La SS1/23 llamó la atención de los bancos sobre las DQM y fijó un plazo para el cumplimiento de la gestión del riesgo de modelo (MRM) hasta mayo de 2024. ¿Está usted preparado?
La reciente declaración de supervisión (SS)1/23 de la PRA ha introducido algunos cambios significativos en la forma en que las entidades financieras conciben la gestión del riesgo de modelo (MRM). Entre estos cambios, los más significativos son las actualizaciones relativas a los métodos cuantitativos deterministas, o DQM.
Mientras que en el pasado se ha hecho referencia a un ecosistema más amplio de herramientas y no modelos, la SS1/23 exige a las instituciones financieras que identifiquen los DQM y los sometan a una gobernanza más estricta, en la línea de cómo ya se gobiernan los modelos tradicionales.
Pero realmente: ¿qué es un DQM?
En la SS1/23, la PRA ha proporcionado una definición amplia y ampliada de los modelos para incluir los DQM. La declaración de supervisión explica: "A efectos de las expectativas contenidas en esta SS, un modelo se define como un método cuantitativo que aplica teorías, técnicas y supuestos estadísticos, económicos, financieros o matemáticos para procesar datos de entrada en resultados." Mientras que los modelos tradicionales se entienden generalmente como estocásticos, o subconjuntos no deterministas de métodos cuantitativos, la definición más amplia de SS1/23 incluye los DQM, o modelos cuantitativos deterministas, como un subconjunto de modelos.
Estos modelos recién identificados pueden ser propiedad de TI, pero no siempre. Pueden parecer hojas de cálculo, aplicaciones personalizadas, etc., y pueden ser propiedad de los usuarios finales. Entre la ubicuidad de los DQM y el hecho de que no han sido gobernados de otro modo por los equipos de MRM, esta nueva declaración exige que las instituciones financieras reevalúen su riesgo de modelo a la luz de esta definición ampliada.
¿Por qué son importantes?
Actualmente, la mayoría de los DQM se gobiernan según las mismas directrices que TI utiliza para gobernar sus aplicaciones: en virtud de controles de acceso, controles de cambio y permisos basados en roles. Pero muchos deberían someterse a controles de MRM. Las empresas deben entender los DQM en función de sus casos de uso: ¿para qué se utilizan estos modelos? Cuando los DQM se utilizan con fines de información financiera, liquidez, previsión, capital y otras funciones, exigen ser gobernados con un estándar superior. Una gobernanza adecuada de estos DQM exige que sus controles y pruebas respondan a la finalidad empresarial a la que sirve el método, las metodologías que lo sustentan y los supuestos existentes que respaldan su funcionalidad.
¿Cómo deben abordar las empresas los cambios introducidos en la SS1/23 para las DQM?
Las empresas deben demostrar algún tipo de cumplimiento antes del 17 de mayo de 2024.
Por un lado, los equipos pueden ponerse en marcha y obtener rápidos beneficios examinando las DQM que ya han identificado y evaluando el nivel de gobernanza que aplican actualmente. Si una DQM está sujeta a una gobernanza similar a la de TI, las empresas pueden realizar una "elevación de la gobernanza" empezando a preguntarse qué tipo de controles y pruebas deben realizarse a lo largo del ciclo de vida de la DQM, así como qué tipo de supervisión debe llevarse a cabo.
Por otra parte, una de las dificultades de estos nuevos requisitos para las DQM es que no todas las DQM son conocidas. Por ello, los equipos tienen que descubrirlas para identificarlas, documentarlas y clasificarlas con arreglo a normas objetivas. Tras la documentación, los equipos pueden clasificar el riesgo de la DQM puntuando el impacto y la complejidad, y luego alojar esta información en su inventario. Las diferentes DQM requerirán diferentes estructuras de gobernanza: algunas exigirán controles muy minuciosos, mientras que otras necesitarán menos.
¿Nuestra prioridad? En su éxito.
Programe una demostración u obtenga más información sobre los productos, servicios y compromiso de Mitratech.
