商业银行构建模型风险管理框架的思考
随着以大数据、机器学习、深度学习为基础的人工智能技术在银行业应用的不断深入,商业银行的数字化转型也在快速推进。一些银行开始通过大数据构建机器学习模型,并嵌入到自动化的信贷业务审批流程中,帮助预警风险,提升风险
随着以大数据、机器学习、深度学习为基础的人工智能技术在银行业应用的不断深入,商业银行的数字化转型也在快速推进。一些银行开始通过大数据构建机器学习模型,并嵌入到自动化的信贷业务审批流程中,帮助预警风险,提升风险管理水平,同时也帮助改进传统模型过度依赖专家经验和规则的缺陷。例如,量化指标维度过少,难以挖掘复杂的数据关联特征,过度依赖模型设计者的主观因素导致特征不适合、不完整等。然而,模型自身的缺陷或误用也无疑会产生新的风险,加上监管部门对银行数据挖掘模型等核心技术自主掌控的要求在逐步严格,银行必须建立一套企业级的模型风险管理框架和体系,做到模型的可追溯、可解释,遇到内部审核和外部监管检查时才能有据可依, 并以最小风险博取最大收益。 模型风险 风险模型和模型风险 风险管理是商业银行可持续发展的基本保障,其目标是寻求最小风险下的最大盈利。风险识别、风险分析与评价、风险控制和风险决策是风险管理的主要内容。 模型是指用统计、数学、经济、金融工程等计量方法、假设或技术手段,将输入数据处理为量化估值的方法和途径。风险模型是指金融机构在风险管控中用于风险识别、分析、评估、预警、管控和决策的各种规则、策略、量化方法和算法等。 模型风险是指模型自身缺陷或使用错误带来的风险。巴塞尔新资本协议定义的金融业风险类型主要是信用风险、市场风险和操作风险三类,这三大风险类型都非常依赖模型进行风险的管理。 进入数字金融时代,数据和模型不仅是银行风险管理的核心要素,也是衡量一家银行在更严格、更审慎的监管要求下风险管理水平的重要标志。数据要帮助银行的智能化风险决策,模型是关键。但如果基于有缺陷或误用的模型输出进行决策就可能造成不良后果。 模型风险的来源和危害 模型风险的来源主要有两个方面:一是模型自身缺陷产生的风险。最近几年在机器学习和深度学习算法领域参与模型构建的人员水平参差不齐,在模型设计、开发、验证过程中都可能发生错误,如设计错误、假设错误、变量缺失、数据噪音等。二是模型使用不当带来的风险。在市场环境、业务场景或客户情况发生重大变化后没有及时升级和优化原有模型,会产生意外的风险。如实际场景与开发场景匹配不当、模型使用范围错误、业务场景变化导致模型失效、跨区域使用等。 模型风险给银行带来损失的严重性是不可低估的。2012年,摩根大通(JP Morgan)因一个错误的VaR模型造成了62亿美元的交易损失。1998年长期资本管理公司(LTCM)由于交易策略模型中的一个小错误,导致杠杆被放大了几个数量级,最终造成公司倒闭。遗憾的是,该公司虽然拥有两位世界著名的诺贝尔经济学奖获得者,但也没能逃过特定市场环境下模型失败造成的恶果。 模型风险管理不善可能导致的不良后果,不仅有财务损失、业务和战略决策偏差、银行声誉损害,也可能会带来监管风险,受到监管处罚等。 模型风险管理的国外经验 世界发达国家先后发布了模型风险管理的相关监管法规,明确了其框架和管理体系。 美国是最早发布模型风险管理监管法规的国家。美联储于2011年4月发布的《模型风险管理监管指引》被认为是模型风险管理的里程碑。除了明确定义了模型风险管理,它还制定了实施、评估、验证等相关的制度。美国银行业模型风险管理采用“三道防线”战略:第一道防线负责模型的开发、部署、使用;第二道防线负责对所有模型进行独立验证;第三道防线负责审查模型风险管理是否完整、有效、合规。 已发布模型风险管理法规的国家还有不少。例如,英国英格兰银行审慎监管局于2018年发布的《压力测试模型风险管理原则》,规定了识别和管控压力测试模型风险的政策和流程。加拿大联邦金融机构监督办公室2017年发布的《存款机构模型风险管理》,对模型的管理周期、模型外部供应商、模型内部审计、模型存储库等内容制定了相关规范。欧盟欧洲中央银行2018年发布了《欧洲中央银行内部模型指南》,规定了模型风险的标准。 我国模型风险管理的问题和优化路径 现状和问题 在模型风险监管层面,我国也有相关法规出台。2013年开始施行的《商业银行资本管理办法》中涉及的高级计量法和内部评级法针对的是市场风险与操作风险下的所有模型;银保监会在2020年7月发布的《商业银行互联网贷款管理暂行办法》主要针对的是金融机构开展互联网贷款业务的监管要求,其中涉及互联网贷款业务全流程的各类风险模型,包括身份认证模型、反欺诈模型、反洗钱模型、合规模型、风险评价模型、风险定价模型、授信审批模型、风险预警模型、贷款清收模型等。 我国商业银行内部的模型风险管理工作还处在起步阶段,亟待完善。目前绝大多数中小银行的风控模型还是依赖于传统的专家经验和业务规则,其准确率和召回率通常都不尽理想。信贷风控仅仅依靠“ABCF”评分卡(Application-Behavior-Collection-Finance Scorecard)决定授信、调额、清收、定价的方式显然过于粗糙,能够阻断风险的概率并不理想。 最近几年,风险模型应用更新迭代飞快,从传统的信用评分卡模型、债券类利率产品定价的BDT模型(Black-Derman-Toy Model)等,发展到用复杂的机器学习、深度学习模型帮助快速线上自动信贷审批、精准营销、产品线索推荐、全渠道运营分析和预测等多个业务领域。但银行的模型风险管理并没有跟上应用的飞速发展,主要体现在:自身缺乏模型设计能力,不得不依赖外部公司;模型分散在各个系统而且多是“黑匣子”,不仅缺乏可解释能力,更难以统一管理;模型的使用者事前不知道模型的效果和准确性,只有在事后才能评估和验证;用于建模的数据和特征缺乏标准,评估和验证缺乏科学的量化指标,主要靠经验判断。 我国多数商业银行对模型可能带来的风险还没有引起足够的重视,模型风险管理的范围还停留在满足监管合规的要求上。未来,线上业务和离线业务的风险模型管理都需要统一规划设计,建立一套模型风险管理的框架和体系,针对模型生命周期的各个环节,包括设计、开发、测试、评审、部署、验证、监测、报告、更新、退出等,制定出具体的管理流程和机制。否则,不仅难以规避模型可能带来的风险,还有可能触碰监管的红线。尽管这对多数中小银行是个巨大的挑战,但势在必行。 我国模型风险管理的优化路径 商业银行要做好数字化转型就必须做好模型风险管理。中国银保监会2020年发布的《商业银行互联网贷款管理暂行办法》对金融机构的模型风险管理提出了重要要求。模型管理体系的建立和完善对银行的风险管理流程是一场巨大的变革,从组织架构、制度、流程、合规和技术工具等方面都需要改进甚至重塑。 我国商业银行内部的模型风险管理框架,可借鉴美国银行业的“三道防线”进行顶层设计,采用“3+1”策略。第一道防线是模型的使用部门和开发部门。这里使用模型的业务部门和负责模型开发的技术部门的融合协同至关重要,模型开发人员必须从以技术开发为主的职能过渡到模型风险管理的定位才能见效,技术人员不深入理解业务流程就无法构建高效准确的模型。第二道防线是模型验证部门。这道防线要规避模型使用部门既是运动员又当裁判员可能导致的模型风险,也要避免模型验证部门自行修改模型验证准则的可能性。第三道防线是内部审计部门。内部审计部门要严格把关,保证银行内部的“三道防线”符合监管为基本要求。 从整体框架上讲,外部的政府监管是模型风险管理的最后一关。监管机构依照制定的政策和标准对某些模型风险进行审查,对不合规的可以采取勒令限期整改、罚款、或者更加严厉的处罚措施。 银行内部模型风险管理的开展,不仅是风险部门的事情,也是一件与全行多个部门都相关的工作。使用模型的业务部门应考虑模型在业务上的可解释性等问题;风险部门关注的是全行有多少模型在开发、验证、运行,是否需要更新或退役;IT部门应确保上线的模型与开发的模型的一致性,系统升级或数据迁移不能影响已上线模型输出结果的正确性等。 商业银行内部的模型风险管理要建立一套完整的体系,包括但不限于下列内容: 高效能的组织架构框架,明确各相关方的职责分工。依据国内外专家的经验和建议,具有权威性和独立性的模型风险管理组织架构和完善的制度至关重要。权威性是指银行模型风险管理工作需要由董监高担负主责,管理好模型,才能管理好风险。独立性是指在组织架构上要保证相互独立。“三道防线”在组织上相互独立,职责上各司其职,工作中协同合作,但需要各自向银行的董事会或者高级管理层负责。 全生命周期管理。模型的全生命周期管理,主要是模型开发、验证和部署三个环节,但也包含了模型概念化、模型设计、模型开发、模型投产前验证、模型评估和审批、模型部署、模型上线、模型投产后验证和监控、模型退役和归档等多个环节。模型全生命周期管理的目标是统一模型特征、统一模型开发与测试、统一模型管理、统一模型部署、统一模型运行和统一模型评估与优化。 模型管理平台。要有效开展模型风险管理,模型管理平台是必不可少的工具。要结合自身实际设计一些重要的模块,如特征管理、模型训练、模型管理、模型运行监控等,既要满足业务需求,又必须符合监管合规要求。 模型实验室。风控模型不断演进,模型研发能力快速迭代,催生模型实验室体系的建立。其目的是提高模型研发效能, 规范模型开发流程,积累并传承模型研发知识与经验,提升模型建设的精细化管理,夯实基础,持续提升模型建设能力。模型实验室的建立从整体框架设计、工具选型、管理流程设计到平台搭建并非一蹴而就,需要逐步推进。 模型风险管理应用的展望 在传统的银行风险管理体系中,风险模型的构建更多是基于量化理论,使用的变量相对较少,可视为操作风险的一种。但随着银行积累的内外部数据的日益增多和复杂机器学习技术的应用,风控模型在快速演进,不仅有静态模型,也有用于实时数据决策的动态模型。模型风险已发展为一种单独的风险类别,数据驱动的模型风险管理也逐渐成为一个拥有明确定义和理论体系的学科。 长远来看,模型风险管理的推进或将影响银行内部风险管理的流程、职能划分和组织架构。数据驱动的风险管理模式正在重塑银行内部的风险部门职能,以提升内部运转效率和业务发展。例如,有一些银行把数据分析与模型管理部门融合进风险业务部门,尝试在风险审批部下设立审批数据分析与模型管理团队,针对贷前审批环节提供数据分析、报表开发、模型开发与管理等支持。 在新的金融生态下,传统风险管理体系缺乏灵活性,而以数据驱动和人工智能为基础的智能风控技术覆盖面广、维度丰富、实时性高。未来的风险管理将会进一步嵌入到模型管理中,人工智能工具也会越来越多地用于执行模型风险管理的任务。但要做好模型风险管理,需要数据科学和高级分析技术方面的专业知识,更需要对业务流程和风险管理的复合经验,这类人才在市场上的争夺将非常激烈。如何吸引人才、留住人才、打造优秀的团队也是银行模型风险管理的重大挑战。 (本文仅为学术探讨,观点与作者单位无关) 作者单位:郑州银行, 其中孙海刚系郑州银行副行长