1. 监管框架总览:巴塞尔协议演进、国内监管体系与模型风险管理核心原则

做风控模型这么多年,我最大的感受是——不懂监管,模型做得再花哨也是白搭。今天咱们就来聊聊这个绕不开的话题:监管框架到底长什么样?

1.1 巴塞尔协议:从I到III的演进

巴塞尔协议,说白了就是全球银行业的"交通规则"。我入行那会儿正好赶上巴塞尔II在国内落地,当时很多同事还在抱怨"太复杂了",现在回头看,那会儿的复杂度跟现在比简直是小巫见大巫。

巴塞尔I(1988年)

  • 核心思想:资本充足率不低于8%
  • 风险加权资产:按资产类别给固定权重
  • 局限性:太粗糙了,不区分借款人的真实风险
我个人的理解:巴塞尔I就像用一把尺子量所有人——不管你是大企业还是小作坊,只要贷款性质一样,风险权重就一样。这显然不合理。

巴塞尔II(2004年)

这才是真正跟风控模型挂钩的版本。它引入了三大支柱:

  1. 最低资本要求:允许银行用内部模型算风险
  2. 监管审查:监管机构要检查你的模型靠不靠谱
  3. 市场纪律:信息披露要透明

嗯,这里要注意——内部评级法(IRB)就是巴塞尔II的产物。我在项目中遇到过不少银行,为了申请IRB法,光模型文档就写了上千页。为什么?因为监管要求你证明"模型能准确预测违约概率"。

巴塞尔III(2010年至今)

2008年金融危机后,监管发现:光看资本充足率不够,还得看流动性、杠杆率、系统性风险。巴塞尔III主要加了:

  • 资本留存缓冲(2.5%)
  • 逆周期资本缓冲(0-2.5%)
  • 流动性覆盖率(LCR)和净稳定资金比率(NSFR)
关键点:巴塞尔III对模型的要求更严了——模型验证、数据质量、文档记录,每一个环节都不能糊弄。

1.2 国内监管体系:银保监会与央行

国内监管体系,说白了就是"一行两会"的格局。央行管宏观,银保监会管微观。但具体到风控模型,你主要跟银保监会打交道。

银保监会(现国家金融监督管理总局)

核心文件就这几份,我建议你打印出来贴在工位上:

文件名称 发布时间 核心要求
《商业银行资本管理办法》 2012年 对标巴塞尔II/III,明确IRB法要求
《商业银行模型风险管理指引》 2020年 模型全生命周期管理
《商业银行互联网贷款管理暂行办法》 2020年 线上风控模型要可解释、可审计
避坑指南:我曾经见过一家银行,模型做得挺漂亮,但文档里连"变量选择逻辑"都没写清楚。结果监管现场检查时,直接被要求暂停业务整改。记住——没有文档的模型,等于没有模型

中国人民银行

央行更关注宏观层面的风险,比如:

  • 宏观审慎评估(MPA):对银行的资本、杠杆、流动性做综合打分
  • 金融科技监管沙箱:新模型、新算法要先在沙箱里跑一跑
  • 个人征信管理办法:模型用到的数据必须合规

你想想看,如果模型用了"爬虫数据"或者"未经授权的第三方数据",央行一查一个准。我有个朋友就踩过这个坑,最后被罚了上千万。

1.3 模型风险管理核心原则

这部分是我最想跟你聊的。模型风险管理(Model Risk Management, MRM),说白了就是管好模型可能带来的损失。监管机构对MRM的要求,可以归纳为以下几条:

原则一:模型要有明确的定义

什么算模型?监管的定义是:用数学、统计或机器学习方法,对输入数据做处理,输出定量估计的系统。注意,连Excel算利率的表格,如果逻辑复杂,也可能被算作模型。

原则二:模型要有全生命周期管理

从开发、验证、部署到退出,每一步都要有记录。我习惯用这张图来展示:

模型全生命周期管理流程 需求分析 业务目标/数据可用性 模型开发 特征工程/算法选择 模型验证 独立验证/压力测试 部署与监控 上线/性能跟踪 模型退出 退役/归档 反馈迭代 持续优化 虚线表示反馈与迭代,实线表示正向流程 每个阶段都需要完整的文档记录与审批

原则三:模型验证要独立

开发模型的人不能自己验证自己,这是大忌。监管要求模型验证团队必须独立于开发团队。我见过最夸张的例子,某银行模型验证组就两个人,还跟开发组坐在一起办公——这哪叫独立?

原则四:模型要有可解释性

尤其是信用评分模型,监管要求你能说清楚"为什么这个人被拒了"。黑箱模型?不存在的。我曾经帮一家银行做审计,他们的XGBoost模型准确率很高,但SHAP值一算,发现"年龄"这个变量的权重异常高——差点被监管叫停。

核心原则总结
  • 模型要有清晰的定义和边界
  • 全生命周期都要有文档
  • 验证必须独立
  • 模型要可解释、可审计
  • 数据来源必须合规

1.4 我的几点经验

做了十几年风控模型,我踩过的坑不少。这里分享几个:

  • 别等监管来查才补文档——平时就要养成写文档的习惯,哪怕只是几行注释
  • 模型不是越复杂越好——监管更看重稳定性和可解释性
  • 数据合规是红线——用了不该用的数据,模型再准也没用
一个小建议:每次模型迭代,都留一份"模型变更日志"。哪天监管问起来,你直接甩给他看,省得临时翻邮件。

好了,监管框架这块儿就聊到这儿。说白了,监管不是来卡你脖子的,而是帮你把风险管好。理解了这一点,后面的内容就好办了。


专注资料整理