流程视角下的商业银行操作风险管理研究
出处:论文网
时间:2007-03-06
从流程的角度来考察操作风险,也可以从操作风险的定义中反映出来。巴塞尔委员会的定义是:“由于不当或失败的内部程序、人员和系统或外部事件导致损失的风险”,这一定义包含四类因素,即人员,程序,系统和外部事件,但都通过业务流程发生作用。瑞士信贷集团的定义是“由于以不当或失败的方式操作流程活动而对业务带来负面影响的风险,操作风险也可能是由外部因素造成的”。全球衍生产品研究小组曾经给操作风险下过这样一个定义:“操作风险是指由于控制和系统的不完善、人为的错误或管理不当所导致的损失的风险。”它是从人员、系统和操作流程三个方面对操作风险进行了界定,并且把管理作为防止操作风险的决定性因素。银行操作风险涉及组织的各个方面,主要发生在银行服务的各种流程活动之中,流程中的人、系统和操作程序就成为操作风险管理的重点。因而操作风险管理的重要内容是规范、监视和分析组织内部的各种流程,同时将人和系统的因素考虑到流程之中。
由图2可以看出,风险管理流程作为一项支持性的经常活动,对其它流程有着监督的作用,因而可以将风险管理流程和普通业务流程作为整体来考虑,即对流程的数据、知识和规则建模时,可以对每个业务流程活动和类型进行基于损失数据的风险评估和分析,做到每一个流程活动的流程管理和风险管理。
三、流程视角下的银行内部控制框架
自1992年美国COSO委员会发布《内部控制框架》(简称COSO报告)以来,该内部控制框架已经被世界上许多银行所采用,但理论界和实务界纷纷对内部控制框架提出一些改进建议,强调内部控制框架的建立应与银行的风险管理尤其是操作风险相结合。新的全面风险管理框架就是在1992年的研究成果--《内部控制框架》报告的基础上,结合《萨班斯一奥克斯法案》(Sarbanes-OxleyAct)在报告方面的要求,进行扩展研究得到的。《萨班斯-奥克斯法案》是安然、世通等财务欺诈事件发生后,美国证监会于2002年7月30日颁布并实施的强制所有在美国上市的公司在2006年财年结束前执行的一项内部控制法案,被美国总统布什称为“自罗斯福总统以来美国商业界影响最为深远的改革法案”。该法案要求组织机构使用文档化的财务政策和流程来改善可审计性,并更快地拿出财务报告。要求银行针对产生财务交易的所有流程活动,都做到透明度、控制、通讯、风险管理和诈欺防治,并且这些流程必须详加记录到可追查交易源头的地步。
在传统的劳动分工原则下,职能部门把银行的流程割裂成一个个独立的环节,关注的是单个任务或工作,其结果就是忽视内部控制的动态性、系统性。从流程的视角出发,就需要从顾客需求出发,对银行流程进行系统性的思考分析,或通过对银行流程构成要素的重新分解、组合,以此实现银行流程彻底的改造和重新设计,从而获得银行绩效的持续改进。它不再强调单个工作或任务自身是什么,而是这些工作是如何有效执行的,因为银行的一切经营活动就是一系列富有逻辑关系的流程的有序集成,因而契合于银行整个业务流程的内部控制活动和程序,也将表现出如同流程再造那样必须根据外界需求变化不断检视和调整的系统动态过程,这个过程也体现了银行抵御外部影响而导致操作风险的柔性能力。
进一步看,流程实际上又是由一系列流程活动的集成,也即银行就是一个为满足履行要素使用权交易合约需求而设计的一系列流程活动的集合体。流程活动是通过组织、单位或成员按照一定的流程、活动的要求来完成。为此,内部控制的功能不仅在于通过流程活动的分析,剔除非增值流程活动,实现流程的最优化,而且还要保证最优化的流程有效地运行,并在此基础上根据客户的不断变化的需求产生最优的流程。此时,内部控制实际上进一步彰显其过程化的行为,成为银行最优化、间接和理性的流程活动标准,并按照控制的循环步骤,实现内部控制的目标。其具体过程如下图3所示。
显然,传统的内部控制强调权利与职责的分配、岗位相互之间的牵制等基本理念将受到严重挑战,原有“要素化”的控制方式将会被流程化、系统化的控制机制所取代,也就是说职能控制、岗位控制将被流程控制所替代,从上到下的分权控制将被各个流程活动之间的控制、各个任务之间的控制所替代。在流程视角下,信息流、资金流成为银行经营活动的基本组成要素。为迎合银行业务流程管理和操作风险控制的需要,内部控制实际上将演变成一种最优化、简洁和理性(合乎逻辑)的流程活动方式或流程活动标准,实现资金流和信息流的高度合一,达到控制和规避操作风险的目的。
四、基于流程活动的操作风险度量
巴塞尔新资本协议中将银行业务分为8个产品线,19个二级目录及50多个业务群组,但这种划分只是停留在流程层面,并没有深入到流程活动层面。正确划分银行流程活动,应从银行本身的规模、战略、业务特性和管理特点出发。对流程活动分解的越细,就越容易找到具体的风险驱动因素,从而越能对操作风险进行准确衡量与管理,因此,合乎逻辑的做法是将银行业务划分为产品线,再细分为流程,最后细分到流程活动。
定义、衡量和控制操作风险,不可能对所有的银行流程活动都同样关注,而应该重点关注银行的核心流程活动,对银行的增长和收益没有贡献的非核心的流程及流程活动不应予以考虑。
巴塞尔委员会将操作风险因素划分为7个类型,在此基础上进一步细分为20种、71个具体风险因素。Doerig(2004)将操作风险类型分为5大类,即组织,政策/过程,技术,人员和外部,细分因素有20种;英国银行服务局(FSA , 2002)在其关于操作风险系统和控制的咨询文件(CP142)中将形成操作风险的因素归结为人的因素、过程和系统、外部事件、外部采购和保险等5个方面。尽管细分的风险因素中可能包含几十种,但具体到不同的流程活动,很可能只有几种因素在起作用。
银行业务可以划分为若干个产品线,每个产品线由一组流程组成,而每个流程又由一组关键流程活动ai构成,每个流程活动都有潜在的fj 种风险因素可能导致操作风险。图4所示的流程活动和风险因素的组合显示了基于流程活动的操作风险度量原理。
图4中,横坐标为关键流程活动,纵坐标为风险因素。图中取1的为关键流程活动与风险因素的有效组合,取0表示该组合无效。例如组合(a2, f1)表示在流程活动a2中,风险因素f1不起作用。对于有效组合,可以进行衡量或评估以确定该组合下的风险损失Rij。如果确认了银行业务中的所有关键流程活动ai和风险因素fj,那么就可以得到一个关键流程活动/风险因素组合有效性矩阵,在该矩阵中,有效组合取值为1,无效组合取值为0。
一般地,操作风险度量有两大类方法,即自上而下法和自下而上法。自上而下法基于宏观数据来度量操作风险,不去识别具体的损失事件和原因。自下而上法则是利用具体的事件来决定操作风险的来源并进行度量,属于风险敏感方法。巴塞尔新资本协议中的前两种方法属于自上而下法,第三种方法即高级衡量法属于自下而上法。委员会鼓励银行提高风险管理的复杂程度并采用更加精确的计量方法。基于流程活动的操作风险度量方法将银行业务细分为流程活动,识别每一流程活动中潜在的具体风险因素,在此基础上衡量风险损失,因而属于风险敏感的自下而上方法。
该方法首先确认流程活动和风险因素将银行操作风险暴露分解,EI(i,j)表示第i个流程活动在j类风险因素下的风险暴露;PE(i,j)表示流程活动i在风险因素j下操作风险发生的概率;LGE(i,j)表示流程活动i在风险因素j下的预期损失程度,那么,组合(ai, fj)的操作风险预期损失为:
如果数据是够充分,模型还可以估算出不同风险损失之间的相关系数,从而使计算结果更加准确。基于流程活动的操作风险度量深入到微观的活动层面,对流程活动的各个要素和风险驱动因素进行分析,为银行控制和缓释操作风险提供了依据。
该方法将操作风险度量与管理有机地结合起来。将操作风险度量和管理建立在对银行关键流程活动及潜在风险因素的清晰理解基础之上,它考虑到了每个流程活动/风险因素组合(ai, fj)的损失分布,考虑到了流程活动之间的衔接同样是操作风险的重要来源,考虑到了流程活动与流程活动之间、风险因素与风险因素之间的相关关系,从而保证了衡量的准确性。
五、结论
操作风险的基本定义表明,操作风险主要载体是业务流程,本文研究了流程视角下的操作风险管理,阐述了基于流程的商业银行内部控制和操作风险度量,为进一步“流程银行”的操作风险管理模式研究打下了理论基础。
- 上一篇:商业银行国内保理业务的综合分析
- 下一篇:分行营业网点服务状况调查与思考
