Banken müssen sich angesichts regulatorischer Anforderungen verstärkt fragen, wie sie Governance umsetzen und ihren Betrieb richtlinienkonform gestalten. Voraussetzung dafür: Datenqualität (über einen „Single Point of Truth“ für Daten) und das Abschaffen manueller Prozesse. Nur damit ist es möglich, Eskalationspfade zu schaffen, mit denen sich nachweisen lässt, was wie wann und warum gemacht worden ist. Diese Art der Dokumentation versetzt Banken in die Lage, aktuelle Compliance-Anforderungen zu erfüllen und Reports auf Knopfdruck zu liefern.
Eskalationspfade müssen nachvollziehbar sein
Einen Prozess modellieren und in einer Richtlinie beziehungsweise Policy festzulegen, reicht nicht mehr aus. Es kommt auch darauf an, diesen Prozess durchzusetzen. Im zweiten Schritt geht es also darum, dafür zu sorgen, dass die aus den Daten hervorgehenden Handlungsanweisungen (beispielsweise in Form von Checklisten, Workflows etc.) tatsächlich ausgeführt werden und Eskalationspfade nachvollziehbar sind – sei es bei der Vergabe von Krediten, bei der internen Revision oder Geschenkrichtlinien für Mitarbeiter. Das funktioniert nur mit entsprechender technischer Unterstützung. Die IT kann eine integrierte Sicht auf alle an einem Prozess beteiligten Komponenten geben. Diese Chance haben Banken jedoch noch lange nicht ausgeschöpft.
Integrierte Sicht
Risikomodelle spielen bei Banken eine immens wichtige Rolle. Doch die zugrundeliegenden Modelle müssen immer wieder auf den Prüfstand gestellt und miteinander abgeglichen werden. Im Zuge der Finanzkrise hat die Bankenaufsicht signifikante Unterschiede in der Bewertung zum Beispiel von Kreditrisiken durch Modelle identifiziert. Das Thema „Modellrisiko“, also das Risiko, dass das Modell nicht mehr die realen Gegebenheiten abbildet, ist daraufhin stärker in das Bewusstsein gerückt und wurde in verschiedensten regulatorischen Änderungen verankert (Basel III, CRD IV, CCAR, Solvency II etc.), auch BCBS 239 fordert die Verständlichkeit der Risikolage für den Adressatenkreis. Ganz aktuell befasst sich auch die Europäische Bankenaufsichtsbehörde (EBA) in dem Papier CP/2014/36 mit der technischen regulatorischen Ausgestaltung des Überprüfungsprozesses bei internen Modellen im IRB-Ansatz.
Komplexität und Masse als Herausforderung
Ein Aspekt, den es daher lohnt, näher zu betrachten, ist das Model Risk Management. Es gilt, das Modellrisiko über den gesamten Lebenszyklus hinweg im Griff zu haben und dies auch dokumentiert bei Prüfungen nachweisen zu können. Voraussetzung ist, dass ein Prozess nicht nur auf dem Papier etabliert, sondern auch im Geschäftsablauf, verankert wird. Dies erfordert wiederum eine durchgängige Unterstützung durch die IT. Sowohl die Entwicklung, Freigabe und Produktivsetzung von Modellen als auch die turnusmäßige Überprüfung mit eventueller Anpassung oder Außerbetriebnahme von Modellen ist nachvollziehbar und revisionssicher umzusetzen und zu dokumentieren. Hier ist ein zuverlässiges Zusammenspiel von unterschiedlichen Protagonisten aus Modellentwicklung, -anwendung, -prüfung und -revision unter workflowgesteuerten Abläufen mit Freigabemechanismen und Dokumentation gefragt, wie sie verschiedene integrierte Technologieplattformen bieten.
Neukalibrierung in beide Richtungen notwendig
Wie wichtig Konsistenz ist, zeigt sich in der gegenseitigen Abhängigkeit von Modellen, beispielsweise bei Rechnungslegung und Kreditrisiko. Konkret: Muss bei der Parameterschätzung eine Anpassung des Kreditrisikoratingmodells vorgenommen werden, sollte diese auch eine Modifizierung des IFRS 9-Modells nach sich ziehen. Auf diese Weise lässt sich vermeiden, dass zwei verschiedene Modelle zu zwei komplett unterschiedlichen Bewertungen kommen.
Fazit
Seit mit BCBS 239 Risikoberichte auf Knopfdruck oder von der EZB beziehungsweise EBA ganzheitliche Stresstests gefordert werden, sind die Zeiten, in denen jede Abteilung in Sachen Dokumentation und Überprüfung ihr eigenes Süppchen kochen kann, vorbei. Auch die zukünftige Prüfungspraxis der Europäischen Zentralbank (EZB) durch den Supervisory Review and Evaluation Process (SREP) wird nicht nur in Europa von allen Banken eine neue Transparenz ihrer Geschäftsmodelle sowie ihrer operationalisierten Modellannahmen und -wirkungen fordern. Model Risk Management ist zwar nur einer, aber ein nicht zu unterschätzender Baustein in einem ganzheitlichen Enterprise-weiten GRC-Framework. Mit einer integrierten Technologieplattform wird Transparenz und Kontrolle über alle im Institut genutzten Modelle sichergestellt – und somit die Basis für Richtlinienkonformität von Banken in allen Bereichen geschaffen.