Sicher zum Gipfel | KPMG | AT

Sicher zum Gipfel

Sicher zum Gipfel

Risikokultur als strategische Aufgabe des Aufsichtsrats

Verwandte Inhalte

Sicher zum Gipfel

Für den Finanzsektor scheint weithin Einigkeit darüber zu bestehen, dass die größten Fälle von Verlusten in der jüngeren Vergangenheit auf Defizite in der Unternehmensführung und der Risikokultur zurückzuführen sind. Bei einer Reihe von Banken haben sie dazu beigetragen, dass in dem Bestreben, ehrgeizige Renditeziele zu erreichen, unverhältnismäßig hohe Risiken eingegangen bzw rechtliche Rahmenbedingungen außer Acht gelassen wurden. Die Konsequenz ist ein hoher Bestand an ausfallgefährdeten oder bereits ausgefallenen Krediten oder Strafzahlungen, die in einigen Fällen existenzbedrohende Größenordnungen angenommen haben.

Vermutlich ist richtig, dass die spektakulärsten Beispiele hierzu im Finanzsektor zu finden sind. Der Zusammenhang aber, dass der Haupttreiber für diese Unternehmensschräglagen in der Risikobereitschaft der für die Geschäftsentscheidungen verantwortlichen Personen lag – und zwar auf allen Hierarchieebenen – ist nicht auf die Finanzbranche beschränkt.

Folgerichtig rückt die Risikokultur branchenübergreifend ins Zentrum einer Beurteilung der Unternehmensführung auch durch den Aufsichtsrat. Und damit auch die Frage nach einem Bewertungsmaßstab für Risikokultur. Der Begriff der Risikokultur ist allerdings nicht einheitlich definiert. Allen Definitionen gemein ist, dass sich weder eine klare Richtschnur für eine Beurteilung ableiten lässt noch konkrete Ansatzpunkte für das Management von Risikokultur bieten. Aus der Perspektive der Aufsicht stellt das Financial Stability Board (FSB) bei seiner Begriffsprägung auf die in einer Organisation vorherrschenden Normen und Ansichten ab, die das Risikoverhalten von Einzelpersonen und Gruppen bestimmen. Eine Messung oder gar Beeinflussung der Risikokultur als unbestritten wichtiges Element eines wirkungsvollen Risikomanagement-Rahmens lässt sich demnach nur über die ebenfalls wenig griffigen Aspekte der Normen (insbesondere der nicht kodifizierten über Gruppenverhalten entstandenen) sowie der sich herausgebildeten kollektiven Ansichten erreichen.

Somit stellt sich die Frage, welche Kriterien einem Aufsichtsrat an die Hand gegeben werden können, um die Risikokultur eines beaufsichtigten Unternehmens zu beurteilen. Wonach bemisst sich, ob die Risikokultur des Unternehmens dem Geschäftszweck angemessen ist? Sind Änderungen an der vorherrschenden Risikokultur erforderlich und welchen Einfluss kann der Aufsichtsrat ausüben, um diese nachhaltig zu bewirken?

Für Banken hat die Europäische Gesetzgebung mit der CRD IV spezielle Regelungen erlassen, um eine wirksame Kontrolle von Risiken durch die Leitungsorgane von Kreditinstituten und Wertpapierfirmen zu gewährleisten. Instituten wird hierbei aufgegeben, eine solide Risikokultur als Teil eines wirksamen Risikomanagements auf allen Unternehmensebenen zu fördern.

Das FSB hat 2014 mit den Aspekten „Leitungskultur“ (Tone from the Top), „Verantwortung der Mitarbeiter“ (Accountability), „Kommunikations- und Kritikfähigkeit“ (Effective Communication and Challenge) sowie der „Angemessenheit der Anreizstrukturen“ (Incentives) vier Faktoren als wesentliche Einflussgrößen für die Risikokultur einer Organisation identifiziert. Auch wenn für diese Aufzählung von Faktoren kein Anspruch auf Vollständigkeit erhoben wird, bieten sie doch eine erste Hilfestellung für die Beurteilung und, noch wichtiger, für die aktive Ausgestaltung einer Risikokultur.

Insbesondere weist diese Operationalisierung des Begriffs der Risikokultur auf einen für die Herausbildung dieser Normen und Ansichten wichtigen „Top down“ Wirkungszusammenhang hin. Die Vorgaben der obersten Managementebene haben entscheidenden Einfluss auf das Risikoverhalten der Mitarbeiter. Eine aktive Steuerung der Risikokultur lässt sich aber nur erreichen, wenn die in Anweisungen und Richtlinien kodifizierten Vorgaben der Geschäftsleitung ihre Entsprechung in dem vorgelebten Verhalten der Führungsebene im Sinne einer „Leitkultur“ finden.

Damit rückt eine für das Management von Risikokultur wichtige Wechselbeziehung in den Blick: Die strategischen Vorgaben der Geschäftsleitung und das Governance Framework bilden den äußeren Rahmen, der das Verhalten von Mitgliedern einer Organisation bestimmt. Das Governance Framework beschreibt hierbei das gesamte Regelwerk bestehend aus (Prozess-)Anweisungen, Richtlinien und Kontrollen. Eine Unternehmenskultur bildet sich innerhalb dieses Rahmens durch beobachtbares Verhalten von Einzelpersonen und Gruppen heraus, allen voran der Geschäftsleitung und weiterer sogenannter Meinungsführer. 

Insbesondere in komplexen Organisationen wird ein Governance Framework jedoch nie so umfassend sein können, dass es erwünschtes Verhalten vollständig erzwingen kann. Eine Organisation kann also nur dann gewünschtes Verhalten seiner Mitglieder hervorbringen, wenn sie auf konsensuales Verhalten aufbauen kann, die Unternehmenskultur also die Einhaltung des Regelwerks fördert. Je nachdem, wie weit die Strategie, das Governance Framework und die Unternehmenskultur übereinstimmen, handelt es sich somit im positiven Fall um ein sich selbst tragendes oder im negativen um ein sich selbst zerstörendes System.

Eine Risikokultur muss also auf die Risikostrategie und das Risk Governance Framework abgestimmt sein und wird entscheidend durch das vorgelebte Risikoverhalten geprägt. Grundlage für die Ausgestaltung einer Risikokultur ist demnach die Übereinstimmung der Risikostrategie mit der Geschäftsstrategie. Bindeglied zwischen der Geschäfts- und der Risikostrategie ist der Risikoappetit. Mit dem Risikoappetit legt der Vorstand fest, welche Risiken in welchem Ausmaß bei der Umsetzung der Geschäftsstrategie akzeptabel sind bzw bewusst eingegangen werden sollen. Bei einem geringen Risikoappetit und einer entsprechend konservativ ausgestalteten Risikostrategie werden Risiken nur in einem bewusst enger gefassten Rahmen eingegangen oder entsprechend abgesichert – beides auch zulasten der Renditeziele.

Das Risk Governance Framework muss auf die Vorgaben des Risikoappetits abgestimmt sein. Im Zentrum steht hierbei ein Limit- und Kontroll- und Anreizsystem, das die geschäfts- und risikostrategischen Ziele in operative Einzelvorgaben überführt und hierzu konsistente Anreizwirkungen entfaltet. Eine hierzu konsistente Risikokultur wird sich aber nur herausbilden können, wenn gewünschtes Risikoverhalten von der Leitungsebene vorgelebt und auf der Ebene der Mitarbeiter entsprechend belohnt wird.

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden