貝葉斯網(wǎng)絡在銀行操作風險管理中的應用

陳懷東

摘要：本文依據(jù)我國商業(yè)銀行的實際操作風險案例數(shù)據(jù)構建貝葉斯網(wǎng)絡模型，并利用Hugin Lite軟件實證分析表明：我國商業(yè)銀行操作風險中由交易管理引起操作風險損失的概率最高，其次是外部欺詐、內(nèi)部欺詐因素，從損失額來看大額損失多是由內(nèi)部欺詐造成，由此可知內(nèi)外勾結能造成更大的損失。隨后構建防范員工實施內(nèi)部欺詐的貝葉斯網(wǎng)絡模型，實證分析表明：防范內(nèi)部欺詐操作風險的關鍵點在于采取恰當而合適的反應措施，通過加強核查并進而對舉報及時、有效反饋及予以調(diào)整，才能降低損失。

關鍵詞：操作風險貝葉斯網(wǎng)絡內(nèi)部欺詐外部欺詐

目前，盡管我國商業(yè)銀行由操作風險巴塞爾新資本協(xié)議定義操作風險是指“由不完善或有問題的內(nèi)部程序、人員及系統(tǒng)或外部事件所造成損失的風險”。引發(fā)的損失事件數(shù)量較大，但很少有定量分析的數(shù)據(jù)的積累，給操作風險的量化研究帶來很大的困難。此外，操作風險管理在度量、識別和控制等方面還沒有形成一套完善的體系，難于建模與度量。本文嘗試應用貝葉斯網(wǎng)絡方法，利用Hugin Lite7.8軟件建立模型，對我國商業(yè)銀行的操作風險狀況定量分析。

一、文獻回顧

目前國外對操作風險管理還處于發(fā)展階段，但通過量化方式研究與管理已成為發(fā)展的方面。為解決數(shù)據(jù)問題，一些大型國際銀行組織開始建立自己的損失數(shù)據(jù)庫，此外還出現(xiàn)了一些官方性質(zhì)或商業(yè)性質(zhì)的數(shù)據(jù)庫，如英國開始了一個由BBA推動建立的機密的中央數(shù)據(jù)庫GOLD，巴塞爾銀行委員會已經(jīng)完成了第二次損失數(shù)據(jù)收集活動。此外，還出現(xiàn)了其它如OpVar、ORX等商業(yè)性的損失事件數(shù)據(jù)庫。

國內(nèi)對于操作風險的模型化研究尚不成熟，研究主要仍停留在理論介紹、經(jīng)驗判斷層面，對操作風險量化模型的研究仍停留在方法討論和理論假設上（如劉家鵬，2007），具體的模型構建及數(shù)據(jù)分析基本處于空白階段。造成這一問題的主要原因之一就是數(shù)據(jù)問題，由于長期以來我國商業(yè)銀行不大重視操作風險損失歷史數(shù)據(jù)的積累，再加上我國商業(yè)銀行信息披露制度不健全，銀行具有隱藏風險事件的動機，使得我國商業(yè)銀行操作風險歷史數(shù)據(jù)較難收集（萬杰，2005）；還有學者商業(yè)銀行操作風險外部數(shù)據(jù)的內(nèi)生偏差（高麗君，2011）。在國內(nèi)，有學者在研究中呼吁籌建我國商業(yè)銀行操作風險損失數(shù)據(jù)庫，并且嘗試在各種媒體中收集操作風險的損失數(shù)據(jù)，并在此基礎上進行了描述統(tǒng)計分析（樊欣、楊曉光，2003）；有學者分析了貝葉斯網(wǎng)絡和網(wǎng)絡分析法應用于商業(yè)銀行操作風險的基本思路及其建模步驟等（扈倩倩，2010）；有學者以我國銀行的一個典型業(yè)務——遠期結售匯為例，研究了實踐中建立和運用貝葉斯網(wǎng)絡來估計操作風險發(fā)生頻率的具體方法（劉睿、巴曙松、劉家鵬，2011）。

基于以上學者的研究和工作，本文依據(jù)北大法意數(shù)據(jù)庫中的中國司法案例數(shù)據(jù)庫2.0版中1990—2015年間的案例進行了分析，按照操作風險分類，從3568個與銀行相關的案例中篩選出了310個與商業(yè)銀行操作風險相關的案例進行分析。盡管數(shù)據(jù)不夠全面，但與以前的研究相比在數(shù)據(jù)的客觀性和追溯性上有所改進。從公開性和可獲取性角度來看，這些數(shù)據(jù)基本上反映了我國商業(yè)操作風險的大致輪廓。以這些數(shù)據(jù)為基礎構建我國商業(yè)銀行操作風險的貝葉斯網(wǎng)絡模型，對我國商業(yè)銀行的操作風險狀況做初步定量分析，以期能認識我國商業(yè)銀行操作風險的各種屬性。

二、基于貝葉斯網(wǎng)絡的操作風險模型

（一）貝葉斯網(wǎng)絡概述

貝葉斯網(wǎng)絡（Bayesian Belief Network）為一個圖形模型，用一組條件概率函數(shù)以及有向無環(huán)圖對不確定性的因果推理關系建模，主要用于概率推理及決策，用它能有效的對風險進行建模并能清楚的表達風險之間的關系。其實，貝葉斯網(wǎng)絡可以看做是Markov鏈的非線性擴展。這條特性的重要意義在于明確了貝葉斯網(wǎng)絡可以方便計算聯(lián)合概率分布。多變量非獨立聯(lián)合條件概率分布有如下求取公式：

（二）應用貝葉斯網(wǎng)絡模型構建操作風險管理模型

運用貝葉斯網(wǎng)絡管理操作風險，首先要識別導致風險發(fā)生的風險源，確定網(wǎng)絡的節(jié)點和相應的因果關系，建立業(yè)務模型，并依據(jù)根據(jù)業(yè)務模型建立貝葉斯網(wǎng)絡結構。然后利用已有的數(shù)據(jù)或模擬數(shù)據(jù)來訓練模型，得到節(jié)點以及節(jié)點之間的條件概率分布。最后，根據(jù)風險控制、度量和管理的需要，進行情景分析，風險評估以及采取相應的風險控制措施等。

根據(jù)巴塞爾委員會對操作風險的分類，確定能反映風險程度的關鍵風險指標（key risk indicators）和引起風險的因素一般稱作關鍵風險動因（key risk drivers），按照發(fā)生的頻率和損失大小進行分類，從而通過控制關鍵風險動因來控制操作風險。見表1：

交易流程錯誤貝葉斯網(wǎng)絡可以對關鍵風險指標設定預警水平，一旦風險超過這個水平，就必須采取相應的措施來對風險實施控制。由于所有節(jié)點都是隨機變量，當把某個關鍵風險指標作為目標節(jié)點時，在給定情境下，運用貝葉斯網(wǎng)絡可以估計出關鍵風險指標的概率分布，并計算出方差、標準差和上限百分比等。例如，可以設定一個可接受的標準差數(shù)值，如果估算出的標準差超過這個數(shù)值，就要采取相應的措施。在控制措施的選擇上，可以通過情景分析，對各風險關鍵動因進行評估比較。

對數(shù)據(jù)的分析發(fā)現(xiàn)，310個操作風險事件本文搜集了310個案例，由于大部分操作風險事件的影響因素都不是單一的，與以前的研究（樊欣，2003；張新楊，2004）相比，本文做了改進，對各操作風險事件重點統(tǒng)計主要的兩種影響因素，統(tǒng)計結果顯示共有99個操作風險事件是由至少兩種因素造成的，因此在按事件類型劃分的操作風險案例總數(shù)為409個。共涉及5種類型操作風險，其中有99個事件涉及兩種類型操作風險，包括內(nèi)部欺詐因素與外部欺詐因素的結合，外部欺詐因素與系統(tǒng)出錯因素結合，外部欺詐因素與執(zhí)行、交割及流程管理因素結合3種類型。從操作風險的來源看，內(nèi)部欺詐、產(chǎn)品風險、交易管理可看作由內(nèi)部因素引起的，外部欺詐、系統(tǒng)出錯可看作是由外部因素引起的。從操作風險發(fā)生的類型來看，內(nèi)部欺詐、外部欺詐導致的操作風險所占的比重最大。無論從事件發(fā)生的數(shù)量，還是從所涉及的金額來看，內(nèi)部欺詐都排在第一位，其次是外部欺詐，交易管理居第三。從已經(jīng)收集到的案例顯示，141件內(nèi)部欺詐案例中有48件明顯地結合了外部欺詐因素，內(nèi)外勾結事件數(shù)量占全部事件的34%。操作風險損失案例中，一旦發(fā)生內(nèi)外勾結，往往損失數(shù)額比較大，上述34%的案例所涉及的金額卻占到85.9%。結合上述數(shù)據(jù)分析將操作風險損失分為3大類，即由內(nèi)部欺詐、外部欺詐因素作用形成的內(nèi)部損失，產(chǎn)品風險、交易管理、系統(tǒng)出錯形成的其他損失，外部欺詐、交易管理、系統(tǒng)出錯形成的外部損失，3類損失最終匯總為操作風險損失。5種類型操作風險分為發(fā)生和未發(fā)生兩種狀態(tài)，各種類型損失分為小于100萬元（0<-<=100），100萬至1000萬元（100<-<=1000），大于1000萬元（>1000）三種狀態(tài)?；谝陨戏治?，構建我國商業(yè)銀行操作風險的貝葉斯網(wǎng)絡模型如圖1：

（三）模型實證和結果分析

對數(shù)據(jù)進行運算，結果如表2：

（四）情景分析

對貝葉斯網(wǎng)絡模型進行情景分析，通過設定一個閥值并改變各個因素的參數(shù)（即人為設定各個事件的發(fā)生狀態(tài)，分析其對其它事件的影響進而找到誘因排序，從而采取相應手段排序中最重要的誘因來有效控制風險）。例如，理想狀態(tài)是操作風險導致的損失最小化，即小于100萬元，可以把操作風險損失（operational risk loss）小于100萬元的概率設定為100%，其他兩種狀態(tài)的概率為0；同樣也可以通過把大于1000萬元的概率設定為100%來分析這些情景狀態(tài)對其他因素的影響，運行結果結果如表3：

如果把操作風險損失控制在100萬以下，則要求內(nèi)部欺詐發(fā)生的概率由34.55%下降至33.88%，外部欺詐的概率由37.39%降至34.22%。如果大于1000萬元的操作風險發(fā)生，內(nèi)部欺詐發(fā)生的概率增至39.97%，外部風險發(fā)生的概率增至43.37%，這也進一步說明大額操作風險損失多是由銀行內(nèi)部人員和外部人員共同實施的，即防范我國商業(yè)銀行操作風險的重點在于建立有效內(nèi)部控制制度、防范內(nèi)外勾結。此外，比較發(fā)生小于100萬元損失時交易管理風險發(fā)生概率和發(fā)生大于1000萬元損失時交易管理風險發(fā)生的概率由52.04%變到19.5%，可以看出由交易管理風險造成的損失與內(nèi)外欺詐造成的損失相比較小，但其發(fā)生的可能性較大，交易管理風險也是我國商業(yè)銀行操作風險管理的重點。

三、應用貝葉斯網(wǎng)絡模型構建防范員工實施內(nèi)部欺詐模型

（一）構建防范員工實施內(nèi)部欺詐的貝葉斯網(wǎng)絡模型

從上述涉及的關鍵風險點來看，內(nèi)外部欺詐占主要部分，內(nèi)部欺詐風險中人員因素居多。而內(nèi)部員工在欺詐活動中有一定的優(yōu)勢，因其了解信息并熟識相關業(yè)務知識，知道如何規(guī)避系統(tǒng)監(jiān)測。因此，內(nèi)外勾結能造成更大的損失。然而，一些新的欺詐行為包括商業(yè)賄賂和收取回扣，更加復雜和隱蔽并難以發(fā)現(xiàn)和查處。與常見的欺詐不同，商業(yè)賄賂通常代價很大，涉及雇員和第三方之間的勾結，通常涉及接受回扣或傭金，以此作為簽訂合同的回報。其最大隱患在于違規(guī)貸款給存在極大信用風險的客戶。這種類型的欺詐，尤其難以發(fā)現(xiàn)，因為回扣是從通過第三方中介機構洗錢而間接支付給商業(yè)銀行員工，不在賬簿中體現(xiàn)。行賄者以支付咨詢費名義將本應由銀行收取的利差轉(zhuǎn)而支付給管理咨詢公司，然后再通過種種方式洗錢并支付到銀行客戶經(jīng)理家屬的賬戶，最后用于購房、消費等大額支出。這種洗錢行為往往不易被察覺，除非其他員工或第三方（如公安、檢察等外部反腐敗調(diào)查介入等）對此進行曝光。正因如此，預防措施對控制內(nèi)外部欺詐風險至關重要。其基本模式如圖2：圖2內(nèi)外部欺詐基本模式欺詐三要素，即：動機（壓力/誘因）；機會；借口（道德取向），三因素之間兩兩相互作用，形成舞弊三角形。動機是由于員工自身經(jīng)濟壓力、生活方式改變或者感覺不公平，機會是員工的職位可以接觸資源，借口是員工給自己尋找合理的借口（實質(zhì)上是一種個人的道德價值判斷）。當動機、機會和借口三個重要因素同時出現(xiàn)時，進行欺詐的傾向就會出現(xiàn)，缺少其中任何一項因素，都不會使一個人進行欺詐。針對上述三要素，可以分別采取有效措施加以防范。問題的關鍵就在于，如何建立合理的制度以防范員工實施內(nèi)部欺詐。基于以上分析，構建防范員工實施內(nèi)部欺詐的貝葉斯網(wǎng)絡模型如圖3：

動機、機會和借口都是導致最終損失的直接原因，而且動機和借口都屬于內(nèi)在因素，無法進行直接監(jiān)管；而機會則是可以通過監(jiān)管（案件或者異常行為排查）加以防范，進而通過對內(nèi)部舉報及時進行核查和反饋，進而進行相應措施調(diào)整，就像排雷一樣事先把引信拆掉，盡可能降低操作風險發(fā)生的概率。雖然排查不能完全阻止風險發(fā)生，但通過排查能及時發(fā)現(xiàn)風險，提前堵漏補缺。此外，動機和借口可以通過內(nèi)部舉報，由商業(yè)銀行采取恰當而合適的反應（比如談話或者心理干預等方式），將可能導致員工實施內(nèi)部欺詐的內(nèi)在因素及時化解。

（二）貝葉斯網(wǎng)絡模型運算分析

本文采用對某商業(yè)銀行分支機構1999年—2015年134起案件（包括及時進行內(nèi)部處理未造成直接經(jīng)濟損失）情況的分析，并將各因素細化分解，模擬運算結果如表4：

從表4可以看出，對于舉報及時、有效的反饋對于防范內(nèi)外部欺詐至關重要。計算結果表明：導致最終損失的三個直接原因—動機/誘因、機會和合理化的借口，其中動機/誘因的決定因素中依此排名分別為經(jīng)濟壓力、生活方式改變和感覺不公（34.79%、17.72%和47.50%），其中感覺不公相較其它更容易導致?lián)p失；借口中自我合理化程度越高，也越容易造成損失（72.97%）；機會的決定因素中依此排名分別為員工職位、資源支配和受監(jiān)管程度（59.49%、24.27%和16.24%），則是商業(yè)銀行可以通過監(jiān)管加以防范，其決定因素中依此排名分別為加強管理、崗位改進和強制換崗（54.88%、28.45%和16.68%），進而通過核查及對于舉報的反饋進行及時調(diào)整，最終避免損失。然而，通過數(shù)據(jù)分析可以發(fā)現(xiàn)，對于舉報是否反饋對于損失的形成至關重要，尤其是經(jīng)過內(nèi)部審計或者專項審計后只有17.87%形成結論報告，而45.75%未有結論，甚至于36.39%由于不能公正處理或者說被舉報人員反過來打擊報復舉報人員。最終，如果不能采取恰當而合適的作為（比如戒勉談話或者心理干預等方式），而其發(fā)生的概率高達73.80%，將可能導致員工實施內(nèi)部欺詐的內(nèi)在因素不能夠及時發(fā)現(xiàn)、核查、監(jiān)管并進行化解，最終形成損失。

（三）相關性分析

通過對于內(nèi)部欺詐與采取恰當而合適的反應措施進行相關性分析，結果如表5：

即：無論內(nèi)部欺詐是否嚴重，明明知道員工已經(jīng)實施內(nèi)部欺詐而不采取恰當而合適的反應去制止其不當行為（不作為）要比有所作為都將加大內(nèi)部欺詐發(fā)生概率；反之，則可以減小內(nèi)部欺詐發(fā)生概率。嚴重后果極端情況下，完全不采取恰當而合適的反應將造成監(jiān)管完全失效，導致無法通過反饋并采取相應措施進行調(diào)整，將最終造成損失的嚴重后果。這是因為如果舉報者認為內(nèi)部舉報機制并不能很好的解決舉報的問題，那么沒有人會愿意在這上面浪費精力。舉報者積極性受打擊，甚至被打擊報復的后果就是或者不再內(nèi)部舉報，或者尋求外部渠道解決問題。換言之，絕大多數(shù)欺詐或是違法行為，都是靠內(nèi)部員工的舉報而被發(fā)現(xiàn)的。內(nèi)部舉報機制的真正作用在于當員工還愿意反映其所發(fā)現(xiàn)的問題時，意味著問題還有機會在商業(yè)銀行內(nèi)部得到解決。如果內(nèi)部舉報機制無法讓舉報者信任，結果將使相關信息泄露給其他渠道，包括媒體和監(jiān)管機構，屆時問題就有可能發(fā)展成商業(yè)銀行無法控制的局面。

通過模擬運算，還可以發(fā)現(xiàn)如果完全不采取恰當而合適的反應措施，將造成幾乎相當于原來四倍的經(jīng)濟損失。由此可見，防范內(nèi)部欺詐操作風險的關鍵點在于通過加強核查并對舉報及時、有效反饋及予以調(diào)整，才能降低損失。

四、加強操作風險管理的對策建議

綜上所述，我國商業(yè)銀行操作風險主要來源于商業(yè)欺詐風險（內(nèi)部欺詐與外部欺詐兩方面結合）。因此，商業(yè)銀行必須從加強內(nèi)控建設、提高員工防范意識、職業(yè)素養(yǎng)以及加強內(nèi)部審計等方面入手，還可以采取購買商業(yè)犯罪保險等措施對于操作風險實施有效管理。

一是加強有效信息交流來防范內(nèi)外部欺詐。目前，我國既沒有收集金融機構操作風險損失事件的公共數(shù)據(jù)庫，也沒有相關組織機構推動損失數(shù)據(jù)的交換。因而，建議由人民銀行、銀監(jiān)會或銀行業(yè)協(xié)會，負責收集我國銀行業(yè)操作風險損失事件并建立數(shù)據(jù)庫，推動實現(xiàn)商業(yè)銀行間及行業(yè)內(nèi)的信息交流、損失數(shù)據(jù)交流和互換。欺詐行為實施者可能針對不同的商業(yè)銀行，同時或連續(xù)進行欺詐活動。因此，應該共享彼此關于欺詐的信息，并借助中國人民銀行征信系統(tǒng)及時溝通信息來實現(xiàn)。其次，欺詐者也可能針對其他金融機構進行詐騙。因此，建議除了具體的欺詐信息交流，還應分享關于欺詐風險、趨勢、制度方面、預防和識別等方面的認識和經(jīng)驗。

二是商業(yè)銀行應建立預防制度、流程和控制機制。包括：分割可能會發(fā)生利益沖突的職能部門；采用雙人監(jiān)控原則；在資金管理、其他資產(chǎn)及交易和信息系統(tǒng)中，配備使用高效的程序屏障；現(xiàn)金流和資金管理要安排復核監(jiān)督；建立明晰的報告路線和溝通程序；建立管理層和員工進行內(nèi)部舉報的投訴程序；制定一套公開透明并且具有延續(xù)性的反欺詐政策或制度，包括向相關執(zhí)法機關報告的制度；建立明確的內(nèi)部欺詐案件問責制度，以警示其他潛在的犯罪者。

三是商業(yè)銀行應強化欺詐風險管理。內(nèi)容包括：構建一系列措施和流程，在發(fā)生緊急情況時，能夠?qū)ζ墼p案例作出迅速、正確的反應；應定期對反欺詐制度、流程和控制機制進行梳理，并考慮到欺詐的動態(tài)特征；當遇到欺詐案件時，應該將其作為“警示教育”的案例，對制度、流程和控制機制進行調(diào)整，從而減少再次發(fā)生的類似欺詐的風險。

參考文獻：

[1]Carol Alexander.This translation of Operational Risk：Regulation， Analysis and Management[M].First Edition is published by arrangement with Pearson Education Limited，2003.

[2]Carol Alexander.Bayesian Methods for Measuring Operational Risk， Derivatives， Use Trading and Regulation[M].Vol. 6， No. 2， pp. 166—186， 2000.

[3]Martin Neil， Norman Fenton and Manesh Tailor.Using Bayesian Networks to Model Expected and Unexpected Operational Losses[J].Risk Analysis， Vol. 25， No. 4， pp. 963—972， August 2005.

[4]藏玉衛(wèi)，王萍，吳育華.貝葉斯網(wǎng)絡在股指期貨風險預警中的應用[J].科學學與科學技術管理，2003（10）.

[5]詹原瑞，謝秋平，李雪.貝葉斯網(wǎng)絡在因果圖中的應用[J].管理工程學報，2003（2）.

[6]劉家鵬，詹原瑞，劉睿.基于貝葉斯網(wǎng)絡的操作風險建模[J].西安電子科技大學學報（社會科學版），2007（4）.

[7]樊欣，楊曉光.從媒體報道看我國商業(yè)銀行業(yè)操作風險狀況[J].管理評論，2003（11）.

[8]萬杰，苗文龍.國內(nèi)外商業(yè)銀行操作風險現(xiàn)狀比較及成因分析[J].國際金融研究，2005（7）.

[9]鄧超，黃波.貝葉斯網(wǎng)絡模型在商業(yè)銀行操作風險管理中的應用[J].統(tǒng)計與決策，2007（4）.

[10]（美）韋爾斯著.公司舞弊手冊：防范與檢查[M].東北財經(jīng)大學出版社，2010.