JP Management Development Ltd.
遠見管理發展有限公司
Tel       :  +852-35116253  Mobile +852-69088682
email jpmgthk8@outlook.com

© 2019 by JP Management Development Ltd.

資管系列之七:銀行資管業務的操作風險管理 2018-12-20

      操作風險是資產管理(以下簡稱“資管”)業務面對的主要風險之一,該風險指的是由內部程式、 人員和系統的不足或缺失或外部事件所引致的直接或間接損失的風險。操作風險的誘因包括雇員行為、機構行為、資訊資訊技術、外部環境和不可抗力因素。

 

  就人員因素而言,行為風險是資管業務的主要操作風險之一。這一風險指的是資管機構的機構行為(包括機構行為和資管機構內部人員行為)給其客戶帶來不良後果的風險。這一風險既可表現為由於有關資管機構業務活動的執行判斷不當,給其客戶、交易對手及其員工造成損害的風險。也可以表現為有關資管機構的雇員或代理人可能(故意或過失)損害其客戶或市場誠信和機構誠信的風險。一般而言,行為風險主要源自三方面:其一,金融機構內在的資訊不對稱、偏見和傾向、拇指規則(經驗法則、憑感覺的方法、單憑經驗的方法)思維捷徑;其二,業務結構和業務操守(業務手法):市場結構、企業文化和獎勵激勵機制、利益衝突;其三,市場環境:政策和監管規定、技術因素和經濟及市場等。

 

  就系統因素而言,資訊技術風險(Information technology risk, IT risk)是資管業務操作風險之一。這一風險與資訊技術風險或網路風險相關,當中涉及系統整合、系統資訊保密、系統業務處理能力、業務連續性規劃、危機管理、應急預案和網路風險控制等。

 

  模型風險是資管業務中較為常見的一種操作風險。 模型風險是指當用於度量債務人信用度、公司市場風險或價值交易的金融模型失敗或執行不當時出現的一種風險。其主要風險源頭主要有二:其一,模型可能存在基本性錯誤,並因此產生不符合模型設計目標和既定業務用途的不準確的模型結果;其二,模型可能被錯誤使用或不恰當使用。模型風險會因模型更加複雜、輸入和假設的不確定性更高、更廣泛使用和模型差錯或誤用而導致更大的潛在財務影響等因素而增加。在過去20多年的時間裡,較為人們熟知和有代表性的模型風險個案包括:(1)1997年,美國長期資本管理公司因其模型假設錯誤,而導致40至50億美元的投資損失;(2)2001年至2003年間,澳洲國民銀行因匯率和利率估計計算方法(rate methodology)錯誤而導致10到20億美元的損失;(3)2007年爆發的全球金融危機期間,因模型風險而導致全球金融業界損失估計高達14萬億美元;(4)2012年,摩根大通因模型控制和模型使用不當(inappropriate model control and usage)導致50億至70億美元的損失。

 

  資管機構操作風險管理的關鍵管理環節包括:(1)自我控制評估;(2)關鍵風險指標識別;(3)持續控制監察;(4)操作風險事件管理等四個環節,並最終形成自身的“機構記憶”——“操作風險資料庫”,作為自身持續提升操作風險的基礎。而操作風險管理核心框架的核心組成則由:(1)利用固化的IT系統進行的“自我控制評估(Self-Assessment)”,前瞻性地預見操作風險(projected risk);(2)基於操作風險資料庫及定期進行的“自我控制評估“所確定的操作風險指標,對日常運營情況進行監控監察,最終得出業務運營的“主要表現指標(key performance indicators)“,及時洞察和發現日常營運所發生的操作風險;(3)由內部審計部門對整個操作風險管控的足夠性和有效性進行獨立審查等三個部分構成。

 

  基於國際領先金融機構的實踐經驗所得,資管業務操作風險管理的重點主要體現在以下六個領域:

 

  首先,是帳戶和受託人風險管理(Account and fiduciary risk management)。主要舉措包括:(1)客戶進入(獲客)和帳戶開立時出現的例外;(2)費用確定和收取出現的例外;(3)違反《投資管理協定》;(3)投資風格適當性;(4)交易差錯或失敗交易(Trade errors/ failed trades); (5)延誤帳戶關閉;(6)延誤將資產分配到客戶帳戶;(7)客戶聯繫頻密度不足;(8)遺失或過時帳戶資料(不完整的帳戶審查);(9)客戶高頻率投訴和投訴處理時間過長;(10)從相同的客戶和業務群組的業務量異常變化情況;(11)承擔受託人責任的帳戶數目異常變化;(12)透支和閒置現金的異常情況;(13)新業務活動或新產品審批程式中出現的異常情況。

 

  其次,是定期交易對手盡職調查(Periodic counterparty due diligence)。主要舉措包括:(1) 交易對手常規定期評估;(2)監察交易對手風險評級變化。

 

  第三,供應商和服務提供者風險評估(Vendor and service provider risk assessment)。主要舉措是要定期評估供應商和服務供應商,包括託管人、受託人、管理人員和經紀人,以及合規供應商、法律和公司秘書服務的風險。

 

  第四,模型風險控制(Model risk controls)。主要舉措包括:(1)定期模型驗證和模型函數及功能評估;(2)風險資料治理的定期評估,包括資料品質、映射和覆核;(3) 模型參數化使用審查;(4)用壓力市場資料對模型進行壓力測試審查。

 

  第五,交易風險管理和欺詐控制 (Transaction risk management and fraud controls)。主要舉措包括:(1) 因應業務、風險或合規需要逐級上報審批的交易前控制;(2)包括交易覆核、組合分配和淨資產價值估值的交易後控制;(3)事故報告,包括違反《投資管理協定》、交易失敗、執行錯誤、資產淨值錯誤和未經預先批准的倒簽日期修改;(4) 客戶業務活動或客戶來源地被認定為涉及高反洗錢風險的百分比;(5)涉及高風險國家電匯的數量和金額;(6)反欺詐控制,包括欺詐實例分析和獨立回電;(7)每一個案平均損失金額;(8)無價定價和無法估值的資產;(9)超出標準定價系統之外的定價或估值;(10)超範圍的收款或付款量;(11)接近損失的業務(Near-misses);(12) 為符合會計要求而要核對尚未核對或“無頭”業務宗數;(13)對在不同組合理、公平和一致處理頭寸分配的監察。

 

  第六,技術風險管理和控制(Technology risk management and controls)。 主要舉措包括:(1)技術事故報告;(2)網路攻擊日誌和測量 (Cyber-attack logs and measurement);(3)危機管理、業務持續和災難恢復計畫 (Crisis management, business continuity and disaster recovery planning)。