Roadmap zu einer erfolgreichen Risikokultur

Simone Heinemann gibt uns in diesem Artikel einen Überblick über die Erfolgsfaktoren zur Umsetzung eines Risikokultur-Projekts.  Welche Formate und Maßnahmen sind zur Umsetzung maßgeblich? Und welche Verantwortlichkeiten sind zu involvieren?

Was verstehen Sie unter Risikokultur?

Bisher gibt es kein einheitliches Verständnis darüber, was Risikokultur ist und welche Tragweite der Begriff für Unternehmen, insbesondere Banken, hat. Eine Definition, die oft herangezogen wird und die das Thema meiner Meinung nach gut beschreibt, ist die des Basler Ausschusses für Bankenaufsicht in seinen überarbeiteten Corporate Governance Prinzipien aus 2015. Demnach kann man unter Risikokultur die Gesamtheit von Normen, Einstellungen und Verhaltensweisen einer Bank verstehen in Bezug auf Risikobewusstsein, Risikobereitschaft und Risikomanagement sowie Kontrollen, die Einfluss auf Risikoentscheidungen haben. Wichtig bei diesem Verständnis ist, dass Risikokultur als veränderbar angesehen wird. Die Verhaltensweisen der Mitarbeiter bei ihrer täglichen Arbeit prägen die Risikokultur eines Unternehmens. Gleichzeitig hat die Risikokultur eines Unternehmens Auswirkungen auf die Risiken, die seine Mitarbeiter eingehen. Wenn wir davon ausgehen, dass sich Normen, Einstellungen und Verhaltensweisen ändern können, sind auch Veränderungen auf der Ebene der Organisations- und Risikokultur möglich.

Das Thema Risikokultur ist nicht neu, hat aber insbesondere im Nachgang der Finanzkrise wieder an Aktualität gewonnen. So wird als einer der Auslöser der Finanzkrise meist der mangelhafte Umgang mit Risiken bei Banken angeführt. In dieser Hinsicht scheint es immer noch Veränderungsbedarf zu geben: Laut einer Studie von PwC aus 2018 beobachten auch zehn Jahre nach Ausbruch der Krise nur 49 Prozent der befragten Entscheider der deutschen Bankenbranche ein „deutliches Umdenken“ im Umgang mit Risiken. 30 Prozent meinen dagegen, ein Wandel sei für sie „kaum zu erkennen“ – und 15 Prozent geben sogar an, seit der Krise habe sich nichts geändert.

Wie würden Sie eine systematische Herangehensweise an das Risikomanagement beschreiben?

Risikomanagement ist Teil der Risikokultur einer Bank. Ihm kommt neben der Identifikation, Analyse und Bewertung der Risiken des Unternehmens die Aufgabe zu, beim Management und den Mitarbeitern ein Risikobewusstsein zu schaffen. Dazu ist es erforderlich, dass alle drei Verteidigungslinien (Three Lines of Defence) Hand in Hand arbeiten. Dies ist u. a. auch in

AT 3 MaRisk (Mindestanforderungen an das Risikomanagement) gefordert. Die Geschäftsleitung soll zunächst den Risikoappetit festlegen, das heißt definieren und kommunizieren, welches Verhalten im Umgang mit Risiken gewünscht ist und welches nicht (Tone from the top). Zudem sollen sich die Mitarbeiter auf allen Ebenen bewusst und kritisch mit Risiken auseinandersetzen. Dazu bedarf es auch klarer Verantwortlichkeiten sowie eines gemeinsamen Verständnisses darüber, welche Konsequenzen mögliche Verstöße gegen Vorgaben haben können.

Das Three Lines of Defense Modell dient der Steuerung von Unternehmensrisiken. Alle Verteidigungslinien zusammen bilden das Risikomanagementsystem: die First Line of Defense (operatives Management), die Second Line of Defense (u.a Compliance) und die Third Line of Defense (interne Revision). Das Modell erlaubt eine systematische und transparente Herangehensweise an das Risikomanagement.

Welche Erfolgsfaktoren würden Sie nennen, die für die Umsetzung eines Risikokultur Projektes maßgeblich wichtig sind?

Veränderungen der Risikokultur innerhalb einer Organisation sind äußerst schwierig und sollten nicht ohne gründliche Überlegungen in Angriff genommen werden. Zudem gibt es kein allgemein gültiges Konzept, das erklärt, wie Veränderungen von Einstellungen und Verhaltensweisen herbeizuführen sind. Dies liegt unter anderem daran, dass sich Kultur nicht einfach quantifizieren bzw. messen lässt und es zwischen Instituten große Unterschiede zum Beispiel im Hinblick auf die Organisationsstruktur oder die Kommunikationswege innerhalb des Unternehmens gibt. Zunächst sollte bei einem Projekt, das sich eine Veränderung der Risikokultur zum Ziel setzt, überlegt und festgelegt werden, welche Verhaltensweisen als angemessen erachtet werden und im Unternehmen erwartet werden. Dies kann zum Beispiel in Form eines Verhaltenskodex, wie ihn AT 5 Ma Risk fordert, erfolgen.

Es ist damit zu rechnen, dass gerade beim Roll-Out eines solchen Projekts viel Überzeugungsarbeit zu leisten ist. Daher ist es unabdingbar, von Anfang an die oberste Führungsebene zu involvieren und darüber hinaus insbesondere die Expertise der internen Kommunikationsabteilung, Human Resources und Compliance einzuholen. Schließlich sollten alle Bereiche des Instituts z. B. durch ihr Management oder ausgewählte Mitarbeiter in den Entscheidungsgremien präsent sein. Nur so kann es gelingen, bankweit Veränderungen heranzutreiben und auf allen Ebenen ein Bewusstsein dafür zu schaffen.

Welche möglichen Formate und Methoden gibt es?

Auch hier hängt es sicherlich vom jeweiligen Institut ab, welche Formate und Methoden besonders wirksam sind. Empfehlenswert ist im Allgemeinen ein Mix aus verschiedenen Formaten, verteilt über einen festgelegten Zeitraum. Zunächst sollte ein Maßnahmenplan erarbeitet werden, der sicherstellt, dass die Maßnahmen nach Inhalt, Zielgruppe und Format genauso geplant sind, dass die Mitarbeiter das Thema nicht aus den Augen verlieren, aber gleichzeitig auch keine Überstrapazierung eintritt. Die angebotenen Maßnahmen sollten sich sowohl darauf richten, ein Bewusstsein zu schaffen (Awareness), als auch Wissen zu vermitteln (Knowledge) und dieses anzuwenden (Application). Dies kann erreicht werden, indem verschiedene Formate miteinander kombiniert werden. Beispiele für Awareness-Maßnahmen sind Berichte/Facts/Blogs im Intranet, Poster in den Räumlichkeiten des Unternehmens und Newsletter per Email. Wissensvermittlung und Umsetzung erfordern eine tiefere Beschäftigung mit Themen rund um das Risiko, beispielsweise durch Classroom Trainings.

Unabhängig vom Projekt sollte allen Mitarbeitern vor allem klar werden, dass es sich bei den Maßnahmen nicht um einmalige Aktionen handelt, sondern um eine längerfristige Veränderung, die kein fixes Ende hat.

Daher ist es auch wichtig, das Thema Risikokultur nach einer gewissen Zeit aus dem Projektstatus zu nehmen und ins „business as usual“ zu überführen, das heißt gelebte Maßnahmen in den Fachbereichen weiterzuführen und die im Projekt etablierten Kommunikationswege und Dialogformen weiter zu nutzen.