Höchste Anforderungen an die Datenqualität in Banken (BCBS 239)

BCBSDas Ende der Ära allseits bekannter IT-Insellösungen und manuell gepflegter Excel-Sheets im Datenmanagement von Finanzinstituten ist eingeläutet.

Bei der Aufarbeitung der Finanzkrise 2007-10 erkannten viele Institute sowie die Bankaufsicht, dass ein Großteil der IT- und Datenarchitekturen von Banken für die Steuerung finanzieller Risiken mangelhaft waren. Zum Beispiel benötigten globale Großbanken nach der Pleite von Lehman Brothers ca. zwei Wochen, um das eigene Lehman-Engagement ungefähr abschätzen zu können. Die Daten standen nicht automatisiert zur Verfügung und viele Mitarbeiter mussten die Informationen mit hohem manuellem Aufwand zusammensuchen und konsolidieren. Als Folge haben das Basel Committee on Banking Supervision (BCBS) und das Financial Stability Board (FSB) der Bank für Internationalen Zahlungsausgleich (BIS) die Entwicklung internationaler Standards zum Datenmanagement beschlossen. Mit BCBS 239 veröffentlichten die Basler Regulatoren im Januar 2013 ihre internationalen Anforderungen als „Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung“.

Der BCBS (Basel Committee on Banking Supervision) bestehend aus Vertretern von Zentralbanken und nationalen Aufsichtsbehörden weltweit, hat seinen Sitz bei der Bank für Internationalen Zahlungsausgleich in Basel und trifft sich quartalsweise zur Erarbeitung von Richtlinien und Empfehlungen, um international einheitliche Standards in der Bankaufsicht zu schaffen.

BCBS 239 zwingt Finanzinstitute, ein angemessenes und wirksames Risikoreporting zu etablieren, welches klare Aussagen zur Risikotragfähigkeit einzelner Tochtergesellschaften und auf Kundenebene gewährleistet. Dazu müssen heterogene Systemlandschaften aufgeräumt und zum Teil längst überfällige Modernisierungsmaßnahmen im Datenmanagement und interner Kontrollverfahren umgesetzt werden. Zu den ausbaubedürftigen Kontrollmechanismen gehören insbesondere

  • Regelungen zur Aufbau- und Ablauforganisation,
  • Prozesse zur Identifizierung, Beurteilung, Steuerung, Überwachung sowie zur Kommunikation der Risiken sowie
  • eine Risikocontrolling- und eine Compliance-Funktion.

Die Anforderungen an die Risikodatenaggregation und an das Risiko-Reporting werden in 14 Grundsätzen beschrieben. Jeder Grundsatz ist einem der vier übergeordneten Themenfelder (I) Gesamtbankensteuerung und Infrastruktur, (II) Risikodaten-Aggregation, (III) Risikoberichterstattung, (IV) Aufsichtsrechtliche Überprüfungen und Zusammenarbeit zuzuordnen.

  • I. Gesamtbankensteuerung und Infrastruktur
    • (1) Governance: Qualität und Interpretation der Risikodaten liegt in der Verantwortung der Geschäftsleitung
    • (2) Datenarchitektur und IT-Infrastruktur: Gewährleistung effektiver IT-Unterstützung auch in Krisenzeiten
  • II. Risikodaten-Aggregation
    • (3) Genauigkeit und Integrität: Möglichst automatisierte Datenaggregation zur Fehlervermeidung, einheitliche und abstimmbare Datenquellen
    • (4) Vollständigkeit: Lieferung vollständiger Risikodaten, Messung und Nachweis der Vollständigkeit
    • (5) Aktualität: In jedem Institutsbereich kurzfristig verfügbare und bei Bedarf konsolidierte Risikodaten
    • (6) Anpassungsfähigkeit: Flexible und skalierbare Risikodaten-Aggregation für Ad-hoc-Berichte zur Erfüllung aufsichtsrechtlicher Anforderungen
  • III. Risikoberichterstattung
    • (7) Genauigkeit: Zeitnahe Generierung von korrekten Berichten
    • (8) Umfassender Charakter: Einbeziehung aller relevanten Risiken
    • (9) Klarheit und Nutzen: Klare Darstellung und Berücksichtigung der Grenzen des Risiko-Reportings
    • (10) Häufigkeit: Sicherstellung eines regelmäßigen, risikoadäquaten Reportings, auch unter Stress- und Krisenbedingungen
    • (11) Verbreitung: Versand adressatengerechter Berichte
  • IV. Aufsichtsrechtliche Überprüfungen und Zusammenarbeit
    • (12) Überprüfung: Einhaltung der Grundsätze ist zu überprüfen und zu überwachen
    • (13) Korrektur- und Aufsichtsmaßnahmen: Empfehlungen zu Review-Tools und Sanktionsmaßnahmen
    • (14) Grenzüberschreitende Zusammenarbeit: Zusammenarbeit der nationalen Aufsichten auf internationaler Ebene. 

Zeitstrahl für die Umsetzungen zu BCBS 239

Global systemrelevante Banken (G-SIBs)

  • Umsetzung verpflichtend bis 01.01.2016

National systemrelevante Banken (D-SIBs)

  • Umsetzung wird drei Jahre nach nationaler Klassifizierung einer Bank als D-SIB verpflichtend (für Deutschland voraussichtlich in der MaRisk-Novelle in 2015)

Übrige Institute

  • Im Ermessen der nationalen Aufsicht werden selektiv sinnvolle Prinzipien proportional auf die mittleren und kleineren Finanzinstitute übertragen (in Deutschland über die MaRisk-Novelle in 2015)

BCBS

 Die Umsetzung der Forderungen gemäß BCBS 239 ist aufwendig. Das bestätigen auch die regulatorischen Instanzen. Sie gehen je Bank von Investitionen in bis zu dreistelliger Millionenhöhe aus und es liegt noch viel Arbeit vor den Instituten. Die letzte Fortschrittsprüfung der BCBS 239-Umsetzung bei den G-SIBs in 2014 hat leider ernüchternde Ergebnisse zu Tage gefördert. Zwar zeigten sich bereits zahlreiche Verbesserungen gegenüber 2013, aber zeitgleich gab es in anderen Bereichen Verschlechterungen, sodass im Durchschnitt aller G-SIBs und über alle Themenfelder nahezu kein Fortschritt zwischen 2013 und 2014 auszumachen war. Hinzu kommt, dass ungefähr die Hälfte der Institute angibt, die Deadline zum 1. Januar 2016 nicht halten zu können. Die Aufsicht geht sogar von einem noch größeren Anteil aus.

Ein übergreifendes Problem ist die Umstellung bisheriger manueller Prozesse im Risiko-Reporting auf automatisierte Standards. „Organisatorische Flaschenhälse“, wie ein unterschätzter Personalbedarf in den IT-Abteilungen oder in der verstärkten Zusammenarbeit mit der Bankaufsicht sorgen für Verzögerungen in den Umstrukturierungsprojekten.

Zudem wurde der volle Anforderungsumfang in einigen Instituten erst 2014 erkannt. Insbesondere die Implementierung und Einrichtung einer gemeinsamen IT-Plattform bzw. adäquater Schnittstellen zur Einbeziehung aller relevanten Risikodaten – auch von Tochtergesellschaften – bedeutet einen großen Aufwand für alle Kreditinstitute, die nicht bereits aus eigenem strategischen Antrieb im Nachgang der Finanzkrise mit Verbesserungen in der internen Revision und dem Risiko- und Datenmanagement begonnen haben.

Experten schätzen, dass das Risikomanagement der Europäischen Banken mithilfe jener Umstrukturierungen in vier bis fünf Jahren so gestärkt sein sollte, dass es im Falle einer neuen Finanzkrise eine valide Unterstützung bietet.

S&N-Referenzen / Leistungsangebot

S&N verfügt über langjährige Erfahrung im Bereich Business Intelligence für Finanzdienstleister. Die Schwerpunkte lagen hierbei in der Umsetzung neuer Meldewesenanforderungen aus Basel III sowie in der Konsolidierung und Automatisierung des Berichtswesens im Risikocontrolling.

Das Aufgabenspektrum unserer Berater umfasst die Anforderungsanalyse und -Konzeption, die Projektleitung, Realisierung sowie die Unterstützung des Betriebs.

Parallel zur regulatorischen BCBS 239 Einführung bietet S&N eine umfassende Unterstützung bei der Umsetzung der neuen Anforderungen an.

Unser Angebot

  • Bestandsaufnahme und Dokumentation der bestehenden Prozesse und Berichte im Risikoreporting
  • Unterstützung bei der Identifikation von Handlungsfeldern
  • Unterstützung bei der Automatisierung, Konsolidierung und Optimierung von Reporting-Syste-men und -Prozessen

Ansprechpartner: Franziska Mühlenkord; Turn on Javascript! und Matthias Koch; Turn on Javascript!