Prüfung der Risikokultur bei Banken und Versicherungen

Für Finanzdienstleister ist das Thema Risikokultur nicht neu, hat aber insbesondere im Nachgang der Finanzkrise an Aktualität gewonnen und ist zum Pflichtthema geworden. Banken und Versicherungen müssen eine Risikokultur in ihrem Unternehmen implementieren und etablieren. Was das für die Interne Revision bedeutet und wie Sie bei der Prüfung beachten sollten, darüber haben wir mit Mathias Wendt gesprochen. Er ist Experte insbesondere zu den Themenfeldern Risiko- und Compliance-Kultur.

Warum spielt das Thema Risiko- und Compliance-Kultur bei Finanzdienstleistern eine so große Rolle?

Seit Ausbruch der Finanzmarktkrise sind die regulatorischen Anforderungen an Finanzdienstleister überarbeitet und verschärft worden. Zu der Verschärfung zählen auch jene neuen regulatorischen Anforderungen, die auf die Risiko- und Compliance-Kultur zielen. Das traditionell als „weich“ empfundene Thema „Unternehmenskultur“ ist bei der Suche nach den Ursachen für die Finanzmarktkrise in den Blick von Aufsichtsbehörden und Wissenschaft getreten. Schließlich war sowohl den Aufsichtsbehörden als auch der Wissenschaft bewusst, dass es ja auch schon vor Ausbruch der Finanzmarktkrise umfassende „harte“ Anforderungen und Vorgaben für Finanzdienstleistungsunternehmen gegeben hatte. Vielleicht, so war die Idee, sollten sich die Finanzdienstleister auch einmal mit den sogenannten „weichen“ Faktoren beschäftigen.

Auf diese Weise wurde das Thema Risikobewusstsein (Awareness) und damit das Thema Risiko- und Compliance-Kultur zum Regulierungsthema. Mittlerweile sind Banken und Versicherungen im Rahmen von MaRisk beziehungsweise MaGo aufgefordert, die bestehende Risikokultur in nachvollziehbarer Weise zu bewerten und Vorstellungen zu einer angestrebten Risikokultur und zu den erforderlichen Maßnahmen zu entwickeln.

Welche Rolle spielt dabei die Interne Revision? 

Die Interne Revision war unter Risikogesichtspunkten und von ihrem Aufgabenspektrum her schon immer in der Pflicht, das Risiko- und Compliance-Management zu prüfen. Hierzu gehört auch die Risiko- und Compliance-Kultur. Die verschiedenen Regulierer (allen voran das Financial Stability Board) haben inzwischen das Thema Risikokultur in Form von konkreten Handlungsfeldern operationalisiert. Für das Thema Compliance-Kultur haben sich inzwischen im Bereich des Compliance Managements insbesondere von international tätigen Industrieunternehmen Good Practices entwickelt. Dadurch sind die Themenfelder Risiko- und Compliance-Kultur nun auch ganz praktisch für die Interne Revision prüfbar geworden.

Was gibt es bei der Prüfung zu beachten?

Risikokultur beziehungsweise Compliance-Kultur sind im Grunde verschiedene Perspektiven auf das umfassende Thema „Unternehmenskultur“. Für die Interne Revision bringt ein „weiches“ Prüfungsthema wie die Unternehmenskultur ganz besondere Schwierigkeiten mit sich. Dieses hängt einmal damit zusammen, dass die Unternehmenskultur immer das Ergebnis eines unternehmensinternen Kommunikationsprozesses sowie einer von der Unternehmensführung verbreiteten beziehungsweise eingeforderten Haltung ist. Die Unternehmenskultur entsteht und verändert sich mit der relevanten Kommunikation im Unternehmen sowie der dieser zugrunde liegenden Haltung.

Gemeint ist hier nicht die schriftlich fixierte Ordnung, sondern die tatsächliche Kommunikation und die daraus resultierenden Verhaltensweisen von Menschen. Die Erhebung von kulturellen Ausprägungen beziehungsweise die Evaluierung von Unternehmenskultur stellt besondere methodische Anforderungen an die Interne Revision. Unter anderem geht es dabei auch um Frage- und Gesprächstechniken, die eher in der qualitativen Sozialforschung gebräuchlich sind.

Richtig kompliziert wird es dann, wenn es gilt, das Ergebnis einer Kulturerhebung zu bewerten. Woher soll die Interne Revision das hierzu erforderliche Soll nehmen? Spätestens hier wird deutlich, dass die Revision sinnvoll erst in solche weiche Themen prüferisch einsteigen kann, wenn sich die Organisation – und insbesondere das Top-Management – zuvor damit qualifiziert auseinandergesetzt hat. Genau hierzu wollen die Regulierer die Finanzdienstleister nun bewegen. Ein dritter Punkt kommt ergänzend für die Interne Revision hinzu. Will sie sich mit den „weichen“ Themen der Unternehmenskultur in der Gesamtorganisation, deren Teil sie ist, auf stimmige Weise auseinandersetzen, dann tut sie gut daran, sich im Rahmen einer vorgelagerten (Selbst-)reflektion auch mit den Themen der revisionsbezogenen Kultur, d.h. mit der Revisionskultur, sowie mit der revisionsinternen Organisationskultur auseinanderzusetzen.

Alles das hängt miteinander zusammen und erschwert der Internen Revision den Einstieg in das Thema. Und natürlich kann es zunächst für eine Interne Revision schmerzlich sein, wenn bei der Beschäftigung mit der Revisionskultur im Unternehmen die Grenzen der eigenen Akzeptanz sowie kulturelle Defizite im Umgang mit Revisionsthemen ins Blickfeld geraten. Die dabei gewonnenen Erkenntnisse werden aber für Zwecke der Revision der Risiko- und Compliance-Kultur der Gesamtorganisation wiederum von Nutzen sein. Da die relevanten Basiskenntnisse zur Evaluierung der Risiko- und Compliance-Kultur zumeist im Team der Internen Revision aufgrund fehlender praktischer Erfahrungen oft nicht vorhanden sein dürften, empfiehlt es sich, erfahrene externe Prüfer für Unternehmenskultur im Wege eines „Co-Sourcing“ in das Projekt einzubinden. Dies hilft der Internen Revision schließlich auch bei der Kommunikation der (häufig sehr sensiblen/pikanten) Prüfungserkenntnisse gegenüber der Geschäftsleitung beziehungsweise dem Aufsichtsorgan.