一、模型和AI风险管理逐步成为商业银行的重要挑战

巴塞尔委员会2004年发布新资本协议后，国内监管机构积极融入全球资本监管体系，推动商业银行建立完善的资本计量框架。在此背景下，国有银行、股份制银行和大型城商行、农商行陆续开始发力金融风险模型体系建设，包括信用风险内部评级模型、市场风险内部模型法、流动性风险模型、银行账户利率风险模型等，并逐步将这些模型推广到业务准入、限额管理、风险监控、风险偏好、风险报告、和绩效考核等业务管理流程中。随着大数据、云计算和人工智能建模技术的发展，尤其是ChatGPT、DeepSeek为代表的大语言模型（LLM）推出后，商业银行的模型建设和管理应用进一步深化，加速拓展至经营管理的更多方面，如信贷流程自动化、反洗钱、监管合规检查、智能客服、知识培训、信息代码辅助开发等。

毕马威模型和AI风险管理团队调研了全球主要金融机构模型应用实践，上表为团队梳理出的模型分类概况。可以看到：模型种类覆盖全部可应用的模型技术类别，包括传统统计模型和结构化模型、新兴机器学习模型、规则和专家模型、生成式AI模型；模型应用覆盖风险管理、反欺诈、监管合规、客户服务等主要经营和管理领域；不同领域的模型技术特点不同，均具有明显的优缺点。综合看，模型和AI在商业银行经营管理中应用越来越广，其风险管理的重要性越来越高，主要原因包括：

• 满足监管要求：确保相关监管模型得到有效的监控和维护，满足法规和监管要求。
• 控制财务风险：避免基于不正确的模型结果而做出的决策，有效控制其可能会对银行构成重大的财务风险。
• 提升信贷决策：有效管理信贷业务决策中使用的相关模型，可提升业务决策水平，控制模型对信贷质量和业务收益的不利影响。
• 加强风险管理：模型风险是银行风险管理的一部分，应整合到全面风险管理框架内，加强模型风险管理有助于银行进一步强化风险文化。
• 降低声誉风险：基于不正确或不恰当的模型结果而做出的决策，加强模型风险管理可降低其可能给银行带来重大的声誉风险。

二、模型风险管理监管要求和毕马威的实践建议

在较长一段时间内，模型风险管理已成为全球监管机构和金融机构关注的重点领域。巴塞尔委员会、美国货币监理署、欧洲银行管理局、英国审慎监管局、香港金融管理局等主要经济体监管机构均对金融机构模型风险管理提出监管要求。以欧洲银行管理局的内部模型评估指南和监管技术标准为例，模型风险管理应覆盖所有重大风险暴露，避免因“选择性建模”导致的监管套利；模型风险管理应围绕模型验证、风险覆盖和治理结构展开，结合“三道防线”原则强化风险控制；具体操作中应关注数据完整性与质量、模型方法论与假设的合理性、压力测试与情景风险应用、文档化和报告等技术管理。国内金融监管总局对模型风险管理也保持了较高的关注，在《资本管理办法》、《互联网贷款管理办法》等均提出明确的模型风险管理要求。

在监管要求和管理需求的推动下，国内金融机构近年来开展了很多模型风险管理实践，如资本计量高级法合规银行和拟申请合规银行依据监管要求定期开展信用风险内部评级模型和市场风险内部模型的验证；开展信贷业务自动化决策的银行多数建立模型风险管理系统和模型审批委员会。但中小银行的模型风险管理仍广泛存在缺陷，主要表现在：

• 定位不明确：模型定义不清晰，不确定哪些应纳入模型风险管理范畴，哪些可不纳入，导致很多时间模型风险管理团队不明确对哪些模型进行管理，以及如何管理。
• 职责不清晰：未有效定义模型管理前中后台和相应的岗位职责，造成模型开发、应用和管理职责重叠。
• 手段不完善：未建立完整的模型生命周期管理机制，缺乏有效的技术手段监控和验证模型。
• 基础不牢固：数据质量管理不足，信息系统功能不完善，对模型风险管理缺乏必要的支撑。

毕马威模型风险管理与全球主要监管和金融机构保持密切沟通和合作，包括协助国内多家领先银行建立模型验证和模型管理体系，具备丰富的模型验证和模型风险管理经验。综合考虑中小银行的模型风险管理实践，毕马威建议从三个层面完善模型风险管理体系：

• 看得见（清单管理）：明确模型定义、模型分类标准、模型管理要求，建立模型清单收集维护机制，及时更新模型相关信息，确保高级管理层、模型管理团队和相关业务团队可及时掌握模型的运行状态。
• 管得住（生命周期管理）：纳入此范围的模型，建立全流程模型生命周期管理机制，覆盖模型需求发起、模型设计与开发、模型部署和应用、模型验证、模型监控和模型退出全部环节，同时明确各环节管理要求和技术规范，确保模型从构建到退役全程有效监控和管理。明确管理管理者、模型使用者、模型设计和开发者、模型验证者等相关主体，梳理各主体在模型需求、设计、开发、验证、监控、审批和应用阶段的责任，建立以“三道防线”为基础的模型风险治理架构。
• 用得好（技术赋能）：模型开发、模型应用、模型管理和信息科技团队应统筹协作，建立模型管理的基础能力体系，包括数据治理、数据指标体系维护、模型技术引擎、模型生命周期管理、智能报告等，形成"数据治理-模型管理-技术赋能"的闭环信息支撑平台，为模型开发和业务应用团队做好科技赋能。

三、AI风险管理监管要求和毕马威解决方案

AI模型具有高度智能性，且在全球领先商业银行经营管理中的应用正逐步深入，其潜在的风险受到全球监管机构的高度关注，澳大利亚、加拿大、美国和欧盟等经济体监管机构陆续推出人工智能监管要求。如美国2023年发布自律性AI风险管理框架，欧盟2024年发布人工智能法案，英国2024年发布AI监管准则。其中，欧盟法案中将信用风险评估等金融AI系统列为“高风险”应用，要求此类模型满足严格的数据质量、技术文档、透明度和人工监督标准。国内监管机构也高度重视AI风险管理，如银行业协会2022年发布《人工智能模型风险管理框架》，明确AI模型全生命周期风险管控原则和流程；国家网信办等机构陆续发布《生成式人工智能服务管理暂行办法》和《人工智能生成合成内容标识办法》等监管要求，强化人工智能模型的隐私保护、数据安全和风险防控等要求。综合各国监管要求，人工智能监管要点包括有效和可靠性、用户安全性、数据安全、网络安全、运营弹性、透明度、可解释性、隐私保护和公平性等方面。

AI风险管理虽整体属于模型风险管理的范畴，但结合全球主要经济体和国内人工智能监管要求，叠加AI模型的幻觉、毒数据和不透明性等潜在缺点，其管理方式相对于传统模型风险管理有很大不同。下图是毕马威人工智能团队整理的人工智能模型管理与传统模型风险管理主要异同点，可以看出人工智能模型管理在输入数据、提示工程、数据安全性、模型公平性管理、模型可解释性和模型监控等方面相对于传统模型风险管理均具有新的要求。

毕马威人工智能团队深入跟踪人工智能技术发展、金融同业的人工智能应用和监管机构要求，为解决AI模型管理难题，结合毕马威全球网络在人工智能实施与运营中的丰富实践经验，研发了“可信人工智能（Trusted AI）”综合解决方案。

“可信人工智能（Trusted AI）”综合解决方案通过构建价值导向、以人为本和可信赖的人工智能治理框架，系统性应对AI伦理、风险与合规的复杂挑战，提供可落地的全景式人工智能风险评估体系。评估体系包括：

• 可持续性：人工智能解决方案应是能源节约的、可持续的，支持减少碳排放，助力更清洁的环境。
• 公平性：人工智能解决方案应减少或消除对个人、社区和群体的偏见。
• 隐私保护：人工智能解决方案的设计应符合适用的隐私和数据保护法律法规。
• 透明度：人工智能解决方案应纳入责任披露机制，确保利益相关者清楚了解该解决方案在整个生命周期内的运行方式。
• 用户安全：人工智能解决方案的设计与实施应保障人员、企业和财产免受损害。
• 可解释性：开发和交付人工智能解决方案时，应清晰解释得出特定结论的原因。
• 责任机制：在人工智能的整个生命周期中应嵌入人为监督和责任机制，以管理风险并遵守法律法规。
• 可靠性：人工智能解决方案应始终按照预期目的、范围和期望的精度水平运行。
• 数据完整性：人工智能方案中使用的数据应按照适用法律法规获取，并评估其准确性、完整性、适当性和质量，以推动可信决策。

欧盟《人工智能法案》发布后，AI风险管理已逐步成为商业银行风险管理体系的重要组成部分。毕马威已协助多家商业银行搭建基于“可信人工智能（Trusted AI）”的AI风险管理体系。

毕马威“可信人工智能（Trusted AI）”的AI风险管理体系主要建设内容包括：

• AI应用的定义：明确机构层面统一的AI应用定义，AI应用的不同类型（如传统的AI模型、生成式AI模型、自建AI、外部采购AI等），AI风险识别方法等。
• AI应用风险管理机制设计：AI风险管理的治理架构，AI风险管理流程（包括计划和需求提出、AI应用建设、方案实施、运营和监控等）。
• AI应用风险分类和管控方法设计：对AI应用建立风险分类机制，明确低风险、中风险和高风险应用，针对不同风险等级的AI应用设计针对性的管控要求。
• AI模型验证方案：设计AI风险监控方案，建立AI模型和AI应用的验证标准、机制和操作流程。

本文内容仅供一般参考用，并非针对任何个人或团体的个别或特定情况而提供。虽然我们已致力提供准确和及时的资料，但我们不能保证这些资料在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载内容行事。本文所有提供的内容均不应被视为正式的审计、会计或法律建议。

©2025毕马威华振会计师事务所（特殊普通合伙）、毕马威企业咨询（中国）有限公司及毕马威会计师事务所，均是与毕马威国际有限公司（英国私营担保有限公司）相关联的独立成员所全球组织中的成员。毕马威国际及其关联实体不提供任何客户服务。各成员所均为各自独立的法律主体，其对自身描述亦是如此。毕马威华振会计师事务所（特殊普通合伙）——中国合伙制会计师事务所；毕马威企业咨询（中国）有限公司——中国有限责任公司；毕马威会计师事务所——香港合伙制事务所。版权所有，不得转载。毕马威的名称和标识均属于毕马威国际的商标或注册商标。