基于Bow-tie模型的模糊贝叶斯网络在风险评估中的应用

孙震 卢俊峰

[摘要]本文以Bow-tie模型为基础，借鉴工业部门风险分析方法，建立基于Bow-tie模型的模糊贝叶斯网络风险评估框架，实现从静态层次分析向动态网络推理转变、从风险评估向风险预测深化、从风险发生前评估向风险发生后分析发展，为内部审计职能拓展与价值深化提供借鉴。

[关键词]Bow-tie    模型    贝叶斯网络    模糊集理论

前，审计风险评估多局限于静态分析，未考虑风险因素之间的逻辑关系与关联强弱，且难以有效应

对不确定性。应用基于Bow-tie模型的模糊贝叶斯风险评估框架，能够拓展审计风险评估职能范围，促进内部审计价值增值作用的发挥。

一、相关理论模型及风险评估框架

（一）Bow-tie模型

Bow-tie模型最早由澳大利亚昆士兰大学提出（见图1），包含危险源、风险事件、潜在结果以及安全屏障四大要素，其中安全屏障包括事故前预防措施和事故后控制措施，事故前预防措施在事前设置，以降低事故发生的可能性;事故后控制措施在事故发生后通过相关补救方法，以降低事故的影响程度。

（二）贝叶斯网络理论

贝叶斯网络（BN）1988年由Judea Pearl提出（見图2），为基于概率推理的图形化网络，是目前不确定知识表达和推理领域最有效的理论模型之一。贝叶斯网络由有向无环图（DAG）和条件概率表（CPT）组成。其中DAG由变量节点及连接节点的有向边构成。节点代表随机变量（如根事件，事故后果），其中根节点是指没有紧前工作的节点，中间节点是指既有紧前工作又有紧后工作的节点，叶节点是指没有紧后工作的节点。节点间的有向边代表了节点间的互相关系（由父节点指向子节点），条件概率表达关系强度，无父节点的用先验概率进行信息表达。

以图2所示的贝叶斯网络为例，X1、X2、X3称为根节点，B1、B2为中间节点，A1为叶节点。同时X1、X2为 B1的父节点，X3为B2的父节点。贝叶斯定理的基本公式为：

其中，Xi为节点A发生的某个前提条件，P（Xi|A）表示在节点A发生的情况下，Xi发生的概率。对于贝叶斯网络，若节点xj（j=1，2，……m）为节点yi的同级父节点，且xj之间条件独立，则有：

借助贝叶斯网络及相关算法，可进行三种推理：一是风险预测。在已知根节点（事件）先验概率和节点间条件概率前提下，预测风险事件及结果事件的发生概率。二是诊断性推理。在风险事件发生的情况下，推断根事件发生概率，用于事故发生后的原因分析与查找。三是重要性分析。计算各根事件对风险事件影响程度，找出关键根事件。

（三）模糊集合理论

模糊集合理论（FST）是用于表示界限或边界不分明的具有特定性质事物的集合，把经典集合中的绝对隶属关系灵活化，隶属度不再局限于0 和1，可取0-1 间的任一值。

1. 模糊数。模糊数是模糊集合理论的基本概念，可以有效地处理“好”“一般”等模糊性语言。模糊数通常分为三角模糊数和梯形模糊数。梯形模糊数的隶属函数形状更加复杂，可更好反映系统的不确定性，其隶属函数μ（x）可表示为：

μ（x）的λ截集（见图3）α=（a+（b-a）λ，d-（d-c）λ），λ截集具有可运算性。

2. 聚合模糊集。通过梯形模糊数可将专家判断（模糊语言）转化为模糊数。为了得到对象更精确的评判结果，通常采用线性意见池的方法获得多个专家的综合评判结果：

其中，Mi是表示事件i的聚合模糊值，wj是专家 j的权重，通常由专家的专业等级、教育水平等决定，Aij是专家j关于事件i的语言值。

3. 解模糊。解模糊是将模糊集合转化为最佳单值，是模糊逻辑中产生可量化结果的过程。Sugeno（1999）提出通过区域中心法进行解模糊， 当梯形模糊数为（a，b，c，d）时：

其中X*（见图3）为梯形模糊数的解模糊值（FPS）。

4. 模糊可能性及模糊概率。Onisawa （1988）提出将解模糊值（FPS）转化为模糊概率（FPr）的方法：

其中：

（四）基于Bow-tie模型的模糊贝叶斯网络风险评估框架

以Bow-tie模型为基础，结合Esmaeil Zarei等提出的模糊贝叶斯网络风险分析（FBN）方法，构建基于Bow-tie模型的模糊贝叶斯风险评估框架（见图4），以开展风险评估，研究、分析影响风险事件的关键因素。

一是利用Bow-tie模型开展风险梳理。依据Bow-tie模型梳理、明确评估对象相关的风险源、事前预防（控制）措施、风险事件及事故后果。

二是依托Bow-tie模型建立贝叶斯网络。以风险源及事前控制措施失效问题映射根事件、以根事件到风险事件的发展脉络建立中间节点，以风险事件映射叶节点，以事故后控制措施映射安全屏障节点，以事故后果映射结果节点，建立评估对象风险贝叶斯网络。

三是引入模糊集理论构建模糊贝叶斯网络。以模糊集理论为基础，引入模糊语言，收集专家判断，进行线性聚合，并通过解模糊、转换模糊概率等程序，获得贝叶斯网络中根节点及安全屏障节点的模糊概率、相关节点的条件概率及事故后果的模糊严重程度，将贝叶斯网络转化为模糊贝叶斯网络。

四是开展贝叶斯网络分析。依托贝叶斯网络推理软件，开展网络计算，预测中间节点、风险事件节点及结果节点的概率，计算评估对象的风险等级，诊断分析在风险事件发生条件下的诱因，判断根事件相对风险事件的重要程度。

二、应用案例——以某办公大楼消防管理为例

人民银行某分支机构办公大楼建于1997年，距今有20多年，未发生过火灾事故。期间大楼管理模式、管理单位已发生变化，若依历史数据开展大楼消防管理风险评估，难以反映现实的风险隐患。现以基于Bow-tie模型的模糊贝叶斯网络进行办公大楼火灾风险脉络梳理，开展风险评估，分析办公大楼消防管理中的关键因素。

（一）办公大楼消防管理Bow-tie模型分析

依据Bow-tie模型，结合实际，构建某办公大楼火灾风险Bow-tie模型（见图5），其中黄色为风险源、橙色为风险事件、红色为事故后果、绿色为安全屏障。

五个后果事件中，发行基金毁损及重要业务系统瘫痪为人民银行特有。货币发行职能是人民银行的主要职能之一，以发行基金管理为核心，发行基金毁损将导致辖区现金投放不足，流通现金减少，影响居民日常现金支付。此外，人民银行某分支机构运行管理同城票据清算系统，负责辖区结算票据清算，并承担辖区个人存款跨行通存通兑、集中收付业务（含公用事业缴费的付费通业务）等民生业务，一旦该系统发生瘫痪，将严重影响辖区金融机构同城清算及居民日常生活费用支付。

（二）办公大楼消防管理风险贝叶斯网络构建

依据上文的Bow-tie模型，基于办公大楼的建筑结构、消防管理工作、消防设备设施建设等情况，结合火灾发展规律，分析火灾各阶段各节点间的因果关系，建立大楼消防管理风险贝叶斯网络（见图6）。

其中，黄色圆形节点为根事件（其中部分为事前安全屏障失效引发），黄色椭圆形节点为中间事件，橙色椭圆形节点为事故事件，红色椭圆形节点为事故后果事件，绿色圆形节点为事故后安全屏障，红色箭头为办公大楼火灾事故发展主线。假设非直接关联的两个节点相互独立，每个节点均只有“0”“1”两种状态，其中“1”为事件发生或控制无效，“0”为事件未发生或控制有效。

（三）办公大楼消防管理风险模糊贝叶斯网络构建

通过引入模糊集理论，将贝叶斯网络转化为模糊贝叶斯网络。

1. 发生可能性及严重程度模糊判断标准。本文将事件的发生可能性分为9个等级（见表1），将事件的严重程度分为5个等级（见表2）。

2. 专家意见提取、聚合及解模糊。按照上文的模糊判断标准，对根事件及事故后安全屏障发生可能性进行评价，根据线性意见池计算出5名专家的权重，依照公式（1）得到聚合模糊数，根据公式（3）得到模糊可能性，并通过公式（4）、（5）得到根事件及事故后安全屏障的模糊概率和中间事件、事故后果事件的条件概率表（CPT）（略）。

同理，可计算中间事件和后果事件的模糊严重程度（FS）向量R：

3. 中间节点概率确定。中间节点概率可根据贝叶斯公式计算，以中间节点I9为例，其有两个父节点E14、E15，根据上文得到I9与E14、E15的条件概率，可得：

（四）办公大楼消防管理风险贝叶斯网络计算

1. 办公大楼火灾风险预测及诊断分析。

（1）風险预测。根据办公大楼火灾风险贝叶斯网络、根事件、事故后安全屏障先验概率，结合各节点条件概率，利用Netica软件对人民银行某分支机构办公大楼火灾风险进行推理计算可知，办公大楼火势蔓延和烟气扩散（I4）的概率为0.17%，人员伤亡的概率为0.12%，发行基金发生毁损的概率为0.10%，重要业务系统瘫痪的概率为0.13%，办公大楼受到严重毁损的概率为0.17%，毗连建筑受损的概率为0.15%。同时，利用软件可计算出在I4=1背景下各结果事件的条件概率：人员伤亡概率为10.1%，发行基金发生毁损概率为0.5%，重要业务系统瘫痪概率为20%，办公大楼受到严重毁损概率为30%，毗连建筑受损概率为40%。

（2）诊断推理。通过软件可计算在I4=1时，各根事件后验概率，在E1-E15中，E6、E7、E2、E1的后验概率较大，即在办公大楼发生火势蔓延或烟气扩散时，由消防管道堵塞、消防阀门无法开启、明火、电气火源原因造成的可能性较大。

2.办公大楼消防管理风险评估。大楼消防管理风险R=P*S，其中P为发生可能性（概率），S为严重程度，存在多个风险事件时，本文采用均值法计算整体风险值。借鉴周红波（2009）的研究，设：

将模糊概率转化为对数概率、模糊严重程度转化为对数严重程度，对应风险等级的模糊数见表3。

则：

计算得R关于5个风险等级的隶属向量为（0，0，0.759，0.241，0），则大楼消防管理风险等级为3级。

3. 风险因素重要性判断。Zarei等（2017）提出了ROV（Ratio of variation）指标，以反映根事件对风险事件发生的贡献度：

其中，Л（Xi）为根事件Xi的后验概率，θ（Xi）为根事件Xi的先验概率。计算可得各根事件关于风险事件I5的变异率（ROV），见表4。

可知，各根事件对大楼发生火灾的影响程度排序为：E2>E3>E7>E8>E14>E6>E15>E1>E13>E11>E12>E10>E9>E5>E4，明火、电气火源是火灾事故的前两大影响因素，所以应加强施工管理，规范电气线路，严格办公区域明火使用，降低火灾风险。

三、结论

基于Bow-tie模型的模糊贝叶斯网络风险评估相对于传统内审风险评估实现了三个方面发展：

一是风险分析脉络更清晰。以Bow-tie模型为基础，不但考虑固有风险及事前控制措施，而且兼顾事后控制措施对风险事件的缓释作用，同时将风险的产生、发展过程图形化、链条化，实现风险因素分析由平面化罗列分析向立体化逻辑分析的转变。

二是风险评估流程更规范。在缺乏历史数据或定性风险量化的情况下，通常采用绝对隶属关系进行判断，存在较大误差，而模糊集合理论可有效应对主观判断模糊性或不确定性，提升不确定及不完全知识背景下风险评估的合理性。同时，贝叶斯网络将发生可能性由判断赋值转化为客观概率，评估计算更加直观、准确。

三是风险评估的职能作用更广泛。传统内审风险评估通常用于风险发生前锁定高风险领域，而借助贝叶斯网络，审计部门可开展基于概率的风险预测，实施风险事故发生后的原因分析，甄别判断重要的风险因素，确定审计关注内容。

本文的贝叶斯网络主要依据Bow-tie模型在专家意见和历史经验的基础上建立，但贝叶斯网络的完善是一个渐进的过程，需要根据实际经验和数据，不断对网络结构和参数进行调整和优化，以更准确反映风险因素间关系及风险发展流程，提升风险评估的合理性和科学性。因此，下一步应加强数据收集，完善数据积累，不断优化评估对象贝叶斯网络结构与参数设置，提升风险评估与分析的准确性。

（作者单位：中国人民银行宁波市中心支行，邮政编码：315040，电子邮箱：13566013469@163.com）

主要参考文献

周红波.基于贝叶斯网络的深基坑风险模糊综合评估方法[J].上海交通大学学报， 2009（9）：1473-1479

朱自立，周旋.基于模糊贝叶斯网络的洞室事故人因分析[J].人民珠江， 2019（3）：147-152