Daten als Fundament: Warum Compliance und Reporting 2026 über die Überlebensfähigkeit entscheiden

In unserer Serie zur Internal Governance haben wir bisher die Strukturen (Säule 1), die Eignung der Köpfe (Säule 2) und die Dynamik der Gremieninteraktion (Säule 3) analysiert. Doch selbst der kompetenteste Aufsichtsrat und das mutigstes Vorstandsgremium sind zum Scheitern verurteilt, wenn das Fundament ihrer Entscheidungen brüchig ist. Dieses Fundament besteht aus Daten.

In der Säule 4 unserer Governance-Matrix verlassen wir die psychologische Ebene und widmen uns der „harten“ Infrastruktur: der Integrität von Informationen und der proaktiven Steuerung durch Compliance.

Die „Excel-Hölle“ vs. Single Source of Truth

Die Aufsichtspraxis der letzten Jahre hat eines deutlich gezeigt: Die Zeit der manuellen Behelfslösungen ist abgelaufen. Was früher unter dem Deckmantel der „Proportionalität“ noch als akzeptabel galt – etwa das manuelle Zusammenführen von Risikodaten in komplexen Tabellenkalkulationen –, wird heute als massives Governance-Versagen gewertet.

Das Risiko der manuellen Datenverarbeitung

Jeder manuelle Zwischenschritt in einer Reporting-Kette ist eine potenzielle Fehlerquelle. Wenn Daten aus verschiedenen Silos (Kredit, Marktfolge, Treasury) händisch aggregiert werden, entstehen „Informations-Artefakte“. Am Ende erhält der Vorstand einen Bericht, der zwar optisch professionell aufbereitet ist, dessen Datenbasis jedoch zum Zeitpunkt der Vorlage bereits veraltet oder durch Übertragungsfehler verzerrt ist.

BCBS 239 als globaler Maßstab

Auch wenn die Prinzipien des Basler Ausschusses für die Aggregation von Risikodaten (BCBS 239) primär für systemrelevante Institute konzipiert wurden, ist ihr Geist längst in der allgemeinen Aufsichtspraxis angekommen. Die Forderung nach einer Single Source of Truth – einer einheitlichen, validen Datenquelle – ist heute eine Standarderwartung an jedes Institut. Eine Bank, die ihre Daten nicht automatisiert und konsistent zusammenführen kann, gilt im Krisenfall als nicht steuerbar.

Reporting: Von der Vergangenheitsbewältigung zur Echtzeitsteuerung

Ein klassischer Fehler in der Banken-Governance ist ein Reporting, das ausschließlich den Blick in den Rückspiegel wirft. Quartalsberichte, die Wochen nach dem Stichtag präsentiert werden, sind für eine agile Steuerung wertlos.

Die Forderung nach Ad-hoc-Fähigkeit

Die Aufsicht 2026 prüft nicht nur, ob Berichte vorliegen, sondern wie schnell das System auf Stress reagieren kann. Governance Excellence bedeutet heute, dass ein Institut in der Lage sein muss, innerhalb kürzester Zeit ad-hoc valide Risikopositionen zu aggregieren – sei es bei Marktverwerfungen oder geopolitischen Schocks.

Ein modernes Reporting zeichnet sich durch drei Faktoren aus:

1. Granularität: Die Fähigkeit, von der aggregierten Kennzahl bis auf die Einzeltransaktion drill-down-fähig zu sein.
2. Validität: Ein System von automatisierten Plausibilitätsprüfungen, das Ausreißer erkennt, bevor sie den Bericht erreichen.
3. Relevanz: Weg von der „Datenfriedhof-Mentalität“ hin zu entscheidungsorientierten Dashboards, die dem Vorstand die wirklich kritischen Schwellenwerte aufzeigen.

Compliance: Vom Bremsklotz zum strategischen Navigator

Parallel zur Datenqualität hat sich das Verständnis von Compliance radikal gewandelt. In einer funktionierenden Säule 4 ist Compliance nicht mehr die Abteilung, die am Ende eines Prozesses den „Stopp“-Stempel zückt, sondern ein integraler Bestandteil der strategischen Planung.

Proaktive Compliance-Kultur

Governance-Versagen im Bereich Compliance resultiert oft aus einer rein reaktiven Haltung. Man wartet auf neue regulatorische Vorgaben und versucht dann, diese mit minimalem Aufwand in bestehende Prozesse zu pressen. Das Ergebnis ist eine „Pflaster-Lösung“, die die Komplexität erhöht und die Effizienz senkt.

Eine moderne Compliance-Funktion agiert proaktiv:

• Frühwarnsystem: Identifikation regulatorischer Trends (zum Beispiel ESG-Reporting, Krypto-Regulierung), bevor diese als Gesetzestext vorliegen.
• NPP-Integration: Aktive Beteiligung am Neue-Produkte-Prozess (NPP), um sicherzustellen, dass Innovationen von Beginn an auf einem stabilen regulatorischen Fundament stehen.
• Kulturträger: Compliance ist kein technokratisches Regelwerk, sondern eine gelebte Integrität, die durch regelmäßige Schulungen und ein offenes Whistleblowing-System in der Belegschaft verankert ist.

Die Prüfung der Datenintegrität: Der Blick des Wirtschaftsprüfers

Für den Abschlussprüfer ist Säule 4 das „Spielfeld der Beweise“. Während in Säule 3 vieles über Interviews und Protokollanalysen läuft, setzt die Prüfung der Datenqualität auf harten IT-Audits auf (zum Beispiel nach IDW PS 880).

Der Prüfer stellt kritische Fragen zur Daten-Lineage:

• Woher stammt der Datenpunkt ursprünglich?
• Welche Transformationen hat er durchlaufen?
• Wer hat die Berechtigung, diese Daten zu ändern?

Ein Institut, das seine „Data Lineage“ nicht lückenlos nachweisen kann, riskiert Feststellungen im Prüfungsbericht, die weit über IT-Mängel hinausgehen. Sie werden als Mängel in der Aufbau- und Ablauforganisation gewertet – ein direkter Angriff auf die Eignungsbeurteilung der Geschäftsleitung.

Ökonomische Relevanz: Warum schlechte Daten Kapital kosten

Man könnte meinen, Datenqualität sei ein reines IT-Thema. Doch das ist ein Irrtum. Es ist ein knallhartes betriebswirtschaftliches Thema. Im Rahmen des SREP-Prozesses bewertet die Aufsicht das Risiko aus der internen Governance.

SREP-Zuschläge und P2R

Mängel im Reporting und in der Datenqualität führen fast zwangsläufig zu einer schlechteren SREP-Note. Dies resultiert in einem höheren Pillar 2 Requirement (P2R). Konkret bedeutet das: Die Bank muss mehr Eigenkapital vorhalten, um dieselben Geschäfte tätigen zu dürfen wie ein Wettbewerber mit exzellenter Daten-Governance.

Zusätzlich führt mangelhafte Compliance zu einem erhöhten Risiko von Bußgeldern und Reputationsschäden, was wiederum die Refinanzierungskosten am Markt steigen lässt.

Governance Excellence in Säule 4 ist somit ein direkter Renditebringer. Eine automatisierte Datenautobahn amortisiert sich oft schon durch die Einsparung von Kapitalpuffer-Zuschlägen innerhalb weniger Jahre.

Fazit: Die Entscheidung für die Steuerung

Säule 4 ist das Ende der Ausreden. Wer behauptet, sein Haus im Griff zu haben, aber bei der Frage nach der Datenherkunft seiner Risikoberichte passen muss, betreibt keine Governance, sondern Hoffnungsmanagement.

Der Weg zur „Datenautobahn“ ist mühsam und erfordert Investitionen in moderne IT-Architekturen und hochqualifizierte Compliance-Teams. Doch die Alternative ist die „Governance-Blindheit“. In einer Welt, in der regulatorische Anforderungen (MaRisk, DORA, ESG) exponentiell steigen, ist eine resiliente Daten- und Compliance-Struktur die einzige Versicherung gegen den Kontrollverlust.

Nur wenn die Zahlen stimmen, die Berichte integer sind und die Compliance proaktiv steuert, kann der „lebendige Dialog“ aus Säule 3 überhaupt zu richtigen Entscheidungen führen.