1. 监管框架总览:巴塞尔协议演进、国内监管体系与模型风险管理核心原则
做风控模型这么多年,我最大的感受是——不懂监管,模型做得再花哨也是白搭。今天咱们就来聊聊这个绕不开的话题:监管框架到底长什么样?
1.1 巴塞尔协议:从I到III的演进
巴塞尔协议,说白了就是全球银行业的"交通规则"。我入行那会儿正好赶上巴塞尔II在国内落地,当时很多同事还在抱怨"太复杂了",现在回头看,那会儿的复杂度跟现在比简直是小巫见大巫。
巴塞尔I(1988年)
- 核心思想:资本充足率不低于8%
- 风险加权资产:按资产类别给固定权重
- 局限性:太粗糙了,不区分借款人的真实风险
巴塞尔II(2004年)
这才是真正跟风控模型挂钩的版本。它引入了三大支柱:
- 最低资本要求:允许银行用内部模型算风险
- 监管审查:监管机构要检查你的模型靠不靠谱
- 市场纪律:信息披露要透明
嗯,这里要注意——内部评级法(IRB)就是巴塞尔II的产物。我在项目中遇到过不少银行,为了申请IRB法,光模型文档就写了上千页。为什么?因为监管要求你证明"模型能准确预测违约概率"。
巴塞尔III(2010年至今)
2008年金融危机后,监管发现:光看资本充足率不够,还得看流动性、杠杆率、系统性风险。巴塞尔III主要加了:
- 资本留存缓冲(2.5%)
- 逆周期资本缓冲(0-2.5%)
- 流动性覆盖率(LCR)和净稳定资金比率(NSFR)
1.2 国内监管体系:银保监会与央行
国内监管体系,说白了就是"一行两会"的格局。央行管宏观,银保监会管微观。但具体到风控模型,你主要跟银保监会打交道。
银保监会(现国家金融监督管理总局)
核心文件就这几份,我建议你打印出来贴在工位上:
| 文件名称 | 发布时间 | 核心要求 |
|---|---|---|
| 《商业银行资本管理办法》 | 2012年 | 对标巴塞尔II/III,明确IRB法要求 |
| 《商业银行模型风险管理指引》 | 2020年 | 模型全生命周期管理 |
| 《商业银行互联网贷款管理暂行办法》 | 2020年 | 线上风控模型要可解释、可审计 |
中国人民银行
央行更关注宏观层面的风险,比如:
- 宏观审慎评估(MPA):对银行的资本、杠杆、流动性做综合打分
- 金融科技监管沙箱:新模型、新算法要先在沙箱里跑一跑
- 个人征信管理办法:模型用到的数据必须合规
你想想看,如果模型用了"爬虫数据"或者"未经授权的第三方数据",央行一查一个准。我有个朋友就踩过这个坑,最后被罚了上千万。
1.3 模型风险管理核心原则
这部分是我最想跟你聊的。模型风险管理(Model Risk Management, MRM),说白了就是管好模型可能带来的损失。监管机构对MRM的要求,可以归纳为以下几条:
原则一:模型要有明确的定义
什么算模型?监管的定义是:用数学、统计或机器学习方法,对输入数据做处理,输出定量估计的系统。注意,连Excel算利率的表格,如果逻辑复杂,也可能被算作模型。
原则二:模型要有全生命周期管理
从开发、验证、部署到退出,每一步都要有记录。我习惯用这张图来展示:
原则三:模型验证要独立
开发模型的人不能自己验证自己,这是大忌。监管要求模型验证团队必须独立于开发团队。我见过最夸张的例子,某银行模型验证组就两个人,还跟开发组坐在一起办公——这哪叫独立?
原则四:模型要有可解释性
尤其是信用评分模型,监管要求你能说清楚"为什么这个人被拒了"。黑箱模型?不存在的。我曾经帮一家银行做审计,他们的XGBoost模型准确率很高,但SHAP值一算,发现"年龄"这个变量的权重异常高——差点被监管叫停。
- 模型要有清晰的定义和边界
- 全生命周期都要有文档
- 验证必须独立
- 模型要可解释、可审计
- 数据来源必须合规
1.4 我的几点经验
做了十几年风控模型,我踩过的坑不少。这里分享几个:
- 别等监管来查才补文档——平时就要养成写文档的习惯,哪怕只是几行注释
- 模型不是越复杂越好——监管更看重稳定性和可解释性
- 数据合规是红线——用了不该用的数据,模型再准也没用
好了,监管框架这块儿就聊到这儿。说白了,监管不是来卡你脖子的,而是帮你把风险管好。理解了这一点,后面的内容就好办了。