Auslöser war die Finanzkrise
Als Reaktion auf die im Jahr 2007 einsetzende Finanzkrise und die darin gewonnene Erkenntnis, dass die Informationstechnologie und Datenarchitektur vieler Banken für die umfassende Steuerung finanzieller Risiken nicht geeignet waren, veröffentlichte der Basler Ausschuss für Bankenaufsicht im Januar 2013 die Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung. Die Umsetzung beziehungsweise Einhaltung dieser Grundsätze durch die Banken wurde ursprünglich bis 2020 erwartet.
Methodik des Fortschrittsberichts
Der Stand der Umsetzung beziehungsweise Einhaltung wird vom Basler Ausschuss für Bankenaufsicht regelmäßig erhoben - zuletzt in den Jahren 2017 und 2019 - und in einem Fortschrittsbericht veröffentlicht. Dieser Bericht basiert jeweils auf einer einheitlichen, durch die Aufsichtsbehörden der jeweiligen Gerichtsbarkeiten ausgefüllten Bewertungsvorlage. Der aktuelle 7. Fortschrittsbericht des Basler Ausschusses fußt auf einer Stichprobe von 31 ausgewählten G-SIBs und dem Datenstand von Juni 2022. Zusätzlich zum Ausfüllen der Bewertungsvorlage durch die Aufsichtsbehörden fand diesmal auch ein direkter Erfahrungsaustausch mit Experten ausgewählter G-SIBs statt.
Die Bewertung der Einhaltung der BCBS 239-Grundsätze durch die Aufsichtsbehörden erfolgt dabei mittels einer 4-stufigen Skala:
Steigerung der BCBS 239-Compliance
Im Vergleich zu den Ergebnissen des Fortschrittsberichts aus 2017 weist der aktuelle Bericht auf aggregierter Ebene eine allgemeine Verbesserung der über alle Grundsätze ermittelten Gesamt-Compliance aus.
Allerdings erfüllen nur zwei Banken alle Grundsätze vollständig und es gibt keinen Grundsatz, der bei allen Banken in Gänze umgesetzt wurde. Gegenüber der Bestandsaufnahme aus 2019 ist der Fortschritt allerdings recht gering. Die aggregierten Compliance-Bewertungen für sechs Grundsätze (Governance, Vollständigkeit, Aktualität, Anpassungsfähigkeit, Genauigkeit, Klarheit und Nutzen) haben sich in diesem Zeitraum sogar leicht verschlechtert. Ursache hierfür sind zum einen intensivierte Prüfaktivitäten der Aufsichtsbehörden und zum anderen eine Schärfung (beziehungsweise Erhöhung) des Anspruchs der Prüforgane an die Bewertung „4 – vollständig eingehalten“.
Welcher weitere Handlungsbedarf wird an die Banken adressiert?
Von den Vorständen und Geschäftsleitungen der Banken wird beim Monitoring der Einhaltung der Grundsätze zu Data Governance und Datenmanagement die Übernahme von mehr Eigenverantwortung und die Einnahme einer proaktiveren Rolle erwartet. Durch die Benennung von Dateneigentümern sollte eine eindeutige Verantwortung für die Datenqualität festgelegt und deren Stand mittels geeigneter KPIs für alle wesentlichen Risiken an den Vorstand berichtet werden. Im Speziellen ist durch die Dateneigentümer für die Vielzahl der in den Banken erforderlichen Digitalisierungsprojekte eine solide Datenqualität der betroffenen Datenhaushalte und Reports sicherzustellen.
Insgesamt wird empfohlen, den von den BCBS 239-Grundsätzen betroffenen Anwendungsbereich möglichst weit zu fassen, das heißt neben den wesentlichen Risikoberichten ebenso Finanz- und Aufsichtsberichte zu integrieren. Auch weitere Dimensionen des Anwendungsbereichs (zum Beispiel Modelle, Systeme, Geschäftsprozesse) sollten eindeutig festgelegt und dokumentiert werden.
Und was wird den Aufsichtsbehörden empfohlen?
Neben den Empfehlungen für Banken gibt der Basler Ausschuss aber auch Hinweise bezüglich der Prüfungsaktivitäten durch die Aufsichtsbehörden. Dabei gelten die in früheren Fortschrittsberichten formulierten Hinweise (zum Beispiel Transparenz bezüglich Änderungen der Aufsichtsschwerpunkte und Bewertungsansätze schaffen, Grundsatz der Verhältnismäßigkeit anwenden) weiterhin. Zusätzlich kann die Wirksamkeit der Aufsichtstätigkeiten gegebenenfalls durch intensivere Maßnahmen wie Onsite-Inspections, Fire-Drills und Deep-Dives erhöht werden. Bei fortlaufenden Mängelsituationen sollten dann auch eindringlichere Maßnahmen (zum Beispiel Kapitalaufschläge, Beschränkungen bei Kapitalverteilung und Geschäftsaktivitäten, sonstige Strafen/Bußgelder) in Betracht gezogen werden.
Fazit
Die im 7. Fortschrittsbericht des Basler Ausschusses aufgezeigten Defizite bei der BCBS 239-Compliance der G-SIBs wurden auch bereits in vergleichbarer Weise im Juli 2023 durch die EZB - bezogen auf ihren Aufsichtsbereich - im „Guide on effective risk data aggregation and risk reporting“ angesprochen.
Viele Banken sind nun wieder dabei, entsprechende Roadmaps zur Erreichung der BCBS 239-Compliance zu entwickeln und Umsetzungsprogramme aufzusetzen. In der Vergangenheit wurden diese häufig durch veraltete IT-Architekturen und proprietäre Softwarelösungen gebremst. Natürlich konkurrieren diese Vorhaben auch weiterhin mit anderen Umsetzungsherausforderungen in den Häusern um die häufig knappen Ressourcen. Es bleibt daher weiterhin spannend zu sehen, wie die Fortschritte im nächsten Bericht aussehen, wenn die gestiegenen und konkretisierten Anforderungen der Aufsicht als Maßstab angelegt werden.