摘要:縱觀20世紀90年代以來發生的一系列與衍生工具交易相關的重大虧損及破產案件,操作風險失控是這些虧損和破產背后的主要原因。完善的內部控制能有效防范衍生工具操作風險,本文即結合國內外操作風險的內部控制指引和報告,提出操作風險的內部控制防范措施,具有較強的理論與實踐意義。
關鍵詞:衍生工具 操作風險管理 內部控制
一、引言
20世紀90年代以來發生了一系列與衍生工具交易相關的巨額損失和破產案件,這些案件告訴我們衍生工具在規避風險創造收益的同時也帶來了巨大的風險。衍生工具面臨的風險包括市場風險、信用風險、操作風險、流動性風險和法律風險等,但是直接給企業帶來災難的是操作風險。從實踐來看,大量的因衍生工具業務而遭致巨大損失的案例,皆是因為操作問題,如職權劃分不清,授權太寬或不當,管理不嚴,交易員操作失誤等而導致的。操作風險日益成為衍生工具業務的主要風險之一。
所謂衍生工具操作風險,根據國際證券監管委員會和巴塞爾銀行監管委員會(IOSCO and Basel Committee on Banking Supervision)于1994年在《衍生產品風險管理指南》所做的定義,是指在金融衍生品交易和結算中,由于內部控制系統不完善或缺乏必要的后臺技術支持而導致的風險。具體包括兩類:一是由于不完善的內部程序、人員舞弊及系統缺陷所帶來的風險;二是由于法律糾紛、自然災害或其他外部事件導致的風險。由于自然災害或偶發性事件等導致的風險可以通過保險等方式予以管理,故操作風險管理的重點應放在內部管理制度不完善、人員舞弊及系統缺陷等引發的操作風險上。因此本文研究的重心也放在第一類操作風險的管理上。相比于市場風險和信用風險而言,操作風險具有明顯的特性,表現在:首先操作風險具有內生性與風險—報酬的弱相關性等特征,它更容易被企業忽視;其次操作風險具有胖尾性,即操作風險一旦發生便給企業帶來巨大的損失;再次操作風險與其他風險具有關聯性,當發生損失時,操作風險會以其他風險的形式釋放出來而使得企業管理層的行為具有一定的隱蔽性,等等。從操作風險的這些特點來看,對衍生工具操作風險進行管理顯得尤為必要。
對于風險的控制一般從兩方面展開,一是加強外部監管,二是建立健全企業內部控制體制,兩者是相互促進、互相補充。對于操作風險而言,后者更為關鍵。原因在于:(1)內部控制可以從源頭上防范操作風險。從目前來看,操作風險是導致衍生工具損失的重要原因。“中航油”、“國儲銅”等事件均表明,人為錯誤、交易系統不完善、管理失誤等因素導致的操作風險,是衍生工具業務的主要風險來源。從企業內部入手,更容易對操作風險、系統障礙、交易員越權等容易導致衍生工具損失的風險源進行有效的監控和防范。(2)內部控制能更好地應對操作風險的內生性、覆蓋范圍廣泛性及難以量化等特征。首先,操作風險內生于企業的業務操作,這種內生風險是可以控制的。其次,操作風險覆蓋了衍生工具交易全過程,引發因素廣泛,內部控制可通過運用不同的控制手段,如授權審批、職責分工、制度控制等對操作風險進行控制。最后,操作風險難以量化決定了對操作風險的管理不應采用量化管理的思路,而應從加強內部控制方面做起,從根本上防范風險。
綜上,本文結合國內外有關操作風險內部控制方面的指引和報告,提出防范衍生工具操作風險的內部控制措施。
二、國內外有關操作風險內部控制的相關指引或報告
2003年2月,巴塞爾委員會發布了《操作風險管理和監督的良好做法》(Sound Practices for Management and Supervision of Operational Risk),提出了有效管理和控制操作風險的十項原則。這十項原則就四個方面提出相關的風險防范措施,分別為營造風險管理環境,風險的識別、評估與應對,監管者以及披露。同時建立了管理操作風險的特殊框架和程序,就操作風險組織架構、操作風險管理政策和程序、操作風險管理流程和操作風險內部控制體系等方面提出了相關的建議。
2004年9月,美國COSO委員會發布《企業風險管理整體框架(ERM)》,巴塞爾委員會認為,內部控制應包含在風險管理中,是風險管理的組成部分。企業風險管理較內部控制框架而言,構成上發生了變化,由四要素變為內部環境、目標設定、風險識別、評估、應對、控制活動、信息與溝通及監控等八個相互關聯的構成要素。該框架適合各種類型的企業或機構的風險管理,因而對操作風險的管理也納入到全面風險管理框架中來。
國內,2002年9月,中國人民銀行發布《商業銀行內部控制指引》,其中就對銀行建立操作風險管理和控制框架提出了要求;2005年3月銀行監管委員會發布了《關于加大防范操作風險工作力度的通知》,從內部控制的角度提出了加強操作風險管理的13條意見,分別從銀行機構管理、人員管理及賬戶管理提出要求。2009年6月28日,財政部、證監會、審計署、銀監會、保監會聯合發布了《企業內部控制基本規范》,基本規范合理借鑒了國外內部控制的成熟經驗,并根據我國的國情進行了較大調整和改進,對內部控制的內涵、目標、原則、要素以及實施機制等做出了具體規定。基本規范從風險管理的角度對內部控制進行了詮釋,指出了有效防范和控制風險的內部控制措施。
對比分析,巴塞爾委員會的十項原則以及COSO的全面風險管理框架對操作風險的管理大致相同;而國內相關指引、報告也都從全面風險管理框架角度提出建議。綜合可以看出,將全面風險管理框架運用到操作風險的管理中已成一種趨勢。
如上所述指引、報告,其就操作風險的管理大多是以銀行為主體進而提出相關的防范措施。筆者認為衍生工具交易作為銀行業日益重要的業務,就銀行操作風險管理相關的建議、措施也可以具體運用到衍生工具交易上來。本文接下來即結合國內外的這些指引,將衍生工具操作風險管理納入到全面風險管理框架中,從全面風險管理八要素的角度提出相關的防范建議。
三、完善內部控制機制,有效防范衍生工具操作風險
(一)明確衍生工具操作風險內部控制目標
企業在設定目標時,可以先設立一個整體目標,再根據整體目標設定具體目標。整體目標從戰略的角度指明操作風險管理的方向;具體目標更加突出具體業務層面所要達到的標準,包括:(1)操作風險管理的目標,如提高相關人員的風險意識、降低操作風險損失等。(2)對衍生工具操作風險管理框架及其作用、責任作出規定。(3)各業務部門的職責與作用,其他相關部門,如法律、保險、信息技術和人力資源的作用,等等。
(二)完善風險控制環境
具體做到以下幾個方面:(1)營造積極的操作風險控制文化。風險控制文化即對風險表現出的態度、價值觀、目標和行為,營造良好的風險控制文化就是要時刻樹立風險意識。就操作風險而言,其存在于衍生工具交易的全過程。從事衍生工具的相關人員要樹立風險意識,了解操作風險管理制度,熟悉衍生工具交易的流程與環節,時刻警惕易產生操作風險的風險點。(2)根據企業自身特點,構建操作風險的組織架構。衍生工具操作風險復雜,涉及多個部門,單靠某個部門的管理力量是有限的,因而需要多部門共同協調完成。風險組織架構的構成及各部分職責如下:董事會,制定操作風險管理政策、評估內部控制有效性等;管理層,在董事會制定的政策下,建立具體的內部控制制度,并監督其實施;風險管理委員會,專門負責風險管理政策的制定和批準;獨立的風險管理部門,負責企業風險管理政策的設計和實施;內部審計部門,對內部控制政策和程序進行評價與監督等。當然,企業在構建組織架構時,要與自身目標和風險偏好相適應。(3)完善責任追究和員工評價機制。加大對責任人員的懲處力度,遏制違法違規行為;同時建立科學合理的員工績效評價機制,充分發揮考核機制的激勵約束和導向作用,從根本上杜絕違規操作等。
(三)建立衍生工具操作風險識別、評估和應對的政策和程序
風險管理的核心即風險識別、評估與應對。企業在從事衍生工具業務時,應根據企業目標、戰略、風險偏好及業務的特點,設計相應的風險管理程序。
1.衍生工具操作風險識別。企業風險管理部門應當在對衍生工具業務的性質和流程深入了解的基礎上,有效地識別潛在的操作風險。企業可以運用巴塞爾銀行監管委員會BCBS(2003)在《操作風險管理與監管的良好做法》中提出的適于銀行識別操作風險的方法,如自我或風險評估、風險地圖及風險指標法等。此外,要注意的是,對操作風險的識別應貫穿衍生工具交易的全過程,不僅要關注業務流程中的風險,還要關注業務流程之外可能存在的各種操作風險。
2.衍生工具操作風險評估。針對已識別的操作風險因素,企業應當采取適當的模型對衍生工具操作風險發生的可能性和影響程度進行評估,以判斷這些操作風險是否在企業可以承受的范圍之內。操作風險的評估應當根據類別不同確定科學的定性、定量評估方法。定量評估方面,目前影響較大的是巴塞爾銀行監管委員BCBS(2004)在新資本協議中提出的方法:基本指標法、標準法和高級度量法。這些方法各有特點,企業應該根據具體的衍生工具交易特征進行權衡分析。
3.衍生工具操作風險應對。企業在確定風險應對策略時,應該綜合考慮以下因素:企業的風險偏好(風險回避、風險中立及風險追求)、風險管理的成本、風險容忍度等。對于已經識別出的操作風險,主要通過加強內部控制減少風險發生的概率,此外還可以通過風險轉嫁等方式(如保險)來減少部分損失。
(四) 衍生工具操作風險控制活動
衍生工具交易之前、之中、之后都可能存在操作風險。企業可以在了解衍生工具交易流程的基礎上,去構建衍生工具操作風險數據庫,盡可能的識別可能產生操作風險的風險源,然后針對各個風險點建立相關的控制活動。具體而言,在進行衍生工具交易前,首先,要保證相關操作人員具備相應的能力及經驗,因而需要對其進行有關的知識和技能培訓;其次,分析該項衍生品交易的流程和特點,判斷會涉及的不相容職務,根據不相容職務相分離采取相關的職責分工措施。在進行衍生工具交易過程中,建立嚴格的授權、審核、批準及監控制度,保證各項操作活動都能按制度規定實行;建立與保證金首付相關的制度,具體包括:獨立的第三方對保證金的金額進行驗算、獨立第三方對保證金的使用進行授權批準、未予收回的保證金應予以追查、保證金收付和結余要適時調節等等;此外為防止關鍵崗位的人員長期從事某項業務而進行相關的操縱活動,需要對其實行休假制度。在交易完成之后,按照真實性的原則及時記錄有關的交易,并核對相關的數據等。
(五) 加強企業內外部的溝通
首先,企業應根據自身規模及特點建立有效的操作風險信息收集系統和溝通渠道,確保與操作風險相關的控制環境、評估及控制措施等方面的信息能夠有效傳遞,進一步督促各級人員,如董事會、管理層和從事衍生品交易的人員履行相應的責任。其次,完善對外報告與內部報告系統,充分披露衍生工具操作風險的管理等方面的信息,幫助投資者做出相關的經濟決策。
(六)加強對衍生工具操作風險內部控制機制的監督
內外部因素的變化可能影響內部控制機制有效性的發揮,企業的管理層需要定期從有效性、合理性以及健全性等方面對其進行復核與評價,在保證內部控制機制不存在重大缺陷的情況,再對其進行完善。進行審核和評價時,應當把握重點,關注容易出現操作風險的領域,如操作風險識別和評估流程、具體的交易流程,如授權、審批、限額管理等。J
參考文獻:
1.趙斌.從金融風險事件看金融衍生品的風險管理[J].經濟參考報,2006,(01).
2.李明輝.論衍生工具內部控制機制的構建[J].會計研究,2008,(01).
3.COSO.Enterprise Risk Management-Integrated Framework[R].Jersey City,2004.
4.COSO.Internal Control-Integrated Framework[R].Jersey City,1994.
5.BCBS.1994.Risk Management Guidelines for Derivatives. http://www.bis.org/publ/bcbsc211.pdf.
6.COSO.2003.Sound Practices for Management and Supervision of Operational Risk.http://www.bis.org/publ/bcbs69.pdf.
