model risk management: Alles im Griff? (Teil 2)

0

Kennen Sie einen Riskmanager, der sich schon mal mit dem Risiko beschäftigt hat, das von seinen eigenen Risikomodellen ausgeht? Ja? Das glaube ich Ihnen sogar, denn wenn ich mich mit Vertretern von Risikoabteilungen darüber unterhalte, behaupten auch sie, sie hätten in Bezug auf Modellrisiko-Management (model risk management) alles im Griff. Doch die Realität sieht anders aus. Es gibt auch hier sehr viel Nachholbedarf. Der Beweis dafür ist unter anderem, dass sich sogar die EBA aktuell mit dem Thema im Rahmen des IRB Ansatzes (CP/2014/36)  beschäftigt.

Modellrisiko-Management: Die 4 Ebenen nach Chartis Research
Modellrisiko-Management: Die 4 Ebenen nach Chartis Research

Aber die Risikomodelle sind nicht erst seit der Finanzkrise ins Gerede gekommen, als die Aufsicht z.B. signifikante Bewertungs-Unterschiede in Modellen bzw. Schwächen im operativen Umgang mit Modellrisiken identifiziert hat. Und damit hat sie das Thema Modellrisiko, also welche Risiken von den Risiko-Modellen selber ausgehen, zur Chefsache erklärt und Folgen folgen lassen. Basel III, CRD IV, CCAR oder Solvency II – überall wird dieses Thema nun regulatorisch thematisiert. Auch beim Thema BCBS 239 wollen die Ordnungshüter die Verständlichkeit der Risikolage, auch hinsichtlich Modellen, für den Adressatenkreis noch mehr in den Vordergrund stellen.

Übrigens auch bei den Stresstests und Asset Quality Reviews (AQR) hat sich herausgestellt, dass die Modelle hinterfragt bzw. auf ihre „Richtigkeit“ hin überprüft werden dürfen.

Risk Management steht und fällt also auch mit den dahinter liegenden analytischen Modellen, die bspw Kreditrisiken verlässlich bewerten sollen. Es muss also die Frage erlaubt sein, ob wir über den gesamten Lebenszyklus hinweg wirklich alles im Griff haben und ob alles lückenlos dokumentierbar ist und Prüfungen standhält. Ich glaube nicht!

Doch beginnen wir von Vorne; beginnen wir bei den Herausforderungen, die gar nicht mal so einfach zu definieren sind. Ich sehe hier vor allem die schiere Masse an Modellen als ein Problem an. Dann kommt die Komplexität jedes einzelnen Modells hinzu. Daneben müssen wir auch mögliche Aktualisierungen berücksichtigen, die ständige Modellanpassungen erfordern beispielsweise im Rahmen der Rechnungslegung nach IFRS 9. Und um es noch komplexer werden zu lassen, sind auch die Abhängigkeiten der Modelle untereinander zu berücksichtigen ebenso wie das Thema Konsistenz: Nicht nur auf dem Papier müssen gleichartige Modelle konsistent sein. Als Beispiel sei die Parameterschätzung für das Impairment nach IFRS9 oder auch für die Kreditrisikoberechnung genannt. Beide Bereiche erfordern ähnliche Vorgehensweisen und Modelle, so dass z.B. bei der Neueinführung von Modellen im Impairment nach IFRS9 auch sichergestellt werden sollte, dass ebenso im Kreditrisiko die entsprechenden Modelle überprüft werden. Dies gilt dann auch hinsichtlich der Neukalibrierungen in beide Richtungen.

Modellrisiko-Management (model risk management)

Was braucht ein Finanzinstitut aber nun zur Risikobewertung seiner Modelle? Und von welchen Modellen reden wir eigentlich? Ist es mit der quantitativen Überprüfungen in den Methodenabteilungen getan? Nein, ich glaube nicht. Vielmehr ist ein Prozess über den gesamten LifeCycle eines Modells zu etablieren, egal ob es sich um ein statistisches oder eine andere Modellart handelt. Und das nicht nur auf dem Papier, sondern auch in der Praxis. Es reicht nicht, sich nur um die organisatorischen und prozessualen Verankerungen zu kümmern. Gerade die technische Unterstützung durch Software ist entscheidend, damit steht und fällt alles.

Mir ist bewusst, dass nun vielfach gesagt wird, diese geforderte Technologie sei bereits vorhanden. Doch leider erscheint es mir oft so, dass man seine Systeme hier überschätzt. Denn die Aufsicht legt viel höhere Maßstäbe an -vergleichbar mit den Data Governance / Data Quality Maßstäben bei BCBS239.

Wir müssen also hinterfragen, ob es wirklich eine durchgängige IT Unterstützung für das Modellrisiko-Management über den Life Circle gibt!

Zur Erinnerung: Der LifeCycle umfasst verschiedene Komponenten. Er beginnt bei der Entwicklung und zieht sich über die Freigabe und Produktivsetzung eines Modells. Dann schließt er die turnusmäßige Überprüfung mit eventueller Anpassungen mit ein und berücksichtigt natürlich auch die Außerbetriebnahme von Modellen. Alle diese Schritte sind nicht nur prozessual sicherzustellen, sondern müssen nachvollziehbar und revisionssicher umgesetzt werden - und dokumentierbar sein, so dass eine zentrale „Sammelstelle“ über alle im Unternehmen genutzten Modelle mehr als sinnvoll erscheint. Auch die Protagonisten müssen in so einem LifeCycle Hand in Hand arbeiten: Modellentwicklung, -anwendung, -Prüfung und Revision unter workflowgesteuerten Abläufen mit Freigabemechanismen und Dokumentation sind zu koordinieren.

Abschließend möchte ich sagen, was vorbei ist: Die Zeiten in denen jede Abteilung seine eigene Sichtweise auf seine Modelle hatte und seine eigene Art und Weise, sie zu dokumentieren. Und zwar seit es die ganzheitliche Stresstestpflicht gibt. Hinzu kommt auch, dass die EZB im Rahmen ihrer Prüfungspraxis (siehe SREP) nicht nur von den europäischen Banken eine neue Transparenz über die Geschäftsmodelle, Risiken und damit auch über die operationalisierten Modellannahmen und Modellwirkungen fordern wird. Schauen Sie sich Lösungen zu dem Thema an und arbeiten Sie so an Ihrem institutsspezifischen Modellrisko-Management und damit an einem Baustein in einem ganzheitlichen GRC Framework.

Share

About Author

Carsten Krah

Sr Industry Consultant

Ich arbeite seit 2011 als Business Expert Risk, Fraud and Compliance bei SAS. Mein Schwerpunktthema ist Enterprise GRC und ich berate die Finanzhäuser bei der Frage, wie Informationstechnologie bzw. Analytik sie bei den Herausforderungen durch die Aufsicht unterstützen kann, was sie brauchen und worauf sie gerne verzichten können. Ich betreue in dieser Rolle die Regionen Deutschland, Österreich und Schweiz. English Bio: I have been working as a Business Expert in Risk, Fraud and Compliance at SAS since 2011. My main focus is Enterprise GRC and I advise the financial institutions on how information technology and analytics can help them meet the challenges of supervision. I am responsible for the DACH region market made of Germany, Austria and Switzerland.

Leave A Reply

Back to Top