“Leitfaden für effektive Risikodatenaggregation und Risikoreporting (RDARR)” der Europäischen Zentralbank (EZB)
Eine effektive und nachhaltig-robuste Verwaltung und Aggregation von risikobezogenen Daten ist entscheidend für fundierte Entscheidungen und eine starke Risikosteuerung. Das haben insbesondere die Finanzkrise von 2008 und nachfolgende Ereignisse wie die globale Pandemie verdeutlicht.
Genaue Daten können die Digitalisierung verbessern, das Risikomanagement stärken und die strategische Steuerung erleichtern, was zu höheren Einnahmen und größerer Rentabilität führt. Des Weiteren können durch eine hohe Datenqualität Betriebs- und IT-Kosten durch Automatisierung und Modernisierung reduziert werden.
Seit 2016 hat die EZB die Governance und Qualität von Risikodaten priorisiert und entsprechend thematische Überprüfungen und Vor-Ort-Inspektionen durchgeführt. Es wurden dabei erhebliche Mängel in der Daten-Governance und Risikoberichterstattung festgestellt. Trotz verstärkter Aufsicht sind die Fortschritte unzureichend, was zu anhaltenden Defiziten in den RDARR-Praktiken führt. Entsprechend hat die EZB-Bankenaufsicht Mängel im RDARR als eine der wichtigsten Schwachstellen bei der Planung der Aufsichtsprioritäten identifiziert und eine umfassende, zielgerichtete Aufsichtsstrategie für die kommenden Jahre entwickelt.
Erwartungen der Aufsicht
Der Leitfaden spezifiziert die Mindesterwartungen der Aufsicht und beschreibt notwendige Praktiken für effektive Risikodatenprozesse. Wichtige Fokusbereiche umfassen:
- Verantwortung des Managements
- Das Management muss die Umsetzung der strategischen Ziele, Risikostrategien und internen Governance regelmäßig anhand definierter KPIs überwachen.
- Sicherstellung der Verantwortlichkeit und der notwendigen Kenntnisse (im Management Team und der gesamten Organisation) für die Qualität und Governance von Risikodaten im Rahmen des gesamten Risikomanagements.
- Priorisierung von RDARR und Zuweisung angemessener Ressourcen.
- Anwendungsbereich
- Festlegung eines Data Governance Frameworks, das dem Finanzinstitut ermöglicht, Risiken zu identifizieren, zu steuern, zu überwachen und zu melden.
- Hinsichtlich der im Finanzinstitut verwendeten Modelle soll das Framework insbesondere Risikomodelle abdecken, wie zum Beispiel regulatorische Kapitalmodelle der Säule 1 (IRB Modelle), Risiko und Kapitalmodelle der Säule 2 und andere wichtige Risikomodelle wie IFRS9 und value-at-risk Modelle. Dabei sollen sowohl Inputdaten für die Modellentwicklung sowie deren Ergebnisse berücksichtigt werden.
- In Bezug auf die wichtigsten Risikoindikatoren soll der Umfang mindestens die Risikoappetitindikatoren des Finanzinstitutes umfassen.
- Das Data Governance Framework soll mindestens die folgenden Berichte abdecken:
- Das interne Risikoberichtswesen, was sowohl Indikatoren und Limite für den Risikoappetit berücksichtigt, und sämtliche wesentlichen Risikoarten beinhaltet.
- Die extern veröffentlichten Finanzberichte sowie Jahresabschlüsse.
- Aufsichtsberichte, die an die Finanzaufsicht oder Regulierungsbehörden übermittelt werden (z.B. FINREP, COREP, EBA-Stresstest)
- Effektives Daten-Governance-Framework
- Eine klare Definition von Rollen und Verantwortlichkeiten ist notwendige Bedingung für einen effektiven Governance- und Kontrollprozess, dazu zählen mindestens
- Dateneigentümer, die für wichtige Risikoindikatoren und kritische Datenelemente verantwortlich sind.
- Die zentrale Data Governance Funktion, die für die Herausgabe von Richtlinien, die Überwachung der Umsetzung, das Monitoring der Datenqualität und ein angemessenes Changemanagement verantwortlich ist.
- Die Validierung innerhalb der 2nd line of defence, die unabhängig sicherstellt, dass die RDARR-Prozesse des Instituts wie vorgesehen funktionieren.
- Die interne Revision, die regelmäßig unabhängige Überprüfungen der Validierungsfunktion, des Daten-Governance-Frameworks, der RDARR-Fähigkeiten und -Prozesse sowie der Qualität der zur Quantifizierung von Risiken verwendeten Daten vornimmt.
- Eine klare Definition von Rollen und Verantwortlichkeiten ist notwendige Bedingung für einen effektiven Governance- und Kontrollprozess, dazu zählen mindestens
- Integrierte Daten Architektur
- Um die Datenqualität zu sichern, soll eine integrierte Daten Architektur implementiert und dokumentiert sein.
- Ein Data Dictionary mit Definitionen, Dateneigentümern, Validierungsregeln und Data Lineage Informationen ist notwendig.
- Gruppenweites Datenqualitätsmanagement und Standards
- In den übergeordneten Rahmenwerken sollen Richtlinien und Prozesse etabliert werden, die sicherstellen, dass die Datenqualitätskontrollen effektiv und vollständig sind, wesentliche Probleme behoben werden und Einschränkungen transparent gemacht werden.
- Die Richtlinien sollen folgendes umfassen:
- Implementierung von Datenqualitätskontrollen
- Definition, Messung und Reporting von Datenqualitätsindikatoren
- Register über Datenqualitätsprobleme und -einschränkungen
- Integration von Endanwender-Anwendungen in Prozesse
- Dokumentation manueller Workarounds
- Berücksichtigung von Datenqualitätsrisiken in ICAAP und ILAAP
- Aktualität des internen Risiko Reportings
- Die EZB erwartet, dass die Kombination aus Berichtsfrequenz und Erstellungszeit so kalibriert ist, dass zeitnahe Reaktionen auf Änderungen der Risikolage möglich sind und so den internen Risikoappetitindikatoren (Kennzahlen und Limite) entspricht.
- Die Aktualität des Risikoreportings wird zum einen von der Häufigkeit und zum anderen von der benötigten Zeit zur Erstellung bestimmt.
- Die Häufigkeit der Berichte soll mit der Dynamik potenzieller Änderungen der Risikozahlen übereinstimmen.
- Je länger man für die Erstellung eines internen Risikoberichts benötigt, umso länger bleibt die Risikolage unklar und umso höher ist die Wahrscheinlichkeit verzögerter Reaktionen.
- Zusätzlich zu einem beständigem Berichtswesen in normalen Situationen sollen die Institute wirksame RDARR-Funktionen für Stress- oder Krisensituationen implementieren, um unerwartete Stressereignisse (z.B. COVID-19-Pandemie) angemessen zu bewältigen.
- Effektive Implementierung
- Institute, die die in den BCBS-239-Grundsätzen beschriebenen Best Practices noch nicht befolgen, sollten entsprechende realistische und umsetzbare Implementierungsmaßnahmen ergreifen.
- Die Maßnahmen sollten alle Schwächen beseitigen, die durch interne oder externe Prüfungen festgestellt wurden.
- Die Implementierung soll durch ein angemessenes Projektmanagement gesteuert werden.
- Implementierungsaktivitäten sollten ihre potenziellen Auswirkungen auf interne Modelle, Interaktionen und Abhängigkeiten der Risikodaten-aggregation mit der Integration von Finanzberichterstattung und der allgemeinen Geschäfts- und IKT-Strategie berücksichtigen.
Auswirkungen
Das Arbeitsprogramm der EZB umfasst zusätzliches gezieltes Engagement mit einem klaren Fokus auf ausgewählte Bereiche. Insbesondere hervorgehoben wird die Verantwortung der Leitungsorgane für die Aufsicht über Governance und Ausführung, horizontales Benchmarking der Ergebnisse aus Offsite- und Onsite-Aktivitäten anhand der im Leitfaden geäußerten Erwartungen und einen verstärkten Fokus auf die Datenqualität der Aufsichtsberichterstattung der Institute.
Werden diese Anforderungen und Fristen von Instituten nicht eingehalten oder werden wesentliche Mängel festgestellt, die gegen die geltenden Regularien verstoßen, wird die Angelegenheit weiter eskaliert und kann möglicherweise beispielsweise zur Verhängung von Durchsetzungsmaßnahmen, Sanktionen und Kapitalaufschlägen führen.
Da das Leitungsorgan für die Umsetzung wirksamer und umsichtiger Governance-Regelungen verantwortlich ist, können Mängel in diesen Bereichen auch zu einer Neubewertung der Eignung der verantwortlichen Mitglieder und in schwerwiegenden Fällen zur Entfernung dieser Mitglieder führen.
Zusammenfassung und Schlussfolgerungen
Der Leitfaden betont die Notwendigkeit, dass bedeutende Institute (significant institutions) erhebliche Fortschritte bei der Verbesserung ihrer RDARR-Fähigkeiten machen. Die EZB erwartet, dass die Institute sich an den BCBS 239-Prinzipien ausrichten und die aufgeführten Aufsichtserwartungen einhalten, wobei dieser Leitfaden zusammen mit den geltenden EU- und nationalen Gesetzen berücksichtigt wird.
Das Dokument zielt darauf ab, einen umfassenden Rahmen zu definieren, um strukturelle Mängel in den RDARR-Praktiken zu beheben und so die Stabilität und Widerstandsfähigkeit von Finanzinstituten insgesamt zu erhöhen.
Insbesondere der Hinweis auf mögliche Reaktionen der ECB bei weiterhin auftretenden Mängeln ist deutlich: Es wird klar darauf hingewiesen, dass als Maßnahme die “Neubewertung der Eignung” von Geschäftsleitern und in schweren Fällen “die Entfernung solcher Mitglieder” aus dem Management zählen.
Zu empfehlen ist daher eine Gap-Analyse, deren erste Überprüfung die Einhaltung der relevanten Richtlinien bestätigt und Lücken identifiziert. Auf dieser Basis kann ein Umsetzungsplan zum Schließen der Lücken unter Berücksichtigung der Größe und der Komplexität des Finanzinstituts definiert werden.
Lesen Sie den kompletten Leitfaden hier