新巴塞爾協(xié)議與操作風險監(jiān)管原則

1、 HYPERLINK / 新巴塞爾協(xié)議和操作風險監(jiān)管原則新巴塞爾協(xié)議和操作風險監(jiān)管原則鐘偉 沈聞一摘要：一個典型的全面風險治理框架應該包含辨識和定義公司所面臨的風險，評估它們的強度，使用各種手段來緩釋風險，同時為潛在的損失配置資本和計提預備等差不多要素，目前國際上優(yōu)秀的商業(yè)銀行要緊是通過建立各種模型來完善風險治理系統(tǒng)的，然而不是所有的風險都能夠?qū)ｉT容易地被量化同時納入模型之中。 2001年9月，巴塞爾推出的新協(xié)議對操作風險提出了明確的定義、專門的法定資本金計提規(guī)定以及風險治理的差不多框架，同時在新巴塞爾協(xié)議的三大支柱中，都體現(xiàn)了對操作風險的監(jiān)管原則，這反映了監(jiān)管機構關于操作風險的日益重視。本文

2、側(cè)重討論介紹操作風險的類型和各國新近實踐的基礎上，就新巴塞爾協(xié)議的三大支柱中，對操作風險監(jiān)管的原則、組織架構和流程進行了初步討論，以期對國內(nèi)銀行業(yè)的操作風險治理提供可借鑒的素材。關鍵詞：新巴塞爾協(xié)議 三大支柱 操作風險 監(jiān)管原則一、 操作風險類型及對銀行的阻礙 1、操作風險的定義與類型與市場風險治理和信用風險治理不同，對操作風險的關注和研究是近幾年才開始的，90年代后，金融創(chuàng)新層出不窮，商業(yè)銀行的盈利空間在迅速擴大的同時伴隨的操作風險也日益嚴峻，類似巴林銀行“李森”事件的低頻高危事件顯示出，即使商業(yè)銀行符合資本充足率的要求，也可能因為操作風險而陷入經(jīng)營困境，甚至導致破產(chǎn)。近年來，大量的操作風險

3、損失，過程自動化，電子商務，行業(yè)競爭，全球化，公司治理，大量并購等驅(qū)動因素和全面風險治理及監(jiān)管的要求，促使各國政府及金融機構在宏觀經(jīng)濟和金融體系中不斷尋求合理、高效的風險治理方法，以完善和鞏固本國的金融體系。同樣有味的是，與定義相對清晰的市場風險和信用風險相比，操作風險的定義一直在不斷進展，操作風險的定義方法存在著廣義和狹義兩種。廣義的觀點認為，市場風險和信用風險以外的所有風險均視為操作風險。這種定義最大的優(yōu)勢在于涵蓋了所有除市場和信用風險以外的剩余風險，但該定義對操作風險的治理和計量而言幾乎毫無意義。狹義的觀點認為，只有與金融機構中運營部門相關的風險才是操作風險。近年來，廣義的定義逐漸被狹義

4、的定義所取代。JP Morgan關于操作風險的定義是，操作風險是各公司業(yè)務和支持活動中內(nèi)生的一種風險因素，這類風險表現(xiàn)為各種形式的錯誤、中斷或停滯，可能導致財務損失或者給公司帶來其他方面的損害。英國銀行家協(xié)會（BBA）將操作風險定義為“由于內(nèi)部程序、人員、系統(tǒng)的不完善或失誤，或外部事件造成直接或間接損失的風險”，從1998年至今，巴塞爾委員會對操作風險的定義均沿用了BBA的定義 。操作風險按風險類型能夠分為四種，分不為內(nèi)部操作流程，人為因素，體制因素和外部事件；按風險因素能夠分為七種類型，包括：內(nèi)部欺詐（Internal fraud）；外部欺詐（External fraud）；雇員活動和工作場

5、所的安全問題（Employment practices and workplace safety）；客戶、產(chǎn)品和業(yè)務活動的安全問題（Clients, products & business practices）；銀行維系經(jīng)營的實物資產(chǎn)損壞（Damage to physical assets）；業(yè)務中斷和系統(tǒng)錯誤（Business disruption and system failures）；行政、交付和過程治理（Execution, delivery & process management）等 。下表給出了新巴塞爾協(xié)議中三大風險的簡要分類情況。表1：操作風險與市場風險及信用風險的區(qū)不 市場

6、風險 信用風險 操作風險風險類型 利率風險匯率風險股東權益風險存貨風險 違約風險集中決策風險信用惡化風險授信風險 內(nèi)部操作風險人的風險體制風險外部事件風險風險因素 差不多點價值及其時刻波動曲線 信用狀況變動矩陣違約率違約損失率 內(nèi)部欺詐外部欺詐雇員活動和工作場所的安全問題客戶、產(chǎn)品和業(yè)務活動的安全問題銀行維系經(jīng)營的實物資產(chǎn)損壞業(yè)務中斷和系統(tǒng)錯誤行政、交付和過程治理資料來源：作者依照1996年以來巴塞爾委員會的文件整理而成。2、操作風險和銀行全面風險治理跨國銀行重新審視和關注操作風險，正是由于它已成為風險治理中的薄弱環(huán)節(jié)。英國銀行家協(xié)會（BBA）和Coopers&Lybrand曾經(jīng)在BBA成員中

7、進行了一次調(diào)查，針對45個BBA成員（這差不多足夠反映英國銀行業(yè)的差不多狀況）的報告顯示，多于67%的銀行認為操作風險與市場風險和信用風險同樣（或更加）顯著，24%的銀行在過去3年中遭受過大于100萬英鎊的損失 。此外，在BBA，ISDA，RMA所作的全球性調(diào)查中（該調(diào)查覆蓋了54%的全球性大規(guī)模銀行，5%的投資銀行，5%的資產(chǎn)治理公司，9%的財務公司和27%的現(xiàn)金中心和零售銀行），發(fā)覺已有84%的銀行實行了操作風險治理，其中30家機構有自己的操作風險定義和政策，24家機構對跨國公司操作風險進行評估，22家機構將操作風險與信用風險和市場風險相聯(lián)系，19家機構執(zhí)行和進展了操作風險自我評估體系，1

8、8家機構進行了操作風險治理訓練。有80%的機構進展了量化操作風險的方法。但金融機構對操作風險定量治理仍然持相當保守的態(tài)度，有24家機構認為定性方法有益于操作風險評估，但卻只有15家機構認為定量方法有益于操作風險評估。因此國際金融行業(yè)報告的操作風險損失仍達70億美元之多。從當前情況來年，盡管沒有任何一種操作風險計量方法被普遍同意，然而大多數(shù)機構都將其作為以后的選擇，并試圖將起納入到全面風險治理的框架中 。二、 進展中的操作風險監(jiān)管原則1、巴塞爾委員會對操作風險監(jiān)管的持續(xù)關注盡管對操作風險的定義和量化存在許多困難，但在操作風險正式被納入新巴塞爾協(xié)議資本充足率要求之前，對操作風險監(jiān)管的討論已得到相當

9、重視?？偨Y近十多年來巴塞爾委員會在此方面研究的進展，代表性文獻包括：計算機和電訊系統(tǒng)中的風險（1989年7月）、衍生產(chǎn)品風險治理指引（1994年7月）、電子銀行和電子貨幣業(yè)務的風險治理（1998年3月）等文件中都涉及了操作風險監(jiān)管方法。1998年9月，巴塞爾銀行監(jiān)管委員會首次公布了操作風險治理的咨詢文件，著重強調(diào)了操縱銀行操作風險的重要性。1999年6月，在新巴塞爾協(xié)議中，操作風險正式與信用風險、市場風險一起納入到資本充足率的計算框架中，并強調(diào)，“巴塞爾委員會認為操作風險關于銀行來講日趨重要，銀行有必要投入足夠的資源來對其進行定量分析，并將其納入衡量資本充足的范圍”。從而引起了金融業(yè)、專家學者

10、和各國監(jiān)管當局對操作風險的廣泛關注和討論。2001年1月和2001年9月，在巴塞爾銀行監(jiān)管委員會提出的關于操作風險衡量的咨詢文件和最終文件中進一步指出，“銀行應當披露更為詳細的操作風險的信息”，并提供了三種計算操作風險資本的方法：差不多指標法（Basic Indicator Approach）、標準法（Standardized Approach），以及高級衡量法(Advanced Measurement Approach，AMA法)。這三種方法在復雜性和風險敏感度方面漸次加強。2003年2月,巴塞爾又公布了對操作風險進行治理的十條原則，供跨國銀行進行討論。2、各國對操作風險監(jiān)管的新近實踐在巴塞

11、爾委員會的示范性作用之下，各國政府和金融機構也逐漸將操作風險監(jiān)管提上議程。新近各國在操作風險監(jiān)管原則方面較為重要的實踐包括：2002 年6月，美國的Sarbanes-Oxley法案第302條提出建立有效的操縱程序以確保提交資料的正確性，并對有簽字權的官員的職責提出了一系列的要求；第404條提出建立有效的操縱程序以確保財政報告的準確性 。2002年7月英國金融服務治理局FSA（Financial Service Authority）在一系列咨詢文件的基礎上，布了關于操作風險系統(tǒng)和操縱的文件（簡稱CP142） ，預備在綜合各方意見后實施。文件的內(nèi)容要緊涉及兩方面，一是對操作風險的內(nèi)容治理，二是對操

12、作風險的流程治理。在內(nèi)容治理上，CP142采納SYSC（Senior Management Arrangements, Systems and Controls）的方法來治理操縱形成操作風險的因素，包括人的因素、過程和系統(tǒng)、外部事件及其他變化、外部采購和保險。在流程治理上，F(xiàn)SA建議使用PSB（Integrated Prudential Sourcebook）方法，要緊包括風險識不、評估、監(jiān)測、操縱和記錄。 2003年7月，美國聞名的職業(yè)監(jiān)管機構COSO（Committee of Sponsoring Organizations of the Treadway Commission）在1992

13、年公布的內(nèi)部操縱統(tǒng)一框架基礎上，公布完成了全面風險治理框架（Enterprise Risk Management Framework）（下稱ERM框架）（草案），并公開向業(yè)界征求意見。不僅如此，銀行機構自身也逐漸將操作風險治理納入到全面風險治理的框架中來，Rabobank在internet上公開發(fā)表引入全面治理的操作風險框架。在Robobank的框架中，所有的風險都被納入處理框架，而且最后各種風險均受到操作風險的阻礙。在這種質(zhì)量型風險治理方法中，關于規(guī)模因子（風險暴露）的確定，既能夠用現(xiàn)成公式計算，也能夠從風險預警指標中獲得，然后站在職員和治理層的角度加以修正，通過內(nèi)部審計和監(jiān)督的引入，結果的

14、客觀性可在專門大程度上得到保證。只要對內(nèi)部評級的質(zhì)量產(chǎn)生懷疑，便可立即在內(nèi)部評級模型中加入一個新因素并進行修正評定 。能夠認為，遵循操作風險監(jiān)管原則，運用量化工具，將操作風險納入全面風險治理已成為幾乎難以逆轉(zhuǎn)的趨勢。在操作風險被日益重視和廣泛討論的基礎之上，越來越多的風險治理專家認為，即使是使用高級衡量法得到的監(jiān)管資本也存在一定缺陷，不能孤立地看待操作風險，在操作風險與信用風險、市場風險之間，以及各種操作風險相互之間，都存在著緊密的聯(lián)系。正是如此，巴塞爾銀行監(jiān)管委員會認為，銀行監(jiān)管者應該要求所有的銀行（不管其大?。┲贫ㄓ行У闹贫葋碜R不、評估、監(jiān)測和操縱/緩釋低頻高危類型的重大操作風險，同時與市

15、場風險和信用風險一起，作為全面風險治理方法的一部分。三、操作風險監(jiān)管與新巴塞爾協(xié)議的第一支柱1、操作風險監(jiān)管和新巴塞爾三大支柱的關系新巴塞爾資本協(xié)議的要緊內(nèi)容可概括為三部分：一是最低資本要求（Minimum Capital Requirement），包括信用風險、市場風險和操作風險三大風險；二是監(jiān)管檢查(Supervisory Review Of Capital Adequacy)；三是市場紀律(Market Discipline)，這確實是互為補充的三大支柱。操作風險在新巴塞爾協(xié)議的三大支柱都有其關鍵角色。就操作風險和第一支柱的關系來看，巴塞爾委員會希望借由第一支柱最低資本要求規(guī)范和一系列風

16、險測量與治理的定性和定量規(guī)范，判定銀行是否取得特定評估方法的使用資格。就操作風險和第二支柱的關系來看，巴塞爾委員會建議，監(jiān)管機構應透過第二支柱，依據(jù)各個機構操縱環(huán)境進行評估，并加以定量規(guī)范。第二支柱明確規(guī)定：銀行必須就機構風險全貌評估所需經(jīng)濟資本，且這項評估程序必須經(jīng)由監(jiān)管機構審查。當銀行資本評估程序不當或資本配置不足時，監(jiān)管機構將會要求銀行采取補救措施。巴塞爾委員會將提供資本評估程序的指導方針和標準。就操作風險和第三支柱的關系來看，第三支柱市場紀律強調(diào)透過資本配置和其他監(jiān)管途徑，提升銀行和金融體系安全和穩(wěn)健運營的能力。市場紀律提供銀行以安全、穩(wěn)健及有效率的態(tài)度經(jīng)營業(yè)務，并持有適量資本對抗以后

17、因風險導致機構蒙受潛在損失等誘因。就執(zhí)行層面而言，銀行應當定期公開披露信息，如操作風險治理和操縱的流程、法定資本配置方法等。就操作風險測量和治理進行嚴格審查方面而言，銀行能夠披露操作損失信息，這類披露有可能成為使用內(nèi)部計量法的資格標準之一 。2、操作風險監(jiān)管和第一支柱：資本充足率在第一支柱中，新協(xié)議明確提出將操作風險納入資本監(jiān)管的范疇，立即操作風險作為銀行資本比率分母的一部分。新巴塞爾協(xié)議提供了三種計算操作風險資本金的方法：差不多指標法（Basic Indicator Approach）、標準法（Standardized Approach），以及高級衡量法(Advanced Measureme

18、nt Approach，AMA法)。監(jiān)管當局的任務是依照嚴格的標準認定銀行使用操作風險資本計提的資格，并始終監(jiān)管其操作風險資本配置過程。第一種操作風險資本配置要求是差不多指標法。差不多指標法的差不多思路是，銀行所持有的操作風險資本配置應等于前三年總收入的平均值乘上一個固定比例。第二種操作風險資本配置要求是標準法。在標準法中，銀行的業(yè)務分為8個業(yè)務類不：公司金融、交易和銷售、零售銀行業(yè)務、商業(yè)銀行業(yè)務、支付和清算、代理服務、資產(chǎn)治理，以及零售經(jīng)紀，其中每一類業(yè)務類不適用的一個特定系數(shù)。資本計算公式為各類業(yè)務以特定系數(shù)為權重的加權平均。實施標準法的前提是必須滿足一系列標準，以便于監(jiān)管部門監(jiān)管。大致

19、而言，可分為以下七個方面：1、銀行的操作風險治理系統(tǒng)必須對操作風險治理進行明確的職責界定。2、作為銀行內(nèi)部操作風險評估系統(tǒng)的一部分，銀行必須系統(tǒng)地跟蹤與操作風險相關的數(shù)據(jù)，包括各業(yè)務類不發(fā)生的巨額損失。3、必須定期向業(yè)務治理層、高級治理層和董事會報告操作風險暴露情況，包括重大操作損失。4、銀行的操作風險治理系統(tǒng)必須文件齊備。5、銀行的操作風險治理流程和評估系統(tǒng)必須同意驗證和定期獨立審查。6、銀行操作風險評估系統(tǒng)(包括內(nèi)部驗證程序)必須同意外部審計師和/或監(jiān)管當局的定期審查。7、關于如何將當前業(yè)務類不總收入列入標準法規(guī)定的類不，銀行必須制定具體的政策和成文標準 。第三種操作風險資本配置要求是高級

20、衡量法（AMA）。AMA包括內(nèi)部衡量法（Internal Measurement Approaches）、損失分布法（Loss Distribution Approaches）和計分卡法（Scorecard Approaches）。關于運用AMA法的定性和定量原則方面，考慮到操作風險分析方法的連續(xù)進展，巴塞爾委員會盡管并沒有具體指定運用AMA的使用條件，以使商業(yè)銀行在運用AMA時具有充分彈性。然而，在運用AMA的進程中，銀行必須嚴格保持方法的設計及其驗證兩套體系的獨立性。巴塞爾委員會將在2006年復查各個銀行的執(zhí)行情況。除了與標準法相近的一系列定性原則，在定量原則方面，新巴塞爾協(xié)議指出了使用A

21、MA方法等監(jiān)管過程細節(jié)，即：1、關于內(nèi)部數(shù)據(jù)，當銀行首次使用AMA的時候，三年的歷史數(shù)據(jù)是最起碼的前提。2、關于外部數(shù)據(jù)，這些外部數(shù)據(jù)庫應該包括損失的真實量，時刻造成的阻礙的范圍、緣故和環(huán)境因素等信息。3、關于情景分析，銀行必須使用專家通過外部數(shù)據(jù)分析得出的情景分析來衡量自身遭受嚴峻損失的可能性。4、關于風險緩釋，在使用高級衡量法時，銀行必須被同意使用保險來緩解風險以滿足最低資本要求。但用作緩沖基金的資金不能超過銀行最低資本預備的20%。5、關于保險工具的運用，新巴塞爾要求保險公司的評級至少是A，且保險政策至少差不多有一年的實踐期 。關于部分運用AMA法的定性和定量原則方面，假如銀行符合下列條

22、件，新協(xié)議同意銀行針對部分業(yè)務使用AMA法，而對其余業(yè)務使用差不多指標法或標準法：1、銀行全球并表業(yè)務的所有操作風險均無遺漏。2、銀行所有適用AMA法的業(yè)務都符合AMA法的定性標準；而適用較簡單方法的業(yè)務也符合相應方法的要求。3、銀行實施AMA法之時，大部分操作風險應由AMA法計算。4、銀行向監(jiān)管當局提供在所有重要的法人機構和業(yè)務部門打算推行AMA法的時刻表。銀行提出該打算的動機，應當是今后實施AMA法既現(xiàn)實又可行，而非出于其他緣故。關于運用AMA時加強跨國監(jiān)管合作方面，鑒于完全或部分實施AMA的嚴格標準，有資格使用高級衡量法的銀行一般是大型銀行，尤其以跨國活躍銀行為主，因此，巴塞爾委員會考慮

23、到在使用AMA時，需要進一步加強母國和東道國監(jiān)管當局之間的合作與協(xié)調(diào)，具體措施包括：1、使用AMA方法計算資本要求必須與巴塞爾委員會的跨境實施巴塞爾新資本協(xié)議的高級原則相一致 。2、董事會和高級治理層有責任理解各個層次的操作風險概況，同時保證各種風險被合理的治理，資本計提是合理的。3、如有可能，監(jiān)管者應當在本原則和跨境范圍內(nèi)實行AMA的成本最小化的目標間求得平衡 。四、操作風險監(jiān)管與新巴塞爾協(xié)議的第二支柱1、操作風險監(jiān)管和第二支柱：監(jiān)管原則第二支柱在新巴塞爾協(xié)議規(guī)范中的重要性，可直接落實在操作風險規(guī)范上。監(jiān)管程序除了確保銀行計提適當資本要求作為機構操作風險的后盾外，還鼓舞銀行開發(fā)或提升風險治理

24、的能力，使銀行自身的風險治理措施與監(jiān)管者的監(jiān)管措施形成良好的補充。另外，第二支柱十分強調(diào)有關銀行內(nèi)部資本評估程序，并訂定銀行特定風險概況和操縱環(huán)境所需資本目標額等的重要性。這些內(nèi)部程序必須同意監(jiān)管機構的審查與干預。就操作風險和監(jiān)管原則的關系而言，任何關于操作風險的監(jiān)管評估必須包括：1、反映行業(yè)真實情況同時與良好的行業(yè)實踐相一致。2、從監(jiān)管者的角度來看是可行的。任何可行的操作風險監(jiān)管措施必須考慮到一系列高級但又基礎的因素。關鍵的監(jiān)管措施應該符合六方面的原則。第一，可測量性。不管關于小型機構依舊大型機構，監(jiān)管方法必須是可行的，同時復雜程度有所區(qū)不。另外，一些國家可能在全部銀行和證券行業(yè)范圍內(nèi)實行新

25、協(xié)議，其他國家可能只在部分范圍內(nèi)實施，因此：1、監(jiān)管方法應當不因機構大小為基礎進行區(qū)分，而是因機構的復雜程度；2、它同意機構選擇最適合本機構及其進展的定量工具；3、它同意機構在不同的業(yè)務類型選擇不同的定量工具。這意味著機構能夠因詳細劃分不同的業(yè)務類型受到監(jiān)管者的認可，甚至這種進步并不一定表現(xiàn)在整個機構中（這能夠看作在不同業(yè)務領域提高復雜性的成本效益分析的結果）。第二，執(zhí)行條件。監(jiān)管方法必須在不同文化環(huán)境和法律環(huán)境的國家中都適用，同時依據(jù)不同的處理方法使用不同的監(jiān)管工具。這些方法應該：1、不預先設定一種特定的監(jiān)管工具，而是使其與監(jiān)管實踐和政權體制相一致；2、提供一種清晰透明的機制使得監(jiān)管者能夠推

26、斷機構的操作風險操盡情況；3、鼓舞機構更加了解自身狀況，開發(fā)出與示范實踐相一致的風險操縱方法。這需要與巴塞爾委員會提出的原則和方法相一致。 第三，平等的競爭環(huán)境。盡管機構正傾向于使用監(jiān)管者所定制的風險治理方法（內(nèi)部模型法能夠看作這種形式），必須最大程度地保證監(jiān)管者的推斷和執(zhí)行方法在其權限范圍內(nèi)保持一致，以提高政府及受監(jiān)管部門對監(jiān)管方法的置信度。具體來講：1、監(jiān)管方法應提供一種清晰透明的方法使機構和監(jiān)管者能夠識不操作風險，同時決定其在資本配置中的大??；2、個不監(jiān)管者能夠自由制定其監(jiān)管政策，從一種定量工具轉(zhuǎn)換到另一種定量工具的標準能夠不受前一種監(jiān)管政策的阻礙；3、必須看到絕大多數(shù)的機構將會使用差不

27、多指標法和標準法，在這兩種方法之間轉(zhuǎn)換的定性標準應當以明確的清單表示。第四，靈活性。考慮到一系列可能潛在的方法，監(jiān)管方法能夠靈活的實行，比如：1、監(jiān)管者認識到達成一個目標能夠使用多種不同的方法（盡管監(jiān)管者可能保留要緊的監(jiān)管職能，仍然能夠使用合適的外部信息資源）；2、同樣地，也能夠使用獨立的內(nèi)部信息諸如內(nèi)部審計和監(jiān)查功能。 第五，簡易性與復雜性的平衡。一種過度技術性的方法可能給機構和監(jiān)管者帶來負擔，而不是相應的增加監(jiān)管益處。與此同時，監(jiān)管方法又要求足夠復雜以區(qū)不不同機構的風險。這又體現(xiàn)在兩個方面：1、不同的監(jiān)管者和機構能夠使用不同的方法或不同方法的混合以保證達到相同的目標；2、機構能夠選擇在不同

28、的業(yè)務類型使用不同的工具，這取決于機構在特定領域的風險操縱能力和提高業(yè)務復雜性的成本效益分析。第六，良好風險治理的動機。在機構中鼓舞穩(wěn)健的風險治理，需要清晰的展示通過風險操縱的改進而獲得的益處。同樣地，監(jiān)管方法需要與在操作風險領域新興的行業(yè)標準相一致：選擇實行良好風險治理的機構能夠以獲準使用更復雜的工具來計算資本要求作為回報。由于使用復雜方法計算出的資本要求小于一般的資本要求，這些機構便能夠保留一些資本。但真正的吸引力在于使用內(nèi)部數(shù)據(jù)和系統(tǒng)來調(diào)整監(jiān)管方法。監(jiān)管者十分歡迎這種進展，相較于由監(jiān)管者制定的資本計提方法，使用自身的內(nèi)部數(shù)據(jù)對各機構更有意義。 2、操作風險內(nèi)部操縱框架假如銀行要達到使監(jiān)管

29、者認可的上述操作風險治理標準，必須有一個有效合理的內(nèi)部操縱框架，該框架至少包括三個要素：1、組織結構，包括董事的角色和責任，公司治理機制和操作風險治理的分工以及職能部門；2、操作風險治理的戰(zhàn)略和政策；3、操作風險治理流程，包括識不風險、評估風險、治理和緩釋風險，以及監(jiān)測和報告風險的全過程。第一，關于操作風險治理的組織結構，可用下圖表示：圖1：操作風險治理的組織結構資料來源：PriceWaterhouseCoopers: Operational Risk -The New Frontier, December, 1999國際掉期和衍生品協(xié)會（The International Swaps and

30、 Derivatives Association，ISDA）認為，不論機構的大小和復雜程度，它們的內(nèi)部操縱體系都應該符合：1、董事會應該對操作風險治理承擔最終責任。組織所同意的風險水平，以及治理這些風險的基礎，都應該由承擔最終責任的部門由上而下地推動；2、董事會和高級治理層應該確保有一個有效的、整合的操作風險治理框架在位。這應該包括一個清晰定義的組織結構，包括為風險治理所有方面承擔責任的人選，以及用于支持辨識、評估、操縱和報告關鍵風險的適宜的工具；3、 董事會和高級治理層應該認識、理解和定義組織面臨的所有種類的操作風險，他們應該確保他們的操作風險治理框架充分地覆蓋了所有類型的操作風險；4、清晰

31、定義了操作風險治理方法的政策和流程應該被以文件的形式記錄下來，同時在公司范圍內(nèi)進行廣泛的溝通。這些操作風險治理政策和流程應該與公司的整體經(jīng)營戰(zhàn)略相一致，應該能夠帶動風險治理水平的持續(xù)改善；5、所有經(jīng)營和支持部門都應該在操作風險治理框架內(nèi)扮演著重要角色，從而使得組織能夠有效治理所面臨的關鍵的操作風險；6、在建立辨識、緩釋、監(jiān)控和報告操作風險的治理流程時，應該使之符合組織的需求，容易實施，能夠持久地發(fā)揮作用，同時能夠定期對運營風險和重大事務進行組織范圍內(nèi)的審核。第二，關于操作風險治理的戰(zhàn)略和政策。1、就操作風險治理戰(zhàn)略而言，為了使操作風險治理框架有效運行，一家銀行需要識不其利益相關人，并了解他們的

32、要求和銀行對他們的義務。這有助于在決定操作風險治理戰(zhàn)略時識不關鍵業(yè)務的驅(qū)動者和相關目標。明確了這些目標后，銀行應該考慮它在實現(xiàn)這些目標的過程中面臨的戰(zhàn)略挑戰(zhàn)，以及不去實現(xiàn)這些目標的后果，從而建立起一套操作風險治理戰(zhàn)略。至于制定操作風險治理戰(zhàn)略，以及確保其與銀行的整體業(yè)務目標相統(tǒng)一的責任，應該由高級治理層承擔。2、就操作風險治理政策而言，操作風險治理政策是為所有關鍵業(yè)務及其支持過程制定操作風險治理標準和目標的，操作風險治理的方法內(nèi)含于這些政策之中。操作風險治理政策應該有助于業(yè)務活動及其支持過程的監(jiān)控、測量和治理；能夠反映業(yè)務活動發(fā)生的內(nèi)外部環(huán)境；并同意定期的檢查和更新。這些政策應該能夠建立起一種

33、機制，使得銀行能識不、測量和監(jiān)控所有重大的操作風險。為了達到那個目的，它們應該具有與風險和采取的行動相適應的范圍和尺度，并定期清晰地傳達給所有人員，以維持一定的風險意識水平，同時確保它們被一貫地執(zhí)行 。第三，關于操作風險的治理流程，可用下圖表示：圖2：操作風險治理流程資料來源：KPMG，2003圖中對操作風險的治理流程可分為十個步驟。1、風險策略：一家銀行的操作風險策略關于治理框架的其他部分有驅(qū)動作用。它需要對風險偏好和忍受度、風險治理政策、每日風險治理過程提供清晰的指導。操作風險策略包括自下而上的資本配置方法和自下而上的風險識不、評估、治理、報告和監(jiān)測的風險治理框架。每一家行業(yè)機構的治理必須

34、遵守銀行的總體風險策略，任何商業(yè)決策必須建立在可獲得的操作風險信息基礎之上，考慮銀行的整體資本要求。2、組織結構：銀行的組織結構是所有操作風險治理活動的基礎。組織結構應該將操作風險治理績效與銀行目標及職員表現(xiàn)相聯(lián)系。3、報告：操作風險能夠阻礙所有的商業(yè)單位，操作風險治理報告比傳統(tǒng)的市場風險和信用風險報告有更大的作用。它需要包含兩個方面：第一，傳達明確界定的相關的操作風險信息。第二，按照業(yè)務類型和事件類型向董事會，治理層及風險委員會報告操作風險信息。第一種類型的信息包括大多數(shù)未經(jīng)調(diào)整的損失數(shù)據(jù)，第二種類型的反映了結構性的，通過分析的損失信息以取得更好的操作風險治理水平。4、定義：銀行需要一種共同

35、的語言來描述操作風險和損失事件、緣故和阻礙以達到監(jiān)管要求。操作風險定義的進展能使銀行達到更有效的風險識不、評估和報告過程。定義的要緊困難在于區(qū)分操作風險和其他風險，指導銀行使用一種明確的操作風險定義對損失數(shù)據(jù)庫的建立至關重要。5、損失數(shù)據(jù)：銀行需要建立一套收集、評估、監(jiān)測和報告損失數(shù)據(jù)的系統(tǒng)。除了收集內(nèi)部數(shù)據(jù)之外，由于大多數(shù)的機構沒有經(jīng)歷過操作風險的災難性損失，低頻高危的數(shù)據(jù)通常無法納入到內(nèi)部數(shù)據(jù)庫中，需要外部數(shù)據(jù)補充。收集內(nèi)部數(shù)據(jù)的過程需要得到銀行各個部門的支持，間接損失等都應該納入到損失數(shù)據(jù)庫中，損失數(shù)量的變化、保險償付和附加的賠償要求應加以審計。6、風險評估：風險評估為銀行提供一種定量衡

36、量操作風險的方法。作為一種識不操作風險近工具，同時在有限的程度內(nèi)能夠當作計量操作風險的工具，風險評估在損失數(shù)據(jù)較少的時候發(fā)揮了關鍵的作用，以建立一種前瞻性的風險敏感的識不系統(tǒng)。7、關鍵風險指標（KRI）：銀行應當在能夠反映系統(tǒng)、過程、產(chǎn)品、人員等風險預警要緊風險指標的基礎上評估操作風險。與損失數(shù)據(jù)一樣，KRI建立在現(xiàn)有數(shù)據(jù)的基礎之上，與損失數(shù)據(jù)不同的是，KRI不是簡單得假設歷史將會重演，而是試圖預測到潛在的風險。確定相關的風險指標將十分復雜，因為它與真實風險暴露的關系只能由內(nèi)部損失數(shù)據(jù)得到。銀行能夠結合幾種首要的直接的風險指標來建立風險預警系統(tǒng)。8、緩釋：一旦銀行識不和量化了風險，就能夠使用合

37、適的政策、過程、系統(tǒng)和操縱方法來緩釋風險。銀行應該設計并實施具有成本效益的風險緩釋工具，使操作風險降低到能夠同意的水平。9、資本模型：資本模型包含了監(jiān)管資本和經(jīng)濟資本的計算，它需要借助內(nèi)部數(shù)據(jù)、外部數(shù)據(jù)、情景分析、行業(yè)環(huán)境、風險操縱因子及各種輔助信息如保險因素等，通過數(shù)學和統(tǒng)計方法來測量操作風險。10、信息技術：適當?shù)男畔⒓夹g是操作風險治理框架的基礎，治理者應當能使用IT系統(tǒng)豐富、維持和更新操作風險信息，使用數(shù)據(jù)治理和報告系統(tǒng)能優(yōu)化資本配置，使資本回報最大化同時支持其他業(yè)務活動 。和KPMG的十步驟不同，巴塞爾委員會在2003年2月頒布的操作風險治理和監(jiān)管穩(wěn)健原則中中，對銀行操作風險治理流程分

38、為風險識不、評估、報告、治理和監(jiān)測五個步驟。并建議銀行應識不和評估所有重要產(chǎn)品、活動、程序和系統(tǒng)中固有的操作風險；銀行應該制定一套程序來定期監(jiān)測操作風險狀況和重大損失風險。銀行應該確保風險和審計報告的有效性和可靠性等，在此不贅敘。 3、操作風險獨立評估框架巴塞爾委員會十分重視銀行系統(tǒng)的內(nèi)部監(jiān)管，然而，監(jiān)管者的獨立評估仍然必不可少。監(jiān)管者應該直接或間接地對銀行有關操作風險的政策、程序和做法進行定期的獨立評估，確保有適當?shù)臋C制保證他們知悉銀行的進展情況。監(jiān)管者獨立評估操作風險的內(nèi)容應該包括：第一，銀行風險治理程序的有效性，以及有關操作風險的全面操縱環(huán)境。銀行監(jiān)測和報告其操作風險狀況的方法，包括操作

39、風險損失數(shù)據(jù)和其他潛在操作風險指標；銀行及時有效解決操作風險事件和薄弱環(huán)節(jié)的步驟；銀行為保證全面操作風險治理程序的完整性的內(nèi)控、審查和審計程序；銀行努力緩釋操作風險的效果，例如使用保險的效果；銀行災難恢復和業(yè)務連續(xù)方案的質(zhì)量和全面性；銀行依照其風險狀況和其內(nèi)部資本目標（假如適合的話），評估操作風險的整體資本充足率水平。第二，假如銀行是一家金融集團的一部分， 監(jiān)管者應該努力確保它差不多制定了一些步驟來保證操作風險的治理適宜于整個集團同時得到有機結合。在執(zhí)行此類評估時，有必要依照現(xiàn)有步驟與其他監(jiān)管者進行合作和信息交流。 一些監(jiān)管者或許會選擇外部審計師來完成這些評估程序。第三，監(jiān)管檢查中發(fā)覺的缺陷應

40、該通過一系列行動來處理。 監(jiān)管者應該選擇最適合銀行專門情況和經(jīng)營環(huán)境的工具。 為了使監(jiān)管者及時收到有關操作風險的信息， 能夠提出直接與銀行和外部審計師建立報告機制（例如，銀行內(nèi)部有關操作風險治理的報告能夠定期呈送監(jiān)管者） 。五、操作風險監(jiān)管與新巴塞爾協(xié)議的第三支柱1、操作風險監(jiān)管與第三支柱：市場約束迄今為止，巴塞爾委員會關于操作風險和第三支柱之間的關系，規(guī)定得不夠充分，它反映了巴塞爾試圖確立一個使信息披露數(shù)量應與銀行經(jīng)營的規(guī)模、風險狀況和復雜性相適應的激勵相容框架。在第三支柱中，巴塞爾委員會提出全面信息披露的理念，認為不僅要披露風險和資本充足狀況的信息，而且要披露風險評估和治理過程、資本結構以

41、及風險與資本匹配狀況的信息；不僅要披露定性的信息，而且要披露定量的信息；不僅要披露核心信息，而且要披露附加信息；不僅要考慮強化市場約束，規(guī)范經(jīng)營治理的因素，而且要考慮到信息披露的安全性與可行性。另外，巴塞爾委員會還要求監(jiān)管機構對信息披露本身也加強監(jiān)管，并對銀行的信息披露體系進行評估。操作風險的在如何披露領域，目前尚未規(guī)定好，要緊是因為銀行還正在開發(fā)操作風險評估的技巧，但一家銀行始終應當向公共披露的信息應該包括：為每種業(yè)務類型配置的監(jiān)管資本；計量資本配置的具體方法；治理和操縱操作風險過程的詳細信息（包括風險治理組織結構和風險緩釋政策）。還應當披露損失的信息，損失如何會發(fā)生及失敗的緣故 。 2、操

42、作風險監(jiān)管所面臨的挑戰(zhàn)第盡管在新巴塞爾協(xié)議中，三大支柱都緊密關注了操作風險監(jiān)管原則，但這一系列監(jiān)管原則也面臨著諸多挑戰(zhàn)。第一，在操作風險和第一支柱中，三種計提監(jiān)管資本的方法都有其不足之處。1、差不多指標法簡單易行，但正是由于其過于簡單，使用這種方法計算出的監(jiān)管資本一般較高，具有不同風險特征和風險治理狀況的銀行每單位的總收入被要求配置相同的風險資本這不是個激勵相容的框架。2、標準法的監(jiān)管資本的計算并不直接與銀行內(nèi)部的損失數(shù)據(jù)相連，不能反映各個銀行自身的特點。3、以統(tǒng)計方法為基礎的AMA法幾乎能夠涵蓋幾乎所有的操作風險定價，然而，在操作風險中，真正值得關注的是低頻高危的事件風險，用統(tǒng)計學的語言來講

43、，AMA對高頻低危事件的風險治理相對有效，但低頻高危事件的操作損失分布具有鮮亮的厚尾性特點，因此AMA關于尾部風險的處理未必能準確處置此類事件。4、運用內(nèi)部模型法進行操作風險治理，使得大銀行能夠自行劃分業(yè)務類型和事件類型，結果客觀上導致了經(jīng)濟資本和監(jiān)管資本之間存在較大的套利空間，銀行能夠在不增加監(jiān)管資本的條件下提高經(jīng)濟資本，這使小銀行在與國際活躍銀行的競爭中處于更加不利的位置。第二，目前對如何進行操作風險的跨國監(jiān)管方面仍然十分困難。1、操作風險的監(jiān)管本來確實是一個富有挑戰(zhàn)性的問題，銀行跨國經(jīng)營之后更成為監(jiān)管難題，難點要緊在于管轄權邊界不清晰，業(yè)務審計找不到合適的審計點，容易躲避監(jiān)管等。巴塞爾委

44、員會在2003年8月頒布的跨境實施巴塞爾新資本協(xié)議的高級原則文件中差不多意識到了那個問題并提出了相應的原則，但在實行層面上仍然需要進一步完善。2、并表監(jiān)管是當前跨國監(jiān)管的一個大的趨勢，母國監(jiān)管當局應當負責監(jiān)督銀行集團在并表的基礎上實施新協(xié)議，也確實是講，母國監(jiān)管當局負責并表監(jiān)管，東道國監(jiān)管當局負責對在其國家經(jīng)營的銀行進行單個或次級并表監(jiān)管。確定監(jiān)管順序確實是對母國與東道國的監(jiān)管職責進行分工。母國負有第一位的監(jiān)管責任，因為它是銀行的注冊地，對銀行情況更為熟悉，監(jiān)管措施也更為有效；盡管東道國是跨國電子銀行業(yè)務中利益受阻礙的要緊一方，但由于信息不對稱，監(jiān)管手段和措施有時也鞭長莫及，因而東道國處于最后

45、監(jiān)管者的位置。3、在跨國銀行實行AMA時，如何使成本最小化；在數(shù)據(jù)的收集整理使用方面，如何充分利用母國和東道國的操作風險數(shù)據(jù)庫；如何在母國和東道國之間協(xié)調(diào)和統(tǒng)一操作風險定義，風險事件和風險因素將是銀行治理層及監(jiān)管者值得注意的問題。鐘偉（1969），男，北京師范大學金融研究中心 教授， 博導；沈聞一（1983），女，北京師范大學金融系。BCBC：Consulting Documents on Operational Risk, Basel, January 2001，只是在2003年的新資本協(xié)議征求意見稿中，那個定義包括法律風險（The Legal Risk），但不包括策略風險（Strategi

46、c Risk）和聲譽風險（Reputational Risk）。Federal Deposit Insurance Corporation.：Supervisory Guidance on Operational Risk Advanced Measurement Approaches for Regulatory Capital, FDIC, July 2003英馬克洛爾、列夫博羅多夫斯基：金融風險治理手冊326頁，機械工業(yè)出版社，2002年11月Price Water house Coopers: Operational Risk -The New Frontier, December,

47、1999Morgan Stanley: 運營風險治理, 2003這些咨詢文件包括: Integrated Prudential Sourcebook (CP97) June2001; The Interim Prudential Sourcebooks for Insurers and Friendly Societies and the Lloyds Sourcebook: Guidance on Systems and Controls (CP140); Integrated Prudential Sourcebook Timetable for Implementation (CP115

48、) November 2001.FSA: Operational systems and controls, July 2002伯特布魯金克、艾利斯范登蒂拉特：風險進入真實世界新的資本充足率框架與操作風險度量，浙江金融2001年第5期徐如慧:金融機構作業(yè)風險規(guī)范臺灣證券交易所資料BIS: Consultative Document: Operational Risk, January 2001對上述定量標準的討論可分不參閱巴塞爾委員會在1998、2001和2003年的有關文件，以及中國銀行業(yè)監(jiān)督治理委員會網(wǎng)站所提供的新巴塞爾協(xié)議中文譯本的相關內(nèi)容，此外徐如慧“新版巴塞爾資本協(xié)議總論(下)：作業(yè)

49、風險、監(jiān)理審查、及市場制約機制”臺灣證券交易所資料，2002年第483期也討論了上述內(nèi)容。BIS: High-level principles for the cross-border implementation of the New Accord, August 2003中文譯本可參見王淼譯、羅平?？缇硨嵤┌腿麪栃沦Y本協(xié)議的高級原則，中國金融2003年第19期BIS: Principles for the home-host recognition of AMA operational risk capital, January 2004可參閱BIS: Framework for Inte

50、rnal Controls Systems in Banking Organisations, September 1988, and Enhancing Corporate Governance for Banking Organisations, September 1999關于內(nèi)部和外部審計、監(jiān)管者合作等內(nèi)容可參見BIS: Internal audit in banking organisation and the relationship of the supervisory authorities with internal and external auditors, July 2

51、000International Swaps and Derivatives Association, Inc. Operational Risk Regulatory Approach Discussion Paper, September 2000.同上KPMG: Basel II A Closer Look: Managing Operational Risk, 2003BIS: Sound Practice for the Management and Supervision of Operational Risk, February 2003中譯本可參見王淼等譯，羅平校：“操作風險治

52、理與監(jiān)管的穩(wěn)健做法”，中國金融，2003年第11、13期同上同上參考文獻：1、BCBC：Consulting Documents on Operational Risk, Basel, January 20012、BIS: Principles for the home-host recognition of AMA operational risk capital, January 20043、BIS: High-level principles for the cross-border implementation of the New Accord, August 2003 4、BIS: Sound Practice for the Management and Supervision of Operational Risk, February 20035、BIS: Consultative Document: Operational Risk, January 20015