REGULIERUNG ETABLIERUNG EINER BCBS 239-EVIDENZ Banks Could, Banks Should! Banken könnten und Banken sollten eine BCBS 239-Evidenz einrichten. Allerdings haben Interne Revision und Compliance im weiteren Sinn ähnliche Aufgaben. Warum also Redundanzen schaffen? Unser Autor sagt: Weil die BCBS 239-Evidenzstelle auch Soll- bzw. Zielbildvorgaben, sog. „Umsetzungsleitplanken“, entwickelt, wodurch eine eigenständige Einheit mit eindeutigem Profil und hohem Nutzen für das Institut entsteht. Als Folge aus der Finanzkrise 2007 / 2008 hat der Ausschuss für Bankenaufsicht mit den Grundsätzen für Risikodatenaggregation und Risikoberichterstattung (BCBS 239) die regulatorischen Anforderungen an Banken verschärft. Anschließend wurden Fortschritte für die interne Umsetzung des Datenmanagements veröffentlicht. Dabei wird die Grundsatzorientierung im aktuellen Papier BCBS 399 konkretisiert, bis hin zu Beispielen, wie Banken einzelne Grundsätze oder Textziffern erfolgreich umgesetzt haben und welche Maßnahmen nicht geeignet sind. Die elf für Banken relevanten Grundsätze lassen Interpretationsspielraum zu, um dem heterogenen Bankensektor und seiner jeweiligen IT-Landschaft gerecht zu werden und ihnen Umsetzungsalternativen zu gestatten, gemäß dem Leitspruch „Banks Could, Banks Should“. In nicht wenigen Häusern führt die Interpretation der BCBS 239 zu Verunsicherung und damit zu zeitlicher Verzögerung oder zumeist inhaltlicher Überarbeitung. Gelegentlich dient sie sogar als Show-Stopper. Aus dem Zusammenspiel der Grundsätze der Richtlinie mit den derzeit vier Fortschrittsberichten ergibt sich ex post ein klarer Rahmen, aus dem sich ein Zielkorridor für ein Umsetzungsprojekt ableiten lässt. Quellensuche Die Interpretation verschiedener Quellen zeichnet ein deutliches Bild. Eine unabhängige und damit objektive Validierung des Datenmanagements wird bereits in der BCBS 239 erwartet. 1 Der Fortschrittsbericht BCBS 348 konkretisiert diese Anforderungen in den Absätzen 6.4 und 5.2.2. Zudem gibt der Fortschrittsbericht Hinweise für einen initialen Einsatz der operativen Arbeiten. Der anfängliche Fokus kann bzw. sollte auf den manuellen Prozessen respektive Eingriffen bei Prozessen (BCBS 348, 6.4) liegen, die häufig mittels Individueller Datenverarbeitung (IDV) umgesetzt bzw. identifiziert werden können. Im Anschluss ist die Gesamtheit der relevanten Prozesse, Daten und Berichte zu validieren bzw. zu überwachen. Daneben greift die Novellierung der MaRisk diese Anforderungen 2 auf. Die theoretischen Grundlagen zur Einrichtung einer BCBS 239-Evidenzstelle sind somit gegeben. Organisatorische Einbindung Restriktionen zur Einbindung in das Organigramm erfährt die BCBS 239-Evidenzstelle durch ihre Pflicht zur Unabhängigkeit. 3 Sie lässt wichtigen Handlungsspielraum zu, der von den Instituten genutzt werden kann und sollte. Möglich ist die Eingliederung als Stabsstelle direkt unterhalb des Vorstands wie auch als angegliederte Funktionseinheit mit direkter Berichtslinie zum Vorstand im Bereich Compliance. In Abhängigkeit von den Aufgaben und Abgrenzungen der Fachbereiche ist auch eine Ansiedlung im Risk- oder Finanzcontrolling vorstellbar. Zu berücksichtigen und klar abzugrenzen sind die Überschneidungen zu etablierten Organisationseinheiten (OE) wie Interne Revision, Compliance bzw. Risk Compliance und einem Data Management Office (DMO). Ein DMO ist in manchen Instituten (noch) nicht als Linieneinheit existent und wird daher als Folge der BCBS 239 in bestehenden OE verortet oder ergänzend etabliert. Eine Positionierung und Eingliederung der BCBS 239-Evidenzstelle in das Modell der drei Verteidigungslinien eröffnet eine weitere Möglichkeit zur Abgrenzung zu bestehenden Einheiten. Zusätzliche Abgrenzungen zu OE der gleichen Verteidigungslinie, wie beispielsweise Risikocontrolling und Compliance, sind inhaltlich zu definieren. Im Rahmen eines Rollenkonzepts für die BCBS 239-Evidenzzentrale werden die Stellenbeschreibungen eindeutig definiert und differenzieren sich zwischen beratender und validierender bzw. überwachender Funktion. In einer Konzernstruktur kann dies über eine zentrale Organisationseinheit mit entsprechender personeller und finanzieller Ausstattung realisiert werden. Die Leitungsfunktion wird um Mitarbeiterkapazitäten mit entsprechenden IT-Fähigkeiten gemäß BCBS 239 Tz. 29 (a) ergänzt. Rechte, Pflichten und Konsequenzen Damit die Evidenzstelle ihre Arbeit sinngemäß und unabhängig ausführen kann, werden dezidierte Rechte und Pflichten benötigt, die in einem Kompetenzmodell definiert werden. Hierbei geht es beispielsweise um eine Richtlinienkompetenz gegenüber den betroffenen OE, Zugriffsrechte auf Dateien und Informationen, freie und unabhängige Definition von BCBS 239-Überwachungen nach Art, Ort, Umfang und Zeitpunkt oder ein Eskalationsrecht bis in die Geschäftsleitung. Bisher existieren keine aufsichtliche Vorgabe oder ein institutsübergreifender Standard für Banken, die ein Kompetenzmodell der BCBS 239-Evidenzstelle insbesondere für den Umgang mit Feststellungen beschreibt oder vorgibt. Die MaRisk stellen hierzu jedoch übertragbare Informationen zur Verfügung. BT 2.4 und BT 2.5 beschreiben die Rechte und Pflichten der Internen Revision im Umgang mit der Klassifizierung von Feststellungen und deren Dokumentation. Diese eignen sich aus 52 01 // 2018
REGULIERUNG 1 | Operationalisierung der BCBS 239-Evidenz 8 BCBS-relevante Objekte (bsp. Prozesse) Feedback 1 Dokumentation von Methodik / Vorgehen Feedback an BCBS- Evidenz 6 2 7 Dokumentation der Ergebnisse bzw. Berichte an den Vorstand Durchführung von Maßnahmen BCBS 239-Evidenz Risikobewertung und Clusterung der Objekte 3 5 Überwachungsprogramm (bsp. KPI) 4 Nutzen von vorhandenen Kontrollen (bsp. IKS) Quelle: CP Consultingpartner AG, 2017. prüferischer Sicht dazu, auf die BCBS 239-Evidenzstelle übertragen zu werden. Für die organisatorischen Rahmenbedingungen sind damit die Leitplanken weitestgehend abgesteckt. Eine Abgrenzung zu bestehenden OE erfolgt neben dem Organigramm auch auf inhaltlicher Ebene. Die Evidenzstelle kann sich dabei im Rahmen der Definition eines Evaluierungskreislaufs bestehender Methoden, wie des IKS- Regelkreises, bedienen. Auch die Interne Revision kann Ergebnisse zuliefern, die einen Mehrwert darstellen. Key-Perfomance-Indikatoren (KPI) ergänzen und vervollständigen dabei die Validierungsroutine. Sie dienen als automatisierte Messpunkte und können regelmäßig abgefragt oder softwarebasiert überwacht werden. Der Evaluierungskreislauf ist abschließend prozessual abzubilden und in die schriftlich fixierte Ordnung (sfO) 4 der Bank zu übernehmen. Eine Prozesslandkarte, die die BCBS 239-relevanten Prozesse im Institut abbildet, stellt den Beginn des Kreislaufs unter Einbeziehung vorhandener Strukturen, Ergebnisse und Ergänzung um eigene Anforderungen (siehe KPI) dar. Ein Compliance-Report gibt dem Entscheidungsgremium – je nach individueller Interpretation auch Geschäftsleitung, Vorstand oder Aufsichtsrat – einen Gesamtüberblick über seine Organisation und vor allem die Möglichkeit, sein Feedback einzubringen, ob es auf Basis der zur Verfügung stehenden Informationen seiner Verantwortung gerecht werden kann. Durch Überführung in eine Richtlinie oder ein Handbuch wird sichergestellt, dass die angewandten Methoden dokumentiert sind sowie die Prozesse und Anweisungen ausgeführt werden. Dies betrifft insbesondere die Überwachungs- und Validierungsfunktion der Evidenzstelle. Ergänzende marktübliche Standards (etwa des Instituts der Wirtschaftsprüfer in Deutschland) geben darüber hinaus Anhaltspunkte, unter welchen Rahmenbedingungen die Validierungs- und Überwachungshandlungen durchzuführen sind. ÿ 1 Vervollständigt wird das Konzept um ein Schulungs- und Wissensmanagement, in dem die Neuerungen strukturiert und nachhaltig in das Institut transportiert und kommuniziert werden, um den gewünschten Kulturwandel 5 zu leben. Webinare, Newsletter und für den engeren Teilnehmerkreis Arbeitskreise und Boards bieten sich an, um über den aktuellen Sachstand zu informieren. FAZIT Mit der BCBS 239-Evidenz betreten sowohl die Aufsicht als auch die Institute auf den ersten Blick Neuland. Über die reinen BCBS- Veröffentlichungen hinaus gibt es jedoch ergänzende Quellen, mit deren Unterstützung sich die Inhalte klarer erschließen. Der grundsatzbasierte Ansatz ist daher für jede Organisation geeignet, dem Geschäftsmodell entsprechende Möglichkeiten, Methoden und Maßnahmen zur Realisierung zu finden. Der Mehrwert des hier beschriebenen Vorgehens generiert sich aus unterschiedlichen Bereichen der Risikodatenaggregation und des Risikoreportings. Durch die BCBS 239-Evidenzstelle ist erstmals eine objektive Bewertung der Bank bzw. der Organisation möglich. Ein weiterer Erfolg ist eine gesteigerte Verlässlichkeit der Risikodaten durch bessere Qualität der Daten, was wiederum zu einer höheren Qualität in der Berichterstattung führt. Eine verlässlichere Vorhersagbarkeit durch transparente und offene Prüf-, Überwachungs- und Validierungsprozesse wird den Initialaufwand mehr als aufwiegen – Banken könnten, Banken sollten diese Chance ergreifen, um einen Wissensund Wettbewerbsvorsprung zu erlangen. Autor: Bastian Neuwöhner. 1 Vgl. BCBS 239, Tz. 29 (a); Tz. 31. 2 Abschnitt AT 4.3.4 Datenmanagement, Datenqualität und Aggregation von Risikodaten Tz. 7. Ergänzend können AT 4.1 Risikotragfähigkeit Tz. 9 und Tz. 10 weitere Anhaltspunkte liefern. 3 Vgl. BCBS 239, Tz. 29 (a). 4 Im Rahmen einer institutsspezifischen Dokumentenhierarchie abgelegte, einsehbare und archivierte Schriftstücke. 5 Vgl. BCBS 348, Tz. 5.2.1. 01 // 2018 53
Laden...
Laden...