Risikokultur
Praxisleitfaden Operationelles Risiko
Gesponsort von:
IBM OpenPages® with Watson®
!
An IRM Group Company
Vorwort
Das Institute of Operational Risk (IOR) wurde im Januar 2004 gegründet und ist seit 2019 Teil des Institute of Risk Management. Die Aufgabe des IOR besteht darin, die Entwicklung des operationellen Risikos als Berufszweig zu fördern und eine solide Praxis für das Management operationeller Risiken zu entwickeln und zu verbreiten. Die Notwendigkeit eines effektiven Managements operationeller Risiken ist akuter denn je. Ereignisse wie die globale Finanzkrise oder die COVID-19-Pandemie verdeutlichen die weitreichenden Auswirkungen von operationellen Risiken sowie die Konsequenzen eines Versagens ihres Managements. Vor dem Hintergrund dieser und zahlreicher anderer Ereignisse müssen Unternehmen sicherstellen, dass ihre Richtlinien, Vorgehensweisen und Prozesse für das Management operationeller Risiken den Anforderungen ihrer Stakeholder gerecht werden. Dieser Leitfaden soll bestehende Standards und Normen für das Risikomanagement (wie z.B. ISO31000) ergänzen. Ziel ist es, einen Leitfaden zur Verfügung zu stellen, der sowohl auf das Management operationeller Risiken fokussiert, als auch in der Anwendung praxisnah ist. Dabei handelt es sich um eine Orientierungshilfe für Experten auf dem Gebiet des Managements operationeller Risiken, um die praktische Anwendung in ihren Unternehmen zu unterstützen und zu verbessern. Leser, die an einem allgemeinen Verständnis der Grundlagen des Managements operationeller Risiken interessiert sind, sollten mit dem IOR Certificate in Operational Risk Management beginnen. Nicht alle Hinweise in diesem Dokument werden für jedes Unternehmen oder jede Branche relevant sein. Es wurde jedoch mit Blick auf ein möglichst breites Spektrum von Unternehmen und Sektoren verfasst. Die Leser sollten individuell entscheiden, was für ihre aktuelle Situation relevant ist. Entscheidend ist eine schrittweise, aber kontinuierliche Verbesserung.
Die Handlungsempfehlungen des Institute of Operational Risk
Obwohl es keinen allgemeingültigen Ansatz für das Management operationeller Risiken gibt, ist es wichtig, dass Unternehmen ihre Vorgehensweise regelmäßig überprüfen und verbessern. Das vorliegende Dokument ist Teil einer Reihe von Papieren, die praktische Anleitungen zu einer Reihe wichtiger Themen in der Disziplin Operational Risk Management bieten. Ziel dieser Papiere ist es: • zu erklären, wie man ein (robustes und effektives) Rahmenwerk für das Management operationeller Risiken entwickelt und umsetzt • den Wert des Operational Risk Managements aufzuzeigen • die Erfahrungen von Risikoexperten zu reflektieren - inkl. der Herausforderungen bei der Entwicklung eines Rahmenwerks für das Management operationeller Risiken
2
Inhalt Einführung 4 Risikokultur verstehen
5
Die Bewertung der Risikokultur
8
Fragebogen 8 Interviews 9 Fokusgruppen 10 Direkte Beobachtung
10
Instrumente zur Beurteilung durch Dritte
11
Überwachung der Risikokultur: Risikokultur-Kennzahlen Die Rolle von HR und der Internen Revision bei der Überwachung der Risikokultur Die Beeinflussung der Risikokultur: mögliches Eingreifen
12 13 14
Strategie und Führung (einschließlich Tonfall)
14
Risikoappetit und Toleranz
15
HR Richtlinien und Verfahrensweisen
15
Kommunikation: Formell und informell
16
Prozess- und Systemgestaltung
17
Risiko Governance
17
Fazit 18 Anhang A: Beispiel für einen Fragebogen zur Risikokultur
3
19
Einführung
Unternehmen bestehen aus Menschen, die zusammenarbeiten müssen, um gemeinsame Ziele zu erreichen. Wo es Menschen gibt, gibt es auch Kultur; ein sozialer Mechanismus, der ihnen hilft, zusammenzuarbeiten und ihre Aktivitäten zu koordinieren. Die Kultur eines Unternehmens, und damit auch seine Risikokultur, ist sowohl eine Quelle von Stärken und Schwächen, wenn es um das Management von operationellen Risiken geht. Eine angemessene Risikokultur gewährleistet, dass die Mitarbeiter die Bedeutung eines effektiven Managements operationeller Risiken akzeptieren und sich in einer Weise verhalten, die mit den Richtlinien, Verfahren und der Risikobereitschaft des Unternehmens für operationelle Risiken im Einklang steht. Eine unangemessene Risikokultur kann sowohl eine Ursache für operationelle Risikoereignisse als auch ein Hebel zur Verstärkung ihrer Auswirkungen sein. Dieser Leitfaden erläutert, wie die Risikokultur identifiziert, bewertet und kontrolliert werden kann, um die Häufigkeit und Schwere von operationellen Risikoereignissen zu reduzieren. Dabei muss betont werden, dass es weder die eine optimale Risikokultur gibt, noch die universellen Charakteristika einer “starken” oder “schwachen” Risikokultur. Darüber hinaus sollten wir erkennen, dass wir zwar dazu neigen, bestimmte Kulturen mit bestimmten Arten von Unternehmen zu assoziieren, dass aber viele - insbesondere große, diversifizierte Firmen - in verschiedenen Teilen des Unternehmens unterschiedliche Kulturen haben können. Das Investmentbanking einer Bank kann zum Beispiel eine andere Kultur haben als das Privatkundengeschäft der gleichen Bank. Es ist jedoch möglich, als Teil eines robusten Rahmenwerks für das Management operationeller Risiken Leitlinien für das effektive Management der Risikokultur zu geben.
4
Risikokultur verstehen
Es gibt zahlreiche Definitionen von Risikokultur. Aus praktischer Sicht ist die Genauigkeit der einen oder anderen Definition unwichtig, solange ein gemeinsames Verständnis im gesamten unternehmen herrscht, insbesondere im Hinblick darauf, was zur Risikokultur gehört und was nicht. Es ist besonders wichtig, dass die Geschäftsleitung und der Vorstand verstehen, was in den Geltungsbereich fällt und was nicht, sowohl um ihre Erwartungen zu steuern als auch um Lücken und Überschneidungen mit anderen Arbeitsbereichen zu minimieren. Das IRM definiert Riskokultur auf integrative Art und Weise: “Ein Begriff, der die Werte, Überzeugungen, das Wissen, die Einstellungen und das Verständnis über Risiken beschreibt, die von einer Gruppe von Menschen mit einem gemeinsamen Ziel geteilt werden. Dies gilt für alle Unternehmen - einschließlich privater Unternehmen, öffentlicher Einrichtungen, Regierungen und Non-Profit-Organisationen.“ Tabelle 1 erklärt die wichtigsten Begriffe dieser Definition. Operational Risk Management Experten sollten entscheiden, welche davon für ihre Unternehmen relevant sind.
Werte
Ansichten
Wissen
Einstellungen
Verstehen
Die Werte des Unternehmens und wie sie sich auf das Management des operationellen Risikos beziehen und dieses beeinflussen können. Viele Unternehmen geben mehrere Werte an (z. B. den Kunden an die erste Stelle zu setzen oder Nachhaltigkeit gegenüber kurzfristigem Gewinn zu betonen), von denen sie glauben, dass sie ihren Auftrag und ihr Ziel ergänzen. Diese Werte können beeinflussen, wie Mitarbeiter Risiken und Risikomanagement wahrnehmen. Gruppen von Mitarbeitern in verschiedenen Teilen der Unternehmens können auch ihre eigenen Werte entwickeln, die entweder die übergeordneten Managementaktivitäten inkl. Operational Risk Management verstärken oder ihnen entgegenstehen. Was Menschen über Wichtigkeit, Vorteile und Kosten des operationellen Risikos denken. Einige Menschen teilen vielleicht positive, andere negative Ansichten. Was die Mitarbeiter über operationelle Risiken und deren Management wissen, d. h. ihre Kompetenz für das Management operationeller Risiken. Einige Mitarbeiter haben vielleicht ein gutes Wissen über das Spektrum der operationellen Risikoereignisse, denen ihr Bereich ausgesetzt ist, und darüber, wie diese zu managen sind, andere sind vielleicht weniger sachkundig. Die meisten Menschen haben eine Einstellung oder Vorliebe zum Risiko. Einige mögen sehr risikoscheu sein, andere risikofreudig. Im organisatorischen Kontext zeigt die Forschung, dass sich die Risikoeinstellungen tendenziell angleichen, zumindest innerhalb bestimmter sozialer Gruppen. Die Einstellungen können sich für bestimmte Arten von Risiken unterscheiden, z. B. sind Menschen eher risikoscheu, wenn sie große potenzielle Nachteile (Bedrohungen) wahrnehmen. Im Gegensatz dazu sind sie möglicherweise weniger abgeneigt gegenüber Risiken, die mit Chancen verbunden sind, wie z.B. dem Potenzial, einen Gewinn zu erzielen. Wissen wird durch Aus- und Weiterbildung (Lernen) erworben, Verstehen kommt mit der Erfahrung. Einige Personen verstehen das Management operationeller Risiken vielleicht besser, weil sie aktiv und regelmäßig in die Identifizierung, Bewertung und Kontrolle von operationellen Risiken eingebunden sind. Tabelle 1: Charakteristika einer Risikokultur definieren
5
Aufbauend auf Tabelle 1 liegt der Schwerpunkt auf drei Elementen • Risikokultur betrifft sowohl die Risikobereitschaft also auch die Risikokontrolle. Jedes Unternehmen muss Risiken eingehen, um ihre Ziele zu erreichen, und dies kann bedeuten, dass sie ein gewisses Maß an operationellen Risiken in Kauf nehmen muss. Die Risikokultur eines Unternehmens beeinflusst, ob die Mitarbeiter ein operationelles Risiko als vorteilhaft (z. B. in Verbindung mit der Verfolgung einer potenziellen Chance) oder als Bedrohung wahrnehmen. Sie kann auch Einfluss darauf haben, ob sie Aktivitäten zum Management operationeller Risiken als Nutzen oder Kosten wahrnehmen. • Jedes Merkmal der Tabelle 1 existiert auf drei Ebenen (Abbildung 1):
Darstellung 1: Der Eisberg der Risikokultur Die oberste Ebene bezieht sich auf die Strukturen (z.B. Berichtswesen und Steuerung) und die Dokumentation zum Operational Risk Management, z.B. Richtlinien, Verfahren, Aufgabenbeschreibungen, Protokolle und Berichte. Diese Ebene ist die Sichtbarste und am einfachsten zu analysieren. Sie stellt jedoch nur die Spitze des Eisbergs der Risikokultur dar. Die mittlere Ebene bezieht sich darauf, was im gesamten Unternehmen über das operationelle Risiko und sein Management gesagt wird. Ein Schlüsselelement dieser Ebene ist der “Ton von oben”, aber sie umfasst auch den “Ton in der Mitte”, d.h. was die Mitarbeiter unterhalb der obersten Führungsebene sagen und ob sie für den “Ton” der obersten Führungsebene empfänglich sind. Die unterste Ebene betrifft Annahmen und Wahrnehmungen, die für so selbstverständlich erachtet werden, dass sie selten verbalisiert werden. Z.B. können Menschen tiefsitzende und sich gegenseitig verstärkende Ansichten über bestimmte operationelle Risiken oder operationelle Risikomanagementaktivitäten haben. Sie weigern sich vielleicht, die Bedeutung bestimmter Risiken anzuerkennen (z.B. Cyber- oder Pandemierisiken) oder vermuten grundsätzlich, dass das Management operationeller Risiken eine bürokratische Übung mit nur begrenztem geschäftlichen Nutzen ist. • Obwohl Unternehmen vielleicht eine einheitliche, das Unternehmen umspannende Risikokultur einführen möchten, müssen sie Subkulturen anerkennen. Subkulturen entstehen, weil Menschen kulturell am meisten durch die beeinflusst werden, die in ihrer Nähe sind. Sogar in kleineren Unternehmen kann es Subkulturen geben, z.B. Mitarbeiter in einer speziellen Abteilung oder einem speziellen Büro.
6
Subkulturen sind nicht zwangsläufig ein Problem, vor allem dann nicht, wenn Menschen unterschiedliche Rollen, Verantwortlichkeiten und Ziele haben. Sie können jedoch gefährlich werden, sobald eine bestimmte Gruppe Werte, Überzeugungen oder Einstellungen entwickelt, die im Widerspruch zu denen des Unternehmens und den Bedürfnissen ihrer Stakeholder stehen. Die Bewertung von Risikokulturen, einschließlich Subkulturen, wird im nächsten Abschnitt erläutert.
7
Die Bewertung der Risikokultur
Die Bewertung der Risikokultur ist kompliziert und anfällig für Ungenauigkeiten und verzerrte Interpretationen. Je tiefer man in den Eisberg der Risikokultur eintaucht (Abbildung 1), desto schwieriger ist die Bewertung. Dies erhöht das Potenzial für falsche oder bestenfalls einseitige Ergebnisse. Außerdem wird die Interpretation der Ergebnisse der Risikokulturbeurteilung durch die eigenen Überzeugungen, Kenntnisse, Einstellungen etc. des Managements in Bezug auf das operationelle Risiko und dessen Management verzerrt. Experten für das Management operationeller Risiken sollten so objektiv und unvoreingenommen wie möglich bleiben, wenn sie Manager und Geschäftsführer dabei unterstützen, die Ergebnisse von Risikokulturbewertungen zu interpretieren. Bei der Interpretation der Ergebnisse sollten sie so objektiv und unvoreingenommen wie möglich bleiben und bereit sein, zu intervenieren, wenn sie Bedenken haben, wie das Management auf die Ergebnisse reagiert.
Viele Unternehmen, die sich dafür entscheiden, ihre Arbeit im Zusammenhang mit der Risikokultur zu formalisieren, bewerten diese in irgendeiner Form. Diese Bewertungen können von der Funktion Operational Risk oder einer breiter gefassten Unternehmensrisikofunktion durchgeführt werden, obwohl es auch üblich ist, dass sie durch die Interne Revision als Teil ihrer Qualitätssicherung erfolgen. Mitarbeiter der Personalabteilung können aufgrund ihrer Kenntnisse und ihres Verständnisses für Menschen und die Unternehmenskultur im weiteren Sinne einbezogen werden. Es gibt verschiedene Ansätze, die angewendet werden können, die im Folgenden zusammengefasst werden. Einer oder mehrere dieser Ansätze können kombiniert werden, um ein vollständigeres Bild der Risikokultur eines Unternehmens zu erhalten. Fragebogen Der gebräuchlichste Ansatz ist der Fragebogen. Ein Beispiel finden Sie in Anhang A. Sie können einige oder alle dieser Fragen in Ihren Fragebögen verwenden. Der Aufbau eines Fragebogens sollte sorgfältig durchdacht sein. Es gelten die üblichen Prinzipien, z.B. Suggestivfragen vermeiden, den Fragebogen nicht zu lang gestalten und sicherstellen, dass Sie eine repräsentative Stichprobe erheben. Überlegen Sie außerdem sorgfältig, welche spezifischen Aspekte der Risikokultur eines Unternehmens sie untersuchen möchten. Risikokultur ist zu umfangreich, um sie in einem einfachen Fragebogen zu bewerten. Allerdings können bestimmte Aspekte der Kultur gezielt untersucht werden. Zum Beispiel: • ob die Mitarbeiter die in der Richtlinie zum Management operationeller Risiken dargelegten Ziele für das Management operationeller Risiken teilen • die Einstellung gegenüber der Funktion OpRisk oder gegenüber bestimmten OpRiskInstrumenten und -Verfahren (z.B. Risiko Self Assessment) • das Vorhandensein von Subkulturen, indem man die Antworten verschiedener Funktionen, Lokationen oder Erfahrungsebenen auf Unterschiede untersucht • ob die Mitarbeiter der Ansicht sind, dass das Unternehmen zu viele oder zu wenige operationelle Risiken eingeht • ob die Mitarbeiter über ein angemessenes Wissen und Verständnis von operationellen Risiken verfügen (sog. Risikobewusstsein) 8
Die Vorteile von Fragebögen sind, dass sie eine beträchtliche Anzahl von Personen im gesamten Unternehmen erreichen können. Außerdem lassen sich die grundlegenden Ergebnisse leicht zusammenstellen, insbesondere bei einer Online-Umfrage. Allerdings sind Fragebögen zeitaufwändig in der Erstellung und im Befüllen. Daher entscheiden sich viele Unternehmen dafür, sie nur einmalig oder bestenfalls unregelmäßig auszufüllen, wodurch ihre Nützlichkeit eingeschränkt wird. Idealerweise sollten die Befragungen wiederholt werden. So kann das Unternehmen sehen, wie sich ihre Risikokultur entwickelt und die Wirksamkeit von Kontrollmaßnahmen analysieren. Wenn ein Fragebogen zur Bewertung der Risikokultur verwendet wird, ist es wichtig, eine repräsentative Stichprobe zu erhalten. Dies bedeutet, dass der Fragebogen an Mitarbeiter im gesamten Unternehmen verteilt wird, und zwar in Bezug auf den geografischen Standort, die Abteilung, die Funktion (z. B. erste, zweite oder dritte Verteidigungslinie) und das Dienstalter. Dies wird helfen, Unterschiede in den Antworten zu klassifizieren und Hinweise auf gegensätzliche Subkulturen zu identifizieren. Alternativ könnten die Fragebögen gezielt an bestimmte Standorte, Abteilungen oder Funktionen gerichtet werden, insbesondere, wenn Bedenken hinsichtlich der Art ihrer Subkulturen bestehen. Z.B. dort, wo es eine exzessive operationelle Risikobereitschaft oder Hinweise auf eine ineffektive Kontrolle gibt. Schließlich besteht die Möglichkeit, dass die Befragten die Fragebögen falsch ausfüllen entweder, weil sie desinteressiert sind und in Eile oder weil sie absichtlich falsche Informationen eingeben, um sich gegen einen bestimmten Umstand aufzulehnen. Der Einsatz von Experten bei der Erstellung des Fragebogens kann helfen, dieses Problem zu entschärfen - es ist möglich, Fragen so zu entwerfen, dass die innere Konsistenz der Antworten überprüft werden kann. Interviews Interviews sollten teilstrukturiert durchgeführt werden, d.h. mit übergeordneten, aber nicht führenden Fragen, die den Interviewten die Freiheit geben, die Informationen herausstellen zu können, die sie als wichtig erachten: Beispiele sind: • Was bedeutet Operational Risk für Sie im Rahmen Ihrer Rolle? • Wie würden Sie jemandem außerhalb des Unternehmens den Wert des Operational Risk Managements erklären? • Was sind Ihrer Meinung nach die wichtigsten Ziele des Operational Risk Managements? Um eine Vorbereitung zu ermöglichen, sollten diese Fragen dem Interviewpartner in Form einer Agenda vorab zugeschickt werden. Falls notwendig, können zur Klarstellung der Antworten spezifischere Anschlussfragen genutzt werden. In jedem Fall sollten die Interviews aufgezeichnet werden, um eine anschließende Analyse zu ermöglichen. Idealerweise sollten zum Quervergleich der Antworten mehrere Interviews in einem Bereich durchgeführt werden. Etwaige Unstimmigkeiten können dann mit den Befragten nachverfolgt werden, um die Gründe dafür zu ermitteln. Der Vorteil von Interviews ist, dass sie ein tieferes, vollständigeres Bild liefern, das die Aussagen der Befragten während der Interviews über die Risikokultur des Unternehmens reflektiert. Aufgezeichnete Interviews können zudem auf andere Themen übertragen und übergreifend analysiert werden. Dies kann durch das Hervorheben gemeinsamer Themen oder Phrasen geschehen, die in mehreren Interviews vorkommen.
9
Das Hauptproblem bei Interviews sind die Kosten. Um eine angemessene Diskussion zu ermöglichen, sollten sie mindestens 30 Minuten dauern. Das bedeutet, dass sie viel Zeit und Ressourcen in Anspruch nehmen können. Daher ist es besser, sie gezielt einzusetzen. Zum Beispiel, um einen Fragebogen zu ergänzen, indem man einige der Befragten interviewt, um deren Antworten zu klären und zu vertiefen, oder um eine bestimmte Subkultur zu untersuchen, die möglicherweise von Bedeutung ist. Fokusgruppen Fokusgruppen können auf ähnliche Weise wie Interviews durchgeführt werden. Ihr Hauptvorteil ist, dass sie eine Gruppendiskussion ermöglichen, die dazu beiträgt, gemeinsame Themen oder Probleme in Bezug auf die Risikokultur des Unternehmens hervorzuheben. Idealerweise sollten zwei Personen eine Fokusgruppe moderieren – eine Person übernimmt die Fragestellung und die andere Person beobachtet und unterbricht die Diskussion, wenn sie das Gefühl hat, dass ein wichtiger Punkt nicht ausreichend diskutiert wurde, oder um die Bedeutung zu klären. Fokusgruppen können helfen, die Ergebnisse eines Fragebogens oder einer Reihe von Interviews zu klären. Dies ist in einem Bereich wie der Risikokultur besonders wichtig, da die Möglichkeit von Interpretationsverzerrungen besteht. Wenn sich Fokusgruppen aus einem vielfältigen Querschnitt von Personen zusammensetzen, sind sie weniger anfällig für Verzerrungen. Praktisches Beispiel Einer Fokusgruppe werden die Ergebnisse eines Fragebogens zur Risikokultur vorgelegt. Die Leiterin der Kundenbetreuung zieht daraus den Schluss, dass die Ergebnisse darauf hindeuten, dass die Mitarbeiter zu wenig auf operationelle Risiken achten und zu viel Zeit für Kontrolltätigkeiten aufwenden. Infolgedessen ist sie der Meinung, dass die Risikokultur aufgrund der übermäßigen Bürokratie nicht ausreichend agil und kundenorientiert ist. Mehrere andere stimmen ihr zu, darunter auch der CEO. Der Leiter der Finanzabteilung vertritt die entgegengesetzte Position. Es kommt zu einer vom Moderator geleiteten Diskussion. Im Anschluss daran ist man sich einig, dass die Mitarbeiter bestimmten Arten von operationellen Risiken gegenüber übermäßig abgeneigt sind, dass sie aber die Bedeutung anderer (z. B. interner Betrug) nicht ausreichend würdigen.
Direkte Beobachtung Bei der Erfüllung ihrer Aufgaben werden Fachleute für operationelle Risiken mit Menschen aus ihrem gesamten Unternehmen zusammentreffen. Dies gibt ihnen die Möglichkeit, die Werte, Überzeugungen, Einstellungen, Kenntnisse und das Verständnis von Risiken und Risikomanagement zu beobachten. Obwohl sie subjektiver erscheinen mag als ein Fragebogen oder ein Interview, ist die direkte Beobachtung ein leistungsfähiges Instrument zur Beurteilung der Risikokultur. Die direkte Beobachtung wird häufig von professionellen Kulturforschern wie Anthropologen und Psychologen eingesetzt. Ein einfacher Ansatz zur direkten Beobachtung ist das Führen eines Protokolls über Begegnungen mit Personen aus verschiedenen Standorten oder Abteilungen. Es ist nicht notwendig, Namen aufzuzeichnen, um die Anonymität der Personen zu wahren, nur das Datum, den Ort und die Abteilung(en) sowie die Anzahl der Anwesenden. In dem Protokoll reflektieren Sie, wie die Personen, denen Sie begegnet sind, über Risiko und Risikomanagement sprechen (z. B. ob sie dies positiv oder negativ sehen), sowie ihre Einstellung zu den Richtlinien und Verfahren für operationelle Risiken. Es ist auch hilfreich, über ihre Körpersprache nachzudenken, z. B. ob sie in der Interaktion entspannt oder aufgeregt wirkten.
10
Es wird empfohlen, dass Sie zu Beginn eines Protokolls so viele Begegnungen mit Menschen wie möglich aufzeichnen. Wenn Sie sich ein Bild von der Risikokultur und den Subkulturen Ihres Unternehmens machen, können Sie die Anzahl der Einträge reduzieren und nur neue Beobachtungen aufzeichnen, insbesondere solche, die Ihre bisherige Einschätzung in Frage stellen. Instrumente zur Beurteilung durch Dritte Viele Beratungsunternehmen bieten Instrumente zur Beurteilung der Risikokultur an. Die meisten basieren auf Fragebögen zur Befragung von Mitarbeitern; einige kombinieren diese mit teilstrukturierten Interviews. Es gibt drei potenzielle Vorteile bei der Verwendung von Instrumenten Dritter: • Das Instrument sollte theoretisch von erfahrenen Experten entwickelt worden sein, die wissen, wie man die Risikokultur bewertet • Dritte befinden sich außerhalb der Risikokultur des Unternehmens, was helfen sollte, Interpretationsverzerrungen zu vermeiden • Dritte können das Ergebnis einer Bewertung mit anderen, ähnlichen Unternehmen vergleichen und den Austausch bewährter Verfahren unterstützen. Wesentliche Nachteile sind: • Dritte werden nur begrenzten Einblick in die Risikokultur eines Unternehmens haben und verstehen sie nicht so tief wie interne Risikoexperten; • Fragebögen sind ggf. generisch und nicht auf das Unternehmen zugeschnitten; • Fragebögen fokussieren sich manchmal auf das Management der Risikokultur und nicht auf die tatsächliche, zugrundeliegende Risikokultur. Sie gehen zudem davon aus, dass es einen einzigen, optimalen Ansatz für das Management der Risikokultur gibt, was nicht der Fall ist. Wenn ein Dritter mit der Bewertung der Risikokultur beauftragt wird, wird empfohlen, dass mindestens sowohl Fragebögen als auch Interviews durchgeführt werden sollten. Außerdem sollte der Fragebogen an die besonderen Umstände des Unternehmens angepasst werden. Vorsicht ist geboten, wenn eine dritte Partei eine Risikokultur-”Punktzahl” als Hinweis auf die “Stärke” der Risikokultur eines Unternehmens anbietet. Solche Bewertungen beruhen auf der falschen Vorstellung, dass es einen optimalen Ansatz für die Risikokultur gibt. Diesen gibt es nicht.
11
Überwachung der Risikokultur: RisikokulturKennzahlen
Bewertungen der Risikokultur liefern eine zeitpunktbezogene Einschätzung. Dies kann nützlich sein, wenn ein Unternehmen damit beginnt, ihre Risikokultur proaktiver zu managen, oder um die Geschäftsleitung und den Vorstand für die Risikokultur zu sensibilisieren. Risikokulturen ändern sich jedoch regelmäßig, d.h., dass entweder die Bewertung regelmäßig wiederholt werden muss oder alternative Messgrößen identifiziert werden, um diese Veränderung zu verfolgen. Die Bewertung der Risikokultur ist ressourcenintensiv. Eine kosteneffektivere Lösung ist die Kombination von gelegentlichen (z. B. jährlichen, zweijährlichen oder sogar dreijährlichen) Bewertungen mit monatlichen oder möglicherweise vierteljährlichen RisikokulturKennzahlenberichten. Tabelle 2 enthält eine Liste von Kennzahlen, die in Unternehmen zur Überwachung der Risikokultur verwendet werden. Diese Unternehmen tendieren dazu, bereits vorhandene Kennzahlen zu verwenden, um die damit verbundenen Kosten zu reduzieren, wählen aber die Kennzahlen sorgfältig aus, um sicherzustellen, dass sie relevant sind. Es gibt keine maximale oder minimale Anzahl von Kennzahlen, Unternehmen sollten diejenigen auswählen, die für sie relevant sind. Es wird jedoch empfohlen, Kennzahlberichte kurz zu halten, typischerweise 1-2 Seiten, da das Management sonst keine Zeit hat, sie zu überprüfen. Kennzahl Personalfluktuation
Personalverhalten Richtlinienkonformität Interne Revision
Verluste und Beinaheschäden Risikokommunikation
Beschreibung Eine hohe Fluktuation bedeutet, dass eine beträchtliche Anzahl neuer Mitarbeiter in das Unternehmen eintritt, was die soziale Mischung und damit die Risikokultur verändert. Eine hohe Fluktuation kann auch eine Warnung vor moralischen Problemen sein, die ein Element der Risikokultur haben können. Im Gegensatz dazu erhöht eine geringe Fluktuation das Potenzial für “Gruppendenken”. Gruppendenken ist ein Problem, weil falsche und ungenaue Wahrnehmungen über Risiken und Risikomanagement unangefochten bleiben. Ein Rückgang oder Anstieg von Mitarbeiterbeschwerden und Disziplinarmaßnahmen kann auf eine Veränderung der Risikokultur (negativ oder positiv) hinweisen. Ein Anstieg der Konformität ist ein positiver Indikator für die Risikokultur und deutet darauf hin, dass sich Einstellungen und Verhaltensweisen verbessern (und umgekehrt). Eine hohe oder geringe Anzahl von Revisionsfeststellungen ist nicht unbedingt ein Indikator für die Risikokultur, auch in Bereichen mit angemessener Risikokultur kann es Verbesserungsbedarf bei Kontrollen geben. Lange Verzögerungen bei der Behebung von Revisionsfeststellungen können jedoch auf Verhaltensprobleme oder mangelndes Wissen und Verständnis für die Notwendigkeit eines effektiven betrieblichen Operational Risk Managements hinweisen. Eine plötzliche Zunahme oder Abnahme von Verlusten und Beinaheschäden könnte auf eine Veränderung der Risikokultur zurückzuführen sein. Darüber hinaus können Auswertungen zu den Ursachen von Verlusten und Beinaheschäden eine Suche nach kulturellen Faktoren beinhalten. Eine einfache, aber aussagekräftige Kennzahl ist die Anzahl der Fälle, in denen Geschäftsbereiche die Operational-Risk-Funktion um unaufgeforderte Beratung bitten. Dies zeigt den wahrgenommenen Wert der Operational-Risk-Funktion an. Tabelle 2: Beispiele für Risikokultur-Kennzahlen 12
Es hat sich bewährt, Kennzahlen von verschiedenen Standorten und Abteilungen miteinander zu vergleichen, um das Erkennen von Subkulturen zu vereinfachen. Eine Möglichkeit, passende Kennzahlen zu finden besteht darin, eine erste Bewertung mit einem oder mehreren der oben genannten Instrumente durchzuführen. Die Ergebnisse dieser Bewertung können dann zur Auswahl eines geeigneten Satzes von Risikokultur-Kennzahlen verwendet werden. Im Idealfall sollten neben der Risikofunktion Mitarbeiter aus dem gesamten Unternehmen an der Auswahl der Messgrößen beteiligt sein, insbesondere der Vorstand/die Geschäftsleitung, die Personalabteilung und die interne Revision Die Rolle von HR und der Internen Revision bei der Überwachung der Risikokultur Erfahrene Personal- und Innenrevisionsfachleute verfügen über ein breites Wissen über ein Unternehmen und seine Funktionsweise sowie über die beteiligten Gruppen und Persönlichkeiten. Sie sollten daher bei der Überwachung der Risikokultur mit den OpRiskKollegen zusammenarbeiten. Sobald HR oder die Interne Revision Bedenken hinsichtlich eines bestimmten Aspekts der Risikokultur oder der Subkultur eines Bereichs haben, sollten sie diese der OpRisk-Funktion sowie dem betreffenden Risikokomitee melden.
13
Die Beeinflussung der Risikokultur: mögliches Eingreifen
Die Risikokultur eines Unternehmens unterliegt Veränderungen. Aktuelle Ereignisse und Veränderungen in der Zusammensetzung der Mitarbeiter des Unternehmens wirken sich sowohl positiv als auch negativ auf die Risikokultur aus. Beim Versuch, die Risikokultur zu kontrollieren, wird in den natürlichen Entwicklungskreislauf eingegriffen. Unternehmen können erfolgreich eingreifen, um ihre Risikokultur zu manipulieren. Ebenso können sie Maßnahmen ergreifen, die im besten Fall ineffektiv sind und im schlechtesten Fall eher negative Aspekte betonen. Es ist äußerste Vorsicht geboten. Bei der Steuerung der Kultur ist eine regelmäßige Überwachung unerlässlich, um sicherzustellen, dass die Maßnahmen den gewünschten Effekt haben.
Es gibt zahlreiche Möglichkeiten, die Risikokultur zu beeinflussen. Für den größtmöglichen Erfolg sollten Maßnahmen auf bestimmte Aspekte der Risikokultur ausgerichtet sein, die ein Unternehmen verändern möchte. Breit angelegte, weitreichende Projekte zur Veränderung der Risikokultur sind in der Regel nicht erfolgreich. Eine wirksame Veränderung der Risikokultur erfolgt schrittweise und braucht Zeit. Während sich Mitarbeiter gegen groß angelegte, schnelle Veränderungen wehren werden, werden sie schrittweise Veränderungen wahrscheinlich akzeptieren. Im Folgenden werden gängige Maßnahmen zur Beeinflussung der Risikokultur beschrieben. Strategie und Führung (einschließlich Tonfall) Die Strategie eines Unternehmens in Bezug auf seine Vision, Mission und Ziele kann einen erheblichen Einfluss auf ihre Risikokultur haben und umgekehrt. Unternehmen, die eine aggressive kurzfristige Wachstums- oder Marktanteilstrategie verfolgen, werden wahrscheinlich feststellen, dass sich ihre Risikokultur ändern wird (d.h. das Unternehmen wird risikofreudiger). Umgekehrt wird ein Unternehmen, das eine konservative Market Follower-Strategie verfolgt, zu einer risikoaversen und risikokontrollierenden Kultur tendieren. Es sollte darauf geachtet werden, keine Strategie zu verabschieden, die im Widerspruch zur vorherrschenden Kultur steht. Zum Beispiel sollten Unternehmen mit einer konservativen, risikoaversen Kultur nicht plötzlich eine aggressive gewinn- oder wachstumsorientierte Strategie verabschieden – denn für ihre Mitarbeiter wird die Umsetzung einer solchen Strategie schwierig, da sie im Widerspruch zu ihren bereits bestehenden Überzeugungen und zu den zugrundeliegenden Annahmen über die Ziele ihres Unternehmens steht. Führungskräfte und Manager in einem Unternehmen haben einen bedeutenden Einfluss auf die Risikokultur der Unternehmen. Führungskräfte der obersten Ebene beeinflussen im Allgemeinen die gesamte Risikokultur des Unternehmens, während Führungskräfte der mittleren Ebene (Abteilungsleiter usw.) einen erheblichen Einfluss auf die Subkulturen eines Unternehmens haben. Einige Möglichkeiten, wie Führungskräfte und Manager einen positiven Einfluss auf die Risikokultur haben können, sind
14
• sichtbar und konsistent sein in dem, was sie sagen und tun - auf eine Art und Weise handeln, die die Werte des Unternehmens sowie ihre Richtlinien und Verfahren unterstützt • klare Botschaften bezüglich ihrer Erwartungen an das Risikomanagement und die Entscheidungsfindung aussenden. Einschließlich einer klaren Stellungnahme zur Risikobereitschaft und der Richtlinie für das OpRisk Management • Deutlich machen, dass alle Bereiche des Risikomanagements, einschließlich des Managements operationeller Risiken, wichtige, wertschöpfende Disziplinen sind und nicht nur Kostenstellen • Offen für Herausforderungen und resistent gegen Probleme wie “Gruppendenken” sein. Wobei die oberste Führungsebene blind oder sogar aktiv feindselig gegenüber neuen Informationen über ihre Risikoexponierung und Risikomanagementstrategie werden kann. Gruppendenken kann auch zu Selbstüberschätzung führen - durch den Glauben, “dass das hier nicht passieren wird”. Risikoappetit und Toleranz Der Risikoappetit eines Unternehmens, einschließlich seiner Risikobereitschaft und -toleranz für operationelle Risiken, wirkt sich auf ihre Risikokultur aus. Wie bei der Strategie werden Unternehmen mit hoher Risikobereitschaft und -toleranz wahrscheinlich eine risikofreudige Kultur fördern. Unternehmen mit geringer Risikobereitschaft und -toleranz haben dagegen in der Regel eine eher risikoaverse und kontrollierende Kultur. Wesentliche Änderungen der Risikobereitschaft und -toleranz sollten vermieden werden. Den Mitarbeitern wird es nämlich schwerfallen, sich anzupassen, da die vorherrschende Risikokultur das vorherige Appetit-/Toleranzniveau wiederspiegeln wird. Damit sich die Kultur anpassen kann, sollten Änderungen der Risikobereitschaft oder des Toleranzniveaus schrittweise erfolgen. HR Richtlinien und Verfahrensweisen HR Prozesse und Managementtechniken spielen eine wichtige Rolle bei der Beeinflussung der Risikokultur. Instrumente sind z.B.: Ethikstandards und Code of Conduct Ethische Standards und Kodizes sollten die Werte, Verhaltensweisen und Einstellungen verdeutlichen, die in Bezug auf das Management von operationellen Risiken erwartet werden. Sie können z. B. dazu verwendet werden, das Interesse an einer effektiven Unternehmensführung und Compliance zu fördern. Ebenso können sie ein breiteres Verständnis für die Bedürfnisse der verschiedenen Stakeholder fördern (z. B. in Bezug auf die Kundenbetreuung oder die Sorge um das weitere physische und finanzielle Umfeld) oder eindeutige Botschaften über die Unannehmbarkeit bestimmter Risikoarten, wie z. B. interner Betrug, vermitteln. Einstellung und Auswahl Unternehmen, die ihre Risikokultur verändern wollen, können z.B. neue Mitarbeiter einstellen (insbesondere in Führungs- und Managementpositionen), die sich besser in die gewünschte Kultur einfügen. Die kulturelle Anpassung eines neuen Mitarbeiters oder einer neuen Mitarbeiterin kann mit Techniken wie Rollenspielen, psychometrischen Tests und kompetenzbasierten Interviews bewertet werden.
15
Leistungsbewertung und Mitarbeiterbeurteilung How staff are rewarded and the appraisal criteria on which they receive these rewards can have a significant effect on risk culture. For example, large bonus payments may promote a culture of significant risk-taking, while the potential for bonus clawbacks may promote a longer term perspective on risk-taking. Similarly, rewards that are based on short term performance criteria (e.g. sales or quarterly profits) may also promote a culture of excessive risk-taking. It is recommended that relevant professionals, from the operational risk function and or the HR function, as appropriate, should be consulted about the organisation’s performance management and appraisal strategy to ensure that it promotes an appropriate risk culture. Rückforderung von Boni eine längerfristige Perspektive der Risikobereitschaft fördern kann. Ebenso können Belohnungen, die auf kurzfristigen Leistungskriterien basieren (z. B. Umsatz oder Quartalsgewinne), eine Kultur der übermäßigen Risikobereitschaft fördern. Es wird empfohlen, dass relevante Experten aus der OpRisk- bzw. und/oder der HR-Funktion zur Leistungsbeurteilungs- und Bewertungsstrategie eines Unternehmens hinzugezogen werden, um sicherzustellen, dass eine angemessene Risikokultur gefördert wird. Um eine angemessene Risikokultur zu fördern wird zudem empfohlen, dass • Vergütungen auf längerfristigen Leistungskriterien basieren, wie z.B. Kundenzufriedenheit und –bindung oder Gewinne über Zeiträume von mehr als einem Jahr • Vergütungen und Beurteilungen sowohl die Bedeutung von operationellen Risiken und deren Management sowie von Gewinn- und Umsatzwachstum wiederspiegeln sollten • Mechanismen wie Bonusrückforderungen zu dem Zweck eingeführt werden, die Konsequenzen unangemessener Risikobereitschaft und Kontrollentscheidungen aufzuzeigen • Einführungs- und Fortbildungskurse für Mitarbeiter genutzt werden, um das Bewusstsein für operationelle Risiken und die Akzeptanz der Richtlinien und Verfahren zum Management operationeller Risiken zu erhöhen Kommunikation: Formell und informell Effektive Kommunikationswege - sowohl formell als auch informell – sind ein starkes Instrument, um die Risikokultur zu beeinflussen. Beispiele dafür sind: • Etablierung einer gemeinsamen Sprache (Taxonomie) für operationelle Risiken und deren Management, um Missverständnisse zu vermeiden • In größeren, insbesondere geografisch verstreuten Unternehmen muss sichergestellt werden, dass sich die Mitarbeiter nicht abgekoppelt fühlen und möglicherweise ihre eigenen destruktiven Risikosubkulturen entwickeln. Dazu kann ein regelmäßiger Telefon- oder E-MailKontakt mit der zentralen Funktion für operationelle Risiken gehören, wobei idealerweise Besuche vor Ort an den betreffenden Standorten sowie die Ermutigung von Mitarbeitern aus weiter entfernten Standorten, die Zentrale zu besuchen, gefördert werden sollten • Der Aufbau klarer Kommunikationskanäle, um sicherzustellen, dass potenzielle Bedenken so schnell wie möglich eskaliert werden
16
• Sicherstellen, dass die Mitarbeiter das Gefühl haben, dass sie dem Management vertrauen können, dass es sich ihre Bedenken bezüglich des operationellen Risikos und dessen Management anhört. Die Etablierung einer “gerechten” Kultur, die eine offene, schuldfreie Berichterstattung fördert und gleichzeitig sicherstellt, dass die Rechenschaftspflicht aufrechterhalten wird, ist von größter Bedeutung. Die Einführung eines effektiven Whistleblowing-Verfahrens ist ebenso wichtig • Regelmäßige Verstärkung der Schlüsselbotschaften zum Management des operationellen Risikos durch Roadshows, Präsentationen, Webinare, Kaskadenmaterialien usw. Prozess- und Systemgestaltung Die Prozesse und Systeme eines Unternehmens reflektieren und beeinflussen ihre Risikokultur. Signifikante Änderungen ihrer Art, ihres Designs oder ihrer Implementierung können sich erheblich auf die Risikokultur eines Unternehmens auswirken. Wirksame Maßnahmen umfassen: • Die Absicherung, dass Systeme und Prozesse nicht so sehr automatisiert wer-den, dass die Mitarbeiter die Fähigkeit verlieren, selbst zu denken und (inner-halb klarer Grenzen) kreativ zu sein, wenn die Situation es erfordert • Die Gestaltung flexibler Prozesse und Systeme, die sich bei Bedarf an veränderte Ri-siko- und Geschäftsumgebungen anpassen können. Dazu gehört auch die Flexibilität der Mitarbeiter, die diese Systeme und Prozesse bedienen. Aussagen wie ‚so haben wir das hier immer gemacht‘ passen nicht zu einem effektiven Management der Risi-kokultur Risiko Governance Die Risiko Governance eines Unternehmens kann einen bedeutenden Einfluss auf das Management ihrer Risikokultur haben, insbesondere in Bezug auf die Steuerung von RisikoSubkulturen. Unter anderem sind dies: • Lange Berichtslinien, die eine ‘’Abfallhierarchie“ erschaffen können– wodurch Informationen zu operationellen Risiken verfälscht oder sogar verschleiert werden können (um lokale Vorhaben zu schützen), während sie nach oben weitergeleitet werden • Komplexe Abteilungs- und Divisionsstrukturen, die die Entwicklung von Subkulturen begünstigen können, insbesondere in Bereichen, die organisatorisch weit von der Zentrale entfernt sind • Fusionen und Übernahmen, die ein besonders sorgfältiges Risikokultur-Management erfordern, um diejenigen Aspekte der fusionierten Kulturen zu bewahren, die das Unternehmen beibehalten möchte, und um mit etwaigen Kulturkonflikten umzugehen. Eine Möglichkeit, dieses Problem anzugehen, ist die Versetzung von Mitarbeitern innerhalb des neuen Unternehmens, d. h. die Abstellung von Mitarbeitern in andere Geschäftsbereiche, inklusive der Abstellung in die OpRisk-Funktion • Die Einbettung der Risikobewertung und der Kontrollverantwortung in das Unternehmen – so dass diese nicht nur als die Aufgabe der Risikoexperten angesehen werden. Eine Möglichkeit dabei ist die Benennung von ‚Risk Champions’, die als Netzwerk von Unterstützern für das Risikomanagement im gesamten Unternehmen fungieren. Risk Champions können sich nur auf OpRisk oder auf oder auf ein breiteres Spektrum von Risiken konzentrieren • Die Entwicklung einer stärkeren Zusammenarbeit von erster und zweiter Verteidigungslinie, so dass OpRisk Experten die Entscheidungsfindung im Unternehmen aktiv unterstützen.
17
Fazit
Die Risikokultur eines Unternehmens ist eine wichtige Komponente für ihren Erfolg oder Misserfolg. Unternehmen, die über eine geeignete Risikokultur verfügen, sind i.d.R. besser in der Lage, Risiken und Chancen auszugleichen, ihre Ziele zu erreichen und gleichzeitig potenziell destruktive Überraschungen auf dem Weg dorthin zu vermeiden. Eine Risikokultur ist keine Selbstverständlichkeit und kann gemanagt werden. Dies kann jedoch nicht mechanisch oder stereotyp passieren. Urteilsvermögen wird immer erforderlich sein und der Expertise von Risikoexperten, insbesondere solchen mit Erfahrung im Bereich des operationellen Risikos, sollte die gebührende Bedeutung beigemessen werden.
18
Anhang A: Beispiel für einen Fragebogen zur Risikokultur
Bitte geben Sie an, inwieweit Sie den folgenden Aussagen zustimmen oder nicht zustimmen (Q1Q5) 1. In meinem Verantwortungsbereich (je nach Ihrer Rolle bedeutet dies Ihre Funktion, Abteilung oder Ihr Geschäftsfeld)...
2. In meinem Verantwortungsbereich gibt es effektive Prozesse, …
19
3. In meinem Verantwortungsbereich ist das Risikomanagement…
4. In meinem Verantwortungsbereich wird Wert gelegt auf…
5. In my area of responsibility, if things go wrong, effective processes are in place to…
6. Bitte nennen Sie die durchschnittliche aufgewandte Prozentzahl von Arbeitszeit für die folgenden Aktivitäten…
20
7. Bitte geben Sie an, wie oft Sie monatlich eMail oder Telefonkontakt haben mit…
8. Bitte geben Sie an, wie oft Sie monatlich ein Einzelgespräch führen mit…
9. Bitte geben Sie an, wie oft Sie monatlich durchschnittlich an Gruppenterminen teilnehmen mit...
21
10. Verglichen mit Ihren früheren Erfahrungen (in Ihrem derzeitigen Unternehmen oder anderen Unternehmen), geben Sie bitte an, inwieweit sich in den letzten 2-3 Jahren in den folgenden Bereichen Veränderungen ergeben haben.
22
www.theirm.org
Developing risk professionals