时间:2023-08-24 17:18:25
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇操作风险的管理,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
中图分类号:F832 文献标识码:A 文章编号:1006-1770(2011)08-024-04
编者按:巴塞尔委员会新资本协议II将操作风险作为一项单独风险纳入第一支柱,中国银监会相应出台了《商业银行操作风险管理指引》和《商业银行操作风险监管资本计量指引》。根据这些标准与指引,中国的商业银行开始探索集中统一的操作风险管理之路。日前,银监会召集部分准备实施新协议的商业银行在广西南宁举行研讨会,就操作风险管理的最新监管动态、日常管理机制、信息系统研发、业务连续性管理和高级计量法实施等议题进行讨论。现选取部分会议成果予以刊发,以供读者参考。
操作风险是一项有银行业务经营活动以来就存在的风险。但是直到2004年的新资本协议,国际监管组织才正式将其视作一项独立风险进行管理和计量。由此,操作风险被列为与信用风险、市场风险并列的三大风险之一,在第一支柱下单独针对其计提监管资本,并针对操作风险管理提出了专门的要求。
但是由于操作风险管理作为独立风险类型加以管理的时间较短,因此其管理和计量即便在发达国家也仍处于起步阶段,新资本协议的虽为操作风险计量提供了规范,但在操作风险管理方面,长期以来只有巴塞尔委员会2003年的《操作风险管理和监管的稳健做法》(简称03版《稳健做法》)。直到2010年10月,巴塞尔委员会公布了研究文件《保险在操作风险建模中的缓释作用》,2010年12月,巴塞尔委员会又了更新后的《稳健做法》征求意见稿,同时了《操作风险高级计量法监管指引》的征求意见稿。2011年6月,巴塞尔委员会经讨论同意这两份文件;2011年7月,新版的《稳健做法》(简称2011年版《稳健做法》)和《操作风险高级计量法监管指引》正式并生效。我们注意到,上述的动态变化是操作风险管理向专业化、精细化方向发展的必然,而对于我国银行业来说,更为具体和精细化的管理要求将有利于推进操作风险管理和监管水平。本文介绍了2010年以来巴塞尔委员会在操作风险管理及监管方面的最新动态,然后分析这些监管动态对我国银行业推进操作风险管理的启示。
一、操作风险管理的治理架构
完善健全的治理架构是实现有效操作风险管理的基础,2011年版的《稳健做法》最主要的亮点即在于强化了操作风险治理架构方面的具体要求,更加明确了不同层级的操作风险管理职责与问责。
(一)操作风险管理的治理架构
首先,《稳健做法》明确要求董事会应对操作风险管理承担最终责任,并应当确保全行操作风险管理制度及其执行的有效性。董事会亦应定期对全行操作风险状况及其管理情况进行核验。另外,新版《稳健做法》还提出,董事会不仅应负责在全行建立良好的操作风险管理文化,还应该负责确定本行操作风险偏好及容忍度的设置。
与之相对应的是,《稳健做法》也要求银行的高管层将董事会制定的操作风险管理框架加以落实,并强调高管层应确保本行负责操作风险管理的专业人员能有效履职。
此外,对于较大规模及业务复杂的银行来说,《稳健做法》还要求其建立专司操作风险管理的风险委员会。操作风险委员会应包含操作风险管理专职人员、业务条线专业人员等,委员会定期召开会议并向董事会风险委员会进行直接报告。
(二)思考与启示
2010年版《稳健做法》厘清了操作风险治理架构的一些具体问题,但是仍然留存了一些模糊地带和争议。如虽然董事会的职责得到了强化,但是一方面对董事会如何履责仍然失之笼统,而另一方面却又对董事会提出了诸如定期核验操作风险管理制度等执行层面的要求,这显然又同高管层的职责产生了交叉。此外,从当前的国际实践来看,操作风险偏好和容忍度的概念仍然模糊,因为操作风险与信用风险及市场风险在风险来源和本质上差异很大,操作风险不仅包含银行内生的风险(如流程、内部欺诈等),也包含了很多外生性的风险,即便其中的内生性操作风险可以进行估量,外生性操作风险则很难界定其风险暴露。因此,如果操作风险暴露难以确定,则设置操作风险容忍度和风险偏好将变得非常困难。2011年版的《稳健做法》也并未在这方面提出明确的操作方案。
不过从总体上看,2011年版《稳健做法》提出的治理架构方面的要求不仅令操作风险管理职责划分更加明确,也为银行建立操作风险管理体系提供了普遍标准。至于如何将已经用于信用风险和市场风险管理的一些理念和做法(如职责分工、专业委员会机制、风险偏好和容忍度设置等)合理有效地用于操作风险管理,我们认为这些都是开拓性和建设性的命题,而且这些问题本身也并无一致性的解答案,《稳健做法》也给予了商业银行实践的弹性,银行在关注这些要素的基础上,宜制定与自身特点相匹配的落实方案。
二、强化操作风险全流程管理
新资本协议将操作风险纳入第一支柱进行管理和计量后,自然也必须建立相应的操作风险全流程管理框架,《稳健做法》再次确认了操作风险管理所包含的识别、评估、监测、报告、控制及缓释的流程,并对流程的各个环节提出了具体的要求。
(一)全流程管理新要求
2003年版《稳健做法》在全流程管理方面仅包含了风险自我评估(RCSA)、关键风险指标(KRI)、风险计量以及风险映射四项内容,而2011年版《稳健做法》还提出操作风险的识别和评估也应包括内部损失数据以及外部损失数据的收集和分析、情景分析以及对不同工具运行结果的综合分析。此外,新业务和新产品上线前除了应评估其蕴含的操作风险外,还应将相应风险因素纳入其定价机制。而在报告机制方面,2011年版《稳健做法》也提出银行应建立常规报告和压力场景报告两种机制,并且必须包含本行操作风险实际情况与制定的风险偏好和容忍度吻合情况等。
(二)分析及启示
我们不难发现,上述新要求其实也有着丰富的内涵,且隐含了巴塞尔委员会在操作风险管理方面的总体思路。
首先,将内部损失数据和外部损失数据收集及分析列为对所有银行的普遍要求,而不仅仅局限在实施高级计量法的银行,这表明巴塞尔委员会再次强调损失数据收集是操作风险评估的核心,也是全流程管理的起点。我们甚至不难推断,提出更严格的损失数据收集要求,表明巴塞尔委员会认为即便对于实施基本指标法和标准法的银行而言,进行更为精细化的损失数据收集也是必须的,也部分矫正了先前的一种观点,即认为损失数据收集和情景分析的目的主要是为实施高级计量法的银行建模所需。事实上,巴塞尔委员会的2011年版的《稳健做法》给出了明确的信号,损失数据收集的作用不仅是用于建模,更应用于收集全行操作风险状况,并且不仅应包含“收集”,更应把落脚点放在“分析”,且应融合内部数据和外部数据,做到“回顾”和“前瞻”相结合,形成对操作风险管理提供参考依据的合力。
其次,对不同工具运行提出综合比较分析的要求表明,巴塞尔委员会明确要求操作风险管理工具之间应当建立良好的互动关系,而这点正是目前操作风险管理实践中所缺乏的。尤其是在我国,一方面前期已经着手建立操作风险管理框架的银行在开发和推广工具方面尚处于起步阶段,对工具运行结果的分析也很不足,更难以建立不同管理工具之间的互动机制,另一方面由于不同管理工具往往在开发、运行和维护上会由不同团队负责,甚至可能会由不同部门主持,因此建立不同工具之间的互动就面临更大的挑战。
第三,要求把操作风险评估加入定价机制表明,巴塞尔委员会将继续推动把操作风险管理与计量结合的实践。尽管操作风险在定义、边界界定、定量等方面还争议较大,但是银行应当建立评估操作风险暴露的机制,并且将操作风险暴露的概念运用于日常管理,一方面对业务条线的经营运营起到规范制约的作用,另一方面也对提高操作风险管理水平起到促进作用。
第四,提出了在压力场景下的报告机制,可以认为是对报告机制的一种完善。结合我国银行业实践,我们可以认为这是对各行已经执行的重大事件报告的一种规范化。因为操作风险事件往往具有突发性、不可预期性和外生性的特点,因此及时对外部压力场景做出反馈,通过报告体系使高管层或董事会知晓,是十分重要的环节。
当然,如果我们仔细斟酌,也容易发现,2011年版《稳健做法》虽然提出了不少新理念和规范,但是在实际操作上仍然缺少具体方法的指导,如对于操作风险的定价仍然囿于多种不确定性而难以准确执行,而操作风险管理工具之间如何建立互相补充完善的机制也不明确。此外,如何定义压力场景的报告、如何将操作风险偏好和容忍度执行纳入操作风险报告等问题,也都需要各方努力研究具体的执行方法。
三、细化的高级计量法要求
(一)《操作风险高级计量法监管指引》的主要内容
由于巴塞尔委员会在制定新资本协议时就隐含了鼓励银行实施更为高级的计量方法的意向,因此不少计量手段较为成熟的银行即着手开发操作风险高级计量法(AMA)。随着高级计量法的铺开,出台比新资本协议相关内容更为具体的规范性文件也显得非常迫切,而《操作风险高级计量法监管指引》(以下简称《监管指引》)正是在这样的背景下出台的,主要覆盖了高级计量法的治理架构、数据和建模三个部分。
首先,在治理架构方面,《监管指引》区分了对操作风险计量的验证(validation)以及对操作风险管理框架的核验(verification),即验证应当作为操作风险计量体系的一个有机组成部分,对高级计量法的建模进行验证,而对于包括计量和管理在内的完整的操作风险管理框架,则仍需要由独立团队再次对其进行有效性核验(见下图)。另外,《监管指引》还明确指出,实施高级法的银行应当更加注重通过使用测试(use test)将计量结果运用于操作风险管理实践,并起到促进操作风险管理水平的作用。
其次,《监管指引》明确了一些数据方面的要求,大致包括:
1.毛损失与净损失的确认:银行可以选择毛损失或净损失进行数据收集,但是应足够审慎,如损失挽回消耗大量时间,则必须用毛损失作为建模依据,且银行在计算净损失时不得先行使用保险缓释进行扣减,银行如使用合格保险缓释,需要建立单独的模型。
2.损失数据收集门槛:银行应明确其收集数据的门槛值,对于门槛值可以是全行统一的,也可以设置不同的门槛值,但是银行必须足够审慎并确保其设置的门槛值能将实质性风险事件均包括在内。同时,鼓励银行根据操作风险形态进行分类,对于同一分类的事件或条线设置相同的门槛值。
3.损失时间点:明确了可供选择的时间点限于发生日、发现日和会计结算日三项,并认为结算日是比较稳健的做法。
第三,在建模方面,对于建模数据来源、分布假设等提出了要求:
1.数据来源。再次确认了高级计量法建模数据来源必须包括内部数据、外部数据、情景分析以及经营环境和内部控制要素这四项要素,其中内部数据是建模的主体,外部数据则是针对肥尾分布的校准,情景分析作为对可重复损失事件的评估,也构成数据来源的重要部分,而经营环境与内部控制要素由于主观性过强,目前尚难以直接植入模型。
2.精细化程度(granularity)。实施高级法的银行应根据操作风险形态进行归类,并用于情景分析等场合。
3.分布假设。由于建立合适的分布是高级计量法的核心,因此银行应确保选取了合适的损失频度及严重程度的分布假设,并应保证进入内部损失数据库的数据均已包含在建模数据中,同时银行可以针对分布的不同部分采用不同的假设,但是银行应建立完整的数据清洗、模型选取、拟合等环节的文档记录。
(二)分析与启示
我们认为,一方面高级计量法尚处于起步阶段,另一方面高级计量法本身亦允许了较大的操作弹性。《监管指引》虽然在治理、数据和建模三方面提出了一些规范,但是实践中仍然有大量的弹性空间。从一些发达国家银行实施高级计量法的经验看,内部数据、外部数据和情景分析在模型中的比重差异非常大。事实上,某些银行的建模较大依赖了情景分析,而并非如很多人认为来自于内部损失数据,这可能因为各国银行经营和管理模式的差异,也可能因为不同银行数据基础和质量的差异。而《监管指引》在多个部分亦强调,巴塞尔委员会将在持续收集数据和调研的基础上,在合适的范围内对可以确定的良好实践予以明确。
四、第一支柱与第二支柱统筹
除了公开征求意见并提交高层讨论的2011年版《稳健做法》和《监管指引》外,巴塞尔委员会还对操作风险管理和计量实践的一些问题进行了研究,其中比较重要的一项工作是在第二支柱框架下评估操作风险监管资本充足情况。
事实上,虽然新资本协议将操作风险纳入了第一支柱,但是由于操作风险计量的不确定性,新资本协议也指出,监管当局将在第二支柱框架下评估银行操作风险监管资本的充足情况,并且可以对操作风险资本不足的银行提出附加资本要求。本轮金融危机后,各国监管当局和巴塞尔委员会都发现银行实际操作风险暴露可能远远大于实际计提资本的数量,而基本指标法和标准法由于风险敏感度较低,对实际损失覆盖的有效性也需要评估,可是在实践中,一方面监管当局并无明确提出在第二支柱下如何评估未覆盖的操作风险暴露,银行在亦没有在第二支柱下对操作风险暴露的覆盖情况进行评估。但是与之对应的是,由于操作风险与内控和合规管理不可分割的关系,不少监管当局和银行内部都制定过一些对内控及合规执行情况进行评估的规章,但是这些零散的文件却并未纳入操作风险管理和监管体系。正是在这样的背景下,巴塞尔委员会亦打算研究在第二支柱下开展操作风险资本充足情况的良好实践。
反观我国的银行业实践,虽然新资本协议启动时间不长,但是操作风险管理却是一直存在的,尽管其表现形式主要是内控合规管理,而监管当局的注意力也多集中在案件防控等领域。我们认为,我国的一些实践做法在原则上是符合巴塞尔委员会的研究动向的,但是我国监管和管理实践可能存在规章零散、缺乏统筹等问题。例如,我国的商业银行在传统上都非常重视对内部欺诈等重大操作风险损失事件的监控,无论是银行内控部门、风险部门还是监管部门都先后出台过多种规章进行约束,其中也包括将重大损失事件数与损失金额与经济资本计量和分配挂钩的做法,这无疑是一种在第二支柱下探索操作风险管理的积极尝试,也可以对国际监管和管理提供积极的反馈,但是我们在实践中,也有必要梳理整合现有规章,评估实践中的优缺点,思考如何建立较为统一的第二支柱框架。同时我们也应该注意到,就操作风险管理而言,第一支柱确立了原则性的规范体系,第二支柱只是对其的补充和调整,不能将第二支柱的作用无限扩大,更不能给予操作风险资本计量和分配以无限的自由裁量权,同时也必须将第一支柱和第二支柱进行统筹考虑,既要在第二支柱下考量第一支柱未覆盖的风险,也要避免因出现在两大支柱下重复计量而造成银行不合理负担的情况。
关键词:商业银行;风险管理;操作风险
中图分类号:F832.2 文献标识码:A doi:10.3969/j.issn.1672-3309(x).2011.11.39 文章编号:1672-3309(2011)11-86-02
从20世纪70年代以来,世界经济和政治格局发生了巨大的变化。全球经济一体化和金融交易电子化进程的不断推进,促使各类金融创新层出不穷。同时,金融自由化的发展使得国际银行业面临的不确定性风险也在不断增加,从而影响银行体系的稳定性。与较成熟并拥有完善理论的商业银行信用风险和市场风险相比,操作风险被单独提出是在20世纪90年代以后,对有关操作风险的识别、量化和管理等问题的研究并不透彻深入。但近些年商业银行因操作风险引起的案件所涉及金额巨大,对社会秩序造成了不良影响,商业银行操作风险管理越来越成为未来商业银行风险管理的重中之重。
一、操作风险的定义与内涵
操作风险是指由于不完善或失灵的内部程序、人员和系统、外部事件导致的风险,包括法律风险,但不包括策略风险和声誉风险,它涵盖了商业银行内部最重大范围内的风险。最重大的操作风险在于银行内部控制及公司治理机制的失效。这种失效状态可能因为失误、欺诈、未能及时做出反应而导致银行财务损失,或使银行的利益在其他方面遭受损失,如银行交易员、信贷员、其他工作人员越权、从事职业道德不允许的或风险过高的业务。操作风险的其他方面还包括信息技术系统的重大失效、火灾及其他灾难。
这样的定义反映出操作风险涵盖了商业银行除市场风险和信用风险以外的所有风险。但从银行业的现状来看,大多数银行并没有建立操作风险损失数据库,也没有一个全球银行业的操作风险评价标准,所以操作风险的量化存在着一定困难。如何建立有效合理的银行操作风险评估模型和评价体系将是未来银行业关注和研究的重点。
二、商业银行发生操作风险的必然性
金融业向来被认为是高风险的行业,高风险高收益的定律在这个行业被充分体现。商业银行作为金融业十分重要的参与者,其在追求利润的同时,也越来越关注如何将风险控制在可承受的范围之内,在控制风险的前提下更好的开展业务。所以,对商业银行操作风险的提出是深化银行经营管理和全面开展风险管理的必然趋势。
(一)商业银行风险管理理论不断发展的结果
风险的度量方法并非一朝一夕产生,自风险管理理论运用到实践以来,各国银行一直将风险管理的重点放在信用风险上,1988年具有划时代意义的国际银行业管理与监督协议――《巴塞尔协议》中确定了资产信用风险的度量方法。同时,金融市场的变化让人们意识到金融市场的价格变动给银行体系带来的极大风险,在1996年《巴塞尔资本协议》修正案中就对市场风险提出了进一步的资本要求:为了应对可能出现的市场风险,银行应持有额外的监管资本。随着经济全球化和金融创新的快速发展,金融体系的稳定性接受了极大挑战。在这种复杂的金融环境下,银行已经逐步将资产负债业务管理转向全面风险管理。同时各种风险管理理论逐渐产生,并被迅速运用到实际的银行经营管理中,经过实践、修正、完善,银行的风险管理水平不断提高。商业银行对于信用风险和市场风险的识别、度量以及建模等分析评价水平也已成熟,由于操作风险而造成银行实际损失频率的增加和数额巨大,操作风险已经成为近代银行业最主要的风险源之一。正因如此,关于操作风险管理的理论和研究也应运而生。
(二)银行提供服务品种增多的要求
传统银行业的利润来源主要来自于存贷差,但随着存贷利率空间不断缩小,依靠利息收入已经不能满足银行对收益的要求。而国际间的资本流动引发了全球货币体系和信用体系的巨大变革,以往的监管体系已经不能适应金融全球化的发展。与此同时,全球科学技术的发展也达到了一个顶峰,这为金融创新提供了一个重要的媒介。在这些外部和内部的因素共同影响下,一大批金融创新工具应运而生。这些新型的金融服务不但加速了资本的流动性和盈利性,同时也具有一定的避险能力。但是,金融服务创新是一把双刃剑,它既可以规避风险、降低风险,也可以制造风险、扩大风险。骇人听闻的巴林银行事件就是一个很好的例子。期货产品本可作为套期保值的金融工具,但该银行交易员却期望通过买卖获利,在风险不可控制的情况下一意孤行,最后造成不可弥补的损失。这个例子是一个经典的操作风险案例。首先,其是由内部人员操作导致。其次,交易员越权操作风险过高的业务。从中我们可以看出,金融服务品种的不断增多,极大地丰富了银行的流动性和盈利能力,但是,这些业务品种往往有别于传统银行业务,其业务类型相对复杂,很多是基于信用体系建立起来的,这就赋予其产品自身很高的风险性,操作员的一点失误,可能造成几倍或几十倍的损失。因此,大量金融创新的产生也带来巨大的潜在操作风险,为了规避这些风险,商业银行操作风险管理也被提到一个重要的位置。
三、对商业银行操作风险进行管理的重要性
通过操作风险的定义并结合银行的实际工作,我们从中不难看出,操作风险存在于银行的各个业务环节,银行几乎所有事情都与操作风险息息相关。银行高层管理者对操作风险带来损失的担心、监管当局对操作风险的关注、公众对于银行体系统安全性的质疑以及因金融全球化操作引发的操作风险增加等原因,使得人们对银行操作风险管理日益关注。
(一)操作风险涵盖广泛的银行风险
在日常的金融活动运行中,人们发现还存在着许多并不来自于信用风险和市场风险的风险损失,比如:人员舞弊、操作失误、恶意诈骗以及系统瘫痪或者软件漏洞等。当这些风险给银行带来巨大的损失时,人们开始关注这类不属于信用风险和市场风险范畴的风险。20世纪90年代以来,全球爆发的许多金融危机几乎都与人为因素风险、系统风险、法律风险等一系列风险有关,但这些风险并不能被归入信用风险和市场风险的范围,最后将其统称操作风险。我们可以看出,操作风险涵盖了商业银行除信用风险和市场风险以外的所有风险,其广泛的覆盖面是任何一种风险所不能比拟的。然而,尽管大家意识到操作风险管理的重要性,但对其投入的重视并不够。虽然,国内各大商业银行已经在为之做出努力,纷纷采取不同的方式和方法建立和完善自身的风险管理体系,并取得一定的成效,但截至现在,操作风险还没有一个统一的定义,没有一个全球认可的度量标准,没有可供获取的数据库,也没有相应的系统软件。所以如何对操作风险进行规避和管理将是商业银行未来改革的重点。
(二)操作风险具有内生性
从操作风险引发起的种种案例中可以看出,这些损失的发生往往来自于制度因素、人员因素以及系统因素等,而这些因素的性质决定了我们很难在操作风险发生前对其充分预知,比如员工蓄意犯案、交易员操作失误以及系统突然故障等等。所以说,操作风险具有内生性,即使建立完善的风险管理制度和预警机制,也不可能完全避免操作风险的发生。一般来说,操作风险自身的性质决定了其与信用风险和市场风险相比更加难以度量和评价。首先,操作风险涉及道德、不可抗力等领域,这些因素是没有一个衡量标准的。与我们可以直观看到的数据不同,我们很难对这些因素进行量化和建模。其次,类似操作失误、系统故障之类的事件发生是没有规律和端倪可寻的,这也给操作风险的度量带来一定的障碍。因此,操作风险的管理更应该引起银行经营管理者和监管者的高度重视。将事前防范、事中控制和事后审计相结合,同时建立完善的风险管理制度,力争在风险发生之前有效识别,风险发生之时有效控制,风险发生之后有效管理,将操作风险对银行的损失降到最低。
(三)操作风险给银行带来的损失巨大
众所周知,巴林银行、大和银行、美国长期资本管理公司的倒闭事件引发了人们对操作风险的广泛关注,而2008年发生的法国兴业银行巨额损失事件更是一个由银行操作风险引发的经典案例。据有关研究统计,在过去10年内,仅美国金融机构蒙受的超过1亿美元以上的遭受操作风险的损失事件已超过100宗,代表性案件有:阿尔弗斯特金融公司(Allfirst Financial)的流氓交易损失达6.91亿美元;家庭金融公司(Household Finance)因误导销售遭受损失达4.84亿美元;“9.11”恐怖袭击事件使纽约银行损失1.4亿美元。由此可见,操作风险给银行带来的损失是巨大的,甚至是毁灭性的。
参考文献:
[1] 徐学锋.商业银行操作风险管理新论[M].北京:中国金融出版社,2009.
[2] 汉斯・乌里希・德瑞克.金融服务运营风险管理手册(中文版)[M].北京:中信出版社,2004.
【关键词】银行 操作风险
会计操作是反映商业银行资金运作的各个重要环节,其风险的防范在现代商业银行营运中的地位显著。各项业务发展和创新都需要会计操作风险加强管理,各新旧网点的升级改造、新吸收员工不断增多,而当前会计操作大部分处在柜面操作,由此伴随会计操作风险管理重要性凸显。
一、会计操作风险的重要地位及特点
商业银行作为经营货币的企业,会计风险是客观存在的。按照商业银行经营的一般规律,其会计操作风险在经营各环节中占有重要地位和独特的特点,主要体现在以下三方面:
第一方面是商业银行的资金运作的各个环节不可能撇开会计操作,而银行日常的资金流量巨大、出入款项频率高,加上程序设计上漏洞,有可能产生会计操作风险,可以说会计是银行营运的基础。
第二方面是会计的职责是担负着银行营运全过程的收支、结算、核算业务,全面反馈资金、资本运作信息,为领导层的决策提供可靠财务依据,为确保银行资金安全,实现绩效目标的重要保证。会计操作出现了问题,不仅难以实现绩效目标,而且会影响企业整体营运,因此说会计风险管理在商业银行经营中处于核心地位。
第三方面是会计的覆盖面大,会计操作风险对内涉及到银行高、中、低层工作人员和有关机构,而且出现频率较高,风险时刻存在。对外范围较广,面对不同的业务种类和客户群体,因此说会计操作风险潜在危害性巨大。
二、商业银行会计操作风险的成因分析
(一)队伍建设方面存在管理不到位
一是员工培训效果不理想。一方面上岗前培训不够全面,针对性不够强,涉及到新员工和轮岗到新岗位员工,由于对所在岗位操作规范不熟悉,办理业务时对关键风险点控制不到位。而随着营业网点扩张和升级改造,新员工不断增多,该矛盾显得较为突出;二是在激励约束机制方面,对网点人员的核算质量还未实行量化考核,造成部分柜员重产品营销、轻前台操作风险控制。
(二)会计操作风险的评估手段不够科学
商业银行会计操作风险的科学管理,要求能够对每个机构会计操作风险水平做出客观的评价,但目前的会计操作风险的评估手段不够科学。 一是可量化的综合评价指标不够精准,且不同的机构没设有细化评价指标,各机构差别化管理难以实施,管理重点出现偏离。二是风险评估工作达不到会计操作风险控制的要求。随着经济发展和形势变化,新业务及金融工具的更新换代较快,使会计操作风险存在增加的可能,但内部控制风险评估体系的完善和发展程度却落后于业务的发展,无法准确识别风险点,不能有针对性地警示员工,会计操作风险发生的概率有增无减。
(三)业务发展与风险控制没兼顾平衡
随着市场经济的不断发展,银行在市场上的竞争也面临着越来越激烈,这就促使银行营业机构网点极为关注营销、成本、效益等绩效指标和存款、贷款等市场指标。部分银行的管理层只顾业务发展而轻风险控制,对会计操作风险带来的危害认识不到位,甚至为取得业务发展而干预会计操作的情况时有发生,业务发展与风险控制容易失去了平衡点。
(四)内部控制机制不够完善
财政部颁布新会计准则之后,新旧财务会计的处理规定发生了较大的变化,但是商业银行的相关法规,并没有及时进行修订,制度建设与业务的发展不同步,造成了业务操作过程中出现了一些存在着争议性的问题,企业会计内部控制制度建设不够完善。
三、防范商业会计操作风险的对策
(一)加强队伍建设,充分利用各种资源 。
一是人事部门统一规划,加强企业员工业务素质的培训。做好前岗后培训,根据企业员工实际情况,分层次、按不同对象实施针对性培训。对新上岗人员、发生差错较多人员等开展中短培训,利用工作空隙时间进行重点提示和强调,特别是操作要求和风险应对措施。二是加强员工行为管理。完善员工行为管理和排查有效方法,例如建立员工家访制度,定期对员工家庭进行家访,既掌握员工八小时以外的生活情况,又使员工感受到组织的温暖。对排查发现有异常行为的,及时采取有效措施。在问责方面,不只建立单纯“惩戒”制度,同时还要建立保护和奖励合规、主动纠错从轻问责等制度相结合。三是加强人力资源利用。前台人员直接接触客户,掌握客户资金流动信息,这些信息可与营销和贷款部门共享,可赋予前台、后台人员相应职责,并在利益分配上给予考虑,通过发挥整体合力进一步拓展业务。
(二)量化综合评价指标,实行差别化管理
将银行资金运转内控制度重点环节的执行情况、经全面检查发现存在风险性问题以及同行业普遍容易出现的风险问题等能反映会计风险控制状况的指标,将这些指标纳入风险评价体系,根据各个指标风险重要程度来分别设定分值,然后根据综合分值对机构的风险防范水平做出综合的评价。评价结果可分为优、良、中、低、差五个等级,评价结果可与机构的绩效相挂钩。对风险不等级的机构,管理层可以采取不同的管理措施,改进其会计操作风险管理状态。
(三)建立银行内控的信息交流与反馈机制
一是银行要分别建立内网和外网,全面实行信息化管理,内网用于系统内部信息传达、交流、反馈等,外网用于对外信息。企业内部信息数据均可在内网实时获取,也便于发现问题及时向上级领导反映,从而进行及时的整改。二是信息部门可将信息整理及提炼,形成有价值的信息平台,内控人员获取相关信息后要采取有效措施,及时控制风险。
(四)进一步完善内部控制机制
进一步完善内部控制机制,建立完整的内部控制系统,以有效地防止违规操作及犯罪的出现。根据财政部颁发会计准则、会计法及本企业实际会计业务,制定详细的制度规范和操作程序。以整个业务流程为中心,整合分散的规则规章,形成一个动态的系统平台,指导并控制系统文件的运行和会计业务的操作。
随着近年来我国商业银行操作风险事件的频繁发生,商业银行的操作风险管理日趋重要。从实际情况来看,我国商业银行对操作风险尚处于初步认识阶段,管理水平较低。操作风险大案要案频发,给我国造成了严重的经济损失,既影响了银行的社会形象,也影响了社会的正常秩序。本文通过分析我国商业银行操作风险管理中存在的问题,提出一些针对性的建议,进而不断完善我国商业银行操作风险管理。
【关键词】商业银行;操作风险;风险管理;建议
由于目前我国尚未建立起与现代市场经济相适应的、完善的法律法规体系,公民法律意识淡薄,加之社会巨变带来的急于求富的浮躁心理,导致商业银行欺诈和违规事件层出不穷。尤其近几年,商业银行操作风险案件频发,损失数额之大令人震惊,严重影响了我国商业银行的竞争力。因此,如何正确认识操作风险并建立科学有效的操作风险管理体系,提高操作风险管理水平成为我国银行亟待解决的重大问题。
一、我国商业银行操作风险管理现状
随着中国银监会《关于加大防范操作风险工作力度的通知》等相关文件的出台,各商业银行逐步建立和完善自己的操作风险管理体系,我国商业银行操作风险管理取得了很大进展。但与此同时,问题也不断显现。
1.操作风险管理的观念淡薄
纵观近年来国内商业银行频发的操作风险案件,多人为因素导致,其原因在于:中国特殊国情和体制造成员工风险意识淡薄。中国的国情决定了政府不允许银行倒闭,且银行董事会成员和行长等高管一般由政府或监管当局任命,造成银行从上到下都缺乏风险防范意识。另外,国内商业银行普遍害怕风险,遇到可能的操作风险隐患,极力压制隐藏,等到风险无法控制完全暴露时,又急于事后找原因补救。
2.操作风险管理组织架构缺失
在操作风险管理组织结构上,国内商业银行基本处于模仿阶段,与国际活跃银行最大区别是“形似而神不似”,主要表现在:(1)基层操作风险管理机构职能缺失。实践证明,操作风险事件多发生在基层分支机构,且数额很大、影响很坏。目前各商业银行虽已基本设立有操作风险管理部门,但是对基层岗位的操作风险管理不严,同时基层风险管理机构权限较小,遇到问题只能上报,不能及时处理风险。(2)内部审计体系不够独立和权威。虽然银行初衷要求内部审计部门独立,但权限上却又与其他职能部门平行致使其独立性作用难以发挥,权威性不够,结果必然导致其实质的稽核监督工作难以进行。(3)各部门职责的不一致导致操作风险管理工作难以协调。操作风险由人员、系统、流程和外部事件四类因素引起的,几乎覆盖了银行的所有经营活动和所有部门。从我国银行实际情况看,不同类型风险往往由不同部门负责,部门之间缺乏有效沟通和协调,也没有一个统一协调部门,易造成某些风险管理真空地带,使效果大打折扣。
3.操作风险管理流程不完善
虽然各商业银行都建立有基本的操作风险管理流程,但实际执行过程并不顺畅。流程出现问题使得操作风险管理的整个过程不能很好的进行,出现风险不能被及时识别或报告,从而使监管和控制滞后,风险损失累积到最后会更大。
二、我国商业银行操作风险管理的几点建议
(一)加强操作风险管理文化建设
1.加大对员工的培训力度,培育正确的操作风险管理理念。风险管理文化的建立不是朝夕之事,只有当银行上下每一位员工全都牢牢树立了风险意识,并自觉地付诸行动时,银行资本的安全性才会得到保障。风险意识是深种在每一个员工的脑海里,而这正是国内银行与世界先进银行的差距所在。
2.以人为本,建立业务经营和操作风险管理的激励机制。我国商业银行经营的操作风险管理责任主要集中在各分支机构,现实中这部分工作人员的收入水平却是偏低的,其所承担的风险责任与个人收入严重不匹配,银行激励机制缺失。但如果有相应的经营和操作风险管理激励机制,基层人员收入较高时,操作风险损失事件自然会减少。
3.培养员工的制度意识,严格执行操作风险管理制度。制定并严格执行规章制度,是建立商业银行操作风险文化的必要保证。操作人员要真正做到“有法必依,执法必严,违法必究”,坚决抵制任何违反制度的行为。
(二)健全商业银行操作风险管理组织架构
首先,成立操作风险管理委员会和主要业务线的操作风险管理团队,明确各层级操作风险管理机构的职责并严格贯彻执行。
其次,设立一个能够协调各职能部门与操作风险管理部门之间沟通配合的部门或岗位,避免操作风险管理过程中的真空状态。
第三,确保内部审计部门的权威性和独立性。设置独立的内部审计委员会直接对董事会负责,下辖的内部审计部门应直接对委员会报告,不应与其他职能部门平衡设置,形成独立的内部审计体系才能确保其发挥监管作用。
最后,适时引入外部审计并形成制度。外部审计有助于金融法规的实施,改善商业银行内部控制,提高操作风险控制水平,同时又具有较强的独立性,便于审计作用的发挥,是对内部审计和操作风险管理的有效补充。
(三)完善商业银行操作风险管理流程
首先商业银行应参照巴塞尔新资本协议并结合自身实际尽快对操作风险进行分类或细分,便于风险识别。同时,开发风险控制自我评估体系,建立操作风险预警机制,完善操作风险监测体系,统一和规范操作风险报告制度。此外,还应完善信息管理系统,为操作风险管理提供技术和系统支持。
三、总结
操作风险管理不是一套僵化的制度流程,而是一个过程,应随着商业银行面临的内外环境的变化不断调整和改进。我们在不断探索科学、有效的事后风险管理措施的同时,更要注重事前的防范;在研究和制定操作风险管理制度的同时,更要注重贯彻和执行。
参考文献:
[1]钱浩辉,徐学锋.我国商业银行操作风险管理问题解析[J].浙江金融,2011(12)
[2]柴鹏飞.中外商业银行操作风险管理比较研究[D].山西财经大学,2010.3
[3]葛兆强.操作风险管理体制:框架、模式与建构[J].广东金融学院学报,2008(9)
金融市场业务,是指以各类金融工具为交易对象,银行账户下为管理资产和负债进行的各类融资、投资和套期交易,交易账户下从事的自营、做市和销售等业务。目前,商业银行金融市场业务涉及利率、汇率、商品三大类几十种金融产品,在业务量快速增长的同时,金融市场业务的范围及复杂度也在不断扩大和提高,除原有的外汇、债券、货币市场产品等基础产品外,出现了结构化证券、结构化衍生品、商品衍生品、外汇期权、信用衍生品等新兴业务品种。可见,随着金融市场业务面临的操作风险增大,商业银行的操作风险管控压力也大幅上升。
一、金融市场业务的关键风险点识别
多年以来,具有先进风险管理经验的国际大银行,发生了多次重大金融市场业务操作风险事件。汇总分析,这些事件具有以下特征:
一是无效的银行内部控制和监督机制。巴林银行案件中,Nick Leeson在巴林银行新加坡分行分管交易和结算,他获得很多自己做决定的机会。另外,这些国际大银行公司治理机制失效,没能及时发现问题,并迅速采取必要措施纠正违规行为,也就无法避免各种操作失误和欺诈行为的发生。
二是银行重要岗位人员利用内部管理流程和信息系统漏洞作案。作案人均为银行投资主管和基金经理们非常依赖和器重的交易员。因此,虽然对重要岗位员工的信任非常重要,但这种信任一定要建立在必要监督和适当控制的基础上。
三是均为金融衍生品交易,且均发生在离总行较远的分支机构。金融衍生品具有巨大的杠杆作用,在带来高收益的同时,往往蕴藏着巨大风险。分支机构距离总行较远,总行管控力度较弱,从事风险巨大的衍生品交易可能导致重大损失。
二、金融市场业务的关键风险点分析
金融市场业务流程包括金融市场交易处理和金融市场交易管理。金融市场交易处理流程是指前台交易达成、中台风险管控、后台交易结算的整个流程。金融市场交易管理流程是指业务流程中各部门按照职责分工进行的具体工作。
(一)交易处理。目前,交易处理流程采取前中后台一体处理方式,前台在交易达成后,将交易信息录入交易管理系统,后台确认前台已完成交易,并进行结算核算处理。中台则监控各类风险管控指标,识别、计量和监控交易风险,汇总形成风险管理报告。
关键风险点主要包括,业务流程中没有纠错机制,职责分工不明确导致的风险,信息系统的软硬件和网络故障,系统感染病毒导致故障或信息泄露。
(二)交易管理。交易管理流程是指前中后台一体化的交易管理流程。前台主要工作包括,管理报价、交易头寸和交易员,并最终形成交易报告等。该环节的关键风险点包括,未授权或超授权交易、错误的交易信息录入或操作、错误的信息传输等。
中台主要工作包括,交易产品估值、风险指标计量、风险限额监控、市场数据维护等,最终形成风险管理报告。该环节的关键风险点包括,抓取系统数据出错、产品估值和风险计量的模型和监控风险等。
后台主要工作包括,确认和结算交易、资金清算、单据处理、会计核算、往来账户管理,还包括结算所需的电文往来、报表和存续交易管理等后续工作。关键风险点主要包括,后台结算核算中出现错误,错误的往来帐处理和信息传输等。
三、金融市场业务操作风险管理实践
通过对金融市场业务流程关键风险点的识别和分析,商业银行主要从业务流程及内控流程、人员管理、信息系统、外包风险等四个方面,开展操作风险管理。
(一)完善业务流程和内部控制流程。金融市场业务具有产品种类丰富、发行体和交易对手众多、交易结构复杂、资金进出频繁且金额巨大等特点,容易发生诸如故意隐瞒交易损失、未经授权交易、故意错误估值、超授权交易等风险事件。为此,商业银行加强综合交易员授权执行力度,完善交易对手评级、授信流程管理,实现对交易员授权和交易对手授信的实时监控。
银行在实践中发现,传统的风险管理职能集中于风险管理部门的集中式控制模式存在缺陷。为此,交易风险控制的组织结构由集中式“防火墙”,转变为前中后台多层次、各有侧重的管理体系。
(二)加强员工管理。近年来,金融市场交易品种越来越丰富,交易结构越来越复杂,前中后台从业人员需要更高的专业素质和管理水平。商业银行普遍聘用既有金融市场交易又有信息技术从业背景的复合型员工,负责对前台金融市场业务、中台风险控制和后台会计处理的协调配合、业务和系统设计,避免交易产品带病投入生产。
(三)完善信息管理系统。资金业务系统实现前中后台全流程后,工作效率大幅提升,操作风险也随之大幅上升。交易业务发生错误交易或操作风险,将导致后台结算和会计入账等严重错误,纠错程序复杂、成本高。为此,商业银行普遍从系统参数管理、系统故障和缺陷等方面入手,完善信息科技系统。
1、系统参数管理。资金交易系统的运行管理是由一系列参数管理实现的,系统静态参数管理、维护工作的作用极其重要。商业银行普遍成立专门的系统参数管理部门,统一负责参数维护,对参数录入的交叉复核,避免系统参数管理分散、参数录入错误等风险。
2、系统故障和缺陷。系统宕机问题。采取措施定期清理系统资源,避免非法录入,对错误交易及时反应并重启服务,及时解决问题,并持续监控。
系统接口问题。资金交易系统和周围系统的接口众多,逻辑关系复杂,需定期对接口进行评估和检查,做到前台对交易进入系统进行确认、后台与交易对手的确认,确保系统接口正常运行。
系统改造问题。资金交易系统极其庞杂,所有问题不可能一次性解决。按照急缓及复杂程度,合理安排系统遗留问题改造工作,在规定时间内完成。重点检查暂时需要手工干预的遗留问题,避免产生操作风险。
(四)防范外包风险
信息系统建设和运维通常由外部专业公司进行,商业银行通过培训和人员调度、外包服务考核等方式,加强外包团队服务质量和水平,降低资金业务系统的外包风险。
四、金融市场业务操作风险管理的启示
商业银行应借鉴国内外先进银行的实践经验,建立完整的金融市场业务操作风险管理机制,主要内容包括:
(一)构建关键风险点指标体系。从业务流程和内控机制、员工、信息科技系统、外包服务管理等方面,构建金融市场业务的关键风险点指标体系,如表1所示。
(二)操作风险管理的改进思路。商业银行运用关键指标体系,定期识别和评估关键风险点,并根据评估结果制定行动方案。明确责任部门牵头组织,重点针对新增的、风险程度升高的风险类型进行整改。
建立操作风险事前、事中、事后评估机制。以“新产品上线、流程变化、损失事件”为触发条件,建立事前主动评估机制。以“关键指标”为工具,建立事中检测报告机制。以“风险事件库”为载体,开展事后收集和整改工作。
管理操作风险的原则
在新巴塞尔资本协议征求意见阶段,操作风险曾被定义为“由于不完善或有问题的内部程序、人员、系统以及外部事件给银行造成直接或间接损失的风险”。这个定义意味着操作风险可能引发直接损失和间接损失。直接损失比较容易理解,是指某一操作风险事件发生后,按照银行适用的法律、法规反映在银行法定财务报表的损失,损失包括所有与该操作风险事件相联系的成本支出,但不包括为避免后续操作风险损失实施的相关成本支出。但对于如何界定操作风险引发的间接损失一直存在争议,有观点认为是其他类型的风险发生引发操作风险事件发生,或者操作风险事件发生后引发其他类型风险发生而造成的财务损失,但难以把握的是,间接损失数据是应当归入操作风险损失,还是归入其他类型风险的损失。后来,在新资本协议定稿之际,操作风险被定义为“由于不完善或有问题的内部程序、人员、系统以及外部事件给银行造成损失的风险”,事实上将间接损失排除在外。
参考新资本协议的定义,我国商业银行管理操作风险现阶段应遵循以下四项基本的原则:
(1)全面管理。未来我国商业银行的总部和国内外分支机构都必须建立完善的操作风险管理制度,控制操作风险损失。而操作风险管理具有高度分散化的特征,因此操作风险管理制度的控制力应该渗透到银行各项业务过程和各个操作环节,覆盖所有的部门、分支机构和岗位,并由全体员工执行。
(2)政策及时调整。由于目前我国银行业监管机构尚未对商业银行操作风险管理制订监管规则,我国商业银行经营战略、方针、政策也都处于变化当中,操作风险管理的政策制度应随着外部和内部环境的变化及时调整。
(3)成本与收益匹配。管理操作风险要付出一定的成本,商业银行的管理措施必须与具体业务的规模、复杂程度和特点相适应,通过付出合理的成本将操作风险损失控制在银行经营所能承受的范围内,不切实际地追求零操作风险并不可取。
(4)严格问责。目前我国商业银行正处于操作风险发生频率较高的阶段,应坚持严格问责的原则。银行内部操作流程的每一个环节都必须有明确的责任人,并严格按规定对违反制度的直接责任人和负有领导责任的管理人员进行问责。
操作风险的分类
新资本协议将操作风险损失事件分为内部欺诈,外部欺诈,就业政策和工作场所安全性,客户、产品及业务操作,实体资产损坏,业务中断和系统失败,执行、交割及流程管理七类,每一类还有相应的子类。但如何根据新协议对我国银行业面临的操作风险进行有效分类是实践中的一个难题。不少国内商业银行发生的操作风险事件带有典型的“中国特色”。因此,在新协议的指引下,结合我国商业银行的实际情况,对操作风险进行分类或许是当前一个比较合理的选择。
按照新协议中规定的操作风险的四类诱因,我国商业银行的操作风险类别大体可以分为:
(1)由于银行业务流程、制度管理存在不当或偏差而没有及时完善,导致操作或执行困难而产生的操作风险。比如,内部或对外流程不适当;责任分工不明确;文件残缺;合同标准文本条款残缺;合同标准文本条款对银行不利;文件记录内容不全面;合同标准文本中空白条款填写不完善或不正确;风险管理报告不充分;财务报表披露不充分;新业务或新产品已经在前台办理,相关的文件没有及时传达到前台;对前台相关业务的新规定没有及时传达到员工;对业务流程要求执行不力等。
(2)由于人员因素导致的操作风险。这类操作风险是当前我国银行业面临的主要操作风险。人员风险源于主观和客观因素,前者为银行员工不遵守职业道德,违章、违规或违法操作,单独或参与骗取、盗用银行资产和客户资产,或工作疏忽,其行为给银行造成直接经济损失;后者为员工的自身能力与岗位对人员素质要求不符给银行造成的直接经济损失。
(3)由于IT技术或技术应用环境失灵造成系统服务中断或造成错误的服务,或由于系统数据风险影响业务的正常运行而产生的操作风险。如科技投资风险;系统开发和执行风险;系统功能问题或系统失效风险;系统安全风险;法律或公共责任风险;风险管理模型风险等。
(4)来自外部的主观或客观因素产生的操作风险。如交易对手通过诉诸法律而使交易无效(并非主观故意或过失违反法律、法规、规章和规定);内部的管理规章制度与外部法律、法规或监管要求发生冲突;反洗钱活动不力;业务操作违规;对客户的隐私和数据保护不力;外部采购或供应商风险;外部开发过程中所面临的第三方中断必要资源的风险;火灾、洪水、其他自然灾害等。
操作风险管理组织架构设计
随着我国商业银行公司治理机制的完善,未来完整的操作风险管理组织架构应由董事会、高级管理层、商业银行总部履行操作风险管理的牵头部门、总部其他部门、国内外各级分支机构等构成。
在这个管理层级体系中,董事会应是我国商业银行操作风险管理的最高决策机构,负责制定操作风险管理的发展蓝图和体系框架,审议并批准操作风险基本管理制度。评判操作风险状况,对高级管理层、职能部门、各级机构履行操作风险管理职责情况进行定期评估,并提出改进要求,确保整个银行机构能够识别、衡量、监督及控制操作风险。确定整个银行操作风险可以接受的水平,监控整体操作风险状况是否符合本行的操作风险偏好,对特殊情况进行审议,必要时向董事会报告特殊情况等。
高级管理层负责执行董事会批准的操作风险管理战略、管理政策、基本管理制度,评估操作风险管理制度的有效性,监控相关管理制度的具体实施情况,识别相关管理制度的不足和缺陷,决定为完善操作风险管理而采取的重要措施或行动方案。
商业银行总部是履行操作风险管理的牵头部门,负责拟订有关加强操作风险管理的基本制度和办法,以及操作风险识别、评估、监测、控制、缓释、计量等方面的具体管理制度和报告制度,并向高级管理层报告有关情况;就完善操作风险管理及拟采取改进措施和行动方案提出意见和建议;牵头协调、监控、督导总部其他部门及各一级分行开展操作风险管理工作和执行高级管理层的决定,并向高级管理层报告有关情况;负责定期向高级管理层报告操作风险状况及其占用的经济资本状况等。
商业银行总部其他部门的主要职责包括:结合本部门实际情况负责制定本部门的操作风险管理制度,报备牵头管理的部门。负责建立本部门操作风险控制程序,贯彻操作风险管理的各项要求。积极掌握和运用操作风险管理技术、模型和经验,识别本部门存在于产品、业务、流程方面及其他方面的操作风险,并确保在推出新的产品、业务、流程及IT系统前,对其内在操作风险做出充分的评估,采取适当措施防范和化解操作风险。对本部门操作风险控制情况进行检查、监督,对主要业务范围内的操作风险暴露及操作风险事件进行持续监控,完成本部门操作风险状况的汇总、归集和分析工作,按时报送牵头部门。
国内外各级分支机构负责本级机构的操作风险管理,其主要职责包括:实施辖内操作风险信息的汇集、操作风险的监控和管理工作,并按相关要求向上级机构报告本级机构操作风险状况,同时向本级机构负责人汇报。对辖内各部门及下级机构的操作风险管理情况进行政策执行督导和检查,汇集辖内操作风险信息状况。通过自我评估等方法识别对实现工作目标有负面影响的各类内在因素(如本机构业务的性质和复杂程度、人员的素质、组织的变化及人员流失率等)及外在因素(如经济状况的波动、产业技术的改变、政策形势的变化等),制订或完善相应的操作风险管理制度,采取适当措施防范和化解操作风险。
我国银行业操作风险管理运行机制
未来我国商业银行操作风险管理的运行机制应该由识别和确定、量化和评估、缓释、监控、规避、报告等环节组成。
从操作风险的识别来看,首先要通过确定不同部门、不同分支机构、不同业务的操作风险事件来识别操作风险。由于操作风险表现程度上的差异,在确定操作风险事件时应根据对操作风险的历史经验、未来操作风险预测、潜在损失金额、潜在损失频率等因素,将操作风险事件进行一定的分类,如一类操作风险事件、二类操作风险事件和三类操作风险事件等。
操作风险的度量是现阶段我国商业银行最难以做到的。根据国际活跃银行的经验,一般是通过量化方法,归集和分析银行在不同部门、不同分支机构、不同业务的各类操作风险,全面衡量银行总体操作风险承受能力。随着战略投资者进入我国商业银行,我国的商业银行应借助战略投资者的风险管理技术,引进关键风险指标、战略风险评估、自我评估问卷、操作损失分析等方法,建立完整的操作风险度量体系。
操作风险缓释实际是银行操作风险的“出口”。我国的商业银行应根据操作风险管理的成本效益和预期损失相匹配原则,以及各类风险缓释措施在应用中的可操作性,针对不同类型操作风险事件可以考虑采取接受风险、减少业务量、实施外包、购买保险、调整流程、计提准备金、加强人员培训等不同的操作风险缓释措施。
操作风险的监控是现阶段我国商业银行管理操作风险的另外一个难点。操作风险事件涉及的领域非常宽泛,没有IT手段的强力支持,有效地监控操作风险几乎是一句空话。我国的商业银行应充分利用IT手段建立操作风险的监控体系,操作风险的信息应纳入整个银行企业级数据仓库项目中。在风险缓释措施难以奏效,风险监控手段不到位的情况下,如果业务产生的盈利无法覆盖可能带来的损失,应果断限制开展具有高操作风险的业务。
现阶段我国的商业银行应考虑建立操作风险管理的报告制度。完整的操作风险报告制度应涵盖报告内容、报告人员、报告频率等要素。操作风险报告的内容应包括操作风险类型,所有因操作风险事件产生的相关数据和损失原因,关键风险指标KRI、战略风险评估结果、自我评估问卷结果、操作损失分析结果,对监管机构、董事会稽核委员会、内外部审计机构等在检查中发现问题进行整改的结果等;无论是商业银行总部的职能部门,还是国内外各级分支机构都应该设立本级机构操作风险的报告人,由报告人负责报告辖内的操作风险状况;应区分报告的内容,确定操作风险报告的频率,有临时性报告、月度报告、季度报告等,对于重大操作风险事故或案件,应采取特事特报的方式,不设时限规定,使董事会和高级管理层能在第一时间获得准确信息。
我国银行业操作风险管理的环境建设
现阶段我国商业银行内部应特别注意操作风险管理的环境建设。
首先,银行董事会和高级管理层必须对操作风险给予足够的重视,营造由全体员工共同参与的操作风险管理环境,建立科学、有效的激励约束机制,提高员工的操作风险管理意识和职业道德素质。
其次,根据银行企业级数据仓库项目建设的总体规划,对计划实施的流程进行操作风险识别,同时建立及时归集操作风险损失的数据采集系统和数据库,提升操作风险管理水平。现阶段就应着手收集操作风险损失数据,实现连续、实时地监控和评估整个银行总体操作风险,确保总体操作风险水平在董事会确定的可以接受的范围内,同时使董事会和高级管理层能根据操作风险数据对操作风险状况进行有效评估。
第三,银行内部应加强对操作风险管理手段和方法的培训,保证各级员工获得操作风险管理方面足够的知识和技能。尤其是对新入行员工,应在上岗前将岗位的操作职责及操作技能作为培训的必要内容。
第四,在制订关于操作风险管理的政策上要注意清晰、便于理解和正确执行。正式下发操作风险管理有关政策前,应确保政策制订部门或机构与相关执行部门或机构的人员进行充分沟通。
问题一:操作风险认识落后
对操作风险的理解和认识是商业银行操作风险管理的基础。与大型银行高度重视操作风险,对其进行深入研究,并在此基础上对本行面临的操作风险进行界定形成对比,城商行对操作风险普遍不够重视,认识相对落后。这也是城商行操作风险管理落后、案件频发的重要原因。具体表现在四个方面:
第一,认为操作风险不如信用风险重要,因而重视程度不够。城商行大都认为目前开展的业务主要是信贷业务,因而信用风险是城商行面临的最大风险。相比较而言,操作风险没那么重要,对操作风险的管理也就不够重视。事实上,由于操作风险会影响到银行的声誉,往往会引发流动性风险。而城商行等中小银行的信用和声誉比大型银行脆弱,操作风险有可能对中小银行产生致命打击。因此,城商行等中小银行应更加重视操作风险及其管理。
第二,将操作风险等同于金融案件。现实中,由于操作风险发生后往往最终体现为案件,一些城商行风险管理人员就简单地将操作风险等同于金融案件。对操作风险的管理也就被案件防控所替代。这实际上人为缩减了操作风险的范畴。
第三,认为操作风险就是操作性风险。有不少人仅从字面理解操作风险,从而将操作风险视同于操作性风险,即只在柜面存汇、会计等操作性岗位存在的操作失误、差错等风险。而这类操作性风险仅仅是操作风险中的一小部分,即“高频低损”的那部分。从某种意义上说,此类“高频低损”的操作风险对城商行的危害要远低于“低频高损”的那一类。
第四,认为操作风险不可控、不可测,无法主动管理。操作风险大都由人员因素引发,因而具有突发性、隐蔽性、事先难预测等特征。一些风险管理人员据此认为操作风险无法主动管理。事实上,通过对较长时期大量数据和案例进行分析可以发现,操作风险有一定的规律性,且可以通过完善业务流程、开发风险预警系统等实现事先发现、主动防控。而在“被动管理”认识的支配下,由于不能投入大量资源,操作风险管理基础设施的建设无法有效开展,管理落后状况也就在所难免。
问题二:操作风险管理理念薄弱
操作风险管理理念就是银行开展操作风险管理活动的指导思想,是操作风险文化的重要组成部分。城商行操作风险管控能力不强、操作风险大案频发,在很大程度上归因于操作风险管理理念的薄弱。这一问题可归纳为“五重五轻”。
一是,重视业务发展,轻视操作风险管理。城商行普遍存在明显的规模情节和速度情节,把发展放在第一位,追求跨越式发展,忽视操作风险管理;在考核压力下,分支机构甚至出现违规操作、打球等情形。特别是放松对一些低风险业务的控制,盲目做大业务,潜藏巨大风险。齐鲁银行票据诈骗案正是典型。
二是,重视事后管理,轻视事前防范。基于“操作风险不可控”的认识,城商行普遍重视操作风险的事后管理,通过加强审计、加大责任追究等措施,试图通过严厉的处罚和惩戒起到警示作用,以达到降低操作风险的目的。事实证明,该管理思路的效果并不理想。
三是,重视个案查处,轻视全面分析。操作风险案件发生后,城商行通常情况下更强调对单个案件的查处和整改,但很少对银行历史上发生的操作风险案件及外部案件进行全面分析,从而使得操作风险管理的改善进程缓慢。
四是,重视基层人员管理,轻视高层人员管理。在“操作风险就是操作性风险”的认识下,城商行更加重视对基层一线操作人员的操作风险管理,无论是检查力度、频度,还是检查深度、范围,都远超过对管理人员尤其是中高层管理人员的管理。但事实显示,中高层管理人员引发的操作风险给银行造成的损失大大超过基层操作人员。
五是,重视审计稽核,轻视全面管理。以审计稽核替代操作风险管理,操作风险管理覆盖范围小,管控水平不高。
问题三:操作风险管理架构尚未建立
操作风险管理架构是商业银行开展操作风险管理活动的平台,也是明确各相关部门职责,建立完善管理流程的关键。从目前情况来看,大多数城商行尚未建立起完善的操作风险管理架构,导致操作风险管理缺乏总体负责部门,相关职责混乱不清,严重影响操作风险管理活动的开展。
首先,董事会和高级管理层下均设立了风险管理委员会,但这两个委员会主要负责的是对信用风险和市场风险的统筹管理,尚未真正将操作风险纳入管理范畴。
其次,各家城商行均设立了独立的风险管理部,但该部门普遍仅负责信用风险管理,并不承担操作风险管理职能。换句话说,大多数城商行没有设置专门的操作风险管理部门,相关管理职能分散在多个部门,导致重复管理与管理真空并存、管理效率低下等问题。在此情况下,主要由风险管理部负责建设的所谓全面风险管理体系并未将操作风险纳入其中,更多的是强调对信用风险的全流程、全覆盖管理。
最后,分支机构的操作风险管理职能缺失。与总行操作风险管理部门缺乏相对应,在分支机构层面也没有设置专门的部门或岗位负责操作风险管理,而是分散于会计主管、风险经理、合规员以及审计经理等不同条线的有关岗位上,缺乏总体协调。操作风险管理架构的不完善还造成风险汇报路线不清晰,进而导致董事会及高管层不能及时、全面掌握银行的操作风险总体状况。
问题四:内控体系不完善,操作风险管理手段单一
从现实来看,城商行操作风险管理手段单一,大多主要依靠内部控制中的传统流程控制和制度控制。而城商行普遍存在内控体系不完善问题,从而使得操作风险管理能力不高,操作风险大案屡有发生。第一,内部控制架构不完善,导致内控体系不健全。在公司治理层面,董事会未能承担起内控建设的最终职责,造成内控建
设缺乏全面性、前瞻性和持续性。在经营管理层没有专门的部门负责内控体系建设,各相关部门仅从条线管理角度开展内控活动,使得内控体系缺乏整体性。
第二,内控制度不完善。相当一部分城商行尚未建立起由战略层面、基本制度层面和操作层面等不同层面构成的内控制度体系,大多由各业务条线的业务管理办法或操作手册代替,制度对风险的控制力不强。
第三,内控关键措施缺乏,内控效果不高。关键岗位强制休假、轮岗轮调、不相容岗位相互分离等内控关键措施对控制操作风险具有很好效果。但相当一部分城商行或由于人员不足,或由于不重视等原因并未建立起上述内控举措,或日常经营管理活动中未能严格执行,使得内控效果打折扣。而很多操作风险案件的发生与这些内控关键措施的缺乏直接相关。
第四,内控监督评价职能较弱,内控持续改进机制没有形成。由于历史原因,城商行内审普遍薄弱,而这恰恰是内控监督评价的核心因素。从而造成对内控缺陷的识别能力不强,建立在此基础上的内控持续改进机制也就难以形成。
问题五:制度执行的监督评价机制缺乏,制度执行力不高
制度执行不力是很多城商行操作风险案件发生的直接原因,也是城商行操作风险管理中存在的普遍性问题。在很多情况下,有制度不执行给银行造成的危害更大,因为在有制度的情况下往往会让风险管控人员放松警惕,进而发生风险。造成城商行制度执行力不高的原因有以下两方面:
第一,更加重视制度建设过程,对制度出台后的执行情况则重视不够。在制订制度的过程中,总行各相关部门均会积极参与,出谋策划。但制度出台后,在如何将总行的意图和制度的内含准确、完整、及时传递至分支机构方面,则做得相对不够。造成分支机构不能准确把握政策意图,影响制度的有效执行。
第二,对制度执行的监督评价机制缺乏。制度出台后,相关部门并未建立起一种评价机制,以了解制度执行情况、执行中碰到的问题,以及制度与外部环境的适应性等,以便于对制度进行调整完善,造成制度制定与制度执行的脱节。此外,对有章不循、违规违章操作问题的处罚力度不够,难以起到震慑作用,也是造成制度执行不力的原因之一。
问题六:操作风险管理的电子化水平较低
研究显示,操作风险大都跟人员因素有关。因此,传统的制度控制、岗位制约等风险防控手段的效果不尽如人意。由于人容易受到自身感情、情绪以及外部环境等因素的影响,通过“人工控制”来防控操作风险还容易带来衍生风险,如合谋作案等。换句话说,电子化的系统控制方式不易受到外部因素干扰,防控效果更好。这也是操作风险管理的未来发展方向。值得注意的是,城商行操作风险管理的电子化水平普遍较低。集中表现在:第一,业务系统的风险控制功能较弱,业务系统更大程度上是业务操作和处理系统,缺乏对各环节潜在操作风险的控制功能,对风险管理的支撑不够。第二,城商行大都没有建立专门的操作风险管理系统,不能对操作风险进行及时识别、实时监控和预警。操作风险管理仍停留在传统的“人工控制”阶段,操作风险管理效率不高。第三,尚未在对银行历史上的操作风险进行全面梳理的基础上,建立操作风险损失数据库,以为操作风险的量化管理做好准备。鉴于操作风险的特殊性,全流程管理、全覆盖监控是有效管理操作风险的基本要求。但在缺乏专门的系统,电子化水平较低的情况下,城商行的操作风险管理很难做到这一点。
商业银行实质是经营风险并从风险中获取收益的企业。随着我国银行业竞争的不断加剧,以及商业银行经营规模的日趋扩大,与之相伴的操作风险亦不断增加,有效防范和化解操作风险已成为我国商业银行必须面对的一项全新而艰巨的任务。把保险运用到我国商业银行的操作风险管理中,以经济方式对商业银行操作风险进行损失事前转移,事后补偿,将有助于完善我国商业银行的操作风险管理体系。
本文将从商业银行操作风险的定义、分类、特征,商业银行操作风险产生的根源,商业银行操作风险保险的作用以及发展我国操作风险保险的构想四个方面阐释新巴塞尔协议下保险对缓释商业银行操作风险的作用。
【关键词】
保险;操作风险;商业银行;新巴塞尔协议
2004年6月26日,巴塞尔银行监管委员会正式公布了《巴塞尔新资本协议》,即新巴塞尔协议,新巴塞尔协议明确地将操作风险的衡量和管理纳入金融机构的风险管理框架之中,并且要求金融机构为操作风险配置相应的资本金水平。这标志着操作风险已成为国际银行业全面风险管理框架的重要组成部分。同时,新巴塞尔协议肯定了保险在商业银行操作风险管理中的风险缓释作用,保险作为一种风险管理的工具已经越来越多地被各国商业银行用来覆盖操作风险的暴露。
1 商业银行操作风险概述
1.1操作风险的定义
新巴塞尔协议将操作风险定义为“由于不完善或有问题的内部程序、人员和系统或因外部事件导致损失的风险”。新巴塞尔协议的定义有以下几个特点:⑴关注内部操作,主要是商业银行及其员工的作为或不作为;⑵重视操作风险的过程导向;⑶用内部控制系统具有重要的作用。
目前,新巴塞尔协议对操作风险的定义已经为国际商业银行广泛接受,该定义有利于商业银行操作风险的管理和度量。
1.2操作风险的分类
按照操作风险的成因分类,新巴塞尔协议按损失事件类型把操作风险划分为七类:
①内部欺诈:故意欺骗,盗用财产或违反规则法律公司政策的行为;
②外部欺诈:第三方故意欺骗,盗用财产或违反法律的行为;
③雇佣制度和工作场所安全:由于银行不履行合同,或者不符合劳动健康或安全法规,或者由于人员伤亡索赔支付或差别待遇、歧视事件导致的损失;
④客户、产品和业务活动:无意或由于疏忽没能履行对特定客户的专业职责,或者由于产品的性质或设计产生类似结果;
⑤实物资产的损坏:自然灾害或其他事件造成的实物资产损失或损坏;
⑥业务中断和系统错误:业务的意外中断或系统出现错误;
⑦行政,交付和过程管理:由于与交易方的关系而产生的交易过程错误或过程管理不善。
1.3操作风险的特征
(1)操作风险的发生范围广,主要指发生时间广、发生区域广、发生部位广、发生的业务广、制造风险的人员广和制造手段广等。 (2)操作风险的表现形式多样,主要为:内部欺诈风险、外部欺诈风险、客户、产品与经营行为风险、执行分割和流程管理风险。 (3)操作风险处于爆发期。 (4)操作风险以欺诈类的比例最高。
2 商业银行操作风险产生的根源
2.1委托问题引发的操作风险
在商业银行日常经营活动中,委托关系是商业银行操作风险产生的根源之一,包括商业银行与监管部门间的委托关系引发的操作风险和商业银行内部的委托关系引发的操作风险。
2.2有限理引发的操作风险
有限理是商业银行操作风险的发生的客观基础,第一,信息的不完备促使操作风险的产生;第二,人的能力的局限性也会引发操作风险的产生,商业银行从业人员对信息的判断错误本身就是操作风险。
3 商业银行操作风险保险的作用
保险对于商业银行操作风险的缓释作用主要体现在以下几个方面:
3.1减少或弥补银行因损失发生而造成的经济影响
保险可以提供一种有效的手段来购买索赔处理和损失控制服务,同时保险还可以降低财务损失的期望成本、可以降低新投资机会的融资成本、降低出现财务困境的可能性和减少期望纳税额。
3.2合理配置资源作用
由于风险控制措施具有边际效应递减的特点,单纯依靠传统的风险管理方法,只能将风险控制在一定水平,此后继续加强操作风险的控制措施将会使操作风险的管理成本快速增加,就是说,完全依靠自身的风险管理体系控制操作风险并不是最经济的手段。合理的风险管理方法应该是将各种风险管理技术与保险相结合,针对自身的技术水平和管理能力,商业银行应找到操作风险管理的“均衡点”,利用风险管理技术化解常规风险,而剩余风险则利用保险方式加以转移。依靠保险工具,商业银行能够寻求最佳的资源配置效应,以最低的成本寻求最有效的操作风险管理组合。
3.3平稳现金流量
商业银行现金流可能会因为大的非预期操作风险损失而产生剧烈波动,而现金流的波动会增加额外的成本,进而影响商业银行的收益状况。商业银行可以通过购买操作风险保险来抑制因大量非预期操作风险损失所引发的现金流的随机波动,从而将不确定的操作风险损失转化为确定的保费支出,使商业银行的现金流更加稳定,从而有助于改善商业银行的收益状况,提高商业银行的市场价值。同时,商业银行购买操作风险保险后,可以释放一部分资本金,用于更优的运用途径,增强了商业银行经营的灵活性。
3.4获得保险人的风险管理服务
保险人的核心业务是管理风险和为风险造成的损失融资。大的保险人在获取数据、经验和规模效益方面往往比商业银行有比较优势。因此,商业银行若通过购买保险将一部分操作风险管理工作转移给保险人,从成本的角度讲将更加有效,且能获得保险人提供的风险管理服务。
4 发展我国操作风险保险的构想
发展我国的商业银行操作风险保险,应该借鉴国外先进经验并结合我国商业银行自身的特点,从以下几个方面进行努力:
4.1加强商业银行操作风险损失数据库建设,为保险定价创造必要的数据基础
保险定价是操作风险保险产品设计的基础,而损失数据库的建设和完善是保险定价的前提。目前,我国商业银行普遍没有进行操作风险损失数据的收集。因此,应该根据新巴塞尔协议对商业银行操作风险的分类体系,建立商业银行的操作风险损失数据库。
[关键词] 风险管理;操作风险;发展趋势
[中图分类号] F830.4 [文献标识码] A [文章编号] 1006-5024(2008)07-0175-03
[作者简介] 乐友华,农行江西省分行经济师,法律顾问,硕士,研究方向为金融保险法。(江西 南昌 330008)
一、商业银行操作风险及特点
风险就是未来结果的不确定性。不确定性越高,风险就越大。由于分析角度不同,对银行风险分类的标准也不一。一般可分为市场风险(利率、汇率和资产价格)、信用风险、流动性风险、操作风险、法律风险、道德风险和国家风险。一般业界所说的三大风险是指信用风险、市场风险和操作风险。这是国际上巴塞尔委员会要求提取资本金的三类风险,是国际银行业和银行监管机构重点关注的三类风险。
对我国商业银行来说,操作风险是个新概念,但这并不表明我国商业银行中没有操作风险管理活动。事实上,各商业银行一直都有自己的操作风险管理实践,但一般使用“内部控制”一类的表述,而且,在多年内控管理过程中,各商业银行都程度不一地建立和制定了相关的管理框架、制度和措施。不过,相对于信用风险、市场风险管理而言,操作风险管理还缺乏识别标准、管理模式、数据积累等。
操作风险是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。操作风险包括法律风险,但不包括策略风险和声誉风险。具体表现就是商业银行因办理业务或内部管理出了差错;由于内部人员监守自盗,外部人员欺诈得手;电子系统硬件软件发生故障,网络遭到黑客侵袭;通信、电力中断;自然灾害、恐怖袭击等原因导致损失的银行风险,这些都属于操作风险。可见,操作风险不仅仅包括操作中的风险,还包括内部程序、信息科技系统和外部事件所带来的损失。
与信用风险和市场风险相比,操作风险主要有几个特点。第一,具有内生性,除自然灾害等外部事件引起的操作风险损失外,操作风险大多是在银行可控范围内的内生风险,信用风险和市场风险则为外生风险。第二,广泛性,操作风险的覆盖的范围相当广泛,与市场风险主要存在于交易类业务和信用风险主要存在于授信业务不同,操作风险普遍存在于商业银行的业务和管理中。此外,对于信用风险和市场风险来说,风险越高,收益越高,存在风险与收益的对应关系,而操作风险和收益没有太多联系。
二、操作风险识别和管理
操作风险主要表现为以下几种类型,商业银行在经营中需加以识别和管理。
(一)人为因素。主要为内部欺诈、主观违规、操作失误。主观违规有超授权授信行为、逆程序、过度信任造成管理缺位、岗位设置不合理造成监督空位、不良爱好(如涉毒、涉赌、涉黄)引发的违法违规。操作失误是由于员工技能水平不高、态度不认真在业务过程中的失误造成的,如数字输入错误、将取款记作存款等。由银行员工操作失误引起的操作风险一般具有损失小(当然不排除特殊情况)、发生频率高、难以事先预测的特征,因而非常难以防范。人员因素引发的操作风险,有的是作为,如主观违规,有的是不作为,如业务不熟出错,疏忽大意。
(二)流程因素。包括操作程序遗漏或忽略、产品设计缺陷、业务流程设计不合理等。过去认为流程越复杂、相互制约性越强越好。事实上,流程越简单越易于操作,流程越短越便于管理,设计越合理越利于控制。这样才能适应变化,确保效率和风险管理,流程设计不合理,有瑕疵,往往容易出现风险隐患。
(三)系统因素。系统是现代商业银行赖以生存的命脉。无论是业务发展如网上银行、现金管理还是风险监控,都离不开信息系统紧密支持。但是,商业银行高度依赖信息系统,信息数据高度集中也给银行带来新的风险管理难题,如系统安全稳定、IT技术风险防范、数据和信息质量,系统设计和开发战略风险,等等。系统出现如故障、瘫痪,系统不安全、通讯中断以及系统兼容性、稳定性、适宜性方面的操作风险很容易给银行带来巨大的经济损失和无法估量的信誉损失。此外,从操作风险发生的部位来看,当前与系统有关的操作风险日益增加。由于系统原因和流程问题导致犯罪分子利用系统漏洞实施金融诈骗已经成为妨碍我国银行业资金安全重大问题。
(四)外部因素。银行经营都是处于一定的政治、社会、经济环境中的,经营环境的变化、外部突发事件都会影响到银行的经营活动,甚至会产生损失。外部事件引起银行损失的范围非常广泛,包括外部欺诈、外部突发事件与外部经营环境的不利变化。外部人员的蓄意欺诈行为是近年来给银行造成损失最大、发生频率最高的操作风险之一,而内外勾结作案更是令商业银行防不胜防。外部欺诈包括骗贷、抢劫、偷盗、爆炸等风险因素。外部突发风险包括遭受冰冻雨雪、地震等自然灾害以及恐怖袭击、火灾等给商业银行带来的损失。外部经营环境的不利变化引起的操作风险是由于受宏观经济环境、银行监管法规变化使银行发生损失的风险。宏观经济环境的不利变化会给商业银行带来意想不到的损失。
三、商业银行操作风险管理的现状
目前,我国操作风险管理与监管尚处在一个较为初期的发展阶段。由银行监管部门以规范性文件关于操作风险监测方法或者具体操作模式还为时尚早。监管机构主要把重点放在提高操作风险(或内部控制)管理质量上,并且要求银行提高对操作风险的重视。
(一)商业银行操作风险的监管要求。2004年6月,巴塞尔委员会了新的资本协议,对银行操作风险提出了新的资本要求。据巴塞尔委员会估计,在银行业所有风险中,操作风险所造成的损失已经仅次于信用风险。2006年10月巴塞尔委员会的新版《有效银行监管核心原则》中,专门为“操作风险的监管”新增一条原则,制定了评估该原则执行情况的标准,提出了商业银行操作风险管理的最佳做法和监管指引。
目前,实施新资本协议的国家都按照新协议要求,明确将操作风险纳入资本监管范畴,国际上已形成了对操作风险加强监管的共识,已经形成了相关制度和监管标准。巴塞尔新资本协议对操作风险的有关规定是近年来国际金融界日益注重操作风险管理的制度体现,也是加强全面风险管理方面的新要求。
在未来几年内,我国银行界按照新资本协议的要求实施操作风险管理已是大势所趋。根据中国银监会《商业银行操作风险指引》要求,操作风险监管机构是中国银监会和派出机构。商业银行要履行报告义务,提交有关方面的审议报告,对有关政策和程序要报备。银监会定期要进行检查评估。对于高管严重违规、重大抢劫银行等操作风险事件商业银行必须报告银监会和其派出机构。另外,《商业银行操作风险指引》要求商业银行要根据自身实际操作风险管理的政策、选择适当的方法进行管理,采取一定的措施控制、降低操作风险。
(二)操作风险机制建设。国际上巴塞尔协议将人们的视线更多地集中于操作风险的监管资本要求上。但实际上,一个银行的资本量多少并不是管理成功与否的关键,加强操作风险管理最关键是加强商业银行操作风险的机制建设。
1.关于操作风险管理体系建设。关于操作风险管理的组织体系,各银行间存在着重大差异。各商业银行主要依据银监会《商业银行操作风险管理指引》要求逐步建立和探索适应本行的操作风险管理体系。该体系主要包括董事会的监督控制;高级管理层的职责;适当的组织架构;操作风险管理政策、方法和程序;计提操作风险所需资本等基本要素。董事会从总体上履行操作风险管理的职责。如制定总体战略、政策、定期审批报告等。高级管理层在操作风险管理中职责主要为执行董事会的有关决议,定期向董事会报告。各商业银行一般以与自身的风险管理战略和组织结构相匹配成立管理操作风险的部门。具体执行中操作风险人员可能被放在一个部门――操作风险管理部门,主要拟定本行操作风险管理政策、程序和具体的操作规程;建立并组织实施操作风险识别、评估、缓释(包括内部控制措施)和监测方法;定期检查操作风险的管理情况。有些银行在总行层面上建立了首席风险官,在各营运业务条线设置风险经理,对主要业务的关键、高发风险点进行实时监测。有些银行在专业领域内如法规部门、审计监察部门设立单独的风险监管部门,在管理好本部门的操作风险的基础上,为其他部门管理操作风险提供相关资源和支持。
2.商业银行操作风险管理有关政策。各商业银行正积极探索制定有效管理操作风险的政策和方法。首先,在操作风险政策制定方面,部分商业银行已经制定《操作风险管理政策框架》、《操作风险管理政策》,进一步明确了各行各级机构和部门在操作风险中的管理职责。针对操作风险的执行,制定具体执行措施,如详细的《案件防控及整改方案》、《基层机构关键风险点监控检查内容与操作指引》,同时,将操作风险控制基本要求植入业务流程改造和IT蓝图建设中。其次,为衡量分析操作风险建立操作风险管理技术标准。各商业银行正在积极研发风险控制与评估、关键风险指标、重大事件报告制度、损失数据收集和业务持续经营计划等工具。再次,识别操作风险,制定有关制度措施。根据银行风险的特点,加大对操作风险的识别,并针对性地制定制度措施,如对系统风险、外部等操作风险,有关行制定了详细的风险应急预案,增加应急措施;建立与新产品、新业务发展相对应的制度规定;修改更新产品和流程,塑造流程银行,按流程操作;增加制度执行建设,强化日常检查的频率,加强员工行为排查,等等。
四、对商业银行操作风险管理的几点启示
(一)引入全面风险管理。全面风险管理体系(Enterprise
wide Risk Management 简称ERM)是西方商业银行比较成熟的风险控制理念和技术。全面风险是风险管理的最终目标,全面风险管理,主要体现在它的全面性、全程性、全员性和系统性。操作风险与市场风险、信用风险有高度的相关性,操作风险与其他风险结合将导致风险更加复杂、更加分散,风险损失更加显著,将数倍、数十倍地被放大。因此,在风险管理中应将操作风险与市场风险、信用风险等各种风险联系起来进行全面的风险管理,保证风险管理政策统一、工作协调。同时,操作风险遍布商业银行内部各业务环节、产品线和不同的管理层面,不仅仅是依赖于一两个专门的部门监管,应该从本行、本部门、个人操作抓起。各商业银行应及时上升层次,逐步建立全面风险管理委员会下辖操作风险、信用风险和市场风险等风险管理委员会,制定全面风险管理政策,形成总体规划,发挥资本在风险覆盖、部门配置方面的作用。
(二)操作风险的缓释。操作风险是客观存在的,只要有人群、行为和活动,就一定存在操作风险,应尽量降低其发生的频率和所造成的损失。从操作风险的规避角度分析,操作风险可以分为可规避的操作风险、可降低的操作风险、可缓释的操作风险。除极少数应承担的操作风险外,大部分操作风险都有规律可循,其发生过程类似多米诺骨牌,有前因后果的连锁关系。因此,要查找出其发生规律,通过技术手段切断引发操作风险的关键环节,并通过必要的管理措施加以缓释。
1.商业银行一揽子保险和打包保险。火灾、自然灾害等引起的商业银行财产损失,商业银行的内外部欺诈,对高级管理层和员工的责任险等都可以通过保险公司一揽子保险和打包保险承保予以缓释,通过承保转移给保险公司。然而,目前国内保险公司尚未开发更多的针对商业银行操作风险的保险产品,保险方式、有关保险业务品种还有待保险公司创新。另外,保险公司对银行风险管理能力和财务承受能力还不能准确精算评估,各保险公司保费收取也存在重大分歧。如对于内外部欺诈引发的操作风险,各保险公司普遍收费高,无疑增加了银行的成本管理,也直接约束了操作风险的缓释。不过,相信随着金融市场的逐步开放,这一局面将逐步得到改善。
2.业务外包。除保险外,商业银行可以通过业务外包来缓释操作风险。将技术含量高、专业性强的有关业务交由专业机构管理,增加操作风险管理的效益性。如有关法律风险可聘请具有符合条件的外聘律师诉讼和仲裁;对于风险性高的守护、保卫、押运可聘请符合资质条件的保安公司管理;对于产品评估、网络维护、系统开发也可招标专业公司。当然,选择外包公司,不可能一包了事,也需加强双方之间的沟通,通过签订合同,明确双方权利和义务,合理转移风险。事实上基于双方的委托关系,最终的权利和义务应由商业银行承担。
(三)建立健全制度管理,狠抓制度落实。总结有关操作风险损失案例,其中大部分为有法不依,有章不循,制度落实不到位,管理缺位造成的风险损失。因此,要建立健全制度管理,狠抓制度落实,才能够使操作风险得到有效管理和控制,才能使因操作风险损失降到最低限度。一是做到制度到位,及时立、改、废有关制度,形成制度数据库,并根据实际情况将有关规章制度分解到各个部门、各个环节、各个岗位,形成操作指南和岗位流程;二是责任到人,处理到人。要及时跟踪检查执行,增加检查的频率和有效性,加大违规处罚力度,把隐患消灭在萌芽状态。
(四)加强合规管理与合规文化教育。商业银行要倡导和强化全员合规文化,引导全行员工树立对风险管理的责任意识,使风险意识突破传统的部门界限,真正融入全行各个部门、每位员工的行为规范和工作习惯之中,让员工认识到自身岗位关键风险点,形成防范风险的有效屏障。
总之,我国商业银行的操作风险管理要求不是一时之需,而是伴随商业银行发展的长期任务,如果要想保持现有的竞争优势,甚至在国际金融市场取得一定的地位,就必须不断提高自身的操作风险管理水平,全面加强风险管理。
参考文献:
[1]陈余化,赵榄.警惕商业银行操作风险监管走向误区[J].经济论坛,2006,(13).
[2]姜燕. 新巴塞尔协议框架下中国商业银行操作风险的度量与管理[D].北京:对外经济贸易大学, 2006.
[3]曾向阳.对商业银行操作风险管理的几点思考[J].广西金融研究,2005,(8).
2004年6月,巴塞尔银行监督管理委员会(BIS)颁布了最新的《巴塞尔新资本协议》。根据巴塞尔委员会的定义,操作风险是指由于不完善或失灵的内部程序、人员、系统或外部事件导致损失的风险。按照导致风险的因素不同,操作风险可分为四类:人员因素导致的操作风险(如操作失误)、流程因素导致的操作风险(如流程执行不严格)、系统因素导致的操作风险(如系统失灵)和外部事件导致的操作风险(如外部欺诈、突发事件)。其中,人员、流程和系统导致的操作风险为内部因素导致的操作风险,而外部事件导致的操作风险属于外部因素导致的操作风险。
值得一提的是,此次《巴塞尔新资本协议》彻底摒弃了过去“操作风险无法计量,因而不能为其分配资本”的观念,首次明确提出应对操作风险计提资本金,并介绍了三种计算操作风险资本金的方法,分别在复杂性和风险敏感度方面渐次加强,即基本指标法、标准法和高级计量法(AMA)。基本指标法较为简单,它采用前三年各年收益乘以一个固定比例(规定是15%)后加总的平均值;在标准法中,银行业务分为若干个产品线,其中收入分别与资本金要求有一个对应比例关系,总资本金即为各产品线监管资本按年简单加总后取三年的平均值;高级计量法较为复杂,简而言之是指银行采取定量和定性相结合的标准,通过内部操作风险计量系统计算监管资本要求。
由于种种原因,国内银行业与国外同行相比,在风险管理观念、风险管理技术水平等方面存在较大的差距。尽管近几年国内银行在信用风险、市场风险管理方面初步取得了一定成效,但在操作风险管理问题上还存在着诸多不足:
一是风险管理观念落后。不少商业银行将操作风险理解为操作中的风险,或者说是操作性风险,甚至与金融犯罪混为一谈。这就导致在操作风险管理上重事后管理,轻事前防范;重个案查处,轻全面分析;重审计稽核,轻全面管理。因此,对操作风险管理定义的内涵和外延要有正确的认识和合适的把握,更新现有观念,充分认识操作风险管理的重要性。
二是缺乏健全的操作风险管理架构。健全的风险管理架构是实现全面风险管理的前提。国外银行通过风险管理委员会来统筹操作风险管理政策的执行和协调,而国内银行大多还未建立类似的管理架构,在风险管理方面管理职责分散,不同类型的操作风险由不同的部门负责,缺少一个协调部门。这种分散管理的做法,使得银行系统缺乏统一的操作风险管理战略和政策,高层管理者更是无法清楚了解银行面临的操作风险整体状况。同时,分散管理还使得有些操作风险因无人管理而陷入真空状态。
三是操作风险管理手法单一。 随着科学技术和金融业的交互发展,国外银行业操作风险管理的手法也日益完善,从早先的定性管理到现在的定量管理,从原来的手工管理到现在的电子化运作。相比之下,国内银行业在这方面的差距十分明显,几乎是全部依赖内部审计部门,而这些部门又往往人力薄弱,很难担此重任。同时,对操作风险的管理又缺乏有效的技术手段,这一点与国外同行的差距尤为明显。
【关键词】操作风险;信用风险;市场风险;特征
1 操作风险的定义
针对操作风险(operational risk)理论界和业界普遍认为,金融机构的信用风险和市场风险有其独特性,而操作风险普遍存在于各行各业中,致使过去没有引起金融机构的重视。对于金融机构的信用风险和市场风险的独特特点,主要是由于金融机构的资产大多数是以信用方式存在,因此其信用风险的集中度和广泛性程度要高于其他行业;另外以商业银行为代表的金融机构提供的产品和服务多以利率和汇率的方式报价,因此也面临区别于其他行业的市场风险。然而,随着近几年对操作风险研究的不断深入发现,金融业的操作风险也有着明显不同于其他行业的特点,了解金融业独特的操作风险定义对于管理商业银行的操作风险有着重要的意义。
目前关于操作风险仍然没有一个统一的定义,不同的机构和个人有不同的观点,但总的来说大致可以分为两类:广义和狭义两种。广义概念认为除市场风险和信用风险以外的所有风险都归于操作风险。这种定义方式认为银行业的操作风险与其它行业的操作风险区别不大。而狭义的定义是认为只有与金融机构中运营部门有关的风险才是操作风险,以及由于控制、系统及运营过程中的错误或疏忽而可能引起的潜在损失的风险。这两种定义范围或者过宽或者过窄。范围过宽会使我们在实际操作中过多的关注一些细枝末节的部分而忽视较重要的环节;定义范围过窄则会使我们不能及时发现引起操作风险的间接源头。但无论哪一种定义都面临一个问题,就是如何将操作风险辨识出来并进行管理而不产生混淆,这也正是业界争论的焦点。
基于这种情况,一些金融权威机构纷纷针对操作风险提出了自己的定义。巴塞尔银行监管委员会在1997年公布的《有效银行监管的核心原则》中首次将操作风险纳入银行业面临的主要风险之一。并在2003年公布的《新巴塞尔资本协议》中将商业银行操作风险定义为:“是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。”从该定义中我们可以看出,操作风险涵盖了除信用风险及市场风险以外的银行内部大范围的风险。因此巴塞尔委员会对操作风险的定义介于广义与狭义之间。
2 操作风险的特征
2.1商业银行的操作风险与信用风险和市场风险既有联系又有其独特性
2.1.1操作风险与信用风险
所谓信用风险一般指信贷风险,即由于借款人的信用质量发生变化,致使其在贷款到期时不能偿还本息,或者不愿履行贷款偿还义务而给银行带来的损失。
单从两种风险的定义上,似乎是截然不同的两种风险。但我们同时也应注意,在现实生活中这种信贷风险的风险源应分为两种:“善意”和“恶意”的。这里我们引入洛尔和波罗多夫斯基的观点:如果一个客户不能偿还贷款,不能简单的归为信用风险,一定要区别这是由于“正常的”信贷风险导致的,还是由于银行内部工作人员工作失误或恶意利用银行内部管理、监督上的漏洞造成的。如果属于后一种情况就应将其纳入操作风险管理的范围。在我国的金融行业里更容易将信用风险和操作风险混淆。这主要是由于我国银行业的制度性缺陷造成的。我国的国有银行虽然在一定程度上享有自,但并没有成为真正的拥有财产权、独立自主、自主经营、自负盈亏和自我发展的经济主体。所以当面对政府的行政命令时,银行将不得不贷款给一些没有还款能力的国有企业,使一些企业以贷养贷,最终形成大笔坏帐。另外,一些员工利用操作风险与信用风险混同,无法对操作风险实施真正监管的机会,消极怠工或损公肥私、,导致我国银行业信贷坏帐数量急剧上升。正如原中国银监会副主席唐双宁说到:“信用风险致使银行风险的主要‘表现形式’,操作风险才使银行风险的‘重要根源’”。
2.1.2操作风险与市场风险
操作风险与市场风险的联系主要体现在有价证券及其衍生产品的价格风险上的风险头寸上。有价证券及衍生产品的风险主要来源于银行自营交易。银行的自营交易是银行账户而非客户帐户持有的敞口头寸,银行希望通过自营交易承担价格风险而获得资本收益。然而由于市场的不可预测性,尽管银行在自营交易过程中大部分情况下能获得盈利,但如果不注意控制风险头寸,造成的损失也可能是灾难性的。然而这一点往往被大部分银行忽视。特别是对于衍生产品,由于衍生产品在我国是新生事物,人们还没有完全充分的认识并了解。如米兰银行在1989年由于轻率的变更利率导致了1.16亿英镑的损失。另外在美国加州奥兰治洲,其财务主管将当地的共享基金购买结构性债券和反向浮动利率债券,期望在利率保持不变或下降时获得巨额财政收益,然而利率却出乎意料的上升,结果造成了巨大的损失。因此针对这种风险,我们的应对原则应是:如果不了解某一笔交易、业务或其风险,就不要去做。
2.2操作风险的本质特征
尽管操作风险与信用风险和市场风险有千丝万缕的联系,并且有时很难将操作风险清晰准确的与信用风险分割出来。但只要我们了解了操作风险的独特特点,将其与信用风险及市场风险区别开来将不是难事。与信用风险和市场风险相比,商业银行操作风险的特点归纳如下:
2.2.1操作风险涉及的部门非常广泛,几乎囊括银行的所有部门
原因在于操作风险中的风险因素主要存在于银行的业务操作中,几乎涵盖了银行的所有业务。操作风险事件前后之间有关联,一般认为,相比于操作风险,市场风险和信用风险是内部风险。外部事件独立于银行之外,不受银行的控制,但外部事件给银行造成损失则要通过银行内部的运作而形成。因此,操作风险关注的是银行面临外部状况的内部反应机制。
2.2.2操作风险的形成因素复杂且难以辨识
银行风险管理部门通常难以确定哪些因素对于操作风险管理来说是最重要的。原因在于引起操作风险的原因呈复杂化,如员工对产品的理解程度、产品营销渠道的拓展、员工道德问题等都可能引起操作风险,成因越复杂,相对应造成的损失有可能越大,因为它并不易于为人所识别,而通常易于辨别的操作风险,其损失规模能够得到控制。
2.2.3操作风险发生多是由于内部员工违规操作或外部欺诈引起的
当银行内部员工参与作案时,犯案得逞率较高,且潜伏期较长,金额巨大,因此危害性极大。其中的内部人员不仅指基层人员,高层管理人员同样会引发操作风险,而且由高层管理人员导致的损失危害更大。
2.2.4对于操作风险事件,发生频率较高的,损失额往往较小;发生频率较低的,损失额往往较大。
造成这一现象的主要原因是发生频率高,但单笔损失金额较小的事件往往是由操作失误引起的;而低频高额损失事件是由于那些违法行为、外部欺诈之类的操作风险发生频率相对较低,但单笔损失金额往往很高。
2.2.5操作风险的测量缺乏足够的建模数据
操作风险种类繁多,要想准确把握,只通过质化管理不能有效的防范操作风险,因此只能通过量化管理来加以预测及控制。但量化管理要以充足的数据为依据。由于操作风险是在近几年才受到关注的,而新巴塞尔资本协议有规定:“用于计算监管资本的内部操作风险计量法,必须基于对内部损失数据至少5年的观测。无论内部损失数据直接用于损失计量还是用于验证。”因此损失数据的缺乏也是阻碍银行业发展操作风险量化技术的主要障碍。
3 我国商业银行操作风险研究意义
就我国而言,操作风险日益成为银行业面临的风险之一。媒体公开披露了许多关于操作风险损失的典型案例,如2002年7月中国银行纽约分行信贷客户周某骗贷案,2006年济南警方破获的涉案金额6亿元的“12.12”特大金融诈骗案,这些案件都说明了我国银行业操作风险存在较大漏洞。同时,2010年涉案金额超101亿元的齐鲁银行伪造金融票证案使人们进一步认识到了操作风险的危害。
对操作风险重要性的认识不足、相关规章制度不完善、操作风险管理机制不透明等因素都制约了我国操作风险管理水平的提高。这些问题应引起我国监管当局以及商业银行的重视。在2005年3月中国银监会颁布了《关于加大防范操作风险工作力度的通知》。其中提出指导意见,对规章制度、稽核体制、管理公开等方面对商业银行风险管理提出要求,对重要业务岗位人员轮岗轮调、操作风险管理透明等方面对银行操作风险管理提出了要求,从对账制度、挂账项管理、章证押管理、表外经营管理、信息系统改进等方面对银行的账户管理提出了要求。
我们应当看到,虽然我国监管当局和银行业方面已经深刻意识到了管理操作风险的重要性,但从整体上看,我国银行业目前对操作风险的管理还处于初步阶段,亟需银行业的管理者深思。
【参考文献】
1.商业银行操作风险的特点
巴塞尔银行监管委员会对操作风险的正式定义:由于不正确的内部操作流程、人员、系统或外部事件导致的直接或间接损失的风险。通俗地讲,就是银行遭受潜在经济损失的可能性。从银行来讲,操作风险、市场风险、信用风险,都属于整个风险管理的一部分。然而对比市场风险和信用风险,商业银行操作风险具有如下特点:
1.1内生性
从操作风险的引发因素来看,操作风险主要源于银行业务操作,如内部程序、人员和系统的不完善或失效、银行工作人员越权或从事职业道德不允许的或风险过高的业务,因此操作风险具有很强的内生性,大多操作风险是银行可控范围内的内生风险,而信用风险和市场风险更多的是外生风险,不在商业银行可控范围之内。如市场风险发生风险的因子主要是利率、汇率、股票价格和商品价格的变动等外部因素;信用风险发生风险的因子主要是债务人的履约能力等外部因素,如借款企业遭受重大的资产损失而导致借款无法正常归还。
1.2分散性
操作风险管理实际上覆盖了银行经营管理中几乎所有方面的不同风险,操作风险发生可能性遍布银行的所有业务环节,涵盖所有的部门,且与各类风险相互交叠,涉及面广,跟方方面面都有关联。因此管理的难度更大,管理的成本更高,需要动用的人力也更多,而信用风险和市场风险发生的环节仅限于与之相关的部分业务环节,如信用风险主要存在于授信业务,市场风险主要存在于交易类业务。
1.3风险与收益不对称性
对于信用风险和市场风险来说,风险越高,收益越大,存在风险与收益的一一对应关系,但这种关系并不一定适用于操作风险。操作风险事件虽然前后之间有关联,但是单个的操作风险因素与操作性损失之间并不存在可以定量界定的数量关系,并且单个的操作风险因素不受盈利的驱动,风险因素与发生的可能性和损失大小之间不存在清晰的联系,操作风险损失在大多数情况下与收益之间没有必然联系。操作风险无法创造利润,但信用风险和市场风险存在通过有效管理而获利的可能。
1.4更容易引发声誉风险
尽管操作风险引发的案件实际损失的金额可能很小,但比市场风险、信用风险引发的损失更受关注,一经媒体报道,可能引起巨大社会反响。因此,操作风险管理在很大程度上影响着人们对一家金融机构市场形象与社会信誉的判断,影响着投资者的信心。
2.我国银行业操作风险管理的现状和问题
近些年来,我国商业银行大案要案屡屡发生,操作风险越来越吸引社会关注。操作风险之所以近年在我国银行界大量出现,存在多方面原因。
2.1从宏观层面看,我国商业银行操作风险管理滞后于形势发展,表现为
一是在全球经济一体化和金融管制松动的背景下,商业银行全球化和综合化经营的趋势已经形成,商业银行对操作风险的认知程度更新缓慢。
其次,基于信息技术的飞跃,金融创新层出不穷,金融产品、服务的复杂性大大提高,操作风险的类型不断演变,我国商业银行原有的管理模式难以适应这种技术变化。
此外,我国商业银行的业务拓展具有明显的“顺经济周期”特征,在经济扩张周期中,各项业务往往超常规发展。在认识不到位、风险管理手段落后的条件下,发生操作风险和造成事实损失的可能性必然增加。
2.2从微观层面看,我国商业银行的操作风险管理尚处于初级阶段,与国际活跃银行相比存在以下不足
2.2.1风险管理管理文化缺失,风险意识不强
目前国内银行的主要利润来源仍然是存贷利差,而在“存款立行”几乎是铁打的定律情况下,许多营业机构没有真正做到一只眼看发展,一只眼看风险,目光局限于完成考核任务,存在重业绩、重发展而轻内控管理、轻风险防范的思想,为了追求业务发展,不惜打球,钻制度空子,甚至不惜冒着违规操作的风险以实现短期业绩,而忽视了控制风险,致使内控机制形同虚设,给不法分子造成可乘之机,从而引发重大案件或风险事件。
2.2.2制度建设不到位,缺乏约束力
一是制度不够精细化,对某些关键控制点的规定存在遗漏,部分制度更新迟缓,未能与业务发展、技术进步和产品创新保持同步,缺乏风险防范指导性很强的文件;二是制度之间不能很好地衔接,甚至有的规定相互矛盾,许多制度没有进行应有的整合;三是制度设计的漏洞多,随着外部环境的变化,又不能及时调整,缺乏适应性,许多制度的设计多是从方便管理层工作的角度考虑,而却很少从方便客户和防范风险的角度去考虑。
2.2.3制度执行不力,有章不循
国内商业银行都制定了一定的操作风险防范和制度约束措施,例如各行普遍制定授权复核制度、岗位分离制度、重点环节控制制度、对账制度等制约机制,在业务流程操作和系统开发运营方面也有严格的制度规范,但是这些制度在实际执行过程中往往出现偏差,没有得到认真执行,有的甚至是上有政策,下有对策,从而造成这些控制措施流于形式。这几年大案的发生,且损失巨大,并不是因为没有一个很好的制度,而是由于制度执行力度不够,制度制定与执行被人为地割裂成毫无关系的两张皮。
2.2.4内控责任制缺失,责任追究不当
就我国商业银行对案件的防范思路来看,在很大程度上是希望通过严厉的处罚形成强有力的威慑,进而达到预防案件发生的目的,但目前国内银行业的情况却是内控责任制的缺失。在此情况下,由于不承担责任,相关部门和人员也就失去了严格执行内控制度、维护内控有效性的动力和压力。内控制度出台后得不到落实,内控措施得不到执行,内控体系也就成为“空谈”,内控体系的漏洞也就得不到及时纠正,从而为相同案件的再次发生提供可能。
3.我国商业银行操作风险控制的对策分析
风险管理的过程同样是创造价值的过程,风险管理的任务就是寻找业务过程的风险点、衡量业务的风险度,在克服风险的同时从风险管理中创造收益。目前我国商业银行的发展仍不规范,抗风险能力较弱。按照国际银行风险管理的理念和经验,结合我国商业银行的特点和要求,笔者认为,提高我国商业银行的操作风险管理水平,关键要在银行内部采取有效的途径和方法,围绕操作风险管理的文化理念、制度建设、科技手段、案件查防等方面进一步加以发展和完善,全方位构建并筑牢操作风险防范的“免疫系统”。
3.1强化风险意识,推动操作风险管理文化建设
先进的风险控制文化可以有效地防范操作风险,这就要求商业银行所有员工尤其是高层管理人员要对操作风险有一个全面清楚的认识,充分认识化解操作风险的重要性,要改变以往对风险管理的偏见,牢固树立风险防范意识,做到一手抓好业务经营,一手防控风险隐患。要加强业务操作人员的技能培训,增强他们在业务审查、鉴别、执行规章制度以及风险防范等操作层面的反假技能,真正认识风险案例的起因、风险点及防范风险措施,从而提高员工风险意识和防范风险能力。
3.2建立健全内部控制制度,防范操作风险
抓好基础管理和流程设计是解决操作风险的基本方法。一是抓好信息化条件下的规章制度建设、组织流程和系统平台建设,及时建立与新产品、新业务发展相对应的制度规定,消除各种制度盲区;二是关注细节上的风险管理,加强工作细节的设计,制定出切实可行的控制措施;三是修补有缺陷的流程、规则,阻断操作风险的其它诱因,达到事半功倍的管理效果。
3.3加强执行力建设,防范操作风险
实行严格的问责制度,各岗位人员要按照规章制度的要求,严格按标准、按程序、按授权办理业务,严禁超越权限和授信额度办理业务,防止发生逆程序操作、省略程序操作等违规行为,以保证每一项规章制度的约束都成为高压线;加强内部管理,建立有效的激励机制, 激励各岗位人员真正做到有章必循;对规章制度执行情况定期检查,及时发现风险隐患,堵塞风险漏洞,促进各项制度得到有效执行,促进业务的健康发展。
3.4充分运用现代技术堵截操作风险的发生
人在操作风险管理中是核心,但实践证明,一项业务的每个传递环节正是操作风险的潜在触发点,人工处理的节点越多,潜在风险越大。因此应借助现代信息技术和管理科学,将制度“软件化”,利用计算机系统对每一个业务操作环节实行硬控制,减少人工干预,减少人手的传递环节,防止业务流程中的操作风险。充分利用IT在操作风险防范和控制中的“钢性”作用,查找出操作风险发生规律,通过技术手段切断引发操作风险的关键环节,并通过必要的管理措施加以控制。
