Eine wesentliche Erkenntnis, der in 2007 einsetzenden globalen Finanzkrise war, dass die Informationstechnologie- (IT) und Datenarchitektur der Banken für die umfassende Steuerung finanzieller Risiken oft nicht geeignet ist. So waren viele Banken nicht in der Lage, ihre Risikopositionen zu aggregieren und Konzentrationen auf Konzernebene sowie über Geschäftsfelder und Konzerngesellschaften hinweg rasch und präzise zu identifizieren.
Aufgrund unzureichender Aggregationskapazitäten und Verfahren zur Risikoberichterstattung konnten manche Banken ihre Risiken nicht ordnungsgemäß steuern.

BCBS239Der Basler Ausschuss reagierte mit der Verschärfung der Anforderungen gemäß Säule 2 (Aufsichtsrechtliches Überprüfungsverfahren), um Banken zu befähigen, bankweite Risiken besser zu erkennen und zu steuern. Der Basler Ausschuss bezog außerdem Richtlinien zur Aggregation von Risikodaten in seine Empfehlungen zur Unternehmensführung mit ein.

Im Januar 2013 hat das Basel Committee on Banking die „Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung“ (BCBS 239) veröffentlicht.

Damit wird das Ziel verfolgt, die Datenhaltung und die Reportingsysteme zu verbessern und so wesentliche Voraussetzungen für ein funktionierendes Risikomanagement zu schaffen. Somit liegen erstmals konkrete regulatorische Anforderungen an die IT Architektur und das Datenmanagement in Banken vor. Damit wird eine übergreifende Sicht über die Daten und  Prozesse gewährleistet. Neben den umfangreichen Auswirkungen auf die IT wird die Regelung auch auf die Aufbau- und  Ablauforganisation des gesamten Risikomanagements in Banken abstrahlen. In diesem Zusammenhang müssen Banken deutlich höhere Standards hinsichtlich der Qualität und Konsistenz ihrer Risikodaten setzen. Aber auch im Bezug auf die Geschwindigkeit und Flexibilität ihres Reportings werden höhere Standards erwartet. Darüber hinaus sollte die Verantwortung für  die Einhaltung aller Standards auf Vorstandsebene angesiedelt sein.

Von der neuen Regelung BCBS 239 sind vier Themenbereiche betroffen:

1. Governance und Infrastruktur
Die Datenqualität liegt in der Verantwortung von Vorstand und Senior Management mit dem Ziel, korrekte Risikodaten unabhängig von organisatorischen Grenzen zu generieren. Hierzu gehört die Sicherstellung der effektiven IT Unterstützung der Risikodaten-Aggregation und des Reportings - im Besonderen in Krisen und Stresszeiten.

2. Risikodaten Aggregation
Es wird die weitgehend automatisierte Generierung von korrekten, vollständigen und qualitätsgesicherten Risikodaten gefordert. Dabei ist sicherzustellen, dass die Risikodaten-Aggregation zeitnah erfolgen kann. Darüber hinaus sind für die Flexibilität und Skalierbarkeit der Risikodaten-Aggregation im Adhoc Reporting und bei der Erfüllung aufsichtsrechtlicher Berichtsanforderungen (besonders in Krisenzeiten) geeignete Maßnahmen zu ergreifen.

3. Risikoberichterstattung
Hier sind geeignete Maßnahmen zu ergreifen, die die zeitnahe Erstellung und Verteilung validierter Risikoberichte, die Integration aller materiellen Risikofelder und die Verständlichkeit des Risikoreportings für alle relevanten Adressaten gewährleisten. Darüber hinaus ist eine transparente Darstellung der Schwachstellen und Grenzen des Risikoreportings sicherzustellen, damit diese bei Entscheidungen berücksichtigt werden können.

4. Aufsichtsrechtliche Überprüfung (Empfehlung an die nationalen Aufseher)
An die nationalen Aufsichtsbehörden werden im Wesentlichen drei Empfehlungen ausgesprochen. Dabei handelt es sich um

  • die regelmäßige Überprüfung und Überwachung der Einhaltung der Grundsätze
  • Nutzung geeigneter Werkzeuge für die Audits und Sanktionsmaßnahmen der Aufsicht (z.B. Beschränkung von Wachstum zur Reduktion von Risiken)
  • Sicherstellung einer grenzüberschreitende Zusammenarbeit der Aufsichtsbehörden

Daraus ergeben sich vier wesentliche Handlungsfelder im Bereich der IT-Architektur, dem Daten-Qualitätsmanagement, dem Risikoreporting und der Organisation des IT Managements.

1. IT-Architektur
Hierunter fallen die konzernweite Überführbarkeit der Risikodatenmodelle mit einheitlichen Namenskonventionen auf einem konzernweit einheitlichen Detaillierungsgrad der Daten. Dabei ist auf die Abstimmbarkeit von Risiko- und Accountingdaten sowie einen konzernweit hohen Automatisierungsgrad zu achten. Manuelle Prozesse sollen eine Ausnahme darstellen. Es soll angestrebt sein, die Prozesse auf Basis einer „Single Source“ für Risikodaten zu realisieren.

2. Maßnahmen für die Datenqualität
Zu implementieren ist ein leistungsfähiges Datenqualitätsmanagement mit automatischen Messverfahren und Eskalationsprozeduren, basierend auf einer umfassenden Data Governance Architektur für alle Risikodaten mit verteilten Zuständigkeiten in IT und Business. Zu berücksichtigen ist dabei neben der Dokumentation der Reporting- und Abstimmungsprozesse auch die Integration maschineller und manueller Qualitätskontrollen im Berichtsprozess.

3. Risikoreporting
Im Rahmen des Risikoreportings sind geeignete Simulations- und Frühwarnmechanismen zu implementieren und deren Reporting zeitnah und flexibel sicherzustellen. Ziel ist ein inhaltlich vollumfängliches und qualitätsgesichertes Risikoreporting.

4. Organisations- und IT-Management
Die Einhaltung der Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung sind in der IT Strategie und Entwicklungsplanung zu berücksichtigen. Erwartet wird darüber hinaus eine regelmäßige unabhängige Validierung der Einhaltung dieser Standards und Verankerung im Business Continuity Management.


Unsere Kompetenz
Die Anforderungen, die durch BCBS 239 gestellt werden, haben einen großen Einfluss auf die bestehenden und neu zu implementierenden BI Plattformen und Data Warehouses. Dies betrifft im Besonderen die Handlungsfelder 1,2 und 3. Heute schon werden die Risikoberichte oft über BI Plattformen realisiert. Jedoch sind Maßnahmen hinsichtlich der Datenqualität und Data Governance oft nur halbherzig implementiert. Darüber hinaus stellen die Anforderungen an den Detaillierungsgrad der risikorelevanten Daten, den Automatisierungsgrad und die Skalierbarkeit hohe Anforderungen an die Data Warehouse Architektur und erfordern bei vielen Banken hohe Anpassungsaufwände.

INFORMATION WORS verfügt über umfassendes Know-how für den Aufbau eines Risikoreportings über Business Intelligence Lösungen. Dies betrifft im Besonderen die Umsetzung hochgradig automatisierter Prozesslandschaften unter Berücksichtigung der Anforderungen an Verfügbarkeit, Verbindlichkeit und Vertraulichkeit von Daten sowie der Nachvollziehbarkeit und Transparenz von Prozessen. So zeigen z.B. erprobte etlWORKS Konzepte Best Practices für unterschiedliche Technologien auf.

Neben der Umsetzungskompetenz verfügt INFORMATION WORKS auch über etablierte Beratungsansätze für den Aufbau von BI Aufbauorganisationen und Data Governance Strukturen. Der Ausbau von Data Governance Strukturen wird dabei gestützt durch Best Practice Architekturen für Daten- und Informationsqualität.

Möchten Sie mehr über unser Angebot erfahren? Sprechen Sie uns an.