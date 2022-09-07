2022 年 8 月 18 日，美国货币监理署 (OCC) 在其《货币监理署公告 2021-39》中发布了《货币监理官手册》之《模型风险管理》分册（下称“2021 年版手册”）。正如发布说明中所提及，该 2021 年版手册阐述了模型风险管理的核心概念与通用原则，并为审查人员规划及开展模型风险管理相关审查工作提供了指导准则。
手册深入阐释了美国货币监理署当前及未来的模型风险监管方法。这些洞察分析对于两类机构具有重要参考价值：一类是寻求满足美国货币监理署模型风险管理监管要求的机构，另一类是接受其他银行监管机构模型风险管理监督的机构。
尽管手册并未取代美国货币监理署于 2011 年发布的《模型风险管理监管指引》（OCC 2011–12 号公告），但它提炼了 2011 年版指引的核心要素并提供补充说明，同时新增了大量重要释义与澄清内容。
对 2011 年版指引的拓展完善，体现了模型风险管理审查实践的演进。这与行业发展趋势及美国货币监理署期间发布的相关文件保持一致。包括近期发布的《银行保密法/反洗钱合规相关模型风险管理跨机构声明》（《银行保密法/反洗钱领域模型风险管理跨机构声明》），以及 2020 年发布的第三方关系常见问题解答（（该文件拟纳入《第三方风险管理跨机构指引（征求意见稿）》）。
手册阐明了 2011 年指南中“模型”的定义。手册明确：模型的核心特征在于“其输出结果估算过程中存在的不确定性”，而非非模型类分析工具所具备的“由确定性规则定义结果”这一属性。这一澄清有助于模型清单编制过程，明确了不确定输出估计在区分模型和非模型分析工具中的作用。
虽然美国货币监理署提高了对模型相对于非模型分析工具的风险管理的监管期望，但手册澄清说，过于机械化的方法以及不考虑非模型分析工具的风险和复杂性的方法可能会增加模型风险。
具体而言，手册指出，无论量化方法是否符合模型的定义，都应采用风险管理，并与量化方法的程度和复杂性相称。换言之，无论方法属于何种分类，关键问题在于应用适当水平的风险管理和控制。例如，机器学习聚类算法 K 均值可能不被认定为“模型”，但当它应用于客户风险评级场景时，可能引发重大风险。
这些说法代表了美国货币监理署思维的一种演变，不再那么强调银行是否可以决定分析工具是模型还是非模型。手册转而聚焦于风险管理的充分性，而不局限于工具的分类归属。这一导向反映了美国货币监理署的担忧：此前对“模型”定义的过度侧重，可能导致一个非预期后果，即降低对复杂且关键的非模型类分析工具的治理与管控力度；同时，行业也可能存在对“模型/非模型”界定的过度关注。手册的这一澄清与近期发布的《银行保密/反洗钱领域模型风险管理跨机构声明》精神相呼应，该声明指出，“无论银行保密/反洗钱相关系统被归为哪一类，健全的风险管理均至关重要”。
前文所述内容体现了美国货币监理署的监管原则：健全的风险管理需依据风险水平配置资源，风险等级越高的领域应获得相对更多的关注。尽管 2011 年指南允许初始验证活动的范围和严格性取决于模型的潜在风险，但它没有明确提及风险敏感型模型风险管理。手册进一步指导银行如何在初步验证之后，制定有效分配模型风险管理资源的方法。手册明确提出模型验证应采用风险导向方法，验证频率需与银行的风险状况相匹配；同时，持续监控的频次与深度也应与所涉风险水平保持一致。
鉴于大型金融公司的广泛模型库存，我们观察到许多组织都在寻求实施与上述声明一致的风险敏感型模型风险管理要求。模型的风险级别可以决定验证活动的广度、深度、优先级和频率。例如，高风险模型可能需要每两年进行一次全面重新验证，而银行验证低风险模型的频率可以较低。同理，模型的风险等级可能会影响测试的范围与性质，对于复杂模型而言，还可能影响其可接受的透明度水平。
正如预期，未能依据风险等级对模型进行区分的机构，无法实施风险敏感性导向的模型风险管理。手册明确，模型风险评级方法“通常基于模型类型与目标、复杂度、不确定性及重要性、关联性、数据质量，以及模型的能力与局限性”；同时进一步强调，对于 AI 模型，其风险评级还应纳入可解释性考量因素。
手册阐明了模型风险对美国货币监署的标准风险类型有何影响。具体而言，模型风险应被视为一类独立风险，其可能对美国货币监理署界定的八大风险类别产生影响，包括信用风险、利率风险、流动性风险、价格风险、操作风险、合规风险、战略风险及声誉风险。例如，银行的战略风险可能因未能根据宏观经济环境变化、市场状况和消费者行为调整模型输入和假设而增加，进而转化为财务损失和声誉风险。
为了确定银行模型使用的每种风险数量，手册详细说明了银行所用模型的性质、范围和复杂度。手册还考量了模型对决策的影响程度，以及模型输入数据与假设条件所存在的不确定性或不准确性水平。因此，组织业应当考虑在多大程度上将模型风险纳入组织的其他风险评估中。
将此方法纳入模型风险报告框架中也可以让企业受益。为此，组织需建立清晰的模型使用分类体系，对模型的应用场景进行归类——该体系应涵盖模型使用的各类数据维度，包括将每类模型应用场景与对应的相关风险进行映射关联。例如，合规风险和反洗钱合规项目中使用的模型会影响潜在不合规带来的合规风险和声誉风险。
最后，手册还强调了模型风险偏好的重要性——该偏好明确了管理层开展模型相关工作的边界范围。同时，手册着重指出，需限制使用可能导致风险传导的“例外情形、管理层干预、政策偏离及模型使用限制”等操作。
手册围绕对模型和非模型工具的健全 AI 风险管理列出了详细的期望。这包括建立 AI 应用清单、开展风险识别、实施有效的技术管控，以及建立健全验证流程，确保 AI 应用能够产生可靠、公平且无偏倚的结果。然而，手册后续的详细指引仅针对被归类为“模型”的 AI 技术。因此，对于非模型类 AI 技术，上述针对 AI 模型的管控措施应多大程度上适用，需依据前文所述的非模型风险治理“风险敏感性原则”来确定。
手册规定，银行的模型风险管理政策应包括记录对 AI 方法的概念性理解的标准。这一点很重要，因为对于复杂的 AI 模型来说，底层理论和逻辑可能不透明。另一方面，部分 AI 方法在概念上虽较为简单，但因其启发式本质（即基于直觉而非统计或数学理论），可能引发重大风险。例如，基于距离的聚类算法可能因数据缩放方式的不同，得出截然相反的结果。
与此相关，概念性理解应涵盖模型超参数及其校准方法。这一点对于处于持续优化周期（即持续训练）的 AI 方法而言尤为重要——在此过程中，其概念设计可能会发生难以察觉的偏移。保持详细且最新的文档至关重要，包括关于重新参数化和重新校准流程的详细信息，以及模型变更的可接受边界（因此无需验证）。
关于验证，手册指出政策和程序应包括优先级、范围和验证频率，包括 AI 模型的底层算法及其他频繁更新的参数。频繁更新有助于提升模型准确性，但需采用动态管控方法开展回测、监控等管控活动。例如，对于基于决策树的算法而言，重新校准有时可能导致定量结果与定性结论出现差异。如果数据模式变化的频率与模型更新的频率不同，频繁的更新也会浪费时间和处理能力。数据流动性及模型潜在变更的影响范围，应作为确定验证频次与覆盖范围的核心依据。
手册指出，AI 模型的概念合理性评估往往具有挑战性，因此强调透明度与可解释性是管控复杂 AI 模型风险的关键考量因素。美国货币监理署的指导原则是，银行应根据模型的用途定制可解释性水平。例如，用于信贷承保的 AI 模型在文档和验证方面需遵守较高标准，以充分证明模型公平且按预期运作。相比之下，用于远程存款采集的 AI 图像识别技术，则无需如此严格的审查。
公平信贷风险可能通过以下途径产生：存在偏倚的输入数据、放大数据偏倚的算法，以及对模型输出结果的偏倚性使用。对于日益依赖模型的金融机构而言，模型风险管理职能应在其公平信贷合规体系中发挥核心作用。手册强化了这一作用，并详细阐述了银行在模型风险管理框架中对公平贷款考虑因素的期望。手册明确要求，模型风险管理政策应纳入公平信贷相关考量，其中需包含明确标准，确保模型不会通过差别对待或差别影响的方式，引发或助长歧视行为。
更具体地说，银行的模型风险管理框架应包括对模型开发、实施和使用的控制措施，包括监控潜在歧视性输出或结果的控制措施。我们观察到，受公平贷款问题影响的模型（如交易监控模型）往往依赖动态且频繁更新的数据。
即便某一模型能产生公平无偏倚的结果，但若输入数据发生偏移，其在公平信贷层面仍可能存在合规风险。出于这些原因，模型的持续监测框架应包括监测数据偏倚。同理，手册明确要求，模型风险管理框架应制定模型验证的相关标准，以识别数据或模型结果中存在的偏倚。最后，该框架还需充分考量：管理层的干预调整行为也可能引入公平信贷风险。
手册还提及专门为评估公平信贷法律合规性而构建的模型，并探讨了替代测试方法。由于相关政策（如信贷承保）通常指导此类模型的发展，找不到合适的模型可能会影响企业有效评估公平贷款风险的能力。出于同样的原因，不可能进行标准的回溯测试，因为建立的模型是为了反映特定时期的政策。或者应开展人工文件复核，以排查潜在的数据误差，并识别统计模型中未涵盖的相关因素。人工文件复核还需评估：这些额外因素是否能够解释受保护群体成员与对照组成员之间仍存在的差异。
关键在于，此类工作需合理设定规模以确保成效，美国货币监理署近期更新的《抽样方法手册》已提供必要指引。
鉴于AI 模型的广泛使用，手册呼吁采用有效的流程来验证 AI 的使用是否提供合理、公平且无偏倚的结果。AI 模型通常比较复杂，可以轻易掩盖数据、建模和结果中的偏倚。
美国货币监理署指出，仅证明单个变量的无偏性并不足以确保合规，AI 方法特有的复杂交互效应，可能导致非预期的影响或结果。AI 模型隐含考量的多重输入变量组合，可能成为受禁止歧视类别（如种族、性别等）的替代指标。而依赖此类隐含替代指标的模型，其呈现的相关性往往是虚假的，本质是由于输入数据与输出结果受到未观测到的受禁止歧视特征影响所致。
此外，适当定义模型输出以进行偏倚评估也至关重要。分类模型的名义输出虽可能是二元标签，但其实际输出通常是各类结果的预估概率。模型是否提供了无偏倚的结果，取决于使用和分析的输出类型。例如，某信贷审批模型给出的违约与不违约预测状态可能具备无偏性，但对应状态的预估概率却可能存在偏倚。若仅分析预测状态，无法发现此类潜在问题，而若将存在偏倚的概率值用于信贷审批决策，则可能引发合规风险。
在过去十年里，我们见证了金融机构在关键运营方面对第三方服务商的依赖日益增加，这包括使用第三方模型和数据以及聘请第三方提供模型开发和风险管理服务。在此背景下，手册针对第三方风险管理提供了详尽考量要点，其核心内容与 2020 年发布的《第三方合作关系常见问题解答》基本一致。
手册中一处明确提及且作出重要澄清的内容，是关于供应商出资开展验证工作的处理规范。手册指出“银行管理层应了解并评估第三方开展的验证和风险控制活动的结果……银行管理层应对每个第三方模型进行基于风险的审查，确定其是否按预期运行，以及现有的验证活动是否足够。”
前述说明明确：银行可在基于风险的第三方模型审查中采用供应商出资开展的验证工作。该等澄清对模型风险管理职能具有实操价值，有助于避免银行投入不必要资源重复开展供应商已完成的验证工作。尽管如此，银行应对这些验证进行充分的尽职调查。同时，手册警示：银行管理层不得对供应商出资的验证报告采取表面认可态度，必须充分了解“验证方在评估模型所用流程与代码过程中遇到的任何局限性”。
鉴于模型的重要性日益增长以及模型对金融服务公司各种风险类型影响日益增强，模型风险管理仍然是风险管理的核心。模型风险管理对于解决公平贷款问题及人工智能日益增长的使用相关风险至关重要。
手册的发布，既彰显了监管机构对模型风险管理的重视，也为银行业组织评估并强化其模型风险管理体系提供了实用指引。