Regulatorik – IT – Risikomanagement

Die Authoritative Source als wesentlicher Baustein der regulatorischen Compliance des Risikomanagements und der IT-Architektur von Banken

Startseite / Business Insider News / Regulatorik – IT – Risikomanagement

Veröffentlicht am 29.03.2018

Auf Basis von regulatorischen Anforderungen definieren immer mehr Banken eine Authoritative Source (maßgebliche Quelle) für ihre Risikodaten. Das festgelegte System oder der angebundene Datenhaushalt dienen als maßgebliche Quellen der jeweiligen Risikoart und erleichtern wesentlich die Verbesserung der Datenqualität, den Aufbau der Data-Lineage und eine zielgerichtete Entwicklung der IT-Architektur. Auch aus wirtschaftlicher Perspektive ist die Definition einer Authoritative Source zur Kostenreduktion und der Vermeidung von Sunk Costs relevant.

Regulatorische Anforderungen an das Risikomanagement und die IT

Hinsichtlich der Verarbeitung und des Umgangs mit den im Geschäftsbetrieb benötigten Daten bestehen für Banken zahlreiche Vorschriften und Regelungen. Beispielhaft zu nennen sind die BAIT und MaRisk sowie BCBS 239.
Die Texte spiegeln einen beschleunigten Trend in der gesetzlichen Regulatorik der Finanzmärkte und -wirtschaft wider. Die Kontrollinstrumente der Aufsicht beziehen sich immer stärker auf die Art und Weise, wie Banken mit den ihnen zur Verfügung stehenden Daten verfahren. Während externe Daten, wie beispielsweise Kundeninformationen, bereits seit Langem den Auflagen des Datenschutzes unterliegen, rücken mehr und mehr interne Datenverarbeitungen in den Fokus. Insbesondere betrifft diese Entwicklung das interne Reporting von steuerungsrelevanten Kennzahlen und deren Interpretation. Dieses ergibt sich in den meisten Häusern durch die Zusammenarbeit mehrerer Bereiche, wie der Gesamtbanksteuerung, dem (Risiko-)Controlling, dem Rechnungs- und Meldewesen. So hat die Umsetzung von BCBS 239 aufgrund der Komplexität und dem breiten Wirkungsbereich bereits bei mehreren europäischen Großbanken hohe Projekt- und IT-Kosten generiert.

Herausforderungen durch eine fehlende „Gesamthausperspektive“

Aufgrund der neuen, integrierten Betrachtungsweise dieser gegebenen regulatorischen Thematik fehlt es in den umsetzenden Banken an einem übergreifenden Verständnis für die regulatorischen Anforderungen. So sind zwar häufig zahlreiche Aspekte der Vorschriften der Bankenaufsicht zumindest ansatzweise erfüllt, jedoch nicht miteinander verknüpft. Hinzu kommt, dass unterschiedliche Gesetzestexte mit ähnlichen Inhalten in separate Projekte implementiert werden. Häufig sind dabei ein direkter Austausch und eine ergebnisorientierte Zusammenarbeit nicht in ausreichendem Maße gegeben.
Eine Grundvoraussetzung ist die Abstimmung der Projektaufträge auf der strategischen Sponsorenebene. Operativ sind Projektleiter und -mitarbeiter zu ermutigen, den horizontalen Wissenstransfer und die inhaltliche Kooperation zu suchen. Dazu sind organisatorische Restriktionen, wie steile Hierarchien oder starre Budgetvorgaben, auszuräumen. Das Ziel ist die Erreichung der regulatorischen Compliance für das Gesamthaus hinsichtlich aller als relevant identifizierten Anforderungen. Gemäß des Top-Down-Ansatzes ist die übergreifende Compliance daher auf der Ebene des Projektportfolios der Bank zu etablieren. Einzelne Projekte sollten thematische Bausteine, welche im Sinne mehrerer Anforderungstexte ausgelegt sind, beisteuern.

Konsolidierungen und Vereinfachungen erzeugen Synergien

Um den Zusammenhang zwischen regulatorischer Anforderung und Projektbaustein herzustellen, ist im Vorfeld ein hausinternes, gemeinsames Verständnis des Soll- und Ist-Zustandes anzustreben. Namen, Bezeichnungen, Definitionen und Ergebnisse sind verständlich zu formulieren und zu kommunizieren. Im Maßnahmenpaket sollen alle durchzuführenden Handlungen und deren Auswirkungen auf die Compliance konkret identifiziert und konsolidiert sein. Wird dies nicht vor Beginn der gestaltenden Projektarbeiten abgeschlossen, muss im Nachhinein eine aufwendige Prüfung der regulatorischen Übereinstimmung des Status Quo angeschlossen werden.
Neben den Zielen ist auch das Ausmaß der Tätigkeiten in der Tiefe und Breite festzulegen. Dies gilt insbesondere für Bausteine, welche die IT-Architektur der Bank betreffen. So sollten bei der Verbesserung der Datenqualität beispielsweise die Messpunkte taktisch platziert werden. Bezüglich der technischen Data-Lineage sind die relevanten Systeme und deren Verarbeitungsschichten zu untersuchen. In diesem Zusammenhang sind auch Redundanzen und abweichende Werte auf der Datenlieferstrecke zu beheben.
Diese Herausforderungen werden durch eine systembezogene Vereinfachung erleichtert, welche gleichzeitig auch eine regulatorische Anforderung ist: die Definition einer Authoritative Source.

Die Definition der Authoritative Source

Eine Authoritative Source ist ein System, welches für einen festgelegten Bereich und eine definierte Datengruppe die maßgebliche Quelle für alle Daten der jeweiligen Art konstituiert. Um eine regulatorische Abnahme zu ermöglichen, bedarf es der Entwicklung einer fundierten Methodik, welche alle wesentlichen Anforderungen und Aspekte berücksichtigt. Dazu empfiehlt es sich, alle erforderlichen Eigenschaften eines Systems, welches als Authoritative Source dienen kann, im Vorfeld zu eruieren. Mittels Prämissen können Systeme oder Systemgruppen aus der Betrachtung ausgeschlossen werden. Durch die Festlegung von Schlüsselkriterien können ausgewählte Eigenschaften priorisiert werden. Die Dokumentation der Vorgehensweise mit den Ergebnissen kann als Grundlage für eine regulatorische Prüfung der Methodik und Definition der Authoritative Source genutzt werden.
Zentrale Anforderungen an die maßgebliche Quelle sind sowohl fachlicher als auch technischer Natur und schließen die Datenvollständigkeit und die regulatorische Compliance mit ein.
Erfolgsbedingend ist der Einbezug aller relevanter Stakeholder in der Bank. Nur durch die Kooperation von Projekt- und Linienmitarbeitern, IT-Abteilungen und Fachbereichen kann die bestmögliche Lösung erarbeitet werden.
Zusätzlich zu der Compliance-Perspektive ist die Definition der Authoritative Source unter wirtschaftlichen Gesichtspunkten zu betrachten. Zwar können durch die Herstellung bestimmter Schlüsseleigenschaften kurzfristig Kosten entstehen, langfristig folgen jedoch jedoch zu erheblichen Einsparungen. Zusätzlich zu den genannten Vorteilen können so etwa aufwendige Systemablösungen, Schnittstellenimplementierungen und Bereinigungen in der IT-Architektur vermieden werden.

Verbesserung der Risikokennzahlen-generierung und Berichterstellung

Als maßgebliche Quelle ist die Authoritative Source der zentrale Datenpool für die Generierung steuerungsrelevanter Kennzahlen und damit für die Berichterstellung. Durch die eindeutige Festlegung der Quelle kann ein fachlicher und technischer Kennzahlenabgleich zwischen Berichten erfolgen. Zusätzlich kann in diesem Zuge die Qualität der Kennzahlen überprüft und damit die Validität des Berichts erhöht werden. Für Banken, die eine Authoritative Source definiert haben, eröffnen sich so unterschiedliche verbundene Potenziale zur Kostenreduktion in der internen Steuerung und externen Berichterstellung.
Ein weiteres Beispiel sind Ad-hoc-Anfragen der Aufsicht. Diese können schneller und präziser bearbeitet werden. Da bereits eine ständige Datengrundlage besteht, kann die aufwendige Generierung einer vollständigen Datenbasis durch einen Datenabzug ersetzt werden. In der Folgeentwicklung können methodische Rechner an die Quelle angeschlossen werden. Daraus ergibt sich eine fortlaufende Datenhaltung mit integrierter Kalkulation. Auf diese Weise kann der entstehende Aufwand einer Abfrage minimiert werden. Selbiges trifft auch auf Stress- und Krisenabfragen zu, wie etwa den turnusmäßigen EBA-Stresstest bezüglich der wesentlichen Risikoarten.

Übergreifende Anwendung des Authoritative-Source-Konzepts

Während aus BCBS 239, Tz. 36d nur eine maßgebliche Quelle für die Risikodaten einer Risikoart hervorgeht, empfiehlt es sich darüber hinaus, eine einheitliche Struktur zu schaffen. Entwickelte Methodiken und Verfahren zur Definition einer Authoritative Source können auch auf andere Datenkategorien und Unternehmensbereiche angewendet werden, um die entstehenden Vorteile zu realisieren.
Hierzu sind zunächst die jeweiligen Rahmenbedingungen zu analysieren. Von den Resultaten der Analyse kann abgeleitet werden, ob eine Definition der Authoritative Source möglich beziehungsweise empfehlenswert ist.
Das Authoritative-Source-Konzept ist somit ein wichtiger Baustein der regulatorischen Compliance und gleichzeitig eine gute Möglichkeit, langfristig IT- und Personalkosten zu reduzieren.

Zielsetzung, Analyse, Maßnahmenausarbeitung und -implementierung sind stets individuell auf das Institut auszurichten. Als Spezialisten unterstützen wir unsere Kunden proaktiv und verwenden internationale Best Practices. Gerne setzen wir uns mit Ihnen zusammen und prüfen unverbindlich ein praktisches Vorgehen. Lassen Sie uns die Möglichkeit einer Zusam-menarbeit gemeinsam besprechen und freuen Sie sich auf unsere frischen Ideen.

Corinna Reibchen

CEO | passcon GmbH

Mobil +49 152 04280986
Corinna.Reibchen@passcon.de

Benjamin Schmidt

Senior Consultant | passcon GmbH

Mobil +49 174 3176191
Benjamin.Schmidt@passcon.de

Diese Seite verwendet Cookies. Mit der Nutzung der Webseite stimmen Sie der Verwendung von Cookies und den Datenschutzbestimmungen zu.

Abbonieren Sieunsere Business-Insider-News,um den Artikel "AFC-STUDY" als PDF herunterzuladen

Abbonieren Sie
unsere Business-Insider-News,
um den Artikel "AFC-STUDY" als PDF herunterzuladen

You have Successfully Subscribed!

/***Linkedin Insight-Tag eingefügt am 12.12.2018 v. Hoffrichter i.A v. Biablas***/