曲绍强 张启全
摘要:目前,国内外学者和机构对金融机构操作风险的分类有一些不同的见解。我国国有商业银行操作风险的分类要遵循三个原则:充分考虑国际通行的规则和口径,从中国实际出发,具有一定的可操作性。我国的操作风险分类基本上应采纳巴塞尔银行监管委员会对操作风险的分类思路,即基于一个二维矩阵方法来对操作风险事件进行分类。
关键词:金融机构;操作风险;分类原则
中图分类号:F830,45
文献标识码:A
文章编号:1006-3544(2009)014)047-02
2004年6月,巴塞尔银行监管委员会颁布了《统一资本计量和资本标准的国际协议:修订框架》(以下简称新协议)。新协议将操作风险定义为由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险,包含法律风险,但不包括策略风险和声誉风险。2007年5月14日,中国银监会颁布了《商业银行操作风险管理指引》。《指引》中明确指出,操作风险是由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险,包括法律风险,但不包括策略风险和声誉风险。同时在《指引》中还制定了相关条款,用于指导我国银行业机构提高识别、控制操作风险的能力和风险管理水平。上述文件的颁布,表明银行业面临的操作风险已引起了业界的高度重视。特别是近几年国内一系列的操作风险大案、要案警示我们,国内银行业面临的操作风险形势十分严峻,我们必须认真对待,加强对操作风险的研究。但由于操作风险性质复杂、诱发因素多、覆盖范围广、与具体业务和机构组织架构密切相关等原因,单纯从定义出发还不足以使我们对其有更清晰的认识,为此,需要对操作风险进行适当的分类。
一、关于操作风险分类的几种观点
目前,国内外学者和机构对操作风险的分类有一些不同的见解。比如英国银行业协会(BBA)把操作风险分为四类0:人员因素导致的操作风险——雇员欺诈、越权行为、操作失误、违反用工法、劳动力中断、关键人员流失或缺乏;流程因素导致的操作风险——支付清算传输风险、文件合同风险、股价定价风险、内部外部报告风险、执行策略风险、管理变动、出售风险;系统因紊导致的操作风险——科技投资风险、系统开发和执行、系统功能、系统失败、系统安全;外部事件导致的操作风险——法律公共责任、犯罪、外部采购,供应商风险、外部开发风险、基础设施、政策调整、政治风险。其中,前三种操作风险为内部因素导致的操作风险,又称为操作性失误风险。第四种为外部因素导致的操作风险,又称为操作性杠杆风险。
国内学者巴曙松将操作性失误风险作了进一步的细分:(1)执行风险。即执行人员不能正确理解管理人员的意图或者有意错误操作等;(2)信息风险,即信息在机构内部或者机构内外之间的产生、接收、处理、储存、转移等环节出现故障;(3)关系风险,即因为产品和服务、管理等方面的问题影响到客户与金融机构的关系;(4)法律风险,即金融机构的经营管理活动不符合所在地的法律和监管要求所导致的风险;(5)人员风险,即缺乏足够合格的员工、缺乏对员工表现的恰当评估等导致的风险;(6)系统事件风险,即电脑系统等出现故障可能导致的风险。
外国学者艾迪·凯德将操作风险分为四类:交易风险——结算、账户、传送、清算、合同等的错误;操作控制风险——违反内部规则和交易限制、偷盗、欺诈、洗钱、怠工、关键职员风险;系统性风险——系统设计错误、或者规划方法错误,通讯中断等;业务事件风险——税收、法律或监管的变化,政治、社会威胁和压力,自然灾害等系统风险。
瑞士银行的两位研究学者恩诺·库纳特和拉薇妮亚·斯塔布斯将操作风险称为“间接风险”,并将其分为六类:交易过程风险——产生于交易过程中从交易执行到最终结算等任一环节的错误、失败或不足;合规风险——由监管罚款或处罚、业务限制或终止、强制性纠错成本所带来的财务损失风险,这种风险可能源于未遵守适用的法律和规章制度、当地和国际惯例(包括道德标准)以及UBS的内部标准;法律风险——由不充分或不适当的合同安排或其他原因而导致的合同不履行而产生的财务损失风险;责任风险——因对企业的法定或公正性要求权而产生的财务损失风险;安全风险——由意外事件或犯罪而对信息或资产的机密性、完整性或可获得性所造成的损失风险,包括IT安全和有形安全;税收风险——因税务当局反对企业集团现有的税收措施而导致的财务损失风险。
荷兰银行将操作风险分为七类:内部诈骗——由于有意的欺诈、不当使用财产或规避条款、法律或公司政策而产生的损失,不包括分工、区别对待事件,以上至少包括一方存在内部人员;外部诈骗——第三方有意的欺诈、不当使用财产或规避条款、法律或公司政策而产生的损失,不包括恶意的损坏;工作实践和环境的安全性风险——不遵从雇佣、健康或安全法律和协议而支付受伤人员费用或由于区别对待从而产生的损失;客户、产品和商业实践风险——由于无意或忽视而造成未对客户(包括信托和恰当性的要求)履行应尽的专业职责而造成的损失,或由于产品本身或其设计而产生的损失;有形资产的损毁——由于自然灾害或其他事件造成的损失,其中包括敌意、蓄意或恐怖行为产生的损失;商业干扰和系统失败——商业干扰和系统失败造成的损失;执行、传递和处理管理风险——交易处理或信息传递和处理失败而带来的损失。
瑞士信贷集团的操作风险是由五大类组成:依据组织、政策/过程、技术、人员和外部而划分的。其中,组织风险源于管理层的更迭、项目管理、公司文化和沟通、责任、分派和持续经营计划;政策/过程风险源于薄弱的过程,如结算和支付、不遵守内部和外部政策规定、产品或客户交往上的失败;技术风险源于软硬件欠缺、其他技术上的失败,如网络或电信,以及违背信息技术安全等;人员风险源于失败的雇主、利益冲突,或其他内部欺诈行为;外部风险源于欺诈或外部机构对本公司的起诉,以及机构及其代表缺乏人身安全。
巴塞尔银行监管委员会对操作风险分类十分重视并进行了广泛研究。为了使分类更具有操作性,巴塞尔委员会对操作风险按照两个维度进行了分类。
1,按照事件原因或者说是风险因素将操作风险分为七类:(1)内部欺诈——故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失,此类事件至少涉及内部一方,但不包括性别种族歧视事件;(2)外部欺诈——第三方故意骗取、盗用财产或逃避法律导致的损失;(3)就业政策和工作场所安全性风险——违反就业、健康或安全方面的法律或协议,个人工伤赔付或者因性别肿族歧视事件导致的损失;(4)客户、产品和业务操作风险——因疏忽未对特定客户履行分内义务(如信托责任和适当性要求)或产品性质或设计缺陷导致的损失;(5)实体资产的损坏——实体资产由于自然灾害或其他事件丢失或毁坏导致的损失;(6)业务中断和系统
失败——业务中断或系统失败造成的损失;(7)执行、交割和流程管理风险——交易处理或流程管理失败和因交易对手及外部销售商关系导致的损失。
2,依据发生操作风险的业务部门或业务流程环节,将银行业务分为八类:(1)公司金融:兼并与收购,承销,私有化,证券化,研究,债务(政府、高收益),股本,银团,首次公开发行上市,配股;(2)交易和销售:固定收入,股权,外汇,商品,信贷,融资,自营证券头寸,贷款和回购,经纪,债务,经纪人业务;(3)零售银行业务:零售贷款和存款,银行服务,信托和不动产,私人贷款和存款,投资咨询,商户/商业/公司卡,零售店品牌和零售业务;(4)商业银行业务:项目融资,不动产,出口与贸易融资,保理,租赁,贷款,担保,汇票;(5)支付与清算:支付和托收,资金转账,清算和结算;(6)代理服务:第三方账户托管,存托凭证,证券贷出,公司行为,发行和支付代理;(7)资产管理:集合,分散,零售,封闭式,开放式,私募基金;(8)零售经纪:执行指令等全套服务。
上述两个维度的分类共同构成了操作风险分类的7×8矩阵。从上述的各种分类可以看出,尽管不同机构、不同学者对操作风险的分类有所不同,但他们的出发点都是基于本国或本机构的特点,从寻找操作风险的成因人手,着眼于方便操作风险管理,这也给我国银行操作风险的分类提供了思路。
二、我国金融机构操作风险分类应遵循的原则
目前,经济全球化的浪潮方兴未艾,而我国的商业银行正处于全面发展、积极参与的阶段,因此与国际银行界通行做法接轨是我们面临的重要任务之一。鉴于此,笔者认为,对我国国有商业银行操作风险的分类要遵循三个原则:第一,要充分考虑国际通行的规则和口径,以加强国际间的比较与合作。第二,要从中国实际出发,不能脱离中国的经济背景和国有商业银行现行特点。第三,要具有一定的可操作性,不具有可操作性的分类是没有任何意义的。
三、建议采用的操作风险分类
根据上文所述,对我国的操作风险分类提出建议:基本上采纳巴塞尔银行监管委员会对操作风险的分类思路,即基于一个二维矩阵方法来对操作风险事件进行分类。对于矩阵的第一维度,笔者认为“事件”维度是最具价值的选择。对于矩阵的第二个维度,可以从组织架构的角度人手,第二维度可称为“组织架构”维度,应选择“产品线”作为矩阵的第二个维度。由于新资本协议给出的风险损失事件类型是8类,产品线有7类,不能体现我国的特殊情况,建议在产品线和损失事件上各增加一类,分别冠以“其他产品线”、“其他损失事件”称谓,以收集我国商业银行具有的但不能归并于巴塞尔银行监管委员会分类的银行业务和损失事件,待以后时机成熟时再加以命名。
增加“其他损失事件”、“其他产品线”后,从二维角度出发,就可以获得操作风险分类的8x9矩阵,即共72类操作风险事件。每一个分析单位是矩阵中的一个单元,它代表一类操作风险事件。现代操作风险管理既需要内部数据也需要外部数据。每一个单元中的数据代表一条产品线中一类事件的损失分布状况。我们通过研究每一类事件损失的原因和结果,可以识别各个类别及其相应控制的共同要素。
巴塞尔委员会在其操作风险文件(BCBS2001a)的附件4中对损失所对应的法律和会计效果进行了陈述,包括:贬值、丧失追索权、赔偿、法律责任、监管与承诺、资产损失或损坏。利用此种分类方法,可以使我们对操作风险的成因、损失事件类型及损失所对应的法律和会计效果具有深刻的理解。
为了分析的需要也可以根据操作风险的发生频率和所产生的损失强度对操作风险进行归类。操作风险发生频率是指在一定时期内操作风险损失事件发生的数目,操作风险损失强度是指操作风险损失事件发生时导致的财务损失。根据操作风险的发生频率和所产生的损失强度,可以将操作风险分为4种类型:A类型为低损失频率、低损失强度风险;B类型为高损失频率、低损失强度风险;c类型为高损失频率、高损失强度风险;D类型为低损失频率、高损失强度风险。运用此种分类方法,既可以在新资本协议给出的8种产品线和新增加的“其他产品线”的基础上,对每一种产品线面临的操作风险进行分类,也可以对新资本协议给出的7种操作风险损失事件类型和新增加的“其他损失事件”的每一种进行操作风险分类,还可以对9×8矩阵中的每一种情况进行分类。