[Für den englischen Artikel folgen Sie diesem Link.]
In den Jahren 2007-2008 hat die globale Finanzkrise die Unzulänglichkeiten der IT- und Datenarchitekturen systemrelevanter Institute im Finanzsystem aufgezeigt.
Vielen Banken fehlte die Fähigkeit, die Risikopositionen zu aggregieren und Risikokonzentrationen auf Gruppenebene und über Geschäftsbereiche und juristische Personen hinweg schnell und genau zu identifizieren.
Infolgedessen wurde die Möglichkeit, rechtzeitig Entscheidungen zu treffen, ernsthaft beeinträchtigt, was weitreichende Konsequenzen für die Banken selbst und den gesamten Finanzsektor hatte. Beispielsweise hatten die meisten Institute Schwierigkeiten, ihre tatsächlichen Risiken hinsichtlich der Insolvenz der Investmentbank Lehman Brothers und den weiteren Folgen in den Jahren 2007–2008 einzuschätzen, da die erforderlichen Schlüsselinformationen auf verschiedene Abteilungssysteme und -prozesse verteilt wurden. Diese umfassende Fragmentierung führte dazu, dass die relevanten Informationen über juristische Personen innerhalb einer Investmentbank nicht schnell zusammengefasst werden konnten.
Der Basler Ausschuss für Bankenaufsicht (BCBS) unternimmt nun Schritte, um sein Ziel der weltweiten Verbesserung der Finanzstabilität mithilfe der Bankenaufsicht umzusetzen.
Im Januar 2013 veröffentlichte der BCBS die Grundsätze zum Standard 239 zur effektiven Aggregation von Risikodaten und der Risikoberichterstattung (auch als BCBS 239 bezeichnet), um das Risikomanagement bei global systemrelevanten Banken (G-SIBs) durch verbesserte interne Risikoberichterstattung zu stärken.
Der BCBS bestätigt, dass die Abwicklungsbehörden einen zeitnahen Zugriff auf aggregierte Risikodaten benötigen, um die richtige Vorgehensweise zur Wiederherstellung der Finanzkraft und -rentabilität zu verstehen, wenn ein wichtiges Finanzinstitut einer erheblichen finanziellen Belastung ausgesetzt ist.
Im Fokus von BCBS 239 stehen global systemrelevante Banken (G-SIBs). Jedoch wird nachdrücklich empfohlen, dass die nationalen Aufsichtsbehörden diese Grundsätze auch für Banken, die seit drei Jahren als national systemrelevante Banken (D-SIBs) gelten, anwenden. Unternehmen, die in den Jahren 2011 und 2012 als G-SIBs eingestuft wurden, mussten die BCBS 239-Grundsätze bis Januar 2016 vollständig übernehmen. Der vom Basler Ausschuss veröffentlichte vierte Fortschrittsbericht stellte jedoch fest, dass nur ein G-SIB die Grundsätze innerhalb der Frist vollständig erfüllt hat.
Gemäß BCBS 239 können einige relevante Probleme wie folgt zusammengefasst werden:
- Unausgereifte Datenarchitektur und Infrastruktur
- Die Aggregation erfordert manuelle Prozesse, da die für die kritische Risikobewertung erforderlichen Daten aus mehreren Quellen stammen.
- Aufgrund der Ungenauigkeit der verfügbaren Daten haben Verantwortliche Risiken nicht erkannt.
- Aufgrund der schlechten Datenlage waren die Risikobewertungen unvollständig, was zu Misstrauen führte.
- Fehlende Definitionen von Rollen und Verantwortlichkeiten in Bezug auf wichtige Risikodaten, hauptsächlich aufgrund nicht vertikaler Eigentumsverhältnisse.
- Aufgrund der Unvollständigkeit und Undurchsichtigkeit der Daten wird der potentielle Wert der aggregierten Risikodaten – und damit auch das Potential der Kapitaloptimierung- nicht erkannt.
Die Risikodatenaggregation ist im Dokument BCBS 239 definiert als „Definieren, Sammeln und Verarbeiten von Risikodaten gemäß den Risikoberichtspflichten der Bank, um es der Bank zu ermöglichen, ihre Leistung an ihrer Risikotoleranz / ihrem Risikoappetit zu messen. Dazu gehört das Sortieren, Zusammenführen oder Aufteilen von Datensätzen“.
Die 14 Grundsätze des BCBS 239 decken vier eng miteinander verbundene Themen ab:
- Übergreifende Governance und Infrastruktur
- Risikodaten-Aggregationskapazitäten
- Risikoberichterstattung
- Überprüfung der Aufsicht, Instrumente und Zusammenarbeit
Grundsatz 1
Governance - Die Aggregationskapazitäten und Risikoberichterstattung einer Bank für Risikodaten sollten strengen Governance-Regelungen unterliegen, die mit den vom Baseler Ausschuss festgelegten Grundsätzen und Leitlinien in Einklang stehen.
Grundsatz 2
Datenarchitektur und IT-Infrastruktur - Eine Bank sollte eine Datenarchitektur und eine IT-Infrastruktur entwerfen, aufbauen und warten, die ihre Risikodaten-Aggregationskapazitäten und Risikoberichterstattung auch in Krisensituationen voll unterstützt. Dabei müssen stets alle Grundsätze eingehalten werden.
Grundsatz 3
Genauigkeit und Integrität - Eine Bank sollte in der Lage sein, akkurate und zuverlässige Risikodaten zu generieren, um die Anforderung der Korrektheit für reguläre und Stress- / Krisenberichte zu erfüllen. Die Daten sollten weitgehend automatisiert aggregiert werden, um die Wahrscheinlichkeit von Fehlern zu minimieren.
Grundsatz 4
Vollständigkeit - Eine Bank sollte in der Lage sein, alle wesentlichen Risikodaten innerhalb der Bankengruppe zu erfassen und zu aggregieren. Je nach Geschäftsbereich, juristischer Person, Art des Vermögenswerts, Branche, Region und anderen für das betreffende Risiko relevanten Gruppierungen sollten Daten verfügbar sein, die es ermöglichen, Risikopositionen, -konzentrationen sowie neu auftretende Risiken zu identifizieren und zu melden.
Grundsatz 5
Aktualität - Es sollte möglich sein, die Daten zeitnah zu generieren und gleichzeitig die Grundsätze in Bezug auf Genauigkeit und Integrität, Vollständigkeit und Anpassungsfähigkeit zu erfüllen. Die genaue Terminierung hängt von der Art und Volatilität des zu messenden Risikos und seiner Wesentlichkeit für das Risiko der gesamten Organisation ab.
Grundsatz 6
Anpassungsfähigkeit - Eine Bank sollte in der Lage sein, aggregierte Risikodaten zu generieren, um unterschiedliche Ad-hoc-Anfragen erfüllen zu können. Dazu zählen Anfragen in Stress- / Krisensituationen, Anfragen aufgrund geänderter interner Anforderungen und Anfragen und Anforderungen zur Erfüllung aufsichtsrechtlicher Fragen.
Grundsatz 7
Genauigkeit - Risikomanagementberichte sollten aggregierte Risikodaten und Risiken präzise darstellen und das Risiko genau wiedergeben. Einzelne Berichte müssen abgeglichen und validiert werden.
Grundsatz 8
Umfassend - Risikomanagementberichte müssen alle wesentlichen Risikobereiche der Organisation abdecken. Der Umfang und die Detailliertheit dieser Berichte sollten der Größe und Komplexität der Geschäftstätigkeit und des Risikoprofils der Bank sowie den Anforderungen der Adressaten entsprechen.
Grundsatz 9
Klarheit und Nutzen - Risikomanagementberichte sollten Informationen klar und präzise kommunizieren. Die Berichte sollten leicht verständlich und dennoch umfassend genug sein, um fundierte Entscheidungen treffen zu können. Die Berichte müssen relevante und aussagekräftige Informationen enthalten, die auf die Ansprüche der Adressaten abgestimmt sind.
Grundsatz 10
Häufigkeit - Der Verwaltungsrat und die Geschäftsleitung (oder gegebenenfalls andere Adressaten) haben die Häufigkeit der Erstellung und Verbreitung von Risikomanagementberichten festzulegen. Hierbei sind die Bedürfnisse der Adressaten, die Art der Risiken und die Geschwindigkeit, mit der sich das Risiko ändern kann, sowie die Bedeutung von Berichten für ein solides Risikomanagement und eine effektive und effiziente Entscheidungsfindung in der gesamten Bank zu berücksichtigen. Die Häufigkeit der Berichte ist in Stressphasen oder Krisen zu erhöhen.
Grundsatz 11
Verbreitung - Risikomanagementberichte sollten unter Wahrung der Vertraulichkeit an die relevanten Stellen verteilt werden.
Grundsatz 12
Überprüfung - Die Aufsichtsbehörden haben die Einhaltung der oben genannten elf Grundsätze durch eine Bank regelmäßig zu überprüfen und zu evaluieren.
Grundsatz 13
Korrektur- und aufsichtsrechtliche Maßnahmen - Die Aufsichtsbehörden sollten über die geeigneten Instrumente und Ressourcen verfügen, um wirksame und rechtzeitige Korrekturen einer Bank zur Behebung von Mängeln ihrer Risikodatenaggregationsfähigkeiten und Verfahren zur Risikoberichterstattung zu fordern, und diese einsetzen. Hierbei sollten der Aufsichtsbehörden unterschiedliche Instrumente zur Verfügung stehen, einschließlich Säule 2.
Grundsatz 14
Grenzüberschreitende Zusammenarbeit - Die Aufsichtsbehörden sollten mit den zuständigen Aufsichtsbehörden anderer Länder zusammenarbeiten, um die Grundsätze zu überwachen und zu überprüfen und bei möglichen Umsetzungen von Korrekturmaßnahmen zusammenarbeiten.
BCBS 239 legt fest, dass Banken integrierte Datentaxonomien und -architekturen für die gesamte Bankengruppe einrichten sollen. Dies umfasst Informationen zu den Metadaten und der Verwendung von einzelnen Kennungen sowie einheitliche Namenskonventionen für Daten, einschließlich juristischer Personen, Gegenparteien, Kunden und Konten. Dabei ist ein Wörterbuch der verwendeten Konzepte, in welchem Daten innerhalb einer Organisation einheitlich definiert werden, obligatorisch. Dies kann von Aufsehern als Grundlage verwendet werden, um die Genauigkeit der Daten zu messen und zu überwachen und gegebenenfalls geeignete Eskalationskanäle und Maßnahmen zu entwickeln, um eine schlechte Datenqualität zu korrigieren.
Die Risiken sollen dabei, je nach Art des Risikos, aus den korrekten Daten bezogen werden. Es ist jedoch erforderlich, die Risikodaten mit anderen Daten - einschließlich der Rechnungslegungsdaten - zu vergleichen, um sicherzustellen, dass die Risikodaten korrekt sind.
Nach BCBS 239 umfassen kritische Risiken, ohne darauf beschränkt zu sein, aggregierte Kreditengagements gegenüber großen Kreditnehmern, Adressenausfallrisiken (einschließlich beispielsweise Derivaten), Handelsrisiken, Positionen und Betriebsgrenzen, Liquidität und betriebliche Überlegungen, die zeitlich relevant und kritisch sind (z. B. Systemverfügbarkeit und unbefugter Zugriff). Die Aufsichtsbehörden erwarten, dass die Banken die Anforderung der Genauigkeit analog zur Wesentlichkeit der Rechnungslegung berücksichtigen. Wenn beispielsweise fehlende oder falsche Angaben die Risikoentscheidungen der Benutzer beeinflussen könnten, ist dies als wesentlich einzustufen.
Einhaltung von BCBS 239
Da es sich bei BCBS 239 um eine Vorschrift handelt, die auf Grundsätzen basiert, gibt es nur wenige eindeutige und vordefinierte Maßstäbe, anhand derer die Banken in ihrem Geltungsbereich die Einhaltung der Vorschrift überwachen können. Es ist daher von entscheidender Bedeutung, dass die Banken in der Lage sind, den Grad ihrer Einhaltung und die erforderlichen Maßnahmen zu bewerten, um dies bei Bedarf zu verbessern. Die Aufsichtsbehörden betrachten die Einhaltung von BCBS 239 aus mehreren Blickwinkeln - letztendlich eine Erkenntnis, dass diese Vorschrift, insbesondere seit der Krise, viele Aspekte der regulatorischen Reformlandschaft betrifft. Daher ist BCBS 239 als Mittelpunkt der regulatorischen Transformationsprogramme zu betrachten.
Ein Fehlen von kompatiblen Lösungen für Datenmanagement, Data Governance und der Abstimmung von Risiko, Finanzen und Geschäft führt zu einer Änderung der Art und Weise, wie Risiken modelliert und bewertet werden und letztendlich zu einer erheblichen Steigerung des Kapitalbedarfs.
Im Gegensatz zu vielen anderen Finanzvorschriften gibt es keine fest definierten Strafen oder Konsequenzen, wenn die Grundsätze nicht eingehalten werden und die Dateninfrastruktur nicht an die Erwartungen von BCBS 239 angepasst wird.
Mögliche Konsequenzen könnten sein:
- Strafen und erhöhte Kapitalaufschläge;
- Reputationsrisiko;
- Verlust von Wettbewerbsvorteilen.
BCBS 239 betrifft die grundlegenden Daten, die erforderlich sind, um ein Finanzinstitut auf risikoarme Weise angemessen zu verwalten und zu führen.
Es wird formal die regulatorische Erwartung definiert, dass Banken eine Reihe von Datengrundsätzen erfüllen müssen. Die Einhaltung der Grundsätze bietet Banken die Möglichkeit, ihre Geschäfte zu optimieren, indem sie die Daten besser nutzen und auf der Grundlage der gewonnenen Erkenntnisse fundierte Geschäftsentscheidungen treffen. Im Vergleich zu Wettbewerbern kann die Nichteinhaltung von BCBS 239 daher einen Verlust von Wettbewerbsvorteilen bedeuten.
2016 startete die Europäische Zentralbank eine thematische Überprüfung der effektiven Risikodatenaggregation und Risikoberichterstattung auf der Grundlage einer Stichprobe von 25 bedeutenden Instituten. Dabei wurde eine eingehende Bewertung der für jedes Institut relevanten übergreifenden Governance, Risikodatenaggregationsfähigkeiten und Risikoberichterstattung der Institute vorgenommen.
Die vom Basler Ausschuss für Bankenaufsicht (BCBS) entwickelten Grundsätze für eine effektive Risikodatenaggregation und Risikoberichterstattung wurden als Benchmark für Best Practices herangezogen.
Der Abschlussbericht wurde im Mai 2018 veröffentlicht und warf mehrere Bedenken auf, die auch zeigten, dass die Funktionen zur Aggregation von Risikodaten und die Risikoberichterstattung in der Stichprobe bedeutender Institute nicht zufriedenstellend waren.
Zusammenfassend ist ein umfassendes Risikomanagement und eine angemessene Entscheidungsfindung bei Banken zu etablieren, was eine verlässliche Datengrundlage voraussetzt.
Initiativen von Banken, um gemeinsam auf integrierte Berichtslösungen, wie z.B. ein einheitliches Organisationsdesign für die konzernweite Datenverwaltung, eine einheitliche maßgebliche Quelle für Risikomanagement- und Regulierungszwecke, Abstimmung nach Design, hinzuarbeiten, werden als bewährte Verfahren angesehen, deren Implementierung von den Aufsichtsbehörden ermutigt wird.
Beeinflussen die Prinzipien von BCBS 239 Ihre täglichen Aktivitäten und Entscheidungen? Unsere Experten beraten und unterstützen Sie bei der Umsetzung.