Baustelle Modellrisiko: Was Banken jetzt tun müssen

Die neue Vorschrift und ihre Bedeutung

AT 4.3.5 definiert umfassende Anforderungen an den Einsatz von Modellen in Prozessen, die unter die MaRisk-Regulierung fallen. Ein Modell wird dabei als „eine quantitative Methode, ein System oder ein Ansatz, der statistische oder mathematische Theorien, Techniken und Annahmen anwendet, um Eingabedaten zu quantitativen Schätzungen zu verarbeiten“ definiert. Diese Definition erweitert die bisherige Liste relevanter Modelle um eine weitere breite Palette, so dass z. B. Kreditvergabesysteme, Risikoklassifizierungsverfahren, Modelle zur Risikoquantifizierung im Rahmen der Risikotragfähigkeit sowie Bewertungs- und Preisbildungsmodelle zu betrachten sind. Modelle, die unter die Verordnung (EU) Nr. 575/2013 (CRR) fallen, sind jedoch weiterhin ausgenommen.

Obwohl die Vorgaben von AT 4.3.5 klar formuliert sind, zeigen sich in der Praxis erhebliche Defizite bei der Umsetzung. Viele Banken verfügen bislang weder über ein konsistentes Modellrisikomanagement noch über die organisatorischen Strukturen, die für die Einhaltung der Anforderungen erforderlich sind.

Im Folgenden werden wir auf die zentralen Handlungsfelder eingehen.

Definition und Inventarisierung von Modellen

Ein zentraler erster Schritt ist die Entwicklung einer klaren und praktikablen Definition dessen, was im Institut als „Modell“ gilt. Die in den MaRisk vorgegebene Definition bildet eine Grundlage, ist jedoch zu breit gefasst, um unmittelbar handlungsleitend zu sein. Eine präzisere interne Definition, die zwischen Modellen und „Nicht-Modellen“ differenziert, kann die Umsetzungsarbeit erheblich erleichtern.

Darauf aufbauend ist die systematische Identifikation und Erfassung aller Modelle erforderlich, die im Rahmen von MaRisk-relevanten Prozessen eingesetzt werden. Die Erstellung eines initial zu erfassenden und laufend zu aktualisierenden Modellinventars ist zwar nicht explizit vorgeschrieben, aber de facto unverzichtbar, um die Anforderungen zu erfüllen. Eine umfassende Herangehensweise, die auch Modelle aus Säule I einbezieht, ist ratsam. Dies erlaubt es Banken, ein ganzheitliches Modellrisikomanagement aufzubauen.

Modellrisiken und Risikoorientierung

Eine weitere sinnvolle Maßnahme besteht darin, jedem Modell im Inventar ein Modellrisiko-Rating oder einen Modellrisiko-Score zuzuweisen. Diese Bewertung ermöglicht eine risikoorientierte Priorisierung der Maßnahmen und entspricht dem Proportionalitätsprinzip der MaRisk. Besonders sollte der potenzielle Schaden im Blickpunkt stehen, der durch Fehlentscheidungen aufgrund fehlerhafter Modelle entstehen könnte. In der Praxis haben sich Scorecard-ähnliche Risikobewertungen, welche auf qualitativ geschätzten Dimensionen wie Komplexität, Materialität, Maturität, Datenqualität etc. aufbauen, als sinnvoll erwiesen.

Dokumentation

Darüber hinaus verlangt AT 4.3.5, dass Modelle umfassend dokumentiert werden. Dies schließt die Beschreibung von Annahmen, Eingangsparametern und Kalibrierungsdaten ein. Einheitliche Vorlagen und klar definierte Rollen, wie die des „Model Owners“ oder des „Model Users“, sowie vordefinierte Dokumentationsvorlagen tragen dazu bei, die Anforderungen effizient zu erfüllen. Dabei kann es im Rahmen der Umsetzung der MaRisk- Anforderungen notwendig sein, unter erheblichem Aufwand eine große Zahl von Modellen erstmals konsistent zu dokumentieren.

Datenqualität als zentrale Anforderung

Die Qualität der verwendeten Daten ist eine unerlässliche Voraussetzung, um die Genauigkeit und Verlässlichkeit der Modelle zu gewährleisten, denn Modelle sind nur so gut wie die Daten, auf denen sie basieren. Ein zentraler Aspekt ist somit die Sicherstellung der Datenqualität. Deshalb sollten Banken ein System zur Überwachung und Sicherstellung der Datenqualität entwickeln. Dies umfasst die Definition von Datenqualitätsdimensionen, wie Vollständigkeit, Genauigkeit, Aktualität und Repräsentativität, Prozesse zur Identifikation, Messung und Eskalation von Datenqualitätsproblemen, Regelungen zum Risikoappetit in Bezug auf Datenqualität sowie Prozesse zur Behebung und Nachverfolgung identifizierter Probleme.

Weiterhin betrifft dies sowohl Daten, die zur Entwicklung der Modelle herangezogen werden als auch Daten, die bei der Verwendung der Modelle genutzt werden. Obwohl nicht direkt einschlägig, kann eine Berücksichtigung der entsprechenden Ausführungen zur Datenqualität im ECB Guide To Internal Models hilfreich sein.

Ein geeignetes Berichtswesen und Eskalationsprozesse tragen dazu bei, dass Datenprobleme rechtzeitig adressiert und behoben werden. Die Einführung klarer Verantwortlichkeiten, sowohl auf Management- als auch auf operativer Ebene, ist hierbei unerlässlich.

Verwendung von Modellergebnissen

Neben der Qualität der Daten ist auch die sachgerechte Verwendung der Modellergebnisse in Abhängigkeit von dem jeweiligen Modell von entscheidender Bedeutung. Banken müssen Verfahren und Regelungen etablieren, die sicherstellen, dass Modellergebnisse angemessen genutzt werden. Dazu sind Grenzen und Gültigkeitsbereiche zu ermitteln, für die das Modell valide Ergebnisse liefert. Dies schließt, wo relevant, auch die Definition von Prozessen zur „Überschreibung“ von Ergebnissen ein, etwa bei Kreditrating-Systemen.

Validierung

Um Modellrisiken und die Grenzen der verwendeten Modelle zu adressieren, ist eine regelmäßige Validierung der Modelle unerlässlich. Zwar erwähnt AT 4.3.5 nicht explizit die Unabhängigkeit der Modellvalidierung, jedoch entspricht es bewährten Praktiken, eine klare Trennung der Verantwortlichkeiten zwischen Modellentwicklung und -validierung sicherzustellen. Diese Anforderung kann zudem aus AT 4.3.1 Tz 1 abgeleitet werden, wo eine Trennung von unvereinbaren Tätigkeiten gefordert wird. Da eine Trennung für die Modelle zur Ermittlung der Risikotragfähigkeit bereits etabliert sein sollte, empfiehlt es sich, auf die hier bewährte Organisationsstruktur zurückzugreifen.

Die Validierung sollte in regelmäßigen Abständen erfolgen und sinnvollerweise an den Modellrisiko- Score des jeweiligen Modells geknüpft werden. Auf diese Weise lässt sich sicherstellen, dass risikoreichere Modelle häufiger überprüft werden und somit angemessenes Risikomanagement gewährleistet ist. Die Vorgaben von MaRisk AT 4.3.5 gehen jedoch über eine rein statistische Prüfung hinaus. Sie fordern, dass auch die Angemessenheit und der sachgerechte Einsatz der Modellergebnisse regelmäßig bewertet werden, um sicherzustellen, dass die Modelle in ihrer praktischen Anwendung robust sind. Zudem sollte die Validierung die Einhaltung aller weiteren Anforderungen aus AT 4.3.5. enthalten.

Ein wesentlicher Bestandteil der Validierung ist die Analyse der Qualität der Modellergebnisse. Hierbei sind insbesondere die Genauigkeit, Stabilität und Konsistenz der eingesetzten Verfahren zu überprüfen. Dies gewährleistet, dass die Modelle nicht nur theoretisch, sondern auch im operativen Einsatz verlässlich sind. Eine gründliche und regelmäßige Validierung stärkt nicht nur die regulatorische Compliance, sondern trägt auch zur langfristigen Risikominderung und Entscheidungsqualität in der Bank bei.

Falls eine Modellvalidierungsfunktion bisher nicht vorhanden war, muss diese eingerichtet und entsprechend mit qualifizierten Mitarbeitenden besetzt werden. Dies stellt jedoch eine erhebliche Herausforderung dar, da solche Fachkräfte am Markt rar sind. Eine mögliche Alternative, insbesondere für kleinere Banken oder bei ungewöhnlichen Modellen, besteht im Outsourcing der Validierungsaufgaben. Dadurch können Ressourcenengpässe überbrückt werden, während dennoch eine fachgerechte Validierung sichergestellt wird.

Die Modellvalidierung als unabhängige Funktion erfordert darüber hinaus klare Vorgaben in Form von Richtlinien, Handbüchern und Arbeitsanweisungen, welche die Anforderungen der MaRisk für das jeweilige Institut spezifizieren. Diese schriftlich fixierte Ordnung schafft die Grundlage für eine einheitliche und konsistente Umsetzung der Validierungsprozesse und gewährleisten die regulatorische Konformität. Unabhängigkeit und klare Strukturen, definiert durch Rollen und Verantwortlichkeiten im Validierungsprozess, sind hierbei von zentraler Bedeutung, um die Objektivität und Qualität der Validierung sicherzustellen.

Model Lifecycle

Die Anforderungen von AT 4.3.5 können nur erfüllt werden, wenn ein umfassender Model Lifecycle- Prozess in der Bank etabliert wird. Dieser Prozess sollte alle relevanten Schritte umfassen: von der Modellentwicklung über die initiale Validierung, die Modellfreigabe und Implementierung bis hin zur Nutzung, regelmäßigen Überwachung der Modellperformance, fortlaufenden Validierung und letztlich der Stilllegung des Modells. Da Modelle in der Regel in IT-Systemen implementiert werden, müssen dabei die Vorgaben der BAIT (Bankaufsichtliche Anforderungen an die IT) beachtet werden, insbesondere bei Verwendung individueller Datenverarbeitung (IDV). Ein zusätzlicher Kontrollschritt durch eine Second Line Funktion (zum Beispiel Modellvalidierung) sowie die entsprechende Freigabe können nach der Implementierungsphase eingeführt werden, um die Robustheit des Prozesses weiter zu stärken.

Die initiale Validierung sollte in Abhängigkeit vom Modellrisiko des betreffenden Modells deutlich umfangreicher und tiefgehender sein als die bereits beschriebenen regelmäßigen Validierungen.

Ein etablierter Model Lifecycle-Prozess trägt dazu bei, die Risiken, die mit der Nutzung von Modellen verbunden sind, systematisch zu managen. Neben der regelmäßigen Validierungen stellt Performance Monitoring sicher, dass Modelle nicht nur bei ihrer Einführung, sondern auch während ihres gesamten Lebenszyklus den Anforderungen entsprechen. Dies ist besonders wichtig, um langfristige Stabilität und Konsistenz in den Modellergebnissen zu gewährleisten.

Der Model Lifecycle-Prozess sollte auch bei Rekalibrierungen und Modelländerungen angewendet werden. Dies umfasst sowohl kleinere Anpassungen als auch grundlegende Veränderungen am Modell. Um die Anforderungen effizient und risikoorientiert umzusetzen, ist es sinnvoll, eine Modelländerungsrichtlinie zu definieren. Eine solche Richtlinie hilft dabei, die Materialität von Änderungen zu bewerten und angemessene Maßnahmen zu ergreifen, die dem Umfang und der Bedeutung der Anpassungen entsprechen.

Durch eine strukturierte Modelländerungsrichtlinie können Banken sicherstellen, dass Änderungen am Modell weder die Funktionalität noch die regulatorische Compliance gefährden. Gleichzeitig wird eine effiziente Nutzung der Ressourcen ermöglicht, indem nur signifikante Änderungen intensiven Prüfungen unterzogen werden, während kleinere Anpassungen im Rahmen eines vereinfachten Verfahrens behandelt werden können. Dieser ganzheitliche Ansatz im Modellmanagement stärkt nicht nur die regulatorische Konformität, sondern auch die betriebliche Effizienz der Banken.

Falls eine Bank bisher weder eine Modellrisikomanagement- noch eine Modellvalidierungsfunktion etabliert hatte, müssen alle Modelle im Modellinventar innerhalb eines angemessenen Zeitrahmens einer initialen Validierung unterzogen werden. Diese Maßnahme ist erforderlich, um sicherzustellen, dass alle bestehenden Modelle den regulatorischen Anforderungen entsprechen und potenzielle Risiken frühzeitig erkannt und adressiert werden können. Der Aufwand, der mit einer solchen initialen Validierung verbunden ist, kann jedoch beträchtlich sein, insbesondere bei Banken mit einer großen Anzahl komplexer oder spezialisierter Modelle. Um diesen Aufwand zu bewältigen, kann es notwendig sein, bestimmte Validierungsaufgaben auszulagern. Dies ist insbesondere dann sinnvoll, wenn interne Ressourcen begrenzt sind oder spezifisches Fachwissen erforderlich ist, das nicht im eigenen Haus vorhanden ist.

Modellrisikomanagementfunktion

Es ist weiterhin zu empfehlen, eine Modellrisikomanagementfunktion zu etablieren.

Diese Funktion sollte die Verantwortung für den Model Lifecycle Prozess, das Modellinventar, die Modellrisikobewertung und die Koordination zwischen den verschiedenen Stakeholdern übernehmen. Durch die zentrale Bündelung dieser Aufgaben können Prozesse effizienter gestaltet und eine einheitliche Umsetzung der regulatorischen Anforderungen sichergestellt werden. Zudem dient eine solche Funktion als Schnittstelle zwischen den operativen Einheiten und der übergeordneten Risikosteuerung, was die Kohärenz und Nachvollziehbarkeit stärkt.

Ein angemessenes Management-Reporting ist dabei unverzichtbar. Dieses sollte sicherstellen, dass alle relevanten Informationen zur Modellrisikosituation transparent und zeitnah an die Führungsebene berichtet werden. Idealerweise wird das Modellrisikomanagement in den Risikoappetit und die Limiten des Risikocontrollings integriert. So können operative Limite zur Steuerung (z. B. Anzahl ausstehender schwerwiegender Validierungsfindings) eingesetzt werden und, falls zutreffend, Limite basierend auf der Modellrisikoquantifizierung im ICAAP (Internal Capital Adequacy Assessment Process) definiert werden. Auf diese Weise wird das Management der Modellrisiken effektiv in die gesamte Risikosteuerung der Bank eingebunden.

Es kann erforderlich sein die Implementierung der Modellrisikomanagement-Funktion, des Modelllebenszyklus und der entsprechenden Prozesse im Rahmen eines Anpassungsprozesses gemäß MaRisk AT 8.2 durchzuführen. Diese Vorgehensweise gewährleistet, dass alle relevanten organisatorischen und regulatorischen Anforderungen von Beginn an berücksichtigt werden. Eine solche Umsetzung erfordert die Einbindung zentraler Kontrollfunktionen wie Compliance, Risikocontrolling und Interne Revision, um sicherzustellen, dass die neuen Prozesse sowohl regulatorisch konform als auch operationell robust gestaltet sind.

Maschinelles Lernen Und Künstliche Intelligenz

Die MaRisk hebt die Erklärbarkeit von Modellen als zentrale Anforderung hervor, insbesondere bei Modellen, die auf maschinellem Lernen oder künstlicher Intelligenz basieren. Diese Modelle zeichnen sich oft durch hohe Komplexität und schwer nachvollziehbare Entscheidungslogiken aus, weshalb ihre Transparenz und Nachvollziehbarkeit von besonderer Bedeutung sind. Eine mangelnde Erklärbarkeit könnte nicht nur regulatorische Beanstandungen nach sich ziehen, sondern auch das Vertrauen in die Ergebnisse der Modelle und deren Einsatz im operativen Geschäft gefährden.

Zusätzlich zu den MaRisk-Anforderungen machen die neuen Vorgaben des EU AI Act es sinnvoll, spezifische Richtlinien und Prozesse für den Umgang mit KI- und ML-Modellen zu entwickeln. Diese sollten sicherstellen, dass die besonderen Risiken und Anforderungen dieser Modelle adäquat adressiert werden, einschließlich ihrer Integration in das übergeordnete Modellrisikomanagement. Ein solcher Ansatz erlaubt es Banken, regulatorische und technologische Herausforderungen systematisch zu bewältigen und gleichzeitig die Vorteile dieser innovativen Technologien in einem kontrollierten Rahmen zu nutzen.

Rolle der internen Revision

Die neuen Anforderungen aus AT 4.3.5 sowie die damit verbundenen Prozesse unterliegen Prüfungen durch die unabhängige Interne Revision. Damit die Interne Revision die First und Second Lines in diesem Bereich effektiv hinterfragen und herausfordern kann, benötigt sie entsprechend qualifiziertes Fachpersonal. Diese Expertise ist jedoch in den meisten internen Revisionsabteilungen nicht ausreichend vorhanden. Der Grund liegt in der hohen Komplexität des Themas, das spezialisiertes Wissen in Statistik, Modellierung, Marktstandards und regulatorischen Vorgaben erfordert, sowie in dem verhältnismäßig geringen jährlichen Prüfungsaufwand, der es oft nicht rechtfertigt, eine Vollzeitstelle nur für diesen Bereich zu schaffen.

In solchen Fällen kann es sinnvoll sein, die Prüfungen von Modellen und Modellrisikomanagement- Prozessen auszulagern. Durch das Outsourcing können spezialisierte Fachkenntnisse flexibel genutzt werden, ohne dass die Bank intern Ressourcen vorhalten muss, die über das Jahr hinweg nur teilweise ausgelastet wären. Eine extern unterstützte Prüfung bietet zudem den Vorteil einer unabhängigen und objektiven Bewertung sowie dem Abgleich mit den Prozessen vergleichbarer Institute, was zur Stärkung der gesamten Kontrollstruktur beiträgt. Angesichts der zentralen Rolle von Modellen in den Geschäftsprozessen der Banken sollte eine jährliche Prüfung der Modellrisikomanagement- Prozesse erfolgen, um deren Wirksamkeit und Konformität kontinuierlich sicherzustellen.

Ein solches Prüfungsregime gewährleistet ein effektives Three-Lines-of-Defense-Modell. Die Modellentwicklung fungiert als First Line, während Modellvalidierung und Modellrisikomanagement die Second Line darstellen und die Einhaltung der regulatorischen und operativen Anforderungen überwachen. Die Interne Revision übernimmt die Rolle der Third Line, die als unabhängige Kontrollinstanz die gesamte Struktur kritisch bewertet. Mit diesem Ansatz können Banken sicherstellen, dass ihre Modellrisikomanagement-Prozesse nicht nur regulatorisch compliant, sondern auch robust und zukunftssicher sind.

Fazit

Die Anforderungen an das Modellrisikomanagement gemäß MaRisk sind umfassend und komplex. Viele Banken stehen vor der Herausforderung, diese Vorgaben vollständig zu erfüllen, und in zahlreichen Fällen besteht noch ein erheblicher Nachholbedarf. Angesichts der bevorstehenden Prüfungen durch externe Wirtschaftsprüfer und der wachsenden Aufmerksamkeit der Aufsichtsbehörden ist es jedoch keine Option, diese Anforderungen zu ignorieren. Ein Verzug in der Umsetzung könnte nicht nur regulatorische Sanktionen nach sich ziehen, sondern auch das Vertrauen in die internen Steuerungs- und Entscheidungsprozesse der Banken beeinträchtigen.

Es ist daher von entscheidender Bedeutung, dass Banken unverzüglich handeln, um die erforderlichen Strukturen, Prozesse und Kontrollen zu implementieren. Ein proaktiver Ansatz, der auf einem systematischen und risikoorientierten Modellrisikomanagement basiert, stärkt nicht nur die Compliance, sondern verbessert auch die langfristige Stabilität und Entscheidungsqualität.

Folgende strukturierte Vorgehensweise bietet sich an:

Für die erfolgreiche Umsetzung dieses Maßnahmenplans ist eine sorgfältige Ressourcenplanung erforderlich. Es kann notwendig sein, zusätzliches Personal einzustellen oder bestehendes Personal in neue Rollen zu versetzen. Darüber hinaus ist wahrscheinlich eine kontinuierliche Schulung erforderlich, um sicherzustellen, dass das Personal auf dem neuesten Stand der regulatorischen Anforderungen und Best Practices ist.

Indem sie jetzt handeln, können Banken die Herausforderungen bewältigen und gleichzeitig die Grundlage für eine zukunftssichere und effektive Nutzung von Modellen in ihren Geschäftsprozessen schaffen.

Über Protiviti

Protiviti (www.protiviti.com) ist ein globales Beratungsunternehmen, das umfassende Expertise, objektive Insights, maßgeschneiderte Lösungen und effiziente Zusammenarbeit bietet, um Führungskräfte dabei zu unterstützen, der Zukunft mit Zuversicht zu begegnen. Protiviti und seine unabhängigen, lokal geführten Mitgliedsunternehmen bieten ihren Kunden Beratungsleistungen und Managed Solutions in den Bereichen Finanzen, Technologie, Operations, Data, Digital, Recht, Personal, Risiko und interne Revision über ein Netzwerk von mehr als 90 Büros in über 25 Ländern an.*

Protiviti wurde zum 10. Mal in Folge in die Liste der Fortune 100 Best Companies to Work For® aufgenommen und hat mehr als 80 Prozent der Fortune 100 und fast 80 Prozent der Fortune 500 Unternehmen betreut. Darüber hinaus arbeitet Protiviti mit Regierungsbehörden sowie kleineren, wachsenden Unternehmen zusammen, einschließlich solcher, die an die Börse gehen möchten. Protiviti ist eine hundertprozentige Tochtergesellschaft von Robert Half Inc. (NYSE: RHI).

*Inklusive des Netzwerks von Protivitis Mitgliedsfirmen