Momentaufnahme BCBS 239
Die Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung (Grundsätze des BCBS 239) wurden erstmals 2013 durch den Basler Ausschuss für Bankenaufsicht (Basel Committee on Banking Supervision – BCBS) aufgestellt – als Reaktion auf die gravierenden Mängel in den Managementinformationssystemen vieler globaler Großbanken, die während der Finanzkrise 2007–2009 aufgedeckt wurden.
Mit den Grundsätzen des BCBS 239 wurden folgende grundlegende Ziele verfolgt:
- Verbesserung der Infrastruktur für die Berichterstattung mit Blick auf Schlüsselinformationen, insbesondere solche, die vom obersten Verwaltungsorgan bzw. der Geschäftsleitung zur Identifizierung, Überwachung und Steuerung von Risiken verwendet werden
- Verbesserung der konzernweiten Entscheidungsfindungsprozesse
- Verbesserung der Informationsverwaltung zwischen den verschiedenen Konzerngesellschaften, wobei die umfassende Bewertung der Risikoengagements auf global konsolidierter Ebene ermöglicht wird
- Reduzierung der Wahrscheinlichkeit und der Größenordnung von Verlusten aufgrund von Schwächen im Risikomanagement
- schnellere Verfügbarkeit von Informationen und somit Beschleunigung der Entscheidungsprozesse
- Verbesserung der Qualität der strategischen Planung innerhalb der Organisation sowie der Fähigkeit, die Risiken neuer Produkte und Dienstleistungen zu steuern
Die vierzehn Grundsätze wurden in vier Kategorien eingeteilt: Gesamtunternehmensführung und Infrastruktur, Risikodaten-Aggregationskapazitäten, Risikoberichterstattung und aufsichtliche Überprüfungen.
Die Leitlinien der EZB
Im Jahr 2016 leitete die EZB eine thematische Überprüfung der effektiven Risikodatenaggregation und Risikoberichterstattung (RDARR) ein, die sich an den Grundsätzen des BCBS 239 orientierte. Die Ergebnisse zeigten, dass keine der geprüften Banken die Grundsätze vollständig einhielt. Im Jahr 2019 richtete die EZB ein Schreiben an alle bedeutenden Institute unter ihrer direkten Aufsicht und wies diese auf die Dringlichkeit hin, ihre RDA-Kapazitäten und Risikoberichterstattung umgehend zu verbessern. Trotz wiederholter Aufrufe zum Handeln und einer verstärkten aufsichtlichen Kontrolle in den letzten Jahren kam die EZB zu dem Schluss, dass angemessene RDARR-Fähigkeiten unter den G-SIBs noch immer die Ausnahme sind. Der vom BCBS im Jahr 2020 veröffentlichte Fortschrittsbericht, der auf den Ergebnissen einer Selbsteinschätzung von 34 G-SIBs basiert, zeigt, dass keine der Banken die Grundsätze hinsichtlich des Aufbaus der erforderlichen Datenarchitektur vollständig einhält und dass die IT-Infrastruktur für viele weiterhin ein schwieriges Thema ist.
Deshalb veröffentlichte die EZB im Juli 2023 einen Leitfaden zur effektiven Aggregation von Risikodaten und zur Risikoberichterstattung, in dem die Banken aufgefordert werden, ihre Bemühungen zu verstärken und ihre Kapazitäten in diesem Bereich zeitnah auszubauen. Der Leitfaden soll die Grundsätze des BCBS 239 ergänzen sowie die Erwartungen der Aufsichtsbehörden in diesem Bereich präzisieren und unterstreichen.
In dem Leitfaden hebt die Aufsichtsbehörde sieben Hauptbereiche hervor:
- Die Verantwortung des Leitungsorgans einer Bank
- Den Anwendungsbereich des Data-Governance-Frameworks
- Schlüsselrollen und Verantwortlichkeiten für Data-Governance
- Die Implementierung einer konzernweiten integrierten Datenarchitektur
- Die Effektivität der Datenqualitätskontrollen
- Die Aktualität der internen Risikoberichterstattung
- Effektive Umsetzungsprogramme
1. Verantwortung des Leitungsorgans einer Bank
Die EZB unterstreicht die entscheidende Rolle des Leitungsorgans bei der Sicherstellung einer effektiven Risikoerkennung, -steuerung, -überwachung und -berichterstattung sowie bei der Einführung geeigneter interner Kontrollmechanismen. Ungenügende Kenntnisse, Ausbildung oder Erfahrungen im Hinblick auf RDARR- und IT-Themen oder ein mangelndes Bewusstsein für die zugrunde liegenden Risiken können zu unzureichenden oder unwirksamen Verbesserungen führen. Deshalb erwägt die EZB, auch das Verständnis des Leitungsorgans in Bezug auf RDARR-Themen in die Beurteilung der fachlichen Eignung (Fit & Proper Assessments) einzubeziehen.
2. Anwendungsbereich des Data-Governance-Frameworks
Gemäß den EZB-Leitlinien sollten die Banken ein solides Data-Governance-Framework etablieren, um eine effektive Risikoerkennung, -steuerung, -überwachung und -berichterstattung zu gewährleisten. Dieses Framework sollte allumfassend sein, alle wesentlichen Konzerngesellschaften, Risikokategorien, Geschäftsbereiche sowie Prozesse der Finanz- und Aufsichtsberichterstattung abdecken und den gesamten Datenlebenszyklus von der Entstehung und Erfassung bis zur Aggregation und Meldung einschließen.
Die Banken sollten den Anwendungsbereich ihres Data-Governance-Frameworks klar definieren, indem sie die einzubeziehenden Berichte, Modelle, Risikodaten und kritischen Datenelemente explizit benennen. Darüber hinaus sollten sie transparente, verhältnismäßige und messbare Kriterien für die Einbeziehung wesentlicher Konzerngesellschaften festlegen.
3. Schlüsselrollen und Verantwortlichkeiten für Data-Governance
Die Aufsichtsbehörde skizziert die wesentlichen Komponenten, die für die Einrichtung eines wirksamen Data-Governance-Frameworks sowohl auf Konzern- als auch auf Tochtergesellschaftsebene erforderlich sind. Die Banken werden dringend aufgefordert, die Rollen und Verantwortlichkeiten im Bereich der Datenqualität klar zu definieren sowie die Verantwortung für die Datenqualität auf die Geschäfts-, Kontroll- und IT-Funktionen zu verteilen.
4. Implementierung einer konzernweiten integrierten Datenarchitektur
Um die Datenqualität für die Risiko-, Aufsichts- und Finanzberichterstattung zu gewährleisten, weist die EZB auf die Notwendigkeit hin, eine integrierte Datenarchitektur auf Konzernebene zu implementieren. Besonderes Augenmerk wird auf Datenwörterbücher gelegt, die die wichtigsten Geschäftskonzepte abdecken. Die Implementierung von Datentaxonomien sollte gründlich dokumentiert werden und auf die Bereitstellung wesentlicher Informationen ausgerichtet sein, die für die Steuerung des Instituts und die Überwachung seines Risikomanagements erforderlich sind.
5. Effektivität der Datenqualitätskontrollen
Die EZB hebt hervor, dass zur Gewährleistung effektiver und umfassender Datenqualitätskontrollen sowie zur Lösung signifikanter Datenqualitätsprobleme konzernweite Richtlinien und Verfahren in das breitere Risikomanagement- bzw. Data-Governance-Framework integriert werden sollten. Diese Integration erhöht die Transparenz in Bezug auf Datenqualitätsrisiken innerhalb des definierten Anwendungsbereichs.
6. Aktualität der internen Risikoberichterstattung
Der sechste Schwerpunkt der Regulierungsbehörde unterstreicht, wie sehr ein effektives Risikomanagement und eine wirksame Risikoerkennung von korrekten, vollständigen und aktuellen Daten abhängen. „Um ein wirksames Risikomanagement zu gewährleisten, müssen die richtigen Informationen den richtigen Personen zur richtigen Zeit zur Verfügung gestellt werden.“ Die Aktualität der Risikoberichterstattung hängt von zwei Faktoren ab: wie oft Berichte erstellt werden und wie viel Zeit für ihre Erstellung benötigt wird.
Die Häufigkeit der internen Risikoberichterstattung sollte auf die Dynamik potenzieller Veränderungen der Risikokennzahlen abgestimmt sein. Die Zeit, die für die Erstellung eines Berichts benötigt wird, wirkt sich in ähnlicher Weise auf das Risikomanagement aus. Wenn ein Institut länger braucht, um Risikoberichte zu erstellen, verlängert sich der Zeitraum, in dem die Risikolage ungewiss ist, und die Wahrscheinlichkeit verspäteter Reaktionen nimmt zu. Erstmals wird die klare Erwartung geäußert, dass monatliche und vierteljährliche Risikoberichte innerhalb von 20 Arbeitstagen erstellt werden sollen.
7. Effektive Umsetzungsprogramme
Banken, die sich noch nicht an die in den Grundsätzen des BCBS 239 dargelegten Best Practices halten, werden dringend aufgefordert, geeignete Schritte zu deren Umsetzung zu unternehmen. Es sollte ein Umsetzungsplan entwickelt werden, um alle Lücken und Schwachstellen zu beseitigen, die durch interne und externe Evaluierungen, u. a. auch Vor-Ort-Prüfungen durch die EZB, festgestellt wurden.
Erwartete aufsichtliche Schritte
In ihren jüngsten Leitlinien fordert die EZB ausdrücklich eine verstärkte Aufsicht und weist darauf hin, dass die derzeitigen Vorgehensweisen unzureichend sind. Zwischen 2023 und 2025 wird die Aufsichtsbehörde ein horizontales Benchmarking der Ergebnisse durchführen, wobei der Schwerpunkt auf dem angemessenen Anwendungsbereich des Data-Governance-Frameworks, den Verantwortlichkeiten der Geschäftsleitung sowie der Datenqualität des regulatorischen Reportings liegen wird. Es ist damit zu rechnen, dass institutsspezifische „fire drills“ sowie spezifische Prüfungen der RDARR-Fähigkeiten durchgeführt werden.
Vor diesem Hintergrund empfiehlt zeb die folgenden Maßnahmen:
- Genaue Beobachtung der EZB-Aktivitäten, um rechtzeitig über Aktualisierungen oder Änderungen informiert zu sein
- Gründliche Bewertung der eigenen RDARR-Fähigkeiten, wobei diese kritisch mit den regulatorischen Standards abzugleichen und die aktuellen Ansprüche der EZB zu berücksichtigen sind – besonderes Augenmerk sollte dabei auf der Geschäftsleitungsperspektive liegen
- Regelmäßige Bewertung der eigenen Ansätze im Bereich Datenqualitätsmanagement und -reporting unter Berücksichtigung der Effektivität, der erzielten Verbesserungen und der Bedeutung für die Risikoberichterstattung
BankingHub-Newsletter
Analysen, Artikel sowie Interviews rund um Trends und Innovationen im Banking alle 2-3 Wochen direkt in Ihr Postfach
„(erforderlich)“ zeigt erforderliche Felder an
Investitionen in BCBS-239-Initiativen – eher Chance als Belastung
BCBS 239 hat sich zu einer wichtigen Komponente des Bankensektors entwickelt und beeinflusst die Art und Weise, wie Banken an das Risikomanagement, den Umgang mit Daten und ihre Meldeverfahren herangehen. Obwohl der Standard nicht in allen Ländern einen formellen regulatorischen Status hat, ist er weithin anerkannt und wird von Regulierungsbehörden wie auch Finanzinstituten häufig zitiert.
Trotz erheblicher Bemühungen in den letzten zehn Jahren, die Grundsätze umzusetzen, sind bei den meisten bedeutenden Instituten noch Compliance-Lücken festzustellen. Angesichts des dynamischen Umfelds, in dem Banken agieren, erfordert die Einhaltung des BCBS 239 ebenso dynamische Anpassungen.
Erfolgreiche Unternehmen nutzen die Chancen, die sich aus den BCBS-239-Initiativen ergeben, und verknüpfen sie mit strategischen Geschäftszielen. Indem sie den Anwendungsbereich über Risikodaten hinaus erweitern und andere Berichtsarten (z. B. zur Nachhaltigkeit) in ihr Data-Governance-Framework einbeziehen, sich neuen Technologien öffnen und Daten als strategisches Asset ansehen, können die Banken ihre Investitionen nutzen, um strategische Chancen auszuschöpfen.
Die Einhaltung der Grundsätze des BCBS 239 ist zweifellos auch für Banken vorteilhaft, die nicht dazu verpflichtet sind, da der geschäftliche Nutzen über regulatorische Compliance hinausgeht. Verbesserte Datenaggregations- und Berichterstattungskapazitäten können unter anderem strategische Entscheidungsprozesse (z. B. im Hinblick auf die Risikobereitschaft) unterstützen, die Kosteneffizienz durch ein gut organisiertes und vereinfachtes Portfolio von Datenspeichern erhöhen oder das Cross-Selling-Potenzial und die allgemeine Kundenrentabilität steigern.