News

Ikke glem modellrisikoen!

December 20, 2018

En modell er en forenkling av virkeligheten og brukes blant annet til å forklare fenomener, identifisere mønstre og forutsi hendelser eller preferanser. Modeller er nyttige og i takt med økt prosesseringskraft, får de stadig større utbredelse. Med modellene følger imidlertid også risiko, både for feil resultater og feiltolkninger.

Hva er modellrisiko og er den noe å bry seg om?

I denne artikkelen skal jeg gi en overordnet presentasjon av modellrisiko og gi noen anbefalinger om hvordan virksomheter kan sikre seg at de har styring over risikoen. Før vi kommer så langt er det viktig å se litt nærmere på hva en modell er og hva modellrisiko egentlig omfatter. Office of the Comptroller of the Currency, tilsynsmyndigheten for finansbransjen i USA, definerer modell som følger:

En modell er en kvantitativ metode, system eller tilnærming som bruker statistiske, økonomiske, finansielle eller matematiske teorier, teknikker og forutsetninger til å gjøre om datainput til kvantitative estimater.

Dette er en veldig bred definisjon som omfatter et stort antall prosesser og beregninger. I praksis må virksomheter prioritere hvilke av modellene som skal gis størst oppmerksomhet og underlegges strengest styring. Definisjonen er likevel nyttig for å forstå omfanget av modellrisiko.

En modell består av tre komponenter; input (forutsetninger og data), prosessering (formler som omgjør input til estimater) og rapportering (omgjøring av estimater til forretningsinformasjon). Vi snakker altså om et sett av formler som omdanner forutsetninger og data til forretningsinformasjon.

Modeller er i bruk innenfor de fleste bransjer og støtter en rekke ulike oppgaver. Innenfor finansbransjen brukes modeller blant annet i stresstesting, til måling av risiko, i prisings- og kredittvurderingsprosesser og til kapitalallokering. Her er modellrisiko ansett som en del av den operasjonelle risikoen Finanstilsynet pålegger virksomhetene å vurdere kvaliteten på. En vanlig bruk av modeller er støtte til å optimalisere allokeringen av ressurser, for eksempel til å forutsi forbruks- eller forbrukermønstre eller beregne optimal distribusjon innenfor varehandelen. Modeller er også i bruk på samfunnsnivå, for eksempel i den makroøkonomiske styringen og i klimaforskningen.

Modellrisiko er produkt av sannsynligheten for at hendelser eller feil inntreffer, og konsekvensen av dette. Modellrisiko kan oppstå innenfor selve modellen, knyttet til input, prosessering eller rapportering, eller i form av feiltolkninger eller bevisst misbruk av resultatene.

Identifikasjon og vurdering av modellrisiko

Som med annen operasjonell risiko, starter vurderingen av modellrisiko med å kartlegge mulige feil eller hendelser. Feil eller hendelser kan oppstå i forbindelse med:

  • Input: Dette omfatter feil i forutsetningene (for eksempel feil antagelser eller manglende oppdatering) og feil knyttet til data (for eksempel feil i dataformat, komplekse og ustrukturerte datasett eller feil i manuell innlesing)
  • Prosessering: Dette omfatter alt som skjer «inne i» modellen og kan dreie seg om feil i formler, forenklinger som gir feil resultater, svikt i kalkuleringer eller feil på grunn av manuelle beregninger.
  • Rapportering: Feil her er ofte knyttet til forenklinger eller snarveier som gir upresise resultater. Det kan også oppstå feil på grunn av ulik kompetanse og fokus hos de som kjører beregninger og de som skal bruke resultatene i forretningsmessige beslutninger.
  • Feil- eller misbruk av resultater: Dette omfatter både bevisst misbruk av resultater og at resultater feiltolkes eller gis for stor gyldighet på grunn av manglende forståelse av premissene og modellens begrensninger.

For å kunne prioritere mellom risikoene og sikre at fokuset rettes mot de viktigste feilene, er det viktig å vurdere hvor sannsynlig det er at hendelsene eller feilene inntreffer, og hvor stor konsekvens de vil få. Hendelser eller feil i modeller vil typisk gi finansielle konsekvenser. For eksempel kan feil i en modell som beregner kapitalavsetninger i en bank gjøre at bankens risikoeksponering blir overvurdert og at det allokeres for mye kapital. I siste instans har dette en finansiell konsekvens for banken i form av lavere avkastning på bankens kapital. Innenfor dagligvarebransjen kan en modellfeil innebære at det distribueres for mye av enkelte typer varer, noe som igjen gir økt svinn og redusert lønnsomhet.

Feil eller hendelser kan imidlertid også skade en virksomhets omdømme (noe som senere også kan gi finansielle tap). For eksempel vil feil i modellene til virksomheter som er basert på salg av innsikt om forbrukeres vaner og preferanser kunne føre til at kjøperne av informasjonen prioriterer feil. I neste omgang vil dette skade tilliten til den innsikten som selges og gjøre at kundene velger alternative leverandører.

Modellrisikoens rolle i finanskrisen

Et av de mest spektakulære eksemplene på hva feil i modeller kan føre til stammer fra finanskrisen i 2007/2008.

Tidlig på 2000-tallet hadde matematikeren David X. Li som den gang jobbet for JPMorgan Chase, etablert en formel som ble kjent som «Gaussian copula function». Formelen ble brukt til å beregne risikoen i obligasjoner som var basert på privatpersoner og bedrifters gjeld. Formelen inngikk etter hvert i modellene til en lang rekke banker, ratingbyråer og finansinstitusjoner over hele verden.

Det sentrale elementet i formelen var knyttingen mellom prisene på såkalte «Credit Default Swaps», en forsikring mot mislighold som ble omsatt på det åpne markedet, og hvordan sannsynligheten for mislighold ble priset inn i obligasjoner. Denne knytningen gjorde prisingen av obligasjoner mye enklere enn tidligere og fjernet tilsynelatende usikkerheten rundt hvor mye risiko ulike obligasjoner hadde i seg. Tilnærmingen fungerte strålende i en periode på 2000-tallet da de amerikanske boligprisene var jevnt stigende, og medførte en eksplosiv økning i denne typen obligasjoner.

Når boligmarkedet begynte å falle og stadig flere amerikanere ble tvunget til å gi opp husdrømmen, ble det imidlertid klart at modellene ikke hadde gitt et riktig bilde av hvilken risiko det innebar å eie denne typen obligasjoner. I 2008 brøt store deler av det internasjonale finansmarkedet sammen, og resten er historie.

Hvordan kunne det egentlig gå så galt? I en artikkel «Recipe for Disaster: The formula that killed Wall Street” peker forfatteren Felix Salmon blant annet på at de som tok forretningsmessige beslutninger generelt ikke forsto modellene eller de «kvantitative» argumentene for modellenes svakheter. Dessuten tjente aktørene svært gode penger på obligasjonene. Etter at boligprisene hadde begynt å falle fôret mange aktører modellene med eldre data for at risikoen skulle framstå som lav og dermed holde prisen på obligasjoner nede. Kort oppsummert: Feil forutsetninger, feil input (også bevisst), og manglende forståelse/ feiltolking av resultater.

Håndtering av modellrisiko

Det er ikke mulig å fullstendig eliminere modellrisiko. Virksomheter bør derfor fokusere på å definere hvilken mengde risiko de er komfortable med å bære (risikoappetitt) og sette mest mulig konkrete rammer for dette. Tiltak for å redusere risiko bør primært rettes mot de bakenforliggende årsakene, men kan også tilordnes feilene eller hendelsene direkte. Risikoreduserende tiltak kan for eksempel omfatte å:

  • Kartlegge omfanget av modeller og etablere en samlet oversikt
  • Sikre at det eierskapet til modellene er tydelig plassert og definere roller og ansvar for øvrig
  • Få på plass overordnede styringsprinsipper i form av policyer og retningslinjer
  • Etablere prosesser for (uavhengig) validering av modeller, før lansering og deretter regelmessig når modellene er i bruk
  • Sette standarder for kommunikasjon av resultater med fokus på modellenes forutsetninger og begrensninger
  • Øke ledelsens kompetanse om modellene og hvordan resultater kan tolkes og anvendes
  • Implementere og dokumentere internkontroll relatert til hver enkelt modell, herunder identifisere risikoer og sette inn kontroller.

Internrevisjonens rolle i styring av modellrisiko

Modellrisiko bør underlegges samme styring som andre typer (operasjonell) risiko. Det overordnede ansvaret for modeller og tilhørende risiko bør ligge hos ledelsen, og det er også ledelsens ansvar å etablere tilstrekkelig kontroll. Risikostyringsfunksjonen (eller tilsvarende støttefunksjon) bør støtte ledelsen i gjennomføringen av prosesser og med metodikk. Internrevisjonens oppgave er å gjøre selvstendige vurderinger av risikoen for å sikre at virksomhetens styre og toppledelse gis et mest mulig reelt bilde av risikosituasjonen.

Internrevisjonens første oppgave er å anerkjenne at modellrisiko utgjør en vesentlig risiko som må innlemmes i virksomhetens revisjonsunivers. For å danne seg et bilde av risikoen, bør internrevisjonen undersøke hvordan virksomheten forholder seg til modellrisiko på overordnet nivå. Er det stor bevissthet om modellrisiko? Er det etablert en policy for modellrisiko? Er eierskap plassert? Har virksomheten oversikt over modellene sine og risikoen de innebærer?

I revisjoner av spesifikke modeller bør internrevisjonens innledende spørsmål være om virksomheten har dokumentert selve modellen, hvordan den kontrollerer modellrisikoen og (hvis ikke) hvilken kontroll som faktisk utøves. Revisjonsprogrammet bør bygges opp rundt modellens komponenter, og kan omfatte spørsmål som:

  • Har det blitt identifisert risiko knyttet til modellen?
  • Har risikoene og behovet for tiltak blitt vurdert?
  • Er det etablert kontroller knyttet til inndata?
  • Er forutsetninger og premisser klart beskrevet og omforente?
  • Valideres resultatene av en uavhengig (av de som har bygd og/eller bruker modellen) tredjepart?
  • Hvordan formidles og brukes resultatene?

I virksomheter hvor det er lavt fokus på modellrisiko og hvor betydningen av denne risikoen ikke er godt forstått, har internrevisjonen et ansvar for å illustrere betydningen for toppledelsen og styret. For å nå fram med budskapet, bør internrevisjonen gi en mest mulig presis vurdering av potensielle tap. Om mulig i kroner og øre. I foretak som er spesielt avhengige av tillit og renommé, bør internrevisjonen bestrebe seg på å illustrere hvordan feil i modeller kan svekke kundenes tiltro til framtidige vurderinger og på den måten svekke virksomheten.

Internrevisjonen har altså en viktig rolle i styringen av modellrisiko. Modeller er i bruk i de fleste bransjer og utbredelsen øker, så internrevisjonen bør ta en aktiv rolle for å løfte modellrisiko opp i lyset og inn i ledelsens bevissthet.

Forfatter: Helge Benum

Denne artikkelen ble først publisert i SIRK nr. 1/18 utgitt av IIA Norge

Related news

We use third party cookies on this website in purpose to improve the experience on the website and analyze our traffic in order to learn more about the use of our site. The cookie information is collected by our supplier and is anonymous. By continuing to use our website you approve the use of cookies. You can always change your cookie preferences in your browser. Read our Privacy and Cookie Policy.

Ok