Een 'do or die' moment voor de ambitie van BCBS #239 | KPMG | NL

2017: een 'do or die' moment voor de ambitie van BCBS #239

Een 'do or die' moment voor de ambitie van BCBS #239

Wie herinnert zich BCBS #239 nog? In 2013 zijn door de Basel Committee on Banking Supervision (BCBS) elf principes voor effectieve risicodata-aggregatie en rapportages gepubliceerd. Het doel van deze elf principes is het versterken van de competenties omtrent data-aggregatie, interne rapportageprocessen en ultiem het verbeteren van de interne besluitvorming bij banken. Dit zou de veerkracht van banken moeten verbeteren. Inmiddels zijn we zo’n vier jaar verder, is de Asset Quality Review (AQR) afgerond, is Europees bankentoezicht een feit en is BCBS #239 voor grote banken (G-SIBS) van kracht geworden. Uit recent onderzoek blijkt echter dat slechts één bank volledig voldoet. Zou het kunnen dat BCBS #239 in de prioriteitsstelling bij banken te veel naar de achtergrond is geraakt?

1000

Gerelateerde content

BCBS #239

Voortgangsrapport maart 2017

Uit recent ECB-onderzoek blijkt dat slechts één bank volledig voldoet aan alle elf principes (onderaan deze pagina is meer informatie opgenomen over de elf principes van de BCBS #239). De overige bevindingen die de ECB in maart 2017 publiceerde zijn niet mals:

• Principe 2 (data-architectuur en IT-infrastructuur) heeft het hoogste percentage bevindingen ‘niet-conform wetgeving’ (50% van de banken waren niet-compliant).

• De beoordeling van 2016 weerspiegelt dat de banken in het algemeen ongeveer vijf tot zes jaar nodig hebben om volledige naleving te realiseren.

• Gedurende de eigen evaluatie (self-assessment) die banken hebben uitgevoerd, heeft geen bank aangegeven non-compliant te zijn. Echter eigen beoordeling wijkt soms sterk af van de daadwerkelijk geconstateerde naleving. Principe 8 (Risicomanagementrapporten moeten alle materiële risicogebieden omvatten binnen de organisatie) week het meest af van de realiteit.

• Banken vonden het lastig om een interne auditfunctie te vragen om de naleving aan de technische rapportagevereisten te bevestigen.

Gebrek aan consistentie over de banken heen bij de interpretaties van de regelgeving.

Hoe erg is dit? Laten we eerst terugblikken op de aanleiding voor het verder neerzetten van BCBS #239. Dat begint met het AQR-onderzoek en de conclusies van de ECB dat banken onvoldoende beschikking hadden tot actuele en betrouwbare informatie om in vele gevallen sturing te geven. Althans, zo was de gedachte toen bleek dat essentiële informatie over de portefeuilles niet tijdig voor handen was.
In 2016 heeft de ECB vervolgens een thematische evaluatie over BCBS# 239 uitgevoerd bij 25 banken om de naleving te beoordelen. Deze werd in twee fases uitgevoerd bij zowel mondiale als lokale systeembanken (Global & Domestic Systemically Important Financial Institutions) en onderzocht meerdere aspecten van de implementatie, waaronder de status van de betreffende projecten, de zelf-evaluaties van de banken, ondersteunende documentatie en presentaties over de datastromen door de informatieketen heen. Tevens werd een soort brandoefening uitgevoerd: de banken moesten bepaalde indicatoren op korte termijn opstellen en aanleveren met behulp van een vooraf gedefinieerd template.

Vervolgstappen

In het Voortgangsrapport blikt de ECB ook vooruit:

  • Mondiale banken worden verzocht om duidelijke routekaarten te verstrekken waarin zij hun geplande nalevingsdatum en toegewezen resources duidelijk maken.
  • Nationale toezichthouders worden verzocht de uitvoering nauwlettend in de gaten te houden en maatregelen te treffen wanneer banken niet aan de beginselen kunnen voldoen
  • Ook vraagt de ECB de nationale toezichthouders om hun controle ook toe te passen op lokale banken om een even zwakke implementatiestatus te voorkomen zodra de implementatietermijn voor die banken is aangebroken.

Daarnaast wordt de mate waarin niet voldaan wordt aan deze principes meegewogen in de bepaling van de minimale kapitaaleisen die de ECB individueel per bank vastlegt tijdens de Supervisory Review and Evaluation Process (SREP). Dit heeft een dubbele impact aangezien de SREP ook veelal bepalend is voor de hoeveelheid geschikt vreemd vermogen dat beschikbaar moet zijn als de bank dreigt om te vallen (zogenaamde Resolutie). Kortom: niet voldoen aan BCBS #239 is niet alleen een overtreding van de regels maar ook kostbaar.

Onze observaties en advies

Banken hebben moeite om aan de elf principes van BCBS #239 te voldoen. De ECB ziet de twee overkoepelende principes, data-governance en architectuur (1 & 2), als basisvoorwaarde om de naleving van de overige principes te kunnen bereiken. Daarom is het van belang dat banken hun datamanagement organisatie en ondersteunde architectuur op orde hebben. De data lineage presentaties als input voor het voortgangsrapport, hebben aangetoond dat banken het lastig vinden om verder in te kunnen zoomen op de datastromen en bijbehorende controls, validaties en beschrijvingen van de bewerkingen op de data. De IT-systemen bieden onvoldoende ‘drill-down’ capaciteiten waardoor banken genoodzaakt worden om ingrijpende en dure aanpassingen te maken in hun IT-architectuur. Softwareleveranciers spelen hier handig op in door oplossingen aan te bieden waarin deze drill-down mogelijkheid beschikbaar zou zijn, vaak met de belofte van een algeheel datamodel dat voorziet in alle informatiebehoeften. Echter, de informatieketen is complex en geen enkele oplossing dekt de keten helemaal af. Daarnaast bestaan er veel mythes over datamodellen en is het kennisniveau bij leveranciers, banken en adviseurs niet voldoende op peil om het totaal te kunnen overzien.

Natuurlijk zijn banken BCBS #239 niet vergeten, maar de problemen zijn hardnekkig, de echte oplossingen zijn complex en de tijdsduur is lang waardoor het momentum gemist kan worden.

Ons advies is:
• Onderzoek de mogelijkheden om de (tussentijdse) impact van aanpassingen in de IT-architectuur te verhogen; sommige rapportages en KPI’s zijn belangrijker dan andere en het ultieme doel van goede besluitvorming moet blijven overheersen. Voorkom dus dat dit een IT project wordt.

• Hoewel steeds (ook in dit artikel) de nadruk wordt gelegd op data en IT-systemen zijn ook de processen, organisatie, menselijke competenties en cultuur belangrijke componenten voor de oplossing. Er zijn ook alternatieve oplossingen beschikbaar die (misschien alleen op korte termijn) kunnen bijdragen aan de totstandkoming van een adequate informatievoorziening. Denk hierbij aan processtandaardisatie en centralisatie, Robotic Process Automation (RPA) en samenwerking tussen de Finance en Risk functies.

• Maak van een nood een deugd: de data die voor deze principes beschikbaar wordt gemaakt, is ook uitstekend commercieel benutbaar; neem als Finance en/of Risk afdeling dan wel als BCBS #239 programma het initiatief om dit gesprek breed in de organisatie te voeren, want het komt niet vanzelf.

• Ten slotte: we blijven een onderschatting tegenkomen van de benodigde doorlooptijd, competenties en budget. Door het gebleken achterstallige onderhoud bij de meeste banken spreken we hier niet van een simpele pleister die op een anders prima werkend informatievoorziening kan worden geplakt. BCBS #239 is een transformatie en dient als zodanig te worden opgepakt.

Bijlage

BCBS #239: gericht op de lange-termijn

In januari 2013 hebben toezichthouders de mondiale banken opgelegd om de elf principes voor dataaggregatie en rapporteren toe te passen met als ingangsdatum 1 januari 2016 (zie afbeelding 1). Voor veel lokale banken zijn deze regels ook van kracht geworden, weliswaar met verschillende  invoeringsdata variërend tussen 2016 en 2018. Dit alles is vastgelegd in richtlijn #239 van het Bazels Comité.

Afbeelding 1: de 11 principes waar banken aan moeten voldoen

BCBS #239 moet niet beschouwd worden als een eenmalige implementatie. Het is van belang dit in te bedden in de informatieketen en besturing van de bank. Effectief datamanagement inclusief een robuuste ondersteunende data-architectuurzijn daarbij essentiële ingrediënten. Datamanagement
omvat volgens DAMA DMBOK 1.0 onder andere het metadatamodel, de masterdata, IT systemenarchitectuur, governance- en securityaspecten.


Voor een robuuste informatieketen dienen de principes bankbreed te worden geïmplementeerd aangezien de naleving een integrale blik vereist van bronsysteem tot aan rapport en besluitvorming. Om dit te kunnen verwezenlijken is het van belang dat de benodigde centralisatie van data ontstaat waarbij er een verbindende schakel wordt geïntroduceerd in de vorm van een bankbreed datamodel. Daarnaast dienen banken hun datastromen met flowcharts te identificeren,zodat het transparant wordt hoe data
door de organisatie stromen en er inzicht is in de verschillende transformaties en aggregaties van data. Gebeurtenissen (zoals het optellen en aggregeren van balansstanden) in de datastroom moeten door middel van een volgsysteem (in vaktaal: lineage applicatie) met drill-down functionaliteit actief gemonitord worden en als basis gebruikt worden voor datakwaliteitsrapportages. Duidelijke toewijzing van eigenaarschap is dan benodigd om datakwaliteit actief te onderhouden en hierop te kunnen rapporteren.

Contact

Voor verdere vragen over BCBS #239 en de data management competenties die hiervoor benodigd zijn, kunt u contact opnemen met:

Paul Rothwell
Partner Management Consulting - Financial Management
KPMG Advisory
T. 020-656 2950
M. 06-8208 3708
E. rothwell.paul@kpmg.nl

Said Sellak
Manager Management Consulting - Financial Management
KPMG Advisory
T. 020-656 4316
M. 06-1306 5946
E. sellak.said@kpmg.nl

Vera Tolkach
Senior Financial Services and Financial Management
KPMG Accountants
T. 020-656 4463
M. 06-1188 5487
E. tolkach.vera@kpmg.nl

Neem contact met ons op

 

Offerteaanvraag (RFP)

 

Bevestig