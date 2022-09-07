El 18 de agosto de 2022, la Oficina del Contralor de la Moneda (OCC) publicó su folleto de gestión de riesgo de modelo (MRM) del Manual del Contralor en el Boletín OCC 2021-39 (manual de 2021). Como se menciona en la nota de la versión, el manual de 2021 presenta los conceptos y principios generales de la gestión del riesgo de modelos y proporciona pautas para los examinadores en la planificación y realización de exámenes sobre la gestión del riesgo de modelos.
El manual proporciona insight sobre el enfoque actual y esperado de la OCC para la supervisión del riesgo de modelo. Los insights resultan valiosos para las empresas que buscan cumplir con las expectativas de supervisión de la OCC para MRM y las empresas sujetas a la supervisión de MRM por parte de otros reguladores bancarios.
Si bien no reemplaza la Guía de supervisión sobre gestión de riesgos de modelos de 2011 publicada por la OCC como OCC 2011-12, el manual de 2021 extrae elementos clave de la guía de 2011 y proporciona explicaciones complementarias, así como interpretaciones y aclaraciones adicionales significativas.
La ampliación de la guía de 2011 representa la evolución de las prácticas de examen de gestión del riesgo de modelos en consonancia con los desarrollos de la industria y las emisiones provisionales de OCC. Estos incluyen la reciente declaración interinstitucional sobre MRM para el cumplimiento de la Ley de Secreto Bancario/antilavado de dinero (BSA/AML) (Declaración interinstitucional sobre MRM en BSA/AML). Y el FAQ 2020 sobre relaciones con terceros, que se considera para su inclusión en la propuesta de orientación interinstitucional sobre gestión de riesgos de terceros (TPRM).
El manual aclara la definición de un modelo en la guía de 2011. Señala que los modelos se caracterizan por “incertidumbre asociada con la estimación de los productos de un modelo” en lugar de por “resultados definidos por las reglas deterministas” que producen las herramientas analíticas no modelo. Esta aclaración contribuye al proceso de inventario del modelo al aclarar el papel de las estimaciones de salida inciertas en la distinción de los modelos de las herramientas analíticas no modelo.
Si bien la OCC ha aumentado las expectativas de supervisión para la gestión de riesgos de los modelos en relación con las herramientas analíticas que no son de modelos, el manual aclara que un enfoque excesivamente mecánico que no considere el riesgo y la complejidad de las herramientas analíticas que no son de modelos puede promover el riesgo de modelos.
Específicamente, el manual establece que la gestión de riesgos debe aplicar y ser proporcional al alcance y complejidad de un enfoque cuantitativo, independientemente de si cumple o no la definición de modelo. En otras palabras, el asunto crítico es aplicar un nivel adecuado de gestión y controles de riesgos, independientemente de la clasificación de un enfoque. Por ejemplo, el algoritmo de agrupación en clúster de machine learning k-means puede no verse como un modelo, pero puede representar un riesgo sustancial cuando se aplica a la calificación de riesgo del cliente.
Estas declaraciones representan una evolución en el pensamiento de OCC que reduce el énfasis en si un banco determina si una herramienta analítica es un modelo o no modelo. En cambio, se centra en la adecuación de la gestión de riesgos, independientemente de la categorización. Esto refleja la preocupación por parte de OCC de que el énfasis puesto en la definición de modelos podría tener la consecuencia no deseada de reducir la gobernanza y los controles en torno a herramientas analíticas complejas y críticas no relacionadas con modelos. También puede haber un énfasis excesivo en las determinaciones modelo/no modelo. La aclaración del manual también se hace eco de la reciente Declaración interinstitucional sobre GRM en BSA/AML, que establece que "independientemente de cómo se caracterice un sistema BSA/AML, la gestión de riesgos sólida es importante".
La discusión anterior refleja el principio general de la OCC de que una buena gestión del riesgo requiere asignar recursos según el riesgo, recibiendo relativamente mayor atención a las áreas más riesgosas. Aunque la guía de 2011 permitía que el alcance y el rigor de las actividades de validación iniciales dependieran del riesgo potencial del modelo, no se refería explícitamente a la GRM sensible al riesgo. El manual ofrece más orientación sobre cómo los bancos pueden desarrollar medios para asignar eficazmente los recursos para MRM más allá de la validación inicial. Menciona explícitamente el enfoque basado en el riesgo para las validaciones de modelos, que deben realizarse con una frecuencia adecuada para el perfil de riesgo de un banco. La frecuencia y profundidad del monitoreo continuo debe ser proporcional a los riesgos involucrados.
Dados los extensos inventarios de modelos de las grandes empresas financieras, observamos que muchas organizaciones han tratado de implementar requisitos de MRM sensibles al riesgo consistentes con las declaraciones anteriores. El nivel de riesgo de un modelo puede determinar el alcance, la profundidad, la prioridad y la frecuencia de las actividades de validación. Por ejemplo, un modelo de alto riesgo puede requerir una revalidación completa periódica cada dos años, mientras que los bancos pueden validar modelos de bajo riesgo con menos frecuencia. Del mismo modo, el nivel de riesgo de un modelo podría afectar el alcance y la naturaleza de las pruebas o el nivel aceptable de transparencia para modelos complejos.
Como era de esperar, las empresas que no logran diferenciar los modelos según el riesgo no pueden implementar una MRM sensible al riesgo. El manual dice que las metodologías de calificación de riesgo del modelo “a menudo se basan en el tipo de modelo y los objetivos; complejidad, incertidumbre y materialidad; interrelaciones; datos; y capacidades y limitaciones”. El manual destaca además que las valoraciones de los modelos deberían considerar la explicabilidad para los modelos de IA.
El manual aclara cómo los ocho tipos de riesgo estándar de OCC pueden verse afectados por el riesgo de modelo. Específicamente, el riesgo de modelo debe considerarse un riesgo distinto que puede influir en las categorías de riesgo de OCC: crédito, tasa de interés, liquidez, precio, operativo, cumplimiento, estratégico y reputación. Por ejemplo, el riesgo estratégico de un banco puede aumentar debido a que no se ajustan las entradas y los supuestos del modelo para un entorno macroeconómico cambiante, las condiciones del mercado y los comportamientos de los consumidores, lo que se traduce en pérdidas financieras y riesgo de reputación.
Para determinar la cantidad de cada riesgo asociado con el uso del modelo del banco, el manual proporciona consideraciones detalladas, como la naturaleza, el alcance y la complejidad de los modelos que utiliza el banco. También considera la medida en que los modelos contribuyen a la toma de decisiones y el nivel de incertidumbre o inexactitud de las entradas y suposiciones del modelo. Por lo tanto, una empresa debe considerar en qué medida el riesgo de modelo debe incorporarse en otras evaluaciones de riesgos en toda la organización.
Las empresas también pueden obtener beneficio de la incorporación de este enfoque en su infraestructura de reporting de riesgos. Al hacerlo, las empresas necesitan una taxonomía clara de uso del modelo para clasificar el uso del modelo, capturando diferentes dimensiones de datos del uso del modelo, incluida la asignación de cada uso del modelo a los riesgos asociados. Por ejemplo, los modelos utilizados en los programas de riesgo de cumplimiento y AML influyen en el riesgo de cumplimiento y el riesgo de reputación que plantea el posible incumplimiento.
Finalmente, el manual también enfatiza la importancia del apetito de riesgo para el riesgo de modelo que define los límites dentro de los cuales la gerencia puede operar. También destaca la necesidad de limitar el uso de "excepciones, anulaciones de gestión, desviaciones de políticas y límites en el uso del modelo" que propagan el riesgo.
El manual establece expectativas detalladas en torno a una gestión sólida de los riesgos de la IA, tanto para las herramientas basadas en modelos como para las que no lo están. Esto incluye un inventario de usos de IA, identificación de riesgos, controles tecnológicos efectivos y procesos efectivos para validar que el uso de IA proporciona resultados sólidos, justos e imparciales. Sin embargo, las referencias detalladas posteriores en el manual se refieren solo a la IA clasificada como modelos. Por lo tanto, el alcance en que las actividades descritas para los modelos de IA deben utilizarse para los no modelos de IA debe determinarse con base en el principio sensible al riesgo para la gobernanza del riesgo no modelo discutido anteriormente.
El manual establece la expectativa de que la política de MRM de un banco incluya estándares para documentar la comprensión conceptual de los enfoques de IA. Esto es importante porque la teoría y la lógica subyacentes podrían no ser transparentes para modelos de IA. Por otro lado, algunos enfoques de IA son conceptualmente simples, pero pueden representar un riesgo sustancial debido a su naturaleza heurística (es decir, basados en la intuición en lugar de teorías estadísticas o matemáticas). Por ejemplo, la agrupación en clústeres basada en la distancia podría conducir a resultados opuestos dependiendo de la escala de los datos.
De manera relacionada, la comprensión conceptual debe cubrir los hiperparámetros del modelo y el enfoque para su calibración. Esto es particularmente importante para los enfoques de IA en un ciclo constante de mejora (entrenamiento continuo), en el que el diseño conceptual podría pasar desapercibido. Es crítico mantener una documentación detallada y actualizada, incluidos los detalles sobre los procesos de reparametrización y recalibración y los límites aceptables para los cambios en el modelo que pueden considerarse actualizaciones de rutina (por lo tanto, no requieren validación).
En cuanto a la validación, el manual establece que las políticas y los procedimientos deben incluir la priorización, el alcance y la frecuencia de validación, incluidos los algoritmos subyacentes de los modelos de IA y otros parámetros que se actualizan con frecuencia. La actualización frecuente puede tener un beneficio en la precisión del modelo, pero necesita un enfoque dinámico para controlar actividades como la prueba de retroalimentación y el monitoreo. A veces, como en algoritmos basados en árboles de decisión, la recalibración puede conducir a resultados cuantitativos y cualitativos diferentes. La actualización frecuente también puede ser un desperdicio en términos de tiempo y potencia de procesamiento si los patrones de datos cambian con una frecuencia diferente a la actualización del modelo. La fluidez de los datos y el alcance de los posibles cambios en el modelo deben determinar la frecuencia y el alcance de la validación.
Reconociendo que la evaluación de la solidez conceptual de los modelos de IA puede ser un reto, el manual destaca la transparencia y la explicabilidad como consideraciones críticas en la gestión del riesgo de los modelos complejos de IA. El principio rector del OCC es que los bancos deben adaptar el nivel de explicabilidad al uso del modelo. Por ejemplo, los modelos de IA utilizados en la suscripción de créditos estarían sujetos a estándares relativamente altos de documentación y validación para demostrar adecuadamente que el modelo es justo y funciona según lo previsto. Por el contrario, un reconocimiento de imágenes de IA utilizado para la captura remota de depósitos no requiere tanto escrutinio.
Los riesgos de préstamos justos pueden introducirse a través de datos de entrada con sesgo, algoritmos que amplifican los sesgos de los datos y el uso con sesgo de los resultados del modelo. Las funciones de MRM deberían desempeñar un papel esencial en el programa de préstamos justos en las entidades financieras que cada vez dependen más de modelos. El manual refuerza este papel y establece expectativas detalladas sobre las consideraciones de préstamos justos en la infraestructura de MRM de un banco. Se hace referencia explícita a las políticas MRM que deben incluir consideraciones de préstamos justos, incluyendo estándares para garantizar que los modelos no causen o promuevan discriminación a través de un trato dispar o de impacto dispar.
Más específicamente, la infraestructura MRM de un banco debe incluir controles para el desarrollo, implementación y uso de modelos, incluidos controles para monitorear posibles resultados discriminatorios. Observamos que los modelos afectados por problemas de préstamos justos a menudo se basan en datos dinámicos y actualizados con frecuencia, como los modelos de monitoreo de transacciones.
Un modelo que produce resultados justos y sin sesgo podría fallar a este respecto cuando la entrada se desvía. Por estas razones, la infraestructura de monitorización continua de estos modelos debería incluir la vigilancia de sesgos en los datos. De manera similar, el manual establece que la infraestructura MRM debe establecer estándares apropiados para la validación de modelos que identifiquen sesgos en los datos o resultados del modelo. Finalmente, el marco de MRM debe reconocer que los riesgos de préstamos justos pueden introducirse a través de superposiciones y ajustes de gestión.
El manual también menciona modelos diseñados exclusivamente para evaluar el cumplimiento de las leyes de préstamo justo y analiza enfoques alternativos de prueba. Dado que las políticas relevantes (como la suscripción de créditos) a menudo guían el desarrollo de dichos modelos, la incapacidad de encontrar un buen ajuste del modelo puede afectar la capacidad de una empresa para evaluar los riesgos de préstamos justos de manera efectiva. Por la misma razón, no es posible el backtesting estándar, ya que los modelos están diseñados para reflejar las políticas de un periodo determinado. Alternativamente, se deben realizar comentarios manuales de archivos para destacar errores de datos e identificar factores no incluidos en el modelo estadístico. Las comentarios manuales de archivos también evalúan si esos factores adicionales podrían explicar las diferencias restantes entre los miembros del grupo de base prohibida y los miembros del grupo de control.
Es importante destacar que estos esfuerzos deben dimensionarse adecuadamente para que sean efectivos, y el folleto de Metodologías de muestreo de OCC actualizado recientemente proporciona la orientación necesaria.
Al reconocer el uso frecuente de los modelos de IA, el manual exige procesos eficaces para validar que el uso de la IA proporciona resultados sólidos, justos e imparciales. Como suelen ser más complejos, los modelos de IA pueden ocultar fácilmente sesgos en los datos, la modelización y los resultados.
El OCC establece que no es suficiente establecer la imparcialidad de las variables individuales, ya que las interacciones complejas típicas de los enfoques de IA pueden generar impactos o resultados no deseados. Las combinaciones complejas de entradas consideradas implícitamente por los modelos de IA pueden servir como proxies para clases prohibidas. Los modelos que se basan en tales proxies implícitos deben representar una relación espuria que resultó de entradas y resultados afectados por características prohibidas no observadas.
Además, definir adecuadamente la salida de un modelo para la evaluación de sesgos es esencial. Si bien el resultado nominal de un modelo de clasificación puede ser una etiqueta binaria, el resultado real suele ser una probabilidad estimada de cada resultado. El hecho de que el modelo proporcione resultados sin sesgo puede depender del tipo de resultados que se utilice y analice. Por ejemplo, un modelo de suscripción de crédito puede proporcionar estados proyectados imparciales de morosidad y no morosidad, pero podría proporcionar probabilidades con sesgo de estos estados. Un análisis del estado proyectado no revelaría los problemas potenciales y podría ser problemático si este último se utiliza para informar las decisiones de suscripción.
En la última década, hemos sido testigos de una creciente dependencia de las instituciones financieras respecto a proveedores de servicios externos para aspectos críticos de sus operaciones. Esto incluye el uso de modelos y datos de terceros y la contratación de terceros para realizar servicios de desarrollo de modelos y gestión de riesgos. En este contexto, el manual proporciona consideraciones detalladas sobre la gestión de riesgos de terceros, reflejando en gran medida las preguntas frecuentes de 2020 sobre las relaciones con terceros.
Un área en la que el manual parece ofrecer referencias explícitas y aclaraciones importantes es el tratamiento de las validaciones financiadas por proveedores. El manual establece que "la gerencia del banco debe comprender y evaluar los resultados de las actividades de validación y control de riesgos que realizan terceros... La gerencia del banco debe realizar una revisión basada en el riesgo de cada modelo de terceros para determinar si está funcionando según lo previsto y si las actividades de validación existentes son suficientes"
La afirmación anterior aclara que los bancos pueden emplear validaciones financiadas por proveedores en comentarios de modelos de terceros basados en riesgos. Estas aclaraciones ayudan a las funciones de MRM al evitar dedicar recursos innecesarios a replicar validaciones financiadas por proveedores. No obstante, se espera que los bancos realicen la debida diligencia adecuada de esas validaciones. El manual advierte que la gerencia del banco no debe tomar los informes de validación financiados por proveedores al pie de la letra y debe comprender "cualquiera de las limitaciones experimentadas por el validador al evaluar los procesos y códigos utilizados en los modelos".
La gestión del riesgo modelo sigue siendo fundamental para la gestión de riesgos, dada la creciente importancia de los modelos y el creciente impacto de los modelos en los diversos tipos de riesgo en las empresas de servicios financieros. La gestión de riesgos por modelo es importante para abordar las preocupaciones sobre el préstamo justo y los riesgos asociados al creciente uso de la inteligencia artificial.
La publicación del manual señala la importancia que los supervisores otorgan a la MRM y proporciona una guía útil para que las organizaciones bancarias evalúen y fortalezcan sus programas de MRM.