大数据的应用是这几年越来越热的话题。特别是2015年7-8月,国务院连续发了两个文件,一个是《国务院关于积极推进“互联网+”行动的指导意见》,另一个是《国务院关于印发促进大数据发展行动纲要的通知》。这两个文件发布以后,大数据的应用更引起了各行各业的关注、重视,许多部门、企业和研究机构都在积极地研究这个问题。
大数据可以应用于银行业务的很多方面,例如金融产品研发、市场营销、客户关系维护、银行内部管理、机构网点建立、员工绩效考评等等。但是最重要的还是应用于银行的风险管理。
《巴塞尔协议》与银行风险
巴塞尔委员会最初是由10个发达国家发起的。实际上对全世界各国的银行来说,巴塞尔委员会通过的决定、颁布的协议,应该说并不具备法律效力和法律约束力。但是如果银行不理它,进入国际金融市场就会受到限制。如果银行要到某一个国家去开分支机构,人家马上就问,你这银行风险大不大?信用风险有多大?市场风险有多大?操作风险有多大?你们国家现在有没有执行《巴塞尔协议》?如果执行了双方就有了统一的对话基础。比如说,银行的资本充足率,一级核心资本的充足率,核心资本充足率是多少,双方所讨论的数据概念是统一的,否则就无法讨论。发达国家的金融监管机构普遍实施的是巴塞尔的标准,对于那些没有执行这个标准的银行,暂时不被允许在当地开设分支机构。
巴塞尔委员会明确要求,银行能够基于自己的数据,运用自己的模型,对各项业务的风险参数进行逐笔的测算,用以计量业务的资本占用,并应用于风险管理的各个领域。也就是要求银行建立切合自己实际的风险识别和计量的体系,风险不仅要能够识别,而且还要能够计量,不计量就没有办法管理,这就是巴塞尔委员会的所谓“内部评级法”的概念。
所以,中国工商银行对本行内外的各种数据进行积累、清洗、筛选和加工,根据数据建立具有针对性的模型,分析并且预测风险,成为中国工商银行建立一个合乎国际监管标准的银行所必须具备的基本功,或者说是必须达到的基本条件。从2003年开始,工商银行启动内部评级法的工程,历时十多年的时间。先后经历了中国银监会历时4年的四轮评估,以及巴塞尔委员会组织的国际同行的评估,于2014年4月,正式成为实施资本高级管理方法的银行。因为资本管理有很多办法,高级法、初级法等等,3种风险有3种不同的方法。工行正式成为实施高级法的一个银行,标志着其数据建设在风险管理方面获得应用。所以要达到这个标准确实不是一日之功。
银行主要有三大风险:信用风险,市场风险,操作风险。控制信用风险必须有客户的数据、债项的数据、交易的数据、外部的数据等等。在信用风险方面,这些数据主要用于客户评级、债项评级、地方政府评级、国别评级、零售业务评级、组合管理、贷款自动化审批、抵押品的自动化估值、风险的监测预警、压力测试等等。控制市场风险要有市场数据,头寸的数据,还要有各种参数的数据,用来开发市场风险的计量模型,决定市场交易的限额,对市场风险进行压力测试,然后对每个产品进行控制等等。控制操作风险必须要有本行内外的损失数据、行为数据,用于反欺诈、反洗钱、运营风险的内部控制等等。
银行风险管理中的“大数据”和“小数据”
大数据在银行风险管理应用中的条件及特点
大数据在风险管理中的应用需要具备一些必要的条件,否则就无从谈起。第一,要有海量的基础数据。工商银行现在有5亿个人客户,有400万户法人客户,有长达近20年的海量业务数据的积累。第二,要有统一的管理模式。如果管理不统一,不是统一评级的客户、统一的授权、以及对客户统一的授信,如果不能实现集中的监控,大数据就搞不起来。第三,必须有刚性的系统控制。统一的管理模式必须体现在系统的刚性控制上,个人即使想改也不能奏效。要实行评级控制、授权控制、审批控制、限额控制、风险调整后的资本收益控制、规模控制等等。第四,要有比较严格的数据清洗的流程。数据的标准要统一,数据的更新要有规则,数据要能够验证,要有数据质量控制平台等等。有了这些基础以后,大数据在风险管理中才能得到比较广泛和深入的应用。
银行风险数据管理的应用特点,在于它必须是多维度的,一是静态和动态的数据要相结合,不能只看资产负债情况,还要注意它实际的变化情况;二是微观、中观和宏观的数据要结合,不能只看企业的情况,还要注意行业情况,以及注意整个经济的发展情况;三是结构化和非结构化的数据要结合,银行有大量的结构化数据,如存贷款、交易结算等,此外还有大量非结构化数据,如产品信息,企业管理层的情况,抵押品变化,抵押地点等等,这些非结构化数据要和结构化数据结合起来。四是行内行外的数据要结合起来,行内数据包括我们本行的业务数据、存款、贷款、结算、代发工资等等;行外数据包括公积金、征信情况、水电表的情况、公检法的数据、工商税务的情况、海关统计等等。这些数据都要结合起来。
大、小数据的融合是提升银行风险管理的关键
除了上面说的“四个结合”,更重要的是“大数据”要和“小数据”相结合。实际上,大数据有大数据的长处,也有大数据的不足;小数据有小数据的不足,但是也有小数据不可忽略的优势和必须应用的理由。比如,传统的小数据有经典的数理模型,有比较成熟的数据分析统计的理论和方法,方法论是解决了的,技术上也没什么问题,数据挖掘的方法早就成形了。但是大数据到今天为止,管理理论、分析方法都还在摸索的阶段,并没有完全的成形。另外,和小数据相比,大数据数量越大,噪音相应地也就越大。甚至往往是数据大幅增加的时候,它的噪音的增长幅度要快于数据量的增长幅度。大数据的挖掘成本是比较高的。再者,大数据反映的是一些相关关系,而小数据通过分析比较更容易直接得出因果关系。相关关系并不能简单地取代因果关系。
大数据和小数据的区别需要明确。不要把大数据和小数据误解为数据量的区别。并不是因为它数据少,所以才叫它小数据。过去一些数据并不小,为什么不叫它大数据呢?主要是小数据的数据形态比较单一,是传统的二维表方式所反映出来的结构化的数据。应该说,它抽取了现实世界中最核心的一些内容。与大数据相比,小数据具有单位信息容量比较大的显著特点,因而具有更多的价值。
比如银行的结构化数据,我们通常把它归结为小数据。一个客户到银行来买了一个产品,肯定在银行业务系统中有记载,这个购买行为记载下来的就形成一个小数据,它反映了这个业务的最终结果。但是客户购买行为的路径,特别是客户之所以要购买这个产品的决策过程,甚至客户的心理活动过程,是结构化数据或者说小数据是无法反映的。但是,大数据有的时候就能够反映出这种行为的路径,反映出这个行为的决策过程。尽管银行和客户发生了交易的事情是最实质的,也是银行最需要了解的,但是如果我们能了解客户的决策过程,了解他们行为路径,那不是更好吗?无论是从提升银行的服务水准,还是防范银行的风险角度来说,都是有意义的。如果想要把客户购买银行产品、接受银行服务的整个路径都反映出来,离开大数据都是做不到的。所以大数据和小数据确实各有特点,各有长处、短处。简单地以此来取代彼,并不是很科学的态度。只有把它们两者融合起来,把小数据分析方法的完备性、准确性和大数据的多维性、及时性融合起来,可能就会给银行的管理带来质的升华。
银行三大风险管理
下面就银行业务的三大风险,即信用、市场、操作风险分别阐述一下数据管理在其中是怎么发挥作用的。
信用风险管理
在信用风险管理方面,工商银行基于自己掌握的数据和模型,建立了包括客户评级和债项评级在内的二维评级体系。这个体系评级完成以后,可以用于政策的制订、贷款审批、授信额度的确定,以及贷后的管理等等。更重要的是,它可以用于定价,利率市场化实现之后,在基准利率基础上,加上风险溢价,就可以成为贷款的价格。
客户评级。工商银行的客户评级模型有34个。我们把法人客户分成7大类。比如要分开大型企业、小型企业,新办的企业和老客户。通过34个法人客户的评级模型,工商银行实现了对所有法人客户违约概率的计量。这些数据的积累已经长达10年以上。
债项评级。(黑体)客户一旦违约,就要对每一笔债项的损失大小进行预测。因为客户违约以后,并不意味着他所有的债项都会遭受百分之百的损失,也不意味着每个债项是等比例损失。设定了优先受偿权的——比如有抵押的贷款,它的损失率和无抵押的信用贷款就不一样,所以要逐笔对债项违约的损失率进行测算。因此对一个客户的信用风险计量,只有对客户进行了评级,同时对债项进行了评级,并且把这两个评级综合起来看,才能够对信用风险进行完整的计量。现在工行的债项评级就是搞违约损失率的评级,工行积累的是2001年到2014年长达14个年度的数据,覆盖了全行175个信贷产品。工商银行把信贷管理系统、押品估值的评估系统和不良贷款清收管理系统这三个系统数据形成损失数据集,然后用来搞债项评级。现在工行有几百万户法人客户基本信息,1700万条财务数据,717万条合同债项数据,730万条风险缓释的信息,3200万条回收的记录。为什么说数据将来就是资产,数据就是资源,就是这个道理。不经过一段的积累、沉淀,不可能有这么多有效的数据。
组合风险管理。除了客户评级、债项评级以外,对法人客户还有一个组合风险管理。就是除了看这个法人本身以外,还要看其所处的行业、产业和地域。如果是上市公司,还要关注其市值波动。最近中央提出,要高度关注供给侧的改革。供给侧的改革其中一个很重要的内容就是对过剩产能的淘汰或者压缩。过剩产能的压缩讨论了很多年,一直很难推进,其实这是个很复杂的问题。在判断信用风险的时候,除了风险信息、损益信息、资本市场信息以外,还要高度关注它的属性信息。比如说,过剩产能有绝对过剩的行业,还有相对过剩的行业;在相对过剩或绝对过剩的行业里,都会有龙头企业和非龙头企业,也就是说,有先进的产能和落后产能;过剩产能里有先进的工艺,也有落后的工艺。而作为银行来说,则要管好自己的信用风险。银行贷款能贷给谁?不贷给谁?在压缩过剩产能的时候,银行还能不能给这些行业里的某些企业提供贷款?过去有说法称之为“区别对待”,“扶优限劣”等等,实际上大体就是说,要关注一个客户的属性信息,然后来科学地判断这个企业本身的风险。
我们过去的说法,要么“一刀切”,要么就统统放开。我认为中国这么大,必须“一刀切”下去,但是这“一刀”下去要有点“豁口”,但是“豁口”不能多,一多就不是“刀”了,成了“锯条”了。现在提到要“精准调控”,实际上就是要注意利用数据,利用掌握的信息来关注,全面的分析、把握客户的信用风险。
市场风险管理
市场风险指的是银行由于面临市场因素,比如说汇率、利率、股票指数、商品、大宗商品价格等等的波动,银行用于交易资产的价格会发生变化,而由这个变化所带来损失的可能性。换句话说,就是银行面临的各种交易产品、交易工具的市场波动和价格变化所可能带来损失的风险,称之为市场风险。
现在工商银行在海外的42个国家都有营业机构,再加上工行是南非标准银行的控股股东,而南非标准银行又在近20个国家有分支机构,这样加在一起,实际上工行在将近60个国家设有机构。国内、国外每天都在发生着海量的市场交易行为。如何控制这个风险?如果控制不住,它所带来的风险是不可想象的。工行现在已经建立了基于集团层面的、全口径的、覆盖全市场的、大数据的全面风险管理架构。不同的国家处于不同的时区,使用不同的语言,而且不同国家的监管规则还有差异,在这个过程中,整个市场风险的管理又要能够适应这样的复杂情况。通过几年的部署,市场风险的管控机制都已经基本建立起来了。现在工行每天从外部采集11650多个产品或者风险因子,包括汇率、利率、商品、各类市场价格和市场信息。市场数据库每天接收的实时数据量达到210万条,通过比较先进的数据清洗、筛选功能。现在有超过1亿4000万条的数据,存储在市场数据库里面,每天供我们的中后台来分析、运用。数据分析应用覆盖了工行的交易管理系统、风险计量系统、产品控制系统、交易对手信用风险计量系统、资产负债管理系统、财会公允价值计量系统等等。
2015年前三季度,工商银行交易账户的交易量达到15万亿人民币,日均交易量是800多亿人民币;境外机构2014年一年的交易量是7000多亿美元,日均交易量超过200多亿人民币。如此大的交易量,如果没有这样一个系统,想要控制住交易风险,算出每天各类产品的估值,那是不可能的事情。这么庞大的交易量形成了几万个投资的组合,不同的层面、不同的机构、不同的交易员,都能造成组合的差异。比如,同样在总行市场部,A交易员和B交易员的操作方法是不一样的,这就形成了A的组合和B的组合。而工行全行每天大概有近万个投资组合,1万多个风险因子,覆盖了外汇、利率、大宗商品、信用等等交易系统。工行现在有100多个风险的计量参数, 700多个压力测试的情景,这一切的实际目的就是为了管住在市场交易中存在的风险。
建立市场风险的管理系统以后,通过市场数据库、交易数据库、计量参数库,现在可以做到7个“每日必做”,即:1.每日对交易头寸和敞口进行定价的估值和损益的计算;2.每日计量各个层级的VaR值,就是风险值,也就是当天最大的损失值;3.每天对交易组合进行限额监控,就是看有没有超限额的;4.每天对各层级进行压力测试;5.每天用市场损益对VaR值进行返回检验,要看这个压力测试是不是准确,要返回检验;6.每天实时的自动计量标准法和内部模型法的资本占用;7.每天生成各种数据报告。只要能做到这种7个“每天”,就能确保市场交易的各个行为能够符合我们自身的风险偏好,符合事先确定的限额要求。
工行每天用这个系统进行海量的运算,比如说我们用最近一年250个交易日的市场波动情况和过去10年进行对比,按照现在的投资组合分析对工商银行最不利的市场情况,预测在一定的置信区间,比如99%的置信区间下,会发生什么现象。我们还设定了700多个场景,比如说1997年亚洲金融风暴,2008年美国金融危机等都是700个产品所设定的场景之一。有了这一办法后,我们对每一个流程、每一个产品都可以通过业务预测、通过组合、通过定量测算,来算出它的VaR值,然后再确定权限,就是限额。某个交易员有多大限额、海外分行有多大限额,然后通知各交易岗位,按照这个阈值来实施。多少个交易组合、多少个分行、多少个交易员,每个人每时每刻都处在这个限额的管控之下,如果个人要超出限额来操作是不可能的。
除了限额管理,市场风险更重要的是要进行压力测试。我们挖掘了1987年以来所有的市场数据,提炼成700多个符合工商银行自身情况的情景,这些情景设定包括了美国股市崩盘、亚洲金融危机、美国次贷危机等等。然后设计模型,测算极端情况下工商银行将承担多大的损失,每天会承担多少等等。这个系统能估算3000多个产品,频率是每天都要进行这样的计算,最后形成报告,每天要反映给交易人员和管理者,每个季度要向董事会报告压力测试情况。这套系统可以把所谓的“黑天鹅”关起来。
市场风险看上去似乎比信用风险要虚一点,实际上风险损失也是很大的。以巴林银行为例,巴林银行历史很悠久,信用很好,连伊丽莎白女王的理财产品本来也是交给它做的。1995年,一个号称“天才”的交易员里森,买日经指货亏损了,其实一开始就是2亿英镑,还不至于把这个银行搞垮,但是由于银行的限额管理、交易行为管理出了问题,里森顾及自己的面子,加之交易人员想翻本的这种心理,大量的再投入、再买进,最后一败涂地。最终里森不仅自己坐牢了,拖累整个巴林银行也破产了。前几年,法国兴业银行业损失72亿美元,主要原因就是超限额交易、虚假交易。瑞银集团也是遭受20多亿美元的损失,最后CEO辞职,交易员判刑。这些都是市场风险的惨痛案例。所以市场风险的管理必须分事前、事中、事后3个阶段。
事前管理就是通过数据、信息系统实现“12个防止”,禁止非交易人员违规开展交易,防止单笔交易超权限,防止累计交易超权限,,防止价格明显的偏离市场,防控与交易对手过度密集交易,防止与反洗钱的黑名单机构误做交易,防止涉及卖出和借出的债券等资产的交易出现透支,禁止交易对手无授信和超授信的交易,防止交易出现超出国别风险的限额等等。这“12个防止”不仅是自己认识,不只是制度,而都是系统里设定的。比如说,交易员的限额是设定好的,想超出限额系统自动就不能过去。不仅订单过不去,风险防控部门还会马上就知道,就会来核查是误操作,还是交易员想故意闯关。
事中管理是指交易过程中必须要有复核。这个复核不是指过去银行那种人工复核,你做了我再做一遍,或者单据上我必须盖个章,这种复核完全是流于形式。现在的交易复核完全是系统操作的,监督人员和交易员是隔离的,坐都不在一起。在物理上就隔离开来了,以防止各种舞弊现象的发生。工商银行每年的复核比数大概超过40万笔。
事后管理也要有检查,产品控制、对账、市值验证,比如昨天这笔交易价格为什么和市场差那么多,到底是什么问题,损益的计算和分析,有没有利益输送,交易价格的监测等等。
总之,市场风险管理就是把事前、事中、事后的各种因素都关联起来,真正的目的就是为了防止里森、法国兴业银行之类的“黑天鹅”事件发生。
操作风险管理
总体来说,按照国际上的统一定义,操作风险就是由于不完善的具有问题的内部操作程序、人员、系统,或者由于外部事件所造成的银行的风险,称其为操作风险。比如说洗钱问题、欺诈问题等等,这些都是操作风险。操作风险的防控、计量是比较难的,每年工商银行的损失可能并不大,但是操作风险如果按照巴塞尔规定计量下来要占用资本高达几百亿。现实中这样的计量方式是不太合理的,但是国际上就这套实行办法来操作,也行处于审慎原则。
(编辑 迟晨光)
