BCBS 239: Grundsätze für die effekte Aggregation von Risikodaten und die Risikoberichterstattung: Übersicht der Anforderungen, Handlungsfelder und Lösungsansätze

Autor

1 Einleitung

Die Finanzkrise hat es gezeigt: Viele Banken haben es nicht geschafft, Risikodaten in angemessener Zeit so zu aggregieren und so auszuwerten, dass sie die Risiken ordnungsgemäß steuern konnten.

Die Reaktion darauf war die finale Veröffentlichung der „Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung" durch den Basler Ausschuss für Bankenaufsicht im Januar 2013:

Banken müssen (Risiko)-Informationen adressatengerecht, korrekt, vollständig, konsistent und zeitnah zur Verfügung stellen.

Das klingt fast schon selbstverständlich und nach einer einfachen Zusammenfassung gängiger Praxis, darin steckt jedoch viel Zündstoff: Die Anforderungen sind umfassend und im zweiten Hinschauen sehr komplex! Und das oberste Management der Bank steht persönlich in der Verantwortung!

Es wird eine konzern- und geschäftsbereichsübergreifende Definition, Erfassung und Verarbeitung risikorelevanter Daten mit hohen Anforderungen an die Qualität von Risikodaten und Risikoreports gefordert. Ziel ist die Stärkung des Risikomanagements und eine Verbesserung der Fähigkeiten der Kreditinstitute zur Bewältigung von Stress- und Krisensituationen. Grundlegende Voraussetzung dafür wird ein ganzheitliches Managementinformationssystem zur Definition, Erfassung und Verarbeitung risikorelevanter Daten in allen Bereichen sein. Dies erfordert eine tragfähige, zuverlässige und flexible IT-Infrastruktur, die gegenüber der BaFin (Bundesanstalt für Finanzdienstleister) nachzuweisen ist.

Die Umsetzung stellt Banken jedoch vor große Investitionen und Herausforderungen: Es gilt die bestehende IT-Architektur zu analysieren und weitreichende Anpassungen hinsichtlich der Zielsetzung vorzunehmen. Unter Umständen sind sogar völlig neue Systeme aufzubauen und/ oder zu integrieren.

Zwar gehen die Anforderungen der BCBS 239 an vielen Stellen weit über das hinaus, was kleine und mittlere Institute leisten müssen, da die Grundsätze in erster Linie auf große, international bzw. national systemrelevante Banken abstellen, aber auch kleinere Banken werden die Anforderungen über die geplante MaRisk-Novellierung in Teilen erfüllen müssen. Dazu dürften sich die Prinzipien mittelfristig als Best Practice im Markt etablieren.

Was sind die besonderen Herausforderungen von BCBS 239?

Aus unseren Erfahrungen gibt es zwei zentrale Herausforderungen:

Der Umfang und die Komplexität der neuen Regeln muss für jedes Haus individuell strukturiert werden: Was sind die konkreten und für die Bank wesentlichen Handlungsfelder? Was sind betroffene Risikoarten, Konzerngesellschaften, Prozesse Berichte?

Der eher allgemeine Ansatz des Grundsatzpapieres bietet zahlreiche Interpretationsspielräume. Es gibt kein definiertes Soll-Modell; vielmehr muss das Zielbild („Wohin will die Bank?") erst entwickelt und auf einzelne Phasen heruntergebrochen werden.

Themen rund um BCBS 239 haben Auswirkungen auf geplante und bereits laufende Projekte der Bank oder anders ausgedrückt: Ein BCBS-239-Projekt kann als übergreifendes Integrations- und Umsetzungswerkzeug für umfassende Anforderungen dienen. Die übergreifende Tragweite ergibt sich auch daraus, dass nahezu alles Fachbereiche einzubinden sind (z. B. Risikocontrolling, Finanzen, IT, Marktbereiche, Meldewesen).

BCBS 239 kann die Grundlage für eine Integrierte Finanzarchitektur sein, welche die Handlungs-, Tragfähigkeit und Zukunft der Bank langfristig sicherstellen kann.

Ob BCBS 239 zu einem Regulierungs-Overkill oder zu einer lohnenden Investition führt, hängt im Wesentlichen von der Ausrichtung der Umsetzung ab: Notwendiges Übel oder strategische Chance.

Betrachtet man BCBS 239 als notwendiges Übel und versucht die Umsetzung möglichst „schlank" umzusetzen, können Anregungen von Wirtschaftsprüfer oder Aufsicht mittelfristig zu einer unangenehmen Überraschung werden: Die Bank kann darüber in die Lage geraten, Maßnahmen auf Druck von außen in einem engen Zeitfenster umsetzen zu müssen.

Betrachtet man hingegen BCBS 239 als strategische Chance

können sich Investitionen mittelfristig durch erhebliche Effizienz- und Effektivitätseffekte amortisieren

werden Flexibilität und Agilität durch beschleunigte Reportingerstellung und optimales Time-to-Market erhöht

werden Anforderungen hinsichtlich Datenqualität, -integrität und Nachweisbarkeit erfüllt

wird die Wirtschaftlichkeit durch effiziente Verwendung der Eigenmittel, Reduktion von Abstimmungsauf- bzw. manuellen Aufwänden, Leveraging von Banksteuerung auch für regulatorische Vorschriften gesteigert

werden operative Risiken durch eine höhere Automatisierung, ausreichende Stabilität und Sicherheit reduziert

werden IT-strategische Ziele wie Komplexitätsreduktion, buybefore-make, Erweiterbarkeit, Reduzierung von Prozess-Wildwuchs und Individuellen Datenverarbeitungen und Sanierung der Altsysteme umgesetzt

wird die Zukunfts- und Handlungsfähigkeit künftige regulatorische Anforderungen abzudecken, neue Produkte flexibel abzubilden, Mandantenfähigkeit und die Entlastung der Vorsysteme sichergestellt

wird eine bessere Qualität bei der Unterstützung von Eigenkapitalstrategie und Banksteuerung durch konsistente Methoden und Datenbasis sichergestellt

Außerdem können Banken die finanziellen Folgen von Krisensituationen deutlich schneller und besser erfassen als bisher. Und aus strukturierten qualitativ hochwertigen und transparent erzeugten Daten können auch jenseits der Regulierung im internen Gebrauch weitere wirtschaftliche Vorteile erschlossen werden.

Kreditinstitute, egal welcher Größe, wird es Zeit, sich ausführlich mit BCBS 239 zu befassen. Auch wenn ihnen noch eine Umsetzungsfrist bleibt, kann sich kein Institut leisten, das Thema zwei Jahre hintenanzustellen und in letzter Sekunde zu beginnen.

Die Qualität der oft noch unvollständigen und unstrukturierten Daten in den Griff zu bekommen braucht Zeit. Die Prozesse im Haus zu etablieren wird mindestens ein Jahr in Anspruch nehmen. Vor allem die Vorstandsebene darf die Augen nicht mehr vor dem den anstehenden Herausforderungen im Datamanagement verschließen und muss sich persönlich mit der Data-Governance beschäftigen.

Mit freundlichen Grüßen

Jörg Gogarn

Geschäftsführer der JG BC Projekt & Service GmbH

2 BCBS 239 im Überblick

Im folgenden Überblick sind die Anforderungen (Grundsätze) des BCBS 239 an die Institute dargestellt¹:

Abbildung 1: Überblick BCBS 239

Eine der wichtigsten Lehren, die aus der 2007 einsetzenden globalen Finanzkrise gezogen wurden, war die Erkenntnis, dass die Informationstechnologie- (IT) und Datenarchitektur vieler Banken für die umfassende Steuerung finanzieller Risiken nicht geeignet war. Zahlreiche Banken waren nicht in der Lage, ihre Risikopositionen zu aggregieren und Konzentrationen auf Konzernebene sowie über Geschäftsfelder und Konzerngesellschaften hinweg rasch und präzise zu identifizieren. Aufgrund unzureichender Risikodaten-Aggregationskapazitäten und Verfahren zur Risikoberichterstattung konnten manche Banken ihre Risiken nicht ordnungsgemäß steuern – mit schwerwiegenden Folgen für die Banken selbst und für die Stabilität des gesamten Finanzsystems.

Der Basler Ausschuss reagierte mit zusätzlichen Anforderungen gemäß Säule 2 (Aufsichtsrechtliches Überprüfungsverfahren)², um die Fähigkeit der Banken zu stärken, bankweite Risiken zu erkennen und zu steuern. Er betonte insbesondere, dass ein solides Risikomanagementsystem auf Geschäftsbereichs- und Konzernebene geeignete Managementinformationssysteme (MIS)³ umfassen sollte. Der Basler Ausschuss bezog außerdem Richtlinien zur Aggregation von Risikodaten in seine Empfehlungen zur Unternehmensführung ein⁴.

Eine bessere Risikodatenaggregation der Banken verbessert gleichzeitig deren Liquidierbarkeit. Insbesondere für global systemrelevante Banken (G-SIB) ist es wesentlich, dass Liquidationsbehörden auf aggregierte Risikodaten zugreifen können, die sowohl die Anforderungen der Key Attributes of Effective Resolution Regimes for Financial Institutions⁵ des FSB als auch die nachfolgenden Grundsätze erfüllen. Mit Blick auf die Rettung von Banken versetzt ein robustes Datengerüst das betreffende Institut und die Aufsichtsinstanzen in die Lage, künftige Probleme bereits im Voraus zu erkennen; wenn das Institut unter erheblichen Druck gerät, verbessert ein robustes Datengerüst die Chancen, dass Alternativen gefunden werden, um die Finanzkraft des Instituts wiederherzustellen und seinen Fortbestand zu gewährleisten. So können beispielsweise die Aussichten auf einen geeigneten Fusionspartner steigen.

Der Nutzen aus einer Erhöhung der Risikodaten-Aggregationskapazitäten ist von den Banken erkannt worden⁶, und entsprechende Bemühungen sind im Gange. Die Stärkung von Leistungsfähigkeit und Status der Risikofunktion bei der Urteils- und Entscheidungsfindung wird als Vorteil wahrgenommen, denn sie führt zu mehr Effizienz, einer geringeren Verlustwahrscheinlichkeit, einem verbesserten strategischen Entscheidungsprozess und damit letztlich zu einer höheren Rentabilität.

Einige Aufsichtsinstanzen sehen die Erhöhung von Risikodaten-Aggregationskapazitäten und die Verbesserung der Verfahren zur Risikoberichterstattung weiterhin