警惕!銀行風控模型或將“搖身一變”,成為風險締造者

語言: CN / TW / HK

作者 | 祝世虎

來源 | 現代金融風險管理

頭圖 | CSDN下載自視覺中國

2011年,美聯儲釋出了《模型風險管理監督指南(SR11-7)》(《SRLetter 11-7: Supervisory Guidance on Model Risk Management》),該指南逐步成為了模型風險管理(Model Risk Management, MRM)的行業標準。

在銀行風險體系中,模型風險曾經被視為操作風險的一個分支,但如今已經逐漸發展為獨立的風險類別,並且模型風險管理也發展成為了一個獨立的研究領域。但是,國內研究模型風險管理的學者並不多,相關的文章也比較少,筆者撰寫此文,僅為技術探討,以期拋磚引玉。

警惕模型的“搖身一變”

筆者提醒,原本用於提高決策效率和控制風險的模型,可能會“搖身一變”,變為風險的製造者和傳播者!

(一)模型應用的“一日千里”

近十年,模型在銀行業的應用可以說是一日千里,銀行的模型已經由Basel模型在資本計量的應用、IFRS9模型在撥備計提的應用,發展到人工智慧和機器學習模型及其在資料分析、信貸審批、決策推斷、客戶管理等多領域的應用。並且,隨著高階分析技術和大資料技術的快速發展和廣泛接受,模型的應用將會推廣至更多的業務領域,例如國內銀行在網際網路金融領域的探索,這個領域開發的模型數量之多、應用之廣泛、演算法之複雜,令世界刮目相看。這些模型在提升銀行業務管理水平和自動化程度的同時,也加劇了模型風險管理的複雜性,對模型風險管理提出了嚴峻挑戰。

(二)模型風險管理的“一夜成名”

國際上,美聯儲釋出了《模型風險管理監督指南(SR11-7)》,並與《年度全面資本分析和審查(CCAR)》 等嚴格的監管措施相結合,為美國銀行建立了模型風險管理的規範,這個規範後續由美國推廣到了歐洲,又推廣到了亞洲,並逐步發展成為行業標準。

在國內,除了巴塞爾新資本協議、IFRS 9和一些特定領域法規外,模型風險管理並沒有專門的規範。直到2020年7月17日,中國銀保監會正式釋出《商業銀行網際網路貸款管理暫行辦法》,這是國內銀行監管制度檔案中首次涉及對模型管理的要求,辦法中的第三章第三十七至四十二條,分別對風險模型管理流程、風險模型開發測試、風險模型評審、風險模型監測、風險模型退出、模型記錄等提出了要求。雖然這只是一個針對網際網路貸款的模型風險管理的要求,但足以使得“模型風險管理MRM”一夜之間成為了各金融機構關注的焦點。

(三)警惕模型的“搖身一變”

隨著近幾年金融科技在銀行業的發展,銀行的信用卡部門、零售業務部門、投資管理部門、風險管理部門甚至資訊科技部門,都基於其自身的部門職責開展了資料探勘和模型開發工作,並將模型應用在客戶營銷、風險管理、智慧投顧、智慧決策、收益評估等多個領域。

在模型應用一日千里的同時,模型風險管理並沒有跟上模型應用的飛速發展,主要體現在:

➤ 模型管理沒有集中化,模型資產分散,銀行缺乏對全行模型狀態的掌握;

➤ 模型開發、驗證流程管理不規範,模型應用監控體系不完善;

➤ 模型的資料及特徵管理缺乏統一性,資料缺少有效整合無法發揮效能,特徵無法形成有效共享和複用,資料與模型的互動缺少頂層設計;

➤ 模型部署敏捷性不足,無法有效應對市場及流量的變化。

這些不足使得原本用來提高決策效率和控制風險的模型,可能會“搖身一變”,變為風險的製造者和傳播者。

模型與模型風險

(一)模型的定義與範圍

按照美聯儲《模型風險管理監督指南(SR 11-7)》的定義,模型是“應用統計、經濟、金融或數學理論、技術和假設將輸入資料處理為定量估計的量化方法、系統或途徑”。

美聯儲對模型定義的範圍很大,幾乎涵蓋了銀行的各種“模型”或“策略”,從而引發了各金融機構與監管部門關於如何區分模型和策略的激烈爭論。有一種觀點認為,如果完全根據美聯儲的定義,一些銀行的“策略”將會被界定為“模型”,從而納入嚴格的模型監管框架內,成為一個沉重的監管負擔,所以要區分模型和策略。筆者認為“模型VS策略”的爭論毫無意義,其本質應該是風險等級劃分的問題,為此筆者提出兩個建議。

在實際操作中,模型與策略在輸入輸出、構建方法、使用方法等方面有著難以區分的相似性,刻意去區分模型與策略毫無實際意義,所以,筆者的第一個建議:銀行應該本著審慎的風險管理原則,凡是經過“資料、特徵、演算法”並應用的“策略”和“模型”,都按照模型風險的管理框架來進行管理。這一點與目前北美銀行的模型風險管理的發展方向相似,他們正在擴充套件模型風險管理的範圍,涵蓋了很多“類模型”和“類模型風險”的事物,例如行為風險和創新風險等。

但是考慮到銀行“策略”和“模型”數量的迅速增加和監管的逐步趨嚴,模型風險管理將消耗銀行大量的人力及IT資源,所以,筆者的第二個建議:應該先將模型風險分級,將銀行的有限資源優先投入到高風險模型中,對於較低的模型風險僅需保證合規的底線即可。

(二)模型風險的定義

按照美聯儲《模型風險管理監督指南(SR 11-7)》的模型風險的標準定義:“模型的使用總是會帶來模型風險。模型風險是基於有缺陷或誤用的模型輸出和報告做出決策的潛在後果。”這一定義後來成為了模型風險的行業標準定義。

簡而言之,模型帶來的風險稱為模型風險。模型風險有兩種表現形式:模型缺陷與模型誤用。其中:

➤ 模型缺陷:包括模型設計、開發以及IT實施時發生的錯誤。

➤ 模型誤用:包括把為A產品設計的模型直接套用在B產品上,或者是在市場環境或消費者行為習慣已經發生重大變化的情況下繼續使用原有模型等。

我們要充分地認識到,一個小小的模型,在其應用中可能會導致巨大的風險。例如,1998年長期資本管理大型對衝基金(LTCM)由於其對衝策略和模型的失誤,損失了其全部44億美金的資本;2012年摩根大通因為CDS衍生品交易模型存在缺陷,導致60億美金的虧損。

而在國內銀行中,模型的應用更加廣泛,隨著銀行數字化轉型,隨著模型被嵌入銀行的自動化業務流程,模型風險被逐步放大。與國外相比,國內銀行直接將模型用於信貸業務的審批,更是擴充套件了模型風險傳播的渠道。

美國模型風險管理體系

(一)美國模型風險管理的方法論

美國模型監管體系圍繞著“有效挑戰(Effective Challenge)”建立了一套行之有效並且可以複製的方法論,挑戰者必須具備能動力、勝任力、影響力三大要素。

➤ 能動力:指挑戰者必須在組織上相對獨立於模型的開發者並且有正向的激勵去進行挑戰。

➤ 勝任力:指挑戰者本身必須具備相關的專業知識和技能。

➤ 影響力:指挑戰者必須具備一定的權威和組織內的地位。

這套方法論的執行,形成了美國模型風險監管體系的“三道防線”的組織架構。

在此,筆者丟擲一個問題,AI會不會成為一個有效的挑戰者?筆者預見,AI工具一定會越來越多地作為有效挑戰者,並應用於模型驗證等領域。隨著自動化建模技術的發展,筆者也在嘗試將“自動化建模平臺”視為一個有效挑戰者,在模型驗證過程中,自動化地完成模型驗證環節的部分工作,降低人工的工作量。

(二)美國模型風險管理的具體要求

美國的模型風險監管體系對模型風險管理的具體要求體現在以下五個方面:模型清單(Model Inventory)、模型開發(Model Development)、模型實施與使用(Model Implementation and Model Use)、模型驗證(Model Validation)、模型監控(Model Monitoring)。

➤ 模型清單:清單必須包含銀行的全部模型,清單必須保證真實性、有效性和一致性。

➤ 模型開發:涵蓋了模型開發的目的、方法論、資料使用、模型測試等多個方面的要求。

➤ 模型實施與使用:涵蓋了模型的執行與模型執行IT系統的能力協調、模型的測試要求、模型的實施規範。根據筆者的經驗,目前國內銀行的模型開發能力遠遠超越銀行模型執行平臺的IT支撐能力。

➤ 模型驗證:強調了模型驗證的獨立性,規範了模型驗證的範圍和物件,給出了初始驗證、持續驗證、定期複查的方法論,並建立了健全性、魯棒性、敏感分析、複雜度等的指標體系。

➤ 模型監控:包含監控時間、監控條件、監控方法等。

(三)國內模型風險管理的發展現狀

目前,國內銀行也逐步重視模型風險管理,一些大中型銀行紛紛開始了模型管理平臺的建設,但是,與此同時也出現了一些問題:

1.重科技平臺而輕組織架構

這個問題體現在:IT平臺的建設如火如荼,但是相關的組織架構和制度流程建設明顯滯後,各個部門仍然在“集中的”科技平臺上“各自為政”。

2.重效率管理而輕風險管理

這個問題體現在:過於強調效率的提升,比如模型開發迭代和投產速度的提升、模型及特徵的複用、自動化流程管理等,但是,對模型風險管理卻很少體現,這反而可能會加大模型風險。

3.重個體風險而輕整體規劃

這個問題體現在:過於著眼於某一個模型的個體風險,認為“只要管住了每一個模型的風險,就管住了所有模型的風險”,缺乏以系統的視角來看待模型風險,這將導致模型之間的關聯風險,或由資料汙染等原因所導致的模型風險將快速傳導。

因此,筆者認為銀行模型風險管理體系需要:一是制度建設和平臺建設兩手抓;二是效率管理與風險管理並重;三是要有模型風險管理的頂層規劃,並逐步實施。除此之外,還有一些小問題,例如:重開發而輕應用、重首次部署而輕更新迭代等,這裡就不一一贅述。

 

模型管理平臺的建設

模型管理平臺的建設與模型風險管理體系的建設,兩者之間相輔相成不可分割,通過平臺建設,可以實現:

➤ 集中化:模型相關的程式碼、文件的統一管理;

➤ 統一化:包括建模標準、模型驗證標準、模型監控標準,甚至模型介面和資料介面等標準的統一管理;

➤ 流程化:打通模型開發、驗證、測試和使用各環節;

➤ 自動化:實現模型自動化驗證和監控;

➤ 資產化:構建模型資產,包含模型資產、特徵資產、資料資產等,實現跨人員、跨團隊的資產共享和複用。

➤ 其他:模型的視覺化、文件的自動化、保密的自動化等。

(一)模型管理平臺的四大目標

模型管理平臺的建設可以從資訊化管理、流程化管理、自動化管理等多個方面賦能模型風險管理體系。

1.模型和特徵的資訊化管理

對模型和特徵進行資訊化整合,將建模過程中特徵加工、演算法選擇等各種資訊形成資訊流,形成企業級的模型資產庫、特徵資產庫、演算法資產庫,形成有效共享和複用,降低模型開發成本。

2.模型開發的流程化管理

實現模型的統一註冊和管理,將模型開發過程流程化,形成資料工廠、特徵工廠、模型工廠的流水線作業,自動引導參與模型工作的各角色按照模型管理要求完成工作,並自動化記錄工作過程。

3.模型驗證和監控的自動化

針對模型驗證工作的重複性,實現只需對接模型執行資料,即可為每個模型自動生成模型驗證和報表,並可持續對模型表現進行跟蹤和評估。

4.依託模型管理平臺實現模型人員的“盡職免責”

一旦發生了模型風險事件,產生了損失,究竟是模型出現了偏差,還是市場變化、客群變化等非人為原因,在一般情況下很難區別。對此,筆者建議:如果模型開發流程都是嚴格按照模型管理平臺的規範流程進行操作,則“盡職免責”。

(二)模型管理平臺的十大功能模組

前文是從模型風險管理的業務角度來剖析模型管理平臺的主要目標,現從科技實現的角度,來說明平臺的組成模組以及其所實現的功能:

1.模型資產管理模組

此模組的主要功能是:以資訊化的管理方式,將全行的模型、特徵、演算法進行集中管理,形成有效的模型資產、特徵資產、演算法資產。所有的資產,以“黑箱”的方式展示給銀行的各個模型和資料的使用部門,縮短模型開發者與使用者的“距離”,增加模型、特徵及演算法的複用性,降低模型開發成本。

此模組的另一個功能是:對模型資產的記錄,包括:模型的狀態、模型的設計目標(使用場景、使用預期、使用限制)、模型介面、模型的有效期、模型開發和模型驗證的責任人、模型日誌等,從一定程度上減少模型誤用。

2.模型開發流程管理模組

此模組的主要功能是:對模型開發進行流程管控,分解子任務和明確負責人,實現自動追蹤和更新工作流程進度,自動聯絡子任務負責人。

3.自動化模型測試模組

此模組的主要功能是:自動化的評估模型總體和各元件功能,確保模型表現符合預期。具體功能包括:模型三性的測試(準確性、魯棒性、穩定性)、模型侷限性的測試、市場條件下的壓力測試與極值測試、此模型與其他模型的關聯關係的測試等。

4.自動化模型驗證模組

很多金融科技公司都開發了自動化的建模平臺,其宣稱能夠“自動化、智慧化、高效化的生產模型”。從筆者的工作經驗來看,銀行風控模型的效能受資料及演算法的共同影響,資料的充足性和特徵的有效性對於模型效能的影響遠遠超過演算法的影響,所以如筆者前文所述,模型驗證過程中可以引入自動化的建模平臺進行獨立的模型驗證,取代部分人力工作。

5.模型報告與報表服務模組

此模組的主要功能是,實現自動化、定製化的報告與報表。自動化指的是:模組根據設定好的時間和頻率自動生成驗證報告。定製化指的是:根據使用者許可權及報告需求,使用者可以進行建立表,匯入表,修改表等操作,並進行自定義報告配置。

6.模型預警模組

此模組的主要功能是根據預警規則反映模型的健康狀況,自動反饋給平臺,預警規則按照客戶需求,可以包括模型表現、模型開發進度、甚至模型“誤用”的情況等。

7.視覺化模組

此模組的主要功能包含模型的視覺化、特徵的視覺化、開發流程的視覺化、預警的視覺化。

8.使用者角色及許可權模組

出於模型的保密性要求,此模組統一在銀行相關管理辦法的約束下,由系統管理員統一管理,對於不同的角色分配不同的許可權。

9.文件管理模組

模型文件建設是監管合規的重要要求,此模組的主要功能是將每個模型的全生命週期的文件進行統一管理,並對版本、內容進行必要的校驗。結合筆者的工作經驗,在模型文件的撰寫中需要注意以下幾個地方:

➤ 模型方法論的選擇和比較。在筆者的實踐中,對於某些特定場景,大資料模型並不一定比高維邏輯迴歸的模型有效。

➤ 模型資料及特徵的選擇和比較。在筆者的實踐中,對於從資料到歸一化特徵的處理技巧,遠比演算法的引數調整,會對模型產生更大的影響。

➤ 模型介面的規範。在筆者的實踐中,銀行大量聯合貸款的流量資料都是來自場景方,其資料質量遠遠不如銀行本身的金融資料,所以需要嚴格明確介面規範。

10.系統管理模組

本模組包含管理規則的配置功能和系統日誌管理功能等本身系統管理工具,尤其強調的是平臺與資料來源的資料傳輸能力與敏捷性。

(三)模型管理平臺的邏輯架構

模型管理平臺建設的主要目的:一是,發揮資料、演算法的最大效能,賦能業務發展;二是,以工廠流水線的方式加工資料、特徵、模型,減少重複工作,提高工作效率,並降低模型風險。

模型管理平臺的邏輯架構如下:首先,資料工廠統一彙總銀行的大資料資源,規範資料來源、資料口徑、資料標準和儲存架構,並實現內外部資料有效整合;其次,特徵工廠從資料層進行特徵萃取,並形成穩定的特徵層;再次,模型工廠從特徵層進行模型的開發工作;最後,由模型服務平臺向全行提供“模型服務”。

資料是數字科技時代的生產資料,將銀行內部和外部資料進行有效整合,將實現資料驅動,極大程度賦能銀行業務。演算法與資料結合,將充分激發資料的效能,共同構築數字科技時代的新型生產力。筆者認為其技術難點在於:資料的有效整合、演算法的通用性解耦、演算法與資料(引數)的合理封裝,在此不做過多贅述。

構築模型風險管理體系

(一)模型風險管理的組織架構

無論是美聯儲的《模型風險管理監督指南(SR11-7)》,還是中國銀保監會正式釋出《商業銀行網際網路貸款管理暫行辦法》,對於風險管理體系的組織架構要求,基本都是“三道防線”的架構,三道防線在組織上相互獨立,職責上各司其職,並且同時向銀行的董事會或者高階管理層負責。

➤ 第一道防線:模型的開發和使用部門,職責為:模型的開發、實施、使用,並配合模型的驗證和監控。

➤ 第二道防線:模型的驗證部門,職責為:對模型進行獨立驗證。

➤ 第三道防線:內部審計部門,職責為:審查和評估模型風險管理是否完整、嚴謹、有效。

這三道防線的作用是顯而易見的,但是,筆者建議加大第二道防線中模型驗證部門的“挑戰激勵”,將“成功挑戰”納入模型驗證人員的KPI激勵中。在實際工作中,“挑戰思維”在銀行似乎有些另類,以挑戰為目的模型驗證在銀行的傳統文化中慢慢的迴歸於“合規思維”,因此筆者建議,將“成功挑戰”納入模型驗證人員的KPI激勵中。

另外,筆者預言,金融科技將實現模型風險“端到端”的管理,並有效整合第一道防線與第二道防線的職責。隨著金融科技的發展,在信貸審批領域已經實現了端到端的風險管理,這種新的風險管理模式實際上是跨越第一道和第二道防線。與此相似,對模型風險進行端到端的管理也將會得到認可和普及,模型管理平臺的搭建將有效的、自動化的、流程化的整合第一道防線與第二道防線的職責。

(二)模型風險管理的政策體系

政策體系不僅要自上而下的包含組織架構、部門職責,更應該細化到具體的報告模版。政策體系的建立,應該是銀行的強項,所以,筆者根據自己的工作經驗,提出三點建議:

1.設計良好的風險傳導機制,將模型風險有效整合進銀行的風險偏好,納入銀行全面風險管理體系。

2.模型技術部門需從以技術為主的職能定位過渡到模型風險管理的管理定位。

3.需要建立一套模型風險管理團隊與高階管理層合適的溝通方式,以便與高階管理人員交流技術話題。

銀行面臨的挑戰:人才

人才的嚴重短缺是一大挑戰,因為該領域的人員不僅需要資料科學和高階分析技術方面的專業知識,還需要風險管理和業務經驗。在金融生態系統中,科技公司、金融公司、網際網路公司、銀行都在爭奪這一類技術人才。所以,如何在激烈的競爭中吸引和留住人才,是銀行面臨的主要挑戰。

作者簡介:

祝世虎,現任光大銀行智慧風控中心VP。為北京大學第一批人工智慧專業的博士,畢業後在一直從事風險管理相關工作,目前主要工作領域為:智慧風控、網際網路金融等。在智慧風控領域,祝先生擁有十餘項演算法專利,相關論著被多家媒體發表,並多次獲得人民銀行、銀保監會的獎項,多次作為主講嘉賓參與國內外智慧風控的論壇。

更多精彩推薦