大綱
第一章 引言:15 年來最大修訂的時代背景
1.1 一份監理函的重量
2026 年 4 月 17 日,美國三大金融監理機關 — 聯邦準備理事會(Federal Reserve)、美國通貨監理局(OCC)、聯邦存款保險公司(FDIC) — 共同發布了一份標題平實但重量極大的監理函:SR 26-2:Revised Guidance on Model Risk Management。
這份監理函的封面信函只有兩頁,附件指引正文 12 頁。但在這 14 頁文件的開頭,三大機關用了一句法律用語上最強的取代用字:「supersedes and replaces SR letter 11-7」。
「supersedes and replaces」不是「修訂」(revises),不是「補充」(supplements),不是「澄清」(clarifies),而是完全取代。從 2026 年 4 月 17 日起,奉行了 15 年的 SR 11-7 正式失效,不再具有任何監理上的引用基礎。同時被取代的還有 2021 年 4 月發布的 SR 21-8 — 銀行業 BSA/AML 模型風險管理的獨立指引。
這份監理函的封面信函第一頁中段,三大機關自我定位這次修訂的歷史意義:「This revised guidance reflects supervisory experience and industry feedback accumulated over the past fifteen years」。15 年的監理經驗、15 年的業界回饋、15 年的模型實務演進,全部濃縮在這份比 SR 11-7 短了 43% 的新指引中。
對台灣金融業的 Model Risk 主管、法遵長、稽核長而言,這個事件的意義遠超過「美國監理規範修訂」這麼簡單。SR 11-7 自 2011 年發布以來,事實上已經成為全球金融業 model risk management 的標竿框架 — 不只美國銀行採用,歐盟、英國、新加坡、香港、日本、韓國、台灣的金融監理機關與大型銀行內部 MRM 政策,都直接或間接以 SR 11-7 為基礎建立。當這份標竿框架被「supersedes and replaces」,全球金融業的 MRM 政策都面臨同步檢視的壓力。
1.2 SR 11-7 的時代意義與局限
要理解 SR 26-2 的轉變,先要理解它取代了什麼。
SR 11-7 於 2011 年 4 月 4 日由 Fed 與 OCC 聯合發布,FDIC 於 2017 年 6 月 7 日透過 FIL-22-2017 採納,最終形成三大主管機關共同遵循的框架。它的核心貢獻是建立了三個至今仍是業界共通語言的支柱:
第一,effective challenge 的概念定錨。SR 11-7 第 4 頁明確定義「effective challenge」為「客觀的、知情的人員所進行的批判性分析,能夠識別模型限制與假設並推動適當的變革」,並進一步指出這需要「incentives, competence, and influence」三個要素的結合。這個三要素定義在過去 15 年成為全球 MRM 教科書的標準論述。
第二,三支柱驗證框架的建立。SR 11-7 第 11 頁明確列出「effective validation framework」應包含三個核心元素 — Conceptual Soundness(概念健全性)、Ongoing Monitoring(持續監控)、Outcomes Analysis(結果分析)。這三個英文用詞至今仍是金融業 MRM 報告中最常見的章節標題。
第三,model 定義的確立。SR 11-7 第 3 頁的 model 定義 — 「a quantitative method, system, or approach that applies statistical, economic, financial, or mathematical theories, techniques, and assumptions to process input data into quantitative estimates」— 成為後續美國 GAO(政府問責局)、歐盟 EBA、英國 PRA、新加坡 MAS 等多個監理機關引用的標準定義。
過去 15 年,SR 11-7 在三個維度上發揮了決定性影響。歐盟 EBA Guidelines on Internal Governance、英國 PRA SS1/23(其前身為 2018 年針對壓力測試模型風險管理的 SS3/18,2023 年 5 月擴展為涵蓋全面 MRM 的新框架)、新加坡 MAS Guidelines on Risk Management Practices、香港金管局 SPM IC-2、日本金融廳 ML Model Risk Management 指引、台灣金管會「金融業運用人工智慧(AI)指引」 — 這些區域性框架的核心邏輯都可以追溯到 SR 11-7 的三支柱框架。
但 SR 11-7 也有其無可迴避的時代局限。它發布於 2011 年 — 那是 ChatGPT 發布前 11 年、Transformer 架構提出前 6 年、深度學習在影像辨識上取得突破前 1 年。它的整份論述基於一個基本假設:模型是相對靜態的、可重現的、輸出是定值的。SR 11-7 第 14 頁所舉的 back-testing 經典案例是 Value-at-Risk(VaR)模型 — 一個輸入相同則輸出相同、可以反覆驗證的傳統量化模型。
對 2010年代初的銀行業而言,這個假設沒有問題。當時的模型多是邏輯迴歸、scorecard、現金流預測、VaR、Black-Scholes — 全部都是傳統的 ML。
但如今身處在大語言模型使用、深度學習運用盛行的趨勢下,這個假設幾乎全面失效。舉凡生成式 AI(GenAI)、agentic AI、深度學習神經網路、LLM 微調等 — 這些模型的輸出不是定值,無法重現,也難以用 SR 11-7 框架下的 back-testing 進行驗證。
近年來,業界在這個落差下勉強運作:銀行內部 MRM 政策一邊宣稱「遵循 SR 11-7」,一邊用各種補丁處理新型 AI 模型。監理機關檢查時也心知肚明 — SR 11-7 的條文用在 LLM 上根本行不通,但又沒有更好的監理工具可用。這個「規範與實務之間的落差」逐年擴大,終於在 2026 年迎來美國金融監理機關的正式回應。
1.3 SR 26-2 的兩個關鍵訊息
SR 26-2 的內容會在後續章節詳細展開。但作為引言的定錨,有兩個訊息必須先點出。
訊息一:範式轉移已是官方立場
SR 26-2 不是把 SR 11-7 翻新一遍 — 它是根本性地重寫了 model risk management 的監理哲學。從「過程導向」轉向「結果導向 + 重要性分級」、從「組織分離」改為「嚴格且有效」、從「逐條對照」改為「原則導向」、從「平等對待所有模型」轉向「按 重要性(materiality) 差異化管理」。
對台灣金融業的 MRM 主管而言,這意味著內部 MRM 政策的論述基礎需要大幅度修正,不是改幾個條文就好。
訊息二:GenAI 與 Agentic AI 被明文排除
這是 SR 26-2 最重大也最值得關注的內容。指引附件第 3 頁的 footnote 3 明確聲明:「Generative AI and agentic AI models are novel and rapidly evolving. As such, they are not within the scope of this guidance.」
這一句話的意思是 — 美國三大主管機關正式選擇將 GenAI 與 agentic AI 排除於本次指引範圍之外,承認這兩類技術的「新穎性與快速演化」使其不適合納入當前的監理框架,並要求銀行自行用既有的 risk management 與 governance practices 處理。對台灣金融業的啟示極大:全球最具影響力的銀行業模型風險管理框架,官方承認該框架不適用於 LLM。
這個監理真空既是挑戰,也是台灣金融業建立自家 LLM 驗證能力的機會窗口 — 但這個議題會在另一篇文章專門展開,本文聚焦於 SR 26-2 對傳統量化模型與非 GenAI / 非 agentic AI 模型的影響。
1.4 本文的閱讀地圖
從第二章開始,本文會依序展開:第二章回顧 SR 11-7 三支柱框架的歷史地位;第三章拆解 SR 26-2 的五大核心轉變;第四章用對照表方式逐條呈現兩份文件的關鍵差異;第五章深入 GenAI 與 Agentic AI 為何被排除的監理邏輯;第六章針對台灣金融業 — 特別是 38 家本國銀行中 20 家直接適用 SR 26-2 門檻的銀行 — 提出具體的影響評估與政策建議。
【圖 1.1 SR 11-7 到 SR 26-2 的 15 年監理演進時間軸】
下一章,我們先回到 SR 11-7 的三支柱框架,重新審視這個奠定 15 年監理基礎的經典文件。理解 SR 11-7 為什麼成為標竿,才能理解 SR 26-2 改變了什麼、為什麼改變、以及這個改變對 MRM 主管的具體意義。
第二章 SR 11-7 回顧:三支柱框架的歷史地位
2.1 為什麼必須先理解 SR 11-7
要理解 SR 26-2 改變了什麼,必須先清楚 SR 11-7 建立了什麼。 過去 15 年內全球銀行業建立的 MRM 政策、稽核底稿、檢查回應、員工訓練教材,幾乎全部以 SR 11-7 為論述基礎。當監理基礎更換時,銀行需要清楚知道哪些是「可以保留的精神」、哪些是「必須廢除的具體做法」、哪些是「需要重寫的條文」。
SR 11-7 全文 21 頁,分為 7 個章節:
I、Introduction(引言)、
II、Purpose and Scope(目的與範圍)、
III、Overview of Model Risk Management(模型風險管理概述)、
IV、Model Development, Implementation, and Use(模型開發、實作與使用)、
V、Model Validation(模型驗證)、
VI、Governance, Policies, and Controls(治理、政策與控制)、
VII、Conclusion(結論)。
其中第 V 節 Model Validation 是全文最具影響力的部分 — 21 頁文件中佔了 7 頁,並建立了三支柱驗證框架。
2.2 Effective Challenge:SR 11-7 的整體治理原則
在介紹三支柱之前,必須先理解一個橫貫整份文件的核心概念 — Effective Challenge(有效挑戰)。SR 11-7 第 4 頁的定義原文如下:
“A guiding principle for managing model risk is ‘effective challenge’ of models, that is, critical analysis by objective, informed parties who can identify model limitations and assumptions and produce appropriate changes.”
這個定義的關鍵是「objective, informed parties」 — 由客觀、知識充分的相關方進行批判性分析,以識別模型的侷限和假設,並提出相應的改善措施。這兩個形容詞看似簡單,卻引出了 SR 11-7 對 MRM 組織設計的深層要求。
緊接著,SR 11-7 給出了 effective challenge 的三個構成要素:「Effective challenge depends on a combination of incentives, competence, and influence」。
第一要素 incentives(誘因)
SR 11-7 第 4 頁明確指出:「Incentives to provide effective challenge to models are stronger when there is greater separation of that challenge from the model development process and when challenge is supported by well-designed compensation practices and corporate culture.」
這段話有兩個關鍵點:
第一,挑戰者與開發者的「組織分離越大越好」(greater separation);
第二,誘因設計需要薪酬制度(compensation practices)的配合。前者直接導致業界普遍建立的「Three Lines of Defense」三道防線架構 — 第一線業務單位(model owner)、第二線獨立的 MRM/Validation 部門、第三線內部稽核。後者則要求 validation 部門人員的薪酬不能與業務績效掛鉤。
第二要素 competence(能力)
SR 11-7 認為驗證者必須有足夠的技術知識與建模能力,才能進行「適當的分析與批判」。這個要素相對沒有爭議,至今仍是各監理機關共通的要求。
第三要素 influence(影響力)
SR 11-7 第 4 頁定義:「Such influence comes from a combination of explicit authority, stature within the organization, and commitment and support from higher levels of management.」
換言之,validation 部門光是「有意見」不夠,還必須有實質的組織權威,能夠強制業務單位改變模型。這個要求在實務上往往透過「validation 部門有權否決模型上線」這個明確的權力來實現。
這三個要素 — incentives、competence、influence — 構成了 SR 11-7 整份文件的治理骨架。
後續所有具體要求(從 model development 的文件化、到 model validation 的獨立性、到 internal audit 的查核重點)都可以追溯到這三要素。
2.3 三支柱:SR 11-7 的驗證方法論
SR 11-7 第 V 節第 11 頁明確列出了 effective validation framework 的三個核心元素,並依特定順序排列:
“An effective validation framework should include three core elements:
- Evaluation of conceptual soundness, including developmental evidence
- Ongoing monitoring, including process verification and benchmarking
- Outcomes analysis, including back-testing”
這個順序不是任意的,而是反映了 SR 11-7 的「過程導向」哲學 — 從「設計品質」(過程的起點)到「運作監控」(過程的進行)到「結果驗證」(過程的終點)。
第一支柱:Conceptual Soundness(概念健全性)
這個支柱關注的是「模型本身的設計與建構是否合理」。具體驗證方法包括:
第一,文獻支持。模型所使用的理論、方法、假設,是否有公開發表的研究支撐?例如使用 Logistic Regression 做 PD 估計、使用 Black-Scholes 做選擇權定價,這些都有強大的學術文獻基礎。
第二,假設合理性。模型背後的假設是否與真實業務環境相符?例如假設違約率服從常態分布、假設市場是有效率的,這些假設在不同市場條件下可能失效。
第三,替代方法比較。是否考慮過其他建模方法?為什麼選擇了當前方法?SR 11-7 明確要求「Comparison with alternative theories and approaches is a fundamental component of a sound modeling process」(第 6 頁)。
第四,敏感度分析。輸入小幅變動時,輸出是否穩定?異常的大幅變動代表模型不穩定。
第二支柱:Ongoing Monitoring(持續監控)
這個支柱關注的是「模型在實務運作中是否持續正確運作」。具體方法包括:
第一,Process Verification(流程驗證)— 檢查模型的所有元件是否按設計運作。這包括輸入資料的品質、計算邏輯的正確性、報表產出的精確性。
第二,Benchmarking(基準比對)— 將模型輸出與其他內部或外部模型比對。例如將自家信用評分模型與聯徵中心的 J 分數比對,差異過大時觸發深入調查。
第三,Override 分析 — 統計人員手動覆寫模型結果的頻率與原因。SR 11-7 第 13 頁明確指出:「If the rate of overrides is high, or if the override process consistently improves model performance, it is often a sign that the underlying model needs revision or redevelopment.」
第三支柱:Outcomes Analysis(結果分析)
這個支柱關注的是「模型的預測結果與實際結果是否相符」。具體方法包括:
第一,Back-testing(回測)。
SR 11-7 第 14 頁明確定義:「Back-testing is one form of outcomes analysis; specifically, it involves the comparison of actual outcomes with model forecasts during a sample time period not used in model development」。經典案例就是 Value-at-Risk(VaR)模型 — 用一年期的市場資料訓練 VaR 模型,然後在後續期間比對「模型預測的損失分布」與「實際發生的損益」。
第二,統計檢定。
使用 Kolmogorov-Smirnov、Kupiec test、Christoffersen test 等統計方法檢定預測偏離是否顯著。
第三,平行模型比對(Parallel Outcomes Analysis)
當模型被調整時,原始模型與調整後模型同時運作一段時間,比對哪一個更接近實際結果。
2.4 SR 11-7 的治理層:Section VI
三支柱之上還有一個治理層 — Section VI「Governance, Policies, and Controls」。這一節長達 6 頁(佔全文 29%),詳細規定了:
董事會與高階管理層:設定整體模型風險容忍度,定期接受 MRM 報告,授權必要的政策變更。
政策與程序:書面化的 MRM 政策,至少每年檢視一次。SR 11-7 第 17 頁明確要求:「The board or its delegates should approve model risk management policies and review them annually」。
角色與責任:Model Owner(模型擁有者,業務單位)、Risk Control(風險控制,第二線)、Internal Audit(內部稽核,第三線)三層分工的明確劃分。
內部稽核:不是重複 validation 工作,而是評估整體 MRM 框架的健全性(第 19 頁原文:「Internal audit’s role is not to duplicate model risk management activities. Instead, its role is to evaluate whether model risk management is comprehensive, rigorous, and effective.」)。
Model Inventory(模型清冊):全行所有模型的集中管理清單,包括用途、輸入、輸出、最後更新日期、驗證狀態等資訊。
【圖 2.1 SR 11-7 三支柱驗證框架結構圖】
2.5 SR 11-7 的歷史地位與時代局限
過去 15 年,SR 11-7 在三個維度上發揮了決定性影響:
第一,全球監理框架的標竿
歐盟 EBA Guidelines on Internal Governance、英國 PRA SS1/23、新加坡 MAS Guidelines on Risk Management Practices、香港金管局 SPM IC-2、日本金融廳 ML Model Risk Management 指引、台灣金管會「金融業運用人工智慧(AI)指引」 — 這些區域性框架的核心邏輯都可以追溯到 SR 11-7 的三支柱框架。
第二,業界實務的共通語言
Conceptual Soundness、Ongoing Monitoring、Outcomes Analysis、Effective Challenge、Process Verification、Benchmarking、Back-testing — 這些英文用詞至今仍是全球銀行業 MRM 報告的標準章節標題。
第三,監理檢查的執行基礎
Fed、OCC、FDIC 對美國銀行的 MRM 檢查指引(Comptroller’s Handbook 中的 Model Risk Management booklet),全部以 SR 11-7 為條文對照基礎。
但 SR 11-7 也有三個結構性的時代局限:
局限一:過程導向的假設
三支柱的順序(概念 → 監控 → 結果)反映了一個假設 — 模型開發過程是可追溯的、確定性的。但對 LLM 而言,「概念」與「結果」之間的因果鏈幾乎無法追溯 — 你無法解釋一個 1750 億參數的模型為什麼產生了某個特定輸出。
局限二:組織分離的剛性
SR 11-7 反覆強調 challenge 與 development 的「greater separation」,這在大型銀行可行,但對中小型銀行造成組織建置成本過高 — 一家資產 3,000-5,000 億台幣的中小型商業銀行可能只有 3-5 位 MRM 人員,無法實質做到「組織分離」。
局限三:對 AI 的盲區
SR 11-7 發布於 2011 年,當時 ChatGPT 還在 11 年後才出現。整份文件的舉例(VaR、credit scoring、stress testing)全部都是傳統量化模型。對 GenAI(生成式 AI)、agentic AI(代理式 AI)這些 2020 年代興起的 AI 範式,以及 2010 年代以來持續演進的深度學習技術,SR 11-7 缺乏直接適用的條文。
這三個局限正是 SR 26-2 試圖回應的。下一章我們會看到,SR 26-2 沒有否定 SR 11-7 的精神 — Conceptual Soundness、Ongoing Monitoring、Outcomes Analysis 三支柱依然存在 — 但順序變了、獨立性的要求調整了、materiality 從一句話變成了結構化框架。三支柱的精神被保留,但論述邏輯被重寫。
第三章 SR 26-2 五大核心轉變
3.1 從「規範」到「原則」的監理哲學轉移
SR 26-2 全文 12 頁,比 SR 11-7 短了 43%。但這個篇幅縮減不是刪減,而是重寫。新舊兩份文件在治理原則的核心精神上保持一致 — 強調 sound risk management、強調 governance 的重要性、強調 model risk 需要主動管理。表面上看,新舊兩份文件都在說同一件事。但仔細閱讀 SR 26-2 的條文用字,會發現整份文件的論述邏輯已根本不同。
SR 11-7 是一份規範性文件(prescriptive guidance)— 它告訴銀行「應該做什麼」(should do this)、「必須包含這些要素」(should include these elements)、「至少每年檢視一次」(at least annually)。文件中的條件式(conditionals)與時態(imperatives)多達數百處,每一個都是具體要求。
SR 26-2 則是一份原則性文件(principles-based guidance)— 它頻繁使用「sound practice」「generally」「commensurate with」「may include」這類軟性用語,把「具體做什麼」的決定權交還給銀行。
這個哲學轉移可以濃縮為五個核心轉變。本章逐一展開。
3.2 轉變一:適用範圍從「全部」到「$30B 門檻」
SR 11-7 沒有資產規模門檻,原則上適用所有銀行。第 2 頁的原文是:「Details may vary from bank to bank, as practical application of this guidance should be customized to be commensurate with a bank’s risk exposures」 — 換言之,所有銀行都要遵守,差別只在「詳細程度」。
SR 26-2 採用了完全不同的設計。第 2-3 頁明確劃出 $30 billion 美元的資產門檻:
“This guidance is expected to be most relevant to banking organizations with over $30 billion in total assets. Models used by banking organizations with total assets of $30 billion or less typically are subject to internal risk management and governance practices appropriate for the size and risk profile of these banking organizations, and generally excluding them from this guidance is consistent with a tailored supervisory approach.”
這個改變對美國中小型銀行(community banks 與 mid-size banks)是結構性的鬆綁。一家資產 100 億美元的區域型銀行,過去必須對標 SR 11-7 全文 21 頁的詳細要求;現在則回歸到「依規模設計適當的內部 MRM 機制」即可。
但 SR 26-2 也保留了 significant exposure 例外條款:「However, in some situations, this guidance also may be relevant to banking organizations with total assets of $30 billion or less that have significant exposure to model risk」。這意味著規模未達門檻但 model risk 暴露大的銀行(例如政策性銀行、特殊業務集中的銀行),仍可能被監理機關要求對標 SR 26-2。
資產規模的門檻,對台灣金融業有何影響,在第六章會詳細展開:38 家本國銀行中有 20 家直接超過 $30B 門檻,包括全部 6 家系統性重要銀行(D-SIBs)與 8 大公股行庫。
3.3 轉變二:Materiality 從「一句話」變成「結構化評估框架」
SR 11-7 對 materiality 的處理只有一段話。其 Section III 開頭僅提到:模型的 materiality 是 MRM 的重要考量,若銀行使用模型較不普遍、對財務狀況影響較小,則不需採用同等複雜的方法。
這段話只是說「重要的模型要管嚴一點」,沒有給出評估重要性的結構化方法。實務上,過去 15 年銀行各自摸索 — 有的用「資本影響金額」分級、有的用「業務線重要性」分級、有的用「模型複雜度」分級 — 缺乏共通標準。
SR 26-2 在 Section III(Overview of Model Risk and Model Risk Management)建立了一個結構化的風險評估框架,明確區分兩條軸:
第一條軸:Model Risk 的四項影響因素
SR 26-2 原文:「Model risk is influenced by a model’s inherent risk, exposure, purpose, and use.」
Inherent Risk(內在風險):模型本身的複雜度、假設的關鍵性與數量、輸入品質、資料限制等基本特性。SR 26-2 指出:「Inherent risk increases with model complexity and the criticality or number of assumptions necessary」。
Exposure(敞口):模型輸出對業務決策的重要性,可量化測量(例如 portfolio size、業務影響金額)。
Purpose(目的):質性判斷 — 模型是用於符合監理要求或管理財務風險敞口(高重要性),還是其他輔助用途(相對較低)。
Use(使用方式):這是 SR 26-2 相對 SR 11-7 特別強化的一項。原文警示:「even a fundamentally sound model producing accurate outputs consistent with the model’s design objective can exhibit high model risk if it is misapplied or misused.」 也就是說,模型本身正確不代表低風險,誤用或超出原始用途使用本身就是風險來源。
第二條軸:Materiality 的合成定義
SR 26-2 將 Materiality 定義為由前述兩個維度合成:「Model purpose, together with model exposure, determines model materiality.」
換言之:
Materiality = Exposure × Purpose
而整體 Model Risk 則是兩條軸的交互作用,SR 26-2 原文:「The overall magnitude of model risk reflects a model’s inherent risk in the context of model materiality.」 即:
Model Risk = Inherent Risk(在 Materiality 脈絡下評估)
這個雙軸結構把 SR 11-7 那段含糊的「重要性考量」轉成可操作的評估邏輯:先用 Exposure + Purpose 決定模型的 materiality 等級,再依 Inherent Risk 決定該等級下的管理嚴格程度。
【圖 3.1 SR 26-2 模型風險評估框架】
實務操作上的解放:immaterial 模型可採輕量管理
SR 26-2 進一步給出明確的實務操作空間:
「Banking organizations may deem certain models immaterial based on model exposure and purpose. In those cases, model risk management may consist of identifying those models and monitoring model performance and conditions under which the use of those models may become material to the banking organization in the future.」
這意味著銀行可以正式宣告某些模型為 immaterial,對這類模型只需做:
- 識別並納入模型清冊
- 監測模型績效
- 監測未來可能轉為 material 的觸發條件
不必執行完整的驗證三大組成部分(Conceptual Soundness、Outcomes Analysis、Ongoing Monitoring)。
對 MRM 主管的資源配置而言這是顯著的彈性空間 — 不必再對全行 200 個模型一視同仁,可以把驗證資源集中在真正具備 materiality 的模型上。
但要留意,immaterial 不等於不管:SR 26-2 仍要求對 immaterial 模型持續監測「何時可能變為 material」,這個再評估義務本身就是治理責任的一環。
3.4 轉變三:Effective Challenge 三要素被重構
這是 SR 26-2 在治理層面最具爭議的轉變。
回顧 SR 11-7 第 4 頁的定義:「Effective challenge depends on a combination of incentives, competence, and influence」。三個要素 — 誘因、能力、影響力。
SR 26-2 第 5 頁的新定義:「Effective challenge is performed by individuals with the appropriate expertise to conduct a critical and objective challenge, sufficient independence to maintain objectivity, as well as the organizational standing and influence to effect any change」。
對照之下,三要素變成了四要素,且具體用字大幅改變:
| 維度 | SR 11-7(2011) | SR 26-2(2026) | 變化性質 |
|---|---|---|---|
| 第一要素 | Incentives(誘因) | Expertise(專業能力) | 完全替換 |
| 第二要素 | Competence(能力) | Independence(獨立性) | 完全替換 |
| 第三要素 | Influence(影響力) | Organizational Standing(組織地位) | 拆解細化 |
| 第四要素 | (無) | Influence(影響力) | 維持 |
這個重構有三個值得深入觀察的細節:
細節一:Incentives 大幅淡化
SR 11-7 大量篇幅討論「誘因設計」 — 包括 challenge 與 development 的組織分離、薪酬制度(compensation practices)、企業文化(corporate culture)等。SR 26-2 大幅刪除了這些論述,僅在第 10 頁的 Governance 章節保留一處對「誘因錯位」(misalignment of incentives between different reporting lines, such as model development and validation groups)的簡短警示。「compensation practices」這個用字,在 SR 26-2 全文中確實一次都沒有出現;「incentive(s)」也只剩下一次提及,從原本的「應如何設計誘因」轉為「警示誘因錯位的風險」。
細節二:Competence 升級為 Expertise
從「能力」到「專業能力」是用字精確化。SR 11-7 的 Competence 較廣泛,包括「technical knowledge and modeling skills」;SR 26-2 的 Expertise 更聚焦於特定領域的專業判斷 — 例如「能夠對 LLM 做 critical and objective challenge」需要的是 LLM 領域的專業,不只是統計能力。
細節三:Independence 從「結構性要求」變成「個人特質要求」
SR 11-7 強調獨立性透過組織分離達成;SR 26-2 把獨立性定義為「sufficient independence to maintain objectivity」 — 重點是個人能否保持客觀,而非是否在獨立部門。這個轉變直接導向轉變五(組織分離鬆綁)。
對 MRM 主管的實務啟示:內部 MRM 政策中關於 effective challenge 的章節需要全面改寫。原本以「誘因 + 組織分離 + 薪酬」為論述基礎的條文,需要改為以「專業 + 獨立性 + 組織地位 + 影響力」為基礎。
3.5 轉變四:三支柱順序從「過程導向」變「結果導向」
第二章已說明 SR 11-7 的三支柱順序:Conceptual Soundness → Ongoing Monitoring → Outcomes Analysis。
SR 26-2 第 8-10 頁的三支柱順序變為:Conceptual Soundness → Outcomes Analysis → Ongoing Monitoring。
第二與第三順位互換。
這個變動在條文上看似微小,在哲學上卻是根本性的。SR 11-7 的順序反映「過程導向」邏輯 — 先看設計品質(過程的起點),再看運作監控(過程的進行),最後看結果驗證(過程的終點)。整個邏輯是「從輸入到輸出」(input-to-output)。
SR 26-2 的順序反映「結果導向」邏輯 — 先看設計品質(仍是起點),但接下來直接看結果是否符合預期(outcomes analysis),再評估持續運作的健全性。整個邏輯是「結果優先」(outcomes-first)。
對實務的影響:
SR 11-7 模式下的年度驗證計畫:第一季檢視 conceptual soundness、第二季做 process verification、第三季做 benchmarking、第四季做 back-testing。重點是過程的完整性。
SR 26-2 模式下的年度驗證計畫:先做 outcomes analysis 看結果是否符合預期 — 如果結果良好,conceptual review 與 ongoing monitoring 可以從簡;如果結果不符合預期,立即深入 conceptual 與 monitoring 找原因。重點是結果的合理性。
這對驗證資源的配置是極大的優化。對於運作多年、結果穩定的成熟模型(例如已使用 10 年的信用評分模型),不必再花大量時間做 conceptual review;對於剛上線或結果異常的模型,則加重 conceptual 與 monitoring 的投入。
3.6 轉變五:組織分離鬆綁,但獨立性要求不變
這是 SR 26-2 對中小型銀行最具實質鬆綁意義的轉變,但也是最容易被誤讀的轉變。
SR 11-7 第 4 頁明文要求:「Incentives to provide effective challenge to models are stronger when there is greater separation of that challenge from the model development process」。「greater separation」這個詞明確指出,組織分離越大越好。這在實務上推動了業界普遍建立的「Three Lines of Defense」 — 第一線 model owner、第二線獨立 MRM 部門、第三線內部稽核 — 三層分離的組織架構。
SR 26-2 第 8 頁則寫下了轉變的關鍵原則:
“The quality of validation process depends on the rigor and effectiveness of the review rather than on organizational structure of the banking organization’s risk management function.”
這句話可以稱為 SR 26-2 整份文件最具突破性的單句聲明。「rather than on organizational structure」改變了 SR 11-7 對組織分離的硬性要求。新原則是:驗證品質取決於審查的嚴謹度與有效性,而不是組織結構。
必須特別澄清的關鍵誤解:這個轉變絕不是「SR 26-2 不再要求獨立驗證」。事實正好相反 — SR 26-2 第 5 頁的 effective challenge 四要素中明確列入 sufficient independence(充分的獨立性)這個要素,而 SR 11-7 反而沒有這個明確用字。SR 26-2 也在第 10 頁的 Governance 章節再次警示「development 與 validation 之間的潛在利益衝突」。
真正改變的不是「是否需要獨立性」,而是「如何達成獨立性」。對照如下:
| 維度 | SR 11-7(2011) | SR 26-2(2026) |
|---|---|---|
| 是否要求獨立性 | 是(隱含於 incentives + 第 V 章詳述) | 是(明文列入四要素) |
| 達成方式 | 主要透過組織結構分離(greater separation) | 透過個人客觀性 + 審查機制嚴謹度(多元方式) |
| 利益衝突管理 | 透過部門分離、報告線分離 | 仍要求管理(第 10 頁明文),但允許多種機制 |
對中小型銀行的實質鬆綁:一家資產 3,000-5,000 億台幣的中小型商業銀行可能只有 3-5 位 MRM 人員,過去為了符合 SR 11-7「greater separation」要求,必須硬建一個獨立的 validation 部門,但這個部門因人力有限,實質審查能力反而薄弱。
SR 26-2 允許這類銀行用其他機制替代「組織分離」作為達成獨立性的途徑 — 例如「validation 流程經外部獨立顧問審閱」「重要模型強制經跨部門 MRM 委員會核定」「審查過程嚴格文件化以接受監理機關事後檢視」等。鬆綁的是「組織結構」這個唯一保障,不是「獨立性」這個基本要求。
附加的第六個轉變:Vendor Models 升格
雖然這不是「五大核心轉變」之一,但值得在此一併點出。SR 11-7 將 Vendor and Third-Party Products 放在 Section V(Validation)的子章節中,篇幅約 1.5 頁。
SR 26-2 將其升格為獨立的 Section VII,與 Governance 並列,反映 vendor model risk 在當代 MRM 中已成為核心議題。背後的時代背景是顯而易見的 — 過去 15 年,銀行業對 vendor 模型的依賴度大幅上升,包括雲端提供的 AI 服務、外部信用評分模型、第三方反洗錢系統等。
【圖 3.2 SR 26-2 五大核心轉變】
3.7 五大轉變的整合意義
把五個轉變整合來看,SR 26-2 體現了三個整體性的方向:
方向一:從「平等對待所有銀行」到「按規模差異化」。$30B 門檻 + significant exposure 例外,建立了「分級監理」(tiered supervision)的明確邏輯。
方向二:從「平等對待所有模型」到「按重要性差異化」。四維度 materiality 框架讓銀行可以正式區分「重要」與「不重要」模型,把資源集中於前者。
方向三:從「依過程合規」到「依結果有效」。三支柱順序倒轉、effective challenge 重構、組織分離鬆綁 — 全部指向同一個方向:監理機關不再規定銀行該怎麼做,而是要求銀行做出有效的結果。
下一章我們會用對照表的方式,逐條呈現 SR 11-7 與 SR 26-2 的具體條文差異 — 讓 MRM 主管可以直接拿著對照表去檢視自家內部 MRM 政策需要修改的條文。
第四章 SR 11-7 vs SR 26-2 條文對照
4.1 為什麼需要做條文對照
前三章從不同角度展開了 SR 11-7 與 SR 26-2 的關係 — 第一章建立時代背景,第二章回顧 SR 11-7 三支柱,第三章展開 SR 26-2 五大轉變。但對 MRM 主管而言,最迫切的實務問題是:「我手上的內部 MRM 政策需要修改哪些條文?」
這個問題無法靠論述回答,需要逐條對照。本章提供兩張對照表 — 章節結構對照與條文細節對照 — 作為 MRM 政策修訂的工作底稿。
4.2 章節結構對照:篇幅分布的轉移
第一張對照表呈現兩份文件的章節結構與篇幅變化。整體上 SR 26-2 從 21 頁濃縮為 12 頁,但濃縮不是均勻分布的。有些章節大幅縮減,有些章節反而擴充。
擴充的章節是 Introduction、Purpose & Scope、Overview of MRM。這三章從原本約 4 頁增加到約 4.5 頁,看似差異不大,但內容的論述重心發生了根本變化:Introduction 加入了「risk-based approach」的哲學定錨;Purpose & Scope 新增 $30B 門檻與 GenAI 排除聲明;Overview of MRM 新增了四維度 materiality 框架。這三章是 SR 26-2 的「監理哲學再宣示」段落,篇幅雖未顯著增加,但內容密度大幅提升。
縮減的章節是 Model Development(從 4 頁濃縮為 1 頁)、Model Validation(從 7 頁濃縮為 3 頁)、Governance & Controls(從 6 頁濃縮為 2 頁)。這三章是 SR 11-7 篇幅最大的部分,也是 SR 26-2 最大幅縮減的部分。縮減的不是內容範圍,而是規範的具體程度 — SR 26-2 把「應該做什麼」的決定權交還給銀行,只保留原則性的指引。
【圖 4.1 SR 11-7 與 SR 26-2 章節結構對照表】
對 MRM 主管的實務啟示:內部 MRM 政策的章節結構不必跟著 SR 26-2 大幅縮減。SR 26-2 縮減的是「監理機關應該規範到什麼程度」,不是「銀行內部應該規範到什麼程度」。銀行內部的 model development SOP、validation 報告範本、governance 政策,仍應保持足夠的詳細程度以確保實務可執行。但這些詳細條文的論述基礎需要從「SR 11-7 要求所以這樣做」改為「為了符合 SR 26-2 的 sound practice 原則所以這樣做」。
4.3 對 MRM 政策修訂的建議行動清單
讀者可以拿著這兩張對照表,依下列順序檢視自家內部 MRM 政策:
第一步,檢視適用範圍條款。如果內部政策開頭有「本政策依 SR 11-7 訂定」這類引用,需要修改為「本政策依 SR 26-2 訂定,並參照其前身 SR 11-7 之相關精神」。
第二步,檢視模型風險評估方法。如果內部政策只有「重要模型管嚴一點」這類模糊敘述,建議可參考本文所繪製的 SR 26-2 風險評估框架對模型進行風險分級。
第三步,檢視 Effective Challenge 條款。如果內部政策中提到「validation 人員需具備 incentives + competence + influence」,需要改寫為「expertise + independence + organizational standing + influence」。
第四步,檢視組織分離條款。如果內部政策硬性規定「validation 部門必須獨立於 development 部門」,可考慮改為「validation 必須維持獨立性以確保客觀性,獨立性可透過組織結構分離、跨部門審查機制、外部獨立顧問審閱等多元方式達成,並依 model materiality 選擇適當組合」。注意:此修改不是降低獨立性要求,而是允許彈性運用多種獨立性保障機制。
第五步,檢視年度檢視條款。如果內部政策硬性規定「所有模型每年驗證一次」,可考慮改為「依 model materiality 分級設定驗證頻率,高重要性模型每年驗證一次,中低重要性模型可二至三年驗證一次」。
第六步,新增 Vendor Models 專章。如果內部政策將 vendor models 的管理規定散落於各章節,建議整合為獨立專章,呼應 SR 26-2 第 VII 章的結構升格。
第七步,新增 GenAI 與 Agentic AI 治理框架。SR 26-2 明文排除這類模型,但要求銀行用「既有的 risk management 與 governance practices」自行處理。內部政策需要建立 GenAI 與 Agentic AI 的獨立治理章節 — 這是另一篇文章的主題。
下一章,我們會深入檢視 SR 26-2 為什麼選擇「明文排除 GenAI」這個監理決定,以及這個決定背後的邏輯與後果。
第五章 GenAI 與 Agentic AI 為何被排除:監理真空的形成
5.1 一個註腳的歷史意義
SR 26-2 第 3 頁 的 footnote 3 是整份監理函中最具爭議、也最具歷史意義的一段文字。在指引正文中只用三個 footnote 處理整份文件的補充說明,其中第三個 footnote 用了三句話處理 GenAI 與 Agentic AI:
“Generative AI and agentic AI models are novel and rapidly evolving. As such, they are not within the scope of this guidance. Nonetheless, a banking organization’s risk management and governance practices should guide the determination of appropriate governance and controls for any tools, processes, or systems not covered in this document. However, the principles described in this guidance apply to traditional statistical and quantitative models and non-generative, non-agentic AI models.”
這個 footnote 表面上是技術性條款,實質上是美國三大金融監理機關對當代 AI 監理的正式立場宣告。三句話分別處理三件事:第一句承認 GenAI 與 Agentic AI 的特殊性;第二句明文排除這兩類模型於監理範圍外;第三句把責任轉給銀行,要求自行用既有 framework 處理。
對 MRM 主管而言,這個 footnote 帶來一個明確但難以執行的指令:SR 26-2 不適用於 LLM,但你還是要管 LLM。三大機關沒有給出具體做法,只給了一句「a banking organization’s risk management and governance practices should guide the determination」 — 銀行自己想辦法。
這就是「監理真空」(regulatory vacuum)的形成 — 監理規範存在,但對特定技術明文不適用;銀行有義務管理風險,但缺乏監理層面的具體指引。
5.2 為什麼選擇排除而不是涵蓋
要理解這個監理決定,必須回到三大機關所面對的真實困境。把 GenAI 涵蓋在 SR 26-2 範圍內並不困難 — 只要在文件中加幾句話即可。但三大機關刻意選擇了相反的路徑。背後有三個結構性原因。
原因一:技術變動性與監理函制定週期的時間差
SR 26-2 自 2011 年 SR 11-7 發布以來,花了 15 年才完成這次修訂。從 2024 年三大機關啟動 RFI(Request for Information)程序,到 2026 年 4 月正式發布,整整經歷了兩年的諮詢、討論、起草、修訂。這是金融監理函制定的正常週期 — 通常需要 3 至 5 年。
對照之下,GenAI 技術的迭代週期是3 至 6 個月:GPT-3 到 GPT-4 約 2 年,GPT-4 到 GPT-4o 約 1 年,o1 到 o3 約半年,Claude 3.5 Sonnet 到 Claude Sonnet 4 約 11 個月(2024 年 6 月到 2025 年 5 月)。每一次重大版本迭代,都可能改變模型的能力邊界、行為模式、風險特徵。
監理函的制定週期遠遠跟不上技術迭代週期。如果三大機關在 2024 年就把 GenAI 條款寫進 SR 26-2 草案,到 2026 年發布時這些條款很可能已經過時 — 因為 2026 年的 LLM 不是 2024 年的 LLM。先排除 GenAI 是承認自己跟不上技術速度的誠實聲明。
原因二:驗證方法論在 LLM 上的結構性失效
SR 11-7 與 SR 26-2 共同的論述基礎是「模型可被驗證」 — 包括三支柱中的 conceptual soundness(可解釋設計)、ongoing monitoring(可追蹤運作)、outcomes analysis(可比對結果)。這個基礎在傳統量化模型上成立,在 LLM 上幾乎全面失效。
具體而言:
第一,LLM 無法重現(non-reproducibility)。傳統 ML 模型的訓練是確定性的 — 同樣的資料、同樣的演算法、同樣的隨機種子,會產出同樣的模型權重。LLM 的訓練涉及大量的隨機性、分散式運算的浮點誤差、硬體層面的非確定性,即使所有可控因素都相同,每次訓練幾乎不可能得到完全相同的模型權重。對驗證者而言,這意味著「重新訓練比對」這個 SR 11-7 第三支柱的標準方法直接失效。
第二,LLM 無法 back-test。Back-testing 的前提是「正確答案的存在」 — VaR 模型的正確答案是實際損益、信用評分模型的正確答案是違約事件。但 LLM 用於信用敘事生成、合規問答、客戶服務時,沒有單一正確答案。同一個客戶提問,可以有 10 種同樣專業的回應方式;同一個信用案件,可以有 5 種同樣合理的敘事呈現。BLEU、ROUGE、BERTScore 等 NLP 指標在金融場景的對應性極低,業界尚未建立可信的評測框架。
第三,LLM 的解釋性挑戰。Conceptual soundness 要求驗證者理解「為什麼模型產出這個結果」,但 LLM 的內部運作涉及 1,750 億或更多參數的非線性互動。目前沒有成熟可商用的技術能完整解釋特定輸出的生成路徑 — 雖然 mechanistic interpretability 等前沿研究(Anthropic、OpenAI 等公司投入研究)已有進展,但離大規模銀行業的合規驗證應用仍有相當距離。SHAP、LIME 等傳統 XAI 工具雖能對黑盒模型提供局部解釋,但其方法假設前提(特徵之間相對獨立、解釋的局部線性近似、可解釋的特徵粒度)在 LLM 的高維 token 互動上失效,無法直接套用於 LLM 的合規驗證場景。
把這三個結構性失效放在一起,意味著 SR 11-7 三支柱框架在 LLM 上幾乎沒有可直接套用的方法。如果三大機關強行把 LLM 納入 SR 26-2,等於要求銀行「按一個失效的框架管理一個新技術」 — 這比明文排除的危害更大。
原因三:監理風險權衡 — 過早與過晚的兩難
監理機關面對新技術時,永遠要做一個權衡:過早規範可能扼殺創新,過晚規範可能累積系統性風險。
過早規範的成本明顯。如果 SR 26-2 草率寫下了 LLM 的具體驗證要求,例如「validation 部門必須證明 LLM 輸出的偏差率低於 5%」,這個門檻可能:直接導致大型銀行放棄 LLM 應用(風險規避到極致)、迫使銀行用降低模型能力換取通過驗證(劣化技術)、或讓監理機關自己陷入定義爭議(什麼叫「偏差」?如何計算?)。一個草率的監理條款可能在 2-3 年內成為扼殺金融業 AI 創新的瓶頸。
過晚規範的成本更隱而難察。如果三大機關在 2026 年完全不提 GenAI,銀行業會自行解讀為「沒有監理問題」,於是大量採用未經充分風險評估的 LLM 應用。等到 2-3 年後出現重大事件(例如 LLM 生成歧視性信用評估、產生錯誤的合規建議、被對抗性攻擊操縱),監理機關才回頭補規範時,系統性風險可能已經累積成形。
SR 26-2 的選擇是兩者之間的折衷:先排除、再觀察、後補規範。明文排除避免了過早規範的風險,OCC 預告未來發布 RFI 為後續補規範保留了路徑,要求銀行用既有 framework 處理則控制了過晚規範的風險。這是一個相對保守、但符合監理理性的策略。
【圖 5.1 LLM 監理的三邊路徑差異】
5.3 三邊路徑的全球比較
美國的「監理真空」並不是全球唯一答案。看向歐盟與英國,可以看到三種完全不同的應對策略。
歐盟的「監理整合」路徑。歐盟銀行管理局(EBA)於 2025 年 11 月 21 日發布的 AI Act 對銀行業影響映射報告 中明確聲明:「The EBA has not identified any immediate need to introduce any new or review existing EBA Guidelines」。EBA 的立場是 — 透過 AI Act 高風險條款(原定 2026 年 8 月 2 日生效,涵蓋信用評分等高風險場景;歐盟執委會於 2025 年底提出 Digital Omnibus 修法草案,提議將高風險系統合規時程延後至 2027 年 12 月,但延期目前尚未確定,業界普遍建議仍以 2026 年 8 月為實際合規期限)+ DORA + CRD/CRR + EBA Loan Origination GLs 的組合,既有銀行法規已能涵蓋 AI 風險,不必另立新規。
英國的「監理獨立」路徑。英國 PRA 於 2024 年 5 月生效的 SS1/23 將 GenAI 納入「模型」範疇並要求獨立識別,採用 5 大原則涵蓋 model risk lifecycle,並要求 GenAI 模型「按其特殊性建立額外的監控機制」。SS1/23 是目前較具可操作性的 LLM 銀行監理框架之一,提供了具體的條文層級指引。
美國的「監理真空」路徑。如前所述,三大機關選擇先排除、再觀察。
這三條路徑各有優劣 — 美國保留了監理彈性但缺乏明確指引;歐盟整合了既有框架但需要銀行自行對應多個法規;英國有相對明確的條文但範圍較窄。沒有哪一條路徑可以稱為「正確答案」,這也是監理真空的另一層意義 — 全球監理機關對 LLM 的應對方式,本身仍在演進中。
5.4 監理真空對台灣金融業的雙面意義
對台灣金融業而言,SR 26-2 的監理真空既是挑戰,也是機會。
挑戰面。SR 11-7 過去是台灣金管會「金融業運用人工智慧(AI)指引」的重要參考基礎之一,現在這個基礎被取代且明文排除 LLM。台灣 MRM 主管面對檢查局時,過去可以引用 SR 11-7 條文支持自家內部政策的合理性 — 現在這個論述基礎需要重建。短期內,台灣銀行業在 LLM 治理上會處於「無監理錨點」的狀態。
機會面。監理真空意味著台灣金融業有 2-3 年的窗口期,自主建立適合本地脈絡的 LLM 驗證能力。這個窗口期不會永遠存在 — 一旦美國 OCC 發布 RFI 後續產出新指引、或歐盟 AI Act 高風險條款於 2026 年 8 月生效後產生實際案例、或英國 PRA 補充更具體的 GenAI 條款 — 台灣金管會的回應壓力會立即升高。在那之前,台灣有時間主動探索、實驗、累積經驗。
主動建立 LLM 驗證能力的銀行,在未來監理框架成形時將具備先發優勢;被動等待監理指引的銀行,將面臨「監理一旦明確、銀行措手不及」的風險。Evident AI Index 2025 報告指出,全球 50 家大型銀行中只有 8 家(BNP Paribas、DBS、JPMorganChase、RBC、Société Générale、Intesa Sanpaolo、Commerzbank、Santander)能夠完整揭露 AI 應用的 ROI — 這個 16% 的比例反映的不只是「ROI 揭露能力」,更是「AI 治理能力」的代理指標。能說清楚 ROI 的銀行,就是有能力驗證自家 AI 模型的銀行。
下一章我們會把視野拉回台灣,深入檢視 SR 26-2 對台灣 38 家本國銀行 — 特別是達到 $30B 門檻的 20 家銀行 — 的具體影響與政策建議。
第六章 對台灣金融業的影響與建議
6.1 適用範圍:38 家本國銀行有 20 家直接受影響
依據金管會公告的民國 114 年 12 月本國銀行總資產資料,並以匯率 32.5 NTD/USD 換算,SR 26-2 的 $30 billion 美元門檻約等於新台幣 9,750 億元(0.975 兆)。將 38 家本國銀行對標此門檻,可得到清楚的三層分類:
第一層:必然適用(20 家,53%)。資產規模 ≥ 0.975 兆台幣的銀行共 20 家,從臺灣銀行(6.861 兆)到台中商業銀行(0.997 兆)。這 20 家包括:
- 全部 6 家系統性重要銀行(D-SIBs):中信、合庫、國泰世華、第一、兆豐、台北富邦
- 全部 8 大公股行庫:台銀、土銀、合庫、第一、華南、彰銀、兆豐、臺灣企銀
- 大型民營銀行:中信、國泰世華、台北富邦、玉山、台新、永豐、元大、上海商業儲蓄
- 其他達標銀行:臺灣新光、星展(台灣)、聯邦、台中商業
第二層:邊界銀行(3 家,8%)。資產規模介於 0.811 兆至 0.934 兆台幣之間,距離門檻僅差 1.2 億至 5.0 億美金。三家邊界銀行為凱基商業銀行(28.8 億美金)、遠東國際商業銀行(26.9 億美金)、陽信商業銀行(25.0 億美金)。
第三層:未達門檻(15 家,39%)。資產規模 < 0.811 兆台幣。其中外商在台分行(渣打、匯豐、花旗)雖法人本身未達門檻,但集團母行均為國際大型銀行,已直接適用 SR 26-2,集團政策必然下達台灣分行。中國輸出入銀行雖然規模僅 7.1 億美金,但 model risk 集中於主權信用評估與政策性大型授信,應自評 significant exposure 例外條款。
【圖 6.1 台灣 38 家本國銀行對標 SR 26-2 門檻速覽】
20 家必然適用 + 3 家邊界 + 1 家政策性銀行特殊評估,台灣金融業實質受 SR 26-2 影響的銀行家數約為 23 至 24 家 — 占全部本國銀行的六成以上。這個比例遠高於一般直觀印象,顯示 SR 26-2 對台灣的影響廣度被低估。
6.2 D-SIBs 的優先行動建議
6 家 D-SIBs 是台灣金融業的監理高度關注對象,也是 SR 26-2 在台灣最直接的對標銀行。對 D-SIBs 的 MRM 主管而言,建議以下五個優先行動:
行動一:啟動內部 MRM 政策對標 SR 26-2 專案。建議在 2026 年第三季前完成內部政策的差異分析,2026 年第四季完成修訂草案,2027 年第一季完成董事會審議。修訂的核心對象包括 model risk management policy、validation procedures、effective challenge guideline、internal audit charter(與 MRM 相關章節)。
行動二:重建 Materiality 評估框架。現行內部模型清冊多採二分法(高風險/低風險)或三分法(高/中/低),建議升級為 SR 26-2 的四維度框架:Inherent Risk + Exposure + Purpose + Materiality。具體做法是為每個模型建立四維度評分表,分數可採 1-5 分制,由 model owner 初評、validation 部門複核、MRM 委員會核定。
行動三:Effective Challenge 條款全面改寫。內部政策中所有「依 SR 11-7 第 4 頁,effective challenge 需具備 incentives + competence + influence」的條文,需改為「依 SR 26-2 第 5 頁,effective challenge 需具備 expertise + independence + organizational standing + influence」。這個改寫看似只是用字替換,實質上需要重新評估每位 validation 人員是否具備四要素。
行動四:強化「獨立性」的多元保障機制。SR 26-2 第 5 頁明文要求 effective challenge 需具備「sufficient independence」,第 8 頁的「品質取決於審查嚴謹度而非組織結構」則改變了獨立性的達成方式。對 D-SIBs 而言,這不是降低獨立性要求,而是擴展了獨立性的保障機制 — 既然監理機關不再以組織分離為驗證品質的代理指標,就會更直接檢視「實質獨立性」是否維持。建議 D-SIBs 保留現有獨立 validation 部門作為核心保障,同時補強三個面向:第一,建立跨部門 MRM 委員會作為重大模型的最終獨立判斷機制;第二,引入外部獨立顧問定期審閱重要模型的驗證結果;第三,強化審查過程的文件化、書面化、可追溯性,以接受監理機關的事後檢視。
行動五:Vendor Models 治理章節獨立化。SR 26-2 將 vendor models 升格為獨立 Section VII,反映此議題在當代 MRM 中的重要性。D-SIBs 多有採用外部信用評分模型、雲端 AI 服務、第三方反洗錢系統,建議將這類 vendor models 的管理規定整合為內部政策的獨立專章,涵蓋選商評估、合約條款、持續監控、退出計畫四大面向。
6.3 中小型銀行的差異化策略
對未達 D-SIBs 規模但達到 $30B 門檻的 14 家銀行(以及 3 家邊界銀行),SR 26-2 的影響呈現「有限但結構性」的特徵 — 不必如 D-SIBs 般全面重建框架,但需要有針對性的調整。
獨立性達成方式的多元化運用。對資產規模 1-3 兆台幣的中型銀行,過去最大的合規負擔之一是「validation 部門的獨立組織建置」 — 為了符合 SR 11-7 的「greater separation」要求,許多中型銀行被迫設立人力僅 3-5 人的獨立 validation 部門,但這些部門因人力有限,實質審查能力反而薄弱。SR 26-2 仍要求 sufficient independence,但允許這類銀行用其他機制保障獨立性 — 例如「重要模型強制經跨部門 MRM 委員會核定」「外部獨立顧問定期審閱所有重要模型」「validation 與 development 在同一部門但採用嚴格 cross-review 機制 + 第三方稽核」等替代方案。這些替代方案的核心仍是維持驗證的客觀性與嚴謹性,並非放棄獨立性 — 只是不再以組織結構作為獨立性的唯一保障。中型銀行採用這類替代方案時,應特別注意事前明文化「為什麼這個機制能達到等同於組織分離的獨立效果」,以利監理機關事後檢視。
Materiality 框架對資源配置的優化。中型銀行的 MRM 人力有限,但模型數量與大型銀行相當(一般中型銀行有 50-100 個內部模型)。SR 26-2 的 materiality 框架允許銀行正式宣告某些模型「不重要」(immaterial),對這類模型只做基本識別與監控,不必做完整的三支柱驗證。對人力有限的中型銀行,這是極重要的資源優化機會。
邊界銀行的預先準備。3 家邊界銀行(凱基、遠東、陽信)目前資產規模僅差 1.2 億至 5.0 億美金未達門檻。在台灣金融業常見的併購、組織重組、業務擴張中,這個差距很容易在 2-3 年內被跨越。建議邊界銀行不等正式達標再行動,而是預先建立符合 SR 26-2 的 MRM 框架,在達標時可平順過渡,避免「達標當下匆忙合規」的風險。
6.4 BSA/AML 模型的特殊衝擊
SR 26-2 公告函(cover letter)第 2 頁的 Supersedes 區塊明確列出取代的兩份文件 — SR 11-7 與 SR 21-8(Interagency Statement on Model Risk Management for Bank Systems Supporting Bank Secrecy Act/Anti-Money Laundering Compliance)。後者是美國 2021 年發布的 BSA/AML 模型風險管理獨立指引,現在也一併被取代。
這個取代對台灣 AML 業務有三層影響:
影響一:AML 模型不再有獨立的監理框架。過去 BSA/AML 模型(交易監控、制裁名單篩選、客戶盡職調查模型)有 SR 21-8 提供針對性的指引,現在統一回歸到 SR 26-2 的一般 model risk 框架。對 AML 部門而言,這既是簡化(不必同時對照兩份指引),也是失去(針對 AML 場景的具體指引消失)。
影響二:Materiality 框架對 AML 模型的特殊適用。AML 模型的「purpose」維度(用於符合監理要求)通常評分較高,但「exposure」維度(與 portfolio 直接相關性)相對較低。在 SR 26-2 的四維度框架下,AML 模型多數應落在「中等 materiality」區間 — 比 IRB 模型輕,比 internal pricing 模型重。這個分類對 AML 部門的資源配置有直接影響。
影響三:台灣 AML 監理當局的同步檢視壓力。台灣 AML 業務的主管機關包括金管會、調查局洗錢防制處、銀行公會 AML 委員會。SR 21-8 雖非台灣的直接監理基礎,但長期作為國際對標參考。當美國取消這份獨立指引,台灣 AML 監理當局需要評估是否同步更新對 AML 模型的監理立場。建議大型銀行的 AML 部門主動向監理當局表達意見,避免監理立場真空期間的解讀分歧。
6.5 金管會 AI 指引與銀行公會作業規範的更新展望
金管會「金融業運用人工智慧(AI)指引」 於 2024 年 6 月 20 日正式發布(其前身為 2023 年 10 月 17 日公布的「金融業運用人工智慧(AI)之核心原則與相關推動政策」,以及 2023 年 12 月 28 日發布的指引草案),採用「核心原則 + 具體建議」的兩層架構。該指引發布時,SR 11-7 仍是現行的監理基礎,指引中關於 model risk management 的論述大量參考 SR 11-7 的三支柱框架。SR 26-2 取代 SR 11-7 後,金管會 AI 指引的論述基礎需要重新檢視。
與金管會 AI 指引並行的另一份重要文件是銀行公會於 2024 年 5 月發布的「金融機構運用人工智慧技術作業規範」(共 16 條條文)。與金管會 AI 指引的「行政指導」性質不同,銀行公會這份作業規範對所有會員銀行具有強制約束力,內容包含建立治理機制、AI 系統生命週期管理、第三方業者監督等具體要求。SR 26-2 取代 SR 11-7 後,銀行公會作業規範也需評估是否同步更新 — 特別是其中關於 model risk management 的論述基礎,可能需要從 SR 11-7 的三支柱框架更新為 SR 26-2 的 risk-based + materiality-based 框架。
需要關注的更新方向有四:
方向一:Risk-based approach 的明確化。SR 26-2 採用基於規模與重要性的差異化監理,台灣金管會 AI 指引可考慮引入類似的分級概念 — 例如依銀行資產規模、AI 應用複雜度、業務影響範圍,建立差異化的合規要求。
方向二:Materiality 評估方法的具體化。現行 AI 指引對「重要 AI 應用」的定義較模糊,可考慮引入 SR 26-2 的四維度框架(Inherent Risk + Exposure + Purpose + Materiality),讓銀行的 AI 模型分類有更清楚的標準。
方向三:GenAI 的特殊處理。SR 26-2 明文排除 GenAI,金管會可選擇三種路徑回應 — 沿用 SR 26-2 的排除策略(美國模式)、整合到既有 AI 指引中(歐盟模式)、發布獨立的 GenAI 治理指引(英國模式)。三種路徑各有優劣,金管會可依台灣金融業的實際應用成熟度決定。
方向四:Vendor AI 服務的治理框架。台灣金融業大量採用雲端 AI 服務、外部信用評分模型、第三方反詐騙系統,SR 26-2 將 vendor models 升格為獨立章節,金管會 AI 指引可考慮在 vendor 治理章節加強對 AI 服務的特殊規範。
6.6 對 MRM 主管的綜合行動清單
整合上述各層分析,本文對台灣金融業 MRM 主管提供以下綜合行動清單:
立即行動(2026 年第二季至第三季)
第一,完成 SR 26-2 全文研讀,並與 SR 11-7 逐條對照(可參照本文第四章的對照表)。
第二,盤點內部所有引用 SR 11-7 的政策文件、procedures、稽核底稿、訓練教材,列出修訂清單。
第三,啟動 MRM 委員會專案會議,討論 SR 26-2 對自家銀行的特定影響。
中期行動(2026 年第四季至 2027 年上半年)
第四,重建內部 model 清冊的模型,採用SR 26-2的模型風險評估框架。
第五,改寫 effective challenge 相關條款,評估相關人員的資格要求。
第六,評估組織結構是否需要調整,特別是 validation 部門的定位。
第七,將 vendor models 治理規定整合為獨立章節。
長期行動(2027 年下半年起)
第八,建立 GenAI 與 Agentic AI 的內部治理框架(不在 SR 26-2 範圍內,需自行設計)。
第九,與金管會、銀行公會保持溝通,掌握台灣監理立場的演進方向。
第十,定期檢視國際監理動態(特別是 OCC RFI、英國 PRA 補充規範、歐盟 AI Act 高風險條款執行情況),動態調整內部政策。
最後一個提醒:SR 26-2 不是靜止的終點,而是新一輪監理演進的起點。三大機關預告未來會發布 RFI 處理 GenAI 與 Agentic AI,歐盟 AI Act 高風險條款 2026 年 8 月生效後將累積實際案例,英國 PRA 持續補充細則。台灣金融業的 MRM 框架建設應視為持續性的旅程,而非一次性的對標。
結語
SR 11-7 改變了 2010 年代的 MRM,SR 26-2 將改變 2020 年代後半段的 MRM。台灣金融業有 6 家 D-SIBs、8 大公股、20 家可能直接適用的本國銀行,加上面對 SR 26-2 的內部政策修訂、Materiality 框架重建、Effective Challenge 條款改寫、Vendor Models 章節整合等具體工作 — 這是一個新的工作循環的起點。
附錄:參考來源
本文所有事實聲明均來自下列來源,並逐一回到原文核對:
主要監理文件
- SR 26-2 公告函(2026 年 4 月 17 日,聯邦準備理事會發布)
- SR 26-2 附件:Revised Guidance on Model Risk Management(共 12 頁)
- SR 11-7:Guidance on Model Risk Management(2011 年 4 月 4 日發布,共 21 頁)
- OCC Bulletin 2026-13:Model Risk Management: Revised Guidance
- FDIC FIL-22-2017:Adoption of Supervisory Guidance on Model Risk Management(2017 年 6 月 7 日)
國際監理參照
- UK PRA SS1/23:Model risk management principles for banks(2023 年 5 月發布,2024 年 5 月 17 日生效)
- EBA AI Act 對銀行業影響映射報告(2025 年 11 月 21 日)
- EU AI Act(Regulation 2024/1689,高風險條款 2026 年 8 月 2 日生效)
台灣監理參照
- 金管會「金融業運用人工智慧(AI)指引」(2024 年 6 月 20 日正式發布)
- 銀行公會「金融機構運用人工智慧技術作業規範」(2024 年 5 月發布,共 16 條)
- 金管會「公布 114 年度系統性重要銀行(D-SIBs)名單」新聞稿(2025 年 11 月 4 日)
- 金管會「民國 114 年 12 月本國銀行總資產」公開資料
業界參考
- Evident AI Index 2025(2025 年 10 月發布)
