1、流程视角下的商业银行操作风险管理研究内容提要:操作风险管理是银行风险管理领域中的一个前沿和热点问题,由于银行操作风险产生的原因复杂,很难进行科学的度量和计算。本文将流程的相关理论引入到银行操作风险管理领域,以流程的视角来分析操作风险,帮助银行实施有效的风险管理。关键字: 流程;操作风险;商业银行一、引言随着银行效劳的全球化、技术系统的更新、交易量的提高、日趋复杂的交易工具和交易策略等,都增大了银行机构面临的操作风险。对整个银行业和国际监管机构引起巨大震撼的“巴林银行事件,从外表上来说是由于“关东大地震所导致的日经指数期货暴跌,日本政府债券却一路上扬,里森不幸在这两个品种上都持有错误方向的筹码。
2、这种突然来临的市场风险直接导致了里森的垮台,及巴林银行的清盘倒闭。但本质上,却是由于巴林银行混乱的内部控制与风险管理体系所导致的,彻头彻尾是由于操作风险而招致的灭顶之灾。巴林事件之所以能发生,关键在于:交易与清算之间应有的制度执行缺失,业务流程应履行的监督失灵所导致。操作风险源自于内部程序不完善、人为失误、系统故障和外部事件的影响,而银行业务流程是操作风险发生的主要载体,标准、科学、运行良好的业务流程,能从根本上起到躲避和减少操作风险的作用。因此,从流程角度来研究操作风险管理是从商业银行操作风险管理和流程管理理论的内在耦合性出发,对银行操作风险管理所做的有益尝试。二、流程与操作风险操作风险的核
3、心概念是操作(operations),其本意是“运营或发挥功能的活动或流程(the act or process of operating or functioning,美国传统辞典),中心词是活动或流程(act或process)。实际上,商业银行本身就是一个为最终满足顾客需求、实现投资者价值最大化而运行的一系列有密切联系的业务流程和活动的集合体。2023年中国银监会主席刘明康就指出“流程银行是商业银行变革的方向之一,凸显了“流程在现代商业银行中的重要地位。银行提供产品或效劳的过程,即是承当风险、消耗资源使得价值从一个业务流程或活动转移到下一个业务流程或活动的过程,最终商品或劳务既是全部业务流
4、程的集合,也是全部资源、全部风险的集合。国内外许多学者在这方面进行了研究,从国内的研究看,主要集中在操作风险的管理框架、度量方法及风险值衡量、基于工作流的操作风险控制及基于流程管理的银行信息化等方面。从国外看,Ebnother et al. (2023 )认为操作风险的衡量和管理一定是基于定义良好的流程,它们是操作风险管理的“精微平台(microscopic level),该文献中也提到了流程活动的概念,但它们只是作为流程的附属存在。Leippold et al. (2023) 提出并应用价值链的概念来模型化操作风险,而价值链实质就是基于流程展开的。这些研究虽然涉及到流程和操作风险之间的关系,
5、但较为全面论述二者关系的文章还没有见到,特别是将流程理论和操作风险紧密结合起来,重新审视操作风险管理。因此本文从流程出发,以流程的视角分析操作风险管理的两个重要内容:内部控制和风险度量,为银行操作风险管理提供一个新的思路。所谓流程,普适的定义是指为特定客户和市场提供产品和效劳而实施的一系列精心设计的有逻辑相关性的活动(Davenport & Short, 1991)。流程进一步细分为活动(或称为流程活动,activity ) ,流程活动是流程的最根本要素。一个流程活动是接收某一种类型的输入,并在某种规那么控制下,利用某些资源,经过特定变换转化为输出的过程,即:流程活动=输入,处理规那么,资源,
6、输出其中,资源是指流程活动执行者在执行这一流程活动时所依赖的方法或凭借的手段。一个流程中的根本流程活动是不可再分的流程活动,其特征包括:明确的结果;清楚的边界;独立于其他流程活动。银行业务流程就是银行实现自身价值所进行的一系列的业务活动,它是银行的核心价值活动,也是隐含风险,造成损失的重要载体。我国商业银行现有的业务流程可以分为直接创造价值的前台客户效劳流程和为直接创造价值活动效劳的后台支持流程,这两个流程按照J佩帕德和P罗兰的划分分别属于银行的经营流程和保障流程。对我国的商业银行而言,前台后台的业务流程类型如图1所示:从流程的角度来考察操作风险,也可以从操作风险的定义中反映出来。巴塞尔委员会
7、的定义是:“由于不当或失败的内部程序、人员和系统或外部事件导致损失的风险,这一定义包含四类因素,即人员,程序,系统和外部事件,但都通过业务流程发生作用。瑞士信贷集团的定义是“由于以不当或失败的方式操作流程活动而对业务带来负面影响的风险,操作风险也可能是由外部因素造成的。全球衍生产品研究小组曾经给操作风险下过这样一个定义:“操作风险是指由于控制和系统的不完善、人为的错误或管理不当所导致的损失的风险。它是从人员、系统和操作流程三个方面对操作风险进行了界定,并且把管理作为防止操作风险的决定性因素。银行操作风险涉及组织的各个方面,主要发生在银行效劳的各种流程活动之中,流程中的人、系统和操作程序就成为操
8、作风险管理的重点。因而操作风险管理的重要内容是标准、监视和分析组织内部的各种流程,同时将人和系统的因素考虑到流程之中。由图2可以看出,风险管理流程作为一项支持性的经常活动,对其它流程有着监督的作用,因而可以将风险管理流程和普通业务流程作为整体来考虑,即对流程的数据、知识和规那么建模时,可以对每个业务流程活动和类型进行基于损失数据的风险评估和分析,做到每一个流程活动的流程管理和风险管理。三、流程视角下的银行内部控制框架自1992年美国COSO委员会发布内部控制框架(简称COSO报告)以来,该内部控制框架已经被世界上许多银行所采用,但理论界和实务界纷纷对内部控制框架提出一些改良建议,强调内部控制框
9、架的建立应与银行的风险管理尤其是操作风险相结合。新的全面风险管理框架就是在1992年的研究成果-内部控制框架报告的根底上,结合萨班斯一奥克斯法案(Sarbanes-OxleyAct)在报告方面的要求,进行扩展研究得到的。萨班斯-奥克斯法案是安然、世通等财务欺诈事件发生后,美国证监会于2002年7月30日公布并实施的强制所有在美国上市的公司在2023年财年结束前执行的一项内部控制法案,被美国总统布什称为“自罗斯福总统以来美国商业界影响最为深远的改革法案。该法案要求组织机构使用文档化的财务政策和流程来改善可审计性,并更快地拿出财务报告。要求银行针对产生财务交易的所有流程活动,都做到透明度、控制、通
10、讯、风险管理和诈欺防治,并且这些流程必须详加记录到可追查交易源头的地步。在传统的劳动分工原那么下,职能部门把银行的流程割裂成一个个独立的环节,关注的是单个任务或工作,其结果就是无视内部控制的动态性、系统性。从流程的视角出发,就需要从顾客需求出发,对银行流程进行系统性的思考分析,或通过对银行流程构成要素的重新分解、组合,以此实现银行流程彻底的改造和重新设计,从而获得银行绩效的持续改良。它不再强调单个工作或任务自身是什么,而是这些工作是如何有效执行的,因为银行的一切经营活动就是一系列富有逻辑关系的流程的有序集成,因而契合于银行整个业务流程的内部控制活动和程序,也将表现出如同流程再造那样必须根据外界
11、需求变化不断检视和调整的系统动态过程,这个过程也体现了银行抵御外部影响而导致操作风险的柔性能力。进一步看,流程实际上又是由一系列流程活动的集成,也即银行就是一个为满足履行要素使用权交易合约需求而设计的一系列流程活动的集合体。流程活动是通过组织、单位或成员按照一定的流程、活动的要求来完成。为此,内部控制的功能不仅在于通过流程活动的分析,剔除非增值流程活动,实现流程的最优化,而且还要保证最优化的流程有效地运行,并在此根底上根据客户的不断变化的需求产生最优的流程。此时,内部控制实际上进一步彰显其过程化的行为,成为银行最优化、间接和理性的流程活动标准,并按照控制的循环步骤,实现内部控制的目标。其具体过
12、程如以下列图3所示。显然,传统的内部控制强调权利与职责的分配、岗位相互之间的牵制等根本理念将受到严重挑战,原有“要素化的控制方式将会被流程化、系统化的控制机制所取代,也就是说职能控制、岗位控制将被流程控制所替代,从上到下的分权控制将被各个流程活动之间的控制、各个任务之间的控制所替代。在流程视角下,信息流、资金流成为银行经营活动的根本组成要素。为迎合银行业务流程管理和操作风险控制的需要,内部控制实际上将演变成一种最优化、简洁和理性(符合逻辑)的流程活动方式或流程活动标准,实现资金流和信息流的高度合一,到达控制和躲避操作风险的目的。四、基于流程活动的操作风险度量巴塞尔新资本协议中将银行业务分为8个
13、产品线,19个二级目录及50多个业务群组,但这种划分只是停留在流程层面,并没有深入到流程活动层面。正确划分银行流程活动,应从银行本身的规模、战略、业务特性和管理特点出发。对流程活动分解的越细,就越容易找到具体的风险驱动因素,从而越能对操作风险进行准确衡量与管理,因此,符合逻辑的做法是将银行业务划分为产品线,再细分为流程,最后细分到流程活动。定义、衡量和控制操作风险,不可能对所有的银行流程活动都同样关注,而应该重点关注银行的核心流程活动,对银行的增长和收益没有奉献的非核心的流程及流程活动不应予以考虑。巴塞尔委员会将操作风险因素划分为7个类型,在此根底上进一步细分为20种、71个具体风险因素。Do
14、erig(2023)将操作风险类型分为5大类,即组织,政策/过程,技术,人员和外部,细分因素有20种;英国银行效劳局(FSA , 2023)在其关于操作风险系统和控制的咨询文件(CP142)中将形成操作风险的因素归结为人的因素、过程和系统、外部事件、外部采购和保险等5个方面。尽管细分的风险因素中可能包含几十种,但具体到不同的流程活动,很可能只有几种因素在起作用。银行业务可以划分为假设干个产品线,每个产品线由一组流程组成,而每个流程又由一组关键流程活动ai构成,每个流程活动都有潜在的fj 种风险因素可能导致操作风险。图4所示的流程活动和风险因素的组合显示了基于流程活动的操作风险度量原理。图4中,
15、横坐标为关键流程活动,纵坐标为风险因素。图中取1的为关键流程活动与风险因素的有效组合,取0表示该组合无效。例如组合(a2, f1)表示在流程活动a2中,风险因素f1不起作用。对于有效组合,可以进行衡量或评估以确定该组合下的风险损失Rij。如果确认了银行业务中的所有关键流程活动ai和风险因素fj,那么就可以得到一个关键流程活动/风险因素组合有效性矩阵,在该矩阵中,有效组合取值为1,无效组合取值为0。一般地,操作风险度量有两大类方法,即自上而下法和自下而上法。自上而下法基于宏观数据来度量操作风险,不去识别具体的损失事件和原因。自下而上法那么是利用具体的事件来决定操作风险的来源并进行度量,属于风险敏
16、感方法。巴塞尔新资本协议中的前两种方法属于自上而下法,第三种方法即高级衡量法属于自下而上法。委员会鼓励银行提高风险管理的复杂程度并采用更加精确的计量方法。基于流程活动的操作风险度量方法将银行业务细分为流程活动,识别每一流程活动中潜在的具体风险因素,在此根底上衡量风险损失,因而属于风险敏感的自下而上方法。该方法首先确认流程活动和风险因素将银行操作风险暴露分解,EI(i,j)表示第i个流程活动在j类风险因素下的风险暴露;PE(i,j)表示流程活动i在风险因素j下操作风险发生的概率;LGE(i,j)表示流程活动i在风险因素j下的预期损失程度,那么,组合(ai, fj)的操作风险预期损失为:如果数据是够充分,模型还可以估算出不同风险损失之间的相关系数,从而使计算结果更加准确。基于流程活动的操作风险度量深入到微观的活动层面,对流程活动的各个要素和