BCBS 239 - Chance für effiziente Business Intelligence im Bankenumfeld

Die Europäische Zentralbank (EZB) sowie viele andere Aufsichtsbehörden erkannten in der Analyse der Ursachen der Finanzkrise 2008 unter anderem große Defizite in der IT und Datenarchitektur der Institute. Diese Defizite führten dazu, dass Risikobewertungen nicht schnell und präzise genug und nicht vollständig durchgeführt werden konnten. Kurz gesprochen: Risiken konnten weder im angemessenen Maße berichtet noch kontrolliert werden. Aus dieser Lehre heraus wurde von dem Baseler Ausschuss für Bankenaufsicht (engl. Basel Committee on Banking Supervision, kurz BCBS) der vielseits durch die Presse bekannte Standard 239 veröffentlicht, auch bekannt als „Principles for effective risk data aggregation and risk reporting“ bzw. als AT 4.3.4 der MaRisk.

Diese Institutionen sind vom Standard BCBS 239 betroffen

BCBS 239 ist eine regulatorische Vorgabe für Finanzinstitutionen. Die Umsetzung ist dabei gestaffelt nach der Systemrelevanz der Institutionen. Es werden hierbei generell drei verschiedene Abstufungen vorgesehen:

  • global systemrelevant (global systemically important banks = G-SIBs)
  • lokal systemrelevant (domestic systemically important banks = D-SIBs aka national SIFIs)
  • Sonstige (z. B. regional systemically important banks = R-SIBs)

Die Umsetzung von BCBS 239 war für die G-SIBs und D-SIBs, wie auf nachfolgendem Zeitstrahl ersichtlich, bis spätestens April 2018 vorzusehen. Für alle sonstigen Institutionen ist die Umsetzung nicht verpflichtend, wird jedoch von den Aufsichtsbehörden als wichtig und dringend empfehlenswert angesehen.


Aus dem Statusbericht der EZB zur Umsetzung von BCBS 239 von Mai 2018 ist jedoch klar zu ersehen, dass die Umsetzung bei den meisten Institutionen nicht oder nicht vollständig durchgeführt wurde. Es gibt somit noch viel zu tun!

Auch wenn BCBS 239 nur für Finanzinstitutionen eine zwingende Vorgabe ist, so sind die Transparenz, die gesicherte Qualität der Daten und die Verfügbarkeit sowie die hierfür notwendige Infrastruktur und Organisation zur heutigen Zeit, in der „die Daten das Gold der Zukunft sind“, auch ein klarer Mehrwert für Institutionen quer durch alle Branchen. Es ist somit empfehlenswert, die Grundwerte von BCBS 239 zumindest in Teilen in den BI-Strategien anderer Unternehmen mit zu berücksichtigen.

Die vier Säulen von BCBS 239

BCBS 239 beschreibt notwendige Schritte zum Wandel in der Handhabung von Daten im Bankenumfeld. Es wurden hierbei die folgenden vier grundsätzlichen und eng miteinander verbundenen Themenbereiche erkannt:

Die Etablierung einer BCBS-239-konformen Data-Governance-Organisation bzw. IT-Architektur und damit die Entwicklung einer konzern- sowie geschäftsübergreifenden Definition im Hinblick auf die Erfassung und Verarbeitung von risikorelevanten Daten ist ein wichtiger Baustein auf dem Weg zu einem BCBS-239-konformen Unternehmen. Darüber hinaus besteht auch Handlungsbedarf in den Bereichen Risk-Daten-Aggregation und Risk-Reporting, denn die Anforderungen an die Beschaffenheit und Konsistenz von Risikodaten und Risikoreports sind hoch.

Wichtig vor allem in Bezug auf international agierende Institutionen ist, dass alle beschriebenen Handlungsfelder nicht je Land isoliert betrachtet werden. Vielmehr werden durch die Aufsichtsbehörden die lokalen Umsetzungen sowie das Zusammenspiel zwischen den Ländern bzw. der Zentrale geprüft. Unstimmigkeiten durch ein isoliertes Vorgehen sind dringend zu vermeiden!

Erhalten Sie nachstehend (einfach die Überschrift aufklappen) eine vollständige Liste bzw. Übersicht mit sämtlichen Handlungsfeldern, die innerhalb des Wandels zu einer BCBS-239-konformen Institution zu berücksichtigen sind, und erfahren Sie, wie die Handlungsempfehlungen konkret aussehen!

Das Themengebiet „regulatorisch“ betrifft Empfehlungen bzw. Vorgaben für die Aufsichtsbehörden und wird deswegen hier nicht weiter betrachtet.

Übersicht Handlungsfelder

Governance & Prozesse

Data Governance 
  • Etablierung/Anpassung einer Data-Governance-Organisation mit Definition von Rollen/Prozessen.
  • Schaffung von klaren, allseits bekannten und anwendbaren Eskalationsprozessen für die Themen Data Governance.
 
Datenqualität 
  • Etablierung/Anpassung eines Datenqualitätsmanagements mit Rollen/Prozessen innerhalb der kompletten Bank.
  • Aufsetzen von bankweiten KPIs zum Messen der Datenqualität.
  • Kontrolle der Datenqualität durch Implementierung von automatischen, technischen Messungen der Datenqualität entlang der Risikoprozesskette.
  • Nachfolgende Prozesse zur Behandlung von DQ-Problemen.
  • Dokumentation/Berichtswesen entlang der DQ-Prozesse mit Verfügbarkeit für alle relevanten Risikoansprechpartner und des oberen Managements.
 
Metadatenmanagement 
  • Etablierung/Anpassung eines Metadatenmanagements mit Rollen/Prozessen innerhalb der kompletten Bank (z. B. Verantwortliche/Besitzer von Daten auf IT- und Business-Seite).
  • Ersterfassung der Daten, Logiken, Systeme, Prozesse zu risikorelevanten Daten.
  • Sicherstellung, dass die erfassten Metadaten regelmäßig und im Zuge jeglicher Änderungen gepflegt werden bzw. in den regulären Changeprozess mit eingebunden werden.
  • Bereitstellung von Metadaten, Schaffung von Transparenz in technischer und fachlicher Hinsicht innerhalb der Bank.
 

IT-Infrastruktur & Organisation

Infrastruktur 
  • Bereitstellung einer adäquaten Hard- und Softwareinfrastruktur, die die Anforderungen zum Datenmanagement und der Auswertbarkeit gewährleisten kann.
  • Vermeidung von redundanten/widersprüchlichen Systemen insbesondere als Quelle für Risikodaten.
  • Zentralisierte und neutrale Datenverfügbarkeit in Form „eines“ DWHs in der IT.
  • Automatisierung von manuellen Prozessen.
  • Abschaffung von „IT outside of IT“-Datenquellen. Wenn in Ausnahmefällen nicht möglich, Gewährleistung, dass diese vollständig dokumentiert und im Prozess gesichert sind.
  • Vermeidung/Auflösung von Datensilos.
  • Vereinheitlichung von Risikokennzahlen sowie der Namensgebung.
 
Organisation 
  • Planung und Bereitstellung von ausreichend Personal zur Bewältigung der BCBS-239-Anforderungen.
 

Datenmanagement

Genauigkeit & Integrität 
  • Die Genauigkeit der zur Verfügung gestellten Daten soll sowohl in ihrer Granularität als auch aggregiert jederzeit gewährleistet sein.
  • Regelmäßige Kontrollen, adäquate Maßnahmen sowie Prozesse müssen die Genauigkeit sicherstellen.
  • Die Konsistenz, Eindeutigkeit, Integrität der Daten ist mit Hilfe von Governance-Prozessen und -Maßnahmen zu etablieren.
 
Vollständigkeit 
  • Alle Daten, die zur Beschreibung des Bankrisikos notwendig sind, müssen zur Verfügung stehen.
  • Die Vollständigkeit der zur Verfügung gestellten Daten ist prozessual zu gewährleisten und als Status den Konsumenten transparent zu machen.
 
Aktualität 
  • Risikorelevante Daten müssen in der für das Risikocontrolling notwendigen Zeit vollständig zur Verfügung stehen.
  • Die Verfügbarkeit richtet sich nach der Kritikalität des Geschäfts sowie der Prüfungs- und Testanforderung, sollte jedoch mindestens monatlich gewährleistet sein.
 
Anpassungsfähigkeit 
  • Die Datenarchitektur muss so gewählt sein, dass in Hinblick auf Komplexität und Reaktionszeit eine einfache Anpassung möglich ist für
    • neue Daten
    • zusätzliche Kennzahlen
    • zusätzliche Aggregationen
    • Abbildung neuer/geänderter Business-Prozesse
  • Individuelle Ad-hoc-Anforderungen des Risikomanagements sowie Anforderungen zu Stress-/Krisenszenarien aus regulatorischer Sicht müssen einfacher und zeitnah beantwortbar sein.
 

Risk-Reporting

Genauigkeit 
  • Die Genauigkeit und Präzision von risikorelevanten Auswertungen ist zu gewährleisten.
 
Umfang/Vollständigkeit 
  • Risikoauswertungen müssen Kennzahlen zu allen risikorelevanten Geschäftsbereichen beinhalten.
  • Die Auswertung nach allen Sichten, die für das Risiko relevant sind, muss möglich sein.
  • Auswertungen müssen neben der Vergangenheit auch die Zukunft berücksichtigen. Die Erwartung ist, dass die Auswertungen vorausschauend in Bezug auf Kennzahlen, aber auch auf Geschäftsfelder sind.
 
Verständlichkeit/Nutzen 
  • Es muss sichergestellt sein, dass der Inhalt der Berichte die fachlichen Anforderungen abdeckt und verständlich ist.
  • Die Transparenz der verwendeten Informationen, Logiken und Quellen ist sicherzustellen.
  • Alle Auswertungen sind mit ihren Detaildaten, fachlichen Anforderungen, Empfängern/Ownern, Kritikalität zu katalogisieren.
  • Ein Prozess ist zu etablieren, der Umfang, Inhalt, Sinnhaftigkeit der Berichte regelmäßig überprüft/hinterfragt.
 
Granularität/Zyklus 
  • Risikoauswertungen bzw. deren Daten müssen in der fachlich als notwendig definierten Zeit und Granularität zur Verfügung stehen.
  • Die Verfügbarkeit in Zeit und Granularität sollte Bestandteil einer regelmäßigen Kontrolle sein.
  • In kritischen Zeiten (z. B. Krisenzeiten) sind Risikoauswertungen insbesondere der signifikanten Kennzahlen deutlich schneller zur Verfügung zu stellen. Im Bedarfsfall muss die Verfügbarkeit innerhalb eines Tages gewährleistet sein.
 
Empfänger 
  • Die Empfänger von Risikoauswertungen sind nach dem „Need to Know“-Prinzip vorzusehen: fachlich notwendig, aber unter Berücksichtigung der Vertraulichkeit.
  • Die Verfügbarkeit der Risikoauswertungen für die fachlich notwendigen Personen ist nicht nur zu gewährleisten, sondern auch nachzuweisen.
 

Mit diesen Schritten den Weg zur BCBS-239-konformen Organisation erfolgreich meistern

BCBS 239 ist keine einmalige Anstrengung, die, wenn einmal implementiert, fertig und abgeschlossen ist. Vielmehr ist es ein Kreislauf, der bei der Erstrealisierung anfängt und in einer sich stetig verändernden Welt regelmäßig geprüft und angepasst werden muss.

Aus der langjährigen Projekterfahrung von b.telligent hat sich das strukturierte und organisierte Planen von Maßnahmen der folgenden Themenbereiche als effiziente Vorgehensweise entwickelt:

  • Datenstrategie
  • Data Governance
  • Datenarchitektur/Datenintegration
  • Reporting

 


Spezialisten aus allen vier Bereichen sollten dabei stets die Konformität nach den BCBS-239-Prinzipien prüfen, um eine ausgearbeitete Handlungsstrategie sowie konkrete Maßnahmen hinsichtlich der umzusetzenden Prozesse sowie der technischen Realisierung ableiten zu können.

1. Datenstrategie

Der Start eines jeden BCBS-239-Projektes sollte idealerweise durch sogenannte Quick Checks in den Bereichen Governance & Infrastruktur, Risk-Daten-Aggregation sowie Risk-Reporting (s. o.) erfolgen. Diese decken sowohl die fachlichen als auch die technischen Aspekte ab und sollten im Rahmen einer stetigen Kontrolle in weiteren Zyklen wiederholt stattfinden.

2. Data Governance

Data Governance umfasst die Definition der Hoheit/Verantwortung von Systemen, Daten, Kennzahlen und Business-Prozessen. Die Dokumentation und Einhaltung solcher Rollen/Aufgaben sind die theoretischen und fachlichen Grundlagen der regulatorischen Anforderungen. Notwendige Handlungsfelder in diesem Bereich werden aus den Analysen der Datenstrategie ermittelt.

3. Datenintegration und -architektur

Aus technischer Sicht wird die Unterstützung im DWH und Berichtswesen für die folgenden BCBS-239-Themen benötigt:

  • Governance & Infrastruktur
  • Risk-Daten-Aggregation
  • Risk-Reporting

Aus den Analysen der Datenstrategie sowie den Definitionen der Data Governance und den aus den gelebten Prozessen ermittelten technischen Handlungsfeldern ergibt sich ein Großteil der Aufgaben für diesen Punkt.

Für die Bereiche Datenintegration, Datenbanken sowie Berichtswesen kann auf die Toolexpertise der b.telligent-Partner zurückgegriffen werden. Gerne unterstützt b.telligent als anbieterunabhängige Unternehmensberatung bei einer möglichen Toolevaluierung. Zum Thema Data Governance und Datenqualitätsmessung wird der Einsatz von am Markt üblichen Tools empfohlen.

Zum Abschluss eines jeden Entwicklungszyklus sollte eine Prüfung durch eine neutrale Stelle wie z. B. durch die interne Revision erfolgen. Das Ergebnis einer solchen Prüfung kann als Input zum nächsten Entwicklungszyklus dienen.

Sie haben weitere Fragen zum Thema BCBS 239 und dazu, wie auch Ihnen der Weg zu einer BCBS-239-konformen Organisation gelingt? Kontaktieren Sie mich gerne!

Referenzen

Principles for effective risk data aggregation and risk reporting, Januar 2013, https://www.bis.org/publ/bcbs239.pdf

Rundschreiben 09/2017 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk, 27.10.2017 https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/2017/rs_1709_marisk_ba.html?nn=8249098

Report on the Thematic Review on effective risk data aggregation and risk reporting, Mai 2018 https://www.bankingsupervision.europa.eu/ecb/pub/pdf/ssm.BCBS_239_report_201805.pdf

Views: 268
clear

Kontakt

Stefan Steinhaus
Principal Consultant Data Strategy
DE +49 (89) 122 281 110
CH +41 (44) 585 39 80