第六章操作风险管理

第六章操作风险管理操作风险是金融机构经营中面临的一种古老的风险种类。但与市场风险和信用风险相比，金融机构对操作风险的认识和管理长期出于低水平。20世纪90年代以来，巴林银行、大和银行等许多国际大型金融机构因严重的操作风险管理失败导致损失后→人们才逐渐将视角投向这一范畴。2004年出台的《新巴塞尔协议》正式将操作风险的衡量和管理纳入金融机构的风险管理框架中，并要求金融机构为操作风险配置相应的资本金。如今，操作风险和市场风险、信用风险并列成为金融机构风险管理领域的三个重要组成部分。第一节操作风险的识别一、操作风险的涵义与特征（一）涵义操作风险可以泛指在金融机构运作过程中一系列可能发生的损失，这些损失可能源于某种电脑病毒的发作，也可能由某些特定情况下决策者的一个失误而导致，或者来源于第三方的欺诈。实践中，操作风险的发生往往又和市场风险、信用风险交织在一起。例如，一个客户未能及时偿还贷款可能是源于借款人的故意欺诈行为，也可能是由于银行信贷人员的人为差错所致→很难清楚地界定金融机构操作风险的范围和内容。操作风险的涵义据巴塞尔委员会的调查显示：过程和程序、人员和人为错误、内部控制、内部和外部事件、直接和间接损失、失误、技术和系统等，——都是在操作风险定义中频繁出现的关键词。操作风险的涵义总起来看，定义的方式有两大类：直接方式和间接方式。间接方式把操作风险定义为除信用风险和市场风险以外的所有风险，巴塞尔委员会最初就采用这种方式来定义的。但这种方式没有给出任何定义性或描述性的关键词，无法系统的进行操作风险管理→许多组织倾向于用直接方式来定义操作风险。操作风险的涵义1998年5月，IBM公司发起了设立操作风险论坛，该论坛认为操作风险是由于客户、设计不当的控制体系、控制系统失灵及不可控事件导致的各类风险。此后，英国银行家协会又给出了一个内容更完整的定义，认为操作风险是“由于内部流程、人员行为和系统失当或失败，以及由于外部事件而导致直接或间接损失的风险”。这一定义被巴塞尔委员会所接受，最终删去“直接和间接”，写入了《巴塞尔协议Ⅱ》。操作风险的涵义由此，目前关于操作风险的界定建立在对其基本成因分析的基础上。通过界定影响金融机构业务操作的内外部因素，将操作风险与其他风险区别开来。操作风险的涵义实践中，金融机构通常还采用编制风险目录的方式把操作风险的成因、损失事件及最终影响一一对应，使得操作风险的定义更加具体化。操作风险的涵义原因例如：·内部流程·人·系统示例：有缺陷的内部流程事件例如：·内部作假·外部作假·对物质资产的破坏对物质资产的破坏后果例如：·冲销·法律责任·追索损失核销图：通过成因、损失事件和后果分析操作风险（二）操作风险的特征1、广泛性通常，信用风险和市场风险都存在于特定的业务类别和操作环节中，而操作风险则可能潜伏在各个网点、各类业务及各个操作环节中，存在的范围广泛。因此，只有在对交易活动从始至终进行分析，才能得到关于操作风险的完整描述。操作风险的特征2、内生性从风险成因看，信用风险主要取决于借款人或交易对手的资信状况，市场风险主要取决于市场价格的波动→这些风险因子都存在于金融机构以外，属于外生变量。操作风险的特征——内生性而操作风险的成因包括两大部分：其一是由于人员、系统、程序等因素引起操作失败或失误；其二是在应对外部事件或外部环境时（如政治、税收、监管等）因采取了不适当的策略而引起的损失。这两类诱因都来自于金融机构内部，操作风险的成因具有内生性。操作风险的特征3、非系统性不同金融机构的操作环境各不相同，操作风险的产生原因和影响也各不相同，即便在同一机构内部，不同业务部门的操作风险在特征上也会存在差异。操作风险的特征——非系统性例如，在交易规模及结构变化不太迅速的业务领域，如传统的存贷款业务，虽然操作风险造成的损失不一定低，但发生操作风险的频率却相对较低；而交易规模及结构变化迅速的业务领域，如电子银行业务，受到操作风险冲击的可能性却很大。操作风险的特征4、难以量化迄今为止，量化操作风险仍然是一项困难的工作。不同机构、不同业务类型的操作风险具有各自的特征，难以用统一的方法对各类操作风险进行准确的识别和计量。二、操作风险的类型及成因分析根据操作风险成因及损失事件类型的不同对操作风险进行分类是目前普遍的做法。（一）按操作风险的成因划分1、内部操作风险也称操作性风险，这类风险通常表现为金融机构由于人员、系统、程序等因素而引起的操作失败或失误。具体又包括以下三类：内部操作风险1）人员风险是指因金融机构员工发生内部欺诈、失职违规，以及因员工的知识/技能匮乏、核心员工流失、金融机构违反劳动用工法等造成损失或其他不良影响而导致的风险。内部操作风险2）流程风险是指因在操作流程中由于交易处理操作差错或流程设计维护失误，以及供应商或承包商方面的原因给金融机构造成的损失，或者由于不充分或失败的内部工作流程所造成的风险。内部操作风险3）系统风险是指由于信息科技部门或服务供应商提供的计算机系统或设备发生故障或其他原因，金融机构不能正常提供部分、全部服务或业务中断。包括系统设计不完善和系统维护不完善所产生的风险，具体体现为：数据/信息质量风险、违反系统安全规定、系统设计/开发的战略风险、系统的稳定性、兼容性、适宜性方面存在的风险内部操作风险例如：在2004.5.31，加拿大皇家银行在进行系统升级过程中，电子银行业务处理意外中断，造成零售客户的存取、转账、支付等记录不能在账户余额中显示。系统中断持续近三天，直接受到影响的客户约为250万，占其客户总数的1/4。2、外部操作风险也称操作策略风险、外部事件风险，是指在应对外部事件或外部环境时，因采取了不适当的策略而引起的风险。这里的外部事件或外部环境主要包括：外部欺诈、盗窃、洗钱、政治风险、监管规定、业务外包、自然灾害等。专栏：瑞穗证券的“乌龙指”事件2005.12.8，日本瑞穗证券公司的一名交易员接到一位客户的委托指令，要求以61万日元（约合人民币4.9万元）的价格卖出1股JCOM公司的股票。然而该交易员在操作时却误把指令输成“以每股1日元的价格卖出61万股”。指令输入后，电脑操作屏幕上出现了输入有误的警告，但由于这一警告经常出现，交易员忽视了这一提醒继续操作。瑞穗证券的“乌龙指”事件随后，东京证券交易所发现错误，立即用电话通知瑞穗证券公司取消交易，然而由于证券交易所的系统存在缺陷，取消交易的操作未能成功。13日，日本证券结算机构正式决定按照每股91.2万日元的价格实施强制性现金结算。为此，瑞穗证券公司的损失达到了400多亿日元。这是一起典型的操作风险案例，导致瑞穗证券公司巨额损失的原因主要在于：1）人员风险。一名交易员的操作失误是导致损失的最直接、最主要的原因，这一操作反映了该交易员缺乏必要的工作技能和责任心。2）流程风险。系统对操作失误作出了警告，但由于缺乏必要的控制性措施，导致交易被放行，显然流程设计还存在缺陷。3）系统风险。系统经常出现输入有误的警告，造成交易员思想麻痹，最终导致损失，说明该公司的内部系统运行不稳定，设计不完善。4）外部事件风险。证券交易所的系统缺陷交易未能及时取消，不得不强制交割，形成实际损失。操作风险的类型（二）按损失事件的类型划分内部欺诈外部欺诈就业政策与工作场所安全性客户、产品以及业务操作有形资产的损失经营中断和系统出错涉及执行、交割以及流程管理1、内部欺诈。有机构人员参与的诈骗、盗用资产、违犯法律以及公司规章制度的行为。专栏：法国兴业银行的内部欺诈案2008.1.24，法国兴业银行披露，由于该行交易员伪造大量虚假交易单，隐瞒大额头寸——将大量单边投机交易伪装成具有双边对冲的低风险交易，导致银行蒙受约合71.6亿美元的巨额亏损。事后，法国兴业银行在对这一欺诈交易事件进行解释说明中指出“在该事件的实际操作中，该交易员使用了多种欺骗方法来规避相关的交易被查出：法国兴业银行的内部欺诈案首先，他确保所执行的违规操作的特征不会引起高几率的控制核查：举例来说，他选择的违规交易中不带有任何包括现金流动、保证金追缴要求和那些需要得到及时确认的操作行为；其次，他盗用了操作人员管理的IT系统权限，用于取消特定的交易行为；法国兴业银行的内部欺诈案再次，他伪造了相关数据，使得他能够伪造虚假操作数据的来源；并且，他确保了在每次虚假操作中使用另一个不同于他刚刚取消的交易中的金融工具，目的是为了增加他规避相关审查的几率”。按损失事件的类型划分2、外部欺诈第三方的欺诈、盗用资产、违犯法律的行为。例如抢劫、伪造、开具空头支票以及黑客行为对计算机系统的损坏。尤其是随着电子银行业务的发展，已成为当前金融业面临的最大风险之一。按损失事件的类型划分3、就业政策与工作场所安全性由于不履行合同或者不符合劳动健康、安全法规所引起的赔偿要求。例如，不恰当地解除了劳动合同，违反了关于用工安全的规定、有组织的罢工以及各种应对顾客负有的责任等。按损失事件的类型划分4、客户、产品以及业务操作有意或无意造成的无法满足某一顾客的特定要求，或者是由于产品的性质、设计问题造成的失误，包括滥用客户的秘密信息、银行账户上的错误交易行为、洗钱、销售未授权产品等。例如，1994年由于在销售衍生品的过程中没有尽到风险告知责任，美国的信孚银行遭到来自宝洁公司的起诉，损失了1.57亿美元。按损失事件的类型划分5、有形资产的损失由于灾难性事件或其他事件引起的有形资产的损坏或损失。例如，恐怖事件、地震、火灾、洪灾等。按损失事件的类型划分6、经营中断和系统出错业务的意外中断或系统出现错误。如软件或硬件错误、通信问题以及设备老化等。随着金融信息化程度的提高，这类风险的表现也越来越突出，据中国银监会通报，2007年3月~2008年1月间，国内共发生了五起影响较大的科技风险事件：科技风险事件1）2007.3.21，交行因主机监控软件缺陷，导致系统瘫痪近4个小时，所有营业网点无法正常开展业务。2）2007.8.15，工行对计算机系统进行升级，但由于没有避开业务高峰期，导致部分代理证券业务受阻，事故持续了5个半小时。科技风险事件3）2007.10.18，建行第三方存管系统出现故障，与证券商的交易无法正常进行，事故持续了2个小时。4）2007.12.21，招行因运行中心核心网络设备出现故障，造成营业中断近1个小时。5）2008.1.7，北京银行因主干专线设备发生故障，造成在京117家支行所属网点柜台交易无法正常进行，造成营业中断1个小时。按损失事件的类型划分7、涉及执行、交割以及流程管理包括交易失败、过程管理出错、与合作伙伴或卖方的合作失败。例如，1997.2.28，英国威斯敏斯特银行宣布由于衍生工具的错误定价使银行面临7700万英镑（1.27亿美元）的损失。定价错误的原因在于输入模型的数据有问题，而这些有问题的数据全来自银行一名交易员的私自估计。为了了解金融机构操作风险的状况，巴塞尔委员会于2001~2002年间进行两次“关于操作风险量化影响度的调查”。该调查收集了国际知名的30家银行关于操作风险数据收集系统的状况、实际损失的次数以及损失金额等内容，并对损失事件类型进行了划分。从损失事件发生的件数来看，因执行、交割和流程管理等方面的问题而导致损失的占43%——这是操作风险的最主要诱因。与国外相比，国内金融机构操作风险的成因和表现更为复杂，不仅有制度的缺失，还有人员素质不高等问题；不仅存在于各种业务操作领域，还大量存在于贪污、挪用公款、固定资产损失、被监管部门罚款等业务领域。三、不同业务线的操作风险不同业务面对的操作风险会存在着差异，例如，相对于公司金融业务而言，零售银行业务的操作风险常来自于外部欺诈或操作流程等因素，发生频率更高，但单笔业务的损失金额却往往更少。不同业务线的操作风险为了更准确地反映不同业务面临的操作风险状况，巴塞尔委员会将银行的所有业务分为8个产品线：公司金融交易和销售零售银行业务商业