Freitag, 30. April 2021

Etablierung einer unabhängigen Validierungsfunktion gemäß BCBS 239

Erwartungen des europäischen Regulators mit Augenmaß begegnen.

Ilja Farberg, Modellrisikomanagement und -validierung, DekaBank Deutsche Girozentrale

Einleitung – Einordnung der Validierungsaufgabe

Einige der Leser der Ausgabe könnten sich vor dem Hintergrund der regulatorischen Flut der letzten Jahre in Unterzahl derer fühlen, die allein auf weiter Flur mit produktivem Tagesgeschäft beschäftigt sind, während Scharen aus internen und externen Kontrolleuren ihr Doing sorgsam überwachen.

Andere wiederum könnten sich in der Kontrolleur-Rolle wieder erkennen, falls Sie es auch tun, ist es möglich, dass sie unabhängig[1] die Einhaltung der Anforderungen an die Risikodatenaggregation und Risikoberichterstattung validieren. Gemeint sind an dieser und weiteren Stellen im Text die Anforderungen gemäß BCBS 239, die in Deutschland 2017 über die MaRisk-Novelle 2017 (AT 4.3.4 und BT 3) Eingang ins nationale Recht fanden.

 

Der Beitrag beschäftigt sich mit möglichen Antworten auf die Fragen,

  • welche Aufgaben und weiteren Merkmale führen zur Einordnung in die Validierungsfunktion?
  • Wie könnte man die Funktion derart etablieren, dass sie nicht „lediglich“ die Einhaltung der obigen Anforderungen überprüft, sondern auch nachhaltig Mehrwert für die Organisation stiftet?
Governance – Organisationsstruktur, Berichts- und Eskalationsweg

Den Ausführungen in den nachfolgenden Abschnitten vorgreifend ist anzumerken, dass die hier in Rede stehenden regulatorischen Anforderungen in ihrer ursprünglichen Form (BCBS 239) ausgesprochen prinzipienorientiert formuliert sind, wodurch nach Veröffentlichung 2013 die Notwendigkeit für die einzelnen betroffenen Institute einherging, Anforderungen – möglichst institutsspezifisch – zu interpretieren.

Hierbei konnten sich dabei interpretationsbedingte Unterschiede in der Ausgestaltung der Validierungsfunktion in signifikanter Höhe ergeben. Um diese Deutungsdivergenzen ein Stück weit zu glätten, griff man zur üblichen Praxis der Peergroup-Bildung/des Benchmarkings bei derartigen regulatorischen Neuerungen. 

 

Einordnung der Validierungsfunktion in das TLoD-Modell

An erster Stelle sollte die Frage der organisatorischen Verankerung der Funktion geklärt werden. Im organisatorischen Korsett eines Kreditinstituts dient hierbei zur Orientierung das so genannte „Three-Lines-of-Defense-Modell (TLoD-Modell)“, das mit Blick auf die in dem hier relevanten Zusammenhang geforderte Unabhängigkeit von den „geschäftsinitiierenden beziehungsweise -abschließenden Organisationseinheiten“[2] Abhilfe schafft.

 

Die erste Verteidigungslinie ist nämlich dem operativen Management vorbehalten, während die dritte von der Internen Revision verkörpert wird. Somit wäre die Validierungsfunktion prinzipiell in der zweiten Verteidigungslinie zu verorten.

 

Während die Abgrenzung von der ersten Verteidigungslinie aufgabenimmanent sachlich klar sein dürfte, müsste die Frage nach der Unterscheidung von der Internen Revision gesondert behandelt werden.

Selbstverständnis der Funktion – Ziele und Aufgaben

In einem nächsten Schritt wäre die Wahl zwischen den Organisationsstruktur-Modellen zu treffen, welche die Funktion entweder in einer der folgenden, infrage kommenden, Einheiten der zweiten Verteidigungslinie beheimatet sehen: Compliance/Finanzen/Risiko/IT oder gar in mehreren der genannten. Hilfreich dabei ist die Beantwortung der Frage nach dem Selbstverständnis der Funktion. 

Welche Ziele wird sich die neu zu etablierende Validierungsfunktion mittelfristig setzen und welche Aufgaben wird sie zur Erreichung dieser Ziele verfolgen?

 

Der formelle Zweck der Etablierung der Funktion lässt sich zunächst aus den relevanten Anforderungen ableiten. 

 

Übergreifend lässt sich festhalten, dass das regulatorisch bedingte Aufgabenspektrum von fachlichen Gesichtspunkten ausgehend motiviert ist. Und zwar bemüht sich der Regulator um die folgende Sicherstellung: die Validierungsfunktion überprüft regelmäßig, dass zum einen die Aggregation der Risikodaten im Einklang mit den Datenqualitätskriterien des BCBS 239-Papiers geschieht; zum anderen die Ermittlung der risikorelevanten Kennzahlen und deren Transport über Risikoberichte zum steuernden Personenkreis derart vorgenommen wird, dass diese Steuerung stets angemessen vorgenommen werden kann.

 

In Summe weisen die Aufgaben einen starken fachlichen Fokus auf und bestimmen zwei zentrale Merkmale der Validierungsfunktion:

 

  • Sinnvollerweise sollte die Funktion organisatorisch nicht weit weg von risikorelevante Kennzahlen ermittelnden respektive mit Risikoberichterstattung beschäftigten Linienorganisationseinheiten (Risiko- und Finanzen-Bereiche) angesiedelt sein7;
  • Mitarbeiter der Funktion sollten über Fachkenntnisse auf den Gebieten der Risikodatenaggregation, Ermittlung der risikorelevanten Kennzahlen und Risikoberichterstattung verfügen, um im Zusammenhang mit den Prozessen und Kontrollen die in dem korrespondierenden Teil der Bankprozesskette stehenden Sachverhalte adäquat analysieren und so profunde Ergebnisse im Rahmen ihrer Validierungsaktivitäten erzielen zu können.

 

Hat man durch die vorstehend hergeleitete thematische Einordnung der Validierungsfunktion die Abdeckung regulatorischer Vorgaben an ebendiese im Hinblick auf die Governance der Organisation sichergestellt, sind vor dem Hintergrund effizienter Ressourcensteuerung Überlegungen anzustellen, wie sich eventuell ein weiterer inhaltlicher Mehrwert durch die Etablierung der Funktion mittelfristig erzielen lässt.

 

Annahmegemäß kann die Validierungsfunktion nämlich dadurch nachhaltig einen Mehrwert für die Organisation stiften, dass sie mittelfristig durch ihre Schwerpunktsetzung gezielt die beratende Rolle ausbaut und dabei die vorhandenen profunden Fachkenntnisse und Kenntnisse der Bankprozesskette mit den Erfahrungswerten aus der Validierung anreichert.

Validierungskonzept – Inhalte und Schwerpunkte

Steht die Organisationsstruktur der validierenden Funktion inklusive der aufnehmenden Einheit in der Linienorganisation, der Berichtslinie/des Eskalationsweges und der personellen Ausstattung fest, ist der Zeitpunkt erreicht, sich Gedanken über das Konzept der Validierung zu machen.

Dieses soll im günstigen Falle das übergreifende Ziel der Validierung in einzelne, möglichst konkret formulierte Bestandteile zerlegen und diesen jeweils Validierungshandlungen zur Überprüfung der Angemessenheit der fachlichen Definition, fachlichen/technischen Umsetzung sowie Funktionsweise im operativen Geschäftsbetrieb zuordnen.

Wesentliche Charakteristika des Validierungsvorgehens

Selbstverständlich soll man Validierungsaufgaben der neuen Funktion in der schriftlich fixierten Ordnung regeln. Dies dürfte in den 2020-ern jedoch keine wirkliche Herausforderung mehr darstellen.

Essenziell wäre hierbei, die Merkmale Validierungsturnus vs. -umfang, personelle Ausstattung (Skills und Ressourcen) sowie Format und Inhalte der (adressatengerechten) Ergebnisobjekte zu regeln.

PRAXISTIPPS

Angesichts des regulatorischen Tsunamis, der in den letzten Jahren auf die Kreditinstitute regelrecht einprasselte und in Kombination mit stetig wachsendem Kosten-/ Ertragsdruck stellt sich flächendeckend die Frage danach, wie man unter den geschilderten Rahmenbedingungen die Erwartungen des Regulators erfüllen kann, ohne die Wirtschaftlichkeit seines Handelns zu gefährden?

 

Sicherlich ist es eine komplexe Aufgabe, für die es keine eindimensionale Patentlösung gibt. Dennoch kann man einige Stichworte benennen, die zur effizienteren Ressourcensteuerung beitragen dürften: 

  • Bei der organisatorischen Verortung der Validierungsfunktion fachliche Nähe zu den Linienorganisationseinheiten anstreben, die mit den zu validierenden Prozessen und Kontrollen beschäftigt sind.
  • Mitarbeiter mit der Aufgabe der unabhängigen Validierung betrauen, die als weitere Schwerpunkte Themengebiete mit möglichst großer inhaltlicher und prozessualer Schnittmenge behandeln.
  • Validierungsprozess ablaufseitig effizient gestalten (prozessual und technisch).
  • Technische Plattformen schaffen und übergreifend nutzen.
  • Einwertungssystematik über mehrere Validierungsstränge vereinheitlichen.
  • New Work-bedingte Effizienzgewinne nutzen.

[1] MaRisk 09/2017 „…Unabhängig von den geschäftsinitiierenden bzw. geschäftsabschließenden Organisationseinheiten…“.

[2] Formulierung aus den MaRisk an der vorstehend referenzierten Stelle.


Beitragsnummer: 18184

Beitrag teilen:

Beiträge zum Thema:

Beitragsicon
BCBS 561 – Verschärfung der aufsichtsrechtlichen Zinsschockszenarien

Der 300 BP-Zinsschock der letzten zwei Jahre hat Folgen für die Behandlung von Zinsrisiken. Der neue BCBS 561 regelt die Berechnung von Zinsschock-Szenarien.

13.02.2024

Beitragsicon
BCBS, SREP und die Optimierungspotenziale im Risikomanagement

Effiziente Wege zur Sicherstellung hoher Datenqualität machen die Erfüllung aufsichtsrechtlicher Anforderungen im Risikomanagement einfacher.

02.02.2024

Beitragsicon
Herausforderungen bei Validierung von ökonomischen Immobilienrisiken

Quantifizierungsansätze und Validierungshandlungen für ökonomische Immobilienrisiken nach Einführung der wertorientierten Risikotragfähigkeit.

04.09.2023

Beitragsicon
Unternehmensführung durch Vorstand und Aufsichtsrat

Unternehmensführung durch Vorstand und Aufsichtsrat

01.02.2024

Beitragsicon
MaRisk 8.0 – Umsetzungshinweise und Folgen für die Banksteuerung

Auswirkungen der MaRisk 8.0 auf die Banksteuerung

12.09.2023

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.