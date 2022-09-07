Am 18. August 2022 veröffentlichte das Office of the Comptroller of the Currency (OCC) seine Broschüre zum Modellrisikomanagement (MRM) im Rahmen des Comptroller's Handbook in OCC Bulletin 2021-39 (Handbuch 2021). Wie in den Versionshinweisen erwähnt, werden im Handbuch 2021 die Konzepte und allgemeinen Grundsätze des Modellrisikomanagements vorgestellt und Leitlinien für Prüfer zur Planung und Durchführung von Prüfungen zum Modellrisikomanagement bereitgestellt.
Das Handbuch bietet Einblicke in den aktuellen und erwarteten Ansatz der OCC zur Überwachung von Modellrisiken. Die Erkenntnisse erweisen sich als wertvoll für Unternehmen, die die aufsichtsrechtlichen Erwartungen der OCC an das MRM erfüllen möchten, sowie für Unternehmen, die der MRM-Aufsicht durch andere Bankaufsichtsbehörden unterliegen.
Das Handbuch von 2021 ersetzt zwar nicht die 2011 von der OCC als OCC 2011–12 veröffentlichten Aufsichtsrichtlinien zum Modellrisikomanagement, greift jedoch wesentliche Elemente der Richtlinien von 2011 auf und enthält ergänzende Erläuterungen sowie wichtige zusätzliche Auslegungen und Klarstellungen.
Die Erweiterung der Leitlinien von 2011 spiegelt die Weiterentwicklung der Prüfungsmethoden für das Modellrisikomanagement wider, die mit den Entwicklungen in der Branche und den vorläufigen Veröffentlichungen der OCC im Einklang stehen. Dazu gehört die jüngste behördenübergreifende Erklärung zu MRM für die Einhaltung des Bankgeheimnisgesetzes/der Geldwäschebekämpfung (BSA/AML) (Interagency Statement on MRM in BSA/AML). Die FAQ zu Beziehungen zu Dritten aus dem Jahr 2020, deren Aufnahme in die vorgeschlagenen behördenübergreifenden Leitlinien zum Risikomanagement bei Dritten (TPRM) erwägt wird.
Das Handbuch präzisiert die Definition eines Modells in den Leitlinien von 2011. Es wird darauf hingewiesen, dass Modelle durch „Unsicherheiten in Verbindung mit der Schätzung der Ergebnisse eines Modells“ gekennzeichnet sind und nicht durch „Ergebnisse, die durch deterministische Regeln definiert sind“, wie sie von nicht modellbasierten Analysewerkzeugen erzeugt werden. Diese Klarstellung trägt zum Modellinventarisierungsprozess bei, indem sie die Rolle unsicherer Ergebnisschätzungen bei der Unterscheidung zwischen Modellen und nicht modellbasierten Analysewerkzeugen verdeutlicht.
Während die OCC die aufsichtsrechtlichen Erwartungen an das Risikomanagement von Modellen im Vergleich zu nicht modellbasierten Analysewerkzeugen erhöht hat, stellt das Handbuch klar, dass ein übermäßig mechanischer Ansatz, der das Risiko und die Komplexität nicht modellbasierter Analysewerkzeuge nicht berücksichtigt, das Modellrisiko erhöhen kann.
Insbesondere heißt es in dem Handbuch, dass Risikomanagement angewendet werden sollte und dem Umfang und der Komplexität eines quantitativen Ansatzes angemessen sein sollte, unabhängig davon, ob dieser die Definition eines Modells erfüllt. Mit anderen Worten: Das entscheidende Thema ist die Anwendung eines angemessenen Maßes an Risikomanagement und Kontrollen, unabhängig von der Klassifizierung eines Ansatzes. Beispielsweise kann der Clustering-Algorithmus k-means des maschinellen Lernens zwar nicht als Modell betrachtet werden, jedoch ein erhebliches Risiko darstellen, wenn er auf die Risikobewertung von Kunden angewendet wird.
Diese Aussagen spiegeln eine Weiterentwicklung in der Denkweise der OCC wider, die weniger Gewicht darauf legt, ob eine Bank ein Analyseinstrument als Modell oder Nicht-Modell einstuft. Der Schwerpunkt liegt stattdessen auf der Angemessenheit des Risikomanagements, unabhängig von der Kategorisierung. Dies spiegelt die Besorgnis der OCC wider, dass die Betonung der Modelldefinition unbeabsichtigte Folgen haben könnte, indem sie die Governance und Kontrollen rund um komplexe und kritische Nicht-Modell-Analysewerkzeuge verringert. Möglicherweise wird auch zu viel Wert auf die Unterscheidung zwischen Modell und Nicht-Modell gelegt. Die Klarstellung im Handbuch spiegelt auch die jüngste behördenübergreifende Erklärung zu MRM in BSA/AML wider, in der es heißt: „Unabhängig davon, wie ein BSA/AML-System charakterisiert ist, ist ein solides Risikomanagement von Bedeutung.“
Die vorangegangene Diskussion spiegelt den allgemeinen Grundsatz der OCC wider, dass ein solides Risikomanagement eine risikogerechte Zuweisung von Ressourcen erfordert, wobei risikoreichere Bereiche relativ mehr Aufmerksamkeit erhalten sollten. Obwohl die Leitlinien von 2011 vorsahen, dass Umfang und Strenge der ersten Validierungsmaßnahmen vom potenziellen Risiko des Modells abhängen sollten, wurde darin nicht ausdrücklich auf risikosensitives MRM Bezug genommen. Das Handbuch enthält weitere Leitlinien dazu, wie Banken Methoden zur effektiven Zuweisung von Ressourcen für MRM über die anfängliche Validierung hinaus entwickeln können. Es wird ausdrücklich auf den risikobasierten Ansatz für Modellvalidierungen hingewiesen, die in einer dem Risikoprofil einer Bank angemessenen Häufigkeit durchgeführt werden sollten. Die Häufigkeit und Tiefe der laufenden Überwachung sollten den damit verbundenen Risiken angemessen sein.
Angesichts der umfangreichen Modellbestände großer Finanzunternehmen haben wir beobachtet, dass viele Organisationen versucht haben, risikosensitive MRM-Anforderungen zu implementieren, die mit den vorstehenden Aussagen im Einklang stehen. Das Risikoniveau eines Modells kann den Umfang, die Tiefe, die Priorität und die Häufigkeit von Validierungsaktivitäten bestimmen. Beispielsweise könnte ein Modell mit hohem Risiko eine regelmäßige vollständige Neubewertung alle zwei Jahre erfordern, während Banken Modelle mit geringem Risiko weniger häufig validieren müssen. Ebenso kann das Risikoniveau eines Modells Auswirkungen auf den Umfang und die Art der Tests oder das akzeptable Maß an Transparenz für komplexe Modelle haben.
Wie zu erwarten war, können Unternehmen, die ihre Modelle nicht nach Risiken differenzieren, kein risikosensitives MRM implementieren. Das Handbuch besagt, dass Methoden zur Bewertung des Modellrisikos „häufig auf dem Modelltyp und den Zielen, der Komplexität, Unsicherheit und Wesentlichkeit, den Wechselbeziehungen, den Daten sowie den Fähigkeiten und Einschränkungen basieren“. Das Handbuch hebt weiter hervor, dass bei Modellbewertungen die Erklärbarkeit von KI-Modellen berücksichtigt werden sollte.
Das Handbuch verdeutlicht, wie die acht Standard-Risikotypen des OCC durch das Modellrisiko beeinflusst werden können. Insbesondere sollte das Modellrisiko als eigenständiges Risiko betrachtet werden, das die OCC-Risikokategorien beeinflussen kann: Kredit-, Zins-, Liquiditäts-, Preis-, operationelles, Compliance-, strategisches und Reputationsrisiko. Beispielsweise kann das strategische Risiko einer Bank steigen, wenn die Modelleingaben und Annahmen nicht an ein sich veränderndes makroökonomisches Umfeld, Marktbedingungen und Verbraucherverhalten angepasst werden, was zu finanziellen Verlusten und Reputationsrisiken führen kann.
Um das Ausmaß jedes mit der Modellnutzung der Bank verbundenen Risikos zu bestimmen, enthält das Handbuch detaillierte Überlegungen, beispielsweise zur Art, zum Umfang und zur Komplexität der von der Bank verwendeten Modelle. Es wird auch berücksichtigt, inwieweit Modelle zur Entscheidungsfindung beitragen und wie hoch die Unsicherheit oder Ungenauigkeit der Modelleingaben und Annahmen ist. Daher sollte ein Unternehmen überlegen, inwieweit das Modellrisiko in andere Risikobewertungen innerhalb der Organisation einbezogen werden sollte.
Unternehmen können ebenfalls davon profitieren, diesen Ansatz in ihr Framework für die Modellrisikoberichterstattung zu integrieren. Dazu benötigen Unternehmen eine klare Modellnutzungstaxonomie, um die Modellnutzung zu klassifizieren und verschiedene Datendimensionen der Modellnutzung zu erfassen, einschließlich der Zuordnung jeder Modellnutzung zu den damit verbundenen Risiken. Beispielsweise beeinflussen die in den Compliance-Risiko- und AML-Compliance-Programmen verwendeten Modelle das Compliance-Risiko und das Reputationsrisiko, das durch potenzielle Verstöße entsteht.
Schließlich betont das Handbuch auch die Bedeutung der Risikobereitschaft für das Modellrisiko, die die Grenzen definiert, innerhalb derer das Management agieren kann. Es wird auch die Notwendigkeit hervorgehoben, die Verwendung von risikoverstärkenden „Ausnahmen, Management-Übersteuerungen, Abweichungen von Richtlinien und Einschränkungen bei der Modellverwendung“ zu begrenzen.
Das Handbuch enthält detaillierte Erwartungen hinsichtlich eines soliden KI-Risikomanagements sowohl für modellbasierte als auch für nicht modellbasierte Tools. Dies umfasst eine Bestandsaufnahme der KI-Anwendungen, die Identifizierung von Risiken, wirksame technologische Kontrollen und effektive Prozesse zur Validierung, dass die KI-Anwendung zu soliden, fairen und unvoreingenommenen Ergebnissen führt. In den nachfolgenden detaillierten Verweisen im Handbuch wird jedoch ausschließlich auf KI Bezug genommen, die als Modelle klassifiziert ist. Daher muss das Ausmaß, in dem die für KI-Modelle beschriebenen Aktivitäten für KI-Nicht-Modelle verwendet werden sollten, auf der Grundlage des oben erörterten risikosensitiven Prinzips für die Risikosteuerung von Nicht-Modellen bestimmt werden.
Das Handbuch geht davon aus, dass die MRM-Richtlinien einer Bank Standards für die Dokumentation des konzeptionellen Verständnisses von KI-Ansätzen enthalten sollten. Dies ist von Bedeutung, da die zugrundeliegende Theorie und Logik bei komplexen KI-Modellen möglicherweise nicht transparent ist. Andererseits sind einige KI-Ansätze konzeptionell einfach, können jedoch aufgrund ihrer heuristischen Natur (d. h. sie basieren eher auf Intuition als auf statistischen oder mathematischen Theorien) ein erhebliches Risiko darstellen. Beispielsweise kann entfernungsbasiertes Clustering je nach Skalierung der Daten zu gegenteiligen Ergebnissen führen.
Dementsprechend sollte das konzeptionelle Verständnis die Hyperparameter des Modells und den Ansatz für ihre Kalibrierung abdecken. Dies ist besonders wichtig für KI-Ansätze in einem ständigen Verbesserungszyklus (kontinuierliches Training), in dem das konzeptionelle Design unbemerkt abweichen könnte. Es ist von entscheidender Bedeutung, detaillierte und aktuelle Unterlagen zu führen, einschließlich Angaben zu Reparametrisierungs- und Rekalibrierungsprozessen sowie akzeptablen Grenzen für Modelländerungen, die als routinemäßige Aktualisierungen betrachtet werden können (und daher keiner Validierung bedürfen).
In Bezug auf die Validierung heißt es im Handbuch, dass die Richtlinien und Verfahren die Priorisierung, den Umfang und die Validierungshäufigkeit umfassen sollten, einschließlich der zugrunde liegenden Algorithmen von KI-Modellen und anderer häufig aktualisierter Parameter. Häufige Aktualisierungen können die Modellgenauigkeit verbessern, erfordern jedoch einen dynamischen Ansatz zur Steuerung von Aktivitäten wie Backtesting und Überwachung. In bestimmten Fällen, beispielsweise bei Algorithmen, die auf Entscheidungsbäumen basieren, kann eine Neukalibrierung zu unterschiedlichen quantitativen und qualitativen Ergebnissen führen. Häufige Aktualisierungen können auch in Bezug auf Zeit und Rechenleistung ineffizient sein, wenn sich die Datenmuster mit einer anderen Häufigkeit ändern als die Modellaktualisierungen. Die Datenfluidität und das Ausmaß potenzieller Modelländerungen sollten die Häufigkeit und den Umfang der Validierung beeinflussen.
In Anbetracht der Tatsache, dass die Bewertung der konzeptionellen Solidität von KI-Modellen eine Herausforderung darstellen kann, betont das Handbuch Transparenz und Erklärbarkeit als entscheidende Faktoren für das Risikomanagement komplexer KI-Modelle. Das Leitprinzip der OCC ist, dass Banken das Erklärbarkeitsniveau an die Nutzung des Modells anpassen sollten. Zum Beispiel würden KI-Modelle, die im Kredit-Underwriting verwendet werden, relativ hohen Standards für die Dokumentation und Validierung unterliegen, um angemessen zu zeigen, dass das Modell fair ist und wie beabsichtigt funktioniert. Im Gegensatz dazu erfordert eine KI-Bilderkennung, die für die Fernerfassung von Einzahlungen eingesetzt wird, nicht so viel Überprüfung.
Risiken für die faire Kreditvergabe können durch verzerrte Eingangsdaten, Algorithmen, die Datenverzerrungen verstärken, und eine verzerrte Verwendung der Modellausgabe entstehen. MRM-Funktionen sollten eine wesentliche Rolle im Programm für faire Kreditvergabe bei Finanzunternehmen spielen, die sich zunehmend auf Modelle stützen. Das Handbuch unterstreicht diese Rolle und legt detaillierte Erwartungen hinsichtlich der Berücksichtigung fairer Kreditvergabepraktiken im Framework einer Bank dar. Sie verweist ausdrücklich auf MRM-Richtlinien, die faire Kreditvergabe berücksichtigen sollten, einschließlich Standards, die sicherstellen, dass Modelle keine Diskriminierung durch verteilt Behandlung oder verteilt Auswirkungen verursachen oder fördern.
Genauer gesagt sollte das MRM-Framework einer Bank Kontrollen für die Entwicklung, Implementierung und Nutzung von Modellen beinhalten, einschließlich Kontrollen zur Überwachung potenzieller diskriminierender Ausgabe oder Ergebnisse. Wir haben festgestellt, dass sich Modelle, die von Problemen mit der fairen Kreditvergabe betroffen sind, oft auf dynamische, häufig aktualisierte Daten stützen, wie z. B. Modelle zur Transaktionsüberwachung.
Ein Modell, das faire und unvoreingenommene Ergebnisse liefert, könnte in dieser Hinsicht scheitern, wenn die Eingabedaten driften. Aus diesen Gründen sollte der laufende Framework für diese Modelle auch die Überwachung auf Verzerrungen in den Daten umfassen. Ebenso heißt es im Handbuch, dass das MRM-Framework geeignete Standards für die Modellvalidierung festlegen sollte, um Verzerrungen in Daten oder Modellergebnissen zu identifizieren. Schließlich sollte das MRM-Framework berücksichtigen, dass durch Management-Overlays und Anpassungen Risiken im Zusammenhang mit fairer Kreditvergabe entstehen können.
Das Handbuch erwähnt auch Modelle, die ausschließlich zur Bewertung der Einhaltung von Gesetzen zur fairen Kreditvergabe entwickelt wurden, und erörtert alternative Testansätze. Da die Entwicklung solcher Modelle häufig von den entsprechenden Richtlinien (z. B. Kreditvergabe) bestimmt wird, kann die Unfähigkeit, ein gut passendes Modell zu finden, die Fähigkeit eines Unternehmens beeinträchtigen, faire Kreditrisiken effektiv zu bewerten. Aus dem gleichen Grund ist ein Standard-Backtesting nicht möglich, da die Modelle so aufgebaut sind, dass sie die Richtlinien für einen bestimmten Zeitraum widerspiegeln. Alternativ sollten manuelle Dateiprüfungen durchgeführt werden, um etwaige Datenfehler aufzuzeigen und Faktoren zu identifizieren, die nicht im statistischen Modell enthalten sind. Bei der manuellen Überprüfung der Akten wird auch beurteilt, ob diese zusätzlichen Faktoren die verbleibenden Unterschiede zwischen den Mitgliedern der Gruppe, die aufgrund der verbotenen Kriterien ausgeschlossen wurden, und den Mitgliedern der Kontrollgruppe erklären könnten.
Es ist wichtig, dass diese Bemühungen angemessen dimensioniert sind, um wirksam zu sein, und die kürzlich aktualisierte Broschüre „Sampling Methodologies“ (Stichprobenverfahren) der OCC enthält die erforderlichen Leitlinien.
In Anbetracht der weit verbreiteten Nutzung von KI-Modellen fordert das Handbuch wirksame Verfahren, um sicherzustellen, dass der Einsatz von KI zu soliden, fairen und unvoreingenommenen Ergebnissen führt. Da sie in der Regel komplexer sind, können KI-Modelle Verzerrungen in den Daten, der Datenmodellierung und den Ergebnissen leicht verschleiern.
Das OCC stellt fest, dass es nicht ausreicht, die Unverzerrung einzelner Variablen festzustellen, da komplexe Interaktionen, die typisch für KI-Ansätze sind, zu unbeabsichtigten Auswirkungen oder Ergebnissen führen können. Komplexe Kombinationen von Eingaben, die von KI-Modellen implizit berücksichtigt werden, können als Stellvertreter für verbotene Klassen dienen. Modelle, die sich auf solche impliziten Proxys stützen, müssen eine falsche Beziehung darstellen, die sich aus der Beeinflussung von Eingaben und Ergebnissen durch nicht beobachtbare verbotene Merkmale ergibt.
Außerdem ist es wichtig, den Output eines Modells für die Bewertung von Verzerrungen angemessen zu definieren. Während die nominale Ausgabe eines Klassifikationsmodells ein binäres Label sein kann, ist die tatsächliche Ausgabe typischerweise eine geschätzte Wahrscheinlichkeit für jedes Ergebnis. Ob das Modell unvoreingenommene Ergebnisse liefert, kann davon abhängen, welche Art von Ausgabe verwendet und analysiert wird. Zum Beispiel kann ein Kredit-Underwriting-Modell unvoreingenommene verzögert und nicht verzögert projizierte Status liefern, kann aber auch voreingenommene Wahrscheinlichkeiten für diese Status liefern. Eine Analyse des prognostizierten Status würde die potenziellen Probleme nicht aufdecken und könnte problematisch sein, wenn dieser als Grundlage für Underwriting-Entscheidungen verwendet wird.
In den letzten zehn Jahren haben wir beobachtet, dass Finanzinstitute bei kritischen Aspekten ihrer Geschäftstätigkeit zunehmend auf Drittanbieter zurückgreifen. Dies umfasst die Verwendung von Modellen und Daten Dritter sowie die Beauftragung Dritter mit der Modellentwicklung und dem Risikomanagement. In diesem Kontext bietet das Handbuch detaillierte Hinweise zum Risikomanagement von Drittparteien, die weitgehend den FAQ zu Drittparteibeziehungen aus dem Jahr 2020 entsprechen.
Ein Bereich, in dem das Handbuch explizite Hinweise und wichtige Klarstellungen zu bieten scheint, ist die Behandlung von durch den Anbieter finanzierten Validierungen. Das Handbuch besagt, dass „die Bankleitung die Ergebnisse der Validierungs- und Risikokontrollmaßnahmen, die von Dritten durchgeführt werden, verstehen und bewerten sollte … Die Bankleitung sollte eine risikobasierte Überprüfung jedes Modells von Dritten durchführen, um festzustellen, ob es wie beabsichtigt funktioniert und ob die bestehenden Validierungsmaßnahmen ausreichend sind.“
Die vorstehende Erklärung verdeutlicht, dass Banken bei risikobasierten Modellprüfungen durch Dritte vom Anbieter finanzierte Validierungen verwenden können. Diese Klarstellungen unterstützen MRM-Funktionen, indem sie vermeiden, dass unnötige Ressourcen für die Replikation von vom Anbieter finanzierten Validierungen aufgewendet werden. Dennoch wird von den Banken erwartet, dass sie diese Validierungen ausreichend sorgfältig überprüfen. Das Handbuch warnt davor, dass das Bankmanagement die vom Anbieter finanzierten Validierungsberichte nicht für bare Münze nehmen sollte und sich über „alle Einschränkungen im Klaren sein muss, die dem Validator bei der Bewertung der in den Modellen verwendeten Prozesse und Codes aufgefallen sind“.
Angesichts der wachsenden Bedeutung von Modellen und der zunehmenden Auswirkungen von Modellen auf die verschiedenen Risikoarten in Finanzdienstleistungsunternehmen steht das Modellrisikomanagement weiterhin im Mittelpunkt des Risikomanagements. Das Modellrisikomanagement ist wichtig, um die Bedenken hinsichtlich einer fairen Kreditvergabe und die mit dem zunehmenden Einsatz von künstlicher Intelligenz verbundenen Risiken anzugehen.
Die Veröffentlichung des Handbuchs unterstreicht die Bedeutung, die Aufsichtsbehörden dem MRM beimessen, und bietet Bankorganisationen eine nützliche Anleitung zur Bewertung und Stärkung ihrer MRM-Programme.