2022年8月18日

金融服务中的人工智能和机器学习:监管机构怎么说?

Thomas Krantz

Advisor to the Managing Director

Thomas Krantz, WAIFC 董事总经理顾问到 2022 年，WAIFC 会员所在区域中的任何人都不能也不应该试图逃避人工智能 (AI) 和机器学习 (ML) 技术的变革影响。对于这种规模的任何变化，潜在的好处和危害是什么?随着对该技术理解越来越深入，这些问题就被提出来了。要开始回答这些问题，一个基本点是法律法规提供了构建该行业的指导方针。几个月前，国际证监会组织 (IOSCO) 发布了关于监管机构关于人工智能 (AI) 和机器学习 (ML)问题的最终报告。

监管机构提出了什么要求?

人工智能和机器学习越来越多地用于金融服务，这得益于不断增加的数据可用性和计算能力。市场中介机构和资产管理者对人工智能 (AI) 和机器学习 (ML)的使用一直在改变公司的商业模式。例如，许多公司一直在使用人工智能和机器学习来支持他们的咨询和支持服务、风险管理、客户识别和监控、交易算法的选择以及投资组合管理。在此过程中，他们自己的风险状况很可能已经改变。他们周围的风险环境也在总体上发生变化:是否对这些外部行业变化进行了适当评估?

这些技术的使用可以为公司和投资者创造显着的效率和利益，包括更快的执行速度和降低投资服务的成本。同时，它们的使用也可能产生或放大某些风险，这可能会影响金融市场的效率并可能损害客户。

IOSCO 将市场中介机构和资产管理者对人工智能(AI)和机器学习(ML)的使用确定为关键优先事项。[1] 2019 年 4 月，IOSCO 董事会授权该组织的“市场中介机构监管”常设委员会三和 “投资管理”常设委员会五检查当前和潜在的公众监督这些技术的实施和效果的最佳实践。委员会被要求提出指导意见，成员管辖区可以考虑采用这些指导意见来应对商业行为风险。

咨询报告指出的潜在风险

IOSCO 的公告在全球范围内对金融服务合规人员可见。IOSCO 调查并与市场中介机构举行了圆桌讨论会，并与资产管理者进行了外联，以确定人工智能和机器学习的使用方式。他们质疑相关风险可能是什么。

2020 年 6 月发布的咨询报告强调了以下领域，[2]这些技术的开发、测试和部署可能会带来潜在风险和危害:

 治理和监督;
 算法开发、测试和持续监控;  数据质量和偏差;
 透明度和可解释性;
 外包;
 道德问题。

国际证监会组织指南

根据全球监管机构团队为此次磋商收集的回复，最终报告提供了指导，以协助国际证监会组织成员监督利用人工智能和机器学习的市场中介机构和资产管理者。

该指南包括六项措施，反映了有关私营部门各方的预期行为标准。同样，“指导”一词特别重要，因为每个司法管辖区都必须根据其市场、法律和监管环境采用全球原则。IOSCO 成员和公司在实施措施时还应考虑任何回应的相称性。

随着技术的进步，人工智能和机器学习的使用可能会增加，监管框架可能需要同步发展以应对相关的新兴风险。IOSCO 警告说，2022 年的报告，包括定义和指南，可能会在未来进行审查和更新。在调整全球准则时，鼓励国家当局根据需要走得更远。

措施 1:监管机构应考虑要求公司指定高级管理人员负责监督人工智能(AI)和机器学习(ML) 的开发、测试、部署、监控和控制。这包括一个记录在案的内部治理框架，具有明确的问责制。具有相关技能和知识的适当高级个人或团队应负责签署这些技术的初始部署和实质性更新。

措施 2:监管机构应要求公司测试和监控他们用来验证持续部署的人工智能(AI)和机器学习 (ML)技术结果的算法。测试应在部署前与实际环境隔离的环境中进行，以确保人工智能(AI) 和机器学习(ML):

(a) 在有压力和无压力的市场条件下表现符合预期; 和

(b) 以符合监管义务的方式运作。

措施 3:监管机构应要求公司具备足够的技能、专业知识和经验来开发、测试、部署、监控和监督对公司建立的人工智能(AI)和机器学习(ML)的控制。合规和风险管理职能部门应该能够理解和质疑所产生的算法，并对任何第三方供应商进行尽职调查，包括供应商在金融服务领域具体展示的知识、专业知识和经验水平。

措施 4:监管机构应要求企业了解其对各类第三方 IT 提供商的依赖，并积极管理这些关系。这将包括监测他们的表现和进行监督。为确保充分的问责制，公司应制定明确的服务水平协议和合同，明确外包职能及其供应商的范围和责任。应规定明确的绩效指标，以及绩效不佳时的权利和补救措施。

措施 5:监管机构应考虑公司要求披露何种程度的人工智能(AI)和机器学习(ML)使用信息，包括:

要求公司向客户和客户披露有意义的信息，说明他们对这些技术的使用如何影响客户的结果。考虑他们可能需要使用人工智能和机器学习的公司提供什么类型的信息，以确保他们能够对这些公司进行适当和有效的监督。
措施 6:监管机构应考虑要求公司采取适当的控制措施，以确保支持人工智能(AI)和机器学习(ML)性能的数据具有足够的质量以防止偏差，并且足够广泛以确保这些工具的应用具有充分的依据。

除了这些 IOSCO 措施外，G20/OECD 公司治理原则[3] 呼吁董事会监督企业风险管理，并了解、审查和签署这些提案及其持续的内部监督。

WAIFC 的结论

IOSCO 成员监管机构来自世界各地。他们监督的金融服务与 WAIFC 成员中心一样完全不同。为此，国际证监会组织在原则、最佳实践和建议层面开展工作;它不能将相同转录的规则写成法律，并期望从一个司法管辖区到另一个司法管辖区的类似执法。

这些变革性事件还有另一面:为了他们自己的工作，RegTech 必须由当局实施以取得良好效果。部署类似人工智能和机器学习技术进行监督的监管机构必须与私营部门一样了解风险和收益。这将导致按管辖权进行有趣的对话。