恶意行为所致操作风险生成机理:基于欺诈与防范的博弈分析
巴塞尔新资本协议中将操作风险列为与市场风险、信用风险相并列的三大风险之一,同时明确地将操作风险损失分为内部欺诈、外部欺诈、就业政策和工作场所安全性、产品客户及业务操作、实体资产损坏、业务中断和系统失败、执行交割及流程管理等七类。内部欺诈和外部欺诈两类风险在全部操作风险事件中所占比例较大,造成的损失也是巨大的;在风险致因和形成过程方面相似性比较明显,均具有隐蔽性较强等特点,本文将它们统称为:恶意欺诈行为所致操作风险。
对于欺诈行为存在与发生的认识,可以从不同角度进行研究,如:张理智等人认为,对欺诈行为的研究,应从行为者本质入手的观点,并提出基于成本收益分析的价值判断才是欺诈行为者是否采取欺诈行为的理性所在;谢平等人认为,对于欺诈行为与犯罪的认识,应从我国的金融环境,即金融犯罪的“土壤”等问题入手,其在广泛调研后发现金融犯罪在于“非规范融资行为”(寻租腐败为其伴生物)的普遍存在;Bologua等人提出的舞弊风险因子理论,将舞弊风险因子分为个别风险因子与一般风险因子。个别风险因子是指因人而异,它是组织控制范围之外的因素,包括道德品质与动机。一般风险因素是指由组织或实体来控制的因素,包括舞弊的机会、舞弊被发现的概率以及舞弊被发现后舞弊者受到惩罚的性质和程度。当一般风险因子与个别风险因子结合在一起,且舞弊者认为有利时,舞弊行为就会发生。
笔者认为,“本质”和“土壤”,分别是欺诈行为的内因和外因,可视为实施欺诈行为的动机和机会,其二者均是欺诈行为的必要条件,是潜在操作风险的影响因子。恶意欺诈行为一般属于高智商犯罪,其发生与否,还取决于实施欺诈行为的一方对恶意欺诈行为成功的可能性和失败所受的处罚的判断和权衡,以及其与金融机构之间的博弈。
二、恶意行为所致操作风险形成过程的博弈分析
(一)基于欺诈行为者与金融机构利益关系的策略分析
一般而言,欺诈行为存在是否实施两种可能,防范一般也存在成功与失败两种结果。
对于金融机构来讲,当其遭受欺诈时,如果防范无效或防范失败,均可导致其收益、声誉、竞争能力等方面的降低和客户的流失,继而发生损失。如果防范成功,则金融机构将会获得收益、声誉、竞争能力、客户等方面的增加,从而提高其自身价值;但是在防范欺诈的过程中会有成本支出,只有在金融机构疏于防范时才没有成本发生。不论金融机构是否进行有效的防范,只要没有发生欺诈行为,在外界看来其自身价值均不会减少,并有可能增加。
对于欺诈方来讲,如果欺诈行为成功,其将获得一定的非法利得;如果欺诈行为被发现,则受到一定的惩罚。一般来讲,只有在金融机构不设防的情况下,实施恶意欺诈行为基本上会成功;当其实施善意行为时,其既不可能获得非法利得,也不可能受到处罚。
由此可见,在恶意欺诈的过程中,基于经济或其他方面的利益,欺诈方和金融机构之间,还应存在着欺诈行为与防范行为的博弈关系。此博弈关系利益—策略矩阵如图1所示:
从双方的利益——策略矩阵可以看出,此博弈不存在纯策略纳什均衡。这是因为:从金融机构这一方看,在对方实施善意行为时,采取疏忽行为时获利最大,在对方实施欺诈行为时,采取成功防范策略是最优策略。从具有欺诈行为倾向的一方看,当金融机构疏于防范时,采取欺诈行为是最好的选择;当明知金融机构采取成功的防范策略时,实施善意行为是明智之举。
从上述分析可以看出,欺诈行为者与金融机构的利益得失,不仅取决于自己的策略选择,更主要的是依赖于对方的策略选择。因此,对于我国金融机构来讲,防范恶意欺诈行为所致的操作风险是一项长期不懈的工作。
(二)影响欺诈行为者与金融机构博弈策略的关键诱因
从上述分析可知:一方的决策行为,受到另一方的行为概率的影响,下面笔者用图解的方法展示博弈双方各自的混合策略。
1.欺诈行为的混合策略分析。
欺诈行为的实施与否,决定于金融机构对欺诈行为的防范策略,金融机构的期望得益将影响其防范策略的选择与实施。如果欺诈行为者可以观察到金融机构的期望得益及其变化,那么,欺诈行为者的混合策略如图2所示。
图2的横轴表示欺诈行为的概率pv,其分布在0和1之间,选择善意行为的概率为1-pv;纵轴则反映对应不同欺诈行为概率时金融机构的期望得益。
由图2可以看出V到-L的连线与横轴的交点pv,就是欺诈行为概率的最佳水平,选择善意行为的最佳概率则为1-pv。V到-L连线上每一点的纵坐标,就是金融机构对应于欺诈行为概率pv的期望得益,即V(1-pv)+(-L)pv。假设实施欺诈行为的概率大于pv,此时金融机构疏于防范的期望得益小于0,因此,因金融机构必然选择防范的策略,对于欺诈行为的实施者来讲,必定受到处罚,因此大于pv的欺诈概率是不可取的。相反,如果欺诈行为的概率小于pv,此时金融机构疏于防范的期望得益大于0,其疏于防范可以节省防范成本,因此,这种情况下的欺诈行为不会被发现,欺诈行为将增加,迫使欺诈行为的概率会向pv移动。对于金融机构来讲,如不增加防范措施,将会引发操作风险损失。
2.欺诈行为发生的关键影响因素。
防范行为的实施与否也受欺诈行为者策略选择的影响,金融机构防范的混合策略如图3所示。图3的横轴表示疏于防范与失败的概率pa,其分布在0和1之间,选择防范成功的概率为1-Pa;纵轴则反映对应不同防范行为概率时欺诈行为者的期望得益。
此时欺诈行为者的期望得益为,-A(1-pa)+Gpa。当金融机构疏于防范的概率超过pa时,欺诈行为者的期望得益为正,受利益和机会的驱使实施欺诈行为时,金融机构必然会蒙受操作风险导致的损失。
通过对图2和图3的分析,可以发现金融机构疏于防范与防范失败是发生欺诈行为的决定因素。也就是说,针对欺诈行为者的冒险活动,只要金融机构存在疏于防范或防范失败的事实,必定会引起欺诈行为的实施,并导致操作风险的发生。由此可知,金融机构对欺诈行为的防范态度和实施效果是诱发恶意欺诈行为所致操作风险的关键因素。
三、金融机构防范恶意行为所致操作风险的最优策略选择
1.欺诈行为者与金融机构博弈的纳什均衡。
加入防范失败情况时,双方的博弈矩阵如图4所示。
通过对图4描述的博弈矩阵进行分析,可分别出欺诈行为倾向者和金融机构的预期收益,结合前述的欺诈行为混合策略(图2)和防范行为混合策略(图3)的推断,可分别得出欺诈行为倾向者和金融机构各自采取的最优策略的概率。即:
2.影响恶意行为所致操作风险防范效果的关键致因。
从金融机构和欺诈行为倾向者的最优策略选择可以看出,在防范成本、各方损失与收益既定的前提下,不论是欺诈行为最优概率pv,还是防范行为最优概率pc,均是由防范有效概率ps的大小直接决定的。
在操作风险管理实践中,防范有效概率ps就是金融机构防范行为有效性的概率表述,其在0和1之间变化。
如果ps接近于0时,表明金融机构的防范行为无效或失败,此时欺诈行为的概率pv最大,金融机构的操作风险损失最为严重。
只有当ps接近于1时,欺诈行为的概率pv最小,金融机构的防范概率ps也最小,防范成本和损失均小,表明金融机构获得的利益最大。
综上所述,金融机构的内部欺诈行为与外部欺诈行为发生与否,虽然有外部环境因素、利益驱动、惩罚力度等方面的因素影响,但那些均不是决定因素;只有金融机构防范行为的无效与失败才是导致欺诈行为发生,并引发操作风险的决定因素,这一点是毋庸置疑的。因此,对于金融机构来讲,只有提高防范策略的有效性才是降低恶意欺诈行为所致操作风险的唯一选择。对恶意欺诈行为防范有效性的提高,不仅可以尽早暴露风险,并且可以适当减少操作风险引发的损失和危害。
上述观点可以通过被《财经》杂志称为“2006银行第一大案”的银行黑龙江分行双鸭山四马路支行的操作风险的暴露过程可以证实,即:中行黑龙江分行落实“强制轮岗制度”后隐藏在水下的冰山自行浮出水面。
四、防范恶意欺诈行为所致操作风险有效性的策略探讨
一般来讲,恶意欺诈行为具有复杂性、隐蔽性和动态性等特点,金融机构对恶意欺诈行为所致操作风险的防范是一个复杂艰巨的系统工程,且防范效果受投入、技术、策略、文化等多种因素的制约,因此完全杜绝操作风险的发生是比较困难的,无法“毕其功于一役”。
金融机构操作风险发生率曲线基本呈U型状,与可靠性理论中的浴盆形状(bathtub shape)函数相类似。对于操作风险管理实践来讲,即使曾经有效的操作风险管理与防范的策略、机制、手段等,在长期实施过程中其效果也可能会削弱、无效或甚至失败。为此,金融机构在构建旨在防范恶意欺诈行为所致操作风险的管理体系时,应将防范策略执行力和有效性的提升列为首选任务。
结合理论分析和实践经验,笔者认为,要提升金融机构对恶意欺诈行为所致操作风险防范的有效性,至少应在文化、组织、制度、流程、预警、技术等方面着眼,并做好以下工作:
一是培育稳健风险文化。风险管理文化的建设是提升金融机构对恶意欺诈行为所致操作风险防范有效性的基础工作。风险文化是全体员工在从事业务活动时统一遵守的行为规范,其包括稳健的经营思想和理念、风险识别意识、自主的风险控制行为等方面内容。
二是构建健全的风险管理控制体系。健全的风险管理控制体系是提升金融机构对恶意欺诈行为所致操作风险防范有效性的前提保障。风险管理控制体系应能够涵盖所有的业务部门和支持部门。风险控制体系健全与否的评价标准是应能够满足其对风险行为的横向制约和纵向控制两方面的要求。风险管理实践表明,横向制约机制对内部欺诈行为所致操作风险的防范作用比较明显,主要以标准化的作业流程规范内部人员的操作行为,建立清晰的风险报告体系等。
三是编制严密的管理制度。在制定业务规章制度和操作流程时尽可能的详细,能清晰地界定各项制度的适用范围和执行顺序,避免制度真空和制度滥用;内控制度建设应与业务的保持同步,不断增强防范手段和管理缺席对风险点的覆盖密度,及时修改废止与现实不相适应的规章制度;重大风险事件的经验教训,发现并弥补制度设计和执行上的缺陷,不断完善操作风险管理制度体系。
四是可靠监督体系的运作。如保障内部稽核监督体系的独立性和权威性;构建一套行之有效的防范操作风险的监控程序,采取定期与不定期监测相结合的方法,以便快速发现并纠正管理操作风险的政策、程序和步骤中的缺陷,以减少操作风险损失事件的频率和程度;选择能反映风险特征和适应风险因子波动的操作风险预警指标,并使之体系化,以便为将来可能发生的风险损失提供早期预警;并合理地设定风险阀值,使其具有灵敏性和前瞻性。
五是创新风险管理技术手段。充分利用信息技术的成果,构建计算机管理控制系统,开发包括操作风险管理系统在内的信息管理控制系统,并为金融机构的各项业务活动提供运作平台,实现业务操作和管理的信息化,保证业务活动的公开透明、依法合规,最大限度地杜绝人为操作失误和恶意欺诈行为所致操作风险的发生。
六是选择适宜的管理机制和措施。从传统的双人复核制度、稽核审计制度,到近来流行的强制干部休假、轮岗以及定期走访客户等制度,实践表明均有助于金融机构提高对恶意行为的识别能力,尽早发现风险隐患,在最大限度上避免或减少恶意欺诈行为所致操作风险的发生。
:
[1]郭琼等.2006银行第一大案[J].财经,(总154期)2006:(5)
[2]林勇力.构建风险管理长效机制的路径选择[J].金融研究,2005:(12)
[3]韩雪萌.“拉网”排查降低案件发生率[N].金融时报,2006-3-9
[4]秦江萍.上市公司舞弊:国外相关研究综述与启示[J].会计研究,2005:(8)
[5]王晓春.激励缺失与内部人道德风险[J].金融研究,2005:(11)
[6]谢平,陆磊.金融腐败:非规范融资行为的交易特征和体制动因[J].研究,2003:(6)
[7]张理智.欺诈行为分析[J].甘肃社会,1995:(5)
