Die größten Banken der Welt haben an der Umsetzung dieser Grundsätze gearbeitet – allerdings mit nur mäßigem Erfolg. Die Umsetzung sollte bereits zum 1. Januar 2016 erfolgen, jedoch zeigten die Selbsteinschätzungen der Banken, dass bis März 2017 nur zwei global systemrelevante Banken die Grundsätze erfüllt haben würden (http://www.bis.org/bcbs/publ/d399.pdf ).
GFT hat an vielen dieser regulatorischen Programme mitgewirkt, vornehmlich für Banken in Großbritannien. Auf Grundlage dieser Erfahrungswerte konnten wir Ansätze und Methoden entwickeln, mit denen Compliance erreicht und aufrechterhalten werden kann.
Unternehmensführung und IT-Infrastruktur
Zu Beginn muss festgelegt werden, welches die fi nanziellen und nicht-finanziellen Hauptrisiken sind, denen das Institut ausgesetzt ist und wer auf Vorstandsebene für deren Handhabung zuständig und verantwortlich ist. Dies gibt dem Chief Risk Offi cer (CRO) und dem ihn unterstützenden IT-Team, den Rahmen vor, in dem das materielle Risiko zu bewerten ist. Die Umsetzung erfolgt über Richtlinien, Normen und Kontrollen.
Die IT-Infrastruktur und -Architektur des Unternehmens muss auch die Verwaltung der Daten beinhalten, von der ersten Datenaufzeichnung bis zur Erstellung und Bereitstellung von Lageberichten.
Risikodatenaggregation
Den in den Grundsätzen zur Regulierung geforderten Grad an Automatisierung und an konsistenter Datenverwaltung und -lenkung zu erreichen, bereitet vielen Banken Schwierigkeiten. Diese Herausforderung muss überwunden werden, um die Einhaltung regulatorischer Vorschriften zu gewährleisten, da die genannten Faktoren für die Risikodatenverarbeitung (einschließlich der Messung von Vollständigkeit, Genauigkeit und Aktualität) entscheidend sind. Die verarbeiteten Daten wiederum müssen den Verbrauchern über die entsprechenden Risikoberichte mitgeteilt werden. Wo komplexe Analysen und Modellierungen gefordert sind (z. B. Risikoszenarien und Stresstests für die Kapital- und Wertminderungsmodellierung), geschieht dies nicht selten außerhalb einer formal unterstützten IT-Infrastruktur.
Risikoberichterstattung
Eine große Herausforderung besteht zudem darin, den Umfang von Risikoberichten zu beschränken und deren Bereitstellung zu verbessern. Viele Banken produzieren hunderte von veralteten Berichten und kommen kaum mit deren Anpassung an neue und aufkommende Risiken nach. Die Berichte müssen für den Endnutzer in einer angemessenen Form bereitgestellt werden. Allerdings werden Daten sehr häufi g noch immer in Präsentationen mit Kalkulationstabellen dargestellt. Das kostet Zeit (und Geld) und der Prozess muss einer Qualitätsprüfung unterzogen werden. Die Berichtserstellung sollte zudem eine externe Risikobewertung sowie eine regelmäßige Überprüfung beinhalten, um so eine dauerhafte Relevanz sicherzustellen.
Banken, die unter normalen Marktbedingungen Berichte ohne Probleme erstellen, bekommen in Stress- oder Krisensituationen oftmals Schwierigkeiten, relevante Berichte zeitnah bereitzustellen. Die Prozesse für die Berichtserstellung in Krisensituationen müssen regelmäßig überprüft und getestet werden.
Viele Banken produzieren hunderte von veralteten Berichten und kommen kaum mit deren Anpassung an neue und aufkommende Risiken nach.
Gibt es einen besseren Weg?
Um Compliance zu erreichen, kommt es auf die klare Festlegung der hierfür erforderlichen Fähigkeiten, Prüfgegenstände, Prozesse und Komponenten an. Diese müssen auf den BCBS239 Grundsätzen beruhen sowie vom gehobenen Management geprüft und abgesegnet werden. Entscheidend bei der Umsetzung der Grundsätze ist es, von Beginn an auf Automatisierung und Flexibilität zu setzen, die Risikodatenaggregation und Berichtserstellung so zu gestalten, dass sie sich an neue Risiken anpassen lassen, und langfristige Prognosen zu etablierten Risiken und zum Gefahrenpotenzial bereitzustellen. Dieser Ansatz muss in allen Risiko-IT-Programmen integriert werden, speziell bei Unternehmen mit mehreren Geschäftsfeldern, die grenzüberschreitend tätig sind. Taktische Nachbesserungen (insbesondere ausgleichende, manuelle Kontrollen) sollten vermieden werden, da diese fortdauern und auf lange Sicht eine vollständige Compliance verhindern. Es sollte Wert darauf gelegt werden, bewährte Praktiken in laufende Prozesse zu integrieren, da Compliance auf diese Weise fester Bestandteil der Mitarbeiterrollen wird, anstatt ein zusätzlicher Aufwand zu sein. So wird eine fortlaufende Business-as-Usual-Compliance möglich.
Auch Transparenz gegenüber den Behörden im Hinblick auf den Stand der Umsetzung ist wichtig, wie auch die Gewährleistung, dass die Compliance- Planung ausreichende Ressourcen und Finanzmittel und klare, erreichbare Meilensteine auf dem noch zurückzulegenden Weg vorsieht. Im Wesentlichen ist für die BCBS239-Compliance Folgendes entscheidend:
- Risikodatenaggregation und -berichterstellung müssen ernst genommen und ausreichende Fähigkeiten aufgebaut werden.
- Es muss ein robuster Rahmen zur zeitpunktunabhängigen Bewertung des Compliance-Grades geschaff en werden – hiernach werden die Behörden zuerst fragen.
- Last-Minute-Aktionen müssen vermieden werden.
- Auf dieser Grundlage kann an Verbesserungen gearbeitet werden.
GFT bietet Unternehmen Unterstützung in allen Stufen der Vorbereitung, von der Erstbewertung des Compliance-Grades über die Verwaltung der Nachbesserungsprogramme, die Anwendung innovativer, technischer Ansätze zur Automatisierung von Unternehmensführungsdaten sowie Verarbeitung, Qualitätsbeurteilung und Nutzung von unterstützenden Unternehmensarchitekturtools bis hin zur Bereitstellung von Dashboards und Berichten. Unternehmen, die auf diese Weise an BCBS239 herangehen, werden letztlich Compliance erfolgreich initialisieren und kontinuierlich verbessern.
Dr. Sven Deglow
Colin Harper
Head of Business Change Services bei
GFT Financial Ltd.
Dieser Beitrag ist Teil der aktuellen Ausgabe des Handelsblatt Journals „Banking 4.0“, das Sie hier erhalten können
