Datenqualitätsaspekte in Revisionsprüfungen

Falk Beyer, Prüfungsleiter, Revision Banksteuerung, Sparkasse KölnBonn

Neben den derzeit herausfordernden volkswirtschaftlichen Rahmenbedingungen und dem intensiven Wettbewerbsumfeld verkürzt sich zusätzlich der Rhythmus mit dem regulatorische Anforderungen und Neuerungen umgesetzt und angewendet werden müssen. Darüber hinaus wirken sich auch erhöhte quantitative und qualitative Anforderungen an die Organisation und IT-Ausstattung auf die Gesamtbanksteuerung aus.

Aktuell werden die Themengebiete Datenmanagement, Datenhaushalte und Datenqualitätsmanagement sehr stark in den Fokus der aufsichtsrechtlichen Prüfungstätigkeiten gestellt. Eine angemessene Datenqualität sollte intrinsisch motiviert sein, da es sich hierbei um einen wesentlichen Erfolgsfaktor eines Kreditinstituts handelt. Obwohl Datenqualitätsprobleme in den Kreditinstituten allseits bekannt sind, wurden diese jedoch i. d. R. nicht konsequent gelöst.

Aktuelle Herausforderungen in den Kreditinstituten

Es muss ein Bewusstsein implementiert werden, dass Datenqualität und Datenqualitätsmanagement ein übergreifendes Querschnittsthema in einem Kreditinstitut ist und so auch verstanden werden sollte. Insbesondere empfiehlt es sich, auf ein einheitliches Verständnis von Datenqualität im Gesamthaus hinzuarbeiten. Natürlich müssen gewisse Strukturen zur Bearbeitung dieses Themengebiets geschaffen werden, dennoch sollte Datenqualität für jeden einzelnen Mitarbeiter auf der Agenda stehen.

Darüber hinaus ist eine zentrale Frage, inwieweit sich zentrale Einheiten auf qualitätsgesicherte Daten verlassen können oder müssen. Da es sicherlich nicht effizient ist, dass umfangreiche qualitätssichernde Maßnahmen erst im Meldewesen oder Controlling durchgeführt werden. Gleichzeitig ist eine angemessene Datenqualität essentiell für die Durchführung von Steuerungsmaßnahmen.

BUCHTIPPS

• Buchmüller/Pfeifer(Hrsg.), MaRisk Interpretationshilfen, 5. Aufl. 2018.
• Handbuch Neu-Produkt-Prozess, 2018.

Prüfungsansätze und Herausforderungen für die Interne Revision

In Analogie zu den erhöhten quantitativen und qualitativen Anforderungen für die entsprechenden Fachbereiche nehmen auch die Herausforderungen für die Interne Revision stetig zu. Die Prüfungsfelder werden ebenso umfangreicher wie komplexer.

Umso wichtiger ist es, sich auch in der Revision aufbauorganisatorisch an die veränderten Rahmenbedingungen bzgl. einer angemessenen quantitativen als auch qualitativen Personalausstattung anzupassen. Insbesondere sind die steigenden Anforderungen an das IT-Verständnis sowie erhöhte Anforderungen an die Beurteilung komplexer IT-Systemarchitekturen und Datenqualitätsaspekte zu nennen.

Insgesamt sollten in den Revisionsprüfungen – vor dem aktuellen aufsichtsrechtlichen Hintergrund – Datenqualitätsaspekte in Form von System- und Funktionsprüfungen Gegenstand

sein. Im Rahmen einer übergeordneten Systemprüfung könnten z. B. folgende Punkte als Prüfungsaspekte herangezogen werden:

• organisatorischer Aufbau von Datenqualitätsmanagement
• Abgrenzung von Datenqualitätsmanagement zu mangelndem Prozessverständnis oder fehlender technischer Unterstützung
• Regelungen von klaren Zuständigkeiten und Verantwortungsbewusstsein für Datenqualitätsmanagement
• Sensibilisierung bzw. Fortbildung von Mitarbeitern
• Integration in die Geschäfts- und Risikostrategie
• technisches Know how bzgl. der Datenhaushalte, Datenlieferungsketten

In Funktionsprüfungen sollten Datenqualitätsaspekte und die daraus resultierenden Risiken geprüft und aufgedeckt werden. Hierbei ist besonders auch auf die Datenbereitstellung zu achten. Daher sollte auch in jeder Prüfung eine Beurteilung der System- und IT-Infrastruktur erfolgen.

Auf Basis der IT-Landschaft (Standardsysteme oder Eigenentwicklungen) sind die daraus resultierenden Risiken zu beurteilen. Gleichzeitig ist auch eine Plausibilisierung der durch Rechenzentren bereitgestellten Daten erforderlich. Hierbei ist der Automatisierungsgrad der Verarbeitung von Stamm- und Geschäftsdaten zu berücksichtigen. Daher sollte prüferisch bewertet werden, in welchen Bereichen manuelle Anpassungen und Korrekturen vorgenommen und insbesondere ob diese im Rahmen der Prozesse nachvollziehbar dokumentiert werden. In diesem Zusammenhang sollte auch die Beurteilung der Rollen- und Berechtigungskonzepte (Zugriffsmöglichkeiten) einer prüferischen Durchsicht unterzogen werden.

Die Datenqualität der zu verarbeitenden Daten ist ein entscheidender Faktor für die Güte der internen und externen Berichterstattung. In diesem Zusammenhang ist auch der Überprüfungs- und Plausibilisierungsaufwand von entscheidender Bedeutung, da mit einer nicht angemessenen Datenqualität auch verstärkt Überprüfungen bzw. im zweiten Schritt auch Bereinigungen und somit ein umfangreicher Änderungsdienst erforderlich sein können.

Durch Funktionsprüfungen aufgedeckte Datenqualitätsmängel sollten in einer Gesamtbetrachtung auf sämtliche Aspekte der Gesamtbanksteuerung bewertet werden. Die geprüften Daten stellen i. d. R. für weitere Auswertungen, interne oder externe Berichterstattungen bzw. Meldeanforderungen die Datengrundlage dar. Dadurch können insbesondere Fehlsteuerungsimpulse oder Sanktionen der Aufsicht vermieden werden.

SEMINARTIPPS

• Effiziente Stichprobenverfahren in der Prüfungspraxis, 13.09.2018, Frankfurt/M.
• Prüfungsvorbereitende Dokumentation von MaRisk-Öffnungsklauseln, 08.10.2018, Berlin.
• Prüfung § 18/18a KWG- & Bonitätsanalyse-Prozesse, 09.10.2018, Berlin.
• Externe Daten & Ratings nach neuen MaRisk: eigene Plausibilisierungen – Dokumentation – Verwendung, 16.10.2018, Frankfurt/M.
• Verlustdaten & Erlösquoten, 17.10.2018, Frankfurt/M.
• Aktuelle Offenlegung von Finanz- & Risikodaten, 06.12.2018, Frankfurt/M.

Projektbegleitungen

Aufgrund der erhöhten und neuen Anforderungen insbesondere aus den MaRisk und den BAIT führen die Kreditinstitute i. d. R. größere Projekte zur Umsetzung der Anforderungen durch. Hierbei ist zu beachten, dass die Revision gemäß BT 2.1 Tz. 2 MaRisk bei wesentlichen Projekten projektbegleitend tätig ist. Grundsätzlich sollten diese Projekte aufgrund ihres aufsichtsrechtlichen Charakters und auch der Steuerungsrelevanz diesen wesentlichen Status erfüllen. Unter Wahrung der Unabhängigkeit und Vermeidung von Interessenkonflikten können jedoch insbesondere das Projektmanagement und auch die Erreichung der Projektziele gewürdigt werden. Darüber hinaus erleichtert dies später den Einstieg in die Sachprüfungen.

PRAXISTIPPS

• Integration von Datenqualitätsmanagement in System- und Funktionsprüfungen
• Ausrichtung der Personalausstattung an die erhöhten Anforderungen zur Beurteilung von IT-Systemen und Datenprozessen
• Querschnittsthemen bei identifizierten Datenqualitätsmängeln beachten
• Durchführung von Projektbegleitungen