In Abwandlung eines bekannten Sprichworts kann plakativ formuliert werden: Wenn die Unternehmensleitung den „Risiko-Wald“ vor lauter Bäumen nicht mehr sieht, fällt ihr auch das strategische Entscheiden schwer. Nun hat eine Bank ja gerade ein Risikomanagement, das die vielen Risiken aus dem Geld- und Kapitalmarkt sowie dem Absatzmarkt im Blick behält. Allerdings ist das Risikomanagement traditionell auf vordefinierte Risiken ausgerichtet, arbeitet Standardprozesse der Risikobewältigung ab und wird dann gelobt, wenn es die Risiken möglichst frühzeitig und komplett herausfiltert. Vor lauter (absolut unbestreitbarer) Kompetenz tappt das Risikomanagement damit dennoch in eine typische „Kompetenzfalle“: Prozesse, die man nicht als suboptimal erkennt und die eigentlich auch zufriedenstellende Ergebnisse hervorbringen, werden immer weiter standardisiert und routinisiert, anstatt neue, optimale Prozesse zu erlernen und einzuführen.
Das Risikosteuerungsproblem
Risiken für das Geschäftsmodell von Banken sind hoch komplex, miteinander vernetzt, eigendynamisch und treten in Zeiten sozialer Medien annähernd ohne Vorwarnzeit auf. Ihre Wirkungen können sich addieren und schnell zu einer „Risiko-Lawine“ entwickeln. Jeder weiß beispielsweise, wie sensibel die Frage der Kontoführungsgebühren von Kunden diskutiert wird und wie schnell sich Vergleichsinformationen unter Kunden herumsprechen. Abnehmende Bindungsbereitschaft der Kunden, Niedrig- respektive Negativzinsphase, Regulierung und Aufsicht, Digitalisierung, der demografische Wandel, Arbeitskräfteverfügbarkeit – alles dies kommt noch hinzu. Der Vorstand einer Bank muss aus seinen Risikoinformationen unternehmenssichernde strategische Maßnahmen ableiten. Doch wie soll er dies tun, wenn viele möglicherweise relevante Risikoinformationen bereits herausgefiltert wurden? Insbesondere das Risikomanagement ist stolz darauf, wenn Gefahren, Risiken und Probleme gar nicht erst „nach oben“ gemeldet werden müssen, weil man bereits Lösungen hat.
Risk Governance als Durchbrechen der Risikosteuerungsroutine
Risk Governance unterstützt den Vorstand einer Bank dabei, aus seinen umfassenden Risikoinformationen unternehmenssichernde strategische Maßnahmen abzuleiten. Hierzu wird das Risikomanagement ergänzt um ein die gesamte Bank durchziehendes „Radar“, das nach potenziellen externen und internen Unternehmensgefahren Ausschau hält. Konkret wird dies als Risk-Governance-Zirkel eingeführt, der – ähnlich wie ein Qualitätszirkel in Produktionsunternehmen – unter Beteiligung von Mitarbeitern aus allen Funktionsbereichen einer Bank Risikoinformationen oder Bedenken aufnimmt, systematisiert und im Hinblick auf die Auswirkungen auf das Geschäftsmodell hin diskutiert. Das gelebte Motto „Jeder Mitarbeiter ist ein Risikomanager“ führt nicht nur zur Stärkung der Risikokultur in der Bank, sondern auch dazu, dass breit nach möglichen Herausforderungen gesucht wird: So sieht eine Person aus dem Vertrieb oder dem Handel andere Risiken als ein Risikocontroller, ein Personaler oder ein IT-ler. Sie vertrauen unmittelbar ihrem Risiko- und Chanceninstinkt und sollen vorausdenken und Zweifel anmelden.
Ein Vorstand muss Risk Governance im Blick haben
Damit letztlich der verantwortliche Vorstand der Bank über die strategische Anpassung des Geschäftsmodells entscheiden kann, bewertet der Risk-Governance-Zirkel die Risiken mit Geschäftsmodellbezug nur vorläufig und übermittelt sie dann ohne zu starkes Herausfiltern an den Vorstand. Dieser gleicht die gemeldeten Risikobereiche mit seiner strategischen Positionierung ab, setzt sich mit Widersprüchen auseinander, modifiziert im Lichte neuer Risikofakten seine Planung von Zielen, Prioritäten und Ressourceneinsatz und entwickelt das Geschäftsmodell weiter. Einiges davon kann der Vorstand nachfolgend sicherlich delegieren, beispielsweise konkrete Planungsprojekte initiieren. Aber: Zunächst hat diese Risk Governance dazu geführt, dass der Vorstand überhaupt die konkrete Risikolandschaft seiner Bank in seinen eigenen Überlegungen abbildet.
