联系我们
如您对参会报名、网站使用、内容发布有任何疑问或改进意见,请随时与我们进行沟通!
客服企业微信
期待您的宝贵意见
李岩 汇丰银行亚太模型风险独立验证部资深经理
2019年,欧洲风险杂志的引言将模型风险比作幽灵,并戏称有“幽灵”在欧洲上空盘旋。这种说法主要是源于欧洲中央银行从2016年开始对65家主要运用内部模型的银行进行的一次全面检查,项目全称为《对内部模型和监管审查和评估过程的针对性审查》(Targeted Review of Internal Models,简称TRIM),这次审查可以说是历年来最大规模的一次监管项目。因为经过几次金融危机,大家普遍对内部模型法有所不满,资产支持证券(Asset-Backed Security,简称ABS)等模型并不能很好地反映市场的情况,因此欧洲中央银行旨在通过这次活动来确认内部模型法的有效性,作为巴塞尔协议谈判中的一个砝码。
该项目从2016年至2021年耗时五年,其间得到了众多银行的配合。实行内部模型法需要监管机构的批准,但除了监管对银行内部的管控有一定要求外,它对监管者也赋予了一定权力,要求他们定期检查,并对批准的时效性有所规定。在这种情况下,即使监管机构批准了银行的模型,银行仍需在应用过程中接受监管机构的监管,以确保达到要求。该项目本身的目的不是为了挑各家银行的毛病,而是为了确认欧洲银行内部模型法的应用是成功的。
该项目的报告最终在2021年4月发布,其结论说明内部模型法在各家银行中的实施还是有效的,可以继续使用。此外,该项目也发现了不少问题,在该过程中欧洲央行确定了5000项调查结果,并发布了具有约束力的监管措施,要求银行在规定的期限内采取纠正措施。通过这些措施,TRIM使调查模型的风险加权资产增加了12%,约2750亿欧元。换言之:由于TRIM发现银行持有的风险比他们之前估计的要多,因此在2018-2021年间,使用内部模型的银行一级核心资本率平均下降了约60个基点,并且主要是受信用风险的影响(占56个基点),而市场风险和交易对手风险则均使其降低了2个基点。
图1 受检模型对风险加权资产和一级核心资本比率的影响
结合欧洲银行监管会主席Andrea Enria对当时的总结可知,TRIM这个项目通过确保内部模型的可靠性和结果的可比性,为欧洲银行业创造了一个公平的竞争环境。但这并不排除银行仍需通过一系列措施来补足实施过程中的缺陷,并为此发布了《欧洲央行内部模型指引》(《ECB guide to internal models》)。
从我的理解来看:首先,在TRIM项目之前,在模型风险方面并未有过多要求,但这一次行动让我们认识到模型风险管理与资本成本之间是有直接联系的,如果模型被确认为无效,则相应的资本要求也会被提高。其次,正如国内对其他风险类别的管理方式一样,模型风险管理也是监管驱动。在过去,尽管银行对模型风险管理有需求,但并不具备大规模、标准化的模型风险管理方法;而TRIM的实施作为欧洲银行的手段,则提升了管理者与投资者对银行模型的信心。另外,欧洲银行还想通过推动模型风险管理来向美国靠拢,采用类似美国的对模型风险的标准化管理。
图2 模型风险管理的政策演变
通过由近及远地观察图2的时间轴,在最后阶段是由TRIM所诞生的欧洲银行(European Central Bank,简称ECB)关于内部模型的指引,在此之前还有2017年的指引与2016年的指引,它们也都与TRIM有关。在此期间还有英国监管当局对模型风险管理提出的要求,它主要是通过压力测试的手段和原则来督导模型风险管理。再往前面看,最早是美国的货币监理署(Office of the Comptroller of the Currency, 简称OCC)于2000年第一次对模型风险进行定义,并以此推动了模型验证的标准化、全面化、系统化。到了2004年,巴塞尔协议注意到了模型风险的存在,因此通过定价调整来弥补模型的不足。再往后,欧洲央行的欧洲银行监督委员会(Committee of European Banking Supervisors,简称CEBS)也跟随美国的脚步推动了模型验证的发展,但其模型验证规划受到范围的制约并不如美国的全面。巴塞尔委员会在2010年之后引入杠杆比率作为防范模型风险的保障措施,因为许多人觉得对风险敏感度的缺乏可能会造成风险加权资产(Risk-Weighted Assets,简称RWA)计算的不准确。
由于杠杆率是有加权的,因此也需要有不加权的资本作为资产,于是就出现了政策演变过程中最重要的里程碑,即由OCC和Fed(Federal Reserve System,即美国联邦储备局)于2011年12月联合发布的SR-11-7(《Supervisory Guidance on Model Risk Management》),它几乎可以直接作为银行模型风险管理的准则。它名称中含有“Supervise Guidance”,因此只能算是指引,并不是一个法律,也就是说各个银行不可能全面实施指引中所要求的监管,更多体现了监管机构所期望达到的一种标准。
在此之后,欧洲银行管理局(European Banking Authority,简称EBA)又推出了标准来调整模型的定价,例如审慎定价(Prudent Valuation)。EBA的举措一般是通过法律手段,但它只是针对某一工具或产品,具体而不广泛。 2014年,EBA SREP发布了《将模型风险整合为第二支柱的一部分》(《Integration of Model Risk as Part of Pillar2》),第二支柱要求银行自己有资本拨备来弥补风险可能造成的资本不足,而该政策则指出所有银行都要对主要风险计提资本,主要风险包括信用风险、市场风险,同时也包括由于模型不足造成的风险,通过加乘数、回测等手段来管理。此外,当监管机构批准使用模型时,也要注意是否有低估模型的潜在风险。
模型验证只注重在模型问题的验证这一领域,最开始并未涉及到现在为我们所知的监管机构要推动的全面模型风险管理。模型验证非常之重要,它贯穿于各个金融机构的业务过程中,包括银行、投行等,由2000年OCC发布的公告表明,模型验证实际上是模型风险管理最早且最主要的一种存在形式。
一个模型由三个部分组成,一是信息,因为模型只有输入才有输出,而输入的内容包括各种数据、假设;二是处理,当信息被输入后,就进入了处理环节,并得到相应的估值;三是应用,即运用模型去做决策,投入实际业务中去。OCC在2000年就是从以上模型的三大构成说起,部署了模型验证的三个环节:验证输入、验证处理、验证使用。该结论即使拿到今天也依然有效,只不过随着SR 11-7中更全面的模型风险管理方法的提出而被逐渐替代。
1.模型理论
模型的背后往往都有指导理论,无论是经济理论还是金融理论。
2.模型数据的有效性
现在对数据的要求已比较高,比如当使用内部计量法时,数据就必须要达到一定标准,满足有效性要求,当你的数据在30天都没有变化时,基本就说明该数据是不能反映市场波动的,或者说很大程度上你的公司在数据处理方面存在问题。因此,数据需要达到一定的标准,满足一致性和有效性,然后才能继续下一步,尝试理论的实现。
3.模型的设计和表现
理论的实施是对模型的设计和表现,模型的设计最主要的就是对模型本身理论的验证。有时假设不成立并不意味着要彻底抛弃这个模型,而是要考虑是否有简化掉一些不符合自己数据特征的东西。另外,作为模型验证的一个环节,还需要评估假设,判断其是否合理、影响有多大,一旦发现问题则要做适当调整,从而满足假设的要求。所有的模型都是在一定范围内使用,如果超出范围,则要做另外的调整。就比如在新冠疫情背景下,市场的波动往往会超出预期,导致资本的不足,因此模型假设与表现的验证是非常重要的。
4.模型的实施
模型最终都要交给使用者使用,该过程需要模型的实施,此时须确保模型实施的准确性。可以通过写一套代码验证,也可以使用现成的系统来验证,以确认模型的实施能达到预想的效果。
5.文档
模型不能只有开发者懂,对其他使用者则变成一个黑箱,由此会造成很多不定性与风险。而文档存在的价值就在于使得开发者的模型能够被第三者理解、完成,确保模型能被传承下去,能被监管者看懂,因此要求模型对应的文档要有存档、有批准流程、有责任人管理。
6.合规
以内部模型法为例,不管是巴塞尔协议还是OCC的规范,都对模型有具体的规定,模型验证部门要确保模型符合监管的要求。模型验证部门相当于一个独立的第三方,没有参与过模型的开发过程,不存在利益冲突,他们的职责是告诉模型批准者缺陷在哪里、缺陷有多大、影响有多大,并赋予量化的标准;或者是告诉模型开发者应该怎么做等等,要对模型风险的根源有所总结。此外,由于每个资产都可能有独立的模型,模型之间就会涉及相互嵌套的情况,因此模型管理者不应只关注单个模型的风险,而是要在整个公司的层面识别风险。
第一,模型验证不是模型风险管理的全部;第二,现如今模型风险管理越来越强调有效治理与有效监控,要求有自己的治理框架和手段;第三,模型风险管理要求有效的质疑,因为只有模型验证部门拥有一定的地位,才能使其受到领导层的支持,才能使验证报告达到真正的管理效果;第四,模型的开发和使用都很重要,当一个很好的模型被使用在不匹配的目的上,其结果将是大错特错,甚至造成损失。
OCC于2011年发布的这部监管指引就像葵花宝典一样,涉及内容十分广泛,并非局限于某一领域或模型的某一个阶段,它构建了真正意义上的模型风险管理框架,内容包括模型风险的定义、来源、模型验证、相关政策等,以至于之后ECB关于内部模型法的指引、英国监管局的《压力测试的模型风险管理原理》都试图与OCC的指引看齐。
OCC公告概述了关键模型验证原则和OCC对健全模型验证流程的期望,它将模型定义为基于统计、经济、金融或数学理论技术和假设的量化方法、系统或估计。在日常工作过程中,模型的定义尤为重要,它是模型风险管理的入口,不只是一个简单的工具、计算或量化指标,可以有效处理与别人沟通过程中产生的对模型判断的分歧,从而确认某一模型是不是需要被验证。如果模型的定义都不清楚,会给双方都带来麻烦。
模型风险可来源于模型本身和模型使用。根据SR11-7对模型风险的解释:模型不正确的使用总是会带来模型风险,即基于错误或误用的模型而输出和报告的决策可能产生不利后果,比如金融损失、决策损失,甚至是银行萧条。
OCC所倡导的是模型风险光靠单纯的验证是不够的,还需要全面管理,包括对基本理论正确性的评估、使用过程中不断地监测、结果与业绩偏差是否很大等,并非是个一次性的行为。在模型风险的管理过程中,责任人与相应的责任需要被厘清,只有这样当风险暴露出来时才能有明确能找到的责任人,以防责任的相互推脱。此外,文档、董事会与内部审计也在全面模型风险管理的过程中扮演重要角色。
全面模型风险管理的流程最开始是设计与筹划,该阶段需定下模型的责任人。然后到了开发环节,开发过程中需要测试。当测试完成后,则要对模型进行独立验证,如果有严重的问题,就需要从头设计;没有太大问题且通过批准后,模型就可以在系统里实施,提供给前台同事使用。
有时模型的适用性在使用过程中也会随着商业需求的改变而发生变化,如果只需要做微小调整,则不需要审批;但如果由于各种原因(比如监管、商业),导致必须采用新模型代替旧模型,则需要经过审批流程。
模型风险管理流程分为十一个步骤:1.识别和注册存库;2.模型风险重要性评估;3.模型计划;4.开发和测试;5.独立模型验证;6.模型批准;7.实施;8.模型监控;9.风险行动事项管理;10.常态化模型验证11.模型变化管理和消亡。
第一道防线通常是业务部门(模型使用者),以及模型的开发部、测试部、监控部,这些群体既是风险的受益者,同时也是责任承担者。
第二道防线包含模型风险治理与独立的验证,主体是首席模型风险官,任务是建立全面模型风险管理框架,制定相关政策,批准一些重要的模型,对第一道防线提出独立的挑战。
第三道防线的主体是审计部门,其职责是就企业的模型风险管理向内部利益相关者和监管机构提供独立报告。
由图3所示,风险可分类为金融风险和非金融风险,金融风险由传统的市场风险、信用风险、流动性风险、利率风险等构成;而非金融风险则有法律风险、行为风险等。模型风险与法律风险归为一类,与市场风险等又同处最高级别的系列,由此可知模型风险的重要性是非常高的,牵扯到整个公司的风险管理框架。
图3 风险分类法最高级别的风险分类汇总
而根据图4,银行中的模型风险则为归属于操作风险之下的二级风险,这与巴塞尔协议的规定相似。
图4 银行风险的分类
设定模型风险的KPI是为了检查模型是否得到验证、验证的结果是什么、是否超时限、运行指标是什么等。模型库的变化是一个动态的过程,这也是模型风险管理的一项重要的汇报指标。
公司的模型风险管理政策要保持一致性,对所有的模型要既能考虑到单个模型的特点,同时又能考虑到全部模型所共有的标准。图5展示了公司内部对于模型风险的管理框架,从上而下先是董事会、高管,然后落实到首席模型风险官、模型风险委员会,再进一步将职责落实到专门的模型风险管理团队、模型验证团队。
图5 模型风险的公司治理框架
中国银保监会于2020年7月发布的《商业银行互联网贷款管理暂行办法》对风险模型进行了解释,并指出风险模型评审应当独立于风险模型开发,评审工作应当重点关注风险模型的有效性和稳定性,确保与银行授信审批条件和风险控制标准相一致。经过评审以后,模型才可上线。监测如果发现模型缺陷或者已不符合模型设计目标的,应当保证能够及时提示模型开发和测试部门或团队进行重新测试、优化,以保证风险模型持续适应风险管理要求。对于无法继续满足风险管理要求的风险模型,应当立即停止使用,并及时采取相应措施,消除模型退出给贷款风险管理带来的不利影响。
从实际情况来看,以中国银行为例,通过对网上披露信息的查阅发现,中国银行会通过内部模型法来计量风险资本,也有文档管理和压力测试,但在公司风险管理框架下,并不设置专门的模型风险管理部门。对于模型的管理、验证,主要是交给外部的第三方服务机构(如咨询公司)。
就模型风险管理目的而言,目前大多是为了追求合规,而风险控制则是其次的。此外,现在的模型风险管理主要是以业务为驱动,以监管机构的政策为驱动,可能只属于某一部门的副业。
(责任编辑:龚忻翌)
来源:TGES2021高级研讨会:风险分析、量化和压力测试高级研讨会(8月)
