2.控制框架
我们如何控制或分散操作风险呢?比如典型的控制包括管理洞察力、信息处理、行为监控、自动化、流程控制、责任分离、绩效指标、政策和程序等,其他的风险分散工具有培训、保险方案、分散化和外部采购等。控制框架规定了控制风险的相应方法,控制的成本应该考虑在其中,若是潜在风险较高,则应考虑决定是冒风险行事还是执行次优的控制。
多数风险管理方案都会针对每一项业务流程提出最优的控制方法,并将其列入风险管理进程或政策、程序中。这些风险控制方法将成为风险评估的基础,通过业务评估这些方法是否起作用以及怎样有效地起作用。
保险本身是一种风险分散化或控制的策略,通常运用于在较大的风险暴露中。较大的风险暴露带来的损失将远大于风险偏好所能接受的程度(盈利不足以弥补损失)。关于保险范围的战略有很多,不在本文的讨论范围。
在对控制进行界定之后,必须确保这些控制措施与先前的业务目标相一致,在企业不同业务领域、不同流程和不同地区需要不同程度的调整,有时控制过严会妨碍目标的实现。企业所有部门应按照“风险回报”的原则协同工作。
3.风险评估
风险评估过程对企业来说是一个有着明确目标的过程,以此来决定怎样进行,即风险暴露是什么、企业如何监测和控制风险、潜在缺陷是什么、企业应在什么地方进行改善、每项行动的负责人是谁以及企业如何实现目标。风险评估是一个定性的过程,它是对下面将要讲到的测算过程的补充,因为并非所有风险都能单独测算。许多风险均需要深入地分析和思考,从而了解其深刻的内涵。
风险评估的一个关键性目标便是设定各级部门的责任,各级部门都是“风险承担者”,应对风险发生的损益负责。风险评估的过程使得风险分析更加明确化,各部门经理对后果承担各自的相应责任;同时,风险评估的过程有助于增强公开和透明的文化氛围,对风险进行公开讨论可以提高风险意识和合理配置资源。
风险评估有助于打破部门局限,对跨部门的风险及相关度进行研究,它有利于确保所有的风险均已得到考虑。人们不可能对操作风险进行特别详细的测量,尽管风险指标众多,但都不尽全面,对于资本金的测算要求过高以至于不可能对每一项风险暴露进行详细分析。风险评估的定性方法可以弥补其他的不足,而更多定量分析的方法可以确保对所有操作风险进行分析。
不管风险来源如何,风险评估过程应对控制的“真空地带”进行确认和提出相应的控制方法。风险评估将整合各方面信息,形成一个改进的计划、责任和目标日期。这一过程应确认高层管理的疏忽之处,以便改进决策程序和相应的资源配置。
风险评估方法随时间不断地演化和变化,必须确保对进程的关注和重新审视风险组合。其他的风险评估方法还有检查表法、叙述法和工作间交流法等。
检查表法可能是最常用的方法。通常的做法是将设计好的问卷分发到各业务部门,帮助其确认风险水平和相应的控制措施。有些检查表非常短,仅仅包括一些泛泛的目录(治理结构、执行情况、流程、人员和技术);有些检查表则相当详细,要求列出详细的控制清单。经理人的答案将具有代表性地显示指定风险对其流程的影响程度,这同时也表明风险频率、强度、影响以及相应控制措施的水平。一些企业甚至试图分列出内在风险度(在实施控制之前)和实施控制之后的风险水平。对于控制中的失误要求有相应的修正措施,明确指定责任部门以及完成此项任务的时间计划表。
叙述法在开始阶段与检查表方法不一样,但最终结果相似。叙述法通常以业务部门界定目标和风险为开始,各部门均要对采取的控制措施进行答辩,代替预期控制的检查,对于控制的空白之处也要以相似的方法进行叙述。这种方法需要付出更多努力,但结果将会引发对业务工作和风险管理框架的更具创造性的想法。
工作间交流法是设法超越“纸上工作”,让员工在一起讨论风险、控制风险和相应的改进之处。通过跨部门员工的交流,有助于推动工作间的工作,让不同的观点进行碰撞,有助于共同决策审查方法和对已执行的决策进行确认。最初,为集中进行研究,工作间交流法可以与检查表法和叙述法结合起来使用。
支持评估过程、记录评估结果和提供报告的自动化工具正日益得到广泛应用。这些工具包括对表现企业组织结构的再现、对操作风险进程和内在风险的界定,以及证明控制措施已发挥作用。以上工具还应记录控制评估结果和相应的行动。
风险评估的一个关键性因素是保持进程和目标的客观性。风险评估过程必须独立进行,其结果仅依赖于特定报告人。一些中枢性部门,如风险管理部主要起核心协调作用,对评估结果进行审核、讨论和质疑,确保每个人以连续一致的方式反映情况;同样,其他中枢部门也会起着重要作用,比如信息技术部门、人力资源部门、执行部门、审计部门、保险部门和财务部门,他们从整个企业的角度,针对特定的业务领域对结果进行验证。
4.测量和监测
一旦风险和控制得到确认,就可以对风险暴露情况进行测算,内容包括控制如何发生作用、风险暴露是否变动和是否需要采取相应行动。在操作风险管理中通常会对以下几个方面进行测量:
第一,风险诱因。一些度量标准会促成企业的内在风险。度量标准发生变化通常意味着风险组合也会发生变化。度量标准包括交易量、员工水平、技能水平、客户满意度、市场变动、产品成熟度、地区数量、变动水平、产品复杂程度和自动化水平。这些指标可以是定性的,但在进行业务领域分析时可以对其赋予数值。风险驱动指标更具有前瞻性,可以对将来进行预测。风险驱动指标的显著变化意味着总体性质上已发生实质变化,或者说意味着操作风险损失或其他风险的上升。
第二,风险指标。风险指标是用于风险评估和监测的重要工具,它是在一定风险管理框架中对业务活动和控制环境进行监控的指标体系。有代表性的控制评估过程只能定期进行,而风险指标则可日常监控,这有助于进行动态化的操作风险管理。由于风险指标已整合到风险管理进程中,这些指标必须有一个参考体系,通常是指放大机制或触发水平,表示指标的最低限度或忍耐限度,一旦达到标准以上,需要管理层采取相应行动。
风险指标体系建立中,首要的是指标必须具有风险敏感性,能深入洞察损失组合的变动情况。此事说来容易做来难。指标须在方向上与损失的变动保持一致,且对不同业务领域的关联风险深入研究,而这对于预测实际损失情况有很长一段路要走。
基于同样理由,指标体系也有局限性,比如许多指标都是针对特定风险和专门业务领域或特定流程,我们很难设计出一套与所有业务、所有地区、所有风险类型都相一致的指标。但若是缺少这一目标,操作风险管理框架的作用就会被低估。有些风险种类比其他风险种类更难设计衡量指标,当所有努力都用于预测损失时,往住事后会发现设计好的指标与损失事件并没有明显关联。事实上,我们并不知道哪些指标是有预见性和是针对哪种风险的。
在开始设计衡量指标甚至整个管理框架时,必须总结使用者类型和信息使用方法。通常共有两类使用者:
第一种是业务部门的操作风险经理。他们对特定的风险和事件负责,接受和负责管理风险环境的总体情形,同业务经理一同工作,共同确定风险管理的指标体系。在此,操作风险管理框架将风险指标视为一种提供透明度和沟通风险偏好的工具。
第二种是工作组中的风险经理。他们设定风险偏好,并将其转化为业务风险的基准条件和扩大范围,同时还负责对各种风险信息和风险品种进行汇总。风险经理通过风险指标进行分析,并将控制环境中观测到的变化与历史损失相对照,以此找出具有预见性的措施。可见,风险指标体系必须满足两组使用者的数据需要,在设计时应当征询使用者意见。
风险指标有助于监测风险控制措施的质量,最常用的监控方法是事后(或滞后)监控。但它只是简单地告诉我们已经发生的,却不能说明现在如何进行内控资源配置。这就出现了一个难题:如何将主要风险指标转化为对未来具有预见性的指标。常用的操作过程管理指标包括利润与损失的间隔、公开确认、失败的交易和处理等。这些指标可以转换为更具有导向性的指标,使之具有预期导向,比如集中于特定时间内发生的事件(如24小时内),其他常用的指标如“非常”事件、对错误评级、系统稳定性和服务水准。
放大机制可适用于大多数指标,对可接受的表现水平、相应的风险偏好、控制目标质量进行定义。对严格意义上的市场、信用风险放大机制并不限制,它设定了更高层次的管理者的条件,也可为质量预期设定标准。在资源允许的情况下,管理者都希望对于发生的事件、他们所采取的措施进行解释。而一些公司则为放大机制设计了多重标准,在什么样的标准下哪些信息需要被披露都有完整的规定。
第三,损失历史。企业可以开发数据库来累积操作风险历史损失,也可记录最近的失误和尚未解决的事件。
搜集历史损失数据是基于以下三个理由:(1)在多个层面上加强企业的风险意识。对于全面、有效的操作风险管理来说,了解风险暴露和损失历史是必需的。每年业务风险损失记录和损失汇总是进行风险分析的基础条件,对改进工作也会提出有价值的建议。(2)损失数据可用来进行经验分析,如什么事情发生了?哪些事件是重复发生?某产品的控制点确定基于何种原因?这种分析有助于指导正确的行动来改善控制环境,也能从经验上对内在的事实风险进行定性分析。(3)损失数据是形成定量分析的基础。在巴塞尔委员会最近提出的操作风险资本金模型中,要求运用损失数据和精算技术来测算操作风险资本金。这也同样适用自上而下和自下而上的方法。根据《巴塞尔新资本协议》,企业须有五年以上的数据方可进行高级模型分析。
第四,因果模型。操作风险管理的目标在于预测潜在损失,并在潜在损失发生之前及时采取行动,因果模型为该类分析提供了数理框架。这一模型通常建立在贝叶斯网络或排斥分析之上,对风险诱因、风险指标和损失事件(或失误)进行历史统计,并形成相互关联的多元分布。模型还可以确定哪种或哪些因素与损失(或风险)具有最高的关联度,随着相关因素发生变化,模型还能预测出潜在损失,并找出根本原因和对未来环境进行情景分析。因果模型需要很多的数据点,特别是在一段时期内收集的尤为有用。在操作部门中,高频率的数据仅仅适用于某些风险种类。在损失与潜在变量关联度非常低或甚至与直觉相反时,经验数据会在模型上取得成功。
第五,经济资本模型。测算经济资本是非预期损失的另一种表达方式。操作风险资本对于完成定价模型和风险调整后的绩效方法很有必要。经济资本金模型可运用于内部经济模型和巴塞尔委员会要求的监管资本测算中。巴塞尔委员会提出了三种方法:基本法、标准法和高级法。基本法和标准法指在整个银行层面或业务线层面,采用毛收入的一定百分比来进行计算的;而高级法更为开放,允许银行自行开发一种模型。以上三种方法均是预期损失的计算器,是建立在历史损失基础上的统计或精确计算方法,是一更加定性化的记分卡方法。采用高级法能对风险组合进行最为深入的研究,并允许银行拥有更少的资本金。高级法的另外一个重要的好处在于模型能通过对企业风险组合变化的反映而产生行为上的激励(有关资本金计算模型的各种方法已在本书第二部分的相关章节详细展开论述)。
第六,绩效测评。与其他种类的测评方法不同,绩效测评方法更加注重全面和历史,它与平衡记分卡紧密相连用以衡量绩效和最终影响平衡结果。这种方法有助于经理人持续地了解如何确定管理风险组合。绩效测评方法在每年初期设定目标,年末再对绩效进行考核。操作风险中的绩效测评范围包括自我评估过程、及时处理的事件和自我评估揭露事件所占的百分比。最后一项的目的在于通过自我评估来发现各种风险事件,而不是通过审计或其他渠道来实现。损失水平对于绩效测评来说是一个通用的目标,对此必须加以注意,因为它会不断变化,一旦大大超出控制范围就会导致损失惨重。
以上监控过程有助于管理层了解现有的风险组合,包括它如何发生变化和值得注意的风险警告,其中一个重要方面是监控风险指标和分析风险趋势。风险监测应当依据自我评估的结果来进行。评估过程将会提示风险暴露领域和空白地带。自我评估的参与本身就是对风险的确认,包括这一过程是否及时进行、参与人员是否合适、评估结果揭示出什么,以及是否按计划采取适当的行为等。
第七,风险报告。报告和结论是管理框架的最后一部分,业务部门收集绝大部分的数据以及向上报告,操作风险主管部门的职责是评估、分析和计算资本金。