Good Governance und die Rolle der Aufsichtsorgane

Rede von Sabine Lautenschläger, Mitglied des Direktoriums der EZB und stellvertretende Vorsitzende des Aufsichtsgremiums der EZB, Treffen der Aufsichtsratsvorsitzenden von Banken in Deutschland, Frankfurt, 6. November 2018

Was muss eine Bank können? Die Antwort, die Sie auf diese Frage bekommen, hängt, wie immer bei solchen Fragen, davon ab, wen Sie fragen. Fragen Sie Banker oder Anteilseigner, wird die Antwort vermutlich sein: Eine Bank muss vor allem Profite machen können. Fragen Sie mich als Aufseherin, ist die Antwort: Eine Bank muss vor allem ihre Risiken managen können.

Natürlich sind das keine Gegensätze. Eine Bank, die keine Profite macht, wird ebenso scheitern, wie eine Bank, die ihre Risiken schlecht managt. Es geht also lediglich darum, wo wir unsere jeweiligen Schwerpunkte setzen.

Was ist der Schwerpunkt der Aufsichtsorgane? Was ist Ihr Schwerpunkt, meine Herren? Ein wenig sitzen Sie ja zwischen den Stühlen. Einerseits sind Sie Banker, andererseits haben Sie die Funktion von Aufsehern.

Und deswegen spielen die Aufsichtsorgane sogar eine sehr große Rolle wenn es darum geht, Risiken zu managen. Sie tragen zu den notwendigen checks und balances bei, die jede Bank braucht; sie sind ein zentraler Baustein der Governance-Struktur.

Und wir haben große Erwartungen an Sie; wir haben große Erwartungen an das, was Sie zur Widerstandsfähigkeit Ihrer Bank beitragen.

Wir erwarten, dass die Aufsichtsorgane die Arbeit der Leitungsorgane überprüfen und beaufsichtigen – unabhängig und gründlich. Vor allem müssen Sie dafür sorgen, dass strategische Entscheidungen immer auf einer soliden Risikoanalyse basieren. In dieser Hinsicht sind Sie das gute Gewissen des Managements.

Das ist es, was Aufsichtsorgane tun sollen – ganz grob zusammengefasst. Ob sie es tatsächlich tun, ob sie es tun können, hängt von vielen Dingen ab. Es hängt von den Personen ab, und es hängt von den Strukturen ab.

Wer einem Aufsichtsorgan vorsitzt, Mitglied in einem Ausschuss ist oder mit den internen Kontrollfunktionen zusammenarbeitet, muss über die nötige Zeit verfügen sowie Wissen und Erfahrung mitbringen. Was das im Einzelfall bedeutet, hängt nicht nur davon ab, was heute gebraucht wird, sondern auch davon, welche Herausforderungen morgen auf das Kreditinstitut zukommen.

Gerade was das kollektive Wissen angeht, können Aufsichtsorgane aus unserer Sicht immer noch einiges verbessern. Um die Leitungsorgane zu überprüfen und zu überwachen, wird immer mehr technisches Wissen benötigt. Denken sie an Digitalisierung und IT, an interne Modelle oder neue Regulierung. Das heißt nicht, dass jedes Mitglied eines Aufsichtsorgans Experte in all diesen Themen sein muss. Aber der Aufsichtsrat, das Organ als Ganzes, muss über ein gut balanciertes kollektives Wissen verfügen.

Aber es geht nicht nur um die Qualität der Mitglieder, es geht auch um deren Anzahl. Wenn zu viele Personen am Tisch sitzen, wird es schwer, vernünftig zu diskutieren und sinnvolle Entscheidungen zu treffen. In diesem Fall können viele Köche tatsächlich den Brei verderben. Das ist besonders relevant in Krisen, wenn die Zeit für Entscheidungen knapp ist. Wir sehen immer noch Banken, deren Aufsichtsorgane zu viele Mitglieder haben – auch hier in Deutschland.

Und es geht auch darum, wie die Aufsichtsorgane in die Bank eingebunden sind. Das Stichwort lautet hier “Unabhängigkeit”.

Und dazu sind die Richtlinien der Europäischen Bankenaufsichtsbehörde, der EBA, sehr klar. Sie verlangen, dass Aufsichtsorgane eine ausreichende Anzahl unabhängiger Mitglieder haben. Ich halte das für ausgesprochen wichtig und unterstütze es. Denn nur wer unabhängig ist, kann die Entscheidungen der Leitungsorgane kritisch hinterfragen und beeinflussen.

Die EBA verlangt unter anderem, dass Mitglieder des Aufsichtsorgans keine wesentlichen finanziellen oder geschäftlichen Beziehungen zum Institut selbst pflegen. Ebenso sollen Mitglieder weder beherrschender Anteilseigner des Instituts sein, noch beherrschende Anteilseigner vertreten. Es geht letztlich also um formale Unabhängigkeit.

Insgesamt ist die Anzahl formal unabhängiger Mitglieder in den Aufsichtsorganen europäischer Banken in den letzten Jahren gestiegen – auch wenn die eine oder andere Bank noch hinterher hinkt.

Und gerade deutsche Aufsichtsorgane und Anteilseigner leiden hier nicht nur unter Vorbehalten, sondern auch unter Missverständnissen. Was ist es, dass die Aufsicht in Sachen Unabhängigkeit tatsächlich erwartet? Wir wissen, dass es in Deutschland im Gegensatz zu vielen anderen Ländern keine gesetzliche Pflicht gibt, im Aufsichtsorgan auch unabhängige Mitglieder zu etablieren. Leider ist das so.

Deswegen können wir hier nichts erzwingen, wohl aber erwarten. Wir erwarten, dass Aufsichtsorgane eine „ausreichende“ Zahl unabhängiger Mitglieder haben, weil das zu einer guten Governance gehört. Was als „ausreichend“ angesehen wird, hängt natürlich vom Einzelfall ab, und es unterliegt dem Grundsatz der Proportionalität.

Deutsche Banken würden jedenfalls nicht gegen das Gesetz verstoßen, wenn ihre Aufsichtsorgane mehr unabhängige Mitglieder hätten. Bank und Anteilseigner würden sogar davon profitieren, die checks und balances zu stärken, mehr Diversität und neue Perspektiven zuzulassen und so der Gefahr des group think etwas entgegensetzen.

Aber es geht natürlich nicht nur um formale Unabhängigkeit. Mitglieder von Aufsichtsorganen müssen auch in ihrem Denken unabhängig sein. Nur dann können sie sich eine eigene Meinung bilden und eigene Urteile fällen. Auch wenn das Aufsichtsorgan Entscheidungen letztlich gemeinsam treffen und vertreten sollte, muss in Diskussionen jedes Mitglied seinen eigenen Standpunkt vertreten können.

Das Aufsichtsorgan ist ein zentraler Baustein guter Governance und risikobewusster Geschäftsführung. Aber es ist natürlich nicht der einzige Baustein.

Ebenso wichtig sind der Rahmen und die Grenzen, mit denen eine Bank die von ihr eingegangenen Risiken einhegt – ebenso wichtig ist also das sogenannte risk appetite framework.

Das risk appetite framework umfasst die Prinzipien, Prozesse, internen Kontrollen und Systeme sowie die Verantwortlichkeiten und Limitierungen der wesentlichen Risiken, die die Bank eingehen will und eingegangen ist. Und natürlich spielt der Aufsichtsrat auch eine Rolle, wenn es darum geht, ein vernünftiges risk appetite framework aufzubauen.

Was das risk appetite framework angeht, haben Banken in den letzten Jahre recht große Fortschritte gemacht. Trotzdem gibt es natürlich noch Dinge, die sie verbessern können. Auch wenn das risk appetite framework heute im Allgemeinen mehr Risiken abdeckt, gibt es eine Risikokategorie, die oft übersehen wird: die nicht-finanziellen Risiken. Reputationsrisiken, IT-Risiken oder Rechtsrisiken werden häufig gar nicht oder nur zum Teil berücksichtigt. Ich weiß, dass es schwierig ist, solche Risiken zu messen, aber sie stiefmütterlich zu behandeln, ist auch keine Lösung.

Ist der Risikoappetit erst einmal definiert, spielen geeignete Limite eine große Rolle. Sie sorgen dafür, dass nur so viele Risiken übernommen werden, wie geplant; sie operationalisieren den Risikoappetit. Wichtig ist vor allem, dass Banken diese Limite herunterbrechen – auf Geschäftsbereiche, Organisationseinheiten oder Länder. Das tun nicht alle Banken. Und wenn sie es tun, sind die lokalen Begrenzungen nicht immer konsistent mit denen auf konsolidierter Ebene. Daran müssen viele Banken noch arbeiten.

Ein weiteres Problem ist, dass Limite oft so hoch angesetzt sind, dass sie im Grunde keinerlei Begrenzung oder Steuerungswirkung entfalten können. Ich denke, es liegt auf der Hand, dass so etwas das gesamte risk appetite framework in Frage stellt.

Ein sinnvolles risk appetite framework zu bauen, ist also nicht ganz so einfach. Aber es muss nicht nur gebaut werden; es muss auch angewandt werden. Und das ist der entscheidende Punkt. Banken müssen das risk appetite framework zu einem Kernstück ihrer Risikokultur und ihrer Entscheidungsprozesse machen.

Was bedeutet das? Es bedeutet, dass alle Elemente des Risikomanagements genau aufeinander abgestimmt sein müssen – inklusive des risk appetite frameworks. Und sie müssen auch mit allen anderen Elementen der Organisation harmonieren.

Was nützt es zum Beispiel, einen bestimmten Risikoappetit zu definieren, wenn die Vergütungssysteme ganz andere Anreize setzen? Was nützt es, einen Risikoappetit zu definieren, der nicht zum Geschäftsmodell oder zur Geschäftsstrategie passt?

Aus unserer Sicht sehen zu viele Banken das risk appetite framework als ein eigenständiges Werkzeug. Das ist es nicht. Es muss zum integralen Baustein der Entscheidungsprozesse werden. Die meisten Banken verzichten darauf, den definierten Risikoappetit als Grundlage für Diskussionen auf allen Ebenen zu verwenden. Und auch das müssen sie ändern.

Das waren ein paar meiner Gedanken zum Thema Governance und Rolle der Aufsichtsorgane. Jetzt freue ich mich darauf, mit Ihnen zu diskutieren.

Vielen Dank für Ihre Aufmerksamkeit.