Interne Revision – Risikokultur

Interne Revision – Risikokultur

Die Interne Revision sollte vor dem Hintergrund der aufsichtsrechtlichen Verankerung einer angemessenen Risikokultur in den Mindestanforderungen an das Risikomanagement eine Überprüfung vornehmen.

Banken, Finanzdienstleistungsinstitute und Versicherungen sind verpflichtet eine angemessene Risikokultur unter Berücksichtigung des Proportionalitätsprinzips vorzuhalten. Die Aufsicht hat für Banken und Finanzdienstleistungsinstitute die Risikokultur in den MaRisk aus 2017 konkretisiert. 

Definition der Risikokultur nach MaRisk

Nach AT 3 Tz. 1 liegt die Einführung einer Risikokultur in der Gesamtverantwortung der Geschäftsleitung im Sinne des §25 a KWG. Diese beschreibt allgemein die Art und Weise, wie Mitarbeiter des Instituts im Rahmen ihrer Tätigkeit mit Risiken umgehen (sollen).“

Ausgestaltung der Risikokultur

Die Ausgestaltung einer angemessenen Risikokultur umfasst folgende Themenfelder:

  1. Leitungskultur
  2. Anreizstruktur
  3. Kommunikation
  4. Verantwortlichkeit

Ausführliche Informationen können unter ausgewählten Veröffentlichungen eingesehen werden.

Interne Revision: Prüfung der Risikokultur

Nach dem  Revisionsstandard Nr. 3  des Deutschen Instituts für Interne Revision e.V. (DIIR) zur Prüfung des Risikomanagementsystems (RMS)  durch die Interne Revision wurde das Prüfungsfeld Risikokultur konkretisiert. Nach Tz. 38 wird die Risikokultur als Teil der Unternehmenskultur und als Basis für ein effektives RMS verstanden. 

Interne Revision, Risikokultur und Prüfungsansatz

Zur Erreichung eines effektiven Risikomanagementsystems bieten wir Ihnen mit einem modularen Ansatz die Überprüfung der bestehenden Risikokultur mit entsprechenden Handlungsempfehlungen an.

Die Rahmenbedingungen der Risikokultur im Detail 

Mangelnde Risikokultur waren die Hauptgründe für das Eingehen von übermäßig hohen Risiken und für die Finanzkrise in 2008. Die Aufsicht hat darauf reagiert und im Rahmen der nationalen Aufsicht die Entwicklung, Förderung und Integration einer angemessenen Risikokultur als Aufgabe der Geschäftsleitung nach §25 a KWG besonders hervorgehoben.

Zu einer angemessenen Risikokultur möchten wir Ihnen folgenden kurzen Überblick über die wichtigsten Indikatoren liefern:

Leitungskultur 

Ein wesentlicher Indikator für eine angemessene Risikokultur stellt eine Leitungskultur in einem Unternehmen dar. Von der Geschäftsleitung wird hierzu gefordert die gewünschten Werte festzulegen. Sowohl in der Geschäftsstrategie als auch in der Risikostrategie sollte dieser Rahmen verankert sein. Insgesamt sollte das Institut ihr Wertesystem in einem Verhaltenskodex niederlegen. 

Verantwortlichkeit 

Sowohl Mitarbeiter als auch die Geschäftsleitung sollten ihr Verhalten an diesem Wertesystem ausrichten. Analog sind die Vorgaben zum Risikoappetit und zum Limitsystem zu berücksichtigen. Für Verstöße gegen die Risikostrategie und der damit verbundenen Risikokultur sollten zudem klare Konsequenzen bekannt sein und diese auch gelebt werden. 

Offene Kommunikation und kritischer Dialog 

Ein offener und kritischer Dialog ist insbesondere von Bedeutung, alternative Sichtweisen zur Diskussion zu stellen, ohne der Gefahr von negativen Folgen befürchten zu müssen. Dies erfordert, dass das Risikocontrolling, die Compliance-Funktion aber auch die Interne Revisionsfunktion angemessen ausgestattet sind und direkten Zugang zur Geschäftsleitung haben. 

Anreizstruktur

Eine angemessene Risikokultur kann durch eine Anreizstruktur gefördert werden, damit Mitarbeiter motiviert sind, im Sinne des Instituts und dem festgelegten Wertesystem zu handeln. Die Ausgestaltung von finanziellen Anreize sind in der Vergütungsstrategie niederzulegen.