Alarmstufe Rot – EZB veröffentlicht neue Leitlinien zur Aggregation von Risikodaten und zur Risikoberichterstattung

Die Wichtigkeit der Risikodatenaggregation wurde erstmals während der Finanzkrise von 2007 bis 2009 deutlich und hat sich jüngst durch die Datenerhebungsinitiativen der EZB während der Pandemie und anderer Stressszenarien erneut manifestiert. Die in der Vergangenheit aufgedeckten Compliance-Lücken der Banken in ihren Prozessen zur Risikodatenaggregation und -berichterstattung (RDARR) unterliegen im Rahmen der Planung der Supervisory Priorities 2023-25 verstärken Aufsichtsaktivitäten. Mit dem in 2023 veröffentlichten Konsultationsentwurf zum „Guide on effective risk data aggregation and risk reporting“ spezifiziert die Aufsicht ihre Erwartungshaltung hinsichtlich der angemessenen Umsetzung von BCBS 239.

Hintergrund / Ausgangslage

Die Grundsätze für die effektive Aggregation von Risikodaten und Risikoberichterstattung (BCBS 239) wurden 2013 durch den Basler Ausschusses für Bankenaufsicht veröffentlicht. Diese legen - wie in nachfolgender Grafik abgebildet - vierzehn Grundsätze fest; unter anderem an die Datenqualität, Risikodatenaggregation und die Berichterstattung, um eine genauere Risikomessung und -steuerung zu gewährleisten. Der Standard wurde als Reaktion auf Defizite in den Managementinformationssystemen während der Finanzkrise von 2007–2009 entwickelt, um das Risikomanagement und die Transparenz im Bankensektor zu stärken.

Datenqualität, Data Governance, European Central Bank (ECB), EZB, BCBS#239, Datenmanagement, Risikoberichterstattung, Risikodatenaggregation, risk data aggregation, movisco, movisco AG, movisco analytics — Abbildung 1

Im Rahmen von aufsichtsrechtlichen Überprüfungen der effektiven Risikodatenaggregation und Risikoberichterstattung (RDARR) aus den vergangenen Jahren hat sich gezeigt, dass keines der geprüften Institute die Grundsätze aus BCBS 239 vollständig einhielt. Deshalb veröffentlichte die EZB im Jahr 2023 einen Leitfaden zur effektiven Aggregation von Risikodaten und zur Risikoberichterstattung, in welchem die Institute aufgefordert werden, ihre Aktivitäten in diesem Bereich zu deutlich intensivieren. Der Leitfaden konkretisiert dabei die Grundsätze aus BCBS 239 in Bezug auf RDARR-Aktivitäten.

Handlungsfelder des Leitfadens

Die EZB hat im Leitfaden sieben Handlungsfelder identifiziert, welche im Rahmen der aufsichtsrechtlichen Aktivitäten in 2023-2025 genauer geprüft werden. Diese sieben Handlungsfelder sind nachfolgend in ihren wesentlichen Kerninhalten zusammengefasst.

1. Zuständigkeit und Aufgaben des Leitungsorgans:

Übernahme und Ausübung der vollen Verantwortung für die Qualität der Risikodaten und der Governance auf Konzernebene.
Verankerung von Data-Governance-Aktivitäten als eine Hauptpriorität im Institut sowie Schaffung von Rahmenbedingungen zur Durchführung dieser Aktivitäten.
Festlegung klarer Rollen und Verantwortlichkeiten für RDARR innerhalb der Gesamtinstitution inklusive laufender Überprüfung der Kenntnisse und Fähigkeiten der Mitglieder bzgl. Datenmanagement, IT und Risikomanagement.
Regelmäßige Überprüfung der internen Risiko-, Aufsichts- und Finanzberichte in Bezug auf qualitative und quantitative Informationen als Fundament für eine solide Entscheidungsfindung.
Überwachung der Datenqualitätsindikatoren und entsprechender Aktionspläne zur Behebung festgestellter signifikanter Abweichungen.

2. Anwendungsbereich des Data-Governance-Rahmens:

In Bezug auf das Reporting soll der Data-Governance-Rahmen alle internen Risikoberichte, Finanzberichte und Aufsichtsberichte (z.B. FINRECO/COREP, EBA/SSM-Stresstests und Säule 3 Offenlegungen) umfassen.
Betrifft alle internen Risikomanagementmodelle, z.B. die regulatorischen Kapitalmodelle der Säule 1 und der Säule 2 sowie andere wichtige Risikomanagementmodelle.
Was die Risikodaten und -indikatoren anbelangt, so sollte der Umfang zumindest die Indikatoren für die Risikobereitschaft des Instituts und die wichtigsten Risikokennzahlen abdecken, welche in den oben aufgeführten Berichten enthalten sind.

3. Rollen und Verantwortlichkeiten des Data-Governance-Rahmens:

Die klare Verantwortung für die Überwachung und Einhaltung der Datenqualität sowie die Dokumentation und Verwaltung der Metadaten im Data Dictionary liegt bei den Data Ownern / Data Stewards, welche als erste Verteidigungslinie agieren.
Aufbau einer zentralen Datenmanagementeinheit, welche verantwortlich ist für die Herausgabe von Richtlinien für das Datenqualitätsmanagement, die Überwachung der ordnungsgemäßen Umsetzung des Data-Governance-Rahmens in der gesamten Organisation, die Sicherstellung der Bewertung und Überwachung der Datenqualität und der Teilnahme an relevanten Change-Management-Prozessen.
Ernennung einer unabhängigen Validierungsstelle innerhalb der zweiten Verteidigungslinie, die unabhängig von der ersten Linie fungiert und sicherstellt, dass die RDARR-Prozesse einer Institution wie vorgehsehen funktionieren.
Einrichtung einer internen Auditfunktion, die als dritte Verteidigungslinie fungiert und regelmäßige unabhängige Überprüfungen des Data-Governance-Rahmens, der RDARR-Fähigkeiten und Prozesse sowie die Qualität der verwendeten Daten für die Quantifizierung der Risiken überprüft.

4. Integrierte Datenarchitektur:

Um die Qualität der für die Risiko-, Aufsichts- und Finanzberichterstattung verwendeten Daten zu gewährleisten, sollte eine integrierte Datenarchitektur auf Gruppenebene implementiert und dokumentiert werden.
Dies beinhaltet insbesondere die Dokumentation von Datentaxonomien in einem Data Dictionary, welches einheitliche Datendefinitionen mit eindeutigen Eigentumsverhältnissen der Daten enthält.
Zudem sollen Validierungsregeln eingeführt werden, um sicherzustellen, dass nur bestimmte Werte oder Wertebereiche zulässig sind.
Für alle Risikoindikatoren und -kennzahlen soll eine eindeutige Front-to-end Dokumentation der Data Lineage vorliegen.

5. Konzernweiteres Datenqualitätsmanagement und Standards:

Implementierung von Datenqualitätsprüfungen entlang des gesamten Datenflusses (front-to-end).
Definition von Datenqualitätsindikatoren und Toleranzschwellen inklusive Verfahren zur Behebung von DQ-Issues.
Pflege eines Registers von DQ-Issues, einschließlich einer Bewertung des Schweregrads, einer Zuordnung und quantitativen Analyse der Auswirkungen auf die betroffenen Risiko- und Geschäftsbereiche sowie klar definierter Zuständigkeiten für die Behebung und Eskalation dieser.
Identifizierung von IDV-Lösungen und manuellen Workarounds sowie Integration in die Datenqualitätsmanagementverfahren.
Durchführung von angemessenen Kontrollen der IDV-Lösungen und manuellen Workarounds, z.B. Vier-Augen-Prinzip, strenge Dokumentation und Nachverfolgung der Änderungsverwaltung, Genehmigungen).
Berücksichtigung von Datenqualitätsindikatoren im internen Verfahren zur Bewertung der Angemessenheit der Eigenkapitalausstattung (ICAAP) und im internen Verfahren zur Bewertung der Angemessenheit der Liquidität (ILAAP).

6. Aktualität der internen Risikoberichterstattung:

Es wird erwartet, dass die Häufigkeit der internen Risikoberichterstattung mit der Dynamik potenzieller Veränderungen der Risikoindikatoren und -kennzahlen übereinstimmt; eine höhere Dynamik erfordert eine höhere Berichtsfrequenz.
Die Meldehäufigkeit und Erstellungszeit muss so kalibriert sein, dass eine rechtzeitige Reaktion auf Veränderungen der Risikosituation möglich ist. Dafür müssen monatliche und vierteljährliche Risikoberichte innerhalb von 20 Arbeitstagen erstellt werden.
Schaffung von Ad-hoc-RDARR-Fähigkeiten zur Bewältigung unvorhergesehener Stresssituationen.

7. Wirksame Umsetzungsprogramme:

Aufsetzen von Umsetzungsprogrammen, um alle Lücken und Schwachstellen zu schließen, welche bei internen oder externen Prüfungen festgestellt wurden.
Diese Programme sollen durch eine angemessene Projektmanagement-Governance, inklusive einer regelmäßigen Berichterstattung über den Fortschritt sowie Hindernisse und Verzögerungen, unterstütz werden.
Festlegung klarer Ziele, Meilensteile, Rollen und Verantwortlichkeiten.
Sicherstellung, dass mindestens ein Mitglied des Leistungsorgans die Verantwortung für die Durchführung des Programms übernimmt.
Berücksichtigung potenzieller Auswirkungen auf interne Modelle, Abhängigkeiten zwischen der Integration von Risikodaten und der Integration von Frameworks zur Finanzberichterstattung sowie allgemeiner Geschäfts- und IKT-Strategien.

Aktivitäten der Aufsicht

Die im Leitfaden adressierten aufsichtsrechtlichen Mindesterwartungen an die Handlungsfelder gelten als notwendige Voraussetzungen für effektive RDARR-Fähigkeiten. Der Leitfaden bildet somit einen wichtigen Baustein des Arbeitsprogramms der Aufsicht zwischen 2023 und 2025. Insbesondere müssen sich Banken auf nachfolgende Aktivitäten der Aufsicht einstellen, welche die Handlungsfelder explizit prüfen sollen:

Verantwortung der Leitungsorgane für die Governance- und Ausführungsaufsicht
Horizontales Benchmarking der Ergebnisse von Off-Site und On-Site-Aktivitäten anhand der im Leitfaden formulierten Erwartungen je Handlungsfeld
Verstärkte Konzentration auf die Datenqualität des aufsichtlichen Berichtswesens der Institute.
"Fire-Drill-Tests" für die Ad-hoc-Meldefähigkeit
Interne Modelluntersuchungen
Prüfung der Umsetzungsprogramme
Einführung eines Managementberichts über Data Governance und Datenqualität

Fazit

BCBS 239 und die darin enthaltenen Anforderungen an eine effektive Risikodatenaggregation und Risikoberichterstattung, sind zu einer der wichtigsten Komponenten des Bankensektors. Sie beeinflussen maßgeblich die Art und Weise, wie Banken an das Managen ihrer Risikodaten und ihre Meldeverfahren herangehen. Trotz intensiver Anstrengungen der letzten Dekade, die Richtlinien umzusetzen, weisen die meisten führenden Banken weiterhin Compliance-Lücken auf.

Aufgrund dieser Lücken hat die EZB mit der Veröffentlichung des Leitfadens “Guide on effective risk data aggregation and risk reporting” ein klares Zeichen gesetzt, welche immense Relevanz dem Thema RDARR für die aufsichtliche Agenda beigemessen wird. Damit unterstreicht die Aufsicht deutlich, dass angesichts des bisherigen langsamen Fortschritts in Richtung der vollständigen Erfüllung der Anforderungen aus BCBS 239, die EZB ihr gesamtes Aufsichtspotenzial ausschöpfen wird.

Vor diesem Hintergrund empfiehlt movisco folgende Maßnahmen für Banken:

Bewertung der eigenen Standards und Aktivitäten im Bereich Datenqualitätsmanagement und DQ-Reporting. Wie im Whitepaper Datenqualität in der SAP FSDM - Wie Banken den „Daten-Tsunami" beherrschen können beschrieben, hat die movisco AG für diese Bewertung ein eigenentwickeltes Tool konzipiert, um den Reifegrad der Organisation in Hinblick auf das Datenqualitätsmanagement zu ermitteln.
Abgleich und Bewertung der eigenen RDARR-Fähigkeiten mit den im Leitfaden genannten Handlungsfeldern zur Identifizierung von Lücken.
Einwertung der Lücken inklusive Aufsetzten von Maßnahmen zur Behebung dieser.

Die movisco AG steht ihren Kunden in den Bereichen Datenmanagement und insbesondere Datenqualitätsmanagement beratend und unterstützend zur Seite; Ihre Ansprechpartner sind Christian Behrens (Christian.Behrens@movisco.com) und Robin Müller (Robin.Mueller@movisco.com).

Über den Autor

Robin Müller

Robin Müller ist Senior Consultant bei der movisco AG im Bereich Finance and Risk Reporting und verfügt über eine mehrjährige Berufserfahrung im Bankenumfeld. Er besitzt einen M.Sc. in IT Management und die zudem IHK geprüfter Bankkaufmann. Neben seiner Affinität für Business Intelligence und Prozessoptimierung umfasst seine Expertise die Optimierung der Risikodatenaggregation (BCBS 239, Data Quality, Data Governance). Mit seiner Leidenschaft für Datenverarbeitung arbeite er seit vielen Jahren in der Beratung an der Schnittstelle zwischen Fachbereich und IT.