你的风控模型上线三个月,没出事。
领导看了报表,批准把授信额度翻一倍。审批比以前快了,复查比以前少了,杠杆比以前高了。
有人问过一个问题没有?——世界变安全了吗?
没有。变的是人的胆子。报表上多了一行"风险敞口可控",这六个字替代了原来所有的犹豫、争论和反复确认。数字一出,放行就快了。
模型没做错什么。它在做它被设计来做的事:量化、分类、输出一个看上去精确的指标。但那个指标一旦被组织采信,它改变的东西远远超出"对风险的理解"。仓位变大了,杠杆变高了,复查变少了,授权变宽了,停机变难了。
模型会算错,这是常识。但模型最不容易被讨论的危险不在这里。危险在于:当它算对了一段时间之后,它会系统性地改变人的行为——风险没有消失,它从"拍脑袋的不确定"变成了"有数字撑腰的过度暴露"。
一、模型上线后,最先变的不是风险,是你的动作
把一件事从"我觉得大概行"变成"模型算出来 0.73",最大的变化不在精度上,在心理上和组织流程上:原来需要犹豫、争论、签字的决策,变成了"指标达标,放行"。
几乎所有模型投入使用后,都会经历同一条行为漂移路径。把它们排在一起看,画面很清楚:
仓位放大。 没有模型的时候,决策者不确定自己判断有多可靠,通常会留比较大的安全边际。模型给了一个明确数字,那个不确定感被替代了。数字说可以承受更多,于是承受更多。
杠杆提高。 同一个道理。杠杆是把对未来的判断变成现在的承诺。没有模型的时候,人对自己的判断有本能怀疑。模型让怀疑减小了一个量级,承诺就跟着加大一个量级。
复查频率下降。 一个模型连续表现好的时候,没有人愿意花时间重新检查一个"正在工作"的东西。复查成本不变,但复查的心理动力在衰减。
授权范围扩大。 这条最隐蔽。模型让决策看起来"可解释""可追溯"了,组织愿意把更大的风险预算交给更少的人、更自动的流程。原来需要三个人签字的事,现在一个人看看仪表盘就够了。
停机变难。 一旦仓位变大、杠杆变高、流程变自动,停下来的成本也在变大。没有模型的时候,停一停只是少赚一点。有了模型之后,停一停意味着推翻整套已经铺开的流程和已经建好的仓位。
五条叠在一起,指向一件令人不安的事:模型的进步,没有在减少系统的风险暴露,而是在改变风险暴露的形态。旧的风险是"看不清"——它让人谨慎。新的风险是"太敢做"——它让人自信。
模型有用吗?当然有用。但有用和安全之间,隔着一个行为变量。这个变量的名字叫胆子。
二、"先证明优势,再谈规模"——听着像废话,做到的人极少
Ed Thorp 一辈子做的事,很多人只记住了一半:用数学和概率在赌场和市场上挣钱。他们跳过了一个前置条件——他花了极长时间,在真正下注之前,先证明优势确实存在。
这听起来像废话。当然要先证明优势。
但在真实的模型使用中,顺序几乎总是反过来的:先有一个看起来不错的模型,然后很快进入"应该投多少"的讨论。"优势到底有多确定"这个问题,被跳过了。
Thorp 的方法论里最有价值的部分,不是某个公式。是他对"什么时候可以开始放大"这个问题极其审慎。他用 Kelly 准则讨论最优下注比例,但自己在实际操作中从来不用满额 Kelly——他用半 Kelly,甚至更低。
不是因为他不会算。恰恰因为他比任何人都清楚公式背后的数学:胜率是估计的,赔率结构是假设的,独立性前提是简化的,执行过程有摩擦。只要输入有误差,最优比例就不是真正的最优,而是一个在理想条件下的上界。
这个认知的含义非常具体:一个模型产出的数字,和这个数字可以被直接用来决定仓位,中间还隔着一整层判断。
假设一个模型说某个机会的预期收益率是 12%,最大回撤 95% 概率不超过 8%。很多人看到这两个数字,直接开始计算"我可以承受多大仓位"。但更该问的问题是:那个 95% 的概率估计,用了多少数据、什么分布假设、多长的观察区间?剩下那 5% 会发生什么?是亏 8% 还是亏 40%?
Thorp 留下的遗产,不是一个好公式,是一种使用模型的纪律:模型输出的数字是讨论的起点,不是决策的终点。从数字到仓位,中间至少还要经过对误差范围的折扣、对路径风险的考虑、对自身承受能力的诚实评估。
偏偏这种纪律,在模型越来越好的年代越来越稀缺。模型越好、回测越漂亮、数字越精确,人在"数字→仓位"这个环节的折扣就越小。折扣越小,暴露越大。
三、校准精确到小数点后四位,然后呢?
Emanuel Derman 在金融工程领域做了二十多年,他说过一个判断:金融模型更像有用的隐喻,不像自然法则。
他自己就是建模型的人,他不是在否定模型。他是在提醒一个经常被忽略的区分:物理学模型可以在实验条件下反复验证,但金融模型面对的系统会对模型本身做出反应。
一个波动率模型被用来定价和对冲的时候,需要做"校准"——把参数调到和市场观察到的价格一致。这个校准过程往往精细到小数点后好几位。精细让人安心。但精细不等于准确。
校准说的是"模型在今天的市场条件下可以匹配今天的价格"。它没说"模型理解了产生这些价格的机制"。
"匹配"和"理解"的区别,直接影响你怎么信任模型。
如果你知道模型只是匹配了当前数据,你会保持警惕:条件一变,匹配就可能失效。但如果你把校准理解成"模型已经捕捉了真实规律",你会把它用到更多情境里——包括那些跟校准条件完全不同的情境。
Derman 还拆开过另一个接口:纸面上的检验和执行中的检验是两回事。 一个对冲策略在模型里看起来几乎无风险,真正执行的时候会碰到流动性、滑点、交易对手和时间差。这些约束把模型假设变成了操作风险。每一步执行都在检验一个假设,每被检验一次就有一次出错的机会。
这意味着一件有点违反直觉的事:模型越复杂、步骤越多、校准越精细,执行层面要承受的约束和摩擦也越多。模型看起来越精密,使用它的操作风险不一定在下降,有时反而在上升——步骤越多,出错链条越长。
一个非常实在的推论:评估一个模型能不能信任,不应该只看它输出的数字有多精确,更应该看它在什么条件下才成立。条件越苛刻、越难维持,模型就越脆弱。 脆弱模型搭配大仓位,就是一个等着被触发的东西。
模型最像地图。地图越精细,不代表路不会塌。但人拿着一张精细的地图,确实比拿着一张粗糙的地图更敢走夜路。
四、回测曲线越平滑,你越该紧张
很多模型说服人的方式是回测。"过去二十年,这个策略的夏普比率 1.8,最大回撤 9%。"图表线条平滑上扬,数字干净好看。
一条漂亮的历史曲线,可能正在掩盖未来最大的风险。
Mandelbrot 一生做一件事:提醒人们注意极端事件不是模型之外的"异常值",而是很多真实系统的内在特征。金融数据的尾部比正态分布暗示的要厚得多。这不是统计学上的技术细节——它是一个关系到存亡的实操问题:厚尾意味着极端事件的发生概率远高于标准模型的预期。
用正态假设去做回测、做风控、做仓位计算的时候,模型会系统性地低估"超出预期"事件的可能性。6 个标准差事件在正态分布下几乎不该发生,但在真实金融市场,它发生的频率高得惊人。
回测还有另一个结构性弱点:过拟合。数据越多、参数越灵活,模型越容易在历史上找到漂亮线条。但那条线条可能只是在描述过去的噪声,不是未来的信号。Jim Simons 的团队据公开材料显示,在这个问题上极其警惕。他们花大量精力区分信号和噪声,区分一个模式是规律还是偶然相关。而且他们清楚,即使是真正的信号,在不同市场条件和不同容量规模下也会衰减。
Simons 的公开材料里,可转移的东西不是任何一条策略——他的策略私有、保密,且极度依赖特定数据基础设施和执行环境。可转移的是组织纪律:拟合历史不等于理解未来;模型需要不断检验而不是一次性部署;策略有容量边界——规模放大后信号可能消失;科学方法在金融中的使用需要比在实验室里更多的审慎。
但大多数人学到的不是这些。他们学到的是"Renaissance 赚了很多钱,说明量化模型是对的"。于是模型被当成一个输出正确答案的机器,回测曲线被当成未来的承诺。
一条回测曲线能告诉你的:这组参数在这段历史数据上表现不错。它不能告诉你的:模型是否理解了产生数据的机制,这个机制是否会变,以及模型在更大规模或不同条件下是否依然有效。
我观察到一个非常一致的现象:模型的历史表现越好、回测图表越平滑、数字越精确,使用者在仓位和杠杆上的胆子就越大。平滑曲线制造的不是谨慎,是安全感。安全感的代价,到了尾部才会被结算。
Mandelbrot 的分析动作翻译成大白话:模型越平滑,越有可能让你低估了尾部的重量。你带着对尾部的低估去决定仓位和杠杆,你的系统就变成了一个在多数时间看起来安全、在极少数时间足以致命的结构。 这比模型算错更危险——算错了你可能很快知道,而低估尾部,你可能在事件发生之前毫不知情。
五、数字越精确,越要问:错了谁买单?
模型生产出一个精确数字——"VaR 3200 万""预期回撤不超过 5%""信用评分 87 分"。这个数字进入组织流程后会发生什么?
通常是这样:开发模型的团队负责"准确性",使用模型的交易员或信贷官负责"执行",审批模型的管理层负责"合规"。而最终承担损失的,往往是另一群人:股东、存款人、基金持有人——那些在尾部事件发生时才发现自己是最终敞口承担者的人。
生产精确数字的人,和承担数字出错后果的人,经常不是同一批人。
Taleb 反复提过一个朴素的问题:你看到一个精确数字的时候,第一反应不该是"这个数字准不准",而该是"如果这个数字错了,谁在承担后果"。如果承担后果的人没有参与判断数字是否可靠,那这个精确数字就不是一条信息——它是一个治理漏洞。
模型越普及的组织里,这种责任分离被放大得越厉害。因为模型让决策"看起来"更可解释、更可追溯——报表有数字、系统有日志、流程有签字。但"可追溯"不等于"有人负责"。出了事,每个人都可以指着模型说"我是按模型来的"。
向模型追责,这件事本身就荒谬。模型是工具,工具不能承担后果。但当组织把越来越多决策委托给模型的时候,模型变成了一面盾牌,挡在决策者和后果之间。
这跟胆子的关系是直接的:当你知道后果由自己承担,胆子会被自然约束。当后果已经通过组织流程和模型签字被分散到别处,胆子就失去了约束。 模型在这里起到的作用,是让"后果分散"变得合法且隐蔽。
具体地说:一个基金经理使用模型做风险管理,模型显示当前组合的最大损失在"可接受范围内"。他把杠杆从 1.5 倍提到 2.5 倍,模型显示新杠杆下风险仍然"合规"。但如果模型的尾部估计偏了,真正承担超额损失的不是基金经理——他最多损失奖金和工作——是基金的持有人。
这不是个别案例。这是模型被组织化使用后的通用结构:模型让决策者距离后果更远了。距离后果越远的人,胆子越大。
六、模型成功才是危机的起点
上面五个部分可以用一个更整体的框架串起来。
Hyman Minsky 描述过一个内生脆弱机制:当事情顺利的时候,参与者不会简单地"保持现状",他们会主动把自己的融资结构从保守推向进取——从有余量到刚好够,从盈利覆盖负债到需要滚动融资甚至需要资产升值来覆盖利息。
模型信心在个人和组织层面触发的,是一个极其相似的过程。
当模型持续表现好的时候,使用者不会简单地"继续信任模型"。他们会一步步改变自己的行为结构:从在模型建议上打折,变成按建议全额执行;从留一笔模型覆盖不到的安全资金,变成把安全资金也投入生产;从定期重新验证假设,变成除非出事否则不验证;从模型辅助判断,变成模型结论直接触发自动执行。
每一步变化都"合理"——都可以用效率、成本优化来解释。但每一步变化都在减少系统在极端事件下的余量。
这个过程最隐蔽的地方:系统看起来变"好"了。报表更漂亮,效率更高,成本更低,收益更稳。所有可观测的指标都在改善。唯一在恶化的,是一个通常不可观测的变量:系统在极端条件下的存活能力。
所以经常不是模型失败导致危机。是模型成功导致危机。模型成功 → 信心增加 → 行为变激进 → 余量减少 → 系统变脆弱。模型不是在链条终点出了问题,它在起点就改变了链条的方向。
说得再直白一点:模型不是护栏,模型是放大器。 好判断和模型配合,赚得更多。判断或模型有一个偏了,赔得也更多。而赔得更多的那种情况,往往发生在所有人最不预期的时候——那个时候,恰好是模型信心最高、仓位最大、余量最小的时候。
这不是反模型的结论。是一个关于怎么使用模型的结论。模型本身不制造过度冒险。是模型被放进人的决策和组织流程之后,人和组织的行为变了,冒险程度才变了。
模型使用六项体检
一个模型被投入使用之前或正在使用的时候,至少过一遍这六项。不需要每项都有完美答案,但每项都要被认真问过。
一、优势证据。 模型证明的是真正的优势,还是只在历史数据上找到了一条好看的曲线?优势来源可解释吗?换一个时间段或市场,优势还在吗?不能经受数据替换检验的"优势",大概率是过拟合。
二、误差在场。 模型的误差范围有没有被写进决策流程本身,而不是放在报告附录?决策者看到的是一个点估计值,还是同时看到了这个估计值可能偏多远?误差不出现在决策界面上,它就等于不存在。
三、行为审计。 模型上线以后,仓位变大了没有?杠杆提高了没有?单人或自动流程的授权额度扩大了没有?复查频率降低了没有?如果这些变量发生了系统性变化,那不叫效率提升,叫风险暴露在不知不觉中放大。问自己一个问题:如果现在把模型下线,我敢不敢保持当前的仓位和杠杆?如果不敢,说明当前的风险水平已经押在模型正确上了。
四、尾部承担者。 模型的精确数字如果是错的,谁在承担后果?是开发模型的人、使用模型的人、审批模型的人,还是完全没参与模型讨论的出资人或客户?如果承担后果的人对模型的假设和局限没有知情权和决策权,这个模型在治理层面就有缺口。
五、停机条件。 什么情况下模型应该被暂停?这个条件是事先定好的,还是等出了事再开会?模型使用方有没有提前准备好失效时的应对方案?没有停机条件的系统,在模型失效时的反应只能是混乱。混乱状态下的决策,通常比没有模型更糟。
六、复查衰减。 模型表现越好,复查频率有没有悄悄下降?这条最隐蔽,因为"表现好所以不需要频繁复查"听起来完全合理。但表现好恰恰可能意味着模型还没有经历过它不适用的环境——在一个模型从未被检验过失效边界的时候减少复查,像在一条没下过大雨的路上拆掉排水沟。看起来节省了成本,代价要等暴雨来了才知道。
这六条对应的都不是模型本身的技术缺陷,而是模型和人的行为、组织的流程之间的交互问题。
模型会继续变好,数据会继续增多,算法会继续变精。但进步不会自动带来安全。进步自动带来的是信心。信心如果不被约束,会把进步变成更大的赌注。
回到开头那个场景:风控模型上线三个月,没出事,额度翻倍。这件事里,模型最危险的地方不是它会错,而是它让错误可以带着更大的仓位发生。
知道这一点的人,不会不用模型。但他们会在每次使用模型之后多问一句:我的胆子,是不是跟着模型一起变大了?如果是——变大的到底是能力,还是敞口。