警惕！银行风控模型或将“摇身一变”，成为风险缔造者

作者 | 祝世虎

来源 | 现代金融风险管理

头图 | CSDN下载自视觉中国

2011年，美联储发布了《模型风险管理监督指南（SR11-7）》（《SRLetter 11-7: Supervisory Guidance on Model Risk Management》），该指南逐步成为了模型风险管理（Model Risk Management, MRM）的行业标准。

在银行风险体系中，模型风险曾经被视为操作风险的一个分支，但如今已经逐渐发展为独立的风险类别，并且模型风险管理也发展成为了一个独立的研究领域。但是，国内研究模型风险管理的学者并不多，相关的文章也比较少，笔者撰写此文，仅为技术探讨，以期抛砖引玉。

警惕模型的“摇身一变”

笔者提醒，原本用于提高决策效率和控制风险的模型，可能会“摇身一变”，变为风险的制造者和传播者！

（一）模型应用的“一日千里”

近十年，模型在银行业的应用可以说是一日千里，银行的模型已经由Basel模型在资本计量的应用、IFRS9模型在拨备计提的应用，发展到人工智能和机器学习模型及其在数据分析、信贷审批、决策推断、客户管理等多领域的应用。并且，随着高级分析技术和大数据技术的快速发展和广泛接受，模型的应用将会推广至更多的业务领域，例如国内银行在互联网金融领域的探索，这个领域开发的模型数量之多、应用之广泛、算法之复杂，令世界刮目相看。这些模型在提升银行业务管理水平和自动化程度的同时，也加剧了模型风险管理的复杂性，对模型风险管理提出了严峻挑战。

（二）模型风险管理的“一夜成名”

国际上，美联储发布了《模型风险管理监督指南（SR11-7）》，并与《年度全面资本分析和审查（CCAR）》等严格的监管措施相结合，为美国银行建立了模型风险管理的规范，这个规范后续由美国推广到了欧洲，又推广到了亚洲，并逐步发展成为行业标准。

在国内，除了巴塞尔新资本协议、IFRS 9和一些特定领域法规外，模型风险管理并没有专门的规范。直到2020年7月17日，中国银保监会正式发布《商业银行互联网贷款管理暂行办法》，这是国内银行监管制度文件中首次涉及对模型管理的要求，办法中的第三章第三十七至四十二条，分别对风险模型管理流程、风险模型开发测试、风险模型评审、风险模型监测、风险模型退出、模型记录等提出了要求。虽然这只是一个针对互联网贷款的模型风险管理的要求，但足以使得“模型风险管理MRM”一夜之间成为了各金融机构关注的焦点。

（三）警惕模型的“摇身一变”

随着近几年金融科技在银行业的发展，银行的信用卡部门、零售业务部门、投资管理部门、风险管理部门甚至信息科技部门，都基于其自身的部门职责开展了数据挖掘和模型开发工作，并将模型应用在客户营销、风险管理、智能投顾、智能决策、收益评估等多个领域。

在模型应用一日千里的同时，模型风险管理并没有跟上模型应用的飞速发展，主要体现在：

➤ 模型管理没有集中化，模型资产分散，银行缺乏对全行模型状态的掌握；

➤ 模型开发、验证流程管理不规范，模型应用监控体系不完善；

➤ 模型的数据及特征管理缺乏统一性，数据缺少有效整合无法发挥效能，特征无法形成有效共享和复用，数据与模型的交互缺少顶层设计；

➤ 模型部署敏捷性不足，无法有效应对市场及流量的变化。

这些不足使得原本用来提高决策效率和控制风险的模型，可能会“摇身一变”，变为风险的制造者和传播者。

模型与模型风险

（一）模型的定义与范围

按照美联储《模型风险管理监督指南（SR 11-7）》的定义，模型是“应用统计、经济、金融或数学理论、技术和假设将输入数据处理为定量估计的量化方法、系统或途径”。

美联储对模型定义的范围很大，几乎涵盖了银行的各种“模型”或“策略”，从而引发了各金融机构与监管部门关于如何区分模型和策略的激烈争论。有一种观点认为，如果完全根据美联储的定义，一些银行的“策略”将会被界定为“模型”，从而纳入严格的模型监管框架内，成为一个沉重的监管负担，所以要区分模型和策略。笔者认为“模型VS策略”的争论毫无意义，其本质应该是风险等级划分的问题，为此笔者提出两个建议。

在实际操作中，模型与策略在输入输出、构建方法、使用方法等方面有着难以区分的相似性，刻意去区分模型与策略毫无实际意义，所以，笔者的第一个建议：银行应该本着审慎的风险管理原则，凡是经过“数据、特征、算法”并应用的“策略”和“模型”，都按照模型风险的管理框架来进行管理。这一点与目前北美银行的模型风险管理的发展方向相似，他们正在扩展模型风险管理的范围，涵盖了很多“类模型”和“类模型风险”的事物，例如行为风险和创新风险等。

但是考虑到银行“策略”和“模型”数量的迅速增加和监管的逐步趋严，模型风险管理将消耗银行大量的人力及IT资源，所以，笔者的第二个建议：应该先将模型风险分级，将银行的有限资源优先投入到高风险模型中，对于较低的模型风险仅需保证合规的底线即可。

（二）模型风险的定义

按照美联储《模型风险管理监督指南（SR 11-7）》的模型风险的标准定义：“模型的使用总是会带来模型风险。模型风险是基于有缺陷或误用的模型输出和报告做出决策的潜在后果。”这一定义后来成为了模型风险的行业标准定义。

简而言之，模型带来的风险称为模型风险。模型风险有两种表现形式：模型缺陷与模型误用。其中：

➤ 模型缺陷：包括模型设计、开发以及IT实施时发生的错误。

➤ 模型误用：包括把为A产品设计的模型直接套用在B产品上，或者是在市场环境或消费者行为习惯已经发生重大变化的情况下继续使用原有模型等。

我们要充分地认识到，一个小小的模型，在其应用中可能会导致巨大的风险。例如，1998年长期资本管理大型对冲基金（LTCM）由于其对冲策略和模型的失误，损失了其全部44亿美金的资本；2012年摩根大通因为CDS衍生品交易模型存在缺陷，导致60亿美金的亏损。

而在国内银行中，模型的应用更加广泛，随着银行数字化转型，随着模型被嵌入银行的自动化业务流程，模型风险被逐步放大。与国外相比，国内银行直接将模型用于信贷业务的审批，更是扩展了模型风险传播的渠道。

美国模型风险管理体系

（一）美国模型风险管理的方法论

美国模型监管体系围绕着“有效挑战（Effective Challenge）”建立了一套行之有效并且可以复制的方法论，挑战者必须具备能动力、胜任力、影响力三大要素。

➤ 能动力：指挑战者必须在组织上相对独立于模型的开发者并且有正向的激励去进行挑战。

➤ 胜任力：指挑战者本身必须具备相关的专业知识和技能。

➤ 影响力：指挑战者必须具备一定的权威和组织内的地位。

这套方法论的执行，形成了美国模型风险监管体系的“三道防线”的组织架构。

在此，笔者抛出一个问题，AI会不会成为一个有效的挑战者？笔者预见，AI工具一定会越来越多地作为有效挑战者，并应用于模型验证等领域。随着自动化建模技术的发展，笔者也在尝试将“自动化建模平台”视为一个有效挑战者，在模型验证过程中，自动化地完成模型验证环节的部分工作，降低人工的工作量。

（二）美国模型风险管理的具体要求

美国的模型风险监管体系对模型风险管理的具体要求体现在以下五个方面：模型清单（Model Inventory）、模型开发（Model Development）、模型实施与使用（Model Implementation and Model Use）、模型验证（Model Validation）、模型监控（Model Monitoring）。

➤ 模型清单：清单必须包含银行的全部模型，清单必须保证真实性、有效性和一致性。

➤ 模型开发：涵盖了模型开发的目的、方法论、数据使用、模型测试等多个方面的要求。

➤ 模型实施与使用：涵盖了模型的运行与模型运行IT系统的能力协调、模型的测试要求、模型的实施规范。根据笔者的经验，目前国内银行的模型开发能力远远超越银行模型运行平台的IT支撑能力。

➤ 模型验证：强调了模型验证的独立性，规范了模型验证的范围和对象，给出了初始验证、持续验证、定期复查的方法论，并建立了健全性、鲁棒性、敏感分析、复杂度等的指标体系。

➤ 模型监控：包含监控时间、监控条件、监控方法等。

（三）国内模型风险管理的发展现状

目前，国内银行也逐步重视模型风险管理，一些大中型银行纷纷开始了模型管理平台的建设，但是，与此同时也出现了一些问题：

1.重科技平台而轻组织架构

这个问题体现在：IT平台的建设如火如荼，但是相关的组织架构和制度流程建设明显滞后，各个部门仍然在“集中的”科技平台上“各自为政”。

2.重效率管理而轻风险管理

这个问题体现在：过于强调效率的提升，比如模型开发迭代和投产速度的提升、模型及特征的复用、自动化流程管理等，但是，对模型风险管理却很少体现，这反而可能会加大模型风险。

3.重个体风险而轻整体规划

这个问题体现在：过于着眼于某一个模型的个体风险，认为“只要管住了每一个模型的风险，就管住了所有模型的风险”，缺乏以系统的视角来看待模型风险，这将导致模型之间的关联风险，或由数据污染等原因所导致的模型风险将快速传导。

因此，笔者认为银行模型风险管理体系需要：一是制度建设和平台建设两手抓；二是效率管理与风险管理并重；三是要有模型风险管理的顶层规划，并逐步实施。除此之外，还有一些小问题，例如：重开发而轻应用、重首次部署而轻更新迭代等，这里就不一一赘述。

模型管理平台的建设

模型管理平台的建设与模型风险管理体系的建设，两者之间相辅相成不可分割，通过平台建设，可以实现：

➤ 集中化：模型相关的代码、文档的统一管理；

➤ 统一化：包括建模标准、模型验证标准、模型监控标准，甚至模型接口和数据接口等标准的统一管理；

➤ 流程化：打通模型开发、验证、测试和使用各环节；

➤ 自动化：实现模型自动化验证和监控；

➤ 资产化：构建模型资产，包含模型资产、特征资产、数据资产等，实现跨人员、跨团队的资产共享和复用。

➤ 其他：模型的可视化、文档的自动化、保密的自动化等。

（一）模型管理平台的四大目标

模型管理平台的建设可以从信息化管理、流程化管理、自动化管理等多个方面赋能模型风险管理体系。

1.模型和特征的信息化管理

对模型和特征进行信息化整合，将建模过程中特征加工、算法选择等各种信息形成信息流，形成企业级的模型资产库、特征资产库、算法资产库，形成有效共享和复用，降低模型开发成本。

2.模型开发的流程化管理

实现模型的统一注册和管理，将模型开发过程流程化，形成数据工厂、特征工厂、模型工厂的流水线作业，自动引导参与模型工作的各角色按照模型管理要求完成工作，并自动化记录工作过程。

3.模型验证和监控的自动化

针对模型验证工作的重复性，实现只需对接模型运行数据，即可为每个模型自动生成模型验证和报表，并可持续对模型表现进行跟踪和评估。

4.依托模型管理平台实现模型人员的“尽职免责”

一旦发生了模型风险事件，产生了损失，究竟是模型出现了偏差，还是市场变化、客群变化等非人为原因，在一般情况下很难区别。对此，笔者建议：如果模型开发流程都是严格按照模型管理平台的规范流程进行操作，则“尽职免责”。

（二）模型管理平台的十大功能模块

前文是从模型风险管理的业务角度来剖析模型管理平台的主要目标，现从科技实现的角度，来说明平台的组成模块以及其所实现的功能：

1.模型资产管理模块

此模块的主要功能是：以信息化的管理方式，将全行的模型、特征、算法进行集中管理，形成有效的模型资产、特征资产、算法资产。所有的资产，以“黑箱”的方式展示给银行的各个模型和数据的使用部门，缩短模型开发者与使用者的“距离”，增加模型、特征及算法的复用性，降低模型开发成本。

此模块的另一个功能是：对模型资产的记录，包括：模型的状态、模型的设计目标（使用场景、使用预期、使用限制）、模型接口、模型的有效期、模型开发和模型验证的责任人、模型日志等，从一定程度上减少模型误用。

2.模型开发流程管理模块

此模块的主要功能是：对模型开发进行流程管控，分解子任务和明确负责人，实现自动追踪和更新工作流程进度，自动联系子任务负责人。

3.自动化模型测试模块

此模块的主要功能是：自动化的评估模型总体和各组件功能，确保模型表现符合预期。具体功能包括：模型三性的测试（准确性、鲁棒性、稳定性）、模型局限性的测试、市场条件下的压力测试与极值测试、此模型与其他模型的关联关系的测试等。

4.自动化模型验证模块

很多金融科技公司都开发了自动化的建模平台，其宣称能够“自动化、智能化、高效化的生产模型”。从笔者的工作经验来看，银行风控模型的效能受数据及算法的共同影响，数据的充足性和特征的有效性对于模型效能的影响远远超过算法的影响，所以如笔者前文所述，模型验证过程中可以引入自动化的建模平台进行独立的模型验证，取代部分人力工作。

5.模型报告与报表服务模块

此模块的主要功能是，实现自动化、定制化的报告与报表。自动化指的是：模块根据设置好的时间和频率自动生成验证报告。定制化指的是：根据用户权限及报告需求，用户可以进行创建表，导入表，修改表等操作，并进行自定义报告配置。

6.模型预警模块

此模块的主要功能是根据预警规则反映模型的健康状况，自动反馈给平台，预警规则按照客户需求，可以包括模型表现、模型开发进度、甚至模型“误用”的情况等。

7.可视化模块

此模块的主要功能包含模型的可视化、特征的可视化、开发流程的可视化、预警的可视化。

8.用户角色及权限模块

出于模型的保密性要求，此模块统一在银行相关管理办法的约束下，由系统管理员统一管理，对于不同的角色分配不同的权限。

9.文档管理模块

模型文档建设是监管合规的重要要求，此模块的主要功能是将每个模型的全生命周期的文档进行统一管理，并对版本、内容进行必要的校验。结合笔者的工作经验，在模型文档的撰写中需要注意以下几个地方：

➤ 模型方法论的选择和比较。在笔者的实践中，对于某些特定场景，大数据模型并不一定比高维逻辑回归的模型有效。

➤ 模型数据及特征的选择和比较。在笔者的实践中，对于从数据到归一化特征的处理技巧，远比算法的参数调整，会对模型产生更大的影响。

➤ 模型接口的规范。在笔者的实践中，银行大量联合贷款的流量数据都是来自场景方，其数据质量远远不如银行本身的金融数据，所以需要严格明确接口规范。

10.系统管理模块

本模块包含管理规则的配置功能和系统日志管理功能等本身系统管理工具，尤其强调的是平台与数据源的数据传输能力与敏捷性。

（三）模型管理平台的逻辑架构

模型管理平台建设的主要目的：一是，发挥数据、算法的最大效能，赋能业务发展；二是，以工厂流水线的方式加工数据、特征、模型，减少重复工作，提高工作效率，并降低模型风险。

模型管理平台的逻辑架构如下：首先，数据工厂统一汇总银行的大数据资源，规范数据来源、数据口径、数据标准和存储架构，并实现内外部数据有效整合；其次，特征工厂从数据层进行特征萃取，并形成稳定的特征层；再次，模型工厂从特征层进行模型的开发工作；最后，由模型服务平台向全行提供“模型服务”。

数据是数字科技时代的生产资料，将银行内部和外部数据进行有效整合，将实现数据驱动，极大程度赋能银行业务。算法与数据结合，将充分激发数据的效能，共同构筑数字科技时代的新型生产力。笔者认为其技术难点在于：数据的有效整合、算法的通用性解耦、算法与数据（参数）的合理封装，在此不做过多赘述。

构筑模型风险管理体系

（一）模型风险管理的组织架构

无论是美联储的《模型风险管理监督指南（SR11-7）》，还是中国银保监会正式发布《商业银行互联网贷款管理暂行办法》，对于风险管理体系的组织架构要求，基本都是“三道防线”的架构，三道防线在组织上相互独立，职责上各司其职，并且同时向银行的董事会或者高级管理层负责。

➤ 第一道防线：模型的开发和使用部门，职责为：模型的开发、实施、使用，并配合模型的验证和监控。

➤ 第二道防线：模型的验证部门，职责为：对模型进行独立验证。

➤ 第三道防线：内部审计部门，职责为：审查和评估模型风险管理是否完整、严谨、有效。

这三道防线的作用是显而易见的，但是，笔者建议加大第二道防线中模型验证部门的“挑战激励”，将“成功挑战”纳入模型验证人员的KPI激励中。在实际工作中，“挑战思维”在银行似乎有些另类，以挑战为目的模型验证在银行的传统文化中慢慢的回归于“合规思维”，因此笔者建议，将“成功挑战”纳入模型验证人员的KPI激励中。

另外，笔者预言，金融科技将实现模型风险“端到端”的管理，并有效整合第一道防线与第二道防线的职责。随着金融科技的发展，在信贷审批领域已经实现了端到端的风险管理，这种新的风险管理模式实际上是跨越第一道和第二道防线。与此相似，对模型风险进行端到端的管理也将会得到认可和普及，模型管理平台的搭建将有效的、自动化的、流程化的整合第一道防线与第二道防线的职责。

（二）模型风险管理的政策体系

政策体系不仅要自上而下的包含组织架构、部门职责，更应该细化到具体的报告模版。政策体系的建立，应该是银行的强项，所以，笔者根据自己的工作经验，提出三点建议：

1.设计良好的风险传导机制，将模型风险有效整合进银行的风险偏好，纳入银行全面风险管理体系。

2.模型技术部门需从以技术为主的职能定位过渡到模型风险管理的管理定位。

3.需要建立一套模型风险管理团队与高级管理层合适的沟通方式，以便与高级管理人员交流技术话题。

银行面临的挑战：人才

人才的严重短缺是一大挑战，因为该领域的人员不仅需要数据科学和高级分析技术方面的专业知识，还需要风险管理和业务经验。在金融生态系统中，科技公司、金融公司、互联网公司、银行都在争夺这一类技术人才。所以，如何在激烈的竞争中吸引和留住人才，是银行面临的主要挑战。

作者简介：

祝世虎，现任光大银行智能风控中心VP。为北京大学第一批人工智能专业的博士，毕业后在一直从事风险管理相关工作，目前主要工作领域为：智能风控、互联网金融等。在智能风控领域，祝先生拥有十余项算法专利，相关论著被多家媒体发表，并多次获得人民银行、银保监会的奖项，多次作为主讲嘉宾参与国内外智能风控的论坛。

更多精彩推荐

AI 隐身术，能让物体在视频中消失的魔法
有了图分析，可解释的AI还远吗？
九问国产操作系统，九大掌门人首次同台激辩
苹果正式发布自研 M1 处理器；神州数码回应：未与华为就荣耀出售达成任何协议；Ant Design 4.8.1发布|极客头条
腾讯竟然是这样招人的，哈哈哈哈哈