ó BETRIEBSWIRTSCHAFT
ó BETRIEBSWIRTSCHAFT Weltweiter Investitionsbedarf in Risiko-IT-Infrastrukturen Die internationalen Großbanken sind nicht die einzigen betroffenen Institute. Welt- und auch deutschlandweit haben Finanzinstitute unterschiedlicher Größe mit Voruntersuchungen begonnen. Trotz der noch existierenden Unschärfe aufgrund der noch ausstehenden Leitlinien der Aufsichtsbehörden lässt die Zusammenführung von Risiko und Finanzen sowie die notwendige Automatisierung der Berichterstattung eine hohe Komplexität erkennen. Fast unisono ist ein hoher Investitionsbedarf zu konstatieren, zumal weltweit keine Anzeichen für eine Abschwächung der Anforderungen zu erkennen sind. Die Aufsicht, spezialisierte Beratungsunternehmen und die Finanzinstitute bestätigen einen hohen Investitionsbedarf, der nicht nur für G-SIBs, sondern auch für D-SIBs anfällt. Nach Schätzungen der Boston Consulting Group fällt für den Umbau der IT-Infrastruktur einer durchschnittlichen Bank eine Investition zwischen 50 und 100 Mio. € an. Eine weltweit durchgeführte SunGard-Studie aus dem Jahr 2014 schätzt eine robuste Investition global auf 1,5 Mrd. US-$ pro Jahr und analysiert diese über den Zeitablauf ” 2. Der Trend geht demnach eindeutig in die Richtung einer strategischen Risiko-IT-Infrastruktur, infolge fundamentaler Änderungen der Bedürfnisse und Möglichkeiten. Gleichwohl ist weltweit bislang kein von BCBS 239 betroffenes Finanzinstitut bekannt, dass die Grundsätze bereits vollumfänglich erfüllt. Manche Marktteilnehmer sehen einen Primärkonflikt zwischen einzelnen Grundsätzen, z. B. zwischen Grundsatz 3 (Genauigkeit und Integrität) und Grundsatz 5 (Aktualität). Die verfügbaren Technologien, in erster Linie die modernen In-Memory-Technologien, dienen hier jedoch in der Regel als Katalysator für die Lösung der angenommenen Konflikte. Die Studie zeigt auch auf, dass sich viele Geldinstitute noch in der Analysephase befinden, somit noch kein erprobter Blueprint einer universellen Lösung vorliegt. Eine Vielzahl weiterer regulatorischer Initiativen mit dem Ziel einer verbesserten Datenkontrolle und eines optimierten Berichtswesens (z. B. LEI Initiative, COREP, 1 Risikomanagement und Finanzen Innerhalb des Risikomanagements (Markt-, Kredit-, Liquiditätsrisiko, etc.) Handel und Risikomanagement Handel und Treasury Risikomanagement und Treasury Sinnvoll, aber unmöglich wegen sich widersprechender regulatorischer Anforderungen Sinnvoll, aber unmöglich wegen der bestehenden IT-Landschaft Andere MiFID II) hat zusätzliches Veränderungspotenzial für die IT. Die Umsetzung von BCBS 239 erfordert jedoch eine verstärkte Zusammenarbeit von allen betroffenen Bereichen (Risiko, Finanzen und IT), die sich im Kern auf die Themenfelder Data Hauptgründe für die Angleichung von Risikoberichten und Methoden Quelle: SunGard 2014. 2 0% 5% 10% 15% 20% 25% 30% 35% Schätzung der auf BCBS 239 bezogenen Gesamtinvestitionen $ 2.500.000.000 $ 2.000.000.000 $ 1.500.000.000 $ 1.000.000.000 $ 500.000.000 Quelle: SunGard 2014. $ 2014 2015 2016 2017 2018 2019 SII und andere D-SIBs G-SIBs 44 diebank 3.2015
BETRIEBSWIRTSCHAFT ó Quality Framework, Risikoberichterstattung sowie IT-Architektur erstreckt. KPMG definiert darüber hinaus das Handlungsfeld Organisations- und IT-Management. Data Quality Framework Datenqualität, Genauigkeit, Integrität, Aktualität und Vollständigkeit sind Kernanforderungen der Baseler Grundsätze. Heute sind im Datenmanagement, verursacht durch das Fehlen durchgängiger (Korrektur-) Prozesse, vielerorts Key Person Risks zu finden. Die Umsetzung einer übergreifenden und umfassende Datenarchitektur und -governance ist die Basis zur Optimierung der Datenqualität. Voraussetzung ist die Definition einer unternehmensweiten und einheitlichen Taxonomie. Die Definition einer unternehmensspezifischen Taxonomie und eines entsprechenden Data-Dictionaries über die Bereiche Risiko, Finanzen und idealerweise regulatorischen Reportings ist die vorderste Aufgabe. Die Herausforderung bei der Entwicklung der Taxonomie ist nicht nur die einheitliche Bezeichnung, sondern beinhaltet auch die Definition der Charakteristika der einzelnen Datenelemente sowie die notwendige Granularität und die benötigte Frequenz. Der erste Schritt ist zunächst ein Inventar aller (Risiko-) Berichte. Von den einzelnen Berichten wird dann eine Rückentwicklung auf die notwendigen Daten betrieben. Die Daten werden nun kontextunabhängig in Datenobjekten überführt und definiert. Diese Datenobjekte werden in einer Datenarchitektur und Datengovernance den Verantwortlichen im Unternehmen zugewiesen. Diese Verantwortung ist konzernweit und kontextunabhängig. Einige Unternehmen führen die Verantwortlichen in virtuellen Teams zusammen, andere gründen einen dedizierten Fachbereich für das Datenmanagement, der von einem Chief Data Officer (CDO) geführt wird, der zumeist direkt an den Vorstand berichtet. Unabhängig von der Organisationsstruktur liegen die Daten in einer kollektiven Verantwortung von Fach- und IT-Bereich. Diese Schritte erlauben eine Integrität der Daten, die Definition und Verantwortlichkeiten alleine sichern allerdings noch keine hinreichende Datenqualität. fl Die Definition einer unternehmensspezifischen Taxonomie und eines entsprechenden Data-Dictionaries über die Bereiche Risiko, Finanzen und idealerweise regulatorischen Reportings ist die vorderste Aufgabe. Datenqualität: eine Mikro- und Portfolioperspektive Es empfiehlt sich, eine Datenqualitätssicherung auf unterschiedlichen Ebenen anzusetzen. Auf der Mikroebene werden die Einzeldaten, wie z. B. Marktwerte einzelner Bestände, qualitätsgesichert. Zusätzlich werden auf einer höheren Ebene, z. B. Portfolio, basierend auf den Einzeldaten aggregierte Daten qualitätsgesichert. Dies zeigt strukturelle und inhaltliche Fehler auf. Die Forderung nach großer Bandbreite an Ad-hoc-Anfragen und der Erfüllung aller Grundsätze auch in Stressphasen und Krisen wird so interpretiert, dass es einen vollständig automatisierten Prozess für die Risikoberichtserstattung geben soll. Dies hat zur Folge, dass Excel-Prozesse und manuelle Eingriffe weithin vermieden und auf Ausnahmen beschränkt werden, d. h. auf das temporäre Beheben von Fehlern im ansonsten automatisierten Prozess ohne Medienbrüche. Die Prozesse zur Berechnung und Erstellung der Daten können in der Folge täglich standardisiert erfolgen. Neben dem höheren Grad der Automatisierung kann nicht nur die Frequenz der Berichterstattung angepasst werden, sondern es kann eine tägliche Qualitätssicherung der Daten im Bericht erfolgen. Dadurch steigt die Qualität der Monatsberichte, die Anzahl der Fehlerquellen und Analysepunkte für den Monatsbericht sinkt. In der Konsequenz erhöht sich auch die Geschwindigkeit der Bereitstellung der Berichte. Eine zeitgerechte und bessere Banksteuerung erscheint dadurch in Reichweite. Während das Data Quality Framework noch als Technologie agnostisch angesehen werden kann, ist nun allerdings ein Technologiesprung notwendig, der eine neue Risikoberichtserstattung- und Analyseschicht schafft. Dieser Technologiesprung muss im Fundament einer (Risiko-) IT-Architektur stattfinden. Die Berichterstattung und entsprechende Entscheidungen folgen diesem Fundament und setzen darauf auf. IT-Architektur Die wenigsten Institute bevorzugen eine fundamentale „Big Bang“-Neuimplementierung der IT-Architektur. Berücksichtigt man, dass die IT-Architektur mit dem Data Quality Framework einhergeht, also auch einem konzernindividuellen Datenobjektmodell, so ist aus rein zeitlichen und Ressourcenüberlegungen der regulatorisch gesteckte Zeitrahmen sehr eng. Zielführend ist die Definition einer Zielarchitektur und die Entscheidung für eine IT-Architektur, die komponentenbasiert ist. Diese erlaubt eine Umsetzung der IT-Architektur in sequenziellen Schritten mit flexibler Abfolge. Die generelle von Grundsatz 6 geforderte Anpassungsfähigkeit impliziert die Notwendigkeit einer wesentlich höheren Flexibilität als heute üblich. Eine tägliche oder sogar kontinuierliche untertätige Berechnung und Aggregation von Risikodaten erzwingt eine wesentlich höhere Performance. Bei Flexibilität und Performance kommen relationale Datenbanken in Kombination mit großen Datenmengen schnell an ihre Grenzen. Der Bedarf an 3.2015 diebank 45
