论商业银行操作风险评估框架的构建

摘要:目前我国银行业的改革正处于关键时期,操作风险已成为金融机构所面临的重要风险。对操作风险的控制既要密切结合于我国商业银行的操作风险控制环境, 又要充分借鉴西方发达国家商业银行的操作风险控制经验。本文分析了商业银行操作风险管理的关键因素,并探讨了操作风险评估框架的构建。

关键词:商业银行;操作风险;评估框架

中图分类号:F830.33文献标识码:B文章编号:1674-2265(2009)06-0068-03

操作风险是和市场风险、信用风险并列的商业银行的三大风险之一。而且,操作风险位于银行其他风险的底部。对信用风险和市场风险的管理,需要建立在操作风险管理的基础之上。因为对于它们的管理涉及到专业的人员、技术、组织结构以及控制体系等,而这些都是操作风险的组成部分。所以加强对商业银行操作风险的管理与评估是重中之重。

一、商业银行操作风险的管理关键因素分析

(一)操作风险管理的9个关键因素

1. 开发定义良好的操作风险政策。举例来说,银行需要为模型诊断、闭市交易、非预约交易、法律条文审查等方面设立专门政策。

2. 建立风险识别的通用标准。举例来说,术语“人员风险”包括未能雇用经验丰富的员工,“过程风险”包括执行失误,“技术风险”包括计算机系统崩溃等。

3. 对每一项业务活动都绘制业务流程图。

4. 创建一个“操作风险分类表”来对各种操作风险进行分类和定义。按照人员、流程和技术风险3个方面对这些风险进行分类。值得注意的一点是,应当基于普遍接受的分类定义和分类标准对风险进行分类。

5. 开发一个易于理解的操作风险框架。操作风险评估过程是一个复杂的过程,需要使用标准框架来定期进行评估。

6. 决定如何管理操作风险敞口并且采取适当行动对风险进行保值。银行在对可以进行保险的操作风险进行保险时,必须考察相应的成本和收益问题。

7. 决定如何报告风险敞口。

8. 开发风险分析工具以及应用这些工具的程序。

9. 开发将操作风险测度结果转化为经济资本需求金额的技术。应当开发相应的工具和程序,以使业务处理部门能够在风险和收益基础上,对操作风险作出决策。

(二)操作风险管理的合作性

目前银行对操作风险的管理还很不完善,大都还只依赖一两个专门的部门。风险管理、内部审计和业务管理部门之间常常缺乏协作。目前,银行还没有全面的、涵盖整个银行的管理体系,因此就无法作出银行整体的操作风险报告。更有效地管理操作风险的关键是业务部门和其他部门之间、内部审计部门和风险管理部门之间的协作。

高级管理层负责制定操作风险的政策,有时也可能委托给风险管理部门,最终都需要提交董事会获得批准。必须有合适的政策来限制商业银行面临的操作风险规模。这对中小型商业银行来说尤为重要。

业务管理层的职责是采取行动,他们负责控制每项业务的操作风险。辅助部门也应与其分担一些必要的操作风险管理责任。

自然地,风险管理部门的责任是开发测度和监控操作风险方法。不但要确保识别风险,还要通过资产组合调整来为操作风险提留足够的资本准备,以便有效地控制操作风险。

银行各个部门负责具体执行这些政策、管理这些风险,一般是各司其职。

另外,高级管理层还需要确保其指令得到有效执行,并对执行的效果进行及时评估。这一项工作可交由银行内部的审计部门。内部审计部门需要进行定期审核,以确保操作风险、管理过程的统一性,并且确实按照适当的程序加以执行。

监管法规一般要求审计人员审核风险定价模型和交易部门所使用的估价体系审批程序、风险估测程序的重大变动、风险测度模型涵盖的风险范围。审计应当核实内部模型所有数据的一致性、及时性和可靠性。审计的一个关键作用就是检验波动性和相关度假设的精确度和适用度,以及估价过程和风险转换计算过程的精确度。

审计师们应使用一些检验过程来考察模型的精确度。为了达到这些目标,银行的风险管理部门将需要开发政策、设计操作风险管理方法并且创建必要的辅助部门。之后,操作风险管理的各个职能部门就能管理和分析风险。

二、商业银行操作风险度量与评估框架

(一)操作风险测度的指导方针

操作风险的测度应该有明晰的指导方针,以确保对银行所有业务部门中的操作风险进行适当的测度。指导方针应当包括:“客观性”,是指使用正式的客观标准来衡量操作风险;“一致性”,是指要保证对不同业务部门里相似的操作风险资产组合进行评估所得出的测度结果应该相近;“相关性”,是指风险报告应便于管理层采取相应的操作风险管理行动;“透明性”,是指风险评估报告应确保所有实质性操作风险都以便于高级管理层的方式来进行报告和估计;“银行总体”,报告提交者应当仔细设计操作风险的衡量方式和标准,以使该项评估结果可以在银行总体内进行累积和加总;“完备性”,是指要确保所有实质性操作风险都能得到识别和考察而不会有遗漏项。

(二)操作风险评估框架构建

未预期到的操作错失风险和管理流程的恰当性,以及相应的风险控制过程都需要进行识别和评估。由此,风险评估人员就可以用损失的可能性和损失后果来测度净操作风险。

1. 操作风险的本身特性。各类操作风险之间都存在联结性和相互依存性,不能孤立地考察操作风险。整体风险很可能大于各种单一风险的简单加总。相似地,对损失或风险带来财务冲击的整体评估也会高于(也有可能低于)单一损失评估值的加总。

引发操作风险变化的各种因素可以分为变动、复杂性和疏于防范等几类。变动是指引进新技术或新产品、合并或购并、从内部供应源转向外部供应源等事项。复杂性是指诸如在产品、流程或技术中具有复杂性这类的事实。疏于防范是指对业务的无效管理,特别是在诸如欺诈、未授权交易、隐瞒实情、支付和结算问题、模型运用等关键方面的问题。

2. 净操作风险测度的方式。应当评估下一年内发生操作错失的可能性,并扣除由于保险而减少的风险额,以此来得出总的风险敞口数额以及4类风险各自的额度(即人员、流程、技术和外部依赖)。因为常常不清楚对这些风险如何进行量化,可以表述为从非常低(VL)到非常高(VH)的一个五点可能性的连续集,如表1所示。

损失后果描述发生操作错失时银行可能遭受的潜在损失。由于不可能精确地衡量这些损失,因此一般是用一个按货币计值的范围(例如,5000万美元到1亿美元)来说明这些损失。在操作风险损失后果的评估数中应当扣除风险的减少额。举例来说,如果为了弥补潜在违约风险带来的损失而事先买了保险,那就需要根据保险的金额来调整违约风险的损失后果。

可以预期,在不久的将来,保险产品将在减少操作风险中起到越来越大的作用。并且可以断言,保险产品能提供一种操作风险的价格发现方式,这样操作风险管理部门就可以根据业务管理活动估计出合理的损失后果数额。

在理想状况下,也可以计算各种风险敞口之间的相关度,并将此纳入到对风险敞口的总体测度中去。

3. 整体操作风险的评估。由于缺乏适当的方法将单个损失可能性和损失后果的评估结合到对操作风险的整体衡量中去,因此操作风险的衡量方法受到一定限制。为了进行评估,需要用数字形式来表达损失可能性,举例来说,中等风险表示5-10%的风险发生概率。但如果没有关于运营损失历史统计的全面数据,就无法做到这一点。

现在的做法是将定性方法和定量方法结合起来衡量操作风险。而在无法获得风险数据或者数据不可靠的情况下,可以用定性的方法进行风险评级。只依赖定性或定量的方法并不能对事实进行全面的描述。定量的方法通常过于严格,而定性的方法又过于模糊。因此需要在定量和定性的数据基础之上结合这两种方法计算风险的数量。定性工具主要有三个:风险控制自我评估、计分卡和关键风险指示。对于定量来说,信息有三个主要的来源:内部数据、外部数据和事件。在高级衡量理论下,还要求根据商业环境和内部管理体系来进行调整,并确保数据在理解的情况下和针对收集环境而加以调整的情况下使用。定性工具可以帮助揭示商业和控制环境的变化,也越来越多地被用来进行辅助调整。

(1)定性工具。第一,风险控制自我评估法。在没有专门机构来评估操作风险时,每个业务管理人员就需要进行自我评估,这种形式并不大可能提供有意义的信息,在正常情况下,高级管理层试图通过运用适当的激励手段将业务经理的个人利益与业务结合为一个整体。如果这种结合是有效的,那么自我评估确实可以比较准确地反映出风险的真实情况。

第二,计分卡。计分卡对每一个暴露在操作风险下的商业个体进行评估,每个管理层可以用来调整针对操作风险的资金持有水平。这个方法说明了操作风险资本和银行操作风险诱因等与银行内部控制环境的充分程度有关。这个方法提高了操作风险控制水平,认为资本计算的变化不能和发生的损失相关,而是应随着风险和控制环境的变化而变化。

第三,主要风险指标。主要风险指标最重要的作用是能在损失发生以前对风险和控制环境的变化提供早期预警。

(2)定量工具。此处定量工具主要研究事件。与风险控制自我评估和计分卡一样,在专家眼中,事件也是定性风险评估工具。但是RCSA(风险自我评估法)和计分卡是作为风险管理工具,并可用作资本定性调节。事件开始作为资本模型中的定量信息,现在直接应用到建立模型的过程中。事件分析的过程包括以下几个步骤:事件发生、事件评估、数据确认、结合进高级衡量理论。

在理想状况下,也可以计算各种风险敞口之间的相关度,并将此纳入到对风险敞口的总体测度中去。目前风险经理们更倾向于对每项损失后果评估值进行简单加总。

4. 界定原因和结果。损失的金额数据相对而言要比引起损失的因素数据更易于收集,使操作风险的度量复杂化。这是因为每一项损失都有可能有几个引致原因。这些原因之间的关系以及每种原因的相对重要性都很难以客观的方式加以评估。举例来说,根据最实用的原则,银行应当在风险管理团队内部设立一个独立分析部门来专门负责评估所使用的全部数学模型。如果损失是由建模风险引起的,则可以认为没有建立起来这种分析部门是引发损失的根本原因;不过,也不否认存在其他一些因素会导致损失,这些因素包括人员失误或者产品的复杂性等。很多银行的做法是先收集损失数据,然后再试图找出造成这些损失的原因。这些工作一般在收集到损失数据后才开始。

三、总结

操作风险是我国商业银行风险防范的一个重点和弱点。而巴塞尔《新资本协议》对资本充足率提出了更高的要求,因此必须对操作风险给予必要的重视,加强对操作风险损失数据的收集整理,加强对操作风险的管理,突出对操作风险的量化研究。

业务部门、业务基层团队和企业管理部门(诸如内部审计部门和风险管理部门)在操作风险的管理方面必须要进行协作。而对高级管理层来说,关键的挑战就是协调业务部门、基层部门、企业管理部门、内部审计部门和风险管理部门的行为模式。

参考文献:

[1]米歇尔・科罗赫.风险管理[M].北京:中国财政经济出版社,2003:395.

[2]罗平.巴塞尔新协议考验中国银行业[J].国际金融报,2003,17(3):11-12.

[3]吴志攀.金融法概论[M].北京:北京大学出版社,2005:456.

[4]Kamala R.Raghavan.Internal Control and Operational Risk:FDICIA,Sarbanes―Oxley and Basel II[J].BankAccounting& Finance,2006(4).

[5]GeorgeH.Henpel.JohnWiley&Sons.BankManagernt,Inc,2002(35).