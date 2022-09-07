2022年8月18日、通貨監督庁（OCC）は、 OCC速報2021-39、通貨監督庁ハンドブック（2021年ハンドブック）において、モデルリスク管理（MRM）の小冊子を公表しました。リリース・ノートで述べられているように、2021年版ハンドブックではモデル・リスク管理の概念と一般原則を示しており、モデル・リスク管理に関する検査を計画・実施するための検査官向けガイドラインを提供しています。
このハンドブックでは、モデルのリスク監督に対するOCCの現在と、予想されるアプローチについての洞察が提供されます。これらの洞察は、MRMに対するOCCの監督上の期待に応えようとしている企業や、他の銀行規制当局によるMRMの監督を受けている企業にとって貴重なものとなります。
これが、2011年にOCCが発表したモデルリスク管理監督ガイダンス( OCC 2011–12)を置き換えるものではありませんが、2021年のハンドブックは2011年のガイダンスの重要な要素を抽出し、補足的な説明や重要な追加解釈・明確化を提供しています。
2011年ガイダンスの拡大は、業界の発展と暫定的なOCC発行に合わせ、モデル・リスク管理試験の実務が進化したことを表しています。これには、銀行秘密法/反マネーロンダリング（BSA/AML）準拠のためのMRMに関する最近の省庁間声明（Interagency Statement on MRM in BSA/AML）が含まれます。また、第三者リスク管理 （TPRM ）に関する省庁間ガイダンス案に含めることが検討されている、第三者との関係に関する2020年版のFAQも含まれます。
このハンドブックでは、2011年ガイダンスにおけるモデルの定義を明確にしています。モデルは、モデル以外の分析ツールが生み出す「決定論的なルールによって定義される結果」ではなく、「モデルによるアウトプットの推定に関連する不確実性」によって特徴付けられると指摘しています。この明確化は、モデルを非モデル分析ツールと区別する上での不確実な推定アウトプットの役割を明確にすることで、モデルのインベントリーに貢献します。
OCCは、モデル以外の分析ツールと比較して、モデルのリスク管理に対する監督上の期待を高めましたが、このハンドブックは、モデル以外の分析ツールのリスクと複雑さを考慮しない過度に機械的なアプローチがモデルのリスクを促進する可能性があることを明確にしています。
具体的には、リスク管理は、モデルの定義を満たしているかどうかに関係なく、定量的アプローチの範囲と複雑さに相応して適用されるべきであると述べています。言い換えれば、アプローチの分類に関係なく、適切なレベルのリスク管理とコントロールを適用することがクリティカルな問題点だと言えます。たとえば、機械学習クラスタリング・アルゴリズムのK平均法は、モデルとしては見なされないものかもしれませんが、顧客のリスク評価に適用すると、大きなリスクをもたらす可能性があります。
これらの記述は、銀行が分析ツールがモデルであるか非モデルであるかを判断することについての重点を減らしている、OCCの考えにおける進化を表しています。代わりに、カテゴライズに関係なくリスク管理の適切性に焦点を当てます。これは、モデル定義に重点を置くことにより、複雑でクリティカルな非モデル分析ツールに関するガバナンスと管理が低下するという意図しない結果をもたらした可能性があるという、OCCの部分的な懸念を反映しています。また、モデルか非モデルかについて、判断が過度に重視されることもあります。このハンドブックの明確さは、「BSA/AMLシステムがどのように特徴的かにかかわらず、健全なリスク管理が重要である」という、BSA/AMLのMRMに関する最近の省庁間声明にも反映されています。
その前の議論では、健全なリスク管理にはリスクに応じてリソースを配分する必要があり、リスクの高い分野には比較的大きな注意が向けられるというOCCの一般原則を反映しています。2011年のガイダンスでは、モデルの潜在的なリスクに応じた初期検証活動の範囲と厳密性を規定していましたが、リスクを意識したMRMについては明示的には言及していませんでした。このハンドブックでは、銀行が初期の検証を超えてMRMのリソースを効果的に割り当てる手段をどのように開発できるかについて、詳細なガイダンスを提供しています。ここでは、モデル検証のためのリスクベースのアプローチについて明示的に言及しており、これは銀行のリスク・プロファイルに適した頻度で実行される必要があります。継続的なモニタリングの頻度と深さは、関連するリスクに見合ったものでなければなりません。
大手金融企業の広範なモデル・インベントリーを考慮すると、多くの組織が上記の記述と一致するリスクを意識したMRM要件を導入しようとしていることがわかります。モデルのリスク・レベルは、検証活動の範囲、深さ、優先順位、頻度を決定できます。たとえば、高リスクのモデルでは2年ごとの定期的な完全な再検証が必要になる場合がありますが、銀行は低リスクのモデルの検証頻度を減らすことができます。同様に、モデルのリスクレベルは、テストの範囲と性質、または複雑なモデルで許容され得る透明性のレベルに影響を与える可能性があります。
予想されるとおり、リスクに応じてモデルを差別化することができない企業は、リスクを意識したMRMを導入することはできません。このハンドブックでは、モデルのリスク評価の方法論について、「多くの場合、モデルの種類と目的、複雑さ、不確実性や、相互関係、データ、機能、限界といった実体に基づいている」と言及しています。ハンドブックではさらに、モデル評価はAIモデルの説明可能性を考慮すべきであることを強調しています。
このハンドブックでは、標準的な8つのOCCリスク・タイプがモデル・リスクによってどのような影響を受けるかを明確にしています。具体的には、モデル・リスクは、信用、金利、流動性、価格、運用、コンプライアンス、戦略、評判などOCCのリスク・カテゴリーに影響を与える可能性のある、それぞれが異なるリスクとして考慮される必要があります。例えば、ある銀行の戦略的リスクは、変化するマクロ経済環境、市場状況、消費者行動に対応するモデルのインプットと前提条件を調整できないことが原因で増大し、金融上の損失や評判リスクにつながる可能性があります。
このハンドブックでは、銀行のモデルの使用に関連する各リスクの量を判断するために、銀行が使用するモデルの性質、範囲、複雑さなどの詳細な考慮事項が示されています。モデルが意思決定に貢献する範囲や、モデルのインプットや仮定の不確実性や不正確さのレベルも考慮されます。したがって、企業は、組織全体での他のアセスメントに、どのモデルリスクを組み込む必要があるかを検討する必要があります。
企業は、このアプローチを自社のモデルリスク報告フレームワークに組み込むことでもメリットが得られます。その際、企業はモデルの使用を分類するための明確なモデル使用分類法を必要とします。また、各モデル使用を関連するリスクにマッピングすることも含め、モデル使用のさまざまなデータ・ディメンションを捉えることも必要です。たとえば、コンプライアンス・リスクやAMLコンプライアンス・プログラムで使用されるモデルは、潜在的なコンプライアンス違反によってもたらされるコンプライアンス・リスクや評判リスクに影響を与えます。
最終的に、このハンドブックでは、経営陣が運用できる境界を定義するモデルのリスクに対するリスク選好度の重要性についても強調しています。また、「例外、管理上の上書き、ポリシーの逸脱、モデル使用の制限」において、リスクを広める使用を制限する必要性もハイライトしています。
このハンドブックでは、モデル・ツールと非モデル・ツールの両方についての健全なAIリスク管理に期待する点について、詳細な説明を展開しています。これには、AIの使用、リスクの特定、効果的なテクノロジー管理、AIの使用が健全で公正でバイアスのない成果をもたらすことを検証するための効果的なプロセスなどのインベントリーが含まれます。ただし、ハンドブックのその後の詳細な内容では、モデルとして分類されたAIについてのみ言及しています。したがって、AIモデルについて説明した活動を非AIモデルに使用する範囲は、上記で記述した、非モデル・リスク・ガバナンスのリスクを意識する原則に基づいて決定される必要があります。
このハンドブックでは、銀行のMRMポリシーには、AIアプローチの概念理解を文書化する基準を含める必要があると想定しています。複雑なAIモデルでは、基礎となる理論やロジックが透明でない可能性があるため、これが重要です。一方、一部のAIアプローチは概念的には単純ですが、憶測に基づく（つまり、統計理論や数学的理論ではなく直感に基づいている）性質のために、重大なリスクを伴う可能性があります。例えば、距離ベースのクラスターは、データの規模によっては逆の結果につながる可能性があります。
関連して、概念理解においては、モデルのハイパーパラメーターとその調整へのアプローチをカバーする必要があります。これは、概念設計が気付かれないまま変動する可能性のある、定期的なサイクルの改善（継続的なトレーニング）を行うAIアプローチにとって特に重要です。再パラメーター化と再調整プロセスの詳細、日常的な更新とみなせる（したがって、検証は不要な）モデル変更の許容境界など、詳細かつ最新の文書を維持することが非常に重要です。
検証に関してこのハンドブックでは、ポリシーと手順には、AIモデルの基礎となるアルゴリズムや頻繁に更新されるその他のパラメーターを含む、優先順位付け、範囲、検証頻度を含める必要があると述べています。頻繁な更新には、モデルの精度向上というメリットがありますが、バックテストや監視などの活動を制御するために動的なアプローチを必要とします。決定木ベースのアルゴリズムなどでは、再調整によって、定量的および定性的に結果が異なる場合があります。また、データパターンがモデルの更新とは異なる頻度で変化する場合、頻繁な更新は時間と処理能力の点で無駄になります。データの流動性と潜在的なモデル変更の範囲が、検証の頻度と範囲を特徴付ける必要があります。
AIモデルに対するアセスメントは困難な場合があることを認識し、このハンドブックでは、複雑なAIモデルのリスクを管理する際のクリティカルな考慮事項として、透明性と説明可能性について強調しています。OCCの基本原則は、銀行は説明可能性のレベルをモデルの使用に合わせて調整するべきであるということです。例えば、信用の引受業務に使用されるAIモデルは、そのモデルが公平であり、意図したとおりに動作することを十分に証明するために、比較的高い基準のドキュメンテーションと検証の対象となります。対照的に、リモート預金口座のキャプチャに使用されるAI画像認識では、それほど精査する必要がありません。
公正な融資のリスクは、インプット・データのバイアス、データのバイアスを増幅するアルゴリズム、およびバイアスがかかったアウトプットの使用によって引き起こされる可能性があります。MRM機能は、モデルへの依存度が高まっている金融機関での公正な貸付プログラムにおいて、重要な役割を果たすべきです。このハンドブックでは、この役割を補強し、また、銀行のMRMフレームワークにおける公正な融資の考慮事項として期待される点を詳細に展開しています。ここでは、異種の取り扱いや異種の影響を通じてモデルが差別を引き起こしたりそれを促進したりしないことを保証する基準など、公正な融資での考慮事項を含むべきMRMポリシーについて明示的に言及されています。
より具体的には、銀行のMRMフレームワークには、潜在的で差別的なアウトプットまたは結果を監視するための制御を含む、モデルの開発、実装、使用の制御が含まれる必要があります。公正な融資の問題に影響されるモデルは、取引監視モデルなど、動的で頻繁に更新されるデータに依存していることが多いことがわかっています。
公正でバイアスのない結果を生成するモデルは、インプットデータが変動した際に、この点で失敗する可能性があります。そのような理由から、これらのモデルの継続的な監視フレームワークには、データのバイアスの監視を含める必要があります。同様に、このハンドブックでは、データやモデル結果のバイアスを特定するために、MRMフレームワークが適切な基準をモデル検証用に確立する必要があると述べています。最後に、MRMフレームワークは、管理のオーバーレイと調整を通じて、公正な融資のリスクがもたらされる可能性があることを認識する必要があります。
このハンドブックでは、公正な融資法令の遵守を評価するためだけに構築されたモデルについても言及し、代替テストの手法についても説明しています。関連するポリシー（信用引受など）は、そのようなモデルの開発を指導していることが多いため、良質なモデル適合を見つけることができないと、公正な融資リスクを効果的に評価する企業の能力が損なわれる可能性があります。同じ理由で、モデルは一定期間に対しポリシーを反映するように構築されているため、標準的なバックテストは不可能です。その代替として、手動のファイル・レビューを実施し、データ・エラーを明らかにし、統計モデルに含まれていない要因を特定することが必要です。手動のファイル・レビューでは、これらの追加要因が、禁止されている基本グループ・メンバーと制御グループ・メンバーの間に残る違いを説明する可能性があるかどうかも評価します。
重要なことは、こうした取り組みが効果的であるためには、適切な規模を設定する必要があるということであり、最近更新されたOCCのサンプリング手法の小冊子では、必要なガイダンスを提供しています。
ハンドブックでは、AIモデルの使用が普及したことを認識し、AIの使用が健全かつ公平で、バイアスのない成果をもたらすことを検証するための効果的なプロセスを求めています。通常、AIモデルはより複雑であるため、データ、モデリング、結果におけるバイアスは簡単に不明瞭になります。
OCCは、AIアプローチにありがちな複雑な相互作用は意図しない影響や結果につながる可能性があるため、個々の変数に偏りがないことを確立するだけでは十分ではないと述べています。AIモデルによって暗黙的に考慮されるインプットの複雑な組み合わせは、禁止されているクラスを代理して機能する可能性があります。このような暗黙の代理に依存するモデルは、観察されていない禁止特性によって影響を受けたインプットと成果から生じた、偽の関係性を表しているはずです。
また、バイアス評価用のモデルのアウトプットを適切に定義することも不可欠です。分類モデルの名目アウトプットはバイナリ・ラベルにすることができますが、実際のアウトプットは通常、各結果の推定確率になります。モデルがバイアスのない成果をもたらすかどうかは、使用および分析されるアウトプットの種類によって異なります。たとえば、信用引受モデルは、バイアスのない滞納予測ステータスや非滞納予測ステータスを推定できますが、これらのステータスではバイアスを含む確率を提供している可能性があります。予測ステータスの分析では潜在的な問題は明らかにならないため、後者が引受の決定に使用される場合は問題となる可能性があります。
私たちは、過去10年間で、オペレーションのクリティカルな側面について、金融機関によるサードパーティーのサービス・プロバイダーへの依存度が高まっているのを見てきました。これには、サードパーティのモデルとデータの使用や、モデル開発とリスク管理サービスの実施をサードパーティに依頼することが含まれます。この状況の中で、このハンドブックでは、主にサードパーティーとの関係に関する2020年のFAQを反映し、サードパーティーのリスク管理に関する詳細な考慮事項を提供しています。
このハンドブックが明確な参照と重要な説明を提供していると思われる分野の1つは、ベンダーが資金を提供する検証の取り扱いです。このハンドブックでは、「銀行の経営者は、第三者が実施する検証とリスク管理活動の結果を理解し、評価する必要があり… 銀行の管理者は、各サードパーティのモデルについてリスクベースのレビューを実施して、それが意図したとおりに機能しているかどうか、既存の検証活動で十分であるか判断する必要があります」と言明しています。
前のステートメントは、銀行がリスク・ベースのサード・パーティー・モデルのレビューにおいて、ベンダーが資金提供する検証を利用できることを明確にしています。これらの明確化では、ベンダーが資金提供した検証を複製することに不必要なリソースが充てられるのを回避することによる、MRM機能を支援しています。それでもなお、銀行はこれらの検証について適切なデュー・デリジェンスを実施することが求められています。このハンドブックでは、銀行の管理者は、ベンダーが資金を提供した検証の報告書を額面通りに受け取らないようにするとともに、「モデルで使用されているプロセスやコードを評価する際に検証者が経験した制限」を理解する必要があると警告しています。
モデルの重要性が高まり、金融サービス企業全体でモデルのさまざまなリスク・タイプに対するモデルの影響が増大していることを考慮すると、モデル・リスク管理は依然としてリスク管理の中心をなしています。モデル・リスク管理は、公正な融資に関する懸念や人工知能の使用の拡大に関連するリスクに対処する上で重要です。
このハンドブックの発行により、監督者がMRMに置いている重要性が示されるとともに、銀行組織がMRMプログラムを評価および強化するための有用なガイドが提供されています。