Risikokultur – Umsetzung MaRisk AT 3
Welche MaRisk-Anforderungen werden an die Risikokultur bei Finanzunternehmen gestellt? Risikokultur – Umsetzung MaRisk AT 3: Die Risikokultur in einem Unternehmen stellt die Grundlage eines effektiven Risikomanagementsystems (RMS) dar. Das BCBS hat mit der Veröffentlichung der Guidelines – Corporate governance principles for banks im Juli 2015 den Begriff der Risikokultur umfassend definiert.
Diese Definition hat die EBA am 15. März 2018 nahezu unverändert übernommen. Demnach umfasst die Risikokultur einer Bank
- die Normen, Einstellung und Verhaltensweisen eines Instituts in Zusammenhang mit Risikobewusstsein,
- Risikobereitschaft und Risikomanagement sowie
- die Kontrollen, die für Entscheidungen über Risiken maßgeblich sind.
Die Risikokultur beeinflusst die Entscheidungen der Geschäftsleitung und der Mitarbeiter im Tagesgeschäft und hat Auswirkungen auf die Risiken, die sie eingehen.
Risikokultur – Umsetzung MaRisk AT 3
AT 3 Gesamtverantwortung der Geschäftsleitung – BaFin-Erläuterungen zur Risikokultur
Die Risikokultur beschreibt allgemein die Art und Weise, wie Mitarbeiter des Instituts im Rahmen ihrer Tätigkeit mit Risiken umgehen (sollen). Die Risikokultur soll die Identifizierung und den bewussten Umgang mit Risiken fördern und sicherstellen, dass Entscheidungsprozesse zu Ergebnissen führen, die auch unter Risikogesichtspunkten ausgewogen sind.
Kennzeichnend für eine angemessene Risikokultur ist vor allem das klare Bekenntnis der Geschäftsleitung zu risikoangemessenem Verhalten, die strikte Beachtung des durch die Geschäftsleitung kommunizierten Risikoappetits durch alle Mitarbeiter und die Ermöglichung und Förderung eines transparenten und offenen Dialogs innerhalb des Instituts zu risikorelevanten Fragen.
Umsetzung eines Verhaltenskodex in der Praxis
Risikokultur – Umsetzung MaRisk AT 3 und AT 5: Umsetzung des Verhaltenskodex bei kleineren Finanzinstituten
Unternehmen, die sich nicht als „klein“ im vorgenannten Sinne verstehen, jedoch ebenfalls überwiegend einfache und risikoarme Geschäftsaktivitäten verfolgen, können die Vorgabe aus AT 5 Tz. 3 über eine schlanke Ausgestaltung des Verhaltenskodexes umsetzen. Dieser sollte eine überblicksartige Beschreibung der aus der Geschäfts- und der Risikostrategie abgeleiteten Risikoneigung und des von der Geschäftsleitung erwarteten Verhaltens der Mitarbeiter und Führungskräfte enthalten.
Risikokultur – Umsetzung MaRisk AT 3 und AT 5: Für weitere Details kann auf bestehende Regelungen bzw. Dokumentationen im Unternehmen verwiesen werden, insbesondere:
- Risikostrategie
- Risikohandbuch bzw. Unternehmensleitlinien- und Handbücher bzw. andere relevante Organisationsrichtlinien
- Mitarbeiterleitsätze
- Regelungen zur Vermeidung von Interessenkonflikten (Annahme von Geschenken / Zuwendungen,nebenberufliche Tätigkeiten)
- Einhaltung von Normen und Gesetzen (Bankgeheimnis, Datenschutz, Geldwäsche, Compliance gemäß MaRisk und MaComp)
- Weitere evtl. bestehende Verhaltensleitlinien (z. B. Mitarbeiter- oder Führungsleitlinien)
- Hinweisgebersystem des Unternehmens („Whistleblowing“)
Verhaltenskodex (Best Practice) für größere Finanzinstitute
Folgende Ausführungen stellen mögliche Inhalte einer „Best Practice“-Lösung für einen umfassenden Verhaltenskodex bei größeren Finanzinstituten dar. Die genannten Inhalte bzw. Themen zu Risikokultur – Umsetzung MaRisk AT 3 sind beispielhaft und können hinsichtlich institutsindividueller Aspekte angepasst bzw. ergänzt werden.
1. Einleitung
- Für wen gilt der Kodex?
- Was ist Risikokultur?
- Risikokultur und Zielsetzung des Instituts (Ausrichtung der Geschäftsaktivitäten)
- Verantwortlichkeiten für die Umsetzung (Gesamtverantwortung des Vorstands, Führungskraft als erster Ansprechpartner für Mitarbeiter)
2. Übergreifende Wertvorstellungen
Beschreibung des gewünschten Verhaltens und Erläuterung grundsätzlicher Werte z. B.:
- fair, menschlich und nah
- kompetent
- engagiert
- eigenverantwortlich
- Nachhaltigkeit / gesellschaftliche Verantwortung
- rechtlich und ethisch korrektes Verhalten (z. B. Integrität und Einhaltung von rechtlichen Anforderungen)
3. Zwischenmenschlicher Umgang
- Respektvoller, vertrauensvoller und ehrlicher Umgang miteinander und mit den Kunden
- Handeln aller Führungskräfte und Mitarbeiter nach den vorgenannten Werten
- Tolerantes und achtsames Arbeitsumfeld
- Wertschätzung, Respekt und Diskriminierungsverbot
- Führungs- und Kommunikationsgrundsätze
4. Umgang mit Risiken
- Kurzbeschreibung der individuellen Risikostrategie und der Risikoneigung (wesentliche Risiken,Abwägung von Chancen und Risiken; ggf. an dieser Stelle die Beschreibung der Risikokultur platzieren)
- Grundzüge des Risikomanagements / der Maßnahmen zur Identifizierung und Begrenzung von Risiken
- Beschwerde- und Fehlermanagement
5. Einhaltung gesetzlicher Rahmenbedingungen
Übergreifende Verpflichtung zur Einhaltung von Normen und Gesetzen, insbesondere:
- Wahrung des Bankgeheimnisses und des Datenschutzes (u. a. Vertraulichkeit personenbezogener Daten)
- Compliance-Funktion nach MaRisk / § 25a KWG
- Compliance-Funktion nach MaComp (Kapitalmarkt-/ Wertpapier-Compliance)
- Möglichkeit der Meldung von Fehlverhalten, Verdachtsfällen oder Missständen über das Hinweisgebersystem („Whistle-Blowing“)
- Geldwäscheprävention/ Vermeidung doloser Handlungen / Anzeige relevanter Vorgänge bei den zuständigen Behörden
6. Umgang mit Interessenkonflikten
- Vermeidung von Interessenkonflikten zwischen dem Institut, Mitarbeitern, Kunden und ggf. weiteren Partnern / Interessengruppen
- Annahme von Geschenken / Zuwendungen
- Nebentätigkeiten
Risikokultur – Umsetzung MaRisk AT 3: Zu einer „gelebten“ Risikokultur gehört insbesondere eine geeignete und umfassende Information der Mitarbeiter.
Der Kodex sollte den Mitarbeitern als Teil der Organisationsrichtlinien, bspw. über das Intranet des Unternehmens, bekannt gemacht werden. Darüber hinaus sollte immer auf die im Unternehmen bestehende Risikostrategie sowie das Risikohandbuch verwiesen werden, um ein einheitliches Verständnis für „Risiko“ flächendeckend sicherzustellen.