Als der Baseler Ausschuss für Bankenaufsicht im Januar 2013 seine 239. Empfehlung herausgab, war zunächst kein lautes Echo zu hören, obwohl damit erstmals ein Bankenregulator Anforderungen an die IT-Architektur und das Datenmanagement für die Risikoberichterstattung vorlegte. Laut dem Baseler Ausschuss waren zahlreiche Banken in der Finanzkrise nicht in der Lage, sich (und der Aufsicht) schnell und präzise einen Überblick über ihre Risikopositionen zu verschaffen und Konzentrationen auf Konzernebene, über Geschäftsfelder und Konzerngesellschaften hinweg zu identifizieren. Hinter derartigen Defiziten nicht unerhebliche Mängel auch in der Banksteuerung zu vermuten, liegt auf der Hand.
Verbesserter Umgang mit dem Risiko
Die gerade einmal 21-seitige Veröffentlichung "Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung" mochte auf den ein oder anderen zunächst unverdächtig wirken. Die in den BCBS 239 (diese Abkürzung ist mittlerweile fest etabliert) aufgeführten insgesamt 14 Grundsätze enthalten schließlich eigentlich nichts Neues und auch nichts Übertriebenes oder gar Unsinniges. Im Gegenteil, gerade im Lichte der Finanzkrise sind sie rundherum nachvollziehbar und zu befürworten.
Das verdeutlicht auch der Blick in die Zielformulierung der BCBS 239: Die Versorgung des Managements mit Schlüsselinformationen soll ebenso verbessert werden wie die bankweiten Entscheidungsprozesse und Informationsströme; die Geschwindigkeit der Informationsversorgung soll erhöht, die Qualität der strategischen Planung gesteigert und der Umgang mit dem Risiko neuer Produkte und Dienstleistungen verbessert werden.
Alles in allem sollen damit die Wahrscheinlichkeit und die Höhe von Verlusten, die aus einem zu schwachen Risikomanagement resultieren können, reduziert werden. Gegen diese Ziele kann man nichts haben, sie zu erreichen dürfte für jeden Entscheider (nicht nur in einer Bank) absolut wünschenswert sein.
Warum haben sich die BCBS 239 dann mittlerweile einen derartigen "Ruf" in der gesamten Bankenbranche erarbeitet? Gravierende Einschnitte werden befürchtet. Von hoher Komplexität ist ebenso die Rede wie von mindestens dreistelligen Millionenbeträgen - pro Bank - oder von einem regulatorischen Overkill. Lapidar könnte man erwidern, dass die formulierten Grundsätze der BCBS 239 vor allem deswegen so gefürchtet sind, weil sie in Gänze und unternehmensgruppenweit wohl noch von keinem Kreditinstitut umgesetzt sind. Oder andersherum: Wer sich nach der Beschäftigung mit den BCBS 239 zurücklehnt, weil er glaubt, das eigene Kreditinstitut sei nicht betroffen, dürfte einer Fehleinschätzung zum Opfer fallen.
Auch kleinere Institute betroffen
Dazu gehört auch die Einschätzung in vielen kleineren Banken, dass die Grundsätze der BCBS 239 nur für systemrelevante Kreditinstitute gälten und man daher verschont bleibe. Schließlich ist in der Baseler Veröffentlichung nur von global und national systemrelevanten Instituten die Rede, zwischen denen im Übrigen einzig in Bezug auf den Zeithorizont für die Umsetzung unterschieden wird.1) Eine Öffnungsklausel ermöglicht es den nationalen Aufsichtsbehörden jedoch, die Anwendung der BCBS 239 einem über die systemrelevanten Banken hinausgehenden Kreis zu verordnen.
So erarbeitet die BaFin derzeit "Bankaufsichtliche Anforderungen an die IT (BAIT)", die bereits in die nächste MaRisk-Novellierung, die noch für das Jahr 2015 geplant ist, Einzug halten dürften. Dass sich diese Anforderungen nennenswert von denen der BCBS 239 unterscheiden werden, ist nicht zu erwarten. Im Übrigen können diese Anforderungen bereits heute im Rahmen der von der Aufsicht geübten Verwaltungspraxis zu einer verschärften Auslegung der aktuellen Fassung der MaRisk führen.
Allein vor diesem Hintergrund sind alle Banken gehalten, sich mit den Anforderungen der BCBS 239 auseinanderzusetzen. Insbesondere auf kleinere Institute und damit auch auf die Verbundgruppen mit ihren Rechenzentralen kommen erhebliche Herausforderungen zu.
Das liegt unter anderem auch daran, dass die BCBS 239 keine Umsetzungsmaßnahmen konkretisieren, sondern diese weitgehend im Unklaren lassen. Ein Branchenstandard hat sich auch noch nicht herausgebildet, sodass es alle derzeit begonnenen oder beginnenden Projekte mit "moving targets" (mit den entsprechenden erheblichen Unsicherheiten für die Projektdauer und das Projektbudget) zu tun haben.
Inhalte der BCBS 239
Um den Abstraktionsgrad zumindest etwas zu reduzieren und die Reichweite der Prinzipien der BCBS 239 zu verdeutlichen, wird im Folgenden ein kurzer Überblick über die neuen Anforderungen gegeben. Der Baseler Ausschuss hat sie in vier Themenblöcke unterteilt:
1. Governance und Infrastruktur: Es gehört zur Verantwortung des Topmanagements, klare und mit anderen aufsichtsrechtlichen Vorschriften konsistente Regelungen für die konzernweite Aggregation von Risikodaten und Risiko berichten festzulegen. Dazu gehören entsprechende Prozessdokumentationen und -validierungen ebenso wie die Verankerung in der IT-Strategie. Sämtliche relevanten Prozesse sind betroffen, das heißt auch die outgesourcten.
Die Datenarchitektur und die IT-Infrastruktur müssen die Aggregation von Risikodaten und das Risikoreporting nicht nur in normalen Zeiten, sondern insbe sondere auch in Krisensituationen sicherstellen. Sie sind damit elementarer Bestandteil des Business Continuity Managements. Die Einordnung der Daten (Taxonomien) sind ebenso konzernweit zu etablieren wie Metadaten und andere Kennzeichnungen. Rollen und Verantwortlichkeiten für die fachlichen und die technischen Aufgaben sind festzulegen und zu dokumentieren.
2. Kapazitäten zur Aggregation von Risikodaten: Die Anforderungen an die Kapazitäten zur Risikodatenaggregation werden in den BCBS 239 besonders unter strichen. Zunächst werden eine hohe Datengenauigkeit und -integrität erwartet. Dazu sind die Aggregationsprozesse zu automatisieren (und natürlich zu kontrollieren). Die Datenquellen müssen klar definiert und dokumentiert sein und ein Methodenglossar ist vorzuhalten. Genauigkeit und Integrität der Daten sind zu messen und zu überwachen.
Vollständige und aktuelle Daten
Die Daten müssen vollständig sein, wobei zugleich zwischen wesentlichen und unwesentlichen Risikodaten zu unterscheiden ist, und natürlich immer in der jeweiligen Konzern- oder Bankeinheit vorgelegt werden, wo sie für das Risikomanagement benötigt werden.
Die Daten müssen aktuell sein, insbesondere auch in Krisenzeiten. Als derzeitige inoffizielle Maßgabe der Aufsicht gilt (so allerdings nicht explizit in den BCBS 239 gefordert), dass monatliche Berichte zu kritischen Risiken zehn Arbeitstage nach dem jeweiligen Stichtag ("t +10") vorliegen müssen.
Die Datenhaltung muss anpassungsfähig sein, das heißt auch Ad-hoc-Anfragen müssen flexibel und schnell beantwortet werden.
3. Risikoberichterstattung: Die Risikoberichte müssen genau sein, ihre diesbezügliche Qualität darf denen des Rechnungswesens in nichts nachstehen. Das bedeutet auch, dass die Anforderungen an die Berichte in Bezug auf ihre Inhalte, Frequenz und Verteilung klar zu definieren und dementsprechend regelmäßig zu validieren sind.
Klare und verständliche Risikoberichte
Die Risikoberichte sollen umfassend sein, das heißt alle wesentlichen Inhalte abdecken. Dazu gehört auch, dass sie zukunftsorientiert sind, Handlungsempfehlungen aufzeigen und über den Umsetzungsstand beschlossener Maßnahmen informieren.
Die Inhalte von Risikoberichten müssen klar und verständlich sein und den jeweiligen Empfängern einen definierten (das heißt auch dokumentierten) Nutzen stiften. Diesbezüglich sind die Berichte regelmäßig zu überprüfen.
Die Häufigkeit der Risikoberichte ist zu definieren. Es wird erwartet, dass die Häufigkeit in Krisenzeiten innerhalb kurzer Zeit erhöht werden kann. Die Verteilung der Risikoberichte hat zeitnah und vertraulich an die jeweils relevanten Adressaten zu erfolgen.
4. Aufsicht: Die unter diesem Abschnitt subsumierten Grundsätze richten sich nicht direkt an die Banken, sondern an die Aufsicht. Die Aufsichtsbehörden sollen die Einhaltung der Prinzipien der BCBS 239 regelmäßig überwachen und bewerten und dabei Stressszenarien berücksichtigen. Defizite sollen durch entsprechende aufsichtliche Maßnahmen zügig beseitigt werden können. Und die Aufsichtsbehörden sollen grenzüberschreitend miteinander kooperieren, um unter anderem über den Erfahrungsaustausch notwendige Verbesserungen weiter voranzutreiben.
Abgeleitete Handlungsfelder der BCBS 239
Soweit ein Kurzüberblick über die wesentlichen Inhalte der BCBS 239. Aber was heißt das für die Umsetzung? Vier Handlungsfelder zeichnen sich ab: Risikoberichterstattung, IT-Architektur, Organisation und Datenqualität.
1) Zunächst scheint jede Bank gut beraten, den bestehenden "Kanon" ihrer Risikoberichte im Hinblick auf Quantität, Qualität, Fristen und Frequenzen zu überprüfen und dabei den Fokus auf das Wesentliche und nicht auf eine Ausweitung der Berichterstattung zu legen. Die von der Aufsicht vermutlich erwartete Frist für monatliche Reports von zehn Werktagen dürfte dabei für die meisten Banken die größte Herausforderung darstellen.
2) Daraus abgeleitet ist eine schlüssige Ziel-IT-Architektur im Risikobereich inklusive einer Schnittstelle zum Rechnungswesen anzustreben. Ziel muss es dabei nicht zwingend sein, ein einziges großes Data-Warehouse für sämtliche Risiken zu bauen; die Komplexität eines solchen Data-Warehouses ist kaum zu überschätzen. Es können stattdessen auch getrennte Lösungen je Risikoart zielführend sein. Die größte Herausforderung in diesem Feld dürfte die Überführung der Daten aus den einzelnen Quellen in einheitliche Schlüssel (zum Beispiel Konto, Geschäfts-ID) und einheitliche Auswertungsdimensionen (etwa Exposure, Geschäftsfeld, Assetklasse, Produktart) sein.
3) Die Zuständigkeiten und Verantwortlichkeiten für die wesentlichen "Datenbereiche" sind im Handlungsfeld "Organisation" klar zu regeln. Des Weiteren sollte frühzeitig mit einer möglichst konkreten Planung begonnen werden, wie die im Handlungsfeld "Risikoberichte" festgestellten Lücken geschlossen werden sollen.
4) Die geforderte hohe Datenqualität kann nur über automatisierte Verfahren sichergestellt werden; manuelle Eingriffe sollten auf ein Minimum beschränkt werden. So können Integrität und Vollständigkeit der Daten vom juristischen Bestand bis ins Reporting gewährleistet werden.
Konsequenzen für die genossenschaftliche Finanzgruppe
An diesen Handlungsfeldern ist deutlich zu erkennen, dass ein Projekt zur Erfüllung der Prinzipien aus BCBS 239 weit über klassische IT-Projekte hinausgeht. Viele Verantwortliche in der Bankenbranche halten die BCBS 239 jedoch immer noch für ein reines IT-Thema, das ausschließlich den "Maschinenraum" betreffe und daher Sache der "Techniker" sei - ein bedauerlicher Irrtum, der jedwedes Umsetzungsprojekt zum Scheitern bringen wird.
Innerhalb der genossenschaftlichen Finanzgruppe sind es die bereits im vergangenen Jahr als systemrelevant eingestuften Kreditinstitute, also die Apotheker- und Ärztebank, die Münchener Hypothekenbank und die Zentral banken, die von den BCBS 239 direkt betroffen sind. Dementsprechend haben sie damit begonnen, sich mit der Umsetzung intensiv zu beschäftigen.
Zunächst hat ein solches Vorhaben das eigene Unternehmen beziehungsweise den eigenen Konzern im Fokus. Hier gibt es innerhalb der Gruppe durchaus Unterschiede zwischen den genannten Banken in der jeweiligen Risikoberichterstattung, in der IT-Architektur und der Datenhaltung. Das liegt in der Natur der Sache, schließlich unterscheiden sich die Institute auch in ihrer geschäftlichen Ausrichtung und Spezialisierung. Hinzu kommt, dass gerade in den Spezialinstituten die IT-Systeme oft historisch gewachsen sind und auch daher unterschiedliche Entwicklungsstände aufweisen.
Die Vorgehensweise in den jeweiligen BCBS-239-Projekten wird hingegen ähnlich sein: Nach der Bestandsaufnahme in den genannten Handlungsfeldern stehen die Entwicklung eines Zielbildes und einer Umsetzungskonzeption als erste Schritte auf der Agenda.
Da sich derzeit aber noch kein allgemeingültiger Branchenstandard abzeichnet, besteht durchaus noch grundlegender Entwicklungsbedarf - zumal die Ergebnisse zu den jeweiligen Meilensteinen sinnvollerweise eng mit der Bankenaufsicht abzustimmen sind. Den systemrelevanten Instituten der genossenschaftlichen Finanzgruppe kommt insofern eine gewisse Vorreiterrolle zu, schließlich haben sie damit zu rechnen, früher als die nicht systemrelevanten Banken die Anforderungen der BCBS 239 zu erfüllen.
Enge Zusammenarbeit gefragt
Hierin liegt für die gesamte Verbundgruppe aber auch eine Chance, will man das Rad nicht an verschiedenen Stellen gleichzeitig neu entwickeln. Insbesondere die Zentralbanken, die bei derart umfassenden Entwicklungsprojekten ohnehin eng miteinander kooperieren, haben hier die Verantwortung, nicht nur für sich selbst, sondern auch für ihre Mitgliedsbanken Lösungsansätze mit zu entwickeln, damit diese wiederum die kommenden Anforderungen an die IT aus der nächsten MaRisk-Novelle erfüllen können.
Da in den Zentralbanken ohnehin an der Erfüllung der BCBS-239-Grundsätze gearbeitet wird, ist es nur sinnvoll, parallel zur Entwicklung für die eigenen Häuser Lösungsmöglichkeiten für die Volksbanken und Raiffeisenbanken zu erarbeiten - denn die Logik ist in allen Kreditinstituten gleich, ob systemrelevant oder nicht. Auch damit kommen die Zentralbanken ihrem subsidiären Förderauftrag für die Volksbanken und Raiffeisenbanken nach. Das können sie aber nicht alleine. Denn wie jedes BCBS-239-Projekt unternehmensintern nur im engen Schulterschluss und Austausch zwischen Risikomanagement und IT erfolgen kann, so ist auf der Ebene der gesamten Finanzgruppe die enge Zusammenarbeit zwischen Zentralbanken und der nun vereinigten Rechenzentrale - in Abstimmung mit den Prüfungsverbänden - erforderlich.
Synergien durch Kooperation
Durch eine intensive Kooperation können unternehmensübergreifend Synergien gehoben werden, indem die Zentralbanken ihr Augenmerk auf das Risikomanagement und die Rechenzentralen ihres auf die IT-Architektur und die Datenhaltung legen. Der Weiterentwicklung des neuen einheitlichen Bankenverfahrens für die Volksbanken und Raiffeisenbanken kommt hier eine besonders hohe Bedeutung zu. Da die Prinzipien der BCBS 239 für alle Kreditinstitute gleichermaßen gelten, wird sich sehr wahrscheinlich nicht nur die Risikodatenhaltung, sondern auch die Risikoberichterstattung in den Volksbanken und Raiffeisenbanken noch stärker als bisher einander angleichen.
Besonders herausfordernd dürfte die Verzahnung der BCBS-239-Aktivitäten mit denen des Projekts AnaCredit2) werden, da in beiden Vorhaben die gleichen Schlüsselkompetenzen zum Einsatz kommen müssen.
Darüber hinaus ist zu erwarten, dass die Grundsätze zur Risikodatenaggregation und zur Risikoberichterstattung künftig nicht allein auf Einzelinstitutsebene, sondern auch auf Ebene der gesamten genossenschaftlichen Gruppe Beachtung finden müssen. Dabei wird dem BVR, unter anderem als Geschäftsführer der genossenschaftlichen Sicherungseinrichtung, eine besondere Rolle zukommen.
Grundlegende Änderung der IT-Architektur
Die künftige Einhaltung der BCBS 239 wird gerade für dezentrale Verbundgruppen eine besondere Herausforderung, da die neuen Grundsätze für jedes einzelne Gruppeninstitut und mit hoher Wahrscheinlichkeit auch für die Finanzgruppe insgesamt aufsichtsrechtliche Gültigkeit erlangen werden. Der grundlegende Charakter der Grundsätze wird dementsprechend mit hoher Wahrscheinlichkeit in der Konsequenz zu grundlegenden Änderungen in der Risikodatenhaltung und den IT-Architekturen führen.
Es geht dabei weniger darum, formale Anforderungen der Aufsicht zu erfüllen, sondern vor allem darum, zielführende und richtungsweisende Lösungen zu erarbeiten. Denn die Einhaltung der Grundsätze liegt nicht allein im Interesse der Aufsichtsbehörden, sondern vor allem auch im Interesse der Banken. Bei alledem kann jedoch nur eine pragmatische Vorgehensweise, die bereits bestehende IT-Architekturen und Datenhaushalte berücksichtigt, zielführend sein. Ein "Grüne-Wiese-Ansatz" birgt die Gefahr, Realitäten zu vernachlässigen und überbordende Investitionen nach sich zu ziehen.
Das Thema "BCBS 239" muss dazu aus dem reinen IT-Blickwinkel in einen breiteren Fokus gerückt werden. Alle Beteiligten müssen sich darüber im Klaren sein, dass ein BCBS-239-Projekt nur auf zwei Beinen stehen kann: dem bankfachlichen Risikomanagement einerseits und der IT-Architektur und Datenhaltung andererseits.
Keine der beiden Funktionen ist allein verantwortlich oder in der ausschließlichen Federführung; dementsprechend wird ein Projekt nur dann erfolgreich sein, wenn beide Bereiche in enger Verzahnung an Lösungen arbeiten. Innerhalb des genossenschaftlichen Finanzverbundes heißt das, häuserübergreifend und in der subsidiären Verantwortung die Zusammenarbeit zwischen den Zentralbanken und den Rechenzentralen - eng begleitet von den genossenschaftlichen Verbänden, insbesondere vom BVR - weiter zu intensivieren.
Fußnoten
1) Global systemrelevante Institute (G-SIBs; in Deutschland nur die Deutsche Bank) müssen BCBS 239 bis 2016 umgesetzt haben, national systemrelevante (D-SIBs) drei Jahre nach der offiziellen Benennung als D-SIB. Viele Verantwortliche warten derzeit täglich auf ein entsprechendes Schreiben, zumal längst durchgesickert ist, dass der Kreis der systemrelevanten Häuser im Sinne der BCBS 239 größer ist als der für den europäischen Stresstest im vergangenen Jahr.
2) "Analytical Credit Dataset" zur Erhebung hochgranularer Kreditdaten, die in ihrer Detaillierung weit über die bisherigen Meldepflichten hinausgehen, ab einer Meldeschwelle je Kredit von 50 000 Euro.