编者语:内部审计必须能独立地监督与评估模型风险,其目的不仅仅是让模型风险及该风险可能导致的损失最小化,而且还在于满足外部监管机构的要求并向高管层提供全面、完整的信息。面对模型风险,内审人员该如何应对?这是银行业金融机构普遍关注的热点和难点,今天,我们选登了中国内部审计协会的一篇文章,作者是交通银行审计监督局程广华老师,供交流讨论。本文题目为编者加。(信息科技审计分会)
纳特•西尔弗在《信号与噪声》中反思美国次贷危机引发的金融危机,指出权威机构和经济学家都未能预测危机的发生,其中一个很重要的原因就是专门在进行预测时使用了大量的旧数据和被简化的模型。外部的市场和经济环境发生了很多变化,人们实际掌握的知识和自认为掌握的知识之间的鸿沟越来越宽,基于历史数据的模型自然不能反映真实世界的问题。
其他见诸于公开报道的类似案例也说明模型风险已经成为金融业面临的重要风险。以著名的“伦敦鲸交易”为例,摩根大通一直号称风险管理方面的专家,在拥有大量衍生品交易的同时仍可以使投资者远离风险。但2012年管理着3500亿美元规模的摩根大通驻伦敦的交易员布鲁诺•伊科西尔(Bruno Iksil),在进行一系列复杂的衍生品交易时损失了至少62亿美元。归其原因,一是由于新的模型未经过验证和优化;二是存在大规模的CDS(信用违约互换)交易;三是风险提升,未经验证的新VaR模型失灵。
什么是模型
模型风险是什么?面对人工智能时代的模型风险,内审人员是做“鸵鸟”——讲模型的应用和发展看成与自己无关的事情,有意无意地忽视模型风险;还是“雄鹰”——对模型的应用和发展由清醒的认识,在内部控制过程中落地针对性的做法。
广义上讲,模型一般是指通过主观意识借助实体或者虚拟表现构成客观阐述形态结构的一种表达目的的物件(物件并不等于物体,不局限于实体与虚拟、不限于平面与立体)。模型构成形式分为实体模型(拥有体积及重量的物理形态概念实体物件)及虚拟模型(用电子数据通过数字表现形式构成的形体以及其他实效性表现)。模型是人的思维构成的意识形态,通过表达从而形成的物件。
参考OCC的定义,商业银行经营管理过程中的模型是指应用统计、经济、金融或数学理论技术构建的定量方法或系统,其可以在一定假设条件下,根据输入的数据输出定量估计等决策参考信息。模型也包括“专家系统”,即将专家意见或判断作为部分输入数据,输出的是数量化的结果。
一般情况下,模型构成主要有如下三个方面:一是信息输入组件——定义假设和前提以及数据输入的要求;二是处理组件——将输入的数据运算变换后输出定量估计;三是报告组件——将生成的定量估计转换为有用的商业信息、报告。
什么是模型风险
模型风险最初的定义是基于模型对资产组合进行估值时潜在损失的可能性。随着模型在商业银行日常经营管理中应用领域的不断拓展,模型风险的外延也相应拓展。
信孚银行的专家认为,模型风险是由于金融模型的开发、实施和持续的操作性使用中所存在的错误和/或不一致性,而导致重大财务损失的风险。根据Fed发布的SR11-7《模型风险管理监管指引》,模型风险是指基于模型的不当使用或结果误用,给组织带来的潜在不良后果,如经济损失、错误的战略决策或声誉损害。
模型风险贯穿模型的生命周期
CRISP-DM是Cross-IndustryStandard Process-Data Mining的缩写,由SPSS、NCR、Daimler-Benz在1996年制定。CRISP是当今建立模型通用流行的标准之一,它强调通过建立模型,进行数据挖掘,解决商业中存在的问题。CRISP是模型建立的标准流程,基本反映了模型的整个生命周期,主要包括如下六个方面:
数据理解。确定数据挖掘所需要的数据;对数据进行描述;数据的初步探索;检查数据质量。
数据准备。选择数据;清理数据;对数据进行重建;调整数据格式使之适合建模。
建立模型。对各个模型进行评价;选择数据挖掘模型;建立模型。
模型评估。评估数据挖掘的结果;对整个数据挖掘过程的前面步骤进行评估;确定下一步怎么办,是发布模型还是对数据挖掘过程进行进一步调整以产生新的模型。
模型发布。把数据挖掘模型的结果送到相应的商业银行经营和管理人员手中;对模型进行日常的监测和维护;定期更新数据挖掘模型。
模型风险审计应成为内部控制审计不可或缺的重要内容
从商业银行的业务实践来看,伴随金融风险复杂程度的上升,监管对银行的要求不断提高,商业银行也不断地改进和完善其风险管理理念、手段和技术,模型在商业银行应用的广度不断拓展、深度不断加深,覆盖了经营管理的重要领域:经营战略分析、业务决策、识别和评估风险、风险暴露计算、仓位和头寸、压力测试、资本充足率、客户资产管理、制度执行效果、资产管理、合规报告、公开披露。
高级的建模方法往往成为先进风险管理的标志,但建模技术的高级化通常伴随技术和方法的复杂化,进而形成新的风险,甚至由于“蝴蝶效应”的存在,模型存在的微小误差通过系统传递、放大而产生严重的后果。模型风险能否得到有效管理,将直接影响到商业银行相关业务的风险判断和业务发展,并可能对银行整体风险水平造成潜在的巨大冲击。
从内部控制和内部审计的角度看,模型的应用,一方面大大提高了管理效率、降低了成本,另一方面由于模型自身和模型管理存在的不足也会产生新的风险,成为影响商业银行全面管理的重要因素。模型已经与商业银行的经营管理密不可分,成为其重要的组成部分,也应成为内部控制审计不可或缺的重要内容,将其纳入全面的内部控制审计过程中。内部审计必须能独立地监督与评估模型风险,其目的不仅仅是最小化模型风险及该风险可能导致的损失,还在于满足外部监管机构的要求并向高管层提供全面、完整的信息。
审计思考面对模型风险,内审人员应该如何应对?
模型风险审计的主要内容
从上文可见,模型风险主要来自于模型自身和模型管理两个方面,对模型风险的审计,需要结合内部控制,贯穿模型全生命周期:从模型需求开发、测试、独立验证、实施上线使用、监控、风险处置直到模型最终下线停用。
模型自身方面的审计重点
1.业务场景理解是否全面。交易场景的判断对数据分析、模型构建很重要。数据是业务的衍生物,必须结合交易场景的分析才能确定模型关注的重点,检查延伸的方向。通过对数据来源的分析,可以理清数据和业务的关系、系统产生数据的逻辑路径。风险管理实践中,由于“潜在变量”(Lurking Variable)的存在,感觉一组数据是相关的,但往往很容易将相关关系处理成因果关系。比如,本来是负相关的数据,因为被潜在变量影响而变成正相关;本来不相关的数据,完全由于潜在变量导致其有所相关。有的时候,表象上的相关性是由于时间趋势造成的,有的相关关系无法证明其内在机制,不能确定谁是因、谁是果。
SHAPE \* MERGEFORMAT
2.数据治理是否满足建模需求。业务系统需求、操作手册、管理制度等对系统提供的功能都有描述,根据描述可以申请数据,但由于需求理解或开发进度等方面的问题,实际数据并没有想象中的美好。实际数据与需求说明的差异始终存在。此外,由于监管、市场、业务拓展与管理、内控规则变化等,业务系统在上线后一直处于不断完善和补丁过程中,数据建模的分析思路也需要在使用过程中及时进行审阅与更新。
3.模型的假设是否过于理论化。众所周知,商业银行面临的最大风险是信用风险。传统观点认为,信用风险是指债务人未能如期偿还债务造成违约而给经济主体经营带来的风险。随着现代风险环境的变化和风险管理技术的发展,传统定义已经不能反映现代信用风险及其管理的本质。现代意义上的信用风险是指由于借款人或市场交易对手违约而导致损失的可能性,更为一般地讲,信用风险还包括由于借款人信用评级的变动和履约能力的变化导致其债务市场价值变动而引起损失的可能性。
针对信用风险的管理,业界提出了很多模型。瑞士信贷银行开发的信用风险附加模型(CSFPCredit Risk Plus Model)是应用比较广泛的模型。该模型的假设有:假定一个金融机构有n笔贷款,每一笔在1年时间内违约的概率为p,整个交易组合的违约数量的期望值μ=np;假定违约事件之间相互独立。但从实践中看,尤其是国内商业银行的经营环境看,授信客户间已形成庞大的担保关系网络,由于担保网络中部分担保人和被担保人都属于同一个集团或同一行业,面临的各种风险具有同质性,一个或少数信用主体经营困难或破产就会导致信用链条的中断和整个信用秩序的紊乱,极易诱发群发性的风险。客户的违约事件很难满足违约事件之间相互独立的前提。
4.模型的训练样本和训练是否充足。最佳模型是在70%的训练数据上选出来的,不代表在全部训练数据上是最佳的。当训练数据本来就很少时,再分出测试集后,这样训练的数据就太少,模型结果很可能是有偏差的,而模型的结果精度此时也变得带有误导性。此外,很多模型没有经过一个完整经济周期的检验,可能极大低估了损失的严重性,历史数据和线性方法对评估新业务模式和新产品的风险还很不充分。
5.模型开发和部署过程是否存在技术缺陷。比如,在模型开发过程中是否存在测试不充分、编码错误;在建模过程中是否关注建模数据的有效性、建模过程的科学性、模型结果的可解释性;在模型部署过程中是否存在版本控制混乱;在数据传输过程中是否存在网络问题等。此外,IT基础设施运营的安全稳定性对模型风险的影响日益重要,还需要关注模型依赖的网络与硬件安全性、业务连续性保障等方面。
模型管理方面的审计重点
1.是否建立有效的模型管理机制。一个强有力的模型管理机制对于有效的模型风险管理至关重要。模型管理机制通过制定模型风险管理政策、建立执行这些政策的程序以及分配资源来组成管理架构,实现管理功能,并形成相应的机制来评估政策和程序是否完成相应的职能。
商业银行的模型管理审计应包括如下内容:
一是董事会和高级管理层。包括建立完善的模型风险管理架构,指定模型的开发、安装、使用和检验标准。在董事会的领导下,高级管理层将制定政策、程序以保障合规实施,同时,监督模型的开发以保障有效的模型审查,并向董事会汇报重大模型风险。
二是政策和程序。模型风险的管理要通过建立政策和程序来实施。政策和程序应根据市场变化、银行产品变化、策略变化、银行的风险披露、行业实践变化等进行更新,以保障其适用性。
三是权限和责任。模型风险的权限可以分为模型的拥有、控制和政策合规三个方面。
2.是否对模型进行定期评估和审阅。所有模型都是对真实世界的数学描述,每个模型都有明确的使用条件,包括对象、范围、表现区间、时限、注意事项等。当市场环境、客户和产品不符合模型使用条件时,模型及其反映的客观世界之间就存在不匹配,无法还原风险事实,模型本身的局限性就会被放大和快速传导,对业务和经营产生不利冲击。主要表现在两个方面:一是模型建立时对客观世界的描述有偏差;二是随着客观世界的变化,模型产生了偏差。
以VaR(Value-at-Risk)模型(风险价值模型)为例,VaR值表明一定置信度内的最大损失。基于VaR度量金融风险已成为国外大多数金融机构广泛采用的方法。马歇尔和西格尔一项研究表明,对市场上提供VaR功能的软件商提出一个鉴别性的资产组合,要求每一种软件都使用同样的波动性输入值(从JP摩根的RiskMetrics中获取数据),来报告整个资产组合的VaR以及金融衍生工具(如互换)的VaR值。结果不同软件使用相同的方法和同样的市场参数来分析相同的敞口时,结果差异很大。对整个资产组合来说,估值范围在380万—610万美元之间,含有期权部分则在74.7万—210万美元之间。
3.对外部模型供应商的管理。从商业银行的模型开发和应用实践看,由于高级模型技术专业性和复杂性强,在数据处理、算法使用、模型部署等方面需要建模人员和技术人员的深度理解,商业银行作为模型使用者,在高新技术和算法研究方面的基础薄弱,自主开展前沿研究的技术能力不足,对外部模型供应商的依赖较强,因此需要重点关注:外部模型引入时是否做好完备的适用性测试和检验?检验的程度是否与模型的复杂程度、应用程度、银行运营的复杂性相一致?是否对外部模型进行持续的模型表现监控?是否建立应急计划以应对与供应商合作过程中出现的问题?
作者单位:交通银行总行审计监督局
