Die Aufsicht hat einen neuen Prüfungsfokus: RDARR. Banken sind gut beraten, ihre RDARR-Compliance einer kritischen Prüfung zu unterziehen und zügig nachzubessern. Denn der Geduldsfaden der Aufsicht scheint bereits jetzt zum Reißen gespannt zu sein.
Dieser Tage flattern die ersten Erinnerungsschreiben in die Briefkästen der deutschen Institute: die Bankaufsicht verliert scheinbar die Geduld und pocht mit dem Zeigefinger auf diese Abkürzung: RDARR. Sowohl im entsprechenden Konsultationspapier von Juli 2023 sowie in der finalen Version des Leitfadens von Anfang Mai dieses Jahres war und ist der Ton ungewöhnlich direkt – es entsteht ein wenig der Eindruck frustrierter Eltern, die nach Jahren des erfolglosen guten Zuredens in ihrer Erziehung härter durchgreifen wollen. Die Institute waren aus Sicht der Aufsicht zu untätig und die Toleranzgrenze sinkt. Was hat es mit RDARR auf sich? Und warum ist die Aufsicht bei diesem Thema so ungehalten?
Ein Blick zurück
RDARR steht für „Risk Data Aggregation and Risk Reporting“ (Risikodatenaggregation und Risikoberichterstattung). Aus Sicht der europäischen Aufsichtsbehörden kam das Thema der Datenauswertung zugunsten des datenbasierten Risikomanagements erstmals bei der Finanzkrise 2008 auf das Radar: in einem Rückblick bezeichneten sie mangelndes Verständnis ihrer Datenaggregationsprozesse als zentralen Faktor, der das Risikomanagement der Institute eingeschränkt hatte.
Aus dieser Erkenntnis stammen die BCBS 239 Prinzipien für effektive RDARR aus dem Jahr 2013, in denen Best Practices für Datenmanagement und Risikoreporting in Finanzinstituten vorgestellt wurden. In einer ersten Survey der Aufsichtsbehörden 2016 stellten sie jedoch fest, dass keines der untersuchten Institute die BCBS 239 Prinzipien zufriedenstellend umgesetzt hatte. Drei Jahre später folgte erneut ein offizieller Aufruf der Aufsicht, die Best Practices zeitnah umzusetzen.
Im genannten Konsultationspapier RDARR, dem „Leitfaden zur effektiven Aggregation von Risikodaten und zur Risikoberichterstattung“ aus dem Jahr 2023 sowie in der finalen Version von Mai 2024 stellt die Aufsicht jedoch abermals fest, dass verhältnismäßige RDARR-Compliance weiterhin die Ausnahme bleibt und die BCBS 239 Prinzipien immer noch nicht vollständig umgesetzt sind. Tatsächlich war die RDARR-Prüfung im SREP 2022 die Unterkategorie mit den schlechtesten Ergebnissen.
Was fordert die Aufsicht?
Die Aufsicht fordert seit Jahren, dass Banken RDARR-Tauglichkeit etablieren. Was bedeutet das genau?
Dem Konsultationspapier zu RDARR sind sieben Schlüsselforderungen zu entnehmen. Dabei lassen sich zwei Gruppen ausmachen.
Drei Schlüsselforderungen setzen den Fokus auf die Verantwortung auf Ebene der Leitungsorgane und die Data Governance der Institute::
- Übernahme der Verantwortung auf Vorstandsebene: Ein dediziertes Vorstandsmitglied soll die Verantwortung für die Qualität der Risikodaten übernehmen, RDARR Aufgaben priorisieren und die Rollen und Verantwortlichkeiten eines Data Governance Frameworks im Institut definieren.
- Etablierung eines ausreichenden Data Governance Frameworks: Das Framework soll alle Konzerngesellschaften, Risikokategorien, Geschäftsbereiche sowie Prozesse der Finanz- und Aufsichtsbereiche, alle internen Risikomanagementmodelle und den gesamten Lebenszyklus der Daten umfassen, vom Ursprung der Daten bis zum Reporting.
- Etablierung einer effektiven Data Governance Framework Organisation: Die Institute sollen eine zentrale Data Governance Funktion einrichten und die Schlüsselrollen und Verantwortlichkeiten wie bspw. Data Owner definieren und ernennen.
Drei weitere Schlüsselforderungen widmen sich operativen Aufgaben in der RDARR:
- mplementierung einer konzernweiten integrierten Datenarchitektur: Dies beinhaltet Datendefinitionen und -glossar mit klarer Data Ownership, Validierungsregeln und E2E-Data Lineage.
- Einführung konzernweiter Datenqualitätskontrollen und -standards: Hierbei soll neben der Implementierung von Datenqualitäts-Prüfregeln auch Indikatoren mit Toleranzschwellen und einem Vorgehen zur Behandlung von Verstößen definiert werden. Datenqualitätsprobleme sollen ständig überwacht werden.
- Aktualität der internen Risikoberichterstattung: Die Berichterstattung soll dabei ein gesundes Verhältnis zwischen dem Zeitaufwand und der Frequenz der Berichterstellung berücksichtigen. Jedes Institut sollte auf problematische Ergebnisse der Berichte schnell und zielgerichtet reagieren können. Dazu gehört auch, dass die Banken die nötige Expertise jederzeit auf Abruf haben.
Im Unterschied zum Konsultationspapier bezieht die Aufsicht in der finalen Version von Mai 2024 auch explizit Klima- und Umweltrisiken in ihre Forderungen mit ein. Damit erweitert sich der Fokus und das Aufgabengebiet nochmals.
Die finale Forderung beschreibt die Erwartung der Aufsicht bezüglich der Umsetzung dieser beiden Gruppen:
- Effektive Umsetzungsprogramme: Die sechs genannten Punkte sollen schnell und vollständig umgesetzt werden, wobei alle Lücken zu den BCBS 239 Prinzipien geschlossen werden sollen. Institute sollten in der Lage sein, einen Plan mit entsprechenden Zielen, Meilensteinen und Finanzierungs- sowie Umsetzungsschritten vorzuweisen.
Im Großen und Ganzen sind diese Forderungen nichts Neues. Neu ist, mit welcher Intensität die Aufsichtsbehörden die Umsetzung fordern und mit welchem Nachdruck sie darauf pochen, dass es zeitnah geschieht: Im Konsultationspapier verpflichtet sich die EZB-Bankenaufsicht dazu, all ihre Aufsichtsmittel und -befugnisse zu nutzen, falls die entsprechenden Maßnahmen nicht umgesetzt werden. Damit steht nun auch die Anwendung aufsichtlicher Werkzeuge wie Eigenkapitalaufschläge oder Einschränkungen des Neugeschäfts im Raum.
Die Institute sind noch gelassen
Wie reagieren die Institute darauf? Sie sind zurzeit noch relativ gelassen, obwohl die Aufsicht RDARR als Prüfungsfokus für die Periode 2023 – 2025 angekündigt hatte. Die Umsetzung läuft in den deutschen Banken mit unterschiedlicher Geschwindigkeit und unterschiedlichen Schwerpunkten an bzw. weiter. Inwiefern die Geschwindigkeit und Effektivität dieser Umsetzungsprojekte für die Aufsicht zufriedenstellend sind, ist eine andere Frage.
Ein großes Problem scheint es zu sein, die Lineage end-to-end von den operativen Systemen bis zum letzten Nutzungsschritt im Reporting durchzuziehen, wie es von der Aufsicht gefordert wird – die meisten Institute haben hier einen Bruch der Data Lineage in der Verarbeitungskette.
Das liegt an der üblichen Vorgehensweise der deutschen Institute: meist bilden Data Lineage Tools den Datenfluss primär im Data Warehouse ab, jedoch nur von dessen Eingang bis zum Ausgang. Daten fließen von dort in nachgelagerte Systeme, welche Daten weiter aggregieren und wieder in das Data Warehouse (DHW) zurückschreiben. Im DWH wird die Data Lineage zwar wieder erfasst, jedoch nur, bis sie das DWH wieder verlassen und im nächsten System weiterverarbeitet werden. Die Lineage und Aggregationslogik innerhalb der Systeme außerhalb des DWH wird dabei meist nicht erfasst und dokumentiert. Es kommt zum Bruch in der E2E-Data Lineage und damit zu fehlenden Informationen für das Verständnis des kompletten Datenflusses.
Die Data Lineage über alle Systeme hinweg zu erfassen, bedeutet einen enormen Aufwand für die Institute. Doch neben dem Zeit- und Kostenaufwand steht ein Akzeptanzproblem zwischen der Forderung der Aufsicht nach mehr Nachvollziehbarkeit und der Umsetzung im Datenhaushalt: insbesondere in operativen Systemen wird schlicht kein Nutzen dieses Aufwands gesehen.
Die Problematik mit der E2E-Data Lineage ist nur ein kleiner Ausschnitt aus den umfassenden RDARR-Anforderungen der Aufsicht. Die genannten Lücken bei den Themen Governance und konzerneinheitlichen Data Quality-Vorgaben zeichnen jedoch ein ähnliches Bild, nämlich dass die derzeitigen Lösungen die Datenmanagement Best Practices nicht konsequent genug umsetzen.
Geduld der Aufsicht geht zur Neige
Insbesondere der letzte Schritt in der Risikodatenaggregation, die Bereitstellung von Risikodaten in flexiblen und aussagekräftigen Reportings, ist in den Augen der Aufsicht eines der drängendsten Handlungsfelder, bei den sie sich eine bessere Umsetzung in den Instituten wünscht. Risikoberichte müssen nach Meinung der Aufsicht deutlich schneller bereitgestellt werden können, um im Falle von Krisen die relevanten Risikotreiber möglichst flexibel und einfach auswerten zu können. Nur so seien Institute in der Lage angemessen reagieren zu können.
Aufsichtsbehörden und Institute schauen insgesamt noch aus unterschiedlichen Perspektiven auf das Thema RDARR. Doch spätestens mit dem Aufgreifen der BCBS 239 Prinzipien in der Guideline zu RDARR hat die Aufsicht klar gemacht, dass ihr Geduldsfaden langsam zu reißen droht. Die Briefe sind ein erstes Zeichen, dass die Aufsicht mit der Entwicklung der RDARR-Compliance in den Instituten nicht zufrieden ist. Diese sollten sich daher rechtzeitig einen Überblick verschaffen, an welchen Stellen noch Nachbesserungsbedarf besteht, und Maßnahmenpläne erarbeiten, bevor die Aufsicht ihre Drohungen in die Tat umsetzt.
.
Jens Diekmann ist Koautor des Beitrags. Der Senior Manager bei PPI berät Kunden aus dem Bankensektor zu diversen Fragestellungen rund um das Thema Daten. Dies umfasst Daten-Architektur und -Modellierung ebenso wie Daten-Visualisierungen und die dazu notwendigen SW-Tools.