Bereits seit Anfang 2013 verfolgt der Baseler Ausschuss für Bankenaufsicht das Ziel, die Datenhaltung sowie die Reporting-Systeme in Banken – als wesentliche Voraussetzungen für ein funktionierendes Risikomanagement – zu verbessern. Dies erfordert strukturelle und kostspielige Eingriffe in gängige IT-Landschaften und Prozesse der Banken und richtet sich bislang hauptsächlich an global und national systemrelevante Institute. Die hohen Anforderungen werden nun auch in die deutsche Finanzaufsichtspraxis übernommen.Zeitnahe und genaue Ermittlung von Risiken auf Konzernebene und über alle Geschäftsfelder hinweg sind das Ziel. Der Baseler Ausschuss für Bankenaufsicht (BCBS) hat im Auftrag des Financial Stability Board (FSB) Standards zur Datenaggregation und zum Risikoberichtswesen entwickelt und diese im Januar 2013 veröffentlicht (BCBS 239). Hintergrund waren die Erkenntnisse aus der Finanzkrise seit 2007, nach der viele Banken nicht in der Lage waren, ihre Risiken, zum Beispiel aus einer Vielzahl verschiedenartiger Geschäfte mit bestimmten Kreditnehmern, kurzfristig oder überhaupt zu aggregieren, um darauf basierend bei kritischen Entwicklungen entsprechende Steuerungsentscheidungen treffen zu können. Nach dem Zusammenbruch von Lehman Brothers benötigten viele Institute mehrere Wochen, um ihre Exponiertheit zu ermitteln – häufig zu spät für ein erfolgreiches Gegensteuern. Zur StabilisierungMit dem vorrangigen Ziel der Stabilisierung des Finanzsystems richteten sich die Grundsätze des BCBS 239 bislang hauptsächlich an global und national systemrelevante Institute. Die meisten der betroffenen Häuser haben bereits teilweise große Umsetzungsprojekte zur strukturellen Verbesserung ihrer jeweiligen Datenarchitektur und -qualität sowie ihrer Berichtsprozesse gestartet.Die Anforderungen werden nun in die deutsche Aufsichtspraxis übernommen: Die wesentlichen Inhalte des Baseler Papiers finden sich in einem Konsultationsentwurf der neuen Fassung der “Mindestanforderungen an das Risikomanagement (MaRisk)” wieder. Die MaRisk sind ein Rundschreiben der BaFin, welches in der jeweils gültigen Fassung auf der Grundlage des § 25a Abs. 1 des Kreditwesengesetzes einen Rahmen für die Ausgestaltung des Risikomanagements der Banken vorgibt.Somit wurde der Anwenderkreis der Anforderungen an die Datenaggregation und zum Risikoberichtswesen deutlich ausgeweitet. Bei der Übernahme der Grundsätze in die MaRisk wurde zwischen Anforderungen, die von großen und komplexen Banken zu erfüllen sind, und Anforderungen, die für alle Institute gelten, unterschieden. Als große und komplexe Institute sind in der Regel Institute mit einer Bilanzsumme von mehr als 30 Mrd. Euro zu sehen.Im Baseler Standard galt für die global systemrelevanten Häuser bereits eine Umsetzungsfrist bis Januar 2016, für national systemrelevante Banken innerhalb von drei Jahren nach Designation. Diese Designation erfolgt in vielen Fällen ganz aktuell durch entsprechende BaFin-Schreiben. Es bleibt abzuwarten, wie die von vielen Häusern geplante Drei-Jahres-Frist zur Umsetzung im Kontext der Umsetzungsfrist dieser MaRisk-Novelle zu sehen ist.Anforderungen an große und komplexe Institute: Die Kernaussagen des BCBS 239 hinsichtlich Datenarchitektur und Datenqualitätsmanagement wurden weitgehend in die MaRisk übernommen und punktuell sogar ergänzt. Sie umfassen neben der Forderung nach vereinheitlichten, granularen Risikodaten (einschließlich zeitnaher und konzernweit einheitlicher Auswertbarkeit von Schlüsselinformationen) auch einen durchgängig hohen Automatisierungsgrad in den Datenaggregationsprozessen sowie durchgehende Datenqualitätskontrollen.Mit dem Ziel der zweifelsfreien Identifizierbarkeit und Auswertbarkeit von Risiken sind auch Anforderungen an die Vereinheitlichung von Kennzeichnungen in dem MaRisk-Konsultationspapier enthalten. Zudem ist unter anderem zur Identifikation von Datenschwächen eine Abstimmbarkeit von Risikodaten mit anderen Informationen vorzusehen. Als Beispiele für solche werden konkret die Daten aus dem Rechnungswesen und gegebenenfalls dem Meldewesen genannt. Hiermit wird dem Umstand Rechnung getragen, dass Institute in Deutschland vor dem Hintergrund oft mehrerer parallel anzuwendender Rechnungslegungsvorschriften (IFRS, HGB) besonderen Herausforderungen gegenüberstehen. Die explizite Nennung der Daten des Meldewesens dürfte gerade in den großen Häusern den Aufwand erhöhen. Trotz der Einschränkung auf große und komplexe Banken spricht die BaFin in ihrem Anschreiben zu dem MaRisk-Konsultationspapier auch für kleinere Institute die Empfehlung aus, ihre Datenaggregationsfähigkeiten zu prüfen und weiter auszubauen.Anforderungen an sämtliche Institute: Die Anforderungen des BCBS 239 an Inhalte, Zeitnähe, Ad-hoc-Fähigkeit und Flexibilität der Risikoberichterstattung von Banken wurden grundsätzlich ebenfalls in die MaRisk übernommen. Diese sind nicht auf große und komplexe Banken beschränkt – sie sind also auch von mittleren und kleineren Häusern umzusetzen. Die bislang häufig öffentlich diskutierte Forderung nach einem Gesamtrisikobericht innerhalb von höchstens zehn Tagen nach Berichtsstichtag wird im vorliegenden Entwurf nicht aufgegriffen. Jedoch lässt das Anschreiben der BaFin erkennen, dass die heute verbreiteten Produktionszeiten von mehreren Wochen nicht mehr als angemessen erachtet werden dürften. Zentrales LeitbildInsgesamt hat die BaFin die Anforderungen vor ihrem zentralen Leitbild des Proportionalitätsprinzips als Mindestanforderungen formuliert. Dies bedeutet, dass sie von den einzelnen Instituten vor dem Risikogehalt und der Volatilität der jeweiligen Positionen auszugestalten sind. Die Erwartungen der Aufsicht gehen in der bereits heute gängigen Praxis gerade für große und komplexe Banken häufig deutlich über diese Mindestanforderungen hinaus.Weiterhin werden die Notwendigkeit von hohen technisch-organisatorischen Standards beim Einsatz individueller Datenverarbeitung, die Etablierung von Regelungen zu Verfahren, Methoden und Prozessen der Risikodatenaggregation (bei großen und komplexen Instituten) sowie die Berücksichtigung der Datenaggregationsfähigkeiten vor Übernahmen oder Fusionen betont.Fazit: Durch den MaRisk-Einbezug erhält der Erfüllungsgrad der Anforderungen an die Datenhaltung und die Reporting-Systeme in Banken signifikanten Einfluss auf die Ordnungsmäßigkeit der Geschäftsorganisation nach KWG § 25a. Dabei gilt es jedoch zu beachten, dass die MaRisk als Rundschreiben der BaFin die Verwaltungspraxis der deutschen Aufsicht bei der Überprüfung unter anderem der Ausgestaltung von KWG § 25a durch die Banken darstellen. Vor allem für die direkt von der nationalen Aufsicht überwachten Institute werden die MaRisk weiterhin eine herausragende Bedeutung haben. OrientierungshilfeFür größere Institute, die gemäß dem geänderten Finanzaufsichtssystem in Europa nunmehr von der Europäischen Zentralbank (EZB) überwacht werden, könnte das MaRisk-Rundschreiben als Orientierungshilfe der Joint Supervisory Teams der EZB herangezogen werden, wie der deutsche Gesetzgeber die Umsetzung des KWG § 25a erwartet. Im Markt wird diskutiert, welche Anforderungen (MaRisk versus internationale bzw. europäische Standards) durch die größeren Institute zu erfüllen sind. Die beiden Regelungskreise sind jedoch nur scheinbar ein Widerspruch – sind doch die MaRisk mit dieser Novelle unter anderem hinsichtlich Risikodatenhaltung und Reporting-Systemen sehr “international” geworden.Das Datum des Inkrafttretens der MaRisk-Novelle sowie etwaige Übergangsfristen sind noch offen. Möglicherweise könnten diese von der von vielen Häusern geplanten Drei-Jahres-Frist zur Umsetzung von BCBS 239 abweichen. In jüngster Zeit haben die EZB beziehungsweise die Joint Supervisory Teams zur Risikodatenaggregation und -berichterstattung bereits verstärkt Prüfungshandlungen vorgenommen – mitunter im Rahmen des aufsichtlichen Überprüfungs- und Bewertungsprozesses SREP, was in der Konsequenz auch zu zusätzlichen Kapitalanforderungen führen kann. Ein regelmäßiges Tracking des Umsetzungsfortschritts durch die Aufsicht beziehungsweise den Jahresabschlussprüfer ist somit wahrscheinlich.Die Verbesserung der Risikodatenaggregation und -berichterstattung kann auch betriebswirtschaftlich nützen. In erster Linie sind hier die Senkung der operationellen Kosten durch Reduzierung von manuellen Prozessen sowie die Verbesserung der Reaktionsfähigkeit durch schnellere und höher qualitative Analysen und Berichte zu nennen.—-Marco Lenhardt, Partner KPMG Financial Services —-Sven von Widekind, Manager KPMG Financial Services