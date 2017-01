Finanzdienstleister müssen aufgrund gesetzlicher Vorgaben ihr Risikomanagement auf den neuesten Stand bringen. Was genau steckt dahinter? Und warum ist Datenmanagement dabei so wichtig?

Das Jahresende 2016 brachte Aufruhr in die IT-Abteilungen von Finanzdienstleistern: Mit der zum Dezember gültigen Novellierung ihrer Mindestanforderungen an das Risikomanagement, kurz MaRisk 2016, rief die BaFin Banken und Kreditinstitute dazu auf, ihre Risikosteuerungs- und -Controlling-Prozesse aktiv zu überarbeiten. Als Lehre dienten die während der Finanzmarktkrise gemachten Erfahrungen: Aufgrund fehlender oder inkonsistenter Daten waren Finanzinstitute oftmals nicht in der Lage, auf kritische Entwicklungen zu reagieren.

In den Fokus von MaRisk 2016 rückten somit u.a. Anforderungen an das Datenmanagement, die Datenqualität bei der Aggregation von Risikodaten und eine umfangreiche Berücksichtigung von IT-Risiken und IT-Outsourcing im Risikomanagement. Erweiterte Anforderungen an die Risikoberichterstattung sowie die Entwicklung einer wirksamen Risikokultur waren weitere Kernelemente der MaRisk-Novelle.

Umzusetzen sind die wesentlichen Punkte laut BaFin bis Ende 2017. Die Zeit läuft. Für das Gros der Finanzdienstleister und ihre CIOs bringen die Richtlinien von MaRisk 2016 vor allem eines – Handlungsdruck und den Um- und Ausbau ihrer IT- und Datensysteme. Ein Beispiel macht dies deutlich: Nach Auffassung der BaFin soll die in MaRisk aufgeführte Risikoberichterstattung zu einem wirksamen Steuerungsinstrument werden. Dazu müssen die Berichte auf vollständigen, konsistenten und aktuellen Daten beruhen. Diese müssen flexibel und – wenn erforderlich auch ad hoc – für die Erfordernisse des Risikomanagements aufbereitet werden können.

In der Praxis sieht dies heute noch anders aus: Verteilte Datenlandschaften sowie nebeneinander existierende, inkonsistente Daten zeigen vielfach, dass die Branche die geforderten Standards aktuell nicht optimal erfüllen kann. Sowohl kleinere als auch zahlreiche große Institute müssen zunächst Basis- bzw. Aufräumarbeit leisten, um die Qualität und Integrität ihrer Daten in gefordertem Maße sicherzustellen. Der Einsatz von Tracking-Tools, die die Datenqualität überwachen, würde jedoch zu kurz greifen. Denn die Handlungsfelder für die IT sind grundlegender Art: Es geht um die Harmonisierung der Risiko- und Finanzinfrastruktur, einen einheitlichen Datenhaushalt, automatisierte Risikoberichterstattung oder auch die Ad-hoc-Simulationsfähigkeit.

Eine einzige Wissensquelle



Um effizientes Risikomanagement und verlässliche Risikoberichterstattung zu gewährleisten, gilt es, eine Datenarchitektur aufzubauen, die sich aus einem einzigen „Point of Truth“ speist und deren Daten in multidimensionalen Datenbanken gespeichert werden. Derart zielgerichtete, effektive und revisionssichere Lösungen lassen sich nur mit Business-Intelligence-Werkzeugen realisieren, die auch OLAP-Anforderungen genügen.

Wie sieht nun ein mögliches IT-Szenario aus, das in der Praxis Bestand hat – und die MaRisk-2016-Anforderungen umfassend erfüllt? Im Idealfall gewährleistet es, dass alle im Unternehmen befindlichen und zur Erstellung des Risikoberichtes erforderlichen Daten in einem einheitlichen Datenhaushalt über automatisierte Schnittstellen zusammengeführt werden. Auf Basis des entstehenden Datenmodells wird es möglich, die erforderlichen Berichte „auf Knopfdruck“ zu erstellen. Dies gilt z.B. für die in MaRisk formulierten Stresstests. Alle Kennzahlen werden dabei zentral hinterlegt und stets zur Laufzeit ermittelt. Dies sorgt für eine hohe Aktualität und die Vermeidung von Fehlern. Neben den quantitativen Informationen, die bei Bedarf manuell angepasst werden können, sollte das System auch die Möglichkeit beinhalten, notwendige Kommentierungen vorzunehmen und zu dokumentieren. Somit lassen sich alle Prozessschritte und Veränderungen der Daten revisionssicher nachvollziehen und protokollieren.

Nur geringer Schulungsaufwand



Da die MaRisk-2016-Anforderungen zuweilen Aufwände für den Aufbau der notwendigen BI-Lösungen erfordern, sollte deren Nutzung durch die Endnutzer im Idealfall nicht noch eine weitere Hürde darstellen. Über die Datenqualität hinaus erfüllt eine optimale Software somit auch den Anspruch an die Usability: Verwendet die Software Microsoft Excel (oder wahlweise einen Webbrowser) als Frontend, haben die mit dem Risikomanagement betrauten Verantwortlichen nur einen geringen Schulungsbedarf und genießen Unabhängigkeit von der IT-Unterstützung.

Die Erfüllung der neuen Richtlinien bringt erhöhten Investitionsbedarf für Banken mit sich. Dies ist jedoch mehr Chance denn notwendige Pflicht: Gelingt es, das in MaRisk 2016 geforderte Risikomanagement als integriertes System in bestehende Controlling-Prozesse und -Anforderungen einzubinden, profitiert auf lange Sicht das gesamte Institut.

Wichtig ist hier jedoch eine dezidierte Expertise, die sowohl Branchen-Know-how als auch die IT-Fachlichkeit vereint. Noch mehr als die implementierte Software ist die Expertise und Beratung im Vorfeld der Schlüssel zur Lösung. Denn: Ein richtig gewählter Ansatz ermöglicht es, die Besonderheiten des jeweiligen Instituts, seine IT-Systeme und die Anforderungen von MaRisk 2016 in eine passgenaue BI-Lösung zu implementieren, die auf einer konsistenten Datenarchitektur basiert. Neben der Sicherstellung von aufsichtsrechtlichen Anforderungen bietet eine solche Lösung – als Wissensbank für das gesamte Berichtswesen – zudem Zeitersparnis, Fehlerreduktion, Sicherheit, Compliance und gesteigerte Transparenz. Mit der notwendigen Expertise als Voraussetzung ist dieses Vorhaben bereits in wenigen Monaten umgesetzt – ohne Verzögerungen im laufenden Betrieb.

Vor diesem Hintergrund entwickelte das Software- und Beratungshaus Cenit gemeinsam mit Riskmatic einen Beratungsansatz für das Risikomanagement bei Finanzdienstleistern. Zudem findet die Software-Plattform LRM Verwendung in Finanz- und Controlling-Abteilungen und bietet damit die Möglichkeit, das Risikomanagement als integriertes System in bestehende Controlling-Prozesse einzubinden.



