Datenmanagement, Datenqualität, und Aggregation von Risikodaten
- Die Anforderungen dieses Moduls richten sich an bedeutende Institute und gelten sowohl auf Gruppenebene als auch auf der Ebene der wesentlichen gruppenangehörigen Einzelinstitute. Das Institut hat institutsweit und gruppenweit geltende Grundsätze für das Datenmanagement, die Datenqualität und die Aggregation von Risikodaten festzulegen, die von der Geschäftsleitung zu genehmigen und in Kraft zu setzen sind.
- Datenstruktur und Datenhierarchie müssen gewährleisten, dass Daten zweifelsfrei identifiziert, zusammengeführt und ausgewertet werden können sowie zeitnah zur Verfügung stehen. Hierfür sind, soweit möglich, einheitliche Namenskonventionen und Kennzeichnungen von Daten festzulegen und innerhalb des Instituts zu kommunizieren. Bei unterschiedlichen Namenskonventionen und Kennzeichnungen hat das Institut sicherzustellen, dass Daten automatisiert ineinander überleitbar sind.
- Das Institut hat zu gewährleisten, dass Risikodaten genau und vollständig sind. Daten müssen nach unterschiedlichen Kategorien auswertbar sein und sollten, soweit möglich und sinnvoll, automatisiert aggregiert werden können. Der Einsatz und der Umfang manueller Prozesse und Eingriffe sind zu begründen und zu dokumentieren und auf das notwendige Maß zu beschränken. Die Datenqualität und die Datenvollständigkeit sind anhand geeigneter Kriterien zu überwachen. Hierfür hat das Institut interne Anforderungen an die Genauigkeit und Vollständigkeit der Daten zu formulieren.
- Die Risikodaten sind mit anderen im Institut vorhandenen Informationen abzugleichen und zu plausibilisieren. Es sind Verfahren und Prozesse zum Abgleich der Risikodaten und der Daten in den Risikoberichten einzurichten, mittels derer Datenfehler und Schwachstellen in der Datenqualität identifiziert werden können.
- Die Datenaggregationskapazitäten müssen gewährleisten, dass aggregierte Risikodaten, sowohl unter gewöhnlichen Umständen als auch in Stressphasen, zeitnah zur Verfügung stehen. Das Institut hat unter Berücksichtigung der Häufigkeit von Risikoberichten den zeitlichen Rahmen zu definieren, innerhalb dessen die aggregierten Risikodaten vorliegen müssen.
- Die Datenaggregationskapazitäten müssen hinreichend flexibel sein, um Informationen ad hoc nach unterschiedlichen Kategorien ausweisen und analysieren zu können. Dazu gehört auch die Möglichkeit, Risikopositionen auf den unterschiedlichsten Ebenen (Geschäftsfelder, Portfolios, ggf. Einzelgeschäfte) auszuweisen und zu analysieren.
- Für alle Prozessschritte sind Verantwortlichkeiten festzulegen und entsprechende prozessabhängige Kontrollen einzurichten. Daneben ist regelmäßig zu überprüfen, ob die institutsinternen Regelungen, Verfahren, Methoden und Prozesse von den Mitarbeitern eingehalten werden. Die Überprüfung ist von einer von den geschäftsinitiierenden bzw. geschäftsabschließenden Organisationseinheiten unabhängigen Stelle wahrzunehmen.