操作风险的分类及事件分析
2017-07-14吴超
吴超
【摘要】 操作风险是金融行业风险的重要组成部分,目前,在国内外不少金融机构中,操作风险导致的损失已经明显大于市场风险和信用风险。尤其是在国际银行业界,产品多样化和复杂化的程度高,对以计算机技术的依赖大,加之经济全球化的不断深化,使得一些“操作”上的失误,可能带来极其严重的后果。本文就操作风险的定义和分类进行介绍,并着重分析法国兴业银行的操作风险事故,指明加强操作风险控制的重要性。
【关键词】 操作风险;事故;法国兴业银行
一、操作风险的定义
英国银行家协会最早给出了操作风险的定义,他们认为:操作风险与人为失误、不完备的程序控制、欺诈和犯罪活动相联系,它是由技术缺陷和系统崩溃引起的。后经广泛的讨论和争论,1998年5月,IBM(英国)公司发起设立了第一个行业先进思想管理论坛——操作风险论坛,在这个论坛上,将操作风险定义为:操作风险是遭受潜在损失的可能,是指由于客户、设计不当的控制体系、控制系统失灵以及不可控事件导致的各类风险。最后,巴塞尔委员会在此基础上对操作风险进行正式定义:操作风险是指由于不完善或有问题的内部操作过程、人员、系统或外部事件而导致的直接或间接损失的风险。
二、操作风险的分类
《巴塞尔新资本协议》将引起操作风险的因素分为人员因素、系统因素、流程因素和外部事件因素,因此可以依据损失因素对操作风险进行分类:(1)人员因素引起的操作风险,即由于雇员及相关人员(有意或无意)造成,或者因公司与其客户股东、第三方或监管者之间的关系损失引起的操作风险。(2)系统因素引起的操作风险,即由于业务的分离或者基础框架或者电子技术的故障引起的操作风险。(3)流程因素引起的操作风险,即由于失败的交易账户、结算和日常业务操作过程引起的操作风险。(4)外部事件因素引起的操作风险,即由于第三方而造成的财产损失引起的操作风险。
《巴塞尔新资本协议》还给出了操作风险七种表现形式,也可以以此进行分类:(1)内部欺诈。(2)外部欺诈。(3)雇用合同以及工作状况带来的风险事件。(4)客户、产品以及商业行为引起的风险事件。(5)有形资产的损失。(6)经营中断和系统出错。(7)涉及执行、交割以及交易过程管理的风险事件。
四、操作风险事件分析
(一)事件回顾
法国兴业银行负责对冲欧洲股市的股指期货交易员热罗姆·凯维埃尔利用银行漏洞,通过侵入数据信息系统、滥用信用、伪造及使用虚假文书等多种欺诈手段,擅自投资欧洲股指期货,造成该行税前损失49亿欧元,该行股票当天下跌4.1%。这次案件触发了法国乃至整个欧洲的金融震荡,并波及全球股市,引发暴跌。
早在2005年6月,他利用自己高超的电脑技术,绕过兴业银行的五道安全限制,开始了违规的欧洲股指期货交易。2007年,凯维埃尔再赌市场下跌,因此大量做空,他又赌赢了,到2007年12月31日,他的账面盈余达到了14亿欧元,而当年兴行银行的总盈利不过是55亿欧元。
事后,法国兴业银行公布的一份关于“巨额欺诈案”的内部调查报告说,在 涉嫌欺诈的兴业银行前交易员热罗姆·凯维埃尔工作的部门,存在大量突破風险限额的违规操作,为风险提供了温床。
(二)事件分析
法国兴业银行的“巨额欺诈案”无疑是操作风险的一个典型案例,通过这一事件反映出几个严重的问题。
1.高级管理层责任不明,监督不力,在银行内部未能创造有影响力的内控文化
首先,职责分离失策,西方国家的金融机构实行一种类似于暗箱操作的授权机制。其次,限额控制存在缺陷,法兴银行将风险监控重点置于交易员的净额头寸上,忽视全部交易的规模与单边交易数额。再次,兴业银行的内部控制环境并不完善,整个组织缺乏风险控制文化,对于人性的控制也极为薄弱。最后,内部审计失效。法兴银行的这种监管制度暴露出其风险控制系统与内部审计系统之间在协调方面还存在漏洞,这也为科维尔的违规提供了可乘之机。
2.对经营中的风险缺乏充分的认识和衡量,没有进行持续的监控
法兴银行的内部没有系统地对交易部门职员执行更为详尽的稽核,同时也缺乏确定不良交易存在的手段以及能迅速予以控制的机制。银行发言人在事后承认,银行早已发现科维尔在交易中存在的问题,但并未做深入调查。此外,法兴银行因没有投入足够资源防范交易丑闻已经受到法国央行的警告。
3. 各级管理层之间没有完善的信息交流机制、向上级报告制度
调查资料表明,法兴银行对于来自内外部的警示信息并未仔细核查,如2007年11月欧洲期货交易所曾质疑科维尔交易仓位,以及2006年6月到2008年1月间风险控制系统发出了74次警报,直到第75次警报的拉响,才使科维尔的违规行为得以曝光。
4.IT控制薄弱,忽视基本的流程控制
据法兴银行披露,其内控系统要在交易三天后才会对交易进行核查,法兴银行系统的开发人员、验收人员与IT管理人员在一段较长时间内对内控和技术漏洞未能采取有效措施,这些漏洞则被科维尔利用了。
事实上,法兴银行的风险管理团队中拥有IT专家与相关技术人员,面对科维尔的违规及篡改行为却迟迟未能察觉,除了风险管理流程存在缺陷外,还表明,再严密的电子监控程序,也难免存在漏洞。计算机控制只是一种手段,其应用无法替代业务流程的整体控制。过多依赖高科技手段,忽视基本的流程控制,可能带来无法估量的严重后果。因此,只有实现IT控制与业务流程控制的整合,才能真正应对新环境下出现的各类风险。
参考文献:
[1] 章彰.解读巴塞尔新资本协议[M].中国经济出版社,2005
[2]巴曙松.巴塞尔新资本协议框架下的操作风险衡量与资本金约束[J].经济理论与经济管理,2003,(02):17-24
[3]曲绍强,张启全.关于金融机构操作风险分类的探讨[J].金融教学与研究,2009,(01):47-48+71
[4]皮天雷,杨丽弘.商业银行的操作风险、声誉效应与市场反应[J].国际金融研究,2015,(02):77-87
[5] 沈琪.战略风险和操作风险:分类与管理[J].经贸实践,2015,(07):94
