时间:2023-01-05 03:30:34
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇操作风险管理,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:会计结算 操作风险 管理
一、建立完善的会计结算操作风险管理体制
会计业务操作风险的内部控制体系和管理体制的设置应按照商业银行的决策、执行、监督、反馈相互制约的原则进行。建立职责清晰、层次分明的会计内部管理监督和执行体系。由会计结算管理机构制定出一套针对会计结算操作风险管理的具体办法并执行其主要职能,建立实时控制的监督系统以及针对会计结算操作风险的事后监控系统,从而可形成一个由上而下,系统且连贯的会计操作风险管理体系。由于会计业务是最基础的平台,会计业务中存在的操作风险必然会对其他业务产生影响,但会计管理部门并不是唯一对风险负责的部门,其他各相关业务部门都应按照各部门的职能特性共同地参与和配合对会计业务操作风险的管理和防范工作。
二、加强会计结算制度的流程建设工作
第一,要在整合、梳理会计结算管理制度及内部控制管理制度的基础上建立更加统一的业务标准和操作流程,完善并强化对会计业务操作过程中各个环节的风险控制和风险管理。第二,要及时对会计制度和流程进行补充修订。第三,建立定期的风险评价和风险评估机制。定期对各项会计业务进行风险评估和评价、操作风险防范评价、会计内控检查评价。第四,制定具有针对性的操作风险防范制度。警惕和借鉴金融领域已发生过的各大案例,积极查找会计业务中存在的漏洞,制定出更加具有针对性的防范操作风险的制度。
三、实施有效检查监督、完善整改纠错机制
1、对会计工作的检查目的进行明确,改进会计工作的日常检查方法,严肃地对待检查的结果,提高整改落实的效果。对会计工作进行检查目的并不是查出问题本身,而是要通过检查提高对风险的防范能力,从而促进会计业务的健康发展。对会计工作进行检查时要注意抓住重点方面,对容易出现问题的环节及相关工作岗位应进行重点控制和监督。不仅要检查出现存的问题,还要能够分析导致问题原因,并由此进行风险分析。
2、不断完善整改和纠错机制。首先,对会计检查工作中发现的问题要制定出明确的整改计划和整改措施,彻底消灭风险隐患。其次,检查部门要及时对整改的情况和进展进行跟踪验证,以便能及时地对措施未落实和整改不够彻底的现象进行督促。
3、建立起会计结算工作操作风险警示、报告制度。针对比较突出的风险点,可由会计结算主管部门或稽核监控部门每月进行整理和汇总,编制一个风险警示报告下发到各营业网点,以便对大家都能起到强调和警示的作用。
4、定期召开会计结算工作风险对策分析讨论会。通过讨论有效的措施,监督和指导相关工作人员严格履行岗位职责并严格遵守会计业务的操作流程,确保每个环节都能有效实施,最终达到控制和消除会计操作风险的目的。
四、加强会计结算监督队伍建设,提高风险管理水平
1、加强结算操作风险监督管理和预警手段的完善,要着力于培养出更多的会计操作风险的管理性人才。加强对会计业务操作风险的动态管理、模型化管理以及量化管理,在技术条件比较成熟的情况下还可运用非线性模型、回归分析、经济函数模型等理论来科学地预测风险,使得监督管理部门能够在最短的时间内发现问题从而堵塞风险漏洞。
2、明确风险管理的责任,建立和完善风险管理能力和业绩的评价机制。定期组织风险管理能力、管理业绩和管理经验的评估活动,建立考核机制。同时可通过集中培训或者分散培训的方式,定期组织相关工作人员学习风险管理的先进知识、先进理念和先进方法,不断提高会计工作人员的风险管理水平。
3、加强会计结算监管队伍的人员培养。将业务素质比较高、工作责任心比较强、敢抓敢管的会计人员充实到监督管理和风险防范队伍中去,充分发挥出防线作用。
五、优化会计业务操作流程,提高会计结算操作的风险管理水平
1、优化会计业务的操作流程。从客观上减少会计业务操作风险的源头、减少出现技术性风险的可能性,尽量将会计结算业务中的高风险点纳入计算机所能控制的范围,通过在计算机内设置一些要素来增加后台管理的能力,减少人为业务操作时风险的发生概率。
2、提高会计操作风险的管理水平。采用科学的操作风险衡量和控制方法,建立会计结算风险预测系统,以便更加敏感地反映会计结算工作操作风险的相应变动,由此对会计结算工作操作风险的信息进行自动的收集和分析。
六、培育出会计业务操作风险预测、控制和管理的文化
会计业务操作风险的管理文化应贯穿于建设和完善风险管理体系的整个过程之中,并结合实际的组织架构、业务流程及信息系统的建设工作,不断将会计业务操作风险管理的原理、工具和新理念传递给相关岗位的会计工作人员,使他们能够主动地参与风险防范制度的改进,发挥集体的聪明才智和力量。
首先,要加强风险防范知识的教育,增强会计工作者对会计业务操作风险的防范意识。风险的防范关键之处在于人,要加强会计工作者对会计业务操作风险知识的学习,增强员工的风险防范意识。其次,要建立共同的风险防范以及管理价值观。让各层次的会计结算及相关人员对操作风险形成足够而全面的了解,充分认识到各类违规和违法行为所造成的危害的严重性,使各岗位会计工作人员能够真正提高警惕,把防范措施落到实处。再次,要发挥会计工作人员在操作风险管理防范中的主观能动性。增强会计人员在操作风险管理上的主人翁意识,尊重并听取会计工作者的建议和意见,构建一个充满活力的选拔会计工作人员的机制,做到人尽其才,使大家充分发挥出自己的智慧和能力,形成积极努力的工作氛围。最后,要加强对会计风险管理人才的培养,建立科学、全面、可操作的风险管理约束和风险管理激励机制,充分调动会计工作人员参与风险管理的主动性和积极性。
七、结语
在每一笔会计结算事件中都隐藏着会计业务操作风险,在会计操作风险的管理和控制中,我们要时刻牢记形神兼顾的原则。建立起完善的会计结算风险组织管理体系,制定出严格的会计结算风险管理机制及业务流程,又要充分地导入会计业务操作风险管理文化,这样才能有效构筑会计业务操作的风险防范和控制的坚固大堤。
参考文献:
[1]姜薇、韩雪莲.商业银行会计结算操作风险研究[J].希望月报(上半月), 2007,(07).
[2]李希荣、张泽文、杨志兵.银行会计结算存在的问题及风险防范[J].甘肃金融, 2003,(10).
[3]李俊亮.银行会计结算业务集中处理探讨[J].科技情报开发与经济, 2004,(08).
关键词:金融投资;风险管理;操作;分析
引言:风险管理逐渐受到金融机构的关注。科学合理的金融风险管理可以让金融机构进行有效的、健康的发展,并且,还可以将企业的防范风险的资金成本降低,提升企业的竞争能力。当前,金融机构所要面对的风险大致上可以分为:市场风险、信用风险和操作风险。市场风险指的是因为特殊的环境风险因素的转变,让净收入或投资组合价值出现波动。当前由于我国的经济处在转型阶段,认为目前的市场经济的法律及规章制度具有许多不完善的地方,加上社会的变化,使得各种违规与欺诈的事情不断涌现。所以,操作风险是我国金融机构需要面对的主要风险,操作风险的管理对于金融机构具有极其特殊的含义。
一、操作风险的含义
金融操作风险的含义为:操作风险与金融投资业务紧密相连,是由于外部因素、技术体系以及内部因素的影响下,导致无法掌控的损失,这些损失和金融市场上出现的波动以及交易方的信用问题无关。所以,通过引起风险发生的内部原因可以发现,金融投资的操作风险主要出自以下几个方面:
1、操作结算风险。由于交易指令、定价、结算以及交易能力等问题引起的损失;
2、技术风险。因为技术的局限或者硬件方面的原因,导致公司无法有效、正确的收集、解决、传导信息所引发的损失;
3、内部失控风险。因为超风险限额而没有被发现、越权交易或者是后台部门的欺诈行为造成的损失。
当然,想要为金融投资的操作风险给出一个非常明确的定义是具有难度的。在进行风险操作管理时,很多国外的金融投资机构运用了对于市场风险以及信用风险认同的方法及管理方式,也就是针对风险进行详细划分,掌握操作风险的含义,了解哪些类型的风险应当归入到操作风险当中,哪些类型的操作风险应当归入到风险管理当中,并且进行详细的分析来确定是否要进行整体风险的控制,通过实践表明,这样的方式确实非常有效。
二、金融投资面对的风险分析
风险管理的目的并非消除风险,而是将风险管理降到最低的过程,在风险管理的过程里,要先针对金融投资里的风险进行辨别,这是投资者做风险管理的先决条件,只有真正辨别出投资过程里的风险,才可以运用合理的方法进行风险管理。而在金融投资的过程里,最为常见的风险有以下几种:
1、市场风险。市场风险也可以称作价格风险,指的是通过金融工具的市场价格进行转变,从而引发的亏损风险。因为金融投资工具频繁出现价格的转变,因此投资者在面对市场风险是最常见的一种风险。通过市场风险的不同来源可以进行不同的分类,大致可以把市场风险分成系统性和非系统性风险,系统性风险通常是指因为宏观原因的转变,造成投资组合净值的转变。非系统性风险指的是投资的某一品种引发的风险。投资者在面对系统性风险及非系统性风险时所采用的房里方法也不同,而系统性风险是无法动摇的,非系统性风险可以透过投资重组进行分散。
2、流动性风险。流动性风险指的是通过投资重组将金融工具进行集中,引发投资产品短期内变现困难,并且持有的流动资金无法进行正常支付时产生的风险。常规情况下,如果投资者的金融产品价格波动正常,并且投资金额占总资金的比重不大时,流动性风险就不会非常严重。流动性风险往往出现在市场波动较大,交易量迅速降低,投资者必须要大批先进的状况下,才容易造成严重的损失,因为这样的状况下,投资者通常要用较低的价格将手中投资的金融资产销售掉。
3、操作风险。操作风险作为金融投资过程里最关键的风险,包含了很多已经识别出的风险。详细来说,操作风险指的是因为投资者内部经营管理问题以及投资策略失误引起的风险。通常包含以下几点:
(1)投资研究员的专业素养、职业道德以及风险意识所引起的投资决策风险;
(2)因为投资者的管理能力有限所引起的经营风险。
这些风险都会给金融投资造成损失。操作风险融入于金融投资过程当中的方方面面,是投资者必须基于关注和防范的风险。
4、信用风险。信用风险也是金融投资风险当中非常重要的一种,它主要指在金融交易的过程里可能会引发的交收违约,也可能会引起债券持有发行人违约或者拒绝支付到期款而引发的金融投资资产损失的风险。由于我国金融市场的不断发展,货币、债券等固定收益的金融工具逐渐变成重要的投资类型,甚至是国内短期的融资券的发行也在不断扩大,由于这些金融投资品种的风险不断累积,最大程度的避免金融投资信用风险成为了投资者必须关注的问题。
三、操作风险的度量
操作风险作为金融活动当中最为普遍的风险表现形式,从历史的角度来讲,很多度量操作风险的失败原因,大多是没有适当的方式以及可以用在量化分析的客观数据,而信用风险和市场风险则存在许多例如价格变动、违约率等可以利用的外部分析数据,相对而言较为容易进行风险度量。因为影响操作风险的原因大多是金融机构内部原因,并且风险因素和产生的可能性及损失的大小之间不具备明显的关联,所以,在实际操作中,很难有人寻求到一种方式可以清晰的描绘出操作风险,自然对于操作风险的度量来讲,也具有非常大的困难。已经掌握的操作风险度量模型有三种:
第一种:创建于数据之上的统计模型,此模型最具代表性的方式就是损失分步法,也被称为LDA。此方式会先对单个损失的发生频率以及大小通过参数进行评估,之后运用连接函数的方式将各种影响因素进行综合;
第二种:依旧是统计模型的计算操作风险,可是主要应当通过定性方法进行校对模型,定性方法大致包含了风险排序法、情景分析法、排查法、权衡打分法等;
第三种:创建于操作风险过程的功能模拟智商的模型,透过单一的过程相互依存的方式来模仿影响因素之间的关联性。
当然,就目前的操作风险度量方法而言,有两种模型应当重点说明:第一种是用于测量操作风险的VaR技术。它的主要论点在于操作风险可以通过VaR技术进行测量,以建立来自内部和外部的操作损失数据库为基本思想,并通过数据的操作损失分布,来确定一个置信区间,这样就可以将VaR的操作风险计算出来。但也可以通过分析收益波动性来计算操作风险,也就是通过收益当中将市场风险以及信用风险的相关收益剔除掉,把剩下的收益当成和操作风险有关的收益,可是就这一点而言争议性非常大;第二种是贝叶斯推断网络模型,也可以称之为BBN模型,贝叶斯网络逐渐被使用在度量以及模拟操作风险方面,其主要原因有以下四个方面:
第一,BBN推断网络模型描绘了对操作风险具有影响的各类因素,所以可以提供行为改变的原因;
第二,BBN可以使用在情景分析方面,计算出度量的最大经营损失,并将市场风险以及信用风险有效结合;
第三,BBN适合用在度量以及模拟不同种类的操作风险方面;
第四,运用决策节点以及效用来充实BBN,来提升管理决策的明朗化。
BBN的结构属于一种直接的非循环类的图形,其中节点的意思是随机变量,连线的意思是影响因素,BBN结构属于一种流转过程同各类因素的融合。BBN较为容易进行情景分析,投资经理在进行债券交易的同时,对即将要执行的交易通过情景模拟的方式来计算出预计的结算损失有多少,BBN较容易通过情景分析让风险经理针对外来的交易风险进行掌控,并且风险经理可以透过针对市场风险因素以及信用风险因素的情景模拟,判断出操作风险是怎样同市场风险以及信用风险有效结合的。
贝叶斯推断网络模型可以用在一系列的度量操作风险上,针对同一个问题可以创建出很多个BBN网络大框,并且决策人员可以透过返回检验的方法来判定哪种是最佳的网络设计。通过理论以及实践可以发现,贝叶斯推断网络模型非常值得金融投资机构使用操作风险度量以及模拟方式进行操作。
总之,操作风险度量大致有以下三种方式:
第一种,分析方式。这种方式对于损失产生的次数以及大小都给出了非常强硬的假定,之后通过一些统计模型来获得操作风险的大小,大致上来讲属于一种定量测量的方式;
第二种,主观判定方式。在执行操作风险的度量时,由于缺少操作风险的损失数据,因此,想要通过数据进行评估操作损失的分布就变得尤为困难,至少对当前而言,用评估操作损失分布的方式来判断金融投资的操作风险是不符合逻辑的。因此,当前国外的金融体系运用的操作风险度量方式普遍以定性评价方式为主,这种方式通过独立的部门,经由事先预定的风险评估指标针对每一个业务的缺陷进行评估,之后,再进一步进行细分;
第三种,定性和定量相结合的方式。这种混合的方式,使得相对风险排序、主观方式的运用以及损失时间数据库的建立进行有效结合。
四、操作风险的控制与管理
操作风险管理不仅要系统的进行分析预期损失以及未预期损失的缘由,并且也要评估风险,为风险的预防、降低转移和为风险分配资本等做出努力。操作风险管理的步骤大致包括以下几点:
1、明确风险管理的范畴以及目标。
高层的管理人员询问过董事会之后,应当同企业的经营策略、风险偏好相结合,为风险管理建立一个范畴以及目标。并且,还要制定一些短期的具体目标,以确保风险管理的工作可以稳定的发展。这些短期的具体目标可以分为以下方面:
(1)明确定义一些关键的损失事件并进行命名,这样才可以确保在未来的管理工作里可以更加方便的进行探讨和分析;
(2)创建一个损失事件簿,为定量分析操作风险模型积攒数据;
(3)创建统计模型分析特定损失时间的原因以及相互之间的关联;
(4)采取由于风险进行的资源配置和情景分析。
2、明确重要的风险。
员工通过高级管理人员的支持后,一定要明确哪些才是重要的风险。操作风险管理之所以失败,是由于内容过于宽泛,所以在明确的同时,一定要严格依照高层规定的目标进行操作。
3、针对风险进行评估。
运用不同渠道获得的数据,用来评估一些较为重要的过程以及资源的操作风险,评估的内容不仅包含了风险形成的冲击,还包含了损失事件产生的概率。针对无法定量分析的风险,一定要找到产生这些风险的原因和可以通过怎样的方式进行评估。并且,风险不同,相互间的依赖就不同,所以需要对她们之间的依赖性进行评估。
4、分析。
通过以上内容后,已经初步判断出各部门潜在的操作风险。随之而来的,就是要为这些风险进行分析。先进行风险加总,然后进行可行的风险管理措施,之后要分析单独的损失事件,再分析风险的过程以及资源的分配,分析出关键的风险因素,最后,针对风险管理的措施进一步进行分析。
5、通过措施消除存在于经营过程以及资源当中的风险。
可以通过风险回避以及风险因素管理的措施、损失预报的措施、损失预防的措施、损失掌控的措施、降低损失的措施、应急措施和风险融资的措施进行管理。
6、针对操作风险的检测报告。
一个规范的报告制度是一个成功的风险管理的首要条件。针对风险采取连续的检测,并定期进行报告的方式可以有效的检测出操作风险管理的需求,所以,持续的检测对于任何一种风险管理来讲都是必不可少的环节。
结束语:通过世界的角度来看,针对操作风险管理的分析才刚刚开始,虽然在金融部门的投资过程里运用了一系列的操作风险管理的方法,可是显然这些管理方式还不够健全,也缺少理论作为指导。操作风险在金融机构进行投资的过程里需要面对的主要风险,金融投资风险的管理成效如何完全在于怎样操作风险管理。投资者应当建立长期的投资目标,以完善的风险政策进行总结和评论,进而为风险建立一个完善的制度及管理的支持。(作者单位:贵州省茅台集团财务有限公司)
参考文献:
[1]黎仁华,马丽莎.商业银行风险预警测度指标的定位分析——基于操作风险导向的审计模式[A].中国会计学会财务成本分会2006年年会暨第19次理论研讨会论文集(下)[C].2006.
[2]周青.中国特色社会主义金融监管体制创新研究——转轨时期我国商业银行操作风险管理创新研究[A].“中国特色社会主义行政管理体制”研讨会暨中国行政管理学会第20届年会论文集[C].2010.
关键词:商业银行 风险管理操作风险信息科技风险
中图分类号:F830.33 文献标识码:A 文章编号:1006-1770(2010)09-032-05
一、引言
随着信息技术与现代商业银行业务的深度融合,银行对信息技术和信息系统的依赖日益增强。信息科技已成为商业银行日常运营的操作平台、管理决策的重要支持、以及业务创新的基础工具。同时,与之相关的信息科技风险也渗透到了银行经营和决策的各个方面,信息科技风险管理不仅维系着商业银行的持续安全运营,而且也成为银行价值创造的重要支柱,因而信息科技风险成为现代商业银行风险管理不可或缺的重要内容。
商业银行传统的信息安全管理,更多是从信息技术开发和管理的本身出发,建立相应的技术标准而进行的,这些标准适用于信息技术部门内部的信息安全管理,也是信息科技风险管理的重要基础。但信息安全管理的本质是风险管理,现代商业银行构建全面风险管理体系,也需要借助操作风险管理框架和工具对信息科技风险进行有效管理。
我国主要商业银行正在积极实施《巴塞尔新资本协议》,这需要对包括操作风险在内的三大风险建立全面风险管理体系,而信息科技风险作为操作风险的重要表现形式之一,也成为银行风险管理的一个新的焦点。因此,本文试图在操作风险管理视角下探讨信息科技风险的识别、计量、监测和控制等流程和方法,以提高商业银行对信息科技的应用水平和对信息科技风险的管理效率,增强银行全面风险管理能力。
二、信息科技风险与操作风险管理框架
商业银行信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术应用水平,增强核心竞争力和可持续发展能力。
操作风险是《巴塞尔新资本协议》在信用风险和市场风险之外,所强调的商业银行面临的另一种重要风险类型,是指“由不完善或者有问题的内部程序、人员及系统或外部事件所造成损失的风险(表1)。”策略风险和声誉风险不包含在此定义中。我国银监会也基本沿用了这一定义。
可见操作风险这一定义的内涵包括由信息科技系统所产生的信息科技风险。因而商业银行在落实《巴塞尔新资本协议》、实施全面风险管理的过程中,需将信息科技风险作为操作风险的重要内容统一进行管理;对信息科技风险的管理,可以借用操作风险的管理框架和工具。
从风险管理的流程来看,一个完整的操作风险管理(Operational Risk Management,ORM)框架首先要确定执行和负责操作风险管理的组织机构,然后依据操作风险识别、风险计量、风险监测和风险控制的流程进行,形成一个循环往复、不断提升的风险管理过程。这一过程可用如下的操作风险管理“转轮”来表示(图1)。这一框架能提供一个对操作风险管理的完整流程,并允许银行在事先管理操作风险,而不论风险是否存在于业务过程、人员、信息科技系统或是外部事件中。
操作风险管理框架中的每一阶段都有不同的任务,理论界和实务界也都分别提出相应的工具和方法。下文尝试将操作风险的管理框架应用于商业银行信息科技风险管理,从而使信息科技风险管理成为银行全面风险管理的有机组成部分。
三、ORM框架下的信息科技风险管理
(一)信息科技风险管理的组织建设――信息科技治理
根据银监会的要求,IT治理的目标是在良好的公司治理的基础上,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。从银行内部来看,IT治理是公司治理的重要组成部分,包括与信息科技相关的领导关系、组织结构和工作流程等,其目的是保障信息科技与业务发展战略目标相一致。
信息科技治理是良好信息科技风险管理的基石,商业银行需要在公司治理基础上建立自上而下的信息科技治理结构。具体地,商业银行的董事会、高管层要对本行信息科技风险最终负责;董事会下的风险管理委员会可专设信息科技风险管理分委员会,由高级管理层、信息科技部门和主要业务部门代表组成;设立首席信息官(CIO),负责信息科技相关的重大决策,向上直接向行长和董事会报告信息科技运行和管理情况,向下统一领导信息科技板块各个部门,布置信息科技风险管理措施的实施;同时,风险管理部、尤其是操作风险管理部,也应把信息科技风险作为操作风险管理的一个特殊而重要的类型进行统一管理。此外,内部审计部门负责对信息科技风险管理的合规性和有效性进行审核(图2)。
在这样的信息科技治理结构之上,商业银行可将信息科技风险纳入总体风险管理框架,针对信息科技风险分布广泛、专业性强等特点,可以构建由信息科技业务经营部门、信息科技条线管理部门、风险管理部门和内部审计部门构成的“四道防线”,实现对信息科技风险的有效防范和管理。
(二)信息科技风险的识别方法
信息科技风险识别是指风险管理者通过一定的方法和手段,按照信息科技风险的来源范围和表现形式,鉴别信息系统开发和运行过程中一切可能导致信息科技风险的因素和产生风险的环节点的过程。信息科技风险识别方法可借用操作风险的识别工具。
1.风险与控制自评估法
信息科技风险的风险与控制自评估法(RCSA),是指银行IT风险管理部门对本行信息系统开发、信息数据管理、系统运行与维护等IT条线业务进行流程分析,识别并评估其中隐含的风险点,并对业务流程现有的控制措施的合理性和有效性进行评价的过程。
RCSA从梳理IT条线的主流程及其包含的子流程入手,针对这些流程设计RCSA问卷。这一问卷包含了每一流程步骤涉及的风险类型、相应的控制类型等内容,需要评分人对现有的控制设计和有效性进行评估,对风险导致的固有风险暴露、以及采取控制措施之后的剩余风险进行评分。最后要根据RCSA的结果决定是否采取对特定风险的控制行动。
2.风险地图法
风险地图(Risk Mapping)能够显示特定风险事件的风险暴露分布状况,将风险暴露与银行或业务部门的风险容忍度连接起来,根据特定风险在风险地图中的落点可决定对风险是否采取适当的控制措施。
风险地图是一个严重性-可能性矩阵。根据特定风险可能导致损失的严重程度及损失发生的可能性,可以共同确定风险暴露及其在风险地图的落点。风险地图不同区域所代表了不同风险容忍度,风险的不同落点有不同的涵义(图3)。
A.绿色区域:表示风险处于安全区域,不需采取控制措施降低风险暴露。
B.黄色区域:表示风险在加强监控的区域,应对风险进行关注和加强监控,但还不需采取具体控制措施。
C.橙色区域:表示风险在警戒范围内,风险管理部门应立即采取控制措施,将风险暴露降低到安全区域之内。
D.红色区域:表示风险已不可容忍,除了应立即采取措施降低风险暴露至安全范围内,还应该对风险暴露过高的原因进行追溯和问责。
需要说明的是,不同银行、不同业务条线的风险容忍度不同,因而风险地图的具体风险轮廓各异。即使同样的风险暴露在不同部门的风险地图上所处的区域可能都不一样,严重程度也不一样。对具体的信息科技风险管理者而言,要根据本行信息科技业务特点和自己的风险偏好,确定以上四个区域的临界值。
3.关键风险指标(KRI)
KRI是可用于表示商业银行信息科技风险状况的定量指标。通过指标的定期监控,可以对信息科技风险变化有代表性的某些方面进行跟踪和预警,并根据指标所处的区域决定是否采取控制措施。
关键风险指标应能代表信息科技领域最主要的风险指标,容易度量并能反映信息科技风险的暴露水平或者控制状态。商业银行首先需要明确各项与信息科技相关的关键风险指标,对每一指标设定相应门槛值。银行通过对所有KRI的动态跟踪,在超过门槛值时采取必要的控制措施,从而及时降低风险暴露程度,使基于KRI的风险控制行动能防止重大损失事件的发生。
与信息科技风险相关的KRI可根据信息科技业务的风险表现和分布特点而设定,具体指标可能包括:系统故障频率、系统中断次数、系统中断持续时间、系统交易失败比例、IT人员离职率、IT风险事件总数等。
4.损失数据收集(LDC)
首先要根据信息科技风险的分布特点,确定损失数据的收集范围、起点金额以及统一的损失数据内容(具体表现为损失数据库的字段格式)。
关于收集范围,巴塞尔新资本协议对操作风险的损失事件形态分为7个类型,其中与信息科技风险损失事件有关的整理如表2。银监会《商业银行操作风险管理指引》中规定应收集并报告的重大操作风险事件中,就包括“造成涉及两个或以上省(自治区、直辖市)范围内中断业务3小时以上,在涉及一个省(自治区、直辖市)范围内中断业务6小时以上”的系统业务中断事件等等。
损失起点金额要根据IT风险损失的分布特征和银行的风险容忍度而定。而损失数据内容则包括损失事件产生原因、发生时间、所在部门、损失金额、控制措施及有效性等。损失数据要按统一字段格式及时录入操作损失数据库。巴塞尔新资本要求采用高级计量法(AMA)的银行需要至少三年的历史损失数据积累。
(三)信息科技风险度量方法
操作风险度量方法包括基本指标法(BIA),标准法(SA),以及高级度量法(AMA),后者包括内部度量法、损失分布法和极值法等。目前我国商业银行对操作风险计量在实践中采用标准法。
但标准法设定的8个业务线,并未将信息科技业务条线专门列出,因而不能充分体现对信息科技风险的资本要求。事实上,信息科技风险不仅存在于商业银行信息科技业务条线,同时也广泛分布于其他业务条线之中。因而,在标准法的基础上,我们提出将信息科技风险按照所存在的业务部门分为两部分,分别进行风险计量和资本计提。
第一部分是存在于8大业务线内部的信息科技风险,在根据标准法对8大业务类型的操作风险计量时,已经包含了其中涉及到信息系统操作、运行等相关的信息科技风险。第二部分是信息科技条线的业务平台上涉及到的信息科技风险,主要包括信息系统开发、信息系统运行维护、数据中心建设和管理、软件外包、业务连续性经营等方面的风险。
具体计量时,第一部分已经涵盖在各个业务线的操作风险中;第二部分则由于信息科技业务并不直接产生收入盈利,可根据前三年信息科技投入的平均值,按其一定比例计算信息科技风险的资本要求。
其中Ii表示此前第i年信息科技投入的金额,βIT表示根据信息科技业务风险特征所确定的资本计提比例,KIT表示信息科技风险的资本要求,与其他业务的资本要求相加得到全行总的操作风险资本要求。
(四)信息科技风险监测与报告
风险管理是一个持续提升的过程,因而信息科技风险也需要定期持续的监测,以掌握风险发展的动态。监测一方面可以结合信息安全管理和内控措施,发现信息科技业务中存在的风险点及严重程度;另一方面也可以通过对之前设定的KRI的定期检查,判断风险是否在可容忍的范围之内。
对风险监测的结果和风险控制的现状,需要定期撰写风险报告,并逐级向上级风险管理部门汇总,最后由总行风险管理部向高管层和董事会定期提交风险报告。如总行操作风险部可以逐月汇总来自信息安全管理部和所有分行有关操作风险报告,其中包含信息科技风险的相关内容,然后逐季向高管层和董事会提交全行的风险报告。当遇到重大信息科技风险事件时,应随时上交风险报告。
风险报告是支持全面风险管理决策的重要依据,信息科技风险报告内容应包含在操作风险报告之中,其内容应涵盖报告期内:面临的或潜在的信息科技风险类型,已发生的信息科技风险事件,风险事件原因和过程,风险导致的损失,风险控制/缓释措施及其有效性,对风险事件的总结等。
(五)信息科技风险控制措施
由于信息科技风险自身的技术特点,对其有效控制的基础是在信息科技部门的开发、服务、运营等具体业务流程中实施先进的信息安全管理标准,如ISO20000 IT服务管理国际标准、ISO27001信息安全管理制度标准等。从信息科技风险整体的控制方面,可以实施以下几项措施。
1.完善内部控制机制。为实现信息科技风险的有效控制,商业银行需要建立并完善与信息科技风险相关业务的内部控制机制,确定信息科技相关业务和信息系统应用中不同职位的人员在信息科技风险管理中的分工和责任。这包括不同系统在物理上和技术上的隔离、规范业务操作流程、确定并执行严格的权限范围、建立业务流程之间相互平衡的制约机制等。
2.信息系统审计(IS audit)。指收集并评价证据,以判断一个信息系统能否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源的过程。商业银行内部或外部的信息系统审计部门,可通过一般控制和应用控制等审计方法对全行范围内的信息系统生命周期内的资产保护、数据完整、资源经济有效利用以及完成组织目标的情况进行综合评价。从而总体把握商业银行信息系统的风险状况,并向商业银行风险管理部门和信息科技部门提出咨询意见。
3.业务连续性管理(BCM)。BCM的目的是通过有效的管理,使在各种意外情况发生时,银行信息系统和相关业务都能始终不间断运营;或者退一步,BCM使意外冲击对信息系统正常运行或业务连续经营的影响降至最小。影响信息科技基础设施(如银行的数据中心或业务处理中心)连续运营的主要因素有,黑客攻击、电脑病毒、软件错误、人为失误、硬件故障、自然灾难等。
有效的BCM是针对以上影响因素严重程度制订的一整套管理方法。如首先是要建立信息系统应急机制和紧急变更预案,从制度上保证出现业务中断时的行动路线。其次加强重要数据的灾难备份。目前我国大部分大中型商业银行都已经成立了灾备中心,进行核心数据的同城镜像和异地灾备。此外还需要对业务处理系统进行切换演练,通过定期进行切换演练,对可能面对的不同冲击进行情景分析和压力测试,降低突发事件威胁,提高应急处理能力。
4.通过保险和外包来缓释和转移风险。由于发生概率较低但损失程度较大的信息科技风险是难以预测、量化及分配资本的,因此对信息科技风险的缓释和转移,可大大降低银行相关风险暴露程度。
使用保险作为操作风险的重要缓释工具有很大的必要性。商业银行与保险公司可以根据主要信息科技风险的损失分布特征,共同开发适当的保险产品以此对商业银行面临的信息科技风险进行缓释。同时软件开发等的外包,即可利用外部专业资源,又可转移商业银行自身承担的失败风险。但也需注意要通过签署权责明确的事前协议,来规避外包过程中的潜在风险。
综上,信息科技风险管理可利用操作风险管理的框架,但信息科技风险的组织结构、识别、计量、报告和控制等都有其具体的方法和工具。这一框架可以表示为如下图4,其中左半部分表示了操作风险管理的框架,右边虚线内是信息科技风险管理的具体内容。
四、结论和建议
本文在操作风险视角下研究了信息科技风险的管理流程和具体措施。研究发现,首先,商业银行的信息科技风险是操作风险的重要表现形式之一,因而有必要利用操作风险管理框架对其进行管理。其次,操作风险管理的流程和工具,可为信息科技风险的识别、计量、监测和控制提供规范化的参考依据。另外,值得注意的是,信息科技风险有其具体的表现形式和技术特点,对信息科技风险的评估、监测和控制等具体措施等有明显的技术特点,因而信息技术部门内部的信息安全管理是信息科技风险管理必不可少的重要基础。
研究建议,商业银行应在信息技术部门内部的信息安全管理的基础上,通过在信息技术条线推行操作风险管理,利用操作风险的规范流程和科学方法对信息科技风险进行有效管理。这不仅有利于落实《新巴塞尔资本协议》的监管要求,也有助于提升我国商业银行全面风险管理体系的建设水平。
注:
本文得到中国博士后科学基金第四十七批面上资助,项目名称《商业银行信息科技风险管理研究――基于操作风险管理框架》(资助编号20100470108)。特此感谢,当然文责自负。
关键词:操作风险;公司治理结构;内部控制
长期以来,社会各界对银行业的风险管理都聚焦于信用风险和市场风险,而对操作风险并未予以足够的重视,对其认识和管理都处于较低水平。然而,随着金融管制的放松、银行经营业务范围及产品的多样化和复杂化,操作风险的破坏力和影响力愈发显现,对其研究和管理也迫在眉睫。在此背景下,2004年的巴塞尔新资本协议规范了操作风险的定义①,并提出操作风险的最低资本要求,为各国银行业加强操作风险管理敲响警钟和提供指导;中国银监会于2007年6月了《商业银行操作风险管理指引》(以下简称《指引》),为加强银行业操作风险管理、推进完善银行业公司治理结构、提升风险管理能力提供指导。
一、我国银行业操作风险危机四伏
受旧体制等不利影响,我国银行业面临着严重的操作风险。表1列示了近年来部分银行操作风险事件。
通过综合分析我国银行业操作风险损失事件,其具有的特点主要有:
1.操作风险主要形式是欺诈①。欺诈包括内部员工的欺诈、外部人员的欺诈以及内外部勾结的欺诈,其中内部员工欺诈和内外部勾结的欺诈是我国当前存在的主要形式,并且这种类型的损失事件一旦发生,就具有单笔损失金额大和社会影响力大的特点。
2.操作风险大都发生在基层分支机构,且与上层机构的控制力负相关。我国银行的业务运作大多数集中在基层机构,总、分行则更偏重于行使管理职能,当分支机构距离较远、受到的监管较弱时,分支机构的一些违规操作就不易被发现,操作风险发生的可能性就更大。
二、我国银行业操作风险的影响因素
目前,我国银行业普遍存在内部控制制度不完善的问题,这是导致操作风险频发的最主要原因。我国银行业内部控制不健全性主要表现在:
1.操作风险管理意识薄弱。目前,我国银行业的主营业务仍以信贷为主,因此银行风险管理的焦点都集中于信用风险,而对于操作风险,从管理层到基层员工对其管理的意识都有待于提高。
2.操作风险专业化管理部门缺位。我国绝大多数银行均未设立独立的专业化的操作风险管理部门,对其管理主要是依靠非专业部门负责,以定性管理为主,主要依赖专家的主观判断,缺乏科学和专业的管理。此外,根据巴塞尔新资本协议,用于计算监管资本的内部操作风险计量法,必须建立在对内部损失数据至少5年的观察基础上,而我国由于缺乏数据,很少采用定量分析控制操作风险的科学方法。
3.分行制的组织形式不利于监管。我国银行主要采用分行制,该体制下的直线管理职能削弱了内部控制的力度和有效性,各层次的负责人横向权利过大,为操作风险的孕育提供了空间。
4.管理体系不完善。我国银行业普遍存在管理层次多而繁杂,各层次权责不清,缺乏相互制衡、权责明晰和相互独立的管理体系,容易出现管理的真空地带和重复低效管理。
5.管理制度不健全。我国银行业风险管理所需的制度建设不健全,现有的制度大都流于形式,存在不切实际、难以执行的问题,此外,仍有部分正常经营所必备的规章制度缺位,导致管理盲点的存在。
三、完善我国银行业操作风险管理体系
由于我国银行业对操作风险的重视长期不足,导致银行对操作风险的管理长期处于低效率和不足的水平。因此,克服各种不利因素,及时建立完善的操作风险管理体系,具有重要的现实意义。银行操作风险管理和内部控制在内容、对象和范围上有着密切的联系,因此健全内部控制机制的形成有助于银行操作风险的高效管理。本文结合COSO委员会关于内部控制五要素的阐述和银监会的《指引》,设计一套适合我国银行业操作风险管理的体系。
COSO委员会所述的内部控制包括五要素:控制环境、风险评估、控制活动、信息与沟通和监控,以下分别从这五方面构建操作风险管理体系。
(一)控制环境
控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素。控制环境塑造企业风险管理文化,影响银行内部各成员的风险意识,关系着风险管理控制制度的贯彻和执行。
《指引》指出,操作风险管理需要创造一个良好的控制环境。首先,银行董事会应充分了解本行的主要操作风险所在,把它作为一种必须管理的主要风险类别,努力促进这种公司文化的建立,并且提供充足的资源支持在各职能部门实施操作风险管理,还应当把操作风险管理纳入到业绩评估程序中,强调风险管理为银行关注重点。其次,应建立一个能够有效执行操作风险管理框架要求的组织架构,该组织架构应明确界定各职能部门的责权关系、上下级报告关系,并且制定严格的监管审计制度。最后,应根据本行对操作风险的承受能力,制定规范的操作风险管理政策,该政策应对存在于本行各类业务中的操作风险进行界定,列明本行操作风险的具体构成,应明确识别、评估、监测与控制操作风险所应依据的原则、政策和方法。
(二)风险评估
风险评估是指操作风险管理部根据职能部门的信息,识别、量化和分析相关风险以实现既定目标,从而形成操作风险管理的核心内容。风险评估系统包括以下三个子系统
1.风险识别子系统
风险识别子系统的作用是将操作风险进行定义和分类,它的主要部分是“知识库”。“知识库”是一种风险映射,将职能部门的业务与风险类别之间建立对应关系。具体来说,“知识库”将银行业务分为若干个风险档次,并将所有的业务归类到相应的风险档次之中,并存储在数据库的相应位置。
2.风险计量子系统
风险计量子系统由“模型库”和“预警库”组成。该系统在初步识别原始数据的基础上,利用“模型库”中的风险计量模型对风险进行量化,将定性的操作风险数字化。其中风险计量模型利用数理统计方法量化银行操作风险,“模型库”再将风险计量模型计算机程序化,即编写计算机软件以实现风险计量模型的功能。而“预警库”则是预先在系统内设定的不同职能部门的市场风险限额指标,在“模型库”计算出风险值之后,“预警库”就可以对实际风险承担与预先设定的风险限额自动比较,若发生超限额的情况,“预警库”会将该信息同时反馈到风险评价子系统中,实现实时风险监控的功能。
3.风险评价子系统
风险评价子系统主要提供风险汇总报告,并对各职能部门风险承担状况进行评价,为风险管理决策层提供支持。“报告库”针对经“模型库”风险计量子系统测量的风险结果,根据指定的报告模式进行综合汇总,为管理层提供银行风险的数据。“评价库”是对综合报告进行的深入分析,通过对具体风险的分析评价,提出风险改进意见。
总的说来,风险评估系统中,风险识别子系统归类操作风险,风险计量子系统量化操作风险,评价子系统评价并报告操作风险。这一系列活动的完成,关键在于设计出一整套计算机程序以实现上述几个子系统的功能。我国银行应当根据本行业务的特点,设计出自己的风险管理程序,或者直接从专业公司引进成熟又适合自身的风险管理系统。
(三)控制活动
控制活动是指那些有助于管理层决策顺利实施的政策和程序,主要包括明确银行各部门的职责、对各部门活动的控制和对偏离授权的行为进行调整。
首先,《指引》明确规定了各组织层次在操作风险管理系统中的职责,以便整个系统有条不紊的运作,各层次的职责具体为:银行高层负责制定操作风险管理的战略和总体政策;风险管理委员会建立风险管理的操作方法;各职能部门具体实施。
其次,对各职能部门活动的控制分为两个层次:第一个层次是各职能部门,应定期向负责操作风险管理的部门通报本部门操作风险管理的总体状况,及时通报重大操作风险事件;第二个层次是操作风险管理部门应当提供风险预警指标,将风险限额建立在各业务部门的不同的层面,然后为每个关键风险指标设定门槛值,一旦风险值超过门槛值则启动预警系统。
最后,操作风险部门应当对于超过门槛值的采取必要的整改措施,及时修正执行中的偏差。
(四)信息与沟通
各职能部门的信息沟通是整个操作风险系统的基础,系统的数据来源于各职能部门。只有将信息及时有效地传递给操作风险管理部,才能及时进行信息分类。《指引》规定,职能部门应当根据统一的操作风险管理评估方法,建立持续、有效的操作风险报告程序,从制度上建立有效的信息和沟通机制。此外,《指引》要求建立案件查处和相应的信息披露制度,通过对案件查处的信息披露有良好的警示作用,对案件的及时总结能有效地避免同类风险事件的发生。
(五)监控
监控的核心在于监控的制度性和监控的独立性。《指引》规定,监控的制度性建设要求风险管理委员会应当建立指向清晰的定期监控体系,清晰的监控系统可以明确监管者的责任范围,而定期监查行为有利于快速发现并且纠正操作风险。监控独立性依靠操作风险管理部与其他职能部门相对保持独立,不能存在从属关系,应当受董事会或其下属的审计委员会直接领导。
与此同时,银行还需要对其内部监管人员进行严格培训,使其对银行各项业务活动和岗位责任的执行情况依据相关制度标准进行监控,及时预见潜在风险并极力阻止其发生,实现银行操作风险的有效管理。
参考文献:
[1]阎达五,宁建波.双元控制主体构架下现代企业会计控制的新思考[J].会计研究,2000.
[2]钟伟.论跨国银行操作风险管理模型的新进展[J].学术月刊,2004.
[3]钟伟.新巴塞尔协议和操作风险高级衡量法框架[J].金融与经济,2005.
[4]樊欣,杨晓光.操作风险管理的方法与现状[J].证券市场导报,2003,(6):64-6.
关键词:新巴塞尔协议;操作风险管理;政策建议
自20世纪80年代以来,一系列因为操作风险所导致的金融案件震惊了国际银行界(见表1),使银行经营者和监管者普遍认识到了操作风险管理的重要性。安永国际会计公司2001年对美国前100家大银行的风险管理调查报告证实了这一点。报告间隔一个月或更长时间,94%的银行衡量了市场风险,100%的银行衡量了信用风险,69%的银行衡量了操作风险。在不少国际金融机构中,操作风险导致的损失已经明显大于市场风险和信用风险。2004年6月通过的新巴塞尔资本协议反映了这一风险管理趋势,正式将市场风险,信用风险和操作风险综合起来考虑,并首次明确了对操作风险的资本配置要求。目前我国正处于经济转轨时期,相应的制度环境尚待完善,人们求富的急切心态导致各种违规事件的层出不穷(见表2),操作风险正成为我国金融机构面临的主要风险。
一、新巴塞尔协议与银行操作风险
新巴塞尔协议(2004)第一次对银行操作风险提出了资本要求,并把操作风险定义为:由于不正确的内部操作流程,人员,系统或外部事件所导致的直接或间接损失的风险。该定义包括法律风险,但不包括策略风险和声誉风险。这一定义侧重于风险形成的原因,委员会认为这样对操作风险的管理和度量都是合适的,同时又鼓励对定义中损失类型(见表3)进行讨论以形成更为完备的定义。操作风险相比于信用风险和市场风险,意味着纯粹的损失;而后两者是一中性概念,损失机会和盈利可能并存。根据新协议的监管要求,银行必须全面收集业务活动中有关操作风险的损失数据。可以依照巴塞尔委员会定义的8种银行业务类型(具体包括:公司金融,交易和销售,零售银行业务,结算和支付,和保管,资产管理,零售经纪业务)和7种操作风险事件类型(具体包括:内部欺诈,外部欺诈,就业政策和工作场所安全,客户产品及业务操作,实物资产的损坏,业务中断和系统失败,执行交割和流程管理)进行数据分类。分别统计发生概率大而每件的损失额度较小和发生概率小而每件的损失额度较大的事件数量。同市场风险和信用风险一样,不论是对操作性风险简单的定性估计,还是复杂的模型计量,都必须涉及风险的种类,风险敞口,风险事件的发生概率以及风险损失。
二、新巴塞尔协议下我国商业银行的操作风险管理建议
根据巴塞尔委员会2003年2月公布的《操作性风险管理与监管的最佳实践》,不管银行规模的大小,监管当局应当要求所有的银行都建立起自己的操作性风险计量和监管框架。银行应同时进行足够的信息披露,以便市场能够就其操作性风险管理方法进行评估。操作性风险管理越来越被置于同信用风险和市场风险管理同样重要的地位,对操作性风险管理计量的技术要求也在逐步向信用风险和市场风险看齐。操作风险管理正作为一个重要的有机组成部分被纳入到银行的风险管理体系中。目前我国在银行操作风险方面存在很大的不足。中国有五家规模各异的银行参加了十国集团国家监管当局之间对新资本协议第三决定量影响测算(QIS3测算),其合计的资产占到中国银行业总资产的48%。按标准法计算,操作风险的贡献率为3.83%。由此可见,我国银行在操作风险管理方面的水平是相当低的。虽然中国人民银行于2002年9月并开始实施《商业银行内部控制指引》,对我国银行建立操作风险管理和控制框架提出了要求,但是到目前为止,我国商业银行的操作风险管理仍然存在很多问题。商业银行操作风险的组织基础工作薄弱,银行内部控制制度建设滞后,相关的信息披露严重不足,缺乏操作风险的计量模型和损失数据等问题。基于巴塞尔新资本协议的要求和我国银行业操作风险管理的现状,要解决上述问题,建立起适应我国银行业发展要求的操作风险管理体系,本文认为应从以下几个方面人手。
1.确立全面风险管理理念,加强金融机构自身的风险管理文化建设。我国商业银行应从以定性为主的传统风险管理方式向以定量分析为基础定量与定性相结合的现代风险管理模式转变,树立市场风险、信用风险和操作风险综合管理的理念,积极借鉴新巴塞尔协议的银行管理精髓,打造我国金融机构自身的风险管理文化,使高层管理人员和所有员工对各自业务部门防范操作风险有一个全面的认识,认真履行风险管理责任,确保操作风险管理活动被很好地理解和执行。
2.建立操作风险损失数据库,选用适当的操作风险计量方法。新巴塞尔协议指出:“委员会认为,根据统一的损失、风险和业务的定义,在业内有序地收集及分享数据,对于制定处理操作风险的各类先进方法十分重要。若没有这类数据,委员会将被迫在制定操作风险最低资本规定时采用保守的假设。”尽管目前我国很难采用那些先进的操作风险量化方法,但是操作风险的量化将是大势所趋。因此我们要提前做好风险损失数据库的建立,为日后使用先进的操作风险管理方法作准备。根据新协议的提议,“委员会计划允许银行采用更加先进的方法按业务处理操作风险。如银行可以采用标准法处理某些产品,并同时采用内部计量法处理其他产品。”因此,当前我国的金融机构可以根据自身情况对不同业务的操作风险采用不同的度量方法。前面分析的几种度量方法为银行操作风险管理提供了一种可以参照的标准,但这些方法有自身的特点,就现阶段的中国商业银行来说,并不都适用。基本指标法过于简单,损失分布法和极值方法属于高级计量法,对损失数据要求高,必须满足一系列的分类标准,这些标准有许多在现阶段我国商业银行无法达到,应用难度较大。而标准法和内部度量法介于两者之间,既克服了基本指标法的不足,又不像高级计量法那么复杂,应当是大多数商业银行的短期努力方向。尤其是内部度量法,能很好地结合绝大多数中国商业银行自身业务状况(如业务规模、范围、业务类别等),对风险的衡量有较强的针对性,可以建议我国商业银行现阶段着重考虑对该方法应用的熟悉和完善,为今后更高级方法的使用积累经验。
3.借鉴国际经验,创造一个合适的操作风险管理环境。新协议对操作风险管理环境提出了三条原则。一是董事会应当意识到操作风险的主要方面,并将其做清楚的分类以能够实施管理,并应当批准和定期地检查银行操作风险管理框架;二是董事会应当确保银行的操作风险管理框架从属于由受过培训能力的员工所独立进行的、有效的和全面的内部审计;三是高级管理层应当负责董事会批准的操作风险管理框架的实施。这个实施在全行范围内应当是一致的,所有层面的员工都应该理解其相关的操作风险管理责任。我国的操作风险管理应该积极借鉴这些原则,操作风险管理体系应基本覆盖操作风险识别、评估、监测、缓释、控制和报告等程序和环节,并在此基础上建立覆盖整个银行的操作风险管理战略和政策,构建责权明晰的管理架构。与此同时,由于国有银行权责不明晰,操作者是银行经营者,而风险承担者是国家,这样使得银行经营者缺乏实施风险监管的动力。因此,国有商业银行操作风险的管理必须与银行的产权改革、完善法人治理结构相结合,为操作风险管理提供一个好的企业制度环境。
4.健全银行内部控制制度,加强风险管理人才建设。最重大的操作风险经常由内控制度的失灵引起,而这又是银行可控范围内的内生风险,所以防范操作风险的关键在于健全银行的内控制度。内控制度建设应从银行实际出发,设计合理科学,具有可操作性。同时要发挥信息披露的作用,要求银行应向公众进行充分的信息披露以便于市场参与者能够对银行的操作风险管理进行监督和评价。由于操作风险的复杂性,客观上要求其业务人员必需具有丰富的专业知识和技能,这在很大程度上决定了操作风险管理质量的高低。目前我国熟悉操作风险管理业务的人员非常匮乏,加强这方面的人才培养和引进非常必要。
参考文献:
1.BaselCommitteeOnBankingSupervision.TheNewBaselCapltalAccord.Fourthconsultativedoc-ument.http://www.bis.org/bcbs/cp3full.Pdf,2004.
2.赵先信,银行内部模型和监管模型:风险计量与资本分配.上海:上海人民出版社,2004.
3.BaselcommitteeonBankingsupervision.SoundPracticesfortheManagementandSupervisionOfOperationalRisk.Basel,February,2003.
4.King,J.L.OperationalRisk:MeasurementandModeling.JohnWiley&SonsLtd.starliuCom.cn,2001.
5.段红涛等.中国商业银行风险防范问题研究.武汉:湖北人民出版社,2001.
6.王卫东.现代银行全面风险管理.北京:中国经济出版社,2001.
关键字: 流程;操作风险;商业银行
中图分类号:F830.49文献标识码:B文章编号:1006-1770(2006)09-053-03
一、引言
随着银行服务的全球化、技术系统的更新、交易量的提高、日趋复杂的交易工具和交易策略等,都增大了银行机构面临的操作风险。对整个银行业和国际监管机构引起巨大震撼的“巴林银行”事件,从表面上来说是由于“关东大地震”所导致的日经指数期货暴跌,日本政府债券却一路上扬,里森不幸在这两个品种上都持有错误方向的筹码。这种突然来临的市场风险直接导致了里森的,及巴林银行的清盘倒闭。但本质上,却是由于巴林银行混乱的内部控制与风险管理体系所导致的,彻头彻尾是由于操作风险而招致的灭顶之灾。巴林事件之所以能发生,关键在于:交易与清算之间应有的制度执行缺失,业务流程应履行的监督失灵所导致。
操作风险源自于内部程序不完善、人为失误、系统故障和外部事件的影响,而银行业务流程是操作风险发生的主要载体,规范、科学、运行良好的业务流程,能从根本上起到规避和减少操作风险的作用。因此,从流程角度来研究操作风险管理是从商业银行操作风险管理和流程管理理论的内在耦合性出发,对银行操作风险管理所做的有益尝试。
二、流程与操作风险
操作风险的核心概念是操作(operations),其本意是“运营或发挥功能的活动或流程(the act or process of operating or functioning,美国传统辞典)”,中心词是活动或流程(act或process)。实际上,商业银行本身就是一个为最终满足顾客需求、实现投资者价值最大化而运行的一系列有密切联系的业务流程和活动的集合体。2005年中国银监会主席刘明康就指出“流程银行”是商业银行变革的方向之一,凸显了“流程”在现代商业银行中的重要地位。银行提品或服务的过程,即是承担风险、消耗资源使得价值从一个业务流程或活动转移到下一个业务流程或活动的过程,最终商品或劳务既是全部业务流程的集合,也是全部资源、全部风险的集合。国内外许多学者在这方面进行了研究,从国内的研究看,主要集中在操作风险的管理框架、度量方法及风险值衡量、基于工作流的操作风险控制及基于流程管理的银行信息化等方面。从国外看,Ebnother et al. (2002 )认为操作风险的衡量和管理一定是基于定义良好的流程,它们是操作风险管理的“精微平台(microscopic level)”,该文献中也提到了流程活动的概念,但它们只是作为流程的附属存在。Leippold et al. (2003) 提出并应用价值链的概念来模型化操作风险,而价值链实质就是基于流程展开的。这些研究虽然涉及到流程和操作风险之间的关系,但较为全面论述二者关系的文章还没有见到,特别是将流程理论和操作风险紧密结合起来,重新审视操作风险管理。因此本文从流程出发,以流程的视角分析操作风险管理的两个重要内容:内部控制和风险度量,为银行操作风险管理提供一个新的思路。
所谓流程,普适的定义是指为特定客户和市场提品和服务而实施的一系列精心设计的有逻辑相关性的活动(Davenport & Short, 1991)。流程进一步细分为活动(或称为流程活动,activity ) ,流程活动是流程的最基本要素。一个流程活动是接收某一种类型的输入,并在某种规则控制下,利用某些资源,经过特定变换转化为输出的过程,即:
流程活动={输入,处理规则,资源,输出}
其中,资源是指流程活动执行者在执行这一流程活动时所依赖的方法或凭借的手段。一个流程中的基本流程活动是不可再分的流程活动,其特征包括:明确的结果;清楚的边界;独立于其他流程活动。
银行业务流程就是银行实现自身价值所进行的一系列的业务活动,它是银行的核心价值活动,也是隐含风险,造成损失的重要载体。
我国商业银行现有的业务流程可以分为直接创造价值的前台客户服务流程和为直接创造价值活动服务的后台支持流程,这两个流程按照J・佩帕德和P・罗兰的划分分别属于银行的经营流程和保障流程。对我国的商业银行而言,前台后台的业务流程类型如图1所示:
从流程的角度来考察操作风险,也可以从操作风险的定义中反映出来。巴塞尔委员会的定义是:“由于不当或失败的内部程序、人员和系统或外部事件导致损失的风险”,这一定义包含四类因素,即人员,程序,系统和外部事件,但都通过业务流程发生作用。瑞士信贷集团的定义是“由于以不当或失败的方式操作流程活动而对业务带来负面影响的风险,操作风险也可能是由外部因素造成的”。全球衍生产品研究小组曾经给操作风险下过这样一个定义:“操作风险是指由于控制和系统的不完善、人为的错误或管理不当所导致的损失的风险。”它是从人员、系统和操作流程三个方面对操作风险进行了界定,并且把管理作为防止操作风险的决定性因素。银行操作风险涉及组织的各个方面,主要发生在银行服务的各种流程活动之中,流程中的人、系统和操作程序就成为操作风险管理的重点。因而操作风险管理的重要内容是规范、监视和分析组织内部的各种流程,同时将人和系统的因素考虑到流程之中。
由图2可以看出,风险管理流程作为一项支持性的经常活动,对其它流程有着监督的作用,因而可以将风险管理流程和普通业务流程作为整体来考虑,即对流程的数据、知识和规则建模时,可以对每个业务流程活动和类型进行基于损失数据的风险评估和分析,做到每一个流程活动的流程管理和风险管理。
三、流程视角下的银行内部控制框架
自1992年美国COSO委员会《内部控制框架》(简称COSO报告)以来,该内部控制框架已经被世界上许多银行所采用,但理论界和实务界纷纷对内部控制框架提出一些改进建议,强调内部控制框架的建立应与银行的风险管理尤其是操作风险相结合。新的全面风险管理框架就是在1992年的研究成果--《内部控制框架》报告的基础上,结合《萨班斯一奥克斯法案》(Sarbanes-OxleyAct)在报告方面的要求,进行扩展研究得到的。《萨班斯-奥克斯法案》是安然、世通等财务欺诈事件发生后,美国证监会于2002年7月30日颁布并实施的强制所有在美国上市的公司在2006年财年结束前执行的一项内部控制法案,被美国总统布什称为“自罗斯福总统以来美国商业界影响最为深远的改革法案”。该法案要求组织机构使用文档化的财务政策和流程来改善可审计性,并更快地拿出财务报告。要求银行针对产生财务交易的所有流程活动,都做到透明度、控制、通讯、风险管理和诈欺防治,并且这些流程必须详加记录到可追查交易源头的地步。
在传统的劳动分工原则下,职能部门把银行的流程割裂成一个个独立的环节,关注的是单个任务或工作,其结果就是忽视内部控制的动态性、系统性。从流程的视角出发,就需要从顾客需求出发,对银行流程进行系统性的思考分析,或通过对银行流程构成要素的重新分解、组合,以此实现银行流程彻底的改造和重新设计,从而获得银行绩效的持续改进。它不再强调单个工作或任务自身是什么,而是这些工作是如何有效执行的,因为银行的一切经营活动就是一系列富有逻辑关系的流程的有序集成,因而契合于银行整个业务流程的内部控制活动和程序,也将表现出如同流程再造那样必须根据外界需求变化不断检视和调整的系统动态过程,这个过程也体现了银行抵御外部影响而导致操作风险的柔性能力。
进一步看,流程实际上又是由一系列流程活动的集成,也即银行就是一个为满足履行要素使用权交易合约需求而设计的一系列流程活动的集合体。流程活动是通过组织、单位或成员按照一定的流程、活动的要求来完成。为此,内部控制的功能不仅在于通过流程活动的分析,剔除非增值流程活动,实现流程的最优化,而且还要保证最优化的流程有效地运行,并在此基础上根据客户的不断变化的需求产生最优的流程。此时,内部控制实际上进一步彰显其过程化的行为,成为银行最优化、间接和理性的流程活动标准,并按照控制的循环步骤,实现内部控制的目标。其具体过程如下图3所示。
显然,传统的内部控制强调权利与职责的分配、岗位相互之间的牵制等基本理念将受到严重挑战,原有“要素化”的控制方式将会被流程化、系统化的控制机制所取代,也就是说职能控制、岗位控制将被流程控制所替代,从上到下的分权控制将被各个流程活动之间的控制、各个任务之间的控制所替代。在流程视角下,信息流、资金流成为银行经营活动的基本组成要素。为迎合银行业务流程管理和操作风险控制的需要,内部控制实际上将演变成一种最优化、简洁和理性(合乎逻辑)的流程活动方式或流程活动标准,实现资金流和信息流的高度合一,达到控制和规避操作风险的目的。
四、基于流程活动的操作风险度量
巴塞尔新资本协议中将银行业务分为8个产品线,19个二级目录及50多个业务群组,但这种划分只是停留在流程层面,并没有深入到流程活动层面。正确划分银行流程活动,应从银行本身的规模、战略、业务特性和管理特点出发。对流程活动分解的越细,就越容易找到具体的风险驱动因素,从而越能对操作风险进行准确衡量与管理,因此,合乎逻辑的做法是将银行业务划分为产品线,再细分为流程,最后细分到流程活动。
定义、衡量和控制操作风险,不可能对所有的银行流程活动都同样关注,而应该重点关注银行的核心流程活动,对银行的增长和收益没有贡献的非核心的流程及流程活动不应予以考虑。
巴塞尔委员会将操作风险因素划分为7个类型,在此基础上进一步细分为20种、71个具体风险因素。Doerig(2004)将操作风险类型分为5大类,即组织,政策/过程,技术,人员和外部,细分因素有20种;英国银行服务局(FSA , 2002)在其关于操作风险系统和控制的咨询文件(CP142)中将形成操作风险的因素归结为人的因素、过程和系统、外部事件、外部采购和保险等5个方面。尽管细分的风险因素中可能包含几十种,但具体到不同的流程活动,很可能只有几种因素在起作用。
银行业务可以划分为若干个产品线,每个产品线由一组流程组成,而每个流程又由一组关键流程活动ai构成,每个流程活动都有潜在的fj 种风险因素可能导致操作风险。图4所示的流程活动和风险因素的组合显示了基于流程活动的操作风险度量原理。
图4中,横坐标为关键流程活动,纵坐标为风险因素。图中取1的为关键流程活动与风险因素的有效组合,取0表示该组合无效。例如组合(a2, f1)表示在流程活动a2中,风险因素f1不起作用。对于有效组合,可以进行衡量或评估以确定该组合下的风险损失Rij。如果确认了银行业务中的所有关键流程活动ai和风险因素fj,那么就可以得到一个关键流程活动/风险因素组合有效性矩阵,在该矩阵中,有效组合取值为1,无效组合取值为0。
一般地,操作风险度量有两大类方法,即自上而下法和自下而上法。自上而下法基于宏观数据来度量操作风险,不去识别具体的损失事件和原因。自下而上法则是利用具体的事件来决定操作风险的来源并进行度量,属于风险敏感方法。巴塞尔新资本协议中的前两种方法属于自上而下法,第三种方法即高级衡量法属于自下而上法。委员会鼓励银行提高风险管理的复杂程度并采用更加精确的计量方法。基于流程活动的操作风险度量方法将银行业务细分为流程活动,识别每一流程活动中潜在的具体风险因素,在此基础上衡量风险损失,因而属于风险敏感的自下而上方法。
该方法首先确认流程活动和风险因素将银行操作风险暴露分解,EI(i,j)表示第i个流程活动在j类风险因素下的风险暴露;PE(i,j)表示流程活动i在风险因素j下操作风险发生的概率;LGE(i,j)表示流程活动i在风险因素j下的预期损失程度,那么,组合(ai, fj)的操作风险预期损失为:
如果数据是够充分,模型还可以估算出不同风险损失之间的相关系数,从而使计算结果更加准确。基于流程活动的操作风险度量深入到微观的活动层面,对流程活动的各个要素和风险驱动因素进行分析,为银行控制和缓释操作风险提供了依据。
该方法将操作风险度量与管理有机地结合起来。将操作风险度量和管理建立在对银行关键流程活动及潜在风险因素的清晰理解基础之上,它考虑到了每个流程活动/风险因素组合(ai, fj)的损失分布,考虑到了流程活动之间的衔接同样是操作风险的重要来源,考虑到了流程活动与流程活动之间、风险因素与风险因素之间的相关关系,从而保证了衡量的准确性。
五、结论
操作风险的基本定义表明,操作风险主要载体是业务流程,本文研究了流程视角下的操作风险管理,阐述了基于流程的商业银行内部控制和操作风险度量,为进一步“流程银行”的操作风险管理模式研究打下了理论基础。
作者简介:
胡衍强 同济大学经济与管理学院博士生
关键词:操作风险;人力资本;激励
近年来,随着我国银行业务的快速发展,商业银行面临的运营风险也在不断增加。其中,作为商业银行常见三大金融风险之一的操作风险更是频频凸显。据统计,仅2003年-2007年,通过媒体公开报道可以搜集到的操作风险案件就达174件。2011年,中国银监会的《银监会2010年年报》指出,2011年中国银行业仍存在诸多风险挑战,其中之一便是“部分金融机构操作风险管理意识弱化”。该报告指出:“2010年底,部分银行业金融机构案件出现反弹。齐鲁银行案件等多数案件发生在基层网点和所谓低风险业务领域,且多为内部人员作案,这反映出部分银行内在风险管理机制存在缺陷。”
与信用风险和市场风险不同,操作风险涵盖的范围和涉及的业务种类更为广泛,贯穿于商业银行经营管理活动的始终,几乎覆盖了银行经营活动的方方面面,因此管理难度更大。本文从操作风险的分类与特征入手,对商业银行操作风险的一般问题进行分析。在此基础上,选取人力资本激励视角对我国商业银行操作风险管理问题进行另一种视角的诠释,最后提出相关对策建议。
1 关于操作风险的一般问题分析
目前对于操作风险国内外尚未有统一的定义。其中,巴塞尔委员会在《巴塞尔新资本协议》中关于操作风险的定义较具代表性,具体为“操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险”。该定义突出强调了银行内部人员操作和业务系统因素所导致的操作风险。
1.1 操作风险的分类
操作风险类型较多,可从不同的角度予以划分。比较常见的划分标准有:巴塞尔新资本协议标准、英国银行家协会分类标准等。
(1)巴塞尔新资本协议中的分类。包括两个维度的分类:一个是按照损失事件类型进行分类,具体分为七类:内部欺诈,外部欺诈,雇用合同以及工作状况带来的风险事件,客户、产品以及商业行为引起的风险事件,有形资产的损失,业务中断和系统错误,涉及执行、交割以及交易过程管理的风险事件。另一个维度是依据发生操作风险的业务部门或业务流程环节,分为八类:公司财务、交易与销售、零售银行业务、商业银行业务、支付与清算、服务、资产管理、零售经纪。上述两个维度的分类还可共同构成操作风险分类的7×8矩阵。
(2)英国银行家协会的分类标准。具体涉及四类:人员因素导致的操作风险、流程因素导致的操作风险、系统因素导致的操作风险、外部事件导致的操作风险。其中,前三类为内部因素导致的操作风险,又称为操作性失误风险(operational failure risk);第四种为外部因素导致的操作风险,又称为操作性杠杆风险(operational leverage risk)。
1.2 操作风险的特征
操作风险的内涵丰富,外延宽泛,因此了解和把握其主要特征,可以更有效的管理此类风险。通过对国内外文献和监管部门披露的操作风险案件进行梳理发现,操作风险主要具有以下几方面特征:
(1)操作风险的生成具有明显的内生性。相对于信用风险和市场风险,操作风险的生成更多的是由银行内部不合规的操作引起。银行业务的客观存在使得操作风险将永远存在,并成为银行业务经营的重要组成部分。
(2)操作风险具有较强的人为性。在《巴塞尔新资本协议》中按照损失事件类型划分的七类操作风险中,有六类与人为因素直接相关。如若说市场风险来自于金融产品的市场价格变动,信用风险源于借款者偿还能力的不确定性,而操作风险则大多数来自于有意或是无意的、银行内部或外部的人为操作失误。此外,操作风险的强人为性还表现在来自银行内部人员的操作风险反控性(银行业务人员往往对业务流程更为熟知,因而更加容易通过对既有管理流程和制度的规避从而实施违规操作,并隐匿操作风险的外在表现)和操作风险管理过程中的不作为。
【关键词】银行 操作风险
会计操作是反映商业银行资金运作的各个重要环节,其风险的防范在现代商业银行营运中的地位显著。各项业务发展和创新都需要会计操作风险加强管理,各新旧网点的升级改造、新吸收员工不断增多,而当前会计操作大部分处在柜面操作,由此伴随会计操作风险管理重要性凸显。
一、会计操作风险的重要地位及特点
商业银行作为经营货币的企业,会计风险是客观存在的。按照商业银行经营的一般规律,其会计操作风险在经营各环节中占有重要地位和独特的特点,主要体现在以下三方面:
第一方面是商业银行的资金运作的各个环节不可能撇开会计操作,而银行日常的资金流量巨大、出入款项频率高,加上程序设计上漏洞,有可能产生会计操作风险,可以说会计是银行营运的基础。
第二方面是会计的职责是担负着银行营运全过程的收支、结算、核算业务,全面反馈资金、资本运作信息,为领导层的决策提供可靠财务依据,为确保银行资金安全,实现绩效目标的重要保证。会计操作出现了问题,不仅难以实现绩效目标,而且会影响企业整体营运,因此说会计风险管理在商业银行经营中处于核心地位。
第三方面是会计的覆盖面大,会计操作风险对内涉及到银行高、中、低层工作人员和有关机构,而且出现频率较高,风险时刻存在。对外范围较广,面对不同的业务种类和客户群体,因此说会计操作风险潜在危害性巨大。
二、商业银行会计操作风险的成因分析
(一)队伍建设方面存在管理不到位
一是员工培训效果不理想。一方面上岗前培训不够全面,针对性不够强,涉及到新员工和轮岗到新岗位员工,由于对所在岗位操作规范不熟悉,办理业务时对关键风险点控制不到位。而随着营业网点扩张和升级改造,新员工不断增多,该矛盾显得较为突出;二是在激励约束机制方面,对网点人员的核算质量还未实行量化考核,造成部分柜员重产品营销、轻前台操作风险控制。
(二)会计操作风险的评估手段不够科学
商业银行会计操作风险的科学管理,要求能够对每个机构会计操作风险水平做出客观的评价,但目前的会计操作风险的评估手段不够科学。 一是可量化的综合评价指标不够精准,且不同的机构没设有细化评价指标,各机构差别化管理难以实施,管理重点出现偏离。二是风险评估工作达不到会计操作风险控制的要求。随着经济发展和形势变化,新业务及金融工具的更新换代较快,使会计操作风险存在增加的可能,但内部控制风险评估体系的完善和发展程度却落后于业务的发展,无法准确识别风险点,不能有针对性地警示员工,会计操作风险发生的概率有增无减。
(三)业务发展与风险控制没兼顾平衡
随着市场经济的不断发展,银行在市场上的竞争也面临着越来越激烈,这就促使银行营业机构网点极为关注营销、成本、效益等绩效指标和存款、贷款等市场指标。部分银行的管理层只顾业务发展而轻风险控制,对会计操作风险带来的危害认识不到位,甚至为取得业务发展而干预会计操作的情况时有发生,业务发展与风险控制容易失去了平衡点。
(四)内部控制机制不够完善
财政部颁布新会计准则之后,新旧财务会计的处理规定发生了较大的变化,但是商业银行的相关法规,并没有及时进行修订,制度建设与业务的发展不同步,造成了业务操作过程中出现了一些存在着争议性的问题,企业会计内部控制制度建设不够完善。
三、防范商业会计操作风险的对策
(一)加强队伍建设,充分利用各种资源 。
一是人事部门统一规划,加强企业员工业务素质的培训。做好前岗后培训,根据企业员工实际情况,分层次、按不同对象实施针对性培训。对新上岗人员、发生差错较多人员等开展中短培训,利用工作空隙时间进行重点提示和强调,特别是操作要求和风险应对措施。二是加强员工行为管理。完善员工行为管理和排查有效方法,例如建立员工家访制度,定期对员工家庭进行家访,既掌握员工八小时以外的生活情况,又使员工感受到组织的温暖。对排查发现有异常行为的,及时采取有效措施。在问责方面,不只建立单纯“惩戒”制度,同时还要建立保护和奖励合规、主动纠错从轻问责等制度相结合。三是加强人力资源利用。前台人员直接接触客户,掌握客户资金流动信息,这些信息可与营销和贷款部门共享,可赋予前台、后台人员相应职责,并在利益分配上给予考虑,通过发挥整体合力进一步拓展业务。
(二)量化综合评价指标,实行差别化管理
将银行资金运转内控制度重点环节的执行情况、经全面检查发现存在风险性问题以及同行业普遍容易出现的风险问题等能反映会计风险控制状况的指标,将这些指标纳入风险评价体系,根据各个指标风险重要程度来分别设定分值,然后根据综合分值对机构的风险防范水平做出综合的评价。评价结果可分为优、良、中、低、差五个等级,评价结果可与机构的绩效相挂钩。对风险不等级的机构,管理层可以采取不同的管理措施,改进其会计操作风险管理状态。
(三)建立银行内控的信息交流与反馈机制
一是银行要分别建立内网和外网,全面实行信息化管理,内网用于系统内部信息传达、交流、反馈等,外网用于对外信息。企业内部信息数据均可在内网实时获取,也便于发现问题及时向上级领导反映,从而进行及时的整改。二是信息部门可将信息整理及提炼,形成有价值的信息平台,内控人员获取相关信息后要采取有效措施,及时控制风险。
(四)进一步完善内部控制机制
进一步完善内部控制机制,建立完整的内部控制系统,以有效地防止违规操作及犯罪的出现。根据财政部颁发会计准则、会计法及本企业实际会计业务,制定详细的制度规范和操作程序。以整个业务流程为中心,整合分散的规则规章,形成一个动态的系统平台,指导并控制系统文件的运行和会计业务的操作。
关键词:操作风险员工素质职业道德
1、管理操作风面临的挑战
巴塞尔委员会在新资本协议中将操作风险定义为:由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险,包括法律风险,但不包括策略风险和声誉风险。近年来,国内银行业不断有大案曝光,均给商业银行造成了严重的损失。“人”不仅是风险的控制者,也是风险的制造者。相比国际活跃银行操作风险主要集中在外部欺诈方面,我国操作风险高发的是人员风险。违规操作、内外勾结导致的操作风险在国内更多。
1.1 管理人员约束真空
国内商业银行普遍存在对管理人员监督约束不力的问题,有关管理人员尤其是分支机构领导权力过大,时间一长难免出现内部人控制以及由此引发的各类违规违法行为。举报机制不健全,对重点要害部门和岗位没有完善的举报流程,把关不严现象时有发生,事前预防工作形同虚设。
1.2 业务人员素质参差不齐
风险管理需要工作人员具有较为扎实的理论功底和丰富的实践经验。但是,现有商业银行工作人员的知识水平,知识结构与有效的控制操作风险这一艰巨的任务相比,存在着较大的差距,很多业务流程存在着不合理和不适用的情况。同时对前台业务操作人员的后续培训工作不够重视,容易造成业务人员的使用业务系统以及新系统的过程中出现操作错误和失误,给控制操作风险带来极大的难度。
1.3 员工职业道德隐患
虽然各家银行相继制定了不少规章制度,但是由于许多银行政治思想工作薄弱,对职工的思想教育重视不够。员工面对诱惑的抵抗力不足,造成内外勾结,诈骗、挪用银行和客户资产的事件频发。
2、建设完善的人员管理机制
人是风险管理的核心。虽然《巴塞尔新资本协议》将操作风险分为七种类型,但每个类型的操作风险,风险产生的每个环节都有伴随着较大的人为因素。加强对操作风险的管理,本质上是加强对人的管理。
2.1 推进内控文化建设和宣传
在组织内部建立从上至下的完善的合规教育体系,决策层要明确风险管理的导向和意义,成立专职机构和人员负责全公司的风险管理;管理层要制定科学的业务流程,严格执行决策层制定的规章制度,同时对业务层的操作进行跟踪、监控和反馈,不断的发现问题、总结问题并更新制度;业务层要认真履职,一切工作按规章办事。同时要完善奖惩机制,明确违规事件责任人,管理层和业务层采取捆绑式管理,发生违规事件,业务部门的主管领导为第一责任人,员工的所有操作与个人和部门的绩效挂钩,并建立违规考核办法,对于不同影响和危害的违规事件的相关责任人要给予不同级别的惩罚,对于重大违规事件,要从严从重处罚。最后要加强对员工的培训和辅导,提高银行从业人员整体素质。加强内控管理文化建设,对银行员工的风险观、风险内部控制意识和风险管理职业道德等银行内部控制管理要作为一项持续的工作来抓。要求员工具有一定行为规范和道德水准,内部控制管理文化建设就是通过调动每位员工的积极性、主动性和创造性在全行树立全员内控意识持续不断地对全体员工进行内部控制培训,确保全体员工都具有内控管理观念、意识和行为规范通过约束员工行为来达到业务发展与内部控制的目的。要通过优化结构、强化培训、完善激励等手段,努力提高银行从业人员的政策水平、思想觉悟和业务素质。
2.2 提高对管理人员的监管
将分支机构主管领导的风险防范能力和合规管理能力纳入到考核体系中,同时加强对其的监管。每个分支机构设置独立的监察部门,具体负责对分支机构的管理层和业务层进行审查和审计,该部门直接对公司监管层负责,分支机构领导无权管理其工作,该部门同时承担分支机构违规事件责任。建立举报制度,各级会计人员对于他人超越自身职责范围(仅限于会计专业规定的职责),越规越权,违法或严重违规办理会计业务或自身被他人授意、暗示、指令或强令,违法或严重违规办理会计业务等情况可越级向分支机构监管部门、分支机构领导和总部监管层直接进行举报,同时建立举报保护制度,对于进行实名举报的业务人员要充分保护其工作、岗位、人身和财产安全不受侵害,对于匿名举报的业务人员,对其身份要严格保密,对于泄密人员要进行严肃处理。
2.3 加强用人管理
严格岗位分工,根据业务运作的实际要求,因事设岗,因岗定人。按照每一项业务至少必须有两个岗位或两个人以上参与记录、核算和管理的要求,明确各岗位或员工在业务操作中的责权划分,按各自的工作性质、权限承担相应的工作责任。并对未达账和账款实行差错核查不逆返原岗,设立独立审核和责任复核制度。业务人员必须按照各自的岗位职责要求充分履职,提高制度的执行力,把好每一个关口,认真、仔细对待每一笔业务,严防每一个风险,不给犯罪分子留有任何的可乘之机。对于会计人员,要引入会计人员淘汰机制,对工作散漫、差错率高、技能差以及在工作中表现出不良动机等道德风险的会计人员,要及时终止上岗资格,营造会计人员优胜劣汰的良性竞争环境。运用组织控制考核轮换的方法,对重要岗位和关健岗位人员定期考核,适时轮换,并进行必要的离职稽核、责任稽核或强行休假制度。
3、结语
加强商业银行操作风险的管理,管人是关键,着力培养操作风险文化、加强对管理层人员的监控、完善组织的用人制度和考核机制是全面提高操作风险管控能力的重要方面。只有以人为本,从员工管理出发,不断完善风险管理的制度和手段,才能将涵盖操作风险在内的全面风险管理水平将提升到一个新的高度。
参考文献
[1]阎庆民,蔡红艳.商业银行操作风险管理框架评价研究[J].《金融研究》,2006(6):17-19.
[2]郭睿.我国商业银行操作风险管理研究[M].华东师范大学出版社,2008.
[3]张吉光,梁晓.商业银行全面风险管理[M].立信会计出版社,2006.
[4]中国银行业监督管理委员会.商业银行操作风险管理指引.2007.
[5]阳.金融机构现代风险管理基本框架[M].中国金融出版社,2006.
[6]陈小宪.风险、资本、价值[M].中国金融出版社,2004.
中图分类号:TU247.1
文献标识码:A
随着金融技术和金融业务的不断创新和全球银行市场的不断发展,全世界范围内银行的规模不断膨胀,交易金额的迅速放大,经营复杂程度的急剧提高,银行活动及其操作风险特征越来越复杂多变,操作风险已经成为全球银行业风险管理的重要领域。由巴塞尔银行监管委员会于2004年6月的《巴塞尔新资本协议》,更是继信用风险、市场风险之后,对银行的操作风险提出了资本要求。
一、《巴塞尔新资本协议》
(一)商业银行操作风险的概念、特点和分类。2004年6月公布的《巴塞尔新资本协议》将操作风险定义为:操作风险是指由于不完善或有问题的内部程序、人员、以及系统或外部事件所造成损失的风险。此定义兼顾了操作风险的内涵和量化操作风险的可能性。可以说,《巴塞尔新资本协议》中对操作风险的定义将会普遍被各金融机构所认可,成为度量和管理操作风险的统一标准。商业银行的操作风险是与信用风险、市场风险截然不同的一种风险,与信用风险和市场风险相比较,有其明显的特点:一是风险因素在于银行的业务操作中;二是操作风险是一种纯粹风险;三是操作风险具有内生性;四是从覆盖范围看,操作风险管理实际上几乎覆盖了银行经营管理的所有方面。
(二)商业银行操作风险管理。首先,银行应该识别和评估所有重要产品、活动、程序和系统中固有的操作风险,确保在引进或采取新的产品、活动、程序和系统之前,对其中固有的操作风险已经进行了足够的评估步骤。其次,银行应制定一套程序来定期监测操作风险状况和重大损失风险。对积极支持操作风险管理的高级管理层和董事会,定期报告有关信息。再次,银行应制定控制或缓释重大操作风险的政策、程序和步骤。定期检查其风险限度和制战略,并且根据其全面的风险喜好和状况,通过使用合适的战略,相应地调整其操作风险状况。最后,银行要制定应急和连续营业方案,以确保在严重的业务中断事件中连续经营并控制损失。
二、我国商业银行操作风险管理
在借鉴巴塞尔新资本协议操作风险管理框架后,中国的商业银行要建立适合自身发展的操作风险管理框架。
(一)建立操作风险预警体系:1,操作风险的识别。有效的预警体系能够保证对银行各项操作风险做到及时的识别和正确的评估。操作风险的种类和程度会随着银行业务活动和外部环境的变化而变化,因此操作风险的识别和评估不仅要全面反映操作风险的性质和程度,更要反映操作风险的变化。2,操作风险的度量。操作风险度量是操作风险管理的核心。银行应选择适合自身的度量方法,通过建立度量模型和损失估计,对操作风险的大小和影响进行定量分析,当条件成熟时就采用更高级的度量方法。3,操作风险处理。综合考虑银行面临的操作风险性质、大小,银行的经营目标、风险承受能力、风险管理能力和核心竞争能力等因素,选择恰当的风险管理工具和策略,对面临的操作风险进行处理,包括风险回避、风险转移、风险保留、风险缓释、风险防范与风险控制等。4,操作风险管理的实施。为保证操作风险管理策略、方法和过程的贯彻执行,银行须对董事会、执行委员会、各职能部门等组织系统的功能进行科学设置、授权和监督,从而使操作风险的监测程序保持正常、有效运转。5,管理监督和控制文化。一个有效的预警体系包括董事会、高级经理层以及各级经理和员工在内,使银行面临的操作风险得到每个人的充分认识和重视,从而把操作风险管理体系纳入银行的整体文化之中,使之成为银行合法、稳健经营、长远发展的银行文化的基本因素。6,风险激励和考核。银行应该在操作风险调整的绩效测量基础之上,充分考虑风险因素和风险管理战略的执行效果,将激励机制的目标与风险调整回报、绩效的绝对指标以及变化情况相结合。
【关键词】哈尔滨银行 运营操作风险 风险管理
近年来,国内外屡屡爆出因运营操作风险事故导致商业银行蒙受巨大损失的案例,同时从我国近些年来银行机构所爆出的问题也可以看出,银行运营操作风险已是银行损失重要的源头。随着哈尔滨银行业务规模的逐步提升,其运营操作风险管理也应随之进一步加强,本文对哈尔滨银行运营操作风险管理现状进行分析,从中就其存在的问题进行分析,并就如何进一步加强运营操作风险管理提出了具体的建议,以便于提高哈尔滨银行操作风险管理水平。
一、哈尔滨银行运营操作风险管理体系的现状
(1)实施运营人员岗位认证制度。为了规范操作,哈尔滨银行将运营人员分为运营管理人员和操作人员,实行准入资格认证和聘任资格认证两种模式,同时对于岗位层次多、人员数量庞大、更新变化快的特点,实施运营岗位人员资格认证序列,从而确保人员的素质。
(2)实施定期监督检查。加强监督检查是保障运用操作风险管理的重要举措。对此主要通过现场监督和非现场监督来控制。现场监督主要对业务、人员、内控以及机构进行检查,检查的重点主要包括“风险要点”、“过程控制”以及“管理模式”三个部分,主要通过资料调用、检查准备以及系统操作等方法进行检查。而非现场检查主要是由事后监督人员及监测系统进行,发现问题之后及时下达整改通知书,及时对所出现的问题进行整改。
(3)实施存款风险滚动式检查。哈尔滨银行采用存款风险滚动式检查制度,在原有账户检查的基础之上,结合银行开户流程,对实施大额支付对账制度。同时存款风险控制除了依靠滚动式检查之外,还要结合存款动态管理、账户集中管理等手段加强,检查人员主要由分行负责账户管理、大额支付、对账、反洗钱等相关人员组成,实施周期性检查。
二、哈尔滨银行运营操作风险管理存在的问题
虽然哈尔滨银行在流程、制度、环境上对运营操作风险有一定的保障措施,但是仍有进一步可以改进的空间,其主要在以下几个方面存在着一些问题。
(1)银行体系建设方面。由于对会计工作理论指导缺乏足够的认识,导致整个分行系统并没有形成一个完整的体系,造成了日常工作缺少操作和制度依据。具体主要表现在对于银行特色业务或是新业务并没有相应的核算办法作为指导,很难规范和指导业务的展开和处理。同时人员、机构以及业务管理等方面规范性还需加强,存着着选择性执行的现象。
(2)业务流程方面。由于二级分行及异地支行的快速扩张,以及同城支付前台柜员在SOP模式下角色的转变,导致总行层面对于异地分行业务和人员管理还没有健全和成熟的模式可供其参考,使得对异地支行非现场监督的力度还不是很强。同时由于总行对各层面的电子银行业务、零售银行业务以及外汇业务还没有相关明确的岗位职责,导致业务管理边界不甚明了,在支行业务出现疑难问题时无法及时得到沟通和解决。最后则是由于异地监管环境不同,对于分行的管理难以达到预定的目标。由于收入水平、竞争文化以及当地认识的不同,人员素质差异较大,对此在短时间内很难适应哈尔滨银行的管理模式。
(3)人员管理及岗位分工方面。对于分行而言,存在着人员结构不合理的现象,主要表现在由于新员工比例较大,导致机构人员管理基础薄弱,操作风险管理水平不一,人员素质有待于进一步提高。同时由于缺乏足够的人才培养机制,导致普通员工晋升通道单一,员工对岗位认同度较低,从而影响了运营工作的提高和改善。
(4)业务操作环节方面。由于部分支行领导对员工思想建设工作不到位,导致员工对制度执行存在选择性认识,缺乏合规风险氛围的营造。同时由于资产业务、开户等重要流程涉及到客户部门、客户、运营机构等众多部门,导致运营人员日终在岗时间过长,存在着对重要时间人员监督薄弱的环节。
三、加强哈尔滨银行操作风险管理的对策
(1)加强哈尔滨银行运营操作风险管理体系。为了加强对银行运营操作风险管理,需要不断深化合规风险管理的深度和广度,营造出严厉规范的监管企业文化。对此哈尔滨银行因依据《商业银行合规风险管理指引》之规定,不但完善和梳理内控制度,逐步建立起严密科学的内部风险管理体制,初步形成事前防范、事中控制、事后监督的管理体制,从而将各项制度渗入日常的各项操作当中,同时着力完善人员管理手段,努力提升员工的风险管理意识,从而形成良好的合规文化体系。
(2)关键业务操作控制。针对业务操作存在的问题,应加强对分行风险业务环节的控制力度,对此可以通过以下几个步骤进行。首先强化客户身份的识别,同时严查客户的证明文件等证件,从而强化客户信息的真实性,同时通过对员工加强培训学习,从而提供其对客户身份的识别能力和防范意识。其次则是严密实施实物交接和保管手续,实施双封和日终碰库制度,对实物进行定期不定期检查。
(3)运营人员控制。由于风险存在于各个环节,对此要加强对员工的培训。哈尔滨银行应结合自身实际情况,制定相应的培训制度和计划,定期对员工进行培训。同时严格落实运营人员准入、岗位轮换以及资格认证制度,促使运营人员素质的不断提高。可定期召开关键岗位运营人员风险例会,促进相关人员加强对风险的认识,并以此机会进行相关经验的交流。
(4)建设操作风险管理文化。操作风险管理体系能够很好的实施离不开企业文化的支持。而银行操作风险管理文化则是操作风险管理的灵魂。对此哈尔滨银行应积极培育自身的操作风险管理文化,坚持实施全员行动的风险管理理念和文化,唯有银行以高标准的道德情操严格遵守各项规则,才能够真正将风险控制与业务增长紧密的结合起来,从而减少运营操作风险。
参考文献:
关键词:商业银行操作风险 ; 经济模型;内控制度
中图分类号:F830.33 文献标识码:A 文章编号:1006-3544(2009)05-0020-04
本文拟从成本―收益分析的经济学视角出发,通过经济模型的构建和解读, 得出关于操作风险成因的解释, 并在此基础上提出完善我国商业银行操作风险管理体系的建议。
一、经济模型的构建
从逻辑上来讲,并不存在放之四海而皆准的普适性模型, 任何经济模型都是植根于某种特定条件并在该环境
中才是有效的。具体而言,首先在某种环境中找出一些具有共性的现象或关系作为参数, 再将所关注的该环境中的特定问题作为变量, 最后再根据数理逻辑关系将这些参数和变量组合到一个目标函数之中, 而一个或多个目标函数的组合便构成了与该环境相适应的经济模型。就本文而言,模型所处的环境乃是我国商业银行操作风险的实际情况和典型特征。总的来说,我国商业银行面临的操作风险主要是内部欺诈和外部欺诈,客户、产品及业务操作等其他类型的操作风险所占比例很小。 具体而言, 我国商业银行操作风险呈现出四个特点: 第一, 操作风险损失金额巨大, 单笔金额呈上升的趋势, 且多存在于对公业务;第二,操作风险事故发案率逐年上升;第三,操作风险大多集中在基层分支机构;第四,银行内部人员欺诈较多。 [1]
由上述操作风险的典型特征可知, 我国银行业的操作风险集中体现为基层行领导和员工基于主观故意的人为性内部欺诈。 这就是本文模型所处的特定环境。也就是说,模型中的潜在违规者是在这种环境的约束下应用“成本―收益”方法来权衡利弊得失从而最终决定做与不做以及做多少违规之事。需要指出的是, 任何违规行为的暴露事实上都是一个不确定性事件, 所以潜在违规者在对成本和收益权衡时考虑的并非现实成本和收益, 而是加入概率因素的期望成本和收益。换言之,潜在违规者考虑的是与违规行为相关的可能的损失和收益(即经济学中的期望成本和收益),而这种可能的成本和收益就是用现实成本和收益各自乘上其相关概率p(违规被发现的概率)和(1-p)(违规未被发现的概率)得到的。
首先,为简便起见,可以将特定环境中的诸种客观因素化约到违规被发现的概率p之中,因为这些客观因素如银行的内控制度、审计制度、纪检监察力度等与p其实属于正相关的函数关系。例如,内控制度的完善最主要的目的和功能就是增大行员违规被发现的概率,从而震慑潜在违规者使其不敢违规。
其次, 将潜在违规者进行一次违规所导致的期望损失(或称预期损失)及获得的期望收益放到一个公式之中,从而得到其违规期望收益。分别以Y、R、(-L)来指代收益(违规所得)、银行工作给其带来的效用、违规被发现后的损失(刑法惩罚及银行内部纪律处罚),这样就可以得出潜在违规者一次违规所得到的净期望收益,即NI=(1-p)Y-pR-pL。其中,(1-p)Y是指潜在违规者一次违规所得的期望收益,即其未被发现的概率和实际违法所得的数学期望值;-pR是指其银行工作效用的期望损失, 即违规行为被发现的概率与银行工作效用的数学期望值的负数; 而-pL则是指期望惩罚即违规行为被发现的概率与惩罚的数学期望值。
为便于分析, 可将上述充要条件转化为同价的充要条件,即pR+pL>(1-p)Y。这个同价的充要条件告诉我们, 当违规行为的期望成本大于其期望收益时, 潜在违规者就打消了或根本不会产生违规操作的念头,从而使银行实现了最优控制目标,即X=0。
从模型中得出的上述结论应该说既符合“经济人”假定,又经得起实践和常识的检验。需要强调的是, 此处的成本是现代经济学意义上的机会成本概念,它不同于传统经济学意义上的生产成本概念。简言之, 机会成本就是你为了得到某种东西所必须放弃的东西。 [2] 从本质上来说,机会成本是行为选择的成本, 因为当你选择从事某种行为时, 你就不能从事另一种可行的行为, 而你放弃的这种行为便成为你的既定选择的机会成本。于是,可以得出关于操作风险的基本命题: 银行欲实现员工不违规的控制目标, 就必须促使潜在违规者的违规机会成本大于违规收益。 这一命题不仅能够清晰地揭示出操作风险的形成机理,而且能够在操作风险的治理上提供更为科学合理的“药方”。具体来说,从公式pR+pL>(1-p)Y中可以看出,银行员工是否选择违规操作主要取决于p、R、L、Y四个变量相互作用所导致的“成本―收益”天平的倾斜情况, 而p、R、L等变量的大小又直接取决于银行的操作风险管理制度,因此,通过考察银行的操作风险管理制度便可以间接地了解到与之相应的操作风险程度, 更重要的是还可以通过完善相关的制度和措施来改变p、R、L的值, 从而达到有效降低银行操作风险的目的。可见,潜在违规者用以权衡机会成本和收益的公式pR+pL>(1-p)Y中隐藏着关于操作风险的一切秘密, 只要以公式中的变量作为突破口便可以最终找到解开操作风险奥秘的钥匙。
二、基于模型的三个核心命题
在上述公式pR+pL>(1-p)Y的两端, 机会成本pL与收益(1-p)Y存在着相互对应的关系。 具体而言,在p、R等变量既定的情况下,当违规操作的收益Y超过了刑法规定的底线时, 公式右端的Y越大,刑法对违规者的相应处罚就越重, 即公式左端的L相应增加,从而基本抵消了Y增大的效应。同样地,即使违规操作尚未达到违法程度, 银行内部的纪律处罚也会随着Y的增加而增加,从而使“机会成本―收益”天平两端的砝码重量不会发生实质性变化。加之银行的制度和措施并不能有效地调控变量Y, 所以完全可以将变量Y视为既定, 而仅仅考察其他三个既具可操作性又具重要性的变量。鉴于此,我们可以通过进一步地对公式pR+pL>(1-p)Y移项及合并同类项而得出另一个同价公式,即p(R+L+Y)>Y。在新公式中,由于变量Y是既定的,因此,能够决定公式成立与否的变量就只能是左端的p、R和L了,而且p、R、L的增加都能独自或共同保证充要条件的满足。也就是说, 银行只要能够通过内部管理制度的改进使违规被发现的概率、 银行工作收益及违规处罚额度都变大,那么银行的操作风险就会实现有效的、实质性的降低。推而广之,通过对公式p(R+L+Y)>Y的考察可以得出关于操作风险的三个核心命题。
第一,变量p对于公式的成立与否起着至关重要的作用,因而它是理解和控制操作风险的基本工具。p在公式中的重要性主要体现为:它是一个乘数从而能够使机会成本得以成倍地扩大或缩小, 而机会成本端砝码重量的猛烈变化又必然导致天平倾斜方向及程度的相应变化。客观地说,当前我国商业银行操作风险管理制度和措施中的绝大多数在本质上都是针对p这个中间变量的,尽管很多商业银行自身并未认识到这一点, 它们只是笼统地认为那些制度和措施是通过威慑作用来降低操作风险的。实际上,作为我国银行操作风险管理的主要工具, 无论是操作风险责任制、操作风险报告制、内部审计制、垂直的风险管理制,还是基于高科技的业务信息系统、高强度的纪检监察系统甚至外部的监管和监督系统, 都无非是为了尽快、 尽可能地发现员工的违规行为, 即提高违规发现概率p。 提高后的p值会大大增加潜在违规者的机会成本, 潜在违规者通过对违规操作的机会成本和收益的权衡会发现机会成本远大于收益,从而放弃违规行为。可见,上述以p值调控为中心的逻辑链条正是银行操作风险管理制度和措施发挥威慑功能的内在机理。毋庸置疑,我国银行业未出现违规事件大面积爆发的现状从反面证明了我国银行业的制度和措施已经使p值达到了比较高的位置。不过,p值并不能无限升高至其极限值1。 笔者认为,随着上述操作风险管理制度和措施的不断加强和完善,p值也会随之升高,但p值上升的速度却会不断趋缓直到达到某个最高值(如0.7)便终止其上升势头,而导致p值上升速率趋缓并终止的根本原因是管理者与潜在违规者之间客观存在着的信息不对称。 根据知识论理论, 潜在违规者的违规行为是其在特定的时间从事的特定行为, 它本质上属于特定知识或信息,而这种特定的知识或信息属于违规者个人,其他人(包括风险管理者)根本无从知晓,于是就可以说违规者和其他人之间存在着信息不对称。 由于潜在违规者随时都可以做出管理者无从知晓的某种违规行为,因此,管理者和潜在违规者之间的信息不对称可以说是普遍存在的,它无时不在、无处不在。显然, 这种客观存在的严重的信息不对称就像茫茫黑夜遮挡住了管理者的视线,或者更确切地比喻为,信息不对称状况下的管理者就像“躲猫猫”游戏中被黑布蒙上双眼的人,任凭你如何努力,你也无法洞察那些躲闪你的人的所有行为。所以说,不能仅仅指望通过提高p值来一劳永逸地解决操作风险问题, 因为p值在信息不对称所设置的重重障碍下终究会停下上升的脚步。此时,要想继续解决操作风险问题,就必须把目光转到另外两个变量即L和R的身上。
第二, 由惩罚而导致的损失L属于潜在违规者的机会成本的重要组成部分, 因而它也成为影响操作风险的重要因素。在p值既定的情况下,L值越大,潜在违规者的机会成本―收益天平的左端砝码就越重, 其违规操作的动机就越小, 从而银行的操作风险也就相应得以降低,因此,银行可以通过对L值的调控来进行操作风险管理。需要指出的是,L值一般由两部分组成,一部分是刑法惩罚所导致的损失,包括罚金、丧失自由所造成的精神损失等,另一部分则是银行内部处罚所导致的损失。 我们此处所说的L值是指后者,它主要由经济处罚、行政处分、解除劳动合同等所造成的损失构成。不可否认,基于L值的管理制度在有效降低银行操作风险方面的确起着举足轻重的作用, 但是这种制度却存在着结构性缺陷。进而言之, 基于L值的管理制度只能适用于一般性违规行为的预防, 在涉及违法的违规行为的预防时,它就丧失了威慑功能,因为对严重违法行为的威慑主要依靠的是刑法的惩罚, 而潜在违规者在对严重违法行为的“成本―收益”权衡时,早把银行的内部惩罚抛在了脑后。换言之,在严重违法行为的预防上, 刑法惩罚的威慑功能将银行内部惩罚的威慑功能完全涵盖, 从而使得银行基于L值的管理制度归于无效。于是,在p值已无法继续提高,基于L值的管理制度在严重违规案件的预防方面又归于无效时,就只能依靠对机会成本R的调控了。
第三,R是潜在违规者的违规机会成本的主要组成部分, 从而对R的调控成为银行化解操作风险尤其是严重违规操作风险的最有力武器。 由于我国银行业和理论界都是从如何威慑潜在违规者入手来理解和运用操作风险管理的, 因此注意力都集中到如何加强和完善操作风险管理体系, 以最大限度地提高p值和L值。毫无疑问,在操作风险的传统的威慑视角下,R的意义、 作用以及如何调控R值自然成为盲点, 而对R的无视也让我国银行业付出了沉重代价。 近年来我国银行业虽然在操作风险管理方面付出了很多精力, 但重大违规事件仍此起彼伏,层出不穷,这无疑从侧面证明了银行业基于p值和L值调控的操作风险管理体系存在着系统性漏洞。 可见, 要想在操作风险管理方面实现实质性突破, 就必须拓展视界,独辟蹊径,从“成本―收益”权衡的经济学视角来重新审视操作风险问题。R, 简单地说, 就是银行员工的未来所有预期工作收入或效用的折现值。对R而言,最重要的并不是当前收入,而是银行员工对未来的预期, 因为根据理性预期学说, 理性人通常是根据其对未来的预期来做出决策的。因此,要想提高R值,不仅需要提高员工的现实收入, 更重要的是要为员工的职业生涯打通上升的通道。也就是说,尽管员工的当前收入较低,但只要能够预期他经过自身努力就可以沿着职业路径持续、平稳地顺利前行,那么,他的R值就会高到足以抵御任何大额违规收益的诱惑。由此可见,商业银行人力资源部门针对所有员工实施职业生涯规划在提高员工的R值, 从而彻底根除重大违规事件方面起着举足轻重的作用。当然,除了物质收入之外,同事之间的关心、 领导的关爱以及不断进步的喜悦等精神上的快乐也是构成R值的重要因素。因此,良好的企业文化建设在提升R值从而有效降低操作风险方面也是大有可为的。
三、经济模型的启示
根据由模型引出的三个核心命题, 可以围绕着p值、L值和R值来探寻导致我国商业银行操作风险困境的具体原因,并以此为突破口对症下药,找出破解操作风险之患的良策。
第一,就基于p值的操作风险管理而言,虽然我国银行业已经建立了功能齐备、结构完整的操作风险防控体系,但该体系在实践中的表现却不尽人意。究其原因, 主要在于我国商业银行仍沉溺在主要从全局发展、战略高度及大处着手等方面思考问题,对于“在一切有序的情况下,决定成败的必将是微若沙砾的细节” [3] 的观念尚缺乏深刻认识。毫无疑问,这种忽略细节、大而无当的粗放式防控体系大大阻碍了p值的提升,进而导致传统操作风险管理体系的威慑效力大打折扣。“泰山不拒细壤,故能成其高;江海不择细流,故能就其深”,所以,我国银行业要想进一步提升p值, 从而使防控体系的威慑功能最大化,就必须摆脱过去那种粗放管理的防控模式, 从小处着手,以细节成就完美。鉴于此,我国银行业应该从制度、 执行和技术等三个层面来进行操作风险防控体系的边际改进。首先,我国商业银行在制度层面上的边际改进应体现在如下七个方面:(1)建立健全操作风险度量和监测机制;(2)强调后台的监管职能;(3)建立对重要岗位和敏感环节人员的监控制度;(4)完善会计核算控制制度;(5) 建立防控制度执行监管机制;(6) 建立各风险管理部门间有效的分工合作机制;(7)完善商业银行内部审计制度。其次,我国商业银行在执行层面上的边际改进应体现在如下四个方面:(1)必须引进一些操作风险的专业人才;(2)制定行之有效的激励机制;(3) 经常进行员工的思想教育;(4)提高内部审计人员素质。最后,我国商业银行在技术层面上的边际改进应体现在如下两个方面:(1)加大电子信息系统建设;(2)加强计算机技术和网络技术在内部审计中的应用。
第二,就基于L值的操作风险管理而言,我国银行业在与L值相关的违规惩罚方面虽然规定得极为明确和严格,但L值的威慑功能在实践中却往往因不合理的业务流程而大打折扣。 正如郭树清所指出的:“过去很长一段时间内, 我们过分重视编写制度条例,各级机构和每个环节‘层层加码’,比如有的交易要客户按十几个手印,签几十个名。这种做法看似很安全,但实际上并不能真正达到目的。近年来,我们不断对主要业务流程进行优化, 找出关键的风险点,取消不必要的控制环节,在方便客户的同时又加强了风险控制。” [4] 这实际上也从侧面印证了业务流程优化与操作风险的正相关关系, 即业务流程设计得越合理,员工违规操作的概率就越小,银行的操作风险也相应变小。显然,为使L值在实践中恢复其既有的威慑功能,我国银行业有必要围绕着“以客户为中心” 的理念来进行业务流程的优化设计。 具体而言,应重点做好如下三方面的工作:第一,从价值链分析入手,突出核心业务流程;第二,以客户为中心,流程设计体现差别和柔性要求;第三,优化业务处理流程,提高业务工作集约化程度和反应速度。 [5]
第三,就基于R值的操作风险管理而言,我国银行业应把提高R值的努力集中于职业生涯管理和企业文化建设之上。当然,上述两项制度建设在实践中能否起到提高R值进而有效降低操作风险的作用,最终取决于它们是否彰显了以人为本的理念。 因为任何违规操作事件都不是一个偶然的孤立的存在,它实际上是操作风险由小到大不断累积直至最终爆发的必然结果,正所谓“冰冻三尺,非一日之寒”,而惟有秉承以人为本理念的职业生涯管理和企业文化建设才能真正温暖银行员工的心, 进而将操作风险的“寒冰”融化。首先,R值在本质上乃是一种预期,可以说,就基于R值的操作风险管理制度而言, 预期比黄金更重要。 根据国外先进银行的成功经验, 职业生涯管理中对银行员工的预期影响最大的是职业通道的设计, 而与职业通道设计配套的人力资源制度以及分阶段职业生涯管理制度也从不同层面上影响着银行员工对未来收入的预期。因此,我国商业银行应该以职业通道设计为主、 以分阶段职业生涯管理和相关人力资源配套制度为辅来设计以人为本的职业生涯管理制度。毫无疑问, 透明顺畅的职业通道以及完善的配套措施将点燃员工心中对美好明天的向往和渴望, 从而使他们的心灵时刻沉浸在温暖的氛围之中。人心暖了,操作风险“坚冰”自然也就融化了。其次, 良好的银行企业文化能够通过满足银行员工的尊重需求和自我实现需求使其无形中获得可观的非物质利,从而使员工违规的机会成本大增, 进而将员工的违规风险从源头上予以清除。比如,日常工作中银行领导对员工的关爱就如春风化雨, 在不经意间便把员工偶尔迸发的违规操作的冲动火花浇灭;而公开、公平的良性竞争环境以及和谐友爱的工作氛围也会使银行员工的内心温暖如春,操作风险“寒冰”自然无法结成。故此,为了有效降低操作风险,我国商业银行应秉持着以人为本的理念来努力加强银行企业文化的建设。
综上所述,为了破解操作风险之患,我国商业银行就必须坚持两手抓,即一手抓外部防控,要给违规者布下“天罗地网”以使其不敢违规;一手抓内部激励,要为合规者勾画美好未来以使其不愿违规。进而言之, 我国银行业操作风险管理的基本路线应该是一方面继续完善外部防控制度, 另一方面大力推进内部激励体系建设,并使二者相辅相成,有机统一于操作风险管理体系之中。惟有如此,才能够构建一个监督与激励一体、 震慑违规与温暖人心齐备的以人为本的科学的操作风险管理体系。
参考文献:
[1]李志辉. 巴塞尔新协议与商业银行操作风险管理[J]. 南开经济研究,2008(3).
[2]N.格里高利・曼昆. 经济学原理 (第4版)[M].北京:北京大学出版社,2006:3.
[3]汪中求. 细节决定成败[M].北京:新华出版社,2004:23.