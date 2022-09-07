Em 18 de agosto de 2022, o Office of the Comptroller of the Currency (OCC) publicou seu livreto de gerenciamento de riscos de modelos (MRM) do Comptroller’s Handbook in OCC Bulletin 2021-39 (manual de 2021). Conforme mencionado na nota de lançamento, o manual de 2021 apresenta os conceitos e princípios gerais de gerenciamento de risco de modelos e fornece diretrizes para examinadores no planejamento e realização de exames sobre gerenciamento de risco de modelos.
O manual fornece insights sobre a abordagem atual e esperada do OCC para a supervisão de riscos de modelo. Os insights são valiosos para empresas que buscam atender às expectativas de supervisão do OCC para MRM e empresas sujeitas à supervisão de MRM por outros reguladores bancários.
Embora não suplante o Guia de Supervisão sobre Gerenciamento de Risco de Modelo de 2011 lançado pelo OCC como OCC 2011-12, o manual de 2021 extrai elementos importantes da orientação de 2011 e fornece explicações complementares, bem como interpretações e esclarecimentos adicionais significativos.
A expansão da orientação de 2011 representa a evolução das práticas de análise do gerenciamento de risco do modelo compatíveis com os desenvolvimentos do setor e as emissões de OCC provisórios. Isso inclui a recente interagency statement on MRM for Bank Secrecy Act/anti-money laundering (BSA/AML) compliance (Interagency Statement on MRM in BSA/AML). E as Perguntas Frequentes de 2020 sobre relacionamentos com terceiros, que estão consideradas para inclusão na interagency guidance on third-party risk management (TPRM) proposta.
O manual esclarece a definição de um modelo na orientação de 2011. Ele observa que os modelos são caracterizados pela "incerteza associada à estimativa das saídas de um modelo" em vez de "resultados definidos pelas regras determinísticas" que as ferramentas analíticas que não são modelos produzem. Este esclarecimento contribui para o processo de inventário de modelos, esclarecendo o papel das estimativas de saídas incertas na distinção entre modelos e ferramentas analíticas que não são modelos.
Embora o OCC tenha aumentado as expectativas de supervisão para o gerenciamento de risco de modelos em relação a ferramentas analíticas que não são modelos, o manual esclarece que uma abordagem excessivamente mecânica que não considera o risco e a complexidade de ferramentas analíticas que não são modelos pode promover o risco do modelo.
Especificamente, o manual afirma que a gestão de riscos deve ser aplicada e proporcional à extensão e à complexidade de uma abordagem quantitativa, independentemente de atender à definição de um modelo. Em outras palavras, a questão crítica é aplicar um nível apropriado de gerenciamento de riscos e controles, independentemente da classificação de uma abordagem. Por exemplo, o algoritmo de clustering de aprendizado de máquina k-means pode não ser visto como um modelo, mas pode representar um risco substancial quando aplicado à classificação de risco do cliente.
Essas declarações representam uma evolução no pensamento de OCC que reduz a ênfase em determinar se uma ferramenta analítica é um modelo ou não. Em vez disso, ela se concentra na adequação do gerenciamento de riscos, independentemente da categorização. Isso reflete uma preocupação por parte do OCC de que a ênfase dada à definição do modelo possa ter tido a consequência não intencional de reduzir a governança e os controles em torno de ferramentas analíticas complexas e críticas que não são modelos. Pode haver também uma ênfase excessiva nas determinações de modelo/não de modelo. O esclarecimento do manual também reflete a recente Interagency Statement on MRM in BSA/AML, que afirma que "independentemente de como um sistema BSA/AML é caracterizado, a gestão sólida de riscos é importante."
A discussão anterior reflete o princípio geral do OCC de que o gerenciamento adequado de riscos requer a alocação de recursos de acordo com o risco, com as áreas mais arriscadas recebendo atenção relativamente maior. Embora a orientação de 2011 permitisse que a variedade e o rigor das atividades de validação inicial dependessem do risco potencial do modelo, ela não se referiu explicitamente ao GRM sensível ao risco. O manual fornece orientações adicionais sobre como os bancos podem desenvolver meios de alocar recursos de forma eficaz para MRM além da validação inicial. Ela menciona explicitamente a abordagem baseada em risco para validações de modelos, que devem ser realizadas com uma frequência adequada ao perfil de risco de um banco. A frequência e a profundidade do monitoramento contínuo devem ser proporcionais aos riscos envolvidos.
Dados os extensos inventários de modelos de grandes empresas financeiras, observamos que muitas organizações procuraram implementar requisitos de GRM sensíveis ao risco consistentes com as declarações anteriores. O nível de risco de um modelo pode determinar a amplitude, profundidade, prioridade e frequência das atividades de validação. Por exemplo, um modelo de alto risco pode exigir uma revalidação completa periódica a cada dois anos, ao passo que os bancos podem validar modelos de baixo risco com menos frequência. Da mesma forma, o nível de risco de um modelo pode afetar a extensão e a natureza dos testes ou o nível aceitável de transparência para modelos complexos.
Como esperado, as empresas que não conseguem diferenciar os modelos de acordo com o risco não podem implementar MRM sensível ao risco. O manual diz que as metodologias de classificação de risco do modelo "são frequentemente baseadas no tipo de modelo e nos objetivos; complexidade, incerteza e materialidade; inter-relações; dados; capacidades e limitações”. O manual destaca ainda que as classificações de modelos devem considerar a explicabilidade dos modelos de IA.
O manual esclarece como os oito tipos de risco de OCC padrão podem ser afetados pelo risco do modelo. Especificamente, o risco do modelo deve ser considerado um risco distinto que pode influenciar as categorias de risco de OCC: crédito, taxa de juros, liquidez, preço, operacional, conformidade, estratégico e reputação. Por exemplo, o risco estratégico de um banco pode aumentar devido à falha em ajustar as entradas e premissas dos modelos para um ambiente macroeconômico em mudança, condições de mercado e comportamentos de consumidores, traduzindo em perdas financeiras e risco de reputação.
Para determinar a quantidade de cada risco associado ao uso do modelo pelo banco, o manual fornece considerações detalhadas, como a natureza, a extensão e a complexidade dos modelos que o banco usa. Também considera até que ponto os modelos contribuem para a tomada de decisão e o nível de incerteza ou inexatidão das entradas e premissas dos modelos. Assim, uma empresa deve considerar até que ponto o risco do modelo deve ser incorporado em outras avaliações de risco em toda a organização.
As empresas também podem se beneficiar da incorporação dessa abordagem a seu framework de relatórios de risco de modelo. Ao fazer isso, as empresas precisam de uma taxonomia clara de uso de modelos para classificar o uso do modelo, capturando diferentes dimensões de dados do uso do modelo, incluindo o mapeamento de cada uso de modelo aos riscos associados. Por exemplo, os modelos usados nos programas de risco de conformidade e conformidade com AML influenciam o risco de conformidade e o risco de reputação representado pela possível não conformidade.
Finalmente, o manual também enfatiza a importância do apetite ao risco para o risco de modelo, que define os limites dentro dos quais a gestão pode operar. Também destaca a necessidade de limitar o uso de "exceções, substituições de gerenciamento, desvios de políticas e limites de uso de modelos" de propagação de riscos.
O manual estabelece expectativas detalhadas sobre o gerenciamento sólido de riscos de IA para ferramentas modeladas e não modeladas. Isso inclui um inventário de usos de IA, identificação de riscos, controles eficazes de tecnologia e processos eficazes para validar que o uso de IA fornece resultados sólidos, justos e sem viés. No entanto, as referências detalhadas subsequentes no manual referem-se apenas à IA classificada como modelos. Portanto, o ponto em que as atividades descritas para modelos de IA devem ser usadas para não modelos de IA precisa ser determinado com base no princípio de sensibilidade ao risco para governança de riscos não de modelo discutido acima.
O manual define a expectativa de que a política de MRM de um banco deve incluir normas para documentar o entendimento conceitual das abordagens de IA. Isso é importante porque a teoria e a lógica subjacentes podem não ser transparentes para modelos de IA complexos. Por outro lado, algumas abordagens de IA são conceitualmente simples, mas podem representar um risco substancial devido à sua natureza heurística (ou seja, baseada na intuição em vez de em teorias estatísticas ou matemáticas). Por exemplo, o clustering com base na distância pode levar a resultados opostos, dependendo da escala dos dados.
Da mesma forma, a compreensão conceitual deve abranger os hiperparâmetros do modelo e a abordagem para sua calibração. Isso é particularmente importante para abordagens de IA em um ciclo constante de melhoria (treinamento contínuo), no qual o projeto conceitual pode passar despercebido. É crítico manter a documentação detalhada e atualizada, incluindo detalhes sobre os processos de reparametrização e recalibração e limites aceitáveis para alterações no modelo que possam ser consideradas atualizações de rotina (portanto, não requerem validação).
Com relação à validação, o manual afirma que as políticas e os procedimentos devem incluir priorização, escopo e frequência de validação, incluindo algoritmos subjacentes dos modelos de IA e outros parâmetros atualizados com frequência. A atualização frequente pode trazer um benefício para a exatidão do modelo, mas requer uma abordagem dinâmica para controlar atividades como backtesting e monitoramento. Às vezes, como algoritmos baseados em árvore de decisão, a recalibração pode levar a diferentes resultados quantitativos e qualitativos. A atualização frequente também pode ser um desperdício em termos de tempo e poder de processamento se os padrões de dados mudarem com uma frequência diferente da atualização do modelo. A fluidez dos dados e a extensão das possíveis mudanças no modelo devem informar a frequência e o escopo da validação.
Reconhecendo que a avaliação da solidez conceitual dos modelos de IA pode ser desafiadora, o manual destaca a transparência e a explicabilidade como considerações críticas no gerenciamento do risco de modelos de IA complexos. O princípio orientador do OCC é que os bancos devem adaptar o nível de explicabilidade ao uso do modelo. Por exemplo, os modelos de IA usados na subscrição de crédito estariam sujeitos a padrões relativamente elevados de documentação e validação para demonstrar adequadamente que o modelo é justo e operacional conforme o pretendido. Por outro lado, o reconhecimento de imagens por IA usado para captura de depósitos remotos não exige tanto escrutínio.
Riscos de empréstimos justos podem ser introduzidos por meio de dados inseridos com viés, algoritmos que amplificam vieses de dados e uso com viés da saída do modelo. As funções de MRM devem desempenhar um papel essencial no programa de empréstimos justo em empresas financeiras que dependem cada vez mais de modelos. O manual reforça essa função e apresenta expectativas detalhadas sobre considerações de empréstimos justos no framework de GRM de um banco. Ela faz referência explicitamente às políticas de MRM que devem incluir considerações sobre empréstimos justos, incluindo normas para garantir que os modelos não causem ou promovam a discriminação por meio de tratamento díspar ou impacto díspar.
Mais especificamente, a framework de MRM de um banco deve incluir controles para o desenvolvimento, implementação e uso de modelos, incluindo controles para monitorar possíveis saídas ou resultados discriminatórios. Observamos que os modelos afetados por problemas de empréstimos justos geralmente dependem de dados dinâmicos e atualizados com frequência, como modelos de monitoramento de transações.
Um modelo que produz resultados justos e sem viés pode falhar nesse aspecto quando os dados de entrada desviam. Por esses motivos, a framework de monitoramento contínuo desses modelos deve incluir o monitoramento de viés nos dados. Da mesma forma, o manual afirma que o framework MRM deve estabelecer normas apropriadas para validação de modelos para identificar vieses nos dados ou resultados do modelo. Por fim, o framework de MRM deve reconhecer que riscos de empréstimos justos podem ser introduzidos por meio de sobreposições e ajustes de gerenciamento.
O manual também menciona modelos criados exclusivamente para avaliar a conformidade com as leis de empréstimo justas e discute abordagens alternativas de testes. Como as políticas relevantes (como a subscrição de crédito) frequentemente orientam o desenvolvimento de tais modelos, a incapacidade de encontrar um bom modelo pode prejudicar a capacidade de uma empresa de avaliar os riscos de empréstimos justos de forma eficaz. Pelo mesmo motivo, o backtesting padrão não é possível, pois os modelos são construídos para refletir as políticas de um determinado período. Alternativamente, avaliações manuais de arquivos devem ser realizadas para destacar quaisquer erros de dados, identificar fatores não incluídos no modelo estatístico. Avaliações manuais de arquivos também avaliam se esses fatores adicionais podem explicar as diferenças remanescentes entre os membros do grupo de base proibidos e os membros do grupo de controle.
É importante ressaltar que esses esforços precisam ser dimensionados adequadamente para serem eficazes, e o livreto Sampling Methodologies do OCC, recentemente atualizado, fornece a orientação necessária.
Reconhecendo o uso predominante de modelos de IA, o manual exige processos eficazes para validar que o uso de IA fornece resultados sólidos, justos e sem viés. Como geralmente são mais complexos, os modelos de IA podem facilmente ocultar viés nos dados, na modelagem de dados e nos resultados.
O OCC afirma que não é suficiente estabelecer a imparcialidade das variáveis individuais, pois as interações complexas típicas das abordagens de IA podem levar a impactos ou resultados não intencionais. Combinações complexas de entradas implicitamente consideradas pelos modelos de IA podem servir como proxies de classes proibidas. Modelos que dependem de tais proxies implícitos devem representar um relacionamento espúrio que resultou de entradas e resultados sendo afetados por características proibidas não observadas.
Além disso, definir adequadamente a saída de um modelo para avaliação de viés é essencial. Embora a saída nominal de um modelo de classificação possa ser um rótulo binário, a saída real é normalmente uma probabilidade estimada de cada resultado. Se o modelo fornece resultados sem viés pode depender de qual tipo de saída é usado e analisado. Por exemplo, um modelo de subscrição de crédito pode fornecer status projetados de delinquentes e não delinquentes, mas pode apresentar probabilidades com viés desses status. Uma análise do status projetado não revelaria os possíveis problemas e poderia ser problemática se esses dados fossem usados para informar as decisões de subscrição.
Na última década, testemunhamos uma crescente dependência de provedores de serviços terceirizados pelas instituições financeiras para aspectos críticos de suas operações. Isso inclui o uso de modelos e dados de terceiros e o envolvimento de terceiros na realização de serviços de desenvolvimento de modelos e gerenciamento de riscos. Nesse contexto, o manual fornece considerações detalhadas sobre o gerenciamento de riscos de terceiros, refletindo amplamente as Perguntas Frequentes de 2020 sobre relacionamentos com terceiros.
Uma área na qual o manual parece oferecer referência explícita e esclarecimentos importantes é no tratamento de validações financiadas pelo fornecedor. O manual afirma que “a administração do banco deve entender e avaliar os resultados das atividades de validação e controle de risco que terceiros conduzem… A administração do banco deve realizar avaliações baseada em risco de cada modelo de terceiros para determinar se está funcionando conforme o pretendido e se os resultados existentes são suficientes.”
A declaração anterior esclarece que os bancos podem usar validações financiadas pelo fornecedor em avaliações de modelo de terceiros baseadas em risco. Esses esclarecimentos auxiliam as funções de MRM, evitando dedicar recursos desnecessários à replicação de validações financiadas pelo fornecedor. No entanto, espera-se que os bancos realizem a devida diligência adequada dessas validações. O manual adverte que a administração do banco não deve aceitar os relatórios de validação financiados pelo fornecedor pelo valor nominal e deve entender “qualquer das limitações experimentadas pelo validador na avaliação dos processos e códigos usados nos modelos”.
O gerenciamento de risco de modelo continua sendo fundamental, dada a importância crescente dos modelos e o impacto crescente dos modelos nos vários tipos de risco nas empresas de serviços financeiros. A gestão de risco de modelod é importante para lidar com preocupações justas de empréstimos e os riscos associados ao crescente uso de inteligência artificial.
A publicação do manual sinaliza a importância que os supervisores atribuem ao MRM e fornece um guia útil para as organizações bancárias avaliarem e fortalecerem seus programas de MRM.