AT 4.3.4 – Neue Anforderungen an das Datenmanagement in den MaRisk 2016

Mit dem Konsultationsentwurf der MaRisk 2016 werden die Regelungen zum Management von Risikodaten für deutsche Institute erstmals konkretisiert. Daraus ergeben sich umfangreiche Anforderungen an das Datenmanagement, die Datenqualität sowie die Aggregation von Risikodaten. Auch Institute, die sich bereits intensiv mit der Umsetzung der Anforderungen aus BCBS 239 befasst haben, dürften die neuen Regelungen vor erhebliche Herausforderungen stellen, da im Vergleich zum BCBS 239 die Anforderungen teils spezifischer formuliert sind und eine kürzere Umsetzungsfrist eintreten kann.

Anwendungsbereich

Der neue Abschnitt AT 4.3.4 der MaRisk ist für große und komplexe Institute anzuwenden. Als groß und komplex gelten alle systemrelevanten Institute (d. h. Bilanzsumme größer als 30 Mrd. Euro). Allen anderen Instituten wird im Anschreiben zum Konsultationsentwurf der MaRisk empfohlen, zu untersuchen, inwieweit die Anwendung der Anforderungen und damit die Verbesserung der Dateninfrastruktur für sie sinnvoll sind.

Die Regelungen im Einzelnen

Die neuen MaRisk fordern, dass Institute gruppenweit Grundsätze zum Datenmanagement, zur Datenqualität und zur Aggregation von Risikodaten festlegen – sowohl für Normal- als auch für Stressphasen. Die umfassenden Anforderungen können vor allem kleinere Institute vor technische Herausforderungen stellen, sofern die Anforderungen umgesetzt werden sollen.

Ein strukturiertes Datenmanagement beinhaltet insbesondere die Festlegung von eindeutigen und klaren Verantwortlichkeiten für Daten bzw. die Prozessschritte, in welchen die Daten erzeugt werden (Data Governance) sowie die Implementierung von prozessabhängigen Kontrollen zur Sicherung der Datenqualität. Diese Kontrollen müssen so ausgestaltet sein, dass sie die Vollständigkeit, Richtigkeit, Integrität und Aktualität der Daten sicherstellen. Durch eine unabhängige Stelle (in der Regel eine sog. Evidenz­stelle) ist in regelmäßigen Abständen (mindestens jährlich) zu überprüfen, ob die Vorgaben tatsächlich eingehalten werden. Dies soll typischerweise auf Ebene der „Second Line of defence“ verantwortet werden.

Systemübergreifend einheitliche Namenskonventionen und Kennzeichnungen der Daten (Datenstruktur) sollen sicherstellen, dass diese zweifelsfrei identifiziert, zusammengeführt und ausgewertet werden können. Nicht zuletzt unterstützt dies auch eine bessere Abstimmbarkeit der Daten und vereinfacht die Implementierung geeigneter Kontrollen. Sofern unterschiedliche Bezeichnungen erforderlich sind, müssen diese zumindest überleitbar sein. Konkrete Vorgaben, bis zu welchem Detaillierungsgrad diese einheitlichen Konventionen vorhanden sein müssen, fehlen in den neuen Anforderun­gen jedoch. Auf Basis der Erfahrung aus der Umsetzung von BCBS 239 ist davon auszugehen, dass die Institute um eine Dokumentation der „Data Lineage“ bis auf Feldebene der Inputparameter mittel- bis langfristig nicht herum kommen.

Zur Sicherstellung der Datenqualität müssen die Institute Kriterien festlegen und Anforderungen an die Datenqualität (insbesondere Genauigkeit und Vollständigkeit von Risikodaten) formulieren. Neben der Durchführung prozessabhängiger Kontrollen hat das Institut die Daten regelmäßig mit anderen im Institut vorhandenen Informationen abzugleichen und zu plausibilisieren. Darüber hinaus sind Prozesse zu etablieren, um die originären Risikodaten mit den Risikoberichten abzugleichen.

Zusätzliche Anforderungen ergeben sich bei der Datenaggregation. Im Tagesgeschäft und insbesondere in Stressphasen, soll durch die Institute eine zeitnahe Bereitstellung der aggregierten Risikodaten sichergestellt werden. Hierfür müssen die Datenaggregations­kapazitäten flexibel und leistungsfähig genug sein, um auch Ad hoc-Informationen nach unterschiedlichen Kategorien ausweisen und analysieren zu können.

Fazit

Alles in allem werden die neuen Anforderungen die Institute vor große Herausforderungen stellen. Insbesondere kann die Novellierung der MaRisk zu unterschiedlichen Umset­zungs­fristen gegenüber BCBS 239 hinsichtlich des Datenmanagements führen. Während die Anforderungen aus BCBS 239 bis Ende 2018 umzusetzen sind, ist aktuell nicht bekannt, ab wann die Anforderungen der MaRisk einzuhalten sind. So ist eine erforderliche Umsetzung des AT 4.3.4 auch bereits früher denkbar, so dass aktuelle Umsetzungsprojekte im Hinblick auf die einzelnen Aktivitäten kritisch überprüft oder ggf. andere Schwerpunkte gesetzt werden müssen. Das Thema Datenmanagement bzw. Datenqualitätsmanagement gewinnt somit enorm an Bedeutung in den Instituten – nicht zuletzt durch die MaRisk-Anforderungen des AT 4.3.4. wird der von der Aufsicht geforderte Kulturwandel in den Instituten deutlich werden. Daten sind nicht mehr nur ein IT-technisches Gut, sondern stellen vielmehr einen wesentlichen Vermögenswert der Institute dar, der organisiert, qualitätsgesichert und validiert werden muss.

Daraus ergeben sich insbesondere folgende Handlungsfelder für die Institute:

  • Etablierung einer strukturierten Data Governance inklusive eines Konzeptes zur Verankerung von Verantwortlichkeiten für Daten und nicht zuletzt deren Qualität. Einbettung dieser Strukturen in einen Prozess zum nachhaltigen und kontinuierlichen Datenqualitätsmanagement sowie Aufbau einer Evidenzstelle zur Überprüfung der Einhaltung der Vorgaben.
  • Nachvollziehbare Dokumentation der Datenflüsse (front-to-end), um eine hinreichende Transparenz zur Auswertbarkeit der Daten zu ermöglichen (Data Lineage). Dazu gehört auch die eindeutige Festlegung von Namenskonventionen und Feldbeschreibungen (Data Dictionary).
  • Implementierung eines nachhaltigen und kontinuierlichen Datenqualitäts­managements sowie Etablierung eines Prozesses zur Bereinigung von Datenqualitätsmängeln

 

AT 4.3.4 Risikodaten

 

 

WP StB Michael Maifarth

Telefon    +49 69 9585 2318

Mobil       +49 170 786 5727

michael.maifarth@de.pwc.com

WP Matthias Eisert

Telefon    +49 69 9585 2269

Mobil       +49 160 895 3260

matthias.eisert@de.pwc.com

WP StB Marc Billeb

Telefon    +49 69 9585 2723

Mobil       +49 1757256447

marc.billeb@de.pwc.com

WP Anne Kristin Kuttert

Telefon    +49 69 9585 1421

Mobil       +49 1717652808

anne.kristin.kuttert@de.pwc.com

 

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

/* */