Herausforderung: BCBS 239 macht eine ganzheitliche Data Governance notwendig
Die Vielfalt der Datenanforderungen, die heute an eine Bank gestellt werden, führt häufig dazu, dass für jede Berichtsanforderung spezifische Daten gesammelt und abgelegt werden. Die unterschiedlichen Sichtweisen aus dem Rechungswesen, Controlling, Treasury und Risikomanagement tragen dabei erheblich dazu bei. Steuerungsrelevante Kennzahlen der Bank werden je nach Berichtsfokus anders aufbereitet. Im Ergebnis führt das in der Regel zu einem sehr hohen Abstimmaufwand zwischen den unterschiedlichen Sichtweisen, wenn es um eine Validierung oder einen Quercheck der berichteten Kennzahlen geht. Durch die neuen Anforderungen nach BCBS 239 (Risk Data Aggregation), die eine durchgängige Nachvollziehbarkeit der Daten vom Quellsystem bis hin zum Report fordert, wird das Problem der Abstimmbarkeit unterschiedlicher Datenquellen zusätzlich von regulatorischer Seite forciert. Das bedeutet, dass die Auflösung der bestehenden Datensilos nunmehr nicht nur ein interne Angelegenheit den Banken ist, sondern als regulatorische Pflichtübung verstanden werden muss. Konkret nennt BCBS 239 „das oberste Verwaltungsorgan und die Geschäftsleitung, die die konzernweit geltenden Regelungen hinsichtlich der Aggregation von Risikodaten und der Risikoberichterstattung zu überprüfen und zu bestätigen“ haben. Die strategische Ausgestaltung der Umsetzung einer Data Governance obliegt damit dem Aufsichtsrat und dem Vorstand einer Bank.
Welche Prozesse sind durch die Data Governance im Rahmen von BCBS 239 abzudecken?
Im Allgemeinen beschreibt die Data Governance den Prozess der Datenverarbeitung. Sie legt fest, wer für welche Daten verantwortlich ist und bestimmt einen gemeinsamen Nenner hinsichtlich unterschiedlicher Anforderungen an Datenqualität, Datenintegrität oder Datensicherheit. Eine einheitliche Definition von „Data Governance“ – und welche Prozesse und Regeln diese beinhaltet – gibt es nicht. Vielmehr ist es Aufgabe der Bank, für sich zu definieren, welche Daten und Datenverarbeitungsprozesse sinnvollerweise in eine Data Governance einbezogen werden müssen. Im Hinblick auf BCBS 239 bedeutet dies Folgendes: Zuerst muss festgelegt werden, welche relevanten Schritte der Datenverarbeitung oder Dateneigenschaften Gegenstand der Data Governance sein sollen. BCBS 239 nennt hier „Präzisionsanforderungen auf der Grundlage von Validierungs-, Test- oder Abgleichprozessen und –ergebnissen“ sowie die „Sicherstellung der korrekten Eingabe der Daten […] und Sicherstellung der Aktualität der Daten sowie von deren Übereinstimmung mit den Datendefinitionen“. Diese Prozesse sind im Datenqualitätsmanagement und Metadatenmanagement verankert. Weiterhin werden „Unternehmensprozesse zur Datenvertraulichkeit und Datenverfügbarkeit“ gefordert. Hier ist die Datensicherheit zu gewährleisten, bezüglich des unbefugten externen Zugriffes als auch des unerwünschten internen Zugriffes (Datensicherheitsmanagement, Berechtigungsmanagement). Die eingangs angesprochene bereichsübergreifende Sichtweise wird postuliert, als dass Datenflüsse “von der Konzernstruktur einer Bank nicht beeinflusst werden dürfen. Die Konzernstruktur sollte die Datenaggregationskapazitäten nicht behindern.“ In einem zweiten Schritt wird für jede der oben genannten Themenstellungen der Soll-Prozess mit den entsprechenden Regeln festgelegt. Dabei müssen folgende Fragen beantwortet werden:
- Welches Datenqualitätslevel ist ein Mindeststandard, der von jeder Anwendung verlangt wird?
- Wie wird die Beschreibung der Daten in einem Repository strukturiert und welche Dateneigenschaften müssen dabei berücksichtigt werden?
- Wie wird garantiert, dass sensible Daten nur von befugten Personen gesehen und ausgewertet werden können?
- Welche Anforderungen werden an Daten gestellt, die konzernweit verfügbar sein sollen?
Zuletzt werden je Themenbereich Rollen definiert, die mit entsprechenden Verantwortlichkeiten und Pflichten ausgestattet sind. Dabei sollten Rollen sinnvoll miteinander verknüpft werden – zum Beispiel sollte der Systemverantwortliche gleichzeitig verantwortlich sein für die Einhaltung der Datenqualitätsanforderungen als auch für die Pflege des Repository hinsichtlich „seiner“ Daten. Durch die Verknüpfung der Rollen kann eine effiziente Zuweisung an die verantwortlichen Personen im Unternehmen erfolgen.
Die Einführung einer Data Governance zur Erfüllung von BCBS 239 sollte Schritt für Schritt erfolgen
Vor dem Hintergrund der oben diskutierten Themenbereiche, die eine Data Governance umfassen muss, sollte bei der Einführung ein schrittweises Vorgehen in Erwägung gezogen werden. Es ist empfehlenswert, den aktuellen Stand der Data Governance zu erheben und eine Delta-Betrachtung zwischen der Ist-Situation und dem Zielbild anzustellen. Dabei sollten die Themenbereiche sequenziell abgearbeitet werden. Es können Effizienzgewinne erzielt werden, indem Prozesse den schon vorhandenen Mustern angepasst werden und vorhandene Rollen schrittweise um neue Verantwortlichkeiten erweitert werden. Zugleich wird bei den handelnden Personen nach und nach Verantwortungsbewusstsein für die Data Governance geschaffen. Auf diese Weise kann die Data Governance schrittweise aufgebaut und erweitert werden.
BCBS 239 nimmt das Management in die Pflicht
Ein wesentlicher Erfolgsfaktor für die Implementierung einer Data Governance ist die aktive Einbeziehung des Managements, damit die Rechte und Pflichten der einzelnen Personen ihre Wirkung im täglichen Betrieb entfalten können. Damit wird die Akzeptanz der festgelegten Prozesse und Rollen gefestigt und es wird verhindert, dass diese Festlegungen im Laufe der Zeit an Verbindlichkeit einbüßen. Die Einbindung des Managements sollte in der Form erfolgen, dass es im Management einen Sponsor für die Data Governance gibt, der zugleich die in BCBS 239 geforderte Verantwortung im Unternehmen übernimmt, aber auch die letzte Eskalationsstufe im Falle von Konflikten repräsentiert.
ÜBERPRÜFUNG DER DATA GOVERNANCE BEI ÄNDERUNGEN DER ANFORDERUNGEN, DATEN, PROZESSE
Ist eine Data Governance in der Bank etabliert, sollte sie sich im täglichen Betrieb immer wieder von selbst erneuern. Das bedeutet, dass durch die festgelegten Verantwortlichkeiten der Rollen ständig auf neue Anforderungen reagiert werden muss und es dadurch immer wieder zu Anpassungen in den initial festgelegten Abläufen und Prozessen kommt. Sollte es zu grundlegenden neuen Anforderungen kommen, die zur Etablierung neuer Themenbereiche in der Data Governance führen oder eine Neuorganisation der bisherigen Rollen erfordern, so ist dies durch den angesprochen Sponsor zu veranlassen.