Ilja Farberg, Modellrisikomanagement und -validierung, DekaBank Deutsche Girozentrale
Einleitung – Einordnung der Validierungsaufgabe
Einige der Leser der Ausgabe könnten sich vor dem Hintergrund der regulatorischen Flut der letzten Jahre in Unterzahl derer fühlen, die allein auf weiter Flur mit produktivem Tagesgeschäft beschäftigt sind, während Scharen aus internen und externen Kontrolleuren ihr Doing sorgsam überwachen.
Andere wiederum könnten sich in der Kontrolleur-Rolle wieder erkennen, falls Sie es auch tun, ist es möglich, dass sie unabhängig[1] die Einhaltung der Anforderungen an die Risikodatenaggregation und Risikoberichterstattung validieren. Gemeint sind an dieser und weiteren Stellen im Text die Anforderungen gemäß BCBS 239, die in Deutschland 2017 über die MaRisk-Novelle 2017 (AT 4.3.4 und BT 3) Eingang ins nationale Recht fanden.
Der Beitrag beschäftigt sich mit möglichen Antworten auf die Fragen,
- welche Aufgaben und weiteren Merkmale führen zur Einordnung in die Validierungsfunktion?
- Wie könnte man die Funktion derart etablieren, dass sie nicht „lediglich“ die Einhaltung der obigen Anforderungen überprüft, sondern auch nachhaltig Mehrwert für die Organisation stiftet?
Governance – Organisationsstruktur, Berichts- und Eskalationsweg
Den Ausführungen in den nachfolgenden Abschnitten vorgreifend ist anzumerken, dass die hier in Rede stehenden regulatorischen Anforderungen in ihrer ursprünglichen Form (BCBS 239) ausgesprochen prinzipienorientiert formuliert sind, wodurch nach Veröffentlichung 2013 die Notwendigkeit für die einzelnen betroffenen Institute einherging, Anforderungen – möglichst institutsspezifisch – zu interpretieren.
Hierbei konnten sich dabei interpretationsbedingte Unterschiede in der Ausgestaltung der Validierungsfunktion in signifikanter Höhe ergeben. Um diese Deutungsdivergenzen ein Stück weit zu glätten, griff man zur üblichen Praxis der Peergroup-Bildung/des Benchmarkings bei derartigen regulatorischen Neuerungen.
Einordnung der Validierungsfunktion in das TLoD-Modell
An erster Stelle sollte die Frage der organisatorischen Verankerung der Funktion geklärt werden. Im organisatorischen Korsett eines Kreditinstituts dient hierbei zur Orientierung das so genannte „Three-Lines-of-Defense-Modell (TLoD-Modell)“, das mit Blick auf die in dem hier relevanten Zusammenhang geforderte Unabhängigkeit von den „geschäftsinitiierenden beziehungsweise -abschließenden Organisationseinheiten“[2] Abhilfe schafft.
Die erste Verteidigungslinie ist nämlich dem operativen Management vorbehalten, während die dritte von der Internen Revision verkörpert wird. Somit wäre die Validierungsfunktion prinzipiell in der zweiten Verteidigungslinie zu verorten.
Während die Abgrenzung von der ersten Verteidigungslinie aufgabenimmanent sachlich klar sein dürfte, müsste die Frage nach der Unterscheidung von der Internen Revision gesondert behandelt werden.
Selbstverständnis der Funktion – Ziele und Aufgaben
In einem nächsten Schritt wäre die Wahl zwischen den Organisationsstruktur-Modellen zu treffen, welche die Funktion entweder in einer der folgenden, infrage kommenden, Einheiten der zweiten Verteidigungslinie beheimatet sehen: Compliance/Finanzen/Risiko/IT oder gar in mehreren der genannten. Hilfreich dabei ist die Beantwortung der Frage nach dem Selbstverständnis der Funktion.
Welche Ziele wird sich die neu zu etablierende Validierungsfunktion mittelfristig setzen und welche Aufgaben wird sie zur Erreichung dieser Ziele verfolgen?
Der formelle Zweck der Etablierung der Funktion lässt sich zunächst aus den relevanten Anforderungen ableiten.
Übergreifend lässt sich festhalten, dass das regulatorisch bedingte Aufgabenspektrum von fachlichen Gesichtspunkten ausgehend motiviert ist. Und zwar bemüht sich der Regulator um die folgende Sicherstellung: die Validierungsfunktion überprüft regelmäßig, dass zum einen die Aggregation der Risikodaten im Einklang mit den Datenqualitätskriterien des BCBS 239-Papiers geschieht; zum anderen die Ermittlung der risikorelevanten Kennzahlen und deren Transport über Risikoberichte zum steuernden Personenkreis derart vorgenommen wird, dass diese Steuerung stets angemessen vorgenommen werden kann.
In Summe weisen die Aufgaben einen starken fachlichen Fokus auf und bestimmen zwei zentrale Merkmale der Validierungsfunktion:
- Sinnvollerweise sollte die Funktion organisatorisch nicht weit weg von risikorelevante Kennzahlen ermittelnden respektive mit Risikoberichterstattung beschäftigten Linienorganisationseinheiten (Risiko- und Finanzen-Bereiche) angesiedelt sein7;
- Mitarbeiter der Funktion sollten über Fachkenntnisse auf den Gebieten der Risikodatenaggregation, Ermittlung der risikorelevanten Kennzahlen und Risikoberichterstattung verfügen, um im Zusammenhang mit den Prozessen und Kontrollen die in dem korrespondierenden Teil der Bankprozesskette stehenden Sachverhalte adäquat analysieren und so profunde Ergebnisse im Rahmen ihrer Validierungsaktivitäten erzielen zu können.
Hat man durch die vorstehend hergeleitete thematische Einordnung der Validierungsfunktion die Abdeckung regulatorischer Vorgaben an ebendiese im Hinblick auf die Governance der Organisation sichergestellt, sind vor dem Hintergrund effizienter Ressourcensteuerung Überlegungen anzustellen, wie sich eventuell ein weiterer inhaltlicher Mehrwert durch die Etablierung der Funktion mittelfristig erzielen lässt.
Annahmegemäß kann die Validierungsfunktion nämlich dadurch nachhaltig einen Mehrwert für die Organisation stiften, dass sie mittelfristig durch ihre Schwerpunktsetzung gezielt die beratende Rolle ausbaut und dabei die vorhandenen profunden Fachkenntnisse und Kenntnisse der Bankprozesskette mit den Erfahrungswerten aus der Validierung anreichert.
Validierungskonzept – Inhalte und Schwerpunkte
Steht die Organisationsstruktur der validierenden Funktion inklusive der aufnehmenden Einheit in der Linienorganisation, der Berichtslinie/des Eskalationsweges und der personellen Ausstattung fest, ist der Zeitpunkt erreicht, sich Gedanken über das Konzept der Validierung zu machen.
Dieses soll im günstigen Falle das übergreifende Ziel der Validierung in einzelne, möglichst konkret formulierte Bestandteile zerlegen und diesen jeweils Validierungshandlungen zur Überprüfung der Angemessenheit der fachlichen Definition, fachlichen/technischen Umsetzung sowie Funktionsweise im operativen Geschäftsbetrieb zuordnen.
Wesentliche Charakteristika des Validierungsvorgehens
Selbstverständlich soll man Validierungsaufgaben der neuen Funktion in der schriftlich fixierten Ordnung regeln. Dies dürfte in den 2020-ern jedoch keine wirkliche Herausforderung mehr darstellen.
Essenziell wäre hierbei, die Merkmale Validierungsturnus vs. -umfang, personelle Ausstattung (Skills und Ressourcen) sowie Format und Inhalte der (adressatengerechten) Ergebnisobjekte zu regeln.
PRAXISTIPPS
Angesichts des regulatorischen Tsunamis, der in den letzten Jahren auf die Kreditinstitute regelrecht einprasselte und in Kombination mit stetig wachsendem Kosten-/ Ertragsdruck stellt sich flächendeckend die Frage danach, wie man unter den geschilderten Rahmenbedingungen die Erwartungen des Regulators erfüllen kann, ohne die Wirtschaftlichkeit seines Handelns zu gefährden?
Sicherlich ist es eine komplexe Aufgabe, für die es keine eindimensionale Patentlösung gibt. Dennoch kann man einige Stichworte benennen, die zur effizienteren Ressourcensteuerung beitragen dürften:
- Bei der organisatorischen Verortung der Validierungsfunktion fachliche Nähe zu den Linienorganisationseinheiten anstreben, die mit den zu validierenden Prozessen und Kontrollen beschäftigt sind.
- Mitarbeiter mit der Aufgabe der unabhängigen Validierung betrauen, die als weitere Schwerpunkte Themengebiete mit möglichst großer inhaltlicher und prozessualer Schnittmenge behandeln.
- Validierungsprozess ablaufseitig effizient gestalten (prozessual und technisch).
- Technische Plattformen schaffen und übergreifend nutzen.
- Einwertungssystematik über mehrere Validierungsstränge vereinheitlichen.
- New Work-bedingte Effizienzgewinne nutzen.
[1] MaRisk 09/2017 „…Unabhängig von den geschäftsinitiierenden bzw. geschäftsabschließenden Organisationseinheiten…“.
[2] Formulierung aus den MaRisk an der vorstehend referenzierten Stelle.
Beitragsnummer: 18184