حسابرسی مدیریت ریسک مدل: راهنمای جامع برای حسابرسان

مقدمه‌ای بر حسابرسی مدیریت ریسک مدل (MRM)

حسابرسی مدیریت ریسک مدل به یکی از ارکان اصلی در مقررات خدمات مالی در سراسر جهان تبدیل شده است. بانک‌ها و سایر سازمان‌های بزرگ خدمات مالی به طور گسترده‌ای بر مدل‌های ریاضی برای تصمیم‌گیری‌های تجاری و برآورده کردن الزامات قانونی تکیه می‌کنند. این مدل‌ها ذاتاً ریسک دارند، زیرا از نظریه‌های آماری، اقتصادی، مالی یا ریاضی استفاده می‌کنند که نیازمند مفروضات مبتنی بر قضاوت برای تخمین رویدادهای مالی در دنیای واقعی هستند. این فرآیند می‌تواند به نتایج نادرست یا غیردقیق منجر شود.

وابستگی روزافزون سازمان‌ها به مدل‌های تحلیلی کمی، توجه نظارتی را به مدیریت مؤثر ریسک مدل (MRM) افزایش داده است. با افزایش نظارت قانونی، واحد حسابرسی داخلی نقش کلیدی در ارزیابی چارچوب MRM یک سازمان ایفا می‌کند.

اهمیت تجاری: ریسک‌های کلیدی

ریسک مدل به عنوان «پتانسیل عواقب نامطلوب ناشی از تصمیمات مبتنی بر خروجی‌ها یا گزارش‌های نادرست یا سوءاستفاده شده از مدل» تعریف می‌شود. ریسک مدل به دو دلیل اصلی رخ می‌دهد:

1. خطاهای اساسی در داده‌ها، منطق، فرضیات و روش‌شناسی مدل که ممکن است خروجی‌های نادرستی در مقایسه با هدف طراحی شده و کاربردهای تجاری مورد نظر ایجاد کند.
2. استفاده نادرست یا نامناسب از مدل یا نتایج آن.

علاوه بر این، ریسک مدل تجمعی به ریسک‌های مرتبط بین مدل‌ها اشاره دارد که ناشی از ورودی‌ها و/یا مفروضات مشترک یا استفاده از خروجی یک مدل به عنوان ورودی برای مدل دیگر است.

نقش حسابرسی داخلی در مدیریت ریسک مدل

برای ارزیابی انطباق یک سازمان، حسابرسان داخلی باید درک کاملی از قوانین مربوط به سازمان خود و حوزه‌های قضایی که در آن فعالیت می‌کنند، داشته باشند. نقش حسابرسی داخلی در فرآیند MRM، ارزیابی اثربخشی چارچوب MRM است که شامل حاکمیت، سیاست‌ها، رویه‌ها و فعالیت‌های انجام شده برای مقابله با ریسک خطای مدل می‌باشد. حسابرسان داخلی مسئولیت انجام یا تکرار هیچ‌یک از فعالیت‌های ریسک مدل را بر عهده ندارند و باید مستقل باشند، مهارت‌های مرتبط را داشته باشند و یافته‌های خود را مستقیماً به هیئت مدیره گزارش دهند.

فرآیند مدیریت ریسک مدل

فرآیند MRM را می‌توان به سه حوزه فعالیت تقسیم کرد:

• حاکمیت، سیاست‌ها و کنترل‌ها
• توسعه، پیاده‌سازی و استفاده
• اعتبارسنجی اولیه و مستمر

این حوزه‌ها سیال هستند و نباید به عنوان نقاط شروع و پایان مشخص در نظر گرفته شوند.

حاکمیت، سیاست‌ها و کنترل‌های مدل

حاکمیت، سیاست‌ها، رویه‌ها و کنترل‌های مؤثر، اجزای ضروری یک چارچوب موفق MRM هستند. هیئت مدیره مسئولیت نهایی نظارت بر چارچوب MRM را بر عهده دارد، اما توسعه و اجرای دقیق آن به مدیریت ارشد واگذار می‌شود. سازمان‌ها باید سیاست‌ها و رویه‌های مرتبط با فرآیند MRM را به طور رسمی مستند کنند و نقش‌ها و مسئولیت‌ها را به وضوح تعریف نمایند. استفاده از مدل سه خط دفاعی یک رویه برتر برای ساختاربندی این نقش‌ها است.

توسعه، پیاده‌سازی و استفاده از مدل

هنگامی که یک شکاف در سبد مدل‌های سازمان شناسایی می‌شود، مدیریت باید تصمیم بگیرد که یک مدل جدید بسازد یا خریداری کند. توسعه‌دهندگان باید ورودی‌های داده مناسب را انتخاب کنند تا از کیفیت بالای داده‌های حاصل اطمینان حاصل شود. پس از ساخت و تست مدل توسط توسعه‌دهندگان، کاربران تجاری نیز باید آن را آزمایش کرده و بازخورد ارائه دهند. پس از اعتبارسنجی موفق، مدل وارد مرحله پیاده‌سازی برای تولید می‌شود.

اعتبارسنجی

اعتبارسنجی فرآیند تأیید عملکرد صحیح یک مدل است. این فرآیند معمولاً توسط یک شخص ثالث مستقل انجام می‌شود تا نتایج به طور عینی ارزیابی شوند. در مواردی که استفاده از شخص ثالث غیرعملی باشد، یک شخص مستقل دیگر مانند واحد حسابرسی داخلی باید نتایج تست را بررسی کند تا صحت اعتبارسنجی تأیید شود. طرف‌های درگیر در فرآیند اعتبارسنجی باید بتوانند مدل را به طور مؤثر به چالش بکشند.

برای اطلاعات بیشتر در مورد استانداردهای جهانی حسابرسی، می‌توانید به وب‌سایت موسسه حسابرسان داخلی (IIA) مراجعه کنید.

منبع: این مقاله بر اساس راهنمای عملی “Auditing Model Risk Management” منتشر شده توسط موسسه حسابرسان داخلی (The IIA) تهیه شده است.