Antes, el gobierno del riesgo de modelo (MRM) sólo afectaba a las entidades financieras más grandes. Hoy, además de éstas, más de 100 bancos DFAST están implantando el gobierno del riesgo de modelo.
Además, tanto los auditores como los reguladores exigen ahora ampliamente la GRM. Por ejemplo, en Europa, las instituciones están adoptando el régimen de Revisión Específica de Modelos Internos (TRIM); en el Reino Unido existe la SS 3 18; y en EE.UU., la SR 11 7 está cobrando cada vez más importancia para la MRM.
Los inventarios de modelos, que son esencialmente representaciones simplificadas de las relaciones en el mundo real entre características, valores y sucesos observados, están aumentando espectacularmente a medida que se encuentran archivos que abarcan todos los aspectos financieros de las áreas de negocio: desde la fijación de precios y valoración de derivados e instrumentos financieros, la titulización, la modelización de pérdidas crediticias hasta los riesgos asociados a la negociación y la información financiera.
Con modelos que abarcan tantos escenarios, las instituciones financieras experimentan una serie de dificultades relacionadas con su gobernanza, lo que sugiere que tal vez no estén equipadas para gestionar la carga que impone la disciplina. Cosas como un inventario incompleto de modelos, incoherencias en los enfoques de la modelización, un seguimiento y control de versiones deficientes de los modelos, una validación inadecuada, una escasa precisión de los modelos, múltiples sistemas de aplicación, etc., están obstaculizando una buena gobernanza del riesgo de modelo.
Además, las aplicaciones informáticas de usuario final (EUC), como los modelos basados en hojas de cálculo y las calculadoras que alimentan los modelos, también son "modelos" y, por tanto, requieren gobernanza. Según la RE 11-7, "el término modelo se refiere a un método, sistema o enfoque cuantitativo que aplica teorías, técnicas y supuestos estadísticos, económicos, financieros o matemáticos para procesar datos de entrada y convertirlos en estimaciones cuantitativas."
Una creciente necesidad de visibilidad
Con algunos inventarios que se acercan ya a los 3.000 modelos, las entidades financieras se esfuerzan por obtener una visibilidad completa de estas aplicaciones, mientras que los reguladores esperan que las organizaciones apliquen los mismos principios de gobierno de modelos a todos los tipos de modelos, incluidas las hojas de cálculo críticas para el negocio. En la actualidad, el gobierno de las hojas de cálculo y los EUC figura específicamente en numerosos marcos normativos, como las pruebas de resistencia de la Ley Dodd-Frank, la Ley Sarbanes Oxley, la BCBS239, la Prudential Practice Guide y muchos más.
Además, el alcance de la GRM se ha ampliado desde la validación de modelos históricamente -es decir, si se comprende, prueba y documenta la estructura, el diseño y la función del modelo- hasta abarcar la gobernanza integral de los modelos, incluido el control de cambios, el control de acceso, la auditabilidad y la elaboración de informes.
Por supuesto, los sistemas GRC están muy extendidos en las instituciones financieras reguladas, pero no siempre pueden cumplir los estrictos requisitos normativos. Estos sistemas suelen carecer de flexibilidad para adaptarse. Para introducir cambios en los sistemas GRC tradicionales suele ser necesaria la intervención del proveedor de las soluciones de terceros o del departamento de TI. Los plazos son largos y los gastos, considerables.
Así que, para superarlo, las instituciones recurren a menudo a procesos manuales (por ejemplo, utilizando el correo electrónico para las confirmaciones de cambios/aprobaciones), lo que crea más problemas a los usuarios y a la dirección. El problema se intensifica porque los modelos, herramientas y calculadoras utilizan datos y recursos del entorno informático corporativo controlado, así como del entorno EUC menos controlado, que es gestionado principalmente de forma independiente por las propias unidades de negocio individuales. Todo ello combinado limita gravemente la eficacia y el cumplimiento de los programas de MRM en las instituciones.
Formular preguntas críticas
Para lograr una transparencia total y un enfoque integral de la MRM, las entidades financieras deben cuadrar el círculo con la automatización. Este enfoque integral debe incluir desde la creación, el mantenimiento y la validación del inventario de modelos (en toda la empresa), la alineación de la MRM con las directrices de supervisión y regulación, hasta la supervisión de las normas de política y documentación y el intercambio de información totalmente auditable.
Este tipo de enfoque tecnológico de la GRM garantiza que las normas aplicadas a todos los modelos modelos de la institución sean coherentes, precisos y se consigan de forma rentable. Pueden determinar el linaje de datos y la interdependencia de datos de los modelos, la herramienta y las calculadoras en toda la empresa. También ayuda a mantener la precisión e integridad de las aplicaciones, ya que los modelos se desarrollan, revisan y desmantelan casi constantemente. La MRM no es un proceso o ejercicio aislado.
Para poner en marcha este enfoque de la GRM, quizá las instituciones financieras deberían empezar por plantearse preguntas críticas como las siguientes:
- ¿Cómo afecta la normativa a los planes de MRM de la organización?
- ¿Dispone la empresa de la flexibilidad y agilidad necesarias para adaptarse a la evolución de los requisitos normativos?
- En caso de error en los procesos de regulación y cumplimiento, ¿cuál es el impacto potencial para la empresa desde el punto de vista operativo, financiero y de reputación, tanto a corto plazo como en el futuro?
Con este tipo de conocimiento y comprensión en profundidad, las instituciones financieras pueden trazar una estrategia de MRM bien afinada y trazar un curso de acción para satisfacer los requisitos de la empresa de la manera más eficiente y productiva posible, minimizando al mismo tiempo el riesgo.
Gestione sus hojas de cálculo de Shadow IT
Con ClusterSeven, tome el control de los activos informáticos de usuario final ocultos en su empresa que pueden crear riesgos ocultos.
