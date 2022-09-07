Le 18 août 2022, l’Office of the Comptroller of the Currency (OCC) a publié son livret sur la gestion des risques liés aux modèles (MRM) du Manuel du contrôleur (Comptroller’s Handbook) dans le Bulletin OCC 2021-39 (manuel 2021). Comme indiqué dans la note de publication, le manuel 2021 présente les concepts et principes généraux de la gestion des risques liés aux modèles et fournit des lignes directrices aux examinateurs pour la planification et la réalisation des examens de la gestion des risques liés aux modèles.
Ce manuel fournit des informations sur l’approche actuelle et attendue de l’OCC en matière de supervision des risques liés aux modèles. Ces informations sont précieuses pour les entreprises souhaitant se conformer aux attentes de l’OCC en matière de supervision MRM, ainsi que pour celles soumises à la supervision MRM par d’autres régulateurs bancaires.
Bien qu’il ne remplace pas les Lignes directrices de surveillance sur la gestion des risques liés aux modèles (Supervisory Guidance on Model Risk Management) publiées par l’OCC en 2011 sous le nom OCC 2011–12, le manuel de 2021 extrait des éléments clés du guide de 2011 et fournit des explications complémentaires, ainsi que des interprétations et clarifications supplémentaires significatives.
L’extension des directives de 2011 reflète l’évolution des pratiques d’examen des modèles de gestion des risques, conformément à l’évolution du secteur et aux publications intérimaires de l’OCC. Il s’agit notamment de la récente déclaration interinstitutions sur la MRM dans le cadre de la conformité à la loi sur le secret bancaire et la lutte contre le blanchiment d’argent (BSA/AML) (Interagency Statement on MRM in BSA/AML). Et la FAQ 2020 sur les relations avec les tiers, qu’il est envisagé d’inclure dans la proposition de lignes directrices interinstitutions sur la gestion des risques liés aux tiers (TPRM).
Le manuel clarifie la définition d’un modèle dans les directives de 2011. Il note que les modèles sont caractérisés par « l’incertitude associée à l’estimation des résultats par un modèle » plutôt que par « des résultats définis par des règles déterministes » générés par les outils analytiques autres que les modèles. Cette clarification contribue au processus d’inventaire des modèles en précisant le rôle des estimations de résultats incertains pour distinguer les modèles des outils analytiques autres que les modèles.
Bien que l’OCC ait renforcé ses attentes en matière de gestion des risques liés aux modèles par rapport aux outils d’analyse autres que les modèles, le manuel précise qu’une approche trop mécanique, qui ne prend pas en compte le risque et la complexité de ces outils, peut elle-même accroître le risque lié aux modèles.
Plus précisément, le manuel précise que la gestion des risques doit être appliquée et être proportionnelle à l’étendue et à la complexité d’une approche quantitative, qu’elle réponde ou non à la définition d’un modèle. En d’autres termes, l’enjeu principal consiste à appliquer un niveau approprié de gestion des risques et de contrôle, quelle que soit la classification de l’approche. Par exemple, l’algorithme de clustering par machine learning k-means peut ne pas être considéré comme un modèle, mais il peut représenter un risque significatif lorsqu’il est utilisé pour l’évaluation du risque client.
Ces déclarations représentent une évolution de la façon de penser de l’OCC qui met moins l’accent sur la question de savoir si une banque détermine si un outil analytique est un modèle ou un non-modèle. Il met plutôt l’accent sur l’adéquation de la gestion des risques, quelle que soit la catégorisation. L’OCC redoute que l’accent mis sur la définition des modèles ait eu pour effet involontaire de diminuer la gouvernance et les contrôles des outils analytiques complexes et essentiels qui ne sont pas considérés comme des modèles. Il est également possible que l’on accorde une importance excessive à la distinction entre modèles et non-modèles. La clarification du manuel fait également écho à la récente déclaration interinstitutions sur la MRM dans le cadre du BSA/AML, qui stipule que « quelle que soit la façon dont un système BSA/AML est caractérisé, une gestion des risques solide est importante ».
La discussion précédente illustre le principe général de l’OCC selon lequel une gestion rigoureuse des risques implique d’allouer les ressources en fonction du niveau de risque, les zones les plus exposées bénéficiant d’une attention proportionnellement plus importante. Bien que les lignes directrices de 2011 aient prévu que l’étendue et la rigueur des activités de validation initiales dépendent du risque potentiel du modèle, elles ne faisaient pas explicitement mention de la MRM sensible au risque. Le manuel fournit des indications supplémentaires sur la manière dont les banques peuvent mettre en place des mécanismes pour allouer efficacement des ressources MRM au-delà de la validation initiale. Il souligne explicitement l’importance d’une approche basée sur le risque pour les validations de modèles, qui doivent être réalisées à une fréquence adaptée au profil de risque de la banque. La fréquence et la profondeur du contrôle permanent doivent être proportionnelles aux risques encourus.
Compte tenu des inventaires de modèles étendus des grandes institutions financières, nous avons constaté que de nombreuses entreprises ont cherché à mettre en œuvre des exigences de MRM sensibles au risque, conformément aux déclarations précédentes. Le niveau de risque d’un modèle peut déterminer l’étendue, la profondeur, la priorité et la fréquence des activités de validation. Par exemple, un modèle à haut risque peut nécessiter une revalidation complète périodique tous les deux ans, tandis que les modèles à faible risque peuvent être validés par les banques à une fréquence moindre. De même, le niveau de risque d’un modèle peut déterminer l’étendue et la nature des tests, ainsi que le degré de transparence requis pour les modèles complexes.
Comme prévu, les entreprises qui ne parviennent pas à différencier les modèles en fonction du risque ne peuvent pas mettre en œuvre une MRM sensible aux risques. Le manuel précise que les méthodologies d’évaluation du risque des modèles « reposent souvent sur le type de modèle et ses objectifs, la complexité, l’incertitude et la matérialité, les interrelations, les données, ainsi que les capacités et limitations ». Le manuel souligne également que les évaluations des modèles doivent prendre en compte l’explicabilité des modèles d’IA.
Le manuel précise comment les huit types de risques OCC standard peuvent être affectés par le risque lié aux modèles. Plus précisément, le risque lié au modèle doit être considéré comme un risque distinct, susceptible d’influencer les catégories de risque de l’OCC : crédit, taux d’intérêt, liquidité, marché, opérationnel, conformité, stratégique et réputation. Par exemple, le risque stratégique d’une banque peut augmenter si elle est incapable d’ajuster les données d’entrée et les hypothèses du modèle en fonction de l’évolution de l’environnement macroéconomique, des conditions du marché et du comportement des consommateurs, ce qui peut entraîner des pertes financières et un risque pour sa réputation.
Pour évaluer l’ampleur de chaque risque lié à l’utilisation des modèles par la banque, le manuel propose des considérations détaillées, telles que la nature, l’étendue et la complexité des modèles employés par l’établissement. Il tient également compte de la mesure dans laquelle les modèles influencent la prise de décision, ainsi que du degré d’incertitude ou d’imprécision des données d’entrée et des hypothèses du modèle. L’entreprise doit donc se demander dans quelle mesure le risque de modèle doit être intégré dans les autres évaluations du risque au sein de l’organisation.
Les entreprises peuvent également bénéficier de l’intégration de cette approche dans leur cadre de reporting des risques par modèle. Pour ce faire, elles ont besoin d’une taxonomie claire permettant de classer l’utilisation des modèles, en capturant les différentes dimensions des données liées à cette utilisation, notamment en cartographiant le lien entre chaque usage et les risques associés. Par exemple, les modèles utilisés dans les programmes de conformité et de lutte contre le blanchiment d’argent influencent le risque de non-conformité et le risque de réputation lié à une éventuelle non-conformité.
Enfin, le manuel souligne également l’importance de l’appétit pour le risque lié aux modèles, qui définit les limites dans lesquelles la direction peut opérer. Il souligne également la nécessité de limiter le recours aux « exceptions, dérogations de la direction, écarts par rapport aux politiques et limites d’utilisation des modèles » susceptibles de propager les risques.
Le manuel détaille les attentes en matière de gestion rigoureuse des risques liés à l’IA, tant pour les outils fondés sur des modèles que pour ceux qui ne le sont pas. Cela comprend un inventaire des usages de l’IA, l’identification des risques, des contrôles technologiques efficaces ainsi que des processus robustes permettant de valider que l’utilisation de l’IA produit des résultats fiables, équitables et non biaisés. Toutefois, les références détaillées qui suivent dans le manuel ne concernent que les IA classées comme modèles. Par conséquent, la mesure dans laquelle les activités décrites pour les modèles d’IA doivent être appliquées aux outils d’IA non considérés comme des modèles doit être déterminée en fonction du principe de sensibilité au risque pour la gouvernance des risques liés aux non-modèles, dont il est question ci-dessus.
Le manuel prévoit que la politique MRM d’une banque doit inclure des normes visant à documenter la compréhension conceptuelle des approches d’IA. Ceci est important car la théorie et la logique sous-jacentes peuvent ne pas être transparentes pour les modèles d’IA complexes. En revanche, certaines approches d’IA sont conceptuellement simples mais peuvent présenter un risque substantiel en raison de leur nature heuristique (c’est-à-dire basée sur l’intuition plutôt que sur des théories statistiques ou mathématiques). Par exemple, le cluster basé sur la distance peut conduire à des résultats opposés en fonction de l’échelle des données.
De même, la compréhension conceptuelle doit couvrir les hyperparamètres du modèle et l’approche de leur calibration. Ceci est particulièrement important pour les approches d’IA dans un cycle constant d’amélioration (formation continue), dans lequel le design conceptuel peut passer inaperçu. Il est essentiel de maintenir une documentation détaillée et à jour, incluant des informations sur les processus de reparamétrisation et de recalibration, ainsi que sur les limites acceptables des modifications du modèle pouvant être considérées comme des mises à jour courantes (ne nécessitant donc pas de validation).
Concernant la validation, le manuel indique que les politiques et procédures doivent inclure la priorisation, la portée et la fréquence de validation, y compris les algorithmes sous-jacents des modèles IA et d’autres paramètres fréquemment mis à jour. La mise à jour fréquente peut améliorer la précision du modèle, mais elle nécessite une approche dynamique pour contrôler des activités telles que le backtesting et la surveillance. Parfois, comme c’est le cas pour les algorithmes basés sur des arbres de décision, la recalibration peut entraîner des résultats quantitatifs et qualitatifs différents. Les mises à jour fréquentes peuvent également faire perdre du temps et de la puissance de traitement si les modèles de données changent à une fréquence différente de celle des modèles. La fluidité des données et l’ampleur des modifications potentielles du modèle doivent déterminer la fréquence et l’étendue de la validation.
Reconnaissant que l’évaluation de la solidité conceptuelle des modèles d’IA peut être difficile, le manuel met l’accent sur la transparence et l’explicabilité comme des considérations critiques dans la gestion des risques liés aux modèles d’IA complexes. Le principe directeur de l’OCC est que les banques doivent adapter le niveau d’explicabilité à l’utilisation du modèle. Par exemple, les modèles d’IA utilisés pour la souscription de crédits seraient soumis à des exigences relativement strictes en matière de documentation et de validation, afin de démontrer de manière adéquate que le modèle est équitable et fonctionne comme prévu. À l’inverse, une IA de reconnaissance d’images utilisée pour le dépôt de chèques à distance ne nécessite pas un examen aussi approfondi.
Les risques liés aux prêts équitables peuvent provenir de données d’entrée biaisées, d’algorithmes qui amplifient ces biais ou encore d’une utilisation biaisée des résultats du modèle. Les fonctions MRM devraient jouer un rôle essentiel dans le programme de prêts équitables des institutions financières qui s’appuient de plus en plus sur les modèles. Le manuel renforce ce rôle et définit des attentes détaillées concernant les considérations de prêt équitable dans le cadre MRM imposées aux banques. Il fait explicitement référence aux politiques MRM qui doivent inclure des considérations d’équité en matière de prêt, notamment des normes visant à garantir que les modèles ne créent ni ne renforcent de discrimination résultant d’un traitement différencié ou d’un impact disparate.
Plus précisément, le cadre MRM d’une banque doit inclure des contrôles portant sur le développement, la mise en œuvre et l’utilisation des modèles, notamment des contrôles visant à surveiller les résultats ou productions potentiellement discriminatoires. Nous avons observé que les modèles affectés par les questions de prêt équitable reposent souvent sur des données dynamiques et fréquemment mises à jour, telles que les modèles de surveillance des transactions.
Un modèle qui produit des résultats équitables et non biaisés peut échouer à cet égard lorsque les données d’entrée dérivent. Pour ces raisons, le cadre de ces modèles doit inclure la surveillance des biais dans les données. De même, le manuel indique que le cadre MRM doit établir des normes appropriées pour la validation des modèles afin d’identifier les biais dans les données ou les résultats des modèles. Enfin, le cadre MRM doit reconnaître que les risques liés aux prêts équitables peuvent être introduits par des ajustements ou des manipulations de la direction.
Le manuel mentionne également les modèles conçus uniquement pour évaluer la conformité aux lois sur le prêt équitable et aborde les approches de test alternatives. Étant donné que les politiques pertinentes (comme celles de souscription de crédit) orientent souvent le développement de ces modèles, l’incapacité à disposer d’un modèle approprié peut compromettre la capacité d’une entreprise à évaluer efficacement les risques liés aux prêts équitables. Pour la même raison, le backtesting standard n’est pas possible, car les modèles sont construits pour refléter les politiques pour une période donnée. Alternativement, des examens manuels des dossiers doivent être réalisés afin de mettre en évidence les erreurs de données et d’identifier les facteurs non inclus dans le modèle statistique. Ces examens permettent également de déterminer si ces facteurs supplémentaires peuvent expliquer les différences persistantes entre les membres du groupe de référence interdit et ceux du groupe de contrôle.
Il est important de noter que ces efforts doivent être dimensionnés de manière appropriée pour être efficaces. Le livret récemment mis à jour sur les méthodologies d’échantillonnage de l’OCC fournit les conseils nécessaires.
Reconnaissant l’usage répandu des modèles d’IA, le manuel recommande de mettre en place des processus efficaces pour valider que l’utilisation de l’IA produit des résultats fiables, équitables et non biaisés. Étant généralement plus complexes, les modèles d’IA peuvent facilement masquer les biais présents dans les données, la modélisation ou les résultats.
L’OCC précise qu’il ne suffit pas d’établir l’impartialité des variables individuelles, car les interactions complexes typiques des approches d’IA peuvent conduire à des impacts ou des résultats inattendus. Les combinaisons complexes d’entrées implicitement prises en compte par les modèles d’IA peuvent servir de substituts à des catégories interdites. Les modèles s’appuyant sur de tels substituts implicites doivent représenter une relation trompeuse résultant du fait que les entrées et les résultats sont influencés par des caractéristiques interdites non observées.
Il est également essentiel de définir correctement les résultats d’un modèle pour l’évaluation des biais. Bien que la production nominale d’un modèle de classification puisse être une étiquette binaire, la production réelle correspond généralement à une probabilité estimée pour chaque résultat. Le fait qu’un modèle fournisse des résultats non biaisés peut dépendre du type de production utilisé et analysé. Par exemple, un modèle de souscription de crédit peut fournir des statuts prévisionnels non biaisés de défaillance et de non défaillance, mais il peut générer des probabilités biaisées pour ces statuts. Une analyse du statut prévisionnel ne révélerait pas les problèmes potentiels et pourrait poser problème si elle est utilisée pour orienter les décisions de souscription.
Au cours de la dernière décennie, les institutions financières ont de plus en plus fait appel à des prestataires de services tiers pour gérer des aspects critiques de leurs opérations. Cela inclut l’utilisation de modèles et de données provenant de tiers, ainsi que le recours à des prestataires externes pour le développement de modèles et la gestion des risques. Dans ce contexte, le manuel présente des considérations détaillées sur la gestion des risques liés aux tiers, reprenant largement les éléments de la FAQ de 2020 sur les relations avec les tiers.
L’un des domaines dans lesquels le manuel semble fournir des références explicites et des clarifications importantes concerne le traitement des validations financées par les fournisseurs. Voici ce que dit le manuel : « La direction de la banque doit comprendre et évaluer les résultats des activités de validation et de contrôle des risques réalisées par des tiers… La direction de la banque doit effectuer un examen fondé sur le risque de chaque modèle tiers afin de déterminer s’il fonctionne comme prévu et si les activités de validation existantes sont suffisantes. »
La déclaration précédente précise que les banques peuvent utiliser des validations financées par des fournisseurs dans le cadre des examens de modèles tiers basés sur le risque. Ces clarifications facilitent les fonctions MRM en évitant de consacrer des ressources inutiles à la réplication de validations financées par les fournisseurs. Néanmoins, les banques sont censées faire preuve d’une diligence raisonnable à l’égard de ces validations. Le manuel précise que la direction de la banque ne doit pas se contenter des rapports de validation financés par les fournisseurs et qu’elle doit comprendre « les limites auxquelles le validateur a été confronté dans l’évaluation des processus et du code utilisés dans les modèles ».
La gestion des risques liés aux modèles demeure au cœur de la gestion globale des risques, compte tenu de l’importance croissante des modèles et de leur impact sur les différentes catégories de risques au sein des institutions financières. La gestion des risques liés aux modèles est essentielle pour répondre aux enjeux de prêt équitable et aux risques associés à l’utilisation croissante de l’intelligence artificielle.
La publication du manuel souligne l’importance que les superviseurs accordent à la MRM et fournit un guide utile aux entreprises bancaires pour évaluer et renforcer leurs programmes MRM.