Aufrufe
vor 3 Jahren

RISIKO MANAGER 10.2016

  • Text
  • Modell
  • Anforderungen
  • Treasury
  • Risiko
  • Risikomanagement
  • Marisk
  • Insbesondere
  • Verteidigungslinie
  • Modelle
  • Institute
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

10

10 RISIKO MANAGER 10|2016 Datenqualität im Risikomanagement Konkretisierung der Anfor derungen aus AT 4.3.4 MaRisk In Ausgabe 06 (2016) des RISIKO MANAGER wurde thematisiert, welche Herausforderungen eine Auslagerung von bankfachlichen Prozessen im Hinblick auf das Daten-Monitoring im zentralen Berichtswesen bietet. Die hierfür zu beachtenden Anforderungen an Auslagerungslösungen und an die Überwachung ausgelagerter Aktivitäten und Prozesse werden in Abschnitt AT 9 der zu Beginn des Jahres 2016 auf den Weg gebrachten Novellierung der „Mindestanforderungen an das Risikomanagement von Banken und Finanzdienstleistungsinstituten“ (MaRisk) konkretisiert. Solange die „Ordnungsmäßigkeit der Geschäftsorganisation“ gemäß § 25a Abs. 1 Kreditwesengesetz(KWG) nicht beeinträchtigt wird, können derartige Auslagerungen in einem Umfang vorgenommen werden, der gewährleistet, dass ein Institut über fundierte Kenntnisse und Erfahrungen verfügt, die bei Beendigung des Auslagerungsverhältnisses oder Änderungen der Gruppenstruktur auch weiterhin einen ordnungsmäßigen Betrieb erlauben. Zudem beinhalten die novellierten MaRisk einen neuen Abschnitt „AT 4.3.4 Datenmanagement, Datenqualität und Aggregation von Risikodaten”, dessen konsequente Umsetzung entsprechende Vereinfachungen bei der Auslagerung von bankfachlichen Prozessen verspricht und der für systemrelevante Institute („große und komplexe Institute”) gelten soll [vgl. Bundesanstalt für Finanzdienstleistungsaufsicht (2016), S. 19 f.; Basler Ausschuss für Bankenaufsicht (2013), S. 1 ff., Hofer (2016), S. 16 ff.]. Die damit zusammenhängenden Anforderungen betreffen die Herstellung und Aufrechterhaltung der Datenqualität und sind Gegenstand des vorliegenden Artikels. Zunächst wird der gesamte Anforderungskatalog des AT 4.3.4 vorgestellt und aufgezeigt, wie angesichts einer fehlenden Definition die Mindeststandards in Bezug auf Datenqualität eingehalten werden können. Als Abhilfe hierfür werden exemplarisch mögliche Prüfgrößen thematisiert, worauf eine Zusammenfassung und ein Ausblick folgen.

Regulierung 11 Neuer Anforderungskatalog in AT 4.3.4 Der neue Anforderungskatalog der MaRisk zu „Datenmanagement, Datenqualität und Aggregation von Risikodaten” (AT 4.3.4) ist in sieben Anforderungskomplexe gegliedert, die eine End-to-End-Betrachtung von der Definition von Regeln und Zuständigkeiten bis hin zu einer unabhängigen Überprüfung umfassen [Bundesanstalt für Finanzdienstleistungsaufsicht (2016)]. Die folgenden Ausführungen systematisieren diese Anforderungen. Anforderung I – Aggregation von Risikodaten: Institut- und gruppenweit geltende Regeln für das Datenmanagement, die Datenqualität und die Aggregation von Risikodaten sind zu definieren. Diese Regeln sind sowohl auf Gruppenebene als auch auf Ebene der Einzelinstitute gültig und von der Geschäftsleitung zu genehmigen und in Kraft zu setzen. Die Aggregation von Risikodaten beinhaltet die gesamte Prozesskette von der Erfassung über die Verarbeitung bis zur Auswertung von Risikodaten und die damit verbundene Berichterstellung. Anforderung II – Datenstruktur und Datenhierarchie: Eine zweifelsfreie Identifizierbarkeit, Zusammenführbarkeit und Auswertbarkeit von Risikodaten muss gewährleistet sein. Dies verlangt die Festlegung von einheitlichen Namenskonventionen und Kennzeichnungen von Daten, die auch entsprechend zu kommunizieren sind. Bei unterschiedlichen Konventionen und Kennzeichnungen müssen die Daten automatisiert ineinander überleitbar sein. Anforderung III – Auswertbarkeit nach verschiedenen Kategorien: Die Genauigkeit und Vollständigkeit von Risikodaten und deren Auswertbarkeit nach verschiedenen Kriterien müssen gegeben sein. Die Risikodaten müssen nach unterschiedlichen Risikokategorien sowie nach Geschäftsfeld, Konzerngesellschaft, Art des Vermögenswerts, Branche, Region usw. auswertbar sein. Dabei steht eine möglichst automatisierte Aggregation im Vordergrund, während manuelle Prozesse auf ein notwendiges Maß zu beschränken sind. Darüber hinaus sind die Datenqualität und Datenvollständigkeit anhand geeigneter Kriterien laufend zu überwachen, die von den Instituten in internen Anforderungen formuliert werden müssen. Anforderung IV – Andere im Institut vorhandene Informationen: Abgleichs- und Plausibilisierungsmöglichkeiten von Risikodaten mit anderen Informationen müssen vorhanden sein. Dies zielt auf Verfahren und Prozesse zum Abgleich der Risikodaten und der Daten in den Risikoberichten ab, die es erlauben, Datenfehler und Schwachstellen in der Datenqualität zu identifizieren. Hier ist insbesondere auf andere in den Instituten vorhandene Informationen wie Daten aus dem Rechnungs- und Meldewesen zurückzugreifen. Anforderung V – Risikodaten in Stressphasen: Die zeitnahe Verfügbarkeit von Risikodaten sowohl unter normalen Umständen als auch in Krisenzeiten muss sichergestellt sein. Dabei obliegt es den Instituten, unter Berücksichtigung der Häufigkeit von Risikoberichten den Zeitrahmen zu definieren, innerhalb dessen die aggregierten Risikodaten vorliegen müssen. In Stressphasen müssen insbesondere die folgenden Daten zeitnah zur Verfügung stehen: (1) Adressenausfallrisiko auf Gesamtbank- und Gruppenebene; (2) Aggregiertes Exposure gegenüber großen Unternehmensschuldnern; (3) Kontrahentenrisiko (auch aus Derivaten) – zusammengefasst und aufgeteilt auf einzelne Adressen; (4) Marktpreisrisiken, Handelspositionen Abb. 01 Kriterien der Datenqualität A – Glaubwürdigkeit óó Korrektheit óó Konsistenz óó Zuverlässigkeit D – Schlüsselintegrität óó Schlüsseleindeutigkeit óó Referenzielle Integrität Quelle: Kriterien der Datenqualität [vgl. Apel, D./Behme, W./Eberlein, R. et al. (2015)]. D A und -limite inklusive möglicher Konzentrationen; (5) Indikatoren für mögliche Liquiditätsrisiken und -engpässe; (6) Indikatoren für operationelle Risiken. Anforderung VI – Ad-hoc-Informationen nach verschiedenen Kategorien: Flexible und leistungsfähige Datenaggregationskapazitäten müssen vorhanden sein, die eine Auswertung und Analyse von Ad-hoc-Informationen auf unterschiedlichen Ebenen erlauben. Diese Anforderung bezieht sich auf die Datenaggregationskapazitäten, die hinreichend flexibel und leistungsfähig sein müssen, um Ad-hoc-Informationen nach verschiedenen Kategorien und Risikopositionen auf mehreren Aggregationsebenen (Länder, Branchen, Geschäftsfelder, Portfolios und gegebenenfalls Einzelgeschäfte) ausweisen und analysieren zu können. Anforderung VII – Überprüfung durch eine unabhängige Stelle: Die Festlegung von Verantwortlichkeiten, Kontrollen und Überprüfungsfunktionen für sämtliche Prozessschritte muss geklärt sein. Für die in Anforderung VII geforderten Verantwortlichkeiten sind prozessunabhängige Kontrollen einzurichten. Darüber hinaus muss regelmäßig von einer von den operativen Geschäftseinheiten unabhängigen Stelle überprüft werden, ob die institutsinternen Regelungen, Verfahren, Methoden und Prozesse von den Mitarbeitern eingehalten werden. Die Überprüfungsinstanz sollte dabei über C B B – Nützlichkeit Vollständigkeit Genauigkeit Zeitnähe Redundanzfreiheit Relevanz óó óó óó óó óó C – Interpretierbarkeit Einheitlichkeit Eindeutigkeit Verständlichkeit óó óó óó

RISIKO MANAGER

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.