Fokusthema: Datenmanagement

DAS Q_PERIOR DATA MANAGEMENT DESIGN FRAMEWORK

In Zeiten anhaltend niedriger Leitzinsen stehen Banken vor der besonderen Herausforderung, neben der Erfüllung der aktuellen regulatorischen Anforderungen ihr komplettes Geschäftsmodell zu überdenken. Angesicht dieser Ausgangslage entwickeln sich Daten – und deren Management – zum wichtigsten Asset für Banken. Zum einen befähigt ein State-of-the-Art Datenmanagement Banken, schnell und flexibel auf Marktentwicklungen durch neue Technologien oder Wettbewerber zu reagieren. Zum anderen ermöglicht es Fachabteilungen und IT, mit der steigenden Frequenz und Granularität regulatorischer Anforderungen Schritt zu halten.

Das Q_PERIOR Data Management Design Framework bietet Ihnen einen umfänglichen Überblick über das Thema Datenmanagement. Von der Datenstrategie bis zur Datenkultur werden alle Teilaspekte eines nachhaltigen Datenmanagements darin beleuchtet. Die in dem Framework abgebildeten Tools und Methoden bieten Ihnen eine Hilfestellung, diese Teilaspekte effizient und strukturiert anzugehen

Die Datenstrategie beschreibt die Gesamtheit aller Maßnahmen und Tätigkeiten mit Einfluss auf das Datenmanagement, die Datenqualität, das Datenmodell, die Datenarchitektur, den Datenschutz und Geschäftsaspekte. Sie ist auf die Erreichung der Unternehmensziele ausgerichtet.

Mindestanforderungen

  • „Die Geschäftsleitung hat sicherzustellen, dass die IT-Strategie der Bank Möglichkeiten zur Verbesserung der Datenaggregationskapazitäten und Risikomeldeverfahren sowie zur Behebung von Verstößen […] vorsieht […].“ (BCBS 239, Tz. 30)
  • „[…] auch die Unterstützung dieser Projekte durch die Zuteilung angemessener finanzieller wie personeller Ressourcen fällt in den Verantwortungsbereich der Geschäftsleitung.“ (BCBS 239, Tz. 30)
  • „Große und komplexe Institute haben zudem [strategische] Aussagen zur Verbesserung und zum Ausbau der Aggregationskapazitäten für Risikodaten zu treffen.“ (MaRisk Konsultation 02/2016, Fassung vom 18.02.16)

Fazit

  • Keine explizite Anforderung für eine eigene Datenstrategie
  • Erstellung einer gesonderten Datenstrategie sinnvoll, um Wichtigkeit des Themas zu unterstreichen
  • Datenstrategie nicht als Teil der IT-Strategie definieren
  • Verantwortlichkeit liegt beim Vorstand und der Datenmanagement-Organisation

Eine Data Governance beschreibt die aufbau- und ablauforganisatorischen Rahmenbedingungen für ein Datenmanagement und legt eindeutige Rollen und Verantwortlichkeiten für Daten fest.

Mindestanforderungen

  • „Die Aufgaben und Verantwortlichkeiten sind eindeutig festzulegen, die die Zuständigkeit für und Qualität von Risikodaten und -informationen sowohl auf geschäftlicher als auch für die IT-Funktionen abgrenzen.“ (BCBS 239, Tz. 34)
  • „Zu den Aufgaben des […] verantwortlichen Mitarbeiters gehören: Sicherstellung der korrekten Eingabe der Daten, Sicherstellung der Aktualität der Daten […].“ (BCBS 239, Tz. 34)
  • „Für alle Prozessschritte sind Verantwortlichkeiten festzulegen und entsprechende prozessabhängige Kontrollen einzurichten. Es ist regelmäßig zu überprüfen, ob die institutsinternen Regelungen, Verfahren, Methoden und Prozesse von den Mitarbeitern eingehalten werden.“ (MaRisk Konsultation 02/2016, Fassung vom 18.02.16)

Fazit

  • Eindeutige Verantwortlichkeiten für Daten etablieren und eine zentrale Instanz für das Datenmanagement aufbauen
  • Definition und Implementierung von Prozessen zur Überwachung der Einhaltung der Datenmanagement-Anforderungen
  • Vorstandsverantwortung für Daten (Chief-Data-Officer-Funktion) festlegen und Kulturwandel initiieren

Die Datenqualität kann auf Basis diverser Kriterien mit verschiedenen Methoden unternehmensweit bewertet werden. Ein nachhaltiges Datenqualitätsmanagement hat das Ziel, die Datenqualität im Unternehmen front-to-end langfristig sicherzustellen und kontinuierlich zu verbessern.

Mindestanforderungen

  • „Die Aufsichtsinstanzen erwarten von den Banken, dass sie die Genauigkeit der Daten ermitteln und überwachen; ferner werden angemessene Eskalationswege sowie Maßnahmenpakete verlangt, um einer schlechten Datenqualität entgegenzuwirken.“ (BCBS 239, Tz. 40)
  • „Die Datenqualität und die Datenvollständigkeit sind anhand geeigneter Kriterien zu überwachen. Hierfür hat das Institut interne Anforderungen an die Genauigkeit und Vollständigkeit der Daten zu formulieren.“ (MaRisk Konsultation 02/2016, Fassung vom 18.02.16)

Fazit

  • Nachhaltiges Datenqualitätsmanagement zur Sicherstellung einer strukturierten und verständlichen Berichterstattung über die Datenqualität
  • Möglichkeit zur kontinuierlichen Verbesserung der Datenqualität
  • Langfristig geringere Aufwänden in der Abstimmung der Daten, Steigerung der Prozesseffizienz sowie Kosteneinsparung durch verbesserte Datenqualität
  • Steigerung der Reaktionsgeschwindigkeit bei Datenabfragen (intern & extern) durch die nachhaltig höhere Datenqualität

In einem Datenprozessmanagement werden standardisierte Prozesse definiert, um Veränderungen an IT-Systemen und am Datenhaushalt effektiv und revisionssicher durchzuführen. Strukturierte und nachvollziehbare Datenmanagement-Prozesse unterstützen die Erstellung der internen und externen Berichterstattung.

Mindestanforderungen

  • „Im Gesamtrisikomanagement sind u.a. Leistungsvereinbarungen für ausgelagerte und interne Prozesse der Datenverarbeitung, Unternehmensgrundsätze zu Datenvertraulichkeit, -integrität und -verfügbarkeit sowie Risikomanagementgrundsätze festzulegen. “ (BCBS 239, Tz. 27)
  • „Die Aufsichtsinstanzen erwarten von den Banken eine Dokumentation und Erläuterung sämtlicher Prozesse der Risikodatenaggregation, unabhängig davon, ob es sich um automatisierte oder manuelle (urteilsbasierte oder andere) Prozesse handelt.“ (BCBS 239, Tz. 39)
  • „Die Datenaggregationskapazitäten einer Bank sind flexibel und anpassungsfähig anzulegen, sodass Ad-hoc-Anfragen bearbeitet und aufkommende Risiken bewertet werden können.“ (BCBS 239, Tz. 48)
  • „Die Datenaggregationskapazitäten müssen hinreichend flexibel und leistungsfähig sein, um Ad-hoc-Informationen nach unterschiedlichen Kategorien ausweisen und analysieren zu können.“ (MaRisk Konsultation 02/2016, Fassung vom 18.02.16)

Fazit

  • Bankweite Etablierung von strukturierten Datenanforderungsprozessen bedeutet Zukunftsfähigkeit
  • Hoher Standardisierungsgrad für Effizienz und Flexibilität in allen Prozessen
  • Vereinfachte Datenmanagementprozesse bilden die Grundlagen für die digitale Transformation

Wesentlicher Bestandteil der Datenarchitektur bildet die eindeutige und detaillierte Definition des Datenhaushaltes. Im Speziellen umfasst die Datenarchitektur Datenflüsse und Kennzahlenbäume, die die Grundlage für die Implementierung eines nachhaltigen Datenmanagements bilden und die notwendige Flexibilität der Anwendungsarchitektur bei künftigen Veränderungen ermöglichen.

Mindestanforderungen

  • „Eine Bank hat integrierte Datentaxonomien einschließlich einer konzernweiten Datenarchitektur zu erstellen, in der auch Angaben zu den Eigenschaften der (Meta-) Daten enthalten sind […].“ (BCBS 239, Tz. 33)
  • „Ein umfassender Satz harmonisierter, analytischer Kreditdaten dürfte den Meldeaufwand durch eine erhöhte Kontinuität der Berichtspflichten im Laufe der Zeit deutlich verringern. […] Der harmonisierte Datensatz zu Krediten wird darüber hinaus detailliertere Informationen liefern, […] “ (Verordnung (EU) 2016/867, Tz. 5)
  • „Datenstruktur und Datenhierarchie müssen gewährleisten, dass Daten zweifelsfrei identifiziert, zusammengeführt und ausgewertet werden können sowie zeitnah zur Verfügung stehen. […] “ (MaRisk Konsultation 02/2016, Fassung vom 18. Februar 2016)

Fazit

  • Nachvollziehbare Dokumentation der Datenflüsse (fachliche und technische Data Lineage) zur Unterstützung bei der Optimierung der Prozesse
  • Schaffung von Transparenz und leichtere Auffindbarkeit notwendiger Informationen
  • Inventarisierung der inhaltlichen und technischen Beschreibung der Daten in einem Data Dictionary (Datenfeldkatalog) inklusive Dokumentation der Datenverantwortlichkeiten und Qualitätsanforderungen
  • Beschreibung des Zielbilds der Datenarchitektur in der Datenstrategie
  • Bündelung der fachlichen und technischen Verantwortlichkeit für die Datenarchitektur

Vielfältige gesetzliche und regulatorische Anforderungen an Daten – teils widersprüchlich – gilt es miteinander zu vereinen. Umfassende Anforderungen an Daten und deren Aggregation (z. B. BCBS 239) stehen zum Beispiel strengen Anforderungen an den Datenschutz (EU-DSGVO) gegenüber.

Mindestanforderungen

  • „Die eingerichteten Berechtigungen dürfen nicht im Widerspruch zur organisatorischen Zuordnung von Mitarbeitern stehen. Insbesondere bei Berechtigungsvergaben im Rahmen von Rollenmodellen ist darauf zu achten, dass Funktionstrennungen beibehalten beziehungsweise Interessenkonflikte vermieden werden. […]“ (MaRisk Konsultation 02/2016, Fassung vom 18.02.16)
  • „Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. “ (MaRisk Konsultation 02/2016, Fassung vom 18. Februar 2016)
  • „Der Grad der Granularität der Vertragspartner-Stammdaten ist der Vertragspartner. Jeder Datensatz wird durch die Kombination folgender Datenattribute eindeutig identifiziert: a) Kennung des Berichtspflichtigen und b) Vertragspartnerkennung. […]“ (Verordnung (EU) 2016/867)

Fazit

  • Überprüfung der bisherigen Berechtigungskonzepte je IT-System und ggf. Anpassung dieser unter Berücksichtigung der Verantwortlichkeiten für bestimmte Daten
  • Berücksichtigung der Datenschutzanforderungen bei der Bearbeitung interner und externer Datenanfragen. Beispiel: Verordnung (EU) 2016/867 (AnaCredit) fordert die Meldung von Adressdaten des Kreditnehmers. Zulässigkeit im Sinne des Datenschutzes ist zu prüfen
  • Anstieg des Aufgabenspektrums des Chief Information Security Officers (CISO) und der Abstimmerfordernisse mit anderen Instanzen der Bank; Erforderliches Know-how eines CISO geht über die reinen IT-Sicherheitsfragen hinaus

Die umfangreichen und sich ständig ändernden Anforderungen an Daten und deren Management erfordern ein Umdenken bei dem Management und den Mitarbeitern der Bank. Perspektivisch werden sich Daten zu einem der wichtigsten Vermögenswerte der Bank entwickeln.

Mindestanforderungen

  • „In der gängigen Praxis werden für die unabhängige Validierung der Risikodaten-Aggregations- und Meldeverfahren vorzugsweise Mitarbeiter eingesetzt, die über spezifische Kenntnisse in den Bereichen IT, Datenverarbeitung und Berichtswesen verfügen.“ (BCBS 239, Tz. 29)
  • „Die zuständigen Mitarbeiter (Geschäftsebene und IT-Funktionen) haben gemeinsam mit den Risikomanagern sicherzustellen, dass während des gesamten Datenzyklus und unter sämtlichen Gesichtspunkten der technologischen Infrastruktur angemessene Kontrollen eingerichtet sind. […]“ (BCBS 239, Tz. 34)
  • „Es ist regelmäßig zu überprüfen, ob die institutsinternen Regelungen, Verfahren, Methoden und Prozesse von den Mitarbeitern eingehalten werden. Die Überprüfung ist von einer von den operativen Geschäftseinheiten unabhängigen Stelle wahrzunehmen. “ (MaRisk Konsultation 02/2016, Fassung vom 18.02.16)

Fazit

  • Weitere Steigerung der Relevanz von Daten bzw. Informationen in den nächsten Jahren; stetige Zunahme der Bedeutung der Datenqualität und des Datenmanagements
  • Generierung von Kosteneinsparungen und Prozesseffizienzen unter Nutzung neuer Technologien
  • Maßgebliche Veränderung der Anforderungen an die Mitarbeiter und deren Know-how; Kenntnisse sowohl im fachlichen, technischen sowie datentechnischen Bereich erforderlich
  • Frühzeitige Schulung und Weiterbildung aller Beteiligten ist essenziel

Q_PERIOR verfügt über alle fachlichen und technischen Kompetenzen, die für eine erfolgreiche Implementierung eines nachhaltigen Datenmanagements essenziell sind – zentral in einem Team gebündelt. Damit Sie schnell ans Ziel gelangen, unterstützen wir Sie mit erprobten Tools und Methoden, die wir unter anderem in dem Framework abgebildet haben. Gemeinsam erarbeiten wir eine passgenaue und vor allem machbare Lösung, die allen regulatorischen Anforderungen genügt – denn nicht immer ist „Best-in-Class“ der richtige Weg.

Q_PERIOR Data Management Design Framework

Bestellen Sie jetzt kostenlos das Print-Plakat mit allen Details zur Unterstützung bei Projekten rund um das Thema „Datenmanagement“

JETZT BESTELLEN!
JETZT MEHR ERFAHREN!

MaRisk Neuerungen

Alles was Sie ab sofort bei Ihrem Datenmanagement berücksichtigen müssen!
JETZT MEHR ERFAHREN!

Q_PERIOR Data Management Design Framework

Bestellen Sie jetzt kostenlos das Print-Plakat zur Unterstützung bei Projekten rund um das Thema „Datenmanagement“

JETZT BESTELLEN!

WIR SIND FÜR SIE DA!

Mit Q_PERIOR steht Ihnen ein starker Partner zur Seite.
Wir freuen uns auf Ihre Herausforderung!

14. September 2017|