2004年,巴塞尔委员会将操作风险纳入巴塞尔新协议的第一支柱序列内,即将信用风险管理、市场风险管理和操作风险管理并列为商业银行三大风险领域,提出了最低资本要求,并对商业银行操作风险的概念作了明确阐述。巴塞尔银行监管委员会将商业银行操作风险界定为:由于内部程序、人员和系统的不完备或失效,或由于外部事件,造成损失的风险即为商业银行的操作风险。由此可见商业银行的操作风险包含四个方面的类别:一类为操作流程或制度设计存在缺陷以及不执行流程形成的风险;一类为员工操作失误、懈怠操作、违法行为、人员变动等形成的风险,该类风险又称为操作性风险,是各类操作风险中发生频率最高的风险;一类为业务或控制系统出现故障或系统本身存在的缺陷形成的风险;一类为外部事件如外部欺诈、自然灾害等不可抗力形成的风险。商业银行操作风险损失也主要表现为业务办理或内部管理的失误或差错造成的损失以及制度规定的疏忽造成的损失。
操作风险的内容非常广泛,几乎覆盖了金融服务企业经营管理的所有方面的风险。操作风险的大小与交易业务范围和规模相一致。
跨国型的大银行业务规模大,交易量大,金融产品多,受到操作风险影响的可能性大,损失的严重性也大。而一些业务品种单一,业务规模小,交易量小的小银行所受的操作风险也比较小。
历史事件证明,曾经受到操作风险影响的巴林银行、日本大和银行、瑞士联合银行、美林公司、所罗门兄弟公司都是一些世界有名的大银行。当然并不一定大规模的银行操作风险一定就大,这还要考虑内部操作系统的稳健、控制程序和技术安全等多个方面。
5.4.1 操作风险的种类
操作风险不仅与操作系统相关,如后台支持、信息系统出现故障、业务流程上的问题等,而且与业务操作以外的领域相关,如欺诈交易、模型风险、报告和会计体系出现问题等。关于操作风险的定义还有待争议,国际金融界对操作风险的内容也存在分歧。巴塞尔委员会的风险管理组织(RMG)通过定量效果研究(quantitive impact study,QIS)为操作风险收集了一些数据,把操作风险损失按业务种类和损失事件分为七类。
近期以来,中国金融机构特别是商业银行的操作风险案件呈现出快速增长的势头,具体表现为:银行操作人员假借客户之名为自己办理授信业务;化整为零,违规办理授信业务;账外发放贷款;对明知没有真实贸易背景的客户办理银行承兑汇票和票据贴现业务;滚动循环为客户签开银行承兑汇票;票据查询走形式;明知是虚假的客户财务数据却作为授信依据;对贷款的核保流于形式;贷款的“三查制度”不落实;未执行抵押贷款的登记制度;无限放大对个人按揭贷款发放金额;假冒客户办理存单及密码挂失,冒领客户存款;上门收款不入客户账;存款不入账;空存存款;银企对账不及时;凭银行承兑汇票的复印件办理贴现;盗取授权卡或授权密码,伪造主管授权;办理不合规定的大额公款私存;直接盗取、挪用库款;对开户资料不齐全的单位开立银行结算账户;不执行印、押、证三分管制度;私自填制转账凭证划转客户资金;授信人员、会计人员等未坚持持证上岗制度,未达到岗位要求的人员办理相关专业业务;会计复核、授权等控制行为流于形式;对清算业务、大额支付等业务未坚持事前复核制度;会计检查人员未按规定的时间和规定的方式查库,或查库流于形式;对于同业往来、会计与信贷部门往来的账务未按规定及时进行核对;会计人员、会计主管人员的岗位交接不全、不彻底;事后监督岗位人员素质不高,监督不及时,无监督重点,不能通过事后监督发现和控制操作风险;会计检查针对性不强,未对违规操作形成一定的威慑力。
概括起来讲,中国金融机构操作风险主要表现形式有以下几种。
(1)风险金额巨大,风险损失巨大。
中国商业银行的操作风险损失总体数量、总数额、单笔损失额呈快速上升趋势。2004年,中国工、农、中、建四家国有商业银行发生操作类风险案件300多起,涉案金额4亿多元,同比上升25%。2005年相继爆发了几起操作风险大案要案,如中国银行黑龙江省哈尔滨市河松街支行9亿元人民币存款诈骗案件,以及涉及山西省太原市多家银行的3亿元人民币左右的存款诈骗案等,涉案金额多数无法追回,给银行造成巨大资金损失。
(2)银行内部人员作案占有较高比例。
银行内部人员作案以及银行内部人员与外部人员勾结作案所占比例较高,甚至达到操作风险案件的80%以上。银行工作人员掌握着客户和银行大量的商业秘密,有比较便利的作案环境,只要有作案动机,铤而走险,成功的概率一般较高。
(3)操作风险案件多集中在支行一级的营业机构。
中国目前支行一级的营业机构几乎可以有权办理银行的所有业务品种,是基层银行主要的营业机构,缺乏现场实时有效监督的情况下,支行一级营业机构自然就成为风险案件集中攻击的目标。而总、分行一级机构主要扮演着管理角色,内部管理一般比较规范,不办理具体业务操作,形成操作风险案件的诱因较少;储蓄所等基层网点的业务比较单一,对于金额较大的资金往来容易引起主管部门的关注,案件的隐蔽期较短,极易在短时间内被发现,因此银行的最上级和最下级两级机构操作风险案件发生率较低,中间层的支行一级的发案率较高,呈现出“两头小,中间大”趋势。
(4)风险案件的作案手段呈现出高科技化。
这主要表现在利用计算机技术通过网上银行、自助银行作案的数量和数额逐年增加。如利用虚假银行网站窃取客户密码、账号,利用网上银行测试、摄像偷拍、外接电子设备等盗取客户密码等办理款项支取,其中涉及银行卡的案件、利用计算机系统虚增计息积数、盗用联行在途资金等较多。
(5)操作风险案件的作案人员日趋年轻化。
目前中国部分银行工作人员年龄较低,他们的法律意识比较淡薄,没有形成正确的价值观,易受外部不良因素的影响而走上犯罪道路。
(6)国有商业银行的操作风险案件较多。
在发生过的操作风险案件中,传统国有商业银行多于新兴股份制商业银行,这说明国有商业银行在体制、机制上存在着严重问题,国有商业银行的所有者与经营者之间关系模糊,责任不明,带有浓厚的机关作风。而新兴股份制商业银行重视对操作风险的防范,能够对操作风险进行有效的管理,产权明晰,责任到位。
5.4.2 操作风险的度量方法
最近几年,金融机构对于操作风险的认识得到了迅猛的发展,克鲁兹(Cruz,2000)提出了采用多变量技术进行操作风险评估的判别分析法。金融行业在险价值模型(VaR)已经成为度量市场风险的标准方法,在金融风险管理中的应用日益广泛。通过采用极值理论进行操作风险在险价值模型的分析,将极值理论引入金融机构的操作风险事件中,评估事件的发生概率,进而建立操作风险的VaR模型。关于极值理论的文献很多,其中瑞斯和托马斯(1997),恩布勒希茨、雷斯尼克和萨莫诺得尼斯奇(1998)进行详细理论的论述。
1.极值理论。
极值理论假设存在一个独立同分布的序列{X1,X2,X3……,Xn},该序列服从某个未知的标准分布。如果该序列代表损失,那么该序列数据中的极值就代表最大的损失,使用采用X1,n,X2,n,X3,n,……,Xn,n表示这n个有序随机变量的一个排序,其中X1,n表示这段观测期内的最高值;X2,n为次高,依此类推。
Ynmax{X1,X2,X3……,Xn}(5.12)
极值理论允许放松高斯假设,而操作风险的随机过程不同于市场风险,不能采用正态分布假设。EVT理论可以预测那些从来没有发生过的事件发生的可能性,通过过去数据的随机特征进行未来事件的预测。有助于对这种事件的风险进行度量,而不用关心概率的大小。
费雷歇(Frechet)、康拜尔(Gumbel)和威布尔(Weilbull)采用广义极值分布形式(GEV)来表示。该三参数分布Fμ,ξ,ψ服从正态最大独立同分布随机变量的极限分布。采用公式(5.14)表示。
将位置、规模和形态参数对最大随机变量YX1,n进行标准化,得到标准化极值的分布Z。其中μ和ψ分别是位置和规模参数。
Z(Y-μ)/ψ,z(y-μ)/ψ(5.13)
P(Y≤y)Fμ,ξ,ψ(y)F0,ξ,1(z)exp{-(1+ξz-1/ξ)},1+ξz≥0(5.14)
其中ξ是形态参数,当ξ→0时对应Gumbel分布,当ξ>0时对应Frechet分布,当ξ(0时对应Weibull分布。
如果一个样本的数据序列{X1,X2,X3……,Xn}独立分布于Fμ,ξ,ψ,那么参数估计理论的标准统计方法适用。一般,广义极值分布形式(GEV)相当于全参数假定,而实际分布可能存在厚尾效应,严格的分布假设不太符合实际,可以在假设{X1,X2,X3……,Xn}独立分布于Fμ,ξ,ψ的基础上,将Xi定义为在一个极大吸引域(MDA)上。恩布勒希茨(Embrechts)(1998)进行了详细的论述,在广义极值分布的极大吸引域下的估计方法适用于具有厚尾特征的操作风险数据。
明确操作风险的分布特征后,对于极值理论在操作风险的应用主要通过基于点过程的方法对超过阈值以上的事件进行分析,简称POT方法(Peaks over threshold)。也可以通过考察一定时期的最大事件,进行不同事件段的最大事件的分析,简称最大块法。
2.建立操作损失数据库模型。
根据上面的操作风险类型分析,分别建立不同的操作风险类型模型,积累操作风险的发生的历史数据,并直接采用货币损失额进行量化处理。
3.应用极值理论进行操作风险数据分析。
首先根据历史操作风险损失数据,进行参数估计并拟合各自分布,并检验与实际情况的差异。可以根据分析和图形检验得到最好的拟合分布。常规选择分布一般是正态、指数、对数正态和GEV分布,正态、指数、对数正态分布相对简单,但由于操作数据随时存在严重的厚尾现象,几乎不服从正态分布。在操作风险的分布选择上基本采用GEV分布,GEV分布的参数估计相对比较复杂。
希尔(Hill)针对ξ进行了一般估计,克鲁兹(Cruz,2000)通过采用概率加权矩法(PWM)进行基于GEV分布Fμ,ξ,ψ的矩与基于历史数据的经验矩进行匹配。采用概率加权矩法(PWM)进行规模和位置参数的估计,使用Hill方法进行形态参数的估计。
参数估计后,进行历史数据的风险拟合,通过进行指数分布检验,对数正态分布检验和广义极值分布检验,寻找最好的解释操作损失分布特征的分布,得到操作风险强度数据。
根据数据进行频率模型的拟合,通常选择负二项分布、几何分布、泊松分布和二项分布来进行。由于泊松分布使用简单,并能够进行较好的数据拟合,成为操作风险频率估计中使用最多的分布之一。
4.计算操作风险在险价值。
操作风险的强度和频率获得后,进行总体损失分布的计算,可以得到不同置信水平的操作风险损失数据。采用先进的计算机技术可以快速地进行不同强度和频率数据的卷积。
总体损失分布的有效性可以通过回溯检验来保证操作风险在险价值的正确估计。
5.4.3 操作风险的管理
中国金融集团的操作风险管理系统与信用风险管理和市场风险管理一样,必须根据自身风险偏好进行风险的调整和控制,建立一套风险识别、风险度量、风险控制的流程。