20世纪90年代末,互联网技术的发展突破了信息传播的速度,通过光缆可以和全球任何一个客户开展电子商务活动。技术的发展使得金融交易越来越依靠这些载体,一旦交易系统出现问题,所导致的后果将不堪设想。因此,操作风险越来越引起国际银行业以及相关金融机构的关注和重视,一些国际银行已经开始为操作风险配置经济资本,并纷纷建立了自己的识别、监督和控制风险的系统。
一、操作风险的内涵
对操作风险的定义存在着狭义和广义之分。从狭义角度,认为操作风险是由于控制、系统及运营过程中的错误或疏忽而可能引起的潜在损失的风险。在这种定义中,覆盖面较窄,因为排除了名誉、法律、人员等方面的操作风险。从广义角度,除了市场风险和信用风险以外的风险都可视为操作风险。这种定义使得很难对操作风险进行管理和计量。
目前被广泛采用的是以下两个定义:
其一是全球衍生产品研究小组(Global Derivatives Study Group,1993)给出的定义:“操作风险是由于控制和系统的不完善、人为的错误或管理不当所导致损失的风险。”它对操作风险的界定限于人员、系统和操作流程三个方面,并且把管理作为防止操作风险的决定性因素。
其二是《新巴塞尔资本协议》(2003)中将操作风险定位为:“由于不适当或失败的内部过程、人员、系统或外部事件所导致的直接或间接损失的风险。”这一界定包含了法律风险(the Legal Risk),但战略风险(the Strategic Risk)和名誉风险(the Reputational Risk)并不包含其中。法律风险是由于公司在经营活动中对所涉及的法律问题处理不当或由于外部法律环境的变化而导致公司遭受损失的风险。由于公司的法律活动是公司完成经营任务所采取的工具之一,所以基本属于操作性质的活动。战略风险和声誉风险则是公司董事会对本行重大发展方向与目标所作出的失误决策而导致的风险,他们属于决策性的风险,并且考虑到使操作风险资本费用最小化的目的,所以没有将战略风险和声誉风险列入操作风险中。这一定义侧重从操作风险的形成原因,它兼顾了操作风险的内涵和量化操作风险的可能性。
由于现在大约有100多个国家采用了1988年的巴塞尔资本协议,因此这些国家的管理当局也倾向于用巴塞尔协议的监管标准来调整对本国金融业的监管政策。
二、操作风险的主要表现形式
2000年以来,国内外发生的一系列金融机构操作风险事件,引起了包括金融监管部门在内的社会各界关注。例如:世界“交易员胖手指”事件。2001年5月,美国雷曼兄弟伦敦分公司的交易员通过电脑交易同时卖出FTSE百种指数几乎所有成分股,将一个小数点点错位置,卖出金额放大100倍,导致该指数跌破120点,英国百家蓝筹股400亿英镑的市值化为乌有,雷曼兄弟赔了近1000万英镑;2003年4月,一位交易员错误地以每股13英镑的价格,买进了制药公司格兰素――史克公司50万股股票,当时其股价为每股低于70便士;2005年2月,一位经纪人准备卖出音乐出版商EMI公司的1.5万股股票,但是搞错了小数点,成了卖出1500万股。
国内出现的操作风险事件有:权限管理失控事件、篡改数据挪用客户交易结算事件、债券投标操作风险事件、银行纸黄金操作风险事件等等。例如,2008年12月26日凌晨1点52分至2点15分,历时23分钟,国内某银行网上银行纸黄金交易最高价一度由每克185元左右飙升至848元,直到26日下午2时30分许,该行网上银行网页显示,纸黄金交易价格回落到每克186.5元。据事后分析,推测是银行的交易员可能混淆了不同单位和币种的报价。银行方面对于在价格飙升时成功卖出黄金的多数投资者先进行资金或账户冻结,并在26日逐步“反向操作”,以原价买入黄金,将同等数量的纸黄金退回了投资者的账户。
总体上来说,操作风险的主要表现形式有:
1.内部欺诈。有机构内部人员参与的诈骗、盗用资产、违反法律以及公司的规章制度的行为。如内部人员虚报头寸、内部人员偷盗、在职员的账户上进行内部交易等。
2.外部欺诈。第三方的诈骗、盗用资产、违反法律的行为。如抢劫、伪造、开具空头支票以及黑客行为对计算机系统的损坏。
3.雇用合同以及工作状况带来的风险事件。由于不履行合同或者不符合劳动健康、安全法律所引起的赔偿要求。例如,工人赔偿要求、违反雇员的健康安全规定、有组织的罢工以及各种应对顾客负有的责任。
4.客户、产品以及商品行为引起的风险事件。有意或无意造成的无法满足某一顾客的特定需求,或者是由于产品的性质、设计问题造成的失误。如受托人违约、滥用秘密的客户信息、公司账户上的不正确的交易行为、洗钱、销售未授权产品等。
5.有形资产的损失。由于灾难性事件或其他事件引起的有形资产的损坏或损失。如恐怖事件、地震、火灾、洪灾等。
6.经营中断和系统出错。如软件或者硬件错误、通信问题以及设备老化。
7.涉及执行、交割以及交易过程管理的风险事件。交易失败、过程管理出错、与合作伙伴或卖方的合作失败。如交易数据输入错误、间接的管理失误、不完备的法律文件、未经批准访问客户账户、合作伙伴的不当操作以及卖方纠纷等。
三、对于金融机构操作风险量化管理的建议
金融机构操作风险管理是指金融机构为了最大限度地减少由操作风险可能带来的不利影响,运用适当的方法、政策和措施,对操作风险进行识别、评估、对策制定和控制的行为过程。
(一)加强金融机构风险文化建设
金融机构应该精心打造自身的风险文化,应对每天都会遇到的存在于各项业务中的操作风险。其一,通过风险文化的建设,引导员工的行为目标。可以把人性化管理的内容加入激励考核机制中,注意考核内容的全面性,改变员工的物质利益与存款、贷款、利润等内容直接挂钩的倾向,并增加相应职业操守和风险防范方面的考核内容。其二,让金融机构所有员工都意识到操作风险是金融机构为获得期望的回报必须承担的责任,引导员工对操作风险防范的文化认同,进而激发员工树立操作风险的防范意识,增强主动性和积极性;使高层管理者认真履行操作风险管理的职责,以身作则,带动全体员工加强风险防范;使每一业务部的职员对其可能面临的操作风险有足够认识,并对其保持时刻警惕。其三,可以通过建立公司内控制度、规章流程的网上办公系统,集中金融机构风险管理部门的有关文档,定期更新、查询,按最新制度执行政策。其四,培养高度的职业责任心和良好的职业素质。因为从国内外金融机构发生的操作风险事件来看,其诱因之一是道德风险。因此,在风险文化的建立过程中,要加强职业道德教育,培养员工良好的职业操守。
(二)制定全面的操作风险管理政策和程序
金融机构应制定控制程序和步骤,并制定一套书面的制度以确保遵循有关风险管理系统的内部政策,为所有关键业务及其支持过程制定操作风险管理标准和目标。在操作风险管理政策和程序中,要列出操作风险管理框架的全部内容,包括金融机构内部各层次操作风险管理部门的职责、内部和外部操作风险损失数据的采集和使用、操作风险管理制度的开发并适用的业务环境和内控因素评估、对流程和程序测试并验证的分析、重大政策和程序例外审查的有关规定等。完善、连续的操作风险管理流程应该包括:操作风险的识别和评估、操作风险的监测与报告、操作风险的控制或缓解。
(三)制定清晰的操作风险定义和相关的分类标准
虽然很多机构都采纳《巴塞尔协议》的操作风险定义,但是每个公司对此定义的解释和理解却是多样的。在操作风险和信用风险经验之间存在着操作损失的灰色区域,即操作风险事件的分类问题。一些业务部门是在多个数据库中获取事件。例如,过桥贷款损失高于实际数额,在管理担保中的操作错误可能被忽视,部门管理人员将可能会同时以信用和操作两种类型的损失记录在数据库中。
(四)建立内部损失数据库
金融机构应该建立自我风险评估工作会议制度,由操作风险管理部门和行内专家每年召开一次会议,研究制定风险评估问题清单,组成工作组并定期召开研讨会评估。在此风险识别的基础上,建立操作风险损失事件和数据统计网络,通过内部网络系统定期或实时报告有关情况。通过公司网络,查证操作风险损失原因,设定自动预警和通知功能,上载分析材料、剖析重大损失案件,统计和复核操作风险损失数据并进行分析。
寻求的损失事件数据是覆盖整个公司并影响到损益表表述的每一项科目。数据收集范围应支持分析和量化,关键数据要素应予以被捕获,包括:日期(发现时刻、登记时间)、描述(关于事件和起因的描述)、事件和可能的后果分析(如分类)、起作用的原因(如人为错误、脆弱控制、安全、培训、信息技术)、汇总的原始数据(按照后果分类)、恢复(如运作、法律和保险)、业务线如支持经济资本和能映射到标准Basel业务线)、控制点(损失发生位置)、怎样发现的(如客户、业务部门、审计、监管者)、有效的指标(基本刻度比例指标和关键风险指标)等。
至于数据可以来源于:其一,从产品系统提取数据。例如,财务系统可能记录了核销,保险(第三方和自保理赔),法律案件追踪和结算系统(如捕获罚款)。个人计算机或终端用户建立的专门数据库也是来源之一。其二,从单个损失事件捕获。例如,一个重要的交易对手往来对账问题被记录在流水分录中,因此,损失数据库应提供在线数据事件条目,它更适宜在公司的内部网上,从而便于跨部门访问数据。其三,通过对账。一些对账表有助于确保所有数据元素被捕获到损失数据库中,因此应按照事件分类建立全面的分类账户,实施记录所有的操作损失。
(五)积极培养和引进风险管理人才
目前我国金融机构对操作风险量化管理研究存在着不同程度的不足。在不断加强对操作风险量化管理研究的同时,由于操作风险是一种本身难以量化的风险,具有复杂性,因此,要求其相关业务人员必须具有丰富的专业知识和技能。目前熟悉操作风险管理的高素质的管理人员和业务操作人员非常缺乏,加强这方面的人才的培养和引进,是风险管理的当务之急,并在很大程度上决定着操作风险管理素质的高低。
(六)加强法律法规体系建设,加大违法违规成本
