操作风险管理是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。由此可见,这种风险是与人的错误、系统失败、程序控制不当以及对外部事件应对不足有关。银行的操作风险相对于市场风险与信用风险来说,研究的历史并不长。但是,由于巴林银行、安然、世通等公司的倒闭,操作风险已经受到有关国际组织的持续关注。在召开的第四届中国金融风险经理论坛:操作风险管理专题上,来自境内监管当局、银、证、保及来自境外知名咨询机构,包括普华永道、贝恩环球、德勤等20多位知名风险管理专家就业务流程与操作风险管理、交易与投资业务风险管理以及操作风险计量、管理工具和IT系统风险等议题进行了精彩的演讲。
◎操作风险量化及其模型有效性的争论
近年来,金融机构明显加强了量化操作风险的探索和努力,客观性较强的风险量化正在成为金融机构衡量操作风险的重要方法。但是,操作风险量化的有效性目前也成为业界争论较多的问题之一,尤其是对在险价值VAR技术应用于操作风险计量,有不少风险经理对其是否能够在市场操作风险管理中发挥重要作用表示怀疑。
怀疑操作风险量化有效性的观点认为,首先,操作风险构成复杂,性质各异,要将计算机系统、业务流程和法律因素等这些完全不同的风险因素用同样的方法统一衡量显然是具有很大的难度。其次,操作风险具有内生性,而且大多跟金融机构人的作用有关,要客观量化这样的风险也很困难。第三,许多操作风险与市场风险和信用风险密切联系,前者与后两者之间往往是原因和结果的关系,而并非是相互独立的三种风险,因此,不少损失数据很难区分归属于哪一类风险。第四,操作风险的损失数据稀少,不仅难以满足统计模拟的数据要求,而且也难以满足模型验证的数据要求,尤其是在市场VAR中经常应用的返回检验方法很难用于操作风险模型的有效性验证。第五,风险事件之间的相关性也难以识别和量化。第六,大量的数据分析和模拟对计算机软硬件要求高,成本支出大。
支持操作风险量化的观点认为,市场发展到目前阶段,不仅对操作风险量化提出了明显的需求,而且加强操作风险量化模型有效性的环境和条件也大大改善。一是各金融内部操作风险损失数据积累近些年有了很大的发展,行业数据共享的形式和机制也初具规模。二是操作风险的定义和分类已经出现了较为统一的行业和监管标准。三是高级统计方法的应用可较好地解决数据不足所导致的损失分布估计、返回检验和相关性分析困难等问题。四是IT技术的发展大大降低了风险量化的操作成本。五是市场风险和信用风险量化技术的发展不仅为操作风险量化提供了良好的借鉴,而且还提供了重要的人才。六是金融机构独立的操作风险管理(风控网)组织体系为对立的内部操作风险量化模型评估和验证体系提供了组织保障。
◎新巴塞尔协议与操作风险管理的兴起
1998年,巴塞尔银行监管委员会发布《操作风险管理》的工作文件,就银行董事会和高管层操作风险意识的提高、操作风险框架以及操作风险总体计量方法相关的重大概念问题和数据需求等形成共识。2003年,巴塞尔银行监管委员会发布《操作风险管理和监管的良好做法》,在构建恰当的操作风险管理环境、操作风险管理流程、监管者作用以及信息披露等四个方面,共提出10条原则。
2004年,巴塞尔银行监管委员会发布《新资本协议》,将操作风险资本要求乘以12.5计入风险加权资产,使得操作风险正式成为一项计提风险资本要求的风险。新资本协议还提出了计量操作风险资本的三种在复杂性和风险敏感度方面渐次加强的方法:基本指标法、标准法和高级计量法。2006年,巴塞尔银行监管委员会发布《有效银行监管核心原则》,其中原则15指出:监管当局必须满意地看到,银行应具备与其规模及复杂程度相匹配的识别、评价、监测和控制/缓释操作风险管理的政策和程序。
中国银监会于2007年6月发布了《商业银行操作风险管理指引》,阐述了操作风险的定义、管理和监管,提供了与国际标准相匹配的操作风险管理做法。在此次论坛上,来自银监会新资本协议操作风险小组的负责人邵长毅,就操作风险资本计量指引修改情况进行了汇报。他认为,修改稿具有四大特点:方法论清晰易懂、更具操作性、力争把资本计量与审慎监管更好地结合起来、严格遵循新资本协议的原则,吸取其他国家和地区的良好做法,结合国情体现了一定的创新性。《商业银行操作风险资本计量指引》将于近日第二次征求意见。
◎中国银行业操作风险管理的实践 操作风险覆盖银行业务的多个领域,上海银监局局长阎庆民认为,当前五方面需要重点关注: 一是重视银行业务流程中的操作风险。要设计清晰、合理、规范的内部流程,实行有效的授权管理,并进行持续的合规评价和改进,从制度上防范操作风险。二是重视IT领域的操作风险。银行需要处理海量数据,越来越依赖于IT技术,在数据安全、系统恢复和灾难备份等方面,尤其应该引起高度重视。三是重视交易系统的操作风险。银行的交易越来越依赖于复杂的交易模型,因此,在模型选择、参数估计及假设检验等方面需要进行持续的评估,同时对交易关键人的权限、交易的执行和交割等要进行有效的管理。四是重视外包业务中的操作风险。部分银行特别是外资法人银行的数据存储、后台清算、信用卡营销等业务实行外包后,银行要充分重视外包业务的操作风险,审慎选择外包对手,并对其风险管控能力进行持续评价。五是重视案件防控方面的操作风险。对于案件防控的操作风险,应该按照银监会“十个联动”及“操作风险管理13条要求”的执行。
有观点认为,操作风险管理的价值创造所在在于流程设计。浦发银行操作风险管理部总经理成斌就过程控制模式的商业银行内部控制体系模型框架进行了剖析。他认为,无论是商业银行提供服务,还是其实现对风险的控制都是通过经营管理活动的流程来完成的,由此,将标准化管理理论、全面操作风险管理理论运用于内部控制体系建设时,应该基于流程来考虑业务和管理的操作要求,在可能的情况下,把所有业务和管理活动划分为一个个流程,并以此为基础进行流程分析、风险识别评估。
过程控制模式的商业银行内部控制体系的特征包括:一是过程方法。要既重视内部控制结果,更重视内部控制过程,以内部控制过程为基础来构建的内部控制体系。二是系统方法。强调内部控制首先是一种系统的制度安排。三是持续改进。必须强调内部控制体系是一个不断改进的动态系统,持续改进,才能够促进商业银行风险控制水平的不断提高。
在建立内部控制体系模型时,应该清楚明了内部控制体系各大要素的关系。在内部控制体系的构成要素上,把握内部控制体系的内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈五大过程。模型设计的原则包括:系统性原则、预防性原则、持续改进原则及可操作性原则。
最近更新