I en tidligere blogpost argumenterede jeg for, at bankerne – i hvert fald SIFI-institutterne – står over for en stor opgave med at styrke deres datagrundlag og -strukturer. Som beskrevet tidligere, skal SIFI’erne underlægges yderligere krav om god selskabsledelse i form af:
- Egnethedskrav udvides til at gælde ikke kun bestyrelse og direktion, men også den risikoansvarlige, den som har ansvar for overholdelse af lovgivningen samt revisionschefen
- Særlige krav til organisering og bemanding af risikostyringsfunktioner
- Særlige krav på it-området
Erhvervs- og Vækstministeriet skal ifølge SIFI-bankpakken fra oktober 2013 (se ftalen) nedsætte en arbejdsgruppe, som skal komme med forslag til et konkret regelsæt på de ovenstående tre punkter. Arbejdsgruppen skal have deltagelse af den finansielle sektor, men ellers er der ingen information om, hvordan den skal sammensættes.
Vi venter fortsat på reglerne for de danske SIFI’er
Ifølge mine kontakter i Finanstilsynet er arbejdsgruppen endnu ikke nedsat, så der kan gå et stykke tid, før bankerne bliver underlagt nye regler. Det er dog ikke noget argument for ikke at gå i gang med at arbejde med specielt punkt 3 på listen. Jeg har en stærk forventning til, at arbejdsgruppen vil læne sig tæt op ad Baselkomitéens anbefalinger fra januar 2013 omkring datahåndtering ”Principles for effective risk data aggregation and risk reporting” – i det følgende kaldet BCBS 239.
Fokus bør ligge på potentiale frem for omkostninger
Hvis min forventning bliver opfyldt, ligger der en stor opgave for bankerne med at leve op til reglerne, men jeg mener også, at bankerne selv har en interesse i at forfølge principperne i BCBS 239. Der ligger selvfølgelig en (stor?) investering i at omlægge bankernes systemer – dels i personaletid, dels formentlig også i form af omkostninger til hardware og software. Efterlevelse af anbefalingerne vil imidlertid også give bankerne mulighed for øget indtjening i form af effektiviseringsgevinster, lavere funding-omkostninger, højere (risikojusterede) afkast samt lavere tab. Alt sammen som følge af større gennemsigtighed i bankens positioner og eksponering.
BCBS 239 skal styrke bankernes overblik over egen eksponering
BCBS 239 er født på baggrund af, at mange banker – i bagklogskabens klare lys – havde utilstrækkelige, mangelfulde (risiko-) data og dermed manglende overblik over deres eksponeringer. I forlængelse af Lehmans crash i september 2008 har vi eksempler på banker, som var over en måned om at få overblik over deres eksponering og dermed at gennemskue det potentielle tab. En hurtigere adgang til indsigt havde formentlig ikke mindsket tabet, men det siger noget om, at bankernes infrastruktur ikke er bygget til at give ledelsen et indblik i og overblik over de risici, som banken tager. Det betyder også, at man jævnligt må træffe beslutninger på usikkert grundlag.
Principperne i BCBS 239
Anbefalingerne i BCBS 239 ligger i fire kategorier. Den fjerde kategori dækker anbefalinger til ”overvågerne” (= Finanstilsynet), og den kategori vil jeg springe let hen over. De tre øvrige kategorier relaterer sig direkte til bankerne på områderne Ledelse/styring, Datahåndtering og Rapportering. I denne blogpost vil jeg fokusere på den første kategori, men jeg vil dække de to andre bankrelaterede kategorier i kommende blogposter.
Lad os se lidt nærmere på de to konkrete principper, som ligger i den første kategori (”Overarching governance and infrastructure”).
Principle 1:
Governance – A bank’s risk data aggregation capabilities and risk reporting practices should be subject to strong governance arrangements consistent with other principles and guidance established by the Basel Committee.
Principle 2:
Data architecture and IT infrastructure – A bank should design, build, and maintain data architecture and IT infrastructure, which fully supports its risk data aggregation capabilities and risk reporting practices, not only in normal times but also during times of stress or crisis, while still meeting the other principles.
Ledelsesinvolvering og datakvalitet
Disse to principper er fundamentet for de øvrige anbefalinger i BCBS 239. Princip 1 slår fast, at bestyrelse og ledelse har et ansvar for, at virksomheden har en stærk datakultur med fokus på risikodatakvalitet. Ledelsen skal involvere sig aktivt i at sikre, at bankens it-strategi understøtter denne kultur, og desuden være opmærksom på, hvor data eventuelt er mangelfulde og dermed giver anledning til manglende indsigt. Princip 2 peger på, at datastrukturen skal understøtte tilgængelighed under alle forhold og til alle tider. Der skal desuden være klare retningslinjer for, hvem der ejer data, og hvem der har ansvaret for vedligehold og kvalitet.
Efterlevelse af disse principper sikrer, at ledelse og bestyrelse har fingeren på pulsen i forhold til de risici, som banken påtager sig. De sikrer ikke i sig selv et overblik, men de skaber fundamentet for at bygge den nødvendige rapportering, der giver ledelsen indsigt i bankens styrker og svagheder i forhold til en valgt strategi.
Jeg vil dykke mere ned i principperne i BCBS 239 i kommende blogposts. Watch this space!
