Von den neuen Eigenkapitalrichtlinien betroffen sind Markt-, Kredit- und operationelle Risiken der Banken. Zwar berühren die Verordnungen von Basel II auch strategische und Liquiditätsrisiken, doch sind diese Risikoarten nicht mit Eigenkapital abzudecken. Während die Regeln zur Beurteilung der Marktrisiken gleich bleiben, ergeben sich bei der Kalkulation von Kreditrisiken durch die neuen Richtlinien umfangreiche Änderungen. Die Kalkulation operationeller Risiken, das heißt die Gefahr von Verlusten durch das Versagen von Menschen oder Maschinen, durch externe Ereignisse oder durch Fehler in der internen Vorgangsbearbeitung, wird durch Basel II erstmals explizit geregelt.
Ein solches operationelles Versagen kann ein Bearbeitungsfehler an einer bestimmten Stelle sein, etwa die fehlerhafte Eingabe eines Namens. Bleibt der Fehler unerkannt, kann ein drohender Kreditausfall möglicherweise nicht rechtzeitig erkannt werden, und es kommt zu einem Verlust für die Bank. Die Kreditinstitute schützen sich vor solchen Verlusten durch Qualitätssicherungsmaßnahmen wie das Vier-Augen-Prinzip. Basel II fordert nun erstmals die Quantifizierung der Wahrscheinlichkeit, dass derartige Fehler auftreten, und des potenziellen Schadens daraus. Die Herausforderung, die sich dadurch für die Bank ergibt, ist informationstechnischer wie organisatorischer Art. Sie muss in erster Linie ihre Prozesse und deren Interdependenzen analysieren und Zahlenmaterial über die Häufigkeit gewinnen, mit der einzelne Prozessschritte durchlaufen werden. Aufgabe der IT-Abteilung ist es, eine Infrastruktur aufzubauen, die systematisches Erfassen, Auswerten und Berichten operationeller Risiken und Verluste unterstützt. Hierzu gehört, eine Verlust- und eine Risikoindikatorendatenbank aufzubauen, ferner Softwareanwendungen für die Risikoeinschätzung durch Bankmitarbeiter (Self-Assessment).
In erster Linie müssen die Banken in den Aufbau eines betriebswirtschaftlichen Rahmens zum systematischen Umgang mit diesem noch relativ neuen Thema investieren. Die Investitionen in Softwarelösungen werden als vergleichsweise gering angenommen.
Das eigentliche Thema von Basel II ist die Entwicklung einer integrierten Risikoplattform, welche sowohl die regulatorischen Anforderungen als auch interne Steuerungszwecke unterstützt. Der Schwerpunkt der anzugehenden Aufgaben liegt dabei im Kreditrisiko. Hierbei spielt insbesondere die Kalkulation auf Basis interner Bewertungsmodelle, so genannter Internal Ratings Based Approaches oder IRB-Ansätze, eine Rolle. Eine Herausforderung für die Banken-IT besteht in der Bereitstellung risikorelevanter Informationen vergangener Schadensfälle über einen möglichst großen Zeitraum und in konsistenter Qualität. Zeitverzögerungen beim Aufbau dieser Zeitreihen wirken sich unmittelbar auf die Aussagekraft der gesammelten Daten und damit auf die Qualität der Kreditrisikobewertungen aus. Zwei Dinge sind daher für die Kreditinstitute besonders wichtig: Frühzeitige Klarheit über die zu erfassenden Risikokriterien und baldige Verfügbarkeit einer produktiv nutzbaren Historiendatenbank.
Transparenz und Integration
Im engeren Sinn ist Basel II zunächst einmal ein aufsichtsrechtliches Regelwerk. Damit die Regeln angewendet werden können, ist die organisatorische und IT-infrastrukturelle Verknüpfung des Aufsichtsrechts mit dem Risiko-Management-Prozess erforderlich. In vielen Banken ist das Meldewesen bislang dort angesiedelt, wo die Rechnungslegung erfolgt. Dementsprechend sind auch die IT-Systeme ausgerichtet. Verbindungen zwischen Meldewesen und Risiko-Management fehlen weitgehend. Um den Anforderungen von Basel II zu genügen, muss hier nachgebessert werden, das heißt, das Risiko-Management-System muss dahingehend erweitert werden, dass es auch die Aktivitäten des Meldewesens unterstützen kann. Beides, die notwendigen organisatorischen und die infrastrukturellen Maßnahmen, erfordert eine erhebliche Vorlaufzeit.
Aus der Verknüpfung zwischen Meldewesen und Risiko-Management-Prozess ergeben sich weitere Konsequenzen für die IT. An Systeme, die bislang nur für interne Zwecke genutzt wurden, werden nun strenge Kriterien hinsichtlich ihrer Stabilität und der Nachvollziehbarkeit der Prozesse gestellt. Ein Bereich, in dem viele Banken noch Handlungsbedarf haben, ist die Sicherheitenverwaltung. Hintergrund ist unter anderem, dass bis vor kurzem die maschinelle Verfügbarkeit von Sicherheiteninformationen auf Gesamtbankebene keine erfolgskritische Anforderung war. Zum Aufbau entsprechender IT-Systeme bestand daher bei den Banken lange Zeit kein dringender Anlass. Manche Vorgänge werden nur auf dem Papier dokumentiert, und wenn die Daten elektronisch verarbeitet werden, dann nicht in der erforderlichen Informationstiefe und -breite. Die Einführung eines Collateral-Management-Systems steht insofern bei den meisten Banken ganz oben auf der Liste der Prioritäten.
Entscheidend für die Kalkulation von Kreditrisiken ist die Verfügbarkeit geprüfter und konzernweit konsolidierter Informationen über die Bankkunden. Bereitgestellt werden diese Informationen in einem zentralen Geschäftspartnersystem.
Risiko-Ertrags-Steuerung
Soweit bei den Banken in dieser Hinsicht Nachholbedarf besteht, wird Basel II einen entsprechenden Motivationsschub leisten. Letztendlich steht hinter allen Anforderungen von Basel II das Bestreben, die Banken zur Einrichtung eines integrierten Risiko-Management-Prozesses zu bewegen, der die Risiken jedes einzelnen Geschäfts adäquat in die Gesamtbanksteuerung einbindet. Ziel ist, dass die Banken auf diese Weise zu einer echten Risiko-Ertrags-Steuerung der Gesamtbank gelangen. Hier zeigt sich, dass Basel II den Banken nicht nur Pflichten auferlegt, sondern ihnen auch Potenzial zur Rentabilitätssteigerung erschließt.
Eine der Hauptherausforderungen für die Banken-IT im Zusammenhang mit Basel II besteht im Aufbau eines zentralen Datenbestands. Zum einen erfordert die Kalkulation von Kreditrisiken mit Hilfe moderner Kreditportfoliomodelle die Verfügbarkeit sämtlicher Geschäftsinformationen in der notwendigen Granularität. Zum anderen kann in einer zentralen Datenbank am effizientesten die Konsistenz der eingehenden Geschäftsinformationen sichergestellt werden. Die Anforderungen an entsprechende Data Warehouses, Analysemodule und Reporting-Plattformen in puncto Performanz und Verfügbarkeit sind allerdings nicht zu unterschätzen. Mehrsprachenfähigkeit und Mehrmandantenfähigkeit sind weitere wichtige Systemanforderungen. Daneben sind aufbau- und ablauforganisatorische Fragen zu lösen, beispielsweise hinsichtlich der Kriterien und Prozesse zur Qualitätssicherung der eingehenden Informationen.
Problematik des unscharfen Ziels
Ein besonderes Projektrisiko entsteht den Banken durch den Umstand, dass die Anforderungen von Basel II immer noch nicht endgültig feststehen. So besteht die Gefahr, dass frühzeitig erstellte Rating-Werkzeuge kostenaufwändig modifiziert werden müssen, wenn sich die Richtlinien bis zur verbindlichen Einführung in größerem Umfang ändern. Die Banken können es sich jedoch nicht leisten, noch länger mit dem Aufbau von Datenbanken und Anwendungen für Basel II zu warten. Durch Kombination von vier Strategien können die Banken ihr Projektrisiko verringern.
Erstens sollten sie sich zunächst denjenigen Richtlinien widmen, die schon beschlossen sind oder bei denen die Gefahr von Änderungen gering ist. Themen, die noch intensiv diskutiert werden, sollten zurück gestellt werden. Zweitens können sich die Banken durch einen modularen Aufbau ihrer IT-Landschaft vor größeren Schäden schützen. Sollten Korrekturen erforderlich werden, ist nämlich nur das jeweilige Modul betroffen und nicht das gesamte System. Dazu sind klare Grenzen zwischen den einzelnen Modulen erforderlich. Standard-Schnittstellen gewährleisten die reibungslose Kommunikation der Module untereinander.
Drittens sollten sich die Kreditinstitute im Zweifelsfall an den Anforderungen ihrer internen Steuerungsprozesse orientieren, denn es ist zu erwarten, dass das, was für die Bank betriebswirtschaftlich sinnvoll ist, auch letztendlich in die Basel-II-Richtlinien Eingang findet beziehungsweise von der Aufsicht als möglicher Weg akzeptiert wird. Und viertens kann durch die Wahl entsprechender Partner ein Teil des Risikos auf die Softwareindustrie abgewälzt werden.
Die Banken sind gut beraten, wenn sie sich von ihren IT-Dienstleistern zusichern lassen, dass deren Risiko-Management-Lösungen in vollem Umfang und ohne Modifikation Basel-II-tauglich sind. (bi)
*Jens-Peter Jensen ist Director Business Development und Financial Services der SAP AG in Walldorf.
Die Herausforderungen
Basel II birgt informationstechnische und organisatorische Herausforderungen:
- Die IT-Abteilung muss die Infrastruktur aufbauen.
- Die Banken müssen in den Aufbau des betriebswirtschaftlichen Rahmens investieren.
- Eine integrierte Risikoplattform muss entwickelt werden.
- Das Aufsichtsrecht muss mit dem Risiko-Management verknüpft werden.
- Ein Collateral-Management-System muss eingeführt werden.
- Die Banken sollen zu einer Risiko-Ertrags-Steuerung der Gesamtbank gelangen.
Abb: Entwicklung einer Kreditrisikoplattform
Das eigentliche Thema von Basel II ist die Entwicklung einer integrierten Risikoplattform, welche sowohl die regulatorischen Anforderungen als auch interne Steuerungszwecke unterstützt. Der Schwerpunkt der anzugehenden Aufgaben liegt dabei im Kreditrisiko. Quelle: SAP