Il 18 agosto 2022, l'Office of Comptroller of the Currency (OCC) ha pubblicato il libretto sulla gestione del rischio modello (MRM) del Comptroller's Handbook nel Bollettino OCC 2021-39 (manuale 2021). Come menzionato nella nota di rilascio, il manuale 2021 presenta i concetti e i principi generali della gestione del rischio modello e fornisce linee guida per gli esaminatori nella pianificazione e nella conduzione degli esami sulla gestione del rischio modello.
Il manuale fornisce insight sull'approccio attuale e previsto dell'OCC alla supervisione dei modelli di rischio. Gli insight si rivelano preziosi per le aziende che cercano di soddisfare le aspettative di supervisione di OCC per MRM e per le aziende soggette alla supervisione MRM da parte di altri enti regolatori bancari.
Sebbene non sostituisca le linee guida di vigilanza del 2011 sulla gestione del rischio modello pubblicate dall'OCC come OCC 2011-12, il manuale del 2021 estrae elementi chiave delle linee guida del 2011 e fornisce spiegazioni supplementari, nonché ulteriori interpretazioni e chiarimenti significativi.
L'espansione delle linee guida del 2011 rappresenta l'evoluzione delle pratiche di esame di gestione del rischio modello coerenti con gli sviluppi del settore e le pubblicazioni ad interim di OCC. Queste includono la recente dichiarazione dell'interagenzia sull'MRM per la conformità al Bank Secrecy Act/antiriciclaggio (BSA/AML) (Interagency Statement on MRM in BSA/AML), e la FAQ del 2020 sulle relazioni con terze parti, che è stata presa in considerazione per l'inclusione nella proposta guida interagenzia sulla gestione del rischio tra terzi (TPRM).
Il manuale chiarisce la definizione di modello contenuta nella guida del 2011. Rileva che i modelli sono caratterizzati dall'incertezza associata alla stima degli output del modello anziché dai risultati definiti dalle regole deterministiche che gli strumenti analitici non modellistici producono. Questo chiarimento contribuisce al processo di inventario dei modelli, chiarendo il ruolo delle stime di output incerte nel distinguere i modelli dagli strumenti analitici non modellistici.
Sebbene l'OCC abbia aumentato le aspettative di supervisione per la gestione del rischio dei modelli rispetto agli strumenti analitici non modelli, il manuale chiarisce che un approccio eccessivamente meccanico che non considera il rischio e la complessità degli strumenti analitici non modellistici può promuovere il rischio del modello.
In particolare, il manuale afferma che la gestione del rischio dovrebbe essere applicata e proporzionata all'entità e alla complessità di un approccio quantitativo, indipendentemente dal fatto che rientra o meno nella definizione di un modello. In altre parole, la questione critica è applicare un livello appropriato di gestione del rischio e controlli, indipendentemente dalla classificazione di un approccio. Ad esempio, l'algoritmo di clustering di machine learning k-means può non essere considerato un modello, ma può rappresentare un rischio sostanziale se applicato alla valutazione del rischio del cliente.
Queste affermazioni rappresentano un'evoluzione nel pensiero OCC che riduce l'enfasi sul fatto che una banca determini se uno strumento analitico sia un modello o un non-modello. Si concentra invece sull'adeguatezza della gestione del rischio indipendentemente dalla categorizzazione. Ciò riflette la preoccupazione dell'OCC che l'enfasi posta sulla definizione dei modelli possa aver avuto la conseguenza involontaria di ridurre la governance e i controlli intorno a strumenti analitici complessi e critici non legati ai modelli. Potrebbe esserci anche un'enfasi eccessiva sulle determinazioni modello/non modello. Il chiarimento del manuale fa anche eco alla recente Dichiarazione dell'Interagenzia sull'MRM in BSA/AML, che afferma che "indipendentemente da come viene caratterizzato un sistema BSA/AML, è importante una solida gestione del rischio".
La discussione precedente riflette il principio generale dell'OCC secondo cui una solida gestione del rischio richiede di allocare risorse in base al rischio, con le aree più rischiose che ricevono relativamente maggiore attenzione. Sebbene le linee guida del 2011 consentissero che la gamma e il rigore delle attività di convalida iniziali dipendessero dal rischio potenziale del modello, non si riferivano esplicitamente alla MRM sensibile al rischio. Il manuale fornisce ulteriori indicazioni su come le banche possano sviluppare mezzi per allocare efficacemente le risorse per il MRM oltre la validazione iniziale. Menziona esplicitamente l'approccio basato sul rischio per le validazioni del modello, che dovrebbero essere eseguite con una frequenza adeguata al profilo di rischio di una banca. La frequenza e la profondità del monitoraggio continuo dovrebbero essere proporzionate ai rischi coinvolti.
Dati gli ampi inventari di modelli delle grandi società finanziarie, abbiamo osservato che molte organizzazioni hanno cercato di implementare requisiti MRM sensibili al rischio e coerenti con le affermazioni precedenti. Il livello di rischio di un modello può determinare l'ampiezza, la profondità, la priorità e la frequenza delle attività di validazione. Ad esempio, un modello ad alto rischio potrebbe richiedere una riconvalidazione periodica completa ogni due anni, mentre le banche possono convalidare modelli a basso rischio meno frequentemente. Allo stesso modo, il livello di rischio di un modello potrebbe influenzare l'estensione e la natura dei test o il livello accettabile di trasparenza per modelli complessi.
Come previsto, le aziende che non differenziano i modelli in base al rischio non possono implementare MRM sensibili al rischio. Il manuale afferma che le metodologie di valutazione del rischio del modello "si basano spesso sul tipo e sugli obiettivi del modello, sulla complessità, incertezza e materialità, sulle interrelazioni, sui dati, sulle funzionalità e sui limiti". Il manuale sottolinea inoltre che le valutazioni dei modelli dovrebbero tenere conto della spiegabilità dei modelli AI.
Il manuale chiarisce in che modo gli otto tipi di rischio OCC standard possono essere influenzati dal rischio del modello. In particolare, il rischio modello dovrebbe essere considerato un rischio distinto che può influenzare le categories di rischio OCC: credito, tasso di interesse, liquidità, prezzo, operativo, conformità, strategico e reputazione. Ad esempio, il rischio strategico di una banca può aumentare a causa della mancata adeguamento degli input e delle ipotesi del modello per un ambiente macroeconomico in evoluzione, condizioni di mercato e comportamenti dei consumatori, traducendosi in perdite finanziarie e rischio di reputazione.
Per determinare la quantità di ciascun rischio associato all'uso del modello della banca, il manuale fornisce considerazioni dettagliate come la natura, l'estensione e la complessità dei modelli utilizzati dalla banca. Considera inoltre in che misura i modelli contribuiscono al processo decisionale e il livello di incertezza o inaccuratezza degli input e delle assunzioni del modello. Pertanto, un'azienda dovrebbe considerare fino a che punto il rischio modello debba essere incorporato in altre valutazioni del rischio all'interno dell'organizzazione.
Le aziende possono anche beneficiare dell'incorporazione di questo approccio nel loro framework di rischio modello. In questo modo, le aziende hanno bisogno di una chiara tassonomia dell'uso del modello per classificare l'uso del modello, catturando le diverse dimensioni dei dati dell'uso del modello, compresa la mappatura di ogni uso del modello ai rischi associati. Ad esempio, i modelli utilizzati nei programmi di rischio di conformità e di conformità AML influenzano il rischio di conformità e il rischio di reputazione rappresentato da potenziali non conformità.
Infine, il manuale sottolinea anche l'importanza dell'appetito al rischio per il modello di rischio che definisce i confini entro cui la direzione può operare. Sottolinea inoltre la necessità di limitare l'uso di “eccezioni, manomissioni gestionali, deviazioni dalle politiche e limiti all’uso dei modelli” che propagano il rischio.
Il manuale definisce in modo dettagliato le aspettative di una solida gestione del rischio di AI, sia per gli strumenti di modello che per quelli non di modello. Ciò include un inventario degli usi dell'AI, l'identificazione dei rischi, controlli tecnologici efficaci e processi efficaci per convalidare che l'uso dell'AI fornisca risultati solidi, equi e imparziali. Tuttavia, i successivi riferimenti dettagliati nel manuale si riferiscono solo alle AI classificate come modelli. Pertanto, la misura in cui le attività descritte per i modelli AI dovrebbero essere utilizzate per i non-modelli AI deve essere determinata in base al principio di sensibilità al rischio per la governance del rischio non-modello discusso in precedenza.
Il manuale prevede che la politica MRM di una banca includa standard per documentare la comprensione concettuale degli approcci di AI. Questo è importante perché la teoria e la logica sottostanti potrebbero non essere trasparenti per i modelli complessi di AI. D'altra parte, alcuni approcci all'AI sono concettualmente semplici ma potrebbero rappresentare un rischio sostanziale a causa della loro natura euristica (cioè, basati sull'intuizione piuttosto che su teorie statistiche o matematiche). Ad esempio, il cluster basato sulla distanza potrebbe portare a Risultati opposti a seconda della scalabilità dei dati.
In modo correlato, la comprensione concettuale dovrebbe coprire gli iperparametri del modello e l'approccio alla loro calibrazione. Questo è particolarmente importante per gli approcci all'AI in un ciclo costante di miglioramento (allenamento continuo), in cui il design concettuale può passare inosservato. È fondamentale mantenere una documentazione dettagliata e aggiornata, inclusi dettagli sui processi di riparametrizzazione e ricalibrazione e perimetri accettabili per le modifiche del modello che possono essere considerate aggiornamenti di routine (e quindi non richiedono convalida).
Per quanto riguarda la convalida, il manuale afferma che le politiche e le procedure dovrebbero includere la prioritizzazione, l'ambito e la frequenza di validazione, inclusi gli algoritmi sottostanti dei modelli AI e altri parametri aggiornati frequentemente. L'aggiornamento frequente può portare un beneficio all'accuratezza del modello, ma richiede un approccio dinamico alle attività di controllo, come il backtesting e il monitoraggio. A volte, come negli algoritmi basati su alberi decisionali, la ricalibrazione può portare a risultati quantitativi e qualitativi differenti. Un aggiornamento frequente può anche essere uno spreco in termini di tempo e potenza di calcolo se i pattern dati cambiano con una frequenza diversa rispetto all'aggiornamento del modello. La fluidità dei dati e l'entità delle potenziali modifiche al modello dovrebbero influenzare la frequenza e l'ambito della convalida.
Riconoscendo che la valutazione della solidità concettuale dei modelli AI può essere impegnativa, il manuale sottolinea trasparenza e spiegabilità come considerazioni critiche nella gestione del rischio dei modelli AI complessi. Il principio guida dell'OCC è che le banche dovrebbero adattare il livello di spiegazione all'uso del modello. Ad esempio, i modelli AI utilizzati nella valutazione crediti sarebbero soggetti a standard relativamente elevati per la documentazione e la validazione per dimostrare adeguatamente che il modello è equo e funziona come previsto. Al contrario, un riconoscimento di immagini AI utilizzato per l'acquisizione di depositi a distanza non richiede un controllo altrettanto approfondito.
I rischi di fair lending possono essere introdotti tramite dati di input distorti, algoritmi che amplificano i bias dei dati e un uso distorto dell'output del modello. Le funzioni MRM dovrebbero svolgere un ruolo essenziale nel programma di prestiti equi presso le società finanziarie che si affidano sempre più ai modelli. Il manuale rafforza questo ruolo e delinea aspettative dettagliate su considerazioni di equità in materia di prestiti nel framework MRM di una banca. Fa esplicitamente riferimento a politiche MRM che dovrebbero includere considerazioni di prestiti equi, inclusi standard per garantire che i modelli non causino o promuovano discriminazioni attraverso trattamenti o impatti diseguali.
Più nello specifico, il framework MRM di una banca dovrebbe includere controlli per lo sviluppo, l'implementazione e l'uso del modello, inclusi controlli per monitorare potenziali output o risultati discriminatori. Abbiamo osservato che i modelli interessati da problemi di prestiti equi spesso si basano su dati dinamici e aggiornati frequentemente, come i modelli di monitoraggio delle transazioni.
Un modello che produce risultati equi e imparziali potrebbe fallire in questo senso quando i dati di input si spostano. Per tali motivi, il framework di monitoraggio per questi modelli dovrebbe includere il monitoraggio dei bias nei dati. Allo stesso modo, il manuale afferma che il framework MRM dovrebbe stabilire standard appropriati per la convalida del modello, al fine di identificare distorsioni nei dati o nei risultati del modello. Infine, il framework MRM dovrebbe riconoscere che i rischi di prestito equo possono essere introdotti tramite sovrapposizioni e aggiustamenti gestionali.
Il manuale menziona anche modelli sviluppati esclusivamente per valutare la conformità alle leggi sui prestiti equi e discute approcci di verifica alternativi. Poiché le politiche rilevanti (come la valutazione del credito) spesso guidano lo sviluppo di tali modelli, l'incapacità di trovare un modello adatto può compromettere la capacità di un'azienda di valutare efficacemente i rischi di prestito equo. Per lo stesso motivo, non è possibile effettuare backtesting standard, poiché i modelli sono costruiti per riflettere le politiche di un dato periodo. Alternativamente, è opportuno effettuare recensioni manuali dei file per evidenziare eventuali errori nei dati e identificare fattori non inclusi nel modello statistico. Le recensioni manuali dei file valutano anche se questi fattori aggiuntivi possano spiegare le differenze rimanenti tra i membri del gruppo con base proibita e i membri del gruppo di controllo.
È importante sottolineare che questi sforzi devono essere dimensionati adeguatamente per essere efficaci, e il libretto sulle Metodologie di Campionamento dell'OCC , recentemente aggiornato, fornisce le indicazioni necessarie.
Riconoscendo l'uso diffuso dei modelli AI, il manuale prevede processi efficaci per convalidare che l'uso dell'AI fornisce risultati solidi, equi e imparziali. Poiché sono solitamente più complessi, i modelli AI possono facilmente nascondere distorsioni nei dati, nella data modeling e nei risultati.
L'OCC afferma che non è sufficiente stabilire l'imparzialità delle singole variabili, poiché le interazioni complesse tipiche degli approcci di AI possono portare a impatti o risultati non intenzionali. Combinazioni complesse di input implicitamente considerate dai modelli AI possono fungere da proxy per classi proibite. I modelli che si basano su tali proxy impliciti devono rappresentare una relazione spuria risultante da input e risultati influenzati da caratteristiche proibite non osservate.
Inoltre, è essenziale definire correttamente l'output di un modello per la valutazione del bias. Mentre l'output nominale di un modello di classificazione può essere un'etichetta binaria, l'output effettivo è in genere una probabilità stimata di ciascun risultato. Se il modello fornisce risultati imparziali può dipendere dal tipo di output utilizzato e analizzato. Ad esempio, un modello di sottoscrizione del credito può fornire stati proiettati di morosità e non morosità non distorti, ma potrebbe fornire probabilità distorte di questi stati. Un'analisi dello stato previsto non rivelerebbe i potenziali problemi e potrebbe essere problematica se quest'ultima viene utilizzata per informare le decisioni di sottoscrizione.
Nell'ultimo decennio, abbiamo assistito a un crescente affidamento a fornitori di servizi terzi da parte delle istituzioni finanziarie per aspetti critici delle loro operazioni. Ciò include l'utilizzo di modelli e dati di terze parti e il coinvolgimento di terze parti per lo sviluppo di modelli e servizi di gestione del rischio. In questo contesto, il manuale fornisce considerazioni dettagliate sulla gestione dei rischi di terze parti, riflettendo in gran parte le FAQ del 2020 sui rapporti con terze parti.
Un ambito in cui il manuale sembra offrire riferimenti espliciti e chiarimenti importanti riguarda il trattamento delle validazioni finanziate dai fornitori. Il manuale afferma che "la direzione della banca dovrebbe comprendere e valutare i risultati delle attività di convalida e controllo del rischio svolte da terze parti... La direzione della banca dovrebbe condurre una recensione basata sul rischio di ciascun modello di terze parti per determinare se funziona come previsto e se le attività di convalida esistenti sono sufficienti".
La dichiarazione precedente chiarisce che le banche possono utilizzare validazioni finanziate dai fornitori nelle recensioni di modelli di terze parti basate sul rischio. Queste chiarimenti aiutano le funzioni MRM evitando di spendere risorse inutili per replicare validazioni finanziate dai fornitori. Tuttavia, ci si aspetta che le banche svolgano un'adeguata due diligence su tali validazioni. Il manuale avverte che la direzione della banca non deve prendere per oro colato i report di convalida finanziati dai fornitori e deve comprendere "qualsiasi limitazione riscontrata dal validatore nella valutazione dei processi e dei codici utilizzati nei modelli".
La gestione del rischio con modello rimane centrale nella gestione del rischio, data la crescente importanza dei modelli e l'impatto crescente dei modelli sui vari tipi di rischio nelle società di servizi finanziari. La gestione del rischio del modello è importante per affrontare le preoccupazioni relative al fair lending e i rischi associati al crescente utilizzo dell'intelligenza artificiale.
La pubblicazione del manuale sottolinea l'importanza che i supervisori attribuiscono al MRM e fornisce una guida utile per le organizzazioni bancarie per valutare e rafforzare i propri programmi MRM.