Unter Kultur ist in diesem Kontext, ebenfalls nach Duden, die „Gesamtheit der von einer bestimmten Gemeinschaft auf einem bestimmten Gebiet während einer bestimmten Epoche geschaffenen, charakteristischen geistigen, künstlerischen, gestaltenden Leistungen“ zu verstehen. Risikokultur kann damit vereinfacht interpretiert werden als das in einer Gemeinschaft etablierte Verhalten gegenüber potenziellen Gefährdungen.
Definition und rechtliche Hintergründe
Der Begriff „Risikokultur“ stammt ursprünglich aus dem Finanzwesen – genauer gesagt, aus dem Bankenaufsichtsrecht. Offiziell als Begrifflichkeit genannt wurde er wohl erstmals in der Richtlinie 2013/36/EU, der sogenannten „Eigenkapitalrichtlinie“, die 2013 in der Europäischen Union in Kraft trat. Mit der EU-weiten Einführung von einheitlichen Grundsätzen und Standards für ein Risikomanagement – das gemäß Deutschem Corporate Governance Codex ein wesentliches Element einer verantwortungsvollen Unternehmensführung ist – wurden die Leitungsorgane von Finanzinstituten zu einer wirksamen Risikokontrolle verpflichtet. Die Risikokultur als Teil des Risikomanagements sollte so auf allen Unternehmensebenen gefördert werden.
Konkretisiert und mit Inhalten versehen wurde der Begriff „Risikokultur“ erst zwei Jahre später, 2015, vom Basler Ausschuss für Bankenaufsicht (BCBS) bei der Überarbeitung seiner Corporate-Governance-Prinzipien. Es handelt sich danach um
„[…] die Gesamtheit der Normen, Einstellungen und Verhaltensweisen einer Bank in Bezug auf Risikobewusstsein, Risikobereitschaft und Risikomanagement sowie Kontrollen, die Risikoentscheidungen gestalten. Risikokultur beeinflusst die Entscheidungen des Managements und der Mitarbeiter bei ihrer täglichen Arbeit und hat Auswirkungen auf die Risiken, die sie eingehen.“
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wurde da genauer. Sie definierte 2021 die Risikokultur in den Erläuterungen zu den Mindestanforderungen an das Risikomanagement (MaRisk):
„Die Risikokultur beschreibt allgemein die Art und Weise, wie Mitarbeiter des Instituts im Rahmen ihrer Tätigkeit mit Risiken umgehen (sollen). Die Risikokultur soll die Identifizierung und den bewussten Umgang mit Risiken fördern und sicherstellen, dass Entscheidungsprozesse zu Ergebnissen führen, die auch unter Risikogesichtspunkten ausgewogen sind. Kennzeichnend für eine angemessene Risikokultur ist vor allem das klare Bekenntnis der Geschäftsleitung zu risikoangemessenem Verhalten, die strikte Beachtung des durch die Geschäftsleitung kommunizierten Risikoappetits durch alle Mitarbeiter und die Ermöglichung und Förderung eines transparenten und offenen Dialogs innerhalb des Instituts zu risikorelevanten Fragen.“
(Anlage 1: Erläuterungen zu dem MaRisk in der Fassung vom 16.08.2021,
Rundschreiben 10/2021 (BA)(Bankenaufsicht))
Risikokultur und Risikomanagement
Eine Risikokultur kann sich einerseits als Ausdruck eines diffusen Gefahrenbewusstseins – ohne konkrete Benennung der Gefährdungen – der einzelnen Mitglieder einer Gemeinschaft oder gesellschaftlichen Gruppe entwickeln. Alle Angehörigen dieses Personenkreises handeln so, wie aus ihrer Sicht Gefahren, die sie subjektiv als zu groß einschätzen, bestmöglich vermieden oder abgewendet werden können – ohne sich explizit darüber zu verständigen. Beim Auftreten unvorhergesehener kritischer Situationen ist in diesem Fall eine schnelle koordinierte Antwort darauf kaum möglich, da ein in sich konsistentes Maßnahmenpaket zur Gefahrenabwehr erst aus den individuellen Handlungsweisen abgeleitet und abgestimmt werden muss.
Andererseits kann die Risikokultur auch gezielt aufgebaut, gestützt und gesteuert werden – durch ein Risikomanagement. Als umfassender und proaktiver Ansatz mit den Kernbereichen Risikobeurteilung, -bewältigung und -kommunikation gehört es zum Verantwortungsbereich der Geschäftsführung. Viele, vor allem größere Organisationen haben ein solches Risikomanagement eingeführt; für Kapitalgesellschaften und insbesondere Finanzinstitute ist dies in Teilbereichen sogar verpflichtend und wird gesetzlich geregelt. Die Risikokultur wird so zu einem integralen Bestandteil der Organisations- bzw. Unternehmenskultur. Idealerweise sollten Mitarbeiter die Vision und die Mission ihrer Organisation als kulturelle Leitlinien so weit verinnerlicht haben, dass sie ohne weitere Absprachen oder Rückfragen selbstständig Entscheidungen treffen können, die mit dem Risikodenken der Organisation bzw. ihrer Leitung – dem vom Top-Management definierten „Risikoappetit“ – in Einklang stehen.
Risikoappetit
Die „Lust auf Risiko“, also die Bereitschaft, bewusst Risiken einzugehen, wird „Risikoappetit“ (Risk Appetite) genannt. Sie ist individuell unterschiedlich – das gilt sowohl für Einzelpersonen und Gruppen als auch Organisationen. Der Risikoappetit ist ein Maß dafür, welche Risiken mit welchem potenziellen Schadensausmaß und mit welcher Eintrittswahrscheinlichkeit zum Erreichen eines bestimmten Ziels – zum Ergreifen von Chancen – bewusst in Kauf genommen werden. Anhand des Risikoappetits lassen sich dann beispielsweise Institutionen oder Unternehmen bestimmten Risikokulturtypen zuordnen.
Unternehmen können in einem Risk-Appetite-Statement den Risikoumfang festlegen, den sie im Rahmen ihres Risikomanagements für noch tragfähig erachten. Banken und andere Finanzdienstleister sind dabei nach den MaRisk (AT 4.2) verpflichtet, eine mit der Geschäftsstrategie in Einklang stehende Risikostrategie aufzustellen, Teilstrategien festzulegen und die in Anlage 1 (Erläuterungen zu dem MaRisk in der Fassung vom 16.08.2021, S. 18) erläuterten quantitativen und qualitativen Vorgaben einzuhalten.
Risikokulturtypen
Die international aufgestellte Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG unterschied bereits 1998 zwischen vier Risikokulturtypen und verdeutlichte diese an für bestimmte Ausprägungen von Verhaltensweisen typischen Vertretern:
- risikoignorant – „Cowboy“. Risiken werden gar nicht als solche wahrgenommen, heruntergespielt oder übersehen.
- risikoavers – „Maus“. Jegliches Risiko wird gescheut, Vorsicht und Rückzug sind die besseren Teile der Tapferkeit. Das Sicherheitsbewusstsein und die Besitzstandswahrung stehen an erster Stelle.
- risikopenibel – „Bürokrat“. Die möglichen Gefährdungen werden genau aufgelistet und analysiert, das mögliche Schadensausmaß wird anhand des Gefahrenpotenzials und der Eintrittswahrscheinlichkeit berechnet.
- risikobewusst – „kontrolliert handelnder Unternehmer“. Das wirtschaftliche Umfeld wird kontinuierlich beobachtet. So können Veränderungen und damit potenzielle Risiken erkannt werden. Diese werden auf ihr Gefährdungspotenzial und ihre Chancen hin analysiert und bewertet – daraus resultiert die unternehmerische Entscheidung.
Die verschiedenen Typen der Risikokultur sind teilweise typisch für bestimmte Formen von Unternehmen oder auch Branchen.
- Als risikoignorant (oder sogar risikoaffin, das Risiko bewusst suchend mit disruptiven Geschäftsmodellen) sind sicher einige der Start-ups anzusehen, die mit hohen Erwartungen und oft wenig Erfahrung in der Wirtschaftswelt Fuß fassen möchten – und sicher auch einige Finanzinstitute mit risikoreichen Anlagen – oder besser: Wetten – an der Börse.
- Risikoavers sind viele Kleinunternehmen, Handwerks- oder Familienbetriebe, die auch aufgrund eines geringen finanziellen Handlungsspielraums keine Experimente wagen und Risiken meiden.
- Typisch für risikopenible Organisationen sind oft streng hierarchisch gegliederte Einrichtungen wie Ämter oder kommunale Regiebetriebe, bei denen akribisch Wagnisse aufgelistet und bewertet werden, damit die übergeordnete verantwortliche Stelle eine Entscheidung treffen kann.
- Risikobewusst ist dagegen idealerweise die verantwortungsvolle unternehmerische Haltung, um Risiken möglichst zu vermeiden und Chancen ergreifen zu können.
Kernaspekte der Risikokultur
Die Risikokultur einer Organisation ist ein ausschlaggebender Faktor für die Entscheidungsfindung sowohl auf strategischer als auch operativer Ebene und beeinflusst über die Management- und Organisationskultur auch das alltägliche Verhalten und die Einstellung der Führungskräfte und der Mitarbeiter. Dies wurde für den Finanzsektor vom Finanzstabilitätsrat (Secretariat to the Financial Stability Board Bank for International Settlements, kurz: Financial Stability Board, FSB) als international agierender Organisation bereits in der 2014 veröffentlichen „Guidance on Supervisory Interaction with Financial Institutions on Risk Culture“ explizit herausgestellt.
Ausgeführt wurden vier Aspekte, die als Indikatoren die Qualität der in einer Organisation vorherrschenden Risikokultur abbilden:
- Tone from the Top – die Leitungskultur;
- Accountability – Mitarbeiterverantwortung;
- Effective Communication and Challenge – die offene Kommunikation, auch im kritischen Dialog;
- Incentives – die Anreizstrukturen.
Anhand dieser Indikatoren kann die Risikokultur eines Unternehmens beschrieben werden. Zudem bieten sie die Möglichkeit, durch gezielte Maßnahmen die Ausprägung der Risikokultur zu steuern.
Leitungskultur
Die Risikokultur als Bestandteil der Organisationskultur orientiert sich an der Vision und der Mission der Institution bzw. des Unternehmens. Sie wird von der Geschäftsführung in einem schriftlichen Verhaltenskodex (Code of Conduct) ausformuliert und muss von ihr auch vorgelebt werden, damit sie als Leitungskultur authentisch ist. Die Führungsebene hat hier Vorbildfunktion, denn nur so wird der gewünschte Umgang mit Risiken auf allen Ebenen der Organisation auch akzeptiert. Dies ist von hoher Bedeutung, damit die angestrebten Verhaltensweisen sich über das mittlere Management („Tone from the Middle“) letztlich auf alle Mitarbeiter, unabhängig von der Hierarchieebene, verbreiten und umgesetzt sowie verinnerlicht werden. Dass die festgelegten Vorgehensweisen beachtet werden, ist durch die Angehörigen des Managements zu gewährleisten.
Mitarbeiterverantwortung
Mitarbeiter haben die im Code of Conduct festgelegte Risikokultur umzusetzen. Voraussetzungen dafür sind die Akzeptanz der in der Vision und Mission beschriebenen Werte und die individuelle Übernahme von Verantwortung. Dies setzt den „mündigen Mitarbeiter“ voraus – mit einem gewissen Grad an Selbstbestimmung und Entscheidungskompetenz – und damit eine offene, auch fehlertolerante Unternehmenskultur, in der Vorgehensweisen von allen hinterfragt, diskutiert und reflektiert werden. Wichtig ist hier der ungestörte Informationsfluss über Abteilungen und Hierarchieebenen hinweg, um Abläufe als Gesamtprozess zu optimieren bzw. mit angemessenem Risiko zu gestalten. Dazu gehört einerseits, nicht rechtskonforme, unethische oder fragwürdige Praktiken an übergeordnete Stellen melden zu können, ohne Repressalien befürchten zu müssen. Andererseits sind klare Konsequenzen samt Eskalationsstufen zu kommunizieren, falls Regeln nicht eingehalten werden.
Offene Kommunikation und kritischer Dialog
Kommunikation ist hier nicht nur die Weitergabe von Informationen. Verstanden werden sollte sie vielmehr als offener, abteilungs- und hierarchieüberschreitender Austausch über Prozesse, Verfahrens- und Verhaltensweisen. Dazu gehört, von allen Seiten Expertise einbringen und diskutieren zu können, Vorschläge ausprobieren zu dürfen und Abläufe zu reflektieren. Ziel ist die möglichst risikoarme Gestaltung oder Optimierung von Geschäftsprozessen.
Mitarbeiter sollten dazu motiviert werden, Mängel, Engpässe, Fehlentwicklungen sowie absehbare Risiken von sich aus – proaktiv – zu melden. Vorhandene Kommunikationshemmnisse, etwa durch die Organisationsstruktur, müssen beseitigt werden, um den Austausch zu gewährleisten. Kritik und auch Fehler müssen ohne Furcht vor Sanktionen oder Repressalien erlaubt sein.
Anreizsysteme
Idealerweise wird ein Verhalten, das der festgelegten Risikokultur entspricht und mit dem Risikoappetit der Organisation in Einklang steht, belohnt, um Führungskräfte und Mitarbeiter zu motivieren, es auch beizubehalten. Eine solche Belohnung als „positive Verstärkung“ kann durch äußere und innere Anreize erfolgen – auch extrinsische und intrinsische Motivatoren genannt.
Nachweislich sind extrinsische Anreize wie geldwerte Vorteile nur zeitlich begrenzt wirksam. Intrinsische Anreize, die das Selbstwertgefühl erhöhen oder nach außen einen höheren Status symbolisieren, wirken dagegen längerfristig. Mitarbeiter müssen also erkennen können, dass ihre Bereitschaft, Risiken zu übernehmen oder auch abzulehnen, von der Führungsebene wertgeschätzt und angemessen berücksichtigt wird – sei es bei der Vergütung, der Leistungsbeurteilung oder der Karriereentwicklung. Performance- und Talentmanagement können das gewünschte Risikomanagement-Verhalten fördern und verstärken.
Fazit
Jedes Geschäftsmodell beruht auf dem bewussten Inkaufnehmen von Risiken – denn ohne Risiken ergeben sich keine Chancen. Eine vom Management vorgelebte, offensiv vertretene und allgemein akzeptierte Risikokultur kann damit zum Erfolgsfaktor für jede Organisation werden. Ein Risikomanagement kann beim gezielten Aufbau unterstützen und zur Steuerung der Risikokultur genutzt werden. Letztlich beruht die Risikokultur aber auf der Mitarbeit und der Motivation der Mitarbeiter auf allen Hierarchieebenen und in allen Abteilungen. Nur so können bestehende und potenzielle Risiken richtig erfasst und bewertet werden, um Gefährdungen zu minimieren.
