Insbesondere in Krisenzeiten zeigt sich, wie wichtig eine schnelle, agile und zugleich kosteneffiziente Regulierung ist. Das war nach der Finanzkrise 2007/2008 so und das ist auch heute so, während die Wirtschaft unter den Folgen der Covid-19-Pandemie leidet. Daher ist jetzt der richtige Zeitpunkt, die Bankenregulierung und das System des bankenaufsichtsrechtlichen Meldewesens zu evaluieren, damit aus Fehlern der Vergangenheit gelernt und für die Zukunft entsprechend vorgesorgt werden kann.
Im Jahrzehnt der 2010er Jahre wurden die Basel-III-Reformen umgesetzt, um die Folgen der Finanzkrise zu bewältigen. Betrachtet man die Ergebnisse hinsichtlich ihrer Leistungsfähigkeit, so ergibt sich ein gemischtes Bild. 1) Viele der Ideen, die sich in den Reformen und ihren nationalen und supranationalen Umsetzungen manifestieren, waren sehr erfolgreich. Insbesondere durch die höheren Eigenkapitalanforderungen und die gesteigerte Resilienz hat sich der Finanzmarkt nicht etwa als Quelle von Instabilität herausgestellt, sondern vielmehr als stabilisierender Faktor für die Weltwirtschaft bewiesen. Insgesamt hatten die Reformen somit einen positiven Einfluss auf das Wohlergehen der Weltwirtschaft. Gleichzeitig wurden jedoch einige wesentliche Defizite der Bankenregulierung sichtbar, deren Bewältigung heute klar im Fokus aller beteiligten Stakeholder des Finanzmarktes stehen. Die meisten verbliebenen Hürden sind interessanterweise nicht in den grundsätzlichen Ideen und Konzepten der regulatorischen Reformen zu sehen, sondern in deren funktionaler, technischer und organisatorischer Umsetzung.
Zur Überwindung dieser Defizite bietet sich vor allem ein Ansatz aus dem regulatorischen Meldewesen an: RegOps. Das Konzept ermöglicht einen integrierten Datenfluss und eine gemeinsame Verarbeitung von standardisierten, granularen Datensätzen auf Basis einer Big-Data-fähigen Plattform für Berechnungen und Analysen. Durch Standardisierung und Industrialisierung bietet RegOps den Regulatoren weltweit einen Rahmen und eine Infrastruktur, um Daten aus den regulierten Märkten effizient und flexibel zu erfassen. Das Modell wurde bereits erfolgreich in einem Proof-of-Concept implementiert und hat bewiesen, dass es alle Anforderungen konzeptionell erfüllt.
Defizite im aktuellen Meldewesen
Bisher sieht man im bankenaufsichtsrechtlichen Meldewesen nur selten den Einsatz innovativer Technologien. In den meisten regulatorischen Rahmenwerken globaler Jurisdiktionen erfolgt der Datenfluss immer noch auf quasimanuelle, formularbasierte Weise. Doch die reine Automatisierung von manuellen, gedruckten oder handschriftlichen Meldeprozessen aggregierter Daten ist nicht ausreichend. Die Digitalisierung des Meldewesens erfordert vielmehr ein Umdenken im gesamten Prozess: vom Beginn der Datengenerierung innerhalb der Banken über die gesamte Verarbeitungskette bis hin zu den Regulierungsbehörden und Analysten.
Doch bisher haben nur wenige Jurisdiktionen damit begonnen, Regulierung neu zu denken und die Möglichkeiten innovativer Technologien wie Künstliche Intelligenz (KI), Programmierschnittstellen (API), Big Data, die Cloud, High-Performance-Computing und Blockchain/Distributed-Ledger-Technologien (DLT) zu nutzen. Viele dieser Technologien - die vor einigen Jahren noch reine Schlagworte waren - sind inzwischen so weit gereift, dass sie zu neuen Ansätzen in der Bankenregulierung und insbesondere im Meldewesen beitragen können.
Auch die aktuell sehr hohen Kosten der Regulierung und des regulatorischen Meldewesens könnten durch den Einsatz von Technologien gesenkt werden. Zwar variieren die Zahlen, aber alle Schätzungen kommen auf das gleiche Ergebnis: Der Aufwand für die Finanzinstitute ist enorm. McKinsey schätzt die jährlichen Kosten für das regulatorische Meldewesen britischer Banken auf 2 bis 4,5 Milliarden britische Pfund. 2) Ein Arbeitsdokument der Kommissionsdienststellen beziffert die Kosten für die Europäische Union auf 4 Milliarden Euro. 3) Und eine Studie von Chartis & BearingPoint schätzt die Kosten für die Einhaltung der Vorschriften in der EU und den USA für den gesamten Umfang der Risikodatenaggregation und des regulatorischen Meldewesens auf zirka 70 Milliarden US-Dollar. 4)
Während die Bankenregulierung im vergangenen Jahrzehnt effektiver geworden ist, nimmt der marginale Nutzen einer immer größer werdenden Anzahl von formularbasierten regulatorischen Datensammlungen stark ab. Die Haupthindernisse sind der begrenzte Erkenntnisgewinn und die fehlende Flexibilität der gemeldeten, aggregierten Daten. Außerdem wird deutlich, dass durch Technologien zwar die Kosten massiv gesenkt werden könnten, sie derzeit aber nicht effizient eingesetzt werden können, weil es an gemeinsamen Standards für Datenmodelle und -verarbeitung fehlt.
Datenbereitstellung verursacht hohe Kosten
Die derzeit hohen Kosten der Bereitstellung regulatorischer Daten durch die Institute sind zu einem großen Teil auf die Tatsache zurückzuführen, dass identische Vertragsinformationen immer wieder in einer Vielzahl verschiedener, nicht aufeinander abgestimmter Formulare (aufsichtsrechtliche, nationale, statistische und granulare Abwicklungsmeldungen) mit oft sehr ähnlichen, aber eben doch leicht abweichenden Definitionen aufbereitet werden müssen. Die Kosten der Institute könnten stark gesenkt werden, wenn Daten nur einmal in einer granularen, standardisierten, abgestimmten sowie strukturierten Art und Weise angefordert und mit einer gemeinsamen regulatorischen Logik verarbeitet würden.
Den Aufsichtsbehörden stünde dadurch einerseits eine bessere Datenqualität zur Verfügung. Andererseits hätten sie einen viel agileren Zugang zu den Daten sowie eine weitaus größere Flexibilität, um Antworten auf die wirklich interessanten Fragen zu erhalten. Für gemeinsame Standards müssen jedoch einheitliche Governance-Modelle zwischen den verschiedenen Stakeholdern innerhalb der Finanzmärkte einerseits und zwischen den Finanzmarkt-Stakeholdern und Regulierungsbehörden andererseits definiert werden.
Die operative Zuverlässigkeit der Regulierungssysteme hat oberste Priorität. Allerdings zeigen mehrere aufsehenerregende Fehlschläge in den vergangenen Jahren, dass es hier aktuell noch Optimierungspotenzial gibt. Denken wir zum Beispiel an die versteckten Derivatverluste bei der Banca Monte dei Paschi di Siena5) und den Wirecard-Skandal6). Die Leistungsfähigkeit der Finanzmarktüberwachung ist aufgrund der Beschaffenheit der erhobenen Daten nach wie vor eingeschränkt.
Covid-19 als Test
Aggregierte und formularbasierte Meldungen benötigen konzeptionell oft Datenkorrekturen oder sind anfällig für Manipulation. Eine vollständig granulare, automatisch gesteuerte, end-to-end integrierte Datenlieferung - möglicherweise in Verbindung mit anderen sicheren Technologien wie Blockchain - könnte das Vertrauen und die operative Stabilität für das Datenreporting stark verbessern. Gleichzeitig würde sie Manipulationen praktisch unmöglich oder zumindest unverhältnismäßig teuer machen. Weitere Probleme sind mangelhafte Qualität und Aktualität sowie das fehlende Inter-Entity-Matching, also die komplementäre Übereinstimmung der Datensätze zweier Vertragsparteien zu einer Transaktion. Auch dies könnte durch eine End-to-End-Lieferung von granularen Daten stark verbessert werden.
Andererseits hat die Covid-19-Krise als erster wirklicher Test für das neue Regulierungssystem gezeigt, dass zwar viele Baseler Reformen grundsätzlich eine positive Wirkung hatten, das regulatorische Meldewesen in der Praxis allerdings noch ernst zu nehmende Probleme aufweist. Paradoxerweise haben viele Jurisdiktionen genau jetzt Moratorien für neue Meldevorschriften erlassen oder die Meldepflichten gelockert. Das Ganze inmitten einer Krisensituation, in der umfassende Informationen für die Regulierungsbehörden wichtig wären, um fundierte Entscheidungen zu treffen.
Auch wenn die gelockerten Meldepflichten in erster Linie weniger wichtige Informationen für das Krisenmanagement betrafen, dauert die Umsetzung dringend benötigter neuer Datenanforderungen dagegen teils viele Monate (zum Beispiel Daten zu Moratorien oder Staatsgarantien). Ein Zeitrahmen, der definitiv zu lang ist.
Um all diese Herausforderungen zu adressieren und um die Umsetzung regulatorischer Anforderungen für Finanzinstitute und Aufsichtsbehörden zu erleichtern, bedarf es folgender Hauptelemente für ein modernes regulatorisches Meldewesen:
Standardisiertes Eingabedatenmodell und Verarbeitungslogik - Einheitlicher Daten- und Datenverarbeitungsstandard für das regulatorische Meldewesen, der entweder von der Regulierungsbehörde oder von den Marktteilnehmern festgelegt wird.
Pull-Mechanismus - Die Bank reicht keine Daten bei der Regulierungsbehörde ein (Push of Data); stattdessen greift die Regulierungsbehörde auf die benötigten Daten zu (Pull of Data).
Integrierte Datenübertragung - End-to-End-Datenfluss, der vollständig integriert und über moderne Schnittstellen, zum Beispiel API, automatisierbar ist.
Granulare Datenlieferung - Banken übermitteln vertragsgranulare Daten anstelle von aggregierten Meldeformularen, um die regulatorischen Anforderungen zu erfüllen.
Big-Data-fähige Plattform - Einsatz einer Big-Data-fähigen regulatorischen Plattform, die große Mengen an granularen Daten sammeln, speichern und analysieren kann, um Erkenntnisse für Behörden zu generieren.
Der Weg vom traditionellen Wasserfallmodell ...
RegOps ist eng mit dem Begriff DevOps (ein Kofferwort aus Development und IT-Operations; englisch für IT-Betrieb) verbunden, der aus der Softwareentwicklung bekannt ist und als Antwort auf die Unzulänglichkeiten des Wasserfallmodells gesehen wird. Das Wasserfallmodell als traditioneller, plangesteuerter Ansatz für die Softwareentwicklung gibt es schon seit Jahrzehnten.
Kritiker argumentieren, dass dem Wasserfallmodell die Flexibilität fehlt, um auf Kundenänderungen einzugehen und dass seine linearen Phasen der Softwareentwicklung nicht menschenorientiert sind. Zudem würde es die Zusammenarbeit mit dem Kunden nicht fördern und keinen Raum für Kreativität und Innovation lassen. Um die Softwareentwicklung zu verbessern, wurden Methoden übernommen, die sich auf die Zusammenarbeit mit dem Kunden, die kontinuierliche Bereitstellung, das ständige Feedback und die Kommunikation zwischen Entwicklern, Kunden und Anwendern konzentrieren. Die Software wird dabei in kleinen Releases inkrementell bereitgestellt.
... zum modernen regulatorischen Meldewesen
Finanzmarktregulierung wurde über Jahrzehnte hinweg nach dem Wasserfallmodell konzipiert und ausgerollt, was zu sehr langen Produkteinführungszeiten (Time-to-Market) führte und kaum Flexibilität bei regulatorischen Änderungen bot. Dieser Ansatz verursacht für die Regulierungsbehörden, aber vor allem auch für die Finanzdienstleistungsbranche, sehr hohe Kosten. Ähnlich wie DevOps verbessert RegOps die Art und Weise, wie Regulierungsbehörden und regulierte Unternehmen interagieren. Künftig heißt es: Zusammenarbeit, kontinuierliche Bereitstellung, ständiges Feedback und Kommunikation zwischen Regulierungsbehörden und regulierten Unternehmen bei gleichzeitiger inkrementeller Bereitstellung von regulatorischen Änderungen in kleinen Releases, ohne dass dadurch der Regelbetrieb des gesamten System negativ beeinflusst wird.
Der RegOps-Ansatz ändert das Entwerfen, Bereitstellen und Einsetzen von Regulierung systematisch und definiert den Austausch von Daten zwischen Regulatoren und Regulierten unter Verwendung von Push- und Pull-Ansätzen. Hierbei wird nicht länger ein Top-Down-Prozess verfolgt, der auf makroökonomischen Risikobetrachtungen basiert. Diese wurden bisher in standardisierte regulatorische Ansätze und Definitionen transformiert und später in festen, wenig erkenntnisbringenden regulatorischen Vorlagen implementiert.
Stattdessen wird vorgeschlagen, die Regulierung als Bottom-up-Prozess zu beginnen. Dieser konzentriert sich auf regulatorische Mikrodefinitionen von standardisierten Datenfeldern und Modellen auf der granularen Datensatz- und Dateninformationsebene.
In der Folge können diese flexibel für jede makroregulatorische Anforderung verwendet werden, wie zum Beispiel Berechnungen für unterschiedliche und sogar wechselnde makroregulatorische Ansätze auf der Grundlage der granularen, standardisierten Daten.
Bottom-up statt top-down
Das RegOps-Modell ist ein Vorschlag für die Zukunft des Meldewesens, der nicht nur alle zuvor genannten Merkmale umfasst, sondern aufgrund der Verfügbarkeit seiner drei Grundelemente auch in einem angemessenen Zeitrahmen eingesetzt werden könnte:
- Ein einheitliches, normalisiertes und universelles Datenmodell sowie eine standardisierte, gemeinsame regulatorische Logik für aufsichtsrechtliche, statistische und finanzielle Meldezwecke.
- Ein vollständig integrierter, bidirektionaler Datenlieferstrom einschließlich eines Toolsets zum Exportieren, Transformieren und Laden von Daten, um funktional korrekte Ergebnisse zu liefern. Zusätzlich gibt es die Möglichkeit zum Austausch von Regulierung als Code mit Hilfe von Code-Repositorien.
- Eine Big-Data-fähige Plattform zum Sammeln, Speichern und Analysieren von Daten, um bessere Erkenntnisse für Regulierungsbehörden zu gewinnen.
Standardisierung und Industrialisierung
Kombinieren wir diese Elemente, entsteht ein System, in dem regulatorische Daten direkt aus einem hochdetaillierten, umfassenden und vollständig granularen standardisierten Modell von jedem einzelnen Institut bezogen werden. Auf diese Daten kann mit einer einheitlichen Logik zugegriffen werden, um sie zu importieren, zu verarbeiten und in standardisierten oder Ad-hoc-Formaten für die Regulierungsbehörde bereitzustellen. Dieser Vorschlag würde den Datenfluss im Meldewesen so weit wie möglich straffen und die derzeitigen Probleme von Systembrüchen weitgehend beheben. Darüber hinaus würde es die Probleme der Standardisierung des Datenmodells und der Datenverarbeitungslogik lösen und damit höchstmögliche Qualität und Vergleichbarkeit gewährleisten.
Ein interessanter Nebeneffekt ist, dass dieses Modell nach einigen Iterationen die Notwendigkeit für regulatorische Änderungen aufseiten der Finanzinstitute praktisch beendet. Grund dafür ist, dass es nur eine endliche Anzahl sinnvoller Informationsartefakte und Datenfelder gibt, die einem solch granularen Datenmodell hinzugefügt werden können. Der Regulator kann dann flexibel neue regulatorische Vorlagen erstellen, ohne dass der Finanzmarkt Anpassungen machen muss. Erfahrungen mit dem Betrieb von granularen Datenmodell-basierten regulatorischen Meldeansätzen bestätigen das.
Mehr Agilität für die Aufsicht
Das Pull-basierte Modell könnte schrittweise eingeführt werden, um Erfahrungen mit granularen Daten zu sammeln und um Zeit für die Gesetzgebung und Anpassung der Regulierung an die neue Architektur zu geben. Gleichzeitig könnte die bestehende Infrastruktur für das Meldewesen (Push-Ansatz) beibehalten werden, um einen reibungslosen Übergang für alle beteiligten Akteure zu ermöglichen (Abbildung 1).
Wenn das Modell die erwarteten Vorteile bringt, könnte die alte Push-basierte Infrastruktur schrittweise auf das neue Pull-Modell migriert werden (Abbildung 2). So würden wir eine natürliche Verschiebung der regulatorischen Entwicklung von einer "Wasserfall-Aufsicht" zu einer agilen Aufsicht erleben. Dieses Modell würde nicht nur die Qualität, Aktualität, Vollständigkeit und Transparenz des regulatorischen Meldewesens stark erhöhen. Gleichzeitig werden auch die Kosten und der Aufwand für das regulatorische Meldewesen der betroffenen Finanzinstitute stark reduziert.
BearingPoint RegTech nahm mit der eigenen RegOps-Lösung am G20 / BIS Techsprint 2020 teil und entwickelte innerhalb von fünf Wochen einen voll funktionsfähigen Prototyp. Der Proof of Concept wurde durch die Wiederverwendung bestehender Software-Stacks und regulatorischer Inhalte auf eine völlig neue Art und Weise eingesetzt. Der Prototyp war in der Lage, die Machbarkeit des Modells zu beweisen und veranschaulichte wirkungsvoll die Anwendung aller drei Komponenten von RegOps: ein standardisiertes Datenmodell mit einheitlicher Verarbeitungslogik, ein endto-end integrierter Datenfluss über API und eine Big-Data-fähige regulatorische Plattform für die Datensammlung undanalyse. Die Lösung wurde von der Jury in die engere Auswahl genommen und kam unter die Top 20 unter 128 Bewerbern aus 35 Ländern. 7)
RegOps-Modell bereits weltweit im Einsatz
Zusammenfassend bietet der Reg-Ops-Ansatz einen neuen, innovativen Ansatz, um die beiden aktuell dringendsten Probleme im regulatorischen Meldewesen zu lösen: die mangelnde Qualität der Meldedaten und die gleichzeitig hohen, nicht nachhaltigen Aufwände und Kosten der Finanzinstitute für die Bereitstellung dieser Daten.
Die Wurzeln dieser Probleme liegen darin, dass es an granularer Datenlieferung, einem standardisierten gemeinsamen Datenmodell, einer einheitlichen Verarbeitungslogik und einem end-to-end integrierten Datenfluss mangelt. Daran scheitert letztlich auch die Anwendung moderner Technologien in den derzeitigen regulatorischen Meldesystemen.
Viele dieser Herausforderungen wurden erfreulicherweise bereits durch verschiedene Ansätze und Initiativen von Regulierungsbehörden, Finanzinstituten und Lösungsanbietern weltweit adressiert. Damit wäre auch der Beweis erbracht, dass RegOps nicht nur in der Theorie, sondern auch in der Praxis positive Ergebnisse liefern kann.
Fußnoten
1) Vgl. Bank for International Settlements, (2019). Basel III Monitoring Report. https://www.bis.org/bcbs/publ/d477.pdf
2) Van Steenis, H., (2019). Future of Finance Review on the Outlook for the UK Financial System: What It Means for the Bank of England. Future of Finance Report, Bank of England, https://www.bankofengland.co.uk/report/2019/future-of-finance
3) European Commission, (2019). Commission staff working document - Fitness check of EU supervisory reporting requirements. https://ec.europa.eu/info/sites/info/files/business_economy_euro/banking_and_finance/documents/191107-fitness-check-supervisory-reporting-staff-...
4) Chartis and BearingPoint, (2018). Counting and Cutting the Cost of Compliance- How to accurately assess the cost of Risk Data Aggregation and Regulatory Reporting. https://www.reg.tech/files/Chartis_COC_Position-Paper.pdf?download=0&item=7197
5) Sanderson, R. and Crow, D., (2019). Jail terms for 13 bankers over Monte Paschi scandal. https://www.ft.com/content/54ace10a-023e-11ea-b7bc-f3fa-4e77dd47
6) McCrum, D., (2020). Wirecard and me: Dan McCrum on exposing a criminal enterprise. https://www.ft.com/content/745e34a1-0ca7-432c-b062-950c20e41f03
7) Bank for International Settlements, (2020c). Saudi G20 Presidency and BIS Innovation Hub update on the progress made in the G20 TechSprint initiative. https://www.bis.org/press/p200810.htm
Weiterführende Literatur und Fallstudien
Maciej Piechocki, Daniel Münch, Eric Stiegeler, Martina Drvar, Dr. Johannes Turner: The Future of data collection and data management: Agile RegOps for digitalizing the regulatory value chain Schweiz/Liechtenstein: Standardisierung von Quellsystemen
Österreichische Nationalbank: AuRep - eine Standardisierung des regulatorischen Datenmodells Kroatische Nationalbank: CNB BIRD Bangko Sentral Ng Pilipinas: API-basiertes aufsichtsrechtliches Meldesystem.
