סיכוני מודלים – הפעילות העסקית, המבקר הפנימי ומה שביניהם

מאת: מירב שפר | גיליון 08 - מעילות והונאות | ספט 2018 | אין תגובות

 “Instead of going on gut feeling, a company can instead act based on data. But this requires that you can sift through this enormous amount of information to find what you need. Smart data tries to do just that, to give you the right data at the right time.” (אנדרס בורג, שר האוצר השוודי בין השנים 2006-2014)

כמות הנתונים שקיימים בעולם גדלה בהיקפים עצומים, בשנים האחרונות. בכל רגע נוצרים פריטי מידע בדרכים שונות בין אם זה במדיה חברתית, בלוגים, מיילים, תמונות, ופעולות עסקיות. כמות המידע רק תלך ותגדל ככל שהטכנולוגיה תתפתח.

שימוש וניתוח המידע הקיים באינטרנט יכולה להועיל לחברות עסקיות ולפוליטיקאים בניבוי החלטות ובחירות שיבוצעו על ידי אוכלוסיות מסוימות. הדבר יכול להשפיע על החלטות בנוגע לייצור מוצרים ושירותים ועל אסטרטגיות שיווקיות.

איך עושים שימוש נכון במידע העצום ?
באמצעות ניתוח הנתונים בשיטות סטטיסטיות מורכבות ובניית מודלים. כבר היום נעשה שימוש רחב במודלים סטטיסטיים בחיי היום יום שלנו, כגון: בביצוע פעולות, בקבלת החלטות על רכישת מוצרים, בבחירת חופשה משפחתית בהתייחס למאפיינים הייחודיים לנו.

לצד ההזדמנויות העסקיות גלומים סיכונים בשימוש במודלים, העלולים להוביל להחלטות עסקיות, אסטרטגיות או פוליטיות שגויות. קיימת חשיבות לזיהוי סיכונים במודלים, הבנת מגבלות שלהם וניהול נכון של סיכון המודלים.

באפריל 2011 הופצה הנחיה מעודכנת משותפת של ה-OCC (המשרד לפיקוח על המטבע, במשרד האוצר האמריקאי) וה- FED (הבנק המרכזי בארה"ב), בין היתר, בהמשך להפקות הלקחים מכשלי המשבר הפיננסי של שנת 2008. הנחיה זו מגדירה מודל כשיטה כמותית, מערכת או גישה המתייחסת לתיאוריות, טכניקות והנחות סטטיסטיות, כלכליות, פיננסיות או מתמטיות, בו מעובדים נתוני קלט לצורך קבלת אומדנים כמותיים.

בהתאם להנחיה, מודלים העונים להגדרה זו עשויים לשמש לניתוח אסטרטגיות עסקיות, ליווי החלטות עסקיות, זיהוי ומדידה של סיכונים, הערכת חשיפות, ביצוע מבחני קיצון, הערכת נאותות הון, ניהול נכסי לקוחות, מדידת ציות למגבלות פנימיות, ועמידה בדרישות הדיווח הכספי או הרגולטוריות. הגדרת המודל מתייחסת גם למקרים בהם הנתונים עצמם מבוססים על הערכת מומחה, ובלבד שהמידע המופק מהמודל הוא כמותי.

הגדרה זו הינה הגדרה רחבה מאוד וכוללת כלים שונים לקבלת החלטות, כל עוד התוצר הינו כמותי.

בהתאם להנחית ה- OCC וה-FED  משנת 2011, סיכון מודל מוגדר כפוטנציאל לנזק הנובע מהחלטות המבוססות על תוצרי מודל לא נכונים או שנעשה בהם שימוש לא נכון. סיכון המודל עלול להוביל להפסד כספי, לקבלת החלטות עסקיות ואסטרטגיות שגויות, או גרימת נזק למוניטין של ארגון בנקאי.

מכאן, הסיבות המרכזיות לסיכון הגלום בשימוש במודל הן :

  1. טעויות במודל עצמו ובתוצריו בשל אי התאמתו לשימושים העסקיים להם נועד.
  2. שימוש שגוי בתוצרי המודל.

ניתן לצמצם את סיכון המודל על ידי קביעת תהליכים לפיתוח, תיקוף וניהול מודלים.

הנחיות נוספות בנושא מודלים פורסמו על ידי האיחוד האירופאי כחלק מ II  DIRECTIVE –  SOLVENCYוכן ועדת באזל הפיצה הנחיות בנושא במסגרת BASEL III.

גם בארץ, באוקטובר 2010, בנק ישראל אימץ את הנחית ארגון ה OCC, משנת 2000 בנושא תיקוף מודליםOCC 2000-16.

ניהול סיכון מודלים ותפקיד המבקר בבדיקת איכות ניהול הסיכון בכללותו ברמת המודל הבודד 

בהתאם לפרקטיקה המקובלת, ניהול סיכון המודלים, מושתת על שלושת קווי ההגנה, הפועלים במסגרת ניהול הסיכון שהוגדרה על ידי הדירקטוריון וההנהלה, תוך מיסוד תהליכי ניטור ובקרה בתהליך פיתוח וניהול שוטף של מודלים, כמתואר בתרשים:

מהו תפקיד המבקר הפנימי בבדיקת סיכון מודל?

הביקורת הפנימית מתמקדת בבדיקת תהליכי עבודה וקיומן של בקרות הולמות ומספקות שמטרתן לתת מענה לסיכונים הגלומים בתהליך. בהתאם לכך, על הביקורת הפנימית לבדוק את אפקטיביות מסגרת הבקרה לניהול סיכון מודלים, את אופן יישום המדיניות ולהציף סוגיות רוחביות שעולות מניהול המודלים בארגון. בנוסף, תכנית העבודה הרב שנתית תכלול ביקורות ייעודיות ברמת מודל, כשבהתאם לדרישות הרגולציה והממשל התאגידי, כל ארגון יגדיר את היקף הבדיקות הייעודיות ברמת מודל, בהתאם לרמת החשיבות של המודל לארגון ותמיכתו בפעילות העסקית, רמת המורכבות של המודל, היקף ומורכבות המידע המוזן למודל ותדירות השימוש בתוצריו.

כשערכנו ביקורת על מודל ספציפי, נתקלנו במספר סוגיות. אשר את התשובות לחלקן למדנו תוך כדי תהליך הביקורת ואנו עדיין בתהליך למידה:

  • האם המבקר הפנימי צריך לבדוק את איכות קוד המודל? התפקיד המסורתי של מבקר פנימי הוא בדיקת תהליכי עבודה ובקרה לניהול הסיכונים המרכזיים בנושא המבוקר, הנותנים מענה לתאבון הסיכון והמדיניות שהוגדרו על ידי הדירקטוריון וההנהלה הבכירה. בדיקת איכות קוד המודל עצמו, לרבות שיטות סטטיסטיות שנבחרו למול חלופות אפשריות, עלולה להתפרש, באנלוגיה לעולם מוכר יותר, כבדיקת טיב החלטה ולא רק דרך קבלתה.

ישנה מגמה ההולכת וגוברת להפיכת תהליכי עבודה לאוטומטיים, תוך הסתת פעילות לאפיקים דיגיטלים, מבלי שקיימת מעורבות גורם אנושי בתהליך. במצב זה, רצוי כי בדיקת איכות ניהול הסיכון תכלול התייחסות גם לכלים המרכזיים בניהול הפעילות העסקית. להערכתנו, היעדר התייחסות לכלים אלה, עלולה לפגום באפקטיביות הביקורת הפנימית.

חשוב לציין כי בדיקת קוד המודל אינה מוגבלת רק לנוסחה המתמטית אלא מחייבת הבנה של השימושים העסקיים. בדיקת קוד המודל מבלי שקיימת הבנה של השימושים העסקיים הינה חלקית ולא מספקת.

מכאן, בדומה לבדיקת מערכות מידע התומכות בניהול הפעילות, עלינו לבחון גם את המודלים המשמשים לניהולה.

  • בדיקת קוד מודל – ביקורת או ייעוץ ? הנחית ה-OCC משנת 2011 דורשת כי בדיקת מודל תעשה על ידי עובדים בעלי ידע ומומחיות בתחום. מאחר ובדיקת קוד המודל הינה מקצועית במהותה, עלה החשש שביצוע הביקורת בנושא ימצא בתחום האפור שבין ביקורת לייעוץ.

היות ועבודת הביקורת אינה כוללת מתן ייעוץ, ומאחר שבביצוע מטלת ביקורת, המבקר הפנימי מתמקד בבדיקת תהליכי עבודה בהתייחס לסיכונים הגלומים בהם, הרי שעל  המבקר לזהות את הסיכונים הטמונים בניהול המודל ולבדוק כי נקבעה מסגרת בקרה הנותנת מענה לסיכונים אלה. (ניתן להשתמש במסגרת הבקרה של ה- COSO).

כמו כן, החלטות מקצועיות מתקבלות בהתבסס על קיום תהליך מובנה ומתיעוד של ניתוח מידע, בחינת חלופות, ותיעוד השיקולים התומכים בהחלטה. מכאן, ליקויים העולים מהביקורת בהתייחס לקוד המודל ומגבלות המודל, עשויים להצביע על ליקויים בתהליך קבלת ההחלטות בנוגע לבחירת סוג המודל, אופן יישומו, ממשקי העבודה בין יחידת הפיתוח והתיקוף.

לגישתנו, ההערות בדוח הביקורת יצביעו על ליקויים בתהליך העבודה, הבאים לידי ביטוי בקוד המודל או מגבלות המודל,  שתוצאותיו משפיעות על הפעילות העסקית.

  • היקף הבדיקה כפונקציה של ניהול סיכונים וניהול משאבים – בקטלוג מודלים של תאגיד נכללים מודלים ברמות חשיבות שונות בהתאם לפרמטרים כגון: רמת החשיבות של המודל לארגון, תמיכתו בפעילות העסקית, רמת האוטומציה שבו ועוד.

להערכתנו, בכפוף לדרישות רגולטוריות ומדיניות התאגיד, ניתן להתאים את היקף הביקורת בהתאם לרמת החשיבות של המודל ולחלק עולם תוכן זה לשתי קבוצות מרכזיות:

  • בדיקת מודל ברמת חשיבות גבוהה תעשה על ידי עובד בעל ידע ומומחיות בתחום המודלים, אשר יתמקד, בין היתר, בבדיקת קוד המודל והשלכותיו.
  • בדיקת מודלים אחרים, שאינם בעלי רמת חשיבות גבוהה, תעשה על ידי עובדים שעברו הכשרה בנושא, כאשר בדיקת קוד המודל תהיה מצומצמת בהיקפה.

חשוב לציין כי גם בבדיקת מודלים שאינם בעלי רמת חשיבות גבוהה, על ידי עובדים שאינם בעלי ידע ומומחיות מקצועית בתחום המודלים, הרי שניתן לאתגר את תוצרי המודל והשימוש בהם מבחינה עסקית. לדוגמה , ניתן להשוות את תוצרי המודל  למול מערכות אחרות המפיקות מידע זהה או דומה. בהיעדר זהות בתוצרים של כלים שונים לניהול הסיכון הרי שהדבר יכול להעיד על בעיתיות באיכות קוד המודל.

  • תוצר הביקורת – חשש נוסף הינו הפצת "דוח אקדמי" שהשלכתו על הפעילות העסקית אינה ברורה לדירקטוריון ולהנהלה הבכירה, באופן שיפגום באפקטיביות הביקורת ולא יוביל לשיפור תהליכים ולתיקון הליקויים. מכאן, קיימת חשיבות לפשט עד כמה שניתן מונחים מקצועיים ולהציג ליקויים בקוד המודל לצד הצגת השפעתם על הפעילות העסקית, באופן שיקל על מקבלי ההחלטות להבין את עוצמת החשיפות הגלומות בשימוש במודל ובהתאם התרומה של יישום המלצות דוח הביקורת.

היבטים מרכזיים בבדיקת מסגרת בקרה כוללת לניהול הסיכון

ממשל תאגידי

  1. תוכנית העבודה של הארגון לפיתוח ותיקוף מודלים.
  2. משך הזמן לפיתוח מודלים.
  3. אפקטיביות מנגנוני הדיווח לדירקטוריון ולהנהלה הבכירה.
  4. קשרי הגומלין בין היחידות השונות בתהליך.
  5. אפקטיביות ניהול קטלוג המודלים.
  6. שלמות נהלי העבודה

היבטים מרכזיים בבדיקת מודל ספציפי

 רכיב הקלט:

  1. בדיקת מסגרת הבקרה לווידוא שלמות ומהימנות הנתונים המוזנים למודל
  2. קביעת תהליך הטיפול והבקרה אחר נתונים חסרים

ממשל תאגידי

  1. קיום דיון בהנהלה הממונה באשר לפערים שאותרו בתהליך תיקוף המודל
  2. קיום תהליך תיקוף בלתי תלוי בתהליך הפיתוח.
  3. טיפול בפערים שעלו במסמכי התיקוף
  4. שלמות תיעוד המודל לרבות הנחות ושיקולים בקבלת החלטות בשלבים השונים של פיתוח המודל
  5. קיום תהליכי תיקוף תקופתיים שהוגדרו מראש בקטלוג המודלים ושלמות מסמכי התיקוף
  6. תקינות ממשקי העבודה בין הגורם המפתח לגורם המתקף

רכיב העיבוד

  1. קיום תהליכי ניהול שוטפים של המודל לרבות: בחינה תקופתית של כושר הניבוי של המודל.
  2. קיום תהליך לבחינת שינויים רגולטורים, עסקיים, על כושר הניבוי של המודל ובחינת הצורך בהתאמת המודל לשינויים אלה.
  3. בדיקת קוד המודל על ידי עובד בעל ידע ומומחיות/מיקור חוץ. הבדיקה תבחן את תהליך הפיתוח ובכלל זה:
  • תהליך פיתוח קוד המודל לרבות השיקולים בקביעת ההנחות המרכזיות ואופן יישומן
  • אופן הטיפול הכולל בנתונים
  • התאמת המודל לנתונים
  • קיום תהליך לקביעת המדדים שיבחנו את כושר הניבוי של המודל
  • אתגור המודלים הקיימים, במודלים מתחרים.

שימושים ודוחות פלט

  1. קיום תהליכי בקרה לבחינת סבירות תוצאות המודל טרם העברתם לגורם העסקי
  2. בחינת אפקטיביות השימוש בתוצרי המודל. אתגור תוצאות/שימושי המודל למול הפעילות העסקית

סיכום

מודלים מהווים כלי מרכזי בתהליכי קבלת החלטות בפעילויות הליבה של תאגידים עסקיים, פיננסיים ואחרים. לצד בדיקת ניהול סיכון המודל בכללותו, יש לשלב בתוכנית העבודה הרב שנתית ביקורות ברמת מודל בהתחשב ברמת החשיבות של המודל לארגון ותמיכתו בפעילות העסקית.

אפקטיביות הביקורת ברמת מודל טמונה ביכולת של המבקר להעריך את מידת התמיכה של המודל בפעילות העסקית, בהתאם למטרות שהוגדרו מראש. במילים אחרות – היכולת לכמת את הליקויים/חשיפות שאותרו בקוד המודל על הפעילות העסקית הינה האתגר המרכזי העומד לפתחו של המבקר.

אודות הכותב/ת

מירב שפר

חטיבת הביקורת הפנימית, בנק לאומי