Chapter1 Introduction to Operational Risk and Resilience
巴塞尔银行监管委员会(BCBS)对操作风险的一个常用定义是,操作风险是“由于内部流程、人员和系统不足或失败,或外部事件造成的损失风险。”
另一个有时用于银行业操作风险的名称是非金融风险。一些银行可能没有ORM部门,但有NFRM部门。该名称指的是操作风险的原因,而不是其后果,可能是财务、运营或两者兼而有之。然而,与市场风险、流动性风险和信用风险不同,在某种程度上,操作风险的驱动因素通常是非金融性质的。
企业风险管理是指对公司所有风险的全面管理。在金融领域,市场和信用风险极其重要,企业风险管理为从全公司的角度管理这些金融风险和非金融风险提供了一个框架。
然而,在医疗保健和技术等金融部门以外的一些行业,公司的风险敞口可能主要由操作风险决定。在这些情况下,ERM和ORM之间可能没有什么区别。
巴塞尔委员会将操作风险分为七种主要类型,通常称为“巴塞尔协议类型(1级)”。这些类型进一步细分为更精细的监管类型(2级),如示例所示(3级)。该分类包括第3章中完整介绍的巴塞尔操作风险分类法。表1.1列出了七种主要类型、它们的常见缩写和案例示例。每种事件类型的频率和严重程度的比率是根据2014年至2019年的银行操作风险损失数据计算的,可以被认为是该行业的代表。
除了概述每种事件类型的相对比例外,每种事件的频率与严重程度的对比比率还揭示了事件的相对严重程度。例如,外部欺诈在频率与严重程度上的比例过高,表明许多外部欺诈事件相对较小。事实上,银行每个月都会收集数千起信用卡欺诈事件,有时大型零售银行会收集更多,其中大多数都很小。然而,这一类别还包括黑客攻击造成的损失,这可能非常严重。因此,在每个事件类别中,事件可能存在显著的异质性。相反,CPBP类别占操作损失的一半以上,而事件频率不到四分之一。监管机构对银行施加的罚款有时高达数十亿美元,这解释了这种不平衡。
总体而言,75%的操作风险事件频率集中在四类:EF、EPWS(这种事件类型在拉丁美洲银行中特别常见,但在欧洲几乎没有出现)、CPBP和EDPM。只有两种事件类型CPBP和EDPM足以解释79%的严重程度(86%包括EF)。值得注意的是,表1.1中报告的数字仅反映了与每个操作风险事件相关的直接财务损失。大型操作风险事件的间接后果,如声誉受损、市值下降、管理层更替和补救成本,有时远远超过直接财务成本。框1.1展示了一些众所周知的操作风险案例。
就正式术语和既定管理技术而言,ORM是金融领域相对较新的学科。几个世纪以来,信用、市场和精算风险一直是财务管理不可或缺的一部分。自15世纪以来,银行一直在放贷和管理信用风险。银行没有等待监管机构强迫他们管理操作风险,尤其是欺诈风险。内部和外部欺诈是每个行业自然关注的对象,长期以来,银行业不需要外部监管规则。然而,金融业的演变、金融市场发展带来的风险敞口增加以及交易的加速导致了风险敞口的增加。1995年,霸菱银行新加坡办事处的交易员尼克·利森在衍生品交易中损失了6.6亿英镑,导致英国最古老的商业银行倒闭,这一事件引起了包括监管机构在内的许多人的关注。
BCBS为国际银行制定了监管原则。BCBS利用巴林银行破产的冲击,制定了银行管理一般业务风险的要求,这些风险超出了信用风险和市场交易带来的风险。银行被要求建立和管理这种称为“操作风险”的新风险,它由与信用风险或市场风险没有直接关系的每种风险的异质组成部分组成。一些银行经理对操作风险这一概念感到困惑和不屑一顾。银行如何衡量、控制和分配资本,以应对人们犯错的风险?然而,在监管指导下,通过最大银行之间的共享实践(大约10年后保险公司紧随其后),操作风险管理的纪律出现了。二十年后,这种做法仍在不断发展,但已经取得了重要进展。
巴塞尔委员会对操作风险的定义有一个补充,内容如下:该定义包括法律风险,但不包括战略和声誉风险。巴塞尔委员会认为有必要明确纳入法律风险,但排除战略和声誉风险,这一事实一直是专家们争论和猜测的主题。然而,BCBS最近改变了立场,在2021年发布的《操作风险健全管理原则》(RPSMOR)的最新修订中指出,“在适当的情况下,银行的操作风险管理应考虑战略和声誉风险。”
法律风险与合同的可执行性或违约性、其相关性、法律和立法以及违约或错误情况下的损失风险有关。法律损失几乎可以与所有操作事件类型相关联,但更常见的是,它们与事件类型3(EPWS)和7(EDPM)相关联。
合规不仅涉及遵守法律,还涉及遵守适用于特定活动的所有规则和条例。在操作风险的每一天,合规风险由事件类型4(CPBP)捕获。多年来,金融业的规章制度成倍增加,制裁也成倍增加。2012年,汇丰银行因反洗钱控制不力被罚款19亿美元,这是监管机构对银行处以的最大罚款。十年后,鉴于劳埃德银行集团被处以219亿英镑的罚款或美国银行被处以罚款,这一数额看起来几乎很小(见框1.1)。
面对如此惩罚性的金额,有时还会伴随着监管机构施加的昂贵的业务限制,大多数最大的银行都设立了单独的部门来管理合规风险。在其中一些公司,如JPMC和BNPP,操作风险管理部门位于合规部门内部,合规部门将其作为其一般活动的一个子集。
监管机构可能已将战略和声誉风险排除在操作风险之外,以使操作风险的衡量尽可能客观。
声誉风险通常是指一些操作事件后对声誉的损害。在这种情况下,声誉与其说是直接风险,不如说是一种结果风险。尽管监管机构将其排除在外,但大多数金融组织都将声誉损害的评估和管理作为其ORM活动的一部分。声誉损害、其预防以及对损害事件的应对都包含在大多数操作风险影响评估表中。第4章详细介绍了评估操作风险影响的维度和方法。当组织的形象因商业原因而故意面临风险时,声誉可以被视为一种风险,而不是其他风险的结果。例如,管理层可能会决定在某些国家运营或销售某些类型的产品,选择一些有争议的营销信息,获得更多业务,或提高品牌知名度,即使这些举措会影响其在某些利益相关者或政治团体中的形象和声誉。在这种情况下,公司应该有意识地做出风险偏好决定,承担更多的声誉风险,以换取更高的预期回报。
虽然声誉风险通常包括在金融服务组织的ORM活动范围内,但战略风险通常被排除在外。然而,战略风险可以区分为因做出错误的战略选择而造成的损失风险和因战略执行失败而造成的风险。由于执行不当而导致的损失风险,无论是由于流程不佳、人员不足还是系统不足,都应被视为一种操作风险。
人可以说是操作风险的主要原因,也是主要的缓解因素,高级管理层的能力可以说是战略绩效的最大驱动力。鉴于人的能力、信息质量和治理的健全性对公司战略绩效的重要性,战略风险实际上是董事会中的操作风险(见框1.2)。
风险管理框架是为管理实体风险而部署的行动、技术或工具的表示。由于企业风险管理活动的很大一部分与金融部门以外的一些行业的操作风险管理有关,金融机构可以从企业风险管理框架中获得灵感,以制定其ORM框架(ORMF)。不仅在金融业,最广泛采用的企业风险管理框架是国际标准化组织(ISO)31000标准和特雷德韦委员会赞助组织委员会的COSO企业风险管理。例如,联合国组织遵循ISO风险管理框架。世界银行等其他公共或国际组织从COSO模式中获得灵感。
2009年,ISO发布了风险管理的国际标准:ISO 31000,该标准于2018年2月进行了修订,以“更加注重创造价值,将其作为风险管理的关键驱动力,并……根据组织和人类及文化因素进行定制。”2017年9月,与COSO之前对其著名的企业风险管理“立方体”框架的审查相一致的演变最终确定了将风险与战略和绩效相结合。COSO将使命、愿景和风险文化置于框架的中心,并详细介绍了23种用于实施企业风险管理的工具和行动,以提高战略绩效。COSO和ISO框架均适用于金融和非金融组织。
组织使用各种视觉辅助工具来表示他们的风险管理行动和工具:构建基石、“房屋”、循环或流程。无论代表性如何,风险管理框架都缩小到四个主要活动:风险识别、风险评估、风险缓释和风险监测(见图1.1)。风险识别侧重于尽可能详尽地定义、发现、选择和分类企业或特定活动面临的风险。第3章详细介绍了金融行业操作风险识别和分类的步骤、工具和技术。
接下来是风险评估的重要步骤,评估先前识别的风险的可能性和可能的影响(或“严重性”):可以忽略不计的风险、极端的风险以及介于两者之间的所有其他可能范围。特定风险的影响和可能性会随着时间的推移而变化,具体取决于业务的性质和风险敞口以及外部环境。风险评估是一项核心且具有挑战性的活动,详见第4章。
所有被评估为太可能或太严重的风险都必须进一步减轻。风险缓释技术包括不同类型的控制、保险单、其他风险转移技术和减少风险敞口。第5章介绍了风险缓解技术。
风险监控和报告是风险管理的第四步,以确保一切按预期进行。这四项活动通常由适合风险管理迭代性质的连续循环来表示。风险监控表明风险管理是否有效;业务活动是否稳定,是否按预期执行。如果不是这样,则需要将吸取的经验教训纳入下一轮风险识别、评估和缓解中,直到下一次监测和评估,以此类推。第6章讨论了风险报告。
操作风险具有影响其管理和衡量的独特特征(见表1.2)。表1.2中列出的特征使操作风险特别难以管理,建模也很复杂。以下章节介绍了这些复杂性在操作风险管理和衡量中的后果。
操作风险具有高度异质性,因为它包括零售交易中的外部欺诈风险,如存放在银行分行的假钞和伪造支票,以及有形资产的损坏,如地震后办公楼的毁坏。
每种类型的操作风险都以独特的方式实现,这也取决于事件发生的业务线和金融服务的类型。此外,在每种广泛的类型中,操作风险可能是异质的:例如,并非所有的错误或欺诈事件都是相同的。这种异质性强调了仔细识别、定义操作风险并将其分类为有意义的分类法的必要性。第3章讨论了这些挑战。异质性也会影响操作风险评估建模。第4章介绍了操作风险评估方法。
由于操作风险来自组织中的每个人和流程,因此需要由公司中的每一个人根据手头的任务进行管理。后台职员在验证交易之前需要仔细核对交易,以避免欺诈和错误。IT经理在发布新的IT应用程序之前需要运行完整的测试脚本,以避免中断或错误。信贷员需要认真记录信贷抵押品,以避免在客户违约的情况下增加净损失。ORM中常用的说法是“每个人都是风险管理者”。ORM不能像信用风险管理(CRM)或市场风险管理(MRM)那样集中。中央ORM职能对于集中操作风险的报告和信息以及为管理层提供指导至关重要,但操作风险本身的管理,特别是其缓解,取决于组织的每个员工。
操作风险损失以高度不对称的方式实现。操作损失的分布非常倾斜(小损失的可能性很高),大多数事件密度集中在分布的最低部分,但有一个沉重的尾部延伸到少数非常大的事件,比中位数大几个数量级。换句话说,大多数操作风险事件都很小,只有少数非常严重的损失。事实上,如果银行分行小额现金欺诈或小额银行手续费计算中的轻微操作错误造成的损失与流氓交易(法国兴业银行)、大规模网络攻击(Equifax)、违反禁运规则的数十亿美元罚款(BNPP)或因服务器迁移失败导致的网上银行中断天数(TSB bank)的成本混合在一起,显然会导致损失数据的极端变化。
在确定风险管理的优先级时,这种变化是有意义的。并非每个操作风险事件都是致命的,甚至不是重大的,也不是每个操作风险都需要以同样的方式进行管理、监控或优先级排序。操作风险的不对称特征及其显著的重尾性质(超额峰度)使其在最高百分位数的测量特别不确定。我们在第4章中讨论了操作风险度量和建模的挑战和最佳实践。
操作风险的范围是复杂的,有可能在每个业务运营中出现。将资金汇给错误的客户、开具错误的金额发票、向客户提供有关产品的错误信息、违反数据保护规定、沉迷于网络钓鱼电子邮件并造成网络漏洞,以及丢失或损坏设备,都属于操作风险的范畴。操作风险的大多数原因与控制不力、人类行为的偏差和失败以及操作环境的变化有关。它们是多种风险事件的共同根源,不仅在操作风险方面,而且在信贷和市场风险方面。所谓的边界事件是指以不同类别出现的风险事件。
在金融市场交易中预订错误的方向(买入而不是卖出,反之亦然)可能会导致市场损失,即使原因是操作风险。同样,信贷处理中的错误可能会导致银行的信贷损失。
鉴于操作风险的性质,操作风险与其他所有风险类型之间的相互作用的例子很多。
要了解操作风险的性质,我们必须了解一个部门或组织的运营和风险敞口。这就引出了操作风险的第五个特征:其动态性和演变性。例如,金融业操作风险的演变是随着金融业本身的发展而变化的。重大的操作风险辩论始于20世纪90年代末新衍生品市场过度暴露和欺诈交易造成的损失。最著名的体现是巴林银行1996年的破产,据称这引发了人们对操作风险管理必要性的反思。
随着行业和环境的变化,操作风险已经演变为极端形式。2001年9月11日的恐怖袭击或导致日本福岛核电站核事故的地震等重大自然灾害,与人类悲剧一起,是DPA的极端形式。内部欺诈的极端操作风险事件包括法国兴业银行在2008年损失的49亿欧元和瑞银在2011年损失的20亿美元,这两起案件都是在恶劣的流氓交易案件中发生的。
当监管机构开始制裁反洗钱控制松懈(汇丰银行)、不当销售投资产品(ING)和次级证券化资产(美国银行)或违反禁运规则(BNPP)时,极端的运营损失属于CBPB类别。
当金融服务业的数字化普及时,一些非常大的运营损失很快与网络攻击和其他网络欺诈有关(Equifax,JPMC)。2016年,银行服务(TSB Bank)的重大中断引发了围绕运营弹性的新一轮监管,这是对操作风险的新补充。新冠肺炎疫情及其对工作组织和加速数字化的深刻影响很快加强了这一点。
2010年代末,人们对韧性的关注度有所提高,当时金融部门和监管机构认为,不仅需要关注银行和保险公司的金融稳定性,还需要关注其运营稳定性以及加强其预防大规模运营中断和从中恢复的能力。
这种关注源于金融业对IT系统和基础设施的严重依赖。同样,金融服务公司越来越依赖关键的第三方提供商,如云和互联网服务提供商、支付基础设施参与者和中央清算对手。
英国监管机构首先发布了一份咨询文件,然后发布了关于抵抗力的监管指南。
业务服务的连续性:这一要素通过降低关键业务供应中断的风险,最接近业务连续性规划和预防的经典方法。 重要商业服务:这是弹性监管方法的创新。监管机构从基于流程的连续性视图转向基于服务的视图。公司必须确定如果中断,将对“消费者或市场完整性造成无法容忍的伤害”的服务,并确保这些服务在容忍范围内的连续性。 影响容忍水平:公司被要求“量化在发生事故时可以容忍的中断程度”。这与业务连续性规划中的恢复时间目标没有太大区别。细微差别在于,弹性必须与关键业务服务有关,而不是与流程本身有关。这种方法的基本原理是,金融服务提供商的弹性必须不会对客户或市场诚信造成无法忍受的伤害。容忍度还旨在帮助高级管理层和董事会“制定自己的运营弹性标准,确定优先事项,并做出投资决策。” 中断管理:对中断的反应、关键利益相关者对信任的维护以及危机时期沟通的清晰度是有助于系统稳定的公司韧性的其他重要因素。 经验教训:危机发生后,从内部事故或其他组织公开的事件中吸取的经验教训是区分弹性与传统业务连续性的重要因素。金融公司需要从过去的事件中吸取教训,不断提高对意外极端冲击的抵御能力。
随着网络风险的增加和几起备受瞩目的网络安全攻击的发生,该行业的心态发生了转变,认为严重的运营中断是不可避免的,至少是偶尔的。多年来,公司和监管机构已将重点从纯粹的预防性风险管理方法转移到更平衡的观点,即在发生运营事件时预防、检测和纠正,以尽量减少其整体净影响。最后,监管机构明确表示,新要求将与现有的ORM要求并存,而不是取代它们。2018年,英国央行表示:
运营弹性已经是企业和FM/s(金融市场基础设施)的责任,也是现有监管框架支持的结果。监管机构正在考虑在多大程度上补充现有政策,以提高整个系统的弹性。
接着是新冠肺炎。世界转向远程工作,呼叫中心转移到员工的客厅,关键支付和关键市场交易必须在最极端的条件下运行,远远超出了他们之前测试过的任何压力情况。BCBS于2021年发布的关于运营弹性原则的后续指导意见将整合从新冠肺炎危机中吸取的一些教训。
2020年,美联储(Fed)发布了《加强运营弹性的健全做法》,其内容与重要商业服务、容忍影响水平以及将运营弹性视为有效ORMF的关键成果相似。
该指南还强调了将运营弹性纳入整体企业管理框架的必要性。图1.3提出了与金融组织运营弹性相关并支持其运营弹性的不同风险管理活动和部门的综合视图,由美联储文件的不同部分组成。
通过重新排列美联储关于运营弹性的文件每一章的主题,图1.3将运营弹性定位为公司ORM不同组成部分的整体结果。
治理是基础。为各方分配角色和责任,以实现ORM和弹性的有效协调,是一个必要的起点。ORM是运营弹性的核心组成部分,因为如果没有适当的ORM及其两个专业化,运营弹性是不可能的:第三方风险管理,这对供应链的弹性至关重要;以及情景分析,以便为尾部事件做好必要的准备。运营弹性的两个关键支撑支柱是业务连续性管理(BCM)和IT系统弹性。最后,需要监测和报告所有这些活动的协调和维护情况。
巴塞尔委员会关于运营弹性原则的指导方针于2021年3月发布,同时对其操作风险健全管理原则(RPSMOR)进行了修订。这是有意为之,因为巴塞尔协议明确将这两个主题联系起来,认为“运营弹性是受益于有效管理操作风险的结果。”
BCBS在其开幕词中明确表示,ORM框架的稳健性是企业具备良好运营弹性的首要条件。运营弹性的七项原则(表1.3)规定,金融公司需要利用其现有的治理框架,并利用各自的职能来管理操作风险,从而将运营弹性纳入整体风险管理框架(原则1和2)。
正如美联储文件(原则3、5和7)所强调的那样,第三方管理、业务连续性计划和信息通信技术(ICT)弹性是运营弹性的其他关键要素。最后,本着与英国监管机构方法相同的精神,绘制关键服务交付的依赖关系和相互联系,以防止不可容忍的中断,并在发生任何中断时制定计划,是BCBS的核心原则之一(原则4和6)。
英国、美国和巴塞尔委员会是发布了运营弹性官方指南的三个主要监管机构。其他监管机构发布了关于企业弹性某些方面的咨询文件或指南。
2020年9月,欧洲央行(ECB)发布了《数字运营弹性法案》(DORA)的金融服务监管草案,作为欧盟委员会支持成员国发展数字金融的更全球化战略的一部分,同时降低相关风险。立法提案将对金融实体施加一系列与信通技术相关的要求。它以现有的信息和(ICT)风险管理要求为基础,将欧盟最近的几项举措整合到一项法规中,以在欧盟、监管机构和金融服务公司之间建立协调一致的方法。
新加坡金融管理局(MAS)和新加坡银行协会于2021年3月初联合发表了一篇题为《远程工作环境中的风险管理和运营弹性》的论文,该论文涉及管理新冠肺炎大流行期间金融机构(Fis)采用的广泛远程工作安排可能产生的新风险。讨论的风险涉及运营、技术和信息安全、欺诈和员工不当行为以及法律和监管风险。本文就关键的风险管理行动提出了建议,并给出了缓解控制的例子,为新加坡的金融机构提供了最佳实践的基准。它还考察了远程工作对人们和文化的潜在影响,坚持对新形势的认识,对新风险的警惕,以及对现有控制和信仰的重新评估。
证明风险管理的价值既是挑战,也是必要,尤其是对于操作风险管理而言。ORM在公司中比其他风险同行更难推销。信用风险的回报通过信用风险溢价可见;市场回报是市场风险的可见回报。操作风险的回报是什么?
正如剑桥大学的约翰·科茨曾经幽默地说的那样,风险管理者“总是对某人指手画脚”。风险管理有时是说不,而不是为行动设定条件。风险管理就是抓住正确的机会,同时为成功创造正确的条件,抓住尽可能多的上行空间,同时尽可能多地限制下行空间,就像真正的看涨期权一样。
采用风险管理的企业既可以稳定业绩,又可以增加价值。值得庆幸的是,衡量风险管理的价值并不局限于证明没有发生的事情这一不可能的任务。诚然,风险管理的一个关键作用是预防事件和事故,但这并不是它的唯一作用。
ORM价值的一个常见论点是监管资本的减少。监管资本必须主要通过股权来维持。因为股权是组织最昂贵的资金来源,减少对监管资本的需求直接降低了机构的整体资本成本。然而,由于其目前的计算规则,监管操作风险资本对公司的风险状况不够敏感,因此没有真正的激励来优化操作风险的管理。事实上,监管资本往往不是风险管理质量的良好指标。
ORM的另一个理由是更有效的合规性。它带来了避免罚款和其他监管制裁的明显好处。减少监管审查是另一个明显的好处。然而,合规不是绩效;这是一个最低但重要的标准,但它不是一种产生商业价值的机制。
除了资本和合规的最低要求外,风险管理还通过允许更好的决策为业务带来价值。随着时间的推移,组织的风险管理成熟度从关注资本减少和监管合规发展到更积极的角度,成为卓越业务绩效的必要条件。通过更好的决策产生的商业价值有不同的形式,因此可以用多种方式衡量。减少巨额损失是ORM最明显的目标之一,它带来了业务稳定性,这可以通过公司收入和股价的波动性(减少)来证明,它还可以与同行公司和竞争对手的大型公共事件进行有利的比较。减少经常性损失可以提高营业利润率,前提是现有的控制措施具有成本效益。
因此,需要在避免或减少风险事件的背景下评估控制成本,以及它们可能给流程和活动带来的稳定性和可预测性的提高。
更好的风险管理意味着更高的生产率。更少的事件意味着在补救和恢复上花费的时间更少,从而将资源用于更高效的活动。众所周知(在每个行业),解决问题的成本可能远远大于从一开始就投资预防问题。项目管理现在也被系统地纳入ORM范围,为降低项目失败率和获得更大收益开辟了前景。最后,风险职能的关键作用之一是为公司的战略和投资决策提供建议,平衡风险和回报,并提供具有成本效益的风险缓释解决方案。成熟的组织在所有决策中都考虑了风险,使他们能够抓住更多更好的商机,获得更高的成功率和可持续的长期增长。
认识到绩效管理和风险管理是同一枚硬币的两面,将风险管理提升到公司领导层的最高水平,以提高效率和商业价值。通过证明风险管理的好处,超越资本减少和监管合规的简单论点,为风险管理构建商业案例,使风险管理者能够履行其真正的企业角色。为了使ORM框架有效,风险管理为公司和个人带来真正的价值,它需要被接受并真正嵌入组织运营的整体管理中。
附录:
为了更好地交流分享FRM金融知识与业务,专门建立了《FRM学习群》(公益免费)。
各位感兴趣的朋友可回复公众号:FRM学习群,加好友通过后帮忙拉入进群。
