BCBS 239. Principles for effective risk data aggregation and risk reporting. Überblick und Handlungsfelder PPI AG. Inhalt.

Größe: px

Ab Seite anzeigen:

Download "BCBS 239. Principles for effective risk data aggregation and risk reporting. Überblick und Handlungsfelder PPI AG. Inhalt."

Karlheinz Fuchs
vor 8 Jahren
Abrufe

1 BCBS 239 Principles for effective risk data aggregation and risk reporting Überblick und Handlungsfelder PPI AG Inhalt Mai 2014

2 Künftig müssen Risikoberichte exakt, vollständig, schnell und nützlich sein One of the most significant lessons learned from the global financial crisis ( ) was that banks information technology (IT) and data architectures were inadequate to support the broad management of financial risks. (BCBS 239 Tz. 1) BCBS 239 genau vollständig zeitnah nützlich Supervisors expect banks to consider accuracy requirements analogous to accounting materiality. (Tz. 56)..in times of stress/crisis all relevant and critical credit, market and liquidity position/exposure reports are available (Tz. 71) Supervisors expect [ ] reports are available within a very short period of time (Tz. 71) To manage risk effectively, the right information needs to be presented to the right people at the right time. (Tz. 51) BCBS 239 Principles for effective risk data aggregation and risk reporting formuliert zum ersten Mal aufsichtliche Anforderungen an die Datenaggregation und Risikoberichtserstattung von Banken 1

1) BCBS 239 genau vollständig zeitnah nützlich Supervisors expect banks to consider accuracy requirements analogous to accounting materiality. (Tz. 56).

3 BCBS239 verlangt innerhalb eines kurzen Zeitraums umfangreiche Verbesserungsmaßnahmen 01/13: BCBS 239 Veröffentlichung Konsultationspapier 12/13: BCBS 268 Selbsteinschätzung von Instituten 01/16: BCBS 239 tritt in Kraft 1) Status Quo Gesamtbankrisikobericht 1x im Quartal Bis zur Vorlage beim Vorstand können bis zu 2 Monate vergehen. Risikozahlen/Datenreihen werden häufig vom Anwender selbst berechnet. Rechnen und Kommentieren in Silos Kommentare sind Inseln im Report. Risikoberichte werden mit hohem manuellen Aufwand erstellt. Excel/Access ist zentrales Tool zur Aggregation und Weiterverarbeitung. Hauptteil der Arbeit ist Datenerhebung und Qualitätssicherung. zeitnah konsistent zentral automatisch valide Zielbild Gesamtbankrisikobericht monatlich Vorlage beim Vorstand spätestens 10 Tage nach dem Reportingstichtag. Risikozahlen/Datenreihen sind unternehmenseinheitlich definiert. Stammdaten, Kennzahlen und Kommentare werden im zentralen DWH vorgehalten Risikoberichte werden auf Knopfdruck erstellt. Excel wird nur zur Präsentation, nicht zur Kalkulation verwendet. Risikocontroller sind hauptsächlich mit der Datenanalyse beschäftigt. 1) Inkrafttreten der Vorschriften für G-SIBs, für D-SIB 3 Jahre nach D-SIB Status, alle weiteren Institute im Ermessen der nationalen Aufsicht 2

Risikozahlen/Datenreihen werden häufig vom Anwender selbst berechnet. Rechnen und Kommentieren in Silos Kommentare sind Inseln im Report. Risikoberichte werden mit hohem manuellen Aufwand erstellt.

4 BCBS 239 bündelt eine Vielzahl von Anforderungen und Grundsätzen in vier Bereiche BCBS 239 ist in vier Bereiche strukturiert hiervon sind drei relevant für bankinterne Strukturen und, der vierte adressiert die Kommunikation mit der Aufsicht. Jeder Bereich untergliedert sich in weiter einzelne Grundsätze G3 G4 G5 G6 G7 G8 G9 Grundsätze Aggregationskapazität Genauigkeit und Integrität Vollständigkeit Aktualität Anpassungsfähigkeit Grundsätze Risikoberichterstattung Genauigkeit Umfassender Charakter Klarheit und Nutzen G10 Häufigkeit G11 Verbreitung Aggregationskapazität Risikoberichterstattung BCBS 239 Governance & Dateninfrastruktur aufsichtliche Überprüfungen, Instrumente & Zusammenarbeit Grundsätze Governance & Dateninfrastruktur G1 G2 Governance Datenarchitektur & IT-Infrastruktur BCBS 239 3

Jeder Bereich untergliedert sich in weiter einzelne Grundsätze G3 G4 G5 G6 G7 G8 G9 Grundsätze Aggregationskapazität Genauigkeit und Integrität Vollständigkeit Aktualität Anpassungsfähigkeit

5 Das Ziel der Aufsicht ist es, das Management von Risikodaten in der Organisationsstruktur zu verankern Anforderungen an die Risikoberichterstattung Feedback, ob Berichte relevant und angemessen sind Fachbereich Formuliert Rechenvorschriften und Validierungsregeln Fachlicher Abgleich von Risikoberichten Erstellt weitgehend automatisierte Risikobericht Kommentiert die Risikosituation Führt Backtesting von Modellergebnissen durch forward looking risk assessment (z.b. Stress Test) Verantwortlich für die Einhaltung von Qualitätsstandards Etabliert den Steuerungsrahmen (Data Governance) in der Organisation Kennt die Einschränkungen in der Datenqualität Datenlieferung fachliche Anforderungen Vorstand IT Erstellt ein institutsweit konsistentes logisches Datenschema Führt Risikodaten systemübergreifend zusammen Etabliert /überwacht automatisierte DQ- Sicherungsprozesse Zielbild: single trusted source of risk data Meldung von Datenmängeln Information und Eskalation von Datenmängeln Data Governance Board Zuständig für die Qualität der Risikodaten Definiert Grundsätze für das Datenmanagement Monitoring der Einhaltung der Grundsätze Koordiniert die Validierung der Datenprozesse mit den übrigen Prüfverfahren (z.b. IKS) Richtet Kontrollen entlang des gesamten Datenzyklus ein Misst die Datenqualität und etabliert kontinuierlichen Verbesserungsprozess 4

6 Der Fortschrittsbericht BCBS 268 stellt jedoch erhebliche Gaps fest und unterstreicht den Handlungsdruck Gaps Governance und Infrastruktur (i) formal and documented risk data aggregation frameworks; (ii) comprehensive data dictionaries that are used consistently by all group entities; (iii) a comprehensive policy governing data quality controls; and (iv) controls through the life cycle of data. Gaps Aggregationskapazität The banks also need to ensure that the data quality checks supporting their risk data are as robust as those supporting their accounting data. Adaptability was one of the lowest-rated principles in this category G1: Governance G2: Datenarchitektur & Infrastruktur G3: Genauigkeit und Integrität G4: Vollständigkeit G5: Aktualität G6: Anpassungsfähigkeit 100% 75% 50% 25% 0% G1 G2 G3 G3 G5 G6 materially noncompliant largely compliant Fully compliant 5

Gaps Aggregationskapazität The banks also need to ensure that the data quality checks supporting their risk data are as robust as those supporting their accounting data.

7 Die Anpassungen aufgrund der formulierten Grundsätze können in vier Handlungsstränge gebündelt werden Status Quo Dokumentation Governance Architektur BCBS 239 konformes Zielbild Grundsatz Dokumentation Governance Architektur G1 G2 G3 G4 G5 G6 G7 G8 G9 Governance Datenarchitektur &IT-Infrastr. Genauigkeit und Integrität Vollständigkeit Aktualität Anpassungsfähigkeit Genauigkeit Umfassender Charakter Klarheit und Nutzen G10 Häufigkeit G11 Verbreitung 6

G1 G2 G3 G4 G5 G6 G7 G8 G9 Governance Datenarchitektur &IT-Infrastr.

8 Die Projektaktivitäten in den Handlungssträngen haben unterschiedliche Zeithorizonte Dokumentation Governance Infrastruktur kurzfristig Harmonisierung Prototypische Begriffsdefinitionen Einführung Rollen, Organisationstruktur, Vorgaben für Dokumentation & Angleichung bestehender Prototyping auf ausgewählten Strecken Dokumentations- Infrastruktur mittelfristig Konsistente Begriffswelt Roll-Out der neuen Vorgaben auf Basis der Ziel-Infrastruktur Policy für Monitoring & Assessment Roll-out operative Migration manueller IT-Rahmen für IDV- Anwendungen Automatisierung einzelner manueller langfristig Etablierung Data Governance Kultur Einführung eines Feedbackzyklus Ablösung der IDV- Anwendungen Eine Datenquelle pro Risikoart 7

mittelfristig Konsistente Begriffswelt Roll-Out der neuen Vorgaben auf Basis der Ziel-Infrastruktur Policy für Monitoring & Assessment Roll-out operative Migration manueller

9 Um ein BCBS 239 Projekt bedarfsgerecht zu planen, muss mit einer entsprechenden Vorstudie begonnen werden Erster Schritt ist die Aufnahme der Ist-Situation, eine Gap-Analyse und dies Erstellung einer bedarfsspezifischen Roadmap, aus der sich die nachfolgenden Projektaktivitäten ableiten kurzfristig mittelfristig langfristig Steuerung Roadmap Verzahnung mit Infrastrukturprojekten Dokumentation Harmonisierung Prototypische Begriffsdefinition konsistente Begriffswelt Roll-Out der Vorgaben Governance Etablierung in Organisation Erstellung Vorgaben Policy für Monitoring & Assessment Data Governance Kultur Angleichung Ist- Prototyping Roll Out Ziel- Migration manuelle Feedbackzyklus Infrastruktur Dokumentationsinfrastruktur Automatisierung einzelner man. Prozessw Ablöse IDV IT Rahmen für IDV Anwendungen konsistente Datenhaltung 8

Harmonisierung Prototypische Begriffsdefinition konsistente Begriffswelt Roll-Out der Vorgaben Governance Etablierung in Organisation Erstellung Vorgaben Policy für Monitoring & Assessment Data

Kontakt Dr. Selvam Dhamotharan Senior Manager Wilhelm-Leuschner-Straße 79 60329 Frankfurt Telefon: +49 69 2222942-4215 selvam.dhamotharan@ppi.

10 Kontakt Dr. Selvam Dhamotharan Senior Manager Wilhelm-Leuschner-Straße Frankfurt Telefon: Holger Studt IT Manager Wall Kiel Telefon: Dr. Christoph Schwer Senior Consultant Moorfuhrtweg Hamburg Telefon:

+49 69 2222942-4215 selvam.dhamotharan@ppi.

Ähnliche Dokumente

Banken tun sich mit der Umsetzung von BCBS 239 schwer

Banken tun sich mit der Umsetzung von BCBS 239 schwer Andreas Bruckner Das Baseler Komitee für Bankenaufsicht (BCBS) hat am 23. Januar 2015 den Bericht über den Umsetzungsstand der Grundsätze für die effektive