操作风险管理的方法与现状

科学有效的金融风险管理一方面可以保证金融机构健康、持续地运行，另一方面可以降低企业防范风险的资金成本，提高企业的竞争力。

操作风险管理的方法与现状

中国科学院数学与系统科学研究院   樊  欣  杨晓光

背景

风险管理越来越受到金融机构的重视。科学有效的金融风险管理一方面可以保证金融机构健康、持续地运行，另一方面可以降低企业防范风险的资金成本，提高企业的竞争力。目前，金融机构所面临的风险大体可以概括为市场风险(Market Risk)、信用风险(Credit Risk)以及操作风险(Operational Risk)。市场风险是指由于特定的市场风险因素变化而引起的净收入或投资组合价值的波动。信用风险是指由于机构外部的合作伙伴、借款人、供货商违约引起的净收入或者净资产的波动。市场风险和信用风险很早就引起了金融机构的重视，到目前为止都已经有了较为成熟的风险管理技术。虽然操作风险这个概念的提出已有较长的历史，但将其与其他两种风险并列为金融机构面临的三种主要风险则是最近几年的事情。金融管制的放松、金融全球化、金融服务产品的日益丰富以及金融技术的日益复杂，使得金融机构的活动花样繁多，日趋复杂。与信用风险、市场风险相比，操作风险在金融实践中地位日趋彰显。因此，不论是金融监管部门还是金融从业机构，都前所未有地加大了对操作风险的管理和控制的力度。国际银行监管巴塞尔委员会2001年以来连续三次发表长篇咨询报告，与业界磋商如何建立稳妥的操作风险管理和监管机制。在学术界，操作风险的研究也得到长足的发展，出现了一批从不同角度出发的操作风险度量模型，为操作风险的管理提供了较为可靠的基础。

目前我国由于处在经济转轨过程之中，与现代市场经济相适应的法律及各种规章制度建设尚有很多欠缺，公民遵纪守法意识淡薄，加之社会巨变带来的汲汲于富贵的浮躁心理，各种违规和欺诈事件层出不穷。同时，我国的金融机构的管理方法相对落后，管理经验不足，软硬件设备不够先进，发现危机和应对危机的能力均相对低下。因此，操作风险是我国金融机构面临的最主要的风险，操作风险管理对我国的金融机构有着特殊的意义。表1是一些被媒体公开披露的、可以归属为操作风险的损失事件典型案例，从中我们可以看到在我国加强操作风险管理的紧迫性。

随着我国金融市场与金融机构的不断发展，一方面操作风险所处的地位越来越重要，另一方面监管机构也对操作风险的管理提出了要求。因此，理解操作风险的含义并在金融机构内部建立一个完整、有效的操作风险管理框架已经成为当务之急。目前的操作风险管理存在着以下问题：

1.与市场风险、信用风险不同，操作风险的度量和管理技术的发展相对落后，金融机构在操作风险管理方面有心有余而力不足的感觉，没有办法把操作风险管理放到与市场风险管理、信用风险管理同等重要的地位。

2.操作风险管理涉及的内容有些已经成为日常管理的重要部分(例如内部控制)，但是大多数金融机构对操作风险还没有完整、清晰的认识，也还没有建立起一个系统的防范、控制操作风险的框架和机制。

3.大多数企业缺乏建立操作风险度量模型所需要的足够的损失数据。

4.缺乏成熟的数量模型来度量操作风险。

基本概念

操作风险的定义由于考虑范围的不同而有很多种，其中Laycock(1998)给出的较为合理：操作风险是指由于顾客、不足的内部控制、系统或控制失败以及不可控制的事件所引起的收入或者现金流的波动。Basel委员会在2002年的银行操作风险管理文献中给出了另一定义：源于不足或者失败的内部控制、人员、系统或者外部事件的风险，都包含在操作风险之内。这个定义包括了法律风险，但是将策略风险、信誉风险和系统风险排除在外。我们在本文中使用广义的操作风险的定义。按照这个定义，典型的操作风险事件包括：

1.内部欺诈：有机构内部人员参与的诈骗、盗用资产、违犯法律以及公司的规章制度的行为。例如内部人员虚报头寸、内部人员偷盗、在职员的账户上进行内部交易等等。

2.外部欺诈：第三方的诈骗、盗用资产、违犯法律的行为。例如抢劫、伪造、开具空头支票以及黑客行为对计算机系统的损坏。

3.雇用合同以及工作状况带来的风险事件：由于不履行合同或者不符合劳动健康、安全法规所引起的赔偿要求。例如，工人赔偿要求、违反雇员的健康安全规定、有组织的罢工以及各种应对顾客负有的责任。

4.客户、产品以及商业行为引起的风险事件：有意或无意造成的无法满足某一顾客的特定需求，或者是由于产品的性质、设计问题造成的失误。例如受托人违约、滥用秘密的客户信息、银行账户上的不正确的交易行为、洗钱、销售未授权产品等。

5.有形资产的损失：由于灾难性事件或其他事件引起的有形资产的损坏或损失。例如恐怖事件、地震、火灾、洪灾等。

6.经营中断和系统出错：例如软件或者硬件错误、通信问题以及设备老化。

7.涉及执行、交割以及交易过程管理的风险事件：交易失败、过程管理出错、与合作伙伴或卖方的合作失败。例如交易数据输入错误、间接的管理失误、不完备的法律文件、未经批准访问客户账户、合作伙伴的不当操作以及卖方纠纷等。

操作风险的度量模型

度量操作风险的大小是进行操作风险管理的前提，度量模型大体可以分为由上至下法(Top-down Approaches)和由下至上法(Bottom-up Approaches)。由上至下法着眼点在于总体的目标(例如净收入、净资产)，然后考虑风险因素和损失事件对其造成的影响。而由下至上法则将总体目标分解成若干子目标，然后分别考虑风险因素和损失事件对它们的影响。采取由上至下法的模型，一般的步骤是：

1.确定目标变量。

2.确定可以影响目标变量的因素和事件。

3.建立模型，反映目标变量和因素、事件的关系。

4.计算变量的方差，将其中不能被外部因素解释的部分或者能被风险因素解释的部分作为操作风险。

这一类的模型包括证券因素模型、收入模型、开支模型、操作杠杆模型、情景分析、风险概括模型。

证券因素模型(Stock Factor Model)可以用来分析上市公司的操作风险。选取的目标变量是股票的市值，解释变量是一些影响股票市值的因素。

rt＝α＋b1(△P t /P t)＋b2(△P t /P t)＋b3(△P t /P t)＋K＋εt

其中，rt是公司股票的收益率，△P t /P t 是第i个风险因素的收益率，bi代表了对这些因素的敏感程度。我们在确定了影响股票收益的因素以后，可以通过数据回归出模型，然后将股票收益率的方差中不能被模型解释的部分作为由于企业内部管理因素而导致的风险，即操作风险。

收入模型(Income-based Models)的着眼点在于企业的收入。它将企业的历史收入作为目标变量，将企业外部的一些风险因素作为解释变量。这些因素可以是市场因素、行业因素以及信用因素等。与前面的证券模型相同，将这些外部因素不能解释的收入的方差值作为企业的操作风险。在很多情况下，历史数据可能不足，这时可以选取季度甚至月份的收入数据。

开支模型(Expense-based Models)将企业的历史开支和操作风险联系起来。首先收集企业历史上的开支数据，然后调整这些数据以反映企业内部发生的结构性变化，最后将这些开支数据的波动率作为操作风险值，因为开支的波动可能来自操作失误、罚款、经营中的损失。开支模型的特点是简单易行，但是它只能反映部分操作风险，对于信誉风险、机会成本以及影响收入的损失则没有考虑。

操作杠杆模型(Operating Leverage Models)：在企业的经营中，一般可变成本近似地与收入同步增长，因此它对净收入的波动率没有太大的影响。操作杠杆风险是指由于收入波动率和开支波动率的不同所引起的风险，它依赖于资产与运营开支的比率。一般我们选取固定资产和运营开支的简单函数来代表操作杠杆。例如，银行可以将操作杠杆定义为10%的固定资产加上25%的3个月的运营开支。操作杠杆风险是操作风险的一个重要组成部分，但是它丢掉了很多其他方面的操作风险。

情景分析(Scenario Analysis)也是一种由上至下的分析方法，它可以帮助我们定性地理解一些严重的风险因素、损失事件可能对企业带来的冲击，然后制定相应的应急措施以备使用。

风险概况模型(Risk Profiling Models)则是选取一些可以反映企业运行风险状况的指标，连续跟踪这些指标的值，但是并不把它们和某种目标变量联系起来。例如这些指标可以是交易量、操作不当引起的损失、意外报告的数目、人员流失比率、人员空缺率等等，所有可以反映或者预测运行异常的指标都可以包括进来。

自下而上的方法首先考虑企业运转的一些基本要素(例如资产、负债、重要的经营过程、重要的资源等)，然后考虑这些因素的潜在变化可能会对目标变量(以市场方式标价的资产价值、净收入等)带来怎样的影响。模型中一般使用风险因素或特定的损失事件来代表潜在的变化。建立一个由下至上模型的步骤包括：

1.确定目标变量，一般为损益值、成本、净资产价值。

2.确定一些重要的过程和资源或者一些重要的资产和负债。在此过程中，需要牢记：往往大部分的风险蕴含在很少的几个重要过程和资源中。

3.将这些过程和资源映射到一系列我们已经掌握了历史数据的风险因素和损失事件。

4.模拟一定时间范围内的风险因素和损失事件的可能变化，同时也要考虑这些因素和事件之间的依赖关系。对于它们的统计分布，可以使用参数估计，也可以使用蒙特卡罗(Monte Carlo)模拟。

5.使用模拟得出的分布和前面使用的映射关系，给出对目标变量的可能影响。

经常使用的自下而上的模型包括资产负债管理、市场因素模型、精算损失模型、随机模型、操作方差、压力测试、操作清单等。

资产负债管理(Asset-liability Management)可以使用利率相关的历史数据，计算一些对利率敏感的资产和负债的波动情况，从而获得在利率波动的情况下净利润的近似波动。

市场因素模型(Market Factor Models)主要用来衡量可在市场交易的资产的风险，这些资产的价值在很大程度上受到连续的市场因素的影响。在计算出这些市场因素的分布情况后，就可以得出资产的价值分布情况。VaR模型就是一个很好的例子。

精算损失模型(Actuarial Loss Model)主要被保险公司采用，用来估计现金的流入和流出。保险公司根据自己丰富的客户损失记录，可以计算出很多特定的损失事件的频率以及损失程度的分布，然后利用这些数据估计未来的保费收入以及赔偿支出。

随机模型(Casual Model)把历史的损失数据和主观的对损失事件的因果关系假设结合起来，来估计当某一事件发生时特定损失事件发生的条件概率。一般的随机模型包括过错树(Fault Tree)、事件树(Event Tree)、事件模拟(Event Simulation)等。

操作差异(Operational Variance)经常被管理会计用来衡量标准的成本以及实际消耗的成本。我们将实际消耗的成本和标准成本的差异作为操作风险。这样对这个差异进行分析，一方面可以帮助企业控制成本，另一方面也可以从某一特别的差异查找出可能有潜在问题的部门。在实际中，经常将操作差异细分为由交易量引起的差异和每个单位的差异。

压力测试(Stress Test)是一种极端的测试方法，它通过对风险因素或者损失事件的值给定某个极端的值，然后考察在这样的压力下公司的操作风险管理会出现什么样的问题，以检验管理中可能存在的不足。在检验过程中，通常可以忽略风险因素之间的相关性。

操作清单(Operational Checklist)是一种定性地将良好的操作经验从一个地方推广到另外一个地方。它可以为经理提供一系列的问题，通过回答问题可以发现什么可能会出错、这些错误会发生在什么地方、它的重要性以及如何处理它。

完整的操作风险管理过程

操作风险管理不但需要系统地分析造成预期损失(Expected Losses)和未预期损失(Unexpected Losses)的原因，同时也要评估风险，进行风险的预防、降低、转移以及为风险分配资本等工作。操作风险管理的一般步骤包括：

1.    确定风险管理的范围和目标。

高层管理人员在咨询董事会后应当结合企业的经营策略、风险偏好为操作风险管理制定明确的范围和目标。另外，还应当制定一些具体、短期的目标，以保证风险管理工作稳步朝既定目标发展。这些短期目标可以是：

(1)准确地定义一些重要的损失事件并为其命名，这样可以保证在以后的管理工作中更方便地讨论、分析这些风险。

(2)建立一个损失事件日志，为建立定量分析操作风险的模型积累数据。

(3)建立统计模型分析特定损失事件的成因以及它们之间的联系。

(4)进行基于风险的资源配置以及情景分析。

建立一个专门的操作风险管理组织，给予其充分的授权和资源支持。所有的规定、决议、模型应当以文本模式记录下来，并且保证相关人员可以方便地获得。

2.确定重要的风险。

职员在高级管理人员的支持下必须确定哪些是重要的过程、资源和损失事件。操作风险管理的失败在很多情况下是由于包括的内容太广泛，因此在确定的时候需要严格按照高层制定的精确的目标。首先必须对经营中重要的过程和资源有清楚的了解，然后再试图找出可能影响它们的操作风险。查找风险因素一方面可以直接向部门经理调查，另一方面可以通过研究企业内部、外部的损失数据，使用策略框架和与行业内运行较好的企业进行比较。需要特别关注的风险因素包括：操作杠杆、交易范围以及交易量、利率、金融产品和服务的复杂性、日期效应、操作中的变化以及管理中的自满情绪。最后应当确定存在哪些重要的损失事件。

3.对风险进行估计。

使用从各种途径得到的数据估计那些重要的过程、资源中的操作风险，估计的内容不但包括风险导致的冲击的大小，还包括损失事件发生的概率。对于不能定量分析的风险，必须找出这些风险的起因以及可以采取什么样的措施。另外，如果不同风险之间具有重要的依赖关系，还需要对它们的相关性进行估计。用来估计损失事件的频率以及严重程度的有三类方法：历史数据分析、主观风险评价以及根据依赖关系对风险进行估计。更进一步，可以使用统计方法来估计风险因素的频率以及损失程度的分布函数。常用的分布函数有三类：经验分布(Empirical Distribution)、形状分布(Shape Distribution)、参数分布(Parametric Distribution)。最后建立一个操作风险数据库存储对于损失事件的确认和度量结果，以供后面的风险分析和资源分配使用。

4.分析。

在完成上面几步之后，我们已经对企业的各个部门潜在的操作风险有了一个度量结果。接着，需要对这些结果按照以下步骤进行分析：

(1)将这些风险加总。将风险按照事件或者因素加总，可以区分不同风险的先后次序，有效地进行资源配置，评价操作风险管理的执行情况。如果分析的目标是降低收入的波动性，那么只需要将本期的风险加总。如果分析的目标是保护资产负债表或者估计VaR的值，那么加总的范围将涉及到多个时期。

(2)在确定了损失事件的风险以及损失事件所处的经营过程后，负责该过程的风险管理人员就要考虑可行的风险管理措施。

(3)分析单个损失事件。了解引起损失的风险因素的发生概率、冲击大小；了解损失事件发生的先后顺序；确定该损失事件的发生次数随时间变化的趋势；确定可能引发该损失事件的其他事件；对比同类损失事件，以找出共同的风险因素；考虑企业可以在多大程度上控制该损失事件(可控制、可影响、不可控制)，然后考虑可行的措施。

(4)分析具有风险的过程和资源。从整个企业的角度考虑操作风险和资源的分配。

(5)分析重要的风险因素。分析风险因素是否在企业的控制范围之内，如果在企业的控制之下，企业应当设法预报风险，降低风险水平，改变风险因素的分布(例如降低它的方差)或者设法在企业内部抵消这种风险。如果风险因素在企业控制范围之外，那么可以借助保险等手段，将风险转移给一些可以更好处理这种风险的机构。

(6)对风险管理措施进行评价。大多数风险管理措施都具有成本以及副作用。了解它们的成本并且权衡这种成本与管理带来的收益，最后决定是否有必要采取干涉措施。

5.采取措施消除处于经营过程和资源中的风险。

一般采取的措施可以分为：

(1)风险回避和风险因素管理(Risk Avoidance and Factor Management)。风险回避是指企业回避某些具有风险的经营活动甚至完全退出行业。风险因素管理通过降低风险因素水平、改变风险因素分布情况或者改变企业对风险因素的敏感程度来改善经营环境。

(2)损失预报(Loss Prediction)。损失预报的目标在于减少损失的不确定性，具体表现就是灾难性损失和未预期损失的降低。损失预报技术使得管理人员可以更好地估计未来的损失的频率和大小，改善对于重要风险因素的估计，了解哪些事件使得错误更可能发生。

(3)损失预防(Loss Prevention)。损失预防的主要目的是减少损失事件发生的可能性。可以采取的措施包括：重新设计经营过程、重新设计工作、重新设计产品和服务、功能自动化、人体工程学、欺诈的预防与侦测、企业资源规划、基于可靠性的维护。

(4)损失控制(Loss Control)。损失控制的主要作用是降低一些主要损失事件对企业的冲击，而在降低发生频率方面的效果则很有限。因此损失控制对一些发生频率较低、但一旦发生会对企业产生较大冲击的损失事件较为有效，而对那些发生频繁的损失事件作用不大。可以采用的措施包括：存货管理和缓冲、冗余系统、诊断控制、系统内部限制、遵守规章制度、财产安全管理、计算机安全管理、内部外部审计、质量控制。

(5)降低损失以及应急措施(Loss Reduction and Contingency Management)。降低损失是指能够降低损失的严重程度但是并不影响损失发生频率的风险管理措施。降低损失一般适用于一些难以预测的外部事件。降低损失的具体措施可以分为两类：一类是在损失事件发生前制定各种紧急情况下的应急措施(Contingency Management)，另一类是在损失事件发生后通过危机管理(Crisis Management)减轻损失。

(6)风险融资(Risk Financing)。风险融资是指企业将损失事件以一定的费用转移给外部团体或者通过改变资本结构来抵御风险。风险转移的具体形式包括对冲、保险、担保、合约、证券化和项目融资。改变资本结构的具体措施可以是提供更多的资本、降低债务水平、降低操作杠杆、经营分散化、自我保险。

6.对操作风险的监测和报告。

良好、规范的报告制度是风险管理成功的重要前提。对风险进行连续的监测，定期的报告循环机制可以周期性地考察操作风险管理的需求，不断提高管理的有效性。随着金融产品、金融市场的高速发展，风险管理过程中的实际情况也在发生变化，因此持续的监测是任何一个风险管理过程中不可或缺的组成部分。

操作风险管理的发展趋势

在未来的几年中，可以预料到操作风险管理将会呈现以下的发展趋势：

1.金融机构面临的风险中操作风险的比例将会增加。市场风险管理、信用风险管理都已经有了较为成熟的模型和技术，使用复杂的金融衍生产品、先进的数量模型、更为高科技化的交易方式可以在很大程度上降低市场风险和信用风险。但是这些措施的使用往往会增加企业面临的操作风险。

2.越来越多的金融机构将会致力于开发企业内部的操作风险管理框架。这种情况的出现一方面是由于操作风险的地位日益重要，已经成为风险管理中的重点，另一方面则是来自于监管机构的压力。新的Basel协议在资本充足率的定义中已经纳入了操作风险，要求企业度量操作风险并为其分配资本金。由于新协议将在2004年正式实施，留给企业分析风险、收集数据、建立模型的时间已经非常有限。

3.很多的银行将使用内部度量方法(Internal Measurement Approach)来确定资本金。如果银行开发了具有监管机构认可的内部度量方法，那么可以使用它来确定自己的资本金，最低可以达到使用Basel协议中标准方法的75%。因此一个良好的内部度量方法将会降低银行的资本金需求，从而降低银行的资金成本，增强其竞争力。

4.成熟的度量模型将是定性分析与定量计算的很好结合。度量模型的发展可能会按照这样一种顺序：首先企业使用定性风险评估的办法来确定企业目前所面临的操作风险包括哪些、这些风险的重要程度；然后，企业为每一类操作风险选取指标，开始持续对风险进行监测，同时收集建立模型所需要的数据；最后，将定性分析、风险指标、数量模型相结合，以得到一个可以用于资本分配的度量模型。

5.由于单个金融机构的损失事件的记录并不充足，因此无法进行很好的统计分析。所以，很可能会出现同行业内的企业共同分享历史数据记录，或者由监管机构负责建立一个中央数据库以分类统计损失事件，提供统计结果供企业使用。                      ■

[本研究由国家自然科学基金(No. 70071045)资助]