Warum kritische Tabellenkalkulationen eigentlich Modelle sind (und eine Risikobeherrschung erfordern)

Da die Modelle so viele Szenarien abdecken, stoßen die Finanzinstitute auf eine Reihe von Schwierigkeiten im Zusammenhang mit ihrer Governance, was darauf hindeutet, dass sie vielleicht nicht in der Lage sind, die Belastung, die diese Disziplin mit sich bringt, zu bewältigen. Dinge wie ein unvollständiger Modellbestand, uneinheitliche Modellierungsansätze, mangelhafte Modellverfolgung und Versionskontrolle, unzureichende Validierung, geringe Modellgenauigkeit, mehrere Implementierungssysteme usw. behindern eine gute Modellrisikosteuerung.

Darüber hinaus sind auch Endbenutzer-Computeranwendungen (EUC) wie Spreadsheet-basierte Modelle und Rechner, die die Modelle speisen, "Modelle" und bedürfen daher einer Kontrolle. Laut SR 11-7"bezieht sich der Begriff Modell auf eine quantitative Methode, ein System oder einen Ansatz, der statistische, wirtschaftliche, finanzielle oder mathematische Theorien, Techniken und Annahmen anwendet, um Eingabedaten zu quantitativen Schätzungen zu verarbeiten".

Ein wachsendes Bedürfnis nach Sichtbarkeit

Bei einigen Beständen, die sich mittlerweile auf über 3.000 Modelle belaufen, haben die Finanzinstitute Schwierigkeiten, einen vollständigen Überblick über diese Anwendungen zu erhalten, während die Aufsichtsbehörden von den Unternehmen erwarten, dass sie die gleichen Modell-Governance-Prinzipien auf alle Modelltypen anwenden, einschließlich der geschäftskritischen Tabellenkalkulationen. Spreadsheet- und EUC-Governance sind heute in zahlreichen regulatorischen Rahmenwerken enthalten, darunter Dodd-Frank Act Stress Testing, Sarbanes Oxley Act, BCBS239, Prudential Practice Guide und viele andere.

Darüber hinaus hat sich der Umfang des MRM von der Modellvalidierung in der Vergangenheit - d. h. ob die Struktur, das Design und die Funktion des Modells verstanden, getestet und dokumentiert wurden - auf die umfassende Steuerung von Modellen, einschließlich Änderungskontrolle, Zugangskontrolle, Prüfbarkeit und Berichterstattung, ausgeweitet.

Natürlich sind GRC-Systeme in regulierten Finanzinstituten weit verbreitet, aber sie können nicht immer den strengen gesetzlichen Anforderungen gerecht werden. Diesen Systemen fehlt es in der Regel an Anpassungsfähigkeit. Änderungen an herkömmlichen GRC-Systemen erfordern häufig ein Eingreifen des jeweiligen Anbieters von Drittlösungen oder der IT-Abteilung. Die Vorlaufzeiten sind lang, und auch die Kosten sind beträchtlich.

Um dies zu überwinden, greifen die Einrichtungen häufig auf manuelle Prozesse zurück (z. B. Verwendung von E-Mail für Bestätigungen von Änderungen/Genehmigungen), was weitere Probleme für Benutzer und Management schafft. Das Problem verschärft sich noch dadurch, dass die Modelle, Tools und Rechner Daten und Ressourcen aus der kontrollierten IT-Umgebung des Unternehmens nutzen - sowie aus der weniger kontrollierten EUC-Landschaft, die in erster Linie von den einzelnen Geschäftseinheiten selbst betrieben wird. All dies zusammen schränkt die Wirksamkeit und die Einhaltung von MRM-Programmen in den Einrichtungen stark ein.

Kritische Fragen stellen

Um vollständige Transparenz und einen durchgängigen MRM-Ansatz zu erreichen, müssen die Finanzinstitute die Quadratur des Kreises durch Automatisierung erreichen. Ein solcher allumfassender Ansatz muss alles umfassen, von der Erstellung, Pflege und Validierung des Modellinventars (unternehmensweit) über die Anpassung des MRM an aufsichtsrechtliche und regulatorische Vorgaben bis hin zur Überwachung von Richtlinien- und Dokumentationsstandards und einem vollständig überprüfbaren Informationsaustausch.

Diese Art von technologieorientiertem MRM-Ansatz stellt sicher, dass die Standards, die für alle alle Modelle in der Einrichtung einheitlich und genau sind und kostengünstig erreicht werden. Sie können die Datenabfolge und die Datenabhängigkeit der Modelle, Werkzeuge und Rechner im gesamten Unternehmen bestimmen. Es hilft auch bei der Aufrechterhaltung der Genauigkeit und Integrität der Anwendungen, da Modelle fast ständig entwickelt, überarbeitet und außer Betrieb genommen werden. MRM ist kein einmaliger Prozess oder eine einmalige Übung.

Um einen solchen MRM-Ansatz anzustoßen, sollten sich die Finanzinstitute vielleicht zunächst kritische Fragen stellen, wie z. B.:

• Wie wirkt sich die Regulierung auf die MRM-Pläne der Organisation aus?
• Verfügt das Unternehmen über die nötige Flexibilität und Agilität, um sich an die sich verändernden rechtlichen Anforderungen anzupassen?
• Welche Auswirkungen kann ein Fehler in den Verfahren zur Einhaltung von Vorschriften und Bestimmungen auf das Unternehmen haben - sowohl kurzfristig als auch in der Zukunft - in betrieblicher und finanzieller Hinsicht sowie in Bezug auf den Ruf?

Mit dieser Art von Einblick und tiefem Verständnis können Finanzinstitute eine gut abgestimmte MRM-Strategie entwerfen und einen Aktionsplan erstellen, um die Anforderungen des Unternehmens auf die effizienteste und produktivste Weise zu erfüllen - bei gleichzeitiger Minimierung des Risikos.