Banken tun sich mit der Umsetzung von BCBS 239 schwer

Banken tun sich mit der Umsetzung
von BCBS 239 schwer
Andreas Bruckner
Das Baseler Komitee für Bankenaufsicht (BCBS) hat am
23. Januar 2015 den Bericht über den Umsetzungsstand der
Grundsätze für die effektive Aggregation von Risikodaten und die
Risikoberichterstattung (BCBS 308) veröffentlicht. Der Bericht
beinhaltet die Ergebnisse des Self-Assessments, an dem 31 global systemrelevante Institute (G-SIBs) und sechs andere große,
nicht-systemrelevante Banken teilnahmen. Die größten Herausforderungen bei der Umsetzung der Grundsätze liegen in den
Anforderungen an die Datenarchitektur und IT-Infrastruktur sowie
an
die
Anpassungsfähigkeit
der
RisikodatenAggregationskapazitäten. 14 Banken gaben an, dass sie nicht
alle Prinzipien bis zum 1. Januar 2016 umsetzen können.
Banken tun sich mit der Umsetzung von BCBS 239 schwer
Anzahl an Banken
Banken sehen große Schwierigkeiten bei der fristgerechten Umsetzung
von BCBS 239
Der am 23. Januar 2015 veröffentlichte zweite
Bericht zum Umsetzungsstand der Grundsätze
für effektive Aggregation von Risikodaten und
die Risikoberichterstattung verdeutlicht die
Probleme der Banken mit der fristgerechten
Implementierung der Anforderungen.
Anzahl an Banken
Die teilnehmenden Institute haben sich anhand
einer Skala von 1 bis 4 eingestuft; wobei 1 für
Non-Compliance und 4 für eine zu 100 % erfolgte Umsetzung steht. Insgesamt hat sich die
Selbsteinschätzung der Banken im Vergleich
zum ersten Umsetzungsbericht vom Dezember
2013 (BCBS 268) tendenziell verschlechtert
(Vgl. Abbildung 1).
5
0
-5
P1 P2 P3 P4 P5 P6 P7 P8 P9 P10P11
Prinzipien
2 Stufen upgrade2
1 Stufe upgrade
1 Stufe downgrade
Abbildung 1: Anzahl der Ratingänderungen
(Quelle: BCBS, 2015)
Die Banken schätzen die Herausforderungen
so groß ein, dass 14 von ihnen angeben, nicht
alle Prinzipien bis zum 1. Januar 2016 umsetzen zu können. Die größten Herausforderungen
liegen in den Bereichen Gesamtunternehmensführung und Infrastruktur sowie RisikodatenAggregationskapazität.
Abbildung 2 stellt das erwartete Datum dar, zu
dem die Prinzipien eingehalten werden. Zehn
Banken gaben an, das Prinzip 2 (Datenarchitektur und IT-Infrastruktur) erst nach Januar
2016 umsetzen zu können. Bei 11 Banken gilt
dasselbe für das Prinzip 6 (Anpassungsfähigkeit).
/..
30
20
10
0
P1 P2 P3 P4 P5 P6 P7 P8 P9 P10P11
Prinzipien
2013
2014
2015
Dez 15/ Jan 16
Nach der Deadline
Abbildung 2: Erwartetes Umsetzungsdatum
(Quelle: BCBS, 2015)
Das BCBS hat für jeden der drei Grundsätze
die Kernprobleme bei der fristgerechten Umsetzung identifiziert und mögliche Lösungsstrategien dargestellt.
Gesamtunternehmensführung und
Infrastruktur
10
-10
40
Die Anforderungen an Datenarchitektur und ITInfrastruktur stellt die Banken vor die größten
Herausforderungen - das entspricht den Ergebnissen der Studie aus dem Jahr 2013.
Nr.
Prinzip
Umsetzung
nach 2016
Rating
1
Governance
3
2,83
2
Datenarchitektur und
IT-Infrastruktur
9
2,43
Tabelle 1: Umsetzung und Selbsteinschätzung
Grundsatz 1 (Quelle: BCBS, 2015)
Großprojekte erschweren die Einführung
einer konzernweiten Data Governance.
Die größte Schwierigkeit liegt auch zwei Jahre
nach Veröffentlichung von BCBS 239 in der
Einführung einer konzernweiten DataGovernance-Struktur. Daneben wird die Reduzierung der Komplexität und der manuellen
Prozesse als zentrale Herausforderung betrachtet.
Aktuell laufen gleichzeitig viele IT-Großprojekte
zur konzernweiten Anpassung der Data-
© PPI AG Informationstechnologie
Seite 2 von 5
Banken tun sich mit der Umsetzung von BCBS 239 schwer
Governance-Strukturen. Das Management dieser Projekte erhöht die Komplexität.
Die Verzahnung der Projekte hilft, die Komplexität bei der Umsetzung zu reduzieren.
Das BCBS empfiehlt, die Großprojekte funktionsübergreifend zu gestalten. Die Einbindung
der Abteilungen Risk, Compliance, IT und Interne Revision unterstützt die Vereinheitlichung
von Rollen und ermöglicht die Komplexität von
Prozessen zu reduzieren.
Im Rahmen der Umsetzungsprojekte solle auf
eine Dokumentation zum besseren Verständnis
von zu Grunde liegenden Prozessen geachtet
werden. Darüber hinaus empfiehlt das Komitee
bei Verzögerungen von Umsetzungsprojekten
Risikodaten von materieller Bedeutung für das
Institut zu priorisieren.
RisikodatenAggregationskapazitäten
Banken scheinen durch die Erfahrungen der Umsetzungsprojekte ein besseres Verständnis des
Umfangs von BCBS 239 zu haben. Daher schätzen knapp ein Drittel der Teilnehmer, dass sie die
Prinzipien 3, 5 und 6 bis Januar 2016 nicht vollständig erfüllen können.
Nr.
Prinzip
Umsetzung
nach 2016
Rating
3
Genauigkeit und
Integrität
8
2,50
4
Vollständigkeit
6
2,87
5
Aktualität
8
2,73
6
Anpassungsfähigkeit
10
2,60
identifiziert: Sowohl die Datenbereitstellung als
auch die Zulieferungs- und Abstimmungsprozesse führten zu ungenauen und inkonsistenten
Daten und damit zu Schwierigkeiten bei der
Generierung von ad-hoc-Berichten, insbesondere in Stresszeiten.
Mit Ausnahme von Marktrisikodaten werden
nach wie vor hauptsächlich manuelle Prozesse
zur Risikodaten-Aggregation genutzt. Weil eine
gruppenweit einheitliche Dokumentation der
Risikodaten-Aggregationsprozesse fehlt, wird
der Prozess zusätzlich erschwert.
Eine weitere Problematik stellen die Abstimmungsprozesse für Daten aus dem Risikomanagement, Controlling und Rechnungswesen
dar.
Als letzter Punkt wird die Bereitstellung der
Daten als kritisch angesehen. Daten zu Sicherheiten von Derivaten und außerbilanziellen
Positionen sind oft nicht in konsistenter Form
vorhanden.
Einheitliche Granularität und Data Dictionaries verbessern die Datenqualität
Als Problemlösungsstrategie identifiziert das
BCBS einen stärkeren Fokus auf ITInfrastruktur, insbesondere auf Systeme zur
Überwachung von außerbilanziellen Positionen.
Zudem sind Data Dictionaries für alle Risikokategorien, eine einheitliche Granularität der Informationen aus verschiedenen Ursprungssystemen sowie die Dokumentation substantieller
Abweichungen in den Systemen erforderlich.
Tabelle 2: Umsetzung und Selbsteinschätzung
Grundsatz 2 (Quelle: BCBS, 2015)
Inkonsistente Daten sowie Zuliefer- und
Abstimmprozesse stellen die größten
Schwierigkeiten dar.
Im Self-Assessment wurden drei wesentliche
Probleme bei der Risikodaten-Aggregation
/..
© PPI AG Informationstechnologie
Seite 3 von 5
Banken tun sich mit der Umsetzung von BCBS 239 schwer
Risikoberichterstattung
Im Bereich der Risikoberichterstattung sehen
Banken ihre Kapazitäten weitestgehend als
BCBS-239-konform an. Einzig bei Genauigkeit
werden noch Schwachstellen identifiziert.
Nr.
Prinzip
Umsetzung
nach 2016
Rating
7
Genauigkeit
7
2,67
8
Umfassender
Charakter
2
3,27
9
Klarheit und Nutzen
1
3,10
10
Häufigkeit
5
2,97
11
Verbreitung
3
3,33
Bei allen Banken gibt es IT-Großprojekte, die
direkt oder indirekt zur Umsetzung von BCBS
239 beitragen. Diese sind teilweise abhängig
von kleineren Projekten. Weil die regulatorischen Anforderungen zunehmen, wird die
Durchführung der IT-Großprojekte schwierig.
Schlussfolgerungen und Empfehlungen der Aufsicht
Tabelle 3: Umsetzung und Selbsteinschätzung
Grundsatz 3 (Quelle: BCBS, 2015)
Die größte Schwierigkeit bei der Anfertigung
der Risikoberichte ist Genauigkeit.
Als Ursache für die Schwierigkeiten bei der
Umsetzung von Prinzip 7 (Genauigkeit), sehen
die Banken die uneinheitliche Terminologie und
fehlende Data Dictionaries. Gerade bei hohem
Turnus der Berichte und in Stresszeiten werden
die Schwierigkeiten zur genauen und umfassenden Aufbereitung der Daten klar.
Datentaxonomien tragen zu einer höheren
Genauigkeit der Berichte bei
Um die Genauigkeit der Berichte zu verbessern, sollten Banken Daten Taxonomien einführen und den Fokus auf IT-Infrastruktur, insbesondere Data-Warehouse-Projekte legen. Bei
der Erstellung der Berichte sollten Schlüsselkontrollen implementiert werden.
Diskussion mit der Industrie
Bei allen Instituten hat sich das Bewusstsein für
die Notwendigkeit einer effektiven Aggregation
von Risikodaten und die Risikoberichterstattung
gesteigert. Seit der Veröffentlichung von BCBS
239 im Januar 2013 wurden sowohl Senior
Management als auch Aufsichtsräte für das
/..
Thema sensibilisiert. Durch das bessere Verständnis für die Anforderungen wird der Umsetzungsstand im Vergleich zu 2013 realistischer
eingeschätzt.
Der Umsetzungsaufwand in 2015 wird seitens
des BCBS als sehr hoch eingeschätzt. Das
Komitee weist auf großen Handlungsbedarf im
Bereich IT-Infrastruktur hin. Kritisch wird vor
allem gesehen, dass sich 15 G-SIBs momentan
als Non-Compliant mit Prinzip 3 einschätzen;
und dennoch erwarten 10 dieser G-SIBs, dass
sie den Umsetzungstermin einhalten.
Das BCBS sieht die Gefahr, dass die Institute
ihre Lage zu optimistisch einschätzen. Daher
betont das Komitee den Zusammenhang der
einzelnen Grundsätze, da die vielen manuellen
Prozesse bei der Risikodaten-Aggregation die
Genauigkeit der Risikoberichte negativ beeinflussen können. Das BCBS empfiehlt, nicht nur
die Prozesse zu automatisieren, sondern auch
Data Dictionaries und Datentaxonomien sowie
Schlüsselkontrollen bei der Erstellung der Berichte einzuführen.
Die Aufsicht plant in 2015 stärker in den Austausch mit Senior Management und Aufsichtsrat zu gehen. Der Fortschritt bei ITArchitekturprojekten, der Abbau der manuellen
Prozesse und die Einführung von zusätzlichen
Kontrollen werden in 2015 ganz besonders von
der Aufsicht überwacht.
© PPI AG Informationstechnologie
Seite 4 von 5
Banken tun sich mit der Umsetzung von BCBS 239 schwer
Ihre Ansprechpartner:
Dr. Selvam Dhamotharan
Andreas Bruckner
Senior Manager
Consultant
Wilhelm-Leuschner-Str. 79
60329 Frankfurt
Wilhelm-Leuschner-Str. 79
60329 Frankfurt
Telefon: +49 69 2222942-0
Mobil: +49 170 2237938
[email protected]
Telefon: +49 69 2222942-0
Mobil: +49 15170335418
[email protected]
PPI AG
Kontaktinformationen
Die PPI AG ist seit 1984 erfolgreich für die Finanzbranche tätig – in den Geschäftsfeldern Consulting, Software Factory und Electronic-Banking-Produkte. Im
eBanking bietet PPI wirtschaftliche Standardprodukte für die sichere Kommunikation zwischen Kunde und Bank. Das Consulting umfasst strategische, bankfachliche und IT-Beratung. In der Software Factory stellt PPI durch professionelle Vorgehensweise eine hohe Qualität und absolute Budgettreue sicher.
PPI AG Informationstechnologie
Moorfuhrtweg 13
D-22301 Hamburg
Tel.: +49 40 227433-0
Fax: +49 40 227433-1333
E-Mail: [email protected]
www.ppi.de
© PPI AG Informationstechnologie
Seite 5 von 5

Download Report