Im Januar 2013 hat der Baseler Ausschuss für Bankenaufsicht (Basel Committee on Banking Supervision - BCBS) die „Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung“ veröffentlicht. Die BCBS 239-Grundsätze verschärfen die regulatorischen Anforderungen an Banken und ergänzen bereits bestehende Gesetzesbemühungen, indem sie unter anderem stärkere Anforderungen an das (Gruppen)-Risikomanagement stellen.

Damit sollen Banken befähigt werden, ihre gruppenweiten Risiken zu erkennen und (besser) zu managen. Das Ziel dieser regulatorischen Vorgaben ist es, das Risikomanagement der Banken nachhaltig zu verbessern und Banken dazu zu verpflichten, Ihre Risikodaten in angemessener Zeit so aufzubereiten und auszuwerten, dass sie ihre Risiken verantwortungsvoll steuern können. Neben den Anforderungen an die Aufbau- und Ablauforganisation der Risikofunktion in Banken werden erstmals auch konkrete regulatorische Anforderungen an die IT-Architektur und das Datenmanagement in Kreditinstituten formuliert.

Diese sind prinzipienorientiert und enthalten einen neuen Reporting-Zyklus, in welchem alle Risikoberichte quartalsweise bereitgestellt werden müssen. Manuelle Datenübertragungen (Stichwort: Excel) sind nicht länger erlaubt: Excel darf lediglich zur graphischen Darstellung, nicht jedoch zur Berechnung von Risikokennzahlen genutzt werden. Zudem ist das Datenqualitätsmanagement zu überwachen und es werden höhere Anforderungen an die Ad-Hoc-Berichterstattung gestellt. Die Vorbereitung der Überleitung von Finanz- und Risikokennzahlen ist erforderlich. Risk Controller sollten sich auf die Datenanalyse fokussieren können und nicht den Großteil ihrer Zeit mit der Zusammenstellung und Qualitätssicherung von Daten beschäftigen müssen. Zu den Grundsätzen gehört die Definition und Implementierung zukünftiger Risikoberichtsinhalte und Zielarchitekturen ("Single Point of Truth") sowie weitere zukunftsorientierterer Berichtsparameter (z.B. auch Stresstests).

Die Umsetzung in nationales Recht erfolgt in Deutschland über die „Mindestanforderungen an das Risikomanagement (MaRisk)“.

Seit Januar 2016 sind die neuen BCBS 239 Anforderungen von allen global als systemrelevant geltenden Finanzinstituten (G-SIBs, „global systemically important bank“) einzuhalten. Für die national systemrelevanten Banken (D-SIBs, „domestic systematically important bank“) gilt eine Umsetzungsfrist von drei Jahren nach Designation durch die BaFin.

In seinem jüngsten Fortschrittsbericht (Progress in adopting the Principles for effective risk data aggregation and risk reporting) vom Juni 2018 hat das BCBS jedoch festgestellt, dass bis zum ursprünglichen Stichtag 1. Januar 2016  jeder einzelne Grundsatz von weniger als der Hälfte der überwachten G-SIBs erfüllt wurde. Nach den Daten vom 31. Dezember 2017 ist die Situation nur geringfügig besser, da die Banken die ersten 11 von 14 Grundsätzen nur unzureichend einhalten (die weiteren 3 Grundsätze decken Aufsichtsaufgaben ab). Bislang wurden nur drei G-SIBs von ihrer Aufsicht als vollständig konform bewertet.

Im Mai 2018 veröffentlichte die EZB ihren Bericht über die „Thematische Überprüfung der effektiven Aggregation von Risikodaten und Risikoberichterstattung“ („Thematic review of the effective aggregation of risk data and risk reporting“), welcher auf einer Stichprobe von 25 G-SIBs und D-SIBs basierte und einen unbefriedigenden Stand der Umsetzung in der EU offenlegte. Keine der G-SIBs oder D-SIBs war vollständig konform mit allen BCBS 239 Grundsätzen. Die Folgemaßnahmen werden im Rahmen des aufsichtlichen Überprüfungs- und Bewertungsprozess (Supervisory Review and Evaluation Process – SREP) überwacht.

Die ersten beiden Grundsätze, die Governance, Datenarchitektur und IT-Infrastruktur umfassen, gelten als Voraussetzung für die übrigen Prinzipien. Schwächen in der Steuerung resultieren aus mangelnder Klarheit über die Verantwortlichkeit für und Überprüfbarkeit der Datenqualität.
Es ist oft schwierig zu verstehen, welche Rollen und Verantwortlichkeiten die Geschäfts-, Kontroll- und IT-Funktionen haben und wie diese Rollen verteilt und ausgeübt werden. In Bezug auf die Datenarchitektur wurde das Fehlen integrierter Lösungen in den Prozessen der Datenaggregation und Berichterstellung als einer der wichtigsten Handlungsbereiche identifiziert. Unvollständige (oder manuelle) Konsistenzprüfungen und manuelle Prozesse (die oft nicht richtig identifiziert werden), zeigen auch bei wichtigen und komplexen Aufgaben einen unbefriedigenden Automatisierungsgrad. Die Komplexität und Interdependenz von Projekten zur Verbesserung der IT stellt neben den bestehenden IT-Problemen eine große Herausforderung dar.

Im Fortschrittsbericht des BCBS wird gefordert, dass die Banken die Grundsätze weiterhin gemäß den mit ihren Aufsichtsbehörden vereinbarten Fahrplänen umsetzen und prüfen, wie die Umsetzung anderen datenbezogenen Initiativen und Anforderungen zugutekommt. Darüber hinaus sollten die Aufsichtsbehörden weiterhin ihren Fokus sowohl auf die Sicherstellung der Umsetzung sowie auf die Förderung der Zusammenarbeit zwischen den zuständigen Behörden bei der Umsetzung der Grundsätze durch globale Bankengruppen legen.

Die Bereitstellung ausreichender Ressourcen zur Verbesserung der IT-Systeme und die Vergabe von Terminen (z.B. für Chief Data Officer) sowie die Verbesserung der Möglichkeiten zur automatisierten Datenproduktion (wie zum Beispiel die Verwendung integrierter Datentaxonomien und Datenverzeichnissen oder die Übernahme von Daten aus gängigen, granularen Datenquellen und die Verwendung integrierter IT-Risiko-Plattformen) haben einigen Banken die Implementierung erleichtert. Eine lückenlose Dokumentation (Audit Trails), umfassende Kontrollen und der Einsatz automatisierter Reportingprozesse sind der Schlüssel zum Erfolg in diesem komplexen Bereich, welcher die Banken höchstwahrscheinlich noch einige Zeit beschäftigen wird.

Produktdemo Toggle

Produktdemo

Wir benutzen reCaptcha um unsere Formulare abzusichern. Das erfordert aktiviertes JavaScript.

Bitte füllen Sie alle mit einem Stern markierten Felder aus.