REGULIERUNG tenqualitätsprobleme bei Meldungen des Instituts sein. Sowohl bei BCBS 239- als auch Meldewesen-Prüfungen geht es darum, die Qualität des gesamten Datenmanagementprozesses entlang der Verarbeitungs- und Lieferstrecke der Daten zu beleuchten. Dazu werden – ausgehend vom letztlich aggregiert vorliegenden Datenobjekt (im Meldewesen eine zu meldende Kennzahl, bei BCBS 239-Prüfungen eine Risikokennzahl aus dem Risikobericht) – alle zu dessen Erzeugung durchgeführten Datenverarbeitungsschritte bis zur ursprünglichen Datenherkunft zurückverfolgt. Untersucht wird dabei nicht nur, ob entlang der Datenverarbeitungsstrecke wirksame Datenqualitätskontrollen eingerichtet wurden, sondern auch, inwieweit bspw. Datenverarbeitungsprozesse weitestgehend automatisiert vorliegen. Damit geht eine Beurteilung der Datenarchitektur und der Leistungsfähigkeit der IT-Infrastruktur einher. Ergänzende Aufsichtsinstrumente Neben gezielten bankgeschäftlichen Prüfungen bei einzelnen Instituten wurden seitens der Bankenaufsicht im SSM in den letzten Jahren auch sog. Thematic Reviews durchgeführt, denen zwecks übergreifender Bestandsaufnahme mehrere europäische Institute gleichzeitig unterzogen wurden. Bereits zwischen 2016 und 2017 wurden 25 bedeutende europäische Institute einer unmittelbar an den BCBS 239-Grundsätzen ausgerichteten Überprüfung ihrer Datenaggregationskapazitäten und Risikoberichtswesenprozesse sowie der zugehörigen Governance unterzogen. 9 Die durch die zuständigen Joint Supervisory Teams (JSTs) durchgeführte Analyse basierte dabei hauptsächlich auf den schriftlichen Rahmenwerken, die die Institute zur BCBS 239-Umsetzung implementiert hatten. Zudem wurde im Rahmen von realistischen Ad-hoc- Anfragen das Vermögen der Institute, Risikoinformationen innerhalb kürzester Zeit genau und vollständig aggregieren zu können, erprobt. Ähnliche Vorgehensweisen wurden daneben in den Folgejahren genutzt, um in Form von Deep Dives bei weiteren einzelnen Instituten den Umsetzungsstand der BCBS 239-Anforderungen zu beleuchten und für die Zwecke des SREP zu evaluieren. Darüber hinaus rückte das Datenqualitätsmanagement von Instituten auch bei einer Vergleichsstudie der ICAAP-Praktiken, die die EZB im Jahr 2019 für 37 von ihr beaufsichtigte Institute durchführte, in den Fokus. EZB-Bericht über ICAAP-Umsetzung zeigt erhebliche Datenqualitätsmängel Die zuständigen Aufsichtsbehörden stellen an die Kreditinstitute die Erwartungshaltung, im ICAAP angemessene Prozesse und Kontrollmechanismen einzusetzen, die eine hohe Datenqualität gewährleisten. Dazu ist ein Datenqualitätsrahmenwerk zu etablieren, das die für den ICAAP relevanten Risikodaten abdeckt und für diese Datenqualitätsgrundsätze definiert. Zudem müssen zugehörige Verantwortlichkeiten sowie Überwachungs- und Kontrollprozesse für die Datenqualität festgelegt sein. 10 Bei der vergleichenden Analyse der EZB zeigt sich, dass nur 30 von 37 Institutsgruppen über ein solches Rahmenwerk für die Datenqualität verfügen. Weiterhin bewertet die zuständige Aufsichtsbehörde nur 15 von 30 Rahmenwerken auch als angemessen und wirksam ausgestaltet. Einen für die Datenaggregation förderlichen zentralen Datenhaushalt für ICAAP-Daten haben zudem nur 22 von 37 Institutsgruppen etabliert. Im Rahmen des SREP fordert die EZB regelmäßig von den Instituten die Übersendung von quantitativen Informationen, sogenannte ICAAP Templates. Vermehrt werden hier Schwachstellen wie fehlende Daten, nicht plausible Werte sowie Inkonsistenzen zwischen den ICAAP-Kapitalzahlen und Informationen aus anderen aufsichtlichen Meldungen beobachtet. Im Rahmen des SREP-Zyklus 2019 waren nur 64 Prozent der Einreichungen vorhanden und von guter Qualität. Weitere 30 Prozent der Einreichungen wiesen o. g. signifikante Schwächen auf, in 6 Prozent fehlten Einreichungen gänzlich. 48 02 | 2022
REGULIERUNG Im Endergebnis beurteilten die zuständigen JSTs im SREP 2019 die IT-Infrastruktur und die Risikodatenaggregation im ICAAP als größten Problembereich. Bei 60 Prozent der Institute wurden diese mit der Note 3 (weak), bei 9 Prozent gar mit der schlechtesten Note 4 (inadequate) bewertet. 11 Die Einordnung von Mängeln im Datenqualitätsmanagement als strukturelle Schwäche im Risikomanagement hat sich derweil im SREP 2020 bestätigt. So wurden 2020 bei der Bewertung der internen Governance und des Risikomanagements bei rund 70 Prozent der bedeutenden Institute Beeinträchtigungen der Risikodatenaggregation und -berichterstattung kritisiert, was besonders mit Blick auf die jüngste Finanzkrise und die anhaltende Covid-19-Krise schwerwiegt. 12 Die Resultate sind die Folge einer unzureichenden Berücksichtigung der BCBS 239-Anforderungen. Schwachstellen und Mängel in der Umsetzung der BCBS 239-Anforderungen Hinsichtlich der Umsetzung der BCBS 239-Anforderungen lässt sich als erste Schwachstelle der von den Banken bzw. Bankengruppen definierte Anwendungsbereich ausmachen. Zum einen werden nicht alle wesentlichen Institute einer Bankengruppe als BCBS 239-relevant definiert. Zum anderen werden innerhalb eines wesentlichen Instituts nicht alle für die Risikodatenaggregation relevanten Bereiche und deren Prozesse in die Umsetzung einbezogen. Beides resultiert darin, dass wesentliche, risikorelevante Prozesse zur Datenaggregation nicht den BCBS 239-Anforderungen hinsichtlich eines angemessenen Datenqualitätsmanagements unterliegen. Sei es, dass ganze Bereiche, in denen Risiken eingegangen werden (z. B. Frontoffice im Bereich Handel) aus dem Anwendungsbereich ausgenommen werden oder dass ganze Institute innerhalb der Gruppe nicht bzw. nicht in vollem Umfang den Anforderungen genügen müssen. Eine weitere Schwachstelle bezieht sich auf die Implementierung eines zentralen Datenhaushalts je Risikoart. Aufgrund der fragmentierten IT-Landschaft, bestehend aus unzähligen Systemen mit Relevanz für die Datenaggregation einer Risikoart (z. B. dem Kreditrisiko), tun sich die Institute bzw. Institutsgruppen schwer, einen zentralen Haushalt zu etablieren, der alle Risikodaten enthält. Dieser Datenhaushalt muss so platziert sein, dass möglichst alle Daten aus den Quellsystemen darin münden. Ist dies der Fall, können die Daten vereinheitlicht und eine hohe Datenqualität für die weitere Risikodatenaggregation sichergestellt werden. Gelingt dies nicht, wird der Datenaggregationsprozess durch aufwändige, z. T. manuelle Anpassungsschritte entlang des Datenflusses verzögert und damit eine zeitnahe Erstellung BCBS 239-relevanter Risikokennzahlen erschwert. Die dritte Schwachstelle zielt auf die Etablierung eines gruppenweit einheitlichen Datenqualitätsmanagements ab. Zwar haben die meisten Institute zentrale Einheiten eingerichtet, die sich mit der Festlegung einheitlicher Vorgaben befassen. Allerdings überwachen diese Einheiten nicht bzw. nicht in vollem Umfang auch die tatsächliche Umsetzung der Vorgaben innerhalb der Gruppe. Somit wird die Sicherstellung eines funktionierenden, gruppenweiten Datenqualitätsmanagements erheblich erschwert. Hinzu kommen oftmals fehlende, konkrete Erwartungen des Vorstands an die Datenqualität risikorelevanter Kennzahlen und Berichte, die die Probleme einer zielorientierten, einheitlichen Umsetzung verstärken. 02 | 2022 49
Laden...
Laden...