一、什么是操作风险
操作风险对金融机构的从业人员来说是一个既熟悉又陌生的领域。操作风险自商业活动诞生伊始就伴随其左右,并时时刻刻存在于商业运行过程中。但是与市场风险和信用风险长期受到关注不同,对操作风险的关注和研究是近十几年才开始的。让我们先来回顾一下在20 世纪90年代所发生的一些知名的金融机构操作:
风险事件:1995 年,巴林银行驻新加坡外汇交易员里森违规进行未经授权及隐匿的期货和期权交易,并隐藏亏损,最终导致享誉全球的百年金融老店在顷刻间灰飞烟灭;1996年,日本大和银行纽约分行员工井口俊英帐外买卖美国联邦债券,并伪造文件,隐瞒亏损,在11 年间有3 万多笔交易未经授权,造成11 亿美元的损失,最后大和银行不得不全面从美国撤退,并落得与住友银行合并的下场。1997年7 月全面爆发的东南亚金融风暴更是引发了巴塞尔委员会对金融风险全面而深入的思考。从巴林银行、大和银行的倒闭到东南亚的金融危机,人们认识到,金融业存在的问题不仅仅是信用风险或市场风险等单一风险的问题,而是由信用风险、市场风险外加操作风险互相交织、共同作用造成的。
那么,到底什么是操作风险?在2004 年6 月公布的新资本协议中,巴塞尔委员会给出的定义为:“操作风险是指由不完善或失灵的内部程序、人员及系统或外部事件所造成的风险。此定义包括法律风险,但不包括战略风险和声誉风险。
其中人员风险是指管理失败、组织结构或其他人力资源管理无效的风险。这些风险可能因培训不足、缺乏控制、职员素质不高或其他因素而恶化。程序风险来源于已有程序的崩溃、违反程序及业务线相应程序的不完善。系统风险包括像银行内部、外部业务系统中断或彻底瘫痪。外部事件,包括自然灾害、恐怖主义袭击和故意破换。”
在我国,各金融监管机构对操作风险的定义基本完全采纳了巴塞尔委员会对操作风险的定义。将操作风险定义为:由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。该定义所指的操作风险包括法律风险,但不包括策略风险和声誉风险。其中,法律风险包括但不限于下列风险:
► 签订的合同因违反法律或行政法规可能被依法撤销或者确认无效的。
► 因违约、侵权或其他事由被提起诉讼或申请仲裁,依法可能承担赔偿责任的。
► 业务活动违反法律或行政法规,依法可能承担行政责任或者刑事责任的。
在我国,金融机构操作风险的表现形式主要有:员工方面表现为内部欺诈、失职违规、违反用工法律等;内部流程方面表现为内部流程不健全、流程执行失败、控制和报告不力、文件或合同缺陷、担保品管理不当、产品服务缺陷、泄密、与客户纠纷等;系统方面表现为信息科技系统和一般配套设备不完善;外部事件方面表现为外部欺诈、自然灾害、交通事故、外包商不履责等。
二、操作风险的分类
对操作风险进行界定与分类,旨在提升操作风险管理水平,更好地为操作风险配置资本,增强金融机构抵御风险的能力。但各金融企业及监管机构对操作风险的理解会有所不同,人员、程序、系统和外部事件具体界定也难一致,如果没有统一的操作化定义作指导,则难以推动操作风险管理的标准化。故监管机构对操作风险进行了明确的界定,就银行业为例,巴塞尔委员会对银行操作损失事件和构成银行业务活动的业务条线(Business Line)进行了如下的界定。
操作损失事件:
1. 内部欺诈(Internal fraud)。指故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失,此类事件至少涉及内部一方,但不包括歧视及差别待遇事件。
2. 外部欺诈(External fraud)。指第三方故意骗取、盗用、抢劫财产、伪造要件、攻击商业银行信息科技系统或逃避法律监管导致的损失。
3. 就业制度和工作场所安全(Employment practices and work placesafety)。指违反就业、健康或安全方面的法律或协议,个人工伤赔付或者因歧视及差别待遇导致的损失。
4. 客户、产品和业务活动(Clients, products & business practices)。指因未按有关规定造成未对特定客户履行份内义务(如诚信责任和适当性要求)或产品性质或设计缺陷导致的损失。
5. 实物资产的损坏(Damage to physical assets)。因自然灾害或其他事件(如恐怖袭击)导致实物资产丢失或毁坏的损失。
6. 业务中断和系统错误(Business disruption and system failures)。因信息科技系统生产运行、应用开发、安全管理以及由于软件产品、硬件设备、服务提供商等第三方因素,造成系统无法正常办理业务或系统速度异常所导致的损失。
7. 执行、交割和流程管理(Execution, delivery & process management)。因交易处理或流程管理失败,以及与交易对手方、外部供应商及销售商发生纠纷导致的损失。
同时,巴塞尔委员会把银行的业务分为8 个业务条线:
1. 公司金融(Corporate Finance):合并与收购、股份承销、资产证券化、首次公开上市发行、政府债券和高收益债券等。
2. 交易与销售(Trading & Sales):固定收益债券、股权、商品期货、信用产品、自有头寸证券、租赁与赎回、经纪、债务等。
3. 零售银行业务(Retail Banking):零售的存贷款业务、私人的存贷款业务、委托理财、投资建议等。
4. 商业银行业务(Commercial Banking):项目融资、房地产、出口融资、交易融资、代收账款、租赁、担保、贷款等。
5. 支付与清算(Payment & Settlement):支付、转账、清算等。
6. 代理服务(Agency Services):契约、存款收据、证券借贷、发行和支付代理等。
7. 资产管理(Asset Management):可自由支配的资金管理和不可自由支配的资金管理。
8. 零售经纪(Retail Brokerage):零售的经纪执行以及其他服务。
这样通过把银行8 个业务条线与操作风险7 类损失事件进行组合,就可以得到56个业务条线与相应损失事件相结合的操作风险识别对象,为操作风险的监测、评估、缓冲和控制创造了条件。
三、操作风险的管理
操作风险管理流程:
操作风险识别:是指识别存在的主要操作风险并确定其性质的过程,其范围应涵盖银行各个层面的业务流程和管理流程,并应识别出操作风险事件、风险因子、影响类型、控制措施等内容,为操作风险评估、监测、控制/缓释和报告提供基础。可采用的管理工具有“业务流程分析”和“损失数据收集”。
操作风险评估:是指评估操作风险暴露程度并确定操作风险是否可接受的全过程。应按照统一的标准,对操作风险事件的固有风险暴露、剩余风险暴露和控制有效性等进行评估,并结合对应流程的风险容忍度,确定操作风险暴露是否在可接受范围之内。可采用的管理工具有“风险与控制自我评估”。
操作风险监测:通过设置并监测各类风险指标,动态、持续地监测操作风险状况及其控制/缓释措施的质量;快速发现政策、流程和内部控制出现的问题并采取相应的补救措施。可采用的管理工具有“关键风险指标”。
操作风险控制/缓释:是指根据操作风险评估或监测结果,制订并组织实施操作风险控制/缓释行动计划的过程。通过流程控制、行为监控、电子化、保险、外包等一系列控制手段或缓释方法,对操作风险进行转移、分散、降低、规避,将操作风险暴露降低至可接受的范围之内。
操作风险报告:建立操作风险报告制度,明确报告的路线、内容、格式和频率。各分支机构和各部门应及时、准确、真实地提交操作风险报告,并对报告内容负责。
