El 18 de agosto de 2022, la Oficina del Contralor de la Moneda (OCC) publicó su folleto sobre la gestión del riesgo de modelos (MRM) del Comptroller’s Handbook en el OCC Bulletin 2021-39 (manual de 2021). Como se menciona en la nota de publicación, el manual de 2021 presenta los conceptos y principios generales de la gestión del riesgo de modelos y proporciona directrices para los examinadores a la hora de planificar y llevar a cabo exámenes sobre la gestión del riego de modelos.
El manual proporciona conocimientos sobre el enfoque actual y esperado de la OCC para la supervisión del riesgo de modelos. Los conocimientos resultan valiosos para las empresas que buscan cumplir con las expectativas de supervisión de la OCC en materia de MRM y para las empresas sujetas a la supervisión de MRM por parte de otros reguladores bancarios.
Aunque no sustituye a la Supervisory Guidance on Model Risk Management de 2011 publicada por la OCC como OCC 2011–12, el manual de 2021 extrae los elementos clave de la guía de 2011 y ofrece explicaciones complementarias, así como importantes interpretaciones y aclaraciones adicionales.
La ampliación de las directrices de 2011 representa la evolución de las prácticas de examen de la gestión del riesgo de modelos, en consonancia con la evolución del sector y las publicaciones provisionales de la OCC. Entre ellas se incluye la reciente declaración entre organismos sobre la MRM para el cumplimiento de la Ley de Secreto Bancario/lucha contra el blanqueo de capitales (BSA/AML) (Interagency Statement on MRM in BSA/AML). Y las preguntas frecuentes de 2020 sobre las relaciones con terceros, que se está considerando incluir en la propuesta de directrices entre organismos sobre la gestión de riesgos de terceros (TPRM).
El manual aclara la definición de modelo que figura en la guía de 2011. Señala que los modelos se caracterizan por «la incertidumbre asociada a la estimación de los resultados del modelo», en lugar de por “los resultados definidos por las reglas determinísticas” que producen las herramientas de análisis que no son modelos. Esta aclaración contribuye al proceso de inventario de modelos al aclarar el papel de las estimaciones de resultados inciertos a la hora de distinguir los modelos de las herramientas de análisis que no son modelos.
Si bien la OCC ha aumentado las expectativas de supervisión para la gestión del riesgo de los modelos en relación con las herramientas de análisis que no son modelos, el manual aclara que un enfoque excesivamente mecánico que no tenga en cuenta el riesgo y la complejidad de las herramientas de análisis que no son modelos puede promover el riesgo del modelo.
En concreto, el manual establece que la gestión del riesgo debe aplicarse y ser proporcional al alcance y la complejidad de un enfoque cuantitativo, independientemente de si cumple la definición de modelo. En otras palabras, la cuestión crítica es aplicar un nivel adecuado de gestión y control del riesgo, independientemente de la clasificación del enfoque. Por ejemplo, el algoritmo de clustering de machine learning k-medias puede no considerarse un modelo, pero puede suponer un riesgo sustancial cuando se aplica a la calificación de riesgo de los clientes.
Estas declaraciones representan una evolución en el pensamiento de la OCC que reduce el énfasis en si un banco determina si una herramienta de análisis es un modelo o no. En su lugar, se centra en la adecuación de la gestión del riesgo, independientemente de la categorización. Esto refleja la preocupación de la OCC de que el énfasis puesto en la definición del modelo pudiera haber tenido la consecuencia no deseada de reducir el gobierno y los controles en torno a herramientas de análisis complejas y críticas que no son modelos. También puede haber un énfasis excesivo en las determinaciones de modelo/no modelo. La aclaración del manual también se hace eco de la reciente Interagency Statement on MRM in BSA/AML, que afirma que “independientemente de cómo se caracterice un sistema de BSA/AML, es importante una gestión de riesgos sólida”.
El análisis anterior refleja el principio general de la OCC de que una gestión del riesgo sólida requiere asignar los recursos en función del mismo, prestando una atención relativamente mayor a las áreas de mayor riesgo. Aunque la guía de 2011 permitía que el alcance y el rigor de las actividades de validación inicial dependieran del riesgo potencial del modelo, no hacía referencia explícita a la MRM sensible al riesgo. El manual ofrece más orientación sobre cómo pueden desarrollar los bancos medios para asignar eficazmente los recursos para la MRM más allá de la validación inicial. Menciona explícitamente el enfoque basado en el riesgo para las validaciones de modelos, que deben realizarse con una frecuencia adecuada al perfil de riesgo de cada banco. La frecuencia y la profundidad de la monitorización continua deben ser proporcionales a los riesgos implicados.
Dados los amplios inventarios de modelos de las grandes empresas financieras, observamos que muchas organizaciones han tratado de implementar requisitos de MRM sensibles al riesgo coherentes con lo expuesto anteriormente. El nivel de riesgo de un modelo puede determinar el alcance, la profundidad, la prioridad y la frecuencia de las actividades de validación. Por ejemplo, un modelo de alto riesgo puede requerir una revalidación completa periódica cada dos años, mientras que los bancos pueden validar los modelos de bajo riesgo con menos frecuencia. Del mismo modo, el nivel de riesgo de un modelo puede influir en el alcance y la naturaleza de las pruebas o en el nivel aceptable de transparencia para los modelos complejos.
Como era de esperar, las empresas que no diferencian los modelos en función del riesgo no pueden implementar una MRM sensible al riesgo. El manual afirma que las metodologías de calificación del riesgo de los modelos “a menudo se basan en el tipo y los objetivos del modelo; la complejidad, la incertidumbre y la materialidad; las interrelaciones; los datos; y las capacidades y limitaciones”. El manual destaca además que las calificaciones de los modelos deben tener en cuenta la explicabilidad de los modelos de IA.
El manual aclara cómo los ocho tipos de riesgo estándar de la OCC pueden verse afectados por el riesgo de los modelos. En concreto, el riesgo de los modelos debe considerarse un riesgo distinto que puede influir en las categorías de riesgo de la OCC: crédito, tipo de interés, liquidez, precio, operativo, cumplimiento, estratégico y reputación. Por ejemplo, el riesgo estratégico de un banco puede aumentar debido a la falta de ajuste de las entradas y los supuestos del modelo a un entorno macroeconómico, unas condiciones de mercado y unos comportamientos de los consumidores cambiantes, lo que se traduce en pérdidas financieras y riesgo para la reputación.
Para determinar la cuantía de cada riesgo asociado al uso de modelos por parte del banco, el manual ofrece consideraciones detalladas, como la naturaleza, el alcance y la complejidad de los modelos que utiliza el banco. También tiene en cuenta el grado en que los modelos contribuyen a la toma de decisiones y el nivel de incertidumbre o inexactitud de las entradas y los supuestos del modelo. Por lo tanto, una empresa debe considerar en qué medida el riesgo del modelo debe incorporarse a otras evaluaciones de riesgo en toda la organización.
Las empresas también pueden beneficiarse de la incorporación de este enfoque en su marco de presentación de informes sobre el riesgo de los modelos. Para ello, las empresas necesitan una taxonomía clara del uso de los modelos que permita clasificar dicho uso, captando las diferentes dimensiones de los datos del uso de los modelos, incluida la correspondencia entre cada uso de los mismos y los riesgos asociados. Por ejemplo, los modelos utilizados en los programas de cumplimiento y AML influyen en el riesgo de cumplimiento y en el riesgo reputacional que plantea el posible incumplimiento.
Por último, el manual también hace hincapié en la importancia de la tolerancia al riesgo para el riesgo de los modelos, que define los límites dentro de los cuales puede operar la dirección. También destaca la necesidad de limitar el uso de “excepciones, anulaciones de la dirección, desviaciones de las políticas y límites en el uso de los modelos” que propagan el riesgo.
El manual establece expectativas detalladas en torno a una gestión sólida del riesgo de la IA, tanto para los modelos como para las herramientas que no son modelos. Esto incluye un inventario de los usos de la IA, la identificación de riesgos, controles tecnológicos eficaces y procesos eficaces para validar que el uso de la IA proporciona resultados sólidos, justos e imparciales. Sin embargo, las referencias detalladas posteriores del manual se refieren únicamente a la IA clasificada como modelos. Por lo tanto, el grado en que las actividades descritas para los modelos de IA deben utilizarse para las herramientas de IA que no son modelos debe determinarse sobre la base del principio de sensibilidad al riesgo para el gobierno del riesgo de las herramientas que no son modelos, mencionado anteriormente.
El manual establece la expectativa de que la política de MRM de un banco debe incluir normas para documentar la comprensión conceptual de los enfoques de IA. Esto es importante porque la teoría y la lógica subyacentes pueden no ser transparentes para los modelos de IA complejos. Por otra parte, algunos enfoques de IA son conceptualmente sencillos, pero pueden suponer un riesgo sustancial debido a su naturaleza heurística (es decir, basados en la intuición más que en teorías estadísticas o matemáticas). Por ejemplo, el clustering basado en la distancia puede dar lugar a resultados opuestos en función de la escala de los datos.
En relación con esto, la comprensión conceptual debe abarcar los hiperparámetros del modelo y el enfoque para su calibración. Esto es especialmente importante para los enfoques de IA en un ciclo constante de mejora (entrenamiento continuo), en el que el diseño conceptual puede desviarse sin que se note. Resulta crítico mantener una documentación detallada y actualizada, que incluya detalles sobre los procesos de reparametrización y recalibración, así como los límites aceptables para los cambios en el modelo que pueden considerarse actualizaciones rutinarias (y que, por lo tanto, no requieren validación).
En cuanto a la validación, el manual establece que las políticas y los procedimientos deben incluir la priorización, el alcance y la frecuencia de validación, incluidos los algoritmos subyacentes de los modelos de IA y otros parámetros que se actualizan con frecuencia. Las actualizaciones frecuentes pueden beneficiar la precisión del modelo, pero requieren un enfoque dinámico para controlar actividades como las pruebas retrospectivas y la monitorización. En ocasiones, como en el caso de los algoritmos basados en árboles de decisión, la recalibración puede dar lugar a resultados cuantitativos y cualitativos diferentes. Las actualizaciones frecuentes también pueden suponer una pérdida de tiempo y de capacidad de procesamiento si los patrones de datos cambian con una frecuencia diferente a la de la actualización del modelo. La fluidez de los datos y el alcance de los posibles cambios en el modelo deben determinar la frecuencia y el alcance de la validación.
Al reconocer que la evaluación de la solidez conceptual de los modelos de IA puede resultar complicada, el manual hace hincapié en la transparencia y la explicabilidad como consideraciones críticas para gestionar el riesgo de los modelos de IA complejos. El principio rector de la OCC es que los bancos deben adaptar el nivel de explicabilidad al uso del modelo. Por ejemplo, los modelos de IA utilizados en la suscripción de créditos estarían sujetos a normas relativamente estrictas en materia de documentación y validación para demostrar adecuadamente que el modelo es justo y funciona según lo previsto. Por el contrario, un reconocimiento de imágenes por IA utilizado para la captura remota de depósitos no requiere tanto escrutinio.
Los riesgos de la concesión equitativa de préstamos pueden surgir a través de datos de entrada sesgados, algoritmos que amplifican los sesgos de los datos y un uso sesgado de los resultados del modelo. Las funciones de MRM deben desempeñar un papel esencial en el programa de concesión equitativa de préstamos de las entidades financieras, que cada vez dependen más de los modelos. El manual refuerza esta función y establece expectativas detalladas sobre las consideraciones de préstamos justos en el marco de MRM de un banco. Hace referencia explícita a las políticas de MRM que deben incluir consideraciones para la concesión de préstamos justos, incluidas las normas para garantizar que los modelos no causen ni promuevan la discriminación a través de un trato o impacto dispares.
En concreto, el marco de MRM de un banco debe incluir controles para el desarrollo, la implementación y el uso de modelos, incluidos controles para monitorizar posibles resultados o productos discriminatorios. Observamos que los modelos afectados por cuestiones de concesión equitativa de préstamos suelen basarse en datos dinámicos y actualizados con frecuencia, como los modelos de monitorización de transacciones.
Un modelo que produce resultados justos e imparciales puede fallar en este sentido cuando los datos de entrada se desvían. Por estas razones, el marco de monitorización continua de estos modelos debe incluir la monitorización de los sesgos en los datos. Del mismo modo, el manual establece que el marco de MRM debe establecer normas adecuadas para la validación de modelos con el fin de identificar sesgos en los datos o en los resultados de los modelos. Por último, el marco de MRM debe reconocer que los riesgos asociados a la concesión equitativa de préstamos pueden introducirse a través de superposiciones y ajustes de gestión.
El manual también menciona modelos creados exclusivamente para evaluar el cumplimiento de las leyes de concesión equitativa de préstamos y analiza enfoques de prueba alternativos. Dado que las políticas pertinentes (como la suscripción de créditos) suelen guiar el desarrollo de dichos modelos, la imposibilidad de encontrar un modelo adecuado puede mermar la capacidad de una empresa para evaluar eficazmente los riesgos de concesión equitativa de préstamos. Por la misma razón, no es posible realizar pruebas retrospectivas estándar, ya que los modelos se crean para reflejar las políticas de un periodo determinado. Como alternativa, se deben realizar revisiones manuales de los archivos para detectar cualquier error en los datos e identificar los factores que no se incluyen en el modelo estadístico. Las revisiones manuales de los archivos también evalúan si esos factores adicionales podrían explicar las diferencias restantes entre los miembros del grupo de base prohibida y los miembros del grupo de control.
Es importante destacar que, para que estos esfuerzos sean eficaces, deben tener la dimensión adecuada, y el folleto OCC’s Sampling Methodologies, recientemente actualizado, proporciona la orientación necesaria.
Al reconocer el uso generalizado de los modelos de IA, el manual exige procesos eficaces para validar que el uso de la misma proporcione resultados sólidos, justos e imparciales. Dado que suelen ser más complejos, los modelos de IA pueden ocultar fácilmente sesgos en los datos, el modelado y los resultados.
La OCC afirma que no basta con establecer la imparcialidad de las variables individuales, ya que las complejas interacciones típicas de los enfoques de IA pueden dar lugar a impactos o resultados no deseados. Las complejas combinaciones de entradas que los modelos de IA consideran implícitamente pueden servir como indicadores de clases prohibidas. Los modelos que se basan en dichos indicadores implícitos deben representar una relación espuria resultante de que las entradas y los resultados se vean afectados por características prohibidas no observadas.
Además, es esencial definir adecuadamente el resultado de un modelo para la evaluación del sesgo. Si bien el resultado nominal de un modelo de clasificación puede ser una etiqueta binaria, el resultado real suele ser una probabilidad estimada de cada resultado. Que el modelo proporcione resultados imparciales puede depender del tipo de resultado que se utilice y analice. Por ejemplo, un modelo de suscripción de crédito puede proporcionar estados proyectados imparciales de morosidad y no morosidad, pero podría proporcionar probabilidades sesgadas de estos estados. Un análisis del estado proyectado no revelaría los posibles problemas y podría ser problemático si este último se utiliza para informar las decisiones de suscripción.
En la última década, hemos sido testigos de una creciente dependencia de las instituciones financieras respecto a los proveedores de servicios externos para aspectos críticos de sus operaciones. Esto incluye el uso de modelos y datos de terceros y la contratación de terceros para realizar servicios de desarrollo de modelos y gestión de riesgos. En este contexto, el manual ofrece consideraciones detalladas sobre la gestión de riesgos de terceros, que reflejan en gran medida las preguntas frecuentes de 2020 sobre las relaciones con terceros.
Un área en la que el manual parece ofrecer referencias explícitas y aclaraciones importantes es el tratamiento de las validaciones financiadas por los proveedores. El manual establece que “la dirección del banco debe comprender y evaluar los resultados de las actividades de validación y control de riesgos que llevan a cabo terceros... La dirección del banco debe realizar una revisión basada en el riesgo de cada modelo de terceros para determinar si funciona según lo previsto y si las actividades de validación existentes son suficientes”.
La afirmación anterior aclara que los bancos pueden utilizar validaciones financiadas por proveedores en las revisiones de modelos de terceros basadas en el riesgo. Estas aclaraciones ayudan a las funciones de MRM al evitar dedicar recursos innecesarios a replicar las validaciones financiadas por los proveedores. No obstante, se espera que los bancos realicen la debida diligencia de esas validaciones. El manual advierte que la dirección del banco no debe aceptar los informes de validación financiados por los proveedores sin más y debe comprender “cualquiera de las limitaciones experimentadas por el validador al evaluar los procesos y códigos utilizados en los modelos”.
La gestión del riesgo de los modelos sigue siendo fundamental para la gestión de riesgos, dada la creciente importancia de los modelos y su creciente impacto en los distintos tipos de riesgo en las empresas de servicios financieros. La gestión del riesgo de los modelos es importante para abordar las preocupaciones relacionadas con la concesión equitativa de préstamos y los riesgos asociados al uso cada vez mayor de la inteligencia artificial.
La publicación del manual pone de manifiesto la importancia que los supervisores conceden a la MRM y proporciona una guía útil para que las entidades bancarias evalúen y refuercen sus programas en este ámbito.