Konkretisierung der Anfor­derungen aus AT 4.3.4 MaRisk

-
24. November 2016
-
Uwe Fingerlos, Guido Golla und Alexander Pastwa

In Ausgabe 06 (2016) des RISIKO MANAGER wurde thematisiert, welche Herausforderungen eine Auslagerung von bankfachlichen Prozessen im Hinblick auf das Daten-Monitoring im zentralen Berichtswesen bietet. Die hierfür zu beachtenden Anforderungen an Auslagerungslösungen und an die Überwachung ausgelagerter Aktivitäten und Prozesse werden in Abschnitt AT 9 der zu Beginn des Jahres 2016 auf den Weg gebrachten Novellierung der „Mindestanforderungen an das Risikomanagement von Banken und Finanzdienstleistungsinstituten“ (MaRisk) konkretisiert. Solange die „Ordnungsmäßigkeit der Geschäftsorganisation“ gemäß § 25a Abs. 1 Kreditwesengesetz(KWG) nicht beeinträchtigt wird, können derartige Auslagerungen in einem Umfang vorgenommen werden, der gewährleistet, dass ein Institut über fundierte Kenntnisse und Erfahrungen verfügt, die bei Beendigung des Auslagerungsverhältnisses oder Änderungen der Gruppenstruktur auch weiterhin einen ordnungsmäßigen Betrieb erlauben.

Zudem beinhalten die novellierten MaRisk einen neuen Abschnitt „AT 4.3.4 Datenmanagement, Datenqualität und Aggregation von Risikodaten”, dessen konsequente Umsetzung entsprechende Vereinfachungen bei der Auslagerung von bankfachlichen Prozessen verspricht und der für systemrelevante Institute („große und komplexe Institute”) gelten soll [vgl. Bundesanstalt für Finanzdienstleistungsaufsicht (2016), S. 19 f.; Basler Ausschuss für Bankenaufsicht (2013), S. 1 ff., Hofer (2016), S. 16 ff.]. Die damit zusammenhängenden Anforderungen betreffen die Herstellung und Aufrechterhaltung der Datenqualität und sind Gegenstand des vorliegenden Artikels. Zunächst wird der gesamte Anforderungskatalog des AT 4.3.4 vorgestellt und aufgezeigt, wie angesichts einer fehlenden Definition die Mindeststandards in Bezug auf Datenqualität eingehalten werden können. Als Abhilfe hierfür werden exemplarisch mögliche Prüfgrößen thematisiert, worauf eine Zusammenfassung und ein Ausblick folgen.

Neuer Anforderungskatalog in AT 4.3.4
Der neue Anforderungskatalog der MaRisk zu „Datenmanagement, Datenqualität und Aggregation von Risikodaten” (AT 4.3.4) ist in sieben Anforderungskomplexe gegliedert, die eine End-to-End-Betrachtung von der Definition von Regeln und Zuständigkeiten bis hin zu einer unabhängigen Überprüfung umfassen [Bundesanstalt für Finanzdienstleistungsaufsicht (2016)]. Die folgenden Ausführungen systematisieren diese Anforderungen.

Anforderung I – Aggregation von Risikodaten: Institut- und gruppenweit geltende Regeln für das Datenmanagement, die Datenqualität und die Aggregation von Risikodaten sind zu definieren. Diese Regeln sind sowohl auf Gruppenebene als auch auf Ebene der Einzelinstitute gültig und von der Geschäftsleitung zu genehmigen und in Kraft zu setzen. Die Aggregation von Risikodaten beinhaltet die gesamte Prozesskette von der Erfassung über die Verarbeitung bis zur Auswertung von Risikodaten und die damit verbundene Berichterstellung.

Anforderung II – Datenstruktur und Datenhierarchie: Eine zweifelsfreie Identifizierbarkeit, Zusammenführbarkeit und Auswertbarkeit von Risikodaten muss gewährleistet sein. Dies verlangt die Festlegung von einheitlichen Namenskonventionen und Kennzeichnungen von Daten, die auch entsprechend zu kommunizieren sind. Bei unterschiedlichen Konventionen und Kennzeichnungen müssen die Daten automatisiert ineinander überleitbar sein.

Anforderung III – Auswertbarkeit nach verschiedenen Kategorien: Die Genauigkeit und Vollständigkeit von Risikodaten und deren Auswertbarkeit nach verschiedenen Kriterien müssen gegeben sein. Die Risikodaten müssen nach unterschiedlichen Risikokategorien sowie nach Geschäftsfeld, Konzerngesellschaft, Art des Vermögenswerts, Branche, Region usw. auswertbar sein. Dabei steht eine möglichst automatisierte Aggregation im Vordergrund, während manuelle Prozesse auf ein notwendiges Maß zu beschränken sind. Darüber hinaus sind die Datenqualität und Datenvollständigkeit anhand geeigneter Kriterien laufend zu überwachen, die von den Instituten in internen Anforderungen formuliert werden müssen.

Anforderung IV – Andere im Institut vorhandene Informationen: Abgleichs- und Plausibilisierungsmöglichkeiten von Risikodaten mit anderen Informationen müssen vorhanden sein. Dies zielt auf Verfahren und Prozesse zum Abgleich der Risikodaten und der Daten in den Risikoberichten ab, die es erlauben, Datenfehler und Schwachstellen in der Datenqualität zu identifizieren. Hier ist insbesondere auf andere in den Instituten vorhandene Informationen wie Daten aus dem Rechnungs- und Meldewesen zurückzugreifen.

[Den vollständigen Artikel lesen Sie in der Fachzeitschrift RISIKO MANAGER 10/2016. Die Ausgabe ist seit dem 26. Oktober 2016 lieferbar und kann auch einzeln bezogen werden.]

Jetzt diesen Artikel bei GBI GENIOS bestellen! 

Autoren:
Dr. Uwe Fingerlos, Senior Consultant, Deloitte GmbH.
Dr. Guido Golla, Director, Deloitte GmbH.
Dr. Alexander Pastwa, Senior Manager, Deloitte GmbH.

Bildquelle: ©Witaya_Ratanasirikulchai / istockphoto.com