孫海剛 郭學濤

隨著以大數(shù)據(jù)、機器學習、深度學習為基礎的人工智能技術在銀行業(yè)應用的不斷深入，商業(yè)銀行的數(shù)字化轉型也在快速推進。一些銀行開始通過大數(shù)據(jù)構建機器學習模型，并嵌入到自動化的信貸業(yè)務審批流程中，幫助預警風險，提升風險管理水平，同時也幫助改進傳統(tǒng)模型過度依賴專家經驗和規(guī)則的缺陷。例如，量化指標維度過少，難以挖掘復雜的數(shù)據(jù)關聯(lián)特征，過度依賴模型設計者的主觀因素導致特征不適合、不完整等。然而，模型自身的缺陷或誤用也無疑會產生新的風險，加上監(jiān)管部門對銀行數(shù)據(jù)挖掘模型等核心技術自主掌控的要求在逐步嚴格，銀行必須建立一套企業(yè)級的模型風險管理框架和體系，做到模型的可追溯、可解釋，遇到內部審核和外部監(jiān)管檢查時才能有據(jù)可依， 并以最小風險博取最大收益。

模型風險

風險模型和模型風險

風險管理是商業(yè)銀行可持續(xù)發(fā)展的基本保障，其目標是尋求最小風險下的最大盈利。風險識別、風險分析與評價、風險控制和風險決策是風險管理的主要內容。

模型是指用統(tǒng)計、數(shù)學、經濟、金融工程等計量方法、假設或技術手段，將輸入數(shù)據(jù)處理為量化估值的方法和途徑。風險模型是指金融機構在風險管控中用于風險識別、分析、評估、預警、管控和決策的各種規(guī)則、策略、量化方法和算法等。

模型風險是指模型自身缺陷或使用錯誤帶來的風險。巴塞爾新資本協(xié)議定義的金融業(yè)風險類型主要是信用風險、市場風險和操作風險三類，這三大風險類型都非常依賴模型進行風險的管理。

進入數(shù)字金融時代，數(shù)據(jù)和模型不僅是銀行風險管理的核心要素，也是衡量一家銀行在更嚴格、更審慎的監(jiān)管要求下風險管理水平的重要標志。數(shù)據(jù)要幫助銀行的智能化風險決策，模型是關鍵。但如果基于有缺陷或誤用的模型輸出進行決策就可能造成不良后果。

模型風險的來源和危害

模型風險的來源主要有兩個方面： 一是模型自身缺陷產生的風險。最近幾年在機器學習和深度學習算法領域參與模型構建的人員水平參差不齊，在模型設計、開發(fā)、驗證過程中都可能發(fā)生錯誤，如設計錯誤、假設錯誤、變量缺失、數(shù)據(jù)噪音等。二是模型使用不當帶來的風險。在市場環(huán)境、業(yè)務場景或客戶情況發(fā)生重大變化后沒有及時升級和優(yōu)化原有模型，會產生意外的風險。如實際場景與開發(fā)場景匹配不當、模型使用范圍錯誤、業(yè)務場景變化導致模型失效、跨區(qū)域使用等。

模型風險給銀行帶來損失的嚴重性是不可低估的。2012年，摩根大通（JP Morgan）因一個錯誤的VaR模型造成了62億美元的交易損失。1998年長期資本管理公司（LTCM）由于交易策略模型中的一個小錯誤，導致杠桿被放大了幾個數(shù)量級，最終造成公司倒閉。遺憾的是，該公司雖然擁有兩位世界著名的諾貝爾經濟學獎獲得者，但也沒能逃過特定市場環(huán)境下模型失敗造成的惡果。

模型風險管理不善可能導致的不良后果，不僅有財務損失、業(yè)務和戰(zhàn)略決策偏差、銀行聲譽損害，也可能會帶來監(jiān)管風險，受到監(jiān)管處罰等。

模型風險管理的國外經驗

世界發(fā)達國家先后發(fā)布了模型風險管理的相關監(jiān)管法規(guī)，明確了其框架和管理體系。

美國是最早發(fā)布模型風險管理監(jiān)管法規(guī)的國家。美聯(lián)儲于2011年4月發(fā)布的《模型風險管理監(jiān)管指引》被認為是模型風險管理的里程碑。除了明確定義了模型風險管理，它還制定了實施、評估、驗證等相關的制度。美國銀行業(yè)模型風險管理采用“三道防線”戰(zhàn)略：第一道防線負責模型的開發(fā)、部署、使用;第二道防線負責對所有模型進行獨立驗證;第三道防線負責審查模型風險管理是否完整、有效、合規(guī)。

已發(fā)布模型風險管理法規(guī)的國家還有不少。例如，英國英格蘭銀行審慎監(jiān)管局于2018年發(fā)布的《壓力測試模型風險管理原則》，規(guī)定了識別和管控壓力測試模型風險的政策和流程。加拿大聯(lián)邦金融機構監(jiān)督辦公室2017年發(fā)布的《存款機構模型風險管理》，對模型的管理周期、模型外部供應商、模型內部審計、模型存儲庫等內容制定了相關規(guī)范。歐盟歐洲中央銀行2018年發(fā)布了《歐洲中央銀行內部模型指南》，規(guī)定了模型風險的標準。

我國模型風險管理的問題和優(yōu)化路徑

現(xiàn)狀和問題

在模型風險監(jiān)管層面，我國也有相關法規(guī)出臺。2013年開始施行的《商業(yè)銀行資本管理辦法》中涉及的高級計量法和內部評級法針對的是市場風險與操作風險下的所有模型;銀保監(jiān)會在2020年7月發(fā)布的《商業(yè)銀行互聯(lián)網(wǎng)貸款管理暫行辦法》主要針對的是金融機構開展互聯(lián)網(wǎng)貸款業(yè)務的監(jiān)管要求，其中涉及互聯(lián)網(wǎng)貸款業(yè)務全流程的各類風險模型，包括身份認證模型、反欺詐模型、反洗錢模型、合規(guī)模型、風險評價模型、風險定價模型、授信審批模型、風險預警模型、貸款清收模型等。

我國商業(yè)銀行內部的模型風險管理工作還處在起步階段，亟待完善。目前絕大多數(shù)中小銀行的風控模型還是依賴于傳統(tǒng)的專家經驗和業(yè)務規(guī)則，其準確率和召回率通常都不盡理想。信貸風控僅僅依靠“ABCF”評分卡（Application-Behavior-Collection-Finance Scorecard）決定授信、調額、清收、定價的方式顯然過于粗糙，能夠阻斷風險的概率并不理想。

最近幾年，風險模型應用更新迭代飛快，從傳統(tǒng)的信用評分卡模型、債券類利率產品定價的BDT模型（Black-Derman-Toy Model）等，發(fā)展到用復雜的機器學習、深度學習模型幫助快速線上自動信貸審批、精準營銷、產品線索推薦、全渠道運營分析和預測等多個業(yè)務領域。但銀行的模型風險管理并沒有跟上應用的飛速發(fā)展，主要體現(xiàn)在：自身缺乏模型設計能力，不得不依賴外部公司;模型分散在各個系統(tǒng)而且多是“黑匣子”，不僅缺乏可解釋能力，更難以統(tǒng)一管理;模型的使用者事前不知道模型的效果和準確性，只有在事后才能評估和驗證;用于建模的數(shù)據(jù)和特征缺乏標準，評估和驗證缺乏科學的量化指標，主要靠經驗判斷。

我國多數(shù)商業(yè)銀行對模型可能帶來的風險還沒有引起足夠的重視，模型風險管理的范圍還停留在滿足監(jiān)管合規(guī)的要求上。未來，線上業(yè)務和離線業(yè)務的風險模型管理都需要統(tǒng)一規(guī)劃設計，建立一套模型風險管理的框架和體系，針對模型生命周期的各個環(huán)節(jié)，包括設計、開發(fā)、測試、評審、部署、驗證、監(jiān)測、報告、更新、退出等，制定出具體的管理流程和機制。否則，不僅難以規(guī)避模型可能帶來的風險，還有可能觸碰監(jiān)管的紅線。盡管這對多數(shù)中小銀行是個巨大的挑戰(zhàn)，但勢在必行。

我國模型風險管理的優(yōu)化路徑

商業(yè)銀行要做好數(shù)字化轉型就必須做好模型風險管理。中國銀保監(jiān)會2020年發(fā)布的《商業(yè)銀行互聯(lián)網(wǎng)貸款管理暫行辦法》對金融機構的模型風險管理提出了重要要求。模型管理體系的建立和完善對銀行的風險管理流程是一場巨大的變革，從組織架構、制度、流程、合規(guī)和技術工具等方面都需要改進甚至重塑。

我國商業(yè)銀行內部的模型風險管理框架，可借鑒美國銀行業(yè)的“三道防線”進行頂層設計，采用“3+1”策略。第一道防線是模型的使用部門和開發(fā)部門。這里使用模型的業(yè)務部門和負責模型開發(fā)的技術部門的融合協(xié)同至關重要，模型開發(fā)人員必須從以技術開發(fā)為主的職能過渡到模型風險管理的定位才能見效，技術人員不深入理解業(yè)務流程就無法構建高效準確的模型。第二道防線是模型驗證部門。這道防線要規(guī)避模型使用部門既是運動員又當裁判員可能導致的模型風險，也要避免模型驗證部門自行修改模型驗證準則的可能性。第三道防線是內部審計部門。內部審計部門要嚴格把關，保證銀行內部的“三道防線”符合監(jiān)管為基本要求。

從整體框架上講，外部的政府監(jiān)管是模型風險管理的最后一關。監(jiān)管機構依照制定的政策和標準對某些模型風險進行審查，對不合規(guī)的可以采取勒令限期整改、罰款、或者更加嚴厲的處罰措施。

銀行內部模型風險管理的開展，不僅是風險部門的事情，也是一件與全行多個部門都相關的工作。使用模型的業(yè)務部門應考慮模型在業(yè)務上的可解釋性等問題; 風險部門關注的是全行有多少模型在開發(fā)、驗證、運行，是否需要更新或退役; IT部門應確保上線的模型與開發(fā)的模型的一致性，系統(tǒng)升級或數(shù)據(jù)遷移不能影響已上線模型輸出結果的正確性等。

商業(yè)銀行內部的模型風險管理要建立一套完整的體系，包括但不限于下列內容：

高效能的組織架構框架，明確各相關方的職責分工。依據(jù)國內外專家的經驗和建議，具有權威性和獨立性的模型風險管理組織架構和完善的制度至關重要。權威性是指銀行模型風險管理工作需要由董監(jiān)高擔負主責，管理好模型，才能管理好風險。獨立性是指在組織架構上要保證相互獨立。“三道防線”在組織上相互獨立，職責上各司其職，工作中協(xié)同合作，但需要各自向銀行的董事會或者高級管理層負責。

全生命周期管理。模型的全生命周期管理，主要是模型開發(fā)、驗證和部署三個環(huán)節(jié)，但也包含了模型概念化、模型設計、模型開發(fā)、模型投產前驗證、模型評估和審批、模型部署、模型上線、模型投產后驗證和監(jiān)控、模型退役和歸檔等多個環(huán)節(jié)。模型全生命周期管理的目標是統(tǒng)一模型特征、統(tǒng)一模型開發(fā)與測試、統(tǒng)一模型管理、統(tǒng)一模型部署、統(tǒng)一模型運行和統(tǒng)一模型評估與優(yōu)化。

模型管理平臺。要有效開展模型風險管理，模型管理平臺是必不可少的工具。要結合自身實際設計一些重要的模塊，如特征管理、模型訓練、模型管理、模型運行監(jiān)控等，既要滿足業(yè)務需求，又必須符合監(jiān)管合規(guī)要求。

模型實驗室。風控模型不斷演進，模型研發(fā)能力快速迭代，催生模型實驗室體系的建立。其目的是提高模型研發(fā)效能， 規(guī)范模型開發(fā)流程，積累并傳承模型研發(fā)知識與經驗，提升模型建設的精細化管理，夯實基礎，持續(xù)提升模型建設能力。模型實驗室的建立從整體框架設計、工具選型、管理流程設計到平臺搭建并非一蹴而就，需要逐步推進。

模型風險管理應用的展望

在傳統(tǒng)的銀行風險管理體系中，風險模型的構建更多是基于量化理論，使用的變量相對較少，可視為操作風險的一種。但隨著銀行積累的內外部數(shù)據(jù)的日益增多和復雜機器學習技術的應用，風控模型在快速演進，不僅有靜態(tài)模型，也有用于實時數(shù)據(jù)決策的動態(tài)模型。模型風險已發(fā)展為一種單獨的風險類別，數(shù)據(jù)驅動的模型風險管理也逐漸成為一個擁有明確定義和理論體系的學科。

長遠來看，模型風險管理的推進或將影響銀行內部風險管理的流程、職能劃分和組織架構。數(shù)據(jù)驅動的風險管理模式正在重塑銀行內部的風險部門職能，以提升內部運轉效率和業(yè)務發(fā)展。例如，有一些銀行把數(shù)據(jù)分析與模型管理部門融合進風險業(yè)務部門，嘗試在風險審批部下設立審批數(shù)據(jù)分析與模型管理團隊，針對貸前審批環(huán)節(jié)提供數(shù)據(jù)分析、報表開發(fā)、模型開發(fā)與管理等支持。

在新的金融生態(tài)下，傳統(tǒng)風險管理體系缺乏靈活性，而以數(shù)據(jù)驅動和人工智能為基礎的智能風控技術覆蓋面廣、維度豐富、實時性高。未來的風險管理將會進一步嵌入到模型管理中，人工智能工具也會越來越多地用于執(zhí)行模型風險管理的任務。但要做好模型風險管理，需要數(shù)據(jù)科學和高級分析技術方面的專業(yè)知識，更需要對業(yè)務流程和風險管理的復合經驗，這類人才在市場上的爭奪將非常激烈。如何吸引人才、留住人才、打造優(yōu)秀的團隊也是銀行模型風險管理的重大挑戰(zhàn)。

（本文僅為學術探討，觀點與作者單位無關）

（作者單位：鄭州銀行，其中孫海剛系鄭州銀行副行長）