Spagat zwischen Compliance und Unternehmenssteuerung

Risikokultur


Risikokultur: Spagat zwischen Compliance und Unternehmenssteuerung Comment

Seit der jüngsten Finanzmarktkrise steigt der Aufwand für die Umsetzung regulatorischer Anforderungen permanent an. Aus Sicht der Politik dreht es sich im Kern um die Verankerung von Werten in der Finanzbranche und einen klaren gesellschaftlichen Auftrag. Ziel der Finanzmarktregulierung ist in Summe der Schutz der Kundeninteressen und der Stabilität sowie Integrität des Marktes und damit letztlich des Systems, auf dem unsere Wirtschaft fußt. Um dieses Ziel zu erreichen, werden Regeln gesetzt – Spielregeln für alle, die mitspielen wollen.

Sowohl bei der Aufstellung als auch bei der Umsetzung dieser Regeln kommt es nicht selten zu Fehljustierungen. Das ist an sich nicht weiter erstaunlich, da in Ermangelung eines Testsystems am Produktivsystem geübt werden muss. Erst nach einer gewissen Zeit kann beurteilt werden, ob der gewünschte Effekt erreicht wurde oder eben auch nicht. Leider führen Fehljustierungen nicht selten zu überbordender Bürokratie und vertanen Chancen. Und korrigiert werden solche Fehljustierungen nur äußerst selten.

Es gilt also, sich nicht nur ernsthaft mit regulatorischen Anforderungen und den zugehörigen Compliancerisiken zu befassen, sondern dabei gleichzeitig eine Risikokultur zu etablieren, die dafür sorgt, dass Unternehmertum und unternehmerisches beziehungsweise betriebswirtschaftliches Risikomanagement nicht aus Angst vor Compliancerisiken abgewürgt werden. Denn das hätte mittel- bis langfristig schwerwiegende Folgen für die Kreativität, Innovationskraft und Profitabilität der Finanzbranche und damit auch für die Erfüllung des gesellschaftlichen Auftrags.

Der Umgang mit regulatorischen Anforderungen und Compliancerisiken

Jede Organisation hat eine gewisse Menge an Bürokratie zu bewältigen. Ob man diese nun mag oder nicht: Bürokratie ist schlicht und einfach bis zu einem gewissen Grad notwendig. Der Umfang der Bürokratie hängt vor allem davon ab, wie umfangreich die von außen vorgegebenen sowie die organisationsintern entwickelten Spielregeln sind und wie pragmatisch oder kompliziert diese umgesetzt werden.

Die sich aktuell permanent verschärfenden Spielregeln der Finanzmarktregulierung und die damit verbundenen Compliancerisiken führen zwangsläufig zu mehr Bürokratie für Banken, Kapitalverwaltungsgesellschaften und Versicherungen und auch für Vermögensverwalter, Anlageberater oder Multi Family Offices. Und das gilt bei weitem nicht nur für große, international agierende Häuser mit einem Risikoprofil, von dem tatsächlich eine Gefahr für die Integrität und die Stabilität des Marktes ausgeht (Systemically important financial institution, SIFI in der Sprache des Financial Stability Board). Es sind vielmehr alle der Finanzmarktregulierung unterworfenen Unternehmen Leidtragende einer zunehmend überbordenden Bürokratie. Auch solche, von denen auf Grund ihres Risikoprofils kaum eine Gefahr für den Markt ausgehen kann, und die bisher einen guten Weg zwischen ihren eigenen unternehmerischen Interessen und den Interessen ihrer Kunden gefunden haben.

Alle von der Finanzmarktregulierung betroffenen Unternehmen – die großen wie die kleinen – machen sich zunehmend Sorgen, in dem immer schwerer zu durchdringenden Dschungel an regulatorischen Vorgaben auf EU-Ebene und auf nationaler Ebene etwas zu übersehen oder "falsch" auszulegen und damit nicht adäquat umzusetzen.

Compliancerisiken sind für diese Unternehmen in den letzten Jahren ein immer bedeutenderes Risiko geworden, das teilweise das Geschäft erdrückt und enorm viel Kapazitäten und Energie bindet. Wer es sich leisten kann, bedient sich einer Vielzahl von Experten, um die Compliancerisiken zu mindern. Innerhalb der Unternehmen wachsen die Complianceabteilungen teilweise explosionsartig. Und natürlich erfreuen sich auch die externen Experten wie Rechtsanwälte, Wirtschaftsprüfer und Unternehmensberater einer regen Nachfrage.

In der Sorge, etwas falsch auszulegen oder umzusetzen, werden regulatorische Anforderungen dabei häufig sehr penibel umgesetzt. Lässt die BaFin zum Beispiel verlauten, dass Beratungsprotokolle in der Anlageberatung einer angemessenen Qualitätssicherung zu unterziehen seien, so gibt es Unternehmen, die intern eine 4-Augen-Freigabe jedes Beratungsprotokolls anordnen. Schlimmstenfalls wird damit nicht nur Extra-Bürokratie produziert, sondern auch das Ziel der Anforderung verfehlt, wenn die Auseinandersetzung mit der Frage, was ein gutes Beratungsprotokoll ausmacht, durch eine Kontrolle nebst Dokumentation ersetzt wird.
Wichtig ist dabei, dass wir uns die Frage stellen, was "wer es sich leisten kann" eigentlich heißt. Dabei geht es um viel mehr als Personal- und Beratungskosten. Und auch um mehr als die betroffenen Unternehmen.

Compliancerisiken und Herausforderungen bei ihrer Vermeidung

Möglicherweise bekommen Unternehmen die Compliancerisiken durch die Beschäftigung vieler Experten und die exakte bürokratische Umsetzung der regulatorischen Anforderungen in den Griff. Es tun sich aber gleichzeitig mindestens drei neue Risiken auf, die das Ziel gefährden, dass mit der Regulierung eigentlich erreicht werden soll.

Erstens ist die Komplettabsicherung gegen Compliancerisiken extrem teuer durch zusätzliche hohe direkte und indirekte Overhead-Kosten wie fachliche Experten, externe Berater, neue Prozesse mit entsprechender IT-Unterstützung und eine veränderte Arbeitszeitaufteilung aller im weitesten Sinne von regulatorischen Anforderungen betroffenen Mitarbeiter. In Zeiten, in denen die Banken Schwierigkeiten haben, ihre Kapitalkosten zu verdienen, können es sich nicht viele leisten, alle regulatorischen Vorgaben so lange von links nach rechts und wieder zurück zu wenden und dann absolut wasserdicht umzusetzen, bis alle Compliancerisiken ganz sicher ausgeschaltet sind. Und gerade für kleine Banken, Vermögensverwalter, Anlageberater und Family Offices machen die Kosten der Bürokratie das Überleben immer schwerer. Sie dürften als erste Marktteilnehmer in die Knie gehen und ihr Geschäft aufgeben oder verkaufen. Macht das den Markt stabiler und die Kunden zufriedener?

Zweitens gehen sowohl der Umfang regulatorischer Anforderungen als auch eine Komplettabsicherung bei der Umsetzung spürbar zu Lasten der Motivation der Mitarbeiter. Und damit auch zu Lasten der Kreativität, Innovationskraft und Produktivität in den Unternehmen. Die meisten regulatorischen Vorgaben ergeben Sinn, sollen ein Ziel erreichen – auch wenn dieses  manchmal nicht offensichtlich ist. Soll die Finanzmarktregulierung ihr Ziel erreichen, so muss dieses den Mitarbeitern vermittelbar sein. Und außerdem muss das Ziel in einem angemessenen Verhältnis zu dem dafür betriebenen Aufwand stehen – abhängig von der Größe, der Komplexität und dem Risikoprofil eines Unternehmens. Mit überbordender Bürokratie allein lassen sich weder Werte noch ein gesellschaftlicher Auftrag verankern. Dafür benötigen wir zusätzlich einen intensiven kritischen Dialog in der Finanzbranche, der aktuell nicht im ausreichenden Maße geführt wird. Wir können es uns nicht leisten, diesen Dialog nicht zu führen.

Drittens – und dieser Punkt dürfte mit Blick auf die Ziele der Regulierung der wichtigste sein – führt die Vielzahl an mittlerweile zum Teil extrem detaillierten regulatorischen Vorgaben zu einer "Entantwortung". Wenn Menschen im Detail vorgegeben wird, was sie beim Risikomanagement, bei Vergütungsregeln, bei der Wahrung von Kundeninteressen – um nur einige Punkte zu nennen – alles zu beachten und bitte auch zu dokumentieren haben, dann werden sie auch genau das tun. Und in der Regel nicht mehr als das. Betrachten wir als Beispiel die "Mindestanforderungen an das Risikomanagement" (MaRisk) der BaFin. Diese werden in der Praxis häufig eins zu eins umgesetzt. Hierbei wird vergessen, dass es sich um einen prinzipienbasierten Ansatz in der Regulierung handelt und zudem um Mindestanforderungen!

Leider sind wir Menschen so. Wenn scheinbar schon jemand anderes für uns nachgedacht hat und uns dann einen detaillierten Regelkatalog vorgibt, dann müssen wir ja nicht mehr selber denken, sondern nur noch abarbeiten und dokumentieren. Es braucht eine enorme innere Überzeugung, sich in einem solchen Umfeld über den Regelkatalog hinaus zusätzlich kreativ und innovativ mit Themen wie zum Beispiel Risikomanagement und Kundeninteressen auseinanderzusetzen. Und genau darin steckt die größte Gefahr einer zu detaillierten Finanzmarktregulierung. Wollen wir die Kundeninteressen, den Markt und unser System langfristig schützen, so können wir uns eine Kultur der "Entantwortung" in der Finanzbranche nicht leisten!
Wenn wir uns die genannten drei Risiken nicht leisten wollen, so gilt es einen Spagat zu meistern zwischen unternehmerischem Denken und Handeln, der Beachtung und Erfüllung eines gesellschaftlichen Auftrags und der Vermeidung von Compliancerisiken.

Unternehmerische Risikokultur als Rahmen und Ausgleich

Der Weg muss andersherum sein! Alle Mitarbeiter eines Unternehmens sollten Risiken –  nicht nur Compliancerisiken – als natürlichen und untrennbaren Bestandteil ihres Geschäftes verstehen und laufend wahrnehmen, beobachten, kommunizieren und steuern. Das Bank- und Versicherungsgeschäft ist ein Geschäft mit dem Risiko. Um Gefahrenpotenziale dauerhaft zu verringern und um Chancenmanagement dauerhaft zu etablieren, ist ein durchgängiges Verständnis aller relevanten Risiken erforderlich. Dafür benötigen wir eine gelebte und echte Chancen- und Risikokultur. Die gesamte Risikokultur bildet den notwendigen Rahmen eines wirkungsvollen Risikomanagements in einem Unternehmen. Die Compliance-Risikokultur kann nur ein Teil davon sein, ein wichtiger, aber nicht der wichtigste. Vielmehr ist es erforderlich, ein umfassendes Programm zur Entwicklung einer unternehmerischen Risikokultur zu starten mit folgenden Zielen:

  1. Entwicklung einer echten Chancen- und Risikokultur, die tief in der Organisation und der Unternehmenskultur verankert ist – und nicht lediglich ein Anhängsel. Das beinhaltet ein proaktives und explizites Risiko- und Chancenmanagement als Bestandteil der regulären Arbeitsabläufe, das sowohl Kunden- und Mitarbeiterzufriedenheit als auch Geschäftsergebnisse fördert. Die Chancen- und Risikokultur muss vor allem ermöglichen, unternehmerische Risiken einzugehen und diese dann sauber durchzusteuern.
  2. Einen ordnenden Gegenpol zu bilden zu den Entwicklungen zur Einhaltung der regulatorischen Anforderungen, so dass nicht mehr Bürokratie entsteht als tatsächlich nötig. Dies vor allem deshalb, weil der aktuelle Trend angesichts einer quasi allerorten starken Betonung von Haftungsrisiken für Manager dahin geht, regulatorische Anforderungen aus Gründen der Absicherung sehr penibel umzusetzen. Damit ist nicht gemeint, dass regulatorische Anforderungen gar nicht oder nur rudimentär umgesetzt werden sollen. Sie sollen vielmehr als ein Bestandteil in die umfassende Chancen- und Risikokultur einfließen, Hinweise geben, wo man besonders hinschauen sollte und dabei gleichzeitig Raum für eine pragmatische und auf das Ziel der Regulierung ausgerichtete Umsetzung lassen.
  3. Die Basis zu schaffen und zu ermutigen, dass weiterhin sinnvolle und pragmatische Entscheidungen getroffen werden können und zu vermeiden, dass mutige unternehmerische Entscheidungen grundsätzlich ausgebremst werden. Risiko gehört zu Unternehmertum dazu. Die Aufgabe einer wirksamen Risikokultur ist es nicht, "riskante" unternehmerische Entscheidungen zu verhindern, sondern die Früherkennung schlagend werdender Risiken zu fördern, die Handlungsfähigkeit in einer Stresssituation zu erhöhen und das Ausmaß des Schadens zu begrenzen.
  4. Eine Risikokommunikation zu entwickeln, die sowohl effektive Risikocockpits auf den unterschiedlichen Entscheidungsebenen als auch ein umfassendes Training umfasst, wie man Chancen und Risiken besser kommuniziert, um bessere Entscheidungen und wirkungsvolle Risikomaßnahmen zu erwirken. Das ist vor allem heute wichtiger denn je. Wegen unserer komplexen Umwelt gibt es so viele Informationen, die ebenso viele Risiken enthalten, und es ist also extrem wichtig, Risiken richtig zu kommunizieren, um die richtige Antwort zum Umgang mit dem Risiko zu finden. Seit Menschengedenken ist es wichtig, manchmal sogar überlebenswichtig, Risiken richtig zu kommunizieren. So ist es seit jeher zum Beispiel wichtig zu kommunizieren, welche spezifischen Pflanzen man nicht essen sollte und welche Krankheiten heilen können.

Wichtig ist zu verstehen, dass es beim Risikomanagement immer darum geht, ein Ziel bestmöglich zu erreichen und nicht durch Probleme auf dem Weg daran gehindert zu werden. Und "bestmöglich" beinhaltet in der Finanzbranche, sowohl ein bestmöglich für die eigenen Unternehmensinteressen als auch gleichzeitig für die Kunden des Unternehmens und für die Erfüllung des gesellschaftlichen Auftrags. Das ist sicher ein schwieriger Spagat, der aber gelingen muss, damit die Branche eine Zukunft hat.

Wie reagieren Menschen auf Risiken? Was sind die Handlungsmuster und was steht einem effektivem Risikomanagement oft im Weg? Bei der Entwicklung einer Risikokultur geht es vor allem darum, Verhalten zu ändern. Die Organisation in einem Unternehmen sollte einige Dinge tun, die sie bisher so nicht gemacht hat und andere Dinge lassen.

Zum Beispiel sollte es unterlassen werden, Risiken nur aus Reportinggründen zu berichten. Außerdem sollte der Überbringer von schlechten Nachrichten nicht kritisiert werden, Risiken sollten nicht verborgen gehalten werden, sollten auch nicht delegiert werden. Risiken sollten auch nicht als Fehler kommuniziert werden. Dagegen sollte begonnen werden, offen und ehrlich zu berichten, mehr zwischen den Abteilungen zu kommunizieren, Verantwortung für Risiken zu übernehmen und systematisch Chancen zu ergreifen. Insbesondere ist hierzu eine Führung durch Beispiel erforderlich.

Wenn ein Unternehmen ein solches Programm zur Entwicklung einer adäquaten Risikokultur durchlaufen hat, können Führungskräfte und Mitarbeiter deutlich besser als zuvor Risiken möglichst frühzeitig erkennen und bewerten, bessere Entscheidungen treffen und die eingegangenen Risiken explizit managen. Eine echte Chancen- und Risikokultur muss in einer Organisation wachsen und von allen Unternehmensbereichen verinnerlicht werden. Dafür gibt es gute Beispiele. Der Erfolg einer Risikokultur kann anhand von drei Schlüsselindikatoren gemessen werden, auch in Form von KPIs. Diese sind Risikomanagementwissen, -verhalten und -prozess.

Zusammenfassung

Die umfassenden und detaillierten Vorgaben der Finanzmarktregulierung führen vor allem zu viel Bürokratie mit hohen Kosten, zu großer Unzufriedenheit bei Mitarbeitern sowie zu einer gefährlichen "Entantwortung". Aus Angst vor Compliancerisiken werden Compliancevorschriften eingeführt, die dem eigentlichen Ziel der Finanzmarktregulierung teilweise gar nicht nutzen oder über das Ziel hinausschießen. Um dies zu vermeiden benötigen wir einen ordnenden Faktor, der es ermöglicht, Compliancerisiken in gesunder Relation zu allen Chancen und Risiken eines Unternehmens zu betrachten. Dieser Faktor ist ein Programm zur Entwicklung einer unternehmerischen Risikokultur, wie gute Beispiele zeigen. Somit kommt diesem Programm eine Schlüsselrolle zu. Damit wird der sicher sehr schwierige Spagat gemeistert, besser zu entscheiden, wann wieviel Bürokratie zur Umsetzung der regulatorischen Anforderungen sinnvoll ist und wann man eine Entscheidung dem unternehmerischen Freiraum und der Verantwortung der Mitarbeiter überlassen kann. Zugleich werden genau der unternehmerische Freiraum und die unternehmerische Verantwortung durch eine flankierende Verankerung der Verhaltensweisen gefördert. Letztlich führt das zu besseren Entscheidungen, mehr Mitarbeiterzufriedenheit, einem besseren Service für Kunden und damit zu einer besseren Profitabilität.

Autoren

Dr. Andrea Fechner, FECHNER Coaching & Consulting

Christoph Schwager, Partner, Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft

[ Source of cover photo: © styf - Fotolia.com ]
Risk Academy

The seminars of the RiskAcademy® focus on methods and instruments for evolutionary and revolutionary ways in risk management.

More Information
Newsletter

The newsletter RiskNEWS informs about developments in risk management, current book publications as well as events.

Register now
Solution provider

Are you looking for a software solution or a service provider in the field of risk management, GRC, ICS or ISMS?

Find a solution provider
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.