Revisionssichere Softwareentwicklung

Durch die Bankenaufsicht und die immer neuen Anforderungen an Finanzinstitute respektive sich dadurch ändernde Prozessabläufe sind auch entsprechende Tools zur Unterstützung notwendig. Um  die spezifischen Herausforderungen an den Finanzsektor sowie die institutsspezifischen Wünsche abzudecken, können Software-Lösungen individuell entwickelt oder bestehende Lösungen angepasst werden.

Als revisionssicher gelten Software-Produkte, wenn sie folgende Merkmale aufweisen:

  • ordnungsmäßige & vollständige Aufbewahrung der Daten
  • die Sicherheit des Gesamtverfahrens ist sicherzustellen
  • Schutz vor Veränderungen oder Verfälschungen der Daten
  • Zugriff und Nutzung der Daten erfolgt nur durch ausschließlich berechtigte Anwender
  • Verlustsicherung
  • Aufbewahrungspflichten werden beachtet
  • nachvollziehbare Protokollierung der durchgeführten Aktionen
  • Prüfbarkeit durch Dritte ist möglich
  • Verfahrensdokumentation ist vorhanden

Im Folgenden stellen wir Ihnen ein Referenzprojekt für das Thema revisionssichere Softwareentwicklung im Bereich Modellrisiko vor.

Das Projekt zum Thema Modellrisiko wurde in einer großen Genossenschaftsbank in Deutschland erfolgreich durchgeführt. Auslöser war der Wunsch des Instituts, weiterführende aufsichtsrechtliche Anforderungen (MaRisk) zu erfüllen. In dem Rahmen wurde eine Webanwendung für den Kunden entwickelt.

Referenzprojekt der Enrion GmbH
Durchführungszeitraum: 2016
Kunde: Bank

Ausgangssituation

Durch die neuen MaRisk haben sich die Forderungen in Bezug auf Modellrisiken verstärkt.

„Das Institut muss gewährleisten, dass es jederzeit einen vollständigen und aktuellen Überblick über die Methoden und Verfahren hat, die zur Risikoquantifizierung verwendet werden.“

MaRisk (Entwurf i.d.F. vom 18.02.2016) – Erläuterungen zu AT 4.1 Tz.9

Viele Institute können eine solche vollständige Übersicht Ad-hoc nicht ohne erhebliche Mehraufwände erzeugen, da schon innerhalb eines Instituts selten eine klare Modelldefinition existiert. Wenn solche Übersichten existieren, sind diese meist nur auf die einzelnen Fachabteilungen beschränkt.

Aufgaben und Anforderungen

Eine Modellinventarisierung beginnt immer mit einer klaren Definition des Modellbegriffs, der institutsweit gilt. Diese Festlegung ist von zentraler Bedeutung für das Modellrisiko-Management und institutsspezifisch zu treffen. Um diesem Anspruch nachzukommen, ist eine Modellrisiko-Datenbank eingerichtet, auf die jeder Mitarbeiter (nach Rechten und Rollen) über eine Web-Anwendung aus dem internen Netz heraus Zugriff haben soll. Auf diese Weise ist nicht nur sichergestellt, dass jederzeit ein vollständiger Überblick abgerufen werden kann, sondern die klaren Verantwortlichkeiten und der einfache Zugang befördern zusätzlich die Vollständigkeit des Modellinventars. Eine vollständige Modellrisikoinventur umfasst drei Schritte:

  • Die beschreibende Modellinventur umfasst neben der detaillierten Modellbeschreibung auch deren Annahmen, Beschränkungen sowie die dazugehörigen Modellrisiken.
  • Im Rahmen der Modellevaluierung müssen alle steuerungsrelevanten Modelle auf ihre Einfachheit, Transparenz und ihre Konservativität geprüft werden.
  • Der letzte Schritt ist die Quantifizierung einzelner Modellrisiken, um Risikoaufschläge zu ermitteln oder Handlungsempfehlungen abzugeben.

Umsetzung von Enrion

Mit der entwickelten Anwendung zur Unterstützung des Modellrisikomanagements erhält der Kunde ein Werkzeug, mit dem eine umfassende Dokumentation der Modelle mit allen Risiken, Annahmen und Beschränkungen sowie den entsprechenden Risikobewertungen erfasst werden kann. Die Anwendung selber wird von Enrion an die Kundenspezifikationen und Prozessabläufe angepasst, um eine optimale Einbindung in den Arbeitsalltag zu schaffen. Die neukonzeptionierten, in der Anwendung hinterlegten Prozesse vereinfachen zudem die Kategorisierung anhand der aufsichtsrechtlich vorgegebenen Kriterien, siehe dazu den Abschnitt zur Modellklassifikation. Um das Vorhandensein komplexer Modelle aufzudecken und die Auswirkungen der entsprechenden Modellrisiken zu beziffern, wurde der kontinuierliche ETK-Prozess erschaffen. Dieser Prozess ermöglicht die detaillierte Dokumentation der Einfach-Transparent-Konservativ-Klassifikation der Modelle innerhalb der Anwendung. Der Kunde erhält so einen Überblick, ob komplexe Modelle vorhanden sind. Der Anwender beziffert anschließend die Auswirkungen der entsprechenden Modellrisiken.

Mit Hilfe der Anwendung kann der Kunde nun die herleiten Risikopositionen dokumentieren und aggregieren und somit bisherige Modellrisiko-Pauschalen ablösen.

Projektfazit

Unsere Mitarbeiter besitzen Projekterfahrungen im Bereich Risikomanagement und der Umsetzung von passenden IT-Systemen sowie der Prüfungsvorbereitung von Finanzinstituten. Mit diesem Backgroundwissen können sie den Kunden optimal bei der Spezifikation der Anforderungen unterstützen und zügig auf geänderte Anforderungen reagieren. Mit der Anwendung zur Modellrisiko-Datenbank ist eine begleitende Dokumentation der abteilungsübergreifenden Inventur durch multiple User zeitgleich problemlos möglich. Ziel der Implementierung einer solchen Lösung  ist es, nicht nur die Software kundenspezifisch zu entwickeln, sondern auch das Thema Modellrisiko zu erläutern und das Know-how der Berater weiterzugeben sowie den Kunden für Fragestellungen und kritische Betrachtungen gegenüber den eingesetzten Modellen zu sensibilisieren.

Mit einem klaren Maskendesign können auch weniger erfahrene User schnell einen Zugang zu der Software erlangen und Eintragungen vornehmen. An geeigneter Stelle finden Anwender über Tooltips oder Prozess-Roadmaps auch hifreiche Erklärungen direkt in der Anwendung, ohne auf Dokumentationen zurückzugreifen. Mit der Anbindung an das hauseigene Active-Directory sind auch keine gesonderten Login-Daten notwendig.

Nach der Erstellung zentraler Reports werden die Berichtsstände gesichert und können jederzeit durch den berechtigten Anwender aufgerufen werden.