BCBS 239: Risikodaten und Risikoberichterstattung

Stehen wirklich alle Aspekte im Fokus und welche Schwierigkeiten ergeben sich für ASP-Organisationen?

16. April 2015Ulrich Rieckert

Mit der Finanzkrise, die im Jahr 2007 begann, wurde deutlich, dass Banken dringenden Verbesserungsbedarf bei der Performance ihrer Risiko-IT haben. Angehäufte Risiken konnten nicht rechtzeitig und genau genug aggregiert werden, um ihnen effektiv entgegenzusteuern. Der Basler Ausschuss für Bankenaufsicht (Basel Committee on Banking Supervision – BCBS) hat darauf mit dem Grundsatz 239 reagiert. 

Was war der Anlass für die Bankenaufsicht, den BCBS 239 aufzusetzen?

Die Finanzkrise zeigte, dass die Institute die Steuerung ihrer finanziellen Risiken über alle Ebenen hinweg nicht sinnvoll durchführen konnten. Die Institute waren nicht in der Lage, die heterogene Welt der verteilten Daten und deren Quellen, die aus vielfältigen Einzelsystemen Risikodaten erzeugen, entsprechend konsolidiert darzustellen. So wurden in der Datenaggregation und im Reporting juristisch gültige Daten produziert, die dann aufgrund fehlender Einbindung eine fatale „ex post“ bilanzielle Auswirkung hatten. Dramatisches Beispiel für Fehlbewertungen und deren immanente Buchungsfehler waren die Schattenbuchhaltungsverfahren von Verbriefungs-Konstrukten während der Finanzkrise 2007.

Um diesen Fehlern vorzubeugen  und der Erzeugung risikorelevanter Daten für die IT-Infrastruktur und Datenarchitektur einen bindenden Charakter zu verleihen, wurde mit BCBS 239 eine Regelung im Sinne einer allgemein verbindlichen Qualitätsanforderung geschaffen. Die darin enthaltenen Grundsätze (Principles) sollen ein besseres Verständnis sowie eine frühzeitige Einbindung der Risikosituation in Entscheidungsprozesse ermöglichen.

Für Controlling-Daten und deren einheitliche Führung im Datawarehouse und Data-Mart gibt es den Empfehlungen der Aufsicht folgend Lösungsansätze. Wesentlichen Anforderungen zur Verbesserung der Infrastruktur, der Informationsverwaltung und der schnelleren Verfügbarkeit können somit Rechnung getragen werden.

Für die Plausibilisierung von Rechenprozessen in EXCEL- oder Access-Datenbanken gibt es gleichermaßen technologische Ansätze, um den Anforderungen der Aufsicht zu genügen.

Kernaussagen und Anforderungen der BCBS 239

  • Schaffung eines einheitlichen Reportings
  • Daten müssen durch übergreifende Schlüssel, Herkunft, Unique Identifier nachvollziehbar sein
  • Fachprozesse müssen entsprechend abgestimmt sein
  • Datenaggregationsstufen müssen von Risikodaten konzipiert werden
  • Einheitliche Zuständigkeiten, Zuordnungen von Ziel-Datenmodellen und Quellsystemen müssen transparent vorliegen
  • Einheitliches Change- und Release-Management muss eingerichtet werden

Doch es klafft noch eine Lücke zwischen den Anforderungen von BCBS und den tatsächlichen Umsetzungsmöglichkeiten in Unternehmen. So kollidieren sie oftmals mit Grundsatz 3 der BCBS, der „Genauigkeit und Integrität“ besagt. Mit dieser Voraussetzung ist es oftmals schwierig und nur mit zeitlichem Verzug möglich, Basis- und abgeleitete Risikodaten zu erheben..

Das betrifft vor allem auch Organisationen, die heute eine eigene Fertigungstiefe von nur noch 30% oder weniger haben und eine Vielzahl von wertschöpfenden Prozessen, seien diese vom Charakter her wesentlich oder „unwesentlich“, im Outsourcing-Modell betreiben. Ein einheitlicher Ansatz zur Aktualität und Messung der Qualität innerhalb der „ASP-Organisation“[1] ist hier besonders wichtig. Es gibt zwar ein laufendes Reporting der Outsourcing-Rechenzentren zum Auftraggeber, aber ein Nachhalten in Richtung „Operationelles Risiko“ ist noch nicht durchgängig gegeben, da die „Service Level Agreements“ zu unterschiedlich oder historisch gewachsen sind.

Was folgt daraus? Eine Messung der Beziehungsqualität zwischen ASP-Geber und ASP-Nehmer ist aus Gründen von Qualitätsschwankungen erforderlich. Dies wird zwar durch ein automatisiertes Reporting aus den Rechenzentren gewährleistet, doch oft wird bei Änderungen strategischer Prozesse wie Kunden- und Kontenverwaltung die Auswirkung einer Anpassung der „Wege-Verlagerung“ vernachlässigt. Gerade wenn als Outsourcing-Partner nur ein Rechenzentrum zur Verfügung steht, können spezifische Risiken wie personelle Abhängigkeiten, Abhängigkeit von Bedingungen aus User-Group-Formulierungen oder Kapazitätsengpässe eine hohe Priorität erhalten.

Eine Methode, hier ein Frühwarnsignal an das Management zu geben, ist, die kondensierte Sammlung und Bewertung aller Risiken aus allen ASP-Prozessen nach einem standardisierten Verfahren vorzunehmen und diese zentral zu steuern.

Ein Beispiel dafür habe ich unten aufgeführt. Ein allgemeiner Katalog für die Bewertung ausgelagerter Basisprozesse ist zudem frei zugänglich.

Jedes Unternehmen sollte sich aber eine eigene Definition zur regelmäßigen Messung der ASP-Servicequalität zulegen. Besonders dann, wenn ASP-Projekte abgeschlossen wurden und eine Erfahrungsfrist von einem Jahr vorliegt. Das A und O ist die Vernetzung dieser Daten mit Aussagen des Operationellen Risikos. So kann eine Argumentationshilfe bei

  • einem optionalen In-Sourcing
  • aufsichtsrechtlicher Prüfung
  • weiteren Outsourcing-Projekten

oder bei immer wiederkehrenden Störsituationen gegeben werden.

Ein Hilfsmittel zur Schaffung entsprechender zentraler Risikodaten im Sinne einer „Verhaltens-Messung“ und Operationalisierung kann über eine Gewichtung erfolgen:

  • Kriterien für einen ausgelagerten Basisprozess
  • Bewertung und Dokumentation (Beschreibung, Verweis)
  • Position des Teilprozesses in der Wertschöpfungskette
  • Höhe der Risiken und Operationalisierung

BCBS 239

Beispiele für komplexe Bewertungsprozesse sind:

Wie bewerte ich die

  • Abhängigkeit von personellen Ressourcen beim ASP-Lieferanten oder die
  • Abhängigkeit von „technisch überalterten“ Lösungen, die zwar wartungsintensiv aber wenig störanfällig sind?

Gerade in Grundsatz 4 der BCBS wird nach Vollständigkeit der Risikodaten gefragt. Der Mensch jedoch drückt gerne mal ein Auge zu…

Wie setzt Ihr Unternehmen die Anforderungen aus BCBS 239 um? Mit welchen Problemen sehen Sie sich konfrontiert? Oder welche Verbesserungen haben sich für die Einstufung von Risikodaten durch die Umsetzung ergeben? Ich freue mich auf den Erfahrungsaustausch.

[1] Application Service Providing: Outgescourcte IT-Dienstleistung

Ulrich Rieckert Ulrich Rieckert ist Managing Consultant in der LOB Banking bei adesso. Seine fachlichen Schwerpunkte liegen im Risikomanagement, Compliance, Transactions & Payments und in der Regulatorik.
Artikel bewerten:
1 Star2 Stars3 Stars4 Stars5 Stars
Loading...

Kommentar hinzufügen:

Ihr Kommentar: