Hochwertige Datenarchitektur als wichtigstes Instrument im Risikomanagement von Banken
Der Umgang mit Daten nimmt bei der Bankenregulierung eine zentrale Rolle ein. Und das aus gutem Grund, zeigte die Finanzkrise 2007 doch nur zu deutlich, dass Informationstechnologie und Datenarchitektur vieler Banken nicht in der Lage waren, finanzielle Risiken umfassend zu steuern. Der Basler Ausschuss für Bankenaufsicht formulierte 2013 als Schlussfolgerung aus der Krise das Schlüsseldokument BCBS 239 (Basel Committee on Banking Supervision’s Standard number 239). Dieses umfasst Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung. Lesen Sie im folgenden Beitrag mehr über die Vorgaben von BCBS 239 und wie Sie diesen regulatorischen Anforderungen gerecht werden können.
Ziele und Grundsätze der BCBS 239
Ziel der Anforderungen ist es, bei Führungskräften wie Mitarbeitern von Finanzinstituten ein besseres Verständnis für die Risikolage einer Bank zu erreichen. Somit können die Risiken frühzeitig in die Entscheidungen der Vorstände und Geschäftsleitungen einfließen. Der BCBS 239 geht davon aus, dass eine bessere Risikodatenaggregation der Banken gleichzeitig deren Liquidierbarkeit verbessert. Mit Blick auf die Rettung von Banken versetze ein robustes Datengerüst das betreffende Institut und die Aufsichtsinstanzen in die Lage, künftige Probleme bereits im Voraus zu erkennen. Auch verbessere ein robustes Datengerüst die Chancen, dass Alternativen gefunden werden, um die Finanzkraft eines in Schieflage geratenen Instituts wiederherzustellen und seinen Fortbestand zu gewährleisten. So könnten beispielsweise die Aussichten auf geeignete Fusionspartner steigen.
Der BCBS 239 umfasst vierzehn Grundsätze zur Sammlung und zur Berichterstattung von Risikodaten. Enthalten sind konkreten Anforderungen an Data Governance, Datenarchitektur und IT-Infrastruktur, Genauigkeit und Integrität, Vollständigkeit und Aktualität sämtlicher wesentlichen Risikodaten, Anpassungsfähigkeit bei Ad-hoc-Anfragen an die Risikoberichterstattung, Genauigkeit, Vollständigkeit, Klarheit und Nutzen, Verbreitung, Korrektur- und Aufsichtsmaßnahmen der Risikomanagementberichte sowie konkrete Festlegung der Häufigkeit der Risikoberichte. Bei der Überwachung und Überprüfung der Grundsätze wird eine grenzüberschreitende Zusammenarbeit gefordert.
BCBS 239 © Olivier Le Moal / shutterstock.com
BCBS-239-Relevanz für deutsche Banken
Im Jahr 2005 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) Mindestanforderungen an das Risikomanagement (MaRisk) formuliert. Zwölf Jahre später, im Oktober 2017, erhöhte sie die Anforderungen an die Datenaggregation für global und anderweitig systemrelevante Institute in einer MaRisk-Novelle. In diese hat der BCBS 239 unverändert Eingang in die unmittelbaren aufsichtsrechtlichen Vorgaben für deutsche Kreditinstitute gefunden. Die neue Fassung der MaRisk überführte die Anforderungen aus dem BCBS 239 quasi in deutsches Recht. Ganz konkrete Vorgaben finden sich neben allgemeinen Klarstellungen zur Risikokultur in Banken vor allem in den beiden Kapiteln AT 4.3.4 und BTE 3. Das Kapitel AT 4.3.4 befasst sich mit Datenmanagement, Datenqualität und Aggregation von Risikodaten. In Kapitel BTR 3 geht es um Liquidationsberichterstattung und -risiken.
Hoher Grad an Automatisierung für Umsetzung erforderlich
BCBS 239 zwingt Finanzinstitute dazu, heterogene Systemlandschaften aufzuräumen und lang aufgeschobene Maßnahmen zur Modernisierung der Bank-IT umzusetzen. Für die Umsetzung der geforderten Maßnahmen ist ein konkreter Zeitplan mit entsprechenden Fristen vorgegeben. Innerhalb der Fristen müssen die Akteure die Risiko- und Finanzinfrastruktur harmonisieren und einen einheitlichen Risikodatenhaushalt schaffen.
Gefordert ist eine Beschleunigung in der Datenaufbereitung, der Analytik und im Berichtswesen. Dies erreicht man nur mit einem höheren Grad der Automatisierung, dem Einsatz fortschrittlicher Technologien und dem Abbau manueller Eingriffe. Die Fortschritte in den regulatorischen Anforderungen werden regelmäßig und streng überprüft. Allein kann eine Bank diese Aufgabe nicht bewältigen. Erforderlich ist dabei zum einen die richtige Software. Zum anderen zählt die Unterstützung durch externe Unternehmen, die sowohl im IT-Datenmanagenement zu Hause sind als auch die regulatorischen Anforderungen kennen. Denn diese sind in der Lage, beides miteinander in Einklang zu bringen. Letztlich muss man jedoch auch in diesem Fall betonen: Die Verantwortung für die Umsetzung trägt der Vorstand. Hier müssen zuallererst der Wille und die Kompetenz vorhanden sein, die BCBS-239-Vorgabe zu erfüllen.
Zwar richten sich die Grundsätze der BCBS-239 zunächst an systemrelevante Banken. Aber wie das Wort “zunächst” erkennen lässt, sind auch andere Finanzinstitute gut beraten, die Grundsätze der BCBS-239 umzusetzen. Denn in Bezug auf Risikodaten werden laut Aufsichtsbehörde in den kommenden Jahren noch weitere Initiativen und Vorschriften umzusetzen sein.
