-
新巴塞尔协议和操作风险监管原则
新巴塞尔协议和操作风险监管原则
钟伟
闻一
摘要:
一个典型的全面风险管理框架应该包含辨识和定义公司所
面临的风险,
评
估它们的强度,
使用各
种手段来缓释风险,
并且为潜在的损失配置资本和计提准
备等基
本要素,
目前国际上优秀的商业银行主要是通过建立各种模型来完善风险
管理系统的,但是不是所有的风险都能够很容易地被量化并且纳入模型之中。
2001
年
9
月,巴塞尔推出的新协议对操作风险提出了明确的定义、专
门的法定资本金计提规定以及风险管理的基本框架,
并且在新巴
塞尔协议的三大
支柱中,
都体现了对操作风险的监管原则,
p>
这反映了监管机构对于操作风险的日
益重视。
本文侧重讨论介绍操作风险的类型和各国新近实践的基础上,
就新巴塞
尔协议的三大支柱中,
对操作风险监管的原则、
组织架
构和流程进行了初步讨论,
以期对国银行业的操作风险管理提供可借鉴的素材。
关键词:新巴塞尔协议
三大支柱
操作风险
监管原则
一、
操作风险类型及对银行的影响
1
、操作风险的定义与类型
与市场风
险管理和信用风险管理不同,
对操作风险的关注和研究是近几
年
才开始的,
90
年代后,金融创新层出不穷,商业银行的盈利空
间在迅速扩大
的同时伴随的操作风险也日益严重,
类似巴林银行
“森”
事件的低频高危事件显
示出,<
/p>
即使商业银行符合资本充足率的要求,
也可能因为操作风险而陷入
经营困
境,甚至导致破产。近年来,大量的操作风险损失,过程自动化,电子商务,行<
/p>
业竞争,
全球化,
公司治理,
大量并购等驱动因素和全面风险管理及监管的要求,
促使各国政府及金融机
构在宏观经济和金融体系中不断寻求合理、
高效的风险管
理方法
,以完善和巩固本国的金融体系。
同样有趣的是,与定义相对清晰的市场风险和信用风险相比,操作风险
< br>的定义一直在不断发展,
操作风险的定义方法存在着广义和狭义两种。
广义的观
点认为,
市场风险和信用风险以外的所有
风险均视为操作风险。
这种定义最大的
优势在于涵盖了所有除市
场和信用风险以外的剩余风险,
但该定义对操作风险的
管理和计
量而言几乎毫无意义。
狭义的观点认为,
只有与金融机构中运营
部门相
关的风险才是操作风险。近年来,广义的定义逐渐被狭义的定义所取代。
JP
Morga
n
对于操作风险的定义是,
操作风险是各公司业务和支持活动中
生的一种风险因素,
这类风险表现为各种形式的错误、
中断或停滞,
可能导致财
务损失或者给公司带来
其他方面的损害。英国银行家协会(
BBA
)将操作风险
定义为“由于部程序、人员、系统的不完善或失误,或外部事件造成直接或间接
损失的风险”,从
1998
年至今,巴塞尔委员会对操
作风险的定义均沿用了
BB
A
的定义<
/p>
。
操作风险按风险类型可以分为四种,
分别为部操作流程,人为因素,体
制因素和外部事件;按风险因素可以分为七种类型,包
括:部欺诈(
Internal
fraud
);外部欺诈(
External
fraud
);雇员活动和工作场所的安全
问题(
p>
Employment
practices
and
workplace
safety
);客户、产品和业务活动
的安全问题(
Clients,
products
&
business
practices
);银行维系经
营的实物资产损坏(
Damage
to
physical
assets
);业务中断和系统错误(
Business
disruption
and
syste
m
failures
);行政、交付和
过程管理(
Execution,
delivery
&
proce
ss
management
)等
。下表给出了新巴塞尔协议中三大风险的简要分类情况。
表
1
:操作风险与市场风险及信用风险的区别
市场风险
信用风险
操作风险
风险类型
利率风险汇率风险股东权益风险存货风险
违约风险集中决
策风险信用恶化风险授信风险
部操作风险人的风险体制风险外部事件风险
风险因素
基本点价值及其时间波动曲线
信用状况变动矩阵违约率违
约损失率
部欺诈外部欺诈雇员活动和工作场所的安全问题客户、
产品和业
务活动
的安全问题银行维系经营的实物资产损坏业务中断和系统错误行政、
交付和过程
管理
资料来源:作者根据
1996
年以来巴
塞尔委员会的文件整理而成。
2
、操作风险和银行全面风险管理
跨国银行重新审视和关注操作风险,
正是由于它已成为风险管理
中的薄
弱环节。英国银行家协会(
BBA
)和
Coopers&Lybrand
曾经在
BBA
成员中
进行了一次调查,针对
< br>45
个
BBA
成员(这已经足够
反映英国银行业的基本状
况)
的报告显示,
多于
67%
的银行认为操作风险与市场风险和信用风险同样
(或
更加)显著,
24%
的银行在过去
3
年中遭受过大于
100
万英镑的损失
。此外,在
BBA
,
ISDA
,
< br>RMA
所作的全球性调查中(该调查覆盖了
5
4%
的全球性大规模银行,
5%
< br>的投资银行,
5%
的资产管理公司,
9%
的财务公司
和
27%
的现金中心和零售银行),发现已有
84%
的银
行实行了操作风险管理,
其中
30
家机
构有自己的操作风险定义和政策,
24
家机构对跨国公司操作风
险
进行评估,
22
家机构将操作风险与
信用风险和市场风险相联系,
19
家机构执行
< br>和发展了操作风险自我评估体系,
18
家机构进行了操作
风险管理训练。
有
80%
的机构发展了
量化操作风险的方法。
但金融机构对操作风险定量管理仍然持相当
保守的态度,有
24
家机构认为定性方法有益于操作风险评估
,但却只有
15
家
机构认为定量方法有
益于操作风险评估。
因此国际金融行业报告的操作风险损失
仍达
70
亿美元之多。从当前情况来年,尽管没有任何一种操作风险
计量方法被
普遍接受,
但是大多数机构都将其作为未来的选择,
并试图将起纳入到全面风险
管理的框架中
。
二、
发展中的操作风险监管原则
1
、巴塞尔委员会对操作风险监管的持续关注
尽管对操作风险的定义和量化存在不
少困难,
但在操作风险正式被纳入
新巴塞尔协议资本充足率要求
之前,
对操作风险监管的讨论已得到相当重视。
总
结近十多年来巴塞尔委员会在此方面研究的进展,
代表性文献包括:
《计算机和
电讯系统中的风险》(
1989
p>
年
7
月)、《衍生产品风险管理指引》(<
/p>
1994
年
7
月
)、《电子银行和电子货币业务的风险管理》(
1998
年
p>
3
月)等文件中都
涉及了操作风险监管方法
。
1998
年
9
月,
巴塞尔银行监管委员会首次发布了
《操
< br>作风险管理》的咨询文件,着重强调了控制银行操作风险的重要性。
1999
p>
年
6
月,
在新巴塞
尔协议中,
操作风险正式与信用风险、
市场风险一起纳入到资本
充
足率的计算框架中,
并强调,
“巴塞
尔委员会认为操作风险对于银行来说日趋重
要,
银行有必要投入
足够的资源来对其进行定量分析,
并将其纳入衡量资本充足
的围
”
。
从而引起了金融业、
专家学者和各
国监管当局对操作风险的广泛关注和
讨论。
2001
年
1
月和
2001
年
9
月,
在巴塞尔银
行监管委员会提出的关于操作
风险衡量的咨询文件和最终文件中进一步指出,
“银行应当披露更为详细的操作
风险的信息”,并提供了三种计算操作风险
资本的方法:基本指标法(
Basic
Indicator
Approach
)、标准法(
Standardized
Approach
),以及
高级衡量法
(Advanced
Measurement
Approach
,
AMA
法
)
。这三种方法在复杂性和风险敏感度方面渐次加
强。
2
003
年
2
月
,
巴塞尔又公布了对操作风险进行管理的十条原则,供跨国银
行
进行讨论。
2
、各国对操作风险监管的新近实践
在巴塞尔委员会的示性作用之下,
各国政府和金融机构也逐渐将
操作风
险监管提上议程。新近各国在操作风险监管原则方面较为重要的实践包括:
2002
年
6
月,美国的
Sarbanes-Oxley
法
案第
302
条提出建立有效的控制
程序
以确保提交资料的正确性,并对有签字权的官员的职责提出了一系列的要
求;第
404
条提出建立有效的控制程序以确保财政报告的准确性
。
200
2
年
7
月英国金融服务管理局
FSA
(
Financial
Service
Authority
)在一系列咨询文件的基础上,布了关于操作风险系统和控
制的文件(简称
CP142
)
< br>
,准备在综合各方意见后实施。文件
的容主要涉及两方面,一是对操作
风险的容管理,二是对操作风险的流程管理。在容管理
上,
CP142
采用
SYSC
(
Senior
Management
Arrangements,
Systems
and
Controls
)
的方法来管理控制形成操作风险的因素,
包括人的因素、
过
程和系统、外部事件及其他变化、外部采购和保险。在流程管理上,
FSA
建议
使用
PSB
(
Integrated
Prudential
Sourc
ebook
)方法,主要包括风险识别、评估、监测、
控制和记
录。
2
003
年
7
月,美国著名的职业监管机
构
COSO
(
Committee
of
Sp
onsoring
Organizations
of
the
Treadway
Commis
sion
)在
1992
年公布的《部控
制统一框架》基础上,公布完
成了《全面风险管理框架》(《
E
nterprise
Risk
Management
Fram
ework
》)(下称
ERM
框架)(
草案),并公开向业界征求意
见。
不仅如此,
< br>银行机构自身也逐渐将操作风险管理纳入到全面风险管理的框架
中来,
Rabobank
在
internet
上公开发表引入全面管理的操作风险框架。在
R
obobank
的框架中,所有的风
险都被纳入处理框架,而且最后各种风险均受到
操作风险的影响。在这种质量型风险管理
方法中,对于规模因子(风险暴露)的
确定,
既可以用现成公式
计算,
也可以从风险预警指标中获得,
然后站在员工和
管理层的角度加以修正,
通过部审计和监督的引入,
结果的客观性可在很大程度
上得到保证。
只要对部评级的质
量产生怀疑,
便可马上在部评级模型中加入一个
新因素并进行修
正评定
。可以认为,遵循操作风险监管原则,运用量化工具,将操作风险纳入
< br>全面风险管理已成为几乎难以逆转的趋势。
在操作风险被日益重视和广泛讨论的基础之上,
越来越多的风险
管理专
家认为,
即使是使用高级衡量法得到的监管资本也存在一
定缺陷,
不能孤立地看
待操作风险,
在
操作风险与信用风险、
市场风险之间,
以及各种操作风险相互之
间,都存在着密切的联系。正是如此,巴塞尔银行监管委员会认为,银行监管者
应该要求所有的银行(不管其大小)制定有效的制度来识别、评估、监测和控制
< br>/
缓释低频高危类型的重大操作风险,并且与市场风险和信用风险一起,作为全<
/p>
面风险管理方法的一部分。
三、操作风险监管与新巴塞尔协议的第一支柱
1
、操作风险监管和新巴塞尔三大支柱的关系
新巴塞尔资本协议的主要容可概括为
三部分:一是最低资本要求(
Min
imum
Capital
Requirement
),
包括信用风险、
市场风险和操作风险三大风
险;二是
监管检查
(Supervisory
Review
Of
Capital
Adequacy
)
;三是市场纪律
(Market
D
iscipline)
,这就是互
为补充的三大支柱。
操作风险在新巴塞
尔协议的三大支柱都有其关键角色。
就操作风险和第
一支柱的关
系来看,
巴塞尔委员会希望借由第一支柱最低资本要求规和一系列风
险测量与管理的定性和定量规,
判定银行是否取得特定评估方法的使用资格。
就
操作风险和第二支柱的关系来看,
巴塞尔委
员会建议,
监管机构应透过第二支柱,
依据各个机构控制环境进
行评估,
并加以定量规。
第二支柱明确规定:
< br>银行必须
就机构风险全貌评估所需经济资本,
且这项评估
程序必须经由监管机构审查。
当
银行资本评估程序不当或资本配
置不足时,监管机构将会要求银行采取补救措
施。
巴塞尔委员会
将提供资本评估程序的指导方针和标准。
就操作风险和第三支
柱
的关系来看,
第三支柱市场纪律强调透过资本配置和其他监管途径,
提升银行
和金融体系安全和稳健运营的能力。
市场纪律提供
银行以安全、
稳健及有效率的
态度经营业务,并持有适量资本对
抗未来因风险导致机构蒙受潜在损失等诱因。
就执行层面而言,银行应当定期公开披露信
息,如操作风险管理和控制的流程、
法定资本配置方法等。
就操
作风险测量和管理进行严格审查方面而言,
银行可以
披露操作损
失信息,这类披露有可能成为使用部计量法的资格标准之一
。
2
、操作风险监管和第一支柱:资本充足率
在第一支柱中,新协议明确提出将操作风险纳入资本监管的畴,即将操
作风险作为银行资本比率分母的一部分。
新巴塞尔协议提供了三种计算操作风险
资本金的方法:基本指标法(
Basic
Indicator
Approa
ch
)、标准法(
Standardized
Approach
),以及
高级衡量法
(Advanced
Measurement
App
roach
,
AMA
法
)
。监管当局的任务是根据严格的标准认定银行使
用操
作风险资本计提的资格,并始终监管其操作风险资本配置过程。
第一种操作风险资本配置要基本指标
法。基本指标法的基本思路是,银
行所持有的操作风险资本配置应等于前三年总收入的平
均值乘上一个固定比例。
第二种操作风险资本配置要标准法。
在标准法中,
银行的业务分为
8
个
业务类别:
p>
公司金融、
交易和销售、
零售银行业务、<
/p>
商业银行业务、
支付和清算、
代理服务、
资产管理,
以及零售经纪,
其中每一类
业务类别适用的一个特定系数。
资本计算公式为各类业务以特定系数为权重的加权平均。
实施标准法的前提是必
须满足一系列标准,
以便于监管部门监管。
大致而言,
可分为以下七个方面:<
/p>
1
、
银行的操作风险管理系统必须对操作
风险管理进行明确的职责界定。
2
、作为银
行部操作风险评估系统的一部分,银行必须系统地跟踪与操作风险相关的数据,
包括
各业务类别发生的巨额损失。
3
、必须定期向业务管理层、高级
管理层和董
事会报告操作风险暴露情况,包括重大操作损失。
4
、银行的操作风险管理系统
必须文件齐备。
5
、银行的操作风险管理流程和评估系统必须接受验证和定期独
立审查。
6
< br>、银行操作风险评估系统
(
包括部验证程序
)
必须接受外部审计师和
/
或
监管当局的定期审查。
7
、关于如何
将当前业务类别总收入列入标准法规定的类
别,银行必须制定具体的政策和成文标准
p>
。
第三种操作风险资本配置要高级衡量法(
AMA
)。
AMA
包括部衡量法
(
Internal
Measurement
Approaches
)、损失分布法(
Loss
Distribution
Approaches
)和
计分卡法(
Scorecard
Approaches
)。
关于运用
AMA
法的定性和定量原则方
面,考虑到操作风险分析方法的
连续发展,巴塞尔委员会虽然并没有具体指定运用
AMA
的使用条件,以使商业
银行在运用
p>
AMA
时具有充分弹性。但是,在运用
AM
A
的进程中,银行必须严
格保持方法的设计及其验证两套体系的
独立性。
巴塞尔委员会将在
2006
年
复查
各个银行的执行情况。除了与标准法相近的一系列定性原则,在定量原则方面,
p>
新巴塞尔协议指出了使用
AMA
方法等监管
过程细节,即:
1
、关于部数据,当
银
行首次使用
AMA
的时候,三年的历史数据是最起码的前提。<
/p>
2
、关于外部数
据,
这些外部数据库应该包括损失的真实量,
时间造成的影响的围、
原因和环境
因素等信息。
3
、关于
情景分析,银行必须使用专家通过外部数据分析得出的情
景分析来衡量自身遭受严重损失
的可能性。
4
、关于风险缓释,在使用高级衡量
法时,
银行必须被允许使用保险来缓解风险以满足最低资本要求。
但用作缓冲基
金的资金
不能超过银行最低资本准备的
20%
。
5
、
关于保险工具的运用,
新巴塞
p>
尔要求保险公司的评级至少是
A
,且保险政
策至少已经有一年的实践期
。
关于部分运用
AMA
法的定性和定量原则方面
,
如果银行符合下列条件,
新协议允许银行针对部分业务使用<
/p>
AMA
法,
而对其余业务使用基本指标法
或标
准法:
1
、银行全球并表业务的所
有操作风险均无遗漏。
2
、银行所有适用
AMA
法的业务都符合
AMA
法的定
性标准;
而适用较简单方法的业务也符合相应方法
的要求。
p>
3
、银行实施
AMA
法之时,大部分操作风险应由
AMA
法计算。
4
、银
行向监管当局提供在所有重要的法人机构和业务
部门计划推行
AMA
法的时间
表。银行
提出该计划的动机,应当是今后实施
AMA
法既现实又可行,而
非出于
其他原因。
关于运用
AMA
时加强跨国监管合作方
面,鉴于完全或部分实施
AMA
的严格标准,
< br>有资格使用高级衡量法的银行一般是大型银行,
尤其以跨国活跃银
行为主,因此,巴塞尔委员会考虑到在使用
AMA
时,
需要进一步加强母国和东
道国监管当局之间的合作与协调,具体措施包括:
1
、使用
AMA
方法计算资
本
要求必须与巴塞尔委员会的《跨境实施巴塞尔新资本协议的高级原则》相一致
。
2
、董事会和高级管理层有责任理解各个层次的操作
风险概况,并且
保证各种风险被合理的管理,资本计提是合理的。
3
、如有可能,监管者应当在
本原则和跨境围实行
AMA
的成本最小化的目标间求得平衡
。
四、操作风险监管与新巴塞尔协议的第二支柱
1
、操作风险监管和第二支柱:监管原则
第二支柱在新巴塞尔协议规中的重要
性,可直接落实在操作风险规上。
监管程序除了确保银行计提适当资本要求作为机构操作
风险的后盾外,
还鼓励银
行开发或提升风险管理的能力,
使银行自身的风险管理措施与监管者的监管措施
形成良好的补充。
p>
另外,
第二支柱十分强调有关银行部资本评估程序,
并订定银
行特定风险概况和控制环境所需资本目标额等的重要性。
这些部程序必须接受监
管机构的审查与干预。
就操作风险和监管原则的关系而言,
任何对于操作风险的监管评估必须
包括:
1
、反映行业真实情况并且与良好的行业实践相一致。
2
p>
、从监管者的角
度来看是可行的。
任何可行
的操作风险监管措施必须考虑到一系列高级但又基础
的因素。关键的监管措施应该符合六
方面的原则。
第一,可测量性。无论对于小型机构还是大型机构,监管方法必须是可
行的,
并且复杂程度有所区别。
另外,
一些国家可能
在全部银行和证券行业围实
行新协议,其他国家可能只在部分围实施,所以:
1
、监管方法应当不因机构大
小为基础进行区分,
而是因机构的复杂程度;
2
、它允许机构选择最适合本机构
p>
及其发展的定量工具;
3
、它允许机构在不
同的业务类型选择不同的定量工具。
这意味着机构可以因详细划分不同的业务类型受到监
管者的认可,
甚至这种进步
并不一定表现在整个机构中
(这可以看作在不同业务领域提高复杂性的成本效益
分析的结果)。
p>
第二,执行条件。
监管方法必须在不同文化环境和法律环境的国
家中都
适用,并且依据不同的处理方法使用不同的监管工具。这些方法应该:
1
、不预
先设定一种特定的监管工具,而是使其与
监管实践和政权体制相一致;
2
、提供
一种清晰透明的机制使得监管者可以判断机构的操作风险控制情况;
3
< br>、鼓励机
构更加了解自身状况,
开发出与示实践相一致的
风险控制方法。
这需要与巴塞尔
委员会提出的原则和方法相一致
。
p>
第三,平等的竞争环境。
尽管机构正倾向于使用监管者所定制的风险
管
理方法
(部模型法可以看作这种形式)
,
必须最大程度地保证监管者的判断和执
行方法在其权限围保
持一致,
以提高政府及受监管部门对监管方法的置信度。
具
p>
体来说:
1
、监管方法应提供一种清晰透明
的方法使机构和监管者可以识别操作
风险,并且决定其在资本配置中的大小;
2
、个别监管者可以自由制定其监管政
策,
从一种定量工具转换到另一种定量工具的标准可以不受前一种监管政策的影
响;
3
、必须看到绝大多数的机构将会使用基本指标法和标
准法,在这两种方法
之间转换的定性标准应当以明确的清单表示。
第四,灵活性。考虑到一系列可
能潜在的方法,监管方法可以灵活的实
行,比如:
1
、监管者认识到达成一个目标可以使用多种不同的方法(尽管监管
者可能保
留主要的监管职能,
仍然可以使用合适的外部信息资源)
;
p>
2
、
同样地,
也可
以使用独立的部信息诸如部审计和监查功能。
第五,简易性与复杂性的平衡。
p>
一种过度技术性的方法可能给机构和监
管者带来负担,
而不是相应的增加监管益处。
与此同时,
监管方法又
要求足够复
杂以区别不同机构的风险。
这又体现在两个方面:
1
、不同的监管者和机
构可以使用不同的方法或
不同方法的混合以保证达到相同的目标;
2
、机构可以选择在不同的业务类型使
用不同的工具,
这取决于机构在特定领域的风险控制能力和提高业务复杂性的成
本效益
分析。
第
六,良好风险管理的动机。在机构中鼓励稳健的风险管理,需要清晰
的展示通过风险控制
的改进而获得的益处。
同样地,
监管方法需要与在操作风险
p>
领域新兴的行业标准相一致:
选择实行良好风险管理的机构可以以获准使用更复杂的工具来计算资
本要求作为回报。
由于使用复杂方法计算出的资本要求小于一般的资本要求,
这
些机构便可以保留一些资本。
但真正的吸引
力在于使用部数据和系统来调整监管
方法。
监管者十分欢迎这种
发展,
相较于由监管者制定的资本计提方法,
使用自
身的部数据对各机构更有意义。
2
、操作风险部控制框架
如果银行要达到使监管者认可的上述操作风险管理标准,
必须有
一个有
效合理的部控制框架,该框架至少包括三个要素:
1
p>
、组织结构,包括董事的角
色和责任,公司治理机制和操作风险管理
的分工以及职能部门;
2
、操作风险管
理的战略和政策;
3
、操作风险管理流程,包括识别风险、评估
风险、管理和缓
释风险,以及监测和报告风险的全过程。
第一,关于操作风险管理的组织结构,可用下图表示:
图
1
:操作风险管理的组织结构
资料来源:
PriceWaterhouseCoopers:
Operational
Risk
-The
Ne
w
Frontier,
December,
1999
国际掉期和衍生品协会(
The
International
Swaps
and
Derivativ
es
Association
,
ISDA
)认为,不论机构的大小和复杂程度
,它们的部控
制体系都应该符合:
1
、
董事会应该对操作风险管理承担最终责任。组织所接受
的风险水平,
以及管理这些风险的基础,
都应该由承担最终责任的部门由上而下
< br>地推动;
2
、董事会和高级管理层应该确保有一个有效的
、整合的操作风险管理
框架在位。
这应该包括一个清楚定义的组
织结构,
包括为风险管理所有方面承担
责任的人选,
以及用于支持辨识、
评估、
控制和报告关键风险的
适宜的工具;
3
、
董事会和
高级管理层应该认识、
理解和定义组织面临的所有种类的操作
风
险,他们应该确保他们的操作风险管理框架充分地覆盖了所有类型的操作风
险;
4
、清楚定义了操作风险管理办法的政策和流程应该被以文件的形式记录
下
来,
并且在公司围进行广泛的沟通。
这些操作风险管理政策和流程应该与公司的
整体经营战略相一致,应该能够带动风险管理
水平的持续改善;
5
、所有经营和
支持
部门都应该在操作风险管理框架扮演着重要角色,
从而使得组织能够有效管
理所面临的关键的操作风险;
6
、在建立辨识、缓释
、监控和报告操作风险的管