1、银行操作风险贝叶斯网络量化控制研究 曾园 华夏银行风险管理部 摘 要: 在银行的风险管理中, 操作风险一直是管理难点, 具有涉及面广、管理半径长、不易识别、不易控制、不易量化等特点, 且在管理工具和量化方法上都没有信用风险、市场风险那么成熟。近年来, 银行业因操作风险导致的巨大损失却日益增多。本文利用贝叶斯网络进行建模, 量化研究关键风险指标与关键风险诱因的因果关系, 正向分析各种操作风险诱因的影响程度, 反向分析操作风险指标出现预警后, 风险诱因的后验概率如何变化, 以期不断优化模型, 以更好地管理操作风险。此外, 本文还初步探讨了关键风险指标阈值设置方法和控制成本与损失成本的关系。同时,
2、结合银行操作风险管理工作的实践, 提出了防范操作风险的建议。关键词: 新资本协议; 商业银行; 操作风险; 贝叶斯网络模型; 作者简介:曾园, 联系方式:。The Quantitative Management of Banks Operational Risk with a Bayesian Network ModelZENG Yuan Abstract: In the risk management of banks, operational risk has always been the difficult part, with features includinglong manag
3、ement radius, which is difficult to identify, control, quantify and so on.In addition, the management of operational risk is not so mature as credit risk or market risk in terms of the management tools and quantitative methods. However, the huge losses caused by operational risk in the banking indus
4、try are increasingly prominent in recent years. This paper develops a Bayesian network model to study the causality relationship between the key risk index and the key risk factors quantitatively. The forward analysis is conducted on the influence degree of various operational risk factors. The reve
5、rse analysis is conducted on how the posterior probability changes of risk factors when there is index warning for operational risk, so as to continuously optimize the model to better manage operational risk. Furthermore, the relationship between threshold value setting method of key risk index and
6、cost control loss is discussed. This paper proposes suggestions on the management of operational risk according to the practice of risk management in the banks. It is hoped that this paper can provide a guide to enhance the operational risk management in the banking industry.Keyword: the New Basel C
7、apital Accord; Commercial Bank; Operational Risk; Bayesian Network Model; 一、引言商业银行业对于操作风险的管理, 经历了从被认为是模糊和不可计量的到计入风险资本框架下的过程。在新巴塞尔资本协议下, 操作风险已被列为银行经营面临的三大重要风险之一。但操作风险的管理“在短时期内不可能达到如信用风险和市场风险般的量化水平” (李建平、丰吉闯和高丽君, 2013) 。在国外相关研究中, Alexander (2005) 提出, 商业银行需要尽快探讨、研究操作风险控制量化的问题;Chernobai、Rachev 和 Fabozzi
8、 (2010) 则分析了用于构建操作风险的诸多方法。国内相关研究起步较晚。车德宇 (2008) 对巴塞尔新资本协议的操作风险进行了详尽的介绍;李建平、丰吉闯和高丽君 (2013) 对商业银行操作风险度量与监管资本进行了研究;郝晓玲和于秀艳 (2014) 对银行操作风险的传导与控制进行了探索;陆静 (2015) 将贝叶斯网络方法引入到操作风险的关键风险指标预警中。本文采用 Hugin Lite 贝叶斯网络分析软件进行数据训练, 帮助操作风险管理人员更好的了解各种操作风险诱因如何影响业务风险水平, 或者一旦出现某个关键风险指标预警各种可能关键风险诱因的发生概率如何变化。通过量化风险诱因对业务操作风
9、险水平的影响程度, 不但能够提升操作风险控制的有效性和针对性, 也能帮助业务条线选取最有效、成本最低的控制手段, 对提升商业银行操作风险管理水平具有现实意义。二、操作风险管理与监管现状(一) 国内外监管要求现状在国际上, 巴塞尔银行监管委员会 (BCBS) 1988 年推出巴塞尔资本协议后, 也经历了从巴塞尔资本协议 I 到巴塞尔资本协议, 再到巴塞尔资本协议的不断完善与提升, 目的就是要标准化国际上的风险控管制度, 提升国际金融服务的风险控管能力。2009 年 3 月, 我国加入了巴塞尔银行监管委员会, 标志着我国也将全面参与银行监管国际标准的制定。对国内银行业监管机构来说, 也意味着如何提
10、升银行风险管理的监管能力和水平已经刻不容缓。早在我国加入巴塞尔银行监管委员会前, 银监会就已经意识到商业银行操作风险的危害性和可能造成的潜在系统性风险, 并在 2005 年就此下发了关于加大防范操作风险工作力度的通知, 随后又于 2007 年正式发布了商业银行操作风险管理指引。但以上两个监管文件还主要是从定性角度对银行操作风险管理提出要求, 包括管理职责、组织架构、三大工具应用, 以及操作风险管理系统的建立等内容。加入巴塞尔银行监管委员会后, 银监会于 2009 年发布了商业银行资本计量高级方法验证指引;后又于 2012 年下发了商业银行资本管理办法 (试行) , 并要求于 2013 年 1
11、月 1 日起正式实施。这也标志着我国建立起了与国际新监管标准接轨、符合银行业实际需求的监管要求, 体现了商业银行操作风险管理从定性向定量的转变。2008 年经济危机后, 国际经济形势日趋严峻, 国内也面临着产业结构调整、经济下行、行业竞争日趋激烈等诸多不利因素。商业银行要想持续经营、稳定利润, 除了在客户服务、产品创新、开拓新业务上下功夫外, 还应努力修炼内部风险管理的内功, 实现更高利润、成本可控的可持续发展。(二) 操作风险管理框架国内商业银行操作风险管理因企业文化不同存在不同的组织架构, 主要有以下几种形式:一是成立全面风险管理部门, 下设操作风险管理机构, 实行全面风险集中管理模式;二
12、是操作风险管理与内控合规管理相结合, 二道风险防线前移, 在内控合规部门下设立操作风险管理机构;三是介于前两者之间, 单独成立操作风险管理部门, 各类风险由不同部门分别管理的分散模式。目前, 比较主流、先进的管理模式是建立统一的全面风险管理部门, 下设市场风险、操作风险、信用风险等处室。这一模式针对风险之间的次轮效应, 即体现了对各种风险的专业管理, 也能更好地统筹资源, 整合信息, 掌握、控制不同风险之间的相互作用和影响。通过由统一部门管理全面风险, 该模式可以提高对风险事件的反应速度, 进而更为及时、有效地加以应对。一般来说, 操作风险管理的组织实施主要包括操作风险的识别、监测、评估、计量
13、、控制、缓释、监督与报告等。同时, 在全行范围内建立激励机制, 鼓励改进操作风险管理 (见图 1) 。图 1:商业银行操作风险管理一般架构 下载原图梳理与识别风险是操作风险管理的起点, 由此顺序展开操作风险的事前评估、事中控制和事后管理:事前评估, 即通过流程梳理, 归纳总结出风险字典库与控制字典库, 进而应用于风险与控制的自我评估过程;事中控制, 即在事前评估的基础上, 找出操作风险所关注的重点业务流程和业务环节, 设立关键风险指标进行控制监测, 并根据指标预警情况采取及时有效的风险防控措施, 定期出具风险管理报告;事后管理, 即在最后, 根据内部损失数据进行操作风险资本计量, 对风险敞口采
14、取保险等方式进行风险缓释。目前, 虽然国内大多数大型商业银行和股份制商业银行在商业银行操作风险管理指引的要求下, 均建立了比较完善的操作风险管理架构, 也基本明确了各层级人员、各部门的管理职责分工, 使用了操作风险与控制自我评估、关键风险指标、损失数据收集三大工具, 并开始重视操作风险事件及损失数据的积累, 但实施效果不尽人意足。主要原因是, 对操作风险管理的核心所在事中阶段的控制和监督方面, 监管要求较为笼统, 偏重指导性和方向性, 未能引入适当的模型进行量化管理, 因而难以实现更精准地衡量风险状态。(三) 操作风险管理实施自我国将新资本协议转化为监管要求以来, 国内五家大型商业银行以及八家
15、全国性股份制银行, 都在以操作风险高级方法监管达标为基础来提升行内操作风险管理水平为目标, 积极探索和实践操作风险管理的新方法、新理念、新技术。其主要的改进和提升可归纳为以下几方面:一是建立全面风险管理架构。以前的操作风险管理, 分散在各个业务条线和流程中, 总行层面各自为政, 基层员工经常将合规风险与操作风险混淆, 对操作风险没有统一的认识和理解。引入全面风险管理理念后, 在总行统一的风险管理部门下设立了负责全行操作风险管理的处室, 对全行的操作风险统一进行评估、监测、报告、计量以及操作风险事件收集, 不但能与其他风险管理更好地联动, 降低关联风险损失, 还能从总体上把握全行操作风险情况,
16、构建操作风险轮廓。二是加强了操作风险与控制自我评估、关键风险指标监测和损失数据收集三大工具的运用和落地。这也是监管的操作风险达标要求。操作风险与控制自我评估, 主要体现事前控制理念, 由支行、分行人员结合业务实践进行判断, 并进行逐级汇总, 最后形成按条线、按产品的剩余风险地图;对于剩余风险较高的产品和业务, 构建关键风险指标进行定期监测;损失数据收集主要是建立自下而上的汇报机制, 并通过设立考核及激励机制, 鼓励分、支行人员及时上报操作风险事件及损失数据信息, 以避免出现瞒报、漏报。三是在建立新产品、新业务前期就对操作风险进行识别评估。改变之前侧重事中控制和事后收集的风险管理理念, 将风险管
17、理前移。即在新业务、新产品前期制定制度或设计流程和控制措施时, 就由业务部门和风险管理部门一起进行风险识别, 并对可能产生的损失事件制定控制措施, 做到风险管理全流程跟踪业务发展。四是利用外部数据, 把好操作风险第一道关。近年来, 随着线上业务的不断发展, 作为操作风险管理第一道关的业务部门, 以前主要以控制合规风险来控制操作风险的单一手段已经很难适应业务的发展。鉴此, 银行开始通过以与外部互联网金融服务公司进行大数据合作的方式, 在业务准入时从多维度核实借款人的信息, 如近期交易记录、身份信息、学历、消费习惯等, 以降低外部欺诈导致的操作风险。五是及时开展风险预警。在以前分散管理模式下, 存
18、在各部门或业务条线瞒报操作风险事件的可能, 导致发生的问题不能及时反馈到总行, 也就无法对全行进行预警。为避免类似情况发生, 各行开始建立针对操作风险的报告和预警机制, 从而使总行能够及时得到问题的反馈, 并及时据此采取措施、下发风险提示等, 在全行范围内进行预警。六是与业务条线合作, 总结操作风险重要风险点及控制措施。操作风险是最易触发的风险, 存在于每个业务环节、每个岗位和每个产品中。对此, 操作风险管理部门将针对主要业务流程与环节设计的操作风险控制措施印制成册, 定期下发全行, 以提高全员风险意识和风险识别能力。三、基于贝叶斯网络的操作风险控制模型操作风险控制最基本的目标就是将潜在的风险
19、控制在机构的容忍度以内, 并实现对潜在操作风险的监控和及时预警。在这方面, 贝叶斯网络模型可以提供良好的统计分析框架:通过对历史损失数据进行统计分析, 得出损失数据主要风险诱因的先验概率, 并通过对最近发生的损失数据的后验分析不断调整模型的有效性和适用性, 找出关键风险诱因及影响程度。(一) 贝叶斯网络理论贝叶斯网络又被称为因果网络、信任网络、知识图等, 是在贝叶斯公式的理论基础上, 构建的以不确定的主观判断知识为依据, 通过不断获取的观测数据信息推导事物之间因果关系的理论模型。遗传学家 Wright 在 1921 年建立了一个基于有向无环图的概率模型, 这是贝叶斯网络的原型。1988 年 P
20、earl 明确地提出了贝叶斯网络。贝叶斯网络能够用先验概率和条件概率把各种相关信息纳入到同一个网络结构中, 直观地反映各节点之间的因果关系和条件关系, 特别适合对不确定、不完全或不精确信息的处理。其既可以根据网络中某一个节点的状态, 进行正向或逆向的推理, 也可以根据新观测到的数据不断调整各节点的状态, 提升对不确定性问题处理的有效性。(二) 贝叶斯网络构成贝叶斯网络是一系列因果变量联合概率分布的图形表示。主要包括两个部分:一是贝叶斯网络的结构拓扑图, 即是一个线性、有向无环图。图中每个节点代表相应的变量, 节点之间的连接关系代表了贝叶斯网络的条件独立关系。二是节点和节点之间的条件概率表, 即
21、一系列的概率值。 (贝叶斯网络的几种常见构成关系见图 2) 图 2:贝叶斯网络的常见构成关系 下载原图假设给定线性有向无环图 E 和随机变量集 B=B1, B2Bn, 这里的 Bi 是 n 维向量。贝叶斯网络表明了 B 上的联合条件概率分布, 表述为 BN=。其中:E 的节点对应有限集 B 中的随机变量 B1, B2Bn, 线代表节点之间的依赖关系。如果节点 Y 指向节点 X, Y 叫作 X 的父节点, X 叫做 Y 的子节点;没有父节点的节点叫作根节点。P 表示贝叶斯网络的概率参数。一种是每个节点的先验概率或无条件概率, 用 P (Bi) 表示;另一种是对于子节点来说, 还要先确定在父节点不
22、同状态下的条件概率。为了使问题简化, 在利用贝叶斯网络研究复杂因果网络时, 一般只考虑直接因果关系, 而不考虑间接因果关系。其基本思路是, 每个子节点 X 可以找到对应的子集 D, 该节点发生概率仅依赖于 D, D 的范围远远小于 B, D 就是 X 父节点的合集。(三) 贝叶斯网络模型假设条件及优势一是简化计算, 可操作性强。完整的概率模型必须具有表示所研究变量的联合分布即条件概率的能力。完全的联合分布表需要指数级的规模, 而贝叶斯网络由于假定了条件独立性, 因此只需考虑与该变量相关的有限变量, 在推理计算时, 也只需关心与节点相邻的局部网络图, 即只要知道节点的相关节点状态, 即可估计该节
23、点的发生概率。所以贝叶斯网络可以将复杂的联合概率计算简化为一些局部概率的乘积, 从而大大简化了问题的求解难度, 使得许多复杂问题能得到可行的解决方案二是可以有效利用先验概率信息, 实现定性判断和定量模型相结合。从贝叶斯公式可以看出, 后验概率是用测试数据修正先验概率得到的。也就是说, 可以通过不断获取测试数据而使先验概率不断得到完善。随着计算次数的增多, 先验信息的影响会逐渐减弱, 样本信息的影响会更加显著, 后验信息也就更趋近于实际。贝叶斯网络的过程与人的学习过程很相似, 先根据生活经验对事物做出总体判断, 然后进行学习, 也就是获取测试数据的过程, 再根据学习得到的结果调整对事物的经验判断
24、, 使得对事物的认知不断接近事物的本相。三是可以在数据信息不完备的情况下开展工作。利用贝叶斯网络方法建模, 无需在建模开始就具有完备的数据集。这点特别适合银行等金融机构对操作风险的控制和管理。商业银行操作风险基本涉及银行的所有业务, 覆盖范围广、控制流程长, 产生机理和结构分布非常复杂, 简单的概率推理难以清晰地反映操作风险中的复杂因果关系;而贝叶斯网络可以通过有向无环图表达关键风险诱因、关键风险节点和关键风险指标之间负载的因果关系。四是可以进行情景分析和动态监控。采用贝叶斯网络模型, 可以在模型构建后不断地根据操作风险的变化情况对数据进行分析, 以进一步发现多个关键风险诱因是如何对一个关键风
25、险节点进行作用的, 及其影响程度。这可也为选取最合适的控制措施提供参考信息和建议。(四) 贝叶斯网络建模思路为更为有效地管理操作风险, 必须要识别所有可能影响到操作风险的相关因素 (即银行业务运行中的“关键风险诱因”) , 或根据操作风险管理特点进行分类。好的操作风险控制就是通过对这些识别出来的“关键风险诱因”进行控制, 以预防为主, 减少操作风险损失事件的发生。由于操作风险管理的建模, 既需要主观判断也要对客观条件进行分析, 因而即使针对同一家银行的操作风险管理, 建立的贝叶斯网络结构模型也可能会有所不同。此外, 建模时还要考虑银行自身业务的特点和所处的环境, 以及在操作风险控制方面的水平和
26、能力;同时, 在操作风险控制中应用贝叶斯网络模型时, 也需要进行一定的抽象处理, 不能面面俱到, 可以在风险识别工作成果的基础上, 对内部损失数据或行业损失数据以及宏观经济形势、银行业务特点等进行重点建模、分析, 以实现对可能导致的非预期损失的风险事件进行控制、预警。(五) 贝叶斯网络建模步骤1. 构建网络拓扑结构。首先, 明确贝叶斯网络的建模范围及边界。其次, 确定基于操作风险控制的贝叶斯网络拓扑结构, 该结构应能覆盖希望控制的操作风险的重点业务、重点环节、重点人员、重点流程及重点系统, 并尽可能简化, 提升网络模型的实用性和可操作性, 确定出各个节点之间的因果关系。2. 关键风险节点赋值。
27、这一过程就是给每个关键风险节点赋予统计量, 也就是确定主观概率。一般有三种方法:一是对事件进行对比确定相对似然性;二是利用专家意见来确定主观概率;三是利用历史资料或数据确定主观概率。对比确定相对似然性适合较为简单的贝叶斯网络, 如新产品是否可以投产等;专家意见则是比较常用的。3. 数据分析。分为自上而下和自下而上两种方法进行推导:一是对于反应业务操作风险水平的关键风险指标, 它的概率情况将通过贝叶斯网络正向获取;二是对于某一个风险诱因进行情景分析, 调整该风险诱因的发生概率, 观测对相关关键风险节点的影响。(六) 操作风险控制模型构建1. 确定关键风险诱因及关键风险指标在利用贝叶斯网络操作风险
28、建模时, 首先要选择各个关键风险节点, 可分为三大类:一是关键风险诱因节点。这类节点是直接导致操作风险的风险源, 反映的是引起风险的随机因素, 以商业银行资本管理办法 (试行) 附件 12 的操作风险损失事件分类为范围。二是风险关键指标节点。这些节点也是风险控制的目标。在商业银行实际操作过程中, 这些节点可通过以下过程进行获取。首先, 对银行内部各主要业务部门的工作范围进行梳理, 归纳出主要业务条线。业务条线的划分可以参考商业银行资本管理办法 (试行) 中对银行主要业务条线的划分:主要包括公司金融、交易和销售、零售银行业务、商业银行业务、支付和结算、代理服务、资产管理和零售经纪, 并根据银行实
29、际部门设置情况和经营业务进行调整和补充, 然后对各主要业务条线进行操作风险控制与自我评估 (RCSA) , 根据评估出的较高剩余风险分布情况, 找出关键业务流程, 作为设置关键风险指标的基础 (见表 1) 。其次, 在关键业务流程的基础上, 根据专家判断及同业及内部历史损失数据情况, 抽象提炼出作为操作风险控制目标的抽象关键风险指标, 并结合行内数据可获取性、可操作性等特点, 进行优化, 转变为适合的表达形式 (见表 2) 。三是中间节点。在构建贝叶斯网络模型时, 在初始关键风险诱因节点的触发下, 可能需要先形成中间节点, 再反映到关键风险指标节点。中间变量的设置对整体的控制效果非常重要, 因
30、为关键风险指标节点对不同的风险诱因节点往往存在不同的响应, 而中间节点类似于风险诱因到关键风险指标的转化路径, 一般由熟悉业务操作风险特征的专家选取中间节点的关键业务环节或风险因素 (关键风险诱因、中间节点及关键风险指标节点的关系见图 3) 。图 3:贝叶斯网络模型节点关系架构 下载原图表 1:银行主要部门及业务条线与关键业务流程对照 下载原表 表 1:银行主要部门及业务条线与关键业务流程对照 下载原表 表 2:关键业务流程及关键指标对照 下载原表 表 2:关键业务流程及关键指标对照 下载原表 2. 模型构建路径(1) 构建关于客户投诉的贝叶斯网络。产生客户投诉的关键风险诱因主要包括产品缺陷、
31、强行销售、违规披露零售客户信息、不当的客户纠纷处理、交易系统中断等, 主要通过内部流程因素、人员因素及系统因素, 传导到针对服务质量的客户纠纷的关键风险指标上来 (见图 4) 。图 4:客户投诉关键风险指标贝叶斯网络拓扑 下载原图(2) 构建关于员工流失的贝叶斯网络。产生员工流失的关键风险诱因主要包括薪酬福利偏低、专业培训不足、违反员工健康及安全规定事件、歧视事件、内部管理混乱等, 主要通过培训管理、人事政策、企业文化等, 传导到针对员工流失的关键风险指标上来 (见图 5) 。图 5:员工流失关键风险指标贝叶斯网络拓扑 下载原图(3) 构建关于信用卡交易欺诈的贝叶斯网络。产生信用卡交易欺诈的关
32、键风险诱因主要包括客户信息调查失误、未提出合理的专业审查意见、外部伪造、外部欺诈、交易或业务执行中违反法规等, 主要通过内、外部原因传导到信用卡交易欺诈关键风险指标上来 (见图 6) 。图 6:信用卡交易欺诈关键风险指标贝叶斯网络拓扑 下载原图四、模型运行效果检验(一) 为贝叶斯网络中各关键节点赋值1. 风险关键诱因节点的赋值根据监管操作风险事件类型划分, 结合专家判断并参考近年媒体公开报道操作风险事件, 对一级、二级和三级关键风险诱因概率进行先验概率设置, 并对各关键风险诱因进行编码。鉴于贝叶斯网络的特性决定了其对小概率事件的控制能力相对较差, 同时也为体现重要性原则, 本文将着重研究内部欺
33、诈、外部欺诈、执行交割及流程管理, 以及客户产品及业务活动 4 大类主要关键风险诱因 (见表 3) 。表 3:关键风险诱因节点概率 下载原表 2. 中间节点的赋值中间节点因关键指标不同而不同, 且与部门及业务特点结合得较为紧密。在业务条线操作风险控制的贝叶斯网络拓扑图建好后, 一般由业务部门专家组进行先验概率及条件概率的设定。中间节点的风险状态可以分为高、中、低三种状态。3. 关键风险指标节点的赋值关键风险指标节点的状态一般也分为高、中、低三种状态。关键风险指标节点的概率是根据相关父节点的先验概率和条件概率计算得出的。贝叶斯网络的初始状态是为了确定关键风险指标的触发程度, 以便在指标出现较大变
34、化时, 可以及时发出预警。(二) 构建贝叶斯网络操作风险控制模型以“信用卡交易欺诈”关键风险指标为例, 采用图 6 的贝叶斯网络拓扑图, 涉及的关键风险诱因节点为客户信息调查失误、外部伪造、外部欺诈、未提出合理专审意见和违规操作;涉及的中间节点为客户信息核实和信用额度确认。各节点具体的先验概率和条件概率, 均可在 Hugin lite 软件中进行设置, 先验概率以表 3 中三级关键风险诱因为参考。此外, 为符合软件规定的变量命名的要求, 将各节点进行英文缩写编码, 并用 Y 表示风险诱因已发生, N 表示风险诱因未发生。 (具体设置见表 4、表 5) 表 4:两状态节点英文简称及先验概率编码 下载原表
