Bis 2016 sollen Banken die Schwachstellen bei Daten, Systemen und Prozessen in ihren IT-Infrastrukturen ausbessern um auch in Stress- und Krisensituationen effektiver Risikodaten aggregieren und reporten zu können. Was ist zu tun?
Wo stehen die Banken?
Fast 100% – Das hört sich doch erst einmal gut an. Auf den zweiten Blick weniger: Bei einem Bremsenhersteller bedeutet das Erreichen eines Qualitätsniveaus von 99,9%, dass rund jedes tausendste Auto einen auf Bremsversagen zurückführenden Unfall hätte. Also sicher kein Grund zu feiern.
Umso interessanter sind die Reaktionen vieler Banken auf das jüngste BIS Self Assessment: 30 global-systemrelevante Banken wurden befragt, wo Ihre Risikomanagementsysteme stehen. Ganz konkret ging es um die Einhaltung der Anforderungen aus BCBS 239. In 14 Grundsätzen formulieren die Aufseher dort 239 Anforderungen für Risikoaggregation und –reporting, welche die Banken bis Jahresbeginn 2016 zu erfüllen haben. Ein ausführliches Themendossier mit Praxisbeispielen und Kommentierungen der Aufsichtsbehörden können Sie hier kostenfrei bestellen.
Das Ergebnis der Befragung kann in Schulnoten wohlwollend als „2-“ interpretiert werden. Oft gehörte Kommentare dazu sind „Wo ist das Problem, wir sind doch schon nahe dran“, oder „Das letzte Bisschen ist doch den ganzen Aufwand nicht wert“. Diese Reaktionen sind im Grunde überraschend. Denn klar ist: Angesichts der Lektionen aus der Finanzkrise ist beim Thema Risikomanagement die „Note 1“ gerade gut genug. Gutes Mittelfeld in der Risikomessung ist auf Dauer nicht ausreichend, mit 0,01% fehlendem Qualitätsniveau endet der Wagen eben in der Wand – und nicht davor.
Die positive Nachricht: Mit BCBS 239 kommen Entwicklungen auf die Tagesordnung, die sich CROs und Risikoanalysten der Häuser zwar schon lange wünschen, die aber für eine realistische Umsetzungschance nie hoch genug priorisiert waren. Denn es geht nicht nur darum, „einfach“ das Reporting und die Analytik zu erneuern – es geht um eine zuverlässige, risikoadäquate und vorstandsgerechte Steuerungsgrundlage.
Das Tempo drückt den Schuh
Was Banken also Kopfschmerzen bereitet, ist weniger das Ansinnen einer verbesserten Datenhaltung und Risikoberichterstattung. Es ist das Tempo und die Flexibilität die Basel fordert. Noch pflegen einige Institute einen quartalsweisen Berichtsrhythmus, aber die deutsche Aufsicht erwartet einen kompletten konzernweiten Risikobericht beim Vorstand schon 10 Tagen nach Monatsultimo. Hinzu kommt: Heutige Berichte sind meist starre Standard-Reports deren Erstellung Wochen dauert. Mit BCBS 239 gehören aber die Fähigkeit flexibler Ad-hoc-Analysen, Simulationen oder auch Stresstests jederzeit und nahezu in Echtzeit durchführen zu können nicht mehr zur „Kür“, sondern zur Pflicht.
Pflichtprogramm statt Kür
Die Selbsteinschätzung der systemrelevanten Banken zeigt, dass es noch Luft nach oben gibt – rund ein Drittel der befragten Banken räumt ein, dass die Kapazitäten zur Aggregation der Risikodaten noch nicht geschaffen wurden. Aber jetzt kommen die Änderungen: Selbst tiefgreifende, strukturelle Maßnahmen wie etwa zur Herstellung eines „Single Point of Truth“ in der Datenhaltung einer Bank sind nun keine Option mehr, sondern verpflichtend. Mit improvisierten Lösungen sind die Forderungen aus Basel kaum nachhaltig umzusetzen, denn halbherzige Upgrades bestehender Strukturen schaffen mehr Probleme, als sie lösen. Das zeigt sich etwa beim Thema Geschwindigkeit: „Echtzeit“ im Risikomanagement ist für die meisten Banken noch ein Fernziel. Funktionierende Lösungen dafür gibt es schon seit einiger Zeit – und BCBS 239 wird somit zum Vehikel der technischen Erneuerung. Von der Automation profitieren nicht nur die Geschäftsleitung, sondern noch mehr die Risikocontroller und -manager. Ihnen bieten Analytics-Lösungen nicht nur vordefinierte Prozesse, sondern auch die Möglichkeit zu flexiblen Adhoc- Abfragen. Das bedient dann auch die Bedürfnisse der eisernen Verfechtern von Office-Produkten – die bisher noch eine der größten Hürden in diesem Change-Prozess darstellen.