01.09.2015

BCBS 239 - Modernisierung der Risikosteuerung

Vorstellung eines Implementierungsansatzes im Umfeld der jüngeren regulatorischen Entwicklung bis hin zur Europäischen Bankenunion

Der Baseler Ausschuss für Bankenaufsicht (BCBS) hat mit den Anfang 2013 verabschiedeten „Grundsätzen für die effektive Aggregation von Risikodaten und die Risikoberichterstattung“ (BCBS 239) den Fokus auf die fachliche und technische Architektur des Risikoreportings gelegt. Die BCBS 239 stellen komplexe und weitreichende Anforderungen an unterschiedliche Unternehmensbereiche – vom Front-Office bis zum Vorstand – und über die komplette Datenverarbeitung hinweg. Zur Erfüllung der BCBS 239 ist daher wichtig alle Implikationen für das einzelne Institut vollständig zu identifizieren. Gleichzeitig können die Implikationen so weitreichend und voneinander abhängig sein, dass die Inhalte und notwendigen Anpassungen vielschichtig sind. Dies ist insbesondere für Banken, die eine heterogene Systemlandschaft pflegen, eine Herausforderung. Der vorliegende Implementierungsansatz gewährleistet eine vollständige Identifikation der Implikationen und reduziert die Komplexität durch die Überführung in Handlungsfeldern.

Die Ausarbeitung ordnet zunächst die BCBS 239 Anforderungen in die Entwicklungen der Bankenregulierung seit der Finanzkrise 2007 ein. Nachfolgend werden die grundsätzlichen Züge der BCBS 239 wie zum Beispiel Geltungsbereich, zeitlicher Rahmen, Zielsetzung, sowie grundlegender Aufbau und Inhalt dargelegt. Auf dieser Basis wird ein mehrdimensionales Modell zur vollständigen Identifikation von Implikationen und gleichzeitiger Reduktion von Komplexität entwickelt.

Aufsichtsrechtliche Entwicklung

Die globale Finanz- und Wirtschaftskrise aus 2007/2008 führte zu erhöhter, staatlicher Zusammenarbeit, insbesondere auf Ebene der G20 (Forum der Finanzminister, Zentralbanker und Regierungschefs der stärksten 20 Industrienationen). Ausgehend von der Erkenntnis, dass die globalen Finanzmärkte nicht durch die lokalen, nationalen Aufsichtsbehörden kontrolliert werden können, wurde im Jahr 2009 das Financial Stability Board (FSB) gegründet. Die Hauptaufgabe des FSB ist die Koordinierung der Aufsichts- und Regulierungstätigkeit der G20 Mitgliedstaaten.

Auf Basis der Konsensbildung des FSB wird durch die Standardsetzer (insb. BCBS - Basel Committee on Banking Supervision) die Harmonisierung der nationalen Bankenaufsichtsstandards betrieben. Zu diesem Zweck werden vom BCBS internationale Standards und Empfehlungen ausgearbeitet, die in der EU über Richtlinien in nationales Recht der EU-Mitglieder überführt werden.

Für die Entwicklung von einheitlichen Aufsichtsstandards, Leitlinien und Empfehlungen, sowie die Überwachung der Anwendung von EU-Recht wurde zusätzlich im Jahr 2010 das Europäische Finanzaufsichtssystem (ESFS - European System of Financial Supervision) gegründet. Das ESFS besteht aus drei europäischen Finanzaufsichtsbehörden (ESAs - European Supervisory Authorities) für

  • das Bankwesen (EBA - European Banking Authority),
  • das Versicherungswesen (EIOPA - European Insurance and Occupational Pensions Authority),
  • und das Wertpapierwesen (ESMA - European Securities and Markets Authority),

sowie dem für die makroprudenzielle Aufsicht verantwortlichen Europäischen Ausschuss für Systemrisiken (ESRB - European Systemic Risk Board).

Die relevante Einheit für Banken ist in diesem Konstrukt die EBA, die die nationalen Bemühungen ergänzt und einheitliche Prinzipien für die Mitgliedstaaten der EU (SRB - Single Rulebook) erstellt.

Schlussendlich werden die Richtlinien in nationale Rechtsordnungen übernommen und von den nationalen Aufsichtsbehörden (NCA - National Competent Authority) überwacht.

Bankenunion in der EU

Aufbauend auf dem Konstrukt aus FSB, internationalen Standardsetzern und ESFS einigten sich die europäischen Finanzminister 2012/2013 auf die Schaffung eines einheitlichen Bankenaufsichtsmechanismus (SSM - Single Supervisory Mechanism). Der SSM ergänzt die Vereinheitlichung der Aufsichtsstandards auf europäischer Ebene um ein übergreifendes Prinzip zur einheitlichen Bankenaufsicht. Mit dem SSM werden alle Banken des Euroraums, deren Bilanzsummen mehr als 30 Milliarden Euro oder 20 Prozent der Wirtschaftsleistung eines Landes betragen, direkt der einheitlichen Aufsicht durch die EZB unterstellt.1 Als Vorbereitung auf die Übernahme der einheitlichen Bankenaufsicht hat die EZB, gemein-sam mit den nationalen Aufsichtsbehörden, in 2013 und 2014 eine Bankenprüfung bestehend aus Balance Sheet Assessment, Asset Quality Review und Stresstest durchgeführt.

In 2014 erfolgte weiterhin die förmliche Verabschiedung der Regelungen für den einheitlichen Bankenabwicklungsmechanismus (SRM - Single Resolution Mechanism) und die Übertragung von nationalen Kompetenzen auf zentrale Institutionen hin zur Europäischen Bankenunion.

Ergänzend zum SSM ist der Ausschuss für die einheitliche Abwicklung (SRM) das zentrale Entscheidungsgremium der Bankenunion zur Bankenabwicklung. Sein Ziel ist es, auf Basis der Daten der Bankenaufsicht sicher zu stellen, dass Kreditinstitute, die in ernste Schwierigkeiten geraten, effektiv abgewickelt werden können. Eine effektive Abwicklung bedeutet dabei die Minimierung der Kosten für die Steuerzahler und die Realwirtschaft.

Einordnung der BCBS 239 in die aufsichtsrechtliche Entwicklung

Der Baseler Ausschuss für Bankenaufsicht (BCBS) hat im Januar 2013 das Richtlinien-Dokument: „Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung“ publiziert. 

Die Richtlinien setzen auf Beschlüssen und Empfehlungen des FSB auf und ergänzen weitere internationale Initiativen bei der Stärkung der Risikodaten-Aggregationskapazitäten und Risikoberichterstattung von global (G-SIB) und national (D-SIB) systemrelevanten Banken4. Die entsprechenden nationalen Vorgaben werden in Deutschland durch eine noch für 2015 erwartete Aufnahme in die Mindestanforderungen für das Risikomanagement (MaRisk) geschaffen.

Für die nationalen (NCAs) und internationalen Aufsichtsinstanzen (EZB, EBA) wird mittels der BCBS 239 die Intensität und Effektivität der Bankenaufsicht erhöht, so dass der SSM auf einer einheitlichen (Daten-)Basis aufsetzen und Vergleichsdaten liefern kann.

Geltungsbereich

Um die Risikodatenaggregationsfähigkeit zu stärken, müssen global (G-SIBs) und national (D-SIBs) systemrelevante Banken künftig die Richtlinien der BCBS 239 erfüllen. Neben den G-SIBs und D-SIBs gibt es jedoch viele Banken, die nicht als systemrelevant (LSIs - Less Significant Institutions) eingestuft werden. Für LSIs wird eine nachgelagerte und eingeschränkte Maßgeblichkeit durch Übernahme der Richtlinien in das jeweilige nationale Recht erwartet.

Die benannte Unterscheidung der Kreditinstitute in G-SIB und D-SIB ist durch das "too big to fail" Problem induziert. Auch G-SIB Banken müssen im Fall der Fälle scheitern können. Deshalb wurde mit dem Single Resolution Mechanism (SRM) eine Haftungskaskade formuliert, die zunächst die Eigentümer und dann die Gläubiger in Anspruch nimmt. Der Steuerzahler (die Volkswirtschaft) steht in der Haftungskaskade an letzter Stelle.6

Das "too big to fail" Problem existiert jedoch nicht ausschließlich auf globaler Ebene, sondern auch auf nationaler Ebene. Auf nationaler Ebene sind von dieser Problematik Kreditinstitute betroffen, die, wenn sie unter Stress geraten, einen relevanten Einfluss auf das jeweilige nationale Finanzsystem und die nationale Wirtschaft haben. Den nationalen Aufsichtsbehörden wird aus dem zuvor genannten Grund ausdrücklich empfohlen, die Grundsätze der BCBS 239 auch auf Banken anzuwenden, die als national systemrelevant (D-SIB) eingestuft werden.

Eine solche nationale D-SIB-Rahmenregelung ist als Ergänzung zur G-SIB-Regelung zu verstehen, wobei der Schwerpunkt auf den Auswirkungen liegt, welche die Notlage oder der Ausfall von Banken (einschl. international tätiger Banken) auf die nationale Wirtschaft haben würde. Die D-SIB-Rahmenregelungen werden von den lokalen Aufsichtsinstanzen (NCAs) ausgearbeitet, die die Auswirkungen eines Ausfalls auf das lokale Finanzsystem und die lokale Wirtschaft am besten einschätzen können.

Das hat zwei Konsequenzen:

Erstens: Um den strukturellen Merkmalen der einzelnen Länder Rechnung zu tragen, sollte den nationalen Aufsichtsinstanzen bei der Beurteilung und der Anwendung von Maßnahmen ein angemessener Ermessensspielraum zuerkannt werden. Dies steht im Widerspruch zum normierenden Ansatz in der G-SIB-Rahmenregelung.

Zweitens: Da eine D-SIB-Rahmenregelung aber auch für die Einschränkung grenzüberschreitender Externalitäten - aufgrund der Ansteckungsgefahr auf regionaler oder bilateraler Ebene - relevant ist, ist es für eine größere Gruppe von Ländern von Interesse, wie wirksam die lokalen Instanzen die Risiken einzelner Banken handhaben. Daher wird mit einer Rahmenregelung ein Mindestkatalog von Grundsätzen eingeführt, die die G-SIB-Rahmenregelung ergänzen, grenzüberschreitende Externalitäten angemessen berücksichtigen und einheitliche Spielregeln fördern.

Da hier die nationalen Behörden einen größeren Gestaltungsspielraum haben, um die strukturellen Besonderheiten ihres Bankensektors zu berücksichtigen, wird das FSB primär darauf achten, dass die Unterschiede in der Ausgestaltung der nationalen Rahmenwerke nicht zu Wettbewerbsverzerrungen führen.

Zeitlicher Rahmen

Bis wann eine Bank die Grundsätze der BCBS 239 umzusetzen hat, hängt davon ab, ob sie als G-SIB oder D-SIB (Significant Institutions – SIs) eingestuft wurde, oder ob sie zu den LSIs zählt.

Die vollständige Umsetzung der BCBS 239 ist für G-SIBs ab Januar 2016 verpflichtend, wobei die Umsetzungsfortschritte bereits seit 2013 von den nationalen Aufsichtsbehörden überwacht und dokumentiert werden.

Für D-SIBs ist die Umsetzung der Richtlinien - nach der Benennung - in einem Zeitraum von drei Jahren verpflichtend. Für LSIs wird in Deutschland eine Umsetzungsverpflichtung aus der fünften MaRisk Novelle erwartet. Es ist damit zu rechnen, dass der prinzipienorientierte Charakter und das Proportionalitätsprinzip den MaRisk erhalten bleiben und die BCBS 239 für kleinere Banken in einer abgeschwächten Form zu erfüllen sind.

Da G-SIBs die Anforderungen der BCBS 239 bereits im Januar 2016 erfüllen müssen, wird sich im Aufsichts-/Bankensektor der Schwerpunkt der weiteren Arbeiten 2016 von den G-SIBs auf die D-SIBs verlagern und insbesondere auf der Ausgestaltung der D-SIB Rahmenwerke liegen.

Zielsetzung der BCBS 239

Die BCBS 239 formulieren regulatorisch erstmals klare Grundsätze für eine ordnungsgemäße Datenaggregation und Risikoberichterstattung bei Banken.

Zielsetzung der Anforderungen ist dabei die Stärkung der Risikodaten-Aggregations-Prozesse und Verfahren zur Risikoberichterstattung, um schlussendlich zu wesentlichen Verbesserungen in der Geschäftsführung beizutragen, sowie eine schnellere und bessere Risikoeinschätzung durch die Aufsicht und den Markt zu ermöglichen. Die wesentlichen Ziele der BCBS 239 sind9:

  • Verbesserung der Infrastruktur für die Berichterstattung
  • Verbesserung der konzernweiten Entscheidungsprozesse
  • Verbesserung der Informationsverwaltung
  • Reduzierung der Wahrscheinlichkeit und der Größenordnung von Verlusten aufgrund von Schwächen im Risikomanagement
  • Gewährleistung einer schnelleren Verfügbarkeit von Informationen mit unmittelbaren Auswirkungen auf die Schnelligkeit der Entscheidungsprozesse
  • Verbesserung der Qualität der strategischen Planung innerhalb des Bankkonzerns, sowie der Fähigkeit, die Risiken neuer Produkte und Dienstleistungen zu steuern

Zusammenfassend erhalten die Banken bei Umsetzung der Anforderungen eine leistungsfähige und kräftige Risikofunktion, die zu mehr Effizienz, einer geringeren Verlustwahrscheinlichkeit, einem verbesserten strategischen Entscheidungsprozess und damit letztlich zu einer höheren Rentabilität beiträgt.

Für die Bankenaufsichtsinstanzen sind die BCBS 239 eine Ergänzung, um die Intensität und Effektivität der Bankenaufsicht zu erhöhen. Für Liquidationsbehörden ermöglicht eine verbesserte Risikodatenaggregation eine reibungslosere Abwicklung, wobei das Risiko einer potenziellen Belastung der Steuerzahler verringert wird.

Umsetzungsstand G-SIBs

Die Implementierung der BCBS 239 wird für G-SIBs von den nationalen Aufsichtsbehörden seit 2013 begleitet.

Hierfür sind zwei Self-Assessments durchgeführt worden, in denen alle 31 G-SIBs (zum Zeitpunkt des Self-Assessments 31, mittlerweile sind nur noch 28 Banken als G-SIB eingestuft) ihre aktuelle Compliance bewerten, sowie qualitative Angaben zur Compliance machen mussten.

Die Ergebnisse der Self-Assessments zeigen, dass die Anforderungen der BCBS 239 die Banken vor große Herausforderungen stellen. Vor allem im Bereich IT Infrastruktur (Grundsatz 2 – IT Infrastruktur) und Risikodatenaggregation (Grundsatz 3 – Integrität und Grundsatz 6 – Anpassungsfähigkeit) erfüllen die G-SIBs zu einem Großteil aktuell nicht die Anforderungen. Die Problematik bei der Erfüllung dieser Anforderungen liegt regelmäßig in der separierten Datenhaltung in unterschiedlichen Fachbereichen, den damit verbundenen manuellen Work-arounds, sowie den unterschiedlichen IT-Systemen. Diese Diversität in der Architektur führt zu einer Limitierung der Integrations- und Aggregationsfähigkeit und somit zu beschränkter Leistungsfähigkeit in der Banksteuerung.

In diesem Zusammenhang ist hervorzuheben, dass die Banken sich in den Bereichen der Risikoberichterstattung grundsätzlich besser bewerten, als in den Bereichen Governance und Aggregation. Dies ist aus Sicht der Aufseher jedoch zu hinterfragen. Die Aufsicht sieht die jeweiligen Anforderungen zu den einzelnen Bereichen als miteinander verbunden an. So ist die Erfüllung der Anforderungen für Governance und Aggregation Grundlage zur Erfüllung der Anforderungen in der Risikoberichterstattung.

Zusätzlich haben die Self-Assessments ergeben, dass 14 Banken davon ausgehen, mindestens einen Grundsatz nicht bis Ende 2015 / Anfang 2016 erfüllen zu können. Die Aufsicht hinterfragt an dieser Stelle ebenfalls die restlichen G-SIBs bezüglich ihrer Angabe zur Compliance im Januar 2016, da in den aktuellen Projekten eine hohe Komplexität vorherrscht und teilweise weitreichende und langläufige IT-Projekte für die Umsetzung benötigt werden.

Vor diesem Hintergrund legt der Baseler Ausschuss den nationalen Aufsichtsbehörden nahe, die Implementierung der BCBS 239 weiter zu begleiten, sowie – wenn nötig – Mittel zu ergreifen, den BCBS 239 Anforderungen Nachdruck zu verschaffen. Diese Mittel reichen von der Sammlung weiterer Informationen über Strafen bis hin zur Erhöhung der Mindestkapitalanforderungen für das jeweilige Institut.

Übergreifend zeigt der Umsetzungsstand der G-SIBs, dass die Umsetzung der BCBS 239 große Investitionen und Herausforderungen für die betroffenen Banken bedeuten. Es gilt die bestehende Datenarchitektur, IT-Infrastruktur und Data-Governance zu analysieren und notwendige Anpassungen gemäß den Richtlinien der BCBS 239 vorzunehmen.

Grundlegender Aufbau, Inhalt & Geltungsbereich der BCBS 239

Die BCBS 239 lassen sich inhaltlich in vier Teilbereiche gliedern und beinhalten insgesamt 14 Grundsätze. Für die Kreditinstitute sind von den vier Bereichen drei unmittelbar relevant: (I) Governance und Infrastruktur, (II) Aggregationskapazität, sowie (III) Risikoberichterstattung. Der vierte Bereich (IV) Aufsichtsperspektive betrifft vor allem die Bankenaufsicht.

Über alle Bereiche hinweg zeigen sich wiederkehrende Anforderungen, die die zentralen Eckpfeiler der BCBS 239 Anforderungen bilden. Daher ist die Erfüllung der Anforderungen in den einzelnen Themenbereichen stark voneinander abhängig.

Die Eckpfeiler der BCBS 239 sind:

1. Genauigkeit / Integrität

Die Risikodaten und die Risikoberichterstattung haben möglichst genau und zu anderen internen Quellen abgestimmt vorzuliegen.

2. Vollständigkeit & Klarheit

Die Risikodaten und Risikoberichte haben vollständig (über alle wesentlichen Einheiten Risiken hinweg) und selbsterklärend vorzuliegen.

3. Zeit (Aktualität & Häufigkeit)

Die Risikodaten und Risikoberichte sind in einem zeitlich angemessenen Rahmen zu erheben. Das betrifft sowohl die Aktualität als auch die Häufigkeit der Erhebung und Verbreitung.

Die Grundsätze der BCBS 239 sind für alle Risikomanagementdaten – sämtliche Daten, die zur Steuerung der Risiken benötigt werden – einer Bank gültig. Risikoarten werden im Geltungsbereich nicht explizit ein- oder ausgeschlossen. Vielmehr wird auf den Wesentlichkeitsgrundsatz verwiesen, der aussagt, dass nur Daten exkludiert werden können, wenn der Entscheidungsprozess davon unbeeinflusst bleibt. Grundsatz 5 „Aktualität“ zeigt jedoch auf, dass die folgenden Risikoarten im Fokus stehen: Kreditrisiko, Kontrahentenrisiko, Handelsrisiken/Marktrisiken, Liquiditätsrisiken und Operationelle Risiken. Sofern erforderlich sind weitere wesentliche Risikoarten für die individuelle Bank zu berücksichtigen.

Zusätzlich werden alle wichtigen Risikomanagementmodelle explizit in den Geltungsbereich der BCBS 239 inkludiert. Zu diesen Modellen gehören unter anderem Modelle für die Säule-1-und Säule-2-Kapitalanforderungen oder Value-at-Risk-Modelle.

Detaillierte Darstellung der BCBS 239

Der Grundsatz Governance, im Bereich (I) der BCBS 239 unterstellt die Risikodatenaggregation und Risikoberichterstattung direkt dem obersten Verwaltungsorgan – dem Vorstand. Es sind Rahmenbedingungen zu schaffen, die die Identifizierung, Bewertung und Steuerung von Datenqualitätsrisiken fördern. Solide Rahmenbedingungen führen dazu, dass die Risikodaten-Aggregationskapazitäten und Verfahren zur Risikoberichterstattung vollständig dokumentiert und validiert sind, bei strategischen Entscheidungen berücksichtigt und von der Konzernstruktur einer Bank nicht beeinflusst werden.

Des Weiteren erfordern die neuen Bankenregeln die aktive Beteiligung der Geschäftsleitung an der Umsetzung der Grundsätze. Die Geschäftsleitung trägt die Verantwortung dafür, dass genaue Informationen durch die Risikoberichterstattung zur Verfügung gestellt werden. Falls Beschränkungen für eine vollkommene Risikodatenaggregation bestehen, ist sicherzustellen, dass diese dem obersten Verwaltungsorgan bekannt sind. Schlussendlich ist die Geschäftsleitung für die Etablierung einer robusten Risikokultur und für die Festlegung und Übermittlung einer gruppenübergreifenden Risikoakzeptanz verantwortlich.

Somit spielen die Verwaltungsgruppen in der Risikoberichtserstattung der Bank eine zentrale Rolle. Das oberste Verwaltungsorgan und die Geschäftsleitung haben die Häufigkeit und die Verbreitungsstandards der Berichterstattung festzulegen. In diesen Zusammenhang ist die Häufigkeit den Bedürfnissen der Adressaten und der Art der Risiken, sowie der Geschwindigkeit, mit der Risiken sich wandeln können, anzupassen. Zusätzlich zur angemessenen Häufigkeit haben die Risikoberichte die richtige Balance zwischen quantitativen und qualitativen Daten zu enthalten, um für die Adressaten selbsterklärend und nützlich zu sein. Die Banken müssen somit regelmäßig ihre Produktionskapazitäten der Berichte auf Genauigkeit und Aktualität - sowohl unter gewöhnlichen Umständen als auch in Stressphasen – überprüfen.

Im Bereich Daten wird in den BCBS 239 gefordert, dass die Datenqualität laufend auf einem vorher definierten Niveau liegt. Hierfür sind Risikodaten regelmäßig mit anderen internen Quellen (zum Beispiel Finanzdaten) abzugleichen. Es ist ein umfassendes Kontrollsystem für das Datenmanagement erforderlich, Datenqualitätsstandards sind zu definieren und ein Monitoring zur Überwachung der Datenqualität ist zu etablieren.

Die Banken haben alle wesentlichen Risiken zu identifizieren, zu bewerten und zu überwachen und die Verfügbarkeit der Risikodaten in einem angemessenen zeitlichen Rahmen sicherzustellen. 

Mithin ist die IT-Infrastruktur so zu gestalten, aufzubauen und zu betreuen, dass die Risikodaten-Aggregationskapazitäten und Verfahren bzw. Prozesse zur Risikoberichterstattung sowohl unter gewöhnlichen Umständen, als auch in Stressphasen voll unterstützt werden.

Die Bank hat insbesondere die IT-Infrastruktur für die Berichterstattung von solchen Informationen zu verbessern, die vom obersten Verwaltungsorgan und der Geschäftsleitung zur Identifizierung, Überwachung und Steuerung von Risiken angewendet werden. Die Weiterentwicklung der IT-Infrastruktur sollte zur Reduzierung von Komplexität und dem Ersatz von manuellen Prozessen führen, was wiederum die Verlässlichkeit und die Verfügbarkeit der Information erhöht. Das heißt, Banken haben leistungsfähige, sowie flexible Datenaggregationskapazitäten zu entwickeln und zu pflegen, um interne wie externe Entwicklungen, einschließlich regulatorischer Änderungen, kurzfristig integrieren zu können.

Um das Bankenrisiko effektiv managen zu können, reichen genaue, vollständige und aktuelle Risikodaten alleine nicht aus. Die interne und externe Risikoberichterstattung der Zukunft ist zusätzlich exakt, schnell verfügbar und anpassungsfähig zu gestalten und hat alle wesentlichen Risikofelder innerhalb des Institutes abzudecken. Die Risikomanagementberichte haben nicht nur aktuelle, sondern auch zukunftsorientierte Risikoeinschätzungen zu enthalten, die Aufnahme von neu entstehenden Risiken, in das Berichtswesen, muss jederzeit möglich sein.

In der Berichterstattung ist zu gewährleisten, dass die Erstellung von Standardrisikoberichten automatisiert erfolgt, gleichzeitig aber flexible Analysemöglichkeiten vorliegen. Um bestehende Defizite im Risikoreporting zu beheben, müssen gegebenenfalls bestehende Business-Intelligence-Lösungen erweitert oder abgelöst werden.

Die Datenhaltung für Risikoberichte ist künftig nicht mehr separat nur für das Risikomanagement zu betrachten, sondern es sind sämtliche Abteilungen und deren Datenhaushalte einzubeziehen. Insbesondere die Integration von Risiko- und Finanzdaten, die aktuell häufig in unterschiedlichen Silos gehalten werden, steht im Vordergrund der BCBS 239.

Die Implementierung einer kontinuierlichen und institutionsweiten Risikodatenaggregation und Risikoberichterstattung erfordert ebenfalls eine funktionierende Notfallplanung. Daher sind alle Anforderungen auch mit Hinblick auf die Notfallplanung zu analysieren. Datenaggregationskapazitäten und Risikoberichterstattung müssen unmittelbar in die Notfallplanung der Bank integriert und einer Analyse der Auswirkungen auf die Geschäftstätigkeit unterzogen werden. 

Implementierungsansatz für Banken

Die Anforderungen der BCBS 239 stellen komplexe miteinander verknüpfte und mehrere Bereiche der Bank abdeckende Anforderungen auf, obwohl diese sich im Grundsatz an die sogenannte „Zweite Verteidigungslinie“, das Risikomanagement, richten. Durch die weitreichenden Anforderungen an das Risikomanagement sind auch diverse angrenzende Bereiche betroffen. Diese sind unter anderem der Vorstand, Finanzen, IT, die erste Verteidigungslinie (das Front Office), sowie die dritte Verteidigungslinie (die Interne Revision).

Vor allem im Bereich Risikomanagement werden die komplette IT-Infrastruktur, alle zentralen Prozesse, Aggregationskapazitäten und Dokumentationen – und das über alle wesentlichen Risikoarten hinweg – hinterfragt.

Für die Erfüllung der Anforderungen gilt es, die Anforderungen in Zusammenhang mit dem einzelnen Institut zu stellen und Implikationen für das einzelne Institut abzuleiten. Dabei ist sicherzustellen, dass alle Implikationen für alle Risikoarten identifiziert werden. Zusätzlich ist die Komplexität soweit zu reduzieren, dass ein Gesamtbild der notwendigen Anpassungen entsteht, dass verständlich und transportierbar ist, sodass Umsetzungsprojekte darauf aufgebaut werden können, ohne Implikationen zu vernachlässigen.

Ein Lösungsansatz zur Sicherstellung von Vollständigkeit und Reduktion von Komplexität ist ein mehrdimensionaler Ansatz aus den BCBS 239 Anforderungen, den unterschiedlichen Risikoarten und Modellen, sowie der Gruppierung der Implikationen auf Handlungsfelder.

Den Rahmen des Modells bildet der Geltungsbereich (a) bestehend aus den relevanten Risikoarten und Modellen, die in der Analyse der Anforderungen und in der Implementierung berücksichtigt werden müssen.

Als zentrales Element der Analyse dienen die vier Bereiche der BCBS 239 mit den dazugehörigen 14 Grundsätzen (b).

Die identifizierten Handlungsfelder (c) dienen zur Überleitung und Bündelung der BCBS 239 Anforderungen in die individuelle Bankenorganisation. Für die Implementierung bilden die Handlungsfelder den Ausgangspunkt der Projektorganisation und somit der Strukturierung der Grundsätze für das Umsetzungsprojekt. Aus den Handlungsfeldern und dem identifizierten Anpassungsbedarf werden Teilprojekte abgeleitet, die sicherstellen, dass alle erforderlichen Anpassungen und Erweiterungen in der Risikodatenaggregation und Risikoberichterstattung durchgeführt werden.

Durch das Zusammenspiel aus Geltungsbereich und Anforderungen der BCBS 239 wird sichergestellt, dass alle relevanten Risikoarten und Modelle berücksichtigt werden und Vollständigkeit gewährleistet ist (d). Zusätzlich werden alle Implikationen für das einzelne Institut gruppiert und eine Reduktion der Komplexität erreicht (e), was schlussendlich dazu führt, die Anforderungen und Implikationen verständlich und beherrschbar zu machen. 

Herleitung der Handlungsfelder

Eine Möglichkeit zur Herleitung von Handlungsfeldern ist die Betrachtung des Prozess- und Datenflusses der verarbeiteten Daten von der Eingabe im Front Office, bis hin zum Reporting an den Vorstand bzw. der Prüfung durch die interne Revision. Durch die Betrachtung des vollständigen Prozesses wird garantiert, dass die abgeleiteten Handlungsfelder vollständig und lückenlos sind.

Das erste Handlungsfeld ergibt sich hierbei aus der Eingabe der Daten im Front-Office. Die Daten stellen von der Generierung im Front Office bis hin zum Reporting an den Vorstand das zentrale Element des Risikoreportings dar.

Nach Eingabe der Daten werden diese durch die IT-Infrastruktur unter Berücksichtigung der Risikomodelle weiterverarbeitet und dem Risikomanagement zur Verfügung gestellt.

Im Risikomanagement werden die Daten aggregiert, weiter aufbereitet und mit internen Quellen abgestimmt (z.B. Finanzkennzahlen). Zentrales Element sind in diesem Verarbeitungsschritt die Reporting-Prozesse.

Schlussendlich werden die Daten bzw. Reports den zuständigen Entscheidungsträgern / Vorständen vorgelegt bzw. durch Wirtschaftsprüfer und interne Revision geprüft. Alle Prozesse und Zuständigkeiten hierfür sind in einer übergreifenden Governance festzulegen.

In den BCBS 239 wird zusätzlich angefordert, dass die Datenaggregationskapazitäten auch in Notfallszenarien funktionieren müssen. Daher sind auch alle Anforderungen hinsichtlich der Relevanz im Bereich Notfallplanung zu analysieren.

Mit diesen fünf Handlungsfeldern sind alle Bereiche, die mit dem Reporting von Risikodaten in Zusammenhang stehen – von der Eingabe bis hin zum Reporting an den Vorstand bzw. Prüfung durch den Wirtschaftsprüfer – abgedeckt und eine strukturierte Analyse der Anforderungen auf das einzelne Institut ist möglich. 

Fazit: Viele Herausforderungen, zahlreiche Chancen

Die Bemühungen der G20, die nationalstaatlichen Aufsichtsbehörden durch verstärkte Zusammenarbeit auf Basis von international gültigen Standards zu einer stabileren Finanzordnung zu führen, haben die BCBS 239 hervorgebracht und sind im Rahmen der europäischen Bankenunion für G-SIBs innerhalb des SSM gültig. Die EZB bzw. die nationalen Aufsichtsbehörden begleiten dabei die betroffenen G-SIBS auf dem Umsetzungspfad bis Januar 2016 unter anderem durch Self-Assessments. Die bisherigen Self-Assessments zeigen, dass die Anforderungen der BCBS 239 die Banken vor große Herausforderungen stellen.

Kurzfristig bedeutet die Umsetzung der regulatorischen Anforderungen für einige Kreditinstitute in personeller, wie auch technischer Sicht, erhebliche Aufwände. Grundsätzlich wird das Risikomanagement in Zukunft komplexer. Die Reporting-Frequenz wird zunehmen und regulatorische Anforderungen werden insbesondere in Krisenzeiten zeitnah zu erfüllen sein. Ein Indikator für den aktuellen Handlungsbedarf sind die für die betroffenen Banken durchgeführten EZB Stresstests, Balance-Sheet-Assessment- (BSA), Asset-Quality-Review- (AQR) und Short-Term-Exercise- (STE) Anfragen.

Auf Basis dieser Erfahrungen wird deutlich: die BCBS 239 bedingen eine möglichst flexible und kurzfristig erweiterbare Lösung. Die Integrität der Lösung darf jedoch unter der Flexibilität nicht leiden. Die Schwierigkeit besteht hier insbesondere in der Zusammenführung der meist in unterschiedlichen Fachbereichen separierten Datenhaltung und der daraus resultierenden Heterogenität in der Systemlandschaft, fernab einer leistungsfähigen Architektur zur Banksteuerung.

Bei der Implementierung ist essentiell, alle Anforderungen für das einzelne Institut zu analysieren und alle sich daraus ergebenden Implikationen zu identifizieren, sowie Handlungsfelder abzuleiten, um Komplexität zu reduzieren und die notwendigen Anpassungen transparent und verständlich zu machen.

Mittelfristig werden die nationalen Aufsichtsbehörden die Grundsätze der BCBS 239 über die systemrelevanten Banken hinaus anwenden. In Deutschland wird die Übernahme der Grundsätze in die MaRisk erwartet.

Langfristig bieten die BCBS 239 für die obersten Entscheidungsträger im Risikomanagement zahlreiche Chancen die Qualität von Steuerungsgrundlagen entscheidend weiter zu entwickeln. Dazu muss es gelingen, aus den Reporting-Inhalten auch Handlungsempfehlungen abzuleiten, die das Management frühzeitig in die Lage versetzen, die richtigen Steuerungsmaßnahmen abzuleiten.

Autoren: Stefan Bachinger, Thomas Arnsberg