EZB pocht mit neuer Leitlinie auf wirksame Fortschritte zum Datenmanagement

Keyfacts:

• Die von der EZB beaufsichtigten Institute werden in Sachen Datenmanagement derzeit besonders eng überwacht.
• Zuletzt markierte ein ernüchternder Fortschrittsbericht zur Umsetzung des Standards BCBS 239 die Dringlichkeit des Themas.
• Jetzt pocht die EZB mit der finalen Version ihres Leitfadens zum Datenmanagement noch einmal auf eine umfassende Compliance.

Vor etwas mehr als zehn Jahren veröffentlichte der Basler Ausschuss für Bankenaufsicht (BCBS) den Standard BCBS 239 und formulierte darin erstmals umfassende Anforderungen an das Datenmanagement in Kreditinstituten. Heute fällt die Umsetzungsbilanz nüchtern aus.

Das ist nicht in erster Linie unsere Einschätzung. Es war die Europäische Zentralbank (EZB), die jüngst eine anhaltende Trägheit der Banken bei der Umsetzung der Anforderungen aus BCBS 239 kritisierte. Sie kündigte sogar umfassende Sanktionsmaßnahmen an, um die von ihr beaufsichtigten Institute zu mehr Umsetzungsdisziplin zu bewegen.

Viele können ein Lied davon singen, sind sie doch schon jetzt mit Aufsichtsprüfungen in Form von On-Site Inspections, Deep-Dives oder Targeted Reviews konfrontiert. Jetzt hat die EZB noch einmal nachgelegt: Anfang Mai dieses Jahres wurde der finale Leitfaden (Guide) zu einer effektiven Risikodatenaggregation und -berichterstattung veröffentlicht, basierend auf dem Konsultationsentwurf aus dem Juli 2023. Was ist neu?

Finaler EZB-Leitfaden bestätigt umfängliche Anwendung der BCBS 239 Grundsätze

Der Leitfaden ist Teil der erweiterten Strategie der EZB, mit der die Banken endlich substanziellen Fortschritt in der Behebung ihrer strukturellen Mängel in der Risikodatenaggregation erzielen sollen. Man könnte es auf die Formulierung bringen: Die Zeiten, in denen man nur so hoch springt, wie der Regulator es gerade verlangt, sind vorbei. Stattdessen pocht die EZB weiter und noch einmal deutlicher auf eine umfassende Compliance.

Im Detail formuliert die Aufsicht im Leitfaden ihre Erwartungen entlang von sieben „Areas of Concern“, was man wohl mit „Problembereichen“ übersetzen muss. Sie reichen von der Verantwortung des Vorstands und den Anwendungsbereich über die Data Governance, die Datenarchitektur, das Datenqualitätsmanagement und das Reporting bis hin zu den Umsetzungsprogrammen.

Besonders erwähnenswert sind folgende Konkretisierungen im Vergleich zum Konsultationsentwurf:

• Der Vorstand wird im EZB-Leitfaden mit deutlichen Worten in die Verantwortung genommen und sollte für die Definition und Umsetzung von BCBS 239 verantwortlich Die Auswahl eines oder zweier Mitglieder des Vorstands für BCBS 239 erleichtere die Umsetzung und stelle sicher, dass die Data Governance auf Ebene des Leitungsorgans ausreichend wahrgenommen wird. Die Ernennung des Chief Risk Officer – eventuell gemeinsam mit dem Chief Financial Officer – als Verantwortliche(r) wird als pragmatische Lösung angesehen.

• Aufsichtliche Meldungen und Finanzberichte sollen in den Anwendungsbereich von BCBS 239 aufgenommen werden, so die EZB – das betreffe auch die wesentlichen enthaltenen Kennzahlen. Für aufsichtliche Meldungen muss der Anwendungsbereich mindestens die FINREP/COREP-Meldungen einschließlich der Short-term Exercises, die Ergebnisse im Rahmen der EU-weiten EBA-Stresstests und der SREP-Stresstests (Supervisory Review and Evaluation Process, jährlicher Überprüfungs- und Bewertungsprozesses der Aufsicht) umfassen, außerdem die Offenlegung der Säule 3. Anders als für die Risikoberichterstattung seien für aufsichtliche Meldungen „bestimmte Grundsätze“ – wie Häufigkeit oder Klarheit und Nutzen – nicht anwendbar, da sie von den Regulierungs- und/oder Aufsichtsbehörden vorgegeben sind.

• Der Data-Governance-Rahmen sollte vereinbarte Service-Level-Standards sowohl für ausgelagerte als auch für interne Prozesse im Zusammenhang mit Risikodaten enthalten (zum Beispiel zwischen verschiedenen Daten-Ownern sowie zwischen Daten- Ownern und Datennutzern).

• Die Herkunft von Daten und deren Fluss angeben zu können, wird als Data Lineage bezeichnet. Eine Data Lineage erst bei Bedarf („on demand“) zu erstellen, sei nicht ausreichend, schreibt die EZB. Die fachliche und technische Data Lineage sind auf Ebene der verwendeten Datenattribute zu erstellen.

BCBS 239 ist tot – lang lebe BCBS 239: EZB-Leitlinie markiert Dringlichkeit

Jüngere Ergebnisse aus aufsichtlichen Prüfungen zu BCBS 239 lassen erwarten, dass der Leitfaden bei künftigen EZB-Prüfungen Anwendung finden und bei Nichterfüllung zu sogenannten Feststellungen durch die Aufsicht führen wird.

All das – die Summe aus laufenden EZB-Prüfungen, der Androhung massiver Sanktionen bis hin zu täglichen Strafzahlungen in signifikanter Höhe und die Konkretisierung der Erwartungen der europäischen Bankenaufsicht an das Datenmanagement – bringt eine ungeahnte Dynamik in die Umsetzung von BCBS 239, die die Banken schon längst abgeschlossen geglaubt hatten.

Wir empfehlen den Instituten, ihre bestehenden Auslegungen und Richtlinien zu BCBS 239 im Lichte der nun noch einmal klargestellten aufsichtlichen Erwartungen der EZB zu überprüfen und frühzeitig mögliche Lücken durch Anpassungen in den noch laufenden Umsetzungsaktivitäten zu schließen oder bereits etablierte Prozesse um die relevanten Aspekte zu erweitern. Die notwendigen Investitionen im Vorfeld von Prüfungen sind erfahrungsgemäß deutlich kleiner als umfangreiche Remediation-Programme.

Eine solche Neuausrichtung der BCBS 239-Compliance birgt dabei auch eine große Chance – nämlich die, das Datenmanagement als Funktion in der Bank wirkungsorientiert aufzusetzen und als Enabler in der Bank im Spannungsfeld zwischen Fachbereichen und IT zu positionieren.

So kann das Datenmanagement den Sprung vom technokratischen Standardsetzer hin zum Service-Provider für das Risikomanagement, die Finanzfunktion und das Regulatory Reporting schaffen, indem es Mängel in der Datentransparenz, der Datenverfügbarkeit und der Datenqualität adressiert und behebt.

Langfristig hat das zentrale Datenmanagement damit auch das Potenzial, als Inkubator für innovative datengetriebene Anwendungsfälle Wirkung zu entfalten und Banken auf den Weg hin zu einer datengetriebenen Organisation auszurichten.

Denn ob Regulatorik, ESG oder künstliche Intelligenz: Entwicklungen in mehreren, für Banken zentralen Bereichen machen die Themen Daten und Datenmanagement zur Aufgabe mit Dringlichkeitsvermerk.

Nicht umsonst werden allerorten in den Häusern Datenstrategien geschrieben und Chief Data Officers mit den vielfältigen Arbeiten betraut. Institute sollten daher umschalten vom Erfüllen von Vorgaben hin zum Vorausdenken in Sachen Daten für das Business. Jetzt ist der richtige Moment dafür.