Aufrufe
vor 2 Jahren

RISIKO MANAGER 22.2015

  • Text
  • Banken
  • Unternehmen
  • Informationen
  • Institute
  • Prinzipien
  • Deutschland
  • Deutschen
  • Anforderungen
  • Volkswagen
  • Bcbs
RISIKO MANAGER ist die führende Fachzeitschrift für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen.

16 Ausgabe 22/2015

16 Ausgabe 22/2015 nagementberichte“ [8], „Klarheit und Nutzen von Risikomanagementberichten“ [9] und „Verbreitung von Risikomanagementberichten“ [11] zu den Grundsätzen, deren Erfüllungsgrad von den Instituten am höchsten bewertet wird. Hierbei ragen die Prinzipien [8] und [11] heraus. Bei diesen beiden Grundsätzen schätzen sich neun bzw. zehn Institute als „fully compliant“ ein. In Bezug auf den geringsten Erfüllungsgrad, fallen die Grundsätze „Datenarchitektur und IT-Infrastruktur“ [2], „Genauigkeit und Integrität“ [3] und „Anpassbarkeit“ [6] auf, wobei sich fast die Hälfte der befragten Institute dem Bereich „materially noncompliant“ zuordnet. Dieser Zustand entspricht in einer absoluten Betrachtung der Platzierung dieser Prinzipien im Jahr 2013. Bei den Grundsätzen [2] und [3] ist in 2014 sogar eine Verschlechterung zum Vorjahreswert zu verzeichnen. Gleiches trifft auf das Prinzip „Genauigkeit bei der Aggregation von Risikodaten“ [7] zu. Hervorzuheben ist in diesem Zusammenhang, dass ein Großteil der befragten Institute angibt, mindestens ein Prinzip bis zum Inkrafttreten der Grundsätze im Januar 2016 nicht umsetzen zu können. „Sorgenkinder“ für die Einhaltung der Umsetzungsfrist ist dabei neben den Prinzipien [2], [3] und [6] der Grundsatz der „Aktualität“ [5]. Auffallend ist, dass bei Prinzip 4 [Vollständigkeit] zwei Banken eine Einstufung „fully compliant“ vorgenommen haben, während die Prinzipien 2 und 3 als nicht „fully compliant“ angesehen werden. Auch im Durchschnitt wird Prinzip 4 mit 2,9 deutlich besser bewertet als die Prinzipien 2 und 3, die einen Wert von 2,4 respektive 2,5 aufweisen. Diese Relation der Selbsteinschätzungen ist auf den ersten Blick nicht selbsterklärend. Es ist zu prüfen, auf welcher Basis die „Vollständigkeit“ erreicht wird. Basiert die Vollständigkeit auf manuellen Datenzusammenführungen, müsste diesen zumindest eine adäquate „Genauigkeit und Integrität“ zugrunde liegen. Eine detailliertere Befragung und Analyse der Prozesse wäre an dieser Stelle hilfreich. Die Ergebnisse zeigen, dass die Themenbereiche Gesamtunternehmensführung und Infrastruktur sowie Risikodatenaggregationskapazität die größten Herausforderungen darstellen. Mit Blick auf das Prinzip „Datenarchitektur und IT-Infrastruktur“ [2] ist zu konstatieren, dass viele Institute nach wie vor mit der Herausforderung konfrontiert sind, die für die Risikoberichterstattung gemäß BCBS #239 benötigten Anwendungen zu integrieren bzw. aufeinander abzustimmen. Die bei vielen Instituten fragmentierte IT-Landschaft ist durch eine verbreitete Nutzung von Anwendungen zur Individuellen Datenverarbeitung (IDV) gekennzeichnet, die vor allem zur Erfüllung der Aufgaben im Risikomanagement zum Einsatz kommen. Die hierfür erforderlichen Daten werden häufig in eigenen Datentöpfen vorgehalten, die nicht selten für die Bedarfe eines bestimmten Fachbereichs erstellt wurden und laufend mit Daten versorgt werden. Eine Integration dieser Datentöpfe erfolgt im besten Fall mithilfe individueller Schnittstellen, deren Wartbarkeit aufwändige manuelle Eingriffe erfordert. Neben Insellösungen und isolierten Applikationen führt der Einsatz veralteter oder für Reportingzwecke wenig geeigneter Technologien zum Problem, dass die für die Risikodatenaggregation und Risikoberichterstattung benötigte Datenkonsistenz nicht ausreichend gegeben ist. Medienbrüche, uneinheitliche Datendefinitionen und Dubletten sind Ursache dafür, dass steuerungsrelevante Informationen den Berichtsempfängern entweder gar nicht oder mit geringer Qualität zur Verfügung stehen. Verschärft wird die Problematik insbesondere in Stress- oder Krisenzeiten, in denen die schnelle Zusammenstellung und Verteilung verlässlicher risikorelevanter Informationen häufig einen Engpass bilden. Was den Grundsatz der Datengenauigkeit und Datenintegrität der Risikodatensammlung [P3] anbelangt, leidet die Durchführung einer effizienten und effektiven Risikodatenaggregation vielfach an fehlenden Prozessbeschreibungen. Nach wie vor liegen der Risikodatenaggregation zahlreiche manuelle oder halbautomatische Prozesse zugrunde. Weil eine gruppenweit einheitliche Dokumentation der Risikodatenaggregationsprozesse häufig fehlt, wird dieser Prozess zusätzlich erschwert. Schwierigkeiten bei der Umsetzung des Genauigkeitsprinzips sind auf uneinheitliche Terminologien sowie auf fehlende Data Dictionaries und Datentaxonomien zurückzuführen. Derartige Datenverzeichnisse bzw. Datenkataloge enthalten fachliche und technische Definitionen, Darstellungs- und Berechnungsregeln sowie die Beziehungen der Informationsobjekte einer Anwendung. Mit Blick auf die Vielzahl der im Rahmen einer RDA-Anwendung einzubeziehenden Vorsysteme sind eindeutige Abgrenzungen der verwendeten Daten eine zwingende Voraussetzung, um neben der Verarbeitbarkeit Verständnis, Akzeptanz und Aussagekraft der berichteten Informationen zu erreichen. Insbesondere bei einer hohen Beanspruchung der Berichte, z.B. in Stress- und Krisenzeiten, müssen die Anforderungen zur genauen und konsistenten Aufbereitung der in den Risikoberichten vorgehaltenen Informationen umgesetzt sein. Die Anpassbarkeit und Veränderbarkeit risikorelevanter Daten (Adaptability) [P6] wird erschwert, da sowohl die Datenbereitstellung als auch lange und manuell aufwändige Zulieferungs- und Abstimmungsprozesse zu ungenauen und inkonsistenten Daten führen. Dies schränkt wiederum die schnelle und flexible Erstellung von Ad-hoc-Berichten oder Datenauswertungen direkt auf dem Datenbestand (per SQL) ein. Mit Blick auf die Auswertbarkeit der Risikodaten wird diese Problematik durch eine geringe Datenverfügbarkeit verschärft. In wenigen Instituten ist zum jetzigen Umsetzungsstand die Situation gegeben, dass die für die Risikoberichterstattung erforderlichen sogenannten Dimensionen und Fakten sowohl vollumfänglich vorliegen als auch in einer entsprechenden Datenstruktur modelliert worden sind. Ein Durchgriff aus den Dimensionstabellen auf die Transaktionsdaten ist i.d.R. ebenfalls nicht in einem geforderten Maß gegeben. Der geringe Erfüllungsgrad beim Prinzip „Anpassbarkeit“ [6] zeigt auch, dass Institute Anpassungen an Datenaggregationsprozessen und den für das Risikoreporting bestimmten Anwendungen derzeit nur mit einem hohen zeitlichen Verzug an geänderte aufsichtliche sowie organisatorische Anforderungen vornehmen können. q Fazit und Ausblick Die Ergebnisse des in 2014 durchgeführten Self-Assessment der Institute zum Umsetzungsrad der BCBS #239-Prinzipien lassen zwar einen leichten Aufwärtstrend erkennen. Mit Blick auf die zurückgelegte Zeit ist jedoch zu konstatieren, dass seit Veröffentlichung der Grundsätze Anfang 2013 verhältnismäßig wenig Fortschritte erzielt worden sind. Das im Zeitablauf zunehmende Verständnis der Grundsätze und die daraus resultierenden leichten Verbesserungen von

17 früheren Einschätzungen der G-SIBs lassen sich positiv und als Zeichen des Fortschritts werten. Dennoch moniert der Baseler Ausschuss, dass das Verständnis in vielen Instituten noch nicht so weit gediehen ist, dass technische Infrastruktur, Datenqualität und schließlich auch IT-Governance als wichtige Voraussetzungen für eine effektive Risikodatenaggregation und Risikoberichterstattung angesehen werden. Auch ist zu beachten, dass die Prinzipien nicht isoliert voneinander zu betrachten und gewissermaßen "seriell" abzuarbeiten sind, sondern aufeinander aufbauen. Die Abwärtsbewegungen bei den Prinzipien „Datenarchitektur und IT-Infrastruktur“ [2], „Genauigkeit und Integrität“ [3] und „Genauigkeit bei der Aggregation von Risikodaten“ [7] lassen zum einen vermuten, dass die Selbsteinschätzung speziell in 2013 zu positiv gewesen bzw. zu wenig selbstkritisch erfolgt ist. Als Grund hierfür kann das Aufkommen zusätzlicher bzw. weiter spezifizierter Anforderungen angebracht werden, die in Folge einer detaillierteren Auseinandersetzung mit den Anforderungen identifiziert wurden. Ferner sind nach Ansicht des Baseler Ausschusses die Ratings von den Instituten auf unterschiedliche Weise interpretiert worden und Fortschritte zum Teil überbewertet worden. Darüber hinaus liegt die Vermutung nahe, dass einige Institute die noch erforderlichen Umsetzungen in punkto Komplexität und Umfang unterschätzen. Auf der anderen Seite ist zu berücksichtigen, dass die vier vorgegebenen Kategorien „non-compliant“, „materially non-compliant“, „largely compliant“ und „fully compliant“ als Basis für die Selbsteinschätzung ein durchschnittlich zu positives Ergebnis (>= 2,0) begünstigen. Dies wird durch das Fehlen einer „neutralen Mitte“ impliziert, da die befragten Banken im Zweifelsfall eher zur Einstufung „largely compliant“ als zum kritischeren „materially non-compliant“ tendieren. Durch die geringe Anzahl an teilnehmenden Banken wird der Effekt noch verstärkt, da sich selbst kleine Verschiebungen im Durchschnitt stärker niederschlagen. Eine mittlere fünfte Kategorie würde in diesem Sinn eine neutrale Einstufung und damit eine Trennschärfe der Durchschnittswerte mit Blick auf eine negative oder positive Einstufung ermöglichen. In jedem Fall stehen den Instituten noch weitere, nicht unerhebliche Herausforderungen bevor, um sich bei der Erfüllung einiger Prinzipien bis zum Beginn des kommenden Jahres zu verbessern. Dabei richtet sich der Fokus insbesondere auf die Steigerung des Erfüllungsgrads bei den Grundsätzen „Datenarchitektur und IT-Infrastruktur“ [2] sowie „Genauigkeit und Integrität“ [3]. Insbesondere der Betrieb einer flexiblen IT-Architektur ist die Grundlage für eine effiziente und effektive Versorgung mit konsistenten, alle relevanten Risikobereiche abdeckenden Informationen, die je nach Bedarf erweitert werden können. Damit rückt dieses Prinzip als Grundlage für die Erfüllung weiterer Grundsätze ins Blickfeld bei anstehenden Umsetzungen. Weitere wichtige vom Baseler Ausschuss geforderte Anstrengungen betreffen die Erstellung von Datenkatalogen und Datentaxonomien sowie die Umsetzung automatisierter Datenaufbereitungsund Datenaggregationsprozesse. Die Umsetzung dieser Anforderungen ist die Grundlage dafür, dass risikorelevante Informationen künftig in gebotenem Umfang und erforderlicher Qualität zur Verfügung stehen, um darauf aufsetzend ein Standardreporting betreiben, Ad-hoc Risikoberichte erstellen und Risiken bedarfsgerecht steuern zu können. In diese Richtung zielen auch die Bemühungen der nationalen Aufsichtsinstanz, wobei in den MaRisk in absehbarer Zeit mit folgenden acht Novellierungen zu rechnen ist: 1. Die Anforderungen aus BCBS #239 werden auf alle national systemrelevanten Institute ausgeweitet. 2. Risikodaten müssen sich zeitnah identifizieren, aggregieren und nach unterschiedlichen Kriterien und Kate gorien (Views) analysieren lassen, wobei bankeinheitliche Richtlinien (Taxonomien) zugrunde gelegt werden müssen. 3. Risikodaten müssen vollständig sein und mit anderen Informationen plausibilisiert werden können. 4. Institute sollen in der Lage sein, Ad-hoc- Risikoberichte zu erstellen. 5. Berichtkapazitäten müssen auch in Krisenzeiten abgerufen werden können, um angemessen und zeitnah reagieren zu können. 6. Eine regelmäßige (monatliche) Erstellung von Risikoberichten an die Geschäftsleitung und Aufsichtsorgane muss ermöglicht werden. 7. Der Einsatz manueller oder halbautomatischer Prozesse ist je nach Institutsgröße zu begründen und zu dokumentieren. 8. Vordefinierte Prozesse zum Abgleich der Risikodaten und zur Identifizierung von Datenqualitätsmängeln in Risikoberichten sind einzurichten. Die prinzipiengetreue Umsetzung dieser Maßnahmen zur Verbesserung der Risikodatenaggregation und Risikoberichterstattung muss von Änderungen in der Aufbauund Ablauforganisation der Institute flankiert werden. Derartige Veränderungen erfordern die Bereitschaft, Zeit und Aufwand zu investieren, ferner ein stringentes und abgestimmtes Vorgehen, das alle am Risikoreporting beteiligten Unternehmensbereiche und -ebenen einschließt. Es bleibt abzuwarten, inwieweit es den Instituten gelingt, entsprechende organisatorische, prozessuale und technische Weiterentwicklungen voranzutreiben. Die Einhaltung des Starttermins der BCBS #239-Prinzipien stellt für einige Institute vor dem beleuchteten Hintergrund eine große Herausforderung dar. Das zaghafte Herangehen in den letzten Jahren setzt die Institute nun unter entsprechenden Druck, die notwendigen Maßnahmen zu ergreifen und umzusetzen. Quellenverzeichnis und weiterführende Literatur: Baseler Ausschuss für Bankenaufsicht (2013): Grundsätze für die effektive Aggregation von Risikodaten, Januar 2013. Basel Committee on Banking Supervision (2013b): Progress in adopting the principles for effective risk data aggregation and risk reporting, December 2013. Basel Committee on Banking Supervision (2015): Progress in adopting the principles for effective risk data aggregation and risk reporting, January 2015. Golla, G. (2010): http://de.wikipedia.org/wiki/Offenlegung_(Marktdisziplin). Golla, G./Hoppe, T./Pastwa, A. et al. (2014): Risk Data Aggregation (RDA). Umsetzung auf Basis von Business Intelligence (BI), in: RISIKO MANAGER, Nr. 8/2014, S. 14–19. Golla, G./Hoppe, T./Pastwa, A. (2014b): Risk Data Aggregation (RDA). RDA-Umsetzung auf Basis von Business Intelligence (BI), in: BCBS 239. Regulatorische Anforderungen und effiziente Umsetzung, hrsg. von Wilhelm Niehoff/Stefan Hirschmann, Köln 2014, S. 29–41. Golla, G./Hoppe, T./Pastwa, A. (2014c): Umsetzung einer leistungsfähigen Reportingplattform und künftige Aufgaben für das Datenmanagement, in: RISIKO MANAGER, Nr. 25–26 / 2014, S. 35-38. Golla, G./Hoppe, T./Pastwa, A. (2015): Risk Data Aggregation (RDA) – Teil III: BCBS #239 – Datenqualitätssicherung und Frühwarnung, in: RISIKO MANAGER, Nr. 6/ 2015. S. 12–16. Autoren: Dr. Guido Golla, Director, Deloitte Dr. Alexander Pastwa, Senior Manager, Deloitte Dr. Konrad Rosenbauer, Senior Manager, EAA

RISIKO MANAGER

RISIKO MANAGER 01.2019
RISIKO MANAGER 02.2019
RISIKO MANAGER 03.2019
RISIKOMANAGER_04.2019
RISIKO MANAGER 05.2019
RISIKO MANAGER 06.2019
RISIKO MANAGER_07.2019
RISIKO MANAGER 08.2019
RISIKO MANAGER 09.2019
RISIKO MANAGER 10.2019
RISIKO MANAGER 01.2018
RISIKO MANAGER 02.2018
RISIKO MANAGER 03.2018
RISIKO MANAGER 04.2018
RISIKO MANAGER 05.2018
RISIKO MANAGER 06.2018
RISIKO MANAGER 07.2018
RISIKO MANAGER 08.2018
RISIKO MANAGER 09.2018
RISIKO MANAGER 10.2018
RISIKO MANAGER 01.2017
RISIKO MANAGER 02.2017
RISIKO MANAGER 03.2017
RISIKO MANAGER 04.2017
RISIKO MANAGER 05.2017
RISIKO MANAGER 06.2017
RISIKO MANAGER 07.2017
RISIKO MANAGER 08.2017
RISIKO MANAGER 09.2017
RISIKO MANAGER 10.2017
RISIKO MANAGER 01.2016
RISIKO MANAGER 02.2016
RISIKO MANAGER 03.2016
RISIKO MANAGER 04.2016
RISIKO MANAGER 05.2016
RISIKO MANAGER 06.2016
RISIKO MANAGER 07.2016
RISIKO MANAGER 08.2016
RISIKO MANAGER 09.2016
RISIKO MANAGER 10.2016
RISIKO MANAGER 01.2015
RISIKO MANAGER 02.2015
RISIKO MANAGER 03.2015
RISIKO MANAGER 04.2015
RISIKO MANAGER 05.2015
RISIKO MANAGER 06.2015
RISIKO MANAGER 07.2015
RISIKO MANAGER 08.2015
RISIKO MANAGER 09.2015
RISIKO MANAGER 10.2015
RISIKO MANAGER 11.2015
RISIKO MANAGER 12.2015
RISIKO MANAGER 13.2015
RISIKO MANAGER 15-16.2015
RISIKO MANAGER 17.2015
RISIKO MANAGER 18.2015
RISIKO MANAGER 19.2015
RISIKO MANAGER 20.2015
RISIKO MANAGER 21.2015
RISIKO MANAGER 22.2015
RISIKO MANAGER 23.2015
RISIKO MANAGER 24.2015
RISIKO MANAGER 25-26.2015
 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.