünschte Risikokultur in die gesamte Organisation zu tragen. Die Kenntnisnahme des Code of Conduct durch alle Mitarbeiter des Instituts bzw. der Institutsgruppe ist sicherzustellen. Die Einstellung im Intranet und damit die Sicherstellung der jederzeitigen Aufrufbarkeit und Einsehbarkeit durch alle Mitarbeiter ist dabei ein geeignetes Vorgehen. Darüber hinaus 03 // 2017 47
