REGULIERUNG Digitale
REGULIERUNG Digitale Fachtagung „Data Science und Machine Learning in Kreditinstituten“ am 22. März 2022 nine-Zertifi tergng „Data Scientist in Kreditinstituten: Einsatzfelder, Methoden und Umsetzung“ i i e Inrtinen zu fi nen ie ier tt-eente Würdigung des Datenqualitätsmanagements im Rahmen des SREP Kernelement von Säule 2 und Herzstück des regulären Bankenaufsichtsprozesses innerhalb des SSM (Einheitlicher Aufsichtsmechanismus in Europa) ist der SREP (Supervisory Review and Evaluation Process). Ziel des SREP ist es, zu beurteilen, ob die vom Kreditinstitut implementierten Regelungen, Strategien und Prozesse sowie ihre Eigenmittelausstattung und Liquidität ein solides Risikomanagement und eine solide Risikoabdeckung sicherstellen. 2 Zu diesem Zweck nimmt die zuständige Aufsichtsbehörde zunächst eine umfassende Analyse des Risikoprofils des Instituts vor und beurteilt die Qualität der zugehörigen Risikomanagementprozesse. Als zentrales Analyse- und Bewertungsinstrument nutzt die Aufsichtsbehörde dabei eine jährliche institutsindividuelle Risikoanalyse. Diese umfasst mit der Bewertung des Geschäftsmodells, der Beurteilung von interner Governance und Risikomanagement sowie der Bewertung der Kapitalrisiken und der Bewertung der Liquiditätsrisiken des Instituts vier Elemente. Eine Konformität mit den BCBS 239-Anforderungen an die Risikodatenaggregation und die -berichterstattung ist aus Institutssicht vor allem für die Bewertung der internen Governance und des Risikomanagements (Element 2) von großer Bedeutung. Dieses Element zielt auf die Fragen ab, ob sowohl die Governance-Struktur und Regelungen des Instituts als auch die von diesem eingerichteten Prozesse zur Identifizierung, Messung und Bewertung sowie Steuerung von Risiken ein wirksames Risikomanagement er- möglichen bzw. sicherstellen. Die zuständige Aufsichtsinstanz beurteilt dazu unter anderem die Risikoinfrastruktur, die Datenaggregation und das Berichtswesen. 3 Diese müssen gewährleisten, dass die zuständigen Management- und Leitungsorgane des Instituts aufkommende oder bestehende Risiken schnell steuern können, indem z. B. nachteilige Risikopositionen gemindert werden. Der Fähigkeit des Instituts, qualitativ hochwertige Daten über die wesentlichen Risiken zu generieren und den Entscheidungsträgern auf dieser Basis einen verlässlichen Informationsstand über die Risikolage bereitzustellen, kommt dabei eine bedeutende Rolle zu. In der Folge schlagen sich Schwächen im Datenqualitätsmanagement unmittelbar in der aufsichtlichen Bewertung im SREP- Element 2 nieder. Gemäß der EBA-Leitlinie zum SREP betrachten die Aufsichtsinstanzen dabei das Vermögen des Instituts, vollständige, genaue und aktuelle Risikodaten nicht nur unter Normalbedingungen, sondern auch in Stresssituationen zeitnah zu aggregieren. Bestandteil der Betrachtung sind in diesem Zuge auch die zugehörigen Informations- und Kommunikationssysteme. 4 Defizite im Datenqualitätsmanagement können sich auch außerhalb von Element 2 (interne Governance und Risikomanagement) auf die Bewertung im SREP auswirken. So sehen die Elemente 3 und 4 eine Bewertung der für die Kapitalrisiken bzw. Liquiditätsrisiken eingerichteten Risikokontrollprozesse vor. Die Zuverlässigkeit des dabei im Fokus stehenden ICAAP bzw. ILAAP setzt voraus, dass das Institut seine Kapital- bzw. Liquiditätsrisiken angemessen identifiziert, misst und aggregiert. (Anm. d. Red.: ICAAP / ILAAP = Internal Capital Adequacy Assessment Process bzw. Internal Liquidity Adequacy Assessment Process.) Dazu sind aktuelle, vollständige und genaue Inputdaten vonnöten, die gewährleisten, dass Risikoinformationen, die im ICAAP bzw. ILAAP Berücksichtigung finden, verlässlich sind. Datenqualitätsprobleme beeinträchtigen die Fähigkeit, angemessene Entscheidungen zur Unternehmensfortführung zu treffen und werden deshalb auch im SREP entsprechend geahndet. 5 Im Gesamtergebnis mündet die aufsichtliche Beurteilung in einen SREP-Beschluss über die Angemessenheit der Kapital- und der Liquiditätsausstattung des Instituts sowie, darauf aufbauend, über zusätzliche Aufsichtsmaßnahmen zu deren Verbesserung. Instituten mit wesentlichen Defiziten droht dabei eine Erhöhung der regulatorischen Eigenmittelanforderungen infolge der Verhängung eines individuellen Kapitalzuschlags. 6 Dies steht im Einklang mit den Erwartungen des Baseler Ausschusses für Bankenaufsicht, der unter BCBS 239-Grundsatz 13 ebenfalls eine Nutzung von Säule 2-Eigenmittelzuschlägen als Sanktions- und Anreizmechanismus vorsieht. Die Rolle des aufsichtsrechtlichen Meldewesens Als wichtige Quelle für die Einschätzung der Risikolage eines Instituts dienen den Aufsichtsinstanzen Erkenntnisse aus dem regulären aufsichtsrechtlichen Meldewesen. Um die Verlässlichkeit von Meldungen der Institute sicherzustellen, werden diese von der Aufsicht einem zweistufigen Prozess der Datenqualitätssicherung unterzogen. 46 02 | 2022
REGULIERUNG Alle Kreditinstitute reichen Meldungen bei der nationalen Aufsichtsbehörde (kurz: NCA) des jeweiligen Sitzstaats ein, die eine Erstprüfung der Meldedaten durchführt und diese anschließend an die EZB übermittelt. In Deutschland ist dafür die Deutsche Bundesbank zuständig. Die von den NCAs verantwortete erste Prüfstufe umfasst vor allem eine Validierung durch Vollständigkeitsprüfungen im Rahmen einer quantitativen sowie Plausibilitätsprüfungen im Zuge einer qualitativen Bearbeitung der Meldungen. Die zweite Prüfstufe ist eine Datenqualitätsbeurteilung durch die EZB, wobei diese den Fokus auf Meldungen der von ihr beaufsichtigten SIs legt. Die EZB bezieht sich bei ihrer Beurteilung auf die Qualitätsdimensionen Pünktlichkeit, Richtigkeit, Vollständigkeit und Plausibilität. Das Kriterium der Pünktlichkeit gilt für die termingerechte Einreichung der Meldung bei der NCA. Die Richtigkeit der Meldung wird u. a. über die Anzahl fehlerhafter Validierungsregeln ermittelt, die automatisiert die Daten einer Meldung abgleichen und überprüfen, ob angegebene Daten den festgelegten Standards entsprechen. Bei Vollständigkeitsüberprüfungen wird kontrolliert, ob Informationen oder Datenpunkte in der Meldung fehlen. Die Plausibilitätsprüfung zielt auf eine Analyse von Ausreißerwerten ab, wobei diese durch Varianzanalysen im Zeitverlauf und im Peer-Group-Vergleich identifiziert werden können. 7 Aufbauend auf diese Überprüfung ermittelt die EZB im Fall von SIs Datenqualitätsindikatoren für die Dimensionen Pünktlichkeit, Richtigkeit sowie Vollständigkeit und legt auf deren Basis einen Datenqualitätsindex fest, der direkt in die Bewertung des Bereichs „Risikoinfrastruktur, Datenaggregation und Berichtswesen“ im SREP-Element 2 einfließt. 8 Datenqualitätsbezogene bankaufsichtliche Prüfungen Wichtiger Bestandteil der Aufsichtsaktivitäten zur Gewinnung tiefergehender Einblicke in die Unternehmungsführungs- und Risikomanagementverfahren von Instituten und somit ebenso wichtige Informationsquelle für die Beurteilung im SREP sind bankgeschäftliche Prüfungen (On-Site Inspections bzw. [hybride] Vor-Ort- Prüfungen). Vor dem Hintergrund bestehender, aufsichtsrechtlicher Anforderungen an das Datenqualitätsmanagement kann dieses ein unmittelbarer Prüfungsgegenstand sein. Hervorzuheben sind BCBS 239-Prüfungen bei bedeutenden Instituten, die einer dedizierten Untersuchung der Umsetzung der BCBS 239-Grundsätze 1 bis 11 dienen. BCBS 239-Prüfungen zielen dabei auf die interne Risikosteuerung ab. Die Überprüfung der Einhaltung von aus den BCBS 239 bzw. den entsprechenden MaRisk-Vorschriften resultierenden Anforderungen verlangt dabei umfassende Prüfungen der im Zusammenhang mit der Risikodatenermittlung stehenden Governance, IT-Infrastruktur, Risikodatenaggregation sowie der Risikoberichterstattung. Daneben kann das Datenqualitätsmanagement auch Bestandteil von Säule 1-Modelle- Prüfungen sein. So werden Datenqualitätsaspekte z. B. in Prüfungen zur Zulassung oder wesentlicher Änderungen von IRBA-Modellen einbezogen, was auf die auch in diesem Kontext bestehenden Datenqualitätsanforderungen zurückzuführen ist. Institute können zudem von einer Prüfung des Meldewesens betroffen sein. Hier ist das Ziel, festzustellen, ob das Institut über angemessene Prozesse verfügt, die eine insgesamt hohe Datenqualität und zuverlässige Meldungserstellung sicherstellen können. Ausgangspunkt können vermehrt aufgetretene Da- 02 | 2022 47
