论文部分内容阅读
(译)张晓朴 罗迅
编者按:操作风险管理问题一直是我国银行业风险管理中重要的但一直未取得突破性成效的内容,作者阿里·萨马德汗(Ali Samad-Khan)、阿明·莱茵贝(Armin Rheinbay)、斯特凡·勒布莱韦克(Stephane Le Blevec)作为为美国资深操作风险管理顾问,从厘清操作风险管理的概念入手,阐明了一些一直以来被混淆的有关操作风险管理的基本问题。
稳健的操作风险管理应以充分理解某些基本概念为基础,但业界对不少基本概念没有很好理解,有些理解则是错误的。该文的目的就是试图澄清一些重要的基本概念,并阐明一些被混淆的问题。
风险的含义
理解风险的含义是最基本的,这是制定操作风险管理程序的先决条件。风险在风险管理专业中使用时与它在非正式的交流中使用时的含义差别很大。通过下面的例子可以更好地解释风险的含义。考虑以下三个投资策略以及与它们相关的风险和收益信息:
投资A:保证有10%的收益。
投资B:有50%的可能性得到0%的收益;有50%的可能性得到20%的收益。
投资C:有50%的可能性遭受10%的损失;有50%的可能性得到30%的收益。
* 哪一个投资的平均收益最高?
用加权收益计算,可以得出三个投资的平均或预期收益相等,都为10%。
* 哪一个投资的风险最大?
投资A没有风险,因为它保证有10%的收益。投资B不会产生损失,它的最差的结果是不盈不亏,但得到的收益有50%的可能性低于平均收益,所以,投资B有一定风险。投资C有最大的负向变动[-10%的绝对变动(相对于零)和-20%的相对变动(相对于平均收益)]可能性,风险最大。
因此,可以看到,风险表示一个不利结果的不确定水平,而不是不利结果本身,这个不利结果不必是现实的损失(在操作风险中,只考虑损失的风险)。
* 每个投资的风险有多大?
没有足够的信息回答这个问题。风险在没有指定可能性水平(如99%)时,不能用绝对值衡量。可能性水平,也被称为置信水平,可以用于以货币形式表达风险容忍度。
* 哪一个投资是最优投资?
没有足够的信息回答这个问题。风险并非与生俱来就是好的或坏的。
一个风险中立者会忽略变动。他只基于预期结果评估投资,而不考虑潜在结果的不确定水平。因为三个投资都提供10%的平均(预期)收益,一个风险中立者将认为三个投资具有相同的价值,一个风险爱好者将偏好投资C。实际上,他将愿意为可能有30%收益的投资支付额外费用。一个风险厌恶者将选择投资A,因为它提供与其他投资相同的预期收益,但没有风险。大部分人和金融机构厌恶风险,对于更高的风险水平,他们希望获得更高的收益。这解释了为什么在精确定价时,风险越大(更不稳定)的投资所须支付的预期收益也越高。
总之,风险不是一类事故,而是一个衡量尺度。它描述负向变动(人们一般不用正的结果表示风险)的不确定水平,只有在确定的情况下才不存在风险。
预期损失和非预期损失
“预期损失”和“非预期损失”是操作风险管理中两个很重要的变量。这两个术语在风险管理业界无处不在,但业界还是有些混淆它们的真正含义。一些人仍旧认为预期损失是“小”的损失,非预期损失是“大”的损失。显然,这种定义不能形成任何尺度,事实上,还可能产生潜在误导。
在正式的表达中,预期损失是指一年内一个公司的平均损失金额,非预期损失是指在一个极坏的年份一个公司可能超过平均损失的损失金额(在某一事先确定的可能性水平)。用更专业的术语表述,预期损失是指与某一特定时间段相关的(例如一年)加总损失分布的均值。非预期损失是指某一置信水平(例如99%)下的风险价值(VaR)。置信水平为99%的VaR值意味着损失金额仅有1%的可能性会超过VaR值(也就是在给定的一年内,有99%的信心认为,合计损失不会超过VaR值)。
预期损失和非预期损失有重要的实际应用价值。预期损失是一个业务在一年内的平均损失金额,因此这个数额应记入用于支付其经营失败费用的年度预算。非预期损失或VaR是一个业务在几乎最坏的情况下可能损失的金额,这个金额是该业务应计提的资本;预期损失用于计算收益率,两个变量都用于计算风险调整后收益。
绝大部分人认识到仅用内部数据计算VaR值十分困难(由于是小样本),可还有很多人没认识到以厚尾分布为特征的操作风险,其预期损失也不能仅用内部数据估计。这是因为在厚尾分布中例外会影响均值,因此需要多年的数据以获得稳定的估计。考虑一个简单的例子:一年平均发生多少次因海啸溺死的事件?假定每100年发生1次大海啸并使20万人死亡,这可能使均值或预期损失偏移2000(人)。因此,“预期损失”是小的损失的观点不仅错误,还可能产生潜在误导。因为最有效的降低预期损失的方法是防止大的损失,而不是集中防止小的损失。
风险评估
操作风险管理中有很多风险评估的标准,在美国被广泛采用的传统的Coso(the Committee for Sponsoring Organizations of the Treadway Commission)框架是其中之一。Coso提出的全面风险管理(ERM)框架认为,风险由可能性和影响两个变量相乘来计算。例如:假设有10%可能性和10000美元的影响,可以得出1000美元的风险。然而,这种传统的“风险”计算方法并没真正的给出风险水平,它给出的只是一个假定事件的概率加权(预期)损失。传统操作风险管理将这种有缺陷的风险观念作为其基本要素,仅这一点就能说明为何很多传统操作风险管理方法不能用于现代操作风险管理。
传统操作风险管理和现代操作风险管理对风险的不同观点如图2所示。可以看到,传统操作风险管理中高风险的特征是高可能性和高影响,而不是低可能性和高影响。事实上,以这样的灾难性变动为特征的业务环境根本不存在。
传统操作风险管理的风险评估程序使管理者处境非常尴尬。例如:普遍认为未授权交易是十分严重的“风险”,它引起的损失通常是低频的和重大的,这类风险自然应归类于低可能性和高影响事件。然而,在传统风险管理中,使用代表风险的记号为3而不是9,低于传统操作风险管理下的高风险,因此为了将未授权交易归类为高风险,必须错误地将未授权交易归类为高可能性和高影响事件。
传统操作风险管理使用可能性-影响分析处理单个假定的事件。现代操作风险管理使用频率和严重程度分布为一类事件评估风险。
可能性和频率的含义有很大差别。可能性与一个事件结合使用,而频率与一类事件结合使用。频率分布是在精算科学中使用的可能性分布,它表示在一定期限内一类事件可能发生的次数的不同概率(可能性)。当人们以离散值的形式表达频率时,他们一般指的是频率分布的均值。
可能性(概率)也是任何严重程度分布的一个组成要素。事实上,严重程度分布表示一类给定事件的可能性和影响的不同组合。在严重程度分布中,越高的可能性必然对应越低的影响。
很多人不清楚这些术语含义的微妙不同。因为他们没注意到下面的事实,高可能性/高影响的情形可以存在,但高可能性/高影响的一类事件则不存在。错误理解和使用这些术语是业界产生混淆的根源。
操作和运营
许多银行已经开始实施新资本协议要求的操作风险管理程序。但在他们蜂拥而上以期达到新资本协议要求时,许多机构却没认识到“操作”(operational)和“运营”(operations)这两个词的区别。
事实上,操作风险管理和运营管理之间存在巨大的差别。首先,运营管理主要是后台管理任务,包括处理活动和系统运作。操作风险管理则比运营管理的范围更广。操作风险包含于一个机构所有的活动之中,包括总公司和公司的活动,法律部门和董事会的活动等。第二,运营管理主要是管理运作或流程的效率,而操作风险管理主要是管理和控制风险,尤其是防止操作损失(特别是防止大的损失)。第三,在美国银行业中(各个地区有所不同),最主要的操作风险来源是欺诈,冒险销售和未授权交易等事件,但这可能并不是运营管理的首要问题。最后,银行运营领域的操作风险水平比银行前台部门低很多。
现代操作风险管理的发展
传统的操作风险管理假定受过良好教育的专才,可以通过直觉识别他们机构的重要风险并实现相应的控制和度量。现代操作风险管理则认为直觉不足以实现上述功能,并认为这个程序必须以历史的损失数据和严格的科学分析为基础。
因此,向现代操作风险管理演进的首要问题是:什么框架能使历史损失数据的加总可行并且实用?答案是矩阵,特别是二维矩阵——其中一维是一般的组织单元,另一维是风险类别。创造和使用数据矩阵改变了操作风险管理模式。
建立一个大胆的新理论框架是一回事,在现实中将其应用则又是另一回事。为使现代操作风险管理应用于实际,业界需要找到一个合适的架构来剖析风险。这意味着要将风险进行合理分类,这种分类要能够用于管理,易于理解,且使各类别风险内部具有同质性。
“风险”世界由三个独立的维度构成:原因,事件和结果,这意味着每一个损失都至少由每个维度中的一个要素组成。早期对风险世界架构的认识如图3所示。因为一个矩阵必须由互斥的和无遗漏的分类组成,所以只能选择一个维度。经过详尽的考虑,事件维度被认为是最优的选择。对于矩阵的第二个维度,组织架构维度,两个显而易见的选择是流程和产品线。由于诸多原因,放弃了流程,选择了产品线。
总之,现代操作风险管理基于一个二维矩阵方法,每一个分析单位是矩阵中的一个单元。现代操作风险管理既需要内部数据也需要外部(行业)数据。每一个单元中的数据代表一条产品线中一类事件的损失分布。通过研究每一类事件损失的原因,可以识别各个类别及其相应控制的共同要素。通过将一个共同的矩阵用于风险及其相应控制,可以使用现代操作风险管理框架来同时识别和连续跟踪风险及控制矩阵。这些信息对有效的风险管理非常重要。
传统操作风险管理基于一个一维流程方法,分析的单位是业务流程领域中的审计问题。这种方法在识别控制弱点的同时,评估由此可能产生的损失。它不适于风险评估,却可能是控制评估的出发点,为此需对传统做法加以改进,以使这个程序能产生代表内控环境质量的度量值。
在很大程度上,构建操作风险管理的方式(也就是他们怎么阐述这个问题)事关成败。任何试图把现代操作风险管理方法直接与以问题(或事故)为导向、基于流程的方法合并的做法将导致混淆,因为损失数据仅在加总到事件类型时才有意义。
建模:艺术,科学,还是胡闹
一名美国的高级监管者近来观察到,尽管银行量化操作风险所使用的方法和数据存在很大不同,但大部分银行却得到相似的VaR值。这很容易解释。由于目前操作风险建模中使用了很多高度主观,甚至是武断的假定,而模型结果又对这些假定很敏感,因此很容易获得任何想要的数字。银行通常想“挑选”一个看起来不是很显眼的“结果”。然而,强行获得的一个政治上有利的结果(与监管者预期接近的结果)不能证明任何东西,它几乎不能表明银行所用的基本方法是稳健的。
因此,这就不难理解为什么一些机构得出操作风险建模更多的是艺术而不是科学的结论。尽管所有的建模中都包含有艺术和科学的成分,但现在使用的很多操作风险模型都是基于武断的假定和不科学的方法,这种伪科学败坏了操作风险建模的名声。例如,一些机构实际上从外部数据“挑选”损失数据,或更坏的,“产生”情景损失数据,他们将这些数据合并入他们的内部“严重程度”数据库,填补空缺的数据,尤其是尾部区域的数据。这种不科学的程序没有事实根据并可能引起VaR值由于一个因素而变化超过1000倍。
外部损失数据是操作风险建模必需的,但是将外部数据引入建模程序需要客观的、科学的方法。直接将内部和外部数据合并违反了操作风险建模的基本原则,因为损失数据只在包含它的分布中才有意义。一个损失数据点包含两方面完整的相互联系的信息(对严重程度而言):损失大小和概率(相对于该分布中的其他损失而言)。从原始的数据直接抽取,会使其失去所有的信息价值。本质上,建模是分析数据集而不是编辑数据点。基于数据操纵的模型既不是艺术也不是科学,它们纯粹是胡闹,并且它们腐蚀了在这个领域忠实和勤奋工作的人们的可信度。
使用新资本协议高级计量法(AMA)的银行必须建立针对量化模型的较高内部标准。为鼓励在这个领域稳健的思考,新资本协议第三支柱要求,监管者应要求银行不仅要披露他们估计的预期和非预期损失,也要披露相关的置信区间(监管者可以通过压力测试来验证)。置信区间应该表明最小值和最大值,这些值可以通过变动任何权重和基于专家观点而改变的假定计算出来。
计量和管理
有些人声称现代操作风险管理注重计量,而传统操作风险管理注重管理。让我们检验这种说法。管理良好的机构发现有效的操作风险管理不仅要求简单的风险认知,还希望稳健的风险管理做法能同时形成。操作风险的有效管理应包括创造良好的文化,或更明确的,应该设计出能将风险认知转变为行动的文化和框架。要使管理者选择最优的行动方式则要求正确的设置激励机制,因为人们只做他们有动力做的事情,而不会做他们没有动力做的事情。但要使激励生效,必须有正确的衡量尺度。
有效的操作风险管理程序要求有稳健的框架,它能提供正确的、可靠的度量以识别每一业务中的最大风险和与之相应的内部控制的质量。这些信息必须透明并定期提供给管理者,使管理者能(并有动机)在制定风险管理、风险缓释和风险转移策略时做出有根据的决定。因此,管理操作风险要求有一个程序来正确的监督(计量)每一业务的风险变化和控制情况。
如果能正确地实施,现代操作风险管理程序可以达到所有的目标。然而,传统操作风险管理程序则不能。事实上,传统操作风险管理由于低估主要的风险(这是传统操作风险管理不可避免的)致使机构暴露于未知的灾难性操作失败之下,更有可能导致操作风险管理不善。
有些人坚持认为计量只是计算一个资本数额,这忽略了很重要的一点。计量提升了标准,是它将操作风险管理转变成为科学。它使管理程序更全面、更有结构、更有规律。它导致更有效率的操作风险管理框架的发展。它迫使业界探索操作风险的定义和分类问题,而这使得分析更为明晰。更重要的是,它揭示出传统操作风险管理是基于错误的风险观念,并进一步揭示其整个框架都存在严重问题。这些管理做法(不仅是获得一个资本数额)的改善是现代风险管理所产生的真正贡献。
概括和总结
传统操作风险管理在损失数据存在之前发展起来,这使它不能上升到科学的层面。损失数据和高级的风险计量技术使操作风险管理成为科学。在探究数据和计量问题时,可以很清晰地看到传统操作风险管理存在很多缺陷。由于人们有正确的处理这些问题的需求,这使现代操作风险管理发展起来。
现代操作风险管理和传统操作风险管理有很大差别。在很多方面现代操作风险管理与传统操作风险管理并不相容。那些试图在传统框架上补充现有的术语、流程和程序,而不去探索核心问题来建立现代操作风险管理程序的机构会发现操作风险管理是一个极具挑战的工作,这也是引起业界混淆的根源。
责任编辑:陶艳艳
编者按:操作风险管理问题一直是我国银行业风险管理中重要的但一直未取得突破性成效的内容,作者阿里·萨马德汗(Ali Samad-Khan)、阿明·莱茵贝(Armin Rheinbay)、斯特凡·勒布莱韦克(Stephane Le Blevec)作为为美国资深操作风险管理顾问,从厘清操作风险管理的概念入手,阐明了一些一直以来被混淆的有关操作风险管理的基本问题。
稳健的操作风险管理应以充分理解某些基本概念为基础,但业界对不少基本概念没有很好理解,有些理解则是错误的。该文的目的就是试图澄清一些重要的基本概念,并阐明一些被混淆的问题。
风险的含义
理解风险的含义是最基本的,这是制定操作风险管理程序的先决条件。风险在风险管理专业中使用时与它在非正式的交流中使用时的含义差别很大。通过下面的例子可以更好地解释风险的含义。考虑以下三个投资策略以及与它们相关的风险和收益信息:
投资A:保证有10%的收益。
投资B:有50%的可能性得到0%的收益;有50%的可能性得到20%的收益。
投资C:有50%的可能性遭受10%的损失;有50%的可能性得到30%的收益。
* 哪一个投资的平均收益最高?
用加权收益计算,可以得出三个投资的平均或预期收益相等,都为10%。
* 哪一个投资的风险最大?
投资A没有风险,因为它保证有10%的收益。投资B不会产生损失,它的最差的结果是不盈不亏,但得到的收益有50%的可能性低于平均收益,所以,投资B有一定风险。投资C有最大的负向变动[-10%的绝对变动(相对于零)和-20%的相对变动(相对于平均收益)]可能性,风险最大。
因此,可以看到,风险表示一个不利结果的不确定水平,而不是不利结果本身,这个不利结果不必是现实的损失(在操作风险中,只考虑损失的风险)。
* 每个投资的风险有多大?
没有足够的信息回答这个问题。风险在没有指定可能性水平(如99%)时,不能用绝对值衡量。可能性水平,也被称为置信水平,可以用于以货币形式表达风险容忍度。
* 哪一个投资是最优投资?
没有足够的信息回答这个问题。风险并非与生俱来就是好的或坏的。
一个风险中立者会忽略变动。他只基于预期结果评估投资,而不考虑潜在结果的不确定水平。因为三个投资都提供10%的平均(预期)收益,一个风险中立者将认为三个投资具有相同的价值,一个风险爱好者将偏好投资C。实际上,他将愿意为可能有30%收益的投资支付额外费用。一个风险厌恶者将选择投资A,因为它提供与其他投资相同的预期收益,但没有风险。大部分人和金融机构厌恶风险,对于更高的风险水平,他们希望获得更高的收益。这解释了为什么在精确定价时,风险越大(更不稳定)的投资所须支付的预期收益也越高。
总之,风险不是一类事故,而是一个衡量尺度。它描述负向变动(人们一般不用正的结果表示风险)的不确定水平,只有在确定的情况下才不存在风险。
预期损失和非预期损失
“预期损失”和“非预期损失”是操作风险管理中两个很重要的变量。这两个术语在风险管理业界无处不在,但业界还是有些混淆它们的真正含义。一些人仍旧认为预期损失是“小”的损失,非预期损失是“大”的损失。显然,这种定义不能形成任何尺度,事实上,还可能产生潜在误导。
在正式的表达中,预期损失是指一年内一个公司的平均损失金额,非预期损失是指在一个极坏的年份一个公司可能超过平均损失的损失金额(在某一事先确定的可能性水平)。用更专业的术语表述,预期损失是指与某一特定时间段相关的(例如一年)加总损失分布的均值。非预期损失是指某一置信水平(例如99%)下的风险价值(VaR)。置信水平为99%的VaR值意味着损失金额仅有1%的可能性会超过VaR值(也就是在给定的一年内,有99%的信心认为,合计损失不会超过VaR值)。
预期损失和非预期损失有重要的实际应用价值。预期损失是一个业务在一年内的平均损失金额,因此这个数额应记入用于支付其经营失败费用的年度预算。非预期损失或VaR是一个业务在几乎最坏的情况下可能损失的金额,这个金额是该业务应计提的资本;预期损失用于计算收益率,两个变量都用于计算风险调整后收益。
绝大部分人认识到仅用内部数据计算VaR值十分困难(由于是小样本),可还有很多人没认识到以厚尾分布为特征的操作风险,其预期损失也不能仅用内部数据估计。这是因为在厚尾分布中例外会影响均值,因此需要多年的数据以获得稳定的估计。考虑一个简单的例子:一年平均发生多少次因海啸溺死的事件?假定每100年发生1次大海啸并使20万人死亡,这可能使均值或预期损失偏移2000(人)。因此,“预期损失”是小的损失的观点不仅错误,还可能产生潜在误导。因为最有效的降低预期损失的方法是防止大的损失,而不是集中防止小的损失。
风险评估
操作风险管理中有很多风险评估的标准,在美国被广泛采用的传统的Coso(the Committee for Sponsoring Organizations of the Treadway Commission)框架是其中之一。Coso提出的全面风险管理(ERM)框架认为,风险由可能性和影响两个变量相乘来计算。例如:假设有10%可能性和10000美元的影响,可以得出1000美元的风险。然而,这种传统的“风险”计算方法并没真正的给出风险水平,它给出的只是一个假定事件的概率加权(预期)损失。传统操作风险管理将这种有缺陷的风险观念作为其基本要素,仅这一点就能说明为何很多传统操作风险管理方法不能用于现代操作风险管理。
传统操作风险管理和现代操作风险管理对风险的不同观点如图2所示。可以看到,传统操作风险管理中高风险的特征是高可能性和高影响,而不是低可能性和高影响。事实上,以这样的灾难性变动为特征的业务环境根本不存在。
传统操作风险管理的风险评估程序使管理者处境非常尴尬。例如:普遍认为未授权交易是十分严重的“风险”,它引起的损失通常是低频的和重大的,这类风险自然应归类于低可能性和高影响事件。然而,在传统风险管理中,使用代表风险的记号为3而不是9,低于传统操作风险管理下的高风险,因此为了将未授权交易归类为高风险,必须错误地将未授权交易归类为高可能性和高影响事件。
传统操作风险管理使用可能性-影响分析处理单个假定的事件。现代操作风险管理使用频率和严重程度分布为一类事件评估风险。
可能性和频率的含义有很大差别。可能性与一个事件结合使用,而频率与一类事件结合使用。频率分布是在精算科学中使用的可能性分布,它表示在一定期限内一类事件可能发生的次数的不同概率(可能性)。当人们以离散值的形式表达频率时,他们一般指的是频率分布的均值。
可能性(概率)也是任何严重程度分布的一个组成要素。事实上,严重程度分布表示一类给定事件的可能性和影响的不同组合。在严重程度分布中,越高的可能性必然对应越低的影响。
很多人不清楚这些术语含义的微妙不同。因为他们没注意到下面的事实,高可能性/高影响的情形可以存在,但高可能性/高影响的一类事件则不存在。错误理解和使用这些术语是业界产生混淆的根源。
操作和运营
许多银行已经开始实施新资本协议要求的操作风险管理程序。但在他们蜂拥而上以期达到新资本协议要求时,许多机构却没认识到“操作”(operational)和“运营”(operations)这两个词的区别。
事实上,操作风险管理和运营管理之间存在巨大的差别。首先,运营管理主要是后台管理任务,包括处理活动和系统运作。操作风险管理则比运营管理的范围更广。操作风险包含于一个机构所有的活动之中,包括总公司和公司的活动,法律部门和董事会的活动等。第二,运营管理主要是管理运作或流程的效率,而操作风险管理主要是管理和控制风险,尤其是防止操作损失(特别是防止大的损失)。第三,在美国银行业中(各个地区有所不同),最主要的操作风险来源是欺诈,冒险销售和未授权交易等事件,但这可能并不是运营管理的首要问题。最后,银行运营领域的操作风险水平比银行前台部门低很多。
现代操作风险管理的发展
传统的操作风险管理假定受过良好教育的专才,可以通过直觉识别他们机构的重要风险并实现相应的控制和度量。现代操作风险管理则认为直觉不足以实现上述功能,并认为这个程序必须以历史的损失数据和严格的科学分析为基础。
因此,向现代操作风险管理演进的首要问题是:什么框架能使历史损失数据的加总可行并且实用?答案是矩阵,特别是二维矩阵——其中一维是一般的组织单元,另一维是风险类别。创造和使用数据矩阵改变了操作风险管理模式。
建立一个大胆的新理论框架是一回事,在现实中将其应用则又是另一回事。为使现代操作风险管理应用于实际,业界需要找到一个合适的架构来剖析风险。这意味着要将风险进行合理分类,这种分类要能够用于管理,易于理解,且使各类别风险内部具有同质性。
“风险”世界由三个独立的维度构成:原因,事件和结果,这意味着每一个损失都至少由每个维度中的一个要素组成。早期对风险世界架构的认识如图3所示。因为一个矩阵必须由互斥的和无遗漏的分类组成,所以只能选择一个维度。经过详尽的考虑,事件维度被认为是最优的选择。对于矩阵的第二个维度,组织架构维度,两个显而易见的选择是流程和产品线。由于诸多原因,放弃了流程,选择了产品线。
总之,现代操作风险管理基于一个二维矩阵方法,每一个分析单位是矩阵中的一个单元。现代操作风险管理既需要内部数据也需要外部(行业)数据。每一个单元中的数据代表一条产品线中一类事件的损失分布。通过研究每一类事件损失的原因,可以识别各个类别及其相应控制的共同要素。通过将一个共同的矩阵用于风险及其相应控制,可以使用现代操作风险管理框架来同时识别和连续跟踪风险及控制矩阵。这些信息对有效的风险管理非常重要。
传统操作风险管理基于一个一维流程方法,分析的单位是业务流程领域中的审计问题。这种方法在识别控制弱点的同时,评估由此可能产生的损失。它不适于风险评估,却可能是控制评估的出发点,为此需对传统做法加以改进,以使这个程序能产生代表内控环境质量的度量值。
在很大程度上,构建操作风险管理的方式(也就是他们怎么阐述这个问题)事关成败。任何试图把现代操作风险管理方法直接与以问题(或事故)为导向、基于流程的方法合并的做法将导致混淆,因为损失数据仅在加总到事件类型时才有意义。
建模:艺术,科学,还是胡闹
一名美国的高级监管者近来观察到,尽管银行量化操作风险所使用的方法和数据存在很大不同,但大部分银行却得到相似的VaR值。这很容易解释。由于目前操作风险建模中使用了很多高度主观,甚至是武断的假定,而模型结果又对这些假定很敏感,因此很容易获得任何想要的数字。银行通常想“挑选”一个看起来不是很显眼的“结果”。然而,强行获得的一个政治上有利的结果(与监管者预期接近的结果)不能证明任何东西,它几乎不能表明银行所用的基本方法是稳健的。
因此,这就不难理解为什么一些机构得出操作风险建模更多的是艺术而不是科学的结论。尽管所有的建模中都包含有艺术和科学的成分,但现在使用的很多操作风险模型都是基于武断的假定和不科学的方法,这种伪科学败坏了操作风险建模的名声。例如,一些机构实际上从外部数据“挑选”损失数据,或更坏的,“产生”情景损失数据,他们将这些数据合并入他们的内部“严重程度”数据库,填补空缺的数据,尤其是尾部区域的数据。这种不科学的程序没有事实根据并可能引起VaR值由于一个因素而变化超过1000倍。
外部损失数据是操作风险建模必需的,但是将外部数据引入建模程序需要客观的、科学的方法。直接将内部和外部数据合并违反了操作风险建模的基本原则,因为损失数据只在包含它的分布中才有意义。一个损失数据点包含两方面完整的相互联系的信息(对严重程度而言):损失大小和概率(相对于该分布中的其他损失而言)。从原始的数据直接抽取,会使其失去所有的信息价值。本质上,建模是分析数据集而不是编辑数据点。基于数据操纵的模型既不是艺术也不是科学,它们纯粹是胡闹,并且它们腐蚀了在这个领域忠实和勤奋工作的人们的可信度。
使用新资本协议高级计量法(AMA)的银行必须建立针对量化模型的较高内部标准。为鼓励在这个领域稳健的思考,新资本协议第三支柱要求,监管者应要求银行不仅要披露他们估计的预期和非预期损失,也要披露相关的置信区间(监管者可以通过压力测试来验证)。置信区间应该表明最小值和最大值,这些值可以通过变动任何权重和基于专家观点而改变的假定计算出来。
计量和管理
有些人声称现代操作风险管理注重计量,而传统操作风险管理注重管理。让我们检验这种说法。管理良好的机构发现有效的操作风险管理不仅要求简单的风险认知,还希望稳健的风险管理做法能同时形成。操作风险的有效管理应包括创造良好的文化,或更明确的,应该设计出能将风险认知转变为行动的文化和框架。要使管理者选择最优的行动方式则要求正确的设置激励机制,因为人们只做他们有动力做的事情,而不会做他们没有动力做的事情。但要使激励生效,必须有正确的衡量尺度。
有效的操作风险管理程序要求有稳健的框架,它能提供正确的、可靠的度量以识别每一业务中的最大风险和与之相应的内部控制的质量。这些信息必须透明并定期提供给管理者,使管理者能(并有动机)在制定风险管理、风险缓释和风险转移策略时做出有根据的决定。因此,管理操作风险要求有一个程序来正确的监督(计量)每一业务的风险变化和控制情况。
如果能正确地实施,现代操作风险管理程序可以达到所有的目标。然而,传统操作风险管理程序则不能。事实上,传统操作风险管理由于低估主要的风险(这是传统操作风险管理不可避免的)致使机构暴露于未知的灾难性操作失败之下,更有可能导致操作风险管理不善。
有些人坚持认为计量只是计算一个资本数额,这忽略了很重要的一点。计量提升了标准,是它将操作风险管理转变成为科学。它使管理程序更全面、更有结构、更有规律。它导致更有效率的操作风险管理框架的发展。它迫使业界探索操作风险的定义和分类问题,而这使得分析更为明晰。更重要的是,它揭示出传统操作风险管理是基于错误的风险观念,并进一步揭示其整个框架都存在严重问题。这些管理做法(不仅是获得一个资本数额)的改善是现代风险管理所产生的真正贡献。
概括和总结
传统操作风险管理在损失数据存在之前发展起来,这使它不能上升到科学的层面。损失数据和高级的风险计量技术使操作风险管理成为科学。在探究数据和计量问题时,可以很清晰地看到传统操作风险管理存在很多缺陷。由于人们有正确的处理这些问题的需求,这使现代操作风险管理发展起来。
现代操作风险管理和传统操作风险管理有很大差别。在很多方面现代操作风险管理与传统操作风险管理并不相容。那些试图在传统框架上补充现有的术语、流程和程序,而不去探索核心问题来建立现代操作风险管理程序的机构会发现操作风险管理是一个极具挑战的工作,这也是引起业界混淆的根源。
责任编辑:陶艳艳