(三)客户、产品与商业行为风险(Clients,Product&Business Practices)
该风险主要指由于产品特性或设计不合理、员工服务粗心大意、对特定客户不能提供专业服务等原因而造成的银行损失,包括产品功能不完善引发的损失;由于强行销售产品、未对敏感问题进披露、对客户建议不当、职业疏忽大意、不恰当的广告、不适当的交易、销售歧视等导致与客户信托关系破裂、合同关系破裂、客户关系破裂而引发的损失。这类风险,在整个操作风险中占有相当大的比重。例如,2000年,英国平等生命保险审计署公司准备对最终奖金进行削减,这一计划单方面修改合同,抵消了客户所享有的保障年金受益率,最终客户告上法院,被英国议会上院判为非法而损失惨重。
(四)执行交割和流程管理风险
该风险主要指交易处理、流程管理失误以及与交易对手关系破裂而引发的损失。包括业务记账错误、错误的信息交流、叙述错误、未被批准的账户录入、未经客户允许的交易、交割失误、抵押品管理失误等原因造成的损失。例如,1984—1985年,所罗门兄弟公司因为前五年内部交易上的不一致和不平衡而形成1.26亿美元的损失,现时因当年的账务处理错误而形成6000万美元的损失。
(五)经营中断和系统错误风险
该风险主要指由于计算机硬件、软件、通信或电力中断而引发的损失。包括硬件瘫痪、软件漏洞、设备故障、程序错误、计算机病毒、互联网失灵等原因造成的损失。1985年11月,美国一家声誉很好的证券清算银行,其计算机系统偶然发生故障,不接受任何收性交易,这样他们在美联储的账户上出现226亿美元的赤字,形成了严重的支付风险。
(六)雇员行为与工作场所管理风险
该风险主要指在员工雇用、管理中,由于违反相关法律、制度,而引发的索赔、补偿损失,或由于缺乏对员工的恰当评估和考核等导致的风险。2004年7月,华尔街第二大投资银行——摩根-斯坦利公司因在员工管理中存在性别歧视,被控诉讼,最后不得不向女雇员赔付5400万美元。
(七)物理资产破坏风险
该风险主要指自然灾害或其他外部事件(恐怖主义)而引起的损失。包括由于暴风、洪水、地震、电压过大、恐怖活动等原因造成的物质资产损失。例如,2001年,美国Cantor Fitzgerald公司受“9·11”恐怖袭击事件而破产。
第二节操作风险管理
一、巴塞尔银行监管委员会操作风险的稳健做法
2003年2月份,巴塞尔银行监管委员会出台了《操作风险管理的稳健做法》,提出了银行操作风险管理的10项原则。内容涉及风险管理环境、风险管理措施、监管职责、信息披露等方面,指出银行在操作风险管理中应综合考虑经营规模、业务性质、复杂性等一系列因素,并强调不管银行的经营规模与业务范围如何,有效的操作风险管理框架至少应包括由董事会和高级管理人员制定的明确战略、浓厚的操作风险与内控氛围、有效的内部报告机制及应急预案等多种因素。2004年6月,巴塞尔委员会在其发布的《新资本协议》中正式将操作风险管理纳入全面风险管理之中。
(一)建立适当的风险管理环境
原则1:董事会应当了解作为一个独特的、可识别的风险控制——银行操作风险的重要方面,对银行的操作风险战略进行批准和定期审查。该战略应能够反映银行对风险的容忍程度及其对这种风险种类的特定特征的理解。
原则2:董事会应确保对操作风险的基本框架结构进行有效和全面的内部审计,内部审计员应该独立、受过适当的培训和有才干,内部审计部门不直接对操作风险管理负责。
原则3:高级管理层应负责实施经董事会批准的操作风险战略,该战略应当在全行上下得到一致的贯彻执行,各级员工应当了解其与操作风险管理有关的职责;高级管理层还应该负责在银行的产品、业务、方法和系统中建立管理操作风险的政策、过程和程序。
(二)识别、衡量、监督、减少和控制操作风险
原则4:银行应当识别和评估各种产品、业务、方法和系统中的操作风险,保证在推出或开发新产品、新业务、新方法和新系统之前,对其中的操作风险进行充分的评估。
原则5:银行应建立监测操作风险和重大损失事件的流程,应该定期向董事会和高级管理层报告关于操作风险管理的相关信息。
原则6:银行应具有控制和减轻实质性操作风险的政策、流程和程序,应定期回顾风险限制和控制战略,应采用适当的策略调整操作风险暴露。
原则7:银行应该有应对突发事件和连续的商业计划,以提高其持续监测和在严重的商业事件中控制风险损失的能力。
(三)监管者的地位
原则8:银行监管者应要求所有的商业银行,不管其大小,都要有识别、测量、监测、减轻和控制实质性操作风险的框架,并将其作为全面风险管理的一项重要内容。
原则9:银行监管者应对银行与操作风险相关的战略、政策、程序和做法直接或间接地进行定期的独立评价,并确保银行具备一个有效的报告机制,使监管者可以及时了解银行的进展。
(四)披露的作用
原则10:银行应该向所有市场参与者披露操作风险管理的方法。
二、操作风险的管理框架
操作风险框架包括四个组成部分:管理战略、操作风险流程、操作风险管理的工具和技术以及环境基础。管理战略设定了风险管理的总基调和基本方法,包括业务目标、风险偏好、企业管理风险的方法以及与操作风险管理相关政策的阐释;操作风险流程是在既定战略框架下,风险管理的日常活动和决策;操作风险管理的工具和技术则是指用于风险管理中的系统和其他工具;环境基础包括文化和相关的外部因素,这里的文化指高层管理者的参与和支持程度,以及他们决策的风格。同时,在这四个组成部分其后的是内部审计,其重用是非常重要的。
(一)管理战略
1.业务目标
操作风险管理应着重于帮助公司实现其业务目标。业务目标包括业务发展战略,如占有一定的市场份额,或推出一种新产品、新技术。公司也有按公司部门来确定业务目标的,如财务部门需在月末5日内封账或确定一定数量的成本压缩。这些目标同时决定了公司面临的风险种类。
业务目标也表达了公司的风险偏好,即公司可接受的风险和不可接受的风险。操作风险管理中,对风险偏好量化的方法包括风险图中什么样的频率和强度的组合形成不可接受的风险、操作风险损失的水平、不同风险指标的扩大标准。风险偏好的定性分析包括经营是否符合法律和政策,产品交易的控制和自动化是否在合适的水平,对公司业务控制和损失事件的披露是否公开、透明,对风险的评估是否合适等。风险管理的目标通常围绕降低不确定性和避免突发性事件的发生。
2.管理框架
传统意义上讲,操作风险管理是公司每个人的职责的一部分,员工不管是在业务线上,还是在公司的职能部门,都要对其对应的操作风险进行管理。虽然目前金融机构的风险主要由业务线进行管理,但一种新型的治理模型正在形成,它将极大地影响公司操作风险管理的方法。其特点包括:在各个部分设置一名操作风险经理,这位经理统一向首席风险官报告。这样做的好处是便于建立统一的政策、风险管理工具的开发、协调工作、独立分析和测试、与同业比较以及对风险状况进行整合和积聚。举例来说,操作风险经理将对操作风险进行定义、开发和利用风险管理工具(比如风险图),对风险进行自我评估、建立损失事件数据库、设计风险测量模型(如计算经济资本)等。
业务线负责日常的风险管理活动,它处于一线,直接面对客户。它需要向客户介绍新的产品、管理大多数员工、按流裎进行操作,并处理其他外部风险暴露。此外,公司内部的职能部门,例如人力资源、信息技术、安全、法律和财务等部门,承担着开发与其工作内容相关的流程和政策、监控突发风险,并对各部门就风险管理问题提出建议。
业务线与公司的责任是有区别的。风险确实发生在业务线上,而且不同业务线对风险的分析和监控的差异是很大的。公司的责任在于集中研究跨越不同业务线的风险标准和活动,其价值在于对各种风险的分析和对不同业务线风险趋向进行预测、推广成功的经验和范例、同业分析、借鉴外部数据库的信息、测算资本金,以及向高层管理者报告等。
操作风险部门通常由风险管理委员会管理。风险管理委员会的责任包括了解整个公司的风险状况、确保资源得到合理配置、揭示风险事宜、审批包括资本金分配在内的风险政策等。
该治理模型要求明确公司内部每个部门的作用、权限及责任。每个部门需要有合适的人去承担责任,取得成功的关键是要加强对操作风险管理人员及相关人员的培训,使其具备一定的技能。
风险管理部门与业务部门构成合作伙伴关系,彼此间促进和保持公开的沟通。
风险管理应整合到业务计划和操作实际中去。与市场风险和信用风险一样,操作风险也应得到优先考虑、管理和评价。管理过程可以分为业务战略策划、执行、评估三个步骤:(1)业务战略策划指的是确定全盘战略、资本金分配、业务预算、风险分析、绩效目标等。从操作风险管理的观点来看,每类业务均应承担一定的操作风险资本金,确认潜在风险暴露,确定风险分散化计划,确立绩效考核方法和风险容忍指标等。(2)执行操作风险管理指的是包括从销售到协调过程中,对风险的控制措施和行动。在这一过程中,企业运用其内控措施,进行自我评估、分析和改进内控措施,度量风险、报告损失事件、跟踪事件和相应指标以及分散风险。(3)评估指的是对绩效的监测和评估。管理报告过程即集中企业各部门关于风险组合及其初始变化的相关信息,一方面对绩效进行评价;另一方面,对下一阶段的工作提出改进意见。
3.操作风险政策
公司需要为操作风险管理制定总的战略,配之以一套与各业务部门对应的方法。
首先,政策通常是以实现操作风险管理的目标开始的,这些选择目标包括提高风险意识、降低操作损失、计算经济资本与提供高质量服务等。除此之外,还应包括公司操作风险管理的流程和对操作风险定义等。
其次,政策将可能涉及公司治理模型及其相应的作用和责任,这涉及管理操作风险的各种委员会、操作风险主要部门的作用、各业务线的职责以及职能部门(如法律、保险、信息技术和人力资源部门)的作用等。部分风险管理准则的一般性陈述将有助于界定管理流程的文化内涵,因为这些准则设定了业务线和职能部门人员的行为要求。如某条准则要求加强对损失事件的公开披露。加强下列预期也是很有价值的:各个业务部门对自己控制领域负责,享有利润和承担任何错误带来的损失。在制定框架的过程中,很多基础性条款成为框架设计中的决定性因素。这些决定性因素构成了操作风险政策基本原则的基础,使得机构中可以就原则进行交流沟通。另一条准则则是将资本金的计算作为风险分析和行为激励的核心要求。
最后,政策将会描绘出工具和报告运用的预期效果。举例来说,若在公司内部有一个评估工具或数据库,公司政策将要求所有业务部门均应严格加以执行,并保持日常信息的更新;同时,政策还会规定每个业务部门应向集团公司报告的内容等。
(二)操作风险流程
操作风险流程可以视为管理操作风险的日常活动。操作流程应在企业范围内完成,以实施和提供激励,比如对后台管理、以定期的、更正式的方式对控制的自我评估等。为便于施行,应对流程中的相应工具进行解释。
1.风险识别
就业务目标环境而言,什么会导致风险的发生?什么会阻碍目标的实现?操作风险的定义对潜在风险提供一个开阔的空间。除此之外,历史事件、公开信息和风险指标对风险的潜在来源提供了相应的信息。风险识别是一种风险图,详细说明每项业务、流程或企业部门的风险状况和风险程度。风险程度通常用频率和强度来加以描述,或以高、中、低进行定性分析或定量分析。
风险首先应在内在暴露的基础上进行评估,即在内控或保险措施发生作用前。尽管在内控发生作用以前难以决定风险成本,但对相应控制方法的成本—收益进行控制很重要。
一些企业发现对操作风险标准定义进行延伸颇有价值,这将有利于识别各项业务的特定风险。比如,信托风险在以上定义中并没有特别说明,而这对于零售银行业务来说是一个重大的操作风险暴露,应该作为一个大的风险目录或“次目录”。在自我评估过程中,风险因素比风险事件更值得考虑。在风险目录中,“原因目录”和“影响目录”是其重要组成部分,一些企业在风险识别和自我评估流程中使用治理结构、报告制度、法律、执行和管理层支持水平等内容。
风险识别还应包括对外部环境和产业发展趋势的监测。每天都有新的风险在发生。即使没有新风险的发生,现有风险还会发生新的变化。例如,近几年急剧增加的风险就有网络安全、个人隐私、专利保护、种族歧视等。
