姚奕，上海金融与发展实验室银行研究中心主任

早在本世纪初，以国有银行为代表，就开始了量化模型的使用，最早是非零售信用风险的量化建模，随后是零售信用风险，再到市场风险、操作风险，随后进一步深入到经济资本、流动性风险、IRRBB等等，并且模型的使用领域也从单一的风险管理扩展到业务决策和经营管理方方面面，模型的方法也从传统的统计方法扩展到人工智能方法，以适应日益激增的数据规模需求。

当时在交行的时候，我们就开展了对模型管理的规范性工作的初步探索，并配合当时银保监会对交行的验收，建立了主要针对信用风险模型管理的基本框架，包括模型管理办法、模型验证体系、模型使用的跟踪监控、模型的定期优化，并形成一支专业化的模型团队（包括开发、验证、应用设计等岗位职责）。

我推荐两份文件给大家，一份是美联储发布的SR11-7：模型风险管理的监管指南，虽然这份文件是2011年发布的，但从目前来看，并没有过时，模型风险管理的整体框架和流程基本是稳定的，因此这份文件依然有参考价值，以下是该文件的目录：

大家看到，有效管理模型风险主要是从治理架构、政策的规范和内控的建设上予以保障，而模型风险的管理从流程上无非是这么几个节点：开发、实施、使用、验证。

另一份是2022年由中国银行业协会发布的团体技术报告：人工智能模型风险管理框架，虽然面向人工智能模型，但其整体框架依然和传统模型管理具有兼容性（下图是这份文件的目录框架）。

当然该文件针对人工智能模型的特点给出针对性的管理要求，特别是针对模型使用的阶段区分为三个等级，来区分当下银行使用人工智能的程度和管理水平高低。

两份文件原文链接见文后，如果网盘链接又出错，请后台留言索取。

好了，我来说说本文重点，我建议的模型风险管理办法的整体架构：

第一章 总则——阐述办法的制定依据，并作重要的名词解释，我列了四点，你们直接拿去用。

第二章 模型风险管理的治理架构——把模型风险管理的治理架构做总体交代，毫无疑问，董事会承担最终责任，并履行重大模型事项的批准工作；高级管理层负责组织模型风险的具体落地；然后交代与模型管理相关的各部门职责，因为将模型上升到风险类型的高度进行管理（在分类中，模型风险属于新兴的操作风险子类型），因此需要将参与的各部门划分到三道防线框架中，包括模型开发、实施、使用、验证、监控、审计等各环节。

从第三章开始，就具体对每个环节的职责进行具体描述，包括：

第三章 模型开发——要注意的是这里讲的模型包含银行内部使用的各种模型，覆盖各类风险以及业务决策，尽量做到全面。

第四章 模型的实施和使用——模型实施是指模型的IT落地实现，模型使用的主要部门一般为前线业务部门，如信贷管理部使用内部评级模型，金融市场部使用VaR模型等，这里需要注意的是要强调模型的使用遵守模型使用政策和使用手册，以保证模型的规范使用。

第五章 模型验证——模型的验证体系内容非常庞大，技术性要求也高，可以考虑在本办法中简要表述，同时对应《商业银行资本管理办法》附件24的要求，单独做一个模型验证管理办法。

第六章 模型监控与变更——模型的监控是发现模型问题的重要手段（因为验证的频率毕竟比较低，难以及时发现问题），因此需要设定一系列监控阈值，一旦被处罚，需要启动对模型的评估，必要时进行模型的优化与变更。

比如，信用风险PD模型变更触发可以考虑以下定量指标：

第七章 模型的审计——规定审计部门对于模型风险管理全流程的审计职责，包括审计内容、审计频率、审计报告对象等。

同时，别忘了模型的重要支撑因素——第八章 IT系统与数据管理——这部分不仅要把系统开发职责和流程进行约定，并且还要和数据治理要求相结合，对数据采集、数据质量管控分析、数据保存使用等进行规定，可能的话还需要制定单独的数据管理办法。

另外，还可以设计第九章 模型结果的应用——内部评级体系是有明确的应用要求的，其他模型当然也不例外，毕竟开发出来的模型就是要对业务决策或风险管理起到实质性作用的。

最后加上第十章 附则。