商业银行技术驱动型金融风险研究

技术与金融越来越体现出融合的趋势。本文提出技术驱动型金融风险的概念，以商业银行为研究对象，尽可能全面地梳理技术引发的风险点以及应对措施。研究发现两类八种64项风险点，其中，内生类风险普遍存在于银行所有风险领域，外生类风险具有隐蔽性和更大破坏性。

随着技术进步以及技术在银行业发挥越来越大的作用，技术无法再与金融完全独立，越来越体现出融合的趋势。在新型冠状病毒感染疫情冲击与全球金融动荡加剧的环境下，疫情期间金融扶持政策掩盖的金融风险以及缓释应对，已经成为全球关注焦点。达沃斯世界经济论坛金融科技团队已经连续两年对“技术、创新与系统性风险”进行跟踪研究。本文提出技术驱动型金融风险的概念，以商业银行为研究对象，尽可能全面地梳理技术引发的风险点以及应对措施。研究发现两类八种64项风险点，其中，内生类风险普遍存在于银行所有风险领域，外生类风险具有隐蔽性和更大破坏性。商业银行有必要从更高层面全面审视技术驱动型风险，加强风险管理方法对技术的内化，建立专业化风险管理团队，重点防范系统性风险，努力实现银行与技术的高质量融合。

技术驱动型金融风险的概念框架

近两年，金融业风险正从内生风险向外生风险转变。人们往往把技术对金融业产生的内生风险视为金融科技带来的风险，但对于技术对金融业产生的外生风险则缺少研究，特别是很少将内生风险和外生风险放在同一个概念框架下去研究。本文尝试描述技术驱动型金融风险（Technology-Driven Financial Risks，簡称TDFRs）概念。技术驱动型金融风险，简单来讲是指技术引起的金融业各类风险，具体到银行业而言，是指技术引起的银行业各类风险。本文参考巴塞尔协议Ⅲ中的8类风险，对11项技术进行逐项分析。

银行风险维度

银行业风险的种类划分尚无一定之规，学术界倾向使用风险主体来划分，如金融机构、金融市场和金融产品，但金融业更倾向用穷举法来划分银行风险，本文参考了巴塞尔协议Ⅲ中列出的8类风险。

信用风险，是商业银行面临的主要风险之一，具体是因债务人未能履行与银行的合同条款，或未能按照约定还款而对银行产生的当前或未来的风险。

市场风险主要包含三方面：（1）银行交易账户的利率风险和股票风险；（2）交易账户和银行账户的汇率风险和商品风险；（3）相关的期权性风险。换言之，市场风险是指表内外头寸因受股票、利率、汇率，或者商品价格的不利变动影响，而导致市值减少的风险。

运营风险，是指由不完善或有问题的内部程序、人员及系统或者外部事件造成损失的风险。本定义包括法律风险，但不包括战略风险和声誉风险。

银行账户利率风险，指为非交易目的和为套期保值而持有，表内外所有未划入交易账户的业务合约。银行账户利率风险是指利率水平、结构等要素的变动所导致银行账户资产、整体收益和经济价值遭受或有损失的风险。

战略风险，是指由于业务环境变化、业务决策不力、决策执行不当或未能及时应对业务环境变化而导致的当前或预期的收益与资本风险。简言之，战略风险即因企业不适当的业务策略或是企业营运环境的改变而导致的风险。

流动性风险，是指商业银行虽然有清偿能力，但无法获得充足资金或无法以合理成本获得充足资金以应对资产增长或到期债务支付的风险。流动性风险可以分为融资流动性风险和市场流动性风险。融资流动性风险是指商业银行在不影响日常经营或财务状况的情况下，无法有效满足资金需求的风险；市场流动性风险是指由于市场深度不足或市场动荡，商业银行无法以合理的市场价格出售资产以获得资金的风险。

声誉风险，是指一旦客户、交易对手、股东、投资人或者监管当局对银行持不乐观态度，从而导致当期和未来的收益或资本下降的风险。换言之，声誉风险一般指由于公众负面的评价，导致银行与客户关系终止及中断而产生损失的风险。

集中度风险，是指任何可能造成巨大损失（相对于银行的资本、总资产或总体风险水平）、威胁银行健康或维持核心业务能力的单个风险暴露或风险组合。风险集中被视作银行发生问题的最重要原因之一。集中度风险通常作为信用风险的一部分，指由于授信过度集中于单一客户，或基于共同风险因素的一组客户时导致的大额损失，共同风险因素包括行业、地理位置、产品类型等。

技术维度概念

本文分析了当前银行领域较热门的11项技术。当然，限于笔者当前的认知和未来可能不断涌现的新技术，穷举法分析可能还存在盲点，但框架是完整的，未来可继续补充。

开放银行，是通过应用程序编程接口技术，在银行与第三方服务提供商之间实现数据共享，将银行的金融服务全面融入各种第三方服务场景中，从而提升客户体验的平台合作金融业态。

量化交易，是指以先进的数学模型替代人为的主观判断，利用计算机技术从庞大的历史数据中筛选能带来超额收益的多种“大概率”事件以制定策略。量化交易极大减少了投资者情绪波动的影响，避免在市场极度狂热或悲观的情况下做出非理性的投资决策。

大数据，指的是所涉及的资料量规模巨大到无法透过主流软件工具，在合理时间内达到撷取、管理、处理并整理成为帮助企业经营决策更积极目的的资讯。

云计算，指的是通过网络“云”将巨大的数据计算处理程序分解成无数个小程序，然后，通过多部服务器组成的系统处理和分析这些小程序，得到结果并返回给用户。

人工智能（含机器学习、生物识别、知识图谱、模型可解释技术），是计算机科学的一个分支，它企图了解智能的实质，并生产出一种新的能以人类智能相似的方式做出反应的智能机器，该领域的研究包括机器人、语言识别、图像识别、自然语言处理和专家系统等。

区块链，是利用块链式数据结构验证与存储数据，利用分布式节点共识算法生成和更新数据，利用密码学的方式保证数据传输和访问的安全、利用由自动化脚本代码组成的智能合约，编程和操作数据的全新的分布式基础架构与计算范式。

物联网（含第五代移动通信（5G）），是一个基于互联网、传统电信网等的信息承载体，它让所有能够被独立寻址的普通物理对象形成互联互通的网络。

隐私保护技术（含差分隐私、同态加密、联邦学习、可信计算环境），是指能够实现数据处于加密状态或非透明状态下的计算，以达到各参与方隐私保护的目的。

量子计算，是一种遵循量子力学规律调控量子信息单元进行计算的新型计算模式。由于量子力学叠加性的存在，某些已知的量子算法在处理问题时速度比传统的通用计算机快。

信息安全（含黑客攻击、系统当机），是为数据处理系统建立和采用的技术、管理上的安全保护，为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。

去中心化金融（DeFi），是运行在公链（如以太坊）上的产品。由于DeFi运行在公链上，它是无须许可的、不可篡改的、可组合的，这意味着任何人都可以参与进来，都可以进行借贷、交易等金融活动。

技术驱动型金融风险的特点

技术驱动型金融风险具有交叉性和反身性。与银行传统风险一样，技术驱动型金融风险也存在交叉性金融风险和反身性金融风险。在本文里，交叉性金融风险是指技术驱动型金融风险同时涉及信用风险、市场风险、操作风险和流动性风险等主要风险中的两种（含）以上风险，或由于上述风险之间相互影响而产生的新型风险。从表1中不难发现，每种技术引起的风险种类都不止一种，可见，已知的技术驱动型金融风险都是交叉性金融风险。反身性金融风险在本文中是指技术引起的一种复杂金融风险，这种金融风险对另一种金融风险产生彼此冲击式影响，技术与金融的因果关系不完全独立，而是互相作用、互相决定。如大数据内生引发信用風险，缓释风险时用到了人工智能模型，而人工智能模型同样会反过来导致信用风险。这就是技术引发风险，风险缓释用到的技术又引发新风险，从而形成技术-风险-（缓释）技术-风险的恶性循环。

技术内生风险具有广泛性，技术外生风险具有隐蔽性。从表1分析可见，技术内生风险已覆盖所有风险类别，每一类风险都可能被技术导致敞口，这反映出金融科技发展的深化效应，技术对金融产生深刻影响，并已在一定程度上改变金融运转的逻辑，金融具有内化技术的强烈需求。表1中斜线部分代表处于技术外生的金融风险点，可见这些外生风险比内生风险更离散，不容易被发现和重视。最容易受到技术冲击的是信用风险，主要原因是数字经济异军突起引发的宏观经济结构调整带来银行存量资产结构风险。

引起最广泛风险的技术是人工智能，全面冲击已有的金融逻辑。在表1中，人工智能技术覆盖全部8类银行风险，并且在信用风险、运营风险中分别存在3项风险点。既反映出人工智能的负外部性尚未被金融业所掌控，也反映出人工智能在金融业的适用性优于其他技术。当前，以巴塞尔协议ⅢI为主要代表的主流银行管理模式，主要还是以职责定岗位，最终采用人来承担委托代理关系，存在道德风险和不确定性，也客观上为金融成本设定了下限。人工智能是目前最有前景打破这个金融成本下限，提高金融效率和稳定性的技术之一。另外，银行遵循的巴塞尔规则对贷款预期损失与非预期损失等测算是按照统计概率，如预期损失使用历史违约率的均值，但人工智能中有更多机器学习算法已经可以进一步精确测算各种风险损失，这已经对银行传统风险管理方法提出了全新挑战。

涉及最广泛技术的风险是运营风险，信息技术风险有独立趋势。在所有种类风险中，运营风险可能被全部11项技术所触发，成为受技术影响最广泛的风险。运营部门在商业银行活动中一般不直接创造信用，往往不被看作是增值部门，而是成本部门，但其同样可能像信用风险一样演变成系统性风险，因此，运营风险亟须重新引起再认识、再细分。同时，随着信息系统全面深入银行运营体系的方方面面，各种技术都是通过各类信息系统来将风险传导的，因此，信息技术风险有在巴塞尔协议Ⅲ既有8类风险以外独立成为一种单独风险因素的倾向。

风险点最集中的技术驱动型风险是信息安全导致的信用风险，风险暴露概率最高，风险的系统性最强。技术驱动型金融风险不都是系统性风险，风险的不可分散性也是异质性的，但信息安全引起的风险对各个银行的影响可能是同质性的不可分散，即系统性风险，需要从微观审慎上升到宏观审慎。2021年魏尚进等人发表的文章将金融科技看作是金融业的“革命者”，看重的就是技术能够大幅改善金融的信息不对称性，降低信用风险。然而，金融业过于强调技术这种新引入的内生变量的正效应，而忽视技术的负效应。其实，技术具有一定中性，金融业在引入时应该不仅看到“石头在水面激起的第一层涟漪”，还应看到其更多层次影响，特别是多层次、长链条传导而来的负面影响；否则，信用风险将会比大多数人预想的更快到来。

对商业银行管控技术驱动型风险的建议

跳出金融看技术，在更宏观视角看待技术对金融风险的外生影响。商业银行，特别是具有一定系统重要性的大型银行，要站在经济全局视角看待技术对金融风险的影响，不仅要盯住金融业应用技术产生的风险，更要考虑通过宏观经济传导而来的长逻辑链风险，加强对外生影响的研究，同时与内生风险结合考虑。例如，随着数字经济的发展，产业互联网资产具有更高的确定性、风险更小，但是银行在产业互联网领域布局资产规模是否适宜？另外，通过金融科技，无抵押纯信用贷款越来越容易发放到家庭部门，随着其规模的增长，会不会挤占未来数字经济的贷款规模？

在中长期加强在既有风险分类下对信息技术的内化，努力提升银行自身对信息技术的全方位掌控程度。巴塞尔协议Ⅲ中列出的8类风险具有现实意义，目前看，基本可以覆盖主要的新兴技术风险，而且这8类风险已经被商业银行内化为组织架构、岗位职责和业务流程。因此商业银行有必要继续坚持并深化这种风险分类框架，尽可能按照这种分类框架来应对各类新出现的技术风险，这也有助于商业银行按照现有风险分工，将技术驱动型风险落实到专业团队。

考虑到技术的专业性，短期内可以在技术被内化于金融前建立技术驱动的运营风险管理团队。目前看，技术引起的风险尚未全部纳入银行风控流程，考虑到技术本身也在演进过程中（例如量子计算商用化、人工智能可解释等尚需时日），而技术本身对传统银行员工具有相当的门槛，短期内在银行各个部门部署专业团队有困难。因此，有必要在完全管控这些技术驱动型风险前，在商业银行内部单独建立集约化的团队，同时熟悉技术与金融业务，并对技术驱动型风险负责。

从宏观审慎和微观审慎视角看待信息安全，着力防控信用风险。一方面，宏观审慎主要是防范流动性风险、同质性风险、顺周期性风险和国际系统性风险，面对当前比较突出的信息安全风险，宏观审慎同样面临这四种风险，也同样存在从单一到市场、从虚拟到实体、从国内向国际的传递可能，同样需要对网络安全进行宏观审慎监管。另一方面，微观审慎需要考虑的信息安全，主要还是要避免债务无法收回，特别是由于网络中断或黑客攻击导致债务人在客观上缺少资金或渠道还债。

（边鹏为中国建设银行研修中心（研究院）研究员、国际标准化组织（ISO）专家委员。本文编辑/孙世选）