Die Risikokultur gemäß der 7. MaRisk-Compliance-Novelle

Fachliche Aspekte

Zunächst einmal muss sie sicherstellen, dass die Risikokultur angemessen definiert und kommuniziert wird. Die Mitarbeitenden müssen verstehen, welche Verhaltensweisen und Entscheidungen im Einklang mit der Risikokultur stehen und welche nicht. Dies erfordert klare Richtlinien und Schulungen für alle Mitarbeitenden.

Darüber hinaus muss die MaRisk-Compliance-Funktion sicherstellen, dass die Risikokultur in den Geschäftsprozessen und -entscheidungen verankert ist. Dies kann beispielsweise durch die Implementierung von Risikobewertungsverfahren und -kontrollen erfolgen, die sicherstellen, dass Risiken angemessen identifiziert, bewertet und gesteuert werden.

Die MaRisk-Compliance-Funktion muss auch sicherstellen, dass die Risikokultur regelmäßig überwacht und bewertet wird. Dies kann durch interne Audits und regelmäßige Berichterstattung an das Management erfolgen. Wenn Schwachstellen oder Verstöße gegen die Risikokultur identifiziert werden, müssen entsprechende Maßnahmen ergriffen werden, um diese zu beheben.

Ein weiterer wichtiger Aspekt der neuen MaRisk-Novelle ist die Einbeziehung der Mitarbeitenden in den Risikomanagementprozess. Die Risikokultur sollte eine Kultur der Zusammenarbeit und des Austauschs fördern, in der Mitarbeitenden ermutigt werden, Risiken zu melden und Verbesserungsvorschläge einzubringen. Dies erfordert eine offene Kommunikation und eine klare Verantwortlichkeitsstruktur, um sicherzustellen, dass Risiken angemessen erkannt und behandelt werden.

Darüber hinaus legt die 7. MaRisk-Novelle einen stärkeren Fokus auf die Identifizierung und Steuerung von Verhaltensrisiken. Verhaltensrisiken beziehen sich auf das Risiko, dass Mitarbeitenden unethisches oder unverantwortliches Verhalten zeigen, das zu finanziellen Verlusten oder Reputationsrisiken führen kann. Die MaRisk-Compliance-Funktion muss sicherstellen, dass angemessene Kontrollen und Überwachungsmechanismen vorhanden sind, um Verhaltensrisiken zu identifizieren und zu steuern.

In Bezug auf die Kontrollhandlungen, die durchzuführen sind, um die Einhaltung der MaRisk sicherzustellen, gibt es verschiedene Aspekte, die berücksichtigt werden müssen. Dazu gehören die Überprüfung der Risikomanagementprozesse, die Überwachung der Risikokultur, die Bewertung der Wirksamkeit der Risikosteuerung und -überwachung sowie die Überprüfung der Einhaltung gesetzlicher und aufsichtsrechtlicher Vorschriften. Die MaRisk-Compliance-Funktion muss sicherstellen, dass diese Kontrollhandlungen regelmäßig und systematisch durchgeführt werden. Dies erfordert eine enge Zusammenarbeit mit anderen Abteilungen und Funktionen innerhalb der Organisation, um sicherzustellen, dass alle relevanten Risiken und Kontrollen angemessen berücksichtigt werden. Geeignete Kontrollmittel hierbei wären beispielsweise interne Audits oder Mitarbeitendenbefragungen.

Insgesamt zielt die 7. MaRisk-Novelle darauf ab, die Risikokultur in deutschen Finanzinstituten zu stärken und sicherzustellen, dass Risikomanagement nicht nur als Pflichtübung betrachtet wird, sondern als integraler Bestandteil der Unternehmenskultur. Die MaRisk-Compliance-Funktion spielt eine entscheidende Rolle bei der Umsetzung dieser Änderungen und muss sicherstellen, dass die Risikokultur angemessen definiert, kommuniziert und gelebt wird.

Kontrollen im Detail

Die Kontrolle der Einhaltung der Risikokultur erfordert eine systematische Vorgehensweise. Hier sind die Schritte, die beachtet werden sollten:

1. Schritt: Definition der Risikokultur

• Sicherstellung, dass die Risikokultur klar definiert ist und von allen Mitarbeitenden verstanden wird.
• Identifizierung der Werte, Normen und Verhaltensweisen, die Teil der gewünschten Risikokultur sind.
• Dokumentation über die Kommunikation der Risikokultur an alle Mitarbeitenden.

2. Schritt: Identifikation von Kontrollhandlungen

• Identifikation über und Ableitung aus dem Bewertungsergebnis der Risikoanalyse
• Beispielsweise Mitarbeitendenbefragungen, Überprüfung von Richtlinien und Verfahren, Beobachtung des Verhaltens der Mitarbeitenden, etc.
• Sicherstellung der Umsetzung der relevanten Aspekte aus der Risikokultur sowie der zugehörigen Richtlinie

3. Schritt: Durchführung der Kontrollhandlungen

• Sammlung von Informationen über das Verhalten der Mitarbeitenden, die Umsetzung von Richtlinien und Verfahren, und andere relevante Aspekte der Risikokultur.
• Sorgfältige Dokumentation der Ergebnisse
• Prüfung der Umsetzung aus den hohen Detailanforderungen aus den EBA-Leitlinien zur Kreditvergabe und Kreditüberwachung unter Berücksichtigung der Aufnahme von Umwelt-, Sozial- und Governance-Aspekten; Prüfung der Umsetzung in der (Kredit-)Risikokultur
• Explizite Prüfung der Umsetzungen der Konkretisierungen des internen Governance- und Kontrollrahmens für Kreditgewährung und Kreditentscheidung
• Prüfungsfelder: Kommunikation, Risikoverhalten, Strategieumsetzung, Umsetzung der aufsichtsregulatorischen Konkretisierungen

Exkurs: Prüfung der Implementierung einer Risikokultur gem. Abschnitt 4.4.1 Tz. 25 lit. g der LOaM (Report und GL on loan origination and monitoring)

A) Kontrolle des Festlegungs- und Genehmigungsprozesses inklusive Kommunikation hinsichtlich der Implementierung einer Risikokultur mittels Anforderung der Vorstandsbeschlüsse und Aktenvermerke sowie Durchsicht der Dokumentation von Mitteilungen an die Mitarbeitenden via Mitarbeitenden-Infos oder Meeting-Unterlagen. Weiterhin sind Interviews von Mitarbeitenden in Bezug auf die Verinnerlichung der Kultur denkbar. B) Kontrolle und Überwachung der Umsetzung der Risikokultur, der Kernwerte und der Erwartungen des Instituts in Bezug auf das Kreditrisiko mittels Vorstandsbeschlüsse und Interviews der Bereichsverantwortlichen oder Fachexperten.
 

Es ist wichtig zu beachten, dass die Kontrolle der Einhaltung der Risikokultur eine kontinuierliche Aufgabe ist. Die MaRisk-Compliance-Funktion sollte regelmäßig Kontrollen durchführen, um sicherzustellen, dass die Risikokultur angemessen definiert, kommuniziert und gelebt wird.