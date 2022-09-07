2022년 8월 18일, 통화감독청(OCC)은 OCC 공보 2021-39(2021 핸드북)에 모델 위험 관리(MRM) 책자를 발행했습니다. 릴리스 노트에서 언급했듯이 2021 핸드북은 모델 위험 관리의 개념과 일반 원칙을 제시하고 심사관이 모델 위험 관리에 대한 심사를 계획하고 수행할 때 참고할 수 있는 지침을 제공합니다.
이 핸드북은 모델 위험 감독에 대한 OCC의 현재 및 예상 접근 방식에 대한 인사이트를 제공합니다. 이러한 인사이트는 MRM에 대한 OCC의 감독 기대치를 충족하고자 하는 기업과 다른 은행 규제 기관의 MRM 감독 대상 기업에 유용합니다.
2021년 핸드북은 OCC에서 2011년에 발표한 모델 위험 관리에 대한 감독 지침(OCC 2011~12)을 대체하지는 않지만, 2011년 지침의 주요 요소를 추출하고 보충 설명은 물론 중요한 추가 해석 및 설명을 제공합니다.
2011년 지침의 확장은 업계의 발전과 OCC의 중간 발표에 따른 모델 위험 관리 심사 관행의 진화를 나타냅니다. 여기에는 은행비밀보호법/자금세탁방지(BSA/AML) 준수를 위한 MRM에 관한 최근 기관 간 성명서(BSA/AML의 MRM에 관한 기관 간 성명서)가 포함됩니다. 그리고 서드파티 관계 관련 2020 FAQ는 제안된 서드파티 위험 관리에 관한 기관 간 지침(TPRM)에 포함하는 방안이 검토되고 있습니다.
이 핸드북은 2011년 지침에서 모델의 정의를 명확히 설명합니다. 여기서는 모델이 비모델 분석 도구가 산출하는 '결정론적 규칙에 의해 정의된 결과'가 아니라 '모델의 결과 추정과 관련된 불확실성'을 특징으로 한다고 명시하고 있습니다. 이러한 설명은 모델을 비모델 분석 도구와 구별하는 데 있어 불확실한 아웃풋 추정치의 역할을 명확히 함으로써 모델 재고 프로세스에 기여합니다.
OCC는 비모델 분석 도구에 비해 모델의 위험 관리에 대한 감독의 기대치를 높였지만, 핸드북에서는 비모델 분석 도구의 위험과 복잡성을 고려하지 않은 지나치게 기계적인 접근 방식은 모델 위험을 조장할 수 있음을 명확히 하고 있습니다.
특히, 이 핸드북은 위험 관리가 모델의 정의를 충족하는지 여부와 관계없이 정량적 접근법의 범위와 복잡성에 상응하는 위험 관리가 적용되어야 한다고 명시하고 있습니다. 즉, 접근 방식의 분류에 관계없이 적절한 수준의 위험 관리 및 제어를 적용하는 것이 중요한 문제입니다. 예를 들어, 머신 러닝 클러스터 알고리즘인 K-평균은 모델로 간주되지 않을 수 있지만 고객 위험 등급에 적용하면 상당한 위험을 초래할 수 있습니다.
이러한 설명은 은행이 분석 도구가 모델인지 비모델인지 여부를 판단하는 데 중점을 두지 않는 OCC 사고의 진화를 나타냅니다. 대신 분류에 관계없이 위험 관리의 적절성에 중점을 둡니다. 이는 모델 정의에 과도한 비중을 두면서, 복잡하고 중요한 비모델 분석 도구에 대한 거버넌스 및 통제가 오히려 약화되는 예상치 못한 결과를 초래했을 수 있다는 OCC 측의 우려를 반영한 것입니다. 모델/비모델 결정이 지나치게 강조될 수도 있습니다. 이 핸드북의 설명은 "BSA/AML 시스템의 특성에 관계없이 건전한 위험 관리가 중요하다"라고 명시한 최근 BSA/AML의 MRM에 대한 기관 간 성명을 반영합니다.
앞서 논의한 내용은 건전한 위험 관리를 위해서는 위험에 따라 리소스를 할당하고 위험한 영역에 상대적으로 더 많은 관심을 기울여야 한다는 OCC의 일반적인 원칙을 반영합니다. 2011년 지침에서는 초기 검증 활동의 범위와 엄격성이 모델의 잠재적 위험에 따라 달라질 수 있도록 허용했지만, 위험에 민감한 MRM을 명시적으로 언급하지는 않았습니다. 이 핸드북은 은행이 초기 검증을 넘어 MRM을 위한 리소스를 효과적으로 할당하는 방법을 개발할 수 있는 방법에 대한 추가 지침을 제공합니다. 여기에는 모델 검증을 위한 위험 기반 접근 방식이 명시되어 있으며, 이는 은행의 위험 프로필에 적합한 빈도로 수행되어야 합니다. 지속적인 모니터링의 빈도와 깊이는 관련된 위험에 상응해야 합니다.
대규모 금융 회사들의 광범위한 모델 재고를 고려할 때, 많은 조직이 앞서 언급한 내용에 따라 위험에 민감한 MRM 요건을 구현하려고 노력하는 것을 관찰했습니다. 모델의 위험 수준에 따라 검증 활동의 폭, 깊이, 우선순위 및 빈도가 결정될 수 있습니다. 예를 들어 위험도가 높은 모델은 2년마다 주기적으로 전체 재검증을 수행해야 하는 반면, 위험도가 낮은 모델은 그보다 덜 자주 검증할 수 있습니다. 마찬가지로 모델의 위험 수준은 테스트의 범위와 성격 또는 복잡한 모델에 허용되는 투명성 수준에 영향을 미칠 수 있습니다.
예상대로 위험도에 따라 모델을 차별화하지 못하는 기업은 위험에 민감한 MRM을 구현할 수 없습니다. 핸드북은 모델 위험 평가 방법론이 “모델 유형과 목표, 복잡성, 불확실성 및 중요성, 상호 관계, 데이터, 역량과 한계에 따라 달라지는 경우가 많다”고 설명합니다. 이 핸드북은 모델 등급을 평가할 때 AI 모델에 대한 설명 가능성을 고려해야 한다고 강조합니다.
이 핸드북은 표준 8가지 OCC 위험 유형이 모델 위험에 의해 어떤 영향을 받을 수 있는지 명확하게 설명합니다. 특히 모델 위험은 신용, 금리, 유동성, 가격, 운영, 규정 준수, 전략 및 평판과 같은 OCC 위험 범주에 영향을 미칠 수 있는 별개의 위험으로 간주되어야 합니다. 예를 들어, 변화하는 거시 경제 환경, 시장 상황, 소비자 행동에 대한 모델 입력 및 가정을 조정하지 못하면 은행의 전략적 위험이 증가하여 재정적 손실과 평판 위험으로 이어질 수 있습니다.
은행의 모델 사용과 관련된 각 위험의 양을 결정하기 위해 핸드북은 은행이 사용하는 모델의 성격, 범위, 복잡성 등 세부적인 고려 사항을 제공합니다. 또한 모델이 의사 결정에 기여하는 정도와 모델 입력 및 가상의 불확실성 또는 부정확성 수준도 고려합니다. 따라서 기업은 모델 위험을 조직 전체의 다른 위험 평가에 어느 정도 통합해야 하는지 고려해야 합니다.
기업은 또한 이 접근 방식을 모델 위험 보고 프레임워크에 통합함으로써 이점을 얻을 수 있습니다. 이를 위해 기업은 모델 사용을 분류하고 각 모델 사용을 관련 리스크에 매핑하는 등 모델 사용의 다양한 데이터 차원을 파악할 수 있는 명확한 모델 사용 분류 체계가 필요합니다. 예를 들어, 규정 준수 위험 및 AML 규정 준수 프로그램에 사용되는 모델은 규정 준수 위험과 잠재적인 규정 미준수로 인한 평판 위험에 영향을 미칩니다.
마지막으로, 핸드북은 경영진이 운영할 수 있는 한계를 정의하는 모델 위험에 대한 위험 성향의 중요성도 강조합니다. 또한 위험을 전파하는 '예외, 관리 재정의, 정책 편차 및 모델 사용 제한'의 사용을 제한해야 할 필요성도 강조합니다.
이 핸드북은 모델 도구와 비모델 도구 모두에 대한 건전한 AI 위험 관리에 관한 세부적인 기대치를 제시합니다. 여기에는 AI 사용 목록, 위험 식별, 효과적인 기술 통제, AI 사용이 건전하고 공정하며 편견 없는 결과를 제공하는지 검증하기 위한 효과적인 프로세스가 포함됩니다. 그러나 이후 핸드북의 세부 참조 내용은 모델로 분류된 AI에만 적용됩니다. 따라서 AI 모델에 대해 설명된 활동을 모델이 아닌 AI에 어느 정도 사용해야 하는지는 위에서 설명한 비모델 위험 거버넌스에 대한 위험 민감성 원칙에 따라 결정해야 합니다.
이 핸드북은 은행의 MRM 정책에 AI 접근법에 대한 개념적 이해를 문서화하는 표준을 포함해야 한다는 기대치를 제시합니다. 이는 복잡한 AI 모델의 경우 기본 이론과 논리가 투명하지 않을 수 있기 때문에 중요합니다. 반면에 일부 AI 접근 방식은 개념적으로는 단순하지만 휴리스틱적 특성(즉, 통계나 수학적 이론이 아닌 직관에 기반한)으로 인해 상당한 위험을 초래할 수 있습니다. 예를 들어, 거리 기반 클러스터링은 데이터의 스케일링에 따라 정반대의 결과를 초래할 수 있습니다.
이와 관련하여, 개념적 이해는 모델 하이퍼매개변수와 그 보정에 대한 접근 방식을 포함해야 합니다. 이는 개념 설계가 눈에 띄지 않을 수 있는 지속적인 개선 주기(지속적인 학습)의 AI 접근 방식에 특히 중요합니다. 재매개변수화 및 재보정 프로세스에 대한 세부 정보와 일상적인 업데이트로 간주될 수 있는(따라서 검증이 필요하지 않은) 모델 변경에 대한 허용 가능한 경계를 포함하여 상세하고 최신의 문서를 유지하는 것이 중요합니다.
검증과 관련하여 핸드북에서는 정책과 절차에 AI 모델의 기본 알고리즘 및 기타 자주 업데이트되는 매개변수를 포함하여 우선순위, 범위 및 검증 빈도가 포함되어야 한다고 명시하고 있습니다. 빈번한 업데이트는 모델 정확도에 도움이 될 수 있지만 백테스팅 및 모니터링과 같은 활동을 제어하기 위한 동적 접근 방식이 필요합니다. 의사 결정 트리 기반 알고리즘의 경우 재보정으로 인해 정량적, 정성적 결과가 달라질 수 있습니다. 또한 데이터 패턴이 모델 업데이트와 다른 주기로 변경되는 경우 잦은 업데이트는 시간 및 처리 능력 측면에서 낭비가 될 수 있습니다. 데이터의 유동성과 잠재적인 모델 변경의 정도는 검증의 빈도와 범위를 결정할 때 고려해야 합니다.
이 핸드북은 AI 모델의 개념적 건전성 평가가 어려울 수 있음을 인식하고, 복잡한 AI 모델의 위험을 관리할 때 중요한 고려 사항으로 투명성과 설명 가능성을 강조합니다. OCC의 기본 원칙은 은행이 모델의 용도에 맞게 설명 가능성 수준을 조정해야 한다는 것입니다. 예를 들어 신용 심사에 사용되는 AI 모델은 해당 모델이 공정하고 의도한 대로 작동한다는 것을 적절히 입증하기 위해 상대적으로 높은 수준의 문서화 및 검증 기준을 적용받게 됩니다. 이와는 대조적으로, 원격 예금 캡처에 사용되는 AI 이미지 인식은 그다지 많은 조사가 필요하지 않습니다.
편향된 입력 데이터, 데이터 편향을 증폭시키는 알고리즘, 모델 결과의 편향된 사용으로 인해 공정 대출 위험이 발생할 수 있습니다. 모델에 점점 더 의존하는 금융회사의 공정 대출 프로그램에서 MRM 기능은 필수적인 역할을 해야 합니다. 이 핸드북은 이러한 역할을 강화하고 은행의 MRM 프레임워크에서 공정 대출 고려 사항에 대한 자세한 기대치를 제시합니다. 여기에는 모델이 이질적인 대우나 상이한 영향을 통해 차별을 유발하거나 조장하지 않도록 보장하는 기준을 포함하여 공정한 대출 고려 사항을 포함해야 하는 MRM 정책을 명시적으로 언급하고 있습니다.
보다 구체적으로 은행의 MRM 프레임워크에는 잠재적인 차별적 결과 또는 결과를 모니터링하기 위한 통제를 포함하여 모델 개발, 구현 및 사용에 대한 통제가 포함되어야 합니다. 공정 대출 문제의 영향을 받는 모델은 종종 거래 모니터링 모델과 같이 자주 업데이트되는 동적 데이터에 의존하는 것으로 나타났습니다.
공정하고 편향되지 않은 결과를 산출하는 모델도 입력 데이터가 편향되면 이러한 측면에서 실패할 수 있습니다. 따라서 이러한 모델에 대한 지속적인 모니터링 프레임워크에는 데이터의 편향성에 대한 모니터링이 포함되어야 합니다. 마찬가지로, 핸드북은 MRM 프레임워크가 데이터 또는 모델 결과의 편향을 식별하기 위해 모델 검증을 위한 적절한 표준을 수립해야 한다고 명시하고 있습니다. 마지막으로, MRM 프레임워크는 관리 오버레이 및 조정을 통해 공정한 대출 위험이 발생할 수 있다는 점을 인식해야 합니다.
또한 이 핸드북에서는 공정 대출 법률 준수 여부를 평가하기 위해 구축된 모델에 대해서도 언급하고 대체 테스트 접근 방식에 대해 논의합니다. 신용 심사와 같은 관련 정책이 이러한 모델 개발을 이끄는 경우가 많기 때문에, 적합한 모델을 찾지 못하면 기업이 공정 대출 위험을 효과적으로 평가하는 능력이 저해될 수 있습니다. 같은 이유로, 모델은 특정 기간의 정책을 반영하도록 구축되므로 표준 백테스팅은 불가능합니다. 또는 수동 파일 검토를 수행하여 데이터 오류를 강조하고 통계 모델에 포함되지 않은 요인을 식별해야 합니다. 또한 수동 파일 검토에서는 이러한 추가 요인이 금지된 기준 그룹 구성원과 대조 그룹 구성원 간의 나머지 차이를 설명할 수 있는지 평가합니다.
중요한 점은, 이러한 노력이 효과를 발휘하려면 적절한 규모로 수행되어야 하며, 최근 개정된 OCC의 ‘샘플링 방법론’ 책자가 이에 필요한 지침을 제공합니다.
이 핸드북은 AI 모델이 널리 사용되고 있음을 인식하고 AI 사용이 건전하고 공정하며 편향되지 않은 결과를 제공하는지 검증하기 위한 효과적인 프로세스를 요구합니다. AI 모델은 일반적으로 더 복잡하기 때문에 데이터, 모델링 및 결과의 편향성을 쉽게 숨길 수 있습니다.
OCC는 AI 접근 방식의 일반적인 복잡한 상호 작용이 의도하지 않은 영향이나 결과를 초래할 수 있기 때문에 개별 변수의 비편향성을 입증하는 것만으로는 충분하지 않다고 말합니다. AI 모델이 암묵적으로 고려하는 복잡한 입력 조합은 금지된 클래스의 프록시 역할을 할 수 있습니다. 이러한 암묵적 프록시에 의존하는 모델은 관찰되지 않은 금지 특성에 의해 입력과 결과가 영향을 받으면서 발생한 허위 관계를 반영한다고 할 수 있습니다.
또한 편향성 평가를 위해 모델의 출력을 적절하게 정의하는 것도 필수적입니다. 분류 모델의 명목상 출력은 이진 레이블일 수 있지만, 실제 출력은 일반적으로 각 결과에 대한 추정 확률입니다. 모델이 편향되지 않은 결과를 제공하는지 여부는 사용 및 분석되는 출력 유형에 따라 달라질 수 있습니다. 예를 들어 신용 인수 모델은 편향되지 않은 연체 및 비연체 예상 상태를 제공할 수 있지만 이러한 상태에 대한 편향된 확률을 제공할 수도 있습니다. 예상 상태에 대한 분석은 잠재적인 문제를 드러내지 않으며, 후자가 인수 결정을 알리는 데 사용되는 경우 문제가 될 수 있습니다.
지난 10년 동안 금융 기관이 운영의 중요한 측면을 서드파티 서비스 제공업체에 의존하는 사례가 증가했습니다. 여기에는 서드파티 모델 및 데이터를 사용하고 모델 개발 및 위험 관리 서비스를 수행하기 위해 서드파티와 협력하는 것이 포함됩니다. 이러한 맥락에서 이 핸드북은 서드파티 관계에 관한 2020년 FAQ를 반영하여 상세한 서드파티 위험 관리 고려 사항을 제공합니다.
핸드북에서 명시적인 참조와 중요한 설명을 제공하는 것으로 보이는 한 가지 영역은 벤더가 자금을 지원하는 유효성 검사 처리입니다. 핸드북은 “은행 경영진은 서드파티가 수행하는 검증 및 리스크 관리 활동의 결과를 이해하고 평가해야 한다... 은행 경영진은 각 서드파티 모델이 의도한 대로 작동하는지, 기존 검증 활동이 충분한지 판단하기 위해 리스크 기반 검토를 수행해야 한다”고 명시하고 있습니다.
앞의 문구는 은행이 위험 기반 서드파티 모델 검토에 공급업체가 지원하는 검증을 사용할 수 있음을 명확히 합니다. 이러한 설명은 공급업체가 자금을 지원하는 검증을 복제하는 데 불필요한 리소스를 투입하지 않도록 함으로써 MRM 기능을 지원합니다. 그럼에도 불구하고 은행은 이러한 검증에 대해 적절한 실사를 수행해야 합니다. 이 핸드북은 은행 경영진이 공급업체가 제공한 검증 보고서를 액면 그대로 받아들여서는 안 되며 '모델에 사용된 프로세스와 코드를 평가할 때 검증자가 경험한 모든 한계'를 이해해야 한다고 경고합니다.
모델의 중요성이 커지고 금융 서비스 회사 전반에서 모델이 다양한 위험 유형에 미치는 영향이 커짐에 따라 모델 위험 관리는 여전히 위험 관리의 핵심입니다. 모델 위험 관리는 공정 대출 문제와 인공 지능 사용 증가와 관련된 위험을 해결하는 데 중요합니다.
이 핸드북의 발간은 감독자들이 MRM을 중요하게 여기고 있음을 알리고, 은행 조직이 MRM 프로그램을 평가하고 강화하는 데 유용한 가이드를 제공합니다.