FS Industry Briefing: Governance und Risikokultur - Herausforderungen und Chancen für internationale Banken

Der neue EZB-Guide: Ein Überblick

Der neue EZB-Guide zu Governance und Risikokultur basiert auf den Erfahrungen aus den ersten zehn Jahren europäischer Bankenaufsicht und adressiert sowohl strukturelle als auch verhaltensbedingte Schwächen in den Managementstrukturen der Banken. Der Leitfaden umfasst konkrete Erwartungen der Aufsicht zu Governance und Risikokultur. Zusätzlich bietet er „Good Practices“, die auf realen Beispielen aus verschiedenen Banken basieren, sowie „Red Flags“, die potenziellen Schwachstellen aufzeigen. Ziel der EZB ist es, die Banken mit diesem Guide zu unterstützen, ihre Governance und Risikokultur zu verbessern und die Erwartungshaltung der EZB transparenter zu machen.

Governance und Risikokultur als zentrale Priorität

Die Deloitte-Umfrage zeigt, dass fast alle Institute unter der Aufsicht der EZB erwarten, dass Governance und Risikokultur in den kommenden Jahren eine zentrale Rolle in der Aufsicht spielen werden. 96 Prozent der Teilnehmenden gehen davon aus, dass die Interaktion mit den Aufsichtsbehörden nach der endgültigen Veröffentlichung des Leitfadens zunehmen wird². Bereits jetzt haben 86 Prozent der Banken Governance und Risikokultur als Priorität auf ihrer regulatorischen Agenda definiert.

Unterschiedlicher Reifegrad in den Risikodimensionen

Die Umfrageergebnisse verdeutlichen, dass der Reifegrad der Banken in Bezug auf die vier Risikodimensionen, die im EZB-Leitfaden hervorgehoben werden, stark variiert. Die größte Reife wird bei „Leitungskultur und Führung“ (62%) sowie „Risikoverantwortlichkeiten der Mitarbeitenden“ (52%) gesehen. Im Gegensatz dazu sieht nur ein Drittel der Banken eine hohe Reife bei „Anreizstrukturen (einschließlich Vergütung)“, 37 Prozent sind es bei „Offene Kommunikation, kritischer Dialog und Diversität“.

Interessanterweise sind die Schwerpunkte für zukünftige Investitionen ebenfalls unterschiedlich verteilt. Während „Offene Kommunikation, kritischer Dialog und Diversität“ (46%) und „Risikoverantwortlichkeiten der Mitarbeitenden“ (42%) als zentrale Bereiche identifiziert wurden, bleiben „Anreizstrukturen“ und „Leitungskultur“ mit jeweils rund 37 Prozent ebenfalls relevant.

Personelle Verantwortung für Risikokultur

Die Verantwortung für Risikokultur ist in den teilnehmenden Banken unterschiedlich verteilt. Bei 43 Prozent der Institute liegt die Hauptverantwortung ausschließlich beim Chief Risk Officer (CRO), während bei 57 Prozent der Teilnehmenden mehrere Abteilungen gemeinsam für dieses Thema zuständig sind. Neben dem CRO wurden auch andere Funktionen wie Compliance und HR als verantwortliche Bereiche genannt.

Darüber hinaus zeigt die Deloitte-Umfrage, dass 23 Prozent der Banken keine dedizierten Ressourcen für Governance und Risikokultur haben, während ein Viertel mehr als zehn Vollzeitkräfte (FTEs) für diese Themen einsetzt. Die Mehrheit der Institute hat jedoch zwischen zwei und fünf FTEs für Governance und Risikokultur abgestellt.

Berücksichtigung von Risikokultur und nicht-finanziellen Risiken

Ein wichtiger Aspekt der Umfrage war die Integration von Risikokultur und nicht-finanziellen Risiken in die strategischen und operativen Rahmenwerke der Banken. Zwei Drittel der teilnehmenden Institute gaben an, dass ihre Risikostrategie Aspekte der Risikokultur vollständig berücksichtigt. Allerdings stimmten zehn Prozent dieser Aussage nicht zu, weitere 23 Prozent waren unentschlossen.

Noch deutlicher wird die Integration nicht-finanzieller Risiken wie Reputationsrisiken in die Risikostrategie. 73 Prozent der Banken glauben, dass sie die Auswirkungen solcher Risiken vollständig in ihrem Risk Appetite Framework eingebettet haben. Dennoch sehen sechs Prozent der Teilnehmenden hier noch deutliche Lücken.

Unsicherheit über die Erwartungen der EZB

Ein weiterer zentraler Punkt ist die Unsicherheit vieler Banken hinsichtlich der Erwartungen der EZB. Ein Drittel der befragten Institute fühlt sich nicht ausreichend informiert über die Anforderungen und Herausforderungen des neuen Leitfadens. Diese Unsicherheit wird durch die Wahrnehmung verstärkt, dass der Leitfaden potenzieller Konflikte mit bestehenden lokalen Anforderungen schaffen könnte. 31 Prozent der Banken sehen solche Konflikte, während 46Prozent keine klare Position dazu beziehen.

Die größte Unsicherheit besteht in der Kontrolle der Good Practices. Nur rund die Hälfte der Teilnehmenden hat bereits ein Verfahren zur Steuerung und Messung von Risikokultur implementiert. Die 44 Prozent, die dies noch nicht haben, überlegen, ob sie Key Performance Indikatoren (KPIs) und Key Risk Indikatoren (KRIs) aus bereits bestehenden Erhebungen oder Umfragen (bspw. zu OpRisk, nicht-finanziellen Risiken, Zufriedenheit der Mitarbeitenden) nutzen könnten.

Herausforderungen bei der Umsetzung

Die organisatorische Implementierung von Governance- und Risikokulturmaßnahmen bleibt eine Herausforderung. 48 Prozent der Banken verfügen über einen Prozess zur Messung und Steuerung der Risikokultur, der von der Geschäftsleitung genehmigt wurde, jedoch fehlt ein solcher Prozess bei 44 Prozent der Institute vollständig.

Unsere Deloitte-Umfrage zeigt, dass die erwarteten Konsequenzen des neuen Guides sehr auseinandergehen: 35 Prozent der Teilnehmenden glauben, dass der Ansatz der EZB zu Governance und Risikokultur zu einem ungleichen Wettbewerbsumfeld führt, 30 Prozent sind gegenteiliger Meinung, 35 Prozent sind unentschieden.

Einblicke aus der Praxis

Die Ergebnisse der Studie wurden mit den teilnehmenden Banken anhand individueller Benchmarks sowie mit weiteren nicht an der Studie teilnehmenden Banken besprochen. Bei den individuellen Diskussionen der Umfrageergebnisse konnten weitere Einblicke aus der Praxis gewonnen werden. Dazu zählt unter anderem, dass Risikokultur-Themen teils in allgemeine Kulturprogramme eingebettet werden und bspw. spezielle „Risk Culture Days“ mit dem Gesamtvorstand organisiert werden. Außerdem wurde festgestellt, dass der Umfang und die Frequenz von Berichten zur Risikokultur in den letzten Jahren bereits erhöht wurden und dass erste Compliance Bereiche sowie interne Revisionen Risikokultur-Themen in ihren Überwachungshandlungen und Prüfungen berücksichtigen.

Fast alle Institute verspüren große Unsicherheit in Bezug auf die in dem EZB-Guide niedergeschriebenen Good Practices und Umsetzungsfragen. Die meisten Banken erwarten, dass die Joint Supervisory Teams (JSTs) die Good Practices als Checkliste nutzen, obwohl diese gemäß der EZB nicht hierzu geeignet sind. Einige Banken haben daher schon angefangen, diese zu operationalisieren und zu dokumentieren. Bei anderen herrscht bzgl. des Zeitpunkts und der Art der Umsetzung noch Ungewissheit. Des Weiteren besteht vielerorts Unsicherheit bzgl. des Aufbaus zusätzlicher personeller Ressourcen für diese Aufgabengebiete; von einer Beauftragung spezieller Personen, also Risikokultur-Beauftragter, wie es sie z. B. im Bereich Compliance, Geldwäscheprävention und Datenschutz gibt, sehen die meisten Banken jedoch ab.

Die Wahrnehmung des neuen EZB-Guides teilt sich insgesamt in zwei Gruppen: Es gibt einige Institute, die es gut und hilfreich finden, granulare Vorgaben und detaillierte Beschreibungen der EZB-Erwartungen zur Orientierung zu erhalten. Andere empfinden diese detaillierten Anhaltspunkte jedoch als zu starr, da sie den Interpretationsspielraum einschränken und somit institutsspezifische Lösungen erschweren könnten.

Fazit und Ausblick

Die Ergebnisse unserer Deloitte-Umfrage verdeutlichen, dass Governance und Risikokultur nicht nur regulatorische Anforderungen, sondern auch strategische Prioritäten für Banken darstellen. Die unterschiedliche Selbsteinschätzung der erreichten Reife in den vier Risikokultur-Dimensionen und die Unsicherheit über die konkreten Erwartungen der EZB unterstreichen die Brisanz des neuen Fokus auf Governance und Risikokultur.

Ein Drittel der teilnehmenden Banken sieht sich nicht ausreichend vorbereitet für eine zeitnahe Überprüfung ihrer Governance und Risikokultur. Diese Institute befürchten, dass eine kurzfristige Untersuchung durch die Aufsichtsbehörden erhebliche Schwachstellen aufdecken könnte. Dies zeigt, dass viele Banken noch vor erheblichen Herausforderungen stehen, um ihre Governance- und Risikokulturrahmenwerke zu stärken.

Für Banken bedeutet dies, dass sie ihre internen Prozesse und Strukturen weiterentwickeln müssen, um den Anforderungen gerecht zu werden.
Gleichzeitig sollten sie die Gelegenheit nutzen, Governance und Risikokultur als Wettbewerbsvorteil zu positionieren – sowohl für die externe Kundenperspektive als auch intern gegenüber Mitarbeitenden, indem sie Transparenz und Verantwortungsbewusstsein fördern.

Die bereits für einige potenziell ab dem vierten Quartal 2025 anstehenden On-Site Inspections (OSIs) und Thematic Reviews der Aufsichtsbehörden werden initial zeigen, ob die Institute in der Lage sind, die Erwartungen der EZB an eine robuste Governance und adäquate Risikokultur zu erfüllen. Für nicht direkt von der EZB überwachte kleinere und mittelgroße Institute bleibt es spannend, ob sich auch die nationalen Aufsichtsbehörden am EZB-Leitfaden orientieren werden.

¹ Deloitte führte zwischen dem 30. Januar und dem 28. Februar 2025 eine Online-Umfrage mit 23 Fragen durch. Es haben insgesamt 52 EZB-überwachte Institute an der Umfrage teilgenommen, was einer Abdeckung von fast 50 Prozent entspricht. Zwei Drittel der SSM-Länder sind in der Umfrage vertreten (14 von 21). Für Deutschland haben 76 Prozent der SIs die Umfrage beantwortet (19 von 25).

² Ursprünglich hatte die EZB geplant, die finale Version des Leitfadens im ersten Quartal 2025 zu veröffentlichen. In der November-Ausgabe des Supervision-Newsletters kommunizierte sie dann das erste Halbjahr 2025 als Zielmarke. Mittlerweile ist kein festes Datum mehr festgelegt, da die EZB nach offiziellen Angaben noch die Ergebnisse des Konsultationsverfahrens auswertet.