Risiko-Reporting – flexibel und stabil

Das Finanzinstitut modernisiert mit SAS seine Kreditrisikoberichterstattung und ermöglicht so eine Erfüllung der BCBS-239-Richtlinien

BCBS 239: Granulare und durchgängige Berichterstattung

Das Regelwerk BCBS 239 stellt Banken vor große Herausforderungen in Sachen Reporting. Gefordert werden unter anderem eine interne Datenarchitektur und IT-Infrastruktur, die auch in Stressphasen vollumfänglich Risikodaten-Aggregation und Risikoberichterstattung ermöglichen. Vollständigkeit, Genauigkeit, Nachvollziehbarkeit, Kontrollen, Granularität, Anpassungsfähigkeit und Ad-hoc-Analysekapazitäten sind nur einige Punkte aus dem BCBS-239-Anforderungskatalog. Für Finanzinstitute bedeutet dies: Sie müssen eine detaillierte Sicht auf die Daten sowie eine durchgängige Dokumentation schaffen.

Eine Organisation, die sich dies zu Herzen nimmt, ist die Deutsche Postbank. Sie setzte sich als Ziel, ein granulares und nachvollziehbares Risiko-Reporting in einer auch für Analysen nutzbaren Umgebung zu schaffen. Darüber hinaus galt es, eine zentrale Erfassung von Berichtfreigaben einheitlich über Prozesse hinweg zu gewährleisten. Zudem sollten Fachanwender mit Analytics und einem generellen Zugriff direkt die Daten der Banken auswerten können – ohne dafür die Kollegen aus der IT-Abteilung bemühen zu müssen.

Neues Reporting-Fundament mit dem SAS BI Server

Mit dem SAS BI Server stellte die Deutsche Postbank ihre Berichterstellung auf ein neues Fundament. Zum einen sprach für diese Lösung, dass es aufgrund von bereits vorhandenen lokalen SAS Installationen Vorwissen zu SAS im Unternehmen gab. Zum anderen ist die SAS Programmiersprache dazu geeignet, komplexe Verarbeitungs- und Aggregationsprozesse abzubilden. Modellbauer wissen vor allem die statistischen Möglichkeiten zu schätzen. Für die Berichterstellung und Dokumentation nutzt die Deutsche Postbank die eigens dafür entwickelte Lösung PB Reporting and Analyses Common Environment (kurz PB RACE).

„Vorab standen sich bei der Frage nach der Entwicklung einer passenden IT-Lösung die Aspekte Agilität und Stabilität gegenüber“, erinnert sich Dr. Carsten Franz, Senior Professional Credit Valuations bei der Deutschen Postbank. Während klassische IT-Lösungen robust und zuverlässig laufen sowie bei IT-Standards und Datenschutz punkten, sind Eigenentwicklungen der Fachabteilungen tendenziell flexibler, schneller anpassbar und daher zum Beispiel besser für Stresstests geeignet.

Fruchtbarer Austausch zwischen Fachabteilung und IT

Die Lösung aus dem Dilemma war, das Beste aus beiden Bereichen zu verknüpfen. Die Umrüstung auf den SAS BI Server ist ein Paradebeispiel für das Zusammenspiel der verschiedenen Disziplinen im Unternehmen: Fachabteilung und IT haben sich intensiv ausgetauscht, um den Umbau der IT-Architektur und die Anforderungen des Fachbereichs (Konzernrisikocontrolling) effizient umzusetzen, ohne dass es Vorgaben hinsichtlich IT-Sicherheit oder dem Datenschutz widersprach. Ein wichtiges Thema war auch das zentrale Management. Verteilte Einzelplatzlizenzen der bisherigen lokalen Installationen konnten nun in das größere System überführt werden. Die vereinfachte Lizenzierung und die zentrale Verwaltung entlasten wiederum die IT, die sich ihren Kernaufgaben widmen kann. Einheitliche Programmierstandards tun ihr Übriges, um den Austausch zwischen Fachbereich und IT zu fördern.

Data Governance und Ad-hoc-Abfragen sind kein Problem

Herausforderungen waren das Thema Data Governance und die Kontrolle der Berechtigungskonzepte. Es musste gewährleistet sein, dass Nutzer ausschließlich Einblick in die Daten bekommen, die sie sehen dürfen. Mit dem SAS BI Server gestaltet sich die Nutzer- und Rechteverwaltung wesentlich einfacher als ein dezentrales Management auf den einzelnen Rechnern.

Die Absicherung des Systems erfolgt über zwei Ebenen: Im Metadatenserver werden alle häufig ausgeführten Fachbereichsprozesse abgelegt, wobei Entwicklungs-, Test- und Produktionsdaten jeweils ihre eigene Oracle-Datenbank haben. Damit wird einer der Grundanforderungen der IT-Sicherheit – die Trennung der Datenbestände – mit SAS Genüge getan, und es wird verhindert, dass Entwicklungs- und Testdaten in die Produktion geraten. Die zweite Ebene bildet eine Makroschicht, die sicherstellt, dass jeder Zugriff auf die Daten kontrolliert wird. Das Registratur-Makro notiert, dass und wie die Daten genutzt wurden – und zeichnet den Datenfluss vom Bericht bis zum Ursprungs-IT-System nach. Das gewährleistet eine durchgängige Nachvollziehbarkeit der Daten.

Ebenso wichtig: Das Unternehmen muss für Ad-hoc-Abfragen gewappnet sein. Dank der sehr hohen Datenverfügbarkeit und der Zusammenführung der unterschiedlichen Datenquellen mit SAS können Mitarbeiter jederzeit flexibel auf Anfragen der Aufsicht oder der Geschäftsleitung reagieren. Auch lassen sich die bisherigen Datenlieferungen leichter wiederholen, da Daten in einem einheitlichen Format angeliefert werden und genau die gleiche Analytik zum Einsatz kommen kann. Dadurch verringern sich Redundanzen und es ergeben sich Möglichkeiten zur Standardisierung.

Die Anwender in der Fachabteilung sind rundum zufrieden. Denn sie haben dank der Einbindung neuer Quellen Zugriff auf detailliertere Daten, zudem liegen diese schneller vor. SAS schafft die Voraussetzung dafür, indem die Lösung Zugang zu den unterschiedlichen zentralen Datenbanksystemen (SAP, Oracle) schafft.

„Als Fachbereich haben wir jetzt die Möglichkeit, flexibel Prozesse umzusetzen, ohne auf eine zuverlässige und direkte Datenanbindung an unsere IT-Systeme verzichten zu müssen. SAS schafft die Voraussetzung für flexible Analysen und regulatorische Konformität“, fasst Dr. Carsten Franz abschließend zusammen.