BCBS 239: Grundsätze für die effekte Aggregation von Risikodaten und die Risikoberichterstattung E-Book

Inhaltsverzeichnis

1 Einleitung

2 BCBS 239 im Überblick

2.1 Definition

2.2 Ziele

2.3 Geltungsbereich und Vorüberlegungen

2.4 Zeitliche Umsetzung und Übergangsbestimmungen

2.5 Entwicklung

2.6 Nächste Schritte

2.7 Einschätzung zur 5. MaRisk-Novelle

3 Generelle Einschätzung der Aufsicht

4 Anforderungen BCBC 239 im Überblick

4.1 Grundsatz 1: Governance

4.2 Grundsatz 2: Data-Architektur und IT-Infrastruktur

4.3 Grundsatz 3: Genauigkeit und Integrität

4.4 Grundsatz 4: Vollständigkeit

4.5 Grundsatz 5: Aktualität

4.6 Grundsatz 6: Anpassbarkeit

4.7 Grundsatz 7: Genauigkeit

4.8 Grundsatz 8: Umfang

4.9 Grundsatz 9: Verständlichkeit

4.10 Grundsatz 10: Frequenz

4.11 Grundsatz 11: Empfängerkreis

5 Einschätzung der Deutschen Bundesbank

6 Aufsichtliche Überprüfung, Instrumente, Zusammenarbeit

6.1 Grundsatz 12: Überprüfung

6.2 Grundsatz 13: Korrektur- und Aufsichtsmaßnahmen

6.3 Grundsatz 14: Grenzüberschreitende Zusammenarbeit

7 Identifizierte Herausforderungen und Handlungsfelder

7.1 Ergebnisse BCBS 239 und 308

7.2 Schlussfolgerung der Aufsicht aus dem BCBS 308

7.3 Festgestellte Schwächen und zentrale Handlungsfelder

7.3.1 Schwächen Governance

7.3.2 Schwächen Datenarchitektur und IT-Infrastruktur

7.3.3 Schwächen Datenaggregationsprozesse

7.3.4 Schwächen Risikoberichterstattung

7.3.5 Ausgewählte Feststellungen aus MaRisk-Prüfungen

7.4 Zusammenfassung der zentralen Handlungsfelder

8 BCBS 239 im Kontext anderer Anforderungen

9 Blueprints für Lösungsansätze

9.1 Übergreifende organisatorische Klammer in der Umsetzung

9.1.1 Rollen und Verantwortlichkeiten

9.1.2 Mögliche Teilprojekte in der Umsetzung

9.2 Verzahnung von Anforderungen, Projekten und Vorhaben

9.3 Integrierte Finanzarchitektur

9.3.1 Aufbau einer integrierten Finanzarchitektur

9.3.2 Vorgehen und Business Case

9.4 Einführung IDV-Labor

9.4.1 Ausgewählte Rahmenbedingungen im IDV-Labor

9.5 Unternehmensweite Governance

9.5.1 Rahmenbedingungen Governance

9.5.2 Organisatorische Einbindung

9.5.3 Rollen und Verantwortlichkeiten

9.6 Datenqualitätsmanagement

9.6.1 Dimensionen von Datenqualität

9.6.2 Mögliches DQM-Framework

9.6.3 Messung und Überwachung von Datenqualität

9.6.4 Regelprozess DQM

9.6.5 Strukturierter Prozess zur Erweiterung des bestehenden DQMs

9.7 Datenarchitektur

9.7.1 Datentaxonomie

9.7.2 Unternehmensweite Single Identifier

9.7.3 Aufbau von Datenbäumen

9.7.4 Materialitätskriterien

9.8 Data Dictionary

9.9 Review Reporting

9.9.1 Inhaltliche Überarbeitung des Reporting

9.9.2 Optimierung der Prozesse zur Reporterstellung

9.9.3 Reporting in Krisen- und Stresssituationen

10 Vorgehensmodell in der Umsetzung

10.1 Vorschlag für ein Umsetzungsmodell

10.1.1 Self Assessment

10.1.2 Vorstudie

10.1.3 Modulares Umsetzungsprojekt/ -programm

11 Herausgeber und Autor

1 Einleitung

Die Finanzkrise hat es gezeigt: Viele Banken haben es nicht geschafft, Risikodaten in angemessener Zeit so zu aggregieren und so auszuwerten, dass sie die Risiken ordnungsgemäß steuern konnten.

Die Reaktion darauf war die finale Veröffentlichung der „Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung“ durch den Basler Ausschuss für Bankenaufsicht im Januar 2013:

Das klingt fast schon selbstverständlich und nach einer einfachen Zusammenfassung gängiger Praxis, darin steckt jedoch viel Zündstoff: Die Anforderungen sind umfassend und im zweiten Hinschauen sehr komplex! Und das oberste Management der Bank steht persönlich in der Verantwortung!

Es wird eine konzern- und geschäftsbereichsübergreifende Definition, Erfassung und Verarbeitung risikorelevanter Daten mit hohen Anforderungen an die Qualität von Risikodaten und Risikoreports gefordert. Ziel ist die Stärkung des Risikomanagements und eine Verbesserung der Fähigkeiten der Kreditinstitute zur Bewältigung von Stress- und Krisensituationen. Grundlegende Voraussetzung dafür wird ein ganzheitliches Managementinformationssystem zur Definition, Erfassung und Verarbeitung risikorelevanter Daten in allen Bereichen sein. Dies erfordert eine tragfähige, zuverlässige und flexible IT-Infrastruktur, die gegenüber der BaFin (Bundesanstalt für Finanzdienstleister) nachzuweisen ist.

Die Umsetzung stellt Banken jedoch vor große Investitionen und Herausforderungen: Es gilt die bestehende IT-Architektur zu analysieren und weitreichende Anpassungen hinsichtlich der Zielsetzung vorzunehmen. Unter Umständen sind sogar völlig neue Systeme aufzubauen und/ oder zu integrieren.

Zwar gehen die Anforderungen der BCBS 239 an vielen Stellen weit über das hinaus, was kleine und mittlere Institute leisten müssen, da die Grundsätze in erster Linie auf große, international bzw. national systemrelevante Banken abstellen, aber auch kleinere Banken werden die Anforderungen über die geplante MaRisk-Novellierung in Teilen erfüllen müssen. Dazu dürften sich die Prinzipien mittelfristig als Best Practice im Markt etablieren.

Was sind die besonderen Herausforderungen von BCBS 239?

Aus unseren Erfahrungen gibt es zwei zentrale Herausforderungen:

Der Umfang und die Komplexität der neuen Regeln muss für jedes Haus individuell strukturiert werden: Was sind die konkreten und für die Bank wesentlichen Handlungsfelder? Was sind betroffene Risikoarten, Konzerngesellschaften, Prozesse Berichte?

Der eher allgemeine Ansatz des Grundsatzpapieres bietet zahlreiche Interpretationsspielräume. Es gibt kein definiertes Soll-Modell; vielmehr muss das Zielbild („Wohin will die Bank?“) erst entwickelt und auf einzelne Phasen heruntergebrochen werden.

Themen rund um BCBS 239 haben Auswirkungen auf geplante und bereits laufende Projekte der Bank oder anders ausgedrückt: Ein BCBS-239-Projekt kann als übergreifendes Integrations- und Umsetzungswerkzeug für umfassende Anforderungen dienen. Die übergreifende Tragweite ergibt sich auch daraus, dass nahezu alles Fachbereiche einzubinden sind (z. B. Risikocontrolling, Finanzen, IT, Marktbereiche, Meldewesen).

BCBS 239 kann die Grundlage für eine Integrierte Finanzarchitektur sein, welche die Handlungs-, Tragfähigkeit und Zukunft der Bank langfristig sicherstellen kann.

Ob BCBS 239 zu einem Regulierungs-Overkill oder zu einer lohnenden Investition führt, hängt im Wesentlichen von der Ausrichtung der Umsetzung ab: Notwendiges Übel oder strategische Chance.

Betrachtet man BCBS 239 als notwendiges Übel und versucht die Umsetzung möglichst „schlank“ umzusetzen, können Anregungen von Wirtschaftsprüfer oder Aufsicht mittelfristig zu einer unangenehmen Überraschung werden: Die Bank kann darüber in die Lage geraten, Maßnahmen auf Druck von außen in einem engen Zeitfenster umsetzen zu müssen.

Betrachtet man hingegen BCBS 239 als strategische Chance

können sich Investitionen mittelfristig durch erhebliche Effizienz- und Effektivitätseffekte amortisieren

werden Flexibilität und Agilität durch beschleunigte Reportingerstellung und optimales Time-to-Market erhöht

werden Anforderungen hinsichtlich Datenqualität, -integrität und Nachweisbarkeit erfüllt

wird die Wirtschaftlichkeit durch effiziente Verwendung der Eigenmittel, Reduktion von Abstimmungsauf- bzw. manuellen Aufwänden, Leveraging von Banksteuerung auch für regulatorische Vorschriften gesteigert

werden operative Risiken durch eine höhere Automatisierung, ausreichende Stabilität und Sicherheit reduziert

werden IT-strategische Ziele wie Komplexitätsreduktion, buybefore-make, Erweiterbarkeit, Reduzierung von Prozess-Wildwuchs und Individuellen Datenverarbeitungen und Sanierung der Altsysteme umgesetzt

wird die Zukunfts- und Handlungsfähigkeit künftige regulatorische Anforderungen abzudecken, neue Produkte flexibel abzubilden, Mandantenfähigkeit und die Entlastung der Vorsysteme sichergestellt

wird eine bessere Qualität bei der Unterstützung von Eigenkapitalstrategie und Banksteuerung durch konsistente Methoden und Datenbasis sichergestellt

Außerdem können Banken die finanziellen Folgen von Krisensituationen deutlich schneller und besser erfassen als bisher. Und aus strukturierten qualitativ hochwertigen und transparent erzeugten Daten können auch jenseits der Regulierung im internen Gebrauch weitere wirtschaftliche Vorteile erschlossen werden.

Kreditinstitute, egal welcher Größe, wird es Zeit, sich ausführlich mit BCBS 239 zu befassen. Auch wenn ihnen noch eine Umsetzungsfrist bleibt, kann sich kein Institut leisten, das Thema zwei Jahre hintenanzustellen und in letzter Sekunde zu beginnen.

Die Qualität der oft noch unvollständigen und unstrukturierten Daten in den Griff zu bekommen braucht Zeit. Die Prozesse im Haus zu etablieren wird mindestens ein Jahr in Anspruch nehmen. Vor allem die Vorstandsebene darf die Augen nicht mehr vor dem den anstehenden Herausforderungen im Datamanagement verschließen und muss sich persönlich mit der Data-Governance beschäftigen.

Mit freundlichen Grüßen

Jörg Gogarn

Geschäftsführer der JG BC Projekt & Service GmbH

2 BCBS 239 im Überblick

Im folgenden Überblick sind die Anforderungen (Grundsätze) des BCBS 239 an die Institute dargestellt1:

Eine der wichtigsten Lehren, die aus der 2007 einsetzenden globalen Finanzkrise gezogen wurden, war die Erkenntnis, dass die Informationstechnologie- (IT) und Datenarchitektur vieler Banken für die umfassende Steuerung finanzieller Risiken nicht geeignet war. Zahlreiche Banken waren nicht in der Lage, ihre Risikopositionen zu aggregieren und Konzentrationen auf Konzernebene sowie über Geschäftsfelder und Konzerngesellschaften hinweg rasch und präzise zu identifizieren. Aufgrund unzureichender Risikodaten-Aggregationskapazitäten und Verfahren zur Risikoberichterstattung konnten manche Banken ihre Risiken nicht ordnungsgemäß steuern – mit schwerwiegenden Folgen für die Banken selbst und für die Stabilität des gesamten Finanzsystems.

Der Basler Ausschuss reagierte mit zusätzlichen Anforderungen gemäß Säule 2 (Aufsichtsrechtliches Überprüfungsverfahren)2, um die Fähigkeit der Banken zu stärken, bankweite Risiken zu erkennen und zu steuern. Er betonte insbesondere, dass ein solides Risikomanagementsystem auf Geschäftsbereichs- und Konzernebene geeignete Managementinformationssysteme (MIS)3 umfassen sollte. Der Basler Ausschuss bezog außerdem Richtlinien zur Aggregation von Risikodaten in seine Empfehlungen zur Unternehmensführung ein4.

Eine bessere Risikodatenaggregation der Banken verbessert gleichzeitig deren Liquidierbarkeit. Insbesondere für global systemrelevante Banken (G-SIB) ist es wesentlich, dass Liquidationsbehörden auf aggregierte Risikodaten zugreifen können, die sowohl die Anforderungen der Key Attributes of Effective Resolution Regimes for Financial Institutions5 des FSB als auch die nachfolgenden Grundsätze erfüllen. Mit Blick auf die Rettung von Banken versetzt ein robustes Datengerüst das betreffende Institut und die Aufsichtsinstanzen in die Lage, künftige Probleme bereits im Voraus zu erkennen; wenn das Institut unter erheblichen Druck gerät, verbessert ein robustes Datengerüst die Chancen, dass Alternativen gefunden werden, um die Finanzkraft des Instituts wiederherzustellen und seinen Fortbestand zu gewährleisten. So können beispielsweise die Aussichten auf einen geeigneten Fusionspartner steigen.

Der Nutzen aus einer Erhöhung der Risikodaten-Aggregationskapazitäten ist von den Banken erkannt worden6, und entsprechende Bemühungen sind im Gange. Die Stärkung von Leistungsfähigkeit und Status der Risikofunktion bei der Urteils- und Entscheidungsfindung wird als Vorteil wahrgenommen, denn sie führt zu mehr Effizienz, einer geringeren Verlustwahrscheinlichkeit, einem verbesserten strategischen Entscheidungsprozess und damit letztlich zu einer höheren Rentabilität.

Einige Aufsichtsinstanzen sehen die Erhöhung von Risikodaten-Aggregationskapazitäten und die Verbesserung der Verfahren zur Risikoberichterstattung weiterhin als Herausforderung für Banken und wünschen sich insbesondere bei G-SIB weitere Fortschritte. Zudem besteht mit dem fortschreitenden Verblassen der Erinnerung an die Krise die Gefahr, dass der Ausbau dieser Kapazitäten wieder in den Hintergrund rückt – denn IT-Systeme, Daten- und Meldeprozesse erfordern erhebliche finanzielle und personelle Investitionen, die sich erst langfristig auszahlen werden.

Das Financial Stability Board (FSB) sorgt mit mehreren internationalen Initiativen für kontinuierliche Fortschritte bei der Stärkung der Risikodaten-Aggregationskapazitäten und Risikoberichterstattung von Banken, die für die Finanzstabilität von grundlegender Bedeutung sind. Zu diesen Initiativen zählen:

Die Formulierung der in diesem Bericht enthaltenen Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung. Sie basieren auf einer Empfehlung im Progress report on implementing the recommendations on enhanced supervision des FSB vom 4. November 2011:

„Das FSB wird – in Zusammenarbeit mit den normgebenden Gremien – eine Reihe von aufsichtlichen Erwartungen formulieren, nach denen die Datenaggregations-kapazitäten von Banken, insbesondere systemrelevanten Finanzinstituten (SIFI), so zu gestalten sind, dass Aufsichtsinstanzen, Banken und Dritte (z.B. Liquidationsbehörden) Gewissheit haben, dass die Risiken in den MIS-Berichten korrekt wiedergegeben werden. Ein Zeitplan sollte vereinbart werden, nach dem alle SIFI diese aufsichtlichen Erwartungen erfüllen müssen. Der entsprechende Stichtag für G-SIB sollte auf Anfang 2016 festgelegt werden, da ab diesem Zeitpunkt die Anforderung an die zusätzliche Verlustabsorptionsfähigkeit für G-SIB schrittweise eingeführt wird."

Die Entwicklung eines neuen, gemeinsamen Datenschemas für global systemrelevante Finanzinstitute (G-SIB), um wichtigen Informationslücken zu begegnen, die im Zuge der Krise sichtbar wurden, darunter bilaterale Engagements und Engagements gegenüber Staaten/ Branchen/ Instrumenten. So sollen Behörden potenzielle Systemrisiken besser bewerten können.

Eine Initiative von Privatwirtschaft und öffentlichem Sektor zur Entwicklung eines Systems zur Identifikation von Rechtspersönlichkeiten, des „Legal Entity Identifier“-Systems („LEI“). Das LEI-System ermöglicht die zweifelsfreie Identifizierung der an einer Finanztransaktion beteiligten Parteien weltweit und leistet damit einen entscheidenden Beitrag zur Verbesserung der Qualität globaler Finanzdaten.

In Bezug auf Risikodaten werden in den kommenden Jahren noch weitere Initiativen und Vorschriften umzusetzen sein7. Nach Einschätzung des Basler Ausschusses werden Banken mittels verbesserter Verfahren zur Aggregation von Risikodaten und zur Risikoberichterstattung diesen Initiativen wirksam Folge leisten können.

2.1 Definition

In diesem Dokument umschreibt der Begriff Risikodatenaggregation die Definition, Erhebung und Verarbeitung von Risikodaten gemäß den Anforderungen an die Risikoberichterstattung einer Bank mit dem Ziel, dieser einen Abgleich der eigenen Performance gegenüber der bankinternen Risikotoleranz bzw. -bereitschaft zu ermöglichen8. Hierzu zählen das Auswählen, Zusammenführen sowie Aufschlüsseln von Datensätzen.

2.2 Ziele

Die in diesem Dokument beschrieben Grundsätze sollen die internen Risikodaten-Aggregations-kapazitäten und Verfahren zur Risikoberichterstattung der Banken stärken. Außerdem soll eine wirksamere Umsetzung der Grundsätze Risikomanagement- und Entscheidungsprozesse der Banken verbessert werden.

Die Übernahme dieser Grundsätze wird zu wesentlichen Verbesserungen in der Geschäftsführung von Banken beitragen. Die Grundsätze sollen eine Bank bei folgenden Bemühungen unterstützen:

Verbesserung der Infrastruktur für die Berichterstattung mit Blick auf Schlüsselinformationen – insbesondere Informationen, die vom obersten Verwaltungsorgan bzw. der Geschäftsleitung für die Identifizierung, Überwachung und Steuerung von Risiken verwendet werden.

Verbesserung der konzernweiten Entscheidungsprozesse

Verbesserung der Informationsverwaltung zwischen den verschiedenen Konzerngesellschaften, wobei die umfassende Bewertung der Risikoengagements auf global konsolidierter Ebene ermöglicht wird

Reduzierung der Wahrscheinlichkeit und der Größenordnung von Verlusten aufgrund von Schwächen im Risikomanagement

Gewährleistung einer schnelleren Verfügbarkeit von Informationen, mit unmittelbaren Auswirkungen auf die Schnelligkeit der Entscheidungsprozesse

Verbesserung der Qualität der strategischen Planung innerhalb des Bankkonzerns sowie der Fähigkeit, die Risiken neuer Produkte und Dienstleistungen zu steuern

Ein starkes Risikomanagement ist ein wesentlicher Bestandteil des Geschäftswerts einer Bank. Die effektive Umsetzung der Grundsätze sollte den Wert der Bank erhöhen. Der Basler Ausschuss ist der Ansicht, dass die langfristigen Vorteile von verbesserten Datenaggregationskapazitäten und Verfahren zur Risikoberichterstattung die seitens der Banken zu leistenden Investitionen aufwiegen.

Für die Bankenaufsichtsinstanzen sind die Grundsätze eine Ergänzung zu anderen Anstrengungen, die Intensität und Effektivität der Bankenaufsicht zu erhöhen. Für Liquidationsbehörden ermöglicht eine verbesserte Risikodatenaggregation eine reibungslosere Abwicklung, wobei das Risiko einer potenziellen Belastung der Steuerzahler verringert wird.

2.3 Geltungsbereich und Vorüberlegungen

Diese Grundsätze richten sich zunächst an G-SIBs und sind sowohl auf Konzernebene als auch für einzelne Institute anzuwenden. G-SIBs benötigen allgemeingültige und klar formulierte Erwartungen der Aufsichtsinstanzen hinsichtlich der Risikodatenaggregation und Risikoberichterstattung. Nationale Aufsichtsinstanzen können die Grundsätze jedoch auch auf weitere Banken anwenden; hierbei sind die Größe, Art und Komplexität der Geschäftstätigkeit der jeweiligen Bank zu berücksichtigen.

Die vom FSB im November 20119 bzw. November 201210 als G-SIB identifizierten Banken haben diese Grundsätze bis Januar 2016 umzusetzen; Banken, die im Rahmen der jährlichen Updates nachträglich als G-SIB eingestuft werden, haben die Grundsätze innerhalb von drei Jahren nach ihrer Eingliederung als G-SIB umzusetzen11.