„Eine Bank hat eine interne Datenarchitektur und IT-Infrastruktur zu entwerfen, einzurichten und zu pflegen, die die Risikodaten-Aggregationskapazitäten und Verfahren zur Risikoberichterstattung nicht nur unter gewöhnlichen Umständen, sondern auch in Stressphasen oder Krisen vollumfänglich unterstützt, wobei die übrigen Grundsätze unverändert gelten.“ So konkret ist das Basel Committee im Grundsatz 2 der Richtlinie 239 (BCBS 239) geworden. Hier schreibt ein Regulierungsgremium also nicht nur abstrakte Ziele vor, sondern Weg und Mittel, mit denen diese Ziele zu erreichen seien. Das war 2013 ein Novum – und zugleich eine Art „Warnschuss“ für die gesamte Finanzwirtschaft: Die Aufsicht ist gewillt und in der Lage, den Marktteilnehmern präzise Vorschriften zu machen und ihren Handlungsspielraum sachlich wie zeitlich zu verengen. Das gilt insbesondere für Prozesse und Infrastrukturen, und dabei insbesondere für die IT.
Das nächste Signal in diese Richtung hat jetzt die EZB ausgesandt. In ihren „SSM (Single Supervisory Mechanism)-Priorities“ für das Jahr 2016 legt sie sehr exakt dar, welche Kategorien aus ihrer Sicht im Bereich Risiko und Compliance maßgeblich seien – und welche Maßnahmen die Banken zu ergreifen hätten, um den Ansprüchen zu genügen. Erstmals spielt dabei ganz explizit die Daten- und IT-Infrastruktur eine entscheidende Rolle. Wörtlich heißt es dort: „Finally, ensuring data quality and security necessitates state-of-the-art IT infrastructure. Therefore, IT risks will form part of the analysis.”
Das legt den Finger in eine Wunde, die viele Banken (und Versicherungen) zunehmend quält: Eine fragmentierte und teilweise unzweckmäßige IT – und die damit direkt verbundenen Mankos im Hinblick auf Transparenz, Sicherheit und Wirtschaftlichkeit. Nicht ohne Grund bemängelt der Co-Chef der Deutschen Bank, John Cryan, im eigenen Haus „mangelhafte und ineffektive Prozesse, veraltete und nicht angemessene Technologien, zu viele manuell ausgeführte Tätigkeiten.“ Die schlechte IT wird auch dafür verantwortlich gemacht, dass die Bank nicht in der Lage war, beim US-Stresstest Daten für die Aufsichtsbehörden aufzubereiten. Damit rückt auch das gute alte Operationale Risiko wieder in den Fokus.
Compliance ohne angemessene IT ist illusorisch
Das Problem liegt dabei nicht in der Leistungsfähigkeit einzelner vorhandener IT-Lösungen, sondern in der fehlenden Homogenität, die historisch bedingt ist. Das Nebeneinander der Infrastrukturen, insbesondere im Konzernumfeld, behindert nachhaltig die Digitalisierung des Kerngeschäfts, der Kundenbeziehungen und eben auch des gesamten Komplexes Governance, Risk und Compliance (GRC). Wo laut Kreditwesengesetz klassisch ein „ordnungsgemäßer Umgang mit Geldern“ gefordert ist, tritt zunehmend auch ein „ordnungsgemäßer Umgang mit Daten“ hinzu. Dafür wesentlich ist die Transparenz der Geschäftsdaten, aber auch die Nachvollziehbarkeit des Status Quo durch lückenlose Dokumentation. Hier sind nicht nur quantitative, sondern genauso qualitative Aspekte maßgeblich. Wie leitet sich die aktuelle Situation her? Was sind die Herausforderungen, was die Maßnahmen? Wer ist verantwortlich? Wie ist der Stand der Dinge? Mit welchen Prozessen hängt ein Sachverhalt zusammen? Weder bei der Analyse der operativen Daten noch bei der Überwachung von GRC helfen innovative Einzelprozesse aus Sicht der Compliance und dem aufsichtsrechtlichen Reporting, wenn sie nicht jederzeit und lückenlos nachvollziehbar sind – und zwar über alle Bereiche einer Bank hinweg.
Anspruch für Riskmanagement muss sich erhöhen
Das bedeutet konkret, dass für den Gesamtkomplex Risiko im Hinblick auf Compliance der gleiche Anspruch gelten muss, der im Accounting längst selbstverständlich ist: gemeinschaftliches, standardisiertes Vorgehen auf Basis einer einheitlichen Infrastruktur. Im Operationalen Risiko gewinnen Herausforderungen wie Fraud, Cybersecurity, Geldwäsche (AML), aber z.B. auch Model Risk Management weiter an Gewicht. Sie sind zwar üblicherweise unterschiedlichen Abteilungen zugeordnet, im Sinne des Gesamtunternehmens ist aber eine gemeinsame Herangehensweise zu einem zentralen Risikomanagement wünschenswert. Noch gar nicht berücksichtigt sind dabei die Faktoren Wirtschaftlichkeit und Innovationspotenzial. Auch wenn schon BCBS 239 ein Tempo fürs Reporting fordert, das mit bestehenden Infrastrukturen schwierig bis gar nicht zu erreichen ist – der eigentliche Mehrwert einer schlanken, schnellen IT liegt in Bereichen, in denen Geld verdient und nicht ausgegeben wird: in effizienten Prozessen, der erleichterten Umsetzbarkeit von neuen Services und in mehr Überblick für die strategische Banksteuerung.
Auch wenn Basel und die EZB das nicht konkret aussprechen: Künftig führt im Bankenwesen kein Weg an der Einrichtung leistungsfähiger analytischer Plattformen vorbei. Nur damit sind Banken in der Lage, vom aufsichtsrechtlichen Reporting bis zu Szenariorechnungen und Simulationen auch im Sinne der Aufsicht (z.B. AnaCredit) umzusetzen. Dies gilt aber umso mehr auch für das Operationale Risiko und damit die Etablierung einer ganzheitlichen IT gestützten Enterprise Governance, Risk & Compliance Kultur. Beide Gesichtspunkte erlauben eine echte Industrialisierung von IT-Lösungen quer durch ganze Konzerne.