Risikokultur und Risikoappetit als Ausgangspunkt eines effizienten und nachhaltigen Risikomanagements

Risikokultur und Risikoappetit – nationale und europäische Aufsichtsbehörden verfolgen die zielgerichtete Weiterentwicklung des Risikomanagements in der Finanzbranche. Im August 2015 greift das BaFin Journal die Thematik der nachhaltigen Risikokultur auf und beschreibt die Entwicklung und Förderung einer angemessenen Risikokultur als originäre Aufgabe der Geschäftsführung eines jeden Unternehmens. Teil der Risikokultur ist der durch die Geschäftsleitung individuell zu definierende Risikoappetit. Als Risikoappetit versteht man, gemäß Leitfaden des FSB,[1] das bewusste Eingehen und den Umgang mit Risiken innerhalb der Risk Capacity (Risikokapazität – Deutsch: im weitesten Sinne Risikotragfähigkeit) zur Erreichung der strategischen Ziele sowie dessen regelmäßige (Limit-) Überwachung. Die Festlegung des Risikoappetits als Teil der Risikostrategie berücksichtigt sowohl alle wesentlichen Einzelrisiken auf Einzelinstituts- als auch aggregiert auf Gruppenebene (Gesamt-Risiko-Appetit).

Risikokultur und Risk Appetite Framework – worum geht es?

Das Eingehen unverhältnismäßig hoher Risiken hat vor allem in der Finanzkrise zum Ausfall einiger Institute geführt und dem Finanzsektor auf globaler Ebene geschadet.[2] Das BaFin Journal widmet sich dem Thema Risikokultur im Sommer 2015 und beschreibt, dass ein wirksames Risikomanagement und eine solide Risikokultur Hand in Hand gehen.

Die Risikokultur ist nach den Corporate Governance-Prinzipien des Basler Ausschusses für Bankenaufsicht vom Juli 2015 „die Gesamtheit der Normen, Einstellungen und Verhaltensweisen einer Bank in Bezug auf Risikobewusstsein, Risikobereitschaft und Risikomanagement sowie Kontrollen, die Risikoentscheidungen gestalten. Risikokultur beeinflusst die Entscheidungen des Managements und der Mitarbeiter bei ihrer täglichen Arbeit und hat Auswirkungen auf die Risiken, die sie eingehen“.[3]

Risikokultur spiegelt sich gemäß Leitfaden des FSB in den folgenden vier Indikatoren bzw. Grundsätzen wider:

  1. Leitungskultur (Tone from the top),
  2. Verantwortlichkeiten der Mitarbeiter (Accountability),
  3. offene Kommunikation und kritischer Dialog (Effective communication and challenge) sowie
  4. angemessene Anreizstrukturen (Incentives).

Die BaFin wird die konkretisierten Anforderungen bei der Überarbeitung der MaRisk einfließen lassen um die beschriebenen vier Indikatoren für eine angemessene Risikokultur abzudecken. Auch wenn es schon eine Vielzahl von spezifischen Einzelregelungen zur Förderung einer angemessenen Risikokultur in Deutschland gibt – wie die Verpflichtung zur Einrichtung einer ordnungsgemäßen Geschäftsorganisation und eines angemessenen Risikomanagements i.S.d. §25a KWG oder beispielsweise die Institutsvergütungsverordnung – „fehlt es derzeit noch an dem ausdrücklichem Rahmen für eine angemessene Risikokultur“.[4]

Die Geschäftsleitung wie auch die Mitarbeiter haben ihre Arbeit an dem institutsspezifischen Wertesystem, der Risikokultur, auszurichten. Dieses Wertesystem konkretisiert sich u.a. im festgelegten Risikoappetit und den daraus abgeleiteten Risikolimiten. Eingebettet ist der sich in den Limiten konkretisierende Risikoappetit in dem so genannten Risk Appetit Framework (RAF). Auch wenn sicherlich die risikoorientierte Limitierung bei deutschen Instituten seit langem geübte Praxis ist, so postuliert dennoch die Aufsicht mit der Betonung der Wichtigkeit des Risikoappetits und der Verankerung des Begriffes Risk Appetite Framework im Risikomanagement eine neue, erweiterte Erwartungshaltung hinsichtlich einer bewussten und nachhaltigen Übernahme von Risiken auf Mikroebene sowie der Verhinderung von schweren Störungen des Finanzsystems auf Makroebene.

 

Risk Appetite Framework und Risikokultur

 

Wie eingangs aufgegriffen, werden in den Basler Corporate-Governance-Prinzipien für Banken vom Juli 2015 die Grundsätze der Risikokultur definiert. Sie sind damit Ausgangspunkt für die Beschreibung des Rahmens der institutsspezifischen Risikokultur und des RAF.[5] Zusammenfassend können nachfolgende Punkte als essentiell für ein effektives und umfassendes Risk Appetite Framework betrachtet werden:

  • ein ganzheitlicher Ansatz (inkl. Verfahren, Prozesse, Richtlinien, Kontrollen und Systeme) bei welchem der Risikoappetit definiert, kommuniziert und überprüft wird,
  • das RAF beinhaltet ein Risikoappetit-Statement, die Risikolimite und eine Übersicht der Rollen und Verantwortlichkeiten des überwachenden und kontrollierenden Managements,
  • die adäquate Definition der individuellen Risiken unter Beachtung der Risikotragfähigkeit bzw. Kapazität, dessen bewusstes Management sowie dessen Einbindung in die jeweiligen Risikostrategien,
  • basierend hierauf wird das Risikoprofil und der Risikoappetit bestimmt – ggf. mit Gewichtung analog zur Relevanz der jeweiligen, wesentlichen Risiken,
  • das RAF ist mit der Risikostrategie[6] des Instituts abgestimmt und beinhaltet eine Festlegung von tolerierbaren Schwankungen innerhalb des Risikoprofils,
  • Integration in das Frühwarnsystem: regelmäßiger Abgleich und fortlaufende Überprüfung der genannten Faktoren sowie Beurteilung der Effektivität im Rahmen von Überwachungsmechanismen, z.B. durch Eskalationsverfahren sowie Berücksichtigung der Risikoparameter des RAF in Stresstests zur Kalibrierung des Risikoappetits,
  • bei Abweichungen erfolgt eine Berichterstattung an das Management,
  • aktive Einleitung von Gegenmaßnahmen bei Abweichungen vom gewünschten Risikoappetit bzw. derzeitigem Risikoprofil und ggf. Anpassung und Verbesserungsmaßnahmen.

Das RAF sollte zukünftig ein allgemeingültiges Rahmenwerk bilden und Ausgangspunkt für ein einheitliches und vergleichbares Kennzahlensystem in den Instituten sein. Im Sinne des RAF werden in Übereinstimmung mit den Vorgaben aus dem Supervisory Review and Evaluation Process (SREP) alle wesentlichen Risiken zukunftsgerichtet identifiziert, quantifiziert und gesteuert sowie auch neue potentielle Risiken identifiziert. Das RAF ist also als umfassendes, zukunftsgerichtetes Rahmenwerk zur Unterstützung von Entscheidungsprozessen zu begreifen. Kernziel des RAF ist es, eine starke Risikokultur und ein angemessenes Risikomanagement zu fördern bzw. zu implementieren.

Zukünftige, nationale Vorgaben versus existierende, regulatorische Anforderungen – was wird anders?

Zukünftig wird die BaFin die konkretisierten Neuerungen und Vorgaben, u.a. des Basler Ausschusses, im nationalen Recht integrieren und verankern. Schon jetzt enthalten die MaRisk, aber auch das Kreditwesengesetz (KWG), zahlreiche Anforderungen an das Bankenmanagement, die wesentlich sind, um die vier aufgeführten Indikatoren bzw. Grundsätze einer angemessenen Risikokultur zu erfüllen.[7]

Die aufsichtsrechtliche Überprüfung der Risk Governance[8] inklusive des RAF sowie der jeweiligen Limite wird zukünftig im Sinne des SREP bzw. der MaRisk durch die EZB bzw. die nationale Aufsicht erfolgen. Der Fokus der Aufsicht wird insbesondere auf einer Beurteilung der eingeleiteten Schritte für eine angemessene Qualität der Risikokultur sowie dessen Nachhaltigkeit (Stärke des Konzepts) liegen.

Hierzu zählt insbesondere auch das RAF, dessen Überwachung mindestens den Risikoappetit, das zugehörige Rahmenwerk und die Risikostrategie einschließlich der Angemessenheit der zugrundeliegenden Prozesse beinhalten sollte.[9]

Herausforderungen für deutsche Institute – was muss beachtet werden?

Die vorab beschriebenen Harmonisierungen und Umsetzungen europäischer Regulierungen in nationale Vorgaben bedürfen der Entwicklung einer nachhaltigen Risikokultur und der Entwicklung eines umfassenden RAF sowie entsprechender Governance-Prozesse. Die vollumfängliche Entwicklung, Implementierung und Förderung einer Risikokultur lebt von der tiefen Verankerung in das Bewusstsein aller Management- und Mitarbeiterebenen.

Eine exakte, konsistente und bereichsübergreifende Definition der (internen) Begrifflichkeiten, Methoden und Rahmenbedingungen ist Ausgangspunkt der Weiterentwicklung des Risikomanagements und vereinfacht auch den Dialog mit der internen und externen Aufsicht.

Der Risikoappetit ist durch die Institute konsistent aus dem Risikoprofil, der Risikokapazität, den Ertragserwartungen und den sonstigen im RAF manifestierten Leitplanken bis hin in die spezifischen Limite abzuleiten, wobei hier insbesondere auch auf Konsistenz zur Gesamtbankstrategie sowie zur Risikostrategie bzw. zu den Teilrisikostrategien zu achten ist. Die wesentlichen Einzelrisiken sind in diesem Zusammenhang sowohl auf Einzelinstituts- als auch aggregiert auf Gruppenebene zu berücksichtigen (Gesamtrisikoappetit).

 

Bei Fragen wenden Sie sich gerne an:

Dieter Lienland

Telefon: 0211/ 981 4929

Mobil: 0171/ 55 32 631

dieter.lienland@de.pwc.com

Matthias Eisert

Telefon: 069/ 9585 2269

Mobil: 0160/ 89 53 260

matthias.eisert@de.pwc.com

 

[1] FSB, Principles for an effective Risk Appetite Framework (Veröffentlichung November 2013)

[2] Vgl. Erwägungsgrund 53 der europäischen Eigenmittelrichtlinie CRD IV (Capital Requirements Directive IV) sowie BaFin Journal vom August 2015

[3] Basel Committee on Banking Supervision, Guidelines – Corporate governance principles for banks (Veröffentlichung der überarbeiteten Fassung 8. Juli 2015)

[4] BaFin Journal August 2015

[5] Basel Committee on Banking Supervision, Guidelines – Corporate governance principles for banks (Veröffentlichung der überarbeiteten Fassung 8. Juli 2015)

[6] Sie sollte daher konsistent zur Geschäftsstrategie sein (AT 4.2, Tz. 2 MaRisk).

[7] Grundlegende Anforderungen über die §§ 25a und 25c KWG, sowie weiterführende Vorgaben über AT 3 „Gesamtverantwortung der Geschäftsleitung“, AT 4.1 „RTF“, AT 4.2 „Strategie“, AT 4.3 „IKS“, AT 4.4.2 „RiCo-Funktion“ und AT 7.2 „technisch-organ. Ausstattung“ der MaRisk. AT 5 MaRisk sieht darüber hinaus vor, dass die Geschäftsaktivitäten des Instituts auf der Grundlage von Organisationsrichtlinien betrieben werden müssen.

[8] Vgl. https://blogs.pwc.de/risk/eba-guidelines/srep-serie-teil-3-beurteilung-der-internal-governance-und-institutsinterner-kontrollen-im-rahmen-von-srep/266/

[9] gemäß Tz. 91-93 der SREP-Richtlinie

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

/* */