Risiko Governance und Risikokultur zur Erfüllung von BCBS d328

  1. Home
  2. Blog
  3. Corporate Governance
  4. Blog Post
Veröffentlicht am 26.09.2017

Eine Brücke mit Mehrwert zwischen Risikomanagement und Corporate Governance

Risikomanagement und Corporate Governance stehen bislang in der Praxis weitgehend unverbunden nebeneinander, auch wenn Regularien zu Risikomanagement und Corporate Governance die gegenseitige Einrichtung fordern. Risikomanagement, aus seiner in aller Regel finanziellen Sicht auf die Risikosituation, identifiziert und berechnet Risiken mit Hilfe von vorgegebenen Prozessen und Modellen. Governance arbeitet mit eher offen definierten Vorgaben wie Strategien und ohne explizite Sicht auf die finanziellen Folgen von Risiken. Diese beiden Sichtweisen zu vereinen, dient auch der Umsetzung von BCBS d328 (Corporate Governance Principles for Banks). Ansätze dazu bietet aktuell die Forschung zur Risiko Governance.


Point of View Branche:

Risikomanagement ist nicht nur durch zahlreiche Regularien, Vorschriften und Gesetze in seinem Mindestumfang vorgeschrieben, sondern bietet auch ökonomische Vorteile. Nun wird künftig in den Vorschriften auch vermehrt eine Risikokultur – wie im Entwurf der neuen MaRisk – und eine Governance, die das Risikomanagement einschließt – wie in den BCBS d328, gefordert. Die in den BCBS d328 veröffentlichten neuen 13 Prinzipien gelten als sogenanntes „Soft Law“, sind verbindlich für alle Basler Mitglieder und als Teil der Governance Prüfung im Rahmen des „Supervisory Review and Evaluation Process“ (SREP) zu betrachten.

Die Notwendigkeit der Betrachtung des Risikomanagements auch aus dem Blickwinkel einer Risikokultur und der Corporate Governance heraus, ergibt sich auch aus dem immer komplizierter werdenden Umfeld der Unternehmen und der Prozesse im Unternehmen selbst. Ein systembedingt eher statisch aufgestelltes Risikomanagementsystem kann nur unzureichend auf die langfristigen dynamischen Entwicklungen der Risiken reagieren. In einer komplexen, dynamischen Umwelt gibt es wachsende Potentiale für Risiken durch Konflikte zwischen dem Institut, seinen Shareholdern und den übrigen Stakeholdern. Die Risiken gehen dabei in Milliardenhöhe.
Die Weiterentwicklung des Risikomanagements und seine strategische Ausrichtung bleiben auch Aufgaben der Corporate Governance, die weniger in fest definierten Prozesse gelebt wird.

Wie lässt sich Risikomanagement und Risikokultur zum ökonomischen Vorteil des Instituts verbinden, und wie lassen sich dabei gleichzeitig die regulatorischen Vorschriften beachten? Wir wollen aufzeigen, wie neben der Umsetzung der BCBS Papiere ein Mehrwert durch ein verbessertes Risikomanagement, durch die Verbindung von Risikomanagement und Governance entsteht. Einen Ansatz bieten dazu die Risiko Governance und auch internationale Regularien. Die deutlichste regulatorische Forderung im Sinne der Risiko Governance zeigt sich in Dänemark mit den §§ 70 und 71 des Danish Financial Business Acts. Hier wird in einer Position die Verantwortung für Governance, Compliance und Risiko Management gebündelt. Eine effektive Governance umfasst eine klare Organisationsstruktur mit definierten transparenten Verantwortungsbereichen, wirksamen Complianceverfahren zur Ermittlung, Steuerung, Überwachung und Meldung der Risiken, die Unternehmen eingehen, sowie angemessene interne Kontrollmechanismen, einschließlich der ordnungsgemäßen Auslegung von angemessenen internen Prozessen.

Point of View Kunde:

Die 13 überarbeiteten Prinzipien der BCBS d328 Guideline behandeln folgende Schwerpunkte rund um das Thema einer effizienten Governance für ein sicheres Funktionieren der Bank:

  1. Einbeziehung von Aufsichtsrat und Vorstand in die (Risiko) Governance (Prinzipien 1 -5)
    Der Vorstand ist für das Institut inkl. Geschäftsmodell- und Strategievorgaben, Governance Framework und Kultur zuständig. Über die Vorgaben hinaus besteht auch die Pflicht der wirksamen Implementierung und Kommunikation.
    Das Risikomanagement Framework muss den Risikoappetit und die organisatorischen Verantwortungen klar definieren.
    Die zweite Verteidigungslinie nach der ersten Verteidigungslinie mit den Business Units, ist die unabhängige Risikomanagementfunktion und auch eine unabhängige Compliancefunktion. Hier gilt es, das Zusammenspiel und die Aufgabenverteilung klar abzugrenzen und zu definieren.
    Die Mitglieder des Vorstands sind sorgfältig auszuwählen und ausreichend zu qualifizieren bzw. qualifiziert zu halten.
    Der Vorstand muss Regeln zu seiner Organisation und Struktur so aufstellen, dass ausreichend Zeit und Mittel zur Diskussion wichtiger Themen bestehen.
    Das Senior Management soll die Aktivitäten des Instituts nach Vorgaben des Vorstands umsetzen.
    Bei Gruppenstrukturen ist die Governance so auszugestalten, dass die Tochterunternehmen hinreichend eingebunden sind.
  2. Aufstellung eines Risiko Governance Frameworks und Bedeutung der Risikomanagementfunktion (Prinzipien 6 -8)
    Die Risikomanagementfunktion unter dem CRO (Chief Risk Officer) muss unabhängig, mit ausreichender Ausstattung und Zugang zum Vorstand ausgestattet sein.
    Der CRO als wichtige Funktion, muss vom gesamten Vorstand oder vom Risiko Komitee ernannt werden.
    Risiken sind bankweit sowie bei den Töchtern fortlaufend zu identifizieren, zu beobachten, zu kontrollieren. Der Entwicklungsstand soll mit dem Risikoprofil und der Best Practice mithalten.
    Die Risikomanagementfunktion unterrichtet den Vorstand über Annahmen und potentielle Unzulänglichkeiten der Risikomodelle.
    Risikokommunikation ist notwendiger Bestandteil des Risiko Governance Frameworks und stellt durch Reporting den Informationsfluss zu Vorstand und Senior Management sicher.
  3. Unabhängige Compliance und Interne Revision als Unterstützung des Senior Managements und der Governance (Prinzipien 9 und 10)
    Die dritte Verteidigungslinie ist die interne Revision, die dem Vorstand eine unabhängige Meinung über die Einhaltung von Regularien gibt und diese damit sicherstellen soll.
    Die Compliance Funktion stellt sicher, dass das Institut in Einklang mit Gesetzen, Verordnungen und internen Vorgaben operiert und berät insofern den Vorstand.
  4. Die Vergütungsstruktur soll die Governance und das Risikomanagement unterstützen (Prinzip 11)
    Die Vergütungsstruktur soll unter Berücksichtigung der Wechselwirkung mit der Risikokultur bzw. dem Wertesystem und der Risikobereitschaft der Bank festgelegt werden.
  5. Veröffentlichungspflichten und die Rolle der Aufsicht (Prinzipen 12 und 13)
    Eine angemessene Transparenz gegenüber den Shareholdern, Gläubigern und anderen relevanten Stakeholdern und Marktteilnehmern ist notwendig.
    Die Aufsicht soll in ihren Beobachtungen die Governance explizit einschließen.

Zum Teil finden sich die Prinzipien der BCBS bereits in Verordnungen und EU-Regularien. So sind die Prinzipien 1-5 bereits weitgehend in den MaRisk zu finden. Die Veröffentlichungspflichten der Prinzipien 12 und 13 sind in diversen Regelungen zum externen Meldewesen und der Berichterstattung an Stakeholder geregelt. Die Prinzipien 9 und 10 sind zur unabhängigen Compliance und internen Revision in den MaRisk und in § 33 Abs. 1, Satz 2, Nr. 1 WpHG (dauerhafte, wirksame und unabhängige Funktion) in Verbindung mit §12 WpDVerOV und den MaComp geregelt. Die Vergütungsregelungen existieren, sind häufig in der Praxis aber nicht hinreichend für die Zielerreichung des Risikomanagements und der Compliance ausgerichtet.

Point of View Lösung:

Die Prinzipien zum Risiko Governance Framework und Bedeutung der Risikomanagementfunktion sind derzeit bereits grundsätzlich verbindlich verankert. Sie finden sich im KWG, den MaRisk und auch der CRR. Nichtsdestotrotz stellt sich die Frage, wie die Prinzipien oder auch die entsprechenden Regeln auf nationaler und internationaler Ebene betriebswirtschaftlich am sinnvollsten umzusetzen sind.

Die bisher diskutierten Ansätze zur Risiko Governance liefern wertvolle Ideen zur Ausgestaltung. Es wurden bislang dazu vier Aufgabenfelder der Risiko Governance identifiziert:
Proaktive Risikomodelle: die Risikomodelle sollen nicht nur die in der Vergangenheit erkannten Risiken messen, sondern auch potenzielle Risiken besser abbilden helfen. Zur Modellgestaltung gehören auch die Art der Risikowahrnehmung, -priorisierung und –aggregation.

Modellrisiken: die Bestimmung gelingt derzeit weder Governance noch dem Risikomanagement: Gemäß CRD zeigen Modellrisiken “den potenziellen Verlust, der einem Institut als Folge von Entscheidungen entsteht, die sich grundsätzlich auf das Ergebnis interner Modelle stützen könnten, wenn diese Modelle Fehler bei der Konzeption, Ausführung oder Nutzung aufweisen”.

Forschung und Entwicklung in Risikothemen: Systematische Suche und Integration von inhaltlichen und methodischen Forschungsfortschritten aus Wissenschaft und Wirtschaft als Treiber für die Modellentwicklung. Auch dies dient der Erkennung von Schwachstellen in den Risikomodellen und potentiellen Risiken.

Beratung der Unternehmensleitung: Dynamische Einflussnahme auf den risikobehafteten Marktreaktionsprozess, damit mit den vorhandenen Ressourcen ein maximaler Risikosteuerungserfolg erzielt werden kann.
Diese Ansätze stellen damit einen Teil des Best Practice dar, welchem das Risikomanagement genügen muss. Dabei helfen sie auch, Risiken frühzeitig zu identifizieren und das Risikomanagement von seiner statistischen Aufstellung zu befreien.

RFC Professionals bedient sich für die nachhaltige „Best Practise“ Umsetzung eines Risiko Governance-Systems einem vierstufigen Prozessmodell:

  1. Organisatorische Einbindung der Risiko Governance
  2. Kodifizieren der Unternehmenswerte und – Grundsätze
  3. Kommunizieren von Regeln und Geschäftsprozessen
  4. Implementieren der Regeln und Geschäftsprozesse

 

Modell der Vorgehensweise zur Verbindung von Risikomanagement und Corporate Governance in Banken und zur Einhaltung von BCBS d328

Stufe 1 beinhaltet die langfristige Verankerung in der Organisationsstruktur und End- Akzeptanz von Risiko Governance unternehmensweit. Das bedeutet Verantwortlichkeit für das Compliance-Programm und die Operative Verantwortung beim Chief Compliance Officer/Compliance-Organisation.

In Stufe 2 muss der Verhaltensstandard umsetzbar und in den Unternehmensalltag integriert werden durch schriftliche und bevorzugt EDV-unterstützte Fixierung von internen Guidelines und Arbeitsanweisungen.

Stufe 3 bildet die Grundlage zur Konzeption, insbesondere durch Schulungsmaßnahmen für alle Führungskräfte und Mitarbeiter. Die allgemeinen und themenbezogenen Schulungsprogramme müssen verpflichtend sein und innerhalb einer vorgegebenen Frist absolviert werden. Das Trainingsprogramm kann mittels Workshops oder Web-basierten-Programmen angeboten werden.

In Stufe 4 werden die festgelegten Unternehmensgrundsätze inhaltlich umgesetzt und in der Organisationsstruktur implementiert, z.B. der Verhaltenskodex. Hierbei liegt die personelle Verantwortung auf der Chefetage, die auch regelmäßig die Unternehmenswerte kommunizieren und vorleben muss: „Tone at and from the Top“.

RFC Professionals begleitet Ihr Unternehmen ganzheitlich von der fundierten Abweichungsanalyse über die Projektplanung bis hin zum Aufbau einer Funktion für Risiko Governance und der dazu notwendigen Anpassung der Prozesse.

Ihr Ansprechpartner: Henrik Hansen, Manager RFC Professionals

 

 

 

 

 

 

 

Ihr Ansprechpartner: Daniel Jürgens, Manager RFC Professionals

 

Tags