您现在的位置是:首页 > 行业 > 金融 >
BIS统计:90%以上风险事件与IT间接相关
摘要据BIS统计,90%以上的金融风险事件都与IT间接相关,在已经报告的损失事件中,50%以上的事件与IT间接相关。...
1. 引言
银行业的健康发展是社会进步和经济繁荣的基本保障,而能否有效地对银行的各种风险进行科学的管理和防范直接关系到银行的健康发展。随着银行业的产品日趋多元化、业务流程日趋复杂化、人文环境不断变化,操作风险日益受到关注。巴塞尔委员会2002年对操作风险进行的全球性调查数据表明,操作风险损失高达77.95亿欧元。与信用风险、市场风险相比,操作风险管理在金融实践中地位日趋彰显。伴随国家审计署的“审计风暴”和银监会公布的金融机构处理涉案人员的人数、发生经济案件和违规经营案件数,我国业界对银行操作风险的关注程度也日趋深入。不论是金融监管部门,还是金融从业机构,都前所未有地加大了对操作风险的管理和控制的力度。银监会发布的《关于加大防范操作风险工作力度的通知》、《商业银行操作风险管理指引》等文件也说明银行监管机构对操作风险管理系统化、规范化的高度重视。由于我国大多数银行还处在向真正的商业银行转型的过程中,内部控制机制还不完善,因此,操作风险广泛存在,而且也给银行带来了巨大损失。目前,银行业的风险管理研究文献主要集中在信用风险、市场风险、利率风险领域,而操作风险研究由于缺少足够的数据以及成熟的研究方法而罕见报道。此外,操作风险的研究较为匮乏,有关操作风险事件和数据积累也十分贫乏。因此,研究操作风险管理对于丰富操作风险管理的理论研究内容并指导我国银行的风险管理实践具有十分重要的理论意义和现实意义。
2. 操作风险定义与范畴
金融业风险主要划分成信用风险、市场风险、利率风险和操作风险。2004年6月国际清算银行(BIS,Bank of International Settlements)颁布新《巴塞尔新资本协议》,将操作风险引入资本要求框架,并明确指出IT 风险是操作风险的重点。Basel II协议从风险监管的角度将操作风险因素划分为七种类型,包括:内部欺诈;外部欺诈(External fraud);雇员活动和工作场所的安全问题;客户、产品和业务活动的安全问题;银行维系经营的实物资产损坏;业务中断和系统错误;行政、交付和过程管理等。该定义强调资料和数据的易得性、可监控性和可计量性。英国银行家协会(British Banker Association, BBA)主要从人、流程、系统和外部事件四个方面对操作风险进行归类,并划分成24个二级项,并分别针对每个二级项的明细进行了说明,由于其界定更为详细,分类也更为清晰,并且三者之间具有明确的因果关系,人、流程和系统的风险是应对外部事件的基础,因此有助于银行业在操作风险管理上进行优先序的排列。JP Morgan对于操作风险的定义是,操作风险是各公司业务和支持活动中内生的一种风险因素,这类风险表现为各种形式的错误、中断或停滞,可能导致财务损失或者给公司带来其他方面的损害。英国银行家协会(BBA)将操作风险定义为“由于内部程序、人员、系统的不完善或失误,或外部事件造成直接或间接损失的风险”。全球风险专业人员协会定义是:由于组织对政治、税收、监管、政府、社会、竞争等环境因素作出反应时选择不当战略的风险以及在在实现特定战略时由于人、过程和技术等因素而导致的损失,将风险归类为控制性风险、流程风险、名誉风险、人力资源风险、法律风险、收购风险、营销风险、技术风险、税收改变风险、监管变更风险、运营能力风险、安全性风险、项目风险、供应商风险、自然灾害风险、人为灾害风险等16类。该定义不限于银行,对工业、石化及建筑等其他行业也适用,是从企业角度定义操作风险的。
尽管目前对操作风险的界定还不完善,但将操作风险按其损失风险因素划分界定已经得到了国内外理论和实务界的公认,我国现阶段的起步研究基本上也是在此基础上进行的。操作风险可分为由内部因素和外部因素引发的操作风险。内部因素主要包括人员因素、流程因素和系统因素。其中人员因素主要指操作失误、违法行为(员工内部欺诈/内外勾结)、越权行为、违反用工法、关键人员流失。流程因素主要指流程设计不合理、流程执行不严格。系统因素指系统失灵、系统漏洞、数据信息安全等。外部因素主要指外部事件,包括外部欺诈、突发事件(自然灾害、抢劫、工作场所安全等)和经营环境的不利变化。
金融机构的操作风险主要表现在由于顾客、不足的内部控制、系统或控制失败以及不可控制的事件所引起的收入或者现金流的波动。与其他两种风险相比,操作风险主要具有以下特点:(1)因为操作风险主要来源于企业的日常营运,人为因素在引发操作风险的因素中占有直接的、重要的地位。在Basel银行监管委员会定义的7种操作风险损失事件类型种,有6种直接与人为操作有关。广义的操作风险是指除信用风险和市场风险之外的风险,绝大多数的操作风险则更多可以归因于有意或无意的、来自企业内部或外部的人为操作失误。(2)操作风险事件具有发生频率很低、但是一旦发生就会造成极大的损失,甚至危及到银行的存亡的特点。例如,1992-1995年间,巴林银行交易员里森的错误交易以及在出现损失后继续隐瞒,最终给巴林银行带来86000万英镑的损失,致使其破产。1995年,华夏银行3名职员非法拆借3.4亿多元的贷款,致使华夏银行2亿多元资金无法收回。因为以上的两个特性,导致了操作风险难以度量、难以管理。如何使用定量的方法来度量操作风险,将操作风险纳入整个银行的风险管理体系,都是目前待解决的问题。
3. 操作风险的度量方法
操作风险的度量和控制研究在我国有着重要的现实意义。尽管我国商业银行由操作风险引发的损失事件数量较大,但是有关操作风险事件和数据的积累却十分贫乏,给操作风险的度量研究带来很大的困难。造成这种贫乏的原因,一方面是历史的原因,过去对操作风险更多地是从管理制度方面考虑,很少有定量分析的意识,因而不注重历史数据的积累;另一方面是我国商业银行的产权和信息披露制度的原因,银行不但没有压力披露操作风险事件,相反却有主动隐藏风险事件的动机。目前对操作风险采用的度量方法较常用的几种方法有:
(1)统计方法。樊欣,杨晓光等通过从公开媒体报道中所有可能搜集到的国内商业银行的操作风险损失事件,从损失事件类型、业务部门、四大专业银行、区域分布等维度,对操作风险损失事件的频度和幅度进行定量分析,试图对我国银行业目前面临的操作风险的状况给出一个初步的定量概括归纳。从业务部门来分析,需要引起银行注意的是商业银行业务和零售银行业务。这两个部门中,操作风险发生的几率最高,而且一旦发生带来的损失也最大。从损失事件类型来分析,可以发现在我国的商业银行内,操作风险发生的最经常的形式是内部欺诈和外部欺诈以及内外部相勾结的欺诈行为。这类行为一旦发生,一般隐匿事件较长,银行的损失极大。这也说明目前我国商业银行的内部控制机制还不健全,或者说对于内部控制制度的执行还不够严格。操作风险的大小与银行的规模有一定联系,但是并不由其决定。商业银行的风险管理水平以及对内部控制的执行程度决定了操作风险的大小。
(2)基本指标法。基本指标法是指银行持有的操作风险资本应等于前三年总收入的平均值乘上一个固定比例,这个比例通常由巴塞尔委员会设定。这种方法将银行视为一个整体来衡量操作风险, 只分析银行整体的操作风险水平, 而不对其构成进行分析。巴塞尔委员会认为, 基本指标法更适用于进行简单业务活动的国内的小银行,虽然无论银行的复杂程度如何, 都可以采用基本指标法。但不希望大型银行或比较活跃的银行采用基本指标法。
(3)标准法。使用这种方法的银行是数据收集能力和分析能力有限的银行。这种方法将银行业务分为八个不同的产品线, 每个产品线分别确定操作风险的 β值(β是由委员会设定的固定百分数, 建立 8 个产品线中各产品线的总收入与资本要求之间的联系)。先分别计算各个产品线的操作风险资本准备, 然后再将其汇总, 得出整个银行的操作风险及其所需要的资本准备。这种方法虽然比基本指标法对操作风险的衡量更详细一些, 但是它只是基本指标法的简单的延伸, 并没有克服基本指标法的缺陷。
(4)内部衡量法。内部衡量法在标准化方法的基础上进一步对每个业务类别划分了 7 个事故类型。对于每个业务类别 / 事故类型组合(共 56个组合), 银行被允许使用自己的损失数据来计算该组合的期望损失值。这种方法更为细致地考虑了各个产品的操作风险。优势主要在于银行可以采用自身的损失数据去计算应持有的风险资本,这更加真实地反映了银行所承受的操作风险。它的不足之处在于容易造成与金融机构内部的业务单位和损失类型不相匹配。另外,数据的收集也比较困难。
(5)损失分布法。损失分布法的思路是:根据损失资料库中每一种业务类别的损失特征选取拟合度最优的模型,对损失发生的概率和损失程度做出假设,得到操作风险损失在未来时期内的可能分布,比如假设损失发生的概率服从泊松分布,而损失的程度服从对数正态分布,以此来估计该类业务操作风险所需资本金,整个银行操作风险要求的资本金总额是各个业务类别资本金的加总。
(6)记分卡法。在记分卡法下,与内部衡量法和损失分布法相似,银行的业务同样被划分为若干种业务类型和事故类型。银行首先依据行业标准为风险制定一个初始值,然后通过记分卡法不断修正,使其更能反映潜在风险和适应不同业务类型的风险控制环境。与其他高级衡量法相比,记分卡法较少依赖于历史数据,而更多偏重于全面的定性分析,用银行的风险控制能力来反映其资本水平。同时,作为高级衡量法的一种,记分卡法必需建立在良好的定量基础之上,并通过历史数据来确证其风险评估。
4. 操作风险管理过程
最近国际监管者非常关注的就是COSO(Committee of Sponsoring Organization of the Treadway Commission)发布的内部控制统一框架(Internal Control- Integrated Framework)。该框架融合了全面风险管理的内容(Enterprise Risk Management, ERM),在控制环境、风险评估、控制活动、信息与交流、监控等五个方面设计适合每个银行的内部控制框架。操作风险管理的目的就在于加强操作环境中的风险识别与控制,这就需要有一个非常详尽细化的管理框架来设计流程,包括风险识别、评估、分析、控制、监督和报告等环节。在每个环节,有必要制定具体的实施程序和步骤,以增强流程的可操作性。风险识别主要是要辨别各项业务、各业务部门和风险管理过程中的风险状况和风险程度,同时对外部环境和产业的发展趋势进行监测,保证充分识别其面临的操作风险。风险评估环节估计一项操作风险可能发生的概率,判断其可能的影响(包括经济方面的直接影响和对银行目标实现的影响)。从而决定哪些风险应该作为风险缓释的目标;同时通过对操作风险与风险管理战略和政策的比较,判断风险管理政策的有效性。具体的操作风险控制方法包括管理洞察力、信息处理、行为监控、自动化、流程控制、责任分离、绩效指标、政策和程序等。一旦风险和控制措施得到确认,就需要对风险暴露情况进行测算,包括控制措施如何发生作用、风险暴露是否变动和是否需要采取相应的行动等。我国银行的高级管理层应该建立一套操作风险监测程序,通过对风险动因、风险指标、损失事件、因果模型、资本模型和绩效测评等六个方面进行监测,实现对银行面临的所有操作风险的定性和定量评估进行监控,确保风险控制、管理系统的正常运行。风险报告中所包含的信息要能满足各业务经理的需要和对高级管理层提供汇总信息的需要,以便高级管理层对所有业务领域和所有操作风险组合进行整体研究。正如《新资本协议》要求的那样,风险报告要能提示高级管理层银行的主要风险来源和整体风险状况、风险的发展趋势、将来值得关注的地方。
5. IT风险管理
根据Basel II协议,IT风险管理属于操作风险并且是操作风险管理的重点。银行业IT风险管控是银行业稳定运营的重要保障。当前,银行业对信息技术的依赖性日益加强,这使得信息系统的安全性、可靠性和有效性直接关系到整个银行业的安全和金融体系的稳定。银行业IT架构庞大、IT设施复杂、所涉及的机构繁多,技术方面综合了应用系统、操作系统、网络、数据库等多方面组成部分,其中的任何缺陷都会影响整体IT架构的安全。据BIS统计(2002,2003a),90%以上的金融风险事件都与IT间接相关,在已经报告的损失事件中,50%以上的事件与IT间接相关。国际清算银行的Basel II协议要求银行提供新的操作风险报告,并对业务连续性管理等方面提出了明确要求。因此,随着银行业的业务运营对IT系统-的依赖性与日俱增,IT管控作为银行风险防范的重要环节,也亟待加强。下面重点从银行业IT风险管理理论与实践进行综述。
CISR归纳了四类与IT密切相关的业务风险,包括可用性、可访问性、准确性和敏捷性。几乎所有主要的IT决策都要在这四类IT风险中做出权衡,IT经理和业务经理必须了解并结合企业的定位对四类风险进行优先级设定。Ram L.,Anton D. Buttigieg B,等研究把信息相关风险划分成开发和运行两个领域,这种划分模式的缺点在于:银行高级管理层更多地关注新产品和新项目的开发而忽视对运营风险的关注;也不利于综合考虑IT产品和服务的费用、效益以及整体风险。此外,传统的以风险分析、风险识别、风险评估、风险控制为核心的风险管理流程与业务流程之间相互独立,而信息技术风险很难与业务绝对地分开,导致风险管控难以融入到日常管理的各个业务环节中,也导致风险管理可操作性较差。Westerman, George认为有效的IT风险管理能力由IT基础、风险治理过程以及风险意识文化等三方面构成,并通过实证研究证明了具备这三方面核心能力的企业对IT风险框架和风险权衡理解能力更强,同时在风险管理方面更富有成效。Bandyopadhyay等(1999)定义了三个级别的信息技术风险管理:应用级风险、机构内风险和机构之间风险。针对每个级别提出了风险识别、风险分析、风险降低度量和风险监控四个步骤。Moulton和Coles(2003a,2003b)则发展了完整的一套派生自信息安全管理的信息技术风险管理模型。由于银行业面对日益复杂的IT风险场口形式和日益复杂的IT环境,仅依靠传统上的风险管理方法远远不够。因此,需要从IT治理架构和治理机制的角度统筹管理IT风险,通过协调所有利益相关者使机构形成明晰的风险指令,建立具有权威、授权和问责性的架构,并形成一个控制框架。
从银行信息化实践看,2002年,IBM在年度论坛上为中国银行业提出了推动银行流程化与流程标准化的管理,建立全行业的IT治理决策的战略,使得IT治理的观念在国内金融行业首先引起关注。国内金融业对IT治理的需求较高,但是业界的研究仅限于国际标准的落实层面。根据ACI近期的一项调查,尽管多数金融机构的监管机构将IT风险和IT治理作为本年度的工作重点,但是对于IT治理的概念以及监管机构的治理责任却没能达成一致意见,因此,IT治理的应用研究以及实证研究有待深入。URSIT和COBIT提出了较为全面的机构IT控制目标与流程体系,但是由于复杂性,全面推行非常困难,而结合行业实际情况进行的裁减过程却需要对管理体制和流程控制的全面了解。此外,银行机构本身的研究更多地关注实施,因此其研究主要侧重于流程层面和技术层面,多数银行机构尚未建立一套系统地、完整的方法来应对信息技术风险。相关的技术和方法只能针对具体流程实现优化,而缺乏从机制方面进行深入研究,不能在顶层设计的视角上推进措施和驱动方法。因此,银行业作为经营高风险的行业,也迫切需要有效的风险管理模型与方法的指引,而目前针对银行业特征的IT治理模式及实证研究几近于无,这也是需要解决的关键性问题。
6. 研究展望
本文对银行业的操作风险概念与内涵、操作风险度量方法、操作风险管理框架、以及操作风险领域中的IT风险研究进展进行了综述。由于操作风险难以度量、难以管理的特性以及匮乏的数据积累,导致银行业目前还缺乏可操作的操作风险评估框架,因此,如何使用定量的方法来度量操作风险,将操作风险纳入整个银行的风险管理体系,都是目前待解决的问题。由于银行的信息化程度高,业务对IT的依赖程度也非常高,IT风险也是操作风险管理领域的重中之重。如何从IT治理结构和治理机制层面入手,自上而下系统构建有效的银行IT风险管控体系,从而强化IT风险管控能力,也是银行业解决IT风险的重要手段。我国大多数银行还处在向真正的商业银行转型的过程中,内部控制机制很不完善,由于IT风险引发的损失事件时有发生,如何在数据匮乏的情况下采用有效的方法描述银行操作风险的大致轮廓,以其对银行业操作风险的各种属性有更深入的认识,也具有现实的研究意义。
(本文不涉密)
责任编辑: