操作风险管理与监管的稳健做法

金融服务的管制放松和全球化，加上日益先进的金融技术，正在使银行业务及其风险组合更为复杂。世界范围内显著操作损失事件不断发生，巴塞尔银行监管委员会将之称为“操作风险”，并定义为“由于不当或失败的内部程序、人员和系统或因外部事件导致损失的风险”。虽然每家银行对操作风险管理的正确方法取决于一系列因素，包括其自身的规模和经验、业务的特性和复杂程度。但是，有一些因素，如董事会和高级管理层的明确战略和监督、健康的操作风险文化和内部控制文化、有效的内部报告和应急方案，对规模和业务范围不同的各类银行来说，都是建立有效的操作风险管理框架的关键方面。因此，巴塞尔银行监管委员会列出涉及有效管理与监管操作风险总体框架的一套原则，银行及监管当局可依据这些原则评估操作风险管理政策及做法。操作风险管理与监管的稳健做法巴塞尔银行监管委员会（2003年2月）（一）营造适宜的风险管理环境如果对操作风险不了解、欠管理（实际上存在于各种银行业务与经营活动中），可能会导致部分风险不被识别而失控。董事会与高级管理层都有责任营造这样一种公司文化，即将有效的操作风险管理与坚持稳健的营运控制确立为重中之重。当一家银行的文化以高标准的道德操守严格要求各级管理者时，操作风险的管理才会最为有效。董事会与高级管理层应通过各种活动和言语，努力促进这种公司文化的建立，使全体员工在从事银行业务中遵守统一的行为规范。原则1：董事会应了解本行的主要操作风险所在，把它作为一种必须管理的主要风险类别，核准并定期审核本行的操作风险管理系统。该系统应对存在于本行各类业务中的操作风险进行界定，并制订识别、评估、监测与控制/缓释操作风险所应依据的原则。这里所称的管理结构包括董事会和高级管理层。关于董事会和高级管理层的职能，各国的立法和管理框架存在重大差异。在某些国家，董事会主要（如果不是全部）负责监督执行机构（高级管理层、一般管理层），以确保后者完成任务。由于这个原因，在某些情况下，它被称为监事会，这就是说董事会没有行政职能。在其他国家，董事会职权较广，负责制定银行管理层的整体工作框架。由于这些差异，本文中使用的术语“董事会”和“高级管理层”，并不是去确定它们的法律结构，而是把它们当作一家银行的两个决策职能机构。董事会应批准在全行范围内采用操作风险管理系统，并将操作风险作为一种主要风险来管理，以确保银行的安全与稳健。董事会应为高级管理层就这些原则制订明确的指引，并核准其拟订的相应政策。操作风险管理系统应建立在对操作风险的适当定义之上，该定义应列明本行操作风险的具体构成。该系统应通过制订具体的风险管理政策、操作风险管理行动的先后顺序（包括向银行外转嫁操作风险的程度和方法），以阐明本行对操作风险的喜好和容忍度。该系统还应包括具体的政策规定，列明本行识别、评估、监测和控制/缓释风险的方法。一家银行操作风险管理系统的规范与复杂程度应与其风险状况相称。董事会应负责建立一个能够有效执行操作风险管理系统的管理架构。由于操作风险的管理在很大程度上依赖于内控的完善与否，因此董事会应对管理层的职责、权限与报告制度作出明确的规定，这一点至关重要。此外，操作风险控制、业务操作和后台服务等部门间的职责与报告渠道也应分离，以避免出现利益冲突。管理系统还应在关键程序上作出明确规定以便于操作风险的管理。董事会应对本行的操作风险管理系统进行定期检查，以应对由于外部市场变化和其他环境因素导致的操作风险以及与新的产品、业务、系统相关的操作风险。检查的另一目的还在于，探寻适宜本行业务、系统和程序的操作风险管理的最佳业界做法。如有必要，董事会还可根据相关分析对本行的操作风险管理系统进行修订，以便将主要操作风险纳入管理系统之中。原则2：董事会要确保本行的操作风险管理系统受到内审部门全面、有效的监督。内审部门必须拥有一支独立运作、训练有素、业务精良的内审队伍。内审部门不应直接负责操作风险的管理。银行应有完善的内审制度，以使本行的经营方针和各项规章制度得以有效实施。董事会应（直接地或通过审计委员会间接地）确保审计的范围和频度与本行的风险状况相适应。内审部门应定期检查本行的操作风险管理系统是否由上至下得到有效贯彻。由于内审部门负责对操作风险管理系统的监督，因此董事会必须确保审计部门的独立性。如果内审部门直接参与到操作风险的管理过程中去，则其独立性就会大打折扣。内审部门可以向操作风险管理人员提供有价值的意见，但本身不应直接负责操作风险的管理。委员会发现，在现实情况中，有些银行（特别是小银行）的内审部门可能会负责最初阶段的操作风险管理方案的制订。如有银行存在这种情况，则应将操作风险的日常管理职能及时从内审部门转移出去。原则3：高级管理层应负责执行经董事会批准的操作风险管理系统。该系统应在银行内各部门得以持续的贯彻执行，并且各级员工也应了解自己在操作风险管理中的责任。高级管理层还应负责制订相关政策、程序和步骤，以管理存在于银行重要产品、活动、程序和系统中的操作风险。管理层应将董事会建立的操作风险管理系统转化成为具体的政策、程序和步骤，以便于不同业务部门贯彻落实和对照检查。虽然各级管理者要在各自的权限内负责相关政策、程序、步骤和监控的适宜性与有效性，高级管理层必须对各职能部门的责权关系和上下级报告关系作出明确的界定，以使各部门对自身的权限与职责始终保持清晰的认识，并调动足够的资源对操作风险进行有效的管理。此外，高级管理层在对风险监控程序的适用性进行评估时，还应将各部门的业务政策本身所固有的风险纳入到考虑范围之内。高级管理层应确保本行的业务经营是由一批拥有必要的经验、技能和资源的称职员工来承担，而且负责本行风险监控与合规性检查的员工必须拥有独立于其所监控的部门的权力。管理层应确保所有在存在重大操作风险的岗位工作的员工都清晰了解本行的操作风险管理政策。高级管理层应确保负责操作风险管理的员工与负责信贷、市场和其他风险的员工，以及本行内诸如负责购买保险和联系外仓业务的人员进行有效的沟通。否则很可能会导致全行风险管理出现真空或职责重叠。高级管理层要确保银行的薪酬政策与其对风险的喜好相适应。鼓励员工偏离既定政策（如超过规定的限额）的薪酬制度会弱化银行的风险管理过程。对文件控制质量和交易处理方式也需特别注意。有关政策、程序和步骤（特别是与支持巨额交易量的先进技术相关的），必须形成书面文件并传达到所有相关员工。（二）风险管理：识别、评估、监测和缓释/控制原则4：银行应该识别和评估所有重要产品、活动、程序和系统中固有的操作风险。银行还应该确保在引进或采取新产品、活动、程序和系统之前，对其中固有的操作风险已经经过了足够的评估步骤。风险识别对后续开发可行的操作风险监测和控制系统至关重要。有效的风险识别要同时考虑内部因素（例如银行的结构、银行业务的性质、银行人力资源的素质、组织机构的变化、员工的流动性）和外部因素（如行业的变化和技术的进步）。这些因素可能对银行目标的实现造成重大不利影响。在识别绝大多数潜在的不利风险的同时，银行还应该评估自身对这些风险的承受能力。通过有效的风险评估，银行可以更好地掌握其风险状况和最有效地使用风险管理资源。银行用于识别、评估操作风险的工具可能包括：?自我或风险评估：银行对其经营和业务中一系列可能蒙受的潜在操作风险进行评估。这一过程属于内部驱动并且经常通过列出清单和/或使用工作组的形式来识别操作风险环境的优劣。例如，记分卡把定性评估转换成定量指标，这样就可以对不同的操作风险类别进行相对排序。某些分数对应的风险可能仅与某类特别业务系列有关，而另一些分数可能对应许多类业务系列的风险。分数可能根据固有风险来定，也可能根据缓释风险的控制措施来打分。另外，银行可以用记分卡，即根据各部门在管理和控制各类操作风险方面的业绩，来决定经济资本的分配。?风险对应关系：在这一过程中，各业务单位、机构职能部门或程序流程都与风险类别之间建立起对应关系。这一行动可以暴露弱点所在，并且有助于突出后续管理行动的重点。?风险指标：风险指标是指用来考察银行的风险状况的统计数据和/或指标（通常是财务方面的）。对这些指标要进行定期（逐月或逐季）审查，以提醒银行有关风险可能的变化。这些指标可能包括失败交易的次数、员工流动比率、错误和遗漏的频率和/或严重程度。?计量：一些公司已经开始使用许多方法来量化其操作风险程度。例如，银行历史损失记录的数据可以用于帮助评估银行蒙受操作风险的程度以及开发缓释/控制风险的政策。充分利用这些信息的有效方法之一是建立一种制度来系统跟踪和记录每项损失事件的频率、严重性和其他相关信息。一些公司还已合并使用内外部损失数据、方案分析和风险评估因素。原则5：银行应该制定一套程序来定期监测操作风险状况和重大损失风险。对积极支持操作风险管理的高级管理层和董事会，应该定期报告有关信息。一套有效的监测程序对充分管理操作风险至关重要。定期监测行为有利于快速发现并且纠正管理操作风险的政策、程序和步骤中的缺陷。迅速发现和处理这些缺陷可以大大减少损失事件的频率和/或严重程度。除监测操作损失事件外，银行应该明确适当的指标，以便为将来损失增大的风险提供早期预警。这样的指标（通常被称为关键风险指标或早期预警指标）应该具有前瞻性，并且可以反映操作风险潜在的原由，例如快速增长、推广新产品、员工流动、交易中断、系统检修等等。如果这些指标都设有门槛值，那么一套有效的监测程序可以帮助明确识别各项重大风险，并且促使银行对这些风险采取适当的行动。监测的频度应该反映所包含的风险以及操作环境变化的频率和性质。监测应该是银行业务活动的不可分割的一部分。这些监测活动的结果应该写入定期的管理层和董事会报告之中，就好比由内部审计和/或风险管理职能部门进行合规性检查一样。由（和/或及为）监管当局撰写的报告内容应包括监测方面的情况，并且如果适宜的话，应该内部抄报给高级管理层和董事会。各业务单位、集团内职能部门、操作风险管理办公室和内部审计等相关机构应该定期向高级管理层呈送报告。操作风险报告内容应该包括内部财务、操作和合规性数据以及有关决策的事件和情况的外部市场信息。报告应该分发给相应的各级管理层以及可能受到影响的银行内有关单位。报告应该充分反映所有识别出的问题，并且应该提议对突出的问题及时采取纠错行动。为了确保这些风险和审计报告的有效性和可靠性，管理层应该定期核实报告制度和内部控制在总体上的及时性、准确性和相关性。管理层还应该使用外部人员（审计师、监管者）撰写的报告，以便评估内部报告的有效性和可靠性。对报告要进行分析，以便改善目前的风险管理业绩以及开发新的风险管理政策、步骤和做法。一般说来，董事会应该收到足够的高层信息以便使他们了解银行的整个操作风险状况并专注于重大和具有战略意义的业务。原则6：银行应该制定控制和/或缓释重大操作风险的政策、程序和步骤。银行应该定期检查其风险限度和控制战略，并且根据其全面的风险喜好和状况，通过使用合适的战略，相应地调整其操作风险状况。控制行动针对的是银行已经识别出的操作风险。对于所有已经被识别的重大操作风险，银行应该决定是采用合适的步骤来控制和/或缓释风险，还是忍受风险。对于那些不能控制的风险，银行应该决定是否接受这些风险，减少相关业务活动程度，或完全停做此类业务。银行应该制定控制程序和步骤，并且制定一套书面的制度以确保遵循有关风险管理系统的内部政策。原则要素可以包括如下：高层审查银行朝着预定目标的进展情况；检查遵守管理控制措施的情况；审查、处理和解决违规问题的有关政策、程序和步骤；确保有一套相应管理层责任明确的成文的审批和授权制度。虽然一整套书面正式的政策和步骤很关键，但是更需要一种强有力的促进稳健风险管理的控制文化。董事会和高级管理层都有责任建立强有力的内部控制文化，因为控制措施是银行正常业务活动不可分割的一部分。控制措施与正常业务活动的有机结合可以使银行对变化的情况作出快速反应，并且避免发生不必要的成本。一个有效的内部控制系统还要求职责的适当分解，而且在划分责任时应避免利益冲突。如果职责划分给某些个人或一个小团体时出现利益冲突，这些人就可能会隐藏损失、错误或不当行为。因此，潜在的利益冲突领域应该被识别、减少，并要经受独立的认真监测和审查。除了职责分解之外，银行还应该确保制定了其他内部做法来适当控制操作风险。这些做法的实例包括：密切监测遵守指定风险限度或门槛的情况；对接触和使用银行资产的记录进行安全防卫；确保员工拥有适当的技能和培训；识别某些回报似乎与合理预期不符的业务系列或产品（例如：某种低风险、低收益的交易活动出现高回报，就要怀疑是否如此回报的取得源自内部控制违规）；定期对交易和账户进行复核和对账。最近几年，因为没有执行此类做法已经导致某些银行发生了重大的操作风险损失。操作风险更加明显的领域包括：银行从事新业务或开发新产品（特别是这些业务活动或产品与银行的核心业务战略不符）、进入不熟悉的市场、在远离总部的地区从事的业务。在上述情况中，公司没有保证其风险管理控制基础设施跟上业务活动的增长速度。近几年发生的几起金额最大、影响最广的损失事件或多或少地存在上述情形。因此，银行必须确保：如果此类情形存在，则要特别关注内部控制行为。一些重大操作风险发生的概率虽低，但潜在的财务影响却非常大。而且，并非所有的风险事件都能够被控制（例：自然灾害）。风险缓释工具或方案可以用来减少此类事件的风险、频率和/或严重性。例如，对那些具有迅速并且明确的支出特点的业务，保险单可以用来转嫁低频率、很严重的损失风险，而这种损失风险可能是由于错误和遗漏、证券的有形损失、雇员或第三方欺诈以及自然灾害而引起的第三方索赔。然而，银行只能把风险缓释工具作为补充手段，而不能代替全面的内部操作风险控制。建立快速识别和纠正合法操作风险错误的机制可以大大地减少风险。还应该认真考虑风险缓释工具（诸如保险）真正减少风险、把风险转嫁到其他业务或领域甚至产生一种新风险（如法律风险或交易对手风险）的程度。对适当的处理技术和信息技术安全进行投资，对于风险缓释也很重要。然而，银行应该明白，自动化增加可以把高频率、低数额的损失转换为低频率、高数额的损失。后者的原因可能是由内部因素或超出银行直接控制的因素（如外部事件）造成的损失或长时间的服务中断。此类问题或许给银行造成严重困难，并且可能损害一家机构从事主要业务活动的能力。正如下面原则7所讨论的，银行应该建立灾难恢复和业务连续方案来应对这种风险。银行应该制定政策来管理与外仓行为有关的风险。业务外仓可以减少机构的风险状况，因为它可以把相关业务转给具有较高技能和规模的其他人来管理。然而，银行借助第三方的力量并不能减少董事会和管理层确保第三方的行为安全稳健并且遵守相关法律的责任。业务外仓应该有严谨的合同和/或服务协议做基石，以确保外部服务提供者和银行之间责任划分明确。而且，银行需要管理与外仓安排有关的后续风险，包括服务中断。根据业务活动的规模和性质，银行应该了解任何潜在缺陷对其经营和客户的潜在影响，这种缺陷是指供应商和其他第三方或集团内部服务供应者提供服务的缺陷，包括营业中断和潜在的业务失败或外部合同方违约。董事会和管理层应该确保各方的期望和义务规定明确、理解无误并且具有可操作性。外部供应方的责任限度以及因其错误、疏忽和其他操作失败而对银行进行财务补偿的能力应该被明确地列入风险评估的一部分。银行应该进行初始尽职测试并且监测第三方供应商的业务（特别是那些缺乏银行业规范环境从业经验的），银行还应该定期审查这一过程（包括尽职重估）。对于关键业务，银行可能需要考虑应急方案，包括外部替代方的可行性以及可能在短期内转换外部合同方所需要的资源和成本。在某些情况下，银行可以决定是否保留一定水平的操作风险或自我防范那种风险，如果风险重大，那么保留或自我防范风险的决定在机构内应该是透明的，并且与银行的整体业务战略和对风险的喜好相吻合。原则7：银行应该制定应急和连续营业方案，以确保在严重的业务中断事件中连续经营并控制住损失。由于存在银行不可控制的因素，当银行的物资、电讯或信息技术基础设施严重受损或不可用时，可能导致银行无力履行部分或全部业务职责，结果给银行带来重大经济损失，或通过诸如支付系统等渠道而造成更广的金融系统瘫痪。这种可能性的存在要求银行建立灾难恢复和业务连续方案，即考虑银行可能遭受的各种可能的情形，方案还应该与银行经营的规模和复杂性相适应。银行应该识别那些迅速对恢复服务至关重要的关键业务程序，包括那些依赖外部供应商或其他第三方的业务。对于这些程序，银行应该明确在中断事件中恢复服务的替代机制。应该特别关注恢复电子或物理记录功能，因为这是恢复业务必备的。如果这样的记录是由非现场设施进行数据备份的话，或当银行的营业必须搬迁到一个新地点时，则要注意这些地点与受到影响的营业保持足够的距离，以便减少主要记录及设施与备份同时瘫痪的风险。银行应该定期检查其灾难恢复和业务连续方案，以保证与其目前的经营和业务战略吻合。而且，对这些方案要进行定期测试，以确保银行在低概率的严重业务中断事件发生时能够执行这些方案。监管者的作用原则8：银行监管者应该要求所有的银行，不管其大小，制定有效的制度来识别、评估、监测和控制/缓释重大操作风险，并且作为全面风险管理方法的一部分。监管者应该要求银行开发操作风险管理系统，并遵循本文中的指引且与银行的规模、业务复杂性和风险状况相适应。考虑到操作风险对银行的安全与稳健构成威胁，监管者有责任鼓励银行开发和使用更好的技术来管理这些风险。原则9：监管者应该直接或间接地对银行有关操作风险的政策、程序和做法进行定期的独立评估。监管者应该确保有适当的机制保证他们知悉银行的进展情况。监管者独立评估操作风险的内容应该包括以下：银行风险管理程序的有效性，以及有关操作风险的全面控制环境；银行监测和报告其操作风险状况的方法，包括操作风险损失数据和其他潜在操作风险指标；银行及时有效解决操作风险事件和薄弱环节的步骤；银行为保证全面操作风险