REGULIERUNG 2. Einheitliche Datentaxonomie Um den Ansprüchen des AT 4.3.4 MaRisk zu genügen, sind Kennzahlen nicht nur zweifelsfrei zu identifizieren, sondern müssen auch nach unterschiedlichen Kategorien auswertbar sein. Hierfür bietet sich eine fachliche Datennormierung anhand eines Datenlexikons an. Beginnend von den Front-Systemen sollten alle Datenfelder eindeutig normiert und die einzelnen Aggregationen inklusive der angewandten Methoden nachvollziehbar dokumentiert werden. Damit wird sichergestellt, dass Datenfelder einmalig und Kennzahlen bis auf Einzelgeschäftsebene auswertbar sind (Data Lineage). Dieser Datenstandard sollte gruppenweit entwickelt werden und mindestens die wesentlichen Tochtergesellschaften mit einbeziehen. Eine gruppenweit einheitliche Datentaxonomie ermöglicht die Abstimmbarkeit der Daten zwischen den verschiedenen Ressorts sowie die Überleitbarkeit bei notwendigen unterschiedlichen Bezeichnungen. 3. Homogene Datenarchitektur Manuelle Prozesse implizieren eine höhere Fehlerquote als automatisierte, können jedoch flexibler angepasst werden. Das schnelllebige regulatorische Umfeld hat die Banken veranlasst, eine Vielzahl an IDV-Lösungen zum aufsichtsrechtlichen und bankinternen Berichtswesen aufzubauen, um den Anforderungen schnell und pünktlich gerecht werden zu können. Grundsätzlich müssen nun diese IDV-Lösungen zumindest teilweise abgebaut und in eine homogene Systemlandschaft überführt werden. Die Herausforderung liegt dabei in der gleichzeitigen Aufrechterhaltung der Anpassungsfähigkeit, weshalb eine ganzheitliche Überprüfung und der Umbau der bestehenden Systemlandschaft notwendig sind. Eine gemeinsame Datenbasis muss zur Verfügung gestellt und Adhoc-Anfragen ermöglicht werden. Diese Zielsetzung wird in der Regel über eine Data-Warehouse-Architektur abgebildet. Jedoch sollte auch geprüft werden, inwieweit Big-Data-Technologien zu einer zukunftsfähigen Abbildung der Anforderungen beitragen können. 4. Verankerung der Validierungsfunktion Die Governance ist gemäß AT 4.3.4 Tz 7 MaRisk nachweisbar einzuhalten. Dies erfordert die Implementierung einer von den Geschäftseinheiten unabhängigen Überprüfungsfunktion mit entsprechenden Kompetenzen der Mitarbeiter. Eine allgemeine Empfehlung zur aufbauorganisatorischen Verankerung kann nur schwer ausgesprochen werden. Wobei eine Verankerung im Risikocontrolling auf Basis der bereits bestehenden Kontrollfunktionen allerdings als sinnvoll erscheint. Grundlegend für die Validierungsfunktion sollte ein eindeutiges Aufgabenprofil mit entsprechender Richtlinienkompetenz sein. Die Vorgaben der Validierungsfunktion sollten sich in einer einheitlichen Konzernrichtlinie widerspiegeln und gegebenenfalls einen Prüfungsleitfaden beinhalten. FAZIT Die Überführung der BCBS 239 in die MaRisk hat die Bedeutung einer leistungsfähigen IT-Infrastruktur der Banken auch für nicht systemrelevante Banken erhöht. Daneben sind mit gleicher, wenn nicht gar höherer Umsetzungspriorität auch die verstärkten Anforderungen an die IT-Sicherheit zu beachten, die insbesondere über die BAIT nun stärker kodifiziert werden. Das in den MaRisk verankerte Proportionalitätsprinzip ermöglicht den Banken eine Anwendung der Anforderungen auf eine Datenauswahl, etwa auf steuerungsrelevante Daten der Geschäftsleitung, mittels eines Kennzahleninventars. Banken sollten die neuen Regulierungen als Chance verstehen, ihre teils veraltete IT-Infrastruktur grundlegend zu überarbeiten und an das schnelllebige Umfeld anzupassen. Autoren Christine Mährle, Diplom-Volkswirtin und MBA, arbeitet als freiberufliche Unternehmensberaterin mit den Schwerpunkten Bank- und IT-Strategie, Regulatorik, Prozessmanagement und Projektmanagement in Frankfurt/Main. Dr. Patrik Buchmüller, Leiter Gesamtbankrisikosteuerung bei der Deutsche Postbank AG in Bonn. Er war von 2003 bis 2006 bei der BaFin zuständig für die OpRisk-Regelungen in Solvabilitätsverordnung und MaRisk und als Mitglied der Accord Implementation Group-Operational Risk des Baseler Ausschusses für Bankenaufsicht sowie in weiteren nationalen und internationalen Arbeitsgruppen tätig. 1 Basel Committee (2017), S. 4: „The latest assessments by supervisors show that banks’ level of compliance is unsatisfactory and the overall implementation progress remains a source of concern to supervisors. Based on supervisors’ assessments, only one bank fully complied with the Principles, even though the implementation deadline for global systemically important banks (G- SIBs) identified in 2011 and 2012 had lapsed in January 2016.” 54 03 // 2018
ANZEIGE
NR. 3 März 2018 ZEITSCHRIFT FÜR B
Laden...
Laden...
Laden...