Dem Risikomanagement kommt in der Bankensteuerung heute mehr denn je eine zentrale Rolle zu – denn relevante Risiken finden sich nicht mehr nur im traditionellen Kreditgeschäft, sondern in allen Unternehmensbereichen. Diese für die Stabilität der Banken grundlegende Bedeutung wird bei der Steuerung der Institute allerdings bislang zu wenig berücksichtigt.

Erfolgreiches Bankmanagement ist – wie die Finanzmarktkrise weltweit gezeigt hat – vor allem anderen eins: das Ergebnis eines leistungsfähigen Risikomanagements. Selbst starke Global Player können binnen weniger Jahre an einem schwachen Risikomanagement zugrunde gehen. Weltweit agierende Top-Banken, die in der Finanzkrise nur mit massiven Rettungsaktionen ihrer Heimatländer vor der Insolvenz geschützt werden konnten, sind der Beleg dafür. Das Geschäftsmodell einer Bank besteht im Grunde darin, Risiken zu übernehmen, zu transformieren und professionell zu managen. So verbirgt sich hinter der Kreditmarge das Entgelt für die Übernahme des Adressenausfallrisikos, des Liquiditätsrisikos und der Fristentransformation. Das Adressenausfallrisiko wird wiederum bestimmt von der Bonität der Einzeladresse, der Branche, dem Länderrisiko und dem Stand im Konjunkturzyklus. Hinzu kommen Korrelationen, die zu so genannten Klumpenrisiken führen können. Hinter den Sicherheiten, die zu einer Absenkung der Marge führen können, stecken Bewertungsrisiken. Ohne ein leistungsfähiges Risikomanagement ist also heute eine markt- und umfeldgerechte Preisbestimmung für Kredite gar nicht mehr möglich. Eine Bank, die noch glaubt, mit einer Einheitsmarge operieren zu können, verliert das gute Geschäft und muss sich um die Akquisition des schlechten nicht kümmern – es kommt von selbst.

Beschränkung auf Eigenkapitalquoten greift zu kurz

Um die Stabilität der Banken zu erhöhen, strebt der Baseler Ausschuss eine Erhöhung der regulatorischen Eigenkapitalquote an. Dies führt bei gleich bleibendem Renditeanspruch zu einer Reduktion der Kreditausreichung in Relation zum eingesetzten Kapital, des so genannten "Leverage". Allein reicht diese Maßnahme jedoch nicht, wie der Fall Lehman Brothers zeigt. Die Bank hatte kurz vor der Pleite am 15. September 2008 eine überdurchschnittlich hohe Eigenkapitalquote von 14 Prozent. Die Finanzmarktkrise wurde jedoch nicht vom traditionellen Kreditgeschäft ausgelöst. Vielmehr waren es das Investment-Banking und der Handel mit derivativen Produkten sowie deren Bewertung.

Böse Zungen behaupten, erst durch die Zulassung interner Modelle zur Berechnung des Marktrisikos durch den Baseler Ausschuss 1995 und der in diesem Zuge erlaubten niedrigen regulatorischen Eigenkapitalunterlegung habe das Dilemma begonnen. Nun sind derivative Produkte wie Zins-, Währungs- oder Credit-Default-Swaps (CDS) per se nicht schlecht, ermöglichen sie doch die Risikoabsicherung. Allerdings stieg das so genannte "Counterparty Risk", das Risiko des Ausfalls von Geschäftspartnern, vor allem durch den spekulativen außerbörslichen Handel dieser Produkte zwischen den Finanzinstitutionen stark an. Vermeintlich clevere Investment-Banken verstanden sich zunehmend als "Durchlauferhitzer". Sie akquirierten Kredite, verpackten sie als Asset Backed Securities (ABS) und verkauften sie mit dem Gütesiegel der externen Ratingagenturen an Dritte weiter. Dadurch bildeten sich neue Risikostrukturen.

Mit Hilfe des externen Ratings konnte ein hoher Anteil gut oder sehr gut bewerteter Finanzierungsmöglichkeiten geschaffen werden, wodurch sich die Risikokosten für die Kreditnehmer deutlich absenken ließen. Die Pakete wurden weiter verbrieft und so entstand ein blühender Kredithandel über den Atlantik hinweg, wobei die USA vor allem die Europäer an ihren Adressenausfallrisiken partizipieren ließen. Innerhalb weniger Jahre wurde allein mit privaten Nonprime-Baufinanzierungen ein Finanzierungsvolumen von 4.000 Milliarden US-Dollar und einem Ausfallrisiko von über 20 Prozent geschaffen und über die ganze Welt verteilt.

Das Investment-Banking verursacht die Krise

Einer der Auslöser der Finanzmarktkrise war ohne Zweifel der Hype des Investment-Bankings mit modellhaften Risikobewertungen, die keinen Bezug zur Realität aufwiesen. Ohne das entschlossene Eintreten der G20-Runde, ohne erhebliche Erleichterungen bei den Zentralbankfinanzierungen und ohne nationale Rettungsaktionen hätte das internationale Finanzsystem seine "Kernschmelze" erlebt. Die stürmische Entfaltung der Marktkräfte konnte offenkundig weltweit weder von den Regulatoren, noch von den mit der Analyse der Weltwirtschaft betrauten Forschungsinstituten und Sachverständigen, noch von der Wissenschaft und auch nicht von den Risikomanagern der großen Banken unter Kontrolle gebracht werden. Alle sahen hilflos zu, wie eine relativ kleine, auf vielen Feldern aktive Gruppe ihre Ziele aggressiv verfolgte und dadurch ihren – bisweilen riesigen – Vorteil realisieren konnte. Dies geschah zwar weitestgehend unter Beachtung der erlaubten Regeln des freien Kapitalmarktes, jedoch ohne Rücksicht auf den dadurch entstehenden Schaden für das Gemeinwohl und ohne für die negativen Folgen einstehen zu müssen.

Regulator beseitigt Schwachstellen

Dennoch, es gab in den letzten 10 Jahren beachtliche Fortschritte im Risikomanagement der Banken, die vom Baseler Ausschuss und von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) angestoßen wurden. Der risikosensitive Eigenkapitalstandard von Basel II gehört ebenso dazu, wie der Stresstest für das Kreditportfolio und die Markttransparenz; die beiden letzteren wurden in der Verordnung über die angemessene Eigenmittelausstattung des Bundesministeriums der Finanzen festgelegt. Starke Impulse gingen auch national von den 2002 von der BaFin veröffentlichten Vorgaben aus. Die verlangte organisatorische Trennung der Bereiche Markt und Marktfolge bis zur Ebene der Geschäftsleitung förderte die Schaffung eines eigenen Vorstandsressorts für alle Risikofragen, den "Chief Risk Officer". Die letzte Anpassung der "Mindestanforderungen an das Risikomanagement" vom August 2009 wies den Weg für das Durchführen von Stresstests, der Steuerung der Liquiditätsrisiken sowie Risikokonzentrationen. Ferner wurden Anforderungen an die Vergütungssysteme festgelegt, um falsche Anreize mit unvertretbaren Risiken zukünftig zu verhindern.

Bis Ende 2010 müssen nun die nationalen Regulatoren der EU zusätzliche Anforderungen umsetzen. Diese betreffen:

• die Governance und die Risikokultur,
• den Risikoappetit und die Risikotoleranz,
• die Rolle des Chief Risk Officers und die der Risikomanagementfunktionen,
• die Risikomodelle und die Integration der Risikoteilgebiete,
• den Prozess für die Entwicklung neuer Produkte.

Eine Schlüsselrolle kommt dabei dem "Management Body" (Vorstand und Aufsichtsrat) und dem "Senior Management" (Ebene unterhalb des Vorstandes) zu. Diese Personengruppen müssen ein volles Verständnis der Art der Geschäfte und der vorhandenen Risiken auch außerhalb des direkten Verantwortungsbereiches haben.

Der Risikoausschuss als zentrales Organ

Doch wie ist es um die Corporate Governance der Banken und hier insbesondere um die Risk Governance durch den Aufsichtsrat und den dafür üblicherweise zuständigen Kredit- oder Risikoausschuss bestellt? Die Antwort ist: tendenziell schlecht. Selbst die großen deutschen Banken bringen es hier bestenfalls auf 50 Prozent Zielerreichung, der Durchschnitt dürfte schätzungsweise bei 33 Prozent liegen. Völlig unvertretbar ist die auch bei großen deutschen Banken heute noch gängige Praxis, dass der Aufsichtsratsvorsitzende gleichzeitig auch Risikoausschussvorsitzender ist. Dagegen sprechen gleich mehrere Punkte: Diese Vorgehensweise

• läuft dem Entlastungsgedanken des Aufsichtsratsvorsitzenden zuwider,
• ist nicht mit dem Corporate-Governance-Kodex vereinbar (sofern man den Risikoausschuss als Abspaltung von den Aufgaben des Prüfungsausschusses versteht),
• hemmt eine Stärkung der Kontroll- und Risikokultur im Aufsichtsrat,schafft keine Unabhängigkeit der Risikoaufsicht im Aufsichtsrat,
• läuft einer transparenten Erfüllung der Berichtspflichten des Risikoausschussvorsitzenden an den Aufsichtsrat zuwider,
• ist nicht dafür geeignet, die unabhängige Rolle des Chief Risk Officers im Vorstand zu stärken und vor allem
• konstruiert sie einen Interessenkonflikt, wenn der CEO oder ein Vorstandsmitglied in die Rolle des Aufsichtsratsvorsitzenden wechselt (was immer noch die Norm ist) und somit seine früheren Managementleistungen überwachen soll.

Da sich Risiken üblicherweise mit einer Zeitverzögerung zeigen, ist es in dieser Konstellation gegebenenfalls die Aufgabe des Risikoausschussvorsitzenden, sein eigenes Managementversagen transparent machen zu müssen. So viel menschliche Größe und Charakterstärke im Lösen von Gewissenskonflikten sollte man wirklich niemandem zumuten. Es wird deshalb dringend empfohlen – ohne Ausnahme und per Gesetz – die Funktion des Risikoausschussvorsitzenden von der des Aufsichtsratsvorsitzenden zu trennen. Das wäre ein wirklich starkes Signal des Gesetzgebers zur Verbesserung der Risk Governance von Banken. Hierbei sollte die BaFin zukünftig die Qualitätsüberprüfung des Risikoausschussvorsitzenden bei jeder einzelnen Bank übernehmen. Die gleiche Empfehlung gilt für die Funktion des Chief Risk Officers. Hier könnte man sich an den Regeln für die Bestellung und Abberufung des "Arbeitsdirektors" orientieren. Die fachlichen Kompetenzen für das Risikomanagement, die Unabhängigkeit und die charakterlichen Eigenschaften (wie Konflikt- und Kommunikationsfähigkeit) wären von der BaFin sorgfältig zu prüfen.

Good Governance versus Hochleistungsregulierung

Zu den weiteren Prinzipien der Good Governance einer Bank gehören:

• Eine ausgewogene Ressourcenverteilung zwischen den Markt- sowie den Reporting- und Kontrollfunktionen,
• sicherzustellen, dass zum Wohle der Stakeholder der Gesellschaft nur Entscheidungen auf Basis einer angemessenen Risiko- und Informationslage getätigt werden,
• stets ein fundiertes Expertenwissen zu allen Risikomanagementfragen zu verlangen,
• eine gesamthafte Sicht auf die Risikoqualität der Portfolien transparent zu machen,
• die konsequente Begrenzung von Konzentrations- und Klumpenrisiken,
• die Risikostrategie für die Organisation ziel- und regelbasiert umzusetzen,
• Risiken frühzeitig zu erkennen, sich nicht vom Blick in den "Rückspiegel" leiten zu lassen und im "Downside" diese konsequent auszusteuern,
• das Wertegerüst und die "Incentives" des Managements und der Mitarbeiter nachhaltig am Wohl der Kunden und der Aktionäre der Bank auszurichten,
• Geschäfte mit neuen Kunden, Produkten oder Regionen nur dann zu tätigen, wenn die Risiken verstanden und kontrolliert gemanagt werden können,
• die absehbaren Ertragsbelastungen im Accounting und der Geschäftssteuerung stets schonungslos offenzulegen, weil sie nur dann effektiv zu managen sind.

Die Banken sollten für eine Stärkung der Strukturen der Risk Governance aufgeschlossen sein, entspricht sie doch den Werten unserer freiheitlichen Grundordnung. Schwächen in der Risk Governance der Banken müssen Staat und damit Steuerzahler teuer bezahlen. Wenn die Banken in diesem Punkt nicht zu konsequenten Veränderungen bereit sind, könnte die Konsequenz eine bürokratische Hochleistungsregulierung sein, die sich kleinere Banken allerdings immer weniger werden leisten können. Diese droht letztendlich, in die staatliche Investitionslenkung zu führen, schon allein, um eine neue Kreditklemme zu verhindern.

Autor: Wolfgang Hartmann ist Vorstandsvorsitzender des Instituts für Risikomanagement und Regulierung und vertritt die Interessen der Steubing AG im Vorstand und Präsidium von Frankfurt Main Finance. Er war Begründer der G8-Runde der CROs großer deutscher Banken. Von 2000 bis Mai 2009 war er Vorstand und Chief Risk Officer der Commerzbank, bis zur Fusion mit der Dresdner Bank.

Weitere Informationen im Jahrbuch 2010 "Auf dem Weg zu einer neuen Finanzordnung" von Frankfurt Main Finance e. V.  >>>

[Bildquelle oben: iStockPhoto; Text: Hartmann: Governance, in: Jahrbuch 2010 Frankfurt Main Finance e. V., S. 32-35]