摘 要：本文采用某金融机构对员工异常行为排查的统计数据，在充分分析案件风险形成机理的基础上尝试通过实证分析，首先使用PAST统计软件以主成分分析法对表象型异常行为予以分解，分别从工作表现、社会活动、投资消费、其他方面等维度设计风险计量、评价与预警指标，按照不同类别的风险属性来确定风险系数，然后加权平均后进行排序；随后使用Winbugs软件WinBUGS（Bayesian Inference Using Gibbs Sampling）是英国剑桥公共卫生研究所的MRC Biostatistics Unit推出的用MCMC方法进行贝叶斯推断的专用软件包。应用Logit模型Logit model，也称“分类评定模型”，是离散选择法模型之一，属于多重变量分析范畴。进行统计，由员工异常行为类型判定案件发生的概率，结合排序结果再对可疑的员工进行进一步调查，最后提出相应的对策与建议。

关键词：员工异常行为 主成分分析 案件风险

一、前言

海因里希法则（Heinrichs Law）表明每起案件发生前都会有多个风险事件，每个风险事件发生前都会有多个苗头性问题，及时发现和有效处置苗头性问题就可以防止风险事件甚至是案件发生。

目前，国内对金融机构员工异常行为排查的模式及操作方法上的研究还是空白点，相关文献仅仅局限于方案与工作总结报告。在实际具体操作中，员工异常行为排查一般由各金融机构监察室承担，排查方式包括：日常排查、专项排查、全面排查等三种；排查方法包括：日常观察、交心谈心、检查调查、走访家访、科技排查、接受举报、综合分析等。但是，上述排查只限于按照制度具体执行的操作层面，缺乏有效的方法来推进此项工作。此外，排查只限于个别员工，对于金融机构（如支行或者部门）的整体情况并没有整体掌握，往往导致“头痛医头，脚痛医脚”，更无法提出有效的针对性措施。综合国海证券的“萝卜章”事件及民生银行北京分行航天桥支行“萝卜章”案件等等，可以发现如果金融机构（如支行或者部门）的负责人内外勾结或者牵头作案，提前发现问题的可能性几乎为零，银行内鬼、资金掮客和用钱企业作为利益共同体将设法隐瞒任何会导致案件暴露的信息，除非有外部突发事件（如经济下行或者央行开始收紧流动性导致企业现金流断裂，或者如客户查询后偶然发现理财产品并不存在）诱发。

但是事实上，案件并非毫无踪迹可寻。从行为特征看，员工的异常行为主要包括结果型异常行为和表象型异常行为。结果型异常行为是指已经确认的违纪、违规、违法行为；表象型异常行为是指异于常规、有悖常理，需要通过核实、核查来判定是否存在违纪、违规、违法的行为。多年案防实践表明，金融机构发生的案件特别是内部案件大多是由作案人的异常行为引发的，作案人在作案前和作案过程中往往会表现出异常行为，有的异常行为还非常明显，有的异常行为（如婚姻变动等等）却难以察觉，而深入排查和有效处置员工的异常行为，有助于及时发现和化解案件风险，实现案防关口前移。本文认为，通过尝试运用大数据，将模型分析与行为监控相结合，进一步提升风险识别精准性，可以对员工异常行为排查工作加以改进并提高效率。

二、异常行为分析

金融机构员工异常行为可以分为4大类52种，包括工作表现、社会活动、投资消费、其他方面。具体如下：

（二）主成分分析法的应用分析

系统分析某金融机构员工的异常行为，会发现人数众多，且单独的指标太多。为了解决此问题，可以对导致问题的主要成分进行分析，理论上讲，分析的成分越多，获得的信息量越大，但是，很难从总体上进行对比分析。因此，首先以部门进行分类，归集该部门所有员工存在异常行为的比例，通过主成分分析法提取主要的综合成分，然后在平面坐标系中画图进行比较，并进行相关评价。由于排查存在疏漏或者某些支行行长（或部门负责人）自身就存在问题，极有可能有意隐瞒，因此除了自行排查上报外，还要由上级相关的负责部门通过日常排查和全面排查综合全部信息。

經对某金融机构8个支行（或部门）员工的异常行为数据以支行（或部门）为单位，时间跨度为半年，分别在工作表现、社会活动、投资消费及其它方面存在异常的行为进行分解归因，用雅克比方法求相关系数矩阵R的特征值和相应的特征向量，解得p个特征根。图1是通过主成分分析法提取前两个主成分的平面坐标图，并确定前两个主成分可以反映全部信息的87.654%（见表1），即信息的利用率达85%以上。

此外，这些数据通过主成分分析法后，提取前三个主成分可以反映全部信息的99.055%，提取较为完全，这说明最后一个成分反映的信息几乎可以忽略。然而，仔细考虑其原因，很有可能系不易观察和统计。比如说婚姻发生异常变故、家庭矛盾突出的情况等等，都不易被察觉，也不易被统计。但是，婚姻问题一旦发生，往往有较为突出的影响。

从表2可看出，每个部门的因子荷载表对应不同的主成分也不同。主成分分析法采用的分类是可以通过对主成分的分析做出解释的。如部门1对应投资消费异常，部门2对应工作表现异常，部门5对应其它异常，部门6同时对应工作表现和社会活动异常等。

从图2可看出，工作表现（主成分1）的归因比重应该下降，其它成分（社会活动、投资消费及其它方面）的归因比重则应该上升。换言之，那些不易观察统计的异常行为应该成为我们关注的重点。

下一步，由因子得分系数矩阵，可以将公因子表示为各变量的线性组合。得到的因子得分函数为：endprint

f1=-0.74x1+1.71x2-0.78x3-0.46x4-0.76x5+

1.26x6-0.62x7+0.38x8

f2=0.67x1-1.52x2-0.73x3+0.55x4-0.18x5+

1.65x6-0.75x7+0.29x8

（3）

根據因子得分系数和原始变量的标准化值计算各支行（或部门）的各因子的得分数并进行综合评价。因子得分计算方法是：取累计贡献率达85%～95%的特征值λ1，λ2，…，λm所对应的第1、第2个主成分。用每个主成分共因子的方差贡献率做权数，对每个因子进行加权，然后加总得最终综合评价值，按总得分进行排序，以反映各支行（或部门）异常行为的差异。

通过主坐标分析可以再次验证上述8个支行（或部门）异常行为上存在需要重点关注的问题，并依此排序。从图3可以看出，第6个支行（或部门）员工存在的异常行为最多，第3个支行（或部门）员工存在的异常行为最少。

下一步，针对存在问题较多的支行（或部门），需要逐一对其所属员工进行深入核查。对于异常行为难以准确认定，岗位又比较重要，可能存在较大风险隐患，可先采取待岗、换岗等措施，同时组织对其异常行为进行深入核查，并根据核查结果采取相应处置措施。

四、模型改进

综合上述模型，表象型的异常行为强调的是异常变故，是诱发案件的一个重要因素。对员工八小时内外的思想行为、资金往来以及业务操作等情况进行综合分析，从而判断员工是否存在异常行为。实践表明，虽然异常行为不一定必然导致案件发生，但是存在较大概率案件风险的员工往往有多种异常行为表现。

经过初步统计，发现以下几个方面有较大的概率诱发案件，然而在实际中并不易发现异常行为表现。一是婚姻发生异常变故、家庭矛盾突出的（正常的因为性格不合等原因导致的变故不在此列）。可以注意到，经过排查发现存在异常行为的员工中有20.2%离异，而后引发案件的员工中有42.5%离异，引发案件的女员工中有52.6%离异。事后分析离异的原因，往往无法忍受作案人存在的赌博、包养小三、超经济实力投资消费等异常行为（见图4）。二是参与赌博。三是在外经商办企业。四是挪用金融机构（或者客户）资金去炒股票。五是参与非法集资和民间融资。六是个贷和信用卡逾期或者透支套现。

借鉴Boch and Lieberman（1970）的Rasch统计模型Andersen（1980），pp.253-254； Boch and Aitkin（1981）Invalid_string（该模型原被应用于教育统计），现假定Pjk为存在异常行为员工J对应类型K的概率，该概率服从Logistic函数（其中，αk代表异常行为类型K的阈值参数，潜变量θj代表存在异常行为员工J发生案件潜在可能性的参数，在员工群体中该参数被假定服从正态分布）。（见表3）

由上述参数，可知存在异常行为的员工发生案件的概率分别为：

由表5可知，存在上述四种类型异常行为的员工发生案件的概率为84.34%。换言之，一旦员工被观察到同时存在上述四种类型的异常行为，其发生案件的概率为84.34%。实际工作中，结合前文中主通过坐标分析了解到的第6个支行（或部门）员工存在的异常行为最多，而如果该支行（或部门）有较大比例员工被观察到同时存在上述三种以上类型的异常行为，甚至于该支行（或部门）的负责人也被发现存在上述问题，那么就要充分考虑是否内外勾结或者有较大概率的发生案件的可能性，尤其是该支行行长（或部门负责人）是否起到了主导作用。

实践经验还需要注意：一是观察到的异常行为需要综合考虑及分析，因为采集的数据可能存在偏差。例如工作表现中打电话、会客谈话故意避开他人的，经过查询后发现属于试图调 换工作或者与他人产生感情纠葛，并不一定导致案件的发生；二是总体而言，员工发生案件极大可能要么是家中出现变故，要么是沾惹了黄赌毒等恶习，要么是前面有“示范者”，尤其是支行行长（或部门负责人）是否带头作案至关重要。因此，要尽可能从多角度、多渠道、全方位完善信息，例如自查中很有可能发生试图隐瞒员工存在异常行为的错误反馈。

五、结论与建议

综上所述，金融机构须构建对金融机构员工异常行为风险预警模型：首先，针对存在问题较多的部门，对其员工按照上述模型加入几个重点维度的参数再次进行运算，通过增加相关数据改进与完善模型；然后，根据对每个维度的各个指标进行加权平均得到该风险维度的风险值；之后，再根据因子得分系数和原始变量的标准化值计算重点关注的员工各因子的得分数并进行综合评价；最后，结合对应类型发生案件概率表，深入了解那些有疑点的员工是否有较大的概率诱发案件却不易发现的问题，及时采取有效的应对措施。具体地说，可以探索收集关键信息的方式方法，首先是科技排查，运用内部的内控监测分析、业务运营风险管理、信用卡风险监测、反洗钱、信贷管理等科技系统及外部的征信、工商注册信息等科技系统，对员工的异常资金状况、异常业务痕迹以及异常投资经商等情况进行排查；其次排查成功的关键是信息共享，即把散落在各个系统中的异常信息和情况进行汇总分析；最后就是全员参与，鼓励内部举报。总之，案件是很难提前发现的，但是绝对不能放松甚至放弃对于案件的预防工作，我们能够做到的就是尽量通过运用好大数据，充分研究分析员工异常行为的规律，不断提高监测分析工作对员工异常行为的排查效率，从而规范员工职业行为，有效防范各类内部案件的发生。

参考文献：

[1]Mehmed·Kantardzic著，闪四清等译.数据挖掘：概念、模型、方法和算法[M].清华大学出版社，2003（8）.

[2]A·Dries，U·Rückert.Adaptive concept drift detection.John Wiley & Sons Inc，2009（2）：311—327.

[3]WinBUGS User Manual：Version 1.4.

[4]Ioannis·Ntzoufras.Bayesian Modeling Using WinBUGS.John Wiley & Sons Inc，2009（2）.

（陈怀东，天津大学管理学院博士研究生。）endprint