In meinen beiden vorangegangenen Beiträgen aus den vergangenen Tagen habe ich Ihnen schon Einblicke in die Hintergründe des Danske-Bank-Skandals gegeben und die Technologiedefizite benannt, die eine wichtige Rolle beim Geldwäscheskandal der dänischen Großbank gespielt haben. Im dritten und letzten Teil meiner Danske-Bank-Analyse möchte ich nun einen Blick auf das Compliance- und Risikomanagement der dänischen Großbank werfen.
Dies ist relevant, denn auf beiden Feldern hat die Danske Bank versagt. Der Preis, den die Bank dafür bezahlen wird, ist hoch – und er wird mit jedem Tag teurer. So wurde Danske von der estnischen Regierung des Landes verwiesen. Darüber hinaus überlegt Estland, Schadensersatz geltend zu machen, weil es durch die Geldwäsche der Danske Bank seine Reputation als Finanzplatz beschmutzt sieht. Institutionelle Investoren haben eine Sammelklage eingereicht, und neben Behörden aus Estland und Dänemark ermitteln auch die US-Justiz sowie die US-Börsenaufsicht SEC. Auch in Frankreich und England drohen Ermittlungen. Ein Desaster kommt eben selten alleine.
Inwieweit es möglich sein wird, illegale Absicht oder grobe Fahrlässigkeit nachzuweisen, wissen wir noch nicht. Unmittelbar fragt man sich aber, wie genau die Danske Bank eigentlich Risikomanagement betrieben hat. Und gerade dann wird es interessant, weil die Forschung uns aufzeigt, dass es oftmals dem verwendeten Risikomanagementansatz zuzurechnen ist, wenn große Fehler passieren. Bei Danske könnten sich zwei Teufelskreise gegenseitig hochgeschaukelt haben.
Der Teufelskreis der Selbstaufsicht
Einen Hinweis dafür lieferte Stefan Ingves: Der Chef der schwedischen Notenbank äußerte, dass der Versuch vieler Banken, sich im Baltikum zu etablieren, von sehr viel Naivität begleitet worden sei. In der Finanzszene war bekannt, dass im Baltikum riesige Geldsummen lagen, die profitables Bankgeschäft versprachen. Aber die Risiken dieses verlockenden Ertragspools wurden übersehen.
Tatsächlich besagt der Untersuchungsbericht der von Danske beauftragten Anwaltskanzlei Bruun & Hjejle, dass Danske in Estland von Anfang Wert darauf gelegt hat, ihre Kunden dort zu kennen. Eine zentrale Vorschrift der EU-Antigeldwäscherichtlinie könnte somit eingehalten worden sein. Viel Aussagekraft hat diese Erkenntnis aber nicht. Selbst im vergangenen Jahr hat beispielsweise der Deutsche Bankenverband noch behauptet, dass viele Banken sich mit der praktischen Handhabung der Antigeldwäschevorschriften immer noch schwertun. So war es vermutlich auch bei Danske.
Ein zentrales Problem ist, dass an der EU-Richtlinie fortwährend herumgewerkelt wird: Schon im Jahr 1991 erschien die erste Fassung der Richtlinie, aber erst 2005 wurde vorgeschrieben, dass Banken ihre internen Kontrollsysteme spezifisch auf Geldwäsche ausrichten sollten. Die einzelnen EU-Mitgliedsländer übernahmen diese Vorgaben dann jedoch höchst unterschiedlich in ihre nationale Gesetzgebung.
FINANCE-Blog
Dies bildete einen idealen Nährboden für den Teufelskreis sich selbst bestätigender Naivität, der offenbar die Danske Bank ergriffen hat. Ein solcher entsteht, wenn die selbsterstellten Kontrollmaßnahmen einer Organisation letztlich nur dafür verwendet werden, die Rechtmäßigkeit der eigenen Geschäftspraxis zu bestätigen. Dies passiert Tag für Tag in vielen Unternehmen – vor allem in solchen, die in Geschäften oder Märkten tätig sind, in denen sich die Rechtsgrundlagen dynamisch verändern.
Risikomanagement zweiten Grades
Im Banking verändern sich die Rechtsgrundlagen besonders schnell (die Antigeldwäscherichtlinie existiert mittlerweile in der fünften Fassung, an der sechsten wird gearbeitet). Aber längst nicht nur bei Banken, sondern auch bei Industrieunternehmen gibt es dieses Phänomen: Alle bekennen sich lautstark dazu, selbstverständlich alle bestehenden Compliance-Vorgaben befolgen zu wollen.
Aus dieser „Makro-Kultur der offiziellen Rechtskonformität“ entsteht oftmals ein zweiter Teufelskreis, nämlich dann, wenn Risiko- und Compliance-Management zwar offiziell als wichtig angesehen werden, die Mitarbeiter sich aber hauptsächlich darauf konzentrieren, ihrer eigenen persönlichen Haftung zu entkommen. In der Forschung wird dieser Teufelskreis als „Risikomanagement zweiten Grades“ (RM2) bezeichnet.
RM2-Organisationen kennzeichnen sich dadurch, dass die individuellen Wahrnehmungen der Mitarbeiter auf der Organisationsebene oft gar nicht nachvollzogen werden können. Gerade in Organisationen mit strenger und konservativer Hierarchie hat dieser RM2-Teufelskreis beste Lebensbedingungen. Selbstverständlich sind Banken von diesem Phänomen betroffen (nicht nur Danske), aber übrigens auch die deutsche Autoindustrie, wie ich in der Vergangenheit an dieser Stelle am Beispiel des VW-Dieselskandals aufgezeigt habe.
Symbolisch findet dieses Phänomen seinen Ausdruck, wenn Mitarbeiter und Mittelmanager davon ausgehen, dass „das Management ganz oben“ doch eigentlich gar nicht wissen will, was eigentlich los ist. Wie auch im Fall Danske Bank wird dieser Teufelskreis oftmals erst dann durchbrochen, wenn ein Whistleblower plötzlich das anspricht, wovon jeder „ja schon längst irgendwie“ eine Ahnung hatte. Bei der Danske Bank kam dieser Whistleblower aus den Reihen des mittleren Managements, bei VW von außen im Gestalt einer US-Behörde.
In Organisationen mit strenger Hierarchie hat der RM2-Teufelskreis beste Lebensbedingungen.
Hierarchie siegt über gute Compliance
Diese zwei Teufelskreise müssen in keinster Weise vom Management ausgehen und sind auch längst nicht immer im „Tone from the Top“ begründet. Der gemeinsame Nenner beider Teufelskreise liegt darin, dass sich in bestimmten Organisation Geschäftshandlungen und Geschäftskontrollen so sehr miteinander vermischen, dass aus der guten Absicht ein unbeabsichtigter Effekt entsteht.
Keineswegs möchte ich beurteilen, ob Management und Aufsichtsrat der Dansk Bank freigesprochen werden sollten oder nicht. Mir ist es viel wichtiger, darauf aufmerksam zu machen, dass Skandale verschiedenster Art – wie der Geldwäsche- und der Abgasskandal – gemeinsame Wurzeln haben. In beiden Fällen sehen wir Manager und Aufsichtsräte, die auch im Nachhinein nicht belegen können, sich einer entstandenen organisatorischen Fehlentwicklung in den Weg gestellt zu haben. Wo eigentlich die eigene Organisation auf Herz und Nieren hätte überprüft werden müssen, zeigte sich stattdessen ein Fokus auf Hierarchien, wodurch sich Formalität gegenüber dem eigentlichen Ziel durchsetzen konnte.
Für die Danske Bank kommt diese Erkenntnis zu spät. Dort geht es jetzt um Schadensbegrenzung. Die Dänen haben den früheren niederländischen Finanzminister und Ex-ABN Amro Chef Gerrit Zalm für den Aufsichtsrat nominiert. Dies lässt vermuten, dass sich die Danske Bank auf einen schwierigen Dialog mit den Behörden einstellt. Diese Auseinandersetzung wird die Schlagzeilen der nächsten Monate bestimmen.
Warum die Danske Bank sich nicht frühzeitig mit ihren Organisationsschwächen und ihren Technologie-Defiziten auseinandergesetzt hat, wird währenddessen ein Rätsel bleiben. Denn gerade wenn diese Schwächen vorliegen, ist es höchste Priorität für ein Management, die internen Kontrollen intelligent zu orchestrieren.
Info
Lesen Sie im ersten und zweiten Teil dieser Artikelserie, wie genau es zum Geldwäscheskandal der Danske Bank kommen konnte und was deutsche CFOs und Aufsichtsräte dringend daraus lernen sollten.
Niels Dechow, PhD, ist Professor für Unternehmensrechnungslegung und Controlling an der European Business School (ebs). Für FINANCE bloggt er regelmäßig zu den neuesten Trends im Controlling. Hier geht es zu allen Beiträgen seines Blogs „Controlling 2020„.