操作风险管理研究.doc

操作风险管理研究摘要：操作风险事故使国际、国内的商业银行遭受巨额的损失，引起了银行管理层的高度重视。但国内银行业对操作风险尚未有一个全面、系统的认识，制约了国内银行业对操作风险管理的实践。本文从巴塞尔新资本协议所定义的操作风险概念、特征、类型对操作风险进行了阐述，并对如何加强和改进操作风险管理机制提出了相应的方法。在银行的监管中，信用风险与市场风险很早就引起金融机构的重视，并在19世纪7080年代开始，就已经形成了较为成熟的风险管理技术。特别是信用风险，从现代银行产生的第一天开始，银行就通过承担信用风险来获得利润。但是，对操作风险来说，尽管该概念提出有很长的历史，但把操作风险作为银行风险管理的三大风险之一则是近几年的事情。近年来，国际上频繁发生的操作风险事故使商业银行遭受巨额的损失，引起了银行管理层的高度重视。国际上一些先进的银行在操作风险管理上积累了较为丰富的经验，并形成了自身独特的操作风险文化和理念。国内银行业对操作风险尚未有一个全面、系统的认识，制约了国内银行业对操作风险管理的实践。一、操作风险的涵义、特点、分类根据巴塞尔新资本协议的定义，操作风险(operationalrisk)是由不完善的或有问题的内部程序、人员及系统以及外部事件所造成损失的风险，其中包括法律风险，但不包括策略风险和声誉风险(strateSicandreputationalrisk)。与所有的风险一样，对于银行而言，操作风险指的是操作实际绩效低于预期绩效的可能性。这个定义有五个特点：一是关注内部操作，内部操作常常就是银行及其员工的作为或不作为，银行能够也应该对其施加影响；二是重视概念中的过程导向；三是人员和人员失误起着决定性作用，但人员失误不包括出于个人利益和知识不足的失误；四是外部事件是指自然、政治或军事事件，技术设施的缺陷，以及法律、税收和监管方面的变化；五是内部控制系统具有重要的作用。目前常见的操作风险分类方法将其划分为以下七种事件类型：（一）内部欺诈：有机构内部人员参与的诈骗、盗用资产、违犯法律以及公司的规章制度的行为。例如内部人员虚报头寸、在职员的账户上进行内部交易等等。（二）外部欺诈：第三方的诈骗、盗用资产、违犯法律的行为。例如抢劫、伪造、开具空头支票以及黑客行为对计算机系统的损坏。（三）雇用合同以及工作状况带来的风险事件：由于不履行合同或者不符合劳动健康、安全法规所引起的赔偿要求。例如，工人赔偿要求、违犯雇员的健康安全规定、有组织的罢工以及各种应对顾客负有的责任。（四）客户、产品以及商业行为引起的风险事件：有意或无意造成的无法满足某一顾客的特定需求，或者是由于产品的性质、设计问题造成的失误。例如滥用客户的秘密信息、银行账户上的不正确的交易行为、洗钱、销售未授权产品等。（五）有形资产的损失：由于灾难性事件或其他事件引起的有形资产的损坏或损失。例如恐怖事件、地震、火灾、洪灾等。（六）经营中断和系统出错：业务的意外中断或系统出现错误。例如软件或者硬件错误、通信问题以及设备老化。（七）涉及执行、交割以及交易过程管理的风险事件：交易失败、过程管理出错、与合作伙伴、卖方的合作失败。例如交易数据输入错误、间接的管理失误、不完备的法律文件、未经批准访问客户账户、合作伙伴的不当操作以及卖方纠纷等。业务部门是按照损失事件发生的部门，来对损失事件进行分类。Basel委员会划分的商业银行的业务部门包括：（一）公司财务：合并与收购、股份承销、资产证券化、首次公开上市发行、政府债券和高收益债券等。（二）交易与销售：固定收益债券、股权、商品期货、信用产品、自有头寸证券、租赁与赎回、经纪、债务。（三）零售银行业务：零售的存贷款业务、私人的存贷款业务、委托理财、投资建议。（四）商业银行业务：项目融资、房地产、出口融资、交易融资、代收账款、租赁、担保、贷款。（五）支付与清算：支付、转账、清算。（六）代理服务：契约、存款收据、证券借贷、发行和支付代理。（七）资产管理：可自由支配的资金管理和不可自由支配的资金管理。（八）零售经纪：零售的经纪执行以及其他服务。 已有的研究表明，从银行的业务线来看，交易和销售、零售银行业务、商业银行业务是造成操作风险损失的主要业务线，三者合计比重达到73%以上。特别是零售银行业务则是发生操作风险事件最多的业务线，其比重达到60%以上。从操作风险类型来看，外部欺诈是发生数目最多的操作风险类型，而内部流程管理不慎所导致的损失则是最大的。 操作风险与信用风险、市场风险的最大不同就在于，信用风险与市场风险在内的各类风险基本符合正态分布特征（即钟形曲线），这些风险量化可以用风险概率分布方式测量与描述，因此银行也可以根据自身的历史数据对风险进行有效测量。 不过操作风险量化则不一样，它的量化一般用所谓U状曲线来描述。因为任何一家银行新业务开展或新系统刚上线时，由于规章制度不完善、员工操作经验不足、管理上的漏洞等因素，都会使得出现操作风险的概率较高。如果这些问题逐步解决，就会使操作风险的频率降低。不过，当已有的系统开始老化、当现有的市场经济环境发生变化后，原有的规章制度与系统已经不适用已经发生新变化的运营环境了，此时的操作风险又重新上升。 由于操作风险表现的特征和人们对操作风险认识的观念差异，所以操作风险量化的方式也是不一样的。操作风险量化的方式常用的有三种：基本指标法、标准法和高级计量法。基本指标法，即操作风险以银行业务活动的规模来测量，如操作风险资本金等于前三年总收入的平均值乘以15%。这种方式容易量化，但无法反映出操作风险的特点与需要，风险敏感度比较低，它比较适用于规模较小、业务单一的银行，而对业务复杂的银行则不太适合。 以产品线分类计算的标准法，就是对不同业务线的操作风险进行分类监控和分类度量。这也就是将银行的总收入按照业务类别分为公司金融、交易、零售业务、商业银行业务、支付和清算、代理服务业务、资产管理及零售经纪业务共八类，监管当局对每类业务收入的操作风险的资本要求制定不同的乘数，然后每类业务也用前三年总收入平均数乘以该乘数，由此得出不同类业务操作风险的资本要求。 高级计量法就是指银行可以依靠其内部系统决定针对操作风险的资本要求。其目的就在于如何来发挥银行本身的积极性，鼓励银行在操作风险管理方面的创新，同时对银行管理、数据、人员等厘定更高的风险防范的标准。 而高级计量法转化可操作的方式就是尝试运用打分卡法和损失分布法。打分卡法主要通过调查和专家分析设计出多项前瞻性的关于操作风险的指标，并用这些指标来量化操作风险，测算和分配其他方法计算出来的资本金；损失分布法类似于信用风险和市场风险的量化方法，通过统计模型计算出主要的风险因素，然后利用情景分析等方法得出操作风险损失分布和对应的风险值。从这些操作风险度量方式可以知道要量化操作风险，关键在于估计出每一类损失事件的风险指标、损失事件可能性、损失比率三个参数，有了这些参数也就可以计算出操作风险的大小了。 对操作风险的管理，它必须在上述操作风险量化的基础上进行。因此，操作风险的管理既包括对银行业务运作中各个操作环节制定相应的政策、规章制度、操作规范制度层面上的安排，也包括了对所有的业务流程操作风险的严格定义与规范。这种管理会根据银行的业务种类和流程，制订相应的操作风险管理流程和框架，同时在此基础上对这些政策、制度及流程规范执行情况进行检查、事故调查、危机处理等相应的管理和保障措施等。二、操作风险管理方法近年来，国际和国内银行业操作风险事件频发，给商业银行带来了巨大的损失。尤其是国内近期频频发生的系列金融大案要案，再次提醒我们，对于处在经济转型之中和正在加速推进改革开放的中国银行业来说，防范操作风险是一个十分重要而紧迫的课题，我们必须进一步提高对防范操作风险的认识，加强和改进操作风险管理，加快构建防范操作风险的长效管理机制，从根本上加以有效控制。（一）国际银行业操作风险管理实践的启示巴塞尔银行监管委员会在其发布的新资本协议草案的第一支柱最低资本要求所覆盖的风险领域中，率先将操作风险纳入管理内容，并对金融机构提出了为操作风险配置相应资本金的明确要求。同时，为引导商业银行更好地管理操作风险，巴塞尔委员会提出了与建立操作风险管理框架有关的10条原则。这10条原则可进一步细分为战略、流程、基础设施和环境四个部分。战略设定了操作风险管理的总基调和基本方法，包括业务目标、风险容忍度、管理模式以及与操作风险管理相关的政策；流程是在既定战略框架下风险管理的日常活动和过程；基础设施是指用于风险管理中的系统和工具；环境包括文化和相关因素。巴塞尔委员会特别指出，对于操作风险防范，一套较为完整的管理目录，有助于对业务流程进行组织，并在银行内部形成共同的价值观和语言。西方发达国家的商业银行，尽管成立时间不同、历史背景不同、监管环境不同，但在巴塞尔协议的统一要求下，他们都从各自的管理实际出发，逐步形成了各具特色、各有侧重的操作风险管理流程和框架。在此我们无法一一描述，但他们的成功实践表明：尽管操作风险分布的领域点多面广，事件发生的不确定性、偶然性、突然性很大，但操作风险管理并非没有规律可循。关键是要能透过现象看本质，发现并遵循操作风险管理的基本规律。第一，强烈的风险意识。操作风险的控制并不是业务流程中可有可无的附属产品，而是为实现经营目标所必须承担的。首先，必须赋予操作风险控制以明确的价值取向。明确操作风险与银行成本、收益以及股东价值之间的关系，使所有员工意识到，其实施的风险控制行为，能直接使他们自身受益。其次，有高层管理者的支持。高级管理层坚信，操作风险的控制过程能给银行带来价值，增进运行质量，降低波动性。同时，高层管理者应在机构内部创造一种文化，向各层次工作人员强调并说明内部控制的重要性，使所有员工都意识到自己在内控中的作用，并充分参与这一过程。第三，激励内置于系统之中。绩效的设定禁止员工逆风险管理价值行事。同时，通过风险控制水平的提高，改进操作风险计量方法，减少其所占用的资本金也是重要的激励手段。第二，细分的管理流程。操作风险管理的目的就在于加强操作环境中的有害识别与控制，这就需要有一个非常详尽细化的管理框架来设计流程，包括风险识别、评估、分析、控制、监督和报告等环节。在每个环节，有必要制定具体的实施程序和步骤，以增强流程的可操作性。如，关于风险监督，必须建立一套操作风险的监控程序，尤其要为操作风险建立衡量标准或关键的风险指标，以确保重大风险事件的相关信息被传递至适当的管理层。同时，细分的管理流程强调管理流程是体现在具体的业务活动上的一个动态持续的和协调的过程。第三，协作的内部关系。操作风险的管理散布于各业务岗位，这种分散性特点决定了具体业务部门在操作风险管理方面必须承担第一位的责任。同时，有效的操作风险管理取决于业务部门、内部审计部门、风险管理部门以及其他部门之间的协作关系。这种协作关系有三个含义：一是操作风险管理部门要从运营环境中提取必要的风险信息，及时提交风险报告，制定控制政策；二是银行各个业务部门各司其职，负责执行政策，管理风险；三是内部审计部门定期审核，以建立有效的横向制约机制，确保操作风险、管理过程的统一性，并且确保按照适当的控制程序加以进行。第四，良好的职业操守。首先，银行必须向全体员工强调操作风险的危害性，阐明其控制的立场与态度，传达行为取向信息。其次，要在银行内部培养员工共同的价值观，增强操作风险控制意识和自觉性。第三，要通过知识和技能的培训，使每个管理和业务环节上的员工，都清晰地明白该业务可能存在的风险点、银行内部的风险控制政策、对风险的容忍度以及违规操作可能遭受的惩戒，增加操作风险控制行为的针对性。 以上诸多方面可以从制度、文化、人三个角度进一步概括。因为任何操作风险都是人的行为造成的，而人的行为要受制度约束和文化的熏陶。因此，要从根本上控制和减少操作风险，形成操作风险防范的长效管理机制，必须着力抓好制度、文化和人三个关键要素。（二）加强和改进国内银行操作风险的方法第一是切实加强制度建设，增强制度执行力，真正建立起靠制度管人管事的长效机制；通过加强安全设施建设和业务操作流程控制，把操作风险隐患控制在业务前端，消灭在萌芽状态。第二是完善会计监管体系，分离前后台业务核算操作与监督，强化风险环节控制。全面构建以会计结算业务操作风险管理为核心的现代商业银行操作风险管理体系，在会计核算管理的前台、中台、后台形成一条管理链，构建管理科学、权责明确、监管有力、高效集约的会计监管体系。第三是加强信贷管理，严格控制信贷风险。从严格准入条件、提高调查质量、加强评级授信和授权管理、落实贷后管理、完善信贷责任追究制度等进行全过程信贷风险管理，积极采取风险防范控制、清收转化措施，把风险和损失控制在最小限度内。第四是加强各项监测指标分析监测工作力度，提高分析监测工作水平，针对工作中存在的问题和风险点，研究制定解决问题的有效办法和具体措施，有针对性的开展监测督导工作，提高全行操作风险监测和分析水平，真正达到防范风险、促进各项业务健康发展的目的。第五是加强员工行为管理，有效遏制操作风险。提高全行员工的业务操作、案件防范意识。坚持“一手抓业务、一手抓制度”两手都要硬的原则，通过加强员工思想教育，提高员工法律意识和制度意识，增强自我保护和自觉防范能力，构筑思想道德防线。参考文献：1、伯特布鲁金克、艾利斯范登蒂拉特：风险进入真实世界新的资本充