中国银行业风险管理报告（二）

 

　　操作风险案件的发生，不是简单的操作管理问题，已经冲击到法律、文化和金融的各个领域。1995年巴林银行的倒闭和2002年联合爱尔兰银行美国分行的虚假交易所造成的巨大损失，促进了业界对操作风险的系统研究和寻求制度化解决，对操作风险的管理成为银行和监管部门面临的共同的话题。       

 

　　 (一)《新巴塞尔协议》与操作风险

 

　　从巴林银行、大和银行的倒闭到1997年7月全面爆发的东南亚的金融危机，一系列金融风险的爆发让人们对银行风险有了重新的认识：金融业存在的问题不仅仅是信用风险或市场风险等单一风险的问题，而是由信用风险、市场风险外加操作风险互相交织、共同作用造成的。在这一认识的基础上，巴塞尔委员会在《新巴塞尔协议》中将操作风险纳入了风险资本计算和监管框架中。

 

　　新协议提出了以三大支柱(资本充足率、监管部门监督检查和市场纪律)为主要特点的新资本监管框架草案，第一次要求银行为操作风险单独提取规范准备金，并提出了三种不同类别的方法(基本指标法、标准法、高级法)来计算操作风险所需资本金的大小。同时，在四个基本原则的基础上提出了对银行操作风险实施监管的框架。新的监管模式通过一系列的科学方法和程序来识别、评估、防范和控制风险，概括了对操作风险的管理方法和控制途径。在市场纪律方面，新协议要求银行披露包括操作风险管理的策略和过程在内的一系列策略、方法和过程方面的信息，并通过信息的披露来维护市场纪律。

 

　　自从新协议要求银行将操作风险作为一项重要的和强制的内容进行管理以来，国际银行业对操作风险加强了研究和管控实践，对我国银行业操作风险的管理有借鉴意义。

 

　　(二)国外银行操作风险管理

 

　　根据对大量银行操作风险资金分配比例的统计，巴塞尔委员会在新协议中将操作风险控制所必要的资本金分配比例的计算系数设为0．15。这一状况可以归因于西方发达国家在以往经验的基础上已经建立的较为规范的操作管理机制。

 

　　例如，摩根大通银行在操作风险管理体系中，建立了一套自我评估程序(简称CSA)，并由高层管理人员组成的监管委员会亲自负责制定监管政策和审批评估程序架构。在CSA体系建立实施过程中，银行通过强调其重要性和专门的公司培训，成功地推行电子化解决方案并确定了不同管理层的报告、图表和评估工作种类。另外，摩根大通银行使用Horizon险管理工具对各个部门进行操作风险评估，对银行机构进行稽核，特别是对预先设定的风险点进行数据分析和风险报警。经过几年的实施，摩根大通银行对银行操作风险的管理取得了初步成效。

 

　　1、国外银行操作风险管理实践

 

　　(1)总体状况。国外操作风险的管理实践基本遵循了自我管理和监管强制的双重路线。根据德勤“2004全球风险管理调研报告”，全球162家金融机构中。61%认为自己的全面风险管理中已包括了操作风险管理，71%承认是监管强化了操  作风险管理。在管理实践方面，总体情况如下：8%的机构尚未开展操作风险的管理；37%的机构处于第一阶段，开始识别风险和积累数据；12%的机构进行流程规范和制度建设；12%的机构开始制定计划和管理标准；16%的机构进入开发风险量化方法的阶段；15%的机构将操作风险纳入日常管理之中，进入第五阶段。

 

　　可见大多数仍在初级管理阶段。总体上大银行(资产超过1 000亿美元的)进展较快，大都处于第四或第五阶段；小银行(资产少于10亿美元的)基本停留在第一阶段；而尚未开始的是中型银行(资产在100亿～1 000亿美元之间)。

 

　　另据全球风险协会2005年对427家各类金融机构的调研，管理操作风险的最大挑战是风险的量化，而不是资本的数量。由此可见新资本协议所规定的三种计量方法能否得到贯彻，仍需要进一步的探索。

 

　　(2)管理架构与职责。银行加强操作风险管理的主要特征是集中化管理，一是设立了独立的风险控制和稽核部门，二是董事会和管理层积极参与。根据德勤的调研，有78%的机构做到了这两点。穆迪公司“2004年欧洲银行操作风险管理最佳实践调研”报告显示，几乎所有的欧洲银行建立了集中化的管理部门，其职责是在全行内应用和推广操作风险管理工具、方法和政策；监控操作风险的暴露和损失，积累和处理相关数据；向上级提交风险管理报告；制定操作风险管理策略等。

 

　　在管理体制方面，有的银行设立了风险总监，负责监控所有的风险(包括市场风险和信用风险等)，操作风险管理部门向总监汇报，或者将操作风险与市场、信用风险完全分开，设专人总体管理，由法律和合规部门向总监汇报。为了贯彻“一盘棋”的治理思想．业务部门在管理操作风险时，可向总部直接报告。

 

　　(3)管理方法和工具。国外银行进行操作风险管理主要采用如下基本方法和工具：①自我风险评估。汇丰、ING等银行的具体做法可分为五步：设计风险评估问题清单、逐级讨论、自我评估、风险报告、后续改进。逐级讨论先从各分支机梅的业务部门开始，逐级汇集到业务人员、操作风险联络员、分支机构首席执行官、分支机构首席执行官、总部操作风险管理主管。根据达信公司对全球76家银行的操作风险管理状况调研资料，有54%的机构采用了情景分析法来分配资本。46%在分析内部和外部损失数据的基础上分配资本(其中25%主要靠内部数据，17%内外数据结合，4%投有数据库，完全采用外部数据)。自我评估法需要做好前期准备，在全行范围内明晰风险管理语言、规范评估技巧和流程、保证风险评估质量。

 

　　②损失事件登记。多数欧洲银行积累了一定数据，部分银行建立了操作风险损失事件和数据统计系统，定期或实时报告有关情况，从而了解风险发生原因(如员工培训不力、业务能力不足或业务最突然增加等)，设定自动预警和通知功能，下载有关分析资料和案例研究，进行统计分析等。通过该系统，可积累和分析数据，传达和交流管理信息和文件精神，提高操作风险管理效率和质量，实时了解和预警风险。

 

　　③关键风险指标。包括管理和财务指标，如交易失败次数、员工流动比率、错误遗漏频率及严重程度、系统死机频率等。几乎所有银行设置了基本指标，大部分银行开始细化指标，在全行整合，避免遗漏任何细节。

 

　　④操作风险计分卡。把风险量化，进行分类排序，配置不同资本。可独立使用，也可与其他工具配合使用。

 

　　⑤操作信息管理系统。该工具的系统性强，尚处于开发、探索阶段，与市场风险和信用风险的管理系统不可同日而语。即便是汇丰银行，虽然在使用该系统，但基础工作仍是手工操作。

 

　　2、保险在银行操作风险管理中的价值

 

　　国际上许多保险公司已经针对银行操作风险开发了不同种类的保险产品，并不断有新的保险产品出现。基于保险的实际作用，巴塞尔委员会在《新巴塞尔协议》中对保险的缓释作用予以了认可，但仅限于高级计量法(Advanced Measurement Approaches －AMA)——如果采用AMA方法可以降低对监管资本金的要求。为了降低监管资本，加之高级计量法本身的优越性，银行将不得不考虑使用较先进的高级计量法。高级计量法和保险的综合使用不仅可以缓解银行的资本压力，同时提高了银行对操作风险的应对能力。可以说，保险的介入直接和间接地提高了银行对操作风险的管理力度，并促使银行在制定和实施稳健的管理标准方面迈上更高的台阶。

 

　　(1)保险与银行操作风险管理。保险作为风险转移的有效工具，已经在国际银行业操作风险管理中发挥了积极的作用。2002年，巴塞尔委员会风险管理小组收集了涉及89家银行4万多个操作风险损失事件的案例，其中有936件损失案例提出了保险索赔，占事件总数的2．1%。由此可见，保险对操作风险管理的作用正在日益增大。特别是《新巴塞尔协议》认可保险对操作风险管理的缓解和资本减让作用，并鼓励保险公司开发更多的、新的保险产品来覆盖已分类的银行操作风险，更是促进了国际上银行业对新保险形式的需求和保险公司对新保险产品的创新。例如，怡安保险顾问公司(Aon)和瑞士再保险公司(Swiss Re)联合开发的“金融机构操作风险保险”的产品。为66%的操作风险提供了保险保障，它主要承保五类风险：固定资产风险、技术风险(计算机系统瘫痪、软件故障、系统缺失、数据损毁等)、关系风险(客户和同业的失误给银行带来的损失)、人员风险(内部欺诈、不忠诚行为、不当行为等)和外部欺诈风险(通常有承保金额的要求，如超过10亿美元才给予承保，银行在7天内可先获得赔款，如果与事实不符，保险公司有权追回赔款)。

 

　　(2)保险转移部分操作风险。在美国和欧洲，一些国家的保险公司和经纪公司已经成功开发出诸如银行“一揽子”险、错误与遗漏险、经理与高级职员责任险、商业综合责任险、财产险、雇员行为责任险、未授权交易险、计算机犯罪险及因特网责任险等一系列保险险种，为部分银行操作风险提供了风险转移的可能和工具。在实践中，许多产品已经被证明十分成熟并得到了广泛的运用，包括“一揽子”险、错误与遗漏险、经理与高级职员责任险等。而一些新的保险产品则正在通过使用被不断完善，如未授权交易险、电子网络技术险等。巴塞尔委员会公布的一项统计表明，占相当比例的操作风险损失案例已经成功得到了保险赔偿(见表5)。

 

　　(3)保险的局限性。保险对于银行操作风险的管理也具有一定的局限性。首先，保险不能覆盖所有操作风险，只能承保低频率、高损失程度的风险。保险也不能消除风险，只是一定程度的经济补偿。

 

　　从银行主观因素分析，如果银行缺少完善的操作风险管理体系，保险的效用将难以得到有效发挥。如果无法全面、系统地识别和衡量操作风险，不能通盘考虑保险保障的范围，保险的作用只能是局部的和低效率的。从保险产品的客观因素分析，作为商业保险产品，其类型和条款的适用性以及保险公司的诚信度也将影响保险产品对于操作风险的实质性保障作用。因此，商业银行自身健全的风险管理体系是有效保险管理的关键所在。

 

　　(三）国外银行操作风险管理借鉴

 

　　研究国外银行对操作风险的管理，操作层面可供借鉴之处如下：

 

　　1、注重操作风险管理战略和文化的建立和培养，作为管理系统的指引

 

　　战略和文化是国内银行最为缺乏的。战略不明，则无法系统地、长期地管理操作风险，必须从意识和制度等层面体现对操作风险管理的重视和落实。

 

　　2、强调操作风险管理组织框架的作用

 

　　清晰的职责分工和部门协调一致是管理操作风险的关键，这些部门包括董事会、监事会、高级管理层、风险管理部门、业务管理层、内部审计部门和后勤保障部门等。

 

　　3、重视操作风险管理系统建设

 

　　由董事会批准在全行范围内采用操作风险管理系统，即通过制定具体的风险管理政策、流程(管理内容的先后次序，包括向银行外转嫁风险的程度和方法)和识别、评估、监测、控制风险的方法，从而将操作风险作为一种主要的风险来管理。

 

　　4、风险管理部门发挥了至为关键的作用

 

　　一是执行风险管理系统并制定相应的政策、程序和步骤；二是负责指导分支机构的操作风险管理活动，并定期检查、评估所有分支机构的操作风险管理状况；三是为操作风险管理开发相应的技术和方法，如测量和监控操作风险的技术和方法、定期监测风险状况和重大损失的程序、通过资产组合调整操作风险准备金、定期考察操作风险发展趋势和集中程度、新产品风险与收益分析等。

 

　　5、内部审计、合规和后勤保障部门的价值

 

　　内部审计部门的责任是检查操作风险管理战略和任务是否得到执行及结果是否有效，将风险保持在可接受或可容忍的水平上。其审计活动包括定期审核操作风险管理活动、过程、方案和操作风险量化模型的构建过程、管理系统的充分性和可靠性、合规性等，审核操作风险测量方法、模型的设计、概念的合理性、风险定价和交易部门所使用的股价体系审批程序，以及风险测量模型覆盖的风险范围等。而合规部门是2005年银行业大案要案频发的产物，其职责是协助高层有效管理银行面临的合规风险。如就合规法律、规则和准则向高级管理层提出建议，协助高层就合规问题教育和培训员工，识别、量化和评估台规风险，承担法定责任(如反洗钱职责)和负责联络，提供合规方案。后勤保障部门包括科技、安全保卫和行政部门，主要是制定应急预案，识别关键业务程序、关键节点、定期检查灾害恢复和营业连续方案等。

 

　　6、科学衡量和评估操作风险

 

　　用一定的测量方法量化操作风险，为客户有针对性和系统管理风险奠定了基础。在数据统计和模型分析的基础上，研究风险的诱因，设计风险指标，对风险进行日常监控，进行自我的、内部的和外部的和外部三级评估，最终出具风险评估报告，为操作风险的管理提供依据。图1是分析历史损失的一种形式。

 

　　7、强化保险制度

 

　　保险制度成为管理操作风险的重要工具，而且针对操作风险有专门的保险产品。

 

　　总之，国外银行在管理操作风险时，注重基础设施建设和加强管理工具研究和运用。包括操作风险管理组织结构、数据和信息、系统、方法、政策和程序等，从而为操作风险管理创造必要的条件和基础。

 

　　国际风险管理实践表明，对风险的认知水平决定管理水平。因此，在研究其操作层面借鉴意义的同时，应对管理风险的基本层面进行研究，包括对定义和管理模式的重视。