(三)风险与控制的自我评测
完善的风险管理要求风险能够被独立地确认和监测。银行需要一个相对独立的机制,该机制的程序设计、过程维护、模型操作都是独立、不受干扰的。操作风险与控制的自我控制要求管理者将风险划分为高、中、低三个层次,再给出风险频率的数量分析:比如,5年一次或10年一次;强度的数量分析:比如,500万美元的交易中损失不到100万美元或超过100万美元等。
确认控制的缺陷,对于那些可能出错的地方,如果不加以重视的话,就会导致操作失败。一旦对风险回报进行权衡后,风险控制缺陷就可以被用来制订行动计划以减少这些缺陷,操作风险管理者就可以监测这些行动计划的进程。从这个方面讲,银行风险管理者需要对那些影响到操作风险的事件进行分析和监测,需要对那些可能出错的方面以及控制手段的效果进行综合考虑,从而制订出可行的计划,对那些应该被注意的控制缺陷进行“成本-效率”分析。风险管理也需要对运营中存在的风险进行正确的度量,以便使对于风险的正确补偿方法(包括金钱的或保险的)能够到位,如果没有相应的风险补偿机制,如果风险不可避免地发生的话,损失将很严重,有时甚至会逼迫企业关门;但如果风险补偿过大的话,企业又不能获得足够的利润回报,最后也不得不关门。因此,获得补偿的准确数量是非常重要的,要想获得补偿的准确数量只有对风险正确、合理地度量。
(四)风险暴露与损失
操作风险度量模型依赖于对单个损失频率及强度同时进行的测算与衡量。建立的模型不仅要能够体现预期的和不可预期的损失,更要包括使用者对其他类似业务、不同时间中的损失进行比较分析。也就是说,除了纯粹的损失数量之外,模型还应该提供损失的比率。鉴于此,引入风险暴露就显得非常重要了。
怎样衡量在交易过程中的风险暴露?交易的总额(交易数量×单个交易的平均交易量)是一个规模的度量值;关于客户索赔的计算,可以用顾客的数量乘以单个客户的索赔数量得到。风险暴露的基础是风险暴露频率(交易的数量×顾客的数量)与暴露的强度(每笔交易的平均额度与单个顾客的索赔数量)。对于其他的操作风险种类,也是同样的道理。实际上,可能还有其他许多与实际风险有更高关联度的数据,但这些数据不是不实用,就是获取的成本太高。因此,获取数据的成本较低,其获取的数据风险敏感度也较低,这在保险业中的应用已经很广泛了。比如,理想的汽车保险金应该与该汽车年行驶里程相关,但在实际操作中,这通常被一个更为粗略的度量标准代替,如汽车用于家庭消费或是用于商务消费的度量。
让我们看看一个交易过程的风险度量。交易是通过那些包括了交易人员、交易程序、交易系统在内的业务流程来进行的,业务流程从谈判开始,包括例如交易中的证券买卖或从零售银行取款等,谈判又以业务的结算结束。辅助交易的还有那些使得谈判变得可能的系统,包括交易的电话系统和零售银行中的系统网络。在结算后,涉及的系统还包括产生和出具对账单给顾客。
作为第一个近似值,失败交易的数量以及由此引起的损失数量都直接以百分比的形式相对于交易的数量来计算。同样,我们可以进行合理的推论,就是对于每个失败的交易,损失的规模相对于交易规模都有一定的百分比率,这表明风险暴露的强度应该是交易的平均规模。由于选定的风险暴露的获取成本过高以至于无法获取,我们只能使用其中的一个来代表。比如,所有交易的数量不一定都被记录下来,我们就应该使用账户的数量来代替,这些账户的平均规模与交易的平均规模是相关的。
为了比较损失随时间发生的变化,度量损失的可能性比度量损失的绝对数量更为有用。风险暴露与损失数量之前的关系很复杂,远远超过两者间的线性或百分比关系。这种(或者其他)提炼方法是有效的,并且应该被引入到模型中来,然后再加以进一步深化和加强。模型建立时,最好用线性的近似值建立一个精确的模型,再根据实际使用的需要进行补充和改进,再重复这样的过程以使得模型得到不断的改进,同时改进一次都能得到一个更为准确的模型。
通过引入损失概率和风险暴露基础这两个概念,银行就可以比较不同业务中或者同一业务不同时间的预期损失,而不需要比较由于不同业务规模或因为业务发展造成的规模变化对这种度量的影响。
了解预期损失是非常重要的,但对于管理操作风险来说又是不够的。风险实际上是对造成损失有关的易变因素的度量,易变因素越大,风险越大。换句话说,只要可能的损失被限定在一个很小的范围内,一个预期损失更大的业务可能比预期损失更小的业务风险要小。信用卡欺诈就提供了一个很好的例子。信用卡消费每天大量地发生着,而交易失败(劣等交易)却非常幸运地很少发生。信用卡欺诈的损失概率要比交易失败的概率高得多,尽管如此,信用卡欺诈的损失是预计损失的五倍,而交易失败的损失却是预计损失的三倍。
(五)操作风险度量与风险乘数
操作风险与相对于某些置信水平下不可预期损失与全部损失分布的标准差有关。非预期损失是根据一定的确定程度,从包含在全部损失分布的所有可能损失中得到一定的确定程度——比如99%——就是说有99%的可能,所有的损失会比预期损失加上不可预期损失要小,或者说,仅有1%的可能,所有的损失会比预期损失加上不可预期损失要大。要得到不可预期损失,需要计算损失分布,需要一定的统计学知识来运用那些严密的数学技术,比如采用蒙特卡洛模拟将频率与强度分布合并为损失分布。
然而,不管非预期损失的实际数量是多少,它总可以表示为预期损失的一定倍数。采用对预期损失倍数的方法来计算不可预期损失有一个专用的名词,就是我们所称的“γ”。γ就是一种简单的可以代表不同程度风险的方法。比如,信用卡欺诈风险乘数为5,那么不规范交易的风险乘数就是100,而顾客在资产管理方面投诉的风险乘数则为25。就像上面所看到的,这种方法以一种简单和普遍的“语言”解释了不同业务中不同风险的不同危险程度。
(六)损失数据的充分性、相关性与完整性
需要我们研究的当然是内部的损失经历了。从特定时间段的历史记录中进行分析并得到损失的历史分布状态需要两个矛盾的因素:(1)足够的数据点,使得比预期价值或标准差等的统计参数有意义;(2)这些数据点之间的联系。深入研究所有历史数据,只要收集到足够的损失数据,就会发现将得到更多的数据点,计算出的参数值的确定性就越大。而实际上,企业都不是一成不变的,因此一次研究所追溯的时间越长,企业现存的风险和控制环境的损失数据关联度就越小。历史损失经历是我们分析的开始,而不是目的。
除了获得足够多的相关损失数据外,还有一个对历史损失数据记录非常实际的问题就是数据的完整性。大多数银行搜集的操作风险损失信息都没有完整的要素,使得这些信息失去可用性。除了信用卡欺诈的记录之外,多数损失都被合并如费用或者是收益的抵消项目,从这些合并的会计科目里提炼出单个的损失资料几乎是不可能的。但我们对过去的做法已无能为力,解决完整性的方法是边前进边进行。许多银行已经开始对损失数据进行有条理的搜集和整理,通过这样的工作,以获得足够详细的单个操作损失信息,长年积累下来,这些数据就显得严密完整。
小概率事件损失(也可以叫做巨额损失)以及它引起的决定风险的发生是非常少的,因此要解决以上损失数据的足够性和相关性问题也需要继续努力。许多产业分析家认为,用行业损失数据对内部损失过程数据进行补充有助于解决这个问题。这就导致了多种操作损失搜集组织的兴起。
当然,产业损失数据有助于解决足够性的问题,但又引起银行间数据相关性的问题,这个相关性不同于原来银行内部数据相关性的问题,因为不同的银行有不同的经营战略,在不同的外部环境中进行运作,同时有着自己的内部操作和控制传统,引入过多的产业信息也许会掩盖银行自身真实的风险,就这来说,产业数据对于管理银行的内部操作风险不再有用。
(七)情景分析
对于小概率事件的概率获得,比如单个顾客对金融企业的法律诉讼,需要经过非常长的观察期(10年以上)来获得预期的概率,更不要说其他的一些参数,比如强度平均数或它的标准差。这就意味着在实际中,我们所需的参数不能直接得到。
而填补数据空白的一个有效方法就是通过情景分析人为地“制造”一些数据。不同的人对情景分析往往有着不同的理解。这里,情景分析是一个严谨的过程,该过程的执行者是风险管理者,同时业务管理者也积极参与。这个过程包括了对概率、强度的预期和不可预期值的估计,以及选择合适的估计值来合并对损失分布的估计。重要的是,这个方法与在我们有足够损失数据的前提下进行实际模型损失分析的方法是一致的,二者的唯一区别是输入的数据不同。情景分析中输入的是专家意见、所有有用的内部损失数据、行业内相似例子等,这就表示输入的因素不完全依赖于内部损失数据,也不依赖于程序化的“记分卡”。
在上面的这种形式的情景分析中,所有关于频率和强度分布的参数都是“他人估计”,它们采用了所有可能的定性和定量数据,包括了业务管理层和高级管理层对风险的主观判断。一旦我们得到模拟损失分布状态,就应该将预期和非预期损失与类似行业进行对比,将对比结果交由风险管理层和业务管理层进行评价。如果需要对初始的“他人估计”进行调整,整个过程就需要从频率和强度分布的阶段重新开始。
另一种方法是仿照保险行业的做法,通过对行业数据的分析确定操作风险等级。让我们看看驾驶汽车的例子。幸运的是,大多数司机的损失经历都比较少,以至于缺乏足够的数据来形成对他们个人损失分布的分析。但将所有司机的损失经历集合起来,数据就足够了。这个集合的损失经历就可以被用作产生人口损失分布。然而,应该认识到,并非所有的司机所承受的风险都是一样的,因此这样的人口损失分布应被细分为若干个损失分布类,每一个都与特定的司机群相关。这样,单个司机的风险就不单单是由他个人的损失经历决定,同时也由他所处的司机群决定。
(八)操作风险等级与关键风险动因
对于每一种操作风险,行业的损失数据都可以被分成不同的、区别明显的损失分布级,每级都可以以一组独一无二的操作风险参数p(损失事件概率)、μL(给定事件的预期损失)、γ(风险乘数)来表示。每级损失分布对应一组参数,就决定了一个特定的风险等级。当然,上面的想法不单单只是设想。不同的银行间具备一些相同的风险特征,因为它们的产品具有很大的相似性,它们使用的系统差别也不大,但银行的员工素质、流程和系统质量还存在着差别。因此,我们完全有理由相信,即使没有足够的数据,从整个银行业的角度来看,总有一些银行会具备相似的风险,这些风险可分成不同的等级。
上面提到的风险特征也叫做关键风险诱因KRDs(动因)。关键风险诱因决定了银行的风险等级,因此获得关键风险诱因数据将可对银行进行风险分级。
实践中如何使用风险等级呢?将历史损失经历、行业损失经历以及情景分析等结合起来,将得到一张图表。表中显示了不同的操作风险等级,不同的操作风险类型和不同的风险等级对应不同风险乘数。风险乘数是一种风险测量参数,它等于不可预期损失除以预期损失而得到的值(比例)。风险乘数随着风险类型的不同而改变。比如,在偷窃、信用卡欺诈、未授权交易等风险中,风险乘数从2到125的变化。这说明,这类风险中偷窃、欺诈等行为变化的范围比较大,它包括常规性的欺诈,如每天都可能发生的信用卡欺诈(频率较高、强度较小、风险乘数相应也小)和罕见的欺诈,如流氓交易(频率很低、强度大、风险乘数也大)等。交易失误风险类型中风险乘数的范围就更小了,这种类型的风险包括频率较高、强度较低的失误,中等频率、中等强度与衍生工具交易或对公贷款义务相关的失误,而且在任何情况下,该类失误比流氓交易产生的后果要小得多。
实际工作中,某项业务既可能在低风险等级(如欺诈)上运行,又可能在高风险等级(如员工投诉)上运行。当我们采用技术措施强化防范欺诈时,其风险等级会降低;当我们大规模裁减员工时,员工投诉则会上升,其风险等级会上升。
如何求得这些风险乘数呢?首先需要说明的是,这些风险乘数只是为解释的目的而设计的,并不会在实践中被直接使用;它们仅仅描述了某一家银行采用从实际内部损失数据推导风险乘数和采用情景分析推导风险乘数之间的相关关系和有关数值。
关键风险诱因就是一些风险特质。通过分析这些特质,可以帮助我们区分不同业务单元,或者同一业务单元在不同时间的风险等级。关键风险诱因就是那些确定的“首要因素缺陷”。其他的关键风险诱因包括产品的复杂性、交易系统的复杂性、业务单元的增长率、系统延迟发生的频率、员工能力使用程度及其技能水平。当新的关键风险诱因被发现时,肯定也会发现原来初始的一些关键风险诱因并不具有风险敏感性。我们也注意到,规模或者数量型的表现指标并没有被采用,因为这些指标通过风险暴露已并入到了风险测量中,所以可以通过对每种关键风险诱因的权重比例进行分析,从而建立一种数学模型将特定的业务单元划成一定的风险等级。再者,只要有证据显示某些关键风险诱因被过分评估了,就可以使用简单的平均法。