Gastbeitrag von Mario H. Sladek, TriSolutions GmbH*
Die Aufsicht verstärkt den Druck auf das Datenmanagement und beim Risikoreporting der Banken
Im Zuge des Single Supervisory Mechanism erhält die EZB die direkte Aufsicht für bedeutende Institute bzw. auch die indirekte Aufsicht für weniger bedeutende Institute. Bei letzteren erarbeitet die EZB die Vorgaben für einen konsistenten Aufsichtsrahmen innerhalb der EU. BaFin als auch die Bundesbank unterstützen die Europäische Bankenaufsicht personell und fachlich bei der Kontrolle bedeutender Institute, behalten aber die direkte Aufsicht von inländischen, auch weniger bedeutenden Instituten. Um diese politisch sensible und auch verantwortungsvolle Aufgabe erfüllen zu können, bedient man sich des altbekannten Instrumentariums, des “Regulatory Reportings”. Mit dem sogenannten Comprehensive Assessment soll von Anfang an für entsprechende Transparenz von Risiken gesorgt werden. Fast schon langweilig sind da die EBA-Stresstests “reloaded”, welche den Banken wieder schlaflose Nächte bereiten und die Arbeitszeitkonten der involvierten Mitarbeiter überlaufen lassen dürften. Die Befürchtung der Branche ist dabei nicht ‚nur‘, dass der eine oder andere Kandidat ggf. durchfallen könnte, sondern es geht um nichts Geringeres als um die Frage, ob es gelingt, auch diesmal ‚rechtzeitig‘ den Informations- und Datenhunger der Aufsicht zu stillen. Das Problem ist so trivial wie komplex: Datenqualität!
Datendschungel (Foto: flickr/Alonzo)
Der jüngste Stresstest hat es wieder gezeigt: Plötzlich werden von der EBA Unmengen an Geschäfts-, Bilanz-, Bewertungs- und Risikodaten verlangt. Diese Daten müssen zunächst einmal erhoben werden und im Hinblick auf die von der EBA gewünschten Datenformate – jederzeit flexibel – aufbereitet werden. Nichts einfacher als das? Ein Knopfdruck genügt … Weit gefehlt!
Die von Hasso Plattner verfolgte Vision, eine komplette Bilanz mithilfe entsprechender Datenarchitektur (SAP gestützt natürlich) künftig einmal in weniger als 10 Sekunden erstellen zu können, muss in Anbetracht unzähliger Überstunden und Sonderschichten in den Finanzabteilungen der vom Stresstest malträtierten Banken geradezu blasphemisch klingen.
Datenmanagement ist längst ein wichtiger Wertschöpfungsfaktor
Je größer die vorhandenen und benötigten Datenmengen desto umfangreicher und vielfältiger sind auch die Datenquellen und umso höher ist der Aufwand bzw. umso geringer der Automatisierungsgrad mit der sich die zeitkritische Erhebung und Verarbeitung der Inputdaten für die Stresstestanforderungen erfahrungsgemäß bewältigen lassen. Die Fehleranfälligkeit nimmt dann empirisch gesehen zu. Das Problem ist auch nicht allein die Quantität, sondern die Qualität, die bedarfsgerechte Verfügbarkeit und das Verständnis von Daten. Begleitet wird dieser Umstand von teilweise oder vielfach heterogenen Systemlandschaften, die entweder historisch gewachsen sind oder mitunter einmal zeitlich, fachlich und organisatorisch begrenzten Zwecken genügten. Und wenn nichts mehr hilft? Gott sei Dank wurde Microsoft-Excel erfunden, der Schrecken für jede IT-Policy und ein Garant für Vollbeschäftigung, auch in der IT-Revision.
Einfaches Beispiel gefällig? In jeder Bank sollte es so etwas wie ein führendes System für den juristischen Adressenbestand geben. Dies ist für sich genommen noch nicht spektakulär. Das System kann nun mit dem Meldewesen, der Kreditrisikodatenbank, der Kontoführung etc. verknüpft werden. Irgendwann wurde dann ein neues Handelssystem angeschafft. Es musste schnell gehen und das IT Budget war – wie gewöhnlich – schnell erschöpft. Die Kontrahenten-, Adress- und Geschäftsdaten mussten nunmehr auch in diesem Handelssystem erfasst werden und – was auch oft der Praxis entspricht – nur selten oder nicht mit dem juristischen Bestand abgestimmt. Was nun folgt bedarf keiner kreativen Eingebung: Datenchaos. Zudem wurden eigene Geschäftsvorfalldaten und Datenformate kreiert und nachdem wieder einmal schnell etwas aus den so geschaffenen ‚Silos‘ für einen Risikoreport zusammengeschustert werden musste, wurden diese nur unzureichend mit der Kreditdatenbank, dem Meldewesen und den anderen Systemen abgestimmt. Der Mangel wurde schlussendlich nicht behoben, sondern als dieser zufällig erkannt wurde, haben etliche Excel-Tabellen als Abstimmungs- und Überleitungshilfen bzw. Datenkonverter herhalten müssen, die in der Regel nur der Ersteller verstand und beherrschte. So oder ähnlich mag es in vielen Häusern an der Tagesordnung sein.
In Zeiten, in denen Banken – ab einer bestimmten Größe – riesigen Datenspeichern gleichen, ist wenig von der Nostalgie vergangener Tage zu spüren, als es noch ein handschriftlich geführtes Hauptjournal und ein paar Nebenbücher gab. Im Keller befand sich dann noch ein Tresor, gefüllt mit Banknoten und Münzen. Die heutigen Schätze lagern in den Haupt- und Backup-Speichern und messen nicht selten unzählige Terrabytes. Der Hüter des Grals muss also ein Datenfreak sein und sein Schatz sind nicht nur die Daten, sondern auch das Wissen, wie man diese in den Wertschöpfungsprozess einer Bank integriert und sinnvollerweise ziel-, ergebnis-, risiko- und entscheidungsorientiert nutzbar macht.
Die Aufsicht projiziert mit BCBS 239 Best-Practice Standards für das Risikodatenmanagement
Basel benennt anhand von 14 Grundsätzen Sachverhalte, die inzwischen Standard bzw. Sound Practice im Rahmen jeder Bankorganisation und Risikosteuerung sein sollten. Die Schwierigkeiten bei der Beherrschung und Nutzung des Datenhaushalts, wie diese ggf. im Rahmen von EBA Stresstests oder bei QIS der EBA zu Tage treten sind hausgemacht.
Der BCBS thematisiert nicht ohne Grund zuoberst die ‚Datenqualität‘, um die Wichtigkeit zu unterstreichen. Beim Thema Datenarchitektur zielt Basel auf die Angemessenheit und das Vorhandensein eines funktionsfähigen Data Warehouses ab. Die Bank muss in der Lage sein, ihre Daten konsistent aggregieren und mit minimalem Workaround generieren zu können. Ein Schwerpunkt liegt natürlich auf der Fähigkeit diese Daten – ad hoc – im Stressfall und zur Simulation von Stressszenarien konsistent und flexibel nutzen zu können. Die Abfolge von Stresstests der EBA zeigt, dass die Taktfrequenz eher zu- als abnimmt und die Reaktionsfähigkeit der Banken auf häufigere Anfragen einem Härtetest unterzogen wird. Das Thema Vollautomatisierung ist sicher kein Selbstzweck und es wäre zu kurz gedacht, hier nur die Kapazität und Leistungsfähigkeit von Rechenkernen zu vermuten. Die Herausforderung besteht in einer für die Datenverwalter, Ersteller und Adressaten nachvollziehbaren und verlässlichen Datengrundlage. Dies erfordert bereichsübergreifendes Verständnis für die Geschäfte und auch wie sich diese in der teilweise bankeigenen Terminologie in Datensatzformaten widerspiegeln.
Fazit für ein konzertiertes Vorgehen im Sinne der Governance
Es gibt den scheinbar bequemen Weg und man wartet darauf, bis die BaFin oder die Wirtschaftsprüfungsgesellschaft moniert, dass Anpassungen notwendig sind – die Commerzbank und die Deutsche Bank hat dies unlängst auf schmerzhafte Weise erfahren müssen. Wir empfehlen – mit den Best-Practice Rules vor Augen – die Ist-Situation kritisch zu analysieren und die notwendigen Handlungsbedarfe zu definieren und budgetieren. Letzteres sollte nach unserer Auffassung jedoch nicht in (alleiniger) Verantwortung der IT sondern über Querschnittsfunktionen hinweg aus der Gesamtbanksteuerungsperspektive (Verknüpfung von bilanzieller, ökonomischer und regulatorischer Sicht) passieren. Bei einer dafür prädestinierten Funktion an der Nahtstelle zwischen den verschiedenen Berichtsempfängern, Daten-Verantwortlichen und IT sollten die Fäden schlussendlich zusammenlaufen, um Synergien sinnvollerweise und fernab von Silo-Mentalität zu heben. Die teilweise komplexen Vorgaben für das Reporting sind durch die Steuerungssicht der Bank – auf Basis einer konsistenten Geschäfts- und operationalisierbaren Risikostrategie – determiniert und müssen bis auf die Einzelgeschäftsebene (Geschäfts-, Stamm- und Umsatzdaten) heruntergebrochen werden können. Idealerweise lassen sich die Meldewesendaten (FINREP / COREP) aus den verschiedenen Steuerungskreisen überleiten und mit vertretbarer Reduzierung an Datenredundanz gegenseitig nutzbar machen. Heterogene Datenstrukturen sollten identifiziert und schrittweise angeglichen werden. Das Know-how für bestimmte Datenformate sollte zentral abrufbar sein und sollte kein Inseldasein bzw. Einzelschicksal erleiden. Last but not least: Aus Sicht der Governance empfehlen wir diese Prinzipien im Rahmen einer integrierten Risiko-, IT- und Daten-Policy bzw. Strategie und ggf. im Rahmen einer bereichsübergreifenden Zielvereinbarung zu definieren.
Der Autor
Mario H. Sladek ist Berater bei der TriSolutions* GmbH, einer auf Risikomanagement und Gesamtbanksteuerung spezialisierten Unternehmensberatung. Die Schwerpunkte seiner Beratungstätigkeit liegen in der strategischen Gesamtbank- und Risikosteuerung (ICAAP) und bei der ganzheitlichen Umsetzung von regulatorischen Anforderungen (u.a. MaRisk, Basel II/III). Davor arbeitete Herr Sladek viele Jahre im Risiko- und Auditmanagement international tätiger Groß- und Investmentbanken im In- und Ausland. Sein Betriebswirtschaftsstudium absolvierte er an der Fachhochschule der Deutschen Bundesbank.
TriSolutions ist eine Schwestergesellschaft der Innovecs GmbH, für die der Herausgeber des Blick Log, Dirk Elsner, arbeitet.
Comments on this entry are closed.