论文部分内容阅读
风险映射与操作风险的识别
操作风险的识别过程实际上就是对金融机构业务活动的各个阶段进行风险映射(risk
mapping),从而识别操作过程中的关键风险因素。风险映射作为操作风险管理的基础,它与市场风险和信用风险不同,它无法针对具体的产品。如果我们不对交易全过程有一个深入的理解,就无法对交易活动的操作风险进行分析。仅以业务单位为基础分析操作风险也是不够的,因为在实际业务活动中,过程某一环节的失败可能导致其他环节的失败,并会使不同的业务单位由于它们介入了同样的业务过程而同时产生损失。风险映射方法的设计要求它能够识别和包含所有相关的风险,这样可以使金融机构在分析操作失败的原因的同时,能够把产生的财务损失后果连结到问题源头的组织。这是商业银行对操作风险进行透明化衡量和报告、对与商业银行风险偏好不相符合的风险暴露进行预测和采取行动的关键。
如图1所示,风险映射是这样一种系统方法,它能够提炼出针对特定任务的关于过程失败的相关信息,同时它也能够提炼多维的风险衡量与管理的指示信息。风险映射的核心通常是围绕“会出什么错”这个问题来展开。这一问题只能在对特定业务过程进行全面分析的基础上才能进行回答。
风险映射对于操作风险管理具有重要的意义。第一,通过风险映射过程可以使我们对特定操作风险事件的成因和后果有一个深入的理解:具体是什么资源失败了(人、过程或系统);问题产生于组织中的哪一部分,组织的其他部分会受到什么影响;这一问题的后果是什么(包括财务及其他后果)。第二,可以通过风险映射活动建立操作风险数据库,或至少是可量化的信息,并用于衡量和管理操作风险:运用统计方法对操作风险的概率和损失后果进行直观的衡量;按照每一个风险的相对重要性,设计关键控制活动,配置相应的资源;识别和计算关键风险指标(key
risk indicator,简称KRI),以便预测风险暴露的变化,对可能产生的问题作出迅捷的反应。
风险映射方法与步骤
在介绍操作风险控制中的风险映射方法之前,我们有必要明确三点:(1)操作风险的导因同时也是金融机构每项活动支配的关键资源:人、过程、技术及外部因素;(2)当这些资源被不恰当的应用于执行某项任务时,就有可能会产生操作性失败,这可能是由于资源的质量和数量(规模和容量)不充分,或在关键阶段不能得到满足;(3)有效的关键风险指标体系应当能够衡量和预测上述资源支配的问题,并指导风险管理者设计关键控制行为来解决这些问题。
风险映射方法揭示了作为操作风险导因的关键资源的核心功能,反映了关键资源的失效与操作风险事件和损失之间的关系,同时它强调关键风险指标应能够对关键资源失效的程度或概率进行直接的衡量,如图2
所示。
操作风险的映射方法包括如下六个步骤:
识别关键活动(过程映射)。这个步骤将会对每一个过程会实施什么业务活动、由哪些部门参与、如何实施等有一个清晰的描绘。这种描绘会使风险管理者专注于检查业务过程,而不至于迷失于组织结构或内部政策。关于过程映射的程度,可以由概括性组织过程透视,过渡到最小工作单位的微小细节,通常采用由高层到低层逐步推进的办法,这样便于风险管理者识别操作过程的关键元素、潜在缺陷和非效率性。
过程映射还将提供业务过程的组织背景的信息。通过过程映射,风险管理者可以对业务过程的所有步骤、实施这些步骤的组织的功能、过程的依赖性、步骤实施的顺序等有一个清晰的认识。与数据图表不同的是,过程映射揭示了实施业务的组织单位以及实施业务时相关信息在组织间的转移过程。
过程映射“图表”还会提供详细的任务操作指南。例如,一个子过程可以伴随一些详细的文件材料,准确地描述执行任務的各相关部门的工作步骤和具体操作指南。这些详细的操作指南还包括什么部门或个人“拥有”这个过程、这个过程的投入和产出、依赖程度等内容。它不仅是一份完整的操作系统文件,也可以用来作为培训的基础资料。
风险导因分析。人、程序、系统及外部因素会对不同的业务活动产生不同的影响。业务管理者可以用来执行其组织职责的主要工具,实际上也就是操作风险的内部导因:人、系统及相关设施。这是业务管理者应当承担管理操作风险的主要职责的根本原因。对业务活动的每一个因素的关联性和功能进行分析,可以使我们理解配置于业务活动的资源如何产生问题、在什么条件下产生问题、为什么会失效。
风险因素分析(数量、质量、关键性等)。在每一个业务活动中,同样的资源会以不同的形式产生问题,这主要取决于所执行任务的性质、特有风险和控制环境等。例如,对某些后台业务活动,业务规模大小可能是操作风险的主要因素;而对于交易前台而言,对核心工作人员的依赖性,可能是其关键的操作风险因素。
识别风险。在分析操作风险因素的基础上,下一步要回答的是“会发生什么问题”。应当保证识别风险的过程中不遗漏任何一个风险。在对所有的风险进行识别和评价之后,在风险映射方法的后续阶段,风险管理者可以决定忽略其中某些风险。但是在识别风险的阶段,所有的风险都应当考虑进去。无论采用什么识别和评价方法,都应当做好书面记载并存档。
识别和分析损失。这一步骤无论是对于将来的操作风险事件分类和统计分析,还是对事前的风险暴露和相应控制行动来说,都是至关重要的一步。尽管在刚开始时,由于缺少可靠的历史损失数据库,对操作损失的识别和分析可能会主要依赖于专家判断,但是风险管理者应当根据实际发生的操作事件,对操作损失估算结果进行及时的更新。操作损失数据库中包含的一些信息可以用于开发对操作风险的情景分析,并充实有限的内部数据。另外,一个可靠的识别和评价操作损失的过程应当考虑操作风险和控制环境的变化,并对其进行量化估算。
识别和分析关键风险指标(KRI)。在上述风险映射的五个步骤的基础上即在识别和分析操作风险的导因、风险因素、潜在损失并其按照可预测程度进行排序的基础上,我们可以识别操作风险的关键风险指标。关键风险指标的选择应当具有如下特性:(1)相关性,指标应当与操作失败的频率及损失的严重程度具有很强的相关关系;(2)非多余性,即如果有两个指标具有极强的相关关系,则只选择考虑其中一个;(3)可测性,即风险指标应当是尽可能的客观、独立、可量化、可证实;(4)便于监控和稽查,即对指标的追踪应当不至于太繁琐、费用过大,风险指标及其来源于应当说予以恰当的记载,便于将来的核查。
风险映射方法的具体应用
为了便于对上述关于风险映射方法和步骤的理解,这里列举两个商业银行的具体业务,进行一些针对性的分析,一是以前台部门为主的交易谈判,另一个是以后台部门为主的贷款合同的款项支付。
风险映射方法在交易谈判环节中的应用
表1对风险映射方法在业务谈判与达成交易阶段的应用进行了概述。在该例中,关于“人”的维度的操作风险可能是最相关的风险导因,因为这种业务活动即使有很好的技术支持,也还是需要大量人员参与的,而且人员失误的潜在后果就表现为操作风险。这种业务活动的操作风险与人高度相关的另一个原因是这个行业“赢者通吃”的特性。极少数顶级交易或业务人员,在他们手里集中着最多的业务和客户关系。这导致金融机构的某些业务严重依赖于少数关键人物。对这一点,金融机构应当进行谨慎的管理和监控,关注业务活动的集中指数。
从业务活动的过程角度来看,因为业务谈判是一项非标准化的活动,具有较大灵活性,因此,审批和授权程序是至关重要的风险因素。如果缺乏有效的审批程序,无论是对现有产品还是未来的新产品,都可能会导致业务损失、达成的交易不符合客户的需要、交易未得到授权。新产品数量、产品复杂程度等可以用来作为监控现有程序应对业务活动的能力的关键指标。
尽管技术不是这类业务活动的操作风险的最重要导因,但技术同样会在这一阶段产生一些问题,如处理速度过慢、扭曲和阻碍正确的交易指令输入和记录等。为了预测类似问题,并在它们变得非常严重之前作出行动,应当对系统容量、出错率、停机时间、业务持续方案的有效性进行监控。
风险映射方法在贷款款项支付环节的应用
表2概述了一项商业银行后台业务——贷款款项支付环节的风险映射过程。由于后台业务活动取决于前台的交易规模,因此后台的操作风险导因主要是人员、过程和技术的胜任能力和质量。这其中的一些关键指标既可以用来衡量业绩,也可以衡量操作风险的暴露状况。这也意味着风险管理者在处理后台业务活动时,常常是既要进行风险管理,又要负责绩效评价,而通常情况下他们很难处理好二者的关系。
在本例中,大多数关键风险指标(如积压未支付信贷业务、差错率、支付失败与延迟)既可以用于风险管理,也可以用于管理控制。但是我们应当了解的是,风险管理者主要关心操作风险事件发生之前关键指标的预警功能,而很少关心其衡量绩效的能力。例如,积压未付款的借贷合同(比如,由于临时的IT功能性故障),当其呈现一定的稳定状态并有规律性的拖延一段时间后得到处理时,绩效管理专家会对此感兴趣,但可能不会引起风险管理者的关注,除非这一问题发生无缘由的急剧上升并且完全与以往经验不相符时,风险管理者才会加以重视。
(作者单位:中国社会科学院金融研究所博士后流动站大连银行发展规划部)
操作风险的识别过程实际上就是对金融机构业务活动的各个阶段进行风险映射(risk
mapping),从而识别操作过程中的关键风险因素。风险映射作为操作风险管理的基础,它与市场风险和信用风险不同,它无法针对具体的产品。如果我们不对交易全过程有一个深入的理解,就无法对交易活动的操作风险进行分析。仅以业务单位为基础分析操作风险也是不够的,因为在实际业务活动中,过程某一环节的失败可能导致其他环节的失败,并会使不同的业务单位由于它们介入了同样的业务过程而同时产生损失。风险映射方法的设计要求它能够识别和包含所有相关的风险,这样可以使金融机构在分析操作失败的原因的同时,能够把产生的财务损失后果连结到问题源头的组织。这是商业银行对操作风险进行透明化衡量和报告、对与商业银行风险偏好不相符合的风险暴露进行预测和采取行动的关键。
如图1所示,风险映射是这样一种系统方法,它能够提炼出针对特定任务的关于过程失败的相关信息,同时它也能够提炼多维的风险衡量与管理的指示信息。风险映射的核心通常是围绕“会出什么错”这个问题来展开。这一问题只能在对特定业务过程进行全面分析的基础上才能进行回答。
风险映射对于操作风险管理具有重要的意义。第一,通过风险映射过程可以使我们对特定操作风险事件的成因和后果有一个深入的理解:具体是什么资源失败了(人、过程或系统);问题产生于组织中的哪一部分,组织的其他部分会受到什么影响;这一问题的后果是什么(包括财务及其他后果)。第二,可以通过风险映射活动建立操作风险数据库,或至少是可量化的信息,并用于衡量和管理操作风险:运用统计方法对操作风险的概率和损失后果进行直观的衡量;按照每一个风险的相对重要性,设计关键控制活动,配置相应的资源;识别和计算关键风险指标(key
risk indicator,简称KRI),以便预测风险暴露的变化,对可能产生的问题作出迅捷的反应。
风险映射方法与步骤
在介绍操作风险控制中的风险映射方法之前,我们有必要明确三点:(1)操作风险的导因同时也是金融机构每项活动支配的关键资源:人、过程、技术及外部因素;(2)当这些资源被不恰当的应用于执行某项任务时,就有可能会产生操作性失败,这可能是由于资源的质量和数量(规模和容量)不充分,或在关键阶段不能得到满足;(3)有效的关键风险指标体系应当能够衡量和预测上述资源支配的问题,并指导风险管理者设计关键控制行为来解决这些问题。
风险映射方法揭示了作为操作风险导因的关键资源的核心功能,反映了关键资源的失效与操作风险事件和损失之间的关系,同时它强调关键风险指标应能够对关键资源失效的程度或概率进行直接的衡量,如图2
所示。
操作风险的映射方法包括如下六个步骤:
识别关键活动(过程映射)。这个步骤将会对每一个过程会实施什么业务活动、由哪些部门参与、如何实施等有一个清晰的描绘。这种描绘会使风险管理者专注于检查业务过程,而不至于迷失于组织结构或内部政策。关于过程映射的程度,可以由概括性组织过程透视,过渡到最小工作单位的微小细节,通常采用由高层到低层逐步推进的办法,这样便于风险管理者识别操作过程的关键元素、潜在缺陷和非效率性。
过程映射还将提供业务过程的组织背景的信息。通过过程映射,风险管理者可以对业务过程的所有步骤、实施这些步骤的组织的功能、过程的依赖性、步骤实施的顺序等有一个清晰的认识。与数据图表不同的是,过程映射揭示了实施业务的组织单位以及实施业务时相关信息在组织间的转移过程。
过程映射“图表”还会提供详细的任务操作指南。例如,一个子过程可以伴随一些详细的文件材料,准确地描述执行任務的各相关部门的工作步骤和具体操作指南。这些详细的操作指南还包括什么部门或个人“拥有”这个过程、这个过程的投入和产出、依赖程度等内容。它不仅是一份完整的操作系统文件,也可以用来作为培训的基础资料。
风险导因分析。人、程序、系统及外部因素会对不同的业务活动产生不同的影响。业务管理者可以用来执行其组织职责的主要工具,实际上也就是操作风险的内部导因:人、系统及相关设施。这是业务管理者应当承担管理操作风险的主要职责的根本原因。对业务活动的每一个因素的关联性和功能进行分析,可以使我们理解配置于业务活动的资源如何产生问题、在什么条件下产生问题、为什么会失效。
风险因素分析(数量、质量、关键性等)。在每一个业务活动中,同样的资源会以不同的形式产生问题,这主要取决于所执行任务的性质、特有风险和控制环境等。例如,对某些后台业务活动,业务规模大小可能是操作风险的主要因素;而对于交易前台而言,对核心工作人员的依赖性,可能是其关键的操作风险因素。
识别风险。在分析操作风险因素的基础上,下一步要回答的是“会发生什么问题”。应当保证识别风险的过程中不遗漏任何一个风险。在对所有的风险进行识别和评价之后,在风险映射方法的后续阶段,风险管理者可以决定忽略其中某些风险。但是在识别风险的阶段,所有的风险都应当考虑进去。无论采用什么识别和评价方法,都应当做好书面记载并存档。
识别和分析损失。这一步骤无论是对于将来的操作风险事件分类和统计分析,还是对事前的风险暴露和相应控制行动来说,都是至关重要的一步。尽管在刚开始时,由于缺少可靠的历史损失数据库,对操作损失的识别和分析可能会主要依赖于专家判断,但是风险管理者应当根据实际发生的操作事件,对操作损失估算结果进行及时的更新。操作损失数据库中包含的一些信息可以用于开发对操作风险的情景分析,并充实有限的内部数据。另外,一个可靠的识别和评价操作损失的过程应当考虑操作风险和控制环境的变化,并对其进行量化估算。
识别和分析关键风险指标(KRI)。在上述风险映射的五个步骤的基础上即在识别和分析操作风险的导因、风险因素、潜在损失并其按照可预测程度进行排序的基础上,我们可以识别操作风险的关键风险指标。关键风险指标的选择应当具有如下特性:(1)相关性,指标应当与操作失败的频率及损失的严重程度具有很强的相关关系;(2)非多余性,即如果有两个指标具有极强的相关关系,则只选择考虑其中一个;(3)可测性,即风险指标应当是尽可能的客观、独立、可量化、可证实;(4)便于监控和稽查,即对指标的追踪应当不至于太繁琐、费用过大,风险指标及其来源于应当说予以恰当的记载,便于将来的核查。
风险映射方法的具体应用
为了便于对上述关于风险映射方法和步骤的理解,这里列举两个商业银行的具体业务,进行一些针对性的分析,一是以前台部门为主的交易谈判,另一个是以后台部门为主的贷款合同的款项支付。
风险映射方法在交易谈判环节中的应用
表1对风险映射方法在业务谈判与达成交易阶段的应用进行了概述。在该例中,关于“人”的维度的操作风险可能是最相关的风险导因,因为这种业务活动即使有很好的技术支持,也还是需要大量人员参与的,而且人员失误的潜在后果就表现为操作风险。这种业务活动的操作风险与人高度相关的另一个原因是这个行业“赢者通吃”的特性。极少数顶级交易或业务人员,在他们手里集中着最多的业务和客户关系。这导致金融机构的某些业务严重依赖于少数关键人物。对这一点,金融机构应当进行谨慎的管理和监控,关注业务活动的集中指数。
从业务活动的过程角度来看,因为业务谈判是一项非标准化的活动,具有较大灵活性,因此,审批和授权程序是至关重要的风险因素。如果缺乏有效的审批程序,无论是对现有产品还是未来的新产品,都可能会导致业务损失、达成的交易不符合客户的需要、交易未得到授权。新产品数量、产品复杂程度等可以用来作为监控现有程序应对业务活动的能力的关键指标。
尽管技术不是这类业务活动的操作风险的最重要导因,但技术同样会在这一阶段产生一些问题,如处理速度过慢、扭曲和阻碍正确的交易指令输入和记录等。为了预测类似问题,并在它们变得非常严重之前作出行动,应当对系统容量、出错率、停机时间、业务持续方案的有效性进行监控。
风险映射方法在贷款款项支付环节的应用
表2概述了一项商业银行后台业务——贷款款项支付环节的风险映射过程。由于后台业务活动取决于前台的交易规模,因此后台的操作风险导因主要是人员、过程和技术的胜任能力和质量。这其中的一些关键指标既可以用来衡量业绩,也可以衡量操作风险的暴露状况。这也意味着风险管理者在处理后台业务活动时,常常是既要进行风险管理,又要负责绩效评价,而通常情况下他们很难处理好二者的关系。
在本例中,大多数关键风险指标(如积压未支付信贷业务、差错率、支付失败与延迟)既可以用于风险管理,也可以用于管理控制。但是我们应当了解的是,风险管理者主要关心操作风险事件发生之前关键指标的预警功能,而很少关心其衡量绩效的能力。例如,积压未付款的借贷合同(比如,由于临时的IT功能性故障),当其呈现一定的稳定状态并有规律性的拖延一段时间后得到处理时,绩效管理专家会对此感兴趣,但可能不会引起风险管理者的关注,除非这一问题发生无缘由的急剧上升并且完全与以往经验不相符时,风险管理者才会加以重视。
(作者单位:中国社会科学院金融研究所博士后流动站大连银行发展规划部)