EZB setzt Datenregeln für Banken fest
EU-Behörde fordert Banken zur Überarbeitung ihrer Risikodatensysteme bis 2025 auf – bei Nichteinhaltung drohen empfindliche Strafen
Die EZB hat einen Leitfaden veröffentlicht, der die Anforderungen an die Datenqualität für Risikobewertung, Analyse und Entscheidungsfindung neu definiert. Er ist der zentrale Baustein des Arbeitsprogramms der EZB für 2023-2025 und erhöht den Druck auf die Führungsgremien von Banken und Kreditinstituten. Die Folgen bei Nichteinhaltung sind gravierend.
In ihrem ,Guide on effective risk data aggregation and risk reporting’ übt die Bankenaufsicht deutliche Kritik: „Die Institute konzentrieren sich weiterhin auf die Kosten und Umsetzungsprobleme […] anstatt die Vorteile der Beseitigung langjähriger Mängel zu erkennen.“
Die EZB weist auf Defizite in den “Regulations on Data Asset Registration and Reporting” (RDARR) hin. Laut der Behörde sind viele Institute noch weit von dem geforderten Zielzustand entfernt.
Die EZB hat nun eine umfassende Aufsichtsstrategie für 2023-2025 entwickelt, um diese Probleme anzugehen. Sie erwartet von den Instituten zu prüfen, ob ihre Daten-Governance-Rahmenwerke den geltenden rechtlichen Vorgaben entsprechen.
Das Leitungsorgan ist verantwortlich für die Überwachung der strategischen Ziele, der Risikostrategie und der internen Governance. Außerdem für Aufbau und Pflege eines soliden Daten-Governance-Rahmenwerks, das die Datenqualität auf Genauigkeit, Integrität, Vollständigkeit und Aktualität in normalen sowie Stressphasen prüft.
Es müssen Mitglieder ernannt werden, die diese Aufgaben überwachen, und es muss sichergestellt werden, dass Risikoberichte qualitative und quantitative Informationen enthalten. In die Prozesse sollten die Leiter Risikomanagement, Compliance und interne Revision einbezogen werden.
Institutionen müssen ein Daten-Governance-Rahmenwerk etablieren, das auf alle wesentlichen rechtlichen Einheiten, Risiken, Geschäftsfelder sowie auf die Finanz- und Aufsichtsberichterstattung angewendet wird. Dies umfasst die Verwaltung von Daten über den gesamten Lebenszyklus hinweg – von der Entstehung bis zur Berichterstattung.
Eine klare Zuweisung der Verantwortlichkeiten ist entscheidend, um die Anforderungen an eine effektive Daten-Governance zu erfüllen. Diese Frameworks sollen in detaillierten internen Richtlinien festgeschrieben sein, die alle relevanten Prozesse abdecken. Dazu gehören Funktionen wie Datenverantwortliche, eine zentrale Governance-Einheit, eine Validierungsfunktion sowie die interne Revision. Die Richtlinien müssen auf Führungsebene genehmigt und regelmäßig überprüft werden, um sicherzustellen, dass sie den EZB-Anforderungen im Hinblick auf interne Verfahren zur Kapitalausstattung sowie Bewältigung von Umwelt- und Finanzrisiken gerecht werden.
Laut dem Leitfaden der EZB sollte ein solches Framework Daten-Taxonomien, ein Wörterbuch der wichtigsten Geschäftstermini sowie ein Metadaten-Repository umfassen, das alle wesentlichen Einheiten, Risiken und Berichte abdeckt. Darüber hinaus müssen Schlüsselrisikoindikatoren und ihre kritischen Datenelemente integriert werden.
Der Datenfluss soll von der Quelle bis zum endgültigen Bericht nachzuverfolgen und zu steuern sein. Dies schließt eine vollständige Abbildung des Datenflusses, die effiziente Datenaggregation und einen End-to-End-Prozess ohne Redundanzen ein. Jede Transformation der Daten muss klar dokumentiert sein, damit die Daten angereichert und umgewandelt werden können. Nachvollziehbarkeit und Replizierbarkeit müssen gewährleistet sein.
Berichte sollten den regulatorischen oder internen Anforderungen entsprechen und zeigen, wie Daten erstellt und genutzt werden. Ein umfassendes Datenwörterbuch sowie eine klare Mapping-Struktur sollten gepflegt werden, um die Transparenz vom Datenfeld bis zum System sicherzustellen.
Die EZB erwartet die Einführung von Datenqualitätskontrollen – von der Datenerfassung bis zur Berichterstattung. Diese Kontrollen sollen sicherstellen, dass die Daten genau, zuverlässig, vollständig und termingerecht sind. Wo möglich, sollte der Prozess gemäß den Anforderungen der EZB automatisiert werden. Zudem sollten Endnutzer-Computing-Anwendungen oder von Endnutzern entwickelte Anwendungen vollständig in die Richtlinien und Prozesse des Datenqualitätsmanagements integriert werden, einschließlich einer Übersicht über diese Anwendungen.
Die Berichterstattung zu internen Risiken soll häufig und schnell erfolgen und sich an den dynamischen Veränderungen der Risikozahlen orientieren. Das ist nötig, um rasch auf neue Risiken reagieren zu können. Der Einsatz automatisierter BCBS-239-Risikodatenmanagementsysteme kann die Geschwindigkeit und Effizienz bei der Erstellung dieser Berichte erheblich steigern. Diese Automatisierung sorgt nicht nur für schnellere Berichte, sondern auch für mehr Transparenz und einen bedarfsgerechten Zugang zu wichtigen Risikoinformationen.
Die Geschäftsleitung muss den Zeitplan und die Meilensteine für die Implementierung dieser Rahmenwerke und Kontrollen überwachen. Institutionen, die den in den BCBS-239-Prinzipien beschriebenen Best Practices noch nicht folgen, müssen entsprechende Maßnahmen zur Umsetzung einleiten.
Der Prozess sollte gemäß den Anforderungen der EZB automatisiert werden.
Die richtigen Metadaten sind entscheidend für ein einheitliches Risikodatenmanagement. Sie zeigen der Daten-Governance, woher die Daten stammen, was mit ihnen geschieht und wie sie genutzt werden. Unternehmensrichtlinien zur Verantwortlichkeit für die Datenqualität sowie Klassifizierung, Speicherung, Sicherung und Verwendung der Daten können dann von den Verantwortlichen Stellen der Institution durchgesetzt werden. Metadaten …
Ermöglichen Datenaggregation, indem Geschäftsglossare informiert werden, die alle Datenquellen auf eine einheitliche „Sprache“ bringen
Garantieren Vollständigkeit, wenn Daten im gesamten Datenumfeld erfasst und katalogisiert werden können.
Sorgen für vollständige und genaue Berichte, indem umfassende Datenherkunft und Visualisierungstools unterstützt werden.
Helfen sicherzustellen, dass alle die Daten auf dieselbe Weise verstehen, was eine präzise Erfassung und Nutzung erleichtert.
Zur Durchsetzung von Richtlinien zum Datenmanagement und zur Einhaltung von Standards wird der Einsatz von Technologie empfohlen. Sie kann manuelle Arbeit und operationelle Risiken durch Automatisierung erheblich verringern.
Must-Haves
Diese Funktionen sind unverzichtbar für ein effektives Datenmanagement:
Extraktion/Erkennung von Metadaten: Entscheidend für Verständnis und Nutzung von Daten, insbesondere für Governance und Compliance.
Erstellung von Datenherkunft (Data Lineage): Wichtig zur Nachverfolgung der Datenherkunft, -transformation und -nutzung, relevant für Audits, Compliance und das Verständnis von Datenabhängigkeiten.
Klassifizierung von Daten: Bedeutsam für die Einhaltung von Datenschutzvorschriften (wie DSGVO) und den Schutz sensibler Informationen.
Prüfpfade und Historie: Notwendig für Compliance und das Verständnis von Änderungen und Anpassungen an den Daten im Laufe der Zeit.
Messung/Überwachung der Datenqualität: Entscheidend für die Datenintegrität und Zuverlässigkeit, was Einfluss auf Entscheidungsprozesse und operative Effizienz hat.
Berichterstattung über Datenmanagement-KPIs: Essenziell für die Überwachung der Effektivität von Datenmanagement-Praktiken und für strategische Entscheidungen.
Nice-to-Haves
Diese Funktionen verbessern die Funktionalität, sind aber nicht unbedingt erforderlich:
Benachrichtigungen: Nützlich, um relevante Stakeholder zu informieren und rechtzeitige Maßnahmen bei datenbezogenen Aufgaben sicherzustellen, aber nicht zwingend erforderlich, es sei denn, es gibt spezifische Workflow- oder Compliance-Anforderungen.
Anomalie-Erkennung durch Datenprofilierung: Verbessert die Datenintegrität durch das Aufspüren von Ausreißern oder Fehlern, jedoch nicht notwendig, es sei denn, es bestehen hohe Anforderungen an die Datengenauigkeit.
Datenbereinigungsprozesse: Hilfreich zur Aufrechterhaltung der Datenqualität, aber möglicherweise nicht erforderlich für Organisationen mit weniger strengen Qualitätsanforderungen.
Self-Service-Funktionen: Vorteilhaft, um Nutzer zu befähigen und die Abhängigkeit von Datenteams zu verringern, jedoch keine Kernanforderung für die Datenmanagement-Funktionalität.
Aryzas Implementierungsansatz umfasst eine Reihe strukturierter Schritte:
Geschäftsdatenkatalog: Der Prozess beginnt mit der Erstellung eines Business Requirements Specification (BRS) Dokuments, das detailliert alle notwendigen Datenpunkte für die Integration in das Risikodaten-Aggregationssystem bewertet.
Technischer Katalog: Aus dem BRS wird ein System Requirements Specification (SRS) Dokument entwickelt. Es legt fest, welche IT-Systeme die Daten speichern, beschreibt die Datenstrukturen und enthält Zuordnungen der Datenpunkte zwischen dem BRS und dem SRS.
Logisches Datenmodell: Im nächsten Schritt wird das logische Datenmodell (LDM) entworfen, um die im BRS identifizierten Daten effizient im Risikodaten-Hub zu integrieren und darzustellen.
Physisches Datenmodell: Ein physisches Datenmodell (PDM) wird entwickelt, um die physische Speicherung und den schnellen, zuverlässigen Abruf der Daten im Risikodaten-Hub zu gewährleisten.
System-Schnittstellen: Die Schnittstellen zwischen den beteiligten IT-Systemen werden detailliert entworfen und spezifiziert. Für jedes Quellsystem und die Verbindungen zum Daten-Hub werden SRS-Dokumente erstellt, um einen reibungslosen Datentransfer sicherzustellen.
Dokumentation der Datenübertragungsprozesse: Eine Dokumentation beschreibt jeden Schritt des Datenübertragungsprozesses von den Quellsystemen zum Risikodaten-Hub. Hierbei werden auch mögliche Risiken einer Datenkorruption während des Transfers bewertet.
Analyse von Abhängigkeiten und Engpässen: Eine eingehende Analyse identifiziert Abhängigkeiten und mögliche Engpässe in den Datenübertragungs- und Verarbeitungsprozessen. Ziel ist es, den Datenfeed zu optimieren und sicherzustellen, dass die Risikodaten den Stakeholdern rechtzeitig, in der Regel bis zum nächsten Geschäftstag, zur Verfügung stehen.
Noch nicht gestartet
Planungsphase
Teilweise implementiert
Komplett implementiert
Die EZB-Bankenaufsicht intensiviert ihre Maßnahmen durch häufigere und gezieltere Eingriffe, insbesondere im Rahmen der jährlichen SREP-Bewertungen.
Auch die Aufsichtsintensität wird verstärkt, wenn frühere Maßnahmen nicht die gewünschten Veränderungen innerhalb der Fristen bewirkt haben. Dieser Ansatz unterstreicht eine proaktivere Haltung bei der Überwachung und Durchsetzung regulatorischer Vorgaben.
Erfüllen Institute spezifische Anforderungen und Fristen nicht oder treten wesentliche Mängel auf, die gegen das geltende Regelwerk verstoßen – etwa ungenaue Meldungen zu wichtigen Risikoindikatoren – werden die Probleme eskaliert. Dies kann zu Sanktionen und zusätzlichen Kapitalanforderungen führen. Da das Management für die Implementierung wirksamer Governance-Strukturen verantwortlich ist, können Mängel in diesen Bereichen auch zu einer Neubewertung der Eignung der verantwortlichen Mitglieder und in schweren Fällen zu deren Abberufung führen.
Buchen Sie einen Termin mit unseren Risiko-Daten-Experten
Banken, die die Vorschriften der Europäischen Zentralbank nicht einhalten, müssen mit strengen Strafen rechnen. Im vergangenen Jahr führte die Behörde zahlreiche Prüfungen durch und verhängte entsprechende Sanktionen.
Quelle: Bankingsupervision
Die Gesamtsumme der Strafen gegen drei Institute für Verstöße gegen Kapitalanforderungen und fehlerhafte Risikomeldungen.
Anzahl der von der EZB bearbeiteten Sanktionsverfahren, von denen fünf Verfahren bedeutende Institute (SI) betrafen.
Anzahl großer Banken im Euroraum, die am EU-weiten Stresstest der Europäischen Bankenaufsichtsbehörde (EBA) teilgenommen haben.
