EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
モデル・リスク管理は、けん制役の2線だけではなく1線のモデルユーザー等に対しても求められるものです。
これまでの管理対象であったプライシングモデルやリスクモデルよりも広範囲のモデル、特に重要性の高まるコンプライアンス関連モデルの管理態勢の構築のためには、どのような課題があるでしょうか?
要点
- 金融庁の「モデル・リスク管理に関する原則」に沿った管理態勢の導入が始まっているが、専門家人材の不足もあり、海外プラクティスの直輸入には限界がある
- 特にコンプライアンス関連モデルでは、AI・機械学習を活用する等最新のデータ分析スキルが求められ、2線管理や1線のモニタリングの在り方に工夫が必要な場合がある
- 今後、1線と協力しながら、適切なモデル格付けで重要度を判断、管理レベルの強弱をつけ、段階的に対象を拡大することで、現実的な導入を進める必要があるだろう
モデル・リスク管理の現場への導入における実務的な課題
2021年11月に金融庁から公表された、「モデル・リスク管理に関する原則(以下「本原則」)1」では、金融機関がモデル・リスクを適切に管理するために期待される、ガバナンス&コントロールの枠組みを示しています。具体的には、以下のような内容が含まれています。
- モデル・リスク管理の方針並びに責任の明確化
- モデルの識別を通したインベントリ管理、格付け等によるモデル・リスクの分類
- モデルの開発や改変において、妥当性や品質を確保する統制の実施
- モデルの経常運用における、モデルのパフォーマンスや安定性の継続的な評価
- モデル利用者から独立した人員による、モデル検証の実施
- モデル・リスク管理態勢の有効性や改善点の定期的な見直し、内部監査の関与
本原則の新しい特徴の1つに、管理対象としての「モデル」の範囲の広さがあります。このため、実際にモデル・リスク管理を、従前の市場部門やリスク部門が管轄するモデルの範囲を超えて、社内のあちこちで用いられるさまざまな性質のモデルを対象にして導入する際には、これまでにない現実的な課題が生じることになります。本記事では、そのような課題と対応策について検討します。
課題1:現業部門(1線)とけん制部門(2線)の役割分担と協力
モデル・リスク管理の実効性ある運用においては、現業のモデルオーナーやユーザー部門と、けん制を受け持つ部門との役割分担と協力が重要です。表1は、日英米2・3の各ガイドラインにおける、それぞれの役割を整理したものです。
表1:モデル・リスク管理における現業機能とけん制機能の関係
モデルオーナーである現業部門(以下、「1線4」)は、自らが開発・運用するモデルについて、その特性や仮定、制限事項などを理解し、モデルの実際の運用の中で、その適切な利用形態を確かめる責任があります。特に、シミュレーションモデルにおけるパラメータ推定値の再キャリブレーションの必要性や、統計的判別モデルにおけるドリフトの可能性など、モデル構築時からの利用環境の変化を広く察知できるのは現業部門であり、さまざまな周辺情報からモデル利用の適切性を継続的にモニタリングすることが期待されます。
対してけん制部門(以下「2線」)は、より専門的な立場や全社的見地から、モデルの性質や用途、付随するリスクを理解し、独立して承認・検証を行うことで、現業部門のモデル利用の妥当性や有効性を評価し、けん制する責任を持ちます。
しかしながら、このような理想的な態勢は⼀朝⼀⼣に達成できるものではありません。以下のような状況の中、1線と2線のコミュニケーションが十分にとれず、モデルの特性やリスク、管理⽅針などについて、共通認識や合意が形成されづらいという問題が起こり得ます。これをいかに克服するかが、⼀つ⽬の課題となります。
- モデルは業務システムの一部である、あるいは担当者の計算機である、というこれまでの見方のまま、自らの業務のために組織的にモデル・リスクを管理すべきという当事者意識が1線に十分に育たず、やらされ感が先立ち管理実務を2線に任せてしまいがちになる
- 他方で、2線はリソース不⾜に加え、AI・機械学習などの新しい分野の知⾒がある⼈員を育成途上であり、1線に対する⾯的で継続的な⽀援が困難な場合がある。⾃らの所管するプライシング・リスクモデルに⽐べると、1線のモデルの利⽤環境に対する理解も途に就いたばかりで、現業への適切なフィードバックも難しい
解決の下地作りとして、1線に対してモデル・リスク管理の重要性やメリットを周知し、ベストプラクティスの共有を行うことを通して、自らの主体的な取り組みを促すことや、各現場のモデル管理体制やモデル利用の実態を知るべく、2線による関連業務・データのウォークスルーを行い、お互いのリスク認識を統一することが考えられるでしょう。こうした相互理解の土台があった上で、モデル・リスク管理に関する方針や実施計画の策定、日常的な情報共有、意見交換や調整が形式的なものを脱し、課題発見や対策の実施が、さらに実効的なものになると考えられます。
課題2:モデル・リスク格付けと管理強度の決定
現状のモデル専門家のリソースを踏まえると、これに見合った現実的な業務量から段階的に拡充する漸進的なアプローチを持って、モデル・リスク管理の強化を行うことが、本邦の多くの金融機関によって現実的なものとなるでしょう。この際に、段階的に管理対象を広げるためのリスクベース・アプローチのよりどころとなる、モデルの重要度分類(モデル・リスク格付け)を適切に行うことと、管理強度との対応付けを納得のいく形で決定することが、二つ目の課題となります。
一般的にモデル・リスク格付けは、スコアカード的なアプローチで構築されます。モデルの複雑さやデータの不確実性、ビジネスインパクトやアウトプットに対する規制要件の存在など、適切な分類のために考慮すべき点は多数あります。この格付けと管理強度の検討過程において、具体的には以下のような議論が起こることがあります。
- 分類基準の明確さ:質問項目や選択肢に対する捉え方が、リスク部門で統一的に運用していた時と違い、部署やモデルごとにまちまちになるため、違いをできるだけ包含すべく、おのずと抽象度の高い記述となる
- 分類結果の納得度:機械的な分類であることから、個々人の持つ重要性の感覚とそぐわないことがある。ある業務のリスクが高ければ全てのモデルを重要視すべきなど、必ずしも他と同一のロジックが好まれるわけではない
- 対応する管理強度の適切性:一般的にモデル・リスク格付けは格付けクラス数がさほど多くないので、対応する管理強度の粒度が荒く、現業部門が期待する細かいニュアンスを反映できなかったり、具体的な管理内容や手順の差別化が明確でなかったりする
社内のモデルの重要性に対する価値判断と、モデル・リスク格付けの結果を違和感なく両立させるには、モデルオーナーや専門家を含めた、時間をかけた調整が必要になるでしょう。また、これに具体的な管理事務をひもづけるとなると、実際の業務負担とリソースの兼ね合いも考慮すべき、より現実的な判断になります。これを踏まえると、全ての対象に対して同一の明示的なルールで完璧に処理しようというのは現実的ではなく、モデル・リスク格付けの判定に、エキスパート・ジャッジメントをいかに導入するかがポイントとなるでしょう。
課題3:コンプライアンス関連モデルなどの新しい管理対象を扱えるリソースの確保
モデル・リスク管理は、元来多くの時間や労力、専門性を要する作業ですが、多くの金融機関にとって新しく対象になるものとして、本原則でも個別に言及されている「AMLで使われるモデルや市場監視モデル等」に代表されるコンプライアンス関連モデル(表1)があります。このような、新しいタイプのモデルに必要な、リソースやスキルの確保が3番目の課題となります。
表2:コンプライアンス関連モデルの例
コンプライアンス関連モデルにおいては、モデル開発というよりは、システム開発の整理で⾏われていることもあり、構築時のモデルの選択やパラメータのキャリブレーションを主にサードパーティベンダーが行っていたり、故にその後の1線によるチューニングが難しくなっていたりすることがあります。⼀⽅で、英⽶のガイドラインでは1線の役割について詳細な記述があり、モデル利⽤の当事者として、適切なモデルを運⽤する責任が明確になっています。このため、このような分野に海外のモデル・リスク管理のプラクティスを直輸⼊しようとすると、特に1線である現業部⾨の⼈員の頭数や練度に少なからぬギャップが⽣じる可能性が考えられます。
また、2線の管理についても同様に、海外当局の目線では、モデル構築時における判断の妥当性等に関して、実効的に1線に対してチャレンジしていくことを想定していますが、本邦のプラクティスでは、1線・2線の間で協力する度合いが高いことや、2線においてこのような新しいモデルへの経験が十分でないこと、そもそも開発時の文書化が十分に行われていないことがあることなど、即時の実現には少なからず障壁があるでしょう。
このように、従前のプライシングモデルやリスクモデルの範囲を超えてモデル・リスク管理態勢を強化していく際は特に、海外で実施されている規程・マニュアル類の事例をそのまま国内に適用するなどの、直輸入の対応には慎重な検討が必要です。さもなければ、リスク部門の管轄下から管理対象のスコープを広げようとした途端、適切なリソースが不足し計画した管理業務の実施が困難になるということになりかねません。
もしそのような新しい種類のモデルに対しても、最初から十分な態勢を企図するということであれば、人員増強や既存人員のリスキリングを通して、これまで金融機関が一般的に擁する価格評価・金融リスク評価の専門人員とは違った、自然言語処理やAI・機械学習のノウハウを備えたデータ分析の専門人員の一層の拡充が必要となるでしょう。また、オフショアリング、外部専門家などの支援を活用してそのようなリソースを確保することも視野に入ってくるでしょう。
脚注
- 金融庁「モデル・リスク管理に関する原則」2021年11月12日、fsa.go.jp/news/r3/ginkou/20211112/pdf_02.pdf(2023年9月28日アクセス)
- “PS6/23 - Model risk management principles for banks”、Bank of England PRA、2023年3月、bankofengland.co.uk/prudential-regulation/publication/2023/may/model-risk-management-principles-for-banks(2023年9月28日アクセス)
- “SUPERVISORY GUIDANCE ON MODEL RISK MANAGEMENT”、Fed/OCC、2011年4月4日、federalreserve.gov/supervisionreg/srletters/sr1107.htm(2023年9月28日アクセス)
- なお、ここで言う「1線」、「2線」は、モデル利用における現業とけん制の担当部門を指し、金融庁ガイドラインに沿った記述である。イングランド銀行やFRB(連邦準備理事会)などの海外当局のガイダンスでは、モデルオーナー、ユーザー、開発者などと機能が特定され、「1線」、「2線」というような3線管理の呼称は用いられないが、本稿では金融庁ガイドラインの呼称に沿うこととする。
【共同執筆者】
楠戸 健一郎
(EYストラテジー・アンド・コンサルティング株式会社 金融サービスリスクマネジメント シニアマネージャー)
国立研究所特任研究員、コンサルティング会社を経て、2021年に入社。金融機関向けに、モデル分析・データ分析に関連する開発・検証支援やリスク管理高度化などの業務改善に従事。AI・機械学習を活用し、課題の発掘から業務への適用、検証までのアナリティクスプロセス全体を支援している。
川口 達也
(EYストラテジー・アンド・コンサルティング株式会社 金融サービスリスクマネジメント マネージャー)
SIerを経て、2018年に入社。金融機関向けに、バーゼル規制(自己資本規制および流動性規制)に係るコンサルティング(規制解釈や業務構築、システム開発支援)に従事。近年はモデル・リスク管理態勢構築の支援やAIガバナンスに関するソリューション開発を行っている。
※所属・役職は記事公開当時のものです。
サマリー
本邦のモデル・リスク管理の広範な導⼊は、前例が少なく⼀筋縄ではいきません。特に新しい管理対象となるコンプライアンス関連モデルでは、基盤となる管理プラクティスが未整備であることから、ガイダンスの⽂字通りの適⽤をすぐに全⾯的に始めることは現実的ではないでしょう。1線と2線の役割分担と協⼒、モデルの重要度分類と適切な管理レベルの設定、リソースの確保と活⽤などの点について、⼗分な社内コミュニケーションを踏まえて一歩一歩着実に進める必要があります。