Am 18. Februar 2016 veröffentlichte die BaFin einen Konsultationsentwurf für die Neufassung der MaRisk, es folgte ein inoffizieller Zwischenentwurf am 24. Juni 2016, der den Bankenverbänden zur finalen Konsultation übermittelt wurde. Bleibt es im Kern bei den wesentlichen Änderungen, so beinhalten die MaRisk künftig im Passus zur Gesamtverantwortung der Geschäftsleitung (AT 3) einen ergänzenden Hinweis darauf, was neben Risikobeurteilung und Risikobegrenzung zu den wesentlichen Elementen des Risikomanagements gehört: die Entwicklung, Förderung und Integration einer angemessenen Risikokultur.
Die BaFin hatte bereits im August 2015 einen Aufsatz mit dem Titel „Risikokultur: Anforderungen an eine verantwortungsvolle Unternehmensführung“ veröffentlicht. Hierin wurden im Wesentlichen die Eckpunkte aus dem Leitfaden des Financial Stability Boards (FSB) „Guidance on Supervisory Interaction with Financial Institutions on Risk Culture“ aufgegriffen. Mit der Berücksichtigung der Risikokultur in den MaRisk bleibt die BaFin damit ihrer bisherigen Linie treu, in den MaRisk-Novellen insbesondere den internationalen Entwicklungen Rechnung zu tragen und diese in die deutsche Verwaltungspraxis zu überführen.
Kredit- und Finanzdienstleistungsinstitute sollten daher bei der Umsetzung der neuen MaRisk-Anforderung die Ausführungen des FSB heranziehen, um ihren institutsspezifischen Handlungsbedarf zu ermitteln. Dies geschieht bei neuen regulatorischen Regelungen in der Regel durch einen Soll-Ist-Vergleich: welche Anforderungen sind bereits erfüllt, bei welchen muss nachjustiert werden und welche sind neu zu etablieren. Das FSB liefert vier Indikatoren, die im BaFin-Journal vom Mai 2014 wie folgt umschrieben wurden:
„Indikatoren für eine vernünftige Risikokultur sind dem Leitfaden zufolge beispielsweise der „Tone from the Top”, dass also das Verhalten der Geschäftsleitung das von ihr festgesetzte Wertesystem und die Risikokultur wiederspiegelt, die „Accountability”, das heißt, dass die Mitarbeiter ihre Tätigkeit an dem Wertesystem ausrichten und für dessen Einhaltung verantwortlich sind, eine offene und unvoreingenommene Kommunikation im Unternehmen, die konstruktive Kritik fördert, sowie finanzielle und nicht-finanzielle Anreize, die die gewünschte Risikobereitschaft tragen und damit das Wertesystem und die Risikokultur des Unternehmens unterstützen.“
Doch die „Nutzungshinweise“ im FSB-Leitfaden deuten an, dass die Materie eine Komplexität mitbringt, der mit einem klassischen Soll-Ist-Vergleich und einem anschließenden Implementierungsprojekt nicht Herr zu werden ist. So betont das FSB, dass die Indikatoren keineswegs als abschließende Aufzählung zu verstehen sind und sie nicht als Checkliste missverstanden werden dürfen. Darüber hinaus dürfen die Indikatoren auch nicht isoliert betrachtet werden, vielmehr sind sie gesamtheitlich und in ihrer gegenseitigen Abhängigkeit zu sehen. Dass der Regulierung und den Aufsehern beim Thema Risikokultur enge Grenzen gesetzt sind, zeigt sich an den Hinweisen, die das FSB an sie richtet: so gäbe es für die Risikokultur keinen Erledigungsstichtag, zu dem eine Prüfung angesetzt werden könne und an Gesprächen mit den Geschäftsleitern der Institute, die dazu dienen sollen, den Stand der Risikokultur zu erkunden, sollten besser nur sehr erfahrene Vertreter der Aufsicht teilnehmen.
Doch warum lässt sich die Risikokultur eines Unternehmens so schwer bemessen? Weil sie sich nicht durch allgemeingültige Maßnahmen implementieren lässt, sich nicht anhand von Parametern quantifizieren oder in einem Benchmarking vergleichen lässt und sich kein Ergebnis im Sinne eines Angemessenheitsnachweises dokumentieren lässt. Die Risikokultur spiegelt sich vielmehr in dem Verhalten von Personen und Gruppen innerhalb der Organisation wieder, das von Normen und Werten geprägt ist und sich auf alle (Risiko-) Entscheidungen auswirkt.
Manches an der aktuellen Diskussion um die Risikokultur erinnert an die letzte MaRisk-Novelle, als die Institute zur Stärkung der Compliance Kultur eine Compliance-Funktion einzurichten hatten. Compliance-Kultur und Risikokultur haben auffallend viele Parallelen und stets spielt das normgerechte und an den Unternehmenswerten ausgerichtete Verhalten der Personen und Gruppen eine zentrale Rolle. Das bedeutet aber nicht, dass diese beiden Kulturen nur gegenseitige Blaupausen sind. Sie haben unterschiedliche Perspektiven, die unabdingbar sind, um die Unternehmenskultur als Ganzes zu prägen.
Vereinfacht ausgedrückt: die Finanzkrise hat gezeigt, dass mit Entscheidungen, die mitunter vollständig regelkonform („compliant“) waren, Risiken eingegangen wurden, die für das Institut existenzgefährdend waren. Umgekehrt führt es ebenfalls zum Desaster, wenn eine Entscheidung zwar unter „Abwägung aller Risiken“ („risk-aware“) getroffen wird, dabei aber gegen gesetzliche, aufsichtsrechtliche oder interne Normen verstoßen wird und durch Missachtung der Unternehmenswerte die Integrität des Instituts in Frage steht. Risikokultur und Compliance-Kultur sind zwei Seiten derselben Medaille, sie sind unerlässlich für ein Institut, das nachhaltig Bestand haben soll. Die Institute tun gut daran, sich hiermit weiterhin ausgiebig zu beschäftigen. Im Detail regulieren lässt sich dies nicht, aber die Aufsichtsbehörden werden ein waches Auge darauf haben, wie sich die Institute dabei engagieren und weiterentwickeln.
Auf dem Bundeskongress Compliance Management hat Dr. Stephan Vitzthum einen Vortrag zum Thema gehalten.