从1995年,英国的外汇交易员里森(Nick Leeson)的违规操作导致巴林银行(Barings Bank)破产,到2013年,中国的招商银行计算机系统故障导致全国交易短暂暂停使得大量客户蒙受巨大损失……国内外商业银行的日常经营一直为我们敲响操作风险的警钟!
著名的法兴银行弊案前后,商业银行操作风险事件一直不胜枚举。从1995年,英国的外汇交易员里森(Nick Leeson)的违规操作导致巴林银行(Barings Bank)破产,到2001年UBS(瑞银)交易事件中一位交易员把“每股61万日圆,卖出16股”打成“每股16日圆,卖出61万股”,几秒钟内使公司损失7100万英镑,再到2010年,中国齐鲁银行被外部人员诈骗,涉案金额高达101亿元人民币,以及2013年,招商银行计算机系统故障导致全国交易短暂暂停使得大量客户蒙受巨大损失……国内外商业银行的日常经营已历经的各种操作风险,提醒我们时刻敲响操作风险的警钟。
国际银行业的风险管理实践表明,有怎样的风险认识,决定了有怎样的风险管理水平。对于操作风险,我国商业银行研究起步较晚,管理水平不高,而随着高新科技在银行业的发展、产品创新频率的加快等内外部环境的变化,我国银行业中诱发操作风险的因素越来越多,操作风险事件越来越密集地发生,并给整个银行业带来巨大损失。在这一领域,当务之急是界定商业银行操作风险的内涵、特征及分类,并分析其表现形式,研究其产生的内外部原因,并科学有效度量操作风险,在此基础上提高操作风险管理水平。
无处不在的操作风险
操作风险事件几乎每天都在银行业内发生。简单来说,银行只要开门营业,就会面临各种由于人员、流程、系统及外部环境冲击所带来的风险。例如,客户的欺诈、伪造、纠纷等风险,内部人员越权、勾结、差错、盗窃的风险,以及系统宕机、产品瑕疵、管理不当的风险。
商业银行操作风险涉及商业银行的每一项业务及其相关人员,这也是其同信用风险、市场风险的主要区别。事实上,在商业银行面临的三大风险中,影响并危及银行运营的最主要风险即是操作风险。只是由于对于操作风险的认识较为模糊,加之对如何系统性地进行管理尚无经验可循,操作风险管理经常被管理者有意或无意地“忽视”着。
对操作风险进行准确、合理的界定是建立完善、有效的操作风险管理体系的前提和基础。2004年,巴塞尔银行监管委员会(BCBS)对商业银行的操作风险作出了明确界定,即操作风险是指由不完善或失灵的内部程序、人员及系统或外部事件而导致的银行直接或间接损失的风险。2012年,中国银监会提出,操作风险是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险,包括法律风险,但不包括策略风险和声誉风险。
在我国,总结来看,商业银行触发操作风险事件的诱因有银行内部人员业务差错、欺诈或违规操作(如员工私卖理财产品使得银行受到控诉,利用看管金库的职务便利盗取金库资金使得银行蒙受大额损失)、电子信息系统设计存在漏洞或系统瘫痪及业务停办)、贪污受贿等,也有不可抗力的外部事件(诸如汶川地震等导致2008年银行业遭受净损失50亿~130亿人民币);其包括银行经营管理所有方面的不同风险,既包括发生频率低、但可能导致较高损失的意外事件等,也包括那些发生频率高、但可能造成较低损失的日常业务流程处理方面。
操作风险管理有多重价值
在目睹国内外金融行业陆续发生的诸多触目惊心的重大操作风险事件后,国内金融业逐渐意识到实施操作风险管理工作的必要性和紧迫性。单以招商银行系统性故障引发的操作风险事件为例,可以看出,高科技的运用将人工操作带来的风险转变为影响范围更广的系统性风险。我们还可以观察到,金融创新的出现会对银行的人员素质、系统和业务流程提出更高的要求,任何的疏漏都可能会给银行带来高额损失。如果银行的流程管理和内控体制还停留在原地不动,激发的操作风险事件将不断出现。
在操作风险损失预防与控制之外,操作风险管理另有三个更深层面的目的和意义:
首先,从监管达标的角度来看,巴塞尔委员会编制的“巴塞尔新资本协议”明确提出了操作风险组织架构、政策、工具、流程和报告路线方面的监管要求,中国银监会也在2012年6月发布了《商业银行资本管理办法(试行)》,对这一监管要求作出了承接与细化,并要求在2018年前要达标。
其次,从成本效益角度来讲,在可以承受的资源投入条件下,将操作风险可能造成的损失降低到管理者的风险容忍之内,简单讲就是不干亏本的买卖,要实现风险管理的效益大于成本投入。
最后,从内部管理提升需求来看,可通过操作风险管理将一套思路、方式、手段、工具与既有的内部控制体系相结合,形成一体化建设的整合模式,提升风险管理文化、建立风险偏好、完善企业治理架构,达到“1+1>2”的效果。
操作风险管理还有更加长远的目的和意义。比如,从风险资本计提的角度来说,在操作风险高级计量法的框架下,通过计量工具精细量化操作风险,可有效降低操作风险计提资本,从而释放资金以提升银行的业务发展动能。再比如,实施操作风险管理可作为资本分配和考核的核心基础,可在此基础上建立收益与风险挂钩的资本计量体系,并应用在资本分配、绩效考核中,以使公司的风险/收益最大化。
有效运用操作风险管理三大工具
操作风险在管理上有许多困难。系统瘫痪,业务停办,造成客户与企业的损失;员工监守自盗;产品营销不当;交易超过公司内的规定限额;交易错误……以上均属操作风险。但实践中,我们一直认为企业自身人员素质佳、风控意识强、制度健全,其他企业发生的操作风险事件在本企业绝对不会发生。
以上观点显然是错误的,而深入探究原因,一方面,操作风险涉及范围太广,难以管理:操作风险多源自内部问题,一般“家丑不外扬”,而且很难收集到大量资料;不同机构所面临的操作风险不同,一些既成的操作风险管理经验无法一体化适用;引发操作风险的原因与损失的概率、规模之间很难建立起关联性;大型且危及生存的操作风险事件并不常见,大多数可能的操作风险事件,在大部分银行的历史上从未发生。另一方面,常见的操作风险的管理思路、方式、手段、工具以及与之配套的管理信息系统仍处于初级阶段,对其的计量更是不同于信用风险与市场风险,难以用风险概率分布方式进行量化。
新资本管理协议提供了操作风险管理的三大工具,包括“风险控制与自我评估(RCSA)、关键风险指标(KRI)和损失数据库(LDC)三大操作风险管理工具,要求商业银行应当评估各业务条线的操作风险暴露金额与频率,并系统性地收集、跟踪和分析与操作风险相关的数据。此外,在此基础上建立操作风险评估机制,将风险评估整合入业务处理流程,引入操作风险和控制自我评估或其他评估工具。定期评估主要业务条线的操作风险,并将评估结果应用到风险考核、流程优化和风险报告中。与此同时,通过建立关键风险指标体系,及时监测相关指标,并明确指标突破阈值情况的处理流程,积极开展风险预警管控。
具体而言,风险控制与自我评估(RCSA)是指企业内部为实现控制风险目标,而对内部控制体系的有效性和恰当性实施自我评估的方法。RCSA的结果会形成风险热图,作横向(同业)和纵向(业务条线)的对比。对剩余风险较高的业务条线或机构,管理层会按此制定合适的风险管理机制,包括对风险较高的业务规模进行规划、强化风险管理措施、采取风险缓释手段去降低风险可能带来的影响。
RCSA的工作方法:关注业务流程和控制成效,由业务部门以及操作风险管理部门共同进行。操作风险职能人员和业务流程具体执行人员全体参与,用系统化的工作方法开展评估活动。例如:各职能人员与被评估单位管理人员组成一个小组,对部门/条线风险控制的恰当性和有效性进行评估,然后跟据评估和集体讨论的结构,提出改进建议并出具报告,最后由管理者实施。RCSA需要定期进行重检。如有新增业务或原有流程的变更,需要及时更新。
关键风险指标(KRI)分为企业级指标和业务指标:企业级指标适用跟据业务共同特点制定,如员工离职率、IT错误率等。业务指标跟据各个业务部门特点分别制定。通过评估、选择和设计相应的关键风险指标,提供对风险敞口、风险管理和控制有效性的洞察工具,作为预警信号监控和跟踪潜在风险和银行预定的控制问题。同时关键风险因子表的选择可以驱动潜在损失的收集。KRI的工作方法:由业务部门以及操作风险管理部门共同进行,针对银行业务流程中的风险点,共同探讨关键风险指标。指标的制定应考虑数据的可获取性、可计量性、预警性、相关性以及成本收益成效。此外,在新业务或新风险点识别后,KRI也需要进行重检更新,保证其完整性。
损失数据库(LDC):收集损失数据的最终目的是用作分析。通过分析发生在不同部门的不同风险事件以及不同的风险暴露情况,从而找出财务损失角度的高风险领域,操作风险发生频率高的领域等问题,并采取相应的措施管理。LDC与KRI和RCSA是相互参照,相互验证的。损失数据的收集管包括:损失数据的定义、识别,收集,复核验证、合并,分析,汇报、整改。目前对操作风险损失事件的定义是指因操作风险未被有效控制,给银行造成直接经济损失(已确认的账面损失)的操作风险事件。一般数据来源包括个别重大事件上报、客户投诉、法律诉讼、监管检查、内外审发现等。LDC的上报由业务部门发起,并由操作风险职能部门负责检查监控。
操作风险三大管理工具彼此间存在着事前、事中以及事后的逻辑关系,同时也可以作为互相评估及设置的参考依据。风险与控制自我评估RCSA:通过RCSA对风险识别,为找寻损失数据提供了依据;风险与控制的识别结果,为KRI的设置提供了参考。缺陷/损失数据收集:真实的损失数据,为RCSA的评估提供了参考;真实的损失数据为KRI的设置提供了参考。关键风险指标KRI:KRI的异常,为RCSA的评估提供了参考并可作为执行的驱动力;KRI的异常往往指向真实的损失事件。
缺陷/损失数据收集相当于病例(过去),风险与控制自我评估RCSA相当于全面体检(现状),关键风险指标KRI相当于血压计(未来)。通过三大工具的建设和应用,可找出目前公司的高风险领域、强化内控及风险管理力度,尽量在风险发生之前发现问题。此外,还可帮助银行构建操作风险识别、评估、监控和预警处理的管理流程,可以确保管理层了解所面临的操作风险,并根据自身的承受能力和发展策略采取针对性的风险应对措施,以合理的成本达到预期的风险管理效果。
内控、操作风险管理须一体化建设
有了操作风险管理工具并不可高枕无忧。
操作风险管理工具若要在银行实际落地运用,必须与银行既有的内控体系结合起来。“内部控制是操作风险管理的重要工具,绝大多数操作风险事件都与内控漏洞或者与不符合内控程序有关。”巴塞尔委员会在《关于操作风险管理的报告》中这样指出。虽然操作风险事件的表现形式多种多样,但透过现象看本质,这些操作风险实质是内控制度存在缺欠,商业银行对内控体系认识不足,缺乏强化银行风险内控的自觉性和主动性,造成识别和防范风险的能力不足。而当银行内部控制失效时,操作风险就会浮出水面。
所以,银行在运营的过程中,对操作风险发挥最主要也最实际的控制效果就是内部控制体系——良好的内部控制建设,可以有效防范起因于内部管理流程、人员以及系统的操作风险。在完善好内控体系的基础上,再通过操作风险三大工具以及其配套的机制,建立操作风险识别与评估、监测与报告、控制与缓释的机制,便可让银行的操作风险管理智能化,依据自身的风险偏好与容忍度,及时监控各项业务的操作风险暴露对业务的影响,以及发现风险管理薄弱的环节。
但是,独立开展内控管理与操作风险两项管理工作势必会导致银行较高的管理成本。内控管理工作与操作风险管理工作既存在重叠,也各有侧重,就像唇与齿一样缺一不可。因此,银行业开始探索并应用能够兼顾内控管理和操作风险管理工作的一体化管理思路,从组织与职责、体系与流程、管理工具和信息系统等各个方面将内控管理与操作风险管理两项工作整合起来。
组织职责整合就是“两块牌子、一套人马”,由同一个部门和团队负责内控与操作风险管理,实现知识和人力资源的共享。
体系流程与工具整合就是以操作风险管理三大工具为核心,搭载内控和操作风险管理的流程,将内控梳理、损失数据收集、风险与控制评估程序、问题与缺陷整改、风险报告及考核体系有机整合,同时兼顾内控管理和操作风险管理的需要。
信息系统整合就是搭建同一的管理信息系统平台,同时收集内控与操作风险所需的数据,在统一的平台进行风险评估、监测预警、评估、学习和考核。
一体化的组织、流程、工具和信息系统管理避免了内控与操作风险管理中的重复工作,节约了时间成本与人力资源。以控制自我评估为例,它既是内控评价的重要组成部分,又是操作风险管理的重要工具,一体化的管理可以减轻基层业务人员内控与风险管理的压力。
与此同时,借鉴操作风险的监控指标、风险容忍度地图、风险监测仪表盘等监控和分析决策工具,可以使得银行采取的内控管理决策更加科学,以成本效益的角度采取适当的控制措施。例如,采取风险容忍度地图方法确定管理层对操作风险容忍的底线,确定“不可接受”区间,将日常风险评估的结果落在风险地图中,如果落在“不可接受”区间,则必须立即采取措施完善内部控制。
借助一体化管理信息系统绘制的风险监测仪表盘,将内控与风险管控现状、内控薄弱环节与风险暴露高发领域等评估结果进行图表与图形化展示,生成相关报告,供管理者决策,带来管理上的意义。
目前,内控与操作风险一体化管理体系已经在我国部分股份制商业银行与大型城市商业银行中开始运作,并已初见成效,各中小银行也渐渐开始思考采用这一方式。相信更多的金融机构会加入此行列,完善内部控制,提升操作风险管理能力。
(俞勇,恒丰银行首席风险官、中国人民大学兼职教授,清华大学深圳研究生院校外导师,先后在美国摩根大通银行、美国运通公司等从事新资本协议、战略规划、风险管理、金融衍生品交易与定价模型、金融信息安全等工作,曾任职于平安银行风险管理部兼新资本协议办公室总经理、中国银行业监督管理委员会监管二部,参与起草《商业银行资本充足率管理办法》等中国银行业监管法规文件,具有全面的国际银行先进风险管理工作经验和国内银行风险管理工作经验。著有《货币、银行与经济》、《银行全面风险管理与资本管理》、Asset Returns and Demographic Effects、Quality Choice Simulation and Implication Based on Individual Conjoint Analysis 等。本文原标题为《法兴银行弊案前后——警惕无处不在的商业银行操作风险》,刊载于《当代金融家》2016年第2期)
上一篇:有没有嗅到金融危机的气息?
下一篇:新型金融科技业态的各国监管比较