BCBS 239

BCBS 239 ist ein Standard, der die Risikoberichterstattung von Kreditinstituten regelt. Es handelt sich um den Standard Nummer 239 des Basler Ausschusses. Der Titel des Standards ist: „Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung“.

Das übergeordnete Ziel des Standards ist es, die Fähigkeiten der Banken zur Aggregation von Risikodaten und zur internen Risikoberichterstattung zu stärken, was wiederum das Risikomanagement und die Entscheidungsprozesse der Banken verbessert.^[1] Entstanden ist dieser in Folge der Weltfinanzkrise und formuliert Anforderungen an Data Governance, Datenqualitätsmanagement, Datenprozesse, IT und Risikoarchitekturen sowie an die Erstellung und Verbreitung von Risikoberichten.^[2]

Im Juli 2023 hat die EZB das Papier "Guide on effective risk data aggregation and risk reporting" publiziert, welches sich bis zum 6. Oktober 2023 in der Konsultation befindet. Hintergrund des Papiers ist gem. der EZB der unzureichende Fortschritt der Finanzinstitute bei der Erfüllung des Standards. Eine Ursache wird hierbei auch bei den Leitungsorganen der Finanzinstitute gesehen.^[3]

Struktur der Standards[Bearbeiten | Quelltext bearbeiten]

I. Gesamtunternehmensführung und Infrastruktur
   1. Governance
   2. Datenarchitektur und IT-Infrastruktur
II. Risikodaten-Aggregationskapazitäten
   3. Genauigkeit und Integrität
   4. Vollständigkeit
   5. Aktualität
   6. Anpassungsfähigkeit
III. Risikoberichterstattung
   7. Genauigkeit
   8. Umfassender Charakter
   9. Klarheit und Nutzen
   10. Häufigkeit
   11. Verbreitung
IV. Aufsichtliche Überprüfungen, Instrumente und Zusammenarbeit
   12. Überprüfung
   13. Korrektur- und Aufsichtsmassnahmen
   14. Grenzüberschreitende Zusammenarbeit
V. Zeitliche Umsetzung und Übergangsbestimmungen

Die Norm besteht, wie nebenstehend dargestellt, aus fünf Abschnitten, vier davon enthalten die vierzehn Grundsätze.^[4]

Die Prinzipien der Norm sind wiederum in detailliertere Grundsätze unterteilt. Selbst auf der untersten Ebene handelt es sich um einen prinzipienbasierten Standard mit wenigen klaren und definierten Metriken, die zur Überwachung der Einhaltung verwendet werden können.

Im Folgenden finden Sie eine kurze Beschreibung der 14 Grundsätze.^[5]

I. Gesamtunternehmensführung und Infrastruktur[Bearbeiten | Quelltext bearbeiten]

Grundsatz 1 Governance – Die Risikodaten-Aggregationskapazitäten und Verfahren zur Risikoberichterstattung einer Bank sollten strengen Prinzipien zur Unternehmensführung in Übereinstimmung mit anderen vom Basler Ausschuss veröffentlichten Grundsätzen und Empfehlungen unterliegen.

Grundsatz 2 Datenarchitektur und IT-Infrastruktur – Eine Bank hat eine interne Datenarchitektur und IT-Infrastruktur zu entwerfen, einzurichten und zu pflegen, die die Risikodaten-Aggregationskapazitäten und Verfahren zur Risikoberichterstattung nicht nur unter gewöhnlichen Umständen, sondern auch in Stressphasen oder Krisen vollumfänglich unterstützt, wobei die übrigen Grundsätze unverändert gelten.

II. Risikodaten-Aggregationskapazitäten[Bearbeiten | Quelltext bearbeiten]

Grundsatz 3 Genauigkeit und Integrität – Eine Bank sollte in der Lage sein, genaue und verlässliche Risikodaten zu generieren, um den Genauigkeitsanforderungen im Berichtswesen unter gewöhnlichen Umständen sowie in Stressphasen oder Krisen gerecht zu werden. Die Daten sind möglichst auf automatisierter Basis zu aggregieren, um die Fehlerwahrscheinlichkeit so gering wie möglich zu halten.

Grundsatz 4 Vollständigkeit – Eine Bank sollte in der Lage sein, sämtliche wesentlichen Risikodaten innerhalb des Konzerns zu generieren und zu aggregieren. Die Daten sollten nach unterschiedlichen Kategorien geordnet zur Verfügung stehen (u. a. Geschäftsfelder, Konzerngesellschaften, Art des Vermögenswerts, Branche und Region), wobei das jeweils zu betrachtende Risiko für die Auswahl derjenigen Kategorien maßgeblich ist, die die Identifizierung und Meldung von Risikopositionen, Risikokonzentrationen sowie aufkommenden Risiken ermöglichen.

Grundsatz 5 Aktualität – Eine Bank sollte in der Lage sein, aggregierte und aktuelle Risikodaten in einem angemessenen zeitlichen Rahmen zu generieren; die Grundsätze hinsichtlich Genauigkeit, Integrität, Vollständigkeit und Anpassungsfähigkeit gelten dabei unverändert. Die genaue Terminierung hängt von der Art und der potenziellen Volatilität des zu erfassenden Risikos ab sowie von dessen Beitrag zum Gesamtrisikoprofil der Bank. Die genaue Terminierung ist darüber hinaus abhängig von den bankinternen Häufigkeitsanforderungen an die Risikoberichterstattung – unter Berücksichtigung der Charakteristik und des Gesamtrisikoprofils der Bank (sowohl unter gewöhnlichen Umständen als auch in Stressphasen oder Krisen).

Grundsatz 6 Anpassungsfähigkeit – Eine Bank sollte in der Lage sein, aggregierte Risikodaten zu generieren, um eine große Bandbreite an Ad-hoc-Anfragen an die Risikoberichterstattung bearbeiten zu können; hierzu zählen u. a. Anfragen in Stressphasen oder Krisen, Anfragen im Zusammenhang mit geänderten internen Anforderungen sowie Anfragen der Aufsicht.

III. Risikoberichterstattung[Bearbeiten | Quelltext bearbeiten]

Grundsatz 7 Genauigkeit – Risikomanagementberichte müssen aggregierte Risikodaten genau und präzise vermitteln und Risiken akkurat wiedergeben. Einzelne Berichte müssen abgeglichen und validiert werden.

Grundsatz 8 Umfassender Charakter – Ein Risikomanagementbericht muss alle wesentlichen Risikobereiche, die einen Bankkonzern betreffen, abdecken. Umfang und Detailliertheit eines Berichts haben dabei der Bedeutung und Komplexität der Geschäftstätigkeit der Bank, deren Risikoprofil sowie den Anforderungen der Adressaten Rechnung zu tragen.

Grundsatz 9 Klarheit und Nutzen – Risikomanagementberichte müssen klar und prägnant formuliert sein. Sie müssen leicht verständlich und gleichzeitig umfassend genug sein, um fundierte Entscheidungen zu ermöglichen. Die in ihnen enthaltenen

Grundsatz 10 Häufigkeit – Die Häufigkeit, mit der Risikomanagementberichte erstellt und verbreitet werden, ist vom obersten Verwaltungsorgan und von der Geschäftsleitung (oder gegebenenfalls anderen Adressaten) zu bestimmen. Dabei sind die Bedürfnisse der Adressaten ebenso zu berücksichtigen wie die Art der Risiken, die gemeldet werden, die Geschwindigkeit, mit der Risiken sich wandeln können, sowie die Bedeutung der Berichte für ein solides Risikomanagement und eine effektive und effiziente Entscheidungsfindung in der gesamten Bank. In Stressphasen oder Krisen ist die Häufigkeit der Berichte zu erhöhen.

Grundsatz 11 Verbreitung – Risikomanagementberichte müssen unter Gewährleistung der Vertraulichkeit an die zuständigen Stellen verteilt werden.

IV. Aufsichtliche Überprüfungen, Instrumente und Zusammenarbeit[Bearbeiten | Quelltext bearbeiten]

Grundsatz 12 Überprüfung – Die Aufsichtsinstanzen müssen in regelmäßigen Abständen die Einhaltung der elf bisher genannten Grundsätze innerhalb einer Bank überprüfen und evaluieren.

Grundsatz 13 Korrektur- und Aufsichtsmassnahmen – Die Aufsichtsinstanzen müssen über geeignete Instrumente und Ressourcen verfügen, um die effektive und zeitnahe Korrektur von Mängeln einer Bank im Hinblick auf ihre Datenaggregationskapazitäten und Verfahren zur Risikoberichterstattung zu verlangen, und diese Instrumente und Ressourcen auch einsetzen. Dabei sollten ihnen unterschiedliche Instrumente zur Verfügung stehen, darunter Säule 2.

Grundsatz 14 Grenzüberschreitende Zusammenarbeit – Die Aufsichtsinstanzen müssen mit den entsprechenden Behörden anderer Länder bei der Überwachung und Überprüfung der Grundsätze sowie bei der Umsetzung eventueller Korrekturmaßnahmen zusammenarbeiten.

Veröffentlichung und Gültigkeit[Bearbeiten | Quelltext bearbeiten]

Der Standard wurde im Januar 2013 veröffentlicht und galt ab dem 1. Januar 2016 für diejenigen global systemrelevante Banken (G-SIBs), die spätestens im November 2012 als solche definiert wurden, ansonsten gilt es drei Jahre nach der Einstufung als G-SIBs. Der Standard empfiehlt außerdem, dass er von den nationalen Aufsichtsbehörden auf national systemrelevante Banken (Domestic Systemically Important Banks, D-SIBs), drei Jahre nach ihrer Einstufung als solche, angewendet wird.^[6]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung. S. 9, Absatz 9, abgerufen am 18. Februar 2021. 
2. ↑ Entwicklung von BCBS 239 im deutschen Bankensektor. Abgerufen am 19. Februar 2021. 
3. ↑ EZB Aufforderung zur Konsultation
4. ↑ Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung. S. 12–22, abgerufen am 18. Februar 2021. 
5. ↑ Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung. S. 26, abgerufen am 18. Februar 2021. 
6. ↑ Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung. S. 10, Absatz 14 und 15, abgerufen am 18. Februar 2021.