从损失数据看商业银行操作风险管理,本文主要内容关键词为:商业银行论文,风险管理论文,损失论文,操作论文,数据论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
2008年初,以先进的衍生品交易管理著称的法国兴业银行因交易员的欺诈行为,蒙受了49亿欧元的巨大损失。这一惊天大案引发了业界对商业银行操作风险管理的审视与思考。目前,我国银行业尚未形成对操作风险全面、系统的认识,管理方面也主要依靠各业务条线的现场检查及审计部门的审计监督。如何开发科学、有效的操作风险管理方
法成为我国理论界和实务界日益关注的问题。操作风险损失数据管理包括数据收集、数据整理、数据应用三方面的内容,而全面、规范地收集整理各种类型的损失数据是损失数据管理的关键环节,也是管理操作风险的有效方式。因此,本文将从损失数据收集整理的角度审视操作风险管理,通过分析损失数据的重要性及其主要步骤,比较国内外损失数据收集整理的实践状况,研究国际知名损失数据库的建设经验,提出一些完善我国银行操作风险管理的措施和建议。
一、损失数据收集整理对操作风险管理的作用
一般来说,一个完整有效的操作风险管理流程包括操作风险识别、风险评估、风险控制、风险度量、风险报告等环节。各环节中可充分运用风险与控制自我评估、关键风险指标(KRIs)、计量模型等管理工具与方法。而损失数据的收集整理与各项工具和方法的运用有密切联系,并且在操作风险管理的各个环节发挥了重要作用。
在风险识别方面,损失数据的收集过程是对银行所面临操作风险的识别过程。识别操作风险要求每个业务条线对风险事件进行收集、分类,并评价损失频率与损失程度。我们知道,损失数据收集的前提是对损失事件进行详细的分类,损失数据收集的过程是对损失事件的具体类型、所属业务流程、风险暴露金额、损失金额、回收金额等信息进行自下而上的采集和填报。所以,收集数据本身就是在识别各项产品、各个业务条线的操作风险。另外,作为风险识别工具的关键风险指标可以从收集整理后的损失数据中提炼风险指标,并能利用这些损失数据验证风险指标的有效性、预警阀值(风险监测报警的起点值)设置的合理性。
在风险评估与风险控制方面,损失数据收集整理为风险与控制自我评估提供了基础。数据的收集与整理是将操作风险损失映射到组织机构、业务条线、损失原因和损失事件类别之中,并填报产生损失的流程和内部控制信息。这些都为评估固有风险和剩余风险的影响程度以及评估内部控制有效性打下了基础。在合理收集整理数据的前提下,风险与控制自我评估可以从损失数据中确定评估的对象与范围,实施定性评估与定量评估有机结合的评估方法。
在风险度量方面,损失数据收集整理是数量化分析及建模的重要保证。2004年公布的《资本计量和资本标准的国际协议:修订框架》,即《巴塞尔新资本协议》提出了操作风险的三种度量方法,即基本指标法、标准法和高级计量法。新资本协议鼓励各国商业银行采用操作风险高级计量法[1],但运用该方法的基础是银行至少积累5年的内部损失数据;初次使用高级计量法,也必须使用3年的历史数据。在我国《商业银行操作风险的监管资本计量指引》即将出台之际,损失数据的收集整理将对各大银行操作风险管理产生深远影响。
在风险报告方面,损失数据的收集整理是操作风险报告的前提。全面收集损失事件所属的业务条线、涉及的产品流程、损失事件造成的影响、损失状态等信息,并将这些信息进行有效的整理,这些均构成了风险类别报告、损失影响程度分析报告、操作风险管理现状报告等各类报告的基础。图1给出了数据收集整理后形成的操作风险损失数据分布图,通常损失频率服从泊松分布,损失程度服从对数正态分布(各家银行的总损失分布图因管理状况和业务发展水平不同而有所差异)。由图1看出,操作风险损失数据多为高损失频率但低损失程度的数据,如信用卡欺诈造成的损失,或低损失频率且低损失程度的数据;不容忽视的是右侧尾部数据,即低损失频率、高损失程度的损失数据,包括大额欺诈、恐怖袭击等引起的损失。
图1 操作风险损失数据分布图
二、损失数据收集整理的主要步骤
损失数据的收集整理成为商业银行操作风险管理的重要方法和手段。对数据的收集整理应遵循一致性、全面性、可比性的原则,即制定收集数据的统一标准,使各级机构、各业务条线报送数据的口径一致;数据收集全面、无遗漏;同时,整理后的数据可用于对比分析。这就要求商业银行制定损失数据收集整理的标准和规则。鉴于我国银行收集操作风险损失数据的实践刚刚开始,综合国际同业做法,可从以下三方面展开损失数据的收集与整理工作。
第一,对操作风险损失资料给予明确定义。损失数据的收集首先需要明确操作风险损失数据的相关概念,包括操作风险定义、操作风险损失的定义、损失事件的分类规则、产品线的划分规则以及未遂事件(near miss)处理规则等。对这些资料的清晰界定也是操作风险有效识别的保证。操作风险有别于信用风险和市场风险,各家商业银行对操作风险的认识与管理各有不同,对相关概念的界定也主要服务于内部操作风险管理,充分体现了各行管理特色。以巴塞尔新资本协议提供的定义为例,操作风险损失是与操作风险事件有关且按照公认会计准则(GAAP)体现在银行财务报表上的财务影响;财务影响包括所有与操作风险事件相关的零星开支,但不含机会成本、弃置收入(foregone revenue)或用于防范操作风险损失的投资计划成本。新资本协议对操作风险损失事件的分类如表1所示,表1给出了损失事件分类的框架与思路;但商业银行在运用此分类标准建立损失数据库时,需要根据自身实际,厘清各项之间内在的逻辑关系,做到分类不重不漏。
第二,制定操作风险损失数据的收集规则。包括数据收集频率、阀值(收集数据的门槛值)、损失事件类型、所属业务条线、损失发生日期、管理层采取的行动、保险赔偿金额等在内的损失数据收集规则构成了数据收集和报送的主要内容。只有在资料收集过程具有一致性和完整性的前提下,内部损失资料才可能直接反映银行的内部控制环境以及操作风险状况。然而,确定一套有效的收集规则并不是一项简单的工作,往往需要借助于专家讨论、计量验证等多种方法才能完成。以数据收集的阀值为例,如果阀值定得过高,可能收集不到足够的损失数据,在进行量化分析时因样本数据不够而出现偏差;但如果阀值过低,会增加收集的成本。因此,设定阀值需要权衡计量、管理需要与数据收集成本。巴塞尔新资本协议将阀值规定为10000欧元,国外一些机构则将阀值设定在0~25000美元之间,且多是以10000美元为阀值。根据我国商业银行的实际情况,目前一些学者建议将阀值确定为人民币1000元(杨旭、李建中,2005)。
第三,选择合适的操作风险损失建模方式。由于数据收集常受到收集年限、收集范围的限制,一些发生频率低但损失金额巨大的数据是精确计量操作风险损失分布不可或缺的部分。为了提高量化分析的精度,银行需要获取外部数据以补充自身数据。然而,无条件地照搬外部数据是不可取的[2],因为操作风险很大程度与组织体系、流程、管理标准、风险文化有关,各家商业银行的操作风险状况差异较大,这就需要考虑数据的相关性、不同银行在资产和业务规模方面的差异等等,对内外部数据进行整合。
银行可以采取定性方法、定量方法或两者结合的方法整理损失数据。定性方法主要采用集体讨论、专家判断等形式,评价每个外部损失事件在银行内是否会发生类似事件,选择本行可能发生的损失事件,并评估发生类似事件带来的最高损失额。定量方法主要采用模型调整损失数据。目前,国际上对这类模型的设立提出了许多建议,如设置各行风险状况相关的参数,将其引入损失分布法的模型;又如采用分层取样和加权平均法调整损失数据的模型等等。Frachot和Roncalli(2002)建立了修正后的损失分布法。另外,Okunev(2005)提出分层取样和加权平均法简化了损失数据的整理过程:以[1+(超过阀值的外部数据数量÷超过阀值的内部数据数量)]为权重数,将简单汇总的内外部样本数据集变换为{(低于阀值的每个内部损失数据×权重数),(超过阀值的内外部数据)}的数据集;求出变换数据后的分布并模拟出风险资本。这种方法较简单,但仍有待于更多数据和更长时间的检验。而修正的损失分布法更为规范,所得出的风险资本也更精确。
三、商业银行损失数据收集整理的国内外实践
国际上,巴塞尔委员会下属的风险管理小组(RMG)在2001年和2002年进行了三次各国银行操作风险损失数据的收集工作,其目的是收集、分析银行内部操作风险资本分配相关的信息。近年来,为了方便损失数据的收集和储存,由不同主体倡导建立的操作风险损失数据库纷纷涌现。这些数据库大致分为三类:第一类是由各家银行自己建立的、收集分析内部损失资料的内部损失数据库,目前国际大型商业银行均创建了自身的损失数据库,为量化分析和管理奠定基础。第二类是由银行业协会建立的银行间数据库。这类数据库一般通过签订协定,在一定的保密原则下,银行将其内部损失数据提交给银行业协会,协会将数据进行整理和分析;作为回报,参与银行可利用该数据库补充自身内部数据,并得到相关分析报告。英国银行家协会(British Bankers Association,BBA)构建的全球操作风险损失数据库(Global Operational Loss Database,GOLD)、操作风险损失数据交换协会(The Operational Riskdata eXchange Association) 建立的ORX数据库以及美国银行家协会(American Banker Association)建立的行业数据库是此类数据库的代表。第三类是由达到一定金额(阀值)而需向公众披露的损失数据组成的外部数据库,如普华永道开发的数据库,该数据库只记录超过100万美元的损失。在数据整理方面,美国银行和花旗银行使用relative relationships[3]技术修正收集的损失数据;而摩根大通银行采用定性方法整理引入的外部数据,该银行要求其部门经理依据外部数据,模拟本行发生类似事件可能带来的高额损失(李志辉、范洪波,2005)。
相比之下,我国商业银行收集并报送操作风险损失数据的实践才刚刚起步。根据各大商业银行年报以及其他相关报道,几家大型商业银行开始收集操作风险损失数据,如工商银行在2007年完善了损失事件统计制度;建设银行2004年开展了全行1998年至2003年的操作风险损失事件调查,并正在推进损失数据库的建立;中国银行拟定了《操作风险分类办法》和《操作风险重大事件报告管理办法(试行)》等系列规章制度;交通银行探索实施会计操作风险的定性分类和定量分级标准。以上几家商业银行收集损失数据的步伐走在了其他银行的前面,但目前国内银行对损失数据的收集还停留在数据汇总层面,没有将数据进行合理的整理,更没有把数据收集整理流程纳入操作风险管理的各个环节。因此,我们应学习国际先进经验,结合我国银行实际,构建符合各行风险文化与业务特点的操作风险损失数据收集整理制度。接下来,我们通过比较ORX数据库和GOLD数据库的数据报送规则(表2)和损失事件的分类原则[4](表3),为我国损失数据的收集整理提供建议。
ORX数据库由操作风险损失数据交换协会构建,是向会员机构提供操作风险损失资料的交换平台。目前,该数据库包括了98500件损失事件,总金额达到320亿欧元,囊括了北美与欧洲的44家国际性银行的数据。而由英国银行家协会在2000年建立的GOLD数据库,给会员银行提供了操作风险量化分析与建立模型的必要支持,协助银行验证评估工具中的假设是否妥当等。由于银行业协会是一个独立的、非营利性组织,该协会收集、分析损失数据并执行严格的数据保密制度,为各行操作风险管理提供了比较的基础和平台。如表2所示,比较这两个数据库可以看出,采集数据的频率均为每季一次;但ORX数据库制定的损失收集阀值为20000欧元,而GOLD数据库规定的阀值按业务形态分类,零售业务50000美元,批发业务100000美元;另外,两者制定的损失影响分类也各有特色。规定数据报送的阀值因数据收集的目的不同而异,各行应根据操作风险偏好、损失事件的分布特征设置阀值,并依据风险识别、控制、度量中的具体情况验证阀值设立的合理性。
从损失事件的分类规则来看,ORX数据库的事件分类和巴塞尔新资本协议的分类类似,只是将“蓄意破坏”添加到第一层级,即指无获利意图的蓄意破坏与恐怖行动;相对应的,在内部欺诈和外部欺诈中系统安全子项仅指以盈利为目的的系统安全问题。GOLD数据库对损失事件的划分具有不同的特点,不再局限于新资本协议7类事件的划分方式,而是主要依据操作风险的定义,从人员、流程、系统、外部出发并将这四方面作为第一层级的损失事件,第二层级损失事件的分类是对这四方面的展开,如表3所示。本文认为,对损失事件进行分类有助于全面、细致地进行操作风险识别和控制评估,分类并不一定局限于新资本协议的划分规则,应立足于银行内部的管理特点和业务运行特征,服务于操作风险管理的各个环节。事实上,新资本协议的7类划分标准还需要进一步厘清主观行为和客观行为,或是以盈利为目的的行为和无获利意图的行为。不然各个类别之间的逻辑关系很难理清,存在分类重复的情形。GOLD数据库对损失事件的划分可以为我国银行制定损失数据收集规则提供借鉴,从操作风险概念出发,分类逐步细化,较为清晰、全面。
四、加强国内商业银行损失数据收集整理的建议
操作风险损失数据的收集整理过程不仅是数据储存的过程,更是操作风险管理的重要环节,有效利用数据收集过程和整理结果,将大大促进商业银行操作风险管理效率的提高。具体而言,国内损失数据的收集整理应从以下三方面努力:
第一,建立健康的风险文化,保证数据收集整理的准确性和及时性。既然损失数据收集的过程就是操作风险识别的过程,那么数据收集的质与量就关系着风险识别的准确性。实际上,这与风险文化、激励机制密切相关。长期以来,我国商业银行对于损失事件多持批评、惩罚的态度,也渐渐形成了“惩戒文化”;一旦发生损失事件,除非损失相当严重,多是视而不见或隐瞒掩盖,更不用说准确收集报送相关损失资料。我们应将管理失误视为改善管理的契机,并鼓励员工主动发现、揭示风险,对损失资料的提供者予以保护和适度奖励;建立“鼓励文化”是确保准确、及时收集数据的重要保证。上一节介绍的ORX数据库和GOLD数据库的构建方均非常重视数据收集制度和文化的建设,始终保持数据收集、整理、分析的独立性和保密性,所有损失资料都经过标准化处理,使数据提供方能积极主动且完整无误地报送数据。作为回馈,数据提供方也得到了高质量的外部数据和分析报告,极大促进了操作风险管理水平的提高。
第二,设计损失数据收集整理流程,将数据收集整理纳入操作风险管理环节。损失数据的收集整理不是简单的数据汇总、数据储存。银行应当将损失数据收集整理嵌入风险管理,设计在风险识别、评估、控制、度量、报告等环节的数据支持和验证程序。介于操作风险分布在银行各级机构、各业务流程与产品之中,银行应建立矩阵式的数据收集审核体系,即各业务条线负责收集、审核本条线的损失资料,并将审核完成的数据报送本级机构的风险管理部门,各级风险管理部门逐级报送审定后的损失数据。这样就形成了纵横交错的风险识别机制,并为各业务条线有针对性地开展自我评估和风险报告奠定了基础。
第三,我国监管机构以及银行业协会应积极研究、努力创建操作风险外部损失数据库。发达国家的银行业协会都已经或正在构建外部损失数据库。前面介绍的ORX数据库和GOLD数据库促使了会员银行操作风险管理水平的提升。国内的商业银行达到一定的数据收集能力也可以申请成为这类数据库的成员,但由于操作风险与一国的监管制度、银行发展历史和文化有密切关系,国外数据库的损失数据可能不适用于我国商业银行。因此,建立我国自身的外部数据库有重要意义。在我国,各家商业银行一定金额以上的案件损失均上报监管机构,由监管机构组织建立外部损失数据库不失为一条有效路径,数据收集机制可以借鉴央行创建征信系统的成功经验。
注释:
[1]基本指标法和标准法依据银行的收入指标,虽然简单易操作,但操作风险暴露与总收入指标间的相关性是不确定的(Pezier,J.,2002);另外,标准法可能导致“监管套利”(李志辉、范洪波,2005)。
[2]Baud,N.,Frachot,A.,and T.Roncalli(2002)假设外部数据服从对数正态分布,用Cré6dit Lyonnais数据库(阀值H=1500),风险资本(Capital-at-Risk)在99.9%置信水平下,得出CaR(H)≤CaR≤CaR(0),即用阀值H以上的内部损失数据计算需要的风险资本最少,其次是全部内部损失数据计算的风险资本,简单地混合内外部损失数据所需的风险资本最多。
[3]该技术假设内、外部数据服从同一类型的损失程度分布,且内、外部数据的参数关系是固定的。如果银行缺乏7类风险事件中A类的内部数据,就可以利用B类内、外部损失数据均值的比例关系和方差的比例关系,以及A类外部数据的均值和方差,求出A类的内部数据的均值和方差。
[4]由于产品线的划分因各家银行业务特点而异,巴塞尔新资本协议已给出了划分8类产品线的框架逻辑,所以本文主要分析损失数据的收集规则与损失事件的分类规则。
标签:操作风险论文; 风险管理论文; 银行论文; 商业银行论文; 商业银行操作风险管理指引论文; 商业银行资本管理办法论文; 银行风险论文; 商业银行风险管理论文; 过程管理论文; 分类数据论文;