Governance und Risikokultur im Fokus der Aufsicht
Ein Weckruf für die Branche: Der Fall Credit Suisse
Im März 2023 verschärfte sich die jahrelange Vertrauenskrise der Credit Suisse: binnen Tagen zogen Kunden in Panik massiv Gelder ab, der Aktienkurs brach ein, die Bank musste in einer Zwangsübernahme durch die UBS gerettet werden. Die Schweizer Finanzmarktaufsicht FINMA identifizierte in ihrem Bericht vom Dezember 2023 unter anderem tief verankerte Mängel in der Risikokultur der Bank als eine der Kernursachen des Kollapses. Etwa machten die Mosambik-Kredite, die Geschäftsbeziehungen mit den Greensill-Gesellschaften sowie mit dem Family Office Archegos Mängel im gruppenweiten Risikomanagement [1], im Risikomanagement und in der Betriebsorganisation [2] bzw. in der Organisation und dem Risikomanagement [3] sichtbar. Laut FINMA übernahmen die Führungskräfte keine klare Verantwortung und Eskalationsmechanismen funktionierten nur auf dem Papier. Warnsignale aus dem Risikomanagement wurden abgeblockt und Entscheidungswege blieben intransparent. Der Kollaps der Credit Suisse war damit nicht allein Folge externer Marktbedingungen, sondern Ausdruck struktureller Mängel in Governance, Kontrolle und Kultur. Die staatlich orchestrierte Notübernahme der Credit Suisse durch die UBS im März 2023 gilt als der bedeutendste Eingriff in eine systemrelevante Bank in Europa seit der Finanzkrise 2008 und brachte erhebliche Reputations- und Stabilitätsrisiken für das europäische Bankensystem mit sich. [4]
Governance und Risikokultur als zunehmender Prüfungsfokus
Mitunter durch die Krise der Credit Suisse rückte die Risikokultur in den vergangenen Jahren zunehmend in den Fokus der Aufsichtsbehörden.
Schon seit einiger Zeit betont die BaFin die Bedeutung einer risikobewussten Unternehmenskultur als wesentliches Steuerungselement. In den Mindestanforderungen an das Risikomanagement (MaRisk) wird die Geschäftsleitung verpflichtet, eine angemessene Risikokultur zu fördern und dauerhaft zu verankern. Sie müsse in der Lage sein, sämtliche Risiken zu erkennen, zu bewerten und geeignete Maßnahmen zu ihrer Begrenzung zu ergreifen. Zusätzlich ist jeder Geschäftsleiter innerhalb seines Zuständigkeitsbereichs verpflichtet, angemessene Kontroll- und Überwachungsprozesse sicherzustellen.
In seiner Sitzung im November 2024 gab das Fachgremium MaRisk zudem bekannt, dass es im 2. oder 3. Quartal 2025 eine Konsultation zu den „EBA-Leitlinien zu Internal Governance“ geben soll. Inwieweit sich daraus Änderungsbedarf für die MaRisk ergibt, soll zu einem späteren Zeitpunkt geprüft werden. [5]
Darüber hinaus erläuterte der BaFin-Präsident Mark Branson im Mai 2025, dass die Ursache der Schieflage einiger kleiner Banken in der letzten Zeit vermehrt Geschäfte waren, deren Risiken sie nicht verstanden. „Und diese Geschäfte konnten sie machen, weil ihre Führung und ihre Aufsichtsorgane ihren Anforderungen nicht gewachsen waren. Lange Rede kurzer Sinn: Sie hatten eine schlechte Governance.“ Aus seiner Sicht muss sich die BaFin in ihrer Aufsichtstätigkeit deshalb künftig mehr mit dem Faktor Mensch auseinandersetzen. [6]
Auch die EZB setzt in ihren Aufsichtsprioritäten für die Jahre 2025 bis 2027 einen klaren Schwerpunkt auf die Stärkung von Governance-Strukturen und Risikokultur. In Kürze wird die finale Version des Leitfadens zu Governance und Risikokultur erwartet, der im Sommer 2024 erstmalig zur Konsultation gestellt wurde. Dieser Leitfaden konkretisiert die Erwartungen an Banken und deren Führung in Bezug auf Risikokultur, insbesondere hinsichtlich Tone from the Top, Kommunikation, Risikotoleranz (Risk Appetite Framework) und der Ausgestaltung von Anreizsystemen. Der Leitfaden stellt Verknüpfungen zu aktuellen EBA-Leitlinien, CRD-Vorgaben und FSB-Standards her, wodurch er faktisch als Interpretation bestehender EU-rechtlicher Verpflichtungen fungiert. Nach Aussage des Fachgremiums MaRisk habe dieser jedoch keinen normativen Charakter und würde nationale Anforderungen nicht ersetzen oder ergänzen. Dennoch ist es vorstellbar, dass dieser Leitfaden als Grundlage für die o.g. EBA-Konsultation dienen wird und somit über Umwege seinen Weg ins nationale Recht findet. [7]
H&C Reifegradmodell als Quick Check
Risikokultur ist kein isoliertes Compliance-Thema, sondern ein strategisches Steuerungsinstrument, das messbar, in Governance-Strukturen verankert und durch glaubwürdige Führung sowie klare Kommunikation gestützt sein muss. Regulatorischer Druck und steigende Erwartungen bieten die Chance für ein Benchmarking mit Best Practices, um blinde Flecken zu identifizieren und Resilienz zu stärken.
Horn & Company hat dafür ein praxisnahes Reifegradmodell entwickelt, das Führung, Kommunikation, Anreizsysteme, Eskalationsmechanismen und Monitoring bewertet, Red Flags und Best Practices integriert und so gezielt Schwachstellen aufzeigt. Es liefert eine fundierte Standortbestimmung und konkrete Handlungsfelder – flexibel einsetzbar für verschiedene Institutstypen.
Wenn Sie wissen möchten, wo Ihr Institut derzeit steht, wie sich kulturelle Risiken frühzeitig erkennen lassen oder welche konkreten Schritte zur Weiterentwicklung Ihrer Risikokultur sinnvoll sind, kommen Sie gerne auf uns zu.
Wir unterstützen Sie mit fundierter Analyse, einem klar strukturierten Vorgehen und praxiserprobten Werkzeugen – passgenau für Ihr Geschäftsmodell und Ihre spezifischen Herausforderungen. Sprechen Sie uns an – wir begleiten Sie dabei, Risikokultur wirksam und zukunftssicher zu gestalten.
Sichern Sie sich jetzt das H&C Whitepaper zu Risikokultur und Governance – und erfahren Sie, welche Anforderungen Banken heute erfüllen müssen. Mit praxisnahen Best Practices und klaren Warnsignalen.
