Seit der letzten Finanzmarktkrise ist die Risikokultur immer wieder in den Fokus der Regulierung gerückt. Ein aktuelles Beispiel sind die Ausführungen in der 7. MaRisk Novelle, die Institute auffordert, Risikokultur weiterzuentwickeln und steuerbar zu machen. Der vorliegende Beitrag greift diese Diskussion auf und zeigt schlaglichtartig die kritischen Punkte auf, die zu einer erfolgreichen und nachhaltigen Steuerung der Risikokultur von Relevanz sind. Hierbei wird auf die Grundhaltung gegenüber dem Risikokulturmanagement, auf dessen praktische Umsetzung sowie auf seine Verstetigung eingegangen.
Grundhaltung zum Risikokulturmanagement
Banken unterliegen einem dichten Netzwerk an Regulierungen. Entsprechend hoch ist der monetäre und zeitliche Aufwand, um all diesen Anforderungen gerecht zu werden. Die Diskussion zur Risikokultur fügt in der Wahrnehmung vieler Entscheidungsträger dieser hohen Belastung eine weitere Facette hinzu. Dies führt dazu, dass sich die Praxis hier oft reserviert zeigt und die Steuerung der Risikokultur als kaum mehrwertstiftend ansieht. Ein genauerer Blick auf die Konzeption der Risikokultur zeigt aber, dass dies zu kurz greift. Risikokultur stellt den Teil einer Organisationskultur dar, der die ungeschriebenen, verinnerlichten Spielregeln bezüglich des Umgangs mit Risiken umfasst [Vgl. Bockius/Gatzert 2023, S. 2; Roeschmann 2014, S. 285]. Daher liegt sie allen Entscheidungen und Handlungen der Organisationsmitglieder in risikobehafteten Situationen zu Grunde [Vgl. Gatzert/Schmit 2016, S. 38; Basel Committee on Banking Supervision 2015, S. 2]. Häufig sind sich diese dabei nicht bewusst darüber, dass sie durch solche Normen beeinflusst werden [Vgl. Sheedy/Griffin 2018, S. 6]. Risikokultur stellt daher kein weiteres Element der Risikosteuerung dar, sie ist vielmehr der Kontext, in den Risikosteuerung eingebettet ist. Vor diesem Hintergrund wird klar, dass ein Grundkonsens darüber bestehen sollte, dass eine effektive Risikosteuerung nur gelingen kann, wenn die Risikokultur, in die sie eingebettet ist, verstanden wird.
Ein wichtiger Teil dieses Grundkonsens ist die Akzeptanz der Tatsache, dass unterschiedliche Unternehmensbereiche verschiedene Risikokulturen haben können [Vgl. Sheedy/Griffin 2018, S. 20; Ring et al. 2016, S. 367]. Dies ist im Hinblick auf die Steuerung der Risikokultur aber nicht hinderlich, sondern verdeutlicht nur, wie wichtig es ist, hier Transparenz zu schaffen. Sie kann dazu beitragen, unterschwellige Konflikte zwischen Bereichen zu verstehen und zu beheben, da diese in vielen Fällen eben auch aus unbewussten, aber handlungsleidenden Ansichten über den Umgang mit Risiken resultieren können.
Implementierung eines Risikokulturmanagements
In der Umsetzung zeigt sich die Herausforderung, dass Risikokultur ein „weiches“ Thema ist, das sich auf den ersten Blick einer Messung entzieht. Damit steht es im Widerspruch zu dem quantitativen Risikomanagement, wie es in Banken vorherrscht. Zudem gilt, dass Sachverhalte, die nicht in Zahlen gefasst werden, nur schwer gesteuert werden können. Im Zuge der Diskussion um die Risikokultur wurden mittlerweile aber einige validierte Skalen entwickelt, die zur Messung genutzt werden können. Der Vorteil dieser wissenschaftlich-fundierten Skalen ist, dass sie einen umfangreichen Validierungsprozess durchlaufen haben und dadurch sichergestellt wird, dass sie auch das messen, was sie messen sollen. Was damit gemeint ist, wird klar, wenn man in einem Brainstorming erarbeitete Fragen mehreren Probanden vorlegt und dann feststellt, dass jeder etwas anderes unter dem Gefragten versteht und daraus nicht-vergleichbare Antworten resultieren. Der genannte Validierungsprozess stellt also sicher, dass die Fragen so gestellt werden, dass sie von möglichst vielen Probanden im intendierten Sinne aufgefasst werden und diese die eigentlich dahinterstehenden Aspekte auch wirklich erfassen.
In diesem Sinne stellen Sheedy et al. (2017) eine Messskala bereit, die mit 16 Fragen die Wahrnehmung der Mitarbeiter im Hinblick auf die herrschende Risikokultur erfasst. Fernández Muñiz et al. (2020) haben ein 18 Fragen umfassendes Instrument entwickelt, das in kurzer Form die Einhaltung der FSB-Richtlinien [FSB, 2014] überprüft. Dürst & Kunz (2025a) liefern eine Skala, die ebenfalls auf diese Richtlinien rekurriert, hier aber wesentlich detaillierter vorgeht und insgesamt 78 Fragen bereitstellt. Dies ermöglicht, anders als die Kurz-Skala von Fernández Muñiz et al. (2020), neben einer umfassenden Evaluation auch eine Fokussierung auf bestimmte Teilbereiche der FSB-Richtlinie.
Ein validiertes Messinstrument alleine stellt aber noch nicht sicher, dass die Steuerung der Risikokultur nicht zu einer reinen Pflichtübung verkommt. Berichte über eine erfolgreiche Implementierung eines Risikokultursteuerungsprozesses legen nahe, dass ein wichtiges Element das Aufsetzen eines interdisziplinären und hierarchieübergreifenden Projektteams ist, das Rückendeckung auf Vorstandsebene genießt und jeden Schritt des Transformationsprozesses in die Organisation rückspielt und Feedback dazu einholt [Vgl. Dürst & Kunz, 2025b]. Dieses Team ist zunächst dafür verantwortlich, eine für die Organisation passende Perspektive auf die Risikokultur zu finden und sie definitorisch festzulegen [Vgl. Dürst & Kunz, 2025b]. Dieser trivial erscheinende Schritt stellt sich in der Praxis durchaus herausfordernd dar, da jeder etwas anderes unter Risikokultur versteht. Das so generierte Verständnis legt den Grundstein für alle weiteren Schritte. Anschließend sollten alle Maßnahmen erfasst werden, die bereits im Hinblick auf die Steuerung der Risikokultur in der Organisation durchgeführt werden [Vgl. Dürst & Kunz, 2025b]. Hierbei ist es nicht unwahrscheinlich, dass das Projektteam feststellt, dass bereits eine Reihe solcher Maßnahmen durchgeführt wurde, bis dato sich aber niemand Gedanken dazu gemacht hat, dass sie etwas mit der Risikokultur zu tun haben. Teilweise stellt man auch fest, dass Maßnahmen, die das gleiche Ziel verfolgen, voneinander unabhängig und unkoordiniert durchgeführt werden. Eine solche Konsolidierung ist also auch im Sinne der Unternehmenseffizienz und trägt dazu bei, Prozesse zu verschlanken und klarer auszurichten. In einem folgenden Schritt sollte dann unter Nutzung des voran genannten Messinstruments eruiert werden, wo man im Hinblick auf die Risikokultur steht. Dies erlaubt die Identifikation von weiteren notwendigen Maßnahmen und es zeigt auf, welche Maßnahmen zwar existieren, aber von der Belegschaft nicht wahrgenommen werden und daher keine Wirkung entfalten. Beispielhaft sei hier auf den Umgang mit Verstößen gegen die Compliance verwiesen. In Unternehmen werden diese Fälle oft unauffällig abgewickelt. Dies ist für die beteiligten Personen gesichtswahrend und daher positiv zu bewerten. Es führt aber auch dazu, dass Teile der Belegschaft davon ausgehen, dass solche Fälle gar nicht geahndet werden, weil ihnen diese Prozesse verborgen bleiben. Dies könnte wiederum dysfunktionales Verhalten fördern.
Verstetigung des Risikokulturmanagements
Zur Verstetigung des Risikokulturmanagementprozesses sollte ein ressourcenadäquater Modus gefunden werden, in dem der aktuelle Stand der Risikokultur abgefragt wird. Als einen Richtwert kann man hier alle 2 bis 3 Jahre ansetzen, da sich die Risikokultur nicht sehr schnell verändern lässt und Maßnahmen erst einmal greifen müssen.
Ergänzend empfiehlt es sich, die bestehende KPI-Landschaft hinsichtlich risikokultureller Aspekte zu überprüfen. Viele Institute verfügen bereits über Kennzahlen und Reporting-Routinen, die oftmals Elemente der Risikokultur abbilden. Eine systematische Analyse der vorhandenen KPI-Landschaft kann aufzeigen, an welchen Stellen noch Ergänzungen nötig sind. Durch die Verbindung von KPI-Tracking und periodischen Kulturumfragen entsteht ein Dual-Monitoring-Ansatz. Dieser verbindet in kurzen Intervallen erhobene, datenbasierte Kultur-Kennzahlen mit den subjektiven Wahrnehmungen der Mitarbeitenden. Dadurch kann ein kontinuierliches, umfassenderes und robusteres Verständnis der Risikokultur erlangt werden.
Fazit
Sowohl die aktuelle Entwicklung in der Regulierung als auch die positiven Effekte einer adäquaten Risikokultur für den langfristigen Geschäftserfolg zeigen, dass das Management der Risikokultur zu einem integralen Bestandteil der Bankensteuerung werden sollte [Vgl. Bianchi et al., 2021, S. 1 u. S. 12; Fritz-Morgenthal et al., 2015, S. 71-73]. Damit dies nicht zu einer reinen Pflichtübung verkommt, sollte ein strukturierter Prozess zur Erfassung und zum langfristigen Monitoring der Risikokultur aufgesetzt werden, der die Gesamtorganisation mitnimmt und bestehende Maßnahmen, die bis jetzt noch nicht mit der Risikokultur in Verbindung gebracht worden sind, diese aber beeinflussen, aufdeckt, weiterentwickelt und ergänzt. Hierzu empfiehlt es sich, ein interdisziplinäres, hierarchieübergreifendes Projektteam zusammenzustellen, validierte Messinstrumente zur Erfassung der Risikokultur anzuwenden und einen turnusmäßigen Monitoringprozess zu implementieren. Zunächst muss sich die Organisation aber darüber klar werden, was sie unter einer adäquaten Risikokultur versteht und dass diese für eine effektive und nachhaltige Risikosteuerung unerlässlich ist.
Basel Committee on Banking Supervision (Hrsg.) [2015]: Guidelines – Corporate governance principles for banks, Basel 2015.
Bianchi, N./Carretta, A./Farina, V./Fiordelisi, F. [2021]: Does espoused risk culture pay? Evidence from European banks, in: Journal of Banking & Finance 122/2021, Art. 105767.
Bockius, H./Gatzert, N. [2023]: Organizational risk culture: A literature review on dimensions, assessment, value relevance, and improvement levers, in: European Management Journal, 2023.
Dürst, N./Kunz, J. [2025a]: The Risk Culture Scale: A Measurement Tool to Comprehensively Assess Banks’ Risk Culture, in: Abacus, Online First 2025.
Dürst, N./Kunz, J. [2025b]: Embedding risk culture in a financial institution: An action research perspective, in: Review of Managerial Science, Online First 2025.
Fernández Muñiz, B./Montes Peón, J. M./Vázquez Ordás, C. J. [2020]: Misconduct and risk climate in banking: Development of a multidimensional measurement scale, in: Global Policy 11/2020, S. 73–83.
Financial Stability Board (FSB) [2014]: Guidance on supervisory interaction with financial institutions on risk culture. A Framework for Assessing Risk Culture.
Fritz-Morgenthal, S. G./Hellmuth, J./Packham, N. [2015]: Does risk culture matter? The relationship between risk culture indicators and stress test results, in: Journal of Risk Management in Financial Institutions 9(1)/2015–2016, S. 71–84.
Gatzert, N./Schmit, J. [2016]: Supporting strategic success through enterprise-wide reputation risk management, in: The Journal of Risk Finance 17(1)/2016, S. 26–45.
Ring, P. J./Bryce, C./McKinney, R./Webb, R. [2016]: Taking notice of risk culture – the regulator’s approach, in: Journal of Risk Research 19(3)/2016, S. 364–387.
Roeschmann, A. Z. [2014]: Risk Culture: What It Is and How It Affects an Insurer’s Risk Management, in: Risk Management and Insurance Review 17(2)/2014, S. 277–296.
Sheedy, E. A./Griffin, B./Barbour, J. P. [2017]: A framework and measure for examining risk climate in financial institutions, in: Journal of Business and Psychology 32(1)/2017, S. 101–116.
Sheedy, E./Griffin, B. [2018]: Risk governance, structures, culture, and behavior: A view from the inside, in: Corporate Governance: An International Review 26(1)/2018, S. 4–22.