金融安防 | 商业银行风控模型治理架构探讨

江苏银行风险管理部  乔辉

随着大数据、互联网、人工智能等技术的发展，各类模型在商业银行风控领域大量应用。模型应用是一把双刃剑，既能提升决策的效率和准度，也会因模型风险的存在严重侵蚀银行资产。因此，运用模型控制风险具有必然性，对模型风险的管理也具有必要性。基于此，本文将围绕模型控制风险必然性、模型风险管理必要性、模型管理的路径选择三个方面进行阐述，希望对商业银行的风控模型治理架构建设有一定的参考借鉴意义。

运用模型控制风险的必然性

1.技术进步的必然趋势

目前，全球正在稳步进入到数字经济时代，以大数据、人工智能、云计算为代表的新兴信息技术取得飞速发展。以大数据的“流”技术、信息管理技术为依托，不仅可以迅速、高效地处理银行产生的海量数据，还能实现数据的分类整合、数据标准化管理，这些成果成为模型开发的必要基础，进一步推动了模型在银行风控中的应用。此外，以机器学习为代表的先进技术的诞生，也为模型的迭代优化提供了更多的可能。可以认为，模型在银行风控领域的应用，是金融科技背景下的必然产物，是新兴信息技术进步下的必然趋势。

2.业务创新的必然推动

互联网金融业务创新发展过程中，银行为了提升自身竞争力，应当重点关注客户对产品及服务的体验，尽量减少甚至完全杜绝人工干预业务流程的现象。与此同时，从银行角度考虑，无人工干预、纯线上化的业务模式有利于银行降低运营成本、拓宽经营规模。在此背景下，模型的运用显得更为重要与关键，只有通过模型代替人工，并借助模型的准确性、时效性辅助业务风控，才能适应互联网金融线上化服务的要求。可以认为，业务创新推动了模型在银行风控领域的应用。

3.风险激增的必然要求

虽然银行互联网金融业务具有收益高、成本低、体验好、方便快捷等优势，但是该业务因具有“无接触”的特点也导致客户风险的激增。为有效应对激增的风险，同时弥补传统风控的不足，催生了银行向“数字化、智能化、模型化”的风控模式转变。可以认为，风险规模与隐蔽性的激增，对模型风控提出了必要性需求，而以模型为主的量化方法在风险管理方面优势明显，能有效辅助决策并提升风险管理的效率和效果。

模型管理的必要性

1.模型风险产生的原因

模型风险产生的原因可分为两个方面：一是模型质量问题，指模型在技术层面存在的不足；二是模型管理问题，指模型应用和日常操作等管理层面存在的漏洞。

（1）模型质量问题导致的模型风险。模型是对实际问题进行抽象而简洁的刻画，而真实世界的复杂度远远超过构建出的模型，因此选取的模型因素在描述真实世界时存在不足，这就是模型质量问题导致的模型风险。总体而言，模型质量问题表现为四个方面：

一是建模使用的数据不具有代表性。数据不具备代表性既体现在数据清洗方法、抽样方法的错误和偏差，还体现在数据缺失、假数据、错误数据等数据质量问题，从而导致模型估计不准确。

二是模型技术层面的缺陷。模型建设中无法避免的一个问题，即无论模型如何精密总会遗漏部分风险因素，导致模型在捕捉风险相关性方面存在明显不足。

三是模型参数估计得不合理。模型参数估计的不合理性既体现在建模人员对业务理解不足，还体现在建模人员对模型理解不足。

四是模型投产部署的错误。模型在部署投产环节会出现编码错误、传输整合过程数据丢失、模型参数配置偏差等导致模型风险的情况。

（2）模型管理问题导致的模型风险。模型管理问题同样会带来模型风险，总体而言，模型管理问题主要表现为两个方面：

一是模型监测维护滞后引致模型风险。模型是基于建模时点掌握的数据建立起来的，但随着时间的推移，外部环境、客群特征等都可能发生重大变化，需要对模型进行持续监测、维护与优化，而如果在模型表现力下降后依然使用，就会导致模型风险。

二是模型的应用不当引致模型风险。所有的模型都有特定的应用条件。把模型原封不动应用在新的领域、新的产品或者新的业务时，模型本身的局限性就会被放大和快速传导，模型风险也会随之产生。

2.模型风险产生的影响

模型风险产生的不利影响可概括为两个方面：一是通过坏客户导致资产损失；二是误拒好客户导致利益损失。以下将以具体的案例，进一步说明模型风险产生的不利影响，具体分析如下。

（1）反欺诈模型未及时优化，导致坏客户审批通过。A银行构建了以专家策略为主的反欺诈模型，其中为了防范同设备聚集性申请风险，设置了拒绝类策略“同一设备24小时内申请客户数>=5”。欺诈分子通过试错机制试算出该条策略的阈值，并采取如下模式攻击A银行该条策略。

下图存在ABCDEFG七人共用三个设备申请贷款的团伙情形，这是典型的聚集性团伙欺诈的特征。从申请明细看，BCD三个客户申请贷款均因征信逾期、触发黑名单等规则被拒绝过，而使用同一设备申请贷款的申请人A则审批通过，随即出现贷款逾期，涉及金额15万元。由于未触发阈值，现有的反欺诈模型无法对A客户的准入起到效果，因而造成了贷款资金损失。由此可见，反欺诈模型的优化是持续性的动态过程，只有加强反欺诈模型的优化管理，才能有效应对坏客户新型的攻击模式，最大化避免坏客户准入。

图  欺诈分子通过试错机制试算策略阈值

（2）因模型表现能力的下降，导致遗漏部分坏客户和误拒部分好客户。A银行构建了团伙风险的评分卡模型，以此预测团伙欺诈的概率，实现对欺诈风险的识别和防范。由于时间的推移，模型表现力下降明显，为避免模型表现力下降带来的模型风险，A银行积极对模型开展了优化工作。进一步地，A银行抽取28530个客户，分析了客户风险等级在模型优化前后的分布差异，以此说明模型优化的必要性，结果见表。

表  模型优化前后客户风险评价迁移情况

模型根据客户评分结果分为ABCDE五类，客户风险等级由低到高依次为ABCDE，对于E类客户，A银行直接采取拒绝准入的策略。从表中结果可知，如果对表现能力下降的原模型不进行优化，将会带来两类错误，一是导致239个坏客户准入，二是误拒2907个好客户，按照人均20万、利率10%计算，预计A银行带来10594万元损失。

综上所述，模型在使用过程中存在各类风险，如果缺乏有效的模型管理机制，任由模型机械化运行、决策，模型风险就会对银行造成不利的影响，导致银行经济利益严重受损。模型管理具有必要性。

模型管理的路径建设

1.风险文化建设

风险文化是银行风险管理的灵魂，决定着模型管理的行为和效果。因此，模型管理路径建设的第一步就是要加强风险文化建设。

（1）树立模型量化管理的风险文化。金融形势深刻变化，金融领域的技术变革、场景创新正在不断冲击银行的传统业务模式，银行的风险管理理念也应当因势而变、顺势而为。在大数据、人工智能等新技术催动下，银行的风险管理理念应当由传统的“专家为主，数字为辅”的灵活方式向“数字化、智能化、模型化”的模式转变，以模型为主的风控理念应当成为银行主流的风险管理理念。

该理念提倡量化风险管理，即基于大数据、人工智能技术，通过模型管理风险，该风险管理理念认同数据、模型可以有效反映经济事实并且指引风险管控，也认同以模型为主的量化方法在风险管理方面的优势，能有效辅助决策并提升风险管理的效率和效果。

（2）树立依靠但不依赖模型的风险文化。新形势下，通过模型管理风险具有必然性，同时又具有效率性和准确性。但是，模型是基于严格的假设前提构建的，是对现实问题的高度抽象化表达，实际业务错综复杂，突发情况频发，模型结果并不是反映实际情况、指引风险管控的唯一工具，风险管控更应当是一种科学的、实用的、灵活的系统性工作。因此，银行在运用模型控制风险时，应当树立依靠但不依赖模型的文化，在风险管控中要突出模型的重要性，但绝对不能盲目地依赖模型。

（3）树立模型管理职责明确的风险文化。模型管理是一项系统性工作，涉及多层次的协同作业，为保障模型能够高效、有序的应用，在模型管理过程中，银行应当树立模型管理职责明确的风险文化，并以此指导模型管理工作。所谓职责明确，就是要树立问责文化，并且应当将问责落实到每一个岗位中，不管是高级管理层，还是模型实施的技术人员，都需要明确模型管理中的具体责任，并设立监督机构对模型管理职责进行监督，避免职责悬空、虚化。

2.模型管理机制建设

商业银行可以建立数据治理、协同作业、全生命周期管理、模型评审、模型风险管理的机制，以此作为模型管理有效性的重要保障。

（1）数据治理机制建设。数据是模型建设的基础，建立健全的数据治理机制是保证数据质量的关键。具体而言，商业银行数据治理机制分为四个方面：一是明确数据的管理职责，健全数据质量的监测、追踪、定位、改进、控制流程，将数据质量纳入绩效考核体系；二是构建数据集市，将来自各个源系统的数据按照统一规范进行存储、分类，拓宽数据收集渠道，确保数据的一致性；三是建立模型指标库，在数据集市的基础上，加工成各类模型指标，极大降低数据清洗的工作量，提升模型监控、新建及优化的效率性和时效性；四是在业务流程中设立专职的数据质量控制岗，重点核查数据的准确性和有效性，着力提升数据质量。

（2）协同作业机制建设。模型治理是一项专业性要求很高的工作，需要专业的人才做专业的事，同时模型治理涉及的环节多、程序复杂，各环节相对独立但又相辅相成，模型管理更需要各个环节能够协同作业。因此，构建协同作业机制具有必要性。一般而言，协同作业主体包括数据支持主体、模型执行主体、模型决策主体和模型监督主体，各主体间专业分工、各司其职，又通过协同作业机制相互合作、相互制约。

（3）全生命周期管理机制建设。通过构建“需求—开发—验证—评审—投产—监控”的闭环作业，构建模型的全生命周期管理机制。具体机制流程包括：第一，开发主体根据业务需求完成模型开发，提交验证主体独立完成验证工作，验证通过后提交模型评审主体进行模型评审工作。第二，经模型评审主体评审通过的模型可提交投产主体完成模型部署上线。第三，模型投产上线后，监控主体承担模型运行情况的监控工作，保证监控结果能及时反馈给应用主体，同时监控主体应定期完成模型的后评价分析，并向模型评审主体汇报。第四，模型评审主体定期听取监控主体关于模型运行情况的后评价报告，决议模型是否需要优化或直接下线。

（4）模型评审机制建设。通过建立模型评审机制，对模型相关事项进行审议、指导和监督，切实防范模型管理风险。实践中，可以建立模型评审委员会来具体开展模型评审工作，模型评审委员会具体负责：批准模型的投产应用、定期或不定期听取模型的监控情况，并决议模型是否需要优化以及下线。模型评审机制建设应具备三个原则，一是独立性原则，即评审主体的各成员必须独立于模型的应用主体、开发主体、验证主体和监控主体，防范道德风险。二是规范性原则，即形成“牵头审核—评审申请—集中审议—决议反馈”的规范化模型评审流程，提升模型审批质量与效率。三是严谨性原则，即通过模型专业人员的牵头审核、集中审议的多重流程，严把模型风险关，及时发现和纠偏潜在的模型风险。

（5）模型风险管理机制建设。模型建设周期长、环节多，每个步骤都会产生误差，并累积构成模型的总体误差，同时由于外部环境的变化也会导致模型参数与实际的偏差，这些都会造成模型风险。而往往模型设计者很难判定模型的哪个阶段或环节存在疏漏，也很难准确预测外部环境的变化，因此，应建立以情景分析和压力测试为主的模型风险管理机制，充分分析在不同情景下、不同压力环境下模型对实际业务的影响方向和影响程度，并在此基础上，制定差异化的应急预案，强化模型风险的连续性管理。

（栏目编辑：张丽霞）