基于貝葉斯網絡的商業銀行操作風險度量研究

任 達，周小琳

(天津大學 管理與經濟學部， 天津 300072)

隨著經濟全球化趨勢的加快，商業銀行的業務趨向多元化。操作風險由于其具有難以度量、難以規避且威脅巨大的特征，存在強烈的隱患，在商業銀行的日常經營流程中必須對其注重管理和控制。

目前，國內外現有的衡量操作風險的方法有損失分布法、極值理論、貝葉斯網絡等。Frachot等[1]全面闡述了損失分布法的基本原理。Aue[2]、莫建明等[3]采用置信區間作為監管資本的控制范圍。高麗君等[4]采用POT方法對極端損失值進行估計。宋加山[5]提出了定量式選取極值分布閾值的方法。Pearl[6]提出了貝葉斯網絡來解決不確定性問題。Alexander[7]將貝葉斯網絡應用于金融領域。Giudici等[8]開始用貝葉斯網絡來衡量操作風險。

在探索操作風險來源及其影響因素方面，樊欣等[9]收集了1990—2003年的71起操作風險損失事件。經分析指出，我國商業銀行的操作風險主要是由內部欺詐和外部欺詐引起的，其中：內部欺詐帶來的損失占57.75%；外部欺詐帶來的損失占21.13%。袁德磊等[10]收集了2000—2005年的307起操作風險損失事件，經研究后指出，內部欺詐損失金額的比例高達74.25%，外部欺詐損失金額的比例占22.97%。由此可見，內部欺詐和外部欺詐是操作風險產生的主要原因。

雖然近年來關于商業銀行操作風險度量的研究越來越深入，但仍然存在非常明顯的局限性：國外的文獻側重于模型的構建，從理論上對操作風險進行度量；我國的相關研究由于受到操作風險數據不足的局限，眾多復雜的高級計量方法并不具有廣泛的適用性，在實證方面仍存在較大空白[11]。

本文利用hugin lite軟件構建貝葉斯網絡模型，通過對比國內外商業銀行操作風險的損失情況，分析我國商業銀行操作風險的特點，在此基礎上選擇貝葉斯網絡模型進行實證研究，運用因果分析和情景分析，定量說明我國商業銀行操作風險管理的工作重點并提出相應建議。

1 我國商業銀行操作風險的特征分析

1.1 國際商業銀行操作風險現狀

根據巴塞爾委員會操作風險小組第3次LDCE項目，搜集到全球17個國家的119家銀行的內部損失數據，從操作風險事件類型和業務類型兩個維度，基于這些數據對國際商業銀行操作風險的現狀進行分析。

從業務類型(如圖1所示)來看，引起操作風險損失金額最多的是零售銀行業務，占32.02%，發生次數也最多，占55.76%；引起操作風險損失金額次多的是公司金融業務，占28.03%，但該業務風險發生的次數卻非常少，僅占0.65%，說明公司金融業務具有明顯的低頻高損特征。

圖1 按業務線歸類的國際商業銀行操作風險損失情況

從事件類型(如圖2所示)來看，引起商業銀行操作風險次數較多的事件類型是執行、交割及流程管理和外部欺詐，分別占到了30.62%和26.30%，造成的損失金額分別為24.292億歐元和7.80億歐元，占比為24.87%和7.98%；造成損失金額最高的事件類型是客戶、產品及業務做法，損失金額高達51.23億歐元，占比52.45%。

圖2 按損失事件類型歸類的國際商業銀行操作風險損失情況

綜合來看，操作風險事件主要集中于零售銀行業務上，零售銀行業務中外部欺詐事件的損失次數達到7 312次，損失頻率達到22.45%。發生損失金額最高的為公司金融業務中的客戶、產品及業務做法事件，損失金額達到25.65億歐元，高達總損失金額的26.26%。

1.2 我國商業銀行操作風險現狀

由于我國操作風險數據披露制度尚不健全，使得我國商業銀行操作風險相關的研究較為難以開展[12-15]，故本文采用上海財經大學高翔教授整理的1987—2012年的3336起操作風險事件進行分析。

從業務類型(如圖3所示)來看，引起操作風險次數最多的是零售銀行業務，發生頻率達到24.76%，但其造成的損失金額卻僅占6.67%，這是由于該業務數量大、金額小的特點所決定的。引起操作風險次數次多的是商業銀行業務，發生頻率達到23.44%，同時，商業銀行業務造成的損失金額也是非常巨大的，達到了624.72億元，占總損失金額的48.62%。這一點可能是由于我國商業銀行長期以來主要業務以及利潤來源依靠于存貸款利差。值得注意的是，其他未分類業務操作風險事件發生的頻率也很高，這是由于我國商業銀行長期以來對操作風險事件披露制度不完善，以致很多操作風險事件的具體細節無從知曉。

圖3 按業務線歸類的我國商業銀行操作風險損失情況

從事件類型來看，如圖4所示，引起操作風險次數最多的為內部欺詐，頻率達到48.98%，造成損失348.24億元，占比27.10%。引起操作風險次數次多的是外部欺詐，帶來的損失占17.46%。從損失金額上看，造成損失金額最大的操作風險損失事件是客戶、產品及業務做法，雖然該項事件的發生頻率為8.84%，但卻造成了34.52%的損失。此外，執行、交割及流程管理操作風險事件發生的頻率以及帶來的損失金額也較多。

綜合來看，操作風險主要集中在內部欺詐事件上，發生頻率最高的為內部欺詐事件中的商業銀行業務，達到11.21%。但造成損失金額最高的為商業銀行業務中的客戶、產品及業務做法，造成損失金額達到285.23億元，占總損失金額的22.20%。

圖4 按損失事件類型歸類的我國商業銀行操作風險損失情況

1.3 對比分析

從業務線上來看，我國商業銀行與國際商業銀行較為顯著的差異在于公司金融業務、零售銀行業務、商業銀行業務以及資產管理業務。

對于公司金融業務和零售銀行業務，我國與國際商業銀行的發生頻率相近，但帶來的損失情況是儼然不同的，國際上這兩項業務造成的損失分別為28.03%和32.02%，而我國只有0.31%和6.67%。

對于商業銀行業務，國際商業銀行在此項業務操作風險上的發生頻率以及損失金額都較小，而我國發生頻率高達23.44%，損失金額占比高達48.62%，這是由于我國商業銀行盈利長期以來依賴傳統存貸利差所導致的。

對于資產管理業務，我國在此項業務操作風險上的發生頻率以及損失金額明顯高于國際商業銀行，我國分別為17.39%和13.83%，而國際上僅為2.16%和2.49%，這是由于我國商業銀行對此項業務的探索還不夠深入，未能做到嚴格控制風險。

從事件類型來看，主要差異在于內部欺詐和外部欺詐事件。我國內部欺詐事件發生的頻率以及損失金額占比分別為48.98%和27.10%，而國際上為4.22%和6.15%，可見國際上商業銀行對于內部控制是十分嚴格的。我國外部欺詐事件發生的頻率及損失金額占比分別為23.50%和17.46%，國際上為26.30%和7.89%，說明我國外部欺詐所帶來的問題不容小覷。

綜合來看，很多我國商業銀行的業務線和風險事件的交匯單元，其發生頻率和損失金額占比不足0.01%，一方面是由于我國商業銀行近年來才開始逐步走向業務多元化，長期以來并未像國際商業銀行一樣建立多元化的完整業務線；另一方面是由于我國商業銀行風險披露機制尚未健全[16]，使得商業銀行在發生操作風險時，出于長期經營的考慮，常常采取掩蓋或者延緩披露操作風險的方式，直接導致相關數據搜集難度大，精確程度低。

2 實證研究

2.1 貝葉斯網絡概述

貝葉斯網絡是一種用來表示變量間因果聯系概率的有向無環圖，是一種在不完全信息下進行概率推理的技術[17-19]。貝葉斯網絡圖中的結點表示變量，有向邊表示結點之間的聯系，沒有相連的兩個節點之間條件獨立。

圖5 簡單的貝葉斯網絡圖示

一個貝葉斯網絡通常由兩部分組成：一部分是能表示各個變量X之間關系的網絡圖S；另一部分是能表示每個變量之間聯系的概率分布P。以Pai表示Xi的父節點，則

BN=(S,P)

S={(Xj,Xi)|Xi∈X,Xj∈Pai}

P={p(xi|Pai)|Xi∈X}

貝葉斯網絡模型中的概率情況既可以從子節點處向父節點推導，也可以從父節點處向子節點推導，對于數據的要求較低，只要知道某一個關鍵節點的狀態，就可以推導出整個網絡任一節點的概率，這為解決問題提供了極大的便利條件。

2.2 模型的比較與選擇

商業銀行操作風險的度量方法主要包括自上而下的基本指標法、標準法，自下而上的損失分布法、極值理論、貝葉斯網絡法等[20-21]。

基本指標法僅用總收入與一個固定的權重相乘即得到相應的操作風險資本，雖然計算方法較為簡便，但在實踐中計算出來的操作風險資本往往較大，嚴重限制了商業銀行經營資本的配置情況，降低了小型商業銀行的市場競爭力[22]。

標準法是在基本指標法的基礎上改進而來的[23]，針對商業銀行的不同業務線設定相應的權重，但目前我國商業銀行對于業務線的區分并不明晰[24]，并沒有將總收入情況分解到每條業務線上，數據的獲取存在一定的困難。

損失分布法作為一種高級計量方法對于數據的要求量較大，需要清楚7種操作風險事件、8條業務線共56種組合的歷史損失數據，從而才能進行后續的參數估計，但目前我國可獲取的商業銀行操作風險數據較少，為進一步的研究帶來了一系列困難。此外，還需要采用蒙特卡洛模擬方法，進行數次復雜的運算，才能得到最終的結果，這種方法的原理和運算過程過于復雜，在現階段并不具有廣泛的適用性。

同樣地，極值理論法對于數據的要求較高[25-26]，采用真實數據進行函數擬合和參數估計，其中最為重要的部分是選擇恰當的閾值，這就需要采取不同的方法選取出多個可能的閾值，然后再進行比較，運算量十分巨大。此外，這種方法主要是對尾部情況進行細致的分析，但由于目前我國商業銀行數據嚴重缺乏，落在尾部區域的數據較少，理論上十分嚴密，但在實際操作上存在一定的困難。

貝葉斯網絡模型對于數據量的要求較小，具有因果分析與情景分析兩種形式。因果分析是控制某一相關因素的情況，觀察其對最終結果造成的影響，并通過改變不同因素的情況，對最終結果的變化情況進行比較，然后確定關鍵因素；而情景分析則是假定出最終結果需要達到的效果，反推出哪個因素變化的程度最大，進而確定出主要因素。因此，貝葉斯網絡是比較適合用來度量我國商業銀行操作風險的，其優勢主要有以下幾點：

1) 貝葉斯網絡解決了操作風險度量中數據規模較小的問題，能基于不確定性狀態下進行概率推理，運算量小。

2) 引入情景因素，假定需要使得商業銀行最終的操作風險損失控制在1 000萬以下，進行逆向推導，觀察每一節點概率的變化情況，對關鍵因素進行重點控制與管理。

3) 在我國商業銀行操作風險數據庫建立完全后，我們可以針對商業銀行各部門及各條業務線進行分解，構建商業銀行業務流程網絡，具體分析業務流程的關鍵因素，進行重點針對性管理。

2.3 貝葉斯網絡模型的建立

1) 變量的選擇

內部欺詐、外部欺詐發生的頻率及引起的損失金額是相當高的，雖然客戶、產品及業務做法事件發生的頻率并不高，但引起的損失金額不容小覷，此外，執行、交割及流程管理與其他事件相比也具有較為明顯的破壞性。因此，本文擬在7種損失事件類型中選取4種作為貝葉斯網絡模型中的主要變量，即內部欺詐，外部欺詐，客戶、產品及業務做法和執行、交割及流程管理。它們分別有損失發生和不發生兩種狀態，損失金額分為小于1 000萬元，1 000萬元～1億元，大于1億元3種狀態。

此外，由于我國商業銀行操作風險的分布情況較為復雜，發生頻率與損失金額并沒有顯著的一致性，為了更好地說明風險損失情況，引入內部損失和外部損失兩個關鍵性節點。內部欺詐，客戶、產品及業務做法與執行、交割及流程管理同時引起內部損失；外部欺詐，客戶、產品及業務做法與執行、交割及流程管理同時引起外部損失，表達外部損失發生的情景和過程。內部損失和外部損失共同作用于總損失。

2) 損失數據的處理

由表1～3中的數據，通過計算即可得到建立貝葉斯網絡模型所需要的數據。

表1 損失數據

3) 模型的建立

根據以上思路，利用Hugin lite軟件搭建貝葉斯網絡模型，如圖6所示。

圖6 貝葉斯網絡模型

內部欺詐執行、交割及流程管理客戶、產品及業務做法發生發生發生不發生不發生發生不發生不發生發生發生不發生不發生發生不發生<1 0000.6250.727 30.709 70.803 50.333 30.825 90.777 811 000～10 0000.3750.181 80.225 80.147 50.555 60.088 90.087 30>10 00000.0990.064 50.0490.111 10.085 20.134 90

表3 外部因素損失概率分布值

4) 結果分析

將相關數據輸入貝葉斯網絡模型，得到的運行結果如圖7所示。

圖7 網絡運行結果

模型預測結果顯示，商業銀行總損失金額小于1 000萬元的概率是79.89%，在1 000萬元～1億元的概率是13.86%，大于1億元的概率是6.26%。根據真實樣本數據，上述概率分別為80.34%、13.52%、6.10%，誤差在0.16%～0.45%，落在誤差可允許的范圍內，說明所建立的貝葉斯網絡模型是較為合理的。

從內部損失和外部損失這兩個節點來看，內部損失明顯比外部損失的情況要嚴重。商業銀行外部損失金額小于1 000萬元的概率是91.04%，在1 000萬元～1億元的概率是6.37%，大于1億元的概率是2.59%，而內部損失金額的上述概率分別為87.08%、9.10%和3.82%。由此，內部損失金額落在較高額度的概率略大于外部損失金額，較為嚴重，當操作風險涉及內部人員與外部人員互相勾結時，給商業銀行帶來重大損失的概率將會變大，帶來操作風險的規模將顯著增加。

由于損失金額超過1億元時，將給商業銀行造成致命的打擊，因此必須盡量控制相關因素，使得商業銀行操作風險的總損失金額位于1億元以下。針對這個問題，將對已搭建的貝葉斯網絡進行情景分析，來確定應該主要控制的因素。

假設：理想的狀態是使得商業銀行的總損失金額始終落在1 000萬元以下，即總損失金額小于1 000萬元的概率是100%。觀察相關因素的概率變化情況，運行結果如圖8所示。

根據運行結果，當總損失金額始終保持在 1 000萬元以下時，內部欺詐事件發生的概率需從48.98%下降到43.98%，客戶、產品及業務做法損失事件發生的概率需從8.84%下降到5.89%，執行、交割及流程管理損失事件發生的概率需從12.77%下降到10.31%，外部欺詐事件發生的概率需從23.50%下降到18.65%，可以看出，4種操作風險損失事件類型發生的概率需要分別下降5、2.95、2.46、4.85百分點。

圖8 情景分析運行結果

因果分析和情景分析的結果表明：我國商業銀行需要對內部欺詐和外部欺詐事件進行重點管理，當商業銀行內部人員與外部客戶相互勾結時，商業銀行的操作風險將顯著加大，應當重點進行內部控制，防范操作風險的產生。

3 研究結論及相關建議

經過上述定量分析，不難發現，我國商業銀行操作風險問題仍然十分嚴峻，在管理工作方面，與國際性大型商業銀行仍然存在很大差距，接下來對我國商業銀行操作風險產生的原因進行分析，并提出管理建議。

3.1 成因分析

1) 我國商業銀行對操作風險的認識不夠全面，存在一定偏差。當前，我國商業銀行管理層對于操作風險的認識仍然停留在停電、系統出錯等不可抗力因素，并未認識到人員、客戶在全業務流程中可能造成的操作風險，使得對操作風險基本無監管，才造成操作風險一旦發生損失金額一般較大的情形。

2) 我國金融監管機構對操作風險的監管力度尚淺。我國商業銀行在發生操作風險后，普遍情況下采取的措施是惡意掩蓋，而不是依照監管制度進行及時地進行披露，并且目前我國金融刑法的量刑標準偏低，降低了操作風險的成本，這就大大增加了操作風險發生的概率。

3) 我國商業銀行公司治理不完善，內控制度欠缺。國際上大型商業銀行普遍設立風險管理委員會，并設置操作風險執行委員會來統籌操作風險的管理。近年來，我國商業銀行也開始設立風險管理委員會，但大多數情況下，它只是一個用來應付監管的機構，并沒有專門的人員來履行這項職責，商業銀行的風險控制主管就難以了解當前銀行的操作風險狀況。此外，目前我國商業銀行實行總分行制度，業務交接涉及多個層級，涉及到的層級越多，越容易引發操作風險，且加大了操作風險管理的難度，總行難以對各分支機構進行有效的監督和管理，在風險尚小時沒有及時發現和控制，最終引起的操作風險損失金額巨大。

3.2 管理建議

1) 加強操作風險知識傳播，從源頭上管控風險。各監管部門加強對操作風險的知識教育，將其寫入各監管文件，對操作風險事件類型進行科學分類與舉例，使社會各界公眾正確識別操作風險。

2) 構建權責分明的操作風險管理體制。建立總分行報告制度，明確各部門在操作風險管理過程中的職責所在，全面覆蓋商業銀行操作風險傳播途徑，建立操作風險數據庫，分析風險產生的主要因素，并進行重點管控。

3) 建立健全監管法律制度。應當適當提高金融刑法的量刑標準，加大犯罪成本，減少操作風險的發生。

4) 加強商業銀行內部管理。根據我們上述的定量分析，我們需要降低內部欺詐事件和外部欺詐事件發生的頻率，加強銀行內部對賬力度，加強內部審計，同時，密切注意內外勾結行為，關注關聯賬戶等。