Pada tanggal 18 Agustus 2022, Kantor Pengawas Mata Uang (OCC) menerbitkan buklet model manajemen risiko (MRM) dari Buku Pedoman Pengawas dalam Buletin OCC 2021-39 (buku pedoman 2021). Sebagaimana disebutkan dalam catatan rilis, buku pegangan 2021 menyajikan konsep dan prinsip-prinsip umum manajemen risiko model dan memberikan pedoman bagi penguji dalam merencanakan dan melakukan pemeriksaan pada manajemen risiko model.
Buku pegangan ini memberikan insight tentang pendekatan OCC saat ini dan yang diharapkan untuk model pengawasan risiko. Insight membuktikan berharga bagi perusahaan yang ingin memenuhi harapan pengawasan OCC untuk MRM dan perusahaan yang tunduk pada pengawasan MRM oleh regulator perbankan lainnya.
Meskipun tidak menggantikan Panduan Pengawasan 2011 tentang Manajemen Risiko Model yang dirilis oleh OCC sebagai OCC 2011—12, buku pedoman 2021 mengekstrak berbagai unsur utama dari panduan 2011 dan memberikan penjelasan tambahan, serta interpretasi dan klarifikasi tambahan yang signifikan.
Perluasan panduan 2011 mewakili evolusi praktik pemeriksaan manajemen risiko model yang konsisten dengan perkembangan industri dan penerbitan OCC sementara. Hal ini termasuk pernyataan antar lembaga baru-baru ini mengenai MRM untuk kepatuhan terhadap Undang-Undang Kerahasiaan Bank/anti-pencucian uang (BSA/AML) (Interagency Statement on MRM in BSA/AML). Dan FAQ tahun 2020 tentang hubungan dengan pihak ketiga, yang dipertimbangkan untuk dimasukkan ke dalam panduan antar lembaga yang diusulkan tentang manajemen risiko pihak ketiga (TPRM).
Buku pedoman ini menjelaskan definisi model dalam panduan 2011. Buku ini mencatat bahwa model dicirikan oleh “ketidakpastian yang terkait dengan perkiraan model dari output” alih-alih oleh “hasil yang ditentukan oleh aturan deterministik” yang dihasilkan alat analisis non-model. Klarifikasi ini berkontribusi pada proses inventaris model dengan mengklarifikasi peran output yang tidak pasti dalam membedakan model dari alat analitis non-model.
Walaupun OCC telah meningkatkan ekspektasi pengawasan untuk manajemen risiko model dibandingkan alat analisis non-model, buku panduan tersebut memperjelas bahwa pendekatan yang terlalu mekanis dan tidak mempertimbangkan risiko serta kompleksitas alat analisis non-model justru dapat meningkatkan risiko model.
Secara khusus, buku pegangan menyatakan bahwa manajemen risiko harus diterapkan dan sepadan dengan tingkat dan kompleksitas pendekatan kuantitatif, terlepas dari apakah itu memenuhi definisi model. Dengan kata lain, masalah penting adalah menerapkan tingkat manajemen dan kontrol risiko yang tepat terlepas dari klasifikasi pendekatan. Misalnya, algoritma klaster machine learning k-mean mungkin tidak dilihat sebagai model, tetapi dapat menimbulkan risiko besar ketika diterapkan pada peringkat risiko pelanggan.
Pernyataan-pernyataan ini mewakili evolusi dalam pemikiran OCC yang mengurangi penekanan pada apakah bank menentukan apakah alat analitis adalah model atau non-model. Solusi ini berfokus pada kecukupan manajemen risiko terlepas dari kategorisasi. Ini mencerminkan kekhawatiran di pihak OCC bahwa penekanan yang ditempatkan pada definisi model mungkin memiliki konsekuensi yang tidak diinginkan dalam mengurangi tata kelola dan kontrol di sekitar alat analitis non-model yang kompleks dan penting. Mungkin juga ada penekanan berlebihan pada penentuan model/non-model. Klarifikasi buku pegangan ini juga menggemakan Pernyataan Antarlembaga baru-baru ini tentang MRM di BSA/AML, yang menyatakan bahwa “terlepas dari bagaimana sistem BSA/AML dicirikan, manajemen risiko yang baik itu penting.”
Diskusi sebelum ini mencerminkan prinsip umum OCC bahwa manajemen risiko yang baik membutuhkan mengalokasikan sumber daya sesuai dengan risiko, dengan area berisiko menerima perhatian yang relatif lebih besar. Meskipun panduan 2011 memungkinkan jangkauan dan ketelitian kegiatan validasi awal bergantung pada potensi risiko model, itu tidak secara eksplisit merujuk pada MRM yang sensitif terhadap risiko. Buku pedoman ini memberikan panduan lebih lanjut tentang bagaimana bank dapat mengembangkan cara mengalokasikan sumber daya secara efektif untuk MRM di luar validasi awal. Ini secara eksplisit menyebutkan pendekatan berbasis risiko untuk validasi model, yang harus dilakukan dengan frekuensi yang sesuai untuk profil risiko bank. Frekuensi dan kedalaman pemantauan berkelanjutan harus sepadan dengan risiko yang terlibat.
Mengingat inventaris model yang luas dari perusahaan keuangan besar, kami mengamati bahwa banyak organisasi telah berusaha menerapkan persyaratan MRM yang sensitif terhadap risiko yang konsisten dengan laporan sebelumnya. Tingkat risiko model dapat menentukan luas, kedalaman, prioritas, dan frekuensi kegiatan validasi. Misalnya, model berisiko tinggi mungkin memerlukan revalidasi penuh berkala setiap dua tahun, sedangkan bank dapat memvalidasi model berisiko rendah lebih jarang. Demikian pula, tingkat risiko model dapat memengaruhi tingkat dan sifat pengujian atau tingkat transparansi yang dapat diterima untuk model kompleks.
Seperti yang diharapkan, perusahaan yang gagal membedakan model menurut risiko tidak dapat menerapkan MRM yang sensitif terhadap risiko. Buku pegangan mengatakan metodologi peringkat risiko model “sering didasarkan pada jenis model dan tujuan; kompleksitas, ketidakpastian dan materialitas; keterkaitan; data; dan kemampuan dan keterbatasan.” Buku pegangan ini lebih lanjut menyoroti bahwa peringkat model harus mempertimbangkan penjelasan untuk model AI.
Buku pedoman ini menjelaskan bagaimana standar delapan jenis risiko OCC dapat dipengaruhi oleh risiko model. Secara khusus, risiko model harus dianggap sebagai risiko berbeda yang dapat mempengaruhi kategori risiko OCC: kredit, suku bunga, likuiditas, harga, operasional, kepatuhan, strategis dan reputasi. Misalnya, risiko strategis bank dapat meningkat karena kegagalan untuk menyesuaikan input model dan asumsi untuk lingkungan ekonomi makro yang berubah, kondisi pasar, dan perilaku konsumen, yang diterjemahkan ke dalam kerugian finansial dan risiko reputasi.
Untuk menentukan jumlah setiap risiko yang terkait dengan penggunaan model bank, buku pegangan memberikan pertimbangan terperinci seperti sifat, tingkat dan kompleksitas model yang digunakan bank. Metode ini juga mempertimbangkan sejauh mana model berkontribusi pada pengambilan keputusan, dan tingkat ketidakpastian atau ketidakakuratan input dan asumsi model. Dengan demikian, perusahaan harus mempertimbangkan sejauh mana risiko model harus dimasukkan ke dalam penilaian risiko lainnya di seluruh organisasi.
Perusahaan juga dapat mengambil manfaat dari memasukkan pendekatan ini ke dalam kerangka kerja pelaporan risiko model mereka. Dengan demikian, perusahaan memerlukan taksonomi penggunaan model yang jelas untuk mengklasifikasikan penggunaan model, menangkap dimensi data yang berbeda dari penggunaan model, termasuk memetakan setiap penggunaan model ke risiko terkait. Misalnya, model yang digunakan dalam risiko kepatuhan dan program kepatuhan AML mempengaruhi risiko kepatuhan dan risiko reputasi yang ditimbulkan oleh potensi ketidakpatuhan.
Akhirnya, buku pegangan ini juga menekankan pentingnya selera risiko untuk model risiko yang mendefinisikan Boundary di mana manajemen dapat beroperasi. Buku ini juga menyoroti perlunya membatasi penggunaan “pengecualian, penggantian manajemen, penyimpangan kebijakan, dan batasan penggunaan model” yang menyebarkan risiko.
Buku pedoman ini menjabarkan harapan terperinci seputar manajemen risiko AI yang baik untuk alat model dan non-model. Ini termasuk inventaris penggunaan AI, identifikasi risiko, kontrol teknologi yang efektif, dan proses yang efektif untuk memvalidasi bahwa penggunaan AI memberikan hasil yang sehat, adil, dan tidak bias. Namun, referensi terperinci berikutnya dalam buku pegangan hanya merujuk pada AI yang diklasifikasikan sebagai model. Oleh karena itu, sejauh mana aktivitas yang dijelaskan untuk model AI harus digunakan untuk non-model AI perlu ditentukan berdasarkan prinsip sensitif risiko untuk tata kelola risiko non-model yang dibahas di atas.
Buku pegangan ini menetapkan harapan bahwa kebijakan MRM bank harus mencakup standar untuk mendokumentasikan pemahaman konseptual tentang pendekatan AI. Ini penting karena teori dan logika yang mendasarinya mungkin tidak transparan untuk model AI yang kompleks. Di sisi lain, beberapa pendekatan AI secara konseptual sederhana tetapi mungkin menimbulkan risiko besar karena sifat heuristiknya (yaitu, berdasarkan intuisi daripada teori statistik atau matematika). Misalnya, pengelompokan berbasis jarak dapat menyebabkan Hasil yang berlawanan tergantung pada penskalaan data.
Terkait, pemahaman konseptual harus mencakup hyperparameter model dan pendekatan kalibrasi mereka. Ini sangat penting untuk pendekatan AI dalam siklus peningkatan yang konstan (pelatihan berkelanjutan), di mana desain konseptual mungkin hanyut tanpa disadari. Sangat penting untuk memelihara dokumentasi terperinci dan terkini, termasuk detail tentang proses reparameterisasi dan kalibrasi ulang dan batasan yang dapat diterima untuk perubahan model yang dapat dianggap pembaruan rutin (sehingga tidak memerlukan validasi).
Mengenai validasi, buku pedoman inimenyatakan bahwa kebijakan dan prosedur harus mencakup prioritas, ruang lingkup dan frekuensi validasi, termasuk algoritma yang mendasari model AI dan parameter lain yang sering diperbarui. Pembaruan yang sering dapat memberikan manfaat akurasi model, tetapi perlu pendekatan dinamis untuk mengontrol aktivitas seperti backtesting dan pemantauan. Terkadang, seperti struktur keputusan, kalibrasi ulang dapat menyebabkan hasil kuantitatif dan kualitatif yang berbeda. Pembaruan yang sering juga bisa boros dalam hal waktu dan daya pemrosesan jika pola data berubah dengan frekuensi yang berbeda dari pembaruan model. Fluiditas data dan tingkat perubahan model potensial harus menginformasikan frekuensi dan ruang lingkup validasi.
Menyadari bahwa penilaian kesesuaian konseptual model AI dapat menjadi tantangan, buku pegangan ini menekankan transparansi dan penjelasan sebagai pertimbangan penting dalam mengelola risiko model AI yang kompleks. Prinsip panduan OCC adalah bahwa bank harus menyesuaikan tingkat penjelasan dengan penggunaan model. Misalnya, model AI yang digunakan dalam penjaminan kredit akan tunduk pada standar yang relatif tinggi untuk dokumentasi dan validasi untuk menunjukkan secara memadai bahwa model tersebut adil dan beroperasi sebagaimana dimaksud. Sebaliknya, pengenalan gambar AI yang digunakan untuk pengambilan deposit jarak jauh tidak memerlukan banyak pengawasan.
Risiko pinjaman yang adil dapat diperkenalkan melalui data input yang bias, algoritma yang memperkuat bias data, dan penggunaan output model yang bias. Fungsi MRM harus memainkan peran penting dalam program pinjaman yang adil di perusahaan keuangan yang semakin bergantung pada model. Buku pedoman ini memperkuat peran ini dan menjabarkan ekspektasi yang rinci tentang pertimbangan pemberian pinjaman yang adil dalam kerangka kerja MRM bank. Ini secara eksplisit merujuk kebijakan MRM yang harus mencakup pertimbangan pinjaman yang adil, termasuk standar untuk memastikan model tidak menyebabkan atau mempromosikan diskriminasi melalui perlakuan yang berbeda atau dampak yang berbeda.
Lebih khusus lagi, kerangka kerja MRM bank harus mencakup kontrol untuk pengembangan model, implementasi dan penggunaan, termasuk kontrol untuk memantau potensi output atau hasil diskriminatif. Kami mengamati bahwa model yang dipengaruhi oleh masalah pinjaman yang adil sering bergantung pada data dinamis dan sering diperbarui, seperti model pemantauan transaksi.
Model yang menghasilkan hasil yang adil dan tidak bias mungkin gagal dalam hal ini ketika data input melayang. Untuk alasan tersebut, kerangka kerja berkelanjutan untuk model ini harus mencakup pemantauan bias dalam data. Demikian pula, buku pegangan menyatakan bahwa kerangka kerja MRM harus menetapkan standar yang sesuai untuk validasi model untuk mengidentifikasi bias dalam data atau hasil model. Akhirnya, kerangka kerja MRM harus menyadari bahwa risiko pinjaman yang adil dapat diperkenalkan melalui hamparan dan penyesuaian manajemen.
Buku pedoman ini juga menyebutkan model yang dibuat semata-mata untuk menilai kepatuhan terhadap undang-undang pinjaman yang adil dan membahas pendekatan pengujian alternatif. Karena kebijakan yang relevan (seperti penjaminan kredit) sering memandu pengembangan model tersebut, ketidakmampuan untuk menemukan kecocokan model yang baik dapat mengganggu kemampuan perusahaan untuk menilai risiko pinjaman yang adil secara efektif. Untuk alasan yang sama, backtesting standar tidak dimungkinkan, karena model dibangun untuk mencerminkan kebijakan untuk periode tertentu. Atau, ulasan file manual harus dilakukan untuk menyoroti kesalahan data, mengidentifikasi faktor-faktor yang tidak termasuk dalam model statistik. Peninjauan file secara manual juga menilai apakah faktor tambahan tersebut dapat menjelaskan perbedaan yang tersisa antara anggota kelompok berbasis atribut terlarang dan anggota kelompok kontrol.
Yang penting, upaya ini harus diukur dengan tepat agar efektif, dan buklet Metodologi Pengambilan Sampel OCC yang baru-baru ini diperbarui memberikan panduan yang diperlukan.
Menyadari penggunaan model AI yang lazim, buku pegangan ini menyerukan proses yang efektif untuk memvalidasi bahwa penggunaan AI memberikan hasil yang sehat, adil, dan tidak bias. Karena biasanya lebih kompleks, model AI dapat dengan mudah mengaburkan bias dalam data, pemodelan, dan hasil.
OCC menyatakan bahwa tidak cukup untuk menetapkan ketidakbiasan variabel individu, karena interaksi kompleks yang khas dari pendekatan AI dapat menyebabkan dampak atau hasil yang tidak diinginkan. Kombinasi kompleks input yang secara implisit dipertimbangkan oleh model AI dapat berfungsi sebagai proxy untuk kelas terlarang. Model yang mengandalkan proxy implisit tersebut harus mewakili hubungan palsu yang dihasilkan dari input dan hasil yang dipengaruhi oleh karakteristik terlarang yang tidak diamati.
Juga, mendefinisikan output model dengan tepat untuk evaluasi bias sangat penting. Sementara output nominal dari model klasifikasi dapat berupa label biner, output aktual biasanya merupakan perkiraan probabilitas dari setiap hasil. Apakah model memberikan hasil yang tidak bias dapat bergantung pada jenis output yang digunakan dan dianalisis. Sebagai contoh, model underwriting kredit dapat memberikan status proyeksi tunggakan dan bukan tunggakan yang tidak bias, namun dapat memberikan probabilitas yang bias terhadap status tersebut. Analisis status yang diproyeksikan tidak akan mengungkapkan potensi masalah dan mungkin bermasalah jika yang terakhir digunakan untuk menginformasikan keputusan penjaminan.
Dalam dekade terakhir, kami telah menyaksikan meningkatnya ketergantungan pada penyedia layanan pihak ketiga oleh lembaga keuangan untuk aspek-aspek penting dari operasi mereka. Ini termasuk menggunakan model dan data pihak ketiga dan melibatkan pihak ketiga untuk melakukan pengembangan model dan layanan manajemen risiko. Dalam konteks ini, buku pegangan ini memberikan pertimbangan manajemen risiko pihak ketiga yang terperinci, sebagian besar mencerminkan FAQ 2020 tentang hubungan pihak ketiga.
Salah satu bidang di mana buku pegangan tampaknya menawarkan referensi eksplisit dan klarifikasi penting adalah dalam perlakuan validasi yang didanai vendor. Buku pedoman tersebut menyatakan bahwa “manajemen bank harus memahami dan mengevaluasi hasil validasi dan kegiatan pengendalian risiko yang dilakukan pihak ketiga... Manajemen bank harus melakukan ulasan berbasis risiko terhadap masing-masing model pihak ketiga untuk menentukan apakah model tersebut berfungsi sebagaimana dimaksud dan apakah kegiatan validasi yang ada cukup.”
Pernyataan sebelumnya mengklarifikasi bahwa bank dapat menggunakan validasi yang didanai vendor dalam ulasan model pihak ketiga berbasis risiko. Klarifikasi ini membantu fungsi MRM dengan menghindari mencurahkan sumber daya yang tidak perlu untuk mereplikasi validasi yang didanai vendor. Meskipun demikian, bank diharapkan untuk melakukan uji tuntas yang memadai atas validasi tersebut. Buku pedoman memperingatkan bahwa manajemen bank tidak boleh mengambil laporan validasi yang didanai vendor dengan nilai nominal dan harus memahami “salah satu keterbatasan yang dialami oleh validator dalam menilai proses dan kode yang digunakan dalam model.”
Manajemen risiko model tetap menjadi pusat manajemen risiko, mengingat semakin pentingnya model dan meningkatnya dampak model pada berbagai jenis risiko di seluruh perusahaan jasa keuangan. Manajemen risiko model penting dalam mengatasi masalah pinjaman yang adil dan risiko yang terkait dengan meningkatnya penggunaan kecerdasan buatan.
Publikasi buku pegangan menandakan pentingnya yang diberikan pengawas pada MRM dan memberikan panduan yang berguna bagi organisasi perbankan untuk menilai dan memperkuat program MRM mereka.