Gesamtstrategie BCBS 239 Compliance

BCBS 239 Compliance-Validierungs-Rahmenwerk

In Übereinstimmung mit den Risiko-Governance-Richtlinien der Banken sind Finanzinstitute verpflichtet die Einhaltung der Grundsätze sicherzustellen, zu validieren und darüber zu berichten. Paragraph 29 des ersten Grundsatzes definiert diese Validierungsmaßnahme folgendermaßen:

„Die Risikodaten-Aggregationskapazitäten und Risikomeldeverfahren einer Bank sollten vollumfänglich schriftlich niedergelegt sein und hohen Validierungsstandards unterliegen. Diese Validierung ist unabhängig durchzuführen und soll die Einhaltung der in diesem Dokument aufgeführten Grundsätze durch die Bank untersuchen. Der vorrangige Zweck der unabhängigen Validierung ist es, sicherzustellen, dass die Prozesse der Aggregation von Risikodaten sowie der Risikoberichterstattung gemäss ursprünglicher Zielsetzung ablaufen und dem Risikoprofil der Bank angemessen sind. Die unabhängige Validierung ist mit den übrigen Massnahmen der unabhängigen Prüfung zu koordinieren und zu verbinden, die im Rahmen des Risikomanagements einer Bank durchzuführen sind (insbesondere die sog. „zweite Verteidigungslinie“ des internen Kontrollsystems einer Bank); überdies muss sie sämtliche Bestandteile der Prozesse der Aggregation von Risikodaten sowie der Risikoberichterstattung umfassen. In der gängigen Praxis werden für die unabhängige Validierung der Risikodaten-Aggregations- und Meldeverfahren vorzugsweise Mitarbeiter eingesetzt, die über spezifische Kenntnisse in den Bereichen IT, Datenverarbeitung und Berichtswesen verfügen. Darüber hinaus sollte die Validierung unabhängig von sonstigen Prüfungstätigkeiten durchgeführt werden, um eine vollständige Unterscheidung zwischen der zweiten und dritten Verteidigungslinie des internen Kontrollsystems einer Bank zu gewährleisten.“

Da schlussendlich der Bankenvorstand für die Risikobereitschaft der Bank verantwortlich ist, sollte sich dieser jederzeit der Einschränkungen im Risikodatenaggregationsprozess bewusst sein. Paragraph 31 der Grundsätze besagt hierzu: „Das oberste Verwaltungsorgan sollte darüber hinaus Kenntnis über die Umsetzung und fortwährende Einhaltung der in diesem Dokument aufgeführten Grundsätze innerhalb der Bank haben.“

Aufsichtsbehörden werden Eskalationsmaßnahmen zur Verfügung haben, die stringentere und beschleunigte Abhilfemaßnahmen erfordern werden, für den Fall, dass eine Bank den identifizierten Schwächen nicht adäquat begegnet.

Diese Richtlinie führt Banken, die eine neue starke Compliance-Validierungs-Funktion einrichten, darin, eine umfassende regelmäßige und zeitnahe Überwachung der Einhaltung der Grundsätze zu erreichen. Um die Compliance-Validierungs-Funktion zu definieren, müssen sich Banken mit den folgenden Themen auseinander setzen und die richtigen Antworten finden:

                 

Alle der oben erwähnten Themen sind Bestandteil unseres BCBS 239 Compliance-Validierungs-Rahmenwerks.

Als erstes sollten Banken die richtigen Stakeholder für die Compliance-Validierungs-Funktion auswählen. Welcher Geschäftsbereich oder welche Geschäftsbereiche sollten für die Validierung verantwortlich sein, das Risikomanagement, die Compliance-Abteilung oder IT Operations? Wie sollte das Validierungsteam gebildet werden und welche Fähigkeiten sollten die Teammitglieder beherrschen?

Als nächstes ist es wichtig den Themenblock festzulegen, der Gegenstand der Validierung ist. Der Themenblock muss alle 14 Grundsätze abdecken sowie alle von den Grundsätzen abgedeckten Teilbereiche (Methoden, Prozesse).

Für unterschiedliche Validierungsmaßnahmen werden unterschiedliche Validierungsmethoden und -verfahren angewandt. Der Automatisierungsgrad variiert erheblich zwischen einzelnen Validierungsmaßnahmen. Die Durchführungsfrequenz der einzelnen Validierungsschritte ist ein weiterer wichtiger Aspekt, der beachtet werden sollte; einerseits ist ein zeitnaher und umfassender Compliance-Status gefordert, andererseits muss sich der Aufwand (die Kosten) im Rahmen der Ressourcen der gegebenen Bank halten.

Der Einhaltungsgrad  mit den BCBS 239-Grundsätzen sowie zahlreiche detaillierte Berichte sollen das Ergebnis der Validierung sein. Während der umfassende Compliance-Report die Bereitschaft der Bank wiederspiegelt, die Grundsätze einzuhalten, helfen die Detailberichte dabei, die Lücken besser zu managen und auch weitere Verbesserungsbemühungen im Bereich Risk Data Processing anzustoßen und zu unterstützen.

Außerdem müssen Banken die wichtige Entscheidung treffen, wie eine effiziente IT-Infrastruktur entworfen werden soll, um sowohl eine umfassende als auch  eine effektive Validierungs- und Überwachungsplattform zu schaffen. Ist Eigenentwicklung immer der beste und effizienteste Weg?

ADASTRAs Zusammenstellung an Methodologien gepaart mit einer leistungsstarken Validierungs- und Reporting-Engine helfen Banken ihre Compliance-Validierungs-Kompetenzen zu verbessern und gleichzeitig die Kosten der Validierungsfunktion so gering wie möglich zu halten.