商业银行操作风险管理问题的若干思考,本文主要内容关键词为:商业银行论文,风险管理论文,操作论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、操作风险管理实践进展
近年来,因操作风险形成的巨额损失连续重创金融机构。比如,实物资产损失方面,“9·11”事件直接导致损失270亿美元以上;内部欺诈方面,Allied Irish银行因欺诈交易损失69亿美元,住友银行(Sumitoma)因未授权的贸易运作及员工舞弊造成26亿美元的损失,巴林银行(Barings)则因不当交易导致这个历史上百年的银行倒闭;因客户、产品和业务活动造成的损失方面,Prudential Insurance公司由于不当销售行为赔偿了20亿美元,Providian Financial公司也因不当行为赔付了40亿美元。Long Term Capital Management公司在货币与利率衍生品交易中损失40亿美元,Orange Country在回购协议和结构性存单交易中损失20亿美元,Baring Brothers在期权交易中损失12.4亿美元等事件,均与操作风险有直接关系。
近年操作风险形成重大损失的案例不断出现,其本质原因在于:第一,复杂的风险测量技术、产品设计使化解市场风险和信用风险的结构性产品与实施方法得到越来越广泛地应用,如抵押、对冲、信贷衍生工具等,这些复杂技术增大了操作风险的复杂性和管理难度。第二,金融市场国际化程度越来越高,部门银行从原来的单点发展为跨洲、跨国的全球性金融集团,在这一过程中,不同地区人文、法律、金融环境的冲击,以及整个公司治理体系的整合带来了错综复杂的操作风险。第三,银行逐步从传统的手工操作模式转变为依靠强大的IT系统支撑,在提高效率、降低手工操作风险的同时,也形成IT系统风险隐患。第四,银行业务的相互依存度提高,不同条线、机构、系统以及流程之间都有着极高的关联性,这使得单一操作风险事件的发生可能产生多米诺骨牌效应,造成不可估量的破坏力。第五,银行操作风险管理体系仍较为脆弱,从已有的银行遭受巨大损失甚至破产的案例中均能找到操作风险管理不善的原因。
上述种种,促成了国际先进银行不断投入资源完善原有操作风险管理体系。西方银行业对操作风险管理的尝试可追溯到20世纪90年代初。1991年,Bankers Trust成立一个小组对风险评估、操作风险资本、风险缓解等问题进行研究,被认为是操作风险管理领域的一个根本性突破。从此,操作风险管理才受到行业协会、金融机构以及金融研讨会议的广泛关注,如表1所示。
1998年,英国银行家协会(BBA)、国际掉期与衍生工具协会(ISDA)和风险管理协会(RMA)委托普华永道(Pricewaterhouse Coopers)国际会计顾问公司针对其55家会员金融机构操作风险认识及管理现状进行调查研究,并将操作风险认识和管理的发展分为五个阶段:第一阶段,银行对操作风险的认识不足,对操作风险的反应是被动、消极的,管理依然停留在合规审查、事后稽核等方面;第二阶段,银行开始建立操作风险管理架构,针对操作风险管理的各个环节——风险识别、度量与管理,拟定政策与必要的施行程序;第三阶段,银行针对反映操作风险的各项指标进行跟踪与自我评估,并依据上述结果,拟定操作风险的应对措施;第四阶段强调定量的概念,开始发展量化模型衡量操作风险;第五阶段是将操作风险管理充分纳入银行全面风险管理之中,操作风险的衡量与市场风险、信用风险进行整合。调查显示,现今国际先进银行对操作风险的认识与管理实践已经进入第四至第五阶段。
对比国际先进银行,目前国内银行操作风险体系建设略显落后,工作内容仍主要集中在第二阶段——操作风险管理架构和内部程序的设计和实施阶段,部分银行开始进入第三阶段,引入了自评估等先进工具。由于国内商业银行关注操作风险是从治理违法违纪行为开始的,很长一段时间内,对操作风险的认识仅停留在案件防控方面,以单点、单线控制为主,发现问题“亡羊补牢”,缺乏系统性的认识和管理措施,因此操作风险管理体系的整体建设步伐较慢。导致这种情况的原因还包括:一是环境因素,长期以来偏重信用风险管理的风险文化,制约了国内业界对操作风险的研究分析;二是体制因素,国内银行改革尚在不断深化,未形成完善稳定的公司治理结构,而操作风险管理的实效与公司治理结构的合理性密切相关,这就加大了操作风险的管理难度;三是人力资源因素,人力资源投入总量和人员经验的不足,阻碍了工作开展;四是系统原因,国内银行业务系统缺乏统一的规划和有机的整合,不利于形成统一高效的IT风险管理模式。
近年,国内银行已逐步提升对操作风险管理的重视程度,并借鉴国外银行最佳实践,力图实现操作风险管理水平的跨越式提升。针对内部欺诈问题的内部控制、针对IT风险和模型风险的专项管理、引入并整合应用操作风险管理工具,将成为国内银行加强操作风险管理措施的重要着力点和创新点。
二、内部欺诈与内部控制建设
内部欺诈是一类典型操作风险事件,在国内银行业,内部欺诈形成损失在各类操作风险事件中相对较高,其引发的声誉风险也不容忽视。欺诈行为常常由人员因素引发,但其人员因素并非欺诈事件发生的惟一原因。温故知新,分析银行内部欺诈事件的历史案例,我们可以得出:人员因素与内部程序缺陷共同导致了风险爆发。尽管学界和实业界对此方面均已有研究评述,然而国内外银行业显然并未完全吸取教训。2007~2008年,法国兴业银行交易员科维尔的内部欺诈行为,再次为研究内部欺诈问题提供了新案例。
科维尔通过勾结中台交易助理,同时利用其上级主管专业经验不足等缺陷,采用技术手段,突破了一系列内部程序和内部控制关口,完成了巨额欺诈交易,给该银行造成了49亿欧元的巨额损失。在这个案例中可以看到,科维尔职业操守沦丧直接导致了操作风险事件的发生,内部人员相互勾结为欺诈交易的实施提供了便利条件。在人员安排上,两方面原因为欺诈行为提供了空间:因原交易主管离职,而上级未及时任命新的交易主管,形成了阶段性风险管理的“真空”;在前台部门人员(两年内人员增长近6倍)和产品数量都快速扩张的同时,中台部门因人员在2007年的大量离职出现了人手不足和工作负荷过重的现象。
以上是人员方面的因素,而内控程序在设计、执行及监督管理方面存在明显的缺陷,成为欺诈事件发生的关键条件。
设计方面,当内部程序和内部控制功能由不同部门或同部门内的不同单元来执行时,其程序和职责不清晰,造成了对情况难以全面把握和对一些异常现象的判断;同时,在机构内缺乏对风险汇集并提示至相应决策层级的程序,这使问题进一步恶化。
程序执行方面,缺乏对欺诈风险的适度了解和警惕,而将重心更多地放在交易的正确执行方面,对于取消或修改的交易、“推迟起始日”交易、高额票面价值头寸等可能发现欺诈行为的风险预警现象和领域均未有相应的风险管控措施。
监督管理方面,尽管检查部门已查找出那些被科维尔利用的内部控制的薄弱环节,但整个内部程序对于这些敏感问题的反应补救措施却过于迟缓。事实上,这些内部程序的薄弱环节贯穿了整个操作链条,使科维尔得以隐藏其投机头寸。
内部程序存在缺陷是造成内部欺诈行为得以实施的必要条件,这就为我们应对内部欺诈提供了明确对策——建立完善的内部控制环境。内部控制是伴随管理活动而诞生的。商业银行为实现经营目标,通过制定一系列规章制度和程序方法,并配置一定素质、数量的人力资源对业务风险进行防范控制,从而形成内部控制体系。由于商业银行面临的经营环境、提供的业务产品和服务的内部管理需求是不断变化发展的,完善商业银行内部控制体系成为银行管理的永恒任务。完善的商业银行内部控制体系要满足一些基本标准,一是内控体系要覆盖主要业务种类和流程;二是实现所有员工在各项业务操作中有章可循,并且规章制度得到有效执行;三是内部程序对不同的执行对象要体现一定差别化的灵活性,即对经验丰富并得到银行授权认可的执行者在操作中有一定的自主性;四是内部程序的设计和执行要考虑成本,包括管理成本和机会成本;五是内部程序的设计要建立在对业务的关键流程环节进行风险评估和知晓确认的基础上。
借鉴法国兴业银行的教训和内部控制有效性的标准,国内银行可在以下几方面强化内部控制措施,以降低欺诈事件的发生概率:首先,明确前中后台的内控职责,让每个岗位了解自己的内控任务,并具备相应的素质,使各个条线、产品的内控体系得到有效的人力资源支持。其次,强化岗位分离和制衡机制,对关键岗位实施定期轮岗和强制休假制度,明确问责制度等,确保经营行为在监督范围内,对于快速膨胀的业务和交易,要重点关注,满足“四眼监督”原则。其三,在充分分析业务风险特征的基础上健全内控程序并监督内控程序的执行。通过推进操作风险与内部控制自我评估工作,对重要生产系统、主体业务的制度流程进行梳理、重检,建立制度、流程、系统的持续优化完善机制,确保内部控制程序无漏洞。其四,建立覆盖全业务领域的风险信息报告和应急处理机制,确保发现问题及时补救。其五,分析风险出现频率与预计损失,通过对重大风险、主要风险重点配置内控资源,达到降低风险,控制管理成本,确保服务效率和灵活度。
三、关注信息技术(IT)风险及其应对措施
随着商业银行业务越来越依赖IT系统和网络来实施,IT风险也成为一类日益重要的操作风险。近年来国内外银行发生IT系统事故,导致业务的非正常中断的事件,给银行业和监管部门提出了警示。中国银监会于2006年底发布实施了《银行业金融机构信息系统风险管理指引》明确IT风险的重点管控对象,包括总体风险、研发风险、运行维护风险和外包风险,从管理领域角度概括了IT风险特征。在遵从监管要求的基础上,商业银行还应对IT风险的属性进行区分并出台应对方案,具体包括安全性风险、可用性风险、性能性风险和遵从性风险等几方面。
1.安全性风险是未授权方更改、访问或使用银行信息带来的风险。这类风险对信息安全、信息的信任感及管理信息的技术和流程造成危害。风险来源于外部攻击、恶意代码、物理性破坏、不恰当的访问、心存不满的员工以及平台和消息类型的增多。其潜在和深远影响包括:银行信息被破坏、造成外部欺诈、身份信息被窃取、金融资产被盗取、银行信誉和品牌受到损害,以及银行IT软硬件资产受到毁坏。
2.可用性风险是未能提供或延迟提供进行业务交易和操作所需的IT流程或信息。风险来源于硬件故障、网络中断、变更管理流程不完善、数据中心故障和其他不可抗拒力。造成的影响包括:交易终止,丧失销售机会;降低客户、合作伙伴和员工的信心;关键业务流程中断或延迟;降低IT员工的工作效率等。
3.性能性风险是支持业务交易和操作的IT流程速度降低或无效。风险来源是系统架构薄弱、网络拥挤、无效代码或容量不足。造成的影响包括:降低客户满意度,降低客户或合作伙伴的忠诚度,降低客户工作效率,关键业务流程中断或延迟,降低IT工作效率。
4.遵从性风险是因不遵从法律法规而导致罚款、罚金和信誉受损,或不遵从IT策略而导致一系列后果。造成的影响包括:损害声誉,泄露客户保密性资料,引发诉讼,降低管理人员的工作效率。
对于以上四类风险,需要采取的共同策略是:定期识别与评估IT系统及其流程设计的安全性,查找漏洞并及时整改。结合识别与评估及日常检查的历史数据,建立关键风险指标和预警标准,对参数管理等关键风险点进行实时、动态监控,对银行信息系统和管理流程的潜在风险进行预警。加强信息系统的审计工作,完善风险再评价机制。
对于安全性风险和遵从性风险,要将IT管理与内控体系结合,特别注重规范IT系统变更管理流程,严格审批授权、密码管理和岗位制衡等内控制度,防止内部人员的违规和恶意行为。同时,加强IT系统重要数据和日志信息的管理,做好重要信息的备份,健全信息存储管理制度,保护重要信息安全和核心机密。
IT风险的识别和管控都需要专业技术能力,为此,需要加强重要IT系统核心人员的管理,健全关键技术人员的激励约束机制,吸引和留住技术人才,维护核心岗位人员的稳定性,同时监控关键岗位的异常操作,避免道德风险的发生。
四、研究分析商业银行模型风险——操作风险管理新任务
自20世纪70年代以来,由于商业银行业务日益复杂,银行从最初主要依靠经验和判断的定性手段逐渐向以定量技术和方法来管理业务过渡。在风险管理领域和资本市场业务领域,商业银行采用了大量计量模型和金融模型,为银行的风险量化管理和资金交易提供了强有力工具,计量模型和金融模型的大量使用也是近三十年来金融产品爆炸式增长和金融系统获得深刻变革的主要推动因素之一。但与此同时,由于模型本身的复杂性以及对模型的不当使用,将可能导致模型风险的产生。2007年以来爆发的美国“次贷”危机对众多金融机构造成了不同程度的损失,“次贷”危机发生的其中一个原因是相关金融机构、风险评级机构对各种风险计量模型和定价模型的模型风险未能加以有效控制。鉴于模型风险的重要性日益突出,商业银行应当及时开展对模型风险的评估和研究。
所谓模型,是指通过提取真实对象运作规律的主要特征,将复杂的运作规律进行合理简化以后的一整套逻辑规则。在开发模型过程中,模型可能会抓住它所描绘的真实世界的大部分特征,但也可能同时会忽略掉一些重要的内容,同时商业银行在模型的实施和持续的操作性使用中存在的错误和/或不一致性,上述因素导致重大损失的风险统称为模型风险。在商业银行经营管理过程中,模型风险主要体现在运用数学模型来计量风险、估价、交易套利过程中出现错误和带来损失的可能。模型风险属于操作风险的一种。
商业银行模型风险主要包含定价模型的模型风险和风险计量模型的模型风险。在定价模型中,模型风险是不能准确计量市场价格带来的风险,在风险计量模型中,模型风险是不能准确评估计量未来损失的风险。模型风险可能来源于模型开发、测试部署、运行和维护阶段的整个模型生命周期,产生的原因主要包括以下几类:
1.对模型中影响结果的主要因素考虑不全面。就现有的模型能力和现实世界的复杂性来看,由于真实世界要远远复杂于任何能够创建的数学模型,因此我们选取的模型因素不足以描述真实世界时,即存在该种风险。以评分卡模型为例,由于国内区域经济发展程度、信用水平的差异,导致区域因素是影响评分的主要因素,如果没有加以考虑,就可能导致模型风险。
2.在因素考虑全面情况下,有可能对因素(自变量)本身的运作规律、分布假设不正确,如将短期利率、运动过程假设为几何布朗运动,在给大多数利率衍生品定价时不太恰当。
3.对因素(自变量)和影响变量(因变量)之间的传导关系假设错误。此处指的是因变量和自变量之间的经济学含义假设不正确。比如一般认为,高收入者的违约率较高的假设是不正确的。
4.建模时成立的模型关系,随着时间的漂移,关系不再成立。原因是建模时对模型关系稳健性考虑不足和模型本身稳健性足够,但是随着时间的变化,输入变量整体分布发生了漂移。如评分卡模型上线几年后,申请人群的风险要素的分布特征发生了漂移,这时就需要重新开发评分卡。
5.模型关系正确,但是选取了错误的参数。如期权定价模型中重要的参数是波动率(volatility),有多种方法可确定该参数,对参数的不当选择将使定价结果差异极大,可能给银行带来损失。
6.建模时所用的样本数据不正确或不具有代表性也可能导致建成的模型错误。如数据清洗错误,导致使用样本数据建立的模型关系错误。
7.模型在部署实施、使用过程中发生的一些错误,一般也归属于模型风险。如模型部署实施过程中的编码错误,未经规定程序发布模型;模型测试风险模型使用者未能正确使用模型,如模型运行过程中模型的输入错误,也属于模型风险,如系统上线以后客户经理输入错误的数据进行评分。
面对上述诸多模型风险,商业银行应从几方面入手进行防控:
首先,通过建立制度统一规范国内银行模型开发和运用工作。银行业监管部门和商业银行需要共同努力,建立一套制度体系,统一规范商业银行模型开发、测试部署、运用和维护等各环节的工作,提高有关模型工作效率,防范和减少模型风险。
从模型开发的流程来看,商业银行应当制定统一规范的建模流程,其中包括通过制定模型管理办法统一建模流程,通过设置建模关键点控制建模关键环节的风险,通过模型验证、模型测试及时评估模型可用性。从模型部署实施环节来看,需要建立对模型开发过程中的编码进行测试机制,并制定规范的模型发布程序。在模型运行环节来看,银行还应当确立模型维护和定期监测。模型维护包括对模型的输入进行有效控制。定期监测通过监测模型运行中的关键指标,及时发现模型输入和结果的偏移。同时对于定价模型,可以通过建立风险损失准备金来弥补不同模型估算之间的差异带来的风险损失;对于风险计量模型,应当及时开展情景分析和压力测试,分析风险参数、风险变量在极端变化下模型是否能正常运作。
其次,加强各类模型建设和运用所需数据库的建设。国内银行应积极建立客户的数据库系统,要保障足够的数据质量和数据时间长度,运用数学模型计量、跟踪信用风险,建立规范的征信和信用评级体系,为实施内部评级体系的商业银行的信用风险管理创立信息平台。
最后,要积极加强专业人才的培养,为各类模型的开发运用提供必要的人力资源。在计量模型的具体开发和运用方面,国内银行还面临着技术专家的匮乏和整体人力资源配备不足,同时面对其巨大的工作任务和紧迫的时间要求,急需提高风险管理人员的专业素质,加大人力资源的保障力度。
在次贷危机导致的动荡的金融市场环境中,模型风险作为一种可能引发重大损失的操作风险,理应引起各方重视。随着商业银行业务进一步复杂化,应当认识到各种金融模型、计量模型在商业银行以及其他金融机构的使用已是大势所趋,模型风险已经与商业银行的业务经营与管理相伴相生。因此,面对模型风险,商业银行既要避免对其听之任之的态度,也要避免由于存在模型风险而完全推翻风险计量的作用,并将一切金融危机导致的损失与错误均归结于模型风险的简单化思维,而应将模型风险视作业务经营中的常态存在来管理,应当遵循识别、计量、监测、控制的流程,逐步通过分析模型风险的成因与影响,有效控制其可能产生的不利影响。
五、引入和整合应用操作风险管理先进工具
如前所述,国内银行基本已进入操作风险管理的第二阶段,操作风险管理架构已初步形成,操作风险管理程序体系得以实施,但总体而言,这些银行的操作风险管理水平尚显落后,与国际领先银行的差距主要体现在:没有灵活应用各类操作风险管理先进工具,尚未形成自我检测、快速纠正的完善机制。
随着操作风险管理研究成果的增多,创新风险管理工具在国际金融机构被广泛应用,常见工具包括自评估、风险地图、关键风险指标(KRI)、业务持续性管理、计量模型等。引入和整合这些工具,可以快速丰富国内银行操作风险管理手段,使国内银行实现向“第三、四阶段”(全面识别和准确计量)的快速过渡,并为“第五阶段”整合各类风险的全面风险管理提供基础。
经过活跃金融机构的实践检验,重要操作风险管理工具的具体形式和作用包括:
1.操作风险自评估和风险地图。自评估是通过调查问卷、系统性的检查或公开讨论等方式对银行经营中可能出现的操作风险进行识别,评估内部管理程序是否符合操作风险管理政策,发现管理中存在的缺陷和问题。风险地图是在建立自我评估以后,对银行的关键风险敞口制作损失概率和损失程度图。该图能帮助识别每个业务条线所遇风险以及主要风险点,从而使风险管理资源(人员、系统)重点配置在主要风险点。
2.关键风险指标(KRI)。KRI是通过建立和实施一套与关键操作风险高度相关的风险指标体系,敏锐捕捉风险变化,从而形成对风险的实时动态监测和预警。比如交易失败的次数、人员周转率、损失频率或严重性、业务交易量、“防火墙”的破坏等。
3.业务持续性管理。包括业务持续性规划、应急管理和危机管理三大部分,是一系列事先制定的策略和规划,确保企业在面临突发的灾难事件时,关键业务功能可以持续运作,以保证业务的正常和连续。之所以美国银行在“9·11”事件中未受到严重影响,就是因为他们具备完善的灾难备份系统和业务持续性管理体系,使危机发生后,临时中断的业务能够迅速通过替代途径、人员团队进行恢复工作,同时,灾难发生前的各项业务数据被保留,银行和客户的利益都得到保障。
4.操作风险计量模型。用于评估和预测操作风险发生的概率及影响。操作风险计量模型以损失分布法最有代表性,该方法根据商业银行内部损失数据,基于业务类别与操作风险损失事件类型的矩阵,估计操作风险损失事件的发生频率及损失严重性的概率分布,在假定未来一段时间和一定信赖区间的基础上,计算累积的操作风险概率分布,并可在此基础上计量操作风险经济资本,在数据质量较高,满足建模需要基础上,计量模型为操作风险的管理与控制提供有力的工具。
按照操作风险的管控流程划分,自评估用于操作风险的识别,风险地图和KRI用于操作风险的评估和监控,业务持续性管理为操作风险的预控和缓释提供了较为全面的解决方案,而计量模型通过量化分析结果,全面支持了风险控制手段的实施。对于国内银行来说,管理者需要充分理解这些工具的适用范围,通过研究本地市场和本机构业务管理特点,将先进工具进行“本地化”改造,采取先进行小范围试点、逐步推广的方式,将工具与日常风险管控密切结合。从支持工具应用的人员素质、基础设施来看,国内银行已经具备应用这些工具的条件。
标签:操作风险论文; 风险管理论文; 银行论文; 内部控制论文; 商业银行论文; 商业银行操作风险管理指引论文; 商业银行数据中心监管指引论文; 商业银行资本管理办法论文; 企业内部控制评价指引论文; 银行风险论文; 商业银行风险管理论文; 企业流程管理论文; 商业银行内部控制指引论文; 交易风险论文; 风险模型论文; 交易银行论文; 业务管理论文; 金融论文; 网络欺诈论文;