導語：銀行業亟需深化AI治理，即構建AI的使用原則與共識，并制定一套標準化的AI系統的設計和使用規范，對設計和使用AI系統過程中涉及的相關概念和流程進行定義和指導，從而保障AI被合理規范地使用，更大程度地發揮AI的價值。 

背景

當下，人工智能（AI）技術已經逐漸應用于整個銀行前中后臺業務流程中，如下圖所示。一方面，銀行業憑借較高的數字化水平和多維度應用場景給人工智能的發展應用提供了優良的“土壤”。另一方面，在銀行業盈利模式受到利差收窄、不良率攀升等沖擊的影響下，也正需要人工智能技術來助推銀行業加速轉型，消除其轉型發展過程中面臨的“痛點”。通過語音識別、圖像識別、自然語言處理、機器學習與深度學習等一系列人工智能技術的廣泛應用，銀行業將在規?；焖俜治?、精準服務、風險管控等方面煥發出新的生機與活力。

然而，AI算法和技術的快速發展和應用，在為銀行帶來更高效的運作方式的同時，也帶來了一些隱憂，如數據安全、算法風險、隱私保護、社會倫理等問題。這些風險如果不能妥善處理，可能會帶來系統性風險。此外，對AI風險的擔憂也限制了銀行業在人工智能領域更深層次的探索和創新。因此，銀行業亟需深化AI治理，即構建AI的使用原則與共識，并制定一套標準化的AI系統的設計和使用規范，對設計和使用AI系統過程中涉及的相關概念和流程進行定義和指導，從而保障AI被合理規范地使用，更大程度地發揮AI的價值。

從銀行業AI風險看治理的必要性

從概念上講，銀行業AI治理屬于信息技術（IT）治理的一部分（AI技術屬于IT的范疇），而銀行IT治理并不是一個新鮮的話題。經過幾十年的探索和實踐，目前業界已經形成了較為完成的治理理論、體系和方法。國際上，美國信息系統審計與控制協會（ISACA）推出了IT管理與控制框架COBIT（Control Objectives for Information & related Technology）、英國政府商務辦公室提出IT服務質量評估體系ITIL（InformationTechnology Infrastructure Library）等。此外，《巴塞爾協議Ⅱ》對銀行信息科技風險（簡稱“IT風險”，包括信息科技IT及信息通訊ICT等風險）提出了監管要求。在定義的七類操作風險中，“業務中斷或系統錯誤”與IT直接相關，其他幾類也與IT存在間接關系?！栋腿麪枀f議Ⅲ》在第Ⅱ版基礎上對操作風險提出了更高的監管要求。

在國內，銀保監會2021年印發的《銀行保險機構公司治理準則》第一百零五條規定：“銀行保險機構應當建立健全貫穿各級機構、覆蓋所有業務和全部流程的信息系統，及時、準確記錄經營管理信息，確保信息的完整、連續、準確和可追溯?！绷硗?，《商業銀行信息科技風險管理指引》（銀監發〔2009〕19號）詳細列舉了商業銀行涉及的各種信息科技風險，并對各領域的風險管控工作均提出了明確具體的要求。

然而，作為一種新興的技術，與傳統的IT技術相比，AI技術有其獨特之處。首先，一些AI算法的決策邏輯不像傳統程序邏輯那樣清晰可見。AI系統使用者只需將相關數據輸入AI系統，AI系統就會輸出相應的結果，然而其間AI算法是如何進行決策，為什么做特定的決策，即使AI系統的開發者有時也無法完全清晰解釋。其次，AI具有智能性，能獨立進行學習、歸納、推理、求解等活動。只需要提前設定好目標和規則，提供足夠的數據，AI系統便可自行進行相關的智力活動。

正因為AI兼有不透明性和智能性兩種特性，如果不對AI系統進行規范，AI便有可能做出違反道德倫常、公平正義，甚至危害社會的行為。因此，AI治理需要更加謹慎，考慮更多的因素。一般來說，這些風險按照是否和技術相關可以分為技術風險和非技術風險兩大類。技術風險又可以分為數據風險和算法風險；非技術風險則包括隱私風險和倫理風險，詳見表1所示。

銀行業AI治理原則的國際借鑒

正是由于AI的特性以及可能導致的潛在風險，在運用AI開展銀行業務的過程中，需要針對AI制定一套使用原則和使用規范。

近年來，各國政府、國際組織、學術機構和企業界都積極參與相關標準的討論和制定，并發布了多項相關的規范和指引。盡管這些規范和指引出自不同國家的不同機構，其核心觀點卻較為一致：首先，AI技術的發展和應用要堅持以人為本的原則；其次，AI技術在研發和應用的過程中須要保證AI模型的公平性、透明度、可解釋性等。然而，這些人工智能監管的規范和指導文件大部分是原則性、根本性的要求，并沒有針對具體金融業務場景和實施流程的操作指導，詳見表2所示。

規范銀行業AI開發和應用的具體建議

銀行業在實際應用人工智能技術的過程中，除了需要依靠上述概括性的原則對人工智能相關活動進行約制，還需要更加細致和明確的操作指引和管理辦法來規范人工智能技術的開發和應用。盡管目前相關銀行業標準及強制法規尚未正式發布，但我們認為至少可以從以下幾個方面采取必要措施，規范銀行業人工智能的開發和應用。

第一、建立正確的AI倫理價值觀。商業銀行在研發及應用人工智能技術的過程中，應將樹立正確的AI倫理價值觀貫穿于商業倫理建設及產品生命周期中，并積極建設倫理評估制度。要做到以人為本，堅持公平公正，積極承擔社會責任，保護安全隱私，嚴守倫理道德底線，防范金融倫理風險，實現可持續發展。

第二、借鑒現有銀行業風險管理的理念與方法。如可將銀行業經典的“三道防線”風險管理理念與模型風險管理（Model Risk Management, MRM）的理論及方法進行有效結合，對AI系統的模型風險形成有效防控。在經典的銀行風險體系中，“三道防線”理念要求金融機構建立順序遞進的內部控制三道防線，即一線崗位雙人、雙職、雙責為基礎的第一道防線；建立相關部門、相關崗位之間相互監督制約的工作程序作為第二道防線；建立以監督部門全面實施監督反饋的第三道防線來規范日常經營活動和防控風險。另外，隨著大數據和人工智能在風險建模和自動審批的流程中的大規模應用，模型風險從操作風險的一個分支，發展為一種單獨的風險類別，MRM也逐漸形成一套完整理論體系。2011年，美聯儲在編號SR11-7的同名監管信中發布了關于MRM的監管指南，其中對模型的范圍進行了定義和詳細解釋，并且開始關注人工智能技術帶來的準確性、公平性、偏見、歧視、隱私和安全性等新型風險。另外，歐洲中央銀行近期發起的“內部模型有針對性的審查（TRIM）”項目，以及前文提及的Basel模型、IFRS 9模型等均提供了MRM的相關指引。

可將二者進行有效結合，對人工智能模型風險形成有效防控。首先，可在一線AI模型開發活動中，針對不同的場景和功能，安排不同的團隊進行AI模型開發，從而避免一套大而全的AI系統全權負責，實現風險分散，將其作為第一道防線。其次，通過增加AI模型驗證環節，并設置專門的模型驗證部門對AI模型進行審核和驗證，形成第二道防線。最后，由內部審計部門或外部第三方的專業審計機構，對AI模型進行專業審計并反饋意見，形成第三道防線。通過建立AI治理的三道防線，對AI相關的數據、算法等風險進行有效管控。

第三，建立人工復核及兜底機制。2020年4月，中國銀保監會發布的《商業銀行互聯網貸款管理暫行辦法》第二十二條明確指出，“商業銀行應當建立人工復核驗證機制，作為對風險模型自動審批的必要補充。商業銀行應當明確人工復核驗證的觸發條件，合理設置人工復核驗證的操作規程?！北热?，在貸前審批環節，對接近某一評分附近的審批結果進行人工復核；又如，在運用人工智能處理人臉核身業務時，可定期對審核結果進行人工抽檢，從而及時發現和解決AI模型可能存在的未知問題，防范模型風險。

第四，做好人工智能模型的解釋工作。根據《關于規范金融機構資產管理業務的指導意見》（銀發〔2018〕106號）第二十三條的相關內容，“金融機構應當向金融監督管理部門報備人工智能模型的主要參數以及資產配置的主要邏輯，為投資者單獨設立智能管理賬戶，充分提示人工智能算法的固有缺陷和使用風險”，銀行在運用人工智能開展投顧等業務時，一方面，應向監管機構提供全面解釋，包括AI系統的解決方案、算法實現原理、模型訓練方法等，以及盡量提供額外的解釋性資料，比如數據治理報告和責任歸屬說明等。另一方面，考慮到普通投資者缺少AI的相關背景知識，無法理解AI模型運行的內在原理，銀行應充分提示人工智能算法的固有缺陷和使用風險，充分保護投資者的知情權和自主決策權，并避免相關的聲譽風險。

第五，加強技術創新。銀行應加大研發投入，運用技術手段解決AI的數據及隱私風險。比如可以通過研究和運用多方安全計算、聯邦學習、TEE等隱私計算技術，為人工智能算法提供強有力的安全計算支持，在滿足用戶隱私保護、數據安全的前提要求下，進行數據使用和建模，防范人工智能的數據及隱私風險。

第六，堅持創新與監管并行發展。銀行在通過人工智能技術提供創新產品和服務的同時，也應積極向監管機構提供相應的監管科技解決方案（RegTech），尤其是合規科技方案（CompTech），提供產品的安全性保障，規避隱形黑盒帶來的監管盲區，提高創新業務的合規透明度，助力人工智能技術在銀行業應用的可持續發展。

綜上所述，銀行業的AI治理是一個復雜的系統工程，需要監管機構、銀行、科研機構等相關方共同形成合力，在借鑒經典的同時，不斷開拓創新，推動銀行業AI治理能力的進步及相關制度、標準的完善，從而更大程度地實現AI在銀行業的應用價值。

注： 原文發表在《中國銀行業》雜志2021年第4期，有改動。

責任編輯：王煊