โEine Bank hat eine interne Datenarchitektur und IT-Infrastruktur zu entwerfen, einzurichten und zu pflegen, die die Risikodaten-Aggregationskapazitรคten und Verfahren zur Risikoberichterstattung nicht nur unter gewรถhnlichen Umstรคnden, sondern auch in Stressphasen oder Krisen vollumfรคnglich unterstรผtzt, wobei die รผbrigen Grundsรคtze unverรคndert gelten.โ So konkret ist das Basel Committee im Grundsatz 2 der Richtlinie 239 (BCBS 239) geworden. Hier schreibt ein Regulierungsgremium also nicht nur abstrakte Ziele vor, sondern Weg und Mittel, mit denen diese Ziele zu erreichen seien. Das war 2013 ein Novum โ und zugleich eine Art โWarnschussโ fรผr die gesamte Finanzwirtschaft: Die Aufsicht ist gewillt und in der Lage, den Marktteilnehmern prรคzise Vorschriften zu machen und ihren Handlungsspielraum sachlich wie zeitlich zu verengen. Das gilt insbesondere fรผr Prozesse und Infrastrukturen, und dabei insbesondere fรผr die IT.
Das nรคchste Signal in diese Richtung hat jetzt die EZB ausgesandt. In ihren โSSM (Single Supervisory Mechanism)-Prioritiesโ fรผr das Jahr 2016ย legt sie sehr exakt dar, welche Kategorien aus ihrer Sicht im Bereich Risiko und Compliance maรgeblich seien โ und welche Maรnahmen die Banken zu ergreifen hรคtten, um den Ansprรผchen zu genรผgen. Erstmals spielt dabei ganz explizit die Daten- und IT-Infrastruktur eine entscheidende Rolle. Wรถrtlich heiรt es dort: โFinally, ensuring data quality and security necessitates state-of-the-art IT infrastructure. Therefore, IT risks will form part of the analysis.โ
Das legt den Finger in eine Wunde, die viele Banken (und Versicherungen) zunehmend quรคlt: Eine fragmentierte und teilweise unzweckmรครige IT โ und die damit direkt verbundenen Mankos im Hinblick auf Transparenz, Sicherheit und Wirtschaftlichkeit. Nicht ohne Grund bemรคngelt der Co-Chef der Deutschen Bank, John Cryan,ย im eigenen Haus โmangelhafte und ineffektive Prozesse, veraltete und nicht angemessene Technologien, zu viele manuell ausgefรผhrte Tรคtigkeiten.โย Die schlechte IT wird auch dafรผr verantwortlich gemacht, dass die Bank nicht in der Lage war, beim US-Stresstest Daten fรผr die Aufsichtsbehรถrden aufzubereiten.ย Damit rรผckt auch das gute alte Operationale Risiko wieder in den Fokus.
Compliance ohne angemessene IT ist illusorisch
Das Problem liegt dabei nicht in der Leistungsfรคhigkeit einzelner vorhandener IT-Lรถsungen, sondern in der fehlenden Homogenitรคt, die historisch bedingt ist. Das Nebeneinander der Infrastrukturen, insbesondere im Konzernumfeld, behindert nachhaltig die Digitalisierung des Kerngeschรคfts, der Kundenbeziehungen und eben auch des gesamten Komplexes Governance, Risk und Compliance (GRC). Wo laut Kreditwesengesetz klassisch ein โordnungsgemรครer Umgang mit Geldernโ gefordert ist, tritt zunehmend auch ein โordnungsgemรครer Umgang mit Datenโ hinzu. Dafรผr wesentlich ist die Transparenz der Geschรคftsdaten, aber auch die Nachvollziehbarkeit des Status Quo durch lรผckenlose Dokumentation. Hier sind nicht nur quantitative, sondern genauso qualitative Aspekte maรgeblich. Wie leitet sich die aktuelle Situation her? Was sind die Herausforderungen, was die Maรnahmen? Wer ist verantwortlich? Wie ist der Stand der Dinge? Mit welchen Prozessen hรคngt ein Sachverhalt zusammen? Weder beiย der Analyse der operativen Daten noch bei der รberwachung von GRC helfen innovative Einzelprozesse aus Sicht der Compliance und dem aufsichtsrechtlichen Reporting, wenn sie nicht jederzeit und lรผckenlos nachvollziehbar sind โ und zwar รผber alle Bereiche einer Bank hinweg.
Anspruch fรผr Riskmanagement muss sich erhรถhen
Das bedeutet konkret, dass fรผr den Gesamtkomplex Risiko im Hinblick auf Compliance der gleiche Anspruch gelten muss, der im Accounting lรคngst selbstverstรคndlich ist: gemeinschaftliches, standardisiertes Vorgehen auf Basis einer einheitlichen Infrastruktur. Im Operationalen Risiko gewinnen Herausforderungen wie Fraud, Cybersecurity, Geldwรคsche (AML), aber z.B. auch Model Risk Management weiter an Gewicht. Sie sind zwar รผblicherweise unterschiedlichen Abteilungen zugeordnet, im Sinne des Gesamtunternehmens ist aber eine gemeinsame Herangehensweise zu einem zentralen Risikomanagement wรผnschenswert. Noch gar nicht berรผcksichtigt sind dabei die Faktoren Wirtschaftlichkeit und Innovationspotenzial. Auch wenn schon BCBS 239 ein Tempo fรผrs Reporting fordert, das mit bestehenden Infrastrukturen schwierig bis gar nicht zu erreichen ist โ der eigentliche Mehrwertย einer schlanken, schnellen ITย liegt in Bereichen, in denen Geld verdient und nicht ausgegeben wird: in effizienten Prozessen, der erleichterten Umsetzbarkeit von neuen Services und in mehr รberblick fรผr die strategische Banksteuerung.
Auch wenn Basel und die EZB das nicht konkret aussprechen: Kรผnftig fรผhrt im Bankenwesen kein Weg an der Einrichtung leistungsfรคhiger analytischer Plattformen vorbei. Nur damit sind Banken in der Lage, vom aufsichtsrechtlichen Reporting bis zu Szenariorechnungen und Simulationen auch im Sinne der Aufsicht (z.B. AnaCredit) umzusetzen. Dies gilt aber umso mehr auch fรผr das Operationale Risiko und damit die Etablierung einer ganzheitlichen IT gestรผtzten Enterprise Governance, Risk & Compliance Kultur. Beide Gesichtspunkte erlauben eine echte Industrialisierung von IT-Lรถsungen quer durch ganze Konzerne.
Carsten Krah ist Bankkaufmann und studierte Wirtschaftswissenschaften an der Ruhr-Universitรคt in Bochum. Er war in Bereichen wie Basel II/III, Liquiditรคtsmanagement, ALM und IFRS fรผr unterschiedliche Unternehmen auch im Ausland tรคtig. Bei SAS North-EMEA arbeitet er als Risk Business Expert und verantwortet unterschiedliche Risiko-Themen fรผr Banken.