商业银行关键操作风险指标构建问题研究,本文主要内容关键词为:商业银行论文,指标论文,风险论文,关键论文,操作论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
随着国内银行实施新资本协议期限的临近,使用何种有效的管理工具和方法来管理操作风险,系统性地提升我国银行的风险管理水平,为全面风险管理的实施打下良好基础,已成为我国银行越来越关注的问题。
由于操作风险的内容复杂,形式多变,很难对其进行持续的跟踪和检测。同时,由于操作风险暴露很不稳定,易随环境和流程的变化而变化,加上历史数据严重缺乏,商业银行很难对自身操作风险变动的趋势进行判断。可以说,我国银行应该如何设计和利用有效的管理工具来识别、评估、监测操作风险状况,并在此基础形成操作风险报告,采取管理措施,并为经济资本计提及配置决策提供依据,已经成为我国银行目前亟待解决的关键课题。
作为商业银行对操作风险进行识别和检测的重要工具,关键风险指标(Key Risk Indicator,KRI)的设计和使用得到了巴塞尔委员会和我国银监会的重视。这一工具主要解决的是银行如何识别和了解自身的操作风险状况及其变化趋势的问题,形成前瞻性的风险预警。但是,从已有研究成果看,目前学术界对如何有效建立和使用KRI的专门研究非常缺乏,这一状况对我国本已缺乏操作风险管理经验的银行形成了更大的困难。由于操作风险的特异性,关键风险指标的构建必须要针对银行具体的经营环境和内控状况,必须建立在自身的风险管理体系和风险控制自我评估的基础之上。国内银行需要在了解自身操作风险状况和特征的前提下,研究构建一套有效的方法来构建自身的指标体系,并进一步研究如何通过KRI来深入识别和监测流程中的操作风险,为2010年顺利实施新巴塞尔协议打下基础。因此,我们有必要对如何科学系统地建立、完善和使用关键风险指标这一工具进行研究,为日常的操作风险管理提供有力的支持。
一、KRI的定义和类型
巴塞尔委员会2002年7月发布的《操作风险管理与监管的稳健做法》中,第四条原则明确指出:“风险指标是指用来考察银行的风险状况的统计数据和/或指标,这些指标通常是财务方面的指标,对这些指标要进行定期(逐月或逐季)审查,以提醒注意银行有关风险的可能变化。”COSO委员会在《企业风险管理整合框架》中指出,企业可以使用事件指标(Leading Event Indicators)来识别可能导致一个事件发生的情形是否存在。
银监会制定的监管文件中,都提到了“关键风险指标”这一管理操作风险的重要工具。在银监会2007年5月发布的《商业银行操作风险管理指引》中,关键风险指标被定义为“代表某一风险领域变化情况并可定期监控的统计指标”。指标的具体例子包括:每亿元资产损失率;每万人案件发生率;百万元以上案件发生比率;超过一定期限尚未确认的交易数量;失败交易占总交易数量的比例;员工流动率;客户投诉次数;错误和遗漏的频率以及损失影响等。
可以看出,关键风险指标的核心正是在于其能够“代表某一风险领域的变化”。理论上,如果我们能够对某流程中需要检测的风险区域建立对应的指标,则这些指标作为反映风险变化情况的早期预警信号,就可以用来监测可能造成操作风险损失事件的各项风险。同时,管理层可依据指标的变化迅速采取措施来控制和应对风险。
进一步的,一个KRI通常是一个财务变量或者是反映“操作”状态的变量,这可以是一个专门反映事件原因的变量。从理论上来说,KRI可以是严格数量化的指标,如员工流失率、结算错误数量,也可以是偏重定性的指标,如员工竞争力或系统的能力等;可以是完全客观的,如系统宕机小时数,也可以更主观,衍生品组合构成的复杂程度等。无论使用何种形式的指标,根本目标就是要使指标在相当大的程度上与某个风险驱动因素相联系。更理想的情况是,KRI应当与损失事件发生的机制和途径相联系。
对KRI我们可以进行多种分类。比如按照指标反映的内容来看,可以分为风险指标和控制指标。从使用目的来看,一个有效的指标体系可以分为先行(事前)指标和滞后(事后)指标,因为这样能更好发挥指标的监测和预警功能。这里,我们按照指标监测对象类型的不同,将关键风险指标分为三大类,包括损失(滞后)指标、过程(同步)指标和环境(先行)指标。
损失指标监测实际已经发生的操作风险损失,如各种操作风险损失形态:法律成本、监管罚没损失、资产损失、赔偿损失、追索失败、账面减值等。由于损失已发生,损失指标是滞后的。通常可以使用平均历史水平来估计期望损失水平,并作为阈值的依据。这些指标是常见的指标,可以反映风险暴露情况。
过程指标用来描述和监测流程的操作质量,适用于各类型风险。通常情况下,过程指标是一种同步指标,展现已经发生了什么,但无法提示我们哪里可能会发生什么。因此,选择和设计具有预测性的风险指标是一种挑战。通常的过程指标包括,等待确认的业务数量,失败的交易结算数量等。对这类指标,至少有一部分可以通过一个参考标准来进行选取,即例外导向。比如,如果一个部门很少有过了指定时间仍然未能完成的事项(如放款或结算等),就可以将该类事项的数量作为一个KRI。这样可以选取更多的指标进行讨论,扩大KRI的备选范围。过程指标的其他例子还包括差错率、平均业务量、系统处理能力等。
环境指标是一类典型的前向型的指标,通常有很大的定性成分。设计这类指标的目的是要监测经营环境,以及一些对于流程运营质量具有关键影响和支持作用的因素。例如员工经验水平变化、雇员满意度、培训水平、技术变化率等。理论上来说,环境指标非常重要,但指标设计和数据获取通常比较困难,因为这些指标通常有大量的定性成分。也正是因为这个原因,这些指标容易引起争议,因为不容易找到直接的证据证明这些指标与事后损失的变化有关。但是,对管理层而言,这种前向型指标是最有用的。
二、KRI在操作风险管理中的作用
我们在建立KRI之前,应该首先明确操作风险管理的过程和方法,以便于对构建和使用KRI的要求进行清晰的定位。
依据巴塞尔委员会的观点,我们可以将操作风险管理过程分为四个步骤,包括识别、评估、监测、控制/缓释。这一过程需要使用不同的工具和方法来实现,主要包括操作风险的识别和评估工具—风险和控制自我评估、操作风险监测工具—关键风险指标、对低频高损极端风险的应对工具-业务连续性计划,以及其他的基础性工具,如损失数据收集和分析,操作风险损失报告等。
在《操作风险管理与监管的稳健做法》和《管理指引》中,列举出的一些商业银行管理操作风险的具体方法,包括操作风险和内部控制的评估、损失事件报告和损失数据收集、关键风险指标监测、新产品和新业务的风险评估、操作风险报告等。这些方法或工具在管理操作风险的过程中发挥着不同的作用。具体如图1所示。
在操作风险的管理过程中,KRI的作用非常重要。关键风险指标(KRI)是监测操作风险状况的主要工具,也是支持风险识别和评估的重要手段之一。这主要源于KRI具有使用上的便利性。操作风险状况的自我评估和内部控制的自我评估是识别和管理操作风险的基础工作,通过评估可以发现风险点及对应的控制是否有效,在此基础上银行可以选择适当梳理的KRI来监测风险状况。但由于成本和效率的限制,自我评估通常定期进行(如每年一次),而KRI的计算却可以每天连续更新。对于可以从内部系统中取数计算的指标,结果可以每天更新。这样,关键风险指标就能帮助管理层对本部门或业务条线的操作风险状况进行动态跟踪,了解风险的变动趋势。同时,KRI数据本身及其变化也是操作风险数据库的重要数据来源,能为风险量化提供直接的支持。
本质上,KRI是对运行中操作风险轮廓变化的及时捕捉,并随时提醒管理者根据操作风险轮廓的变化调整操作风险管理措施,是商业银行安全的重要保障。对于任何给定的操作风险类型,银行都可以使用KRI来监测业务活动和特定业务领域的控制环境。由于银行中各部门的任务、流程和目标各不相同,其面临的操作风险取决于所处的地理位置、客户、产品、流程及价值链中的位置。因此各部门应根据需要来开发具体的KRI指标。
另外,KRI为银行管理操作风险提供了一个重要的数据基础,或者至少是可供量化的信息。这些信息可被用来对操作风险建模,以支持决策和管理措施的执行。关键风险指标的地位是很重要的,当某类风险的损失数据不具备,无法进行统计度量时,KRI是一个有效的风险信息来源。
三、KRI的构建
由于操作风险的复杂性和多样性,如何构建这一重要工具来管理操作风险正处于需要不断探索的过程中。这里我们将讨论这个问题。
一般的,KRI的构建过程可以分为五个步骤,即流程关键风险和控制识别、风险指标识别、关键风险指标筛选、确认KRI定义和数据收集程序、确定KRI的阈值。
银行首先要在对业务流程全面梳理,并对所有风险点进行识别的基础上,找出关键的控制措施及对应的风险点。也就是首先确定需要进行监测的风险区域。然后,流程中的操作者和管理者讨论现有指标,或设计新的指标,并考察指标对风险的敏感性,以确定备选指标。应依据事先确定的重要性、数据的可获得性等指标选取原则,结合专家的建议来对备选指标进行筛选。在最终的指标确定后,应明确规定指标应如何计算,即指标的含义和计算方法,并规定数据的收集程序。
另外,在使用KRI进行操作风险管理的过程中,正确的理解指标代表的含义并及时提出预警非常重要。这需要指标管理者将指标数值与设定的参照基准进行比较。这些基准水平称为阈值(thresholds)或引发水平(trigger levels),因为如果指标数据超过了这一阈值水平就代表可能存在的风险水平已超过可接受的程度,管理部门应采取措施来进行调查和解决。某一指标的阈值实际上反映出银行对某类型风险的容忍度。这些阈值通常通过对指标历史数据进行分析产生。一个典型的KRI应包括的内容如图3所示。
KRI应定期评估和更新,删除那些变得已经不具风险敏感性或多余的指标,根据风险和控制环境的变化调整指标内容、范围和数据的收集方式,或者发展新的指标。
KRI指标的选取过程并不复杂,但要真正识别出对流程中特定风险点比较敏感,能监测流程和环境变化趋势,起到预警作用的指标是非常不容易的。因为要挑选这样的指标,除了需要清楚流程的细节,还需要对流程中操作风险的原因、影响及风险本身(如频率、损失形态等)有深入的理解。同时,银行还要考虑KRI实际使用中的可行性,如数据可获取等因素的制约。
我们认为,在指标选取过程中,最关键的是对特定事件原因和影响的理解和解释。银行应当清楚地了解一个操作风险事件是如何发生的,原因是什么,如人员、流程、系统中哪种因素出了问题;风险是在组织内部和流程的什么地方发生的,其他部分受到了什么影响;事件的影响是什么(财务损失或者其他损失)。另一方面,现有的控制措施是否有效或部分有效,它对事件原因是否起到了作用。本文中,我们用一个简明的例子来说明应如何选取指标。
如图4所示,我们对一起由于客户服务质量下降引发的操作风险事件进行了分解和研究。针对前台员工客户服务质量下降这一事件,可能的原因有员工经验不足、情绪低落、业务量增长过快、IT系统运行效率较低等,这些原因单独或共同导致了客户的不满,最终产生了客户流失、声誉受损的不良影响。针对这一风险,银行采取了两类控制措施:一类是预防风险发生的控制,如员工培训、行为监控等;另一类是一旦发生该项风险事件,应采取应对措施以控制事件影响,如对投诉进行监控管理等。在整个过程中,我们对风险的原因、相应的控制、风险事件、事件影响等每一个环节都设计了对应的KRI。通过对这些指标进行持续跟踪,并与指标阈值和历史水平对比,我们就能在一定程度上了解客户服务质量下降这一风险发生的概率变化,控制的有效性如何,以及风险产生的影响如何。
四、有效KRI的来源和特征
构建有效的KRI体系对大多数银行都是一个挑战,特别是对于构建具有早期预警功能以避免损失发生的领先指标来说更是如此。尽管这是一个不易解决的问题,但还是有一些途径来支持我们不断完善KRI体系。
规章制度和政策。对业务活动的规范要求,及由董事会和管理层确定的经营政策和限定性要求(如风险限额)成为有用的合规方面KRI的来源。如某时期内不合规业务的数量,或风险暴露超过限额的数量。
战略和目标。经营战略和相关的绩效指标是KRI的一个好的来源。例如,银行通常使用绩效指标来测量员工的期望绩效表现,同时,可以设计KRI用于测量这种绩效的波动或下侧风险。
历史损失和事件。银行在建立损失/事件数据库。数据库可提供信息发现什么样的流程和事件会引起财务或声誉的损失。KRI可针对这些流程和事件进行构建。
利益相关者的需求。除了监管部门以外,利益相关者—顾客、评级机构、股票分析师、业务伙伴等的需求也能帮助银行发展KRI,即发现那些关键的利益相关者关注的因素,将KRI建立在这些因素之上。
风险评估和控制评估。对流程可能的风险环节及相应的控制环节进行的自我评估,可以提供宝贵的基础信息,以确定对业务单位、业务流程和各风险类型而言哪里需要KRI进行监测。
可以看出,操作风险管理需要银行构建一套高质量的KRI,而非高数量的。有效的关键风险指标KRI应当具备以下特征:
*“关键性”。太多的指标只会干扰管理层的有效决策
*容易获取,可以定期(如每天)得到更新的数据
*与风险驱动因素或风险暴露相关
*是可以量化的指标
*与目标和风险拥有者相联系
*兼顾先行指标和滞后指标
*对支持和改进管理决策有帮助
*能够制定清晰的内部和外部参考基准
*便于及时反应
当然,要使选出的KRI同时兼顾这些标准是不容易的。例如,我们认为员工素质是一个影响操作风险的重要因素,但作为KRI是不合适的。因为员工素质不便测量,更无法每天计算。同时,银行无法立即采取措施来应对和改善这一状况。虽然与操作风险暴露和动因相连,但由于它短期内不随环境改变,作为预警指标是不理想的。
五、目标和局限
由于操作风险的复杂性和多样性,很难有一种工具或方法是完全有效的。因此,我们应当对KRI的设置制定一个主要的目标。这其中最重要的,指标应当是风险敏感的,或者说能够反映导致损失发生的风险因素的变化。这是一个说起来容易做起来难的任务。
需要明确的是,KRI的作用不是“预测”操作风险,而是“监测”操作风险状况及其变化。实质上,KRI指标值的变化不是在预测某类风险事件是否将要发生(这是无法做到的),而是在显示操作风险的“水平”是否在上升或下降。当然,指标监测的对象也包括现有控制的有效性。
同时,我们用来识别和监测操作风险的KRI也具有特定的局限。这种局限主要体现在三个方面:
第一,很多指标只能专用于某个专门的风险类型,并且通常只对某个业务和流程有效。例如,如信贷管理业务流程中的一个环节是有效的。通常情况下很难设计出一套跨业务线和区域的,能监测各类型风险变化的指标。
第二,银行应当认识到,对有些风险类型(如内部欺诈)来说,创设关键风险指标的难度要比其他类型(如执行、交割与流程管理)大得多。对这些风险类型来说,指标的设计和检验都比较困难。
第三,尽管我们所做的努力都是为了能够监测操作风险的变化趋势,以便及时采取措施,但指标的变化和实际发生事件的相关性通常不易被统计方法证明。实际上,我们很难真正了解哪些类型的损失将会发生,也并不真正了解这些指标是否具有预测性。
标签:关键风险指标论文; 操作风险论文; 银行论文; 商业银行操作风险管理指引论文; 银行风险论文; 流程管理论文; 商业银行论文;