Digitalisierung der Risikoberichterstattung

-
22. November 2017
-
Von Peter Nuding, Stephan Schmid

In Folge der Verabschiedung der Baseler Anforderungen zur Risikodatenaggregation und Risikoberichterstattung (BCBS239) wurden in den betroffenen Banken umfangreiche Projekte zur Erfüllung der Anforderungen gestartet. Der Fokus der Aktivitäten lag dabei im Schwerpunkt auf der Risikodatenaggregation und weniger auf den Prozessen zur Risikoberichterstattung. Mit dem in Konsultation befindlichen Entwurf zur MaRisk Novelle wird ein Teil der BCBS239-Anforderungen – die im neuen BT 3 gebündelten Anforderungen an die Risikoberichterstattung – für alle Banken und Finanzdienstleister gültig werden.

Status quo
Die in den Banken aufgesetzten Projekte waren beziehungsweise sind sehr budget-
intensiv, komplex und langlaufend. Kritisch hierbei war, innerhalb der ambitionierten Zeitspanne alle Risikodaten unter Einhaltung aller BCBS239-Prinzipien zu aggregieren und in einem Data Warehouse zur Verfügung zu stellen. Die darauf aufsetzenden Prozesse zur Erzeugung der Risikoberichte wurden meist nicht betrachtet oder sind aus Budget- und Zeitgründen wieder aus dem Fokus genommen worden. Bildlich gesprochen wurde in ein bestehendes Fahrzeug ein neuer Motor eingesetzt. Karosserie, Fahrwerk und Bremsen wurden aber unverändert belassen, in der Hoffnung, so besser, beziehungsweise schneller fahren zu können.

In vielen Banken blieben damit trotz BCBS239 die Reporterstellungsprozesse und das Reportmedium „Papier“ weitestgehend unverändert. Nachdem die Daten im Data Warehouse bereitgestellt werden, erfolgt in vielen Häusern nach wie vor ein Export der Reporting-Rohdaten in die IDV (individuelle Datenverarbeitung) und damit häufig nach Excel. Dort werden die Daten veredelt, Zwischensummen oder Verhältniszahlen gebildet und Grafiken erzeugt. Die so gebildeten ersten Berichtszahlen werden dann per Makro in PowerPoint importiert und damit erste Inhalte für die Berichtsabstimmung und -kommentierung generiert. Es erfolgt ein langwieriger Abstimmungsprozess bzgl. der Zahlen, Analysen und Kommentierungen. Aufträge hierzu werden telefonisch, per Mail oder handschriftlich erteilt. In diesen Prozess sind bereits die Führungskräfte der ersten und zweiten Ebene mit einbezogen. Im Ergebnis erhalten die „Kunden“ – hier der Vorstand – denselben Papierberg wie bisher, nur etwas früher und qualitativ hochwertiger. Evtl. erfolgt auch bereits ein Versand des Berichts als PDF auf die Tablets der Berichtsempfänger. Eine spürbare qualitative und prozessuale Verbesserung ist durch das unveränderte Medium Papier nur begrenzt darstellbar.

Schwächen des Reportingprozesses
Die Autoren haben in einem Projekt genau die oben aufgeführten Schwächen analysiert und Lösungen geschaffen, auch den Reportingprozess State-of-the-Art abzubilden. Die identifizierten Schwächen lassen sich wie folgt clustern:

Prozessuale Schwächen
» Abstimmungen erfolgen offline, manuell und nur papiergebunden.

» Administrative Aufgaben binden unnötig hochbezahlte Ressourcen (Kopieren, Kontrollieren, Grafiken ausrichten und hübsch machen) und langweilen die betroffenen Mitarbeiter.

» Das Zusammenarbeiten aller Beteiligten am Risikoberichtserstellungsprozess ist in der Regel asynchron und erfolgt oftmals über den Leiter Risikomanagement. Dies führt zu zeitlichen Verzögerungen beziehungsweise hohen Belastungen, und es besteht die Gefahr des Informationsverlusts beziehungsweise mehrerer Iterationsrunden.

» Das notwendige Aufsetzen der IDV-Prozesse bindet wiederum in hohem Maße Kapazitäten und ist damit teuer. Sollten die IDV-Prozesse nicht eingerichtet sein, sind entsprechende Monita bei der nächsten aufsichtlichen Prüfung zu erwarten.

Technologische Schwächen
» Medienbrüche (DWH – Excel – Papier – PowerPoint – Papier).

» Die Dokumentation der Abstimmung ist sehr zeitintensiv oder gar unmöglich.

» Die Einhaltung der MaRisk-Anforderungen zu IDV ist aufwändig und teuer. Verschiedene Anforderungen aus Sicherheitsaspekten, wie beispielsweise Zellschutz oder Formelschutz, sind schwer umzusetzen und zu prüfen.

» Das Potenzial des DWH kann nur schwer und indirekt genutzt werden. Geänderte Anforderungen können nur durch IT-Aufträge in Releases umgesetzt werden. Es besteht keinerlei Flexibilität.

» Keine Self-Service Analytics möglich – alle Zahlen und Ergebnisse sind fest beziehungsweise „ausgedruckt“.

» Die integrierte Nutzung von Zusatzinformationen ist unmöglich. Recherchen zu Fragestellungen aus dem Risikobericht können nicht direkt aus der Berichtsbearbeitung erfolgen.

Bewertung
Mithilfe von IDV-Lösungen, wie Excel und PowerPoint, kann das Potenzial moderner Data Warehouses nicht erschlossen werden. Zudem steckt in den bisherigen Prozessen ein hoher Kostenfaktor, welcher mithilfe moderner Technologien reduziert werden kann – bei gleichzeitigen qualitativen Verbesserungen. Und nicht zuletzt ist der Risikobericht das „Produkt“ des Bereichs Risikomanagement mit der größten Außenwirkung und damit die Visitenkarte. Diese sollte nicht nur aus bunt bedrucktem Papier bestehen.

(...)

[Den vollständigen Artikel lesen Sie in der Fachzeitschrift RISIKO MANAGER 10/2017. Die Ausgabe ist seit dem 25. Oktober 2017 lieferbar und kann auch einzeln bezogen werden.]

Autoren:
Peter Nuding, Senior Manager und Stephan Schmid, Managing Partner, beide plenum AG Management Consulting.

Artikelbild: ©eyetronic - stock.adobe.com