一、什么是操作风险
银行办理业务或内部管理出了差错,必须做出补偿或赔偿;法律文书有漏洞,被人钻了空子;内部人员监守自盗,外部人员欺诈得手;电子系统硬件软件发生故障,网络遭到黑客侵袭;通信、电力中断;地震、水灾、火灾、恐怖袭击;等等,所有这些,都会给商业银行带来损失。这一类的银行风险,被统称为操作风险。巴塞尔银行监管委员会对操作风险的正式定义是:由于内部程序、人员和系统的不完备或失效,或由于外部事件,造成损失的风险。
现在,操作风险受到国际银行业界的高度重视。这主要是因为,银行机构越来越庞大,它们的产品越来越多样化和复杂化,银行业务对以计算机为代表的IT技术的高度依赖,还有金融业和金融市场的全球化的趋势,使得一些“操作”上的失误,可能带来很大的甚至是极其严重的后果。过去一二十年里,这方面已经有许多惨痛的教训。巴林银行的倒闭就是一个令人怵目惊心的例子。
二、新巴塞尔协议将操作风险资本准备纳入第一支柱之中
即将定稿的新巴塞尔资本协议,将银行风险的资本准备,列入银行业监管的第一支柱。新巴塞协议稿规定,为应付操作风险可能带来的损失,银行也要像对待信用风险那样,保有相应的最低资本金准备。这是新协议不同于旧协议的重要特点之一。
对操作风险资本金的计算,2003年4月公布的新巴塞尔协议征求意见稿提出了三种办法。
一是基本指标法,即以前三年总收入(净利息收入+净非利息收入)的年平均值乘以15%,得出最低资本准备金数额。
二是标准法,将银行业务分为8个类别,分别以其前三年总收入平均值乘以不同的系数,然后加总得出最低资本金要求。
这8个类别是:法人金融业务,系数为18%;交易与销售业务,系数为18%;零售银行业务,系数为12%;商业银行业务,系数为15%;支付与清算业务,系数为18%;代理业务,系数为15%;资产管理业务,系数为12%;零售中介业务,系数为12%。
很明显,这样的业务类别划分并不能简单地适用于所有银行的具体情况,而对各类业务的应计收入计算起来更为复杂。新协议稿对此除做了进一步详细界定和解释外,还赋予银行一定的灵活性。
三是高级计量法(AMA)。使用这种方法,最低资本金要求是根据银行自己内部的操作风险计量系统得出的。新协议规定采用此方法需得到监管当局的核准,并且符合一系列定量的和定性的标准,这些标准涉及操作风险管理的方方面面。同时,新协议还允许符合标准的银行只对部分类别的业务使用AMA法。
三、管理和监督操作风险的十条原则
新巴塞尔协议的各项规定,主要是针对所谓国际业务活跃银行,或业务特别复杂的大型银行。对于一般的银行操作风险管理问题,巴塞尔委员会在2003年2月发布了一份题为“管理和监督操作风险的健全方法”的指导性文件。这份文件是巴塞尔委员会多年来关于银行操作风险管理问题指导思想的最新总结。
巴塞尔委员会指出,银行选用何种具体办法管理操作风险,基于多种因素,包括自身的规模大小、组织复杂性、业务的性质和范围。然而,尽管有这些不同,明晰的战略,董事会及高管人员的监督,对操作风险和内部控制的认真程度,完备的内部报告制度和应变计划,是任何规模和范围的银行有效管理操作风险的关键因素。因此,这份文件所提出的十条基本原则对所有银行都有重要意义。
前三条原则是关于建立适当的风险管理环境。要求董事会将银行操作风险视作应加管理的一类特殊风险范畴,批准和定期检查银行的操作风险管理制度。董事会应确保银行的操作风险管理制度受到有效的全面的内部审计。高级管理人员应对执行董事会批准的操作风险管理制度负责。该制度应统一应用于整个银行组织,各级机构和人员都应该了解自己对操作风险管理上的责任。
第四条至第七条原则是关于操作风险的管理,即如何识别、评估、监察、转移及弱化操作风险。银行应该对所有重要产品、活动、程序和系统的操作风险进行识别和评估。银行也应该确保在新产品、活动、程序和系统推出应用之前,对其中的操作风险予以充分评估。银行应该采用某种程序来定期监察操作风险组合和重大损失暴露。银行应制定控制和弱化重大操作风险的政策、流程和程序。银行应定期审查风险限制和控制战略,根据总体风险承受能力和风险组合状况,采用适当的措施,对操作风险组合进行调整。银行应制定适当的应付偶发事件和保持业务持续进行的计划,以确保在发生严重破坏事件时能够继续营业和限制损失。