Verschärfte Anforderungen der Aufsicht an das Risikoreporting der Banken

by Gastbeitrag on 22. Januar 2013

Gastbeitrag von Mario H. Sladek, TriSolutions GmbH*

Viele Banken scheuen die teilweise gewaltigen Investitionen, die der Aufbau eines effektiven Risikoreportings erfordert. Dabei wird oft vernachlässigt, dass ein gut funktionierendes Berichtswesen einen entscheidenden Wertschöpfungsbeitrag für eine erfolgreiche Gesamtbankrisikosteuerung und für den Unternehmenserfolg leistet.

Eines der wesentlichen krisenverstärkenden Versäumnisse der jüngsten Finanzkrise war, dass die vorhandene IT-Organisation und Datenarchitektur das Management finanzieller Risiken nur unzureichend unterstützt haben. Der Entwicklung immer komplexerer Geschäfte und den daraus resultierenden Risiken standen keine adäquaten personellen und technischen Kapazitäten gegenüber. Die vorhandenen organisatorischen und prozesstechnischen Voraussetzungen zur umfassenden, systematischen, zeitnahen und effektiven Erhebung, Aufbereitung sowie zum Reporting und Management von Risiken waren kollektiv nicht erfüllt.

Die Aufsicht unternimmt daher auf nationaler und internationaler Ebene entschiedene Schritte, um mit einer Reihe neuer Regularien gegen Fehlentwicklungen und Mängel im Rahmen der Risikomanagementorganisation vorzugehen. Hierfür wurden u.a. auch Vorschläge und Grundsätze zur weiteren Verbesserung der Qualität und Wirksamkeit im Risikoreporting unterbreitet.

Die Umsetzungsanforderungen nehmen unter dem Aspekt der doppelten Proportionalität – wie sie die MaRisk definieren – zu. Daher haben die über die MaRisk hinausgehenden Bestimmungen des Baseler Ausschusses unmittelbare Wirkung. Dies gilt insbesondere für große und vor allem systemrelevante Banken.

Die neuen Baseler Grundsätze an das Risikoreporting

Das Basel Committee on Banking Supervision hat just im Januar 2013 die von der Task Force on SIB Supervision of the Standards Implementation Group erarbeiteten Grundsätze (BCBS 239) for Effective Risk Data Aggregation and Risk Reporting veröffentlicht. Dieser Veröffentlichung ging ein gleichnamiges Konsultationspapier vom 28.09.2012 voraus.

Der Branche soll hiermit aufgezeigt und verdeutlicht werden, welche weiterführenden organisatorischen und infrastrukturellen Anforderungen die Aufsicht an den Prozess der Risikodatenerhebung und das Berichtswesen im Risikomanagement stellt.

Die Grundsätze sind zunächst als Leitfanden zu verstehen, mit dem der Branche wertvolle – Best Practice – Anregungen und Handlungsempfehlungen für eine ziel- und risikoorientierte Schaffung und Optimierung erforderlicher IT- und prozessorganisatorischer Rahmenbedingungen, zur effektiven und effizienten Erhebung und Aggregation von Risikodaten sowie zur Risikoberichterstattung gegeben werden. Allerdings wird bereits schon über Zeitrahmen und Möglichkeiten diskutiert, die Grundsätze in ein regulatorisches Regelwerk – ggf. auch auf nationaler Ebene – zu überführen. Im Fokus stehen dabei vor allem systemrelevante Institute. Nach ausführlicher Konsultation und Bereinigung von Gaps werden entsprechende Umsetzungsvorhaben durchaus schon bis 2016 von der Aufsicht in Erwägung gezogen.

Einführend werden die Schwerpunkte, auf die das Dokument mit seinen Grundsätzen abzielt, umfassend definiert:

  • Die Verbesserung der Infrastruktur für das Reporting von sog. Key- Informationen, welche die Geschäftsleitung und das Seniormanagement zur Identifikation, Überwachung und Management  der Risiken benötigen.
  • Die Stärkung des Entscheidungsprozesses in der gesamten Bankorganisation.
  • Die Verbesserung bzw. Stärkung des Managementinformationsprozesses über alle Geschäftsbereiche und in den Risikomanagementprozess einbezogene rechtlich selbständige bzw. verbundene Unternehmen im Hinblick auf ein bereichsübergreifendes Risk Assessment aller Risikopositionen und auf konsolidierter Ebene.
  • Die Verminderung der Wahrscheinlichkeit von schwerwiegenden Verlusten, die auf Schwächen im Risikomanagementsystem zurückzuführen sind.
  • Die Erhöhungen der Geschwindigkeit, mit der risikorelevante Informationen zur Verfügung gestellt und zur Entscheidung herangezogen werden können.
  • Die Verbesserung der organisatorischen Qualität bei der strategischen Risikoplanung und bessere Handhabung im Rahmen des Neuproduktprozesses.

Bereits in der Schwerpunktsetzung ist erkennbar, dass nicht nur auf das Was sondern vor allem das Wie und auf die hierfür notwendigen prozess- und aufbauorganisatorischen Voraussetzungen abgestellt wird. Organisatorische und infrastrukturelle Schwächen und Mängel, welche die Funktionsfähigkeit und Effektivität der Risikomanagementorganisation nachhaltig beeinträchtigen können, stehen im Fokus. Im Ergebnis wird die Leistungsfähigkeit des gesamten Risikodatenmanagement- und Reportingprozesses einem Tragfähigkeits-Check unterzogen.

Zur Umsetzung der Schwerpunkte sind insgesamt 14 Grundsätze definiert, welche sich thematisch in vier miteinander im Zusammenhang stehende Abschnitte gliedern. Dies sind vor allem detaillierte Grundsätze zur Governance und Infrastruktur, zu den Anforderungsvoraussetzungen an den Risikodatenprozess, an die Umsetzung im Risikoreporting und zum aufsichtsrechtlichen Überprüfungsverfahren gem. Säule 2 von Basel II.

In den Grundsätzen spiegeln sich bereits selbstverständliche und bekannte Aspekte wieder. Die Aufforderung zu Exaktheit, Sicherheit, Vollständigkeit, Aktualität, Anpassungsfähigkeit, Genauigkeit, Vollumfänglichkeit, Verständlichkeit sowie Empfängerbezogenheit sollten fester Bestanteil einer Sound Practice sein.

In den Grundsätzen wird besonderer Wert auf die Sicherstellung eines funktionsfähigen und effektiven Risikoreportings nicht nur im Rahmen der Regelkommunikation sondern auch in Stress- und Krisensituationen gelegt.

In einem weiteren Beitrag werde ich inhaltlich noch näher auf die einzelnen Grundsätze  eingehen.

Bereits die MaRisk enthalten prinzipienbasiert eine Reihe allgemeiner und besonderer Anforderungen an die Organisation und Ausgestaltung des Risikoberichtswesens. „Die Geschäftsleitung hat sich in angemessenen Abständen über die Risikosituation berichten zu lassen. Die Risikoberichterstattung ist in nachvollziehbarer, aussagefähiger Art und Weise zu verfassen. Sie hat neben einer Darstellung auch eine Beurteilung der Risikosituation zu enthalten. In die Risikoberichterstattung sind bei Bedarf auch Handlungsvorschläge, z. B. zur Risikoreduzierung, aufzunehmen.“

Damit werden der Charakter und die Zweckbestimmung des Risikoberichts in Gänze definiert. Der Risikobericht soll die wesentlichen Risiken nicht nur vollumfänglich beschreiben und bewerten sondern  auch handlungs- und entscheidungsorientiert sein und somit ein effektives Risikomanagementinstrument darstellen. Neu hinzugekommen ist, dass dem Risikocontrolling, als besondere Funktion gem. neuem AT 4.4.1, nunmehr die Zuständigkeit für die unabhängige Überwachung und Kommunikation der Risiken (u.a. für die regelmäßige Risikoberichterstattung an die Geschäftsleitung) zugeschrieben wird und die Risikogovernance weiter gestärkt wird.

Etwa zeitgleich mit den Grundsätzen und neuen MaRisk hat auch die vom Financial Stability Board gegründete Enhanced Disclosure Task Force Enhanced Disclosure Task Force, der der Bankenverband angehört, Empfehlungen zur Verbesserung der Offenlegung von risikorelevanten Informationen – Enhancing the Risk Disclosures of Banks – erarbeitet. Die im Mai 2012 vom FSB gegründete Task Force wurde zunächst als privatwirtschaftliche Initiative ins Leben gerufen, um Vorschläge zur Verbesserung der Qualität, Vergleichbarkeit und Transparenz bei der Offenlegung von risikorelevanten Informationen zu erarbeiten. Inwieweit bzw. in welchem Rahmen die hier erarbeiteten und gesammelten Vorschläge ggf. umgesetzt werden bleibt abzuwarten.

Praxiserfahrungen aus der Beratertätigkeit des Autors

In vielen Häusern existieren eine Vielzahl unterschiedlicher Risikoberichtsformate. Die Erstellung erfolgt teilweise mit hohem technischem und vielfach auch erheblichem personellen Aufwand. Oftmals sind die Berichtsformate fragmentiert und nur schwer, aufgrund differenzierter Datenquellen und Schnittstellen, aufeinander abzustimmen bzw. überzuleiten. In Folge stetig gestiegener Anforderungen hat die Komplexität der Berichtsformate deutlich zugenommen, ohne dass der Berichtsaufbau und der teilweise bereichsübergreifende Prozess der Berichtserstellung einem grundlegenden Review unterzogen wurde. Oft arbeiten die Berichtsersteller mit technischen Zwischenlösungen, die der IT Policy nur unzureichend oder nicht entsprechen.

Die Berichtsvielfalt und die unterschiedliche Quantität und Qualität der Risikodaten sind auch darauf zurückzuführen, dass die Nutzer entweder nur unzureichenden Zugriff auf entsprechend risikorelevante Daten haben oder aber aus aufbau- und ablauforganisatorischen Gründen auf eigene (Insel-)Lösungen zurückgreifen. Überdies sind die für das externe aufsichtsrechtliche Meldewesen sowie die im Rechnungswesen etablierten Meldeverfahren und Datenaufbereitungsprozesse nicht oder nur unzureichend mit den im Risikomanagementprozess verwendeten Verfahren verbunden. Als Beispiel ist u.a. die Schwierigkeit bei der Überleitung von handelsrechtlichen und ökonomischen Ergebnissen anzuführen. Mitunter sind auch teilweise groteske Fälle festzustellen, dass bestimmte Bereiche teilweise autonom bei der Berichterstellung agieren ohne den Bedarf des Berichtsempfängers zu erkennen bzw. auf diesen zu reagieren.

Es wird in einem ersten Schritt empfohlen, die vorhandenen Risikoberichte- und Berichtsformate der Bank einem Assessment zu unterziehen und die für das Risikocontrolling und Risikomanagement relevanten Berichte u.a. auf folgende Kriterien hin zu prüfen: Zweckbestimmung, Empfängerkreis, Frequenz, Risikokategorien, Konsistenz und Durchgängigkeit der Risikodaten und -maße, Abstimmbarkeit und Überleitungsfähigkeit zu anderen Berichtsformaten, Redundanz zu anderen Berichten und Berichtsformaten, Risiko- und Ergebnisorientierung im Hinblick auf Ampel- und Limitsystem, Entscheidungsorientierung bzw. Ableitung von Handlungsempfehlungen, Qualitative und quantitative Aussagefähigkeit.

Darüber hinaus bietet es sich an die Berichte nach folgenden Kategorien zu beurteilen: Vorstands-, Gremien-, Aufsichtrats- und Aufsichtsberichte; KWG bzw. MaRisk Relevanz; Differenzierung nach Risikoart; Portfolio-, Geschäftsfeld- und  Gesamtbankrelevanz. Im Ergebnis kann dann beispielsweise je nach Zweckbestimmung und Frequenz beurteilt werden, ob sich bestimmte Berichtsformate ggf. verschlanken  oder sich aber mit redundanten Berichtsformaten zusammenfassen lassen.

In einem weiteren Schritt sollte untersucht werden, inwieweit sich der Automatisierungsgrad bereichs- und schnittstellenübergreifend unter Nutzung von Synergien erhöhen lässt und welche der Risikodaten ggf. für die unterschiedlichen Berichts- und Steuerungszwecke im Rahmen eines Datenpools (Datafeed-Konzept) zu Verfügung gestellt werden können.

 Im Rahmen der Gesamtbanksteuerung ist es von entscheidender Bedeutung auch die regulatorische, bilanzielle und ökonomische Steuerungsperspektive noch enger aufeinander abzustimmen, um einen nachhaltigen Mehrwert zu erzielen. Dies sollte  auch im Berichtsformat Niederschlag finden.

Der Autor

Mario H. Sladek ist Berater bei der TriSolutions GmbH, einer auf Risikomanagement und Gesamtbanksteuerung spezialisierten Unternehmensberatung. Die Schwerpunkte seiner Beratungstätigkeit liegen in der strategischen Gesamtbank- und Risikosteuerung (ICAAP) und bei der ganzheitlichen Umsetzung von regulatorischen Anforderungen (u.a. MaRisk, Basel II/III). Davor arbeitete Herr Sladek viele Jahre im Risiko- und Auditmanagement international tätiger Groß- und Investmentbanken im In- und Ausland. Sein Betriebswirtschaftsstudium absolvierte er an der Fachhochschule der Deutschen Bundesbank.

Comments on this entry are closed.

Previous post:

Next post: