BCBS 239 – Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung

22 Oktober, 2018

Globale Finanzkrise 2008/2009 traf viele Banken unvorbereitet

Die globale Finanzkrise hat gezeigt: Vielen Banken war es nicht möglich, Risikodaten in angemessener Zeit so zu aggregieren und auszuwerten, dass sie die Risiken ordnungsgemäß hätten steuern können. Als Reaktion auf die Finanzkrise veröffentlichte der Baseler Ausschuss für Bankenaufsicht im Januar 2013 die finale Fassung der „Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung“.

Dabei hat sich die Compliance in den letzten Jahren aufgrund der Komplexität und stetig steigender Anforderungen kaum merklich verbessert. In unserer Zusammenfassung des 5. Fortschrittsbericht geben wir einen Überblick über den aktuellen Compliance Grad der Risikodatenaggregation und Risikoberichterstattung in 30 G-SiBs.


Download 5. Fortschrittsbericht, PDF (242 KB)

BCBS 239: Effektive Aggregation von Risikodaten - Kollegen beraten

Was bedeutet BCBS 239 für die Banken?

Regulatorische Anforderungen an Banken steigen

Mit den Grundsätzen für die effektive Aggregation von Risikodaten und die Risikoberichterstattung (BCBS 239) verschärft der Baseler Ausschuss die regulatorischen Anforderungen an Banken. BCBS 239 richtet sich an Banken und besteht aus relevanten, eher allgemein formulierten Grundsätzen, die sich auf die Gesamtunternehmensführung und Infrastruktur, die Risikodatenaggregationskapazitäten und die Risikoberichterstattung beziehen. Darüber hinaus werden vier Grundsätze formuliert, die die Anforderungen an die Aufsicht hinsichtlich Überprüfung und Einhaltung der regulatorischen Anforderungen in den Banken selbst festlegen. Wir haben im November 2017 ein Positionspapier zu BCBS 239 geschrieben, das das Thema umfassend beleuchtet und einen internationalen Überblick zur Umsetzung gibt.
 

Zum Positionspapier, PDF (3,2 MB, en)

Welche Herausforderungen und Chancen birgt BCBS 239 für Banken?

Reduktion manueller Aufwände für die interne Berichterstattung

In der Praxis ging man zunächst von einer dreijährigen Umsetzungsfrist aus. Die Erfahrungen im Markt zeigen allerdings, dass viele Banken faktisch größere Investitionen tätigen und Projektlaufzeiten von eher fünf oder sechs Jahren die Norm sind. Ursächlich hierfür sind einerseits die bankspezifisch zu interpretierenden, ressortübergreifenden Grundsätze, wie auch der häufig notwendige Umbau der IT- und Datenarchitektur. Um neben den Kosten zur Einhaltung der Regulation weitere Nutzenpotenziale zu erschließen, beginnen viele Banken damit, zusehends fachliche und technische Chancen aus BCBS 239 zu realisieren. Insbesondere die Reduktion manueller Aufwände für die interne Berichterstattung, deutliche Beschleunigung wie auch verbesserte Analyse- und Prognosefähigkeit und nicht zuletzt einfache Überleitbarkeit zwischen Datentöpfen sind hier zu nennen. Darüber hinaus beginnen einige Banken damit, die Standards von BCBS 239 auch auf marktnähere Bereiche zu übertragen, wie z. B. bei Kundendaten.

Wie kann PwC Sie bei der Umsetzung von BCBS 239 unterstützen?

„Best practices“ und Neuigkeiten zur Auslegung der Aufsichtsbehörden

PwC unterstützt seit 2013 zahlreiche Banken in Deutschland, Europa und weltweit dabei, BCBS 239 regulatorisch sauber und gleichzeitig angemessen umzusetzen. Unsere Experten haben gemeinsame Lösungsansätze für die durch BCBS 239 aufgeworfenen Probleme entwickelt und tauschen sich regelmäßig zu „best practices“ sowie Neuigkeiten zur Auslegung der Aufsichtsbehörden aus. Wir haben mehr als 50 Referenzprojekte umgesetzt und unterstützen Finanzinstitute dabei, nicht nur Compliance herzustellen, sondern auch bei der strategischen Weiterentwicklung des Datenmanagement und der Risikoberichterstattung. Treten Sie gerne mit uns oder unseren Kunden in Kontakt und überzeugen Sie sich direkt von unserer Leistungsfähigkeit.

Kontaktieren Sie jetzt unsere Experten

Relevanz, Herausforderungen und Spielräume von BCBS 239

Relevanz für deutsche Banken über (aktuelle) MaRisk

Mit der MaRisk-Novelle vom 27. Oktober 2017 haben die im Januar 2013 veröffentlichten „Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung“ (BCBS 239) im Wesentlichen unverändert Eingang in die unmittelbaren aufsichtsrechtlichen Vorgaben für deutsche Kreditinstitute gefunden. AT 4.3.4 adressiert die Grundsätze 1 bis 6 und richtet sich nur an systemrelevante Institutsgruppen und ihre wesentlichen Einzelinstitute. Sofern es sich dabei nicht um global, sondern um anderweitig systemrelevante Institute handelt, wird ihnen nach ihrer Einstufung eine Umsetzungsfrist von drei Jahren gewährt. BT 3 gilt für alle Institute und entspricht in etwa den Grundsätzen 7 bis 11. Da dieser Teil von BCBS 239 inhaltlich jedoch auf den vorangehenden Teilen beruht, sollten sich auch nicht systemrelevante Institute mit den Anforderungen aus AT 4.3.4 befassen, wie im Anschreiben zur MaRisk-Novelle angeregt. Für neue Anforderungen gilt eine Umsetzung bis 31.10.2018; Anforderungen, die lediglich einer Klarstellung entsprechen, gelten mit Zeitpunkt der Veröffentlichung der MaRisk.

Die neue Fassung der MaRisk überführt die Anforderungen aus BCBS 239 in deutsches Recht

MaRisk im Kontext BCBS 239: Schwerpunkte der durch die BaFin veröffentlichte MaRisk sind insbesondere Anforderungen im Kontext BCBS 239 mit der Überarbeitung beziehungsweise Neueinführung der Module BT 3, Risikoberichterstattung, AT 4.3.4 und Risikodatenaggregationsfähigkeiten. Weitere Schwerpunkte der aktuellen MaRisk-Novelle sind insbesondere Klarstellungen zum Thema Risikokultur und zu Auslagerungen.

BT 3 Risikoberichterstattung

  • Abdeckung der Prinzipien 7 bis 11 des BCBS 239 Grundsatzpapiers
  • Allerdings werden in diesem Rahmen auch Anforderungen an die Datenqualität sowie auf eine möglichst zeitnahe Bereitstellung der Risikoberichte (automatisiert) formuliert
  • Neu ist die Anforderung der quartärlichen, sowie Ad-hoc-Berichterstattung von Geschäftsleitung an das Aufsichtsorgan über die aktuelle Risikosituation
  • Nicht direkt abgedeckt ist die Anforderung der empfängergerechten (Formulierung von Anforderungen durch die Berichtsempfänger) Risikoberichterstattung

AT 4.3.4 Datenmanagement, Datenqualität und Aggregation von Risikodaten

  • Abdeckung der Prinzipien 1 bis 6 des BCBS 239 Grundsatzpapiers
  • Keine wesentlichen Unterschiede der MaRisk gegenüber BCBS 239 identifizierbar. Ergänzend sind insbesondere AT 4.2 Strategien; AT9 Auslagerungen zu berücksichtigen
  • Auch wenn AT 4.3.4 nur für ausgewählte Institute gilt, merkt die BaFin an, dass die sonstigen Institute ein Eigeninteresse an der Weiterentwicklung ihrer Risikodatenaggregationsfähigkeiten haben sollten
  • Berücksichtigung der Klarstellungen in AT 7 zu IT-Risiken, des AT 4.2 zu Strategien und des AT 9 zu Auslagerungen

View more

Fokus der Aufsicht und Erreichen von Compliance als Herausforderung

Ursprünglich zielte BCBS 239 und mithin die relevanten Abschnitte der neuen MaRisk zunächst auf die internen Berichte, auf dessen Basis ein Kreditinstitut seine Risiken steuert, ab. Im Rahmen der zweiten thematischen Überprüfung zu BCBS 239 Anfang 2017 machte die EZB allerdings deutlich, dass sie die Grundsätze auch als einen geeigneten Maßstab zur Bewertung des aufsichtsrechtlichen Meldewesens und der öffentlichen Berichterstattung erachtet (siehe 4. Fortschrittsbericht – BCBS 399). Der Baseler Ausschuss für Bankenaufsicht selbst hat insgesamt fünf Berichte (BCBS 268, 308, 348, 399 und 443) zum Umsetzungsfortschritt von BCBS 239 in den global systemrelevanten Banken veröffentlicht; in den letzten beiden Fortschrittsberichten (BCBS 399 und 433) von 2017 bzw. 2018 wurde die Sichtweise der EZB nochmals explizit bestätigt. 

Lesen Sie unsere Zusammenfassung des 4. Fortschrittberichts (BCBS 399)
Lesen Sie dazu auch unseren 5. Fortschrittsbericht (BCBS 239)

BCBS 239 lässt Interpretationsspielraum

Bezeichnung: Größtenteils compliant
Mögliche Übersetzungen:

  • Formulierungen aus dem Questionnaire des Baseler Komitees, der den Ist-Zustand abfragt; häufig als standardisiertes Bewertungssystem für die Grundsätze genutzt
  • An eine „3er“-Bewertung angepasst und definiert als „nur geringfügiger Handlungsbedarf nötig, um vollkommene Compliance mit dem Grundsatz/der Anforderung zu erreichen“

Bezeichnung: Grundlegende Compliance
Mögliche Übersetzung:

  • Normalerweise gleichbedeutend mit „größtenteils compliant“; dennoch haben viele Banken diesen Begriff in einer priorisierten Abstufung des Scopes zur vollkommenen Compliance angewendet

Bezeichnung: Vollkommen compliant
Mögliche Übersetzungen:

  • Terminologie, die in den Baseler Bewertungen für eine „4er“-Bewertung genutzt wird; definiert als „das Ziel des Grundsatzes/der Anforderung wird mit der existierenden Architektur sowie den existierenden Prozessen vollständig erreicht“
  • Führte zu erheblichen Diskussionen innerhalb der Banken, da es keinen gemeinsam vereinbarten Compliance Richtwert gibt und es nicht praxistauglich ist eine 100-prozentige Compliance zu erzielen

Bezeichnung: Compliance
Mögliche Übersetzungen:

  • Aufgrund der absoluten Bedeutung der Bewertung „vollkommene“ Compliance wird dieser Begriff von manchen Banken nicht mehr verwendet. Stattdessen wird nun vom „Erreichen der Compliance“ oder – in manchen Fällen – vom „Einhalten der Grundsätze“ gesprochen
  • Durch die Aufsicht werden Banken voraussichtlich weiterhin an das Baseler Bewertungssystem gebunden sein, obwohl das neue Konzept durchaus nachvollziehbar ist

Bezeichnung: Fortlaufend
Mögliche Übersetzungen:

  • Eine Interpretation, die besagt, dass Banken in der Lage sein müssen zu bescheinigen, dass Auffälligkeiten zeitnah bearbeitet werden und der Scope auf weitere Abteilungen der Organisation erweitert wird – und das als reguläre Aktivität, nicht als formeller Change Request
  • Ein sich abzeichnender Trend in einigen europäischen Banken ist das Ausmaß im Einsatz von taktischen, kurzzeitigen Lösungen für vollkommene Compliance anstelle von strategischen, langfristigen Lösungen
  • Viele Banken haben inzwischen  IT-Transformationsprogramme, die über den Zeithorizont der BCBS 239 Deadlines hinausgehen. Sie treiben das Konzept der stetigen Verbesserung für solche Erweiterungen voran, anstatt einen vollständigen Abschluss der Aktivitäten zu erwarten, wenn vollkommene Compliance deklariert wird

Insofern ist BCBS 239 nicht einfach umzusetzen, sondern es ermutigt vielmehr, sich mit einer konkreten und für die Bank passenden Interpretation auseinander zu setzen. Die für das Haus gefundene Auslegung sollte aktuelle BCBS-239-Marktpraxis (Erfahrungen anderer Banken und aufsichtlicher Sichtweisen) reflektieren beziehungsweise zukünftig intensiv mit dem Abschlussprüfer abgestimmt werden.

View more

Auslegungen/Spielräume nutzen und von der bisherigen BCBS-239-Marktpraxis profitieren

Die Anforderungen in BCBS 239 wurden – vergleichbar mit denen der MaRisk insgesamt – bewusst allgemein gehalten, um auf eine Vielzahl unterschiedlicher Institutsprofile anwendbar zu sein. Jedes Kreditinstitut muss daher zunächst für sich selbst eine ihrer Geschäftstätigkeit und ihrem Risikoprofil angemessene Auslegung finden, mögliche Handlungsbedarfe identifizieren und entsprechende Umsetzungsmaßnahmen ableiten. Da davon auszugehen ist, dass dieser Transformationsprozess in den meisten Fällen nicht nur umfangreich ist, sondern über die nächsten Jahre betrachtet einer sich erst allmählich entwickelnden und verändernden prüferischen Auslegungspraxis unterliegt, ist eine explizite und anpassungsfähige Dokumentation empfehlenswert. Die Wege zur Erreichung der Compliance sind vielfältig und hängen nicht nur von der Größe der Institute und der Komplexität der vorhandenen System- und Prozessarchitekturen, sondern auch vom jeweiligen Ambitionsniveau ab. Dennoch zeichnen sich oft vergleichbare Lösungskomponenten ab:

  1. Qualitätsgesicherte Daten stehen mittels Data Lakes oder zentralen Data Warehouses institutsweit zur Verfügung;
  2. darauf aufbauende moderne Business Intelligence Tools ermöglichen hochautomatisierte Berichterstellungsprozesse – insbesondere in Stressphasen und Krisen;
  3. Data Dictionaries dokumentieren die fachlichen und technischen Zusammenhänge zwischen Datenelementen – von den Datenquellen bis in die Berichte;
  4. aufgrund umfassender Kontrollen können Aussagen zur Qualität einzelner Datenelemente und insbesondere den Berichtskennzahlen getroffen werden.
  5. Rollen und Verantwortlichkeiten im Datenmanagement sowie für die Risikoberichterstattung sind in Rahmenwerken verbindlich festgeschrieben;
  6. sowohl die einzelnen risikosteuerungsrelevanten Berichte wie auch die gesamte Berichtslandschaft unterliegen einem regelmäßigen Überprüfungs- und Anpassungsprozess.

 

[1] Der Anwendungskreis der O-SIIs umfasst in Deutschland 14 Institute. Hierzu gehören neben den großen deutschen Geschäftsbanken unter anderem Landesbanken sowie die Tochtergesellschaften ausländischer Institute. Welche Institute als O-SII gelten, wird jährlich durch die EBA überprüft. Eine aktuelle Übersicht kann über folgenden Link abgerufen werden: http://www.eba.europa.eu/risk-analysis-and-data/other-systemically-important-institutions-o-siis-/2016

View more

Contact us

Dirk Kayser

Partner, PwC Germany

Tel.: +49 69 9585-5505

Dr. Sami Khiari

Partner, PwC Germany

Tel.: +49 30 2636-1453

Follow us