Mit dem Rundschreiben 05/2023 (BA) hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 29.06.2023 die aktualisierte Fassung der Mindestanforderungen an das Risikomanagement (MaRisk) für Kreditinstitute veröffentlicht.
Mit der nunmehr 7. MaRisk-Novelle werden zum einen die Anforderungen der Europäischen Bankenaufsichtsbehörde (EBA) aus deren Leitlinien für die Kreditvergabe und Überwachung in deutsches Aufsichtsrecht überführt. Zum anderen werden in Analogie zum Kredit- und Handelsgeschäft nun auch Regelungen zur Aufbau- und Ablauforganisation des Immobiliengeschäfts der Banken getroffen, die Durchführung von Handelsgeschäften aus dem Home Office wird präziser geregelt, und der Einbezug von Nachhaltigkeitsrisiken (ESG-Risiken) wird an zahlreichen Stellen der MaRisk ergänzt.
Ebenfalls neu in die MaRisk aufgenommen wurde Modul 4.3.5 im Allgemeinen Teil. In diesem Modul werden grundlegende Regelungen getroffen, die die Kreditinstitute bei der Ausgestaltung und Verwendung von Modellen zu berücksichtigen haben. Unter einem Modell werden dabei alle quantitativen Methoden, Systeme oder Ansätze verstanden, bei denen mathematische oder statistische Verfahren angewendet werden, um aus den verwendeten Eingangsdaten Schätzungen und Bewertungen abzuleiten. Das Ergebnis dieser Modelle unterstützt oder automatisiert dabei Entscheidungen, die zur Preisgestaltung, Risikoabschätzung oder Kreditgewährung getroffen werden müssen. Das neu aufgenommene Modul zu Modellen ergänzt somit das bereits 2017 aufgenommene Modul AT 4.3.4 der MaRisk zu Datenmanagement im Hinblick auf einen weiteren wichtigen Verwendungszweck von Daten.
Dieser Beitrag erläutert die wesentlichen Neuerungen, die in der MaRisk zu Modellen getroffen werden, und gibt eine Einschätzung zu den Implikationen, die sich daraus für die Kreditinstitute ergeben. Da die Qualität der Voraussagen von Modellen signifikant von den verwendeten Daten beeinflusst wird, soll aber zunächst ein kurzer Überblick über die in der MaRisk getroffenen Anforderungen an Datenmanagement gegeben werden.
Anforderungen an das Datenmanagement
Das Modul AT 4.3.4 der MaRisk stellt die aufsichtsrechtlichen Anforderungen zu Datenmanagement, Datenqualität und Aggregation von Risikodaten dar. Es wurde im Zuge der 5. MaRisk-Novelle mit Rundschreiben 09/2017 der BaFin ergänzt. Mit diesem Modul wurden die Leitgedanken des Basler Ausschusses für Bankenaufsicht (BCBS) in nationales Recht umgesetzt. Der Basler Ausschuss hatte 2013 als Reaktion auf die Schwierigkeiten vieler Banken, während der Finanzkrise 2007/08 schnell und präzise Risiken zu identifizieren und übergreifend zu aggregieren, Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung (BCBS 239) für systemrelevante Banken veröffentlicht. In der folgenden Novellierung der MaRisk wurde 2021 in Anpassung an die tatsächliche Aufsichtspraxis der Europäischen Zentralbank (EZB) eine Ausweitung auf alle bedeutenden Institute umgesetzt, die unmittelbar der Aufsicht durch die EZB unterliegen. Aktuell sind somit 22 Banken und ihre Tochterunternehmen in Deutschland von diesem Modul betroffen. Mit der aktuellen Neufassung der MaRisk erfolgen keine weiteren Anpassungen an diesem Modul.
Was sind nun die Anforderungen an das Datenmanagement von Banken, die in den 14 Grundsätzen des BCBS 239 bzw. deren Umsetzung in der MaRisk aufgestellt werden? Erstaunlicherweise sind hier viele Aspekte formuliert, die eigentlich als selbstverständlich angesehen werden sollten.
Ein Teil der Anforderungen beschäftigt sich mit den Daten selbst bzw. der Datenhierarchie. Die verwendeten Daten müssen genau und vollständig sein. Sie müssen eine hohe Qualität und Verlässlichkeit besitzen sowie eine hohe Aktualität aufweisen. Die von den Banken verwendeten Daten müssen zueinander konsistent sein. Schließlich müssen Daten und die daraus abzuleitenden Informationen auch in Stressphasen zeitnah zur Verfügung stehen. Hierbei wird insbesondere auf die Anpassungsfähigkeit des Datenhaushalts insgesamt abgezielt, damit gerade in Krisensituationen aus den Daten ad hoc Auswertungen und Ableitungen erfolgen können.
Ein zweiter Teil der Anforderungen richtet sich an die Governance und das Reporting von Daten und den daraus abgeleiteten Risiken mit Hilfe geeigneter IT-Infrastruktur. Hierzu sind Verantwortlichkeiten für Datenqualität und Aggregationsprozesse sowie entsprechende Kontrollinstanzen durch die Geschäftsleitung zu definieren. Die Aggregation soll mittels geeigneter IT-Systeme möglichst automatisiert erfolgen, um Fehler auszuschließen. Eventuell doch notwendige manuelle Eingriffe sind zu begründen und zu dokumentieren. Die aus den Daten generierten Berichte müssen präzise und akkurat sein sowie die relevanten Informationen klar und in verständlicher Weise adressatengerecht darstellen. Unterschiedliche Berichte müssen zueinander plausibel sein. Wie bei den Anforderungen an die Daten selbst gelten auch für die daraus abgeleiteten Berichte, dass diese auch in Stressphasen zeitnah und umfassend zur Verfügung stehen müssen.
Anforderung an die Verwendung von Modellen
Die Verwendung von Modellen wird mit der Novellierung der MaRisk zukünftig im Allgemeinen Teil in dem neu hinzugekommenen Modul AT 4.3.5 geregelt. Dieses Modul umfasst insgesamt sechs Textziffern, in denen wesentliche Aspekte der Verwendung von Modellen geregelt werden.
Der Geltungsbereich der Regelungen wird in der ersten Textziffer auf alle Modelle bestimmt, die in den durch die MaRisk geregelten Prozessen zum Einsatz kommen. Dies umfasst z.B. Modelle und Scoring-Verfahren, die im Kreditgeschäft für eine automatisierte Kreditentscheidung herangezogen werden. Nicht von den Neuregelungen der MaRisk betroffen sind dahingegen alle Modelle, die bereits in der Vergangenheit einer Genehmigung durch die Aufsichtsbehörden auf Basis der Eigenkapitalverordnung (CRR) bedurften. Hierzu zählen insbesondere interne Einstufungen zur Berechnung der risikogewichteten Aktiva im Rahmen der Ermittlung der Eigenmittelanforderungen (IRB-Ansatz).
Wie in Textziffer 2 geregelt, sind Modelle so zu konzipieren, dass sie ihren Verwendungszweck angemessen und in geeigneter Weise erfüllen. Eine diesbezügliche Bewertung und regelmäßige Überprüfung muss vor dem Einsatz der Modelle erfolgen. Die in den Modellen getroffenen Annahmen, die zugrundeliegenden Parameter sowie die verwendeten Daten müssen nachvollziehbar begründet werden.
Insbesondere die Datenqualität ist für die Aussagekraft der Modelle von wesentlicher Bedeutung. In Textziffer 3 wird deshalb explizit darauf hingewiesen, dass eventuelle Qualitätsmängel der verwendeten Daten zu bereinigen sind. Insofern werden hiermit die Anforderungen aus Modul AT 4.3.4 zu Datenmanagement nochmals betont.
Die Textziffern 4 und 5 des neu aufgenommenen Moduls rücken die Modellergebnisse in den Vordergrund. Die Qualität dieser Ergebnisse ist regelmäßig zu analysieren. Bei erkennbaren Schwächen müssen Überschreibungen in geregelter Weise möglich sein. Diese Eingriffe können sowohl bei Eingangsparametern und -daten als auch bei Zwischen- oder Endergebnissen möglich sein. Wird bei der regelmäßigen Überprüfung der verwendeten Modelle erkannt, dass Anpassungen sinnvoll sind, können zugrundeliegende Annahmen, Parameter und Daten in sachgerechter Weise geändert werden. Jede Rekalibrierung des Modells ist daher in Analogie zur in Textziffer 2 geregelten Modelleinführung erneut auf Auswirkungen hinsichtlich der Genauigkeit und Konsistenz des Modells zu bewerten.
Abschließend wird in Textziffer 6 auch eine „hinreichende Erklärbarkeit“ der Modelle verlangt. Hierdurch wird die Möglichkeit eröffnet, auch durch künstliche Intelligenz entwickelte Modelle und Entscheidungsverfahren zu implementieren. Eine solche Erklärbarkeit wird unterstellt, wenn Wirkungszusammenhänge zwischen Eingangsdaten und erzielten Ergebnissen nachgewiesen werden können. Was allerdings eine „hinreichende Erklärbarkeit“ konkret in der Praxis bedeutet, wird sich vermutlich erst nach und nach in Abhängigkeit der weiteren technologischen Entwicklung und im Dialog zwischen den Instituten und der Aufsicht herausstellen.
Implikationen der MaRisk-Novelle für Kreditinstitute
Mit der Neufassung der MaRisk sind die darin genannten Anforderungen durch die Banken einzuhalten. Was ist nun zu beachten, um die Vorgaben zu erfüllen? Auch hier soll zunächst die Einhaltung der Anforderungen zu Datenmanagement geschildert werden, bevor eine Abschätzung des Handlungsbedarfs zur Einhaltung der Anforderungen an die in Kreditinstituten verwendeten Modelle getroffen wird.
Umsetzung der Anforderungen an das Datenmanagement
Zur Erfüllung der Grundsätze des BCBS 239 waren große und komplexe Projekte in den betroffenen Institutsgruppen erforderlich, die oftmals eine Laufzeit von mehreren Jahren hatten und mit Kosten im zweistelligen Millionenbereich verbunden waren. Die Projekte wurden weit im Vorfeld der Inkraftsetzung der Regelungen der MaRisk in 2017 begonnen.
Um zu verstehen, warum zur Erfüllung der eigentlich selbstverständlichen Anforderungen an das Datenmanagement solch langlaufende und teure Projekte nötig waren, muss man verstehen, warum sich Banken während der Finanzkrise überhaupt so schwer getan haben, aussagekräftige Berichte zu ihrer übergreifenden Risikosituation zu erstellen. Eine Erklärung hierfür ist das starke Wachstum der Banken zur Nutzung der Skaleneffekte, das mit einer Ausweitung der Geschäftsfelder und geographischen Ausdehnung einherging. Es entstanden immer größere und komplexere Finanzkonglomerate mit hohen organisatorischen und technischen Freiheitsgraden der einzelnen Gruppenunternehmen.
Organisatorisch führte die durchaus gewünschte Autonomie von Tochtergesellschaften oder Geschäftsfeldern zwar zu einer vermeintlich zielgenaueren Abdeckung der individuellen Anforderungen. Dies ging aber häufig mit der Vernachlässigung einer guten, zentralen Data Governance einher. Technisch führte die hohe Eigenständigkeit zu einer Vielzahl an IT-Systemen, die jeweils ihr eigenes, voneinander unabhängiges Datenmodell und unterschiedliche Infrastruktur genutzt haben. Schnittstellen zwischen Systemen zur umfassenden Aggregation von Risikodaten waren allerdings oftmals nur unzureichend implementiert. Die Folge der organisatorischen und technischen Defizite waren hochgradig manuelle Prozesse auf Basis individueller Datenverarbeitung (IDV) durch die Nutzer der zentralen Einheiten, die eine übergreifende Sicht zum Zwecke der Rechnungslegung, des Meldewesens oder des internen Risikocontrollings herstellen mussten.
Banken haben zur Umsetzung der Anforderungen daher nicht nur ein übergreifendes fachliches Datenmodell und eine unternehmensweite Data Governance entwickeln, sondern auch die dafür notwendige technische Basis in ihrer IT-Infrastruktur erst schaffen müssen. Hierfür wurde regelmäßig eine zentrale Datenintegrationsschicht auf Basis neuer Datenbanktechnologie etabliert. Durch ein solches Financial Data Warehouse können Daten aus verschiedenen Quellsystemen gemäß eines übergreifenden Rahmenwerks zusammengeführt werden, so dass sie in strukturierter Form über entsprechende Ausleitungsstrecken den Datennutzern in den Zentralbereichen für Rechnungslegung und Risikosteuerung oder der Bankenaufsicht zur Verfügung gestellt werden können. Der Aufbau der Datenintegrationsschicht sowie die Anbindung von Quellsystemen bzw. Ausleitungsstrecken erforderte nicht nur große Investitionen in die IT-Infrastruktur, sondern auch einen unternehmensweiten Abstimmungs- und Veränderungsprozess. Beide Effekte haben die Projekte zur Umsetzung der Anforderungen aus BCBS 239 bzw. des Moduls AT 4.3.4 zu Datenmanagement in der MaRisk entsprechend teuer und langwierig gemacht.
Handlungsbedarf aus der aktuellen MaRisk-Novellierung zu Modellen
Was bedeutet nun die Aufnahme der Anforderungen zu Modellen in die MaRisk für die Kreditinstitute? Sind mit der Einführung der Regelungen zu Modellen ähnlich große Projekte wie bei der Umsetzung der Anforderungen zum Datenmanagement erforderlich? Die gute Nachricht für die Banken ist, dass dies voraussichtlich nicht der Fall sein wird.
Der Grund hierfür besteht darin, dass Modelle und dafür ggf. erforderliche Rechenkerne im Rahmen von klar abzugrenzenden Verwendungszwecken eingesetzt werden. Sofern es keine Defizite bei der Qualität der verwendeten Daten gibt, sollte sich der Umsetzungsaufwand daher auf das jeweilige Einsatzgebiet beschränken. Der unternehmensweite oder prozessübergreifende Abstimmungsbedarf wird daher deutlich geringer sein. Damit einhergehend wird auch die Komplexität und der Budgetbedarf zur MaRisk-konformen Nutzung von Modellen im Vergleich zu den Anforderungen des Moduls AT 4.3.4 an Datenmanagement deutlich geringer sein.
Nichtsdestotrotz sollte zur Umsetzung der Anforderungen aus Modul AT 4.3.5 zur Verwendung von Modellen aber frühzeitig Transparenz darüber geschaffen werden, in welchen Bereichen der Bank mathematisch-statistische Verfahren zum Einsatz kommen, die dem definierten Geltungsbereich unterliegen. Ein erster wichtiger Schritt ist es daher, sich Transparenz darüber zu verschaffen, welche Prozesse und Entscheidungsverfahren durch den Einsatz solcher Verfahren bereits heute unterstützt werden oder wo Algorithmen sogar automatisiert Entscheidungen treffen und Handlungen in die Wege leiten. Bei einer solchen Inventarisierung sollten nicht nur die Verfahren im Vordergrund stehen, die durch zentrale IT-Systeme umgesetzt sind, sondern auch Modelle, die durch Fachbereiche oder einzelne Mitarbeiter im Rahmen von individuellen Lösungen genutzt werden. Auch solche IDV-basierten Modelle unterstützen zum Teil wesentliche Kernprozesse, für die entsprechende Risikoüberwachungsverfahren gelten.
Da zentrale IT-Systeme und auch individuelle Datenverarbeitung den in Modul AT 7.2 geregelten Anforderungen der MaRisk an die technisch-organisatorische Ausstattung unterliegen, sollte hier ein wesentlicher Teil der Aufgabe schon erfüllt sein. Im Rahmen der Dokumentation des Informationsverbunds sollten die Anforderungen an Daten und Modelle als Teil der IT-Systeme schon so weitgehend erfüllt sein, dass eventuelle Anpassungen überschaubar sein sollten.
Die Anforderungen der MaRisk greifen somit vor allem für die Konzeption, Validierung und Dokumentation von neu zu implementierenden Modellen im jeweiligen abgegrenzten Einsatzgebiet. Hierfür anfallende Aufwände können allerdings relativ eindeutig den jeweiligen Auftraggebern zugeordnet werden, die wiederum Kosten und Nutzen der Verwendung des Modells gegeneinander bewerten können. Bei der Implementierung neuer Modelle wird es spannend zu sehen sein, welche technologischen Innovationen und verbesserte Algorithmen zukünftig an Bedeutung gewinnen. Hier wird im Dialog mit der Finanzaufsicht zu klären sein, wie die spezifizierte Anforderung einer „hinreichenden Erklärbarkeit“ der Modelle in der Aufsichtspraxis interpretiert werden wird.
Fazit
Es bleibt abschließend festzuhalten, dass aus dem neu hinzugekommenen Modul AT 4.3.5 zur Verwendung von Modellen in Kreditinstituten kein größerer Umsetzungsaufwand zu erwarten ist, sofern sich in der Bank kein Umsetzungsstau der Anforderungen der MaRisk in der Vergangenheit aufgebaut hat. Auch im Vergleich zu den anderen neu hinzugekommenen Anforderungen der 7. MaRisk-Novellierung wird der Anpassungsbedarf als überschaubar eingeschätzt. Größerer Aufwand ist im Vergleich bei der Berücksichtigung von ESG-Risiken zu erwarten. Zur Erfüllung dieser umfangreichen Anforderungen entlang des kompletten Risikomanagementprozesses werden umfassendere organisatorische und technische Anpassungen erforderlich sein.