Ein Bereich, den die britische Aufsichtsbehörde Prudential Regulatory Authority (PRA) in ihrem jüngsten Schreiben an die Vorstandsvorsitzenden der britischen Banken und Bausparkassen hervorhob, war die Verwendung des Modellrisikomanagements (MRM) im Berichtsprozess. Was ist damit gemeint?
Prognosemodelle sind ein Kernelement vieler aufsichtsrechtlicher Rahmenwerke, um Ergebnisse in einem angespannten Geschäftsumfeld zu berechnen. Die Institute verfügen über Modellierungsteams, die die Modelle im Rahmen des SS3/18-Modellrisikomanagements (MRM) der PRA verwalten. Die fragmentierte Natur der aufsichtsrechtlichen Berichterstattung bedeutet jedoch, dass es wahrscheinlich viele Modelle mit aufsichtsrechtlichen Anwendungen gibt, die außerhalb des Bereichs und der Kontrolle der MRM-Teams liegen.
Die Untersuchung der PRA ergab, dass es an Kontrollen für Modelle mangelt. Ohne angemessene Kontrollen können Änderungen ohne Aufzeichnung vorgenommen werden, was das Risiko einer falschen Berichterstattung erhöht. Das Fehlen von Kontrollen kann auch auf suboptimale Managementprozesse in anderen Bereichen der Modellverwaltung hinweisen, einschließlich der Aufsicht, der Dokumentation und der einheitlichen Anwendung der MRM-Richtlinien im gesamten Unternehmen.
MRM im Bankwesen
Modelle im Bankwesen gibt es in vielen Formen.
Tabellenkalkulationen können als EUC-Anwendungen fungieren, bei denen die Benutzer die Leistungsfähigkeit und Flexibilität von Tabellenkalkulationen nutzen, um Softwareanwendungen außerhalb der Kontrolle und des Einflusses der IT-Abteilung des Unternehmens zu erstellen. Der Einsatz von EUCs in Unternehmen ist nicht ungewöhnlich.
Tabellenkalkulationen können als Referenzdatenquellen verwendet werden , um Informationen aus einer Reihe von Kernsystemen in der Bank zu sammeln; sie können als Rechner dienen, um die Daten zu generieren, die für die Erstellung der Berichte benötigt werden; sie können als Modelle verwendet werden, um die in einigen Berichten geforderten Ergebnisse zu erstellen; oder sie können im Abstimmungsprozess verwendet werden, um die endgültigen aufsichtsrechtlichen Ergebnisse zu sammeln, zu überprüfen und zu modifizieren, da die Unternehmen ihr Expertenurteil in ihrer "endgültigen Meilenmeldung" anwenden.
Der Mangel an Kontrollen und Transparenz, der Tabellenkalkulationen innewohnt, bedeutet jedoch, dass Daten ohne Vorwarnung überschrieben werden können, dass Datenfehler übersehen werden können oder dass Verknüpfungen zu anderen Anwendungen und Datenquellen unterbrochen werden können, ohne dass jemand dies bemerkt. Bei der aufsichtsrechtlichen Berichterstattung ist das Risiko einer durch diese Fehler verursachten Fehlmeldung an die PRA erheblich.
Andere EUC-Modelle, die auf Plattformen wie SAS, MATLAB und Python basieren, sind ebenfalls beliebt.
Die PRA wird ihre künftige Prüfung wahrscheinlich auf diese unsichereren EUC-basierten Modelle konzentrieren. Was kann ein MRM-Team also tun, um den Erwartungen der PRA gerecht zu werden?
Die fragmentierte Natur der aufsichtsrechtlichen Berichterstattung bedeutet, dass es wahrscheinlich viele Modelle mit aufsichtsrechtlichen Anwendungen gibt, die außerhalb des Bereichs und der Kontrolle der Modellierungsteams liegen.
Wie Sie Ihre EUC-Modelle verwalten
Der erste Schritt ist die Erstellung einer zentralisiertes Modellinventar, das die Grundlage für eine effektive Modellverwaltung und -kontrolle bildet. Ein Inventar bietet Ihnen einen Modellrahmen, der die Modelle proaktiv überwacht. Es bietet ein Repository für die Dokumente, die die Verwendung, das Design und den Besitz eines Modells definieren. Es bildet die Grundlage für den Workflow-Genehmigungsprozess, der ein entscheidendes Element des von der PRA erwarteten Änderungsmanagements ist.
Die nächste Etappe ist proaktive Überwachung Ihrer Modelle. Regelmäßige Bescheinigungsverfahren ermöglichen es den Anwendern, den Status ihrer Modelle zu bestätigen und auf Änderungen und Entwicklungen hinzuweisen, die der Geschäftsleitung, den Risiko- und Compliance-Teams und der PRA mitgeteilt werden müssen. Die Unternehmen sollten nicht Wenn Unternehmen bei diesem Überwachungs- und Änderungskontrollprozess die auf Tabellenkalkulationen basierenden Modelle ignorieren, können sie die Automatisierung nutzen, um zu erkennen, wo Probleme, Fehler und fehlende Dateneinspeisungen ihre Fähigkeit beeinträchtigen, der PRA genaue regulatorische Ergebnisse zu liefern. Diese Warnmeldungen bilden die Grundlage für Berichte, die den Risiko-, Compliance- und Managementteams einen Überblick über die von der PRA als verbesserungsbedürftig eingestuften Bereiche verschaffen.
Nachdem die Bestandsaufnahme und die Kontrollen durchgeführt wurden, ist die letzte Phase Entdeckung, wo Sie die Richtigkeit des Inventars sicherstellen, um zu gewährleisten, dass es alle verwendeten Modelle erfasst - insbesondere diejenigen, die von Endnutzern verwaltet werden (z. B. Tabellenkalkulationsmodelle). Die Best Practice - die Erwartung der PRA - wird von den Banken verlangen, den gesamten IT-Bestand zu durchsuchen, auf PCs, Dateipartitionen, SharePoint-Sites oder Cloud-Computing-Umgebungen. Das Risiko, ein Modell zu übersehen, das eine wichtige Tabellenkalkulation sein könnte, ist zu groß. Die weit verbreitete Verwendung von EUC-Modellen in jedem Geschäftsprozess erfordert leistungsfähige, skalierbare und robuste Suchfunktionen.
Mitratech bietet eine Reihe von EUC Spreadsheet Risk Management-Lösungen und MRM-Lösungen, die marktführend und bewährt sind und von einigen der anspruchsvollsten Institute eingesetzt werden. Unsere Lösungen sind leistungsstark, skalierbar und schnell einsatzbereit und bieten den Instituten eine praktische Möglichkeit, die Anforderungen des Unternehmens und der PRA zu erfüllen.
Verwalten Sie Ihre Schatten-IT-Tabellenkalkulationen
Mit ClusterSeven übernehmen Sie die Kontrolle über die in Ihrem Unternehmen versteckten End User Computing-Assets, die ein verstecktes Risiko darstellen können.
