top of page

Governance und Risikokultur: Neuer Leitfaden der EZB

Aktualisiert: 3. Nov. 2024


Link zum Dokument

Draft guide on governance and risk culture

Art des Dokuments

Leitfaden

Veröffentlichung

24. Juli 2024

Konsultationsfrist bis

16. Oktober 2024


Die Europäische Zentralbank (EZB) hat am 24. Juli 2024 eine öffentliche Konsultation zu einem neuen Leitfaden über Governance und Risikokultur eingeleitet.


Der Leitfaden spiegelt den Fokus der EZB auf vielfältige und effektive Führungsgremien wider, der eine aufsichtliche Priorität des Einheitlichen Aufsichtsmechanismus darstellt, und legt die aufsichtlichen Erwartungen an die Governance und Risikokultur der beaufsichtigten Banken dar. Er bietet den Banken einen Fahrplan für eine effektivere interne Governance und Risikokultur

 

Der Leitfaden

 

  • enthält die Erwartungen der Aufsichtsbehörden an die Zusammensetzung und Funktionsweise von Leitungsorganen und Ausschüssen,

  • definiert die Rollen und Verantwortlichkeiten der internen Kontrollfunktionen,

  • hebt die Bedeutung einer Risikokultur hervor und

  • umreißt die Erwartungen an die Risikobereitschaft der Banken. 

 

Sowohl die globale Finanzkrise als auch idiosynkratische Bankenzusammenbrüche haben gezeigt, dass Schwächen in der internen Governance und der Risikokultur den Banken Schwierigkeiten bereiten können: unzureichende Entscheidungsprozesse können zu einem Ungleichgewicht zwischen Risikoübernahme und Risikokontrolle führen, was letztlich Risiken für das Kapital mit sich bringen und die operative Widerstandsfähigkeit der Banken untergraben kann. 


Die Risikokultur ist dabei eng mit der Governance verknüpft und umfasst Einstellungen und Verhaltensweisen im Umgang mit Risiken auf allen Ebenen einer Bank. Die EZB stellt dabei hohe Erwartungen an die Banken, um eine nachhaltige Geschäftsführung sicherzustellen, die den regulatorischen Standards entspricht und eine gesunde Risikokultur fördert​.


Der Leitfaden zielt darauf ab, die Erwartungen der EZB zu konkretisieren, ohne jedoch neue regulatorische Anforderungen einzuführen. Er bezieht sich auf internationale Standards, die durch die Capital Requirements Directive (CRD) und Richtlinien der Europäischen Bankenaufsichtsbehörde (EBA) auf EU-Ebene festgelegt wurden, und unterstützt Banken dabei, ihre internen Governance-Standards zu verbessern



Anwendungsbereich

Der Leitfaden richtet sich an bedeutende Kreditinstitute, die unter der direkten Aufsicht der EZB stehen, und berücksichtigt die aktuellen regulatorischen Anforderungen der EU sowie die einschlägigen Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA).


Die EZB empfiehlt auch, dass die nationalen zuständigen Behörden (NCAs) die in diesem Leitfaden dargelegten Erwartungen und Praktiken berücksichtigen, wenn sie die Governance weniger bedeutender Institute bewerten. Ziel dieser Empfehlung ist es, eine kohärente Aufsichtspraxis sicherzustellen, die auch kleinere Banken dazu anregt, solide Governance- und Risikokulturstandards zu etablieren. Diese Ausrichtung auf die Erwartungen der EZB soll dazu beitragen, Stabilität und Qualität in der gesamten EU-Bankenlandschaft zu gewährleisten, unabhängig von der Größe oder Bedeutung der einzelnen Institute.


 

Governance und Risikokultur: Bedeutung für Banken

Der Leitfaden hebt hervor, dass effektive Governance-Strukturen und eine gesunde Risikokultur für eine stabile Entscheidungsfindung und das Risikomanagement entscheidend sind.


 Governance-Definition und Rahmenbedingungen

Der Begriff „Governance“ umfasst die Organisation einer Bank, die Entscheidungsprozesse und das Risikomanagement. Laut den EU-Richtlinien müssen Banken über eine klare, transparente Organisationsstruktur mit eindeutig definierten Zuständigkeiten verfügen. Die „drei Verteidigungslinien“ (operatives Management, Risikomanagement und Compliance, interne Revision) gelten als Schlüsselelemente, die sicherstellen, dass Risiken korrekt behandelt und in die strategischen Pläne der Bank integriert werden​.


Risikokultur und ihre Dimensionen

Die Risikokultur einer Bank beeinflusst die tägliche Entscheidungsfindung und das Verhalten gegenüber Risiken.


Sie besteht aus vier zentralen Dimensionen:


  1. Ton von oben und Führung: Die Vorbildfunktion des Managements fördert eine Kultur des vorsichtigen Umgangs mit Risiken und stellt sicher, dass die definierten Werte der Bank eingehalten werden.

  2. Kultur der Kommunikation und Herausforderung: Eine offene Kommunikation und die Bereitschaft, Entscheidungen kritisch zu hinterfragen, sind für eine gesunde Risikokultur essenziell.

  3. Verantwortlichkeit für Risiken: Es ist wichtig, dass Mitarbeiter und Führungskräfte für ihre Entscheidungen und das Risikoverhalten verantwortlich sind.

  4. Anreize und Vergütung: Die Anreizstrukturen sollten so gestaltet sein, dass sie vorsichtiges Risikoverhalten fördern und kurzfristige Gewinne nicht über die langfristigen Interessen der Bank stellen.


Bewertung der Governance-Strukturen

Die EZB bewertet die Governance-Strukturen auf Basis der nationalen und EU-rechtlichen Vorgaben sowie internationaler Standards. Die Anforderungen werden proportional zur Größe, Komplexität und dem Risikoprofil der Bank angewandt. Diese Bewertung umfasst auch spezifische Prüfungen zu Themen wie die Zusammensetzung der Leitungsorgane und die Angemessenheit der internen Kontrollmechanismen.


Bedeutung und Überwachung der Risikokultur

Die EZB erwartet, dass Banken ihre Risikokultur regelmäßig überwachen und die Ergebnisse auf Leitungsebene diskutieren. Dabei sollten sowohl Verhaltensaspekte als auch kulturelle Faktoren berücksichtigt werden, um Abweichungen zwischen den Werten der Bank und dem tatsächlichen Verhalten zu identifizieren und zu adressieren.



Erwartungen an das Leitungsorgan (Management Body)

Der Leitfaden betont, wie eine effektive Organisation und Zusammensetzung dieses Gremiums zur Stabilität und Sicherheit der Bank beitragen.


Aufgaben des Leitungsorgans

Das Leitungsorgan ist für die Gesamtverantwortung der Bank zuständig, insbesondere für die Umsetzung von Governance-Strukturen und die Aufsicht über das Risikomanagement und interne Kontrollen. Die klare Trennung zwischen Management- und Aufsichtsfunktionen wird als essenziell erachtet, um effektive Kontrollen zu gewährleisten und Interessenkonflikte zu vermeiden. Die Mitglieder sollen in der Lage sein, die Entscheidungen des Senior Managements kritisch zu hinterfragen und die Umsetzung der Strategie und die Wirksamkeit der Governance zu überwachen​.


Struktur und Zusammensetzung

Die Struktur und Zusammensetzung des Leitungsorgans spielen eine entscheidende Rolle für dessen Effizienz. Die EZB empfiehlt eine diverse Zusammensetzung des Gremiums, die verschiedene Fähigkeiten und Erfahrungen umfasst, um ein umfassendes Verständnis der Bankgeschäfte und der damit verbundenen Risiken zu ermöglichen. Die Größe des Gremiums sollte so gewählt sein, dass die Qualität der Diskussionen nicht leidet und ein Gleichgewicht zwischen großen und kleinen Gruppen gefunden wird.


Nutzung von Komitees

Zur Bewältigung spezialisierter Themen werden verschiedene Komitees empfohlen:


  • Risikokomitee: Unterstützt bei der Entwicklung und Überwachung der Risikostrategie.

  • Prüfungskomitee: Überwacht die interne Revision und den Umgang mit externen Prüfern.

  • Nominierungskomitee: Fördert die Auswahl neuer Gremienmitglieder und überwacht die Nachfolgeplanung und Diversität.

  • Vergütungskomitee: Berät zu Vergütungsentscheidungen, um ein ausgewogenes Verhältnis zwischen Risiko und Anreizsystemen zu gewährleisten.


Rolle des Vorsitzenden

Der Vorsitzende sollte unabhängig und nicht exekutiv sein und die offene Diskussion und Herausforderung innerhalb des Gremiums fördern. Dies verhindert eine unkontrollierte Machtkonzentration und stellt sicher, dass die Aufsichtsfunktion unabhängig agieren kann.


Nachfolgeplanung und Schulung

Eine sorgfältige Nachfolgeplanung ist wichtig, um die Stabilität und den reibungslosen Übergang in kritischen Positionen sicherzustellen. Regelmäßige Schulungen sind ebenfalls wichtig, um die Qualifikationen der Gremienmitglieder auf aktuellem Stand zu halten und eine wirksame Erfüllung ihrer Aufsichtspflichten zu gewährleisten. Die EZB erwartet, dass die Nachfolgeplanung gut strukturiert ist und potenzielle Nachfolger frühzeitig identifiziert und auf die Übernahme vorbereitet werden.


Interaktion und Informationsfluss

Die Interaktion zwischen dem Leitungsorgan und seinen Komitees wird gefördert, um den Informationsaustausch zu optimieren. So soll jedes Mitglied des Leitungsorgans Zugang zu den relevanten Informationen haben, um fundierte Entscheidungen treffen zu können. Zudem sind spezifische Leitlinien vorgesehen, wie etwa die regelmäßige Berichtspflicht der Komitees an das Leitungsorgan, um Transparenz und Verständlichkeit zu gewährleisten​.



Interne Kontrollfunktionen


Governance der internen Kontrollfunktionen

Die internen Kontrollfunktionen, bestehend aus Risiko-, Compliance- und Revisionsfunktionen, müssen unabhängig agieren, genügend Befugnisse haben und organisatorisch klar getrennt von den Geschäftsbereichen sein. Die Risikomanagementfunktion identifiziert, bewertet und überwacht alle relevanten Risiken, die Compliance-Funktion stellt die Einhaltung regulatorischer und rechtlicher Vorgaben sicher, und die Interne Revision überprüft die Wirksamkeit des gesamten Kontrollsystems​.


Drei-Linien-Verteidigungsmodell

Das „Drei-Linien-Verteidigungsmodell“ bildet den zentralen Rahmen der internen Kontrolle:

  • Erste Verteidigungslinie: Operative Einheiten tragen die Hauptverantwortung für die Risikomanagementmaßnahmen.

  • Zweite Verteidigungslinie: Die Risikomanagement- und Compliance-Funktionen übernehmen die Überwachung und Bewertung der von der ersten Linie gemeldeten Risiken.

  • Dritte Verteidigungslinie: Die Interne Revision führt unabhängige Überprüfungen der ersten und zweiten Linien durch und berichtet über Defizite an die Geschäftsleitung.


Ressourcen und Unabhängigkeit

Die EZB fordert, dass die Kontrollfunktionen personell und finanziell angemessen ausgestattet sind. Die internen Kontrollfunktionen benötigen qualifiziertes Personal, das regelmäßig geschult wird, sowie die technischen Ressourcen zur Datenanalyse und Kommunikation. Die Leiter der Kontrollfunktionen sollen auf hoher Hierarchieebene positioniert sein und uneingeschränkten Zugang zum Leitungsorgan haben, um sicherzustellen, dass sie effektiv agieren können​.


Zuweisung von Rollen und Verantwortlichkeiten

Die Rollen der internen Kontrollfunktionen sind in internen Richtlinien klar zu definieren. Dies schließt die Zuweisung von Verantwortlichkeiten im Rahmen der drei Verteidigungslinien ein und stellt sicher, dass keine Interessenkonflikte bestehen. Die Verantwortlichkeiten sollten eindeutig zugeordnet sein, und die verschiedenen Kontrollfunktionen müssen eng zusammenarbeiten, um eine umfassende Risikoperspektive zu gewährleisten. So sollte die Compliance-Funktion beispielsweise bei der Genehmigung neuer Produkte konsultiert werden.


Berichterstattung und Kommunikation

Regelmäßige Berichte der internen Kontrollfunktionen an das Managementgremium sind erforderlich, um Transparenz und Verantwortlichkeit sicherzustellen. Die Leiter der Kontrollfunktionen sollen direkten Zugang zu den Aufsichtsgremien haben und im Bedarfsfall ohne Anwesenheit des operativen Managements Bericht erstatten können. Die Berichte umfassen wesentliche Risiken und identifizierte Schwächen sowie Empfehlungen für Korrekturmaßnahmen​.


Externe Überwachung und Anpassung

Wenn Banken interne Kontrollaufgaben auslagern, müssen sie sicherstellen, dass die Dienstleister den gleichen Standards entsprechen. Zudem wird erwartet, dass die Bank regelmäßig die Angemessenheit der ausgelagerten Kontrollfunktionen überprüft und Anpassungen vornimmt, um die Effektivität sicherzustellen. In diesem Zusammenhang sollen die Kontrollmechanismen flexibel genug sein, um sich neuen Risiken, wie etwa IT- und Cybersicherheitsrisiken, anzupassen​.


Spezifische Anforderungen an die einzelnen Kontrollfunktionen

  • Risikomanagement: Diese Funktion ist für eine umfassende Risikoüberwachung zuständig und muss sich an der Festlegung der Risikostrategie beteiligen. Sie sollte in der Lage sein, Risiken sowohl aus finanziellen als auch aus nicht-finanziellen Bereichen zu überwachen.

  • Compliance: Die Compliance-Funktion sorgt für die Einhaltung aller regulatorischen Vorgaben und arbeitet eng mit der Risikomanagementfunktion zusammen, um Überschneidungen zu minimieren.

  • Interne Revision: Die Interne Revision überwacht die Effizienz des Kontrollsystems und führt ein regelmäßiges Audit-Programm durch. Dabei sollten auch neue und aufkommende Risiken berücksichtigt werden, wie etwa Umwelt- und Klimarisiken.



Risk Appetite Framework (RAF)

 Das Risk Appetite Framework stellt einen zentralen Bestandteil eines soliden Governance-Systems dar, das das Risikobewusstsein und die Steuerung innerhalb einer Bank unterstützt.


Konzept des RAF

Das RAF definiert die Risikoakzeptanz der Bank und setzt damit Grenzen, wie viel Risiko die Bank bei der Verfolgung ihrer strategischen Ziele bereit ist einzugehen. Es besteht aus einer Risikoappetit-Erklärung, die die Risikoparameter der Bank umreißt, und umfasst alle wichtigen strategischen Prozesse wie den internen Kapital- (ICAAP) und Liquiditätsbewertungsprozess (ILAAP), Budgetplanung und Vergütungssysteme. Die Europäische Zentralbank (EZB) erwartet, dass das Managementgremium das RAF regelmäßig überprüft und sicherstellt, dass es konsistent angewendet wird und mit der strategischen Ausrichtung der Bank übereinstimmt​.

Umfang und Abdeckung des RAF

Das RAF soll sowohl finanzielle als auch nicht-finanzielle Risiken umfassen, darunter Kreditrisiken, Marktrisiken, operationelle Risiken und spezifische Themen wie IT- und Reputationsrisiken sowie zunehmend umwelt- und klimabezogene Risiken. Die Bank soll spezifische Metriken festlegen, die die verschiedenen Risikodimensionen und die Komplexität ihres Geschäftsmodells abdecken. Ein besonderer Fokus liegt auf der Integration dieser Risiken in das tägliche Risikomanagement und die strategische Planung.


Grenzen und Eskalationsverfahren

Die Risikogrenzen (Limits) im RAF sind so festzulegen, dass sie frühzeitig eine Eskalation ermöglichen, bevor regulatorische Anforderungen verletzt werden. Die EZB fordert, dass diese Grenzen nicht zu hoch angesetzt werden, um reale Überwachungs- und Steuerungsmöglichkeiten zu gewährleisten. Bei Grenzüberschreitungen ist ein Eskalationsverfahren notwendig, das klare Rollen und Verantwortlichkeiten für das Management und die internen Kontrollfunktionen umfasst​.


Implementierung und Überwachung

Die Implementierung des RAF erstreckt sich auf alle Geschäftseinheiten und wichtigen Tochtergesellschaften der Bank. Jede Einheit muss ihre Risikoappetite-Erklärung so gestalten, dass sie mit der gesamten Bankstrategie im Einklang steht. Die Bank sollte zudem ein Risk Appetite Dashboard entwickeln, das die Risikoposition der Bank gegenüber den festgelegten Grenzen regelmäßig vergleicht und dem Leitungsorgan zur Verfügung stellt. Die EZB empfiehlt eine vierteljährliche Überprüfung der Risikoprofile großer Banken, um frühzeitig Risiken zu erkennen und Maßnahmen zu ergreifen.


Verknüpfung mit der Unternehmenskultur und Anreizsystemen

Das RAF soll auch eine starke Risikokultur fördern. Dabei wird erwartet, dass das Vergütungssystem an das RAF gekoppelt wird, indem die variable Vergütung an Risikofaktoren wie Audit-Ergebnisse und Aufsichtsprüfungen gebunden wird. Die Bank sollte ex ante (im Voraus) und ex post (im Nachhinein) Anpassungen vornehmen, um sicherzustellen, dass die Vergütung nur an nachhaltige und risikobewusste Leistungen geknüpft ist. Dies soll verhindern, dass kurzfristige Gewinnziele die Risikosteuerung gefährden​


Schulung und Kommunikation

Ein weiterer Bestandteil des RAF ist die Schulung der Mitarbeitenden, damit diese die Risiken der Bank und ihre eigenen Rollen innerhalb des RAF verstehen. Es wird erwartet, dass die Bank eine formelle Kommunikation über das RAF und dessen Relevanz für jede Abteilung bereitstellt, um eine solide Risikokultur zu etablieren und das Risikobewusstsein auf allen Ebenen zu fördern​.



Aufsichtsansatz der EZB zur Überwachung von Governance und Risikokultur

Die EZB verwendet einen umfassenden und systematischen Ansatz, der eine Kombination aus regelmäßiger Offsite- und Onsite-Überwachung nutzt, um sicherzustellen, dass Banken robuste Governance-Strukturen und eine angemessene Risikokultur pflegen.


Ganzheitlicher Aufsichtsansatz

Die EZB setzt verschiedene Instrumente ein, um eine umfassende Überwachung sicherzustellen. Dazu gehören die Bewertung der Mitglieder des Leitungsorgans und wichtiger Funktionsinhaber durch Eignungsprüfungen („fit and proper assessments“), regelmäßige Überprüfungen der Governance-Dokumentation der Bank (z.B. Richtlinien, Governance-Manuals, Kodizes) sowie Interviews und Meetings mit den Führungskräften. Diese Überprüfungen fließen in den jährlichen Supervisory Review and Evaluation Process (SREP) der EZB ein und helfen dabei, die Eignung von Führungspersonen sowie Governance-Schwächen zu identifizieren und gegebenenfalls zu adressieren.


Vor-Ort-Prüfungen

Zusätzlich zur Offsite-Überwachung führt die EZB Vor-Ort-Prüfungen durch, um potenzielle Schwächen in der Governance und Risikokultur im Detail zu untersuchen. Diese Prüfungen konzentrieren sich oft auf spezifische Themen, die ein hohes Risiko darstellen, wie etwa Verhaltensweisen und kulturelle Aspekte der Bank. Falls Mängel identifiziert werden, können weitergehende Maßnahmen ergriffen werden, um sicherzustellen, dass die Bank den aufsichtsrechtlichen Anforderungen entspricht-


Eskalationsverfahren bei Nichteinhaltung

Im Falle von Verstößen gegen aufsichtsrechtliche Anforderungen kann die EZB Sanktionen verhängen und ein Eskalationsverfahren einleiten. Dazu gehören die Aktivierung der Aufsichtsrechte der EZB, die Verhängung administrativer Strafen und, wenn nötig, die erneute Überprüfung der Eignung von Managementmitgliedern. Ziel dieser Maßnahmen ist es, Verstöße zu beheben und sicherzustellen, dass die Bank rechtliche und regulatorische Vorgaben einhält​.


Thematische Überprüfungen und Benchmarking

Die EZB führt regelmäßig thematische Überprüfungen durch, um Peer-Analysen und Best Practices im Bereich Governance und Risikokultur zu sammeln. Diese Analysen bieten den Banken Einsichten und Vergleichswerte, um ihre eigenen Prozesse und Kulturen zu verbessern. Die Ergebnisse solcher Überprüfungen werden den Banken als Orientierungshilfe zur Verfügung gestellt und tragen zur Weiterentwicklung der Aufsichtspraktiken bei​.


Fortlaufende Entwicklung des Aufsichtsansatzes

Die EZB passt ihren Aufsichtsansatz kontinuierlich an, um neue regulatorische Entwicklungen und sich verändernde Marktbedingungen zu berücksichtigen. Dabei wird auch die Praxis im Bankensektor sowie in der internationalen Aufsicht einbezogen, um den Ansatz beständig zu optimieren und an die dynamischen Anforderungen anzupassen. So wird gewährleistet, dass die EZB ihre hohen Erwartungen in Bezug auf Governance und Risikokultur konsistent und aktuell umsetzt​.

bottom of page