金融機構(gòu)員工異常行為排查研究

摘 要：本文采用某金融機構(gòu)對員工異常行為排查的統(tǒng)計數(shù)據(jù)，在充分分析案件風險形成機理的基礎(chǔ)上嘗試通過實證分析，首先使用PAST統(tǒng)計軟件以主成分分析法對表象型異常行為予以分解，分別從工作表現(xiàn)、社會活動、投資消費、其他方面等維度設(shè)計風險計量、評價與預(yù)警指標，按照不同類別的風險屬性來確定風險系數(shù)，然后加權(quán)平均后進行排序；隨后使用Winbugs軟件WinBUGS（Bayesian Inference Using Gibbs Sampling）是英國劍橋公共衛(wèi)生研究所的MRC Biostatistics Unit推出的用MCMC方法進行貝葉斯推斷的專用軟件包。應(yīng)用Logit模型Logit model，也稱“分類評定模型”，是離散選擇法模型之一，屬于多重變量分析范疇。進行統(tǒng)計，由員工異常行為類型判定案件發(fā)生的概率，結(jié)合排序結(jié)果再對可疑的員工進行進一步調(diào)查，最后提出相應(yīng)的對策與建議。

關(guān)鍵詞：員工異常行為 主成分分析 案件風險

一、前言

海因里希法則（Heinrichs Law）表明每起案件發(fā)生前都會有多個風險事件，每個風險事件發(fā)生前都會有多個苗頭性問題，及時發(fā)現(xiàn)和有效處置苗頭性問題就可以防止風險事件甚至是案件發(fā)生。

目前，國內(nèi)對金融機構(gòu)員工異常行為排查的模式及操作方法上的研究還是空白點，相關(guān)文獻僅僅局限于方案與工作總結(jié)報告。在實際具體操作中，員工異常行為排查一般由各金融機構(gòu)監(jiān)察室承擔，排查方式包括：日常排查、專項排查、全面排查等三種；排查方法包括：日常觀察、交心談心、檢查調(diào)查、走訪家訪、科技排查、接受舉報、綜合分析等。但是，上述排查只限于按照制度具體執(zhí)行的操作層面，缺乏有效的方法來推進此項工作。此外，排查只限于個別員工，對于金融機構(gòu)（如支行或者部門）的整體情況并沒有整體掌握，往往導(dǎo)致“頭痛醫(yī)頭，腳痛醫(yī)腳”，更無法提出有效的針對性措施。綜合國海證券的“蘿卜章”事件及民生銀行北京分行航天橋支行“蘿卜章”案件等等，可以發(fā)現(xiàn)如果金融機構(gòu)（如支行或者部門）的負責人內(nèi)外勾結(jié)或者牽頭作案，提前發(fā)現(xiàn)問題的可能性幾乎為零，銀行內(nèi)鬼、資金掮客和用錢企業(yè)作為利益共同體將設(shè)法隱瞞任何會導(dǎo)致案件暴露的信息，除非有外部突發(fā)事件（如經(jīng)濟下行或者央行開始收緊流動性導(dǎo)致企業(yè)現(xiàn)金流斷裂，或者如客戶查詢后偶然發(fā)現(xiàn)理財產(chǎn)品并不存在）誘發(fā)。

但是事實上，案件并非毫無蹤跡可尋。從行為特征看，員工的異常行為主要包括結(jié)果型異常行為和表象型異常行為。結(jié)果型異常行為是指已經(jīng)確認的違紀、違規(guī)、違法行為；表象型異常行為是指異于常規(guī)、有悖常理，需要通過核實、核查來判定是否存在違紀、違規(guī)、違法的行為。多年案防實踐表明，金融機構(gòu)發(fā)生的案件特別是內(nèi)部案件大多是由作案人的異常行為引發(fā)的，作案人在作案前和作案過程中往往會表現(xiàn)出異常行為，有的異常行為還非常明顯，有的異常行為（如婚姻變動等等）卻難以察覺，而深入排查和有效處置員工的異常行為，有助于及時發(fā)現(xiàn)和化解案件風險，實現(xiàn)案防關(guān)口前移。本文認為，通過嘗試運用大數(shù)據(jù)，將模型分析與行為監(jiān)控相結(jié)合，進一步提升風險識別精準性，可以對員工異常行為排查工作加以改進并提高效率。

二、異常行為分析

金融機構(gòu)員工異常行為可以分為4大類52種，包括工作表現(xiàn)、社會活動、投資消費、其他方面。具體如下：

（二）主成分分析法的應(yīng)用分析

系統(tǒng)分析某金融機構(gòu)員工的異常行為，會發(fā)現(xiàn)人數(shù)眾多，且單獨的指標太多。為了解決此問題，可以對導(dǎo)致問題的主要成分進行分析，理論上講，分析的成分越多，獲得的信息量越大，但是，很難從總體上進行對比分析。因此，首先以部門進行分類，歸集該部門所有員工存在異常行為的比例，通過主成分分析法提取主要的綜合成分，然后在平面坐標系中畫圖進行比較，并進行相關(guān)評價。由于排查存在疏漏或者某些支行行長（或部門負責人）自身就存在問題，極有可能有意隱瞞，因此除了自行排查上報外，還要由上級相關(guān)的負責部門通過日常排查和全面排查綜合全部信息。

經(jīng)對某金融機構(gòu)8個支行（或部門）員工的異常行為數(shù)據(jù)以支行（或部門）為單位，時間跨度為半年，分別在工作表現(xiàn)、社會活動、投資消費及其它方面存在異常的行為進行分解歸因，用雅克比方法求相關(guān)系數(shù)矩陣R的特征值和相應(yīng)的特征向量，解得p個特征根。圖1是通過主成分分析法提取前兩個主成分的平面坐標圖，并確定前兩個主成分可以反映全部信息的87.654%（見表1），即信息的利用率達85%以上。

此外，這些數(shù)據(jù)通過主成分分析法后，提取前三個主成分可以反映全部信息的99.055%，提取較為完全，這說明最后一個成分反映的信息幾乎可以忽略。然而，仔細考慮其原因，很有可能系不易觀察和統(tǒng)計。比如說婚姻發(fā)生異常變故、家庭矛盾突出的情況等等，都不易被察覺，也不易被統(tǒng)計。但是，婚姻問題一旦發(fā)生，往往有較為突出的影響。

從表2可看出，每個部門的因子荷載表對應(yīng)不同的主成分也不同。主成分分析法采用的分類是可以通過對主成分的分析做出解釋的。如部門1對應(yīng)投資消費異常，部門2對應(yīng)工作表現(xiàn)異常，部門5對應(yīng)其它異常，部門6同時對應(yīng)工作表現(xiàn)和社會活動異常等。

從圖2可看出，工作表現(xiàn)（主成分1）的歸因比重應(yīng)該下降，其它成分（社會活動、投資消費及其它方面）的歸因比重則應(yīng)該上升。換言之，那些不易觀察統(tǒng)計的異常行為應(yīng)該成為我們關(guān)注的重點。

下一步，由因子得分系數(shù)矩陣，可以將公因子表示為各變量的線性組合。得到的因子得分函數(shù)為：endprint

f1=-0.74x1+1.71x2-0.78x3-0.46x4-0.76x5+

1.26x6-0.62x7+0.38x8

f2=0.67x1-1.52x2-0.73x3+0.55x4-0.18x5+

1.65x6-0.75x7+0.29x8

（3）

根據(jù)因子得分系數(shù)和原始變量的標準化值計算各支行（或部門）的各因子的得分數(shù)并進行綜合評價。因子得分計算方法是：取累計貢獻率達85%～95%的特征值λ1，λ2，…，λm所對應(yīng)的第1、第2個主成分。用每個主成分共因子的方差貢獻率做權(quán)數(shù)，對每個因子進行加權(quán)，然后加總得最終綜合評價值，按總得分進行排序，以反映各支行（或部門）異常行為的差異。

通過主坐標分析可以再次驗證上述8個支行（或部門）異常行為上存在需要重點關(guān)注的問題，并依此排序。從圖3可以看出，第6個支行（或部門）員工存在的異常行為最多，第3個支行（或部門）員工存在的異常行為最少。

下一步，針對存在問題較多的支行（或部門），需要逐一對其所屬員工進行深入核查。對于異常行為難以準確認定，崗位又比較重要，可能存在較大風險隱患，可先采取待崗、換崗等措施，同時組織對其異常行為進行深入核查，并根據(jù)核查結(jié)果采取相應(yīng)處置措施。

四、模型改進

綜合上述模型，表象型的異常行為強調(diào)的是異常變故，是誘發(fā)案件的一個重要因素。對員工八小時內(nèi)外的思想行為、資金往來以及業(yè)務(wù)操作等情況進行綜合分析，從而判斷員工是否存在異常行為。實踐表明，雖然異常行為不一定必然導(dǎo)致案件發(fā)生，但是存在較大概率案件風險的員工往往有多種異常行為表現(xiàn)。

經(jīng)過初步統(tǒng)計，發(fā)現(xiàn)以下幾個方面有較大的概率誘發(fā)案件，然而在實際中并不易發(fā)現(xiàn)異常行為表現(xiàn)。一是婚姻發(fā)生異常變故、家庭矛盾突出的（正常的因為性格不合等原因?qū)е碌淖児什辉诖肆校??？梢宰⒁獾?，?jīng)過排查發(fā)現(xiàn)存在異常行為的員工中有20.2%離異，而后引發(fā)案件的員工中有42.5%離異，引發(fā)案件的女員工中有52.6%離異。事后分析離異的原因，往往無法忍受作案人存在的賭博、包養(yǎng)小三、超經(jīng)濟實力投資消費等異常行為（見圖4）。二是參與賭博。三是在外經(jīng)商辦企業(yè)。四是挪用金融機構(gòu)（或者客戶）資金去炒股票。五是參與非法集資和民間融資。六是個貸和信用卡逾期或者透支套現(xiàn)。

借鑒Boch and Lieberman（1970）的Rasch統(tǒng)計模型Andersen（1980），pp.253-254； Boch and Aitkin（1981）Invalid_string（該模型原被應(yīng)用于教育統(tǒng)計），現(xiàn)假定Pjk為存在異常行為員工J對應(yīng)類型K的概率，該概率服從Logistic函數(shù)（其中，αk代表異常行為類型K的閾值參數(shù)，潛變量θj代表存在異常行為員工J發(fā)生案件潛在可能性的參數(shù)，在員工群體中該參數(shù)被假定服從正態(tài)分布）。（見表3）

由上述參數(shù)，可知存在異常行為的員工發(fā)生案件的概率分別為：

由表5可知，存在上述四種類型異常行為的員工發(fā)生案件的概率為84.34%。換言之，一旦員工被觀察到同時存在上述四種類型的異常行為，其發(fā)生案件的概率為84.34%。實際工作中，結(jié)合前文中主通過坐標分析了解到的第6個支行（或部門）員工存在的異常行為最多，而如果該支行（或部門）有較大比例員工被觀察到同時存在上述三種以上類型的異常行為，甚至于該支行（或部門）的負責人也被發(fā)現(xiàn)存在上述問題，那么就要充分考慮是否內(nèi)外勾結(jié)或者有較大概率的發(fā)生案件的可能性，尤其是該支行行長（或部門負責人）是否起到了主導(dǎo)作用。

實踐經(jīng)驗還需要注意：一是觀察到的異常行為需要綜合考慮及分析，因為采集的數(shù)據(jù)可能存在偏差。例如工作表現(xiàn)中打電話、會客談話故意避開他人的，經(jīng)過查詢后發(fā)現(xiàn)屬于試圖調(diào) 換工作或者與他人產(chǎn)生感情糾葛，并不一定導(dǎo)致案件的發(fā)生；二是總體而言，員工發(fā)生案件極大可能要么是家中出現(xiàn)變故，要么是沾惹了黃賭毒等惡習，要么是前面有“示范者”，尤其是支行行長（或部門負責人）是否帶頭作案至關(guān)重要。因此，要盡可能從多角度、多渠道、全方位完善信息，例如自查中很有可能發(fā)生試圖隱瞞員工存在異常行為的錯誤反饋。

五、結(jié)論與建議

綜上所述，金融機構(gòu)須構(gòu)建對金融機構(gòu)員工異常行為風險預(yù)警模型：首先，針對存在問題較多的部門，對其員工按照上述模型加入幾個重點維度的參數(shù)再次進行運算，通過增加相關(guān)數(shù)據(jù)改進與完善模型；然后，根據(jù)對每個維度的各個指標進行加權(quán)平均得到該風險維度的風險值；之后，再根據(jù)因子得分系數(shù)和原始變量的標準化值計算重點關(guān)注的員工各因子的得分數(shù)并進行綜合評價；最后，結(jié)合對應(yīng)類型發(fā)生案件概率表，深入了解那些有疑點的員工是否有較大的概率誘發(fā)案件卻不易發(fā)現(xiàn)的問題，及時采取有效的應(yīng)對措施。具體地說，可以探索收集關(guān)鍵信息的方式方法，首先是科技排查，運用內(nèi)部的內(nèi)控監(jiān)測分析、業(yè)務(wù)運營風險管理、信用卡風險監(jiān)測、反洗錢、信貸管理等科技系統(tǒng)及外部的征信、工商注冊信息等科技系統(tǒng)，對員工的異常資金狀況、異常業(yè)務(wù)痕跡以及異常投資經(jīng)商等情況進行排查；其次排查成功的關(guān)鍵是信息共享，即把散落在各個系統(tǒng)中的異常信息和情況進行匯總分析；最后就是全員參與，鼓勵內(nèi)部舉報?？傊讣呛茈y提前發(fā)現(xiàn)的，但是絕對不能放松甚至放棄對于案件的預(yù)防工作，我們能夠做到的就是盡量通過運用好大數(shù)據(jù)，充分研究分析員工異常行為的規(guī)律，不斷提高監(jiān)測分析工作對員工異常行為的排查效率，從而規(guī)范員工職業(yè)行為，有效防范各類內(nèi)部案件的發(fā)生。

參考文獻：

[1]Mehmed·Kantardzic著，閃四清等譯.數(shù)據(jù)挖掘：概念、模型、方法和算法[M].清華大學出版社，2003（8）.

[2]A·Dries，U·Rückert.Adaptive concept drift detection.John Wiley & Sons Inc，2009（2）：311—327.

[3]WinBUGS User Manual：Version 1.4.

[4]Ioannis·Ntzoufras.Bayesian Modeling Using WinBUGS.John Wiley & Sons Inc，2009（2）.

（陳懷東，天津大學管理學院博士研究生。）endprint