In den Mindestanforderungen an das Risikomanagement (MaRisk) heißt es: "Die Geschäftsleitung ist verantwortlich für die Festlegung und Anpassung der Strategien; diese Verantwortung ist nicht delegierbar. Die Geschäftsleitung muss für die Umsetzung der Strategien Sorge tragen." (AT 4.2, Teilziffer 3). Die Praxis sieht häufig anders aus. 56 Prozent der Bankvorstände reichen die Verantwortung für die Steuerung der Daten an untere Führungsebenen weiter. Jeder Vierte kennt nicht die genauen Regeln und Prozesse, die damit verbunden sind. Das sind Ergebnisse der Studie "BCBS 239: Überregulierung oder Impuls für ein besseres Risikomanagement?", die von der Unternehmensberatung msg Gillardon in Zusammenarbeit mit dem Handelsblatt erstellt wurde.
Die obersten Finanzhüter verlangen von den Banken und ihren Entscheidern eine Strategie, um sämtliche Risiken wie Kreditausfälle und Währungsschwankungen aufzufangen. Mit der Risikomanagementvorschrift BCBS 239 schafft der Baseler Ausschuss für Bankenaufsicht Leitplanken für ein passendes IT- und Datenmanagement. Um Risiken verlässlich zu bewerten, sind verlässliche Daten nötig. Je nach Geschäftsstrategie müssen sich die großen systemrelevanten Institute überlegen, was ihre Daten leisten sollen. Das Ergebnis dieser Überlegungen ist die Datenstrategie des Unternehmens.
In Bezug auf BCBS 239 sollen die Daten präzise und unternehmensweite Informationen zur Risikolage der Bank liefern. Die IT-Systeme auf der anderen Seite sind in der Pflicht, diese Daten schnell zu sammeln und geeignet aufzubereiten. Kleinere Institute sind aktuell noch nicht verpflichtet, für BCBS-239-konforme Datenhaushalte zu sorgen. Dennoch sollten auch sie aktiv werden. Wer seine Daten maximal für sein Geschäft nutzt und effizient bereitstellt, ist klar im Vorteil. Und genau diesen Mehrwert bringt eine wirksame Data Governance.
Data Governance als Navigator im Datenhaushalt
Die Umsetzung von BCBS 239 erfordert eine funktionierende Data Governance, das heißt einen übergreifenden Mechanismus, mit dem Banken die Datenstrategie bis auf die Ebene hinunterbrechen, auf der Daten gesammelt und zusammengefasst werden. Eine wirksame Data Governance umfasst drei Elemente:
1. Steuerung: Der Vorstand richtet eine Data-Governance-Stabsstelle ein und stattet diese mit hinreichenden Befugnissen aus ("Empowerment"). Die Data-Governance-Stelle legt Entscheidungsstrukturen mit klar festgelegten Rollen und Verantwortlichkeiten in den Bereichen Datenmodellierung, Metadatenmanagement und Datenverantwortung fest und sorgt für deren Etablierung. In kleineren Instituten kann die Stabsstelle auch eine Einzelperson sein.
2. Management: Die Data-Governance-Stelle erarbeitet und etabliert in den umsetzenden Abteilungen geeignete Prozesse zur Entscheidungsfindung, Entscheidungsdurchsetzung und Kontrolle der Umsetzung. Hier ist viel Detailarbeit gefragt. Es sollte beispielsweise festgelegt werden, wer welche Metadaten ändern darf und dass keine Datenbank geändert wird, ohne dass gleichzeitig Einträge in den Metadaten angepasst werden.
Dieser Aufwand lohnt sich durchaus. Banken erfüllen damit nicht nur die Baseler Vorgaben. Sie profitieren darüber hinaus durch exaktere Ergebnisse und die Risikoberichte bleiben nachvollziehbar.
3. Einbeziehung: Wichtig ist, dass die Führungsebenen die Belegschaft durch geeignete Kommunikationsmaßnahmen einbeziehen. Nur so wird die Strategie im Denken der Menschen verankert und führt zum erwünschten Verhalten. In der Praxis haben sich kurze, persönliche und authentische Mitteilungen aus dem Vorstand in halbjährlichem oder jährlichem Rhythmus als wirkungsvollstes Mittel erwiesen.
Steuerung kommt häufig zu kurz
Die Praxis zeigt jedoch, dass etliche Banken von einer echten Data Governance weit entfernt sind. In der Nutzung des ersten Instruments, der Steuerung, besteht viel Luft nach oben. Nur jede dritte Bank besitzt ein zuständiges "Board" (Data-Governance-Stelle), das sich um die Steuerung des Datenmanagements kümmert. Und das ist noch optimistisch gerechnet: Eine nominelle Steuerungsinstanz muss noch lange nicht die nötige Durchsetzungsbefugnis vom Vorstand haben. Zudem ist nicht erwiesen, dass diejenigen Banken mit Data-Governance-Stelle die zugehörigen Prozesse wirklich im Griff haben. Die deutschen Banken sind in dem zweiten Data-Governance-Instrument "Management" nur auf den ersten Blick gut aufgestellt.
- Neun von zehn Instituten haben nach eigenen Angaben ein Data Management etabliert.
- Aber nur 68 Prozent besitzen Regelwerke für Risikomanagement, Rechnungswesen und Treasury.
Der Schluss liegt nahe, dass diese Managementprozesse aufgrund fehlender Steuerung oft nicht strategisch ausgerichtet sind, sondern sich an allgemeinen Prinzipien orientieren und zum Beispiel breitflächig versuchen, die Datenqualität zu erhöhen. In der Projektpraxis wird immer wieder sichtbar, dass viele Banken die Qualität ihrer Risikodaten nach denselben Kriterien erfassen, beispielsweise nach denjenigen der Vertriebsdaten. Diese werde dann aufwendig manuell nachgebessert. Sie fokussieren sich zu wenig auf die für die jeweilige Risikoart wesentlichen Unternehmensdaten und verschwenden damit Ressourcen.
Vorstände vielfach nicht wirklich in der Verantwortung
Unterhalb der zweiten Führungsebene (F2) kommt von den relevanten Data-Governance-Informationen so gut wie nichts an. Nur 13 Prozent der Mitarbeiter in den betroffenen Fach- und IT-Teams kennen die genauen Data-Governance-Abläufe. Dies zeigt, dass auch das dritte Instrument, die Einbeziehung des Teams, viel zu wenig genutzt wird.
Erfahrungen aus der Vorbereitung auf und die Durchführung von Prüfungen gemäß § 44 Kreditwesengesetz zeigen, dass Steuerungsthemen von Banken gerne länger zurückgestellt werden. Diese Praxis zeichnet sich auch bei der Umsetzung einer Data Governance ab. Eigentlich sollten die Vorstände die relevanten Prozesse und Regeln ihres Instituts für den Umgang mit den Geschäftsdaten, den "Wertgegenständen der EDV", gut kennen. Die "MaRisk" legen denn auch klar fest, dass sowohl Erarbeitung und Pflege der Strategien als auch deren Umsetzung Vorstandssache ist - und die Umsetzung der Datenstrategie erfolgt durch die Data Governance.
Tatsächlich werden diese Themen aber sehr oft delegiert, und zwar bis auf die zweite Führungsebene F2 hinunter und weiter hinab. In einem Viertel der Institute ist der Vorstand über die Data Governance schlechter informiert als die erste Führungsebene F1.
Konsequenzen einer fehlenden Data Governance
Der Mangel an Steuerung beim Risikodatenmanagement führt zu erheblichen Nachteilen für die Banken:
- Es kann leicht sein, dass Risikoanalysen und -berichte nicht die reale Risikosituation abbilden, zum Beispiel, weil Kennzahlen von einzelnen Abteilungen unterschiedlich berechnet werden oder konzernweite Daten schwer zu ermitteln und auszuwerten sind. Eine zu hohe Risikoeinstufung bindet aber zu viel Eigenkapital, eine zu niedrige birgt die Gefahr eines Kollapses in Krisensituationen.
- Ohne ein geordnetes Vorgehen sind die Kosten der Risikoberichterstattung viel höher als nötig. Ad-hoc-Analysen sind deutlich aufwendiger, wenn man immer wieder bei null anfängt und keine eingespielten Prozesse nutzt.
Iteratives Vorgehen statt Big Bang
Die Krux der Einrichtung einer funktionierenden und effizienten Data Governance besteht darin, dass das Thema schwer zu greifen ist und als reiner Kostenfaktor eingestuft wird. Ein iteratives Vorgehen kann hier Abhilfe schaffen.
Ein guter Startpunkt ist beispielsweise das aufsichtsrechtliche Meldewesen. Institute sollten für diesen Einzelbereich festlegen, welche Daten sie in welcher Qualität brauchen und welche Menschen für welche Prozesse zuständig sind. Mit den gewonnenen Erkenntnissen und dem Know-how können Banken ihre Data Governance auf einzelne Risikokategorien wie Kreditrisiken, Währungsrisiken und operationelle Risiken ausweiten. So entsteht sukzessive ein konzernweites Datenmanagement mit aufeinander abgestimmten Kennzahlen und Metadaten sowie einer zentralen Instanz, der alle angeschlossenen Fach- und IT-Stellen zuarbeiten.
Der Vorstand muss jedenfalls eine Schlüsselrolle einnehmen. Durch seine Autorität erhalten die Disziplin "Data Governance" und die für die Umsetzung zuständige Stabsstelle die nötige Priorität im Unternehmen. Wichtige Faktoren sind hier die nötigen Umsetzungskompetenzen und ein eigenes, selbstverwaltetes Budget.
BCBS 239 als Fitnessprogramm verstehen - auch für Kleinbanken
Die deutschen Banken besitzen in aller Regel die nötigen Daten für den Aufbau eines funktionierenden Risikoradars, um Krisen wie die von 2008 früher zu erkennen und gegenzusteuern. Was bislang fehlt, sind Strukturen, Regeln, Prozesse, das Benennen von Verantwortlichen sowie die technische Ausstattung, um die Daten schnell und valide zu sammeln und aufzubereiten. Ein solcher Governance-Rahmen versetzt eine Bank in die Lage, nicht nur regulatorische Anforderungen zu erfüllen, sondern auch die Basis strategischer Entscheidungen zu verbessern, um zum Beispiel aufgrund präziserer Informationen über die Risikolage weniger Eigenkapital vorhalten zu müssen. Durch eine auf sämtliche Geschäftsdaten erweiterte Data Governance erhalten die Banken dann genauere Zahlen und Erkenntnisse über Märkte, Produkte und Kundenverhalten. Diese Informationen lassen sich zweit- und drittverwerten. Die Institute erhalten quasi ihr eigenes gesetzlich verordnetes Fitnessprogramm, das zu schlankeren Abläufen und mehr Kraft im Vertrieb führt.
Die Chance, sich durch Data Governance Wettbewerbsvorteile zu verschaffen, sollten auch kleinere, nicht systemrelevante Banken nutzen. Sie trifft die mäßige Ertragslage der Finanzbranche besonders hart. Geringe Margen aufgrund der Zinsflaute können sie nicht so einfach kompensieren wie Großbanken. Die Kleinen sind deshalb äußerst empfänglich für alles, was Kosten senkt. Jeden Euro, den sie nicht als Liquiditätspuffer für die Bankrisiken zurücklegen müssen, können sie in ihr Kerngeschäft investieren. Und exakte Risikobewertungen durch verlässliche Daten sind die Basis, um ein Bankinstitut erfolgreich zu steuern und krisenfest zu machen.
Martin Mertens, Leiter Competence Center IT Strategy & Governance, msg Gillardon AG, Bretten
