同盾咨询余旭鑫：商业银行互联网贷款新规下的

　　7月17日，据银保监会网站消息，为规范商业银行互联网贷款业务经营行为，促进互联网贷款业务平稳健康发展，银保监会制定了《商业银行互联网贷款管理暂行办法》（下称《办法》），自公布之日起施行。自新冠肺炎疫情发生以来，包括互联网贷款在内的“非接触”金融服务备受关注，而这一业务模式也迎来监管新规。

　　当前，整个金融服务业正处于变化与调整之中，这种趋势伴随着行业复杂性和颠覆性的升级，已经持续多年。银行业还面临着越来越严的监管，银行合规成本逐步增加。同时，近年来新兴金融科技企业稳步增长，大型科技公司正在进入金融领域。面对众多监管法规及行业市场的变化，银行必须重新思考自己的未来，在生态系统中找到优势地位。

　　在这些背景下出台的《办法》将成为商业银行互联网贷款的“基本法”，将正式确立互联网贷款的地位，对互联网贷款市场和商业银行等机构将带来深远影响。商业银行应积极准备，一方面抓住机会加快发展互联网贷款业务，一方面落实要求认真整改发展中存在的问题。

　　针对互联网贷款的核心问题——模型风险管理，本文邀请同盾科技副总裁、同盾咨询总经理博余旭鑫博士“白话”解读《办法》中的“明示与暗示”。余旭鑫博士，曾任FICO中国区分析咨询总监，回国之前曾先后在世界银行 （The World Bank），富国银行 （Wells Fargo），沙利美 （Sallie Mae），摩根大通 （JP Morgan Chase），道明银行 （TD Bank）等国际知名银行担任要职，拥有20多年信贷风险管理领域经验。

　　“大家可能都认为《办法》里对于模型风险管理的要求，只是体现在第三十七条至第四十二条，其实不然……”余旭鑫表示。

　　以下是余旭鑫博士的解读：

　　《办法》在开篇的总则里就对“风险模型”给出了定义，这个定义由一个描述性语句加一个列举式语句共同构成。从描述性的语句来看，包括了“全流程的各类模型”，在“模型”两个字前面并没有加“风险”作为定语。也就是说，单从这个描述性语句来看，不管是风险还是非风险模型，都被包括了。但是，后面列举式语句里列举的，又都是我们通常认为的风险模型。再但是，列举式语句开头声明了“包括但不限于”。

　　那到底《办法》里所称的“风险模型”包不包含我们通常认为的风险模型以外的模型？比如说收益模型？

　　我们先转过头来看看美国的模型风险监管文件里是怎么定义他们所要监管的“模型”的。按照美联储的定义，模型是“应用统计、经济、金融或数学理论、技术和假设将输入数据处理为定量估计的量化方法、系统或途径”。在这里，并没有把风险模型和非风险模型分开来说。但实际上呢？根据余旭鑫博士在美国的几大行多年从事模型管理并经常与监管打交道的经验，美国对于风险模型和非风险模型的监管力度实际上是不一样的。在实际操作中，美国的监管部门会要求各银行根据具体模型对业务的重要性和潜在风险的大小等情况，把全行的模型分成三个tiers。对tier1模型的各项管理要求要比对tier2和tier3模型严苛得多。大家可以想象得到，按照这个原则，像收益模型这样的模型肯定会被分到比核心信审模型低的层级。

　　所以，回到刚才的问题，余旭鑫认为模型监管肯定是会覆盖到所有模型的，但是目前阶段的关注点主要在风险模型上。现在或未来即使监管有涉及到非风险模型，在实操中可能会有比较宽松的标准。

　　以上列举的两条，就是余旭鑫博士所说的暗述了，什么意思呢？就是说这两条里面并没有出现“模型”这两个字，但是有“风险管理制度/机制”、“贷款风险”等字眼。联系上下文，你敢说这些里面不包含模型风险管理吗？“反正我不敢说。如果是包含的，那就意味中国商业银行的董事会和高管层将像他们的欧美同行那样，正式对模型风险管理直接负责”，余旭鑫博士表示。

　　如果读者认为上面的解读还只是臆测的话，那么请看下面这一条：前半句提到了“贷款风险管理”这个词，后半句提到了“风险模型”，直接连起来了有没有？这不是臆测吧？另外，这句话还传达了另一个重要信息，那就是模型风险管理的“那些事儿”是不能完全外包的。但是，请咨询公司来咨询一下，赋能一下，培训一下可不可以？我觉得可以。