巴塞尔委员会《关于操作风险管理的报告》

　　
在经历了自去年亚洲金融风暴以来的长时间全球金融动荡后，巴塞尔银行监控委员会（巴塞尔银行监控委员会是1975年由十国集团成员国中央银行行长会议决定成立的，目前由德国、比利时、加拿大、美国、法国、意大利、日本、卢森堡、荷兰、英国、瑞典和瑞士中央银行的高级代表及银行监控人员所组成，其常设秘书处设在巴塞尔国际清算银行总部。）也作出反应。采取措施预防金融风险。1998年9月22日。巴塞尔银行监控委员会发布了三个重要文件，建议银行改进监控机制和加强内部风险管理，以防范金融风险和确保银行体系的安全。这三个文件分别是《关于操作风险管理的报告》、《银行组织内部监控体系框架》和《关于银行透明度的建议》。巴塞尔银行监控委员会指出。上述三个文件的拟定吸取了一些银行的痛苦教训，是在与十国集团大银行进行磋商以后制定出来的。从上一期起，我们就已开始在海外金融法透视这一栏目中，对巴塞尔委员会的这三份报告分别进行介绍。
　　本期介绍的是《关于操作风险管理的报告》（以下简称《报告》）。《报告》指出。在现代资本市场中，操作风险管理变得越来越重要，但大多数的银行机构对此不够重视，仍然处于制定操作风险措施的初级阶段。最重要类型的操作风险涉及内控和公司管理方面的失灵，这将导致银行利益的重大损失。此外，其他类型的操作风险还包括信息技术系统的瘫痪甚至像火灾那样的灾害。因此，巴塞尔委员会的一个由来自美国、日本、英国、意大利、瑞典、比利时等国家的专家所组成的工作组在对若干国家的三十家主要银行进行调查后提出了这份《报告》并获得了委员会的通过。《报告》建议银行有关部门更好地鉴别、测量、管理和监控操作风险。正如巴塞尔委员会主席、纽约联邦储备银行行长威廉.J.麦克唐纳先生所指出的那样：“巴塞尔委员会将致力于继续密切注视在这一风险管理领域内的发展动态，并且鼓励银行与其监管人员之间分享最新发展起来的确认、衡量、管理和控制操作风险的技术手段。”
　　《报告》首先指出了以下几个在讨论操作风险问题时所出现的常见主题：
　　(1)银行董事会和高级管理层对操作风险的意识正在增加。事实上所有银行都把管理操作风险的基础责任交由营业管理人员承担。那些建立操作风险衡量机制的银行对能较好管理操作风险的营业经理们通常也给予鼓励。具体管理措施包括：将操作风险衡量计入业绩评估过程。或者要求营业管理人员直接向银行最高管理层报告有关操作损失的详细情况以及纠正措施等。
　　(2)尽管所有被调查的银行都建立了关于操作风险管理的大体框架，许多银行表示它们只是处于发展操作风险衡量以及监管框架的早期阶段。大多数被调查的银行只是在最近意识到把操作风险视为一个单独的风险类别，只有少数银行目前定期地对操作风险进行衡量并作出报告。
　　（3）许多银行认为有必要对重要的概念问题加以明确，并且提出了对相关资料的需求。这些都是为发展衡量操作风险的一般标准和措施所必须加以强调的。与市场风险和信用风险不同，操作风险的因素大部分存在于银行内部，而且在单独的风险因素和发生操作损失的可能与损失大小之间并不存在一种明确的数学或统计学上的联系。因为重大操作损失的经历终究不多，而且多数银行缺少关于操作风险损失及其原因的历史资料。随着银行业日趋标准化的发展，各银行已发展或正在发展的风险模型往往依赖于一系列极其相似的风险因素，诸如内部审计比率、内控自我评估、以及类如营业额、误差率和收入弹性等操作指数。
　　接下来，《报告》分五个部分对操作风险管理问题进行了更为详细深入的说明。这五个部分是：管理监督，风险衡量、监管与管理信息机制，政策与程序，内部控制，以及监管当局的职责。
　　在第一部分—“管理监督”方面。《报告》首先指出：许多银行的高层已经开始重视操作风险。尽管把操作风险管理视为一项正式的纪律还是最近的事，但不少银行已经提高了对操作风险的重视程度，这从各银行纷纷增加对操作风险衡量、监管和控制的预算就可见一斑。工作组在调查中发现。在操作风险管理方面银行普遍比较强调管理监督和营业人员的责任义务的重要性。高层管理责任被认为是企业风险管理成功与否的关键。在被调查的银行，对操作、险的高级监督一般由董事会、管理委员会或审计委员会来承担。此外。多数银行强调了内部监管人员（比如风险经理、风险委员会、内部审计人员、财务人员等）的重要作用。但总体来看，对衡量和监管操作风险的职责明确委派一个特定职务的做法并不普遍，只有大约一半的受调查银行为此专门设置了一个经理职位。《报告》发现。几乎所有的受调查银行都同意操作风险管理的主要职责应该由各具体营业单位承担。因此。营业经理应该担负起建立合适的操作风险控制机制的责任。在巴塞尔委员会早些时候所作的关于内部审计问题的另一项调查中也反应了同样的趋势，即在营业层实行较多的内部控制。另外，根据一些银行的反映，将风险管理制度化存在这样一个潜在的好处。就是可以通过奖金分配、述职报告等方式对那些能够良好管理操作风险的营业经理们进行激励。
　　接下来是《报告》的第二部分—“风险衡量、监管和管理信息机制”。鉴于其重要性，《报告》将这一部分又细分成四个问题进行论述，这些问题依次是：“操作风险的定义，操作风险的衡量，风险监管和对操作风险的控制”。首先介绍的是“操作风险的定义”。尽管目前尚无对操作风险的统一定义，许多银行都将其定义为所有不能被归类为市场风险或信用风险的风险，而另有一些银行将其定义为由于各种人工或技术失误所引起的损失风险。接受调查的银行多将操作风险与结算或支付风险、营业中断、以及行政管理与法律风险联系起来。而所有的银行都认为在市场风险、信用风险与操作风险之间存在某种形式的联系。特别是，一个交易中的操作问题（例如一次结算失误）就有可能产生市场或信用风险。另外。技术风险通常被认为是操作风险的一种类型。但也有一些银行认为它属于一类单独的风险。
　　随后是“操作风险衡量”的问题。《报告》首先对银行界操作风险衡量的现状进行了概括：总的来说，大多数银行对衡量操作风险的考虑还处在一个非常初期的阶段，只有不多的一些银行建立了正式的衡量机制并且积极地考虑如何衡量操作风险。现存的风险衡量方法相对都比较简单和具有试验性，这就表现出一些问题。举例而言。银行通过这种风险衡量方法所确定的风险因素都属于典型的内部衡量因素，例如内部审计比率、误差率和收入弹性等，而对于例如市场价格运动或借款人情况变化等外部因素涉及不多。到目前为止，论证这些外部的操作风险因素与操作损失之间关系的研究还非常不够。
　　其次，风险衡量还牵涉到一个成本问题，不少银行提出：对一项操作损失事件的问题进行调查和改正的成本很高，在很多情况下甚至超过直接的操作损失。由此，一些银行提出将操作损失分为两大类—经常性的、小数额的操作损失（比如由常见的人工操作失误引起的损失）和很少发生但影响巨大的重大操作损失。对这两类损失应该加以区分并适用不同的风险衡量方法。调查中还发现，尽管接受调查的银行在论及其自身的操作损失经历时表现得不尽相同。但只有很少几家银行愿意承认.曾经发生重大操作损失。
　　再次，衡量操作风险既需要估量一项操作损失事件的发生可能性，也需要估测可能的损失大小。虽然风险因素一般不是定量化的。但可以将其定性化地估价为不同等级。银行可以利用这些分级化的风险因素进行风险衡量以确定哪些营业项目具有较高的操作风险。在理论上，应该采用把风险因素与以注的损失经历联系起来考虑的综合性衡量方法。有一些银行已经开始收集关于以注损失经历的资料。但由于很少有银行经历过多次重大操作损失，要对以往损失进行全面分析、估量就需要许多银行合力提供资料。
　　接下来是“风险监管”问题。《报告》发现尽管多数银行并没有对操作风险进行正式衡量，但却大都具备一定形式的操作风险监管制度。接受调查的银行基本上都对例如营业额、误差和结算错误等操作表现进行监管。有几家银行对操作风险直接进行监管，它们对发生的损失事项、损失情况以及原因进行分析并提交高级经理或者董事会。受调查的银行大多正在对其目前的监管方法重新进行考虑，以便改进对操作风险的衡量和报告并且发展在线式的监管体制。当然，各家银行在这方面的进度很不一样，有一些银行已经开始实施新的监管体制，而另外一些银行还处于计划阶段。
　　随后《报告》就操作风险控制问题进行了论述。尽管有多种手段可以被用于控制和减少操作风险，受调查的银行几乎无一例外地把内部控制和内部审计列为控制操作风险的首要手段。此外，各家银行还尝试了其它可能的手段，有几家银行建立了操作风险预防报告机制，有银行提出问题发生后的紧急处理是降低风险的一种方法。还有一些银行指出保险对某些形式的操作风险是一种重要的风险控制手段，还有几家银行对采用再保险的办法弥补操作损失也进行了探索。
　　《报告》的第三部分是“政策与程序”。有几家接受调查的银行指出它们在重新考虑、修正和发展新的政策与程序上花费了相当时间，而且如何协调涉及不同业务领域和不同风险类别的政策、程序也是一个日渐突出的问题。鉴于在实践中出现的问题，一些银行提出有人要对金融产品和业务活动的风险评估进行改进并加大内控力度、提高控制质量。
　　近年来内控问题受到普遍重视，巴塞尔委员会与《报告》同时发布的就还有《银行组织内部监控体系框架》。《报告》的第四部分谈的也是“内部控制”问题。银行界对操作风险日渐关注的一个积极后果就是增加了内部控制本身的价值，同时提出了内部控制能否在降低或减轻风险方面发挥更大作用这样一个问题。在调查中，人多数银行表示它们认为内部控制是操作风险管理的重要工具。控制手段包括巴塞尔委员会在其发布的文件中所提及的各种控制行为，例如职责隔离、明晰管理报告界线和完善的操作程序等。许多银行认为，绝大多数操作风险事件都是与内控漏洞或者与不符合内控程序有关的。
　　在早些时候一次关于审计问题的调查中发现，在过去几年里许多银行都实行了某些形式的自我评估计划，由银行的各营业单位对其内控环度进行自我评估。现在监管和评估操作风险所需的资料就有很大一部分来源于这些基层单位的自我评估。
　　内部审计人员的作用同样被认为是操作风险管理的一个重要要素。除此以外，独立的财务与内控组织机构（包括审计委员会）也被认为具有重要作用。还有一些银行提出，类如外部审计人员和各种管理机构也很有助于创建制度化的风险控制机制。
　　《报告》的最后一个部分是关于银行监管当局在操作风险管理方面所可能担任角色的探讨。各银行就这一问题的观点再次反映出操作风险衡量与监管尚处在一个较为初期的发展阶段。大多数银行认为，就目前情况而言，由银行监管当局以训令形式发布关于操作风险衡量方法或者风险数额限制的指导原则还为时尚早。各银行表示，在目前阶段，监管当局应该把重点放在提高操作风险管理质量上，并且要求银行提高对操作风险的重视。
　　《报告》在结尾时指出，巴塞尔委员会相信发布这次调查报告将有助于银行更好地理解和洞察操作风险管理的问题，并表示将继续关注这一领域的最新发展。这同样也是我们在“海外金融法”栏目向读者专文介绍这一《保告》的用意所在，希望我国各银行能够充分重视并且关注操作风险问题，健全和完善监控制度。