AI时代的模型风险管理：为现代ML更新SR 11-7

SR 11-7的要求与2026年4月SR 26-2的更新替代

美联储SR 11-7为美国金融机构的模型治理建立了基本框架，将模型定义为「将输入数据转化为定量估计的统计、经济、金融或数学理论的定量方法、系统或方法」。现代ML系统清楚地符合这一定义。核心原则——概念稳健性、严格开发、独立验证——对AI模型依然有效，但深度学习模型的可解释性差距需要新的评估方法：特征重要性分析、SHAP值、对抗性测试。

分布漂移和持续监控

ML模型在输入数据的统计特性与训练数据不同时会迅速退化。新冠疫情大流行期间，在大流行前数据上训练的模型遇到了严重的分布漂移。需要主动监控基础设施——跟踪输入数据分布、输出分布和性能指标的自动化系统，而非仅靠定期人工审查。

与EU AI法案的一致性

同时遵守SR 11-7和EU AI法案的金融服务机构存在相当大的结构一致性。EU AI法案对高风险AI的要求与SR 11-7的模型风险管理组成部分直接对应。具有成熟模型风险管理职能的机构可以在此基础上构建EU AI法案合规，而非将其视为平行义务。

对于金融机构而言，现代机器学习带来的SR 11-7适应挑战不仅仅是技术问题，也是组织和文化挑战。模型验证团队需要发展新的技能来评估ML模型，风险委员会需要对ML风险特征有新的理解，高管需要有关ML模型不透明性的沟通框架。投资于这些能力——不仅仅是技术基础设施，还有人才和教育——是有效适应SR 11-7到ML时代的核心。

现代机器学习带来的最深刻的SR 11-7挑战可能是概念稳健性要求，这不仅仅是技术问题，而是认识论问题。对于传统统计模型，我们可以用数学语言表达模型的决策逻辑并评估其是否合理。对于深度学习模型，我们面临的是一种根本性的不透明性，即使是模型的创建者也不能完全解释它的决策。这不能通过更好的解释工具完全解决，但可以通过更好的验证和监控实践来管理。

随着AI技术和监管格局的持续演变，AI治理实践也需要不断适应。建立在坚实原则基础上的治理框架——问责制、透明度、人工监督、公平性——将比任何特定法规要求更加持久。投资于这些核心能力的组织不仅将在当前监管环境中做好准备，而且将在AI治理预期不可避免地提高的未来做好准备。AI治理不是一项要完成的项目，而是需要随着组织AI使用的演变而持续关注的能力。

AI模型治理的组织挑战

模型风险管理的技术挑战在某些方面比组织挑战更容易解决。技术问题有既定的方法——可解释性工具、监控基础设施、验证方法。组织挑战——谁对AI模型性能负责、数据科学家和风险团队之间如何沟通、当模型监控发出信号时谁有权力采取行动——往往更难解决。领先的金融机构正在建立专门的AI治理结构来解决这些挑战：AI风险官在数据科学和风险团队之间扮演联络角色；包含业务、IT、风险和合规代表的AI风险委员会共同对重大AI决策拥有所有权；明确的升级路径，当模型监控触发预定义的风险阈值时，这些路径会自动激活。没有这些结构，模型风险管理往往会退化为一套存在但没有明确触发适当响应的机制的合规文档。