新巴塞尔协议和操作风险监管原则新巴塞尔协议和操作风险监管原则钟伟沈闻一摘要:一个典型的全面风险管理框架应该包含辨识和定义公司所面临的风险,评估它们的强度,使用各种手段来缓释风险,并且为潜在的损失配置资本和计提准备等基本要素,目前国际上优秀的商业银行主要是通过建立各种模型来完善风险管理系统的,但是不是所有的风险都能够很容易地被量化并且纳入模型之中。2001年9月,巴塞尔推出的新协议对操作风险提出了明确的定义、专门的法定资本金计提规定以及风险管理的基本框架,并且在新巴塞尔协议的三大支柱中,都体现了对操作风险的监管原则,这反映了监管机构对于操作风险的日益重视。本文侧重讨论介绍操作风险的类型和各国新近实践的基础上,就新巴塞尔协议的三大支柱中,对操作风险监管的原则、组织架构和流程进行了初步讨论,以期对国内银行业的操作风险管理提供可借鉴的素材。关键词:新巴塞尔协议三大支柱操作风险监管原则一、操作风险类型及对银行的影响1、操作风险的定义与类型与市场风险管理和信用风险管理不同,对操作风险的关注和研究是近几年才开始的,90年代后,金融创新层出不穷,商业银行的盈利空间在迅速扩大的同时伴随的操作风险也日益严重,类似巴林银行“李森”事件的低频高危事件显示出,即使商业银行符合资本充足率的要求,也可能因为操作风险而陷入经营困境,甚至导致破产。近年来,大量的操作风险损失,过程自动化,电子商务,行业竞争,全球化,公司治理,大量并购等驱动因素和全面风险管理及监管的要求,促使各国政府及金融机构在宏观经济和金融体系中不断寻求合理、高效的风险管理方法,以完善和巩固本国的金融体系。同样有趣的是,与定义相对清晰的市场风险和信用风险相比,操作风险的定义一直在不断发展,操作风险的定义方法存在着广义和狭义两种。广义的观点认为,市场风险和信用风险以外的所有风险均视为操作风险。这种定义最大的优势在于涵盖了所有除市场和信用风险以外的剩余风险,但该定义对操作风险的管理和计量而言几乎毫无意义。狭义的观点认为,只有与金融机构中运营部门相关的风险才是操作风险。近年来,广义的定义逐渐被狭义的定义所取代。JPMorgan对于操作风险的定义是,操作风险是各公司业务和支持活动中内生的一种风险因素,这类风险表现为各种形式的错误、中断或停滞,可能导致财务损失或者给公司带来其他方面的损害。英国银行家协会(BBA)将操作风险定义为“由于内部程序、人员、系统的不完善或失误,或外部事件造成直接或间接损失的风险”,从1998年至今,巴塞尔委员会对操作风险的定义均沿用了BBA的定义。操作风险按风险类型可以分为四种,分别为内部操作流程,人为因素,体制因素和外部事件;按风险因素可以分为七种类型,包括:内部欺诈(Internalfraud);外部欺诈(Externalfraud);雇员活动和工作场所的安全问题(Employmentpracticesandworkplacesafety);客户、产品和业务活动的安全问题(Clients,products&businesspractices);银行维系经营的实物资产损坏(Damagetophysicalassets);业务中断和系统错误(Businessdisruptionandsystemfailures);行政、交付和过程管理(Execution,delivery&processmanagement)等。下表给出了新巴塞尔协议中三大风险的简要分类情况。表1:操作风险与市场风险及信用风险的区别市场风险信用风险操作风险风险类型利率风险汇率风险股东权益风险存货风险违约风险集中决策风险信用恶化风险授信风险内部操作风险人的风险体制风险外部事件风险风险因素基本点价值及其时间波动曲线信用状况变动矩阵违约率违约损失率内部欺诈外部欺诈雇员活动和工作场所的安全问题客户、产品和业务活动的安全问题银行维系经营的实物资产损坏业务中断和系统错误行政、交付和过程管理资料来源:作者根据1996年以来巴塞尔委员会的文件整理而成。2、操作风险和银行全面风险管理跨国银行重新审视和关注操作风险,正是由于它已成为风险管理中的薄弱环节。英国银行家协会(BBA)和Coopers&Lybrand曾经在BBA成员中进行了一次调查,针对45个BBA成员(这已经足够反映英国银行业的基本状况)的报告显示,多于67%的银行认为操作风险与市场风险和信用风险同样(或更加)显著,24%的银行在过去3年中遭受过大于100万英镑的损失。此外,在BBA,ISDA,RMA所作的全球性调查中(该调查覆盖了54%的全球性大规模银行,5%的投资银行,5%的资产管理公司,9%的财务公司和27%的现金中心和零售银行),发现已有84%的银行实行了操作风险管理,其中30家机构有自己的操作风险定义和政策,24家机构对跨国公司操作风险进行评估,22家机构将操作风险与信用风险和市场风险相联系,19家机构执行和发展了操作风险自我评估体系,18家机构进行了操作风险管理训练。有80%的机构发展了量化操作风险的方法。但金融机构对操作风险定量管理仍然持相当保守的态度,有24家机构认为定性方法有益于操作风险评估,但却只有15家机构认为定量方法有益于操作风险评估。因此国际金融行业报告的操作风险损失仍达70亿美元之多。从当前情况来年,尽管没有任何一种操作风险计量方法被普遍接受,但是大多数机构都将其作为未来的选择,并试图将起纳入到全面风险管理的框架中。二、发展中的操作风险监管原则1、巴塞尔委员会对操作风险监管的持续关注尽管对操作风险的定义和量化存在不少困难,但在操作风险正式被纳入新巴塞尔协议资本充足率要求之前,对操作风险监管的讨论已得到相当重视。总结近十多年来巴塞尔委员会在此方面研究的进展,代表性文献包括:《计算机和电讯系统中的风险》(1989年7月)、《衍生产品风险管理指引》(1994年7月)、《电子银行和电子货币业务的风险管理》(1998年3月)等文件中都涉及了操作风险监管方法。1998年9月,巴塞尔银行监管委员会首次发布了《操作风险管理》的咨询文件,着重强调了控制银行操作风险的重要性。1999年6月,在新巴塞尔协议中,操作风险正式与信用风险、市场风险一起纳入到资本充足率的计算框架中,并强调,“巴塞尔委员会认为操作风险对于银行来说日趋重要,银行有必要投入足够的资源来对其进行定量分析,并将其纳入衡量资本充足的范围”。从而引起了金融业、专家学者和各国监管当局对操作风险的广泛关注和讨论。2001年1月和2001年9月,在巴塞尔银行监管委员会提出的关于操作风险衡量的咨询文件和最终文件中进一步指出,“银行应当披露更为详细的操作风险的信息”,并提供了三种计算操作风险资本的方法:基本指标法(BasicIndicatorApproach)、标准法(StandardizedApproach),以及高级衡量法(AdvancedMeasurementApproach,AMA法)。这三种方法在复杂性和风险敏感度方面渐次加强。2003年2月,巴塞尔又公布了对操作风险进行管理的十条原则,供跨国银行进行讨论。2、各国对操作风险监管的新近实践在巴塞尔委员会的示范性作用之下,各国政府和金融机构也逐渐将操作风险监管提上议程。新近各国在操作风险监管原则方面较为重要的实践包括:2002年6月,美国的Sarbanes-Oxley法案第302条提出建立有效的控制程序以确保提交资料的正确性,并对有签字权的官员的职责提出了一系列的要求;第404条提出建立有效的控制程序以确保财政报告的准确性。2002年7月英国金融服务管理局FSA(FinancialServiceAuthority)在一系列咨询文件的基础上,布了关于操作风险系统和控制的文件(简称CP142),准备在综合各方意见后实施。文件的内容主要涉及两方面,一是对操作风险的内容管理,二是对操作风险的流程管理。在内容管理上,CP142采用SYSC(SeniorManagementArrangements,SystemsandControls)的方法来管理控制形成操作风险的因素,包括人的因素、过程和系统、外部事件及其他变化、外部采购和保险。在流程管理上,FSA建议使用PSB(IntegratedPrudentialSourcebook)方法,主要包括风险识别、评估、监测、控制和记录。2003年7月,美国著名的职业监管机构COSO(CommitteeofSponsoringOrganizationsoftheTreadwayCommission)在1992年公布的《内部控制统一框架》基础上,公布完成了《全面风险管理框架》(《EnterpriseRiskManagementFramework》)(下称ERM框架)(草案),并公开向业界征求意见。不仅如此,银行机构自身也逐渐将操作风险管理纳入到全面风险管理的框架中来,Rabobank在internet上公开发表引入全面管理的操作风险框架。在Robobank的框架中,所有的风险都被纳入处理框架,而且最后各种风险均受到操作风险的影响。在这种质量型风险管理方法中,对于规模因子(风险暴露)的确定,既可以用现成公式计算,也可以从风险预警指标中获得,然后站在员工和管理层的角度加以修正,通过内部审计和监督的引入,结果的客观性可在很大程度上得到保证。只要对内部评级的质量产生怀疑,便可马上在内部评级模型中加入一个新因素并进行修正评定。可以认为,遵循操作风险监管原则,运用量化工具,将操作风险纳入全面风险管理已成为几乎难以逆转的趋势。在操作风险被日益重视和广泛讨论的基础之上,越来越多的风险管理专家认为,即使是使用高级衡量法得到的监管资本也存在一定缺陷,不能孤立地看待操作风险,在操作风险与信用风险、市场风险之间,以及各种操作风险相互之间,都存在着密切的联系。正是如此,巴塞尔银行监管委员会认为,银行监管者应该要求所有的银行(不管其大小)制定有效的制度来识别、评估、监测和控制/缓释低频高危类型的重大操作风险,并且与市场风险和信用风险一起,作为全面风险管理方法的一部分。三、操作风险监管与新巴塞尔协议的第一支柱1、操作风险监管和新巴塞尔三大支柱的关系新巴塞尔资本协议的主要内容可概括为三部分:一是最低资本要求(MinimumCapitalRequirement),包括信用风险、市场风险和操作风险三大风险;二是监管检查(SupervisoryReviewOfCapitalAdequacy);三是市场纪律(MarketDiscipline),这就是互为补充的三大支柱。操作风险在新巴塞尔协议的三大支柱都有其关键角色。就操作风险和第一支柱的关系来看,巴塞尔委员会希望借由第一支柱最低资本要求规范和一系列风险测量与管理的定性和定量规范,判定银行是否取得特定评估方法的使用资格。就操作风险和第二支柱的关系来看,巴塞尔委员会建议,监管机构应透过第二支柱,依据各个机构控制环境进行评估,并加以定量规范。第二支柱明确规定:银行必须就机构风险全貌评估所需经济资本,且这项评估程序必须经由监管机构审查。当银行资本评估程序不当或资本配置不足时,监管机构将会要求银行采取补救措施。巴塞尔委员会将提供资本评估程序的指导方针和标准。就操作风险和第三支柱的关系来看,第三支柱市场纪律强调透过资本配置和其他监管途径,提升银行和金融体系安全和稳健运营的能力。市场纪律提供银行以安全、稳健及有效率的态度经营业务,并持有适量资本对抗未来因风险导致机构蒙受潜在损失等诱因。就执行层面而言,银行应当定期公开披露信息,如操作风险管理和控制的流程、法定资本配置方法等。就操作风险测量和管理进行严格审查方面而言,银行可以披露操作损失信息,这类披露有可能成为使用内部计量法的资格标准之一。2、操作风险监管和第一支柱:资本充足率在第一支柱中,新协议明确提出将操作风险纳入资本监管的范畴,即将操作风险作为银行资本比率分母的一部分。新巴塞尔协议提供了三种计算操作风险资本金的方法:基本指标法(BasicIndicatorApproach)、标准法(StandardizedApproach),以及高级衡量法(AdvancedMe