基于極值理論的互聯網金融操作風險測算

陳耀輝，姜婷

(南京財經大學經濟學院，江蘇 南京 210023)

近年來，隨著互聯網技術的發(fā)展和“互聯網+”時代的到來，傳統(tǒng)的金融業(yè)發(fā)生轉變，互聯網金融應運而生。“互聯網金融”是一種互聯網技術與金融業(yè)務全面交互、關聯、延展和創(chuàng)新而產生的新型金融，是對傳統(tǒng)金融模式的一種延展和創(chuàng)新。互聯網金融產業(yè)的產生給人們的社會經濟生活帶來了巨大改變，第三方支付、P2P 網絡借貸、眾籌融資等互聯網金融業(yè)態(tài)為人們的日常消費提供了極大的便捷，也為人們籌借、投資資金提供了一種新型的渠道。但在互聯網金融快速發(fā)展的同時，各種問題也層出不窮，平臺體系的技術漏洞、員工專業(yè)素養(yǎng)的參差不齊、內部欺詐的存在、金融市場審查與監(jiān)管不足等操作風險都會對互聯網金融的發(fā)展產生極大的危害。

以互聯網金融機構中第三方支付平臺為例，支付寶作為第三方支付平臺的代表多次被曝安全漏洞。2017年1月，支付寶被曝安全問題，熟人只要知道最近買過的東西，且2人有共同好友，就能較為輕易地通過驗證，登錄他人支付寶賬戶；2018年3月15日，央視的315晚會也指出了支付寶平臺人臉識別支付的嚴重漏洞，不法分子利用軟件修改人臉圖片便可直接進行臉部識別，輕易盜刷用戶賬號。此外，2014年曝光廣東某旅游休閑服務“加油金”業(yè)務涉嫌非法吸收公眾存款造成資金風險敞口約6億元，上海某企業(yè)管理服務有限公司挪用客戶備用金造成資金敞口約7.8億元等等，互聯網金融機構一系列操作風險事件頻頻發(fā)生。

風險事件的發(fā)生預示了互聯網金融機構在運營過程中存在著巨大的安全風險隱患，也說明了我國對于互聯網金融行業(yè)的監(jiān)管方面存在不足。目前，我國的互聯網金融市場發(fā)展?jié)摿薮螅蕴幵诎l(fā)展初期，面臨很多風險在所難免，尤其是與技術平臺相關的操作風險。用現代金融風險測量技術度量互聯網金融的操作風險，建立一套合理的互聯網金融操作風險識別、度量、監(jiān)控和控制體系，是促進互聯網金融市場健康良性發(fā)展，有效防范金融形式創(chuàng)新造成的新型操作風險的必然要求。為此，筆者對互聯網金融的操作風險損失的分布進行了研究，并對互聯網金融領域的操作風險進行測度。

1 文獻綜述

1.1 關于操作風險的研究綜述

國外對于操作風險最權威的定義是在巴塞爾委員會制定的《巴塞爾協議》中，1988年7月，巴塞爾委員會在瑞士的巴塞爾通過“關于統(tǒng)一國際銀行的資本計算和資本標準的協議”，即《巴塞爾協議》。此后通過1999年和2010年的2次修訂，形成了一套比較成熟的風險理論體系。巴塞爾新資本協議中定義“操作風險是指由不完善或有問題的內部程序、人員、系統(tǒng)或外部事件所造成的損失”。目前，業(yè)界研究操作風險普遍使用這一操作風險定義[1]。在此基礎上，眾多的國外學者對操作風險進行定量研究。1997年，Embrechts等最早采用EVT理論對操作風險進行度量[2]，隨后，Embrechts又在2006年采用多維極值理論度量了操作風險，他認為極值理論能夠較好的度量操作風險[3]。2004年，Moscadelli利用EVT理論分析了巴塞爾銀行監(jiān)管委員會定量影響測算統(tǒng)計的47000個操作風險損失數據，認為廣義Pareto分布(GPD)能夠很好的擬合操作風險的上尾[4]。2006年，Patrick采用公開的極值數據和極值理論度量了操作風險，并認為銀行操作風險資本金大于市場風險資本金[5]。

國內對于操作風險的研究較晚。2005年12年31日，中國銀監(jiān)會下發(fā)《商業(yè)銀行風險監(jiān)管核心指標(試行)》，首次將操作風險指標同信用風險指標、市場風險指標并列作為中國商業(yè)銀行風險監(jiān)管核心指標，并將操作風險的定義基于中國商業(yè)銀行發(fā)展的特點進行調整。“中國商業(yè)銀行的操作風險為由于商業(yè)銀行公司治理的不到位、內部程序和業(yè)務流程的不完善、人員的失誤或舞弊、系統(tǒng)的失靈或缺陷以及外部事件”。2007年，高麗君針對我國商業(yè)銀行操作年度損失數據缺乏亦不滿足常用分布的情況，根據Bootstrapping模擬的特點和優(yōu)點生成操作風險年度損失數據，利用極值算法估計操作風險損失分布并預測操作風險極端損失，得出操作風險經濟資本[6]。同年，劉睿，詹原瑞和劉家鵬在損失分布法的框架下，以中國商業(yè)銀行的內部欺詐損失數據為樣本，借助POT模型對內部欺詐風險強度和頻率進行估計，并使用基于吉布斯抽樣的貝葉斯MCMC方法估計POT模型的參數，通過極值理論對中國商業(yè)銀行的內部欺詐風險進行度量，并估計了相應的經濟資本[7]。2008年，陳倩和李金林以我國的517個風險損失數據為基礎，將四參數的g-h分布用于操作風險損失強度擬合中，實證結果顯示，g-h分布能較好的捕獲操作風險損失分布的“厚尾”特性，對操作風險損失分布的擬合效果最好[8]。2017年，莫建明、呂剛和高翔等認為重尾分布非預期損失估計值具有不確定性，并以操作風險度量為例，在Pareto分布下研究損失分布法度量誤差變動規(guī)律，他們發(fā)現，隨著監(jiān)管資本變動，度量誤差變動具有非常高的敏感性，損失分布法度量誤差具有不可預測性，損失分布法存在著重大缺陷[9]。

1.2 關于互聯網金融風險的研究綜述

國外學者首先對互聯網金融問題進行了研究。2007年，Thomas Meyer對互聯網金融其中的一種模式——P2P進行了描述，指出了P2P信貸中所存在的風險，對比了低風險和高風險借貸人進行P2P時的不同[10]。2009年，Ming-Chi Lee對網上銀行進行研究，運用技術接受模型和集成計劃行為理論模型對感知風險理論的5個方面——金融風險、安全與隱患、性能、社會和時間風險進行研究分析，結果表明，使用網上銀行的不利影響主要有安全隱私風險、金融風險等，積極影響在于感知利益、態(tài)度和感知有用性[11]。2011年，EC Chaffee和GC Rapp在Dodd-Frank法案出臺后研究了P2P網絡信貸的監(jiān)管問題，在文中他們從聯邦和州2個層面分析P2P網絡借貸問題和監(jiān)管問題，討論P2P起源和其特殊風險性，提出針對P2P網絡借貸風險的多部門監(jiān)管方法[12]。2012年，JER Lee等對網絡購物時的在線支付問題進行了研究，通過安全問題和信用卡安全碼2個實驗分析了在網絡購物支付過程中的風險[13]。

國內對于互聯網金融風險的研究起步較晚，相應的研究成果也較少。自2012年和2013年之后，對于互聯網金融的相關研究飛速地增加。2012年，謝平和鄒傳偉等首次提出互聯網金融的概念，研究了互聯網金融的模式，并分析了互聯網金融的支付方式、信息處理、資源配置等問題[14]。2013年，閆真宇提出互聯網金融業(yè)務活動產生的不確定和不可控是造成互聯網金融風險的主因，互聯網金融風險主要由法律規(guī)范、技術風險、業(yè)務管理、貨幣政策、洗錢犯罪5大類因素導致[15]。同年，張松、史經偉、雷鼎等對互聯網金融形勢下的操作風險新問題進行研究，他們認為，在互聯網金融形勢下，操作風險主要包括金融業(yè)信息化的操作風險、行業(yè)間的關聯性風險和消費者操作不當風險[16]。

基于以上文獻綜述，國內外專家學者對于操作風險的研究大多集中于商業(yè)銀行領域，對于互聯網金融的研究多集中在整體領域和定性領域，對于互聯網金融操作風險的專項研究及定量研究較少。

2 操作風險與極值理論

根據巴塞爾新資本協議中對操作風險的定義，“操作風險是指由不完善或有問題的內部程序、人員、系統(tǒng)或外部事件所造成的損失”。引發(fā)操作風險的誘因或事件具體可分為7類：內部欺詐，外部欺詐，雇傭及工作安全，顧客、產品與商業(yè)行為，有形資產損失，涉及執(zhí)行、交割及交易過程管理的失誤。結合操作風險的誘因，我國互聯網金融行業(yè)所面臨的操作風險主要可以概括為以下幾種形式：違規(guī)經營風險，即違反現行的相關法律規(guī)定開展經營活動，主要包含違約挪用客戶資金，欺瞞客戶資金流向，超規(guī)模違規(guī)發(fā)行網絡支付產品等；操作失誤風險，即由于內部工作人員的操作失誤而造成的風險；網絡安全風險，即因為網絡安全漏洞或支付平臺漏洞而造成的風險；外部關聯風險，即由于外部關聯商失誤而造成的風險，互聯網金融行業(yè)大多公司依托外界服務商或服務外包，服務商服務水平參差不齊、系統(tǒng)保障投入不足等問題也會造成操作風險。

目前，互聯網金融機構及相關監(jiān)管部門已經對操作風險的管理的重要性有了一定的認識，相關專家學者也對引發(fā)操作風險的各種誘因進行分析，然而由于操作風險自身的特點，操作風險的量化管理依然是風險監(jiān)管的一個難點問題。在傳統(tǒng)的商業(yè)銀行領域，依據商業(yè)銀行操作風險的特點，相關監(jiān)管機構及各專家學者已經提出了一系列的操作風險計量模型：《巴塞爾新資本協議》提出利用標準法、損失分布法、記分卡法等計量操作風險，專家學者在此基礎上大多利用歷史模擬法、蒙特卡洛模擬以及極值理論模型對操作風險的VaR值進行測度。由于互聯網金融中所面臨的操作風險操作損失數據多服從“尖峰厚尾”的特征，損失的尾部性比較嚴重，基于此，筆者利用極值理論對互聯網金融操作風險進行度量。

極值理論是處理與概率分布的中值相離極大的情況的理論，常用來分析概率罕見、模型中存在y=z-μ極端值的情況，極值理論包括2類模型：BMM模型和POT模型。BMM模型是通過對數據進行分組，然后在每個小組中選取最大的一個構成新的極值數據組，并以該數據組進行建模，BMM模型適用于具備季節(jié)性的數據。POT模型則是通過設定一個閾值，把所有觀測到的超過這一閾值的數據構成新的數據組，以新數據組作為建模的對象，POT模型對數據要求的數量比較少，是現在經常使用的一類極值模型。因為操作風險損失數據不具備明顯的季節(jié)性特點，且商業(yè)銀行操作風險分析中多采用POT方法，筆者在研究互聯網金融領域的操作風險中也采用POT方法。

POT模型是研究極端數據的一種方法，POT模型通過設定閾值，把所有觀測到的超過這一閾值的數據構成新的數據組作為建模的對象。假設F(x)為變量x的累計分布函數，μ為x右端尾部的閾值，任取y>0，x介于μ和μ+y之間的條件概率為：

(1)

式中，y=z-μ表示超量損失。

根據Gnedenko的研究，對于多種概率分布F(x)，隨著μ的增加，分布Fμ(y)趨向于廣義Pareto分布，累計分布函數為：

(2)

式中，ξ與分布的形狀有關，決定了尾部分布的厚度；β是分布的尺度因子。參數ξ,β通過最大似然方法進行估計。

3 互聯網金融操作風險實證分析

互聯網金融起步較晚，發(fā)展較快。互聯網金融操作風險問題雖然是急需解決的問題，但是目前所能搜集到的數據較少，對分析的準確性可能會產生影響。筆者基于搜集到的數據對互聯網金融操作風險損失數據服從的分布進行確定，再利用蒙特卡洛模擬方法按照該分布對數據進行模擬擴充，以提高分析結果的準確性。

3.1 數據統(tǒng)計

圖1 互聯網金融操作風險損失分布散點圖

通過對wind數據庫資訊和resset金融數據庫中的每日資訊進行整理，統(tǒng)計了2012年以來互聯網金融領域操作風險事件的信息，共統(tǒng)計事件25件，其中包含違規(guī)經營風險事件12件，網絡安全風險事件8件，操作失誤風險事件3件，外部關聯風險事件2件，其中，18件事件的損失可知，分布的散點圖如圖1所示。

由圖1可知，操作風險的損失分布數值較大，操作風險的損失大部分集中于20億元以下，但也有極少部分超出30億元。

樣本數據的統(tǒng)計特征如表1所示。由表1可知，操作風險損失樣本數據的JB(Jarque-Bera統(tǒng)計量)值為9.5383，P值為0.0085，損失樣本不服從正態(tài)分布。從統(tǒng)計的偏度和峰度來看，偏度大于0，說明分布是右偏，即有一條長尾拖在右端，數據右端有較多的極端值，峰度大于3，說明統(tǒng)計的操作風險數據分布與正態(tài)分布相比相對陡峭，為尖峰。

表1 互聯網金融操作風險損失樣本數據的統(tǒng)計特征

3.2 數據的厚尾性及分布的檢驗

根據商業(yè)銀行操作風險的一般分布，筆者假設互聯網金融操作風險服從極值理論，損失數據服從廣義Pareto分布。下面將對互聯網金融操作風險損失數據是否服從廣義的Pareto分布進行檢驗。

樣本數據的Hill圖如圖2所示，當閾值選擇在10000萬元～20000萬元時，形狀參數ζ的數值趨于平穩(wěn)，為保障結果的的準確性，分別選擇閾值μ1=10000萬元，μ2=15000萬元，μ3=20000萬元進行分析。

利用搜集到的互聯網金融操作風險損失數據和最大似然方法估計得到閾值μ1=10000萬元，μ2=15000萬元，μ3=20000萬元時參數ξ，β的數值，如表2所示。

圖2 樣本數據Hill圖

μ/萬元ξβ100000.26017.47×104150000.17198.53×104200000.02941.04×105

由表2可知，當閾值μ1=10000萬元時，參數ξ1=0.2601，當閾值μ2=15000萬元，參數ξ2=0.1719，當閾值μ3=20000萬元時，參數ξ3=0.0294。在不同閾值下，參數ξ的估計值都大于0，這說明基于已統(tǒng)計的互聯網金融操作風險的相關數據，互聯網金融操作風險服從廣義的Pareto分布，互聯網金融操作風險的損失數據存在著厚尾的特征。

3.3 數據的模擬

由上可知，互聯網金融操作風險損失數據服從廣義的Pareto分布，通過蒙特卡洛模擬方法模擬數據來對互聯網金融操作風險的原損失數據進行擴充，模擬的次數越多結果越準確，但所用時間也越長。為了保證一定的精確度，筆者選擇的模擬次數為10000次。對模擬出的數據進行描述性統(tǒng)計，得到模擬損失數據的統(tǒng)計特征如表3所示。

表3 互聯網金融操作風險模擬損失數據的統(tǒng)計特征

由表3可知，模擬損失數據的平均值為73374.43，偏度為1.7617，峰度為4.4599，與表1的原數據比較相差不大，擬合的效果較好。對模擬數據進行Hill估計，得到圖3所示的Hill圖。

由圖3可知，在模擬數據中，當閾值選擇在25000萬元時，形狀參數ζ的數值趨于平穩(wěn)，利用最大似然進行估計，可得知，當閾值為25000萬元時，參數ξ、β的數值分別為0.012、72141。

3.4 操作風險在險價值

當Fμ(y)的分布足夠接近廣義Pareto分布，且ξ≠0時，在α的置信水平下，風險的在險價值為：

(3)

式中，E(y)，σ分別為超量損失y的均值和標準差。

由式(3)可得在90%、95%、99%、99.97%置信水平下的互聯網金融操作風險的VaR值，如表4所示。

圖3 模擬數據Hill圖

表4 不同置信水平下的互聯網金融操作風險VaR值

由表4可知，互聯網金融機構需要配置的操作風險資本金隨著置信水平的增大而變多，在模擬10000次的情況下，90%的置信水平下，互聯網金融機構為操作風險應配置296175.8萬元的資本金，如果參照傳統(tǒng)商業(yè)銀行新資本協議中對操作風險99.9%的置信水平標準，互聯網金融機構為操作風險配置的資本金應該更多，為657343.3萬元。這表明互聯網金融機構需要配置足夠的操作風險資本金以有效的預防風險。

4 結論與建議

對互聯網金融領域的操作風險損失數據的分布進行估計，并用蒙特卡洛模擬方法對損失數據進行模擬擴充，引入傳統(tǒng)商業(yè)銀行中操作風險度量常用的極值理論方法對互聯網金融領域中存在的操作風險進行測度。研究表明，互聯網金融領域的操作風險損失數據服從廣義Pareto方法，在90%的置信水平下，互聯網金融機構為操作風險應配置296175.8萬元的資本金，如果依據商業(yè)銀行新資本協議99.9%的置信水平標準，互聯網金融機構為操作風險配置的資本金為657343.3萬元。這為互聯網金融機構配置資本金提出了建議。

從近年來互聯網金融操作風險事件種類發(fā)生頻率來看，違規(guī)經營風險事件和網絡安全風險所占比重最大，分別為48%，32%。這一方面要求互聯網金融機構提高對員工專業(yè)素質和專業(yè)能力的培訓，建立嚴格的監(jiān)控機制和信息披露機制，加強對客戶資金流向的監(jiān)管；另一方面也要求互聯網機構重視網絡安全防護工作，構建好網絡防護墻，不斷開發(fā)和應用更安全、更穩(wěn)定的網絡工作及交易環(huán)境，以保護客戶的信息與資金安全。

由于互聯網金融行業(yè)剛剛起步，而操作風險本身屬于比較極端的風險，所以筆者搜集的數據不足，研究可能存在一些誤差；另一方面，筆者將互聯網金融領域各業(yè)務平臺看作一個整體來測算操作風險，但目前互聯網金融涉及的范圍很廣，各平臺中涉及到的操作風險的發(fā)生頻率及損失程度也存在著差異，筆者未對這種差異性進行研究。此外，互聯網金融領域存在一些小型的平臺，比如P2P、眾籌等，自身注冊資金比較少，往往很難有充足的資本金預留給操作風險，對此，相關監(jiān)管部門應設定互聯網金融平臺進入門檻，并根據互聯網金融的特點創(chuàng)新操作風險的監(jiān)管方式。