01 | 2014 banking insight

10

10 banking insight Data Governance Kopflose Steuerung Noch hapert es bei vielen Banken an der Grundvoraussetzung für BCBS 239: der Data Governance. Sie sorgt für eine Datenstrategie, die vom Vorstand aus alle Ebenen durchzieht. Doch in über der Hälfte der Fälle verantwortet der Vorstand die Steuerung der Daten gar nicht, in über einem Viertel kennt er sie nicht im Detail. Kein BCBS 239 ohne Data Governance. Die Steuerung von Daten ist Grundvoraussetzung für die Anforderungen des Baseler Papiers. Schließlich verlangt es von Banken, dass sie Daten aus allen Unternehmensbereichen einheitlich zusammentragen, um einen umfassenden Überblick über ihre Lage wiederzugeben. Dafür brauchen die Geldhäuser eine Datenstrategie, die vom Vorstand aus alle Ebenen durchzieht. Die Data Governance sorgt dafür, diese Strategie aufzusetzen und im Unternehmen zu verankern. Wie Banken dabei aktuell aufgestellt sind, zeigt die „banking insight“-Studie. Nachholbedarf bei der Steuerung Bei vielen Banken hapert es noch an einer zentralen Instanz, von der die Datenstrategie ausgeht. Ein Überwachungs- und Steuerungsboard für die Risikodaten-Prozesse haben lediglich zwei Drittel der untersuchten Institute (Abb. 1). Das heißt, dass die Banken im restlichen Drittel die operativen Prozesse der Risikodatenaggregation und der Risikoberichterstattung weder stringent noch einheitlich organisieren können. Immerhin wissen die meisten der betroffenen Geldhäuser um dieses Problem: 28 Prozent arbeiten bereits an einer Steuerungsinstanz, bei drei Prozent ist sie geplant. Doch auch wenn diese vorhanden ist, heißt das nicht, dass sie die nötige Durchsetzungsbefugnis, also das „Empowerment“, des Vorstands besitzt. Ebenso offen bleibt, ob das Überwachungs- und Steuerungsboard die Prozesse tatsächlich voll im Griff hat. Alarmierend ist, dass mit dem Risikomanagement ein Bereich Defizite aufweist, der für die Gesamtbanksteuerung besonders wichtig Abb. 1: Data Governance Gibt es in Ihrem Institut eine Instanz („Board“), welche die Risikoaggregations- und Risikoberichts-Frameworks gesamthaft überwacht sowie Änderungen an diesen Prozessen steuert, zum Beispiel zentrale Stellen in Fachbereichen, IT, fachübergreifende Komitees? 80 % 70 % 60 % 50 % 40 % 30 % 20 % 10 % 0 % 68 % Ja, bereits vorhanden 28 % Nein, ist aber bereits im Aufbau Nein, ist aber geplant Basis: alle Befragten (Fach- und Führungskräfte aus der IT), N = 111, nur eine Nennung ist. Das wirft die Frage auf, wie hoch die Mängel in anderen, weniger zentralen Bereichen sind. Und ob es außerhalb der Risikodaten noch schlechter um die Steuerung bestellt ist. Die Baseler Regulatoren äußerten sich jedenfalls bereits unzufrieden. Im BCBS-239-Basisdokument schreiben die Aufsichtsbehörden, dass Banken ihre Risikodaten-Prozesse unzureichend und zu langsam verbessern. Weitgehend etabliert 3 % 1 % Nein, ist auch nicht geplant Quelle: Studie banking insight 2014 Besser aufgestellt sind die Banken beim Management der Daten. Denn eine Instanz einzurichten, die eine Datenstrategie vorgibt, ist nur eine Seite der Data Governance — die Strategien umzusetzen, die andere. Neun von zehn befragten IT-Führungskräften geben an, in ihrem Institut ein Data Management zu haben (Abb. 2). Deutlich weniger sagen jedoch, dass es in ihren Bankhäusern Data Policys gibt, also Richtlinien für den Umgang mit Daten. Hier geben zwei Drittel an, dass diese für die Steuerungsbereiche Risikomanagement, Rechnungswesen und Treasury existieren. Da stellt sich die Frage, wie das deutlich weiter verbreitete Data Management für die drei Steuerungsbereiche ablaufen soll, wenn dazugehörige Data Policys fehlen. Hinzu kommt der Punkt, wie das Data Management und die Data Policys außerhalb von Risikomanagement, Rechnungswesen und Treasury aussehen.

Perspektiven 11 Wahrscheinlich sind die weitgehend etablierten Data Managements oft nicht strategisch ausgerichtet, sondern orientieren sich an allgemeinen Prinzipien. Das ist jedoch problematisch, wenn sie sich dabei nicht auf wesentliche Unternehmensdaten konzentrieren. Einbeziehung problematisch Die besten Data Policys und das raffinierteste Data Management nützen jedoch nichts, wenn die Bank ihre Mitarbeiter dafür nur unzureichend mobilisiert. Vor allem in der IT sollten Prozesse und Regeln für den Umgang mit Daten breitflächig bekannt sein — die Datenverarbeitung ist schließlich ihr Job. In einem Viertel der Fälle weiß aber der Vorstand nicht Bescheid und unterhalb der F-2-Ebene haben nur 13 Prozent eine detaillierte Kenntnis über die Data Governance (Abb. 3). Das zeigt, dass es den Banken dafür offenbar an geeigneten Kommunikationsansätzen fehlt. Noch problematischer: Die F-1-Ebene kennt sich in der Data Governance sogar minimal besser aus als die Vorstände. Während 76 Prozent der befragten Fach- und Führungskräfte aus der IT angeben, dass der F-1-Ebene eine detaillierte Kenntnis der Data Governance vorliegt, sind es beim Vorstand 74 Prozent. Dabei heißt es in den MaRisk: „Die Geschäftsleitung ist verantwortlich für die Festlegung und Anpassung der Strategien; diese Verantwortung ist nicht delegierbar.“ In der Praxis sieht das jedoch anders aus. So kommt es vor, dass der Vorstand das Thema Data Governance bis an die F-2-Ebene oder gar darunter weitergibt (Abb. 4). Nur in 44 Prozent der Fälle verantwortet hauptsächlich die Chefetage den Bereich, ebenfalls 44 Prozent sind es bei der F-1-Ebene. In neun Prozent der Fälle hat die F-2-Ebene das Zepter in der Hand und in drei Prozent ist es sogar darunter angesiedelt. Erfahrungen vor und während Sonderprüfungen, die die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) angeordnet hat, zeigen, dass die Bankvorstände Steuerungsthemen so lange vor sich herschieben, bis ein Auslöser sie dazu zwingt, sich damit zu befassen. Das erklärt auch, warum sie diese Themen nur unzureichend kommunizieren und damit das Instrument der Data Governance kaum nutzen. All die Ergebnisse zeigen: Governance-Themen sind offenbar noch immer nicht bei den Top-Entscheidern angekommen und werden daher nicht stringent genug angegangen. Diese grundlegende Schwäche verhindert ein effektives und effizientes Risikodatenmanagement – den Kern von BCBS 239. ■ Abb. 2: Data Governance Gibt es in Ihrem Institut durchgängige Datenqualitätsprozesse zur Steuerung des Risikomanagements? 100 % 80 % 60 % 40 % 20 % 0 % Abb. 3: Data Governance Auf welchen Führungsebenen liegt eine detaillierte Kenntnis der Regeln und Prozesse der Data Governance vor? Vorstand Führungsebene F 1 Führungsebene F 2 Unterhalb der F-2-Ebene 13 % Nichts davon 1 % 0 % 10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 % Abb. 4: Data Governance Auf welcher Führungsebene werden Data-Governance-Prozesse und -Regeln hauptsächlich verantwortet? Vorstand Führungsebene F 1 Führungsebene F 2 3 % 9 % 89 % Ja, es gibt ein Data Management Unterhalb der F-2-Ebene Ja, es gibt Data Policys für die Steuerungsbereiche Risikomanagement, Rechnungswesen und Treasury Basis: alle Befragten (Fach- und Führungskräfte aus der IT), N = 111, nur eine Nennung 41 % Basis: alle Befragten (Fach- und Führungskräfte aus der IT), N = 111, nur eine Nennung Basis: alle Befragten (Fach- und Führungskräfte aus der IT), N = 111, nur eine Nennung Nein, es gibt keine Quelle: Studie banking insight 2014 Quelle: Studie banking insight 2014 0 % 10 % 20 % 30 % 40 % 50 % 68 % 3 % 44 % 44 % 74 % 76 % Quelle: Studie banking insight 2014