Risk Data Aggregation

Regulatorischer Hintergrund

"Aufgrund unzureichender Risikodaten- Aggregationskapazitäten und Verfahren zur Risikoberichterstattung konnten manche Banken ihre Risiken nicht ordnungsgemäß steuern – mit schwerwiegenden Folgen für die Banken selbst und für die Stabilität des gesamten Finanzsystems ..."

So lautet eine Einschätzung aus dem im Januar 2013 veröffentlichten Dokument „BCBS 239“ mit dem Titel "Principles for Effective Risk Data Aggregation and Risk Reporting". Das nachfolgende Self-Assessment der Institute in BCBS 268 bestärkt diese Befürchtungen der Aufsicht: „Zahlreiche Institute waren mangels geeigneter Berichtskapazitäten und Ad-hoc-Analysemöglichkeiten nicht in der Lage, Risikopositionen zeitnah zu aggregieren und Konzentrationen auf Konzernebene sowie über Geschäftsfelder und Konzerngesellschaften hinweg präzise zu identifizieren.“ 

Der Basler Ausschuss hat daher 14 Prinzipien formuliert, die das künftige Fundament für die automatisierte Erstellung von Berichten zur Risiko- und Ertragslage von Instituten bilden sollen. Die Prinzipien müssen bis 2016 in nationales Recht umgesetzt werden. Aufgrund der Bedeutung des Reportings sowie der hohen Anforderungen an die internen Prozesse sind die global und national systemrelevanten Institute der primäre Adressatenkreis. Entsprechend dem Proportionalitätsprinzip (MaRisk) ist zu erwarten, dass dies stufenweise in ähnlicher Form auch für kleinere Institute relevant werden wird. Dabei gilt unter anderem, dass die Institute alle Grundsätze der Aggregation von Risikodaten und der Risikoberichterstattung gleichzeitig erfüllen müssen. 

Faktisch zeigen die quer zu Meldepflichten und internen Reports liegenden Anfragen der Aufsicht (z.B. in Stresstests oder Prüfungen), dass auch die weniger großen Institute sich aktuell mit dem Thema befassen sollten.

Zeitplan für die Umsetzung

Einordnung der Prinzipien

Die Prinzipien lassen sich übergreifend in vier Kategorien zusammenfassen:  

  1. Unternehmensführung – Infrastruktur
    1. Governance 
    2. Datenarchitektur und Infrastruktur
  2. Risikodaten-Aggregationskapazitäten
    1. Genauigkeit und Integrität
    2. Vollständigkeit
    3. Aktualität
    4. Anpassungsfähigkeit
  3. Fähigkeit zur Risikoberichterstattung
    1. Genauigkeit der Reports
    2. Abbildung aller wesentlichen Risikobereiche
    3. Klarheit und Nutzen der Berichte
    4. Häufigkeit der Berichterstellung
    5. Verbreitung der Reports
  4. Aufsichtliche Maßnahmen
    1. Überprüfung der Einhaltung der Grundsätze
    2. Einsatz von Instrumenten und Ressourcen zur effektiven und zeitnahen Korrektur von Mängeln einer Bank
    3. grenzüberschreitende Zusammenarbeit der Aufsichtsinstanzen mit den Behörden anderer Länder

Selbst bei zentralisierten Datenhaushalten (in komplexen Konzernverbünden eher selten) haben sich bei vielen Banken für das Reporting IDV-basierte Zusatzprozesse ergeben. Diese sind zwar für Einzelanalysen geeignet. Den Anforderungen an ein zeitnahes, flexibles und qualitätsgesichertes Standard- und Ad-hoc-Berichtswesen werden Sie indes nicht gerecht. 

Im Sinne einer klassischen Business-Intelligence-Lösung lassen sich Anforderungen an die unterschiedlichen Reporting-Ebenen wie folgt darstellen:

Zusammenfassend zielen 11 von 14 Prinzipien auf die Verbesserung der Analyseschicht und des Reportings (siehe gelbe Umrandung). Die Einordnung der in BCBS 239 genannten Prinzipien erfolgte anhand der Schichten einer klassischen Reporting-Architektur mit den Ebenen [Vorsysteme], [Aufbereitung], [Speicherung] sowie [Analyse & Reporting].

Übersetzung der Prinzipien

Übergreifende Steuerung und Infrastruktur

Potenzielle Datenqualitätsrisiken müssen als Bestandteil des Risikomanagements identifiziert, bewertet und schließlich gesteuert werden. Für eine qualitätsgesicherte Risikodatenaggregation und Risikoberichterstattung ist die Bereitstellung einer geeigneten Daten- und Reportingarchitektur eine grundlegende Voraussetzung. Es empfiehlt sich die Implementierung einer integrativen und institutsweiten Plattform zur Zusammenführung (Aggregation) von Risikodaten. 

Dies wird durch folgende Maßnahmen erreicht:   

  • Eindeutige Datentaxonomien 
  • Klar abgegrenzte Verantwortlichkeiten 
  • Funktionierende Notfallplanung 
  • Skalierbar und flexibel anpassbares Datenmodell 
  • Standardisierte und aufsichtlich abgestimmte Prozesse - 
    sie müssen die Konsistenz und Verlässlichkeit der verwendeten Daten sicherstellen
  • Geeignete Verantwortlichkeiten - 
    sie müssen bis in die Unternehmensführung festgelegt werden
  • Zuliefernde Bereiche wie das Risikomanagement, Meldewesen, Rechnungswesen sind bereits auf der Ebene der fachbereichseitigen systembasierten Zulieferungen einzubeziehen
  • Übergreifend müssen die Prozesse der Datenbereitstellung für die institutsweite Plattform zur Risikodatenaggregation mit Blick auf die geforderte Zeitnähe und Aktualität der Daten optimiert werden

Leistungsfähigkeit der Risikodatenaggregation

Zu gewährleisten ist die Verfügbarkeit aggregierter Risikodaten auf Gruppenebene, damit sie sich anhand von Geschäftsbereichen, Ländern und anderen Entitäten flexibel auswerten lassen. Zudem wird von den Aufsehern die Sicherstellung einer Ad-hoc-Berichterstattung bei geänderten internen oder externen Rahmenbedingungen und Anfragen der Aufsicht gefordert. 

Als maßgeblich für den Aufbau eines zentralen Datenbestandes gilt: 

  • Datenqualitätssicherung erfolgt durch die Fachbereiche
  • Datendefinitionen und Taxonomien sollten fachbereichsübergreifend festgelegt werden
  • Instituts-/ konzernweit einheitliche Datendefinitionen und -prozesse sollten etabliert werden 
  • Manuelle Prozesse sowie der Rückgriff auf IDV sind zu minimieren.
  • Separater Datenhaushalt mit Anbindung an verschiedene Quellsysteme ist empfehlenswert
  • Wichtig ist, dass die heterogenen Daten in der zentralen Reportingplattform (verstanden als "Single Point of Truth") in harmonisierter Form persistent abgelegt werden, um optimale Berichtsergebnisse zu erzielen

Methoden der Risikoberichterstattung

Risikorelevante Berichte müssen Risikodaten aller wesentlichen Risikobereiche genau und präzise vermitteln. Dabei müssen Informationen zu Positionen und Engagements in allen wesentlichen Risikobereichen (z.B. Kredit-, Markt-, Liquiditäts- und operationelles Risiko) sowie zu allen bedeutenden Komponenten dieser Risikobereiche (beim Kreditrisiko beispielsweise Einzeladressen-, Länder- und Branchenrisiken) berücksichtigt werden. 

Um die RDA-Berichte schnell analysieren zu können, wird eine übersichtliche und prägnante sowie gleichzeitig umfassende und genaue Darstellungsform gefordert. BI-Systeme liefern hierfür die erforderliche Funktionalität in Form einer bereichsübergreifenden zentralen Plattform: 

  • Berichte lassen sich hier zu RDA-Berichts-Clustern gruppieren
  • Zu beachten sind Verständlichkeit und qualitative Erläuterung der Risikokennzahlen
  • Flexible Berichtsverteilung in puncto Frequenz, Empfängerkreis und Risikoart
  • Die Berichterstattung muss proaktiv und zukunftsorientiert erfolgen  
  • Die Umsetzung muss auf entsprechende Frühwarnkapazitäten abzielen  
  • Datenqualitätssicherungen auf Basis standardisierter Anforderungen und Prozesse sollen sowohl mittels integrierter automatisierter als auch manueller Änderungs- und Plausibilitätsprüfungen umgesetzt werden 
  • Ad-Hoc-Abfragen und Risikoanalysen müssen bis auf Transaktionsebene erfolgen
  • Die Ausgestaltung der Berichte erfolgt in Tabellen, Grafiken und Dashboards (grafische Benutzeroberfläche, in der sich Kennzahlen in konsolidierter Form veranschaulichen und analysieren lassen)
  • Zukunftsorientierte Berichterstattung durch Broadcasting-Funktionen oder einer BI-basierten Frühwarnkomponente müssen implementiert werden

Aufsichtliche Prüfung – Werkzeuge – Kooperation

Zur Einhaltung der aufsichtlichen Grundsätze müssen die aufsichtlichen Reportingvorgaben regelmäßig hinsichtlich ihres Umsetzungsstands und Erweiterungsbedarfs überprüft werden. Die zugrundeliegende BI-Architektur muss ebenfalls einem regelmäßigen Review-Prozess unterzogen werden.  

  • Es wird eine grenzübergreifende Zusammenarbeit der Aufsichtsbehörden angestrebt
  • Sie zielt auf die effektive Kontrolle überregionaler und international tätiger Institute
  • Die Aufsicht verfügt über geeignete Korrektur- und Sanktionsmöglichkeiten
  • Forderungen werden erfüllt, indem alle RDA-Stakeholder (Risikomanagement, Meldewesen, Rechnungswesen etc.) jederzeit auf historisierte Daten zugreifen können

Best Practice Beispiel

Zur Schaffung einer einheitlichen Datenbasis und zur Aggregation von risikorelevanten Daten kann es hilfreich sein, instituts- oder ggf. konzernweite Datentaxonomien vorzugeben. Im Rahmen des von den Instituten durchgeführten Self-Assessments (BCBS 268) hat sich gezeigt, dass gerade in diesem Bereich große Defizite bestehen. Ein gangbarer Ansatz ist die Festlegung einheitlicher, fachbereichsübergreifend gültige Identifier und Begriffsabgrenzungen auf Metadatenebene. Dies beinhaltet auch die eindeutige Kennzeichnung von Stichtagen, Meldeeinheiten, Forderungsklassen, der Kontrahenten und der verschiedenen Kennzahlen (hier am Beispiel eines Standardoffenlegungsberichts).

 

Ziel der Nutzung eines Risikoreporting-Systems ist es, alle wesentlichen unternehmensbezogenen Risikokategorien (Risikoarten) aus unterschiedlichen Blickrichtungen zu beleuchten. Das Risikoreporting stellt somit ein zentrales Instrument für die risikoorientierte Gesamtbanksteuerung dar.

Einbeziehung der RDA Prinzipien am Beispiel eines Risikoreports: 

  • Daten entstammen einem Berichtsset der Säule III 
  • Aufteilung nach Länderclustern d.h. geografischen Hauptgebieten
  • Wichtigste Forderungsarten separat aufgeführt 
  • Ermöglicht die Identifizierung geografischer Verteilungen von Exposures und die damit verbundenen Länder- bzw. systemischen Risiken 
  • Drilldown und Detailanalyse der eingegangenen Risiken bis auf Länderebene 
  • Berichtsobjekte bequem per Drag-and-Drop hinzuzunehmen oder zu entfernen 
  • Flexibilität durch Anordnungsänderung der dargestellten Berichtsobjekte (Dimensionen), um das Datenmaterial aus unterschiedlichen Blickwinkeln betrachten zu können (sog. "Dicing")
  • Drill-Down, Drill-Through, Drill-Across sowie Roll-Up per Anklicken der entsprechenden Merkmalsausprägung
  • Verschiedenste grafische Darstellungen
  • Export in Excel- oder PDF-Formate 

Zusammenfassung. Potenziale. Ausblick.

Die Grundsätze in BCBS 239 werden die Kreditinstitute vor die große Herausforderung stellen, ihre Reporting-Architektur an die neuen Anforderungen anzupassen. Hierbei steht die Verbesserung der Reporting-Infrastruktur von Banken durch eine performante und ressourcenschonende Informationsbereitstellung sowie die Entscheidungsfindung mit dem Ziel der Reduzierung von Verlustrisiken im Vordergrund.

Implementierung einer institutsweiten Plattform zur Aggregation von Risikodaten: 

  • Separater, für das Reporting optimierter Datenhaushalt
  • Anbindung an heterogene Quellsysteme 
  • Multidimensionales Vorhalten risikorelevanter Informationen in harmonisierter Form (Single Point of Truth")
  • Datenkonsistenz (wird durch einen Datenqualitätsprozess sichergestellt)
  • Im Standardreporting sind regelmäßig wiederverwendbare Berichte zu einem Berichtset zusammengefasst 
  • Im Ad-hoc-Reporting lassen sich weitere Risikoanalysen ableiten
  • Flexible Berichtdarstellungsformen (Tabellen, div. Visualisierungen)
  • Proaktive Berichte (eignen sich als Frühwarnkomponenten)
  • Berichte und Analysewerkzeuge stehen allen RDA-Stakeholdern zur Verfügung 
  • Vorteil der BI-Lösung:
    • Hohe Technisierung und Automatisierung der Risikodatenaggregation und Risikoberichterstattung bei 
    • gleichzeitig breiter Datenqualitätskontrolle unter Einbeziehung aller in den Datenprozess involvierten Quellsysteme und Fachbereiche