运营风险

有效的运营风险管理作者柯安德andrew.cainey@booz.com柯安德先生是博斯公司大中华区金融业务负责人，曾为中国、韩国及亚洲其他地区的本土及国际金融机构提供大量关于战略、组织及能力建立的咨询服务。柯安德先生的联系方式：andrew.cainey@booz.com。作者简介初版：有效的运营风险管理博思艾伦咨询有限公司柯安德、朴义宪著，2005年。作为全球领先的管理咨询公司，博斯公司为世界顶尖的企业、政府及机构提供协助。我们的创办人—艾德文•博斯（EdwinBooz）先生在1914年成立全球第一家管理咨询公司的时候就对这个职业作出了定义。今天，通过3,300名优秀员工和在全球设立的57家办事处，我们运用独特的远见和知识、精湛的专业技能和有效的方法来为客户增强能力并作出深远的影响。我们与客户紧密合作，以创造并实现核心优势。如果希望阅读我们的管理杂志《战略与经营》（strategy+business），请浏览。如果希望了解公司的更多信息，请浏览博斯公司大中华区的网站：。PARAGRAPHSTYLEPage1:Headline1PARAGRAPHSTYLEPage1:IntroTextPARAGRAPHSTYLEBodyCopy:HeadingLevel1有效的运营风险管理什么是运营风险？全世界的银行都在投入资源以及时间来开发其运营风险管理（OperationalRiskManagement,ORM）能力，这种现象主要是有两个因素推动的。首先，银行了解在日益复杂、涵盖面越来越广的商业环境中，自己面对许多不同种类的潜在风险，这些风险带来的损失可以高达数亿美元以上。第二，“新巴塞尔资本协定”（BaselII）关于资本金的要求，使银行可以通过建立成熟的风险管理能力而大幅减少其所需的最低资本要求。全球规模最大的一些银行在适应新巴塞尔资本协定方面的支出平均超过了一亿美元，中型规模的银行的投入也超过五千万美元。其中运营风险方面的支出占此总额的10%。尽管如此，对于运营风险的定义还有一些值得争议之处。新巴塞尔资本协定对运营风险提出了一个兼具适用性与实用性的定义：“由于内部流程、人员、制度上的不足或失误或由于外部事件而导致直接或间接损失的风险”。因此，这个定义涵盖了人为、流程、制度，以及外在因素所造成的损失。新巴塞尔资本协定了七种类型的运营风险事件：•内部欺诈•外部欺诈•雇员活动和工作场所安全问题•客户、产品、业务的安全•有形资产的毁损•业务中断以及系统故障•执行、递送、以及流程管理在这7种类型的范畴内，新巴塞尔资本协定也详细的给出了所谓的第三层定义，描述了每一种类所包括的主要风险。为了使银行能够依据高级衡量方法（AdvancedMeasurementApproach,AMA）最大程度地获取由降低资本要求所带来的好处，新巴塞尔资本协定规定了，七种风险管理必须在八个业务层面可以量化衡量。从而，这些关于运营风险（任何非市场风险或信用风险）的严格定义比起其它的定义更加实用。在某些人看来，运用风险管理（ORM）很大程度上是一种相当稀罕的技术性学问，主要依1Booz&Company2Booz&Company信息来源：博斯公司赖“黑盒子”一样的数据工具以及数据库。虽然在实际执行中，数据库以及统计技术是很重要的，ORM更应该被视为一种需要在组织内部所有工作中嵌植的能力和原则。根据我们的经验，很多银行已经意识到：主动采纳运营风险管理可以在改善工作守则以及管理流程的过程中起到非常有价值的催化作用，并且所得到的好处远远超过数据本身。为什么对于中国的银行来说，运营风险管理很重要？所有的银行每一天都面对运营风险。报纸头条新闻中的运营风险灾难是众所皆知的；举例而言，1995年巴林银行（BaringsBank）因为金融衍生品交易（DerivativesTrading）而倒闭；2002年，爱尔兰联合银行（AlliedIrishBank）因为外汇交易亏损了6.9亿美元。2005年，万事达信用卡集团宣布大约四千万信用卡顾客账户被一名黑客利用电脑病毒侵入，因此造成的亏损相当可观。同样的，中国的银行业面对了自己的问题，许多个人现在因为欺诈而被判刑。许多中国的银行也雄心勃勃地志在达到新巴塞尔资本协定的世界级金融机构的标准。必须注意的是，新巴塞尔资本协定的具体条款以及实施时间还在议论当中。除此以外，全球一些最大规模的银行正在面临巨大的挑战和采纳新巴塞尔资本协定的方法所需的高额成本。因此，我们的观点是，最好把新巴赛尔资本协定要求视为行动的指导原则，把完全遵守协定的要求当作一个发展方向而非短期目标。切实的最低目标以及降低风险的目标可以通过系统性的努力在数年内实现。银行需要以“审计”为起点逐步建立公司治理、定性的和量化的评估机制。直到最后，最复杂的运用风险值（OperationalValue-at-Risk,VaR）模型才被用于处理一直以来所累积的运营风险以及亏损事件数据库（见图一）：中国经济以及金融系统的快速发展使得运营风险管理更加重要。中国市场的规模以及多元化增加了管理上的挑战，找出并处理潜在的巨大风险的任务越来越艰巨。整个组织体系内部新的业务流程、变化的业绩指标以及激励机制都增加了风险，需要有效的管理。新产品的问世（例如：信用卡、各种形式的抵押贷款、以及将贷款证券化的兴起）以及渠道的增加都带来了更大的复杂性。这些变化总体上是有益的，但对其风险透明化和管理的要求也更为迫切。金融机构不断的进入新的业务领域，例如，基金管理以及保险业务。虽然不断努力的建立信贷风险控制能力，流程再造时往往会发现重要的运营风险管理方面的缺失—举例而言，无论信贷风险的决定如何有效，只要抵押表格的签署不合规，将使得贷款银行对抵押品缺乏有效的控制。为运营风险管理项目建立一个明确的商业目标，是成功实施运营风险管理的成功关键。它可以促使高级管理层把注意力管理实施上，确保及时获得成效，并且评价所需投资是否值得。博斯（Booz&Company）运营风险管理金字塔我们的运营风险管理一共有五个核心层面（见图二），共同确保运营风险管理措施获得实在的收效，而避免其成为纯粹的制度变化。更重要的是，运营风险管理由银行的战略所指导，而且是深植于组织整体的管理原则。运营风险管理绝对不可与变成高级以及中级主管都不理解其目的和含义的多余的技术性演练。金字塔最高的两个层面，战略以及组织结构定下了运营风险管理措施的方向，并且确定了组织体系内部的权责归属：图一建立运营风险管理能力的五个阶段大多的组织在实施更有效的运营风险管理流程时会采取相同的途径成熟性/复杂度的增加运营风险管理阶段传统审计治理以及方针定性的评估量化监控以及管理VaR运营风险值模型内容内部监控主导—审计为推动力建立起：风险功能/责任运营风险架构方针阶段2加上定性的自我评估报告以及遵守根据新巴塞尔资本协定报告亏损阶段3加上有流程推动的量化风险指标（KPI’s）运营亏损与流程的连结阶段4加上建立指标与亏损之间关联的模型新巴塞尔资本协定流程改善/亏损减少阶段1阶段3阶段4阶段2阶段53Booz&Company战略：银行减轻风险的方法是什么？有四种基本的减轻风险的战略，每一种适合不同的条件。•转移：小概率的大规模风险。例如购买保险或是在资本市场套头交易自然天灾这种风险。•避免：大概率的大规模风险。例如，某种特定的业务或国家的风险特别高，如在正处于战争中的地区开展业务•接受：小概率的小规模风险。银行也许会计算运营风险的成本，并纳入产品价格的决定。也许包含在信用卡业务中处理作业失误的客户抱怨处理成本•减少：大概率的小规模风险。例如重新设计信用卡递送的作业流程，来解决PIN密码被盗窃的问题。组织结构：谁负责运营风险管理？员工直接从属关系是什么？虽然明确的组织机构会取决于银行整体的结构、银行的文化、以及业务范畴与能力，我们发现每一间银行在运营风险管理方面，都必须具备“三道防线”：•第一道防线：前线管理层必须积极监控并且管理其业务单位的所有运营风险。可能在企业内有一个运营风险团队在支持，向前线管理层以及第二道防线的管理团队负责•第二道防线：总部的运营风险管理团队定出运营风险管理战略、政策，以及流程。对整个组织的措施以及流程一致性负责，而且逐步建立运营风险管理能力（如图一所显示）•第三道防线：高层管理阶层通常特别设立的一个运营风险管理委员会，委员会负责持续地监督、批准，以及设定运营风险管理的优先顺序、资源重整、以及实施第三个层面，运营风险管理流程是有效运营风险管理关键的一系列举措。它是一个4阶段学习过程（见第4页图三）：•识别/评估：第一个阶段需要透过详细的流程分析来识别风险。我们采用专有的BoRN1方法，并且结合现有的银行法规以及指导原则，在所有的银行流程中找出主要的潜在风险。我们发现密切参与某些特定流程的员工往往对于运营风险的知识最丰富。我们因此建立了结构化的、基于软件的博斯CSA2方法，来显示所有主要流程中潜在风险。进行评估以及考核后，确定结果是显著的而且没有受到操纵。依据新巴塞尔资本协定的定义列出所有的风险。所得是三种可以用来找出风险的重要风险指标(KRI)(KeyRiskIndicator)：1事件性风险指标：什么事件会导致亏损？2因果性风险指标：什么导致亏损？3流程性风险指标：那一些流程以及附属流程受到影响？这些工作会提供对整个组织内部那些风险最高的业务流程的全局认识。（见图四：经过修饰的博思艾伦案例经验）•衡量指标：一旦定义出不同的风险块区并定出优先顺序，我们需要更加精准的衡量风险（或致亏事件）的规模。这会包含特定致亏事件的发生概率以及其发生的潜在损失。使得管理阶层将注意力放在价值最大的块区，建立日后在高级衡量方法下（AMA）,符合新发赛尔资本协定的基础。1BoRN=博斯运营风险网络2CSA=监控自我评估信息来源：博斯公司图二金字塔博斯的运营风险管理ORM金字塔包含管理战略、组织结构、流程、系统、以及运营风险管理ORM文化运营风险管理ORM金字塔战略组织结构系统文化运营风险管理原则运营风险管理所需的业务单位/运营风险管理范畴运营风险管理战略运营风险管理组织结构责任/权利识别/评估–流程/风险识别–风险/控制评估衡量–亏损数据/情景管理–运营风险值VaR衡量层面报告/监控–KRI选择以及监控–向管理层报告控制–加强控制举措管理流程识别控制改善衡量监控运营风险管理系统桥接系统4Booz&Company中国的银行和海外的机构同样面对取得衡量运营风险数据困难的问题。在大多的案例中，无法取得足够的新巴塞尔资本协定所需要的数据，因此，我们采用了两个阶段的做法：1利用现有的数据来预估并量化运营风险。虽然来自外界的数据也可以提供可借鉴的预估，但银行在收集到自身的数据后必须使用自身的数据。在技术层面，我们采用运营风险值OpVaR模型作为指导性框架，以及Monte-Carlo统计模型来获得在特定置信度上的亏损分布估计以及设定银行所需要的资本金。2定义并且建立更加完善的致亏事件数据库以及数据收集流程。这可以提供一个基础，满足未来更加精准的运营风险值OpVaR模型计算的需要，引进更完善模型的需要，以及应用于通过新巴塞尔资本协定高级衡量方法评估的需要。•监控：在最初几年里，比精准衡量运营风险更加重要的是，经常并且积极采用运营风险报告来监控风险，并且采纳符合之前所拟定的运营风险管理战略的举措。我们建议针对组织体系内部每一个部门以及业务单位开发一个“风险指示板”来显示并且总结所有相关的重要风险指标。这个风险体系有结构性，能显示全局性的运营风险情况，同时又可以细分成组织下一个层面上的易于理解的变量以及问题。举例而言，零售银行的“指示板”应该说明零售银行业务的整体情况。同时，更细一点，管理层可以评估各个省份和各种产品的运营风险。信息来源：博斯公司图三流程循环信息来源：博斯公司图四业务流程运营风险管理ORM流程包含风险辨别/评估、衡量、监控/报告、以及加强控制的举措流程识别/评估控制改善衡量监