1、中国科学院研究生院虚拟经济与金融研究中心RR/03/09CFEF 研 究 报 告中国商业银行业操作风险分析樊欣 杨晓光中国科学院研究生院虚拟经济与金融研究中心 RR/03/09中国科学院管理、决策与信息系统重点实验室 2003 年 11 月中国商业银行业操作风险分析 *樊欣 杨晓光 摘要:操作风险(Operational Risk)是指在金融机构内由于顾客、不足的内部控制、系统或控制失败以及不可控制的事件所引起的收入或者现金流的波动。操作风险很大程度受到人为因素的影响,定量分析难度大,其定量的度量和管理的研究尚在起步阶段。我国大多数银行还处在向真正的商业银行转型的过程中,内部控制机制很不完善,
2、由于操作风险引发的损失事件时有发展,而关于我国商业银行操作风险的定量研究几近于无。本文通过作者从公开媒体报道中所有可能搜集到的国内商业银行的操作风险损失事件,从损失事件类型、业务部门、四大专业银行、区域分布等维度,对操作风险损失事件的频度和幅度进行定量分析,试图对我国银行业目前面临的操作风险的状况给出一个初步的定量概括归纳。关键字:操作风险、损失事件、损失频度、损失幅度* 本研究由国家自然科学基金(Grant Nos.700221001, 70071045)资助。 单位:中国科学院管理决策与信息系统重点实验室。 单位:中国科学院管理决策与信息系统重点实验室、中国科学院研究生院虚拟经济与金融研究
3、中心。1 背景银行业是一个经营风险的行业,能否有效地对各种风险进行科学的管理和防范直接关系到银行的发展。目前,金融机构所面临的风险大体可以概括为市场风险(Market Risk) 、信用风险(Credit Risk)以及操作风险。市场风险是指由于特定的市场风险因素变化而引起的净收入或投资组合价值的波动。信用风险是指由于机构外部的合作伙伴、借款人、供货商违约引起的净收入或者净资产的波动。市场风险和信用风险在很早就引起了金融机构的重视,到目前为止都已经有了较为成熟的风险管理技术。虽然操作风险这个概念的提出已有较长的历史,但将其与其它两种风险并列为金融机构面临的三种主要风险则是最近几年的事情。金融管
4、制的放松、金融全球化、金融服务产品的日益丰富、以及金融技术的日益复杂,使得金融机构的活动花样繁多,日趋复杂。与信用风险、市场风险相比,操作风险管理在金融实践中地位日趋彰显。因此不论是金融监管部门,还是金融从业机构,都前所未有地加大了对操作风险的管理和控制的力度。操作风险是指在金融机构内由于顾客、不足的内部控制、系统或控制失败以及不可控制的事件所引起的收入或者现金流的波动。对于操作风险的研究历史并不久,但是在最近几年它已经和市场风险、信用风险并列为金融机构需要面对的主要风险。与其他两种风险相比,操作风险主要具有以下一些特点:1) 因为操作风险主要来源于企业的日常营运,人为因素在引发操作风险的因素
5、中占有直接的、重要的地位。如果说市场风险来自于金融产品价格的波动,信用风险来自于借款者偿还能力的变化,绝大多数的操作风险则更多可以归因于有意或无意的、来自企业内部或外部的人为操作失误。在 Basel 银行监管委员会定义的 7 种操作风险损失事件类型种,有 6 种直接与人为操作有关。2) 操作风险事件具有发生频率很低、但是一旦发生就会造成极大的损失,甚至危及到银行的存亡的特点。例如,19921995 年间,巴林银行交易员里森的错误交易以及在出现损失后继续隐瞒,最终给巴林银行带来 86000 万英镑的损失,致使其破产。1995 年,华夏银行 3 名职员非法拆借 3.4 亿多元的贷款,致使华夏银行
6、2 亿多元资金无法收回。因为以上的两个特性,导致了操作风险难以度量、难以管理。如何使用定量的方法来度量操作风险,将操作风险纳入整个银行的风险管理体系,对这个问题的研究才刚刚起步。具体到我国的银行业,由于大多数银行还处在向真正的商业银行转型的过程中,内部控制机制还不完善,加之以社会转型过程中泥沙俱下的腐败蔓延,操作风险是我国商业银行的主要风险来源之一,其在商业银行风险中的比重远大于国际同行的水平。操作风险的度量和控制的研究在我国有着重要的现实意义。尽管我国商业银行由操作风险引发的损失事件数量较大,但是有关操作风险事件和数据的积累却十分贫乏,给操作风险的度量研究带来很大的困难。造成这种贫乏的原因,
7、一方面是历史的原因,过去对操作风险更多地是从管理制度方面考虑,很少有定量分析的意识,因而不注重历史数据的积累;另一方面是我国商业银行的产权和信息披露制度的原因,银行不但没有压力披露操作风险事件,相反却有主动隐藏风险事件的动机。为克服研究数据的缺乏,我们尽可能地收集了国内外媒体公开报导的我国商业银行操作风险损失事件。我们认为这些报导,尽管不充分,但是人为的厚此薄彼的可能性很少,应该说能基本上反映出我国商业银行目前操作风险的大致轮廓。我们希望以这些数据作为依据,来对我国商业银行的操作风险状况做一个定量的概括归纳,以期能初步认识我国商业银行操作风险的各种属性。2 损失事件本文研究所涉及的我国商业银行
8、操作风险损失事件全部来自于国内外媒体的公开报道。共有操作风险损失事件 71 起,涉及我国国内的商业银行 7 家,时间跨度由 1990 年至 2003年,给银行带来的损失多至 5.3 亿元,少至 2500 元。每一笔损失,我们都记录了其损失事件类型(Loss Event Type) 、业务部门(Business Line) 、损失金额 1。如果相应的损失事件中清楚提及商业银行名称、所属地域的,也对这些信息做了记录。其中,对损失事件类型和业务部门的定义来自于 Basel 银行监管委员会,简介如下:损失事件类型是按照操作风险损失事件导致损失发生的原因来进行区分的,具体分为1 损失事件数据表格可见 H
9、ttp: /7 类: 内部欺诈(Internal Fraud):有机构内部人员参与的诈骗、盗用资产、违犯法律以及公司的规章制度的行为。例如内部人员虚报头寸、内部人员偷盗、在职员的账户上进行内部交易等等。 外部欺诈(External Fraud):第三方的诈骗、盗用资产、违犯法律的行为。例如抢劫、伪造、开具空头支票以及黑客行为对计算机系统的损坏。 雇用合同以及工作状况带来的风险事件(Employ Practices & Workspace Safety):由于不履行合同、或者不符合劳动健康、安全法规所引起的赔偿要求。例如,工人赔偿要求、违犯雇员的健康安全规定、有组织的罢工以及各种应对顾客负有的责
10、任。 客户、产品以及商业行为引起的风险事件(Client, Products & Business Practices):有意或无意造成的无法满足某一顾客的特定需求,或者是由于产品的性质、设计问题造成的失误。例如受托人违约、滥用客户的秘密信息、银行账户上的不正确的交易行为、洗钱、销售未授权产品等。 有形资产的损失(Damage to Physical Assets):由于灾难性事件或其他事件引起的有形资产的损坏或损失。例如恐怖事件、地震、火灾、洪灾等。 经营中断和系统出错(Business Disruption & System Failure):例如软件或者硬件错误、通信问题以及设备老化。
11、涉及执行、交割以及交易过程管理的风险事件(Execution Delivery & Process Management):交易失败、过程管理出错、与合作伙伴、卖方的合作失败。例如交易数据输入错误、间接的管理失误、不完备的法律文件、未经批准访问客户账户、合作伙伴的不当操作以及卖方纠纷等。业务部门是按照损失事件发生的部门,来对损失事件进行分类。Basel 委员会划分的商业银行的业务部门包括: 公司财务(Corporate Finance):合并与收购、股份承销、资产证券化、首次公开上市发行、政府债券和高收益债券等。 交易与销售(Trading & Sales):固定收益债券、股权、商品期货、信用
12、产品、自有头寸证券、租赁与赎回、经纪、债务。 零售银行业务(Retail Banking):零售的存贷款业务、私人的存贷款业务、委托理财、投资建议。 商业银行业务(Commercial Banking):项目融资、房地产、出口融资、交易融资、代收帐款、租赁、担保、贷款。 支付与清算(Payment & Settlement):支付、转帐、清算。 代理服务(Agency Services):契约、存款收据、证券借贷、发行和支付代理。 资产管理(Asset Management):可自由支配的资金管理和不可自由支配的资金管理。 零售经纪(Retail Brokerage):零售的经纪执行以及其他服
13、务。我们将每一笔损失按照损失事件类型和业务部门交叉分类,并且按照四大商业银行以及不同的地域进行了统计分析,试图从中发现一些我国商业银行中操作风险分布的特点。3 损失事件统计分析结果首先我们按照损失事件类型和业务部门交叉分类,对所有损失事件的发生频率和所造成的损失进行了统计。我们先从业务部门的角度来分析商业银行的操作风险状况。从下面的统计图形中可以看出,无论是损失事件的数目还是总的损失金额,商业银行业务所占的比例都远远超出其他的业务部门。零售银行业务的损失事件数目位居第二,但是其总的损失金额并不大,在损失金额的比较中排在最后。造成这种结果的原因可能是:1) 我国商业银行发展的历史还比较短,因此目
14、前开展的业务范围还很有限,主要的盈利还集中于对于企业的商业贷款。因此商业银行业务的操作风险应该在总的操作风险中占有较大的比例。2) 与零售银行业务、公司财务等业务相比,商业银行业务涉及的金额一般较大,因此一旦发生操作风险损失,损失金额都很大。3) 造成这种结果的原因和媒体的报道披露也有关系。一般来讲,涉及金额较大、问题较为严重的事件会得到充分的披露,而金额较小、存在于日常营业中的损失事件则很少得到公开披露。有理由相信,单从损失事件数目来讲,零售银行业务部门应当超出商业银行业务部门,因为前者的交易数目远远大于后者。不 同 部 门 的 损 失 事 件 数 目53131 2 201020304050
15、60商 业银 行业 务零 售银 行业 务公 司财 务资 产管 理代 理服 务不 同 业 务 部 门 的 损 失 金 额288692.7377.7 5619 1261.5 170050000100000150000200000250000300000350000商 业银 行业 务零 售银 行业 务公 司财 务资 产管 理代 理服 务不 同 类 型 的 损 失 事 件 数 目41157 3 5051015202530354045内 部欺 诈外 部欺 诈执 行、 交割 以及 交易 过程 经营 中断 和系 统出 错 客户 、产 品以 及商 业行 为不 同 类 型 的 损 失 金 额199677.439
16、2237.375.09 17.93 3813.18050000100000150000200000250000内 部欺 诈外 部欺 诈执 行、 交割 以及 交易 过程 经营 中断 和系 统出 错 客户 、产 品以 及商 业行 为其次我们从损失事件的类型来分析我国银行的操作风险。第一个图表给出了不同损失类型的事件数目,第二个图表则给出了不同类型的损失金额。可以看到,内部欺诈无论在数目还是在金额上都是最重要的一种损失事件类型,而外部欺诈则排在第二位。由此我们可以看出:1) 我国商业银行的内部控制还存在较大问题。由于内部控制制度不严,为各种各样的来自银行内部的违规操作提供了可能。在一个内部控制制度健
17、全的商业银行中,由于外部欺诈导致的损失应当大于内部欺诈。2) 一旦有了银行内部职员的参与,带来的损失将是非常巨大的。在我们收集的损失事件中,有相当一部分欺诈行为,既有内部员工又有外部人员参与,在这种情况下银行受到的损失是非常巨大的。另外,我们还绘制了损失事件发生数目的频数统计表。频数百分比经营中断和系统出错客户、产品以及商业行为执行、交割以及交易过程外部欺诈 内部欺诈总计代理服务 00.0000.0000.0000.0011.4111.41资产管理 00.0011.4100.0000.0011.4122.82商业银行业务00.0011.4122.821216.903853.525374.65公
18、司财务 00.0011.4100.0000.0011.4122.82零售银行业务34.2322.8257.0434.2300.001318.31总计 34.2357.0479.861521.134157.7571100.00尽管,我们收集的损失事件很不全面,但是从这个统计表格中,仍然可以看出一些特征:1) 从业务部门来看,损失事件主要集中在商业银行业务和零售银行业务,分别占到了74.65和18.31。2) 从损失事件类型来看,损失事件主要可以归因于内部欺诈、外部欺诈,分别占到了57.75%、21.13。3) 从业务部门和损失事件类型两种因素的组合来看,占到损失事件比例最大的是商业银行业务中的内
19、部欺诈,总共有38起,占到53.52。其次是商业银行中的外部欺诈行为,占到了总损失事件的16.90%。另外,还在不同的业务范围和损失事件类型下分别对损失的大小进行了统计。结果如下:业务部门 单笔损失金额平均值(单位:万元)代理服务 85资产管理 630.75商业银行业务 5447.03公司财务 5619零售银行业务 5.98损失事件类型 单笔损失金额平均值(单位:万元)经营中断和系统出错 5.97客户、产品以及商业行为 762.636执行、交割以及交易过程 10.73外部欺诈 6149.15内部欺诈 4870.18从中可以看出,无论在哪种分类情况下,各类之中的损失大小的均值相差都很大。这说明,在度量操作风险时,应该分别考虑每个业务部门和每个风险事件组合下的损失分布情况。
