致同会计师事务所风险管理服务团队|文
2013年8月16日11时05分,光大证券在进行ETF申赎套利交易时,因程序设计原因其所使用的策略交易系统以 234 亿元巨量申购 180ETF 成份股,实际成交达 72.7 亿元,引起沪深 300、上证综指等大盘指数和多只权重股短时间大幅波动。这一事件是我国资本市场建立以来首次发生的因交易软件缺陷引发的极端个别事件,对证券期货市场造成的负面影响很大。事件发生后,中国证监会和有关交易所迅速反应、紧急处置,并对光大证券立案调查。鉴于该案属新型案件,中国证监会在深入调查的基础上,组织有关外部专家对相关问题进行了论证咨询。
光大证券11月14日晚间公告称,当日收到证监会处罚书,证监会决定没收光大证券ETF内幕交易违法所得1307.08万元,并处以违法所得5倍罚款;没收股指期货内幕交易违法所得7414.35万元,并处以违法所得5倍的罚款。上述两项罚没款共计5.23亿元。
无独有偶,2013年8月20日,美国高盛集团因软件变更问题,向股票期权市场发送了大批错误订单,严重扰乱了股票期权市场,对美国高盛集团和交易对手造成了巨额的财务损失。
面对近期频发而又影响重大的一系列操作风险损失事件,监管、同业和公众纷纷将视线从备受关注的市场风险和信用风险,转移至了之前未被如此重视的金融机构操作风险上。
相较于发展较为完善的市场风险和信用风险管理手段,操作风险的定义及其管理起步较晚。在1997 年,英国银行家协会最早提出了操作风险的定义,即操作风险与人为失误、不完备的程序控制、欺诈和犯罪活动相联系,它是由技术缺陷和系统崩溃引起的。此观点将操作风险的范围由公众一般认为的人为失误,扩展至不完备的程序控制、欺诈和犯罪活动。之后在 1998 年5 月,IBM(英国)公司发起设立了第一个行业先进思想管理论坛——操作风险论坛,在这个论坛上,将操作风险定义为:操作风险是遭受潜在损失的可能,是指由于客户、设计不当的控制体系、控制系统失灵以及不可控事件导致的各类风险。损失可能来自于内部或外部事件、宏观趋势以及不能为公司决策机构和内部控制体系、信息系统、行政机构组织、道德准则或其他主要控制手段和标准所洞悉并组织的变动。它不包括已经存在的其他风险种类如市场风险、信用风险及决策风险。通过这次会议,上述结论性的定义开始为多数银行所接受。
随之,巴塞尔委员会在2003年2月,发表了《操作风险管理与监管稳健做法》,正式将操作风险管理引入银行业。其主要明确了营造适宜的风险管理环境,初步提出了识别、评估、监测和缓释操作风险的指导方法,并阐述了监管机构在操作风险管理中的作用。随即,巴塞尔委员会在巴塞尔新资本协议第二版中,将操作风险定义为“由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险,包括法律风险,但不包括策略风险和声誉风险”,并明确提出将操作风险纳入资本监管的范畴,并提供了基本指标法、标准法和高级计量法等三种方法对操作风险进行计量。而在最近颁布的巴塞尔新资本协议第三版中,明确提出了将操作风险纳入资本监管的范畴,即操作风险将作为银行资本比率分母的一部分。可见从全面风险管理范围领域,操作风险的量化和资本要求是一个必然的趋势。
我国监管机构紧跟国际领先风险管理体系的步伐,在 2007 年由中国银监会根据巴塞尔新资本协议第二版制定并印发了《中国银行业实施新资本协议指导意见》和《商业银行操作风险管理指引》等一系列指引,其对风险资本和操作风险的管理和监管提出了要求,以加强商业银行的操作风险管理,推动商业银行进一步完善公司治理结构,提升风险管理能力。随后在新资本协议第三版发布后的两年内——2012 年,中国银监会进一步制定并下发了《商业银行资本管理办法(试行)》,对操作风险资本计量提出了更为严谨科学的方法。
相对于我国银行业日益严苛的操作风险管理要求,非银行业金融机构,例如证券公司、信托公司、保险公司等,监管机构对其操作风险的监管要求较之市场风险和信用风险较为宽松。证监会于 2008 年 6月下发了《关于证券公司风险资本准备计算标准的规定》,其对证券公司相关业务的市场风险和信用风险资本准备计提做了详细的规定,但针对操作风险,仅提出“证券公司应按上一年营业费用总额的10%计算营运风险资本准备”进行覆盖。
之后,证监会在 2009年5月下发了《证券公司分类监管规定》,其中根据资本充足、公司治理与合规管理、动态风险监控、信息系统安全、客户权益保护、信息披露等6类评价指标,按照《证券公司风险管理能力评价指标与标准》进行评价,体现证券公司对流动性风险、合规风险、市场风险、信用风险、技术风险及操作风险等管理能力。在《证券公司风险管理能力评价指标与标准》明确了信息系统安全方面的评分标准,但此评价标准与银行业操作风险定义“由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险,包括法律风险,但不包括策略风险和声誉风险”所涉及的范围相去甚远。
保监会于2013年5月印发了《中国第二代偿付能力监管制度体系整体框架》的通知,其参照了巴塞尔新资本协议,提出了三大支柱——定量资本要求、定性监管要求和市场约束机制,并将保险业务难以量化的操作风险放入第二支柱进行定性评价。而针对近年来发展较为迅猛的信托行业、私募行业等,监管机构则尚未发布关于操作风险管理的监管要求。
在当前中国金融业混业经营的大趋势下,非银行金融机构发展迅猛,而其操作风险管理却相对滞后,究其原因除了上述非银行金融机构的监管部门尚未制定颁布健全的操作风险管理监管要求外,尚有下述几方面内生原因导致非银行金融机构操作风险管理机制并非有效:
企业尚未自主性地建立起一套自上而下管理职责明细的操作风险管理组织架构:目前非银行金融机构基本都设立操作风险或内控主管部门负责对操作风险进行管理,但仅仅依托某个部门实施对操作风险行之有效的管理是远远不够的。非银行金融机构需建立清晰的操作风险管理组织架构和报告路线,明确从董事会、高级管理层,到专管部门、业务部门不同职责,自上而下,贯穿整个公司运营架构体系,每一位员工树立操作风险管理理念,从而全面提升操作风险管理的范围和力度;
未全面或深入实施操作风险管理体系:目前非银行金融机构易倾向于通过某些工具或聘请外部审计及咨询,来发现或解决机构内部的操作风险问题。但操作风险管理不仅仅是一次性地检查工作,企业应从操作风险管理政策、工具和流程等不同方面同步或逐步实施,从操作风险的识别、监测、评估、计量、控制、缓释、监督与报告等不同环节进行全流程完善,最终融入日常管理中,从而全面提升操作风险管理的深度和广度。
综上所述,在目前银行业机构按步实施新一版的资本管理办法,对操作风险管理日益重视并强化的同时,非银行金融机构操作风险管理蜻蜓点水的做法,导致近期集中爆发严重的操作风险事件也就不足为奇了。