英国审慎监管局(PRA)最近致函英国银行和房屋建筑协会首席执行官,其中强调的一个方面是在报告过程中使用模型风险管理(MRM)。这是什么意思呢?
预测模型是许多监管框架的核心要素,用于计算压力业务环境下的结果。机构拥有建模团队,根据 PRA 的 SS3/18 模型风险管理 (MRM) 框架管理模型。然而,监管报告的分散性意味着 可能有许多具有监管应用的 模型不在风险管理团队的范围和控制之下。
PRA 的研究发现 对模型缺乏控制。如果没有足够的控制措施,就可能在没有记录的情况下进行更改,从而增加误报的风险。缺乏控制措施还可能表明,在模型管理的其他方面,包括监督、文件记录以及在整个业务中一致应用 MRM 政策等方面,管理流程不够完善。
银行业的 MRM
银行业的模式有多种形式。
电子表格可以作为EUC 应用程序,用户利用电子表格的强大功能和灵活性,创建不受企业 IT 部门控制和影响的软件应用程序。企业使用 EUC 并不罕见。
电子表格可用作参考数据源,从整个银行的一系列核心系统中收集信息;可用作计算器,生成用于填充报告的数据;可用作模型,帮助创建某些报告所需的结果;也可用于调节过程,收集、审查和修改最终监管结果,因为公司在 "最后一英里报告 "中运用了自己的专家判断。
然而,电子表格本身缺乏控制和透明度,这意味着数据可能会在没有警告的情况下被覆盖,数据错误可能会被遗漏,或者与其他应用程序和数据源的链接可能会在不知不觉中被破坏。在监管报告中,由于这些错误而导致向 PRA 提交错误报告的风险很大。
其他基于 SAS、MATLAB 和 Python 等平台的 EUC 模型也很流行。
未来,PRA 很可能会将审查重点放在这些更不安全的基于 EUC 的模式上。那么,MRM 团队如何才能积极回应 PRA 的期望呢?
监管报告的分散性意味着可能有许多监管应用模型不属于建模团队的范围和控制。
如何管理您的 EUC 模型
第一步是创建 集中模型库存、 这为有效的模型管理和控制奠定了基础。清单为您提供了一个可主动监控模型的模型框架。它为定义模型的使用、设计和所有权的文档提供了一个存储库。它为工作流审批流程提供了基础,而工作流审批流程是 PRA 希望看到的变更管理的关键要素。
下一阶段是 主动监控您的模型.定期验证流程允许用户确认其模型的状态,并强调需要向管理层、风险与合规团队以及 PRA 提示的任何变化和发展。企业应 不 在此监控和变更控制流程中忽略基于电子表格的模型,公司可以利用自动化功能,查看哪些问题、错误和缺失的数据馈送可能会影响您向 PRA 提供准确监管结果的能力。这些警报构成了报告的基础,为风险、合规和管理团队提供了 PRA 指出需要加强的可见性。
有了清单和控制措施,最后一个阶段就是 发现、 确保清单的真实性,以确保其包含所有正在使用的模型,尤其是由终端用户管理的模型(如电子表格模型)。最佳实践--即 PRA 的期望--将要求银行搜索整个 IT 产业,包括 PC、文件分区、SharePoint 站点或云计算环境。遗漏可能是关键电子表格模型的风险太大。要在每个业务流程中广泛使用 EUC 模型,就必须具备强大、可扩展和稳健的搜索能力。
管理您的影子 IT 电子表格
有了 ClusterSeven,您就能控制隐藏在企业内部的终端用户计算资产,这些资产可能会带来隐藏风险。
