新南向政策，風管跟著跑       作者:  應德煇CFA

日盛銀行理專盜用客戶存款與年初兆豐銀行的假美鈔事件，都是作業風險(operational risk)的典型案例。金融業者礙於數字壓力，往往便宜行事發生上述作業風險損失也時有所聞在所難免，重要的是如何汲取教訓避免重蹈覆輒才是硬道理。總的來講，金融業面對三大主要風險：市場風險、信用風險與作業風險，而這三大風險屬作業風險最難衡量(機率分布呈現厚尾與偏態)。也就是說在計算作業風險應計提資本時對損失發生率(loss frequency)與損失嚴重性(loss severity)的評估確有其難度。2001年巴塞爾銀行監管委員會曾對銀行作業風險作了以下的詮釋：「因外部事件或內部程序、人員、系統的不當或失誤造成直接、間接損失的風險」。而這次日盛銀行盜領案應歸類為內部舞弊，而內部舞弊則以1995年惡棍交易員(rogue trader)尼克李森(Nick Leeson)搞垮百年老店—霸菱銀行最為經典，也是所有風管人員必讀的個案。

相較信用與市場風險的損失，作業風險損失其實銀行並不常發生，內部數據庫不足以適當反應損失發生率與嚴重性，因此制約了模擬作業風險期望損失的精準度。但銀行仍可以運用內部數據來推估損失頻率，同時援用內、外部(與其他銀行共享或市場公開)的數據來估算損失嚴重性。當採用外部數據量化損失嚴重性時不但須依據通膨調整，同時應以銀行營運規模對所引用外部數據做一適當的規模校準(scale adjustment)，再配合情境分析(scenario analysis)獲取額外數據，這也是因應主管機關的要求；循此高管們可藉由質化的情境分析和壓力測試(stress test)，來體現未曾過發生的情景與處於極端狀況下的風險承擔能力。當然銀行也可以藉由買保險的方式將作業風險移轉，但這又涉及保那些作業風險？買多少保額？高管們也都需仔細評估，以免發生超買保額增加營運成本或當損失發生時卻發現買錯保險的窘境。簡言之，風險管理是一持續管控的過程，包括曝險確認(清楚地認知目標與限制的前提下)，建立適當曝險範圍，並借助風險計量(VaR、beta、duration、delta等)不斷地量測，當曝險超出目標區時立即做出適當的調整或移轉，周而復始。風險管理也屬公司治理的範疇，涉及董事會、風管委員會、執行長、風控長與各單位主管的職責。

根據媒體披露某金控曾高價敲進一檔科技股，當該公司營運逆轉時未能及時停損，去年底終於斷尾殺出認列了50餘億的損失；備供出售金融資產帳上的巴西ETF及公債部位，不幸去年里耳大貶又爆出50多億的帳面虧損，如此荒腔走板的舉措實不知市場風險的管控機制乃至整體風險管理的獨立性在哪？這款風險治理(risk governance)的玩笑實在開的太大了！筆者推論該金控的風管委員會和風管部門應該只是顆橡皮圖章，與日盛銀行的內部舞弊案相比簡直是大巫見小巫！我們不禁懷疑國內某些家族掛帥且標誌著公司治理，尤其是風險治理是否都僅聊備一格？目前配合小英政府的新南向政策，國銀多數都傾向在越南、柬埔寨、緬甸等邊境市場設立分行，除了考慮政治風險外，作業風險、信用風險的管控與衡量至為重要，更不用說應該全面落實企業風險管理(enterprise risk management；ERM)機制，期許在最適風險水準下獲利極大化。

應德煇CFA（特許金融分析師）、精誠資訊資深顧問