Die ordnungsgemäße Geschäftsorganisation ist Aufgabe der Geschäftsführung und in diesem Zusammenhang ist die Risikokultur seit jeher ein wichtiges Element des Risikomanagements. Erstmalig wird nun aber ausdrücklich der Begriff der Risikokultur im nationalen Aufsichtsrecht in der aktuellen Version der MaRisk genannt.
Die Risikokultur beschreibt laut MaRisk (in der Anlage 1) allgemein die Art und Weise, wie Mitarbeiter des Instituts im Rahmen ihrer Tätigkeit mit Risiken umgehen sollen. Ziel der angemesseneren Risikokultur ist die Identifizierung und der bewusste Umgang mit Risiken sowie ausgewogene Risikoentscheidungen. Auf europäischer Ebene wurde bereits 2014 ein Leitfaden zur Risikokultur veröffentlicht, der vier Indikatoren einer angemessenen Risikokultur nennt. Diese Indikatoren können zur Konkretisierung des Begriffs der Risikokultur in der MaRisk herangezogen werden: Demnach ist eine angemessene Risikokultur gekennzeichnet durch erstens eine gute Leitungskultur („Tone from the Top“), zweitens die Verantwortlichkeiten der Mitarbeiter, drittens eine offene Kommunikation und einen kritischen Dialog sowie viertens eine angemessene Anreizstruktur.
Direkter Adressat der Anforderungen
Die Geschäftsleitung ist der direkte Adressat der Anforderungen an die Risikokultur aus der MaRisk. Mittelbar umfasst die Risikokultur aber die Gesamtheit der Mitarbeiter und der unternehmerischen Tätigkeit. Die Compliance-Funktion sollte die Geschäftsleitung bei der Umsetzung der Entwicklung, Förderung und Integration der angemessenen Risikokultur unterstützen. Besonders bei der Schaffung einer offenen Kommunikationskultur kann die Compliance-Funktion einen wesentlichen Beitrag leisten. Entscheidend hierfür ist das Selbstverständnis der Compliance-Funktion als „Botschafter der Risikokultur“. Aufgabe eines Botschafters ist es, einen diplomatischen Dialog herzustellen und wesentliche Informationen zu vermitteln. In einem Kreditinstitut kann dies auf verschiedenen Wegen erreicht werden.
Das aktive Anstoßen einer regelmäßigen Kulturdiskussion ist Aufgabe der Compliance-Funktion. Dabei ist es vor allem wichtig, dass das notwendige Bewusstsein für das Thema „Risikokultur“ geschaffen wird. Als Botschafter steht die Compliance-Funktion im Rahmen der Kulturdiskussion in dem Spannungsfeld, die Interessen aller Beteiligten zusammenzuführen, was mitunter zu Konflikten, etwa im Bereich der angemessenen Anreizstruktur, führen kann. Die Kulturdiskussion sollte sich idealerweise durch alle Hierarchiestufen des Instituts ziehen.
Sobald der Dialog eröffnet ist, sollte die Compliance-Funktion aktiv im Namen der Geschäftsleitung für eine angemessene Risikokultur werben. Ausgangspunkt dafür ist das klare Bekenntnis der Geschäftsleitung zu risikoangemessenem Verhalten („Tone from the Top“). Nur wenn die Geschäftsleitung eine angemessene Risikokultur überzeugend vorlebt, ist gewährleistet, dass sich angemessenes Verhalten in den nachgelagerten Hierarchiestufen widerspiegelt und sich eine entsprechende Kultur formt. Dieses Bekenntnis sollte sich die Compliance-Funktion zu eigen machen und sich hierfür im Institut stark machen.
Feedback einholen und Schwächen erkennen
Die Compliance-Funktion sollte fortlaufend Feedback zu der Frage einholen, ob die Elemente der Risikokultur von den Mitarbeitern verinnerlicht sind und tatsächlich gelebt werden. Das Feedback kann wertvolle Informationen zum Verbesserungspotenzial der Risikokultur des Instituts liefern. Das Erkennen von Schwächen ermöglicht es, die gelebte Risikokultur nachhaltig zu verbessern und das Risikomanagementsystem zu optimieren.
Die Compliance-Funktion kann im Namen der Geschäftsleitung einen wichtigen Beitrag zum Risikomanagement und zur ordnungsgemäßen Geschäftsorganisation leisten. Das Selbstverständnis der Compliance-Funktion als Botschafter der Risikokultur bietet die Möglichkeit, ein Arbeitsumfeld zu schaffen, in dem Unternehmensziele auf angemessene, kooperative und legitime Weise erreicht werden. Wenn die aufsichtsrechtliche Pflicht der Entwicklung, Förderung und Integration einer angemessenen Risikokultur ernst genommen wird, wohnt ihr das Potenzial inne, Risiken effektiv zu managen.