tomoro zeigt Ziele der neuen Risikomanagement-Richtlinie und leitet notwendige Optimierungsansätze bankinterner Instanzen ab Autor: Friedsam, Sebastian; Dahl, Markus Firma: tomoro GmbH Datum: 14. August 2015 Zusammenfassung Aktuell ist die Risikomanagement-Richtlinie BCBS 239 in den IT-Abteilungen der deutschen Banken in aller Munde. Es werden zentrale Datenpools gebaut, mit In- Memory-Datenbanken wie SAP HANA experimentiert um Datenanalysen und -reportings in Echtzeit zu ermöglichen, sowie Kennzahlen gemeinsam mit den Risikocontrollern mit Inhalt gefüllt. Eine Voraussetzung zur Erfüllung der neuen Richtlinie wird jedoch weiterhin vernachlässigt: die Anforderungen an die bankinternen Prozesse / IT-Governance. Die Grundsätze fordern die IT-Infrastruktur, die Datenqualität und die Flexibilität der Risikoberichte. Welche Anforderungen an die internen Prozesse, die Kontrollmechanismen und die Shareholder-Informationskanäle gestellt werden, bleibt bei einer Vielzahl der Veröffentlichungen und Thesenpapiere zu BCBS 239 aber unbeantwortet. Diese Lücke adressieren wir mit diesem Artikel und zeigen abschließend in einem Schaubild konkrete Optimierungsansätze in Bezug auf das Zusammenwirken bankinterner Instanzen.
1. Einleitung: Wieso die Richtlinie BCBS 239 für alle deutschen Banken relevant ist Aufgrund der Wirtschafts- und Bankenkrisen wurden von verschiedenen Institutionen Richtlinien vorgegeben, durch die solcherlei Schieflagen zukünftig früher erkannt werden, abgeschwächt oder gar verhindert werden können. Die Europäische Zentralbank (EZB) versucht beispielsweise durch die Einführung von Meldungen zum Financial Reporting (FinRep), frühzeitig systemweite Risiken zu identifizieren oder durch die Auferlegung von Stresstests die Handlungsfähigkeit von Banken in verschiedenen Krisenszenarien zu überprüfen. Dass nun auch das Risikodatenmanagement und -reporting durch das Basel Committee on Banking Supervision (BCBS) adressiert wird, kann somit keinen verwundern. Das BCBS hat im Januar 2013 mit der 21-seitigen Veröffentlichung Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung 1 zeitgemäße Anforderungen an die IT-Architektur sowie an das Datenmanagement für die Risikoberichterstattung systemrelevanter Banken formuliert. International ist die Deutsche Bank die einzige deutsche Großbank, die als systemrelevant einzustufen ist und doch hat die Richtlinie durch eine bevorstehende Novellierung sehr bald auch direkten Einfluss auf das gesamte deutsche Bankensystem. Die BCBS-Publikation mit der Veröffentlichungsnummer 239 - daher der Name BCBS 239 beschreibt insgesamt 14 Grundsätze, die das Thema Risikodaten in Banken genauer definieren und somit als gemeinsame Basis für Prüfer und Banken ab dem 1. Januar 2016 dienen soll. Aktuell erarbeitet die BaFin die Bankenaufsichtsrechtliche Anforderungen an die IT (BAIT), die bereits in der nächsten MaRisk Novellierung, die noch für das Jahr 2015 geplant ist, Einzug halten dürfte. Sehr wahrscheinlich werden die Grundsätze der BCBS 239 nach unserer Einschätzung ohne nennenswerte Unterschiede aufgenommen, was die Veröffentlichung der Richtlinie BCBS 239 folglich nicht nur für systemrelevante Banken, sondern für die gesamte deutsche Bankenlandschaft relevant werden lässt. 1 http://www.bis.org/publ/bcbs239.pdf Seite 1
1.1. Ziele von BCBS 239 Mit den beschriebenen Grundsätzen der Richtlinie sollen folgende Ziele erreicht werden: Erweiterung und Optimierung der Infrastruktur für die Identifizierung und Überwachung wesentlicher Risiken durch die Vorstands- und Führungsebene Verbesserung der Entscheidungsprozesse innerhalb der Bankorganisation Optimierung der Datenerhebung innerhalb des Konzerns als Basis für eine konsolidierte Gesamtsicht Verringerung der Wahrscheinlichkeit und der Höhe von Verlusten, die aus Schwächen des Risikomanagements resultieren Verkürzung der Datenerhebung und somit der Bereitstellung der Risikoreports als Grundlage für zeitnahe Entscheidungen Optimierung der Aufbau- und Ablauforganisation für die Risikomessung neuer Produkte und Services 1.2. Inhaltliche Schwerpunkte BCBS 239 Übergeordnete Anforderungen an die IT-Architektur und das Datenmanagement für die Risikoberichterstattung Grundsätze zur Governance & Infrastruktur Risikodatenerhebung Risikoberichterstattung Aufsichtsrechtlichen Prüfung G1 - Governance für die Datenerhebung und das Risikoreporting G2 Datenarchitektur und IT-Infrastruktur G3 - Qualität, Konsistenz, Integrität G4 - Vollständigkeit G5 - Bereitstellungszeit G6 Anpassungsfähigkeit G7 - Präzision G8 - Umfang G9 - Verständlichkeit und Nutzen G10 - Reportingfrequenz G11 - Berichtswege G12 - Review durch die Prüfer G13 - Sanierung und Prüfungsmaßnahmen G14 - Zusammenarbeit Revision im Konzern Abbi ldu ng 1: inh al tli che Auf tei lun g d er BC BS 2 39 Die Grundsätze der BCBS 239 Richtlinie sind vier Themenbereichen zugeordnet: 1. Governance & Infrastruktur, 2. Risikodatenerhebung, 3. Risikoberichterstattung und 4. Aufsichtsrechtliche Prüfung. Darunter gliedern sich die bereits angesprochenen 14 Grundsätze, in denen die Anforderungen an die IT-Architektur und das Datenmanagement der Risikoberichterstattung beschrieben werden. Seite 2
2. Anforderungen an die internen Unternehmensprozesse Durch die Grundsätze ergeben sich nicht nur technische Anforderungen an Risikodaten und Berichtswege, sondern auch an unternehmensinterne Prozesse. Wir konzentrieren uns in diesem Artikel auf die Grundsätze der BCBS 239, die Anforderungen an Unternehmensprozesse, beziehungsweise an das Führungspersonal stellen. Beispielsweise wird im Grundsatz G1 Governance für die Datenerhebung und das Risikoreporting folgendes formuliert: Der Vorstand sowie die weiteren Führungskräfte müssen regelmäßig den Datenerhebungsprozess dezidiert genehmigen und sicherstellen, dass entsprechende Ressourcen für die Erhebung bereitgestellt werden. Folglich rücken Vorstand und Führungspersonal ab Januar 2016 in den Fokus der Prüfer. Genauso wird bei Übernahme-Vorhaben (M&A) der Prozess zur Risikodatenbereitstellung und -integration in die bestehenden Prozesse des übernehmenden Partners zu einer Prämisse in der Vorbereitung: Bei der Akquisition von juristischen Personen ist im Rahmen der due dilligence 2 die Qualität der Riskiodatenerhebung und aggregation zu bewerten und ein Zielbild für die Integration in die bestehende Prozess und IT-Welt zu entwerfen. Dieser Prozess muss explizit dem Vorstand vorgestellt und im Rahmen einer Akquisition genehmigt werden. Dies zeigt, dass die Risikodatenerhebung und aggregation integraler Bestandteil der IT-Strategie einer Bank werden muss. Ebenso werden im Grundsatz G2 Datenarchitektur und IT-Infrastruktur Anforderungen an das Business Continuity Management gestellt: Risikodatenerhebung und aggregation sowie die Überführung in das Reporting sollten im Business Continuity Prozess berücksichtigt werden, sowie Bestandteil einer Business Impact Analyse sein Gleiches gilt für die Führungskräfte: Die Verantwortlichen, in Zusammenarbeit mit den Risiko-Managern, haben dafür Sorge zu tragen, dass adäquate Kontrollmechanismen über den kompletten Lebenszyklus der Risikodaten unter Berücksichtigung aller Aspekte der (techn.) Infrastruktur existieren. 2 http://wirtschaftslexikon.gabler.de/definition/due-diligence.html Seite 3
Im Grundsatz G3 Qualität, Konsistenz und Integrität wird eine Erwartungshaltung der Prüfer formuliert, sodass hier direkt Prüfpositionen abzuleiten sind: Prüfer erwarten von Banken die Messung und Überwachung der Datenvalidität, die Entwicklung angemessener Eskalationsstufen (-pfade) und Aktionsplänen zur Behebung schlechter Datenqualität Im Grundsatz G7 Präzision wird ebenfalls das Führungspersonal adressiert: Prüfer erwarten von den Führungskräften die Etablierung von Anforderungen an Sorgfalt und Genauigkeit für sowohl das normale als auch das Stress- / Krisenreporting. Dies beinhaltet Berichte über kritische Positionen und Exposure- / Gefährdungsinformationen. Diese Anforderungen sollten die Kritikalität der Entscheidungen wiedergeben, deren Grundlage die ermittelten Informationen sind. Auch in Grundsatz G8 Umfang wird das Board und Senior Management angehalten, eine zukunftsorientierte Bewertung von Risiken in den Ihnen zur Verfügung gestellten Reports zu erarbeiten: Prüfer erwarten in Risikomanagementreports die an das Board und Senior Management gehen eine zukunftsorientierte Bewertung von Risiken. Diese sollten sich nicht ausschließlich auf aktuellen bzw. historischen Daten beziehen. Sie sollten Vorhersagen oder Szenarien für zentrale Marktvariablen und deren Effekte für die Bank beinhalten, so dass das Board und das Senior Management über die wahrscheinliche Auswirkung auf das zukünftige Eigenkapital und das Risikoprofil der Bank informiert ist. Weiterhin wird der Vorstand beispielsweise im Grundsatz G9 Verständlichkeit und Nutzen in mehreren Punkten in die Verantwortung genommen: Als einer der Kernadressaten von Risikomanagement-Reports ist der Vorstand einer Bank für die Definition der eigenen Risiko-Reporting-Anforderungen und die Einhaltung der eigenen Verpflichtungen verantwortlich. Dies schließt andere relevante Stakeholder ein. Der Vorstand sollte sicherstellen, dass er nach relevanten und entscheidungskritischen Informationen fragt und diese zur Erfüllung der Vorstandsfunktion auch erhält,. Dies ermöglicht dem Vorstand eine Handlungsausrichtung der Bank im Rahmen ihrer Risikoaffinität / -aversion. Der Vorstand sollte die zuständige Führungsebene darüber informieren, wenn Risikoreports nicht die definierten Anforderungen einhalten. Genauso gilt dies, wenn die Berichte nicht das richtige Aggregationslevel und die not- Seite 4
wendigen Informationen, die eine Überwachung der definierten Risikotoleranz ermöglichen. Der Vorstand sollte proaktiv darauf hinweisen, ob die Risikoreports das notwendige Maß an Details beinhalten und ob das Verhältnis von quantitativen / qualitativen Informationen adäquat ist. Die weitere Führungsebene ist ebenfalls ein wesentlicher Empfänger von Risikoreports und ist für die Definition der eigenen Anforderungen an den Risikoreport verantwortlich. Die Bereichsleitung muss sicherstellen, dass der Bericht diejenigen Informationen erhält, die es ihr erlaubt, ihre Steuerungsfunktion in Bezug auf die Bank und dem jeweiligen Risiko, dem die Bank ausgesetzt ist, auszuüben. Auch die Zustellung von Berichten an die Stakeholder rückt nun in den Fokus der Prüfer, da diese von Banken eine periodische Bestätigung erwarten, dass alle relevanten Adressaten ihre Reports auch zeitnah erhalten haben. 3. tomoro zeigt notwendige Optimierungsansätze Aus diesen und weiteren Anforderungen der Grundsätze der Risikomanagement-Richtlinie BCBS 239 ergibt sich folgendes Schaubild. Nach Einschätzung der tomoro werden notwendige Optimierungsansätze in Bezug auf das Zusammenwirken der bankinternen Instanzen aufgezeigt. Seite 5
Abbi ldu ng 2: eig en e D arst ell ung to mor o Seite 6