Zunächst ist die bestehende Risikokultur im Unternehmen tiefgreifend zu hinterfragen. Zu einer optimalen Kultur zählen unter anderem der offene Umgang mit Risikomeinungen, aber auch die Bereitschaft sich beim Umgang mit Risiken von Experten beraten zu lassen.

Eingetretene Fehler sollten als Hinweise auf Verbesserungspotentiale verstanden werden und entsprechend adjustierte Präventionsmaßnahmen sind zu implementieren. Sind diese Voraussetzungen nur teilweise oder gar nicht vorhanden, stellt sich die Frage des Ansatzes nicht und es ist zunächst ein risikokultureller Wandel einzuleiten.

Ein langwieriger Changemanagement-Prozess mit zahlreichen Komponenten unterstützt den Weg zu einem integrativen System. Abschließend hängt die Wahl des variierbaren Ansatzes aber auch von der Größe und den Ressourcen des jeweiligen Finanzinstituts ab.
 
Fachlich kann es zwei Betrachtungsweisen zur Herstellung einer betrieblichen Resilienz und Prozessabsicherung benötigen. Die Compliance mit gesetzlichen und regulatorischen Anforderungen erfordert stellenweise die Interpretation und Umsetzung von Sätzen sowie Teilsätzen in die betriebliche Praxis. Dieser Basis ist die Risikosicht hinzuzufügen.

Es muss Messverfahren geben, die Risikotendenzen frühzeitig erkennen lassen und das Einleiten gezielter risikoreduzierender Maßnahmen ermöglichen. Zudem muss der Risikoappetit der Leitungsorgane im Gesamtinstitut durch entsprechende Steuerungsmaßnahmen und Limite umgesetzt werden.

Um dies zu erreichen, muss proaktiv mit Risiken und risikoreduzierenden Maßnahmen umgegangen werden – ohne den Überblick über das Gesamtrisiko zu verlieren. Unabhängige Kontrollfunktionen müssen einen objektiven Überblick wahren.

An den richtigen Stellen positionierte Stellschrauben ermöglichen schnelle Reaktionen und Feinjustierungen. Die Ressourcen der Verteidigungslinien sollten deshalb nach Ausprägung der Risiken gesteuert werden, um so einen reibungslosen risikoadjustierten Geschäftsablauf zu ermöglichen.

Einzelbetrachtung Top-Down

Privat

Aufbauend auf den zuvor angestellten Vorüberlegungen hat der Top-Down-Ansatz unter anderem die Vorteile, dass sowohl der Risikoappetit sowie die Steuerungsimpulse der Leitungsorgane als auch unternehmensübergreifende Einführungen neuer oder sich ändernder regulatorischer Anforderungen zielgerichtet durch Experten an den entsprechenden Stellen gegeben bzw. eingeführt werden.
 
Problematisch kann sich eine reine Vorgabe gesetzlicher und regulatorischer sowie Risikopräventionsanforderungen auswirken. Eine vornehmliche Entpflichtung kann zu einem fehlenden Verantwortungsgefühl und einen ungeübten Umgang mit Gesetz und Regulierung sowie den wesentlichen Steuerungswerkzeugen führen.

Gegebenenfalls werden dadurch auch Verteidigungslinien außer Kraft gesetzt, deren Wissen und Erfahrung ungenutzt bleiben. Geschäft würde betrieben, aber nicht beherrscht. Fehlende Informationen, Einbeziehung und Identifikation können zu Widerstand und unzureichendem Verständnis für die zu bearbeitenden Themen im eigenen Verantwortungsbereich führen.

Einzelbetrachtung Bottom-Up

Eigenverantwortung im eigenen Bereich steht im Vordergrund. Die zumeist langjährige Erfahrung und das Spezialwissen zumindest der Führungskräfte in den Fachbereichen wird genutzt und spiegelt sich in den Risikobetrachtungen, risikoreduzierenden Maßnahmen und fachlich sowie einer prozessual kongruenten praxisnahen Umsetzung wieder.
 
Da sich präventive Risiko- und Kontrollbestandsaufnahmen zumeist auf einige Personen – mehrheitlich Personen in Leitungsfunktionen – im Unternehmen beziehen, kann die Aufnahme von subjektiven Sichtweisen geprägt sein. Ohne eine übergreifende auswertende Funktionen und übergelagerte Steuerungsimpulse sowie Implementierungsunterstützung können Steuerungs-Silos entstehen und die Transparenz für das Management kann verloren gehen. Fehlende Unterstützung durch Vorgaben und Experten kann zu Regelungs- oder Steuerungslücken führen.

Fazit

Das Vorhandensein einer guten Risikokultur ist ein wesentlicher Grundpfeiler für eine effektive und effiziente Resilienz des Unternehmens. Erfahrungen der unterschiedlichen Fachbereiche sind äußerst wertvoll. Übergelagerte auswertende Querschnittsfunktionen können – vor allem bei identischen Prozessen unterschiedlicher Bereiche – Abweichungen in der Risikoeinschätzung und im -management feststellen.

Diese Informationen können zur Weiterentwicklung der Risikoprävention genutzt werden. Gleichzeitig können Fachbereiche keine Hybride sein, die neben dem Tagesgeschäft die vollständigen Regulierungsanforderungen implementieren und unternehmensübergreifend Risiken und Prozesse steuern. Aus verschiedenen Ansätzen können die effektivsten Erkenntnisse genutzt, zurückgespiegelt und gegebenenfalls implementiert werden.
 

BBL

Die Diskussion der beiden vorgestellten Modelle führt in den meisten Fällen zum Ergebnis, dass eine Kombination der besten Komponenten aus beiden Ansätzen zu bevorzugen ist. Es könnte sich ein kybernetischer Regelkreis empfehlen, der beide Ansätze kombiniert (s. Abb. 1).

Autor
Kai Gammelin ist Risikopräventions- und Compliance-Experte in leiten­der Position bei der LGT Bank AG in Liechtenstein und Gastdozent an der FH Vorarlberg in Dornbirn (Österreich).