贝叶斯网络在银行操作风险管理中的应用
目前,尽管我国商业银行由操作风险巴塞尔新资本协议定义操作风险是指“由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险”。引发的损失事件数量较大,但很少有定量分析的数据的积累,给操作风险的量化研究带来很大的困难。此外,操作风险管理在度量、识别和控制等方面还没有形成一套完善的体系,难于建模与度量。本文尝试应用贝叶斯网络方法,利用Hugin Lite7.8软件建立模型,对我国商业银行的操作风险状况定量分析。
一、文献回顾
目前国外对操作风险管理还处于发展阶段,但通过量化方式研究与管理已成为发展的方面。为解决数据问题,一些大型国际银行组织开始建立自己的损失数据库,此外还出现了一些官方性质或商业性质的数据库,如英国开始了一个由BBA推动建立的机密的中央数据库GOLD,巴塞尔银行委员会已经完成了第二次损失数据收集活动。此外,还出现了其它如OpVar、ORX等商业性的损失事件数据库。
国内对于操作风险的模型化研究尚不成熟,研究主要仍停留在理论介绍、经验判断层面,对操作风险量化模型的研究仍停留在方法讨论和理论假设上(如刘家鹏,2007),具体的模型构建及数据分析基本处于空白阶段。造成这一问题的主要原因之一就是数据问题,由于长期以来我国商业银行不大重视操作风险损失历史数据的积累,再加上我国商业银行信息披露制度不健全,银行具有隐藏风险事件的动机,使得我国商业银行操作风险历史数据较难收集(万杰,2005);还有学者商业银行操作风险外部数据的内生偏差(高丽君,2011)。在国内,有学者在研究中呼吁筹建我国商业银行操作风险损失数据库,并且尝试在各种媒体中收集操作风险的损失数据,并在此基础上进行了描述统计分析(樊欣、杨晓光,2003);有学者分析了贝叶斯网络和网络分析法应用于商业银行操作风险的基本思路及其建模步骤等(扈倩倩,2010);有学者以我国银行的一个典型业务――远期结售汇为例,研究了实践中建立和运用贝叶斯网络来估计操作风险发生频率的具体方法(刘睿、巴曙松、刘家鹏,2011)。
基于以上学者的研究和工作,本文依据北大法意数据库中的中国司法案例数据库2.0版中1990―2015年间的案例进行了分析,按照操作风险分类,从3568个与银行相关的案例中筛选出了310个与商业银行操作风险相关的案例进行分析。尽管数据不够全面,但与以前的研究相比在数据的客观性和追溯性上有所改进。从公开性和可获取性角度来看,这些数据基本上反映了我国商业操作风险的大致轮廓。以这些数据为基础构建我国商业银行操作风险的贝叶斯网络模型,对我国商业银行的操作风险状况做初步定量分析,以期能认识我国商业银行操作风险的各种属性。
二、基于贝叶斯网络的操作风险模型
(一)贝叶斯网络概述
贝叶斯网络(Bayesian Belief Network)为一个图形模型,用一组条件概率函数以及有向无环图对不确定性的因果推理关系建模,主要用于概率推理及决策,用它能有效的对风险进行建模并能清楚的表达风险之间的关系。其实,贝叶斯网络可以看做是Markov链的非线性扩展。这条特性的重要意义在于明确了贝叶斯网络可以方便计算联合概率分布。多变量非独立联合条件概率分布有如下求取公式:
(二)应用贝叶斯网络模型构建操作风险管理模型
运用贝叶斯网络管理操作风险,首先要识别导致风险发生的风险源,确定网络的节点和相应的因果关系,建立业务模型,并依据根据业务模型建立贝叶斯网络结构。然后利用已有的数据或模拟数据来训练模型,得到节点以及节点之间的条件概率分布。最后,根据风险控制、度量和管理的需要,进行情景分析,风险评估以及采取相应的风险控制措施等。
根据巴塞尔委员会对操作风险的分类,确定能反映风险程度的关键风险指标(key risk indicators)和引起风险的因素一般称作关键风险动因(key risk drivers),按照发生的频率和损失大小进行分类,从而通过控制关键风险动因来控制操作风险。见表1:
交易流程错误贝叶斯网络可以对关键风险指标设定预警水平,一旦风险超过这个水平,就必须采取相应的措施来对风险实施控制。由于所有节点都是随机变量,当把某个关键风险指标作为目标节点时,在给定情境下,运用贝叶斯网络可以估计出关键风险指标的概率分布,并计算出方差、标准差和上限百分比等。例如,可以设定一个可接受的标准差数值,如果估算出的标准差超过这个数值,就要采取相应的措施。在控制措施的选择上,可以通过情景分析,对各风险关键动因进行评估比较。
对数据的分析发现,310个操作风险事件本文搜集了310个案例,由于大部分操作风险事件的影响因素都不是单一的,与以前的研究(樊欣,2003;张新杨,2004)相比,本文做了改进,对各操作风险事件重点统计主要的两种影响因素,?y计结果显示共有99个操作风险事件是由至少两种因素造成的,因此在按事件类型划分的操作风险案例总数为409个。共涉及5种类型操作风险,其中有99个事件涉及两种类型操作风险,包括内部欺诈因素与外部欺诈因素的结合,外部欺诈因素与系统出错因素结合,外部欺诈因素与执行、交割及流程管理因素结合3种类型。从操作风险的来源看,内部欺诈、产品风险、交易管理可看作由内部因素引起的,外部欺诈、系统出错可看作是由外部因素引起的。从操作风险发生的类型来看,内部欺诈、外部欺诈导致的操作风险所占的比重最大。无论从事件发生的数量,还是从所涉及的金额来看,内部欺诈都排在第一位,其次是外部欺诈,交易管理居第三。从已经收集到的案例显示,141件内部欺诈案例中有48件明显地结合了外部欺诈因素,内外勾结事件数量占全部事件的34%。操作风险损失案例中,一旦发生内外勾结,往往损失数额比较大,上述34%的案例所涉及的金额却占到85.9%。结合上述数据分析将操作风险损失分为3大类,即由内部欺诈、外部欺诈因素作用形成的内部损失,产品风险、交易管理、系统出错形成的其他损失,外部欺诈、交易管理、系统出错形成的外部损失,3类损失最终汇总为操作风险损失。5种类型操作风险分为发生和未发生两种状态,各种类型损失分为小于100万元(0<-<=100),100万至1000万元(100<-<=1000),大于1000万元(>1000)三种状态。基于以上分析,构建我国商业银行操作风险的贝叶斯网络模型如图1:
(三)模型实证和结果分析
对数据进行运算,结果如表2:
(四)情景分析
对贝叶斯网络模型进行情景分析,通过设定一个阀值并改变各个因素的参数(即人为设定各个事件的发生状态,分析其对其它事件的影响进而找到诱因排序,从而采取相应手段排序中最重要的诱因来有效控制风险)。例如,理想状态是操作风险导致的损失最小化,即小于100万元,可以把操作风险损失(operational risk loss)小于100万元的概率设定为100%,其他两种状态的概率为0;同样也可以通过把大于1000万元的概率设定为100%来分析这些情景状态对其他因素的影响,运行结果结果如表3:
如果把操作风险损失控制在100万以下,则要求内部欺诈发生的概率由34.55%下降至33.88%,外部欺诈的概率由37.39%降至34.22%。如果大于1000万元的操作风险发生,内部欺诈发生的概率增至39.97%,外部风险发生的概率增至43.37%,这也进一步说明大额操作风险损失多是由银行内部人员和外部人员共同实施的,即防范我国商业银行操作风险的重点在于建立有效内部控制制度、防范内外勾结。此外,比较发生小于100万元损失时交易管理风险发生概率和发生大于1000万元损失时交易管理风险发生的概率由52.04%变到19.5%,可以看出由交易管理风险造成的损失与内外欺诈造成的损失相比较小,但其发生的可能性较大,交易管理风险也是我国商业银行操作风险管理的重点。
三、应用贝叶斯网络模型构建防范员工实施内部欺诈模型
(一)构建防范员工实施内部欺诈的贝叶斯网络模型
从上述涉及的关键风险点来看,内外部欺诈占主要部分,内部欺诈风险中人员因素居多。而内部员工在欺诈活动中有一定的优势,因其了解信息并熟识相关业务知识,知道如何规避系统监测。因此,内外勾结能造成更大的损失。然而,一些新的欺诈行为包括商业贿赂和收取回扣,更加复杂和隐蔽并难以发现和查处。与常见的欺诈不同,商业贿赂通常代价很大,涉及雇员和第三方之间的勾结,通常涉及接受回扣或?蚪穑?以此作为签订合同的回报。其最大隐患在于违规贷款给存在极大信用风险的客户。这种类型的欺诈,尤其难以发现,因为回扣是从通过第三方中介机构洗钱而间接支付给商业银行员工,不在账簿中体现。行贿者以支付咨询费名义将本应由银行收取的利差转而支付给管理咨询公司,然后再通过种种方式洗钱并支付到银行客户经理家属的账户,最后用于购房、消费等大额支出。这种洗钱行为往往不易被察觉,除非其他员工或第三方(如公安、检察等外部反腐败调查介入等)对此进行曝光。正因如此,预防措施对控制内外部欺诈风险至关重要。其基本模式如图2:图2内外部欺诈基本模式欺诈三要素,即:动机(压力/诱因);机会;借口(道德取向),三因素之间两两相互作用,形成舞弊三角形。动机是由于员工自身经济压力、生活方式改变或者感觉不公平,机会是员工的职位可以接触资源,借口是员工给自己寻找合理的借口(实质上是一种个人的道德价值判断)。当动机、机会和借口三个重要因素同时出现时,进行欺诈的倾向就会出现,缺少其中任何一项因素,都不会使一个人进行欺诈。针对上述三要素,可以分别采取有效措施加以防范。问题的关键就在于,如何建立合理的制度以防范员工实施内部欺诈。基于以上分析,构建防范员工实施内部欺诈的贝叶斯网络模型如图3:
动机、机会和借口都是导致最终损失的直接原因,而且动机和借口都属于内在因素,无法进行直接监管;而机会则是可以通过监管(案件或者异常行为排查)加以防范,进而通过对内部举报及时进行核查和反馈,进而进行相应措施调整,就像排雷一样事先把引信拆掉,尽可能降低操作风险发生的概率。虽然排查不能完全阻止风险发生,但通过排查能及时发现风险,提前堵漏补缺。此外,动机和借口可以通过内部举报,由商业银行采取恰当而合适的反应(比如谈话或者心理干预等方式),将可能导致员工实施内部欺诈的内在因素及时化解。
(二)贝叶斯网络模型运算分析
本文采用对某商业银行分支机构1999年―2015年134起案件(包括及时进行内部处理未造成直接经济损失)情况的分析,并将各因素细化分解,模拟运算结果如表4:
从表4可以看出,对于举报及时、有效的反馈对于防范内外部欺诈至关重要。计算结果表明:导致最终损失的三个直接原因―动机/诱因、机会和合理化的借口,其中动机/诱因的决定因素中依此排名分别为经济压力、生活方式改变和感觉不公(34.79%、17.72%和47.50%),其中感觉不公相较其它更容易导致损失;借口中自我合理化程度越高,也越容易造成损失(72.97%);机会的决定因素中依此排名分别为员工职位、资源支配和受监管程度(59.49%、24.27%和16.24%),则是商业银行可以通过监管加以防范,其决定因素中依此排名分别为加强管理、岗位改进和强制换岗(54.88%、28.45%和16.68%),进而通过核查及对于举报的反馈进行及时调整,最终避免损失。然而,通过数据分析可以发现,对于举报是否反馈对于损失的形成至关重要,尤其是经过内部审计或者专项审计后只有17.87%形成结论报告,而45.75%未有结论,甚至于36.39%由于不能公正处理或者说被举报人员反过来打击报复举报人员。最终,如果不能采取恰当而合适的作为(比如戒勉谈话或者心理干预等方式),而其发生的概率高达73.80%,将可能导致员工实施内部欺诈的内在因素不能够及时发现、核查、监管并进行化解,最终形成损失。 (三)相关性分析
通过对于内部欺诈与采取恰当而合适的反应措施进行相关性分析,结果如表5:
即:无论内部欺诈是否严重,明明知道员工已经实施内部欺诈而不采取恰当而合适的反应去制止其不当行为(不作为)要比有所作为都将加大内部欺诈发生概率;反之,则可以减小内部欺诈发生概率。严重后果极端情况下,完全不采取恰当而合适的反应将造成监管完全失效,导致无法通过反馈并采取相应措施进行调整,将最终造成损失的严重后果。这是因为如果举报者认为内部举报机制并不能很好的解决举报的问题,那么没有人会愿意在这上面浪费精力。举报者积极性受打击,甚至被打击报复的后果就是或者不再内部举报,或者寻求外部渠道解决问题。换言之,绝大多数欺诈或是违法行为,都是靠内部员工的举报而被发现的。内部举报机制的真正作用在于当员工还愿意反映其所发现的问题时,意味着问题还有机会在商业银行内部得到解决。如果内部举报机制无法让举报者信任,结果将使相关信息泄露给其他渠道,包括媒体和监管机构,届时问题就有可能发展成商业银行无法控制的局面。
通过模拟运算,还可以发现如果完全不采取恰当而合适的反应措施,将造成几乎相当于原来四倍的经济损失。由此可见,防范内部欺诈操作风险的关键点在于通过加强核查并对举报及时、有效反馈及予以调整,才能降低损失。
四、加强操作风险管理的对策建议
综上所述,我国商业银行操作风险主要来源于商业欺诈风险(内部欺诈与外部欺诈两方面结合)。因此,商业银行必须从加强内控建设、提高员工防范意识、职业素养以及加强内部审计等方面入手,还可以采取购买商业犯罪保险等措施对于操作风险实施有效管理。
一是加强有效信息交流来防范内外部欺诈。目前,我国既没有收集金融机构操作风险损失事件的公共数据库,也没有相关组织机构推动损失数据的交换。因而,建议由人民银行、银监会或银行业协会,负责收集我国银行业操作风险损失事件并建立数据库,推动实现商业银行间及行业内的信息交流、损失数据交流和互换。欺诈行为实施者可能针对不同的商业银行,同时或连续进行欺诈活动。因此,应该共享彼此关于欺诈的信息,并借助中国人民银行征信系统及时沟通信息来实现。其次,欺诈者也可能针对其他金融机构进行诈骗。因此,建议除了具体的欺诈信息交流,还应分享关于欺诈风险、趋势、制度方面、预防和识别等方面的认识和经验。
二是商?I银行应建立预防制度、流程和控制机制。包括:分割可能会发生利益冲突的职能部门;采用双人监控原则;在资金管理、其他资产及交易和信息系统中,配备使用高效的程序屏障;现金流和资金管理要安排复核监督;建立明晰的报告路线和沟通程序;建立管理层和员工进行内部举报的投诉程序;制定一套公开透明并且具有延续性的反欺诈政策或制度,包括向相关执法机关报告的制度;建立明确的内部欺诈案件问责制度,以警示其他潜在的犯罪者。
三是商业银行应强化欺诈风险管理。内容包括:构建一系列措施和流程,在发生紧急情况时,能够对欺诈案例作出迅速、正确的反应;应定期对反欺诈制度、流程和控制机制进行梳理,并考虑到欺诈的动态特征;当遇到欺诈案件时,应该将其作为“警示教育”的案例,对制度、流程和控制机制进行调整,从而减少再次发生的类似欺诈的风险。
