05.06.2018

Ernüchternder Umsetzungsstand: Noch keine Bank hat BCBS 239 vollständig umgesetzt!

Die EZB hat im Mai 2018 ihren Abschlussbericht zum „Thematic Review on effective risk data ­aggregation and risk reporting“ veröffentlicht. 25 bedeutende Institute, darunter auch G-SIBs, wurden hinsichtlich des Umsetzungsstands der BCBS 239 Grundsätze untersucht. Mit der Tatsache, dass bislang keines dieser ­Institute die Prinzipien des BCBS 239 vollständig umgesetzt hat, fällt das Ergebnis ernüchternd aus. Im entsprechenden Bericht macht die EZB nun Angaben zur weiteren Aufsichtspraxis und stellt den ­Banken mit den identifizierten Gaps und Best Practices eine Orientierungshilfe im Rahmen der Umsetzung zur ­Verfügung. Mit der bevorstehenden Aufnahme in den SREP-Prozess könnten den Banken nach TME-Ansicht möglicherweise unter anderem Zuschläge auf die Eigenkapitalanforderungen drohen.

BCBS 239

Hintergrund

Die globale Finanzkrise der Jahre 2007/08 offenbarte, dass sich die IT- und Datenarchitekturen vieler Banken nicht zur umfassenden Steuerung finanzieller Risiken eigneten. Unzureichende Risikodaten-Aggregationskapazitäten sowie nicht adäquate Verfahren zur Risikoberichterstattung erlaubten den Banken keine ordnungsgemäße Risikosteuerung.

Um dieser Erkenntnis Rechnung zu tragen, wurden 2013 vom Basler Ausschuss für Bankenaufsicht die BCBS 239 Grundsätze ver­öffentlicht. Die darin enthaltenen 14 Grundsätze (siehe Grafik "Grundsätze des BCBS 239") für eine effektive Risikodatenaggregation und Risikoberichterstattung decken vier ­wesentliche Themenbereiche ab:

  • Gesamtunternehmensführung und Infrastruktur
  • Risikodaten-Aggregationskapazitäten
  • Risikoberichterstattung
  • Aufsichtliche Überprüfungen, Instrumente und Zusammenarbeit

 

BCBS 239: Umsetzungsfristen

G-SIBs (Ernennung bis 2011/12): 01.01.2016

G-SIBs (Ernennung nach 2012): binnen 3 Jahre nach Ernennung

D-SIBs: Empfehlung, binnen 3 Jahre nach ­Ernennung

 

Durch Verbesserungen der Infrastruktur für die Berichterstattung sowie der konzernweiten Entscheidungsprozesse soll die Stabilität des internationalen Finanzsystems gestärkt werden, indem unter anderem eine schnellere Informationsverfügbarkeit gewährleistet und die Qualität der strategischen Planung erhöht werden. Zu ermöglichen ist darüber hinaus insbesondere auch ein zeitnahes Reporting, das die Abfrage von ad-hoc-Analysen erlaubt.

Thematic Review

Um den gegenwärtigen Umsetzungsstand bezüglich der BCBS 239 Grundsätze in den Banken festzustellen, startete die EZB im Jahr 2016 eine umfassende Untersuchung. Mit dem Fokus auf den ersten drei Themenbereichen, (siehe Grafik "Grundsätze des BCBS 239", blaue Hervorhebung), wurden 25 Institute analysiert. Das im Mai 2018 per Abschlussbericht veröffentlichte Ergebnis zeigt, dass noch keines der Institute die BCBS 239 Grundsätze vollständig umgesetzt hat. Die EZB erwartet gar erst für Ende 2019 oder später eine erste vollständige Implementierung der BCBS 239.

Auf Basis des Reviews leitet die EZB beispielsweise mögliche Folgeuntersuchungen, spezielle Fokusthemen anstehender aufsichtlicher Prüfungen sowie zu beleuchtende Aspekte im Rahmen des SREP-Prozesses ab. So ­sollen diese Aspekte in den SREP-Prozess aufgenommen werden, wodurch den Banken nach Ansicht der TME bei Non-Compliance möglicherweise unter anderem Zuschläge auf die ­Eigenkapitalanforderungen drohen könnten. Ergänzend fordert die EZB die zuständigen nationalen Behörden auf, inländische systemrelevante Banken (D-SIBs) hinsichtlich deren ordnungsgemäßen Umsetzung der Grund­sätze innerhalb von drei Jahren nach ihrer Einstufung zu prüfen.

Die EZB ermutigt zusätzlich alle wichtigen Banken, die Grundsätze der Risikodatenag­gregation und -berichterstattung unter Berücksichtigung von Größe, Geschäftsmodell und Komplexität umzusetzen. Da das Erreichen einer vollständigen Compliance etwa fünf bis sechs Jahre dauert, wird empfohlen, frühzeitig mit der Umsetzung zu beginnen.

Um die Umsetzung seitens der Banken zu fördern und zu unterstützen, veröffentlicht die EZB im Bericht festgestellte Gaps und identifizierte Best Practices. Diese können den Banken als Orientierungshilfe und Musterbeispiele bei der Umsetzung dienen – sei es im Zuge der Erstumsetzung oder im Rahmen der Nachbesserung.

Im Thematic Review werden die einzelnen Grundsätze der drei BCBS-239-Themenbereiche „Gesamtunternehmensführung und Infrastruktur“, „Risikodaten-Aggregationskapazitäten“ und „Risikoberichterstattung“ nacheinander behandelt. Lediglich das vierte Kapitel zu „Aufsichtliche Überprüfungen, ­Instrumente und Zusammenarbeit“ wurde nicht mit den darin enthaltenen Grundsätzen in die Untersuchung aufgenommen und findet sich folglich auch nicht im Thematic ­Review wieder (siehe Grafik "Grundsätze des BCBS 239").

I. Gesamtunternehmensführung und Infrastruktur

Der erste Themenbereich hat einen umfassenden, übergreifenden Charakter und zahlt demzufolge auch auf die anderen beiden Themenbereiche ein. Mithilfe zweier Grundsätze werden die Themen um Governance sowie Datenarchitektur und IT-Infrastruktur adressiert.

Im Vordergrund stehen die interne sowie technische Ausgestaltung zur adäquaten Durchführung, Steuerung und Überwachung der Risikodatenaggregation und Risikoberichterstattung. Gefordert werden hierbei insbesondere die umfassende Einbindung des Vorstands (Leitung, Aufsicht und Freigabe von Richtlinien) und der Geschäftsleitung (Implementierung und Monitoring) in die Risikodatenaggregation und Risikoberichtserstattung sowie eine geeignete IT-Systemlandschaft. Dabei sind klare Rollen, Anreizsysteme und Verantwortlichkeiten im Rahmen des Risikodatenmanagements zu definieren. Mithilfe integrierter IT-Plattformen und sogenannter Golden Sources können alle wesentlichen Risikoarten und Tochtergesellschaften eingebunden werden.

Gaps

Zur Untersuchung dieser Inhalte wurden im Bereich Governance (Grundsatz 1) unter anderem neben dem Data Governance Framework und den risikorelevanten IT-Strategien auch die Struktur der internen Revision sowie die Beteiligung der Leitungsgremien an der Sicherstellung und Überwachung der Umsetzung von Risikodatenaggregation und Risikoberichterstattung herangezogen. Dabei wurden klare Rollen und Verantwortlichkeiten im Bereich der Datenqualität vermisst. In der Konsequenz erfolgte häufig keine Einbettung klarer Data-Governance-Strukturen in die Organigramme.

Weiterhin beanstandete die EZB eine mangelnde Eigenverantwortung bezüglich der Datenqualität der Geschäfts-, Kontroll- und IT-Funktionen sowie die teilweise fehlende Involvierung aller legalen Einheiten in den BCBS-239-Umsetzungsprojekten. Die unvollständige Definition großer IT-Projekte und Umsetzungsstrategien sowie die unklare Definition von Projektzielen führt zu unzureichenden, ineffizienten Umsetzungsplänen. Unklare Budgetprozesse und schwaches Projektmanagement resultieren aber auch aus dem Fehlen einer strategischen Aufmerksamkeit auf der Vorstands- und Managementebene. Da die "Three Lines of Defense" zum Teil nicht adäquat berücksichtigt werden, bewerten nicht immer unabhängige interne Validierungseinheiten die Datenaggregationsfähigkeiten und Berichtspraktiken der Bank.

Die technischen Aspekte um die Datenarchitektur und IT-Infrastruktur (Grundsatz 2) wurden über Kriterien wie "Data ­Architecture ­Framework" und "Datentaxonomie" untersucht. Erhoben wurde zusätzlich die Abhängigkeit der Institute von den manuellen Prozessen in Verbindung mit dem Automatisierungsgrad innerhalb des Datenerfassungsprozesses, aber auch Konsistenz- und Datenqualitätsprüfungen sowie Eskalationsprozesse und Drill-Down-Fähigkeiten.

Nach Ansicht der EZB fehlen in der Data-­Governance-Architektur integrierte Lösungen zur Datenaggregation und Berichterstellung. Darüber hinaus kritisiert die EZB, dass häufig keine homogenen und integrierten Datentaxonomien vorliegen, die alle wesentlichen legalen Einheiten und Risikoarten abdecken. Ein unbefriedigender Automatisierungsgrad bei wichtigen und komplexen Aufgaben gibt zudem Anlass zur Kritik. Beispielsweise werden viele Konsistenzprüfungen manuell und unvollständig durchgeführt und es existieren keine klaren Eskalationsprozesse zur Behebung der hierbei identifizierten Fehler. Aber auch eine vollständige Identifizierung, ordnungsgemäße Dokumentation oder unabhängige Überprüfung aller manuellen Prozesse liegen zum Teil nicht vor. Hinzu kommt, dass die IT-Systeme und Geschäftsprozesse nicht richtig in die Business-Conti­nuity-Vereinbarungen einbezogen werden. Die EZB betont, dass ­silo-basierte IT-Architekturen die Implementierung von integrierten Lösungen und Prozessen verhindern sowie ­Ineffizienzen während den Reconciliation-Verfahren erhöhen.

Ausgewählte Best Practices

In dem ersten Themenbereich „Gesamtunternehmensführung und Infrastruktur“ ­adressieren die Best Practices nach Ansicht der EZB beispielsweise die Effizienz des Data-Governance-Frameworks sowie die strikte Einbindung der Geschäftsleitung in die Überwachung der Risikodatenaggregation und ­Risikoberichterstattung.

Weitere Best Practices waren:

  • Effektives Data-Governance-Framework, u. a. durch die Festlegung sowohl interner als auch externer Anforderungen an die Datenqualität als auch der notwendigen Strukturen, Organisationseinheiten und Ausschüsse mit den jeweiligen Rollen und Verantwortlichkeiten
  • Berücksichtigung der Three Lines of Defense, beispielsweise mit einem Netzwerk aus lokalen Dateneigentümern als Teil der ersten Line of Defense mit Zuständigkeit für jede einzelne legale Einheit und Geschäftsbereich sowie einem Data-Governance-Office als Teil der zweiten Line of Defense
  • Gut strukturierte und kohärente IT-Strategien in Verbindung mit dem Einbezug der IT-Systeme und -Prozesse in die Business-Continuity-Pläne sowie der Einführung regelmäßiger Bewertungen der Risikodatenaggregation und Risikoberichterstattung
  • Einrichtung sog. Data Quality Repositories auf Konzernebene für einen konsolidierten Überblick
  • Etablierung und Nutzung gemeinsamer Datenquellen für die Erstellung der Reports im Risikocontrolling, Rechnungswesen und Meldewesen bei übergreifendem Data Governance Framework sowie vollständige Automatisierung der Datenerfassungsprozesse und automatischer Front-to-End-Überprüfungen der Datenqualität

II. Risikodaten-Aggregationskapazitäten

Die Risikodaten-Aggregationskapazitäten stehen im Vordergrund des zweiten BCBS-239-Themenbereichs. Hierbei ist es wichtig, dass die Datenqualitätsstandards, Zertifizierungsrichtlinien und Eskalationspro­zesse ganzheitlich und in sich konsistent ausgestaltet sind. Zudem sollten sie mithilfe durchdachter Kontrollen regelmäßig überprüft und verbessert werden. Auf diese Art und Weise ist sicherzustellen, dass alle Risiken korrekt behandelt und alle wesentlichen Risiken, rechtlichen Einheiten und Geschäftsbereiche berücksichtigt werden.

Um in Stress- und Krisensituationen trotz der erhöhten Belastungen höhere Berichtsfrequenzen zu ermöglichen, müssen die Verfahren zur Datenaggregation flexibel ausgestaltet sein. Vollautomatisierte Prozesse ohne Erfordernis eines manuellen Eingreifens stärken zusätzlich die Fähigkeit der Kreditinstitute, den internen und externen Empfängern ad hoc aggregierte Daten zur Verfügung stellen zu können.

Dazu stellen die vier in diesem Themenbereich verankerten Grundsätze explizite Anforderungen an die Genauigkeit und Integrität, Vollständigkeit, Aktualität sowie Anpassungsfähigkeit dar.

Gaps

Zur Bewertung des Umsetzungsstands in Bezug auf die Genauigkeit und Integrität (Grundsatz 3) untersuchte die EZB im Rahmen des Thematic Reviews insbesondere die Datenqualitätsrichtlinien für die internen und externen Daten sowie die zugehörigen Qualitätskennzahlen (KQIs) und Kontrollverfahren. Zusätzlich wurde der adäquate Abgleich zwischen Risikodaten und Golden Source ebenso berücksichtigt wie die Prüfpfade (Data Lineage) von der Datenherkunft (d. h. Golden Source) zu den Risikoberichten. Ebenfalls geprüft wurden die Regeln zur Umwandlung granularer Daten (Reconciliation). Die EZB stellte dabei fest, dass die Datenqualitätsrichtlinien nicht immer vollständig sind. Zum Teil werden auch unvollständige KQIs verwendet, die nicht alle relevanten Metriken abdecken. Häufig sind Datenänderungen unter anderem aufgrund mangelhafter Dokumentation nicht nachvollziehbar. Zudem bemängelte die EZB fehlende Abstimmungsverfahren und Audit Trails.

 

Im Bereich der Vollständigkeit (Grundsatz 4) wurden die Kreditinstitute im Hinblick auf ihre Fähigkeit, alle wesentlichen Risikoarten über legale Einheiten und/oder Geschäftsbereiche hinweg abzudecken und die Anwendung von Wesentlichkeitsschwellen, geprüft. ­Mehrere Kreditinstitute wiesen eine unzureichende Fähigkeit auf, Daten und Umsetzungsrisiken in Bezug auf ihre ­Change-Projekte zu erfassen und zu aggregieren. Für Ausschlüsse bestimmter legaler Einheiten und/oder Vermögenswerte aus bestimmten Risikokategorien existierten zum Teil unklare Kriterien. Darüber hinaus gab es meist kein eigenes, zentrales, gruppenweites Data Dictionary und/oder Data Repository für die Daten der ausländischen legalen Einheiten.

Die Anforderungen an die Aktualität (Grundsatz 5) wurden über zwei Aspekte bewertet. Relevant war zum einen die Fähigkeit der Kreditinstitute, Informationen in Übereinstimmung mit den Anforderungen zu aggregieren. Zum anderen müssen die Banken in Stress- oder Krisenzeit fähig sein, die Risikodaten häufiger als gewöhnlich für die Risikoberichterstattung zu aggregieren. Bei der Überprüfung wurde deutlich, dass sowohl komplexe und fragmentierte IT-Systeme als auch die Abhängigkeit von (halb-) manueller Datenverarbeitung zu Verzögerungen und arbeitsintensiven Meldeprozessen führen. Hinzu kommt, dass die Institute nicht gut für Stress- und Krisensituationen vorbereitet sind. So fehlen spezielle Verfahren zur häufigeren Datenaggregation in Stresssituationen und spezifische Frequenzanforderungen sind weder für Stress- und Krisensituationen noch für aktuelle Daten in normalen Situationen erstellt.

Im Rahmen der Anpassungsfähigkeit (Grundsatz 6) werden von den Kreditinstituten die Fähigkeiten gefordert, sowohl aggregierte Daten gemäß den Bedürfnissen der Nutzer erstellen als auch Daten im Falle von ad-hoc-Anfragen nach Bedarf aufschlüsseln zu können. Jedoch weisen die Institute aufgrund dezentraler Datenbanken und unzureichender Datengenauigkeit und -vollständigkeit lediglich eine begrenzte Fähigkeit auf, lokale Risikodaten von Tochtergesellschaften, Niederlassungen und Geschäftseinheiten zu nutzen. Übermäßige Abhängigkeiten von unstrukturierten Datenquellen wurden hinzukommend festgestellt.

Ausgewählte Best Practices

Für eine verbesserte Erfüllung der Grundsätze Genauigkeit und Integrität, Vollständigkeit, Aktualität und Anpassungsfähigkeit schlägt die EZB unter anderem die folgenden Best Practices vor:

  • Regelmäßige Überprüfung der konzernweiten Datenqualitätsstandards und -richtlinien
  • Zertifizierungsprozess: Klare Definition der Rollen und Verantwortlichkeiten sowie Verfolgung und zentrale Meldung von Verzögerungen
  • Einführung von Datenqualitätszertifizierungsprozessen für „Golden Sources“ mit Regelungen, die mit der konzernweiten Datentaxonomie übereinstimmen sowie ein kontinuierliches Rezertifizieren der identifizierten kritischen Datenpunkte
  • Festlegung von Kennzahlen und Metriken, die in Stressphasen erstellt werden sollen, wobei diese Metriken von der internen Revision überprüft und genehmigt werden
  • Möglichkeiten zur Datenanpassung erlauben Änderungen der Aggregationskriterien, zudem werden Datenänderungen unter Angabe des Grunds eindeutig protokolliert
  • Einfache Anpassung der Richtlinien, Verfahren und flexiblen Prozesse für die Datenaggregation, sodass Änderungen der Geschäftsorganisation, externer Faktoren sowie der regulatorischen Rahmenbedingungen berücksichtigt werden können

III. Risikoberichterstattung

Der dritte Themenbereich der BCBS 239 widmet sich der Risikoberichterstattung. Diese sollte über starke Funktionen zur Datenanpassung verfügen, um Änderungen an den Aggregationskriterien zu ermöglichen und die Bereitstellung von Risikodaten unterschiedlicher Granularität zu erleichtern. Die Datenaggregationsrichtlinien, -verfahren und -prozesse sollten leicht an Veränderungen der internen und externen Umgebung angepasst werden können.

Die Risikoberichte der Institute haben über Prognosen zu Stressszenarien zu verfügen. Um eine konzernweite Konsistenz zu ermöglichen, kann ein konzernweites internes Data Dictionary herangezogen werden. Für eine zeitnahe Entscheidungsfindung ist es notwendig, eine ausreichende Häufigkeit (in Richtung Kurzfristigkeit, z. B. „intraday“) der Risikoberichterstattung sicherzustellen. Bei der Verteilung ist darauf zu achten, dass die Berichte automatisiert und über einen sicheren Vertriebskanal an die entsprechenden Empfänger versendet werden. Zur effektiven Berücksichtigung der Anforderungen und Erwartungen der unterschiedlichen Empfänger, kann ein Feedbackprozess verwendet werden.

Folglich widmen sich die fünf Grundsätze des Themenbereichs im Einzelnen den folgenden Aspekten: Genauigkeit, umfassender Charakter, Klarheit und Nutzen, Häufigkeit und Verbreitung.

Gaps

Im Hinblick auf die Anforderungen an die Genauigkeit (Grundsatz 7) wurde einerseits die Durchführung automatisierter und manueller Kontrollen als auch die Festlegung präziser Anforderungen an die regelmäßige Berichterstattung wie auch die Krisenberichterstattung durch Richtlinien untersucht. Bezüglich der Kontrollen wurden unzureichende Plausibilitäts- und Konsistenzprüfungen sowie fehlende Audit Trails festgestellt. Die Kommentare verfügten nicht über die erforderliche Qualität und Konsistenz. Manuelle Eingriffe führten zu Reconciliation-Fehler im Bereich des regulatorischen Kapitals. Zudem fehlten spezielle Richtlinien, die Anforderungen oder Erwartungen zur Genauigkeit von Schätzungen festlegen.

Die Prüfung der Aspekte zum Grundsatz des umfassenden Charakters (Grundsatz 8) wird geprägt durch die erforderlichen Inhalte der Risikomanagementberichte (bspw. Exposure- und Positionsinformationen). Die EZB kritisiert, dass den zukunftsorientierten Aspekten nicht ausreichend Rechnung getragen wird. So existieren beispielsweise auch Schwierigkeiten beim Einbezug dieser Aspekte in die Risikobereitschaft. Zusätzlich deckt das Risikoreporting nicht alle wesentlichen Risikobereiche ab. Dazu passt, dass nur eine begrenzte Anzahl wichtiger Risikokennzahlen verwendet wird, die als nicht ausreichend detailliert angesehen wurden und nicht alle Aspekte einer Risikokategorie abdecken. Bei der Aufteilung der Risikodaten in die verschiedenen Risikokategorien und Unterkategorien wurden zudem Schwierigkeiten beobachtet. Die Bewertung und Berichterstattung der Risiken erfolgt zudem teilweise ad hoc und nicht wie gefordert auf Grundlage eines regelmäßigen, gut dokumentierten Verfahrens.

Im Kontext des Grundsatzes Klarheit und ­Nutzen (Grundsatz 9) stellte die Untersuchung insbesondere auf die Qualität der Risikoberichte ab. Dabei zeigte sich, dass im ein oder anderen Institut eine formell festgeschriebene Risikoberichterstattung fehlt und die Berichte aufgrund zu kurzer Kommentare häufig nur ein undeutliches Verständnis der Situation vermitteln. Fehler und Fehlinterpretationen werden durch mangelhafte Erläuterungen von Berechnungen und Annahmen begünstigt. Da konzernweite Definitionen gelegentlich fehlen, wurden Abweichungen in der Berichterstattung festgestellt. Als problematisch wurde auch angesehen, wenn keine Möglichkeit besteht, Informationen auf verschiedene Zielgruppen zuzuschneiden oder zu technische, zu komplexe oder zu detaillierte Berichte verwendet werden.

Der Umsetzungsstand in Bezug auf die Häufigkeit (Grundsatz 10) wurde evaluiert, indem geprüft wurde, ob die relevanten und kritischen Risikopositions- und Risikoexposureberichte in Stress- und Krisenzeiten häufiger und zeitnäher vorliegen. Allerdings werden unzureichende Frequenzanforderungen und Standards ebenso wie eine nicht ausreichende Häufigkeit der Risikoberichterstattung für einige Risikoarten festgehalten.

Innerhalb des Grundsatzes zur Verbreitung (Grundsatz 11) wurden die Verfahren zur raschen Sammlung und Analyse von Risiko­daten und zur rechtzeitigen Verbreitung von Berichten untersucht. Hierbei gab es häufig keine klare Vertraulichkeits- und Verteilungspolitik und sowohl die beabsichtigten Empfänger als auch die Vertraulichkeitsstufen waren nicht dokumentiert. Zusätzlich bestand deutlicher Verbesserungsbedarf bei der Automatisierung des Verbreitungsprozesses.

Ausgewählte Best Practices

Um unter anderem die Häufigkeit und Verbreitung der Risikoberichte zu verbessern, können die nachfolgenden Best Practices, bei denen es sich lediglich um einen Auszug handelt, angegangen werden:

  • Kombination aus gut implementierten Datenqualitäts-Dashboards, laufender Pflege des Datenqualitäts-Frameworks und permanenter Überwachung der BCBS-239-­Umsetzungsprogramme
  • Identifizierung aufkommender Risiken anderer möglicher Abweichungen von festgelegten Limits und Benchmarks, u. a. durch die Aufnahme einer Konjunkturprognose für die nächsten zwei Jahre in die Risikoberichte
  • Konzernweite interne Data Dictionaries und Glossare zu den verwendeten Kennzahlen, Metriken und Formaten sowie Durchführung von Zufriedenheitsbefragungen durch eine Validierungsgruppe, die die Notwendigkeit einer Anpassung der Risikoberichterstattung evaluiert
  • Festlegung angemessener Frequenzanforderungen in Normal- und Stresszeiten für alle wesentlichen Risiken bei Zunahme der Häufigkeit in Stresssituationen
  • Vom Sekretariat des Vorstandes zentral erstellte Empfängerliste sowie vollständig automatisierte Zertifizierungs- und Verteilungsprozesse zur Gewährleistung einer rechtzeitigen Übermittlung und Vertraulichkeit

TME Vorgehen

Mit der Veröffentlichung des „Thematic Review on effective risk data aggregation and risk reporting“ erhalten die Banken neue Impulse zur Umsetzung der BCBS 239 Grundsätze. Banken, die die BCBS 239 bislang noch nicht umsetzen müssen, erhalten eine aussagekräftige Implementierungshilfe. Diejenigen Banken, die die BCBS 239 bereits umsetzen müssen und sich in der Umsetzung befinden, eine gute Möglichkeit zur Nachbesserung und -steuerung.

Aufgrund ihrer langjährigen Beratungs- und Projektexpertise im Themenfeld BCBS 239, welche auch bei G-SIBs eingebracht wurde, unterstützt die TME als kompetenter Ansprechpartner. Das effiziente TME Vorgehensmodell eignet sich zur initialen Erstumsetzung der BCBS 239 Anforderungen wie auch zur Nachbesserung im Sinne einer ganzheitlichen Gap-Analyse im Rahmen des Thematic Reviews. Aber auch einzelne Arbeitspakete entlang der BCBS 239 Strecke können umgesetzt werden. Mithilfe der Checkliste, welche auf einer umfassenden Analyse des Thematic Reviews sowie der langjährigen TME Expertise beruht, begleitet die TME Banken und Finanzdienstleister von der GAP-Analyse über das Schließen von Gaps bis hin zur Begleitung der Umsetzung einzelner Anforderungen nach den BCBS 239 Grundsätzen.

Fazit und Ausblick

Aufgrund der Lehren aus der weltweiten ­Finanzmarktkrise der Jahre 2007/08 wurden mit den BCBS 239-Grundsätzen Anforderungen an die Risikodatenaggregation und die Risikoberichterstattung gestellt. Diese mussten zwar von den G-SIBs bereits bis Januar 2016 umgesetzt werden, die Untersuchung der EZB im Rahmen des „Thematic Review on effective risk data aggregation and risk reporting“ zeigte jedoch, dass noch kein Institut die Umsetzung abgeschlossen hat und dies auch vor Ende 2019 nicht schaffen wird.

Mit der Veröffentlichung des Thematic ­Review gibt die EZB wichtige Hinweise darauf, dass das Thema weiterhin an Bedeutung gewinnen wird – auch für kleinere Banken, die bisher nicht zur Umsetzung aufgefordert sind. Über die im Review enthaltenen Gaps und Best Practices erhalten die Banken nun neue Impulse zur Umsetzung der BCBS 239 Grundsätze. Unabhängig davon, ob die Bank vor der Erstumsetzung steht oder bereits in der Umsetzung steckt, bieten die Ergebnisse des Thematic Review hilfreiche und aussagekräftige Hilfestellungen.

Aufgrund der weiteren Hilfestellungen wird eine Umsetzung der BCBS 239 Grundsätze auch für kleinere und mittlere Banken, die nicht als G-SIB oder D-SIB eingestuft wurden, immer interessanter. Schließlich bietet die Umsetzung von BCBS 239 Chancen wie die Optimierung und Modernisierung bankinterner Strukturen. Hierbei können insbesondere die IT- und Datenarchitektur zielorientiert angegangen werden. Daraus resultierende positive Effekte lassen sich aufgrund einer optimierten Datengrundlage beispielsweise im Hinblick auf die Effizienz vieler Prozesse erwarten. Aber auch die Leistungsfähigkeit der Risikoberichterstattung kann gesteigert werden, wodurch sich die Daten auch besser zur strategischen und operativen Unternehmensführung heranziehen lassen dürften.

Autoren und Ansprechpartner: Stefan Steinhoff, Alexandra Yaroslavtseva, Florian Rienecker

 

 

Grafiken zum Whitepaper "Umsetzungsstand der BCBS 239 Anforderungen"