Flexible Prozesse: Deutsche Postbank macht ihr Risiko-Reporting BCBS-239-ready

BCBS 239 fordert von Finanz­instituten ein Maximum an Transparenz, Vollständigkeit, Genauigkeit und Nachvollziehbarkeit in Sachen Risiko-Reporting. Dr. Carsten Franz, Senior Professional Credit Valuations, berichtet über die technische Umsetzung bei der Deutschen Postbank.

von Dr. Carsten Franz, Senior Professional Credit Valuations, Deutsche Postbank AG

Das Regelwerk BCBS 239 stellt Banken vor große Herausforderungen in Sachen Reporting. Gefordert werden unter anderem eine interne Datenarchitektur und IT-Infrastruktur, die auch in Stressphasen vollumfänglich Risikodaten-Aggregation und Risikoberichterstattung ermöglicht. Vollständigkeit, Genauigkeit, Nachvollziehbarkeit, Kontrollen, Granularität, Anpassungsfähigkeit und Ad-hoc-Analysekapazitäten sind nur einige Punkte aus dem BCBS-239-Anforderungskatalog. Für Finanzinstitute bedeutet dies: Sie müssen eine detaillierte Sicht auf die Daten sowie eine durchgängige Dokumentation schaffen.

Als Fachbereich haben wir jetzt die Möglichkeit, flexibel Prozesse umzusetzen, ohne auf eine zuverlässige und direkte Datenanbindung an unsere IT-Systeme verzichten zu müssen.“

Die Deutsche Postbank setzte sich daher als Ziel, ein granulares und nachvollziehbares Risiko-Reporting in einer auch für Analysen nutzbaren Umgebung zu schaffen. Darüber hinaus galt es, eine zentrale Erfassung von Berichtsfreigaben einheitlich über Prozesse hinweg zu gewährleisten. Zudem sollten Fachanwender mit Analytics und einem generellen Zugriff direkt die Daten der Banken auswerten können – ohne dafür die Kollegen aus der IT-Abteilung bemühen zu müssen.

Neue BI-Architektur

Mit dem SAS BI Server stellte die Deutsche Postbank ihre Berichterstellung auf ein neues Fundament. Dafür sprachen verschiedene Gründe. Zum einen gab es aufgrund von bereits vorhandenen lokalen Installationen Vorwissen im Unternehmen. Zum anderen ist die dazugehörige Programmiersprache geeignet, komplexe Verarbeitungs- und Aggregationsprozesse abzubilden. Modellbauer wissen vor allem die statistischen Möglichkeiten zu schätzen. Für die Berichterstellung und Dokumentation nutzt die Deutsche Postbank die eigens dafür entwickelte Lösung PB Reporting and Analyses Common Environment (kurz PB RACE).

Vorab standen sich bei der Frage nach der Entwicklung einer passenden IT-Lösung die Aspekte Agilität und Stabilität gegenüber. Klassische IT-Lösungen laufen robust und zuverlässig, zudem punkten sie bei IT-Standards und Datenschutz. Eigenentwicklungen der Fachabteilungen sind dafür tendenziell flexibler, schneller anpassbar und daher zum Beispiel besser für Stresstests geeignet.

Fruchtbarer Austausch zwischen Fachabteilung und IT

Die Postbank nahm die Herausforderung an, beide Ansätze zu kombinieren. Dafür war es notwendig, dass die verschiedenen Disziplinen im Unternehmen an einem Strang ziehen: Fachabteilung und IT haben sich intensiv ausgetauscht, um den Umbau der IT-Architektur und die Anforderungen des Fachbereichs (Konzernrisikocontrolling) effizient umzusetzen, ohne dass dies Vorgaben hinsichtlich IT-Sicherheit oder dem Datenschutz widersprach. Ein wichtiges Thema war auch das zentrale Management. Verteilte Einzelplatzlizenzen der bisherigen lokalen Installationen konnten nun in das größere System überführt werden. Die vereinfachte Lizenzierung und die zentrale Verwaltung entlasten wiederum die IT, die sich ihren Kernaufgaben widmen kann. Einheitliche Programmierstandards tun ihr Übriges, um den Austausch zwischen Fachbereich und IT zu fördern.

Data Governance und Ad-hoc-Abfragen sind kein Problem

Herausforderungen waren das Thema Data Governance und die Kontrolle der Berechtigungskonzepte. Es musste gewährleistet sein, dass Nutzer ausschließlich Einblick in die Daten bekommen, die sie sehen dürfen. Mit dem SAS BI Server gestaltet sich die Nutzer- und Rechteverwaltung wesentlich einfacher als ein dezentrales Management auf den einzelnen Rechnern.

Die Absicherung des Systems erfolgt über zwei Ebenen: Im Metadatenserver werden alle häufig ausgeführten Fachbereichsprozesse abgelegt, wobei Entwicklungs-, Test- und Produktionsdaten jeweils ihre eigene Oracle-Datenbank haben. Damit wird einer der Grundanforderungen der IT-Sicherheit – die Trennung der Datenbestände – Genüge getan, und es wird verhindert, dass Entwicklungs- und Testdaten in die Produktion geraten. Die zweite Ebene bildet eine Makroschicht, die sicherstellt, dass jeder Zugriff auf die Daten kontrolliert wird. Das Registratur-Makro notiert, dass und wie die Daten genutzt wurden – und zeichnet den Datenfluss vom Bericht bis zum Ursprungs-IT-System nach. Das gewährleistet eine durchgängige Nachvollziehbarkeit der Daten.

Ebenso wichtig: Das Unternehmen muss für Ad-hoc-Abfragen gewappnet sein. Dank der sehr hohen Datenverfügbarkeit und der Zusammenführung der unterschiedlichen Datenquellen können Mitarbeiter jederzeit flexibel auf Anfragen der Aufsicht oder der Geschäftsleitung reagieren. Auch lassen sich die bisherigen Datenlieferungen leichter wiederholen, da Daten in einem einheitlichen Format angeliefert werden und genau die gleiche Analytik zum Einsatz kommen kann. Dadurch verringern sich Redundanzen, und es ergeben sich Möglichkeiten zur Standardisierung.

Die Anwender in der Fachabteilung sind rundum zufrieden. Denn sie haben dank der Einbindung neuer Quellen Zugriff auf detailliertere Daten, zudem liegen diese schneller vor. SAS schafft die Voraussetzung dafür, indem die Lösung Zugang zu den unterschiedlichen zentralen Datenbanksystemen (SAP, Oracle) schafft.aj