Neuer Fortschrittsbericht zu BCBS 239: Nicht nur Kritik, sondern auch Lob
BCBS 239: Licht und Schatten
Es sind nicht in erster Linie millionenschwere IT-Projekte, die Banken zum Erfolg führen.
Keyfacts:
- Vor mehr als zehn Jahren hat der Basler Ausschuss BCBS 239 veröffentlicht – in einem neuen Fortschrittsbericht mahnt der Standardsetzer nun erneut Umsetzungslücken an.
- Bei genauer Betrachtung zeigen sich bei Banken Licht und Schatten.
- Mit den passenden Maßnahmen gewinnen Banken schnell Tempo und Wirkung bei der Umsetzung.
Ausgerechnet: Es ist noch nicht lange her, da jährte sich die erste Veröffentlichung des BCBS-239-Standards des Basler Ausschusses zum zehnten Mal. Und dann, Ende November, nur wenige Monate später, mahnte der Standardsetzer mit deutlichen Worten Umsetzungslücken und Defizite im Datenmanagement von Finanzinstituten an.
Banken verbinden bereits eine lange und wechselvolle Geschichte mit dem Standard BCBS 239, der 2013 veröffentlicht wurde. Er enthält Grundsätze über die Aggregation von Daten, das Datenmanagement und die Risikoberichterstattung für Kreditinstitute. Und immer wieder hat der Ausschuss als globaler Standardsetzer in der Vergangenheit Fortschritte angemahnt und deutlich gemacht, dass ihm die Umsetzung an vielen Stellen nicht schnell genug erfolgt.
Kritik ist verständlich, aber kein Anlass zu verzagen
Banken und ihre Partner schauen also genau hin, wenn der BCBS einen neuen Stand veröffentlicht – so auch wir. Und wir sind der Auffassung: Die Kritik des Standardsetzers ist verständlich, aber gerade mit Blick auf Deutschland kein Anlass zu verzagen. Wie kommen wir zu diesem Ergebnis?
Beginnen wir mit der Kritik. Verständlich ist die Sicht des Basler Ausschusses, weil die Umsetzungsfrist bei der Erstveröffentlichung für global system-relevante Institute auf drei Jahre festgesetzt wurde. Jetzt ist mehr als drei Mal so viel Zeit vergangen und nur zwei von 31 betrachteten Banken konnten laut dem Bericht volle Compliance mit den Grundsätzen sicherstellen.
Wer den Report liest und auch die Aufsichtsprüfungen (On-site Inspections, kurz: OSIs) der Europäischen Zentralbank (EZB) der vergangenen Monate reflektiert, der erkennt außerdem: Die Geduld der Aufsicht kommt an ein definitives Ende. Der Ton der EZB gegenüber den Banken wird deutlich schärfer – das spricht aus Formulierungen im Bericht sowie aus weiteren Äußerungen der Aufsicht.
Der Bericht spricht unter anderem davon, dass „bei allen Banken zusätzliche Arbeit“ erforderlich sei und dass es „keinen einzigen Grundsatz“ gebe, der von allen Banken vollständig umgesetzt wurde.
Erhebliche Auswirkungen auf die Institute absehbar
Defizite sieht der BCBS vor allem in den folgenden Bereichen begründet: mangelnde Priorisierung, unzureichende Verantwortungsnahme des Vorstands, wenig ganzheitliche und inkonsistente Steuerung und Betrachtung des Datenmanagements und Probleme bei der Verbesserung von Datenarchitektur und der IT-Infrastruktur. Verfestigt wird der mangelnde Fortschritt auf dem Weg zur BCBS-239-Compliance dabei aus der Sicht des BCBS weiter durch die fragmentierte IT-Struktur, veraltete Systeme und eine Vielzahl an manuellen Prozessen entlang der Datenaggregation.
Aus diesem Grund wird von den Aufsichtsbehörden weiterhin besonderes Augenmerk auf die Umsetzung und die Operationalisierung von BCBS 239 gelegt. Es ist daher weiter mit umfangreichen aufsichtlichen Prüfungshandlungen in den kommenden Jahren zu rechnen. Dies zeigt sich auch in den Empfehlungen des BCBS an die Aufsicht, weitere OSIs, Deep-Dive-Übungen/Reviews zu besonderen Themen, Fire Drills zur Reportingfähigkeit sowie Self-Assessments bei den beaufsichtigten Instituten durchzuführen.
Neben Schatten auch viel Licht
Trotz aller Kritik: Unserer Auffassung nach ergibt sich, mit Blick auf die erreichten Fortschritte, ein anderes Bild, wenn man auf Banken in Deutschland schaut. Hier gibt es einige gute Beispiele, wie das Datenmanagement mittels beherrschbarer Projekte besser aufgestellt werden kann. Erfolgreiche Institute sind folgende Schritte gegangen:
- Tone from the Top: Proaktive Einbindung des Vorstands, der BCBS 239 für sich zu einer Top-Priorität erklärt hat. Vom Formulieren von Anforderungen an die Datenqualität bis zum Monitoring des Issue Managements wird das Thema von oben vorgelebt und in die Bank getragen.
- Veranwortungsnahme: Das begünstigt, dass auf allen Ebenen Verantwortung für die Umsetzungsarbeiten übernommen wird – vom Management bis zum Data Owner.
- Praxisnahe Konzepte und innovative Roll-Outs: Eine Data Governance ist schnell verfasst. Erfolgreiche Banken erwecken sie auch zum Leben und schaffen damit ein klares Rollen- und Verantwortungsbewusstsein für die Anbieter und die Abnehmer von Daten.
- Datenqualität mit klarer Impact-Messung: Das stellt die Datenqualität sicher, weil sie in klarer Verantwortung liegt. Bei größeren Problemen kann darüber hinaus die Unterstützung des Vorstands durch das Reporting zeitnah eingeholt werden – und Remediation-Aktivitäten können starten.
Diese kurze Liste zeigt: Es sind nicht ausschließlich Millionen-Projekte und umfangreiche IT-Umstrukturierungen, die zum Erfolg führen. Der Wille zur Veränderung und klare Verantwortlichkeiten sind im Vergleich schneller umzusetzen und wirken als große Treiber auf dem Weg zur Compliance.
Schnell eine Basis schaffen und Maßnahmen zur Führung, Überwachung und Entwicklung ergreifen
Was ist also zu tun? Unser Vorschlag lautet: Konzentrieren Sie sich in einem ersten Schritt auf die Maßnahmen, die einen großen und entscheidenden Veränderungshebel bieten. Mit ihnen lassen sich Ergebnisse erzielen, ohne langwierige Infrastrukturprojekte neu aufzäumen zu müssen. Dazu zählen vor allem drei Maßnahmen:
- Am Anfang steht die starke Einbindung von Vorstand und Geschäftsleitung: BCBS 239 wurde definiert, um den Vorstand zu besserer Risikosteuerung zu befähigen. Fragen Sie sich ehrlich: Übernimmt der Vorstand wirklich die Verantwortung für die Überwachung der Entwicklung, Umsetzung und Pflege robuster Data-Governance-Rahmenwerke? Und versteht er, worauf es im Datenmanagement wirklich ankommt?
- Eine Kultur der Eigenverantwortung für Datenmanagement im gesamten Unternehmen schaffen: Hierbei kommt es darauf an, dass alle Mitarbeitenden den Blick für das haben, was im Datenmanagement wirklich gefordert ist und worauf es ankommt. Es stellt sich auch die Frage, ob das Datenmanagement sauber, redundanzfrei und konsistent im Target Operating Model (TOM) verortet ist. Erzeugen Sie Betroffenheit und Verständnis bei den operationalisierenden Einheiten. Nur so kann Umsetzung gelingen.
- Eine solide Datenqualität sicherstellen: Das erreichen Institute, indem sie die Data Governance und Data Quality-Messprozesse nicht nur in der Banksteuerung ausrollen, sondern End-to-End – also auch bei den datenerfassenden Mitarbeitenden bis hin in den Vertrieb. Für ihre Arbeit ist es unabdingbar, theoretische Anforderungen in greifbare und nahbare Konzepte zu überführen. Ein wichtiger Erfolgsfaktor in der Umsetzung von BCBS 239 ist es deshalb auch, die Datenkompetenzen der Mitarbeitenden aufzubauen und weiterzuentwickeln.
Unabhängig von der Institutsgröße: Auf vielfältigen Praxiserfahrungen aufbauen
Noch ein Tipp: Sparen Sie nicht an der Projektsteuerung: Komplexe Projekte wie diese brauchen klare Ziele, durchdachte Roadmaps und eine stringente Organisation in der Umsetzung. Wer das vernachlässigt, erhält in der Regel keine guten Ergebnisse.
Nach mehr als zehn Jahren BCBS 239 und mehreren Fortschrittsberichten lautet unser Fazit daher: Aufsicht und Banken verfügen heute über einen anderen Wissens- und Erfahrungsschatz zu BCBS 239. Es gibt mittlerweile viele Praxiserfahrungen, auf die sich aufbauen lässt – in Banken unterschiedlicher Größe. So lässt sich auf dem Weg zur nächsten Umsetzungsfrist schnell Strecke machen.
BCBS 239
BCBS 239 definiert konkrete Anforderungen an die Datenhaltung, Datentransfer und Risiko-Reporting-Systeme bei Banken. Für viele Finanzinstitute ist die Umsetzung mit signifikanten Investitionen in ihre IT-Landschaft, Infrastruktur, Aufbau-und Ablauforganisation der Steuerungsbereiche verbunden.
Jetzt mehr erfahren