同盾咨询余旭鑫:商业银行互联网贷款新规下的模型风险管理
自新冠肺炎疫情发生以来,包括互联网贷款在内的“非接触”金融服务备受关注,而这一业务模式也即将迎来监管新规。银保监会今年5月表示,为规范商业银行互联网贷款业务有序发展,起草了《商业银行互联网贷款管理暂行办法(征求意见稿)》(简称《办法》),正向社会公开征求意见。
当前,整个金融服务业正处于变化与调整之中,这种趋势伴随着行业复杂性和颠覆性的升级,已经持续多年。银行业还面临着越来越严的监管,银行合规成本逐步增加。同时,近年来新兴金融科技企业稳步增长,大型科技公司正在进入金融领域。面对众多监管法规及行业市场的变化,银行必须重新思考自己的未来,在生态系统中找到优势地位。
在这些背景下出台的《办法》将成为商业银行互联网贷款的“基本法”,将正式确立互联网贷款的地位,对互联网贷款市场和商业银行等机构将带来深远影响。商业银行应积极准备,一方面抓住机会加快发展互联网贷款业务,一方面落实要求认真整改发展中存在的问题。
针对互联网贷款的核心问题——模型风险管理,本文邀请同盾科技副总裁、同盾咨询总经理博余旭鑫博士“白话”解读《办法》中的“明示与暗示”。余旭鑫博士,曾任FICO中国区分析咨询总监,回国之前曾先后在世界银行 (The World Bank),富国银行 (Wells Fargo),沙利美 (Sallie Mae),摩根大通 (JP Morgan Chase),道明银行 (TD Bank)等国际知名银行担任要职,拥有20多年信贷风险管理领域经验。
“大家可能都认为《办法》里对于模型风险管理的要求,只是体现在第三十七条至第四十二条,其实不然……”余旭鑫表示。
以下是余旭鑫博士的解读:
《办法》在开篇的总则里就对“风险模型”给出了定义,这个定义由一个描述性语句加一个列举式语句共同构成。从描述性的语句来看,包括了“全流程的各类模型”,在“模型”两个字前面并没有加“风险”作为定语。也就是说,单从这个描述性语句来看,不管是风险还是非风险模型,都被包括了。但是,后面列举式语句里列举的,又都是我们通常认为的风险模型。再但是,列举式语句开头声明了“包括但不限于”。
那到底《办法》里所称的“风险模型”包不包含我们通常认为的风险模型以外的模型?比如说收益模型?
我们先转过头来看看美国的模型风险监管文件里是怎么定义他们所要监管的“模型”的。按照美联储的定义,模型是“应用统计、经济、金融或数学理论、技术和假设将输入数据处理为定量估计的量化方法、系统或途径”。在这里,并没有把风险模型和非风险模型分开来说。但实际上呢?根据余旭鑫博士在美国的几大行多年从事模型管理并经常与监管打交道的经验,美国对于风险模型和非风险模型的监管力度实际上是不一样的。在实际操作中,美国的监管部门会要求各银行根据具体模型对业务的重要性和潜在风险的大小等情况,把全行的模型分成三个tiers。对tier1模型的各项管理要求要比对tier2和tier3模型严苛得多。大家可以想象得到,按照这个原则,像收益模型这样的模型肯定会被分到比核心信审模型低的层级。
所以,回到刚才的问题,余旭鑫认为模型监管肯定是会覆盖到所有模型的,但是目前阶段的关注点主要在风险模型上。现在或未来即使监管有涉及到非风险模型,在实操中可能会有比较宽松的标准。
以上列举的两条,就是余旭鑫博士所说的暗述了,什么意思呢?就是说这两条里面并没有出现“模型”这两个字,但是有“风险管理制度/机制”、“贷款风险”等字眼。联系上下文,你敢说这些里面不包含模型风险管理吗?“反正我不敢说。如果是包含的,那就意味中国商业银行的董事会和高管层将像他们的欧美同行那样,正式对模型风险管理直接负责”,余旭鑫博士表示。
如果读者认为上面的解读还只是臆测的话,那么请看下面这一条:前半句提到了“贷款风险管理”这个词,后半句提到了“风险模型”,直接连起来了有没有?这不是臆测吧?另外,这句话还传达了另一个重要信息,那就是模型风险管理的“那些事儿”是不能完全外包的。但是,请咨询公司来咨询一下,赋能一下,培训一下可不可以?我觉得可以。
根据我们在上面总结出来的规律,《办法》中凡是有出现“风险管理”之类的关键词的地方,我们都默认包含了模型风险管理。按照这个套路,我们来看看下一个跟模型风险有关的是哪一条。
是审计!很惊喜有没有?模型风险管理的第三道防线就是模型审计。我们的监管领导们没有把它漏掉。
再往后就是专门针对模型风险管理的第三十七条至第四十二条,就不一一赘述了。概括起来就是:首先,要求银行要把整个管理流程搭建起来。然后,对模型生命周期管理的各个环节,即模型的开发、测试、评审、检测、退出,提出各项具体要求。最后,强调了记录,因为文档是银行内部检查和监管外部检查的基本依据,余旭鑫博士表示。
就像很多电影一样,《办法》在快结尾的地方还给大家埋了个“彩蛋”,那就是第六十条。
没错,有月有日的,要提交包含“风险模型的监测与验证情况”在内的年度评估报告。有模型管理经验的人一看就知道这不是一个结尾,而只是一个开始。因为全行的“风险模型的监测与验证情况”不可能是完美的。既然不完美,监管就肯定会提出具体的监管意见,收到监管意见后,银行就得有相应的整改计划和落实措施(remediation plans and actions),于是就拉开了大量工作的帷幕.
总言之,指导方针和政策已经基本框定了,逐步落实只是个时间的问题。尊敬的银行领导们,您们准备好接招了吗?
来源:金融界网站
