新巴塞尔协议——商业银行操作风险管理.docx

商业银行操作风险管理摘要：操作风险已成为全球商业银行风险管理日益重要的领域之一。2004年6月，新巴塞尔资本协议的发布，使得操作风险的管理愈加重要，新巴塞尔协议将操作风险纳入风险管理框架，为其设定新的资本要求。目前我国商业银行缺乏管理意识，尤其是在操作风险方面基本没有什么量化操作的科学方法，不能正确反映所承受的风险，操作风险的管理水平有待提高。一个完整有效的操作风险流程应包括风险识别、度量、监测和控制，本文着眼于新巴塞尔协议下的商业银行操作风险的概念和发生的原因，主要从商业银行操作风险的识别、度量、监测和控制四个方面来详细了解商业银行操作风险以及考察商业银行如何规避操作风险。关键字：操作风险；识别；度量；监测；控制引言 操作风险是一种由来已久的风险，但是一直以来都没有受到足够的重视。随着世界经济一体化，操作风险的发生频率上升，并且逐渐向高危性发展。巴林银行倒闭和日本大和银行事件更使操作风险受到全球的关注，在巴林银行倒闭初期，人们曾认为这起事件是由市场风险引起的，但后来我们可以看到其根源在于里森的欺诈以及巴林银行内部混乱的管理，这显然属于操作风险。西方发达国家的大银行机构也开始逐渐重视操作风险管理。随着中国经济与金融市场的发展、信息化的便利与交易的繁荣，操作风险及其导致的损失也在增加。新巴塞尔协议提高了资本要求对银行面对的实际风险的敏感度,特别值得关注的就是将操作风险纳入风险管理的框架,为其设定新的资本要求。在新巴塞尔协议的第一支柱(最低资本要求)下,巴塞尔委员会将信用风险管理、市场风险管理和操作风险管理并列为三大领域。与信用风险管理和市场风险管理相比,操作风险的管理应当说还处于起步阶段。本文拟就操作风险管理的角度，来分析我国商业银行的风险管理并提出建议。一、 操作风险的界定及产生原因（一）操作风险的概念长期以来,对操作风险的定义存在着一些不同的看法，概括起来可以分为狭义的和广义两种。前者认为操作风险是由于控制、系统及运营过程的错误或疏忽而可能引起潜在损失的风险。该定义排除了名誉、法律、人员等方面的操作风险，因而涵盖的范围较窄，而后者则认为除了市场风险和信用风险以外的所有风险，这种定义的问题在于它使得对操作风险的管理和计量变得更加困难，因而不少银行不得不依据自身的情况，将其限定在自身相对容易计量的范围之内。2004年6月，巴塞尔委员会在发布稿中正式定义操作风险：“操作风险是指由于不完善或有问题的内部操作流程、人员、系统或外部事件所造成损失的风险，本定义包括法律风险,但不包括策略风险和声誉风险”。显然，操作风险较之信用风险和市场风险存在明显的特点：（1）操作风险中的风险因素很大比例上来源于银行的业务操作，属于银行可控范围内的内生风险，而信用风险和市场风险更多的是一种外生风险。（2）从覆盖范围看，操作风险管理实际上覆盖了几乎银行经营管理所有方面的不同风险。（3）对于信用风险和市场风险而言，存在风险与报酬的一一映射关系，但这种关系并不一定适用于操作风险。（4）在业务规模大、交易量大、结构变化迅速的业务领域，受到操作风险冲击的可能性最大。（二）操作风险发生的原因新巴塞尔协议给操作风险下的定义是：操作风险是指由于不充分的或失败的内部程序、人员和系统，或者由于外部事件所引起损失的风险。巴塞尔监管委员会从8个业务类别（公司金融、销售和推销、零售银行业务、商业银行业务、结算和支付、代理和保管、资产管理、零售经纪）把操作风险损失划分为7种类型：a.内部欺诈，即内部人员骗取、盗用财产或违反监管规章、法律和银行制度的行为；b.外部欺诈，即外部人员故意骗取、盗用财产或逃避法律责任的行为；c.雇员活动和工作场所安全，即违反就业、健康或安全方面的法律或协议所引起的赔偿要求；d.客户、产品和业务活动，即因疏忽未对特定客户履行份内义务，或者产品性质、设计缺陷导致的损失；e.实物资产的损坏，即由于自然灾害或其他事件导致实物的损坏或丢失；f.业务中断和系统错误，即业务中断或系统失败造成的损失；g.行政、交付和过程管理，即交易失败、过程管理出错及与合作伙伴合作失败。二、 商业银行的操作风险管理（一） 风险识别风险识别是用感知、判断或归类的方式对现实的和潜在的风险性质进行鉴别的过程，操作风险的识别是操作风险管理的起点，是风险评估、监测、控制、缓解、计量等一系列后续活动的基础。操作风险识别的目标在于发现风险因素、确定风险损失种类，只有在正确识别出自身所面临的风险的基础上，人们才能给主动选择适当有效的方法进行处理。操作风险的识别一般包括以下步骤：明确主要业务和重点环节、识别操作风险系统整体特征、识别关键风险诱因、确定风险事件、选择关键风险指标、确定风险暴露（风险损失）等六个步骤，其中的关键步骤即识别操作风险系统整体特征、选择关键风险指标、确定风险暴露的特征和程度。（如图）操作风险的识别应遵循四个原则：（1）主动性原则。各级各部门要牢固树立风险意识与风险管理理念，在日常工作中通过对违背规律和内部规定的反常情况发现风险、查找风险，并采取有效的激励约束手段，确保树立主动识别和管理风险的意识，掌握识别的要求和标准。（2）及时性原则。发现风险隐患或发生风险事件后，及时提炼风险信号及风险因素，分析风险程度及影响，发布风险提示。（3）全面性原则。操作风险识别应覆盖所有重要的业务、产品、活动、系统及其流程，并贯穿于业务经营管理的整个过程。（4）规范性原则。识别结果要满足统一的标准，并进行规范化整理。操作风险识别的方法有以下几种：1. 损失事件数据库法。即对历年发生的操作风险事件收集记录形成数据库，之后再发生类似事件可以对照数据库进行识别。这是一种事后识别，需要积累大量的历史风险事件，对于成立时间较晚、业务规模较小的中小商业银行不太可行。2.情景分析法。即通过对不同的情景进行假设分析，以判断可能潜在的操作风险。这是一种事先识别的方法，一般适用于新的金融产品或业务风险分析或对外部突发事件的分析。这种方法也存在情景假设与实际偏离、风险点分析不完整等缺陷。3.流程图法。基本步骤为：第一步把每项业务和产品的操作过程梳理勾画出操作流程图；第二步对每个操作环节可能发生的操作风险事件或称操作风险点进行提炼，形成潜在的操作风险事件数据库；第三步针对每个操作风险点，采用专家法、历史事件估计法、抽样调查法等多种方法评估其发生的概率和发生后的损失程度，进而勾画出操作风险事件发生概率和损失矩阵分布图；第四步根据操作风险事件发生概率和损失矩阵分布图，制订不同种类风险事件的应对控制政策，进而完善操作流程，实现操作风险识别与控制有机结合（如图）。（二） 风险度量操作风险度量是在操作风险识别基础上，对操作风险事件发生的频率及造成的预期、非预期损失进行科学合理的估计，为操作风险损失控制提供数量基础。对风险进行量化是银行风险管理的一个趋势，市场风险和信用风险均已开发出较成熟的度量模型，与它们相比，操作风险识别困难，发生范围广泛，损失资料难以收集，损失程度难以确定，常常与其他两类风险相互交织、比较难以识别。操作风险度量的原则，保证对商业银行所有业务部门的操作风险进行测度的有效性。这些原则见表：操作风险的度量方法：在2004年6月的新协议中，巴塞尔委员会在操作风险定义之后，详细给出了两种种计算操作风险资本的方法，分别是初级度量法和高级度量法，这两种方法在敏感度方面依次加强。1初级度量法包括：（1）基本指数法。用单一指标（e1）（一般采用总收入）乘以固定百分百，得到监管资本。（2）标准法。将银行业务统一划分成不同的业务领域，每个领域选取一个能充分代表其风险暴露的指标（e1i），乘以体现风险程度的固定百分比，加总得到操作风险资本要求。初级度量法操作简便，但对风险的估计过于粗略，指标的选择和固定百分比的确定带有很大的随意性。对银行自身进行风险度量有所借鉴的是高级度量法。2高级度量法包括以下几种方法：（1）内部度量法。银行根据监管者的规定，自己收集损失数据，自己估算风险资本的一种方法。对银行业务划分不同领域后，再在每个业务领域中定义不同的风险类型，对不同领域与不同风险类型的组合规定相应的风险暴露指标（e1），和预期损失与非预期损失的转换系数（r），并利用银行自己的内部数据计算损失概率（pe）和损失程度（lge），公式为：风险资本=e1(i,j)*pe(i,j)*lge(i,j)*r(i,j) （其中i表示业务领域，j表示风险类型）。与初级度量法相比，内部度量法使银行朝着精确度量前进了一步。它按照不同的损失类型对风险暴露指标进一步细化，能完整的描绘出银行业务的风险全貌；初级度量法中的固定百分比被分解成损失概率和损失程度，有利于银行使用自己的数据；转换系数r考虑了银行业务之间的相关性造成的所需风险资本的减少。但该方法对银行收集整理内部数据建立自己的损失数据库的能力要求较高。（2）损失分布法。即根据损失资料库中每一种业务类别的损失特征选取拟合度最优的模型，对损失发生的概率和损失程度做出假设，得到操作风险损失在未来时期内的可能分布，比如假设损失发生的概率服从泊松分布，而损失的程度服从对数正态分布，以此来估计该类业务操作风险所需资本金。可以看到，损失分布法虽然与内部度量法都需要对操作风险按业务细分，但二者的思想有着很大的区别：前者直接评估不可预期损失，而不像后者通过预期损失转化；其次损失分布法强调建立模型，而不像后者是运用统计原理将历史数据作为未来预期的无偏估计，虽然对数学的使用更加复杂，但更具有前瞻性。（3）极值理论法。极值理论在巴塞尔协议中并未提及，但由于其较好的适用性在理论界得到认可。部分引致操作风险损失的事件发生频率低，但造成的损失巨大，从分布形态上看具有强烈的厚尾分布特征，使用极值理论法模拟厚尾部分，可以根据极端值的样本数据，在总体分布未知的情况下，得到一定置信度的var值作为资本要求。该方法的关键是设定一个最优阀值，当所选取的参数超过该阀值时，纪录下来作为极端情况的样本数据。极值理论的优势在于它直接处理损失分布的尾部，不必假设总体分布。问题是最优阀值的难以确定；同时，由于只有少数点进入尾部区域，很难获得充分的数据。（三）风险监测操作风险监测是指通过对各类风险指标的日常监控，对操作风险状况及其控制技术措施的效果进行动态、持续的管理。操作风险监测是风险管理机构建立的一套风险过程控制程序和风险程度测评方法，采用定性和定量评估的方法监控和测评本机构面临操作风险的所有暴露，确保有效的控制措施和管理系统可以将问题在进一步恶化之前发现。一套有效的监测程序是一种动态监测，有利于及时发现和纠正操作风险管理的政策、程序和流程中存在的缺陷，以大大减少操作风险损失事件的发生频率和严重程度。实施有效的操作风险监测需要注意几个问题：一是操作风险监测和控制应采取与市场风险和信用风险一样的独立管理机构；二是高级管理层必须确保本机构的操作风险有统一的内涵，同时，设计的监测、评估和报告操作风险的工作机制应被严格执行；三是这个工作机制应与本机构的业务活动规模和风险承担规模相匹配。一个完整的业务流程操作风险监测框架由操作层、检查层、监督层构成。1.操作层监测流程：包括主体的职责、操作风险监测点落实、各监测点监测要求。如图所示：2.检查层监测流程：检查层要定期或不定期检查。检查层包括检查主体、管理环节、具体管理要求。如图所示：3.监督层监测流程：监督层包括监测主体、管理部位及管理要求。如图所示：在业务流程监测中，可以通过风险诱因和风险图监测操作风险状况。风险诱因是风险驱动指标，包括各业务条线和业务环节的关键点。通过对风险影响因素定性和定量分析，可以发现其显著变化对风险性质变化（操作风险损失或其他风险的变化）及风险组合变动的影响；风险图是一组用以描述风险种类及其发生频率和强度的直方图，其数据主要来源于自我评估结果或损失事件历史数据，它可以帮助高级管理层非常直接地看出银行的主要风险所在，识别那些需要加强管理控制的风险，通过及时减少频率或损失强度，使风险降低到可接受的区域。商业银行操作风险的评测指标。风险评测指标是在一定风险管理框架中，对业务活动和控制环境进行监测的指标。它涵盖两个方面：第一，对已有操作风险损失和频度的监测，这有利于快速发现并且纠正管理操作风险的政策、程序和步骤中的缺陷；第二，对潜在操作风险的监测，这需要确立前瞻性指标，为有可能在将来损失增大的风险提供早期测评，这样的指标可以反映操作风险潜在的原因。操作风险评测的功能：（1）对风险的感知；（2）对整体风险程度的度量；（3）对风险的揭示；（4）风险评测的后评价。操作风险评测的运行过程：（四）风险控制操作风险控制是商业银行对发生的操作风险损失采取的处理方法和手段。操作风险损失包含预期损失和非预期损失，不同的损失采取的控制方法不同。有效的风险管理会针对每一项业务及不同的风险程度提出最优的控制方法，将其列入风险管理流程和管理政策。操作风险控制的基本原则。操作风险控制应遵循的基本原则有两项：第一，成本/效益原则。对操作风险的控制需要一定的成本，对不同损失的准确度量可以使银行采取适合的控制技术，从而减少成本；管理层应设计实施成本/效益相结合的措施和方法，把操作风险降到可承受的范围之内，对操作风险的责任进行明确划分。第二，控制的有效性原则。风险控制技术的有效性表现为：有效降低特定操作风险发生的概率；有效减少操作风险一旦发生而带来的损失影响；考虑操作风险损失的不同处理方法。商业银行操作风险的控制技术包括财务技术、操作风险的经济资本配置技术、操作风险的缓释技术、操作风险的自留技术。1. 预提损失准备的财务控制技术。操作风险分为预期损失与非预期损失。预期损失是银行事先知道业务经营过程会出现一定的损失，包括差错率、系统故障等。预期损失是在一般情况下银行在一定时期可预见到的平均损失，这类损失要通过调整业务定价和提取相应的一般准备金抵补。以合理的方法预提损失准备金：（1）以营业收入的一定比例计提。在银行面临的风险中，信用风险占40%，市场风险和操作风险各占 30%。会计准则规定，信用风险可按照资产负债表日贷款账面余额与公允价值的差额计提贷款呆账准备金；市场风险可在资产负债表日根据投资的账面价值与公允价值的差额计提投资跌价准备；操作风险目前没有在会计核算期间计提损失准备金。按照风险损失的频度，建议按照银行营业收入的一定比例，如 1%计提。（2）以高频损失金额的均值计提。可以按照发生频率较高的风险事件造成的损失金额均值作为计提损失准备金的基础。2经济资本的配置技术经济资本是公司或组织在一定期间内为防止或缓释（在一定置信水平下）非预期损失导致的支付危机所需的资本金量。用来描述在一定的置信度水平上，一定时间内，为了弥补银行的非预期损失需要的资本，即在数量上，经济资本等于风险总额，即与银行承担的非预期损失数额相等。种资本是基于银行全部风险之上的资本，为抵御各项业务（资产）的风险所需要的资本，因此又称为风险资本。操作风险经济资本是减缓非预期的操作风险损失及其所带来的支付困难而配置的资本。3.操作风险的缓释技术操作风险缓释技术是指商业银行根据操作风险识别度量的结果，结合银行发展战略、业务规模与复杂性，通过采取业务外包、保险等一系列缓释方法，对操作风险进行转移、分散、规避，降低操作风险带来的损失。商业银行通过制定相关政策、程序和流程缓释操作风险；通过全面、高效地使用风险缓释工具降低风险，针对不同类型操作风险事件采取外包、购买保险等不同的操作风险缓释技术。4.业务持续计划的风险自留技术业务持续计划是指企业制定计划以应对遭遇对其业务持续性经营产生影响的灾害性事件，防止出现业务中断，保持业务经营的持续性，或者在灾害性事件对企业业务经营的连续性产生严重影响甚至导致业务中断时，在最短时间内恢复业务的正常运作。业务持续计划的有效实施取决于三个方面。（1）金融机构的董事会和高级管理层必须充分认识到业务持续计划的重要性，予以高度重视并明确责任，尤其是要确保机构内部有足够的合格人才和必要的资金用于业务持续性管理；（2）业务持续计划必须具备良好的工作流程，具体包括对业务影响分析、风险评估、风险管理措施、风险监测等步骤；（3）务持续计划必须具有完备的内容和有效的管理措施。业务持续计划内容与金融机构本身业务和管理变化相适应。三、以工商银行为例，我国商业银行操作风险管理（一） 我国工商银行操作风险的时间分布1.1998年2000年，在这一阶段工商银行操作风险损失事件相对来说比较少，最多3起，最少1起。这一时期工商银行的操作风险损失事件不多，主要有以下三方面原因：（1）当时工商银行的工作重心是按照国家政策进行体制转换，从以前“大一统”的银行体制转化为“自主经营、自担风险、自负盈亏、自我约束”的市场主体。（2）由于当时国家金融政策以及工商银行自身发展状况，银行业务种类有限，许多银行业务都还没有发展起来，操作风险事件比较少。（3）操作风险的概念在国内还没有引起广泛关注，银行内部没有重视。2.2001年2007年，工商银行操作风险频发，在2007年达到高峰。随着工商银行经营体制改革的深化，许多先进理念和方法开始引入，经营绩效和风险内控机制逐步建立，外部行政干预明显弱化。这一阶段的改革重在梳理银行内外部关系、引进先进管理技术、处置不良资产等方面，从而使得以前违规经营的业务和银行损失浮出水面。从2003年4月份开始，工商银行主动揭出了5起百万元以上大案，涉案金额高达1.85亿元。2003年国家审计署对工商银行2002年资产负债进行审查，查出各类涉嫌违法犯罪案件线索30起，涉案金额69亿元，操作风险逐渐引起了银行内外的关注。3.2008年2010年，工商银行操作风险损失事件有所下降。前一阶段，工商银行稽核工作的重点主要在财务真实性和新增贷款质量方面，通过持续深入的稽核监督，这两方面的经营管理状况有了极大的改善，违规违纪现象很少发生。(二)我国工商银行操作风险的特征1. 从业务类型来看，工商银行操作风险损失主要集中在商业银行、零售银行、支付结算以及非业务线类。其中商业银行损失金额最高，而零售银行损失事件数最多，支付结算和非业务线类虽然损失金额不多，但是事件数较多，且事件性质恶劣。2. 从损失类型来看，工商银行操作风险损失主要集中在内、外部欺诈，客户、产品及业务操作和执行、交割及流程管理。内部欺诈引起的操作风险损失频率高，强度大，远远超出其它的损失类型。3. 从损失金额分布看，工商银行操作风险的大额损失多集中在商业银行业务以及内部欺诈类型，小额损失多集中在零售银行和支付结算业务，每类业务损失金额和数量各不相同，因此对操作风险的管理要结合不同业务种类进行重点防范。（三）我国工商银行操作风险防范措施（1）构建风险管理文化。以法律和规章制度为依据，建立专门的纪律检查机构，对员工的行为进行监督。（2）加强数据库的建设。每年对数据