bvmedien
Aufrufe
vor 6 Jahren
Flag

RISIKO MANAGER 10.2016

  • Text
  • Modell
  • Anforderungen
  • Treasury
  • Risiko
  • Risikomanagement
  • Marisk
  • Insbesondere
  • Verteidigungslinie
  • Modelle
  • Institute
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

12

12 RISIKO MANAGER 10|2016 hinreichende Kenntnisse der IT-Systeme Tab. 01 Anforderungen, abgeleitete Prüfgegenstände und ihre Datenqualitätsrelevanz (eigene Darstellung) und des Berichtswesens verfügen. Abgeleiteter Prüfgegenstand (PG) pro MaRisk-Anforderung (Auswahl) I: Aggregation von Risikodaten PG I.1: Prozessbeschreibungen zur Risikodatenaggregation (Datenflussdiagramm) sind systematisch und für sachkundige Dritte nachvollziehbar dokumentiert. PG I.2: Kriterien (Berichtsobjekte, Filter, Hierarchien, Metriken und Kennzahlen) für die jährliche Risikoberichterstattung wurden definiert und dokumentiert. PG I.3: Institutsweite Richtlinien und Kriterien zur (stichprobenartigen) Datenqualitätssicherung wurden definiert. PG I.4: Aufgaben und personelle Verantwortlichkeiten für die Datenqualitätssicherung sind auf Geschäftsebene und in den IT-Funktionen eindeutig festgelegt. PG I.5: Erwartungen an die Verlässlichkeit von Näherungswerten in der Risikoberichterstattung sind seitens der Geschäftsleitung klar formuliert (Genauigkeit, Aktualität). Dazu zählen Grundsätze bezüglich der Daten, auf denen diese Näherungswerte basieren. II: Datenstruktur und Datenhierarchie PG II.1: Das Institut hat integrierte Datentaxonomien einschließlich einer entsprechenden konzernweiten Datenarchitektur erstellt und definiert. PG II.2: Nach Möglichkeit sind Single Identifier und/oder einheitliche Benennungskonventionen für bestimmte Daten festgelegt worden (z. B. für Konzerngesellschaften, Kontrahenten, Kunden oder Konten) und werden einheitlich verwendet. PG II.3: Namenskonventionen und Kennzahlen für die Risikoberichterstattung wurden kommuniziert. PG II.4: Externe risikorelevante Informationen (z. B. externe Ratinginformationen) können mit systemseitiger Unterstützung zugeordnet werden. Die Zuordnung von externen Identifiern zu bankinternen Identifiern unterliegt einem Zuordnungsprozess und ist institutsweit einheitlich geregelt. PG II.5: Mapping- und Überleitungskriterien zwischen Quellsystemen und Zielsystem (Single Point of Truth) sind eindeutig definiert. III: Auswertbarkeit nach verschiedenen Kategorien PG III.1: Die Datenaggregationskapazitäten eines Instituts haben sämtliche wesentlichen Risikopositionen zu berücksichtigen, einschließlich der außerbilanziellen Risiken. PG III.2: Datenqualitätsberichte zur Messung der Datengenauigkeit sind integrierter Bestandteil des Risikoreportings (zunächst stichprobenartig auf einzelne Entitäten). PG III.3: Die Veränderung der Datenqualität im Zeitablauf wird historisiert; Änderungen der Datenqualität können anhand definierter Qualitätskriterien nachvollzogen werden. PG III.4: Manuelle Aggregationsprozesse und die manuelle Anreicherung von Daten werden automatisch protokolliert. Ja Abdeckung Datenqualitätskriterium A B C D Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Datenqualität in AT 4.3.4 Bemerkenswert an Abschnitt AT 4.3.4 der novellierten MaRisk ist, dass keine Definition des Begriffs „Datenqualität“ vorgegeben wird, sondern dort lediglich von „Grundsätzen und Kriterien zur Festlegung und Überwachung der Datenqualität“ sowie von der „Identifikation von Schwachstellen in der Datenqualität” gesprochen wird. Angesichts der darüber hinaus in den gesamten MaRisk fehlenden Definition von Datenqualität verbleibt den betroffenen Instituten also theoretisch ein großer Spielraum, was die Festlegung einer „ausreichenden“ Qualität der Daten sowie ihre wiederkehrende Überprüfung anbelangt. Damit die Institute die gelisteten Anforderungen detailliert auf datenqualitätsrelevante Anknüpfungspunkte untersuchen und so den auf sie zukommenden Implementierungsaufwand und -erfolg hinreichend genau abschätzen können, ist eine Konkretisierung der Begriffe „Datenqualität“ und „Datenqualitätsüberprüfung“ erforderlich. Allgemein ist Datenqualität als der Erreichungsgrad des bei der Generierung der Daten verfolgten Ziels definiert. Bei der Festlegung von Qualitätsmindeststandards lässt sich dieser Erreichungsgrad revolvierend über die folgenden vier Kriterien A bis D messen ( Abb. 01) [vgl. Apel, D./Behme, W./Eberlein, R. et al. (2015), S. 7 ff.]: A) Glaubwürdigkeit: Korrektheit (alle Daten stimmen mit der Realität überein), Konsistenz (keine logischen Widersprüche), Zuverlässigkeit (die Datenentstehung ist nachvollziehbar) B) Nützlichkeit: Vollständigkeit (die generelle Verfügbarkeit von benötigten Inhalten ist gegeben), Genauigkeit (alle Daten liegen in der geforderten Genauigkeitstiefe vor), Zeitnähe (alle Daten sind aktuell), Redundanzfreiheit (es liegen keine Datenduplikate vor), Relevanz (Informationsgehalt und Informationsbedarf decken sich) C) Interpretierbarkeit: Einheitlichkeit (gleiche Daten werden fortlaufend gleich abgebildet), Eindeutigkeit (alle Daten müssen eindeutig interpretierbar sein), Ver-

Regulierung 13 ständlichkeit (Begrifflichkeit und Struktur aller Daten entsprechen den Vorstellungen des Fachbereichs) D) Schlüsselintegrität: Schlüsseleindeutigkeit (die Primärschlüssel aller Datensätze sind eindeutig), Referenzielle Integrität (jeder Fremdschlüssel referenziert eindeutig auf einen existierenden Primärschlüssel) In einem nächsten Schritt können auf Basis dieser Kriterien Prüfgegenstände bzw. -themen entwickelt werden, die nicht nur in Form einer systematisierenden Checkliste zum Benchmarking des Implementierungsfortschritts dienen. Darüber hinaus ermöglichen die Prüfthemen in Verbindung mit geeigneten Metriken eine entsprechende Datenqualitätsüberprüfung. Im Folgenden wird ein möglicher Ansatz zur Ableitung relevanter Prüfgrößen vorgestellt. Abgeleitete Themen zur Prüfung der Datenqualität Tab. 01 Anforderungen, abgeleitete Prüfgegenstände und ihre Datenqualitätsrelevanz (eigene Darstellung) PG III.5: Manuelle Eingriffe sind zur Aufrechterhaltung der Datenintegrität weitgehend auf die Zuliefersysteme beschränkt (Single Point of Truth). IV: Andere im Institut vorhandene Informationen PG IV.1: Standardisierte Berichte zum Abgleich von risikorelevanten Daten mit Daten aus risikorelevanten Zuliefersystemen sind vorhanden und werden in definierten sowie etablierten Prozessen und Verfahren verarbeitet. PG IV.2: Ein automatisierter Abgleich zwischen den relevanten Liefersystemen (Meldewesen, Rechnungswesen, Risikovorsorge, Risikomanagement, Offenlegung SolvV, Kundenstammdaten etc.) ist möglich. PG IV.3: Bei Erkennung von Auswertungsschwachstellen und Fehlern werden Ausnahmeberichte ausgelöst. PG IV.4: Pro Risikoart soll nach Möglichkeit eine maßgebliche Quelle bzw. ein maßgebliches Zuliefersystem zum Einsatz kommen. Die Risikoarten lassen sich im Zielsystem eindeutig zuordnen (z. B. zu einzelnen Entitäten/Tabellen innerhalb des Datenmodells). V: Risikodaten in Stressphasen (keine unmittelbare Datenqualitätsrelevanz) VI: Ad-hoc-Informationen nach verschiedenen Kategorien Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Damit die Institute einschätzen können, inwieweit sie bereits auf die auf sie zukommenden Änderungen in den regulatorischen Rahmenbedingungen hinsichtlich „Datenmanagement, Datenqualität und Aggregation von Risikodaten” vorbereitet sind, müssen (a) eine stärkere Strukturierung des Sachverhalts und (b) eine darauf aufbauende Bewertung des Erfüllungsgrads des Anforderungskatalogs der MaRisk vorgenommen werden. Der vorliegende Abschnitt zeigt, wie sich ein derartiges Self-Assessment gestalten lässt, und beinhaltet eine (nicht abschließende) Reihe von Vorschlägen, wie Prüfgegenstände hinsichtlich der Sicherstellung und Überprüfung der Datenqualität formuliert werden können. Während die in AT 4.3.4 aufgelisteten Anforderungen I, II, III, IV sowie VI und VII unmittelbar große Überschneidungen mit den Datenqualitätskriterien A bis D aufweisen, baut Anforderung V lediglich auf diesen Kriterien auf und wird deshalb im Folgenden nicht berücksichtigt. Tab. 01 listet mögliche Ausprägungen von Prüfgrößen auf und verdeutlicht, inwiefern diese einen Beitrag zur Einhaltung von Datenqualitätsmindeststandards im Zusammenhang mit den Datenqualitätskriterien A bis D leisten können. Welche Datenquali- PG VI.1: Nutzerspezifische Dateneingaben in das Zielsystem können nur im Rahmen des Grundsatzes der Datenintegrität vorgenommen werden. Es muss systemseitig gewährleistet sein, dass nutzerspezifische Berichtanpassungen, etwa zur Durchführung von Simulationen, nicht zu einer Änderung des produktiven Datenbestands führen. PG IV.2: Ein automatisierter Abgleich zwischen den relevanten Liefersystemen (Meldewesen, Rechnungswesen, Risikovorsorge, Risikomanagement, Offenlegung SolvV, Kundenstammdaten etc.) ist möglich. PG IV.3: Bei Erkennung von Auswertungsschwachstellen und Fehlern werden Ausnahmeberichte ausgelöst. PG IV.4: Pro Risikoart soll nach Möglichkeit eine maßgebliche Quelle bzw. ein maßgebliches Zuliefersystem zum Einsatz kommen. Die Risikoarten lassen sich im Zielsystem eindeutig zuordnen (z. B. zu einzelnen Entitäten/Tabellen innerhalb des Datenmodells). VII: Überprüfung durch eine unabhängige Stelle PG VII.1: Für die Quellsysteme und die Datenbereitstellung, für die Datenverarbeitung und Durchführung von ETL-Prozessen (Extraktion, Transformation, Laden), für die Datenhaltung und Historisierung sowie für die Auswertung, die Analyse und das Reporting sind prozessunabhängige Kontrollinstanzen vorhanden und institutsweit etabliert. PG VII.2: Die mit der Validierung der Aggregationskapazitäten betrauten Kontrollinstanzen können auf Berichtkapazitäten und Analysefunktionalitäten der Risikoberichterstattung zugreifen. Entsprechende Userrechte (Leserechte) können über das Reportingtool eingerichtet werden. PG VII.3: Es erfolgt eine regelmäßige, mindestens einmal jährliche interne Überprüfung, ob die institutsinternen Regelungen zur Risikodatenaggregation von den Mitarbeitern eingehalten werden (Prüfergebnisse werden protokolliert). PG VII.4: Die regelmäßige Überprüfung erfolgt durch eine von den operativen Einheiten unabhängige Stelle (z. B. interne Revision oder externe Prüfer im Rahmen von Sonderprüfungen) und ist Bestandteil des internen Kontrollsystems. Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja

RISIKO MANAGER

APP Download

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.

Leser login

AbbrechenAnmelden
Als Leser registrieren

Sign upAbbrechen
Suche