En modell er en forenkling av virkeligheten og brukes blant annet til å forklare fenomener, identifisere mønstre og forutsi hendelser eller preferanser. Modeller er nyttige og i takt med økt prosesseringskraft, får de stadig større utbredelse. Med modellene følger imidlertid også risiko, både for feil resultater og feiltolkninger.
Hva er modellrisiko og er den noe å bry seg om?
I denne artikkelen skal jeg gi en overordnet presentasjon av modellrisiko og gi noen anbefalinger om hvordan virksomheter kan sikre seg at de har styring over risikoen. Før vi kommer så langt er det viktig å se litt nærmere på hva en modell er og hva modellrisiko egentlig omfatter. Office of the Comptroller of the Currency, tilsynsmyndigheten for finansbransjen i USA, definerer modell som følger:
En modell er en kvantitativ metode, system eller tilnærming som bruker statistiske, økonomiske, finansielle eller matematiske teorier, teknikker og forutsetninger til å gjøre om datainput til kvantitative estimater.
Dette er en veldig bred definisjon som omfatter et stort antall prosesser og beregninger. I praksis må virksomheter prioritere hvilke av modellene som skal gis størst oppmerksomhet og underlegges strengest styring. Definisjonen er likevel nyttig for å forstå omfanget av modellrisiko.
En modell består av tre komponenter; input (forutsetninger og data), prosessering (formler som omgjør input til estimater) og rapportering (omgjøring av estimater til forretningsinformasjon). Vi snakker altså om et sett av formler som omdanner forutsetninger og data til forretningsinformasjon.
Modeller er i bruk innenfor de fleste bransjer og støtter en rekke ulike oppgaver. Innenfor finansbransjen brukes modeller blant annet i stresstesting, til måling av risiko, i prisings- og kredittvurderingsprosesser og til kapitalallokering. Her er modellrisiko ansett som en del av den operasjonelle risikoen Finanstilsynet pålegger virksomhetene å vurdere kvaliteten på. En vanlig bruk av modeller er støtte til å optimalisere allokeringen av ressurser, for eksempel til å forutsi forbruks- eller forbrukermønstre eller beregne optimal distribusjon innenfor varehandelen. Modeller er også i bruk på samfunnsnivå, for eksempel i den makroøkonomiske styringen og i klimaforskningen.
Modellrisiko er produkt av sannsynligheten for at hendelser eller feil inntreffer, og konsekvensen av dette. Modellrisiko kan oppstå innenfor selve modellen, knyttet til input, prosessering eller rapportering, eller i form av feiltolkninger eller bevisst misbruk av resultatene.
Identifikasjon og vurdering av modellrisiko
Som med annen operasjonell risiko, starter vurderingen av modellrisiko med å kartlegge mulige feil eller hendelser. Feil eller hendelser kan oppstå i forbindelse med:
For å kunne prioritere mellom risikoene og sikre at fokuset rettes mot de viktigste feilene, er det viktig å vurdere hvor sannsynlig det er at hendelsene eller feilene inntreffer, og hvor stor konsekvens de vil få. Hendelser eller feil i modeller vil typisk gi finansielle konsekvenser. For eksempel kan feil i en modell som beregner kapitalavsetninger i en bank gjøre at bankens risikoeksponering blir overvurdert og at det allokeres for mye kapital. I siste instans har dette en finansiell konsekvens for banken i form av lavere avkastning på bankens kapital. Innenfor dagligvarebransjen kan en modellfeil innebære at det distribueres for mye av enkelte typer varer, noe som igjen gir økt svinn og redusert lønnsomhet.
Feil eller hendelser kan imidlertid også skade en virksomhets omdømme (noe som senere også kan gi finansielle tap). For eksempel vil feil i modellene til virksomheter som er basert på salg av innsikt om forbrukeres vaner og preferanser kunne føre til at kjøperne av informasjonen prioriterer feil. I neste omgang vil dette skade tilliten til den innsikten som selges og gjøre at kundene velger alternative leverandører.
Modellrisikoens rolle i finanskrisen
Et av de mest spektakulære eksemplene på hva feil i modeller kan føre til stammer fra finanskrisen i 2007/2008.
Tidlig på 2000-tallet hadde matematikeren David X. Li som den gang jobbet for JPMorgan Chase, etablert en formel som ble kjent som «Gaussian copula function». Formelen ble brukt til å beregne risikoen i obligasjoner som var basert på privatpersoner og bedrifters gjeld. Formelen inngikk etter hvert i modellene til en lang rekke banker, ratingbyråer og finansinstitusjoner over hele verden.
Det sentrale elementet i formelen var knyttingen mellom prisene på såkalte «Credit Default Swaps», en forsikring mot mislighold som ble omsatt på det åpne markedet, og hvordan sannsynligheten for mislighold ble priset inn i obligasjoner. Denne knytningen gjorde prisingen av obligasjoner mye enklere enn tidligere og fjernet tilsynelatende usikkerheten rundt hvor mye risiko ulike obligasjoner hadde i seg. Tilnærmingen fungerte strålende i en periode på 2000-tallet da de amerikanske boligprisene var jevnt stigende, og medførte en eksplosiv økning i denne typen obligasjoner.
Når boligmarkedet begynte å falle og stadig flere amerikanere ble tvunget til å gi opp husdrømmen, ble det imidlertid klart at modellene ikke hadde gitt et riktig bilde av hvilken risiko det innebar å eie denne typen obligasjoner. I 2008 brøt store deler av det internasjonale finansmarkedet sammen, og resten er historie.
Hvordan kunne det egentlig gå så galt? I en artikkel «Recipe for Disaster: The formula that killed Wall Street” peker forfatteren Felix Salmon blant annet på at de som tok forretningsmessige beslutninger generelt ikke forsto modellene eller de «kvantitative» argumentene for modellenes svakheter. Dessuten tjente aktørene svært gode penger på obligasjonene. Etter at boligprisene hadde begynt å falle fôret mange aktører modellene med eldre data for at risikoen skulle framstå som lav og dermed holde prisen på obligasjoner nede. Kort oppsummert: Feil forutsetninger, feil input (også bevisst), og manglende forståelse/ feiltolking av resultater.
Håndtering av modellrisiko
Det er ikke mulig å fullstendig eliminere modellrisiko. Virksomheter bør derfor fokusere på å definere hvilken mengde risiko de er komfortable med å bære (risikoappetitt) og sette mest mulig konkrete rammer for dette. Tiltak for å redusere risiko bør primært rettes mot de bakenforliggende årsakene, men kan også tilordnes feilene eller hendelsene direkte. Risikoreduserende tiltak kan for eksempel omfatte å:
Internrevisjonens rolle i styring av modellrisiko
Modellrisiko bør underlegges samme styring som andre typer (operasjonell) risiko. Det overordnede ansvaret for modeller og tilhørende risiko bør ligge hos ledelsen, og det er også ledelsens ansvar å etablere tilstrekkelig kontroll. Risikostyringsfunksjonen (eller tilsvarende støttefunksjon) bør støtte ledelsen i gjennomføringen av prosesser og med metodikk. Internrevisjonens oppgave er å gjøre selvstendige vurderinger av risikoen for å sikre at virksomhetens styre og toppledelse gis et mest mulig reelt bilde av risikosituasjonen.
Internrevisjonens første oppgave er å anerkjenne at modellrisiko utgjør en vesentlig risiko som må innlemmes i virksomhetens revisjonsunivers. For å danne seg et bilde av risikoen, bør internrevisjonen undersøke hvordan virksomheten forholder seg til modellrisiko på overordnet nivå. Er det stor bevissthet om modellrisiko? Er det etablert en policy for modellrisiko? Er eierskap plassert? Har virksomheten oversikt over modellene sine og risikoen de innebærer?
I revisjoner av spesifikke modeller bør internrevisjonens innledende spørsmål være om virksomheten har dokumentert selve modellen, hvordan den kontrollerer modellrisikoen og (hvis ikke) hvilken kontroll som faktisk utøves. Revisjonsprogrammet bør bygges opp rundt modellens komponenter, og kan omfatte spørsmål som:
I virksomheter hvor det er lavt fokus på modellrisiko og hvor betydningen av denne risikoen ikke er godt forstått, har internrevisjonen et ansvar for å illustrere betydningen for toppledelsen og styret. For å nå fram med budskapet, bør internrevisjonen gi en mest mulig presis vurdering av potensielle tap. Om mulig i kroner og øre. I foretak som er spesielt avhengige av tillit og renommé, bør internrevisjonen bestrebe seg på å illustrere hvordan feil i modeller kan svekke kundenes tiltro til framtidige vurderinger og på den måten svekke virksomheten.
Internrevisjonen har altså en viktig rolle i styringen av modellrisiko. Modeller er i bruk i de fleste bransjer og utbredelsen øker, så internrevisjonen bør ta en aktiv rolle for å løfte modellrisiko opp i lyset og inn i ledelsens bevissthet.
Forfatter: Helge Benum
Denne artikkelen ble først publisert i SIRK nr. 1/18 utgitt av IIA Norge
