我国目前正处于金融改革的关键时期,操作风险已成为我国金融机构面临的重要风险。文章结合新巴塞尔协议对商业银行提出的操作风险管理要求,联系我国的金融实践,提出了新巴塞尔协议下我国商业银行操作风险管理的四点政策建议。
 
  自20世纪80年代以来,一系列因为操作风险所导致的金融案件震惊了国际银行界(见表1),使银行经营者和监管者普遍认识到了操作风险管理的重要性。安永国际会计公司2001年对美国前100家大银行的风险管理调查报告证实了这一点。报告间隔一个月或更长时间,94%的银行衡量了市场风险,100%的银行衡量了信用风险,69%的银行衡量了操作风险。在不少国际金融机构中,操作风险导致的损失已经明显大于市场风险和信用风险。2004年6月通过的新巴塞尔资本协议反映了这一风险管理趋势,正式将市场风险,信用风险和操作风险综合起来考虑,并首次明确了对操作风险的资本配置要求。目前我国正处于经济转轨时期,相应的制度环境尚待完善,人们求富的急切心态导致各种违规事件的层出不穷(见表2),操作风险正成为我国金融机构面临的主要风险。
 
  一、新巴塞尔协议与银行操作风险

  根据巴塞尔委员会2003年2月公布的《操作性风险管理与监管的最佳实践》,不管银行规模的大小,监管当局应当要求所有的银行都建立起自己的操作性风险计量和监管框架。银行应同时进行足够的信息披露,以便市场能够就其操作性风险管理方法进行评估。操作性风险管理越来越被置于同信用风险和市场风险管理同样重要的地位,对操作性风险管理计量的技术要求也在逐步向信用风险和市场风险看齐。操作风险管理正作为一个重要的有机组成部分被纳入到银行的风险管理体系中。目前我国在银行操作风险方面存在很大的不足。中国有五家规模各异的银行参加了十国集团国家监管当局之间对新资本协议第三决定量影响测算(QIS3测算),其合计的资产占到中国银行业总资产的48%。按标准法计算,操作风险的贡献率为3.83%。由此可见,我国银行在操作风险管理方面的水平是相当低的。虽然中国人民银行于2002年9月发布并开始实施《商业银行内部控制指引》,对我国银行建立操作风险管理和控制框架提出了要求,但是到目前为止,我国商业银行的操作风险管理仍然存在很多问题。商业银行操作风险的组织基础工作薄弱,银行内部控制制度建设滞后,相关的信息披露严重不足,缺乏操作风险的计量模型和损失数据等问题。基于巴塞尔新资本协议的要求和我国银行业操作风险管理的现状,要解决上述问题,建立起适应我国银行业发展要求的操作风险管理体系,本文认为应从以下几个方面人手。
 
  •   1.确立全面风险管理理念,加强金融机构自身的风险管理文化建设。我国商业银行应从以定性为主的传统风险管理方式向以定量分析为基础定量与定性相结合的现代风险管理模式转变,树立市场风险、信用风险和操作风险综合管理的理念,积极借鉴新巴塞尔协议的银行管理精髓,打造我国金融机构自身的风险管理文化,使高层管理人员和所有员工对各自业务部门防范操作风险有一个全面的认识,认真履行风险管理责任,确保操作风险管理活动被很好地理解和执行。
 
  •   2.建立操作风险损失数据库,选用适当的操作风险计量方法。新巴塞尔协议指出:“委员会认为,根据统一的损失、风险和业务的定义,在业内有序地收集及分享数据,对于制定处理操作风险的各类先进方法十分重要。若没有这类数据,委员会将被迫在制定操作风险最低资本规定时采用保守的假设。”尽管目前我国很难采用那些先进的操作风险量化方法,但是操作风险的量化将是大势所趋。因此我们要提前做好风险损失数据库的建立,为日后使用先进的操作风险管理方法作准备。根据新协议的提议,“委员会计划允许银行采用更加先进的方法按业务处理操作风险。如银行可以采用标准法处理某些产品,并同时采用内部计量法处理其他产品。”因此,当前我国的金融机构可以根据自身情况对不同业务的操作风险采用不同的度量方法。前面分析的几种度量方法为银行操作风险管理提供了一种可以参照的标准,但这些方法有自身的特点,就现阶段的中国商业银行来说,并不都适用。基本指标法过于简单,损失分布法和极值方法属于高级计量法,对损失数据要求高,必须满足一系列的分类标准,这些标准有许多在现阶段我国商业银行无法达到,应用难度较大。而标准法和内部度量法介于两者之间,既克服了基本指标法的不足,又不像高级计量法那么复杂,应当是大多数商业银行的短期努力方向。尤其是内部度量法,能很好地结合绝大多数中国商业银行自身业务状况(如业务规模、范围、业务类别等),对风险的衡量有较强的针对性,可以建议我国商业银行现阶段着重考虑对该方法应用的熟悉和完善,为今后更高级方法的使用积累经验。
 
  •   3.借鉴国际经验,创造一个合适的操作风险管理环境。新协议对操作风险管理环境提出了三条原则。一是董事会应当意识到操作风险的主要方面,并将其做清楚的分类以能够实施管理,并应当批准和定期地检查银行操作风险管理框架;二是董事会应当确保银行的操作风险管理框架从属于由受过培训能力的员工所独立进行的、有效的和全面的内部审计;三是高级管理层应当负责董事会批准的操作风险管理框架的实施。这个实施在全行范围内应当是一致的,所有层面的员工都应该理解其相关的操作风险管理责任。我国的操作风险管理应该积极借鉴这些原则,操作风险管理体系应基本覆盖操作风险识别、评估、监测、缓释、控制和报告等程序和环节,并在此基础上建立覆盖整个银行的操作风险管理战略和政策,构建责权明晰的管理架构。与此同时,由于国有银行权责不明晰,操作者是银行经营者,而风险承担者是国家,这样使得银行经营者缺乏实施风险监管的动力。因此,国有商业银行操作风险的管理必须与银行的产权改革、完善法人治理结构相结合,为操作风险管理提供一个好的企业制度环境。
 
  •   4.健全银行内部控制制度,加强风险管理人才建设。最重大的操作风险经常由内控制度的失灵引起,而这又是银行可控范围内的内生风险,所以防范操作风险的关键在于健全银行的内控制度。内控制度建设应从银行实际出发,设计合理科学,具有可操作性。同时要发挥信息披露的作用,要求银行应向公众进行充分的信息披露以便于市场参与者能够对银行的操作风险管理进行监督和评价。由于操作风险的复杂性,客观上要求其业务人员必需具有丰富的专业知识和技能,这在很大程度上决定了操作风险管理质量的高低。目前我国熟悉操作风险管理业务的人员非常匮乏,加强这方面的人才培养和引进非常必要。
 
  二、新巴塞尔协议下我国商业银行的操作风险管理建议
 
  新巴塞尔协议(2004)第一次对银行操作风险提出了资本要求,并把操作风险定义为:由于不正确的内部操作流程,人员,系统或外部事件所导致的直接或间接损失的风险。该定义包括法律风险,但不包括策略风险和声誉风险。这一定义侧重于风险形成的原因,委员会认为这样对操作风险的管理和度量都是合适的,同时又鼓励对定义中损失类型(见表3)进行讨论以形成更为完备的定义。操作风险相比于信用风险和市场风险,意味着纯粹的损失;而后两者是一中性概念,损失机会和盈利可能并存。根据新协议的监管要求,银行必须全面收集业务活动中有关操作风险的损失数据。可以依照巴塞尔委员会定义的8种银行业务类型(具体包括:公司金融,交易和销售,零售银行业务,结算和支付,代理和保管,资产管理,零售经纪业务)和7种操作风险事件类型(具体包括:内部欺诈,外部欺诈,就业政策和工作场所安全,客户产品及业务操作,实物资产的损坏,业务中断和系统失败,执行交割和流程管理)进行数据分类。分别统计发生概率大而每件的损失额度较小和发生概率小而每件的损失额度较大的事件数量。同市场风险和信用风险一样,不论是对操作性风险简单的定性估计,还是复杂的模型计量,都必须涉及风险的种类,风险敞口,风险事件的发生概率以及风险损失。
 
  商业银行表面经营的是货币,实质经营的是风险。本质上,商业银行就是经营风险的金融机构。以上列举的都是银行最常见的风险。而FRM金融风险管理师就是通过对金融风险系统的思考和研究后总结出来的产物。能够通过方式方法有效的进行风险管理。