論商業銀行操作風險評估框架的構建

摘要:目前我國銀行業的改革正處于關鍵時期，操作風險已成為金融機構所面臨的重要風險。對操作風險的控制既要密切結合于我國商業銀行的操作風險控制環境， 又要充分借鑒西方發達國家商業銀行的操作風險控制經驗。本文分析了商業銀行操作風險管理的關鍵因素，并探討了操作風險評估框架的構建。

關鍵詞:商業銀行;操作風險;評估框架

中圖分類號:F830.33文獻標識碼:B文章編號:1674-2265(2009)06-0068-03

操作風險是和市場風險、信用風險并列的商業銀行的三大風險之一。而且，操作風險位于銀行其他風險的底部。對信用風險和市場風險的管理，需要建立在操作風險管理的基礎之上。因為對于它們的管理涉及到專業的人員、技術、組織結構以及控制體系等，而這些都是操作風險的組成部分。所以加強對商業銀行操作風險的管理與評估是重中之重。

一、商業銀行操作風險的管理關鍵因素分析

(一)操作風險管理的9個關鍵因素

1. 開發定義良好的操作風險政策。舉例來說，銀行需要為模型診斷、閉市交易、非預約交易、法律條文審查等方面設立專門政策。

2. 建立風險識別的通用標準。舉例來說，術語“人員風險”包括未能雇用經驗豐富的員工，“過程風險”包括執行失誤，“技術風險”包括計算機系統崩潰等。

3. 對每一項業務活動都繪制業務流程圖。

4. 創建一個“操作風險分類表”來對各種操作風險進行分類和定義。按照人員、流程和技術風險3個方面對這些風險進行分類。值得注意的一點是，應當基于普遍接受的分類定義和分類標準對風險進行分類。

5. 開發一個易于理解的操作風險框架。操作風險評估過程是一個復雜的過程，需要使用標準框架來定期進行評估。

6. 決定如何管理操作風險敞口并且采取適當行動對風險進行保值。銀行在對可以進行保險的操作風險進行保險時，必須考察相應的成本和收益問題。

7. 決定如何報告風險敞口。

8. 開發風險分析工具以及應用這些工具的程序。

9. 開發將操作風險測度結果轉化為經濟資本需求金額的技術。應當開發相應的工具和程序，以使業務處理部門能夠在風險和收益基礎上，對操作風險作出決策。

(二)操作風險管理的合作性

目前銀行對操作風險的管理還很不完善，大都還只依賴一兩個專門的部門。風險管理、內部審計和業務管理部門之間常常缺乏協作。目前，銀行還沒有全面的、涵蓋整個銀行的管理體系，因此就無法作出銀行整體的操作風險報告。更有效地管理操作風險的關鍵是業務部門和其他部門之間、內部審計部門和風險管理部門之間的協作。

高級管理層負責制定操作風險的政策，有時也可能委托給風險管理部門，最終都需要提交董事會獲得批準。必須有合適的政策來限制商業銀行面臨的操作風險規模。這對中小型商業銀行來說尤為重要。

業務管理層的職責是采取行動，他們負責控制每項業務的操作風險。輔助部門也應與其分擔一些必要的操作風險管理責任。

自然地，風險管理部門的責任是開發測度和監控操作風險方法。不但要確保識別風險，還要通過資產組合調整來為操作風險提留足夠的資本準備，以便有效地控制操作風險。

銀行各個部門負責具體執行這些政策、管理這些風險，一般是各司其職。

另外，高級管理層還需要確保其指令得到有效執行，并對執行的效果進行及時評估。這一項工作可交由銀行內部的審計部門。內部審計部門需要進行定期審核，以確保操作風險、管理過程的統一性，并且確實按照適當的程序加以執行。

監管法規一般要求審計人員審核風險定價模型和交易部門所使用的估價體系審批程序、風險估測程序的重大變動、風險測度模型涵蓋的風險范圍。審計應當核實內部模型所有數據的一致性、及時性和可靠性。審計的一個關鍵作用就是檢驗波動性和相關度假設的精確度和適用度，以及估價過程和風險轉換計算過程的精確度。

審計師們應使用一些檢驗過程來考察模型的精確度。為了達到這些目標，銀行的風險管理部門將需要開發政策、設計操作風險管理方法并且創建必要的輔助部門。之后，操作風險管理的各個職能部門就能管理和分析風險。

二、商業銀行操作風險度量與評估框架

(一)操作風險測度的指導方針

操作風險的測度應該有明晰的指導方針，以確保對銀行所有業務部門中的操作風險進行適當的測度。指導方針應當包括:“客觀性”，是指使用正式的客觀標準來衡量操作風險;“一致性”，是指要保證對不同業務部門里相似的操作風險資產組合進行評估所得出的測度結果應該相近;“相關性”，是指風險報告應便于管理層采取相應的操作風險管理行動;“透明性”，是指風險評估報告應確保所有實質性操作風險都以便于高級管理層的方式來進行報告和估計;“銀行總體”，報告提交者應當仔細設計操作風險的衡量方式和標準，以使該項評估結果可以在銀行總體內進行累積和加總;“完備性”，是指要確保所有實質性操作風險都能得到識別和考察而不會有遺漏項。

(二)操作風險評估框架構建

未預期到的操作錯失風險和管理流程的恰當性，以及相應的風險控制過程都需要進行識別和評估。由此，風險評估人員就可以用損失的可能性和損失后果來測度凈操作風險。

1. 操作風險的本身特性。各類操作風險之間都存在聯結性和相互依存性，不能孤立地考察操作風險。整體風險很可能大于各種單一風險的簡單加總。相似地，對損失或風險帶來財務沖擊的整體評估也會高于(也有可能低于)單一損失評估值的加總。

引發操作風險變化的各種因素可以分為變動、復雜性和疏于防范等幾類。變動是指引進新技術或新產品、合并或購并、從內部供應源轉向外部供應源等事項。復雜性是指諸如在產品、流程或技術中具有復雜性這類的事實。疏于防范是指對業務的無效管理，特別是在諸如欺詐、未授權交易、隱瞞實情、支付和結算問題、模型運用等關鍵方面的問題。

2. 凈操作風險測度的方式。應當評估下一年內發生操作錯失的可能性，并扣除由于保險而減少的風險額，以此來得出總的風險敞口數額以及4類風險各自的額度(即人員、流程、技術和外部依賴)。因為常常不清楚對這些風險如何進行量化，可以表述為從非常低(VL)到非常高(VH)的一個五點可能性的連續集，如表1所示。

損失后果描述發生操作錯失時銀行可能遭受的潛在損失。由于不可能精確地衡量這些損失，因此一般是用一個按貨幣計值的范圍(例如，5000萬美元到1億美元)來說明這些損失。在操作風險損失后果的評估數中應當扣除風險的減少額。舉例來說，如果為了彌補潛在違約風險帶來的損失而事先買了保險，那就需要根據保險的金額來調整違約風險的損失后果。

可以預期，在不久的將來，保險產品將在減少操作風險中起到越來越大的作用。并且可以斷言，保險產品能提供一種操作風險的價格發現方式，這樣操作風險管理部門就可以根據業務管理活動估計出合理的損失后果數額。

在理想狀況下，也可以計算各種風險敞口之間的相關度，并將此納入到對風險敞口的總體測度中去。

3. 整體操作風險的評估。由于缺乏適當的方法將單個損失可能性和損失后果的評估結合到對操作風險的整體衡量中去，因此操作風險的衡量方法受到一定限制。為了進行評估，需要用數字形式來表達損失可能性，舉例來說，中等風險表示5-10%的風險發生概率。但如果沒有關于運營損失歷史統計的全面數據，就無法做到這一點。

現在的做法是將定性方法和定量方法結合起來衡量操作風險。而在無法獲得風險數據或者數據不可靠的情況下，可以用定性的方法進行風險評級。只依賴定性或定量的方法并不能對事實進行全面的描述。定量的方法通常過于嚴格，而定性的方法又過于模糊。因此需要在定量和定性的數據基礎之上結合這兩種方法計算風險的數量。定性工具主要有三個:風險控制自我評估、計分卡和關鍵風險指示。對于定量來說，信息有三個主要的來源:內部數據、外部數據和事件。在高級衡量理論下，還要求根據商業環境和內部管理體系來進行調整，并確保數據在理解的情況下和針對收集環境而加以調整的情況下使用。定性工具可以幫助揭示商業和控制環境的變化，也越來越多地被用來進行輔助調整。

(1)定性工具。第一，風險控制自我評估法。在沒有專門機構來評估操作風險時，每個業務管理人員就需要進行自我評估，這種形式并不大可能提供有意義的信息，在正常情況下，高級管理層試圖通過運用適當的激勵手段將業務經理的個人利益與業務結合為一個整體。如果這種結合是有效的，那么自我評估確實可以比較準確地反映出風險的真實情況。

第二，計分卡。計分卡對每一個暴露在操作風險下的商業個體進行評估，每個管理層可以用來調整針對操作風險的資金持有水平。這個方法說明了操作風險資本和銀行操作風險誘因等與銀行內部控制環境的充分程度有關。這個方法提高了操作風險控制水平，認為資本計算的變化不能和發生的損失相關，而是應隨著風險和控制環境的變化而變化。

第三，主要風險指標。主要風險指標最重要的作用是能在損失發生以前對風險和控制環境的變化提供早期預警。

(2)定量工具。此處定量工具主要研究事件。與風險控制自我評估和計分卡一樣，在專家眼中，事件也是定性風險評估工具。但是RCSA(風險自我評估法)和計分卡是作為風險管理工具，并可用作資本定性調節。事件開始作為資本模型中的定量信息，現在直接應用到建立模型的過程中。事件分析的過程包括以下幾個步驟:事件發生、事件評估、數據確認、結合進高級衡量理論。

在理想狀況下，也可以計算各種風險敞口之間的相關度，并將此納入到對風險敞口的總體測度中去。目前風險經理們更傾向于對每項損失后果評估值進行簡單加總。

4. 界定原因和結果。損失的金額數據相對而言要比引起損失的因素數據更易于收集，使操作風險的度量復雜化。這是因為每一項損失都有可能有幾個引致原因。這些原因之間的關系以及每種原因的相對重要性都很難以客觀的方式加以評估。舉例來說，根據最實用的原則，銀行應當在風險管理團隊內部設立一個獨立分析部門來專門負責評估所使用的全部數學模型。如果損失是由建模風險引起的，則可以認為沒有建立起來這種分析部門是引發損失的根本原因;不過，也不否認存在其他一些因素會導致損失，這些因素包括人員失誤或者產品的復雜性等。很多銀行的做法是先收集損失數據，然后再試圖找出造成這些損失的原因。這些工作一般在收集到損失數據后才開始。

三、總結

操作風險是我國商業銀行風險防范的一個重點和弱點。而巴塞爾《新資本協議》對資本充足率提出了更高的要求，因此必須對操作風險給予必要的重視，加強對操作風險損失數據的收集整理，加強對操作風險的管理，突出對操作風險的量化研究。

業務部門、業務基層團隊和企業管理部門(諸如內部審計部門和風險管理部門)在操作風險的管理方面必須要進行協作。而對高級管理層來說，關鍵的挑戰就是協調業務部門、基層部門、企業管理部門、內部審計部門和風險管理部門的行為模式。

參考文獻:

[1]米歇爾·科羅赫.風險管理[M].北京:中國財政經濟出版社，2003:395.

[2]羅平.巴塞爾新協議考驗中國銀行業[J].國際金融報，2003，17(3):11-12.

[3]吳志攀.金融法概論[M].北京:北京大學出版社，2005:456.

[4]Kamala R.Raghavan.Internal Control and Operational Risk:FDICIA，Sarbanes—Oxley and Basel II[J].BankAccounting Finance，2006(4).

[5]GeorgeH.Henpel.JohnWileySons.BankManagernt，Inc，2002(35).

(責任編輯 耿 欣)