商業銀行技術驅動型金融風險研究

技術與金融越來越體現出融合的趨勢。本文提出技術驅動型金融風險的概念，以商業銀行為研究對象，盡可能全面地梳理技術引發的風險點以及應對措施。研究發現兩類八種64項風險點，其中，內生類風險普遍存在于銀行所有風險領域，外生類風險具有隱蔽性和更大破壞性。

隨著技術進步以及技術在銀行業發揮越來越大的作用，技術無法再與金融完全獨立，越來越體現出融合的趨勢。在新型冠狀病毒感染疫情沖擊與全球金融動蕩加劇的環境下，疫情期間金融扶持政策掩蓋的金融風險以及緩釋應對，已經成為全球關注焦點。達沃斯世界經濟論壇金融科技團隊已經連續兩年對“技術、創新與系統性風險”進行跟蹤研究。本文提出技術驅動型金融風險的概念，以商業銀行為研究對象，盡可能全面地梳理技術引發的風險點以及應對措施。研究發現兩類八種64項風險點，其中，內生類風險普遍存在于銀行所有風險領域，外生類風險具有隱蔽性和更大破壞性。商業銀行有必要從更高層面全面審視技術驅動型風險，加強風險管理方法對技術的內化，建立專業化風險管理團隊，重點防范系統性風險，努力實現銀行與技術的高質量融合。

技術驅動型金融風險的概念框架

近兩年，金融業風險正從內生風險向外生風險轉變。人們往往把技術對金融業產生的內生風險視為金融科技帶來的風險，但對于技術對金融業產生的外生風險則缺少研究，特別是很少將內生風險和外生風險放在同一個概念框架下去研究。本文嘗試描述技術驅動型金融風險（Technology-Driven Financial Risks，簡稱TDFRs）概念。技術驅動型金融風險，簡單來講是指技術引起的金融業各類風險，具體到銀行業而言，是指技術引起的銀行業各類風險。本文參考巴塞爾協議Ⅲ中的8類風險，對11項技術進行逐項分析。

銀行風險維度

銀行業風險的種類劃分尚無一定之規，學術界傾向使用風險主體來劃分，如金融機構、金融市場和金融產品，但金融業更傾向用窮舉法來劃分銀行風險，本文參考了巴塞爾協議Ⅲ中列出的8類風險。

信用風險，是商業銀行面臨的主要風險之一，具體是因債務人未能履行與銀行的合同條款，或未能按照約定還款而對銀行產生的當前或未來的風險。

市場風險主要包含三方面：（1）銀行交易賬戶的利率風險和股票風險；（2）交易賬戶和銀行賬戶的匯率風險和商品風險；（3）相關的期權性風險。換言之，市場風險是指表內外頭寸因受股票、利率、匯率，或者商品價格的不利變動影響，而導致市值減少的風險。

運營風險，是指由不完善或有問題的內部程序、人員及系統或者外部事件造成損失的風險。本定義包括法律風險，但不包括戰略風險和聲譽風險。

銀行賬戶利率風險，指為非交易目的和為套期保值而持有，表內外所有未劃入交易賬戶的業務合約。銀行賬戶利率風險是指利率水平、結構等要素的變動所導致銀行賬戶資產、整體收益和經濟價值遭受或有損失的風險。

戰略風險，是指由于業務環境變化、業務決策不力、決策執行不當或未能及時應對業務環境變化而導致的當前或預期的收益與資本風險。簡言之，戰略風險即因企業不適當的業務策略或是企業營運環境的改變而導致的風險。

流動性風險，是指商業銀行雖然有清償能力，但無法獲得充足資金或無法以合理成本獲得充足資金以應對資產增長或到期債務支付的風險。流動性風險可以分為融資流動性風險和市場流動性風險。融資流動性風險是指商業銀行在不影響日常經營或財務狀況的情況下，無法有效滿足資金需求的風險；市場流動性風險是指由于市場深度不足或市場動蕩，商業銀行無法以合理的市場價格出售資產以獲得資金的風險。

聲譽風險，是指一旦客戶、交易對手、股東、投資人或者監管當局對銀行持不樂觀態度，從而導致當期和未來的收益或資本下降的風險。換言之，聲譽風險一般指由于公眾負面的評價，導致銀行與客戶關系終止及中斷而產生損失的風險。

集中度風險，是指任何可能造成巨大損失（相對于銀行的資本、總資產或總體風險水平）、威脅銀行健康或維持核心業務能力的單個風險暴露或風險組合。風險集中被視作銀行發生問題的最重要原因之一。集中度風險通常作為信用風險的一部分，指由于授信過度集中于單一客戶，或基于共同風險因素的一組客戶時導致的大額損失，共同風險因素包括行業、地理位置、產品類型等。

技術維度概念

本文分析了當前銀行領域較熱門的11項技術。當然，限于筆者當前的認知和未來可能不斷涌現的新技術，窮舉法分析可能還存在盲點，但框架是完整的，未來可繼續補充。

開放銀行，是通過應用程序編程接口技術，在銀行與第三方服務提供商之間實現數據共享，將銀行的金融服務全面融入各種第三方服務場景中，從而提升客戶體驗的平臺合作金融業態。

量化交易，是指以先進的數學模型替代人為的主觀判斷，利用計算機技術從龐大的歷史數據中篩選能帶來超額收益的多種“大概率”事件以制定策略。量化交易極大減少了投資者情緒波動的影響，避免在市場極度狂熱或悲觀的情況下做出非理性的投資決策。

大數據，指的是所涉及的資料量規模巨大到無法透過主流軟件工具，在合理時間內達到擷取、管理、處理并整理成為幫助企業經營決策更積極目的的資訊。

云計算，指的是通過網絡“云”將巨大的數據計算處理程序分解成無數個小程序，然后，通過多部服務器組成的系統處理和分析這些小程序，得到結果并返回給用戶。

人工智能（含機器學習、生物識別、知識圖譜、模型可解釋技術），是計算機科學的一個分支，它企圖了解智能的實質，并生產出一種新的能以人類智能相似的方式做出反應的智能機器，該領域的研究包括機器人、語言識別、圖像識別、自然語言處理和專家系統等。

區塊鏈，是利用塊鏈式數據結構驗證與存儲數據，利用分布式節點共識算法生成和更新數據，利用密碼學的方式保證數據傳輸和訪問的安全、利用由自動化腳本代碼組成的智能合約，編程和操作數據的全新的分布式基礎架構與計算范式。

物聯網（含第五代移動通信（5G）），是一個基于互聯網、傳統電信網等的信息承載體，它讓所有能夠被獨立尋址的普通物理對象形成互聯互通的網絡。

隱私保護技術（含差分隱私、同態加密、聯邦學習、可信計算環境），是指能夠實現數據處于加密狀態或非透明狀態下的計算，以達到各參與方隱私保護的目的。

量子計算，是一種遵循量子力學規律調控量子信息單元進行計算的新型計算模式。由于量子力學疊加性的存在，某些已知的量子算法在處理問題時速度比傳統的通用計算機快。

信息安全（含黑客攻擊、系統當機），是為數據處理系統建立和采用的技術、管理上的安全保護，為的是保護計算機硬件、軟件、數據不因偶然和惡意的原因而遭到破壞、更改和泄露。

去中心化金融（DeFi），是運行在公鏈（如以太坊）上的產品。由于DeFi運行在公鏈上，它是無須許可的、不可篡改的、可組合的，這意味著任何人都可以參與進來，都可以進行借貸、交易等金融活動。

技術驅動型金融風險的特點

技術驅動型金融風險具有交叉性和反身性。與銀行傳統風險一樣，技術驅動型金融風險也存在交叉性金融風險和反身性金融風險。在本文里，交叉性金融風險是指技術驅動型金融風險同時涉及信用風險、市場風險、操作風險和流動性風險等主要風險中的兩種（含）以上風險，或由于上述風險之間相互影響而產生的新型風險。從表1中不難發現，每種技術引起的風險種類都不止一種，可見，已知的技術驅動型金融風險都是交叉性金融風險。反身性金融風險在本文中是指技術引起的一種復雜金融風險，這種金融風險對另一種金融風險產生彼此沖擊式影響，技術與金融的因果關系不完全獨立，而是互相作用、互相決定。如大數據內生引發信用風險，緩釋風險時用到了人工智能模型，而人工智能模型同樣會反過來導致信用風險。這就是技術引發風險，風險緩釋用到的技術又引發新風險，從而形成技術-風險-（緩釋）技術-風險的惡性循環。

技術內生風險具有廣泛性，技術外生風險具有隱蔽性。從表1分析可見，技術內生風險已覆蓋所有風險類別，每一類風險都可能被技術導致敞口，這反映出金融科技發展的深化效應，技術對金融產生深刻影響，并已在一定程度上改變金融運轉的邏輯，金融具有內化技術的強烈需求。表1中斜線部分代表處于技術外生的金融風險點，可見這些外生風險比內生風險更離散，不容易被發現和重視。最容易受到技術沖擊的是信用風險，主要原因是數字經濟異軍突起引發的宏觀經濟結構調整帶來銀行存量資產結構風險。

引起最廣泛風險的技術是人工智能，全面沖擊已有的金融邏輯。在表1中，人工智能技術覆蓋全部8類銀行風險，并且在信用風險、運營風險中分別存在3項風險點。既反映出人工智能的負外部性尚未被金融業所掌控，也反映出人工智能在金融業的適用性優于其他技術。當前，以巴塞爾協議ⅢI為主要代表的主流銀行管理模式，主要還是以職責定崗位，最終采用人來承擔委托代理關系，存在道德風險和不確定性，也客觀上為金融成本設定了下限。人工智能是目前最有前景打破這個金融成本下限，提高金融效率和穩定性的技術之一。另外，銀行遵循的巴塞爾規則對貸款預期損失與非預期損失等測算是按照統計概率，如預期損失使用歷史違約率的均值，但人工智能中有更多機器學習算法已經可以進一步精確測算各種風險損失，這已經對銀行傳統風險管理方法提出了全新挑戰。

涉及最廣泛技術的風險是運營風險，信息技術風險有獨立趨勢。在所有種類風險中，運營風險可能被全部11項技術所觸發，成為受技術影響最廣泛的風險。運營部門在商業銀行活動中一般不直接創造信用，往往不被看作是增值部門，而是成本部門，但其同樣可能像信用風險一樣演變成系統性風險，因此，運營風險亟須重新引起再認識、再細分。同時，隨著信息系統全面深入銀行運營體系的方方面面，各種技術都是通過各類信息系統來將風險傳導的，因此，信息技術風險有在巴塞爾協議Ⅲ既有8類風險以外獨立成為一種單獨風險因素的傾向。

風險點最集中的技術驅動型風險是信息安全導致的信用風險，風險暴露概率最高，風險的系統性最強。技術驅動型金融風險不都是系統性風險，風險的不可分散性也是異質性的，但信息安全引起的風險對各個銀行的影響可能是同質性的不可分散，即系統性風險，需要從微觀審慎上升到宏觀審慎。2021年魏尚進等人發表的文章將金融科技看作是金融業的“革命者”，看重的就是技術能夠大幅改善金融的信息不對稱性，降低信用風險。然而，金融業過于強調技術這種新引入的內生變量的正效應，而忽視技術的負效應。其實，技術具有一定中性，金融業在引入時應該不僅看到“石頭在水面激起的第一層漣漪”，還應看到其更多層次影響，特別是多層次、長鏈條傳導而來的負面影響；否則，信用風險將會比大多數人預想的更快到來。

對商業銀行管控技術驅動型風險的建議

跳出金融看技術，在更宏觀視角看待技術對金融風險的外生影響。商業銀行，特別是具有一定系統重要性的大型銀行，要站在經濟全局視角看待技術對金融風險的影響，不僅要盯住金融業應用技術產生的風險，更要考慮通過宏觀經濟傳導而來的長邏輯鏈風險，加強對外生影響的研究，同時與內生風險結合考慮。例如，隨著數字經濟的發展，產業互聯網資產具有更高的確定性、風險更小，但是銀行在產業互聯網領域布局資產規模是否適宜？另外，通過金融科技，無抵押純信用貸款越來越容易發放到家庭部門，隨著其規模的增長，會不會擠占未來數字經濟的貸款規模？

在中長期加強在既有風險分類下對信息技術的內化，努力提升銀行自身對信息技術的全方位掌控程度。巴塞爾協議Ⅲ中列出的8類風險具有現實意義，目前看，基本可以覆蓋主要的新興技術風險，而且這8類風險已經被商業銀行內化為組織架構、崗位職責和業務流程。因此商業銀行有必要繼續堅持并深化這種風險分類框架，盡可能按照這種分類框架來應對各類新出現的技術風險，這也有助于商業銀行按照現有風險分工，將技術驅動型風險落實到專業團隊。

考慮到技術的專業性，短期內可以在技術被內化于金融前建立技術驅動的運營風險管理團隊。目前看，技術引起的風險尚未全部納入銀行風控流程，考慮到技術本身也在演進過程中（例如量子計算商用化、人工智能可解釋等尚需時日），而技術本身對傳統銀行員工具有相當的門檻，短期內在銀行各個部門部署專業團隊有困難。因此，有必要在完全管控這些技術驅動型風險前，在商業銀行內部單獨建立集約化的團隊，同時熟悉技術與金融業務，并對技術驅動型風險負責。

從宏觀審慎和微觀審慎視角看待信息安全，著力防控信用風險。一方面，宏觀審慎主要是防范流動性風險、同質性風險、順周期性風險和國際系統性風險，面對當前比較突出的信息安全風險，宏觀審慎同樣面臨這四種風險，也同樣存在從單一到市場、從虛擬到實體、從國內向國際的傳遞可能，同樣需要對網絡安全進行宏觀審慎監管。另一方面，微觀審慎需要考慮的信息安全，主要還是要避免債務無法收回，特別是由于網絡中斷或黑客攻擊導致債務人在客觀上缺少資金或渠道還債。

（邊鵬為中國建設銀行研修中心（研究院）研究員、國際標準化組織（ISO）專家委員。本文編輯/孫世選）