BankingHub Logo
BankingHub Logo
Read this in English
Read this in English

Neue EZB-Leitlinien zur Aggregation von Risikodaten und zur Risikoberichterstattung

Von Dr. Frank Mrusek, Dorota Adamus

Die Bedeutung der Aggregation von Risikodaten wurde bereits während der Finanzkrise 2007–2009 deutlich und in jüngster Zeit durch die Datenerhebungsinitiativen der EZB-Bankenaufsicht im Zuge der Pandemie und anderer Stressszenarien erneut unterstrichen.

Seit der Bekanntgabe der aufsichtsrechtlichen Prioritäten für 2023–2025 durch die EZB im Dezember 2022, gefolgt von der Keynote von Andrea Enria auf der Jahrestagung Bankenaufsicht im März 2023, ist klar, dass die Banken die Compliance-Lücken in ihren Prozessen zur Aggregation von Risikodaten und zur Risikoberichterstattung neu angehen müssen.

Momentaufnahme BCBS 239

Die Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung (Grundsätze des BCBS 239) wurden erstmals 2013 durch den Basler Ausschuss für Bankenaufsicht (Basel Committee on Banking Supervision – BCBS) aufgestellt – als Reaktion auf die gravierenden Mängel in den Managementinformationssystemen vieler globaler Großbanken, die während der Finanzkrise 2007–2009 aufgedeckt wurden.

Mit den Grundsätzen des BCBS 239 wurden folgende grundlegende Ziele verfolgt:

  • Verbesserung der Infrastruktur für die Berichterstattung mit Blick auf Schlüsselinformationen, insbesondere solche, die vom obersten Verwaltungsorgan bzw. der Geschäftsleitung zur Identifizierung, Überwachung und Steuerung von Risiken verwendet werden
  • Verbesserung der konzernweiten Entscheidungsfindungsprozesse
  • Verbesserung der Informationsverwaltung zwischen den verschiedenen Konzerngesellschaften, wobei die umfassende Bewertung der Risikoengagements auf global konsolidierter Ebene ermöglicht wird
  • Reduzierung der Wahrscheinlichkeit und der Größenordnung von Verlusten aufgrund von Schwächen im Risikomanagement
  • schnellere Verfügbarkeit von Informationen und somit Beschleunigung der Entscheidungsprozesse
  • Verbesserung der Qualität der strategischen Planung innerhalb der Organisation sowie der Fähigkeit, die Risiken neuer Produkte und Dienstleistungen zu steuern

Die vierzehn Grundsätze wurden in vier Kategorien eingeteilt: Gesamtunternehmensführung und Infrastruktur, Risikodaten-Aggregationskapazitäten, Risikoberichterstattung und aufsichtliche Überprüfungen.

Grundsätze des BCBS 239 im Überblick Abb. 1: Grundsätze des BCBS 239 im Überblick

Die Leitlinien der EZB

Im Jahr 2016 leitete die EZB eine thematische Überprüfung der effektiven Risikodatenaggregation und Risikoberichterstattung (RDARR) ein, die sich an den Grundsätzen des BCBS 239 orientierte. Die Ergebnisse zeigten, dass keine der geprüften Banken die Grundsätze vollständig einhielt. Im Jahr 2019 richtete die EZB ein Schreiben an alle bedeutenden Institute unter ihrer direkten Aufsicht und wies diese auf die Dringlichkeit hin, ihre RDA-Kapazitäten und Risikoberichterstattung umgehend zu verbessern. Trotz wiederholter Aufrufe zum Handeln und einer verstärkten aufsichtlichen Kontrolle in den letzten Jahren kam die EZB zu dem Schluss, dass angemessene RDARR-Fähigkeiten unter den G-SIBs noch immer die Ausnahme sind. Der vom BCBS im Jahr 2020 veröffentlichte Fortschrittsbericht, der auf den Ergebnissen einer Selbsteinschätzung von 34 G-SIBs basiert, zeigt, dass keine der Banken die Grundsätze hinsichtlich des Aufbaus der erforderlichen Datenarchitektur vollständig einhält und dass die IT-Infrastruktur für viele weiterhin ein schwieriges Thema ist.

Deshalb veröffentlichte die EZB im Juli 2023 einen Leitfaden zur effektiven Aggregation von Risikodaten und zur Risikoberichterstattung, in dem die Banken aufgefordert werden, ihre Bemühungen zu verstärken und ihre Kapazitäten in diesem Bereich zeitnah auszubauen. Der Leitfaden soll die Grundsätze des BCBS 239 ergänzen sowie die Erwartungen der Aufsichtsbehörden in diesem Bereich präzisieren und unterstreichen.

BCBS 239 – Zeitstrahl Abb. 2: BCBS 239 – Zeitstrahl

In dem Leitfaden hebt die Aufsichtsbehörde sieben Hauptbereiche hervor:

  1. Die Verantwortung des Leitungsorgans einer Bank
  2. Den Anwendungsbereich des Data-Governance-Frameworks
  3. Schlüsselrollen und Verantwortlichkeiten für Data-Governance
  4. Die Implementierung einer konzernweiten integrierten Datenarchitektur
  5. Die Effektivität der Datenqualitätskontrollen
  6. Die Aktualität der internen Risikoberichterstattung
  7. Effektive Umsetzungsprogramme

 

1. Verantwortung des Leitungsorgans einer Bank

Die EZB unterstreicht die entscheidende Rolle des Leitungsorgans bei der Sicherstellung einer effektiven Risikoerkennung, -steuerung, -überwachung und -berichterstattung sowie bei der Einführung geeigneter interner Kontrollmechanismen. Ungenügende Kenntnisse, Ausbildung oder Erfahrungen im Hinblick auf RDARR- und IT-Themen oder ein mangelndes Bewusstsein für die zugrunde liegenden Risiken können zu unzureichenden oder unwirksamen Verbesserungen führen. Deshalb erwägt die EZB, auch das Verständnis des Leitungsorgans in Bezug auf RDARR-Themen in die Beurteilung der fachlichen Eignung (Fit & Proper Assessments) einzubeziehen.

Risikoberichterstattung: Verantwortlichkeiten des Leitungsorgans Abb. 3: Zusammenfassung der Empfehlungen – Verantwortlichkeiten des Leitungsorgans

2. Anwendungsbereich des Data-Governance-Frameworks

Gemäß den EZB-Leitlinien sollten die Banken ein solides Data-Governance-Framework etablieren, um eine effektive Risikoerkennung, -steuerung, -überwachung und -berichterstattung zu gewährleisten. Dieses Framework sollte allumfassend sein, alle wesentlichen Konzerngesellschaften, Risikokategorien, Geschäftsbereiche sowie Prozesse der Finanz- und Aufsichtsberichterstattung abdecken und den gesamten Datenlebenszyklus von der Entstehung und Erfassung bis zur Aggregation und Meldung einschließen.

Die Banken sollten den Anwendungsbereich ihres Data-Governance-Frameworks klar definieren, indem sie die einzubeziehenden Berichte, Modelle, Risikodaten und kritischen Datenelemente explizit benennen. Darüber hinaus sollten sie transparente, verhältnismäßige und messbare Kriterien für die Einbeziehung wesentlicher Konzerngesellschaften festlegen.

EZB-Leitlinien: Zusammenfassung der Empfehlungen Abb. 4: Zusammenfassung der Empfehlungen – adäquater Anwendungsbereich

3. Schlüsselrollen und Verantwortlichkeiten für Data-Governance

Die Aufsichtsbehörde skizziert die wesentlichen Komponenten, die für die Einrichtung eines wirksamen Data-Governance-Frameworks sowohl auf Konzern- als auch auf Tochtergesellschaftsebene erforderlich sind. Die Banken werden dringend aufgefordert, die Rollen und Verantwortlichkeiten im Bereich der Datenqualität klar zu definieren sowie die Verantwortung für die Datenqualität auf die Geschäfts-, Kontroll- und IT-Funktionen zu verteilen.

EZB-Leitlinien: effektives Data-Governance-Framework Abb. 5: Zusammenfassung der Empfehlungen – effektives Data-Governance-Framework

4. Implementierung einer konzernweiten integrierten Datenarchitektur

Um die Datenqualität für die Risiko-, Aufsichts- und Finanzberichterstattung zu gewährleisten, weist die EZB auf die Notwendigkeit hin, eine integrierte Datenarchitektur auf Konzernebene zu implementieren. Besonderes Augenmerk wird auf Datenwörterbücher gelegt, die die wichtigsten Geschäftskonzepte abdecken. Die Implementierung von Datentaxonomien sollte gründlich dokumentiert werden und auf die Bereitstellung wesentlicher Informationen ausgerichtet sein, die für die Steuerung des Instituts und die Überwachung seines Risikomanagements erforderlich sind.

Risikoberichterstattng: Integrierte Datenarchitektur Abb. 6: Zusammenfassung der Empfehlungen – integrierte Datenarchitektur

5. Effektivität der Datenqualitätskontrollen

Die EZB hebt hervor, dass zur Gewährleistung effektiver und umfassender Datenqualitätskontrollen sowie zur Lösung signifikanter Datenqualitätsprobleme konzernweite Richtlinien und Verfahren in das breitere Risikomanagement- bzw. Data-Governance-Framework integriert werden sollten. Diese Integration erhöht die Transparenz in Bezug auf Datenqualitätsrisiken innerhalb des definierten Anwendungsbereichs.

EZB-Leitlinien: konzernweites Datenqualitätsmanagement und entsprechende Standards Abb. 7: Zusammenfassung der Empfehlungen – konzernweites Datenqualitätsmanagement und entsprechende Standards

6. Aktualität der internen Risikoberichterstattung

Der sechste Schwerpunkt der Regulierungsbehörde unterstreicht, wie sehr ein effektives Risikomanagement und eine wirksame Risikoerkennung von korrekten, vollständigen und aktuellen Daten abhängen. „Um ein wirksames Risikomanagement zu gewährleisten, müssen die richtigen Informationen den richtigen Personen zur richtigen Zeit zur Verfügung gestellt werden.“ Die Aktualität der Risikoberichterstattung hängt von zwei Faktoren ab: wie oft Berichte erstellt werden und wie viel Zeit für ihre Erstellung benötigt wird.

Die Häufigkeit der internen Risikoberichterstattung sollte auf die Dynamik potenzieller Veränderungen der Risikokennzahlen abgestimmt sein. Die Zeit, die für die Erstellung eines Berichts benötigt wird, wirkt sich in ähnlicher Weise auf das Risikomanagement aus. Wenn ein Institut länger braucht, um Risikoberichte zu erstellen, verlängert sich der Zeitraum, in dem die Risikolage ungewiss ist, und die Wahrscheinlichkeit verspäteter Reaktionen nimmt zu. Erstmals wird die klare Erwartung geäußert, dass monatliche und vierteljährliche Risikoberichte innerhalb von 20 Arbeitstagen erstellt werden sollen.

EZB-Leitlinien: Aktualität der internen Risikoberichterstattung Abb. 8: Zusammenfassung der Empfehlungen – Aktualität der internen Risikoberichterstattung

7. Effektive Umsetzungsprogramme

Banken, die sich noch nicht an die in den Grundsätzen des BCBS 239 dargelegten Best Practices halten, werden dringend aufgefordert, geeignete Schritte zu deren Umsetzung zu unternehmen. Es sollte ein Umsetzungsplan entwickelt werden, um alle Lücken und Schwachstellen zu beseitigen, die durch interne und externe Evaluierungen, u. a. auch Vor-Ort-Prüfungen durch die EZB, festgestellt wurden.

EZB-Leitlinien: Effektive Umsetzungsprogramme Abb. 9: Zusammenfassung der Empfehlungen – effektive Umsetzungsprogramme

Erwartete aufsichtliche Schritte

In ihren jüngsten Leitlinien fordert die EZB ausdrücklich eine verstärkte Aufsicht und weist darauf hin, dass die derzeitigen Vorgehensweisen unzureichend sind. Zwischen 2023 und 2025 wird die Aufsichtsbehörde ein horizontales Benchmarking der Ergebnisse durchführen, wobei der Schwerpunkt auf dem angemessenen Anwendungsbereich des Data-Governance-Frameworks, den Verantwortlichkeiten der Geschäftsleitung sowie der Datenqualität des regulatorischen Reportings liegen wird. Es ist damit zu rechnen, dass institutsspezifische „fire drills“ sowie spezifische Prüfungen der RDARR-Fähigkeiten durchgeführt werden.

Vor diesem Hintergrund empfiehlt zeb die folgenden Maßnahmen:

  • Genaue Beobachtung der EZB-Aktivitäten, um rechtzeitig über Aktualisierungen oder Änderungen informiert zu sein
  • Gründliche Bewertung der eigenen RDARR-Fähigkeiten, wobei diese kritisch mit den regulatorischen Standards abzugleichen und die aktuellen Ansprüche der EZB zu berücksichtigen sind – besonderes Augenmerk sollte dabei auf der Geschäftsleitungsperspektive liegen
  • Regelmäßige Bewertung der eigenen Ansätze im Bereich Datenqualitätsmanagement und -reporting unter Berücksichtigung der Effektivität, der erzielten Verbesserungen und der Bedeutung für die Risikoberichterstattung

Investitionen in BCBS-239-Initiativen – eher Chance als Belastung

BCBS 239 hat sich zu einer wichtigen Komponente des Bankensektors entwickelt und beeinflusst die Art und Weise, wie Banken an das Risikomanagement, den Umgang mit Daten und ihre Meldeverfahren herangehen. Obwohl der Standard nicht in allen Ländern einen formellen regulatorischen Status hat, ist er weithin anerkannt und wird von Regulierungsbehörden wie auch Finanzinstituten häufig zitiert.

Trotz erheblicher Bemühungen in den letzten zehn Jahren, die Grundsätze umzusetzen, sind bei den meisten bedeutenden Instituten noch Compliance-Lücken festzustellen. Angesichts des dynamischen Umfelds, in dem Banken agieren, erfordert die Einhaltung des BCBS 239 ebenso dynamische Anpassungen.

Erfolgreiche Unternehmen nutzen die Chancen, die sich aus den BCBS-239-Initiativen ergeben, und verknüpfen sie mit strategischen Geschäftszielen. Indem sie den Anwendungsbereich über Risikodaten hinaus erweitern und andere Berichtsarten (z. B. zur Nachhaltigkeit) in ihr Data-Governance-Framework einbeziehen, sich neuen Technologien öffnen und Daten als strategisches Asset ansehen, können die Banken ihre Investitionen nutzen, um strategische Chancen auszuschöpfen.

Die Einhaltung der Grundsätze des BCBS 239 ist zweifellos auch für Banken vorteilhaft, die nicht dazu verpflichtet sind, da der geschäftliche Nutzen über regulatorische Compliance hinausgeht. Verbesserte Datenaggregations- und Berichterstattungskapazitäten können unter anderem strategische Entscheidungsprozesse (z. B. im Hinblick auf die Risikobereitschaft) unterstützen, die Kosteneffizienz durch ein gut organisiertes und vereinfachtes Portfolio von Datenspeichern erhöhen oder das Cross-Selling-Potenzial und die allgemeine Kundenrentabilität steigern.

Quellen

Guide on effective risk data aggregation and risk reporting, ECB, Juli 2023
Principles for effective risk data aggregation and risk reporting, Basler Ausschuss für Bankenaufsicht, Januar 2013
ECB consults on Guide on effective risk data aggregation and risk reporting, press release, Juli 2023
A new stage for European banking supervision, Keynote von Andrea Enria, Vorsitzender des Aufsichtsgremiums der EZB, 22. Handelsblatt Jahrestagung Bankenaufsicht, März 2023
ECB Banking Supervision: SSM supervisory priorities for 2023-2025, Dezember 2022

 

meist gelesen

meist gelesen
Banksteuerung

Diskutieren Sie mit

Sprechen Sie uns gerne an!

Dr. Frank Mrusek/ Autor BankingHub

Dr. Frank Mrusek

Senior Manager Office Berlin
Dorota Adamus / Autorin BankingHub

Dorota Adamus

Senior Consultant Office Warschau

Artikel teilen

Mehr zum Thema lesen

meist gelesen

meist gelesen
Banksteuerung

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Social Media

BankingHub auf LinkedIn BankingHub auf Threads BankingHub auf Instagram BankingHub auf Facebook
Linkedin Threads Instagram Facebook

Kategorien

BankingHub

Jetzt Vorsprung im Banking sichern!
Newsletter abonnieren

BankingHub-Newsletter

Analysen, Artikel sowie Interviews rund um Trends und Innovationen
im Banking alle 2 Wochen direkt in Ihr Postfach

Send this to a friend