报告对于各个层次的部门来说都是必需的,但其内容和频率必须与每个业务领域相适应。报告应当满足各业务经理人的需要和向高级管理层提供汇总意见,其中一个重要目标是对所有业务领域和所有风险种类的操作风险组合进行整体研究。正如《巴塞尔新资本协议》要求的那样,它将提示高级管理层公司的主要风险源。报告揭示出企业整体风险、主要发展趋势和预期值得关注的地方。向高级管理层提供的报告内容如下所述。
在业务部门进行自我评估并对结果进行汇总,以提供一个企业整体的风险组合及相应的应对措施。评估结果结合风险图、图形化结果、事件和诱因一起揭示。
风险图是一组用以描述风险及其发生频率和强度的图形,来源于自我评估结果或风险损失事件的数据。风险图可以提示内在风险或经过控制后的风险,图中的点从各业务线中总结出来,代表不同的风险种类。将这个图分成一般的象限,图中右上方的风险状况非常严重,应得到及时转化处理。预期损失常常是“高频率、低强度”,但需引起管理层的重视,并积极予以降低;而低频率、高强度的风险则必须时刻警醒(指非预期损失或灾难性损失);低频率、低强度的风险能得以管理。
自我评估的结果通常会对不同业务线和主要风险组合指标标以红色、黄色和绿色的记号,每个风险上面的箭头表示其发展趋势。另外一个工具是从结果中总结出企业面临的十大风险。伴随着以上结果的还有控制的真空地带和发展趋势。这一列表由风险事件和行动方案组成。
事件可以来自于内部的自我评估、审计和外部监管。自我评估的一个重要结果便是行动方案和相应责任。报告可以包括主要事件摘要、行动方案状态以及逾期任务的变化。
主要诱因总是一个值得关注的地方。报告的另外一个组成包括对与操作风险相关的主要诱因状态的更新,比如系统计划、进程改良或兼并等。
事件即内在或外在的操作风险损失,为风险分析和定量化研究提供历史基础。报告主要是对损失事件的统计摘要,分析不同业务线和风险损失,显示总损失、平均损失及其趋势,对任何重要的变动都要加以描述。综合损失数据与管理进程中的保险要求相联系,可以揭示出保险前后的损失情况。一旦出现重大的内部损失事件,必须报告以下内容:发生的事件、导致事件发生的原因、是否还有类似的事件发生,以及采取何种措施以防止类似事件再次发生。基于同样理由,报告通常也会包括相关的外部损失、产业趋势或与监管相关的信息、竞争者或其他有价值的风险因素等。
关键性指标也应在报告中反映,包括放大机制、异常指标的解释以及确认的发展趋势。许多指标都是根据业务需要“量衣定做”,而有些指标则是以通用的方式加以报告。
资本金水平在风险目录和业务线上的变动及发展趋势也在报告之列。其变动趋势及解释对于处于不断变动的风险组合描述而言极为重要。与此同时进行的还有对资本模型的压力测试或情景分析,测试内容包括操作风险容量、模型假设及敏感度和资本对主要风险的覆盖程度。报告的一个方法是从高到低进行分级,并且用图形对相应的资本金覆盖情况进行对照分析,以确定哪些已超过了分配的资本金水平。
报告必须以对企业的整体风险组合进行分析为导向。其中大多数信息同样适用于整个企业和个别业务线。对于业务线的报告要翔实,并对各个领域提供专用信息,比如特定业务领域的风险指标等。
(三)操作风险管理的工具和技术
在操作风险管理中,通用系统是用来支持自我评估、损失数据库、风险指标收集与报告、保险管理和资本模型的工具。
数据是目标管理和决策的核心。从企业内部可以收集损失事件数据、商业银行操作风险数据、风险诱因和风险指标,还可从外部收集损失数据信息,或借用公开披露信息以及在社团内部分享经验等。
任何定量化的方法均需要一个成文的方法论,用以打分、建立资本模型和因果模型。
围绕风险控制的现实政策与相应的程序也是基础设施的重要组成部分。单个的操作风险管理政策可能显得无足轻重,但有许多相关政策和程序对特定主题加以说明,比如洗钱、安全、保密、遵守和信息技术等。
(四)环境基础
环境指的是企业设定的基调和行为所影响的范围,它的重要组成部分是起支撑作用的风险管理文化。文化可以定义为企业在其日常活动中对风险管理表现出的态度、价值观、目标和行为等。文化常常是随着时间的变化而演进。对于整体风险管理框架的定义即是对文化的一种诠释。
风险文化通常被理所当然地看做是风险管理的“软件”,比起人们所知的定量方法,风险文化更难加以描述和处理。但是,风险文化将确定定量分析与定性分析方法、自上而下和自下而上分析方法的平衡,以及高级管理层的参与程度。文化就是要抓住员工的心智和建立共同的价值观。
风险管理必须得到高级管理层的参与和支持,因为他们可以发出风险管理极为重要的信息,并配置相应的资源,每个员工都应该可以公开地与高级管理层交流有关事宜。
企业需要具有高水平的道德规范,可以通过制定行为规范、设立具体条款以及其他精神和法律的措施来实现。
环境与沟通密切相关。企业的任务与战略应被清晰地传达下去,每个员工都能理解企业的宏观目标和所在部门的作用。对风险的考虑是业务计划的明确部分。政策本身也是一种沟通,企业应该有全面的政策,员工应当认真地理解并将它视为建设性的行为指南;同时,对风险的态度也应正确理解和传达。员工们在工作中必须及时接受足够的信息,做好本职工作。环境的另外一个重要组成部分是责任与意识。主人翁作用应加以理解和传达,风险应视为每个人的工作职责,每个员工应有义务来履行其职责。基于同样的理由,绩效激励应考虑包括风险管理的内容。绩效应得到跟踪反馈,每个员工均应对相应行为目标负责,好的表现应得到奖励,错误行为则应受到处罚。绩效激励的设定不应使人逆风险管理价值观行事。
人员也是环境的组成部分。需要有足够合格的人员来做这项工作:士气必须高涨,人员流动要少。员工应接受风险管理及相关工作培训,并从中体现培训的意义。
一个成功的操作风险管理框架还需要一些不同于企业过往运作方式的文化特质。比如公开和透明准则。我们应当创造出这样一种环境:每个人可以分享其从事的工作结果。这同样适用于现实的损失事件,损失事件可以成为改进的机会(坏事可变成为好事)。
这里也有一个外部环境问题。企业要面对竞争者的挑战、服务于客户、接受监管者监督,受制于宏观经济、劳动力和法律。以上因素应得到监控和评估以确保企业内部管理进程与预期相一致或超过预期。
(五)内部审计的作用
随着操作风险管理的日益精细化,内部审计的作用也应发生变化。在传统模式中,审计部门对内控评估负责,而现在这一责任已转移给风险管理部门协助之下的业务部门。审计部门的作用应集中对操作风险管理框架运作情况进行评估和内控测试,同时也应积极参与风险管理过程,参与其中的评估和关键性决策。审计应确保企业对风险管理有着全面的认知,风险分析还应在不同风险种类(市场风险、信用风险和操作风险)和不同部门交叉进行。
审计应当对操作风险管理框架(以上四个组成部分)以及框架在不同业务部门的形成和执行情况进行评估。它能测定出风险管理内部控制是否与政策一致,比如新产品的审批是否适时结束、业务部门是否及时将损失事件记录在模型数据中等。
审计可以对模型进行测试,用以找出资本计算方法加以评估。同样,审计也可评价损失准备金。审计应独立地对模型测评并对结果加以确认。以上观点包括测试数据输入、方法、计算以及与产业实际相对照。
审计的另一作用是调查事故,比如欺诈等。若是条件允许,应由风险管理部门之外的部门进行事件调查和提出改进建议,回避制度可以约束相关人员行为,也是一项有价值的工作。
三、运用模型管理操作风险
巴塞尔委员会基于对操作风险的高暴露水平,提出了对操作风险的资本金要求。其中,基本指标法和标准法将银行所需资本金的数量与以收入为度量的银行规模相结合;而高级计量法则允许将合格的内部模型引入资本金的计算中,此方法计算得到的资本金数量常常比用其他两种方法得到的要低,更重要的是,即使最初计算的资本金较高,随着银行风险的降低,使用高级计量法也可以降低银行经济资本的需求,而这正是基本指标法和标准法做不到的。高级计量法主要要考虑:
(一)操作风险与回报
建立操作风险模型的目的是为了给管理层提供一种决策工具,借以确定本机构能够承受多大的操作风险。银行需要为操作风险管理,放弃风险回报和取得风险回报之间作出平衡,银行已经习惯于信用风险和市场风险的管理。
例如像支付系统、资产管理、交易以及其他咨询业等,如果银行对风险的容忍度为零的话,将不得不停止这些业务。比如,一家银行如果选择对交易加以过多控制的话,那么一些“有争议的交易”就肯定不会发生,为了达到使操作风险为零的目的,银行将不得不付出永远不交易的代价。
实际上,目前许多银行已经采取一些控制措施,包括一定程度的“有争议的交易”,但没有人能够确定这些“有争议的交易”所带来的风险是不是在可以接受的范围之中。同样的问题存在于诸如信息安全、盗窃识别、进取性销售以及其他大量存在操作风险的业务中。事实是,大多数银行都经营了以上业务,并承受着一定的操作风险。
操作风险模型的建立使得风险容忍度变得明确和透明,它帮助人们确定操作风险是否与它的潜在收益相匹配。毕竟,银行总是将资本金分配到那些风险相对固定,但可以获得最大收益的业务中去,而不管这个风险是操作风险、市场风险还是信用风险。
操作风险模型化的目的就是使风险-收益的权衡关系清晰、明显和一致。银行管理者最想知道在自己的经营活动中到底存在什么样的操作风险。换句话说,他们希望确定操作风险的暴露程度。而操作风险被确定和认知后,管理者就希望了解这些风险的财务影响有多大?这就意味着我们应该能够提供操作风险对利润和损失潜在影响的合理估计。这些潜在影响通常以三种形式出现:预期的、不可预期的、灾难性的。经营的发展需要不断改变管理者的经营战略、产品供给、分销渠道、操作环境等,这些改变也会对操作风险暴露出潜在冲击有较大的影响。一个有用的操作风险模型应该能够解决这些问题。模型结果应该包括比较相类似业务部门之间操作风险“全息图”,并可以分析出造成差异或类似的原因。除了能够为各个业务部门的具体问题提供答案之外,模型还必须包括在任何一层组织级别上对操作风险结果进行汇总。
(二)集成式操作风险框架
如同管理市场风险与信用风险一样,操作风险管理也存在一个清晰明确的步骤,包括风险确认、风险度量、风险分析、风险监测、分配经济资本、损失管理等。
就操作风险而言,风险识别通常以对风险暴露严密的自我测评、控制环境因素、风险度量开始,统称为关键风险动因。例如,在资产管理中,风险确认包括因严重的错账而引起的客户索赔,以及用以减少风险发生可能性和诸如日常账务调整等关键风险诱因的内部控制。
一旦风险被确认,就需要对这些风险所带来的财务影响进行度量,量化预期或者非预期损失。风险识别必须基于一个定义清晰的、分类一致的操作风险分类来进行,避免将那些本来属于不同业务的风险确认为同一风险,或者是在不同时间将同一种风险确认为不同的风险,或者将不同的风险确认为同类风险。因此,需要对操作风险首先进行一致的、实用的分类。例如,操作风险根据多种标准进行分类,包括风险发生的原因、引起损失的事件、对财务的影响、受益者、受害者等,任何一致的规则都应该能够保证这种分类的连贯性和一致性。但是,我们关心的还不仅仅是风险识别,更关心风险对财务的影响程度,那么,操作风险的分类除了要保证连续性和一致性外,还要受操作风险模型自身的约束。换而言之,那些有类似损失特征(财务影响)的风险应该被划为同一种类。
预期损失和非预期损失是不能被直接度量出来的,相反地,首先需要对单个损失发生的频率以及强度(当损失实际发生时的实际财务损失)进行度量。由于风险频率及强度是随机的,通常测量的是对应于统计分布频率和强度的参数。风险损失的分布,可借助于蒙特卡洛模拟,合并频率和强度分布而得到。一旦通过这种方法得到损失分布,也就能得到预期损失和非预期损失的合理估计。