Treiber, Zielbild und Handlungsfelder für ein konvergentes Risiko-Management auf Basis von BI Delivering Transformation. Together.
Datum: Treiber, Zielbild und Handlungsfelder für ein konvergentes Risiko-Management auf Basis von BI Dieses Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen schriftlichen Zustimmung der Sopra Steria GmbH, nachfolgend auch Sopra Steria Consulting. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen und die Einspeicherung und Verarbeitung in elektronischer Form. Eine Weitergabe an Dritte ist nicht gestattet. Sopra Steria GmbH Derendorfer Allee 33, 40476 Düsseldorf Telefon: +49 211 385467-0 Fax: +49 211 385467-7999 E-Mail: info.de@soprasteria.com Vorsitzender des Aufsichtsrates: Vincent Paris Geschäftsführer: Urs Michael Krämer Gesellschaftssitz: Hamburg - HRB 130 165 Amtsgericht Hamburg - USt-ID-Nr.: DE118671351 2
EINFÜHRUNG RISIKOSTEUERUNG MITTELS BUSINESS INTELLIGENCE Die Finanzindustrie sieht sich einer Flut von regulatorischen Anforderungen ausgesetzt. Neben den erheblichen Investitionen in das Risikomanagement in der Vergangenheit führen nun die aktuellen Vorgaben aus dem Basler Papier mit einem besonderen Fokus auf die technologische Infrastruktur zu weiterem Handlungsbedarf. Das Ziel muss eine Konvergenz im Risikoreporting sein, so dass Finanzinstitute in der Lage sind, auf einer einheitlichen Plattform auf ein präzises und gleichzeitig flexibles Steuerungsinstrument zugreifen zu können, das eine adäquate Abbildung der Risiken und das Ableiten von risikosteuerungsbezogenen Maßnahmen zulässt. Business Intelligence bietet dafür die Voraussetzungen. Der Vortrag skizziert ausgehend von den aktuellen regulatorischen Anforderungen aus ein Zielbild, wie Finanzinstitute durch BI ein konvergentes Risikoberichtswesen erreichen. 3
AUFSICHTSRECHTLICHE ANFORDERUNGEN zur weiteren Ausgestaltung des Risiko-Managements 4
STEUERUNGSFUNKTIONEN IN FINANZINSTITUTEN RISIKOMANAGEMENT IM KONTEXT DER GESAMTBANKSTEUERUNG Strategien Geschäfts- und Risikostrategie Ertragsziele und Risikoappetit Eigenkapitalrichtlinien Überwachung Modellentwicklungs- und Validierungsprozesse Definition der Eskalationsprozesse Frühwarnprozess Risiko- und Banksteuerung Risikotragfähigkeit Risikoidentifikation, -Bewertung, -Steuerung Limitfestlegung Reporting Transparente und einheitliche Prozessdokumentation Zeitnahe und flexible Reportingund Analysemöglichkeiten 5
ÜBERBLICK REGULATORISCHER ANFORDERUNGEN HOHE REGELUNGSDICHTE IM FINANZSEKTOR Veröffentlichung Start der Meldung Risiko und Meldewesen Basel IV (FTBR, Überprüfung KSA, Operationelle Risiken Risikodatenaggregation () Forbearance & Non-Performing Exposures 2013 2014 2015 2016 2017 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Asset Encumbrance BISTA/ZISTA Analytical Credit Dataset GroMiKV Liquidity Monitoring Tools Delegierter Rechstsakt Liquidity Financial Markets EMIR MiFID II MiFIR Financial Accounting IFRS 9 6
DIVERSE ANFORDERUNGEN AN DAS RISIKO-REPORTING EXTERNE UND INTERNE TREIBER REGULATORISCHE HAUPTTREIBER : 14 Prinzipien für die Berichtserstattung Konkretisierung von Standards im internen Reporting Meldewesen-Anforderung der EBA und CRR/CRD IV: Datenverfügbarkeit und -konsistenz Erhöhte Anforderungen an Kennzahlen Einführung neuer Kennzahlen (Leverage Ratio, LCR, NSFR) MaRisk (4. Novelle): Interaktionen zwischen Erträgen und Risiken stärker berücksichtigen Integration der Risikosteuerungs- und Controllingprozesse in eine gemeins. Ertrags- und Risikosteuerung Etablierung integrierter Risikotragfähigkeits- und Kapitalplanungsprozesse Anforderungen an regulatorische Stresstests INTERNE HAUPTTREIBER Aggregation von Risikodaten Transparente Datenquellen Vollständigkeit bei der Definition, Erfassung und Verarbeitung aller risikorelevanten Daten Flexible Möglichkeiten der Datenauswertung (Geschäftsfeld, Risikoart, Branche, Land etc.) Aggregation der Daten auf möglichst automatisierter Basis Standardisierte und bereichsübergreifende IT- Architektur ergänzt durch ein funktionierendes Datenqualitätsmanagement Abgestimmte Prozesse mit hohem Flexibilitätsgrad Höhere Reportingfrequenz in Stressphasen und Krisenzeiten Dokumentierte Prozesse Anspruch der Aufsichtsorgane Anspruch der Stakeholer 7
: UMFANGREICHE REGULATORISCHE ANFORDERUNGEN KONSISTENTE, ÜBERGREIFENDE DATENBEREITSTELLUNG Gesamtunternehmensführung und Infrastruktur Angemessener und robuster Steuerungsrahmen Angemessene Risikodaten- und IT-Infrastruktur Gesamtverantwortung für die Implementierung Aufsichtsrechtliche Überprüfung Risikodaten-Aggregationskapazitäten Weitestgehend automatisierte Basis Vollständige Dokumentation der (automatischen/ manuellen) Risikoprozesse Vergleichbarkeit und Abstimmung mit anderen Geschäftsbereichen Rechnungswesen, Controlling Eine maßgebliche Datenquelle pro Risikoart Anpassungsfähigkeit der Systeme Risikodaten- Aggregationskapazitäten Gesamtunternehmensführung und Infrastruktur BCBS 239 Risikoberichterstattung Zeitnahe Erstellung und Verteilung, Verständlichkeit und Transparenz der Risikoberichte Höhere Meldefrequenz in Stressphasen und Krisenzeiten Darstellung von künftigen Entwicklungen der Kapital- und Ertragssituation sowie des Risikoprofils anhand von Prognosen und Szenarien Risikoberichterstattung 8
KONVERGENZ IN ZENTRALEN STEUERUNGSBEREICHEN HOHE FACHLICHE, TECHNISCHE UND PROZESSUALE KOMPLEXITÄT Anforderungen Gesamtunternehmensführung und Infrastruktur Risikodaten-Aggregationskapazitäten Risikoberichterstattung Integrierte Steuerung Risikocontrolling Controlling Rechnungswesen Meldewesen Fach- und IT- Konzeption Fach- und IT- Prozesse Datenanbindung Datenerfassung/-qualität Governance Jobketten Datenaggregation Reporting Überwachung Qualitätssicherung Schnittstellen Turnus Methoden und Verfahren Dokumentation Stresstests Validierung Handlungsfelder Fachliche Konvergenz Informationsplattform Fachl. Reportingprozesse Technische Prozesse 9
ENGER ZEITPLAN ZUNEHMENDE RELEVANZ FÜR ALLE BANKEN Global Sytemically Important Banks (G-SIB): Entwicklung und Bereitstellung von Maßnahmen Fortlaufende Überprüfung durch die Supervision and Implementation Group (SIG) Mitteilung des Projektstatus an das Financial Stability Board (FSB) Zieltermin für vollständige Umsetzung von durch G-SIBs 2013 2014 2015 2016 Relevanz für national systemrelevante Banken (D-SIBs) Standard innerhalb von 3 Jahren verpflichtend, sobald ein Institut durch die Aufsicht als D-SIB klassifiziert wurde Für nicht systemrelevante Banken wird eine Formulierung der Anforderungen an das Risikoberichtswesen auf nationaler Ebene erwartet - in Deutschland bereits in der 5. MaRisk-Novelle vorgesehen. Damit sind auch kleinere Banken und Sparkassen betroffen. 10
BISHER ERREICHTER STATUS QUO WESENTLICHE SCHWACHPUNKTE BEI DER UMSETZUNG Die SIG* hat im Januar 2015 erneut über den Fortschritt im Umsetzungsprozess der G-SIBs berichtet mit folg. wesentlichen Ergebnissen: Geringer Fortschritt bei der Umsetzung in den Bereichen Governance, Daten- und IT-Infrastruktur und Datenaggregation. Teilweise Rückschritte bei der Selbsteinschätzung, da die Anforderungen und die Umsetzungskomplexität erst im Laufe der Zeit transparent geworden sind. Eine Reihe von Instituten wird wahrscheinlich die Deadline nicht einhalten und mindestens einen der Grundsätze aus im Januar 2016 nicht erfüllen. Schlussfolgerungen: Mit den o.a. Schwachpunkten sind wesentliche Voraussetzungen für das eigentliche Risiko-Reporting im engeren Sinn nicht erfüllt. Der Umsetzungszeitraum von 3 Jahren ab Designation ist vor dem Hintergrund der Komplexität sehr eng gesteckt, d.h. die Institute müssen schnell und konzentriert handeln. Reporting Datenaggregation Datenarchitektur IT-Infrastruktur Governance * Basel Committee on Banking Supervision, Jan. 2015: Progress in adopting the principles for effective risk data aggregation and risk reporting (BCBS 308) 11
UMSETZUNGSUMFANG GEMÄß RISIKOPROFIL GRUNDSÄTZE ALS KLARE LEITLINIE Prinzipien-basiert: die Anforderungen sind allgemeingültig formuliert Umfang, Art und Komplexität des institutsspezifischen Geschäftsmodells sind bei der Umsetzung zu berücksichtigen Wesentlichkeitsprinzip: auf unwesentliche Informationen kann verzichtet werden, wenn der Entscheidungsprozess nicht beeinflusst wird Mängel bzw. Beschränkungen in der Risikoberichterstattung müssen den Entscheidungsträgern transparent sein und erläutert werden können: Kompromisse zwischen Grundsätzen (z.b. Vollständigkeit vs. Performance) fachlich (z.b. nicht einbezogene Risiken) technisch (z.b. Abhängigkeit von manuellen Prozessen) rechtlich (z.b. grenzüberschreitender Datenaustausch) im Ausnahmefall Expertenbeurteilungen zulässig (z.b. Ergänzung unvollständiger Daten, Interpretation an Stelle verlässlicher Daten) 12
WESENTLICHE UMSETZUNGSELEMENTE Think big, start small 13
SCOPING GESCHÄFTSPOTENTIAL VS. PFLICHTERFÜLLUNG Maximal-Prinzip : positive Effekte durch Optimierung der Kapitalallokation, Senkung der Ausfallwahrscheinlichkeit und transparente Entscheidungsbasis möglich Minimal-Prinzip : Umsetzungshürden in einem Umfeld diverser aufsichtsrechtlicher Anforderungen durch sehr hohe Komplexität bei knappen Ressourcen und engem Zeitplan (und unter Margendruck) 1 2 3 4 5 6 7 Pragmatischer Ansatz zum Scoping: Gap-Analyse und Roadmap unter der Nebenbedingung, auf bestehende Assets aufzusetzen (kein green field ) Aufsichtsrechtliche Sanktionen sind bei Nicht-Erfüllung aller Kriterien zur Deadline zwar grundsätzlich zu erwarten, jedoch kann ein klarer Entwicklungspfad aufgezeigt werden 14
DAS UNABDINGBARE BASISPAKET KERNELEMENTE DES DATENMANAGEMENTS GREIFEN INEINANDER Kontrolle manueller Prozesse Scenarien Data Governance Metadaten- Management Report- Distribution Näherungswerte / Modelle Workflows Validierung Daten- Integration Datenqualitäts- Management Multidimens. Analyse Prozessdokumentation Reconciliation (Accounting) Maßnahmen zur Risikoreduktion Relevanz Prognosen Berichtsfrequenz Performance 15
KONZERNWEIT EINHEITLICHE ABBILDUNG DER RISIKEN KOMPLEXER SACHVERHALT ERFORDERT GOVERNANCE Risikoaggregation und -reporting Relevante Risikoarten Kreditrisiko Marktrisiko Liquid.-Risiko Operat. Risiko Geschäftsfelder FK Retail FK Retail Gesellschaften Legal Entity Legal Entity Legal Entity Legal Entity 16
GOVERNANCE DER DATENARCHITEKTUR ZENTRALE KONTROLLE UND MANAGEMENT DES ASSET DATEN Richtlinien & Standards Berechnungs-, Dokumentations-, Modellierungs-, Historisierungs-, Archivierungs-, Zugriffsstandards etc. Repository mit Sharable Objects (Kennzahlenobjekte und Auswertungsstrukturen) Richtlinien & Standards Prozesse & Verfahren Rollen & Verantwortlichkeiten Prozesse & Verfahren Support in der Designphase (Informationsbedarfsanalyse) Vorgehensmodelle und Tools für Projekte und Betrieb inkl. Review und Sign-off Gates Semantische Modellierung der Business Domains und Bebauungsplanung Rollen & Verantwortlichkeiten Dezentrale Verantwortung für fachliche Dateninhalte (Data Ownership, Data Stewards) Zentrales, ständiges Data Governance Team aus Business Analysten und Datenarchitekten mit zentralem Serviceangebot (Modellierungsunterstützung, Reviews, Koordination des Data Governance Programms etc.) 17
ZIELE DER DATA GOVERNANCE TRUSTED DATA UND DATA SHARING BEEINFLUSSEN SICH GEGENSEITIG Integrität Keine unbemerkte Veränderung von Daten Qualität Stets qualitätsgesicherte, konsistente Daten Konsistenz Einheitliche Definition von Daten über Fachbereiche hinweg Vertrauen Keyword in die Daten Vollständigkeit Relevante Daten liegen in notwendiger Granularität vor Verbindlichkeit Def. Verantwortlichkeiten für Datenhoheit Miteinander Beteiligung aller Business & IT Stakeholder Analysepotenzial Übergreifende Analysen über gemeinsame Objekte Best Practice Erfolgreiche Datensegmente u. Strukturen wiederverwendbar Redundanzfreiheit Auflösung von Silo- Datenbeständen Steuerungs Keyword basis: einheitliche Daten Auslegbarkeit identisches korrektes Verständnis für Dateninhalte Nachhaltigkeit Changes sind flexibel abbildbar u. gemeinsam nutzbar Verständlichkeit Nachvollziehbar keit und Einsatz für die Zwecke der User Aufgaben des Data Governance Board Richtlinien und Standards zur Data Governance in der Organisation etablieren und gewährleisten Verantwortlichkeiten für Daten in der Organisation etablieren und gewährleisten Kenntnisse über den Datenhaushalt in der Organisation erhöhen 18
TRANSPARENZ DURCH GRUPPENWEITE NOMENKLATUR OPTIMIERUNG DES METADATEN-MANAGEMENTS Organisatorische Verankerung der Rolle des Business / Data Owners Fachprozess zur Bildung einer einheitlichen Daten- Taxonomie Metadaten-Management Technische Plattform für fachliche und technische Metadaten Gruppenweit einheitliche logische Sicht auf das Risikoreporting 19
ZENTRALE KONTROLLE DURCH METADATEN-REPOSITORY KONVERGENZ BEGINNT BEI DER DATENDEFINITION Fachliche, organisatorische und technische Maßnahmen greifen ineinander Voraussetzung für die Identifikation wesentlicher Risiken über organisatorische Grenzen hinweg ist eine einheitliche Taxonomie. Besondere Herausforderung: Bilanzielle, aufsichtsrechtliche und ökonomische Perspektiven sind trotzdem zu berücksichtigen. Bestandsaufnahme und Klassifikation der Risiko-relevanten Objekte Schaffung einer einheitlichen Nomenklatur über alle Legal Entities und Geschäftsfelder, z.b. Bereinigung der bisher in verschiedenen Einheiten und Reportings verwendeten Homonyme und Synonyme Festlegung von Verantwortlichkeiten für Daten und Prozesse bei Änderungen an Datendefinitionen (Data Owner) Steuerungsprozesse zur Verwendung von Begriffen und Inhalten (Data Governance) Implementierung einer fachlichen Metadaten-Plattform zum Management der unternehmensweit definierten Semantik Implementierung einer technischen Metadaten-Plattform für Transparenz über Inhalte und Nachvollziehbarkeit technischer Prozesse 20
INTEGRATION FACHLICHER UND TECHNISCHER METADATEN ELEMENTE UND VORGEHENSWEISE Organisationsstruktur Business Terms Technische Datenstrukturen Mapping Identifikation der relevanten Organisationseinheiten und ihrer Vernetzung Erhebung der groben fachlichen Entitätsstrukturen pro Einheit (Hierarchie) Ausgangspunkt: business lines und Risikoarten Erhebung der risikorelevanten Kennzahlen und Kategorisierungen pro Einheit Aufbau eines zentralen Business Glossar durch fachliche Konsolidierung resp. klare fachliche Abgrenzung mit dem Ziel fachlicher Eindeutigkeit Ausgangspunkt: bestehendes Risikoreporting sowie Findings aus der Gap-Analyse Einlesen der technischen Datenmodelle pro IT-System sowie der Schnittstellen- Informationen Abgleich der Datenfelder und technische Konsolidierung der Datenstrukturen Generierung technischer Datenflussdiagramme Ausgangspunkt: logische und physische Datenmodelle sowie ETL-Repositories Verlinkung der Business Terms mit den technischen Datenfeldern (manueller Prozess) Ergebnis: fachliche und technische Metadaten vollständig integriert Weiteres Ausbaupotential in Richtung Data Governance und DQ-Reporting 21
DATENQUALITÄT IST EINE KERNANFORDERUNG UNTERSCHIEDLICHE ANSATZPUNKTE AUS Genauigkeit und Korrektheit von Datensätzen Kontinuierliche Überwachung und Messung von Datenabweichungen Stabilität der Datenverarbeitungsprozesse Dokumentation von Prozessen und Einordnung ihrer Kritikalität Anforderungen an die Verarbeitung von Risikodaten Maßnahmenpläne zur Sicherstellung hoher Datenqualität Definierte Verantwortlichkeiten und Rollenmodelle für Datenqualität 22
DATENQUALITÄTSSICHERUNG ALS LAUFENDER PROZESS ÜBERGREIFENDE, ZYKLISCHE VORGEHENSWEISE Ursachen für DQ-Probleme sind oft schwer zu identifizieren und zu beheben Quellsysteme / Datenerfassung Ursache Wirkung Auswertungssysteme Mehrstufiges Vorgehen, um Datenqualität zu sichern 1. Definitionsphase Definition der Qualitätsmerkmale und -kriterien Definition der Prüfregeln Define Measure 2. Messphase Umsetzung der Messfunktionen Durchführung der Messungen 4. Verbesserungsphase Standardisierung und Bereinigung von Qualitätsproblemen Realise & Improve DQM Control & Analyse 3. Analysephase (Data Quality Monitoring) DQ-Analyse Visualisierung Benachrichtigung und Aktionen 23
ARCHITEKTURANSATZ ZUR DQ-SICHERUNG ZENTRALE DQ-PLATTFORM IN KOMPLEXEN UMGEBUNGEN Kernbankensystem Data Quality Gate Zentrales DWH Data Quality Gate Front Office Back Office weitere Data Quality Controls Mehrschichtenarchitektur mit Data Quality Gates vor jeder Datenschicht Data Quality Gates stellen sicher, dass nur qualitativ hochwertige Daten in die Zielschicht gelangen Korrektheit der Daten wird u.a. durch anwenderspezifische und parametrisierte DQ-Regeln bestimmt Kontinuierliches Monitoring der Datenintegrationsprozesse in komplexen und heterogenen Infrastrukturen Handhabung fehlerhafter Daten wird weitestgehend automatisiert Reporting inkl. Alerting erfolgt standardisiert und vermittelt kurzfristigen sowie mittelfristigen Handlungsbedarf zur DQ 24
PROJEKTERFAHRUNGEN KRITISCHE ERFOLGSFAKTOREN UND LESSONS LEARNED 1 Top-Management Buy-in von CRO, CFO und CIO und klare Abgrenzung des Projekt-Scopes vor dem Hintergrund seiner Komplexität sind erfolgskritisch. Insbesondere ist der Scope in Bezug auf einzubeziehende Legal Entites, Business Lines und Quellverfahren zu definieren. 2 3 4 5 6 Rahmenwerk und Ziellandschaft müssen bereichsübergreifend, insbesondere unter enger Einbindung von Risikomanagement, Finanzen und IT entwickelt und abgestimmt werden. Die Kooperation CRO- und CFO-Bereiche ist in vielen Projekten oft verbesserungswürdig. In aller Regel werden typische Datenanforderungen aus Ad-Hoc-Anfragen der Bankenaufsicht, insbesondere die Datenfelder aus AQR Loantape und EZB-Stresstesting, mit in den Reporting Scope aufgenommen. Nur über eine State-of-the-Art BI-Lösung können Reporting-Silos in Bezug auf Einzelrisiken bzw. Geschäftsfelder / Legal Entities überwunden werden. Eine besondere Herausforderung stellt die Reconciliation zwischen Financial Reporting, Meldewesen und internem Reporting dar. Die Datenbereitstellung aus den verschiedenen Legal Entities stellt oft eine besondere Herausforderung dar, da fachliche Divergenzen, Freigabe- und Korrekturprozesse sowie technische Systembrüche Aufwandstreiber sind und Verzögerungseffekte bewirken. Die organisatorischen Prozesse zum Risikoreporting enthalten meist zu viele manuelle Schritte, z.b. zur Korrektur von KPIs, um die zeitlichen Vorgaben einzuhalten. Die Prozessoptimierung sollte auf einer strukturierten Prozessanalyse basieren, die Bearbeitungszeiten mit einschließt. 25
AUSBLICK Konvergenz im Risiko-Management wird weiter zunehmen 26
AUSBLICK WEITERE FACHLICHE ANFORDERUNGEN (BEISPIELE) Analytical Credit Dataset (AnaCredit) ab Ende 2016 EZB baut europäisches Kreditregister auf Hierzu müssen alle Banken granulare Kreditdaten von Exposures oberhalb der definierten Meldeschwelle auf Einzelkreditbasis melden Datenweitergabe auf Einzelkreditebene, neue Herausforderungen bei Datenbeschaffung und -integration IFRS 9 Impairment ab Ende 2017 Industrialisierter Regelbetrieb zur geänderten handelsrechtlichen Abbildung von Wertminderungen Wertminderungen von Finanzinstrumenten werden zukünftig nach dem Expected Loss Model bilanziert (3-Stufen-Modell, Risikovorsorge gemäß Ausfallwahrscheinlichkeit) Vernetzung Accounting und Risk 27
AUSBLICK NEUE TECHNISCHE POTENTIALE (BEISPIELE) Multidimensionale Melde-Cubes als Ersatz des Formularwesens Beispiel Österreich: seitens der OeNB wird die Bereitstellung von Melde-Cubes gefordert Kanalisierung (für aktuell 6 Banken) über den neuen zentralen Dienstleister AuRep Konsequenz: Meldewesen in multidimensionalen Datenräumen muss ohne manuelle Prozesse und mit höchster technischer Präzision erfolgen Big Data-Ansätze zur Optimierung der Informationsbasis im Kreditgeschäft Machine Learning und leistungsstarke Infrastrukturen ermöglichen weitere Modelloptimierungen zum einen bzgl. der Ratingverfahren und zum anderen bzgl. der Kategorisierung von Non Performing Loans (Retailgeschäft) Auch Social Media-Analysen werden zukünftig eine zunehmende Rolle bei der Informationsbeschaffung über einen Geschäftspartner spielen 28
IHRE FRAGEN 29
KONTAKT IHR ANSPRECHPARTNER Ludger Seiling Senior Manager Banking T. + 49 (0) 211 385467 7682 M. +49 (0)178 6611 739 Ludger.Seiling@soprasteria.com 30
31