Ein internationales Experten-Gremium hat nach jahrelanger Arbeit eine neuen Standard zur guten Unternehmensführung veröffentlicht. Fürs Swiss Banking birgt das Papier grosse Chancen – wenn es denn gelesen wird.
Am (heutigen) Dienstag hat ein Expertengremium aus 70 Ländern nach vier Jahren Vorarbeit die ISO-Norm 37000 veröffentlicht – mit grossem Anspruch. Das 35 Seiten kurze Papier soll den neuen Standard setzen für die gute Führung von Organisationen.
Dazu haben die Autoren den Führungsbegriff viel weiter gefasst: Aus ihrer Sicht erfüllt ein Unternehmen einen Zweck («Purpose», siehe Grafik unten) in der Gesellschaft und ist dieser gegenüber verantwortlich für ihr Tun. Führung ist demnach an ethische Leitlinien gebunden und verfolgt das Ziel, langfristig Werte zu schaffen.
Löchrige Linien
Vorerst ist das Papier als «Empfehlung» gehalten, und es muss sich zeigen, wie rasch sich der neue Standard durchzusetzen vermag – immerhin folgt er einem Manifest des Weltwirtschaftsforums Wef vom vergangenen Jahr. Für dass Swiss Banking bietet der Standard jedenfalls enorme Chancen, den Führungsbegriff zu erneuern und insbesondere im Umgang mit Risiken klaffende Lücken zu schliessen.
Denn die Branche folgt in der Risikoabwehr in weiten Teilen noch den «Three Lines of Defense», dem System der drei Verteidigungslinien, auf das sich die CS wie auch das Swiss Banking weiterhin verlassen. Das Modell, das auf die 1990er-Jahre zurückgeht, ist aber nicht nur stark in die Jahre gekommen, sondern wird von Experten inzwischen als völlig untauglich eingestuft, wie finews.ch schon berichtete.
Dies, obwohl neuere, auf internationalen Normen beruhende Systeme wie nun die neueste ISO-Normierungen bereit lägen.
Aufsicht gibt den Ton an
Die Geldinstitute haben darin allerdings nur bedingt eine Wahl. Die Bank für Internationalen Zahlungsausgleich (BIZ) in Basel empfiehlt weiterhin die «Three Lines of Defense», die Eidgenössische Finanzmarktaufsicht (Finma) hat das Modell teils ins relevante Rundschreiben «Corporate Governance - Banken» integriert. Die Anwendung geschieht also mit dem Segen und unter Anweisung des Regulators.
Nach jeder neuerlichen Panne werden seither im hiesigen Banking die führenden Köpfe ausgetauscht – dabei zeichnet sich immer deutlicher ab, dass die Schwächen in der Abwehr von Risiken systemisch sind: Inhärente Interessenkonflikte an der Kundenfront wie auch in der Führung sorgen dafür, dass selbst deutliche Warnsignale zuwenig beachtet werden. Aufgrund dieser Historie müssen hiesige Grossbanken bereits mehr Eigenkapital vorhalten als die ausländische Konkurrenz, während ihre Kurse mit einem «Unsicherheits-Abschlag» behaftet sind.
Der Umgang mit Risiken verursacht demnach Kosten, die weit über die Ergebnisse hinausgehen.
Ein Dreieck aus Kontrollen
Demgegenüber setzt der frisch publizierte ISO-Standard für gute Unternehmensführung einen Schwerpunkt auf die internen Kontrollen. Diese greifen in einem Dreieck von Risk Management, Compliance und Finanzkontrollen ineinander, wobei jede Kontrollstelle ihre Unabhängigkeit strikt beibehält. Direkte Reports dieser Stellen, externe Audits sowie die Anhörung von Whistleblowern und Kunden kommen als zusätzliche Sicherungen hinzu.
Eine eminente Stellung räumt der Standard der Arbeit des Verwaltungsrats ein. Dieser steht in der Pflicht, sich zu vergewissern, dass die internen Kontrollen greifen und die zusätzlichen Sicherungen funktionieren. Die internen Aufpasser und der Verwaltungsrat stehen dabei in direktem Austausch, den im Banking viel beobachteten «Override» durch das Management kann so leicht nicht mehr stattfinden. Vielmehr wird das Management daran gemessen, wie gut es die internen Kontrollen umsetzt.
Nur so gut wie der Verwaltungsrat
Mit anderen Worten: Der Verwaltungsrat ist als oberstes Organ für die Risk-Governance verantwortlich. Er gibt die Umsetzung des Risikomanagements vor, das System, die Ressourcen, den Risikoappetit, die Risikokriterien und -Limiten; er beurteilt, bewältigt, überwacht und kommuniziert die Risiken in seinen Entscheidungsprozessen. Und er verschafft sich Sicherheit, dass das Risikomanagement funktioniert.
Das lässt gleichzeitig vermuten, dass der Standard nur so gut ist, wie der Verwaltungsrat, der über die Umsetzung wacht. In Zusammenhang mit der Finma-Rundschreiben zur Governance von Banken haben die Institute auch das Anforderungsprofil an ihre Verwaltungsräte angepasst; auch hier stellt sich nun die Frage, wie weit geltenden Vorgaben mit dem neuesten Governance-Standard kompatibel sind.
G wie Governance
Beobachter befürchten, dass eine Umsetzung von ISO 37000 im hiesigen Banking noch Jahre auf sich warten lässt – denn an die tradierten Modelle knüpfen sich auch handfeste Interessen. Ein Exempel dazu ist die zähe Diskussion um die Erweiterung der Three Lines of Defense um weitere organisatiorische Linien. So wurde ein Vier-Linien-Modell von der BIZ in Basel schon 2015 in einem Papier diskutiert; auch ein 5-Linien-System wurde in Expertenkreisen schon besprochen.
Dennoch kann es sich das Swiss Banking immer weniger leisten, mit kostspieligen und peinlichen Pannen aufzufallen. Alle namhaften Investoren stellen ihre Anlagepraxis derzeit nach ESG-Kriterien um, wobei das G für Governance steht. Werden die Fortschritte in diesem Feld von Kapitalgebern als zu zögerlich empfunden, droht der Branche mittelfristig der Geldhahn abgedreht zu werden.