Eine angemessene Risikokultur wird nach den Mindestanforderungen an das Risikomanagement (MaRisk) ab Oktober 2018 im aufsichtsrechtlichen Fokus stehen. Insbesondere ist eine angemessene Risikokultur Teil der Risikostrategie und Teil einer ordnungsgemäßen Geschäftsorganisation.
Dr. Christoph Schmidt und Prof. Dr. Send Reuse haben hierzu Ansätze zur Prüfung einer adäquaten Risikokultur in der Zeitschrift Interne Revision (ZIR) veröffentlicht. Die beiden Autoren stellen ein Quantifizierungsmodell zur Prüfung einer adäquaten Risikokultur dar.
Bestandteil einer ordnungsgemäßen Geschäftsorganisation
Seit Oktober 2018 ist eine angemessene Risikokultur Bestandteil einer Ordnungsgemäßen Geschäftsorganisation anzusehen. Banken- und Finanzdienstleistungsinstitute, insbesondere deren Revisionsabteilungen, stehen vor der Herausforderung, die Angemessenheit der Risikokultur zu bewerten und zu prüfen. Aus Sicht der Aufsicht ist allerdings nur schwer greifbar.
Erste Indizien für die Rahmenbedingungen einer angemessen Risikokultur kann aus dem sog. Three-Lines-of-Defense-Modell abgeleitet werden. Die Implementierung und Verankerung eine ethischen Rahmens kann nicht alleinige Aufgabe der Geschäftsleitung sein. Dieser wird nach der britischen Finanzberichtserstattung von der Geschäftsleitung im Rahmen der Unternehmenskultur festgelegt. Mittels einer mit Ressourcen ausgestatteten Personalabteilung, Interne Revision und dem Risiko- und Compliancemanagement werden die Ziele und Werte verankert.
Aufsichtsrechtliche Anforderungen
Mit der Veröffentlichung der MaRisk 6.0 im Oktober 2017 durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wird eine angemessene Risikokultur als Teil einer ordnungsgemäßen Geschäftsorganisation nach § 25a KWG angesehen. Erste Hinweise hierzu ergeben sich aus AT 3 und AT 5 der MaRisk. Abbildung 2 stellt die Anforderungen der MaRisk 6.0 dar.
Prüfungsansatz bei Banken
Internationale Papiere greifen vier Einflussfaktoren auf, die zu einer angemessenen Risikokultur führen können: Leitungskultur, Kommunikation, Verantwortlichkeit und Anreizsysteme.