Von Dr. Susanne Maurenbrecher

Eine robuste Risikokultur ist als Bestandteil von Unternehmenskultur und guter Corporate Governance ein Erfolgsfaktor – das haben viele Banken schon früh erkannt. Seit sich zudem die Regulatoren intensiv mit diesem Thema beschäftigen, ist es auch in der Breite der Branche präsent. Leitungskultur („Tone from the Top“), Verantwortlichkeiten, wirksame Kommunikation und kritischer Dialog sowie Anreize: Diese Kernbausteine der Risikokultur sind inzwischen als theoretisches Kon­strukt etabliert. Mit der Umfrage „Risikokultur“ konnte ein umfassendes Bild gewonnen werden, wie Risikokultur heute in der Praxis gelebt wird.

Ein Blick in die Umfrageergebnisse zeigt: Mit einer Ausnahme nutzen alle befragten Institute eine eindeutige, ausformulierte Definition der Risikokultur, häufig verortet in einer „Leitlinie Risikokultur“ (40%) oder im Risikoappetit bzw. in der Risikostrategie (30%). Zumeist behandelt die gewählte Definition der Risikokultur sowohl finanzielle als auch nichtfinanzielle Risiken (mehr als 95%) und unterstreicht somit eine übergreifende Relevanz für alle Bereiche. Daraus abgeleitet ist die Risikokulturdefinition bei 20% der Institute zudem in mehreren Leitlinien verankert.

Neben der Risikokultur selbst sollten auch die dafür bestehenden Verantwortlichkeiten klar definiert sein. Als operativ verantwortlich werden am häufigsten verschiedene Risikoabteilungen genannt, die am ehesten für Definition (50%), Dokumentation (60%), Messung (50%) und Kommunikation/Reporting (50%) der Risikokultur zuständig sind. Bei 20% der Institute ist der Bereich Compliance für die Weiterentwicklung der Risikokultur (mit-)verantwortlich. Die Verantwortung für die eng mit der Risikokultur verwobene Unternehmenskultur liegt jedoch meist bei der Geschäftsleitung und beim Geschäftsleitungsstab (60%); nur 16% der Institute sehen hier die Risikofunktion in der Pflicht und weitere 20% die Personalabteilung.

Auf Geschäftsleitungsebene nimmt der CRO eine zentrale Rolle ein – auch bei der Aufgabe, die Eigenverantwortung bei den Mitarbeitenden zu festigen – und ist folglich ein primärer Stakeholder der Risikokultur: Bei 70% der Banken ist der CRO hauptverantwortlich für die Risikokultur; zwei Drittel bezeichnen ihn als maßgeblich für den wichtigen „Tone from the Top“; und die Hälfte unterstreicht dessen Verantwortung für Definition und Kommunikation der Risikokultur.

Für eine funktionierende Risikokultur bedarf es zuerst klar definierter operativer Verantwortlichkeiten. Hinzu kommen die kontinuierliche Messung, aussagefähige Reportings und effektive Kommunikation. Im Kern der Messung steht die Identifikation potenzieller Schwächen und Verbesserungspotenziale der Risikokultur – in 90% der Institute findet eine solche Prüfung und Messung regelmäßig statt, in der Hälfte von ihnen sogar jährlich.

Für ein granulares Reporting fehlt in den meisten Fällen ein messbares Zielbild, denn nur ein Viertel der Banken erhebt quantifizierbare Kennzahlen; deutlich mehr erfassen lediglich Verstöße. Somit haben auch nur 40% der teilnehmenden Institute ein KPI-basiertes Reporting.

Bei der Frage zur aktuellen Ausgestaltung der Risikokultur zeigt sich, dass viele Banken die Stärken primär in der Konzeptionierung der Risikokultur sehen, vor allem deren Definition sowie die Risikostrategie und der Risikoappetit. Zudem gelten die bereichsübergreifende Umsetzung der Risikokultur und eine konstruktive Fehlerkultur mehreren Banken als eigene Stärken. Schwächen werden hingegen in der konkreten operativen Einbindung der Risikokultur konstatiert.