期刊在线咨询服务,发表咨询:400-888-9411 订阅咨询:400-888-1571股权代码(211862)
购物车(0)
操作风险管理模板(10篇)
操作风险管理例1
一、商业银行操作风险的实质、内涵和管理要求
(一)全面认识操作风险的实质和内涵
认识事物是改造事物的前提和关键,对操作风险的认知程度越高,才能有效的提升操作风险管理的地位和管理的水准,有了正确的操作风险的认识,才能够上升到宏观的决策和微观的具体落实。张吉光认为:“商业银行在操作风险管理中,对操作风险的认识存在五大方面错误或偏差”。通过对操作风险管理理论的研究,笔者认为:解决操作风险管理认识上存在错误或偏差,成为提高操作风险管理水平的关键。具体而言,要全面认识和了解操作风险,需要消除以下几方面的误区。
1、操作风险不能等同于操作性风险和操作中的风险
根据巴塞尔新资本协议的定义,操作风险可以分为四类:人员因素引起的操作风险、流程因素引起的操作风险、系统因素引起的操作风险和外部事件引起的操作风险。人员因素引起的操作风险包括操作失误、违法行为(员工内部欺诈/内外勾结)、违反用工法、关键人员流失等情况。流程因素引起的操作风险又分为流程设计不合理和流程执行不严格两种情况。而系统因素引起的操作风险包括系统失灵和系统漏洞两种情况。外部事件引起的操作风险主要是指外部欺诈、突发事件以及银行经营环境的不利变化等情况。其中,属于操作性风险的仅包括人员因素引起的操作风险中的操作失误、违法行为、越权行为和流程因素引起的操作风险中的流程执行不严格的情况。显然,操作性风险不能等同于操作风险,尽管操作性风险是操作风险中发生频率最大、占比最高的风险类型。从笔者搜集整理的近几年来国内商业银行发生的近50起操作风险案例的数据显示,操作性风险占总数的比例为70%。将操作风险狭隘地定义为操作性风险的做法,往往会使得建立在这一认识基础上的操作风险管理体系不能覆盖所有的操作风险,从而使银行难以防范那些突发事件的冲击,如前一段时间工商银行北京市分行出现的系统瘫痪、美国发生的“911”恐怖袭击等。
2、操作风险不能等同于金融犯罪
金融犯罪仅是操作风险中的主要类型,并不能涵盖所有类型的操作风险。根据我国对金融犯罪的定义,金融犯罪是指在金融活动中,侵害金融管理制度、金融市场秩序以及其他社会经济关系,依照我国刑法规定,应当受到刑法处罚的行为。对比巴塞尔委员会关于操作风险的定义,金融犯罪显然不包括那些由于银行自身不完善的流程和系统漏洞以及外部事件等因素造成的操作风险。最简单的例子就是操作失误,比如银行员工误将取款操作成存款,或者数字录入错误等均属于操作风险的范畴,但并不构成犯罪。将操作风险等同于金融犯罪,往往会使商业银行无意识地缩小操作风险的管理范围,错误地将操作风险管理等同于金融犯罪管理,从而将操作风险管理职责不恰当地赋予内部审计或安全保卫部门。这恰恰是造成目前我国商业银行操作风险管理进展缓慢的原因所在。
3、操作风险是可以计量的,应该为操作风险配置资本
表面上看操作风险确实无规律可循。事实上,这只是人们观察问题的角度不正确造成的。如果我们就单个年份来看,一些操作风险事件是无规律的,一旦将这些操作风险事件放在很长一段时间和同类型的大量数据中来看,我们会发现,这些操作风险往往会以某种稳定的概率发生。这正是人们量化操作风险的基础。最早提出操作风险量化模型的是Duncan Wilson。他在1995年12月的《risk》杂志中发表了“操作Var”的文章。文章认为,操作风险可以使用“在险值(Var)”技术进行测度,银行可以建立来自于内部和外部的操作损失事件数据库,并从数据拟合操作损失的分布,通过设置一个置信区间,比如95%,银行就可以计算出操作风险的Var,也就可以为其分配资本了。为操作风险分配资本的最大好处就在于,当银行遭受某种灾难性损失的时候不至于瘫痪,甚至于倒闭。在不可量化思想的支配下,很难想象银行会致力于操作风险量化模型的开发。这或许是国内商业银行操作风险管理水平难以提升的重要原因之一。
(二)、巴塞尔委员会对管理操作风险提出的要求
1、建立适当的风险管理环境
巴塞尔委员会认为,对银行来说,应当首先建立适当的风险管理环境,这要求董事会应当了解作为一个独特的、可以控制的风险种类……银行操作风险的主要方面,应当批准和定期审查银行的操作风险战略。该战略应该能够反映银行的风险容忍程度及其对这种风险种类的特定特征的理解。巴塞尔委员会也承认,银行组织内部的信息流程在建立和维持一个有效的操作风险管理框架方面可以发挥重要作用。
2、风险管理过程:识别、衡量、监督和控制
巴塞尔委员会认为,银行应当建立识别操作风险的类别、衡量操作风险的方法、监督操作风险的手段和控制操作风险的机制等的电子化管理系统。对操作风险的整个过程进行跟踪,有效的管理操作风险的全过程。建立衡量操作风险的必要方法,实施可以持续监督操作风险暴露和重大业务损失的应用系统。
3、监管者的作用
在建立适当的风险环境和全程的风险管理过程的基础上,监管者应对银行与操作风险相关的战略、政策、程序和做法直接或间接地进行定期的独立评价,使之可以及时的修正错误的环节。并保证银行具备―个有效的报告机制,使他们可以及时了解银行操作风险管理执行过程是否按照计定的方针政策行事,使监管者亦可了解政策方针落实的进展情况。
4、信息披露的作用。
准确、及时、完整的信息披露是管理操作风险的重要环节之一,在操作风险管理和监管中发挥着重要的作用。巴塞尔委员会要求银行应向公众进行充分的信息披露,使市场参与者可以对银行的操作风险暴露及其操作风险管理质量进行评估,从而选择各自的风险偏好,由市场机制评价和吸纳操作风险带来的可能性风险。
二、对加强商业银行操作风险管理的方法和建议
首先,要健全商业银行操作风险管理的体系,商业银行要逐步建立一套从决策层、执行层直到
监督层;从国内到海外;从总行到分支的全球化的操作风险管理体系,由风险管理委员会制定操作风险管理的大政方针、决策操作风险的风险资本配置、批准核销操作风险损失准备等等。执行层按照计定的操作风险策略具体执行和落实操作风险的管理内容。最终,由操作风险的监管层负责跟踪评价操作风险的管理过程。决策、执行与监督,层层到位,各司其职,才能有效的管理和控制操作风险。
其次,商业银行要界定操作风险管理的范围。根据巴塞尔新资本协议的要求操作风险的范围主要包括内部程序、人员、系统三部分,商业银行要针对内部程序制定操作规程,针对人员制定员工的行为规范,针对系统制定规章制度,对整个商业银行的运营制定应急方案,减少和降低因操作风险事故带来的损失,有了清晰的操作风险范围界定,事后评价操作风险和监督操作风险的政策执行情况才能有的放矢。
第三、需要培育商业银行操作风险管理的文化。商业银行的操作风险管理不是一时之需,追赶时髦,而是伴随商业银行发展的不朽主题。就像企业需要建立企业文化,操作风险的管理文化要深入人心。人人意识到操作风险,商业银行的各阶层都来重视操作风险。
第四、商业银行要制定操作风险管理的方法。如何确定和量化操作风险,还需要有科学的方法和计量手段。目前,国际上先进的软件、模型已开始被商业银行应用,商业银行的操作风险管理手段和方法也在不断的完善和进步。
立足于国际金融界的经验,商业银行在引入操作风险管理、建立操作风险管理框架和健全操作风险管理体系时,需要重点注意以下几个方面的问题:
(一)、健全操作风险管理框架模式
1、建立基本运作程序的同时,从容易衡量的领域着手。从具体的实施过程看,国际金融界的经验是,首先建立一套相对策略的、但是比较完整的操作风险管理体系、缓释、监控、报告等环节,在此基础上建立覆盖整个机构的操作风险管理战略和政策,从相对简略的领域出发,在实际运作中逐步完善,扩大其覆盖的操作风险的领域。
2、金融机构在着手管理操作风险时,重点要建立与信用风险和市场风险相一致的操作风险管理框架,确定不同职位的人员在操作风险管理中的责任,如业务管理人员,其别是零售业务部门的操作人员;人员;稽核人员;风险管理部门等。在此基础上,风险管理委员会等高层机构应当确定打算选用的风险管理方法和策略,业务部门应当据此采集关于操作风险的各种数据,向市场寻求专业的咨询和支持,逐步建立初步的操作风险管理体系。严格地说,整个金融机构范围内管理不同风险的基本原则和方法应当一致,这意味着新建立的操作风险管理框架必须要整合到与信用风险和市场风险管理相一致的框架中去,操作风险所运用的方法和原理也应当与整个商业银行在风险管理方面运用的方法和原理相协调。
3、风险管理部门并不是风险管理的惟一部门,具体的业务部门、法律部门、稽核部门都承担着进行操作风险管理的责任。如果说市场风险和信用风险的管理日趋强调集中化的话,那么,操作风险的管理必须强调分散化。严格地说,具体的业务部门在操作风险管理方面应承担第一位的责任。这是由操作风险的特征所决定的,当然关于操作风险管理的具体原则应当由风险管理部门提供。
(二)、建立操作风险的报告与考核机制
1、操作风险的报告体系。操作风险的报告系统应当独立于业务部门,并且应当能够敏感地反映操作风险的变动,主要数据自动生成,在整个机构采用的采集方法保持一致。
2、操作风险体系中的激励和考核机制。在具体的管理人员介入操作风险系统的运行时,就存在着其机会主义地运用这一系统的可能性,因此,建立完善的激励机制和绩效考核制度在操作风险管理中同样十分重要。同时,即使一个机构中建立了相当自动化的操作风险报告体系,但是如果高级管理人员不能动态地介入整个管理过程、不能将报告的结果与员工和部门的绩效考核有机的结合起来,这个系统的运作也会大打折扣。
3、操作风险的报告和考核都离不开操作风险的衡量方法和技术,谨慎选择适当的操作风险衡量方法和技术显得非常重要。在多种计算资本拨备方法中,一般的银行可以先采用单一指标法进行测试(即一定的风险系数×毛收入),向金融机构管理层提供参考数据,有条件的银行还可以考虑采用标准化方法的具体措施。按标准化方法,银行业务将分类,并以各类业务的毛收入去计算总操作风险资本金的配置要求。对于一些风险管理能力较强的银行来说,应当注意及时跟进监管机构及业界有关计提操作风险资本金配置要求的最新发展,着手积累各类操作风险损失的数据,并在此基础上考虑使用更精确的方法。
(三)、参与操作风险的管理者应各司其职
1、董事会和高级管理层在操作风险的管理中应当承担更大的责任,包括建立清晰的管理结构、明确的责任分工,并且保证操作风险的管理框架能够覆盖所有相关领域,还应当建立清晰的关于操作风险的管理和报告程序。所有的业务部门和支持性部门都应当整合在整个操作风险的管理框架中。
2、寻求合格的、充足的操作风险管理人员。从人员结构看,目前的一些国际金融机构中的操作风险管理人员主要有不同部门的管理经理、法律或者稽核人员、业务计划人员、信息安全人员等。较之信用风险和市场风险,操作风险管理方面有实际经验的人员相对较少,大部分需要金融机构结合自身的实际情况进行培训,还有一部分需要向外部招聘。
(四)、选择操作风险管理的主要类型
目前,全球范围内管理操作风险主要采取三种方法:总部集中管理型、总部集中管理与分散化支持型、稽核部门占据主导作用型。选择其中任何一种类型,主要取决于各自企业文化和董事会的风险偏好、自身的风险管理能力和风险管理水平等。针对性的选择操作风险管理的类型有利于操作风险管理框架的建立和实施。
操作风险管理例2
2.加强内控制度的建设与落实,用制度去约束人,减少操作风险和金融案件发生的几率。一是要加强监督体制的建设。要加强岗位责任制建设,使每个部门、每项业务都有明确的操作规程和岗位责任,形成明确的制度保障。要重视内部审计部门及事后监督体系建设,真正把思想过硬、爱岗敬业、业务素质高的人员充实到这些部门,不折不扣地抓各项制度的落实,形成一套内部监督制约管理体系。二是关注要害部门员工的思想和行为动向。如:建立重要岗位人员的轮岗轮调和强制性休假制度,员工以盈利为目的从事经营活动的,要建立内部报告制度,要密切关注重要岗位和敏感环节工作人员八小时内外的行为,发现有涉黄、涉赌、涉毒以及股票买卖和经商办企业等行为的,要调离原岗位。
3.认真分析银行业务中的风险点,加强风险点的管理。如账户管理,任何一笔资金流进流出,都要通过账户完成,加强账户管理是控制操作风险、防止金融案件的一项有效措施。具体应从事前、事中、事后三个方面进行控制。
操作风险管理例3
金融机构传统的三大风险包括信用风险、市场风险、操作风险。而作为更基础的合规风险,是金融机构能够持续运营的前提。较之信用风险和市场风险的被动性,合规风险和操作风险在管理方法和控制措施方面有着千丝万缕的联系。
一、认识合规风险和操作风险
1.什么是合规风险。根据新巴塞尔协议的定义,“合规风险”指的是:银行因未能遵循法律法规、监管要求、规则、自律性组织制定的有关准则、已经适用于银行自身业务活动的行为准则,而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。
合规风险广泛存在于金融机构业务和管理的各个方面,较其他风险更具有主观、主导等内生性特点,合规风险事件一旦发生,其后果更为严重。
2.什么是操作风险。操作风险是指由不完善或失灵的内部程序、人员和系统或外部事件导致损失的风险。
操作风险较分散,金融机构运营的任何方面都可能出现操作风险,且主体多样,可以由内部工作人员操作不当、管理流程设计缺陷、系统设计缺陷等引发,并多由于内部原因引起。
二、合规风险和操作风险的联系
1.合规风险可以诱发操作风险
合规风险往往是操作风险存在和发生的重要起因,或是因为对合规风险的不重视、未能及时掌握政策法规要求而触发了操作风险,或是明知不合规却由于外部刺激、利益驱使、侥幸心理等因素而引发了操作风险。金融机构“合规文化”的缺失,合规风险意识的淡漠,必将通过操作风险等形式暴露。
2.操作风险可以导致合规风险
操作风险是金融机构日常经营活动中最容易发生或数量最大的风险。操作风险可能是由于主观上的疏忽,也可能由于相对客观的原因给操作风险的发生提供了可能性。无论主观与否,操作风险发生的前提都与合规风险管理不到位有关。操作人员未能按照合规要求操作,设计人员和管理人员未能按合规要求执行或设置相应控制措施等等,最终往往导致合规风险的产生。
3.操作风险使合规风险管理难度增加
简单地理解合规风险,主要指金融机构做了违法、违规的事,而招致的风险或损失,其动机主要受机构主观性的行为影响。而由于操作风险的存在,其分散性的特点,动机的不确定性,使得风险发生的点更加错综复杂。从而由操作风险可能引起一系列连锁反应,包括引发其他类风险而最终导致合规风险事件,为合规风险管理增加了难度,使得合规风险管理与操作风险管理不能割裂地进行。
4.内部控制中的关联性
虽然合规风险与操作风险有诸如以上的这些联系,但仍然不可以把两种风险的管理等同起来,尤其不能仅以操作风险管理措施替代合规风险管理。因为操作风险往往针对具体操作人员或者流程的具体环节而言,而合规风险往往发生在已经过管理层、决策层审批的流程中不合规的设计基础上。这就意味着合规风险更多体现了制度设计层面、合规意识层面的缺陷,而操作风险更多体现了具体执行中风险发生的可能性。但在内部控制方面两者也有较大的关联性,一方面,合规风险与操作风险在控制目标、控制措施设计上可以联动考虑,增强风险管理的力度。另一方面,要明确控制措施所面对的主体,使得风险管控措施更具针对性。
三、合规风险与操作风险的管理措施
合规风险与操作风险的内在联系,使得两者在风险管控手段上有着许多的共通的地方,具体如下:
1.培育良好“合规文化”
合规风险和操作风险的发生常常由观念意识的不够端正引起,所以培育“合规文化”,是金融机构合规风险和操作风险管理的基础。合规文化包含诚信守法、自主自觉、团队意识、廉洁自律、坚守道德底线等诸多层面。要做到高管带头、员工主动,在运营管理的环节上坚持将“合规”作为决策标准之一;员工在实际操作时时刻不忘进行合规性审查,树立主动合规意识,克服被动心理、侥幸心理,并能够主动发现所负责业务和管理活动中的不足,及时改进风险管理措施。
通过培训、宣传等方式,解读最新政策法规要求、分析真实案例,强化全员的风险管理意识、约束员工违规行为。
良好的合规文化虽然不能完全杜绝合规风险和操作风险事故的发生,但却能在萌芽阶段大大降低两类风险发生的概率。
2.建立健全制度、流程
合规风险和操作风险管理要通过制定一整套合理合规的制度和流程作为管理的依据和支撑。
以标准化管理下的制度体系来说,主要包括技术标准体系、管理标准体系、工作标准体系。其中管理标准中明确了法人治理机构、各层级、职能部室、岗位的职责,业务操作和管理活动各环节的具体要求等。工作标准中针对各个岗位的主要职责、工作内容、关键业绩指标、岗位资格要求做了详细的规定。制度体系建设涉及金融机构底层设计层面的架构设置,是风险管理的前提,要以风险为导向,由各职能部室负责编制,指定部门统筹管理。
业务流程和管理流程设计将操作规范化,流程是建立在制度建设和合规风险管理基础上的程式化体现。细化的流程、合理的岗位配置、明确的风险点、有效的控制点设置都是防控操作风险较好的手段。
制度和流程都需要定期进行执行情况的检查和评价,建立更新、修编、审批机制,弥补缺陷、完善措施,确保制度和流程的合规性,避免违规事件的发生和纠正已发生的违规事件。
3.建立合规管理机制
合规风险和操作风险管理不能被动迫于外部的监管压力和法律强制性要求,金融机构要建立适合自身发展的合规管理机制。
合规管理部门应当根据外部法律环境和监管环境等的发展变化,分析政策指导文件对本机构的影响程度及工作完善方向,根据分析结果向经营层提出管理建议,并对业务部门和岗位进行合规风险提示,参与内部规章制度等的及时更新修订,为公司内部各个层面提供合规咨询。
合规管理部门要运用先进方法识别和评估风险,定期对操作风险等重要风险敞口实施监测。通过信息技术手段实现对风险的实时监测和预警。建立合规风险的识别、监测、评估与报告机制,及时发现、制定风险缓释和转移策略,及时制止由此造成的损失。
4.确保合规部门独立性
设置独立的合规部门是合规风险和操作风险管理的重要保障,它可以协助经营层做好合规风险和操作风险的统筹管理。
首先,将合规部门独立于其他职能部门,直接隶属于董事会,有直接向董事会汇报的畅通渠道,确保合规部门的独立性不受干扰。其次,构建合规风险管理机制,要让合规人员充分地参与到组织架构和制度流程的设计过程中,使依法合规经营原则渗透到制度流程的每一个环节中。最后,明确职责,具体执行部门仍然对合规风险和操作风险负有直接责任,合规部门的工作是否到位不能作为各业务部门不履行风险管理责任的借口。
5.完善信息系统建设
信息系统建设是提高合规风险和操作风险管理质量和效率的最有力支持,更是加强防范基层机构人员操作风险的保障。信息系统建立在既定的逻辑关系下,对业务操作、管理流程起到了刚性的控制作用,使得合规风险可信息化管理的部分得到了控制,将操作风险控制在一定可预计的范围内。同时,统计分析的优势得以体现,提高了风险实时监测的可能性,风险预警的及时性,以及实现信息的共享,风险报告和风险提示功能。
6.建立问责与考核机制
合规风险和操作风险的问责与考核机制明晰了风险责任,充分体现金融机构倡导合规经营和惩处违规的价值观念。同时,对触碰红线的行为起到警示作用。风险责任包括经办责任、审查责任、管理责任和领导责任等。将合规风险与操作风险指标纳入对机构、员工等级评定的体系,如果发现了合规风险和操作风险,一旦被内审部门或外部监管查实,相关责任人员将受到相应的惩罚。
参考文献:
[1]毕鹏Q.对我国小额贷款公司合规风险管理的探析[J].经济论坛,2016(08).
[2]尚峰.农信社合规风险管理工作的对策[J].中外企业家,2013(32).
操作风险管理例4
中图分类号:F832 文献标识码:A 文章编号:1006-1770(2011)08-024-04
编者按:巴塞尔委员会新资本协议II将操作风险作为一项单独风险纳入第一支柱,中国银监会相应出台了《商业银行操作风险管理指引》和《商业银行操作风险监管资本计量指引》。根据这些标准与指引,中国的商业银行开始探索集中统一的操作风险管理之路。日前,银监会召集部分准备实施新协议的商业银行在广西南宁举行研讨会,就操作风险管理的最新监管动态、日常管理机制、信息系统研发、业务连续性管理和高级计量法实施等议题进行讨论。现选取部分会议成果予以刊发,以供读者参考。
操作风险是一项有银行业务经营活动以来就存在的风险。但是直到2004年的新资本协议,国际监管组织才正式将其视作一项独立风险进行管理和计量。由此,操作风险被列为与信用风险、市场风险并列的三大风险之一,在第一支柱下单独针对其计提监管资本,并针对操作风险管理提出了专门的要求。
但是由于操作风险管理作为独立风险类型加以管理的时间较短,因此其管理和计量即便在发达国家也仍处于起步阶段,新资本协议的虽为操作风险计量提供了规范,但在操作风险管理方面,长期以来只有巴塞尔委员会2003年的《操作风险管理和监管的稳健做法》(简称03版《稳健做法》)。直到2010年10月,巴塞尔委员会公布了研究文件《保险在操作风险建模中的缓释作用》,2010年12月,巴塞尔委员会又了更新后的《稳健做法》征求意见稿,同时了《操作风险高级计量法监管指引》的征求意见稿。2011年6月,巴塞尔委员会经讨论同意这两份文件;2011年7月,新版的《稳健做法》(简称2011年版《稳健做法》)和《操作风险高级计量法监管指引》正式并生效。我们注意到,上述的动态变化是操作风险管理向专业化、精细化方向发展的必然,而对于我国银行业来说,更为具体和精细化的管理要求将有利于推进操作风险管理和监管水平。本文介绍了2010年以来巴塞尔委员会在操作风险管理及监管方面的最新动态,然后分析这些监管动态对我国银行业推进操作风险管理的启示。
一、操作风险管理的治理架构
完善健全的治理架构是实现有效操作风险管理的基础,2011年版的《稳健做法》最主要的亮点即在于强化了操作风险治理架构方面的具体要求,更加明确了不同层级的操作风险管理职责与问责。
(一)操作风险管理的治理架构
首先,《稳健做法》明确要求董事会应对操作风险管理承担最终责任,并应当确保全行操作风险管理制度及其执行的有效性。董事会亦应定期对全行操作风险状况及其管理情况进行核验。另外,新版《稳健做法》还提出,董事会不仅应负责在全行建立良好的操作风险管理文化,还应该负责确定本行操作风险偏好及容忍度的设置。
与之相对应的是,《稳健做法》也要求银行的高管层将董事会制定的操作风险管理框架加以落实,并强调高管层应确保本行负责操作风险管理的专业人员能有效履职。
此外,对于较大规模及业务复杂的银行来说,《稳健做法》还要求其建立专司操作风险管理的风险委员会。操作风险委员会应包含操作风险管理专职人员、业务条线专业人员等,委员会定期召开会议并向董事会风险委员会进行直接报告。
(二)思考与启示
2010年版《稳健做法》厘清了操作风险治理架构的一些具体问题,但是仍然留存了一些模糊地带和争议。如虽然董事会的职责得到了强化,但是一方面对董事会如何履责仍然失之笼统,而另一方面却又对董事会提出了诸如定期核验操作风险管理制度等执行层面的要求,这显然又同高管层的职责产生了交叉。此外,从当前的国际实践来看,操作风险偏好和容忍度的概念仍然模糊,因为操作风险与信用风险及市场风险在风险来源和本质上差异很大,操作风险不仅包含银行内生的风险(如流程、内部欺诈等),也包含了很多外生性的风险,即便其中的内生性操作风险可以进行估量,外生性操作风险则很难界定其风险暴露。因此,如果操作风险暴露难以确定,则设置操作风险容忍度和风险偏好将变得非常困难。2011年版的《稳健做法》也并未在这方面提出明确的操作方案。
不过从总体上看,2011年版《稳健做法》提出的治理架构方面的要求不仅令操作风险管理职责划分更加明确,也为银行建立操作风险管理体系提供了普遍标准。至于如何将已经用于信用风险和市场风险管理的一些理念和做法(如职责分工、专业委员会机制、风险偏好和容忍度设置等)合理有效地用于操作风险管理,我们认为这些都是开拓性和建设性的命题,而且这些问题本身也并无一致性的解答案,《稳健做法》也给予了商业银行实践的弹性,银行在关注这些要素的基础上,宜制定与自身特点相匹配的落实方案。
二、强化操作风险全流程管理
新资本协议将操作风险纳入第一支柱进行管理和计量后,自然也必须建立相应的操作风险全流程管理框架,《稳健做法》再次确认了操作风险管理所包含的识别、评估、监测、报告、控制及缓释的流程,并对流程的各个环节提出了具体的要求。
(一)全流程管理新要求
2003年版《稳健做法》在全流程管理方面仅包含了风险自我评估(RCSA)、关键风险指标(KRI)、风险计量以及风险映射四项内容,而2011年版《稳健做法》还提出操作风险的识别和评估也应包括内部损失数据以及外部损失数据的收集和分析、情景分析以及对不同工具运行结果的综合分析。此外,新业务和新产品上线前除了应评估其蕴含的操作风险外,还应将相应风险因素纳入其定价机制。而在报告机制方面,2011年版《稳健做法》也提出银行应建立常规报告和压力场景报告两种机制,并且必须包含本行操作风险实际情况与制定的风险偏好和容忍度吻合情况等。
(二)分析及启示
我们不难发现,上述新要求其实也有着丰富的内涵,且隐含了巴塞尔委员会在操作风险管理方面的总体思路。
首先,将内部损失数据和外部损失数据收集及分析列为对所有银行的普遍要求,而不仅仅局限在实施高级计量法的银行,这表明巴塞尔委员会再次强调损失数据收集是操作风险评估的核心,也是全流程管理的起点。我们甚至不难推断,提出更严格的损失数据收集要求,表明巴塞尔委员会认为即便对于实施基本指标法和标准法的银行而言,进行更为精细化的损失数据收集也是必须的,也部分矫正了先前的一种观点,即认为损失数据收集和情景分析的目的主要是为实施高级计量法的银行建模所需。事实上,巴塞尔委员会的2011年版的《稳健做法》给出了明确的信号,损失数据收集的作用不仅是用于建模,更应用于收集全行操作风险状况,并且不仅应包含“收集”,更应把落脚点放在“分析”,且应融合内部数据和外部数据,做到“回顾”和“前瞻”相结合,形成对操作风险管理提供参考依据的合力。
其次,对不同工具运行提出综合比较分析的要求表明,巴塞尔委员会明确要求操作风险管理工具之间应当建立良好的互动关系,而这点正是目前操作风险管理实践中所缺乏的。尤其是在我国,一方面前期已经着手建立操作风险管理框架的银行在开发和推广工具方面尚处于起步阶段,对工具运行结果的分析也很不足,更难以建立不同管理工具之间的互动机制,另一方面由于不同管理工具往往在开发、运行和维护上会由不同团队负责,甚至可能会由不同部门主持,因此建立不同工具之间的互动就面临更大的挑战。
第三,要求把操作风险评估加入定价机制表明,巴塞尔委员会将继续推动把操作风险管理与计量结合的实践。尽管操作风险在定义、边界界定、定量等方面还争议较大,但是银行应当建立评估操作风险暴露的机制,并且将操作风险暴露的概念运用于日常管理,一方面对业务条线的经营运营起到规范制约的作用,另一方面也对提高操作风险管理水平起到促进作用。
第四,提出了在压力场景下的报告机制,可以认为是对报告机制的一种完善。结合我国银行业实践,我们可以认为这是对各行已经执行的重大事件报告的一种规范化。因为操作风险事件往往具有突发性、不可预期性和外生性的特点,因此及时对外部压力场景做出反馈,通过报告体系使高管层或董事会知晓,是十分重要的环节。
当然,如果我们仔细斟酌,也容易发现,2011年版《稳健做法》虽然提出了不少新理念和规范,但是在实际操作上仍然缺少具体方法的指导,如对于操作风险的定价仍然囿于多种不确定性而难以准确执行,而操作风险管理工具之间如何建立互相补充完善的机制也不明确。此外,如何定义压力场景的报告、如何将操作风险偏好和容忍度执行纳入操作风险报告等问题,也都需要各方努力研究具体的执行方法。
三、细化的高级计量法要求
(一)《操作风险高级计量法监管指引》的主要内容
由于巴塞尔委员会在制定新资本协议时就隐含了鼓励银行实施更为高级的计量方法的意向,因此不少计量手段较为成熟的银行即着手开发操作风险高级计量法(AMA)。随着高级计量法的铺开,出台比新资本协议相关内容更为具体的规范性文件也显得非常迫切,而《操作风险高级计量法监管指引》(以下简称《监管指引》)正是在这样的背景下出台的,主要覆盖了高级计量法的治理架构、数据和建模三个部分。
首先,在治理架构方面,《监管指引》区分了对操作风险计量的验证(validation)以及对操作风险管理框架的核验(verification),即验证应当作为操作风险计量体系的一个有机组成部分,对高级计量法的建模进行验证,而对于包括计量和管理在内的完整的操作风险管理框架,则仍需要由独立团队再次对其进行有效性核验(见下图)。另外,《监管指引》还明确指出,实施高级法的银行应当更加注重通过使用测试(use test)将计量结果运用于操作风险管理实践,并起到促进操作风险管理水平的作用。
其次,《监管指引》明确了一些数据方面的要求,大致包括:
1.毛损失与净损失的确认:银行可以选择毛损失或净损失进行数据收集,但是应足够审慎,如损失挽回消耗大量时间,则必须用毛损失作为建模依据,且银行在计算净损失时不得先行使用保险缓释进行扣减,银行如使用合格保险缓释,需要建立单独的模型。
2.损失数据收集门槛:银行应明确其收集数据的门槛值,对于门槛值可以是全行统一的,也可以设置不同的门槛值,但是银行必须足够审慎并确保其设置的门槛值能将实质性风险事件均包括在内。同时,鼓励银行根据操作风险形态进行分类,对于同一分类的事件或条线设置相同的门槛值。
3.损失时间点:明确了可供选择的时间点限于发生日、发现日和会计结算日三项,并认为结算日是比较稳健的做法。
第三,在建模方面,对于建模数据来源、分布假设等提出了要求:
1.数据来源。再次确认了高级计量法建模数据来源必须包括内部数据、外部数据、情景分析以及经营环境和内部控制要素这四项要素,其中内部数据是建模的主体,外部数据则是针对肥尾分布的校准,情景分析作为对可重复损失事件的评估,也构成数据来源的重要部分,而经营环境与内部控制要素由于主观性过强,目前尚难以直接植入模型。
2.精细化程度(granularity)。实施高级法的银行应根据操作风险形态进行归类,并用于情景分析等场合。
3.分布假设。由于建立合适的分布是高级计量法的核心,因此银行应确保选取了合适的损失频度及严重程度的分布假设,并应保证进入内部损失数据库的数据均已包含在建模数据中,同时银行可以针对分布的不同部分采用不同的假设,但是银行应建立完整的数据清洗、模型选取、拟合等环节的文档记录。
(二)分析与启示
我们认为,一方面高级计量法尚处于起步阶段,另一方面高级计量法本身亦允许了较大的操作弹性。《监管指引》虽然在治理、数据和建模三方面提出了一些规范,但是实践中仍然有大量的弹性空间。从一些发达国家银行实施高级计量法的经验看,内部数据、外部数据和情景分析在模型中的比重差异非常大。事实上,某些银行的建模较大依赖了情景分析,而并非如很多人认为来自于内部损失数据,这可能因为各国银行经营和管理模式的差异,也可能因为不同银行数据基础和质量的差异。而《监管指引》在多个部分亦强调,巴塞尔委员会将在持续收集数据和调研的基础上,在合适的范围内对可以确定的良好实践予以明确。
四、第一支柱与第二支柱统筹
除了公开征求意见并提交高层讨论的2011年版《稳健做法》和《监管指引》外,巴塞尔委员会还对操作风险管理和计量实践的一些问题进行了研究,其中比较重要的一项工作是在第二支柱框架下评估操作风险监管资本充足情况。
事实上,虽然新资本协议将操作风险纳入了第一支柱,但是由于操作风险计量的不确定性,新资本协议也指出,监管当局将在第二支柱框架下评估银行操作风险监管资本的充足情况,并且可以对操作风险资本不足的银行提出附加资本要求。本轮金融危机后,各国监管当局和巴塞尔委员会都发现银行实际操作风险暴露可能远远大于实际计提资本的数量,而基本指标法和标准法由于风险敏感度较低,对实际损失覆盖的有效性也需要评估,可是在实践中,一方面监管当局并无明确提出在第二支柱下如何评估未覆盖的操作风险暴露,银行在亦没有在第二支柱下对操作风险暴露的覆盖情况进行评估。但是与之对应的是,由于操作风险与内控和合规管理不可分割的关系,不少监管当局和银行内部都制定过一些对内控及合规执行情况进行评估的规章,但是这些零散的文件却并未纳入操作风险管理和监管体系。正是在这样的背景下,巴塞尔委员会亦打算研究在第二支柱下开展操作风险资本充足情况的良好实践。
操作风险管理例5
【关键词】:商业银行、操作风险、巴塞尔新资本协议、操作风险管理框架
【正文】:
随着我国金融体制改革的逐步深化和商业银行股份制改造的稳步推进,金融市场竞争不断加剧,金融产品日新月异,与此同时,银行经营在必须控制和管理一些传统的风险如信用风险、市场风险、国家风险等之外,不得不面临着一类新的风险——“操作风险”的挑战。
操作风险是指由于银行内部程序、人员、系统不充足或者运行失当以及因为外部事件的冲击等导致直接或间接损失的可能性的风险。例如,1995年的巴林银行倒闭、1996年三井住友银行的巨额亏损以及2001年中国银行的开平案件,均可视为由操作风险所致。这类风险一旦发生,往往给银行带来巨大损失,严重时会直接导致银行的破产和倒闭,甚至还会对整个金融行业或国民经济运行都产生巨大的影响,因而越来越引起投资者、金融界、监管当局的重视。自然地,防范和控制操作风险也成为银行经营管理者的一个重要课题。
本文将首先介绍银行操作风险的内涵和实质,并揭示当前商业银行在操作风险管理方面的现状。之后,分析造成操作风险的主要原因,然后,在前面论述的基础上提出加强银行操作风险管理的方法和建议。
一、商业银行操作风险的实质、内涵和管理要求
巴塞尔新资本协议把操作风险定义为:操作风险是指由于银行内部程序、人员、系统不充足或者运行失当以及因为外部事件的冲击等导致直接或间接损失的可能性的风险。从操作风险的定义中不难看出操作风险包括内部程序、人员、系统三大方面的主要内容,也是认识操作风险的关键环节。
(一)全面认识操作风险的实质和内涵
认识事物是改造事物的前提和关键,对操作风险的认知程度越高,才能有效的提升操作风险管理的地位和管理的水准,有了正确的操作风险的认识,才能够上升到宏观的决策和微观的具体落实。张吉光认为:“商业银行在操作风险管理中,对操作风险的认识存在五大方面错误或偏差”。 (注1)通过对操作风险管理理论的研究,笔者认为:解决操作风险管理认识上存在错误或偏差,成为提高操作风险管理水平的关键。具体而言,要全面认识和了解操作风险,需要消除以下几方面的误区。
1、操作风险不能等同于操作性风险和操作中的风险
根据巴塞尔新资本协议的定义,操作风险可以分为四类:人员因素引起的操作风险、流程因素引起的操作风险、系统因素引起的操作风险和外部事件引起的操作风险。人员因素引起的操作风险包括操作失误、违法行为(员工内部欺诈/内外勾结)、违反用工法、关键人员流失等情况。流程因素引起的操作风险又分为流程设计不合理和流程执行不严格两种情况。而系统因素引起的操作风险包括系统失灵和系统漏洞两种情况。外部事件引起的操作风险主要是指外部欺诈、突发事件以及银行经营环境的不利变化等情况。其中,属于操作性风险的仅包括人员因素引起的操作风险中的操作失误、违法行为、越权行为和流程因素引起的操作风险中的流程执行不严格的情况。显然,操作性风险不能等同于操作风险,尽管操作性风险是操作风险中发生频率最大、占比最高的风险类型。从笔者搜集整理的近几年来国内商业银行发生的近50起操作风险案例的数据显示,操作性风险占总数的比例为70%。将操作风险狭隘地定义为操作性风险的做法,往往会使得建立在这一认识基础上的操作风险管理体系不能覆盖所有的操作风险,从而使银行难以防范那些突发事件的冲击,如前一段时间工商银行北京市分行出现的系统瘫痪、美国发生的“911”恐怖袭击等。
2、操作风险不能等同于金融犯罪
金融犯罪仅是操作风险中的主要类型,并不能涵盖所有类型的操作风险。根据我国对金融犯罪的定义,金融犯罪是指在金融活动中,侵害金融管理制度、金融市场秩序以及其他社会经济关系,依照我国刑法规定,应当受到刑法处罚的行为。对比巴塞尔委员会关于操作风险的定义,金融犯罪显然不包括那些由于银行自身不完善的流程和系统漏洞以及外部事件等因素造成的操作风险。最简单的例子就是操作失误,比如银行员工误将取款操作成存款,或者数字录入错误等均属于操作风险的范畴,但并不构成犯罪。将操作风险等同于金融犯罪,往往会使商业银行无意识地缩小操作风险的管理范围,错误地将操作风险管理等同于金融犯罪管理,从而将操作风险管理职责不恰当地赋予内部审计或安全保卫部门。这恰恰是造成目前我国商业银行操作风险管理进展缓慢的原因所在。
3、操作风险是可以计量的,应该为操作风险配置资本
表面上看操作风险确实无规律可循。事实上,这只是人们观察问题的角度不正确造成的。如果我们就单个年份来看,一些操作风险事件是无规律的,一旦将这些操作风险事件放在很长一段时间和同类型的大量数据中来看,我们会发现,这些操作风险往往会以某种稳定的概率发生。这正是人们量化操作风险的基础。最早提出操作风险量化模型的是duncan wilson。他在1995年12月的《risk》杂志中发表了“操作var”的文章。文章认为,操作风险可以使用“在险值(var)”技术进行测度,银行可以建立来自于内部和外部的操作损失事件数据库,并从数据拟合操作损失的分布,通过设置一个置信区间,比如95%,银行就可以计算出操作风险的var,也就可以为其分配资本了。为操作风险分配资本的最大好处就在于,当银行遭受某种灾难性损失的时候不至于瘫痪,甚至于倒闭。在不可量化思想的支配下,很难想象银行会致力于操作风险量化模型的开发。这或许是国内商业银行操作风险管理水平难以提升的重要原因之一。
4、操作风险事件之间是相互联系的而不是孤立的
从表面看,工作人员的操作失误、银行员工的欺诈以及关键人员的流失三者之间并无多大联系。而停电、诈骗以及“非典”之间更是风马牛不相及。由此,很多人得出“各种操作风险事件之间是孤立的、毫无联系的,从而操作风险是突发事件”的结论。这其实是忽略了隐藏在不同表面现象背后的共性本质,忽略了众多随机变量近似地服从正态分布的统计原理。以工作人员操作失误、银行员工欺诈和关键人员流失三类风险事件来看,它们的本质均是人的因素引起的操作风险,且在足够长期限和足够多数据的情况下可以近似地描绘出其概率分布。停电、诈骗与“非典”之间的关系与此相似,三者均属于外部因素造成的操作风险,且众多上述事件同样会近似地服从正态分布。只有看到各种操作风险事件之间的联系,才能准确地描述银行面临的操作风险,进而从整体上把握操作风险。这正是巴塞尔委员会关于操作风险定义的基础所在。那种以孤立的、隔离的眼光看待操作风险的做法只能将各个操作风险视作突发事件,也就无法从整体上把握银行面临的操作风险,更不用说对其进行科学有效的管理了。目前国内很多银行就存在这一问题,当面对“非典”冲击之时,当遭受系统瘫痪之时,银行并未从操作风险的角度对之进行系统分析和把握,只是将其看作突如其来的偶然事件,应付过去。如此一来,银行根本不会想到为其准备应急预案和分配经济资本。再次面对类似事件,银行只能是屡屡受损,甚至于出现灾难性的后果。
操作风险的认识还应注意到操作风险的管理不仅仅是稽核审计部门的事,应该是业务生产各环节的管理要求;管理者非常容易对市场风险和信用风险管理产生偏好,不应该因此而忽视操作风险的重要地位;操作风险应重视资源的投入,尤其是更多的人力(培养专业的操作风险管理人才,建设操作风险管理的团队)、财力(投入资金用于操作风险的模型和系统建设)、物力(配置更多的固定资产资源,为操作风险管理的实施提供环境和保障)等等方面的投入。只有对操作风险有了清醒认识、足够的重视,才能上升到如何落实和实施操作风险的管理过程及事后的评价。
(二)、巴塞尔委员会对管理操作风险提出的要求
巴曙松在《巴塞尔新资本协议研究》一书中曾经提到:“操作风险的管理需要强调风险管理环境、风险管理过程、监管者的作用和信息披露的作用”(注2)。巴塞尔委员会在总结国际金融界经验的基础上,将管理操作风险归纳为四部分的具体要求:
1、建立适当的风险管理环境
巴塞尔委员会认为,对银行来说,应当首先建立适当的风险管理环境,这要求董事会应当了解作为一个独特的、可以控制的风险种类-----银行操作风险的主要方面,应当批准和定期审查银行的操作风险战略。该战略应该能够反映银行的风险容忍程度及其对这种风险种类的特定特征的理解。巴塞尔委员会也承认,银行组织内部的信息流程在建立和维持一个有效的操作风险管理框架方面可以发挥重要作用。
2、风险管理过程:识别、衡量、监督和控制
巴塞尔委员会认为,银行应当建立识别操作风险的类别、衡量操作风险的方法、监督操作风险的手段和控制操作风险的机制等的电子化管理系统。对操作风险的整个过程进行跟踪,有效的管理操作风险的全过程。建立衡量操作风险的必要方法,实施可以持续监督操作风险暴露和重大业务损失的应用系统。
3、监管者的作用
在建立适当的风险环境和全程的风险管理过程的基础上,监管者应对银行与操作风险相关的战略、政策、程序和做法直接或间接地进行定期的独立评价,使之可以及时的修正错误的环节。并保证银行具备一个有效的报告机制,使他们可以及时了解银行操作风险管理执行过程是否按照计定的方针政策行事,使监管者亦可了解政策方针落实的进展情况。
4、信息披露的作用。
准确、及时、完整的信息披露是管理操作风险的重要环节之一,在操作风险管理和监管中发挥着重要的作用。巴塞尔委员会要求银行应向公众进行充分的信息披露,使市场参与者可以对银行的操作风险暴露及其操作风险管理质量进行评估,从而选择各自的风险偏好,由市场机制评价和吸纳操作风险带来的可能性风险。
二、商业银行操作风险管理的现状
商业银行的发展史已有三百多年。“操作风险”一个曾经不被人们重视而却与商业银行发展伴生的风险种类,越来越显示出它的重要性,由于商业银行对操作风险的管理重视不够、认识不清、手段单一、方法陈旧、人才匮乏,致使操作风险肆虐,使商业银行付出了沉重的代价。
(一)、商业银行忽视操作风险所带来的沉重代价
商业银行中流传这样一句话:“谁忽视了操作风险,谁将为之付出惨痛的代价。”事实也证明了
这一点。近十年,金融界的重量级案件频发,从95年巴林银行的李森事件到05年中国银行分理处主任高山的票据诈骗案等,短短十年间,一系列由操作风险而引发的案例给商业银行造成了数以亿计的巨大损失(参见附表)。
商业银行操作风险形成损失的典型案例统计表
涉案银行名称 案件时间 案情简述 造成损失 总结教训
巴林银行 1995年 交易员李森私自开立“88888”账户隐瞒投机日经指数期货亏损。 14亿美元 管理松懈,监督不利,有章不循。
大和银行 1995年 交易员井口俊英从事3万笔未经授权的账外买卖美国联邦债券的交易形成损失。 11亿美元 越权违规,缺乏制衡,授权无度。
三井住友银行 1996年 交易员滨中泰男从事投机铜的期货交易造成亏损。 40亿美元 违规操作,监控不利。忽视管理。
中国银行开平支行 2001年 交易及管理人员余振东等人从事外汇买卖、账外贷款、盗用联行资金等方式造成银行损失。 4.8亿美元 超权越权,违规违法,作假藏真,监控失灵。
中国银行河松街分理处 2005年 分理处的负责人高山内外勾结,私自开出假票据,私自挪用客户的存款,使银行形成损失。 10亿人民币 内外勾结,违规违法,监控失灵。
(数据来源:摘自中国经营报和国际金融报)
操作风险带来的黑洞使一些商业银行付出惨痛的代价。 触目惊心的案件应该让监管者意识到监
管的乏力。
(二)、商业银行对操作风险管理存在诸多错误的认识
操作风险之所以越来越给商业银行的经营带来难以承受的风险压力,究其原因主要是因为对操
作风险的认识出现了偏差。归纳起来主要有以下几个方面:
1、认为操作风险就是操作性风险或操作中的风险。
如果仅从字面上去理解操作风险,很容易将其理解为操作中的风险。这实际上是大错特错,极大地缩小了操作风险所包含的范畴。
2、认为操作风险等同于金融犯罪。
国际上商业银行业风险管理的实践表明,人们对操作风险的认识是从金融犯罪开始的。百年老店巴林银行的倒闭正是交易员李森犯罪所致。人们对金融犯罪的熟悉程度远高于操作风险,所以容易误认为金融犯罪就是操作风险。
3、认为操作风险是无法计量的,不可以量化的。
长期以来,人们对操作风险的描述更多的是局限于定性内容,很少有定量内容。这是由操作风险的特点所决定的。
4、认为各种操作风险事件之间是孤立的、毫无联系的。
表面看来,工作人员的操作失误、银行员工的欺诈以及关键人员的流失三者之间是相对独立的事件,相互之间并无多大联系。
5、认为操作风险管理只是内部稽核审计部门的事情,与其他部门无关。
很多商业银行的管理者将操作风险等同于操作性风险或操作中的风险。这种认识误区往往会导致另外一种错误认识,即认为操作风险管理只是银行内部稽核审计部门的事情,与其他部门无关,进而将操作风险管理职责不恰当地赋予内部稽核审计部门。
6、认为决策层只重视信贷风险和市场风险,商业银行就可高枕无忧。
许多管理者认为:商业银行的信用风险和市场风险是最重要的,操作风险只是日常业务处理过程中的一般差错,并不会对银行的资本构成多大的威胁。
7、认为操作风险的控制手段可以简化,不需要浪费更多的人力、财力和物力。
大多数的商业银行操作风险的控制手段和方法还一直停留在简单的、手工的、事后检查的模式上。认为不需要对操作风险付出更多的人力、财力和物力成本。
商业银行暴露出的对操作风险的诸多错误认识,往往是导致操作风险管理失败的主要原因。有针对性的及时纠正错误的操作风险认识将有利于提高操作风险的管理能力。从这个意义上来讲,商业银行对于操作风险的错误认识应该是修正的时候了。
三、对加强商业银行操作风险管理的方法和建议
目前,国际范围内在操作风险管理方面水平相对较高的商业银行,通常都建立了强有力的操作风险管理流程和框架,并将操作风险与管理其他风险所采用的方法和框架有机整合起来,形成操作风险管理的体系,而且通过有效管理操作风险减少了收入的波动性,其中有些机构还改进了自身的外部评级水平。巴塞尔新资本协议的颁布及实施,就促使操作风险管理进一步向更多的商业银行扩展。陈四清曾经说过:“商业银行的操作风险管理是整个风险管理体系中的重要组成部分,同样需要考虑操作风险管理的范围、文化、方法、计量、监督等方面的内容”。(注3)
首先,要健全商业银行操作风险管理的体系,商业银行要逐步建立一套从决策层、执行层直到
监督层;从国内到海外;从总行到分支的全球化的操作风险管理体系,由风险管理委员会制定操作风险管理的大政方针、决策操作风险的风险资本配置、批准核销操作风险损失准备等等。执行层按照计定的操作风险策略具体执行和落实操作风险的管理内容。最终,由操作风险的监管层负责跟踪评价操作风险的管理过程。决策、执行与监督,层层到位,各司其职,才能有效的管理和控制操作风险。
其次,商业银行要界定操作风险管理的范围。根据巴塞尔新资本协议的要求操作风险的范围主要包括内部程序、人员、系统三部分,商业银行要针对内部程序制定操作规程,针对人员制定员工的行为规范,针对系统制定规章制度,对整个商业银行的运营制定应急方案,减少和降低因操作风险事故带来的损失,有了清晰的操作风险范围界定,事后评价操作风险和监督操作风险的政策执行情况才能有的放矢。
第三、需要培育商业银行操作风险管理的文化。商业银行的操作风险管理不是一时之需,追赶时髦,而是伴随商业银行发展的不朽主题。就像企业需要建立企业文化,操作风险的管理文化要深入人心。人人意识到操作风险,商业银行的各阶层都来重视操作风险。
第四、商业银行要制定操作风险管理的方法。如何确定和量化操作风险,还需要有科学的方法和计量手段。目前,国际上先进的软件、模型已开始被商业银行应用,商业银行的操作风险管理手段和方法也在不断的完善和进步。
第五、跟踪商业银行操作风险管理的过程。操作风险管理包括风险识别、风险评估、风险决策、风险防范、风险处理、风险监督和风险评价的多个步骤,具有环节多、领域广、隐蔽性、突发性等特点的繁杂过程,只有全过程的跟踪操作风险才能够总结经验教训,不断提高操作风险的防范能力。
立足于国际金融界的经验,商业银行在引入操作风险管理、建立操作风险管理框架和健全操作风险管理体系时,需要重点注意以下几个方面的问题:
(一)、健全操作风险管理框架模式
1、建立基本运作程序的同时,从容易衡量的领域着手。从具体的实施过程看,国际金融界的经验是,首先建立一套相对策略的、但是比较完整的操作风险管理体系、缓释、监控、报告等环节,在此基础上建立覆盖整个机构的操作风险管理战略和政策,从相对简略的领域出发,在实际运作中逐步完善,扩大其覆盖的操作风险的领域。
2、金融机构在着手管理操作风险时,重点要建立与信用风险和市场风险相一致的操作风险管理框架,确定不同职位的人员在操作风险管理中的责任,如业务管理人员,其中特别是零售业务部门的操作人员;中台人员;稽核人员;风险管理部门等。在此基础上,风险管理委员会等高层机构应当确定打算选用的风险管理方法和策略,业务部门应当据此采集关于操作风险的各种数据,向市场寻求专业的咨询和支持,逐步建立初步的操作风险管理体系。严格地说,整个金融机构范围内管理不同风险的基本原则和方法应当一致,这意味着新建立的操作风险管理框架必须要整合到与信用风险和市场风险管理相一致的框架中去,操作风险所运用的方法和原理也应当与整个商业银行在风险管理方面运用的方法和原理相协调。
3、风险管理部门并不是风险管理的惟一部门,具体的业务部门、法律部门、稽核部门都承担着进行操作风险管理的责任。如果说市场风险和信用风险的管理日趋强调集中化的话,那么,操作风险的管理必须强调分散化。严格地说,具体的业务部门在操作风险管理方面应承担第一位的责任。这是由操作风险的特征所决定的,当然关于操作风险管理的具体原则应当由风险管理部门提供。
(二)、建立操作风险的报告与考核机制
1、操作风险的报告体系。操作风险的报告系统应当独立于业务部门,并且应当能够敏感地反映操作风险的变动,主要数据自动生成,在整个机构采用的采集方法保持一致。
2、操作风险体系中的激励和考核机制。在具体的管理人员介入操作风险系统的运行时,就存在着其机会主义地运用这一系统的可能性,因此,建立完善的激励机制和绩效考核制度在操作风险管理中同样十分重要。同时,即使一个机构中建立了相当自动化的操作风险报告体系,但是如果高级管理人员不能动态地介入整个管理过程、不能将报告的结果与员工和部门的绩效考核有机的结合起来,这个系统的运作也会大打折扣。
3、操作风险的报告和考核都离不开操作风险的衡量方法和技术,谨慎选择适当的操作风险衡量方法和技术显得非常重要。在多种计算资本拨备方法中,一般的银行可以先采用单一指标法进行测试(即一定的风险系数×毛收入),向金融机构管理层提供参考数据,有条件的银行还可以考虑采用标准化方法的具体措施。按标准化方法,银行业务将分类,并以各类业务的毛收入去计算总操作风险资本金的配置要求。对于一些风险管理能力较强的银行来说,应当注意及时跟进监管机构及业界有关计提操作风险资本金配置要求的最新发展,着手积累各类操作风险损失的数据,并在此基础上考虑使用更精确的方法。
(三)、参与操作风险的管理者应各司其职
1、董事会和高级管理层在操作风险的管理中应当承担更大的责任,包括建立清晰的管理结构、明确的责任分工,并且保证操作风险的管理框架能够覆盖所有相关领域,还应当建立清晰的关于操作风险的管理和报告程序。所有的业务部门和支持性部门 都应当整合在整个操作风险的管理框架中。
2、寻求合格的、充足的操作风险管理人员。从人员结构看,目前的一些国际金融机构中的操作风险管理人员主要有不同部门的管理经理、法律或者稽核人员、业务计划人员、信息安全人员等。较之信用风险和市场风险,操作风险管理方面有实际经验的人员相对较少,大部分需要金融机构结合自身的实际情况进行培训,还有一部分需要向外部招聘。
(四)、选择操作风险管理的主要类型
目前,全球范围内管理操作风险主要采取三种方法:总部集中管理型、总部集中管理与分散化支持型、稽核部门占据主导作用型。选择其中任何一种类型,主要取决于各自企业文化和董事会的风险偏好、自身的风险管理能力和风险管理水平等。针对性的选择操作风险管理的类型有利于操作风险管理框架的建立和实施。
四、结论
对操作风险管理有怎样的认识,就会映射出怎样的管理水平。所以重视操作风险的管理首先要从清醒的认识和了解操作风险入手。其次,要从战略的高度制订操作风险的管理策略。第三,要有与之配套的管理工具,主要指电子化的操作风险管理应用系统。第四,还要具备操作风险管理的具体方法,主要包括:操作风险的计量工具和管理模型。第五,要有高素质的操作风险管理人员和团队具体实施。第六,还需要建立起监督和后评价的机制。
总之,只有建立健全的操作风险管理流程、框架和体系,才能够使操作风险得到有效的管理和控制,才能使因操作风险带来的损失降到最低限度。商业银行的操作风险管理要求不是一时之需,而是伴随商业银行发展的长期任务,我国的商业银行如果要想保持现有的竞争优势,甚至在国际金融市场取得一定的地位,就必须不断提高自身的操作风险管理水平。
【引文注释】:
(注1)张吉光:国际金融报《商业银行操作风险认识的五大误区》2004年11月 5
(注2)巴曙松:《巴塞尔新资本协议研究》中国金融出版社 2003年6月第1版 第34 页
(注3)陈四清:《试论商业银行风险管理》,《国际金融研究》2003年第7期 第49页
【参考文献】:
1、陈忠阳:《金融机构风险分析与管理研究》人民大学出版社2001年版
2、张吉光:国际金融报《商业银行操作风险认识的五大误区》2004年11月
3、巴曙松:《巴塞尔新资本协议研究》中国金融出版社 2003年6月第1版
4、[英]艾迪.凯德著,王松奇等译:《银行风险管理》中国金融出版社2004年5月第1版
5、赵其宏:《商业银行风险管理》经济管理出版社2001年1月第一版
6、彭江平:《商业银行风险管理的理论与系统》西南财经大学出版社2001年9月第1版
7、陈四清:《试论商业银行风险管理》,《国际金融研究》2003年第7期
操作风险管理例6
一、操作风险的定义
操作风险,一般意义上指因操作流程不完善、人为过失、系统故障或外来因素所造成的经济损失,广泛存在于银行经营管理的各个领域,是银行经营管理面临的基础风险之一。商业银行日常工作中,典型的操作风险事件包括内部欺诈、外部欺诈、雇佣合同及工作状况带来的风险事件、客户或产品以及商业行为带来的风险事件、有形资产损失、经营中断或系统出错,以及涉及执行、交割以及交易过程管理的风险事件等。
巴塞尔委员2003年公布了《操作风险管理和监管稳健原则》,2004年修订的《新资本协议》中,明确地将操作风险的衡量和管理纳入金融机构的风险管理框架,与信用风险、市场风险一起纳入资本监管的范畴,并把操作风险明确定义为“由不完善或有问题的内部程序、员工、信息科技系统或外部事件所造成损失的风险”。
二、操作风险的特征
操作风险事件难以在事前充分预期,并往往来源于制度、系统缺陷和人员舞弊行为,具有较强的内生性,即使建立相对完善的内控制度和监督检查机制,也难以充分预计未来持续期内的所有变动因素并彻底杜绝内部舞弊所造成的违法违规行为,但与信用风险和市场风险相比,操作风险存在以下特征:
一是具体性,操作风险因素存在于银行的各项业务中,操作风险事件前后之间有关联,单个的操作风险因素与最终形成的操作性损失之间难以定量分析和界定,不易分散及量化,不同类型的操作风险具有各自的具体特性,与相对成熟的信用风险和市场风险的识别和计量方法不同,操作风险的准确识别和计量手段还需要银行进一步研发和完善。
二是分散性,操作风险管理主要涉及银行内部经营管理中各方面的不同风险,包括发生频率高、造成损失相对较低的日常业务流程处理上的小错误,以及发生频率低、造成损失相对较高的大规模舞弊、自然灾害等,与信用风险和市场风险多是外生性风险不同。操作风险与各类风险相互交叠,涉及面广,需要建立全面操作风险管理的体系,结合实际采用多种方法来覆盖分散于各项活动中的操作风险。
三是差异性,银行不同业务领域操作风险的表现方式存在差异。业务规模小、交易量小、结构变化不太迅速的业务领域,虽然操作风险造成的损失不一定低,但是发生操作风险的频率相对较低,而业务规模大、交易量大、结构变化迅速的业务领域,受到操作风险冲击的可能性也较大。从风险与收益的对应关系看,信用风险和市场风险的一般原则是风险高收益高,风险低收益低,但银行不能保证因承担操作风险而获得收益,而且在大多情况下操作风险损失与收益的产生没有必然的联系。
四复杂性,引起操作风险的因素较复杂,如产品的复杂性、产品营销渠道的拓展、人员流动以及规章制度的变化等都可能引起操作风险。而通常可以监测和识别的操作风险,与由此可能导致的损失的规模、频率之间不存在直接关系,常常带有鲜明的个案特征,与信用风险主要来源于客户和交易对手方,市场风险主要来源于市场上的各种价格波动不同。银行风险管理部门虽然可以结合实际制定操作风险管理不同时期的重点,但不易确定哪些因素对于操作风险管理来说是最重要的。
三、国内商业银行操作风险管理状况
新资本协议实施以来,国内商业银行按照相关要求,积极结合自身实际,对操作风险识别、评估、控制、报告等关键程序进行了规范,推进操作风险管理体系建设,完善了操作风险管理的内在机制,操作风险管理的框架体系已经基本建立。但是,与国外大银行相比仍存在一定差距,主要表现在:
一是操作风险管理未与业务发展同步。在全球经济一体化、社会与经济环境快速发展、商业银行全球化和综合化经营的趋势下,金融创新层出不穷,金融产品、服务的复杂性提高, 各项业务超常规发展,操作风险的类型不断演变, 在认识不到位、风险管理手段不足的情况下,发生操作风险和造成损失的可能性增加。
二是操作风险管理手段还不完善。我国商业银行长期以来偏重信用风险, 未设立独立的专业部门承担操作风险管理的职责,而是由非独立专业部门牵头负责或由各专业条线内部控制,对操作风险管理的统一的政策标准还不完善, 尚未建立起全面、系统地操作风险管理体系,导致有章不循,违章操作的现象时有发生。同时,操作风险管理的手段还显单一,主要采取定性管理、指标考核、质量控制等,在建立操作风险损失事件数据库、开展自评估、采用风险缓释工具等操作风险管理工具和方法,以及按照新资本协议的要求建立银行内部操作风险计量系统、采用定量和定性标准结合的资本计量模型、量化分析等操作风险计量方法方面,与国际先进商业银行还存在差距。
三是流程化、系统化地操作风险管控还需要改进。完善操作风险管理是过程与结果的结合,环环相扣,才能取得较好结果,其中任何一个环节出问题,都可能导致风险事件的发生。以信贷业务操作风险管理为例,按照操作风险管理及公司治理等要求,商业银行建立了包括风险预警、信贷授权、尽职调查、客户评价与项目评估、统一授信及集团风险控制、信贷独立审批、贷后管理、资产质量监测和考核、资产保全、内部审计及检查等在内的较为完善的信贷风险管控制度,但是因贷前调查、贷后管理不到位而引发的操作风险事件及损失远大于其他环节的风险及损失,反映出在信贷管理的全流程风险控制中统一、整体化的风险控制还需要改进和加强。
四、商业银行面临的主要操作风险及原因
商业银行的业务经营活动复杂多样,涉及不同类型的业务操作及各业务环节、产品和经营管理层面,操作过程中由于各种不确定因素的存在,产生不同的操作风险,按风险成因主要表现为以下类型:
一是内部程序不当导致的操作风险,主要是银行因业务流程设计不合理、制度管理不当、业务政策存在偏差、监督检查不到位,且未及时予以完善等原因,导致实际操作或执行困难,甚至给蓄意不法者留下漏洞而造成的风险及损失,如:贷款业务审贷未分离、会计业务关键岗位长期未轮换、不相容岗位未分离等。这类情况的影响较大,使一些违规行为有可乘之机,容易诱发重大违规事项或案件,危害性较大,需要及时完善内部控制予以防范。
二是人员因素导致的操作风险,主要是银行员工主观上不遵守职业道德,违法、违规或违章操作,或工作疏忽等行为导致的风险及损失,以及客观上业务岗位人员数量配备不足,或员工的自身业务能力及素质与岗位要求不符而导致的风险及损失。如:员工从事或参与社会高息融资活动、挪用银行资产或客户资金、发生业务差错等。前一类情况发生不多,一旦发生,后果及影响严重,即小概率大损失事件,需要加强员工行为排查防范于未燃,后一类情况情况较多,风险一般不大,即大概率小损失事件,通过加强业务学习,规范操作及业务检查,可以及时发现并纠正。
三是业务系统故障导致的操作风险,主要是银行IT系统、机具设备等因技术故障、设备失灵造成系统服务中断、数据错误等影响业务正常持续运行而导致的风险及损失。如:系统因感染病毒、遭到黑客攻击及软硬件故障不能正常运行时,导致系统瘫痪、崩溃,影响正常对外营业。这类情况发生的概率小,但影响较大,后果严重,损失严重并给银行带来负面声誉风险,需要通过完善应急机制,并加强演练,在故障发生第一时间响应并有效发挥作用。
四是外部事件导致的操作风险,主要是银行因外部不可预见的破坏性因素导致的风险及损失。如:自然环境灾害、社会动乱、暴力行为等。这类情况发生的概率小,其影响及后果事前不易评估,但应建立各类应急预案,并有明确、清晰报告路线,在发生此类事件时使上级管理机构能够及时获得信息,迅速应对,将风险降至最低。
五、完善操作风险管理的建议
相对信用风险和市场风险,操作风险更加难以事先计量和预测,完善操作风险管理的关键是过程控制。操作风险管理的核心环节是强化内部控制,建立良好的管理机制,在操作风险发生之初能够及时、有效地识别和处置风险。
一是加强业务培训及风险内控管理文化建设,进一步提高银行各级员工的综合素质。通过对业务操作、多岗位轮换,以及公司治理、外部监管标准、职业操守、典型案例等培训学习和监督检查, 提高员工履岗能力和尽职度,将操作风险管理落实在每一个员工的职责及行为中,树立科学的风险管理理念,自觉遵守规章制度,严格规范操作,培育良好的风险内控管理文化,促进制度执行力的提升。
二是按照公司治理及操作风险管理政策的要求,进一步完善内部控制,明确各部门的定位和职责,合理确定各部门的管理边界,形成分工明确、责任清晰、有效制衡的内部管理架构。针对操作风险易发部位制定有关管理细则,加强监督检查,定期开展操作风险与内部控制的自我评估检查,及时整改存在问题,并强化责任约束,提高各层级人员的工作尽职度。
三是结合新资本协议实施工作的相关要求,研究、完善操作风险识别计量方法和工具,提高操作风险管理技术。根据新巴塞尔协议风险资本计量的要求,结合实际逐步开发适合本行特点的内部风险计量工具及相关的管理办法,借助计算机技术建立操作风险历史数据仓库,为按高级法建立计量模型、分析测量风险、分配资本奠定基础。
四是做好操作风险管理工具与业务流程的结合。将操作风险管理嵌入业务流程,完善人控、机控手段,并建立完善操作风险绩效考核体系;加强关键风险点的调查分析,建立不同管理层次、不同条线的关键风险指标,并根据业务发展变化及时维护更新,对操作风险实时监控和早期预警;逐步建立主动识别与管理操作风险的内在机制,推动由被动承担风险向主动掌控风险转变,有效识别防范操作风险。
参考文献
[1]巴塞尔银行监管委员会《新资本协议》、《操作风险管理》文件.
[2]中国银行业监督管理委员会《关于加大防范操作风险工作力度的通知》.
操作风险管理例7
国际银行业对操作风险研究和管理的最新动态
近几年,国际银行业操作风险研究和管理取得重大成就,其主要体现在巴塞尔委员会和各类银行业协会的报告(协议)上,反映于国际活跃银行的突破性探索中,具体包括以下四个方面:
对操作风险的认识提升到新的层次
2004年的巴塞尔新资本协议将操作风险定义为由于不完善或失灵的内部程序、人员和系统,或外部事件导致损失的风险。全球风险专业人员协会则认为,操作风险是与业务操作相联系的风险,包括来自操作业务失败形成的操作失败风险和来自变化形成的操作战略风险。以上两种观点都是从内部因素和外部因素出发,强调商业银行经营活动与人、流程、事件之间的互动关系。操作风险作为有别于市场风险和信用风险的独立的银行风险种类得到普遍认同。国际银行业认识到,操作风险分布于银行业的各个经营管理层次,贯穿于经营管理活动的始终;与信用风险和市场风险不同,操作风险无法创造利润,但信用风险和市场风险存在通过有效管理而获利的可能。一些银行已将操作风险置于与信用风险和市场风险同样重要的地位,开始建立专门的操作风险管理系统,制定并完善识别、评估、监测和缓释操作风险的原则、政策和方法。
强调必须对操作风险进行合理分类和准确描述
商业银行管理操作风险的重要前提之一是准确把握本行操作风险的类型和特点,区别本行操作风险与其他的异同。国际银行业较认可的分类结果大体可归纳为:人的行为和动因:犯罪、有意差错、无意差错。流程:流程设计不合理,流程执行不准确、流程执行的信息披露不适当或不充分。技术:系统规划不合理、软硬件不支持、信息安全无保障等。事件:与责任;竞争对手和合作伙伴;政府行为和风险;自然灾害等。
积极开发和引进操作风险测量技术
国际活跃银行一致认为操作风险需要通过定性和定量相结合的方法进行测量。定性方法主要是依靠内外部报告、管理报告、报告、政策规定,由专家评估操作风险,估计风险损失大小。定量方法的关键——操作风险计量技术目前仍处摸索阶段,但向信用风险和市场风险的计量方法看齐的发展方向十分明确。新资本协议中巴塞尔委员会提出三种估计方法:基础指标法、标准法、高级计量法。国际活跃银行还提出了其他一些模型方案,比较著名的有损失分布法、因果关系模型法等。整个银行业之所以至今没有形成统一的测量模型,主要因为操作风险的模型基本由各家银行自行研究建立,所依赖的内部数据与其他银行区别很大,对各类操作风险发生概率和损失大小的分析判断都不尽相同。
建立资本约束和完善的风险管理体系
巴塞尔新资本协议明确提出商业银行应将操作风险纳入管理框架,并对其分配资本,提高资本对操作风险的敏感度。分配资本的重要基础是操作风险的测量方法和测量结果。国际活跃银行主要是根据自身情况选择使用不同的计量方法,对操作风险分配资本,目前以使用基础指标法和标准法的居多。
操作风险管理成为专业化管理的重要内容之一。国际活跃银行也在不断完善操作风险管理组织框架,比如:由董事会审批操作风险管理战略,高级管理层执行操作风险管理政策,业务部门直接控制操作风险,操作风险管理部门研究制定测量和监控操作风险(对操作风险提取适当的资本准备),内部审计部门对风险管理成效进行及时检查和评估等。操作风险人才队伍日益壮大,素质结构不断优化。
我国银行业操作风险管理的现状和问题
近些年来,我国商业银行大案要案屡屡发生,操作风险越来越吸引社会关注。操作风险之所以近年在我国银行界大量出现,存在多方面原因。
从宏观层面看,我国商业银行操作风险管理滞后于形势发展。首先,在全球一体化和金融管制松动的背景下,商业银行全球化和综合化经营的趋势已经形成。社会与经济环境迅捷变化,而商业银行对操作风险的认知程度更新缓慢。其次,基于信息技术的飞跃,层出不穷,金融产品、服务的复杂性大大提高,操作风险的类型不断演变,我国商业银行原有的管理模式难以适应这种技术变化。此外,我国商业银行的业务拓展具有明显的“顺经济周期”特征,在经济扩张周期中,各项业务往往超常规发展。在认识不到位、风险管理手段落后的条件下,发生操作风险和造成事实损失的可能性必然增加。
从微观层面看,我国商业银行的操作风险管理尚处于初级阶段,与国际活跃银行相比存在以下不足:
操作风险管理理念淡薄
长期以来,我国商业银行偏重信用风险和市场风险管理,疏于操作风险管理。无论是制度规则、认识水平都比较低。相当一部分高层管理人员尚没有将操作风险视作一个独立的风险来认识,既不了解操作风险内涵,也不掌握操作风险边界。将操作风险管理仅仅停留在内控和审计的层次上,不知道操作风险也是可以量化计算和分配经济资本的。银行内部缺乏严格的自律和他律机制,有章不循的现象时有出现,对引发操作风险的行为没有给予及时有效的责任追究。
控制体系漏洞较多
决大多数银行未设立独立的专业化部门承担操作风险管理和分配资本职责,更多的是依靠非独立专业部门牵头负责或由各个专业条线内部控制。在全行范围内,往往没有形成针对操作风险的统一的政策标准,各职能部门之间缺少必要的沟通协调,操作风险管理处于分散、割裂状态。总分支行制下的直线职能制削弱了内控力度,各级负责人横向权利过大,为操作风险的发生提供了空间。
管理方法和手段落后
国内商业银行的操作风险管理尚处于定性管理阶段,依赖专家管理,主要手段是质量控制。普遍没有建立起操作风险管理系统,对如何定量计算分析操作风险知之甚少,在开发和运用操作风险的资本分配模型上基本属于空白。国内银行目前所采取的操作风险管理手段和方法基本上难以反映本行操作风险的总体水平和分布结构,与国际上以资本约束为核心的操作风险管理差距不小。
数据积累和实践经验缺乏
操作风险管理需要信息系统强有力的支持,但是我国商业银行信息系统建设严重滞后。根据新巴塞尔协议,用于计算监管资本的内部操作风险计量法,必须建立在对内部损失数据至少5年的观察基础上。国内商业银行至今很少有建立损失事件数据库的,大多缺乏损失和风险方面的历史数据。另外,由于社会诚信机制不健全,行业数据和外部数据的真实性无法准确判断,也影响到风险计量和管理决策。
加强我国商业银行操作风险管理的建议
当前我国银行业治理结构和经营机制改革正在迈向深入,这为重建操作风险管理体系创造了良好机遇。我国商业银行应研究借鉴国际银行业操作风险管理的理论成果和实践经验,切实提高操作风险管理的能力和水平。
统一风险管理政策
制定和执行统一明确、能够体现对操作风险的偏好和承受能力的风险管理政策,具体包括:制定方针和开展原则;建立符合国际规则,但又符合本行特点的风险事件分类标准;根据自身业务规模、经营特点、内外部资料,制定各业务品种、业务单元的操作流程;确定风险计量和资本分配的方法,确定应对各类操作风险的应急措施。对操作风险成功和失败的案例进行连续性的分析,经验教训,等等。
提高操作风险管理技术
对新巴塞尔协议所建议的三种计量方法进行研究和选择,在做好数据收集、系统设计的基础上,逐步开发适合本行特点的内部风险计量模型。整合客户信息系统、资源管理系统、信贷管理系统、系统、资金管理系统等业务系统的信息,深度挖掘和充分使用本行内部信息资源。借助先进的IT技术,建立操作风险历史数据仓库,为测量风险、分配资本和设计模型提供基础。
健全操作风险管理组织
实行集中管理的操作风险治理结构,包括三个方面:一是设立独立的操作风险管理部门。如果单独设立的条件不成熟也应指定某个部门承担起该管理责任,但必须与市场、交易等部门进行分离,并保持分析判断、管理决策上严格的独立性。二是实施垂直化的风险控制流程。三是明确各部门在操作风险管理中的定位和职责,理顺董事会、高级管理层、操作风险管理部门、业务部门、内控部门、审计部门的管理边界。
强化操作风险管理
商业银行必须自上而下建立、倡导、执行操作风险管理文化。以董事会和高级管理层为代表的银行高层人员应首先提高对操作风险的认识程度,把操作风险作为风险管理的核心内容和基础工作。要在全行内部倡导操作风险管理的理念,把操作风险管理作为事关银行业务永续发展的重要工作进行宣传。应对各管理层次、各部门、各岗位开展操作风险培训,培育和提高每一个人的操作风险意识,使之掌握识别、分析、度量和控制操作风险的基本方法。应将操作风险管理落实在每一个员工的职责、行为中,加强监督和考评,对主动发现操作风险或改进操作风险管理的给予奖励,对有章不循的给予惩戒。
建立与国际接轨的经济资本约束和绩效考评机制
逐步改变传统的只关心当年帐面收益的绩效考核办法,提高资本对风险的敏感程度,强化经济资本约束。通过风险资本的计量与分配,运用风险调整资本收益率(RORAC),将可能发生的损失量化为。贯彻短期收益和长期收益兼顾、风险和收益并重的全面平衡发展的理念,从绩效考核和激励机制上促进全行关心操作风险的防范。
参考文献:
2.巴塞尔委员会.巴塞尔新资本协议,2004
操作风险管理例8
长期以来,社会各界对银行业的风险管理都聚焦于信用风险和市场风险,而对操作风险并未予以足够的重视,对其认识和管理都处于较低水平。然而,随着金融管制的放松、银行经营业务范围及产品的多样化和复杂化,操作风险的破坏力和影响力愈发显现,对其研究和管理也迫在眉睫。在此背景下,2004年的巴塞尔新资本协议规范了操作风险的定义①,并提出操作风险的最低资本要求,为各国银行业加强操作风险管理敲响警钟和提供指导;中国银监会于2007年6月了《商业银行操作风险管理指引》(以下简称《指引》),为加强银行业操作风险管理、推进完善银行业公司治理结构、提升风险管理能力提供指导。
一、我国银行业操作风险危机四伏
受旧体制等不利影响,我国银行业面临着严重的操作风险。表1列示了近年来部分银行操作风险事件。
通过综合分析我国银行业操作风险损失事件,其具有的特点主要有:
1.操作风险主要形式是欺诈①。欺诈包括内部员工的欺诈、外部人员的欺诈以及内外部勾结的欺诈,其中内部员工欺诈和内外部勾结的欺诈是我国当前存在的主要形式,并且这种类型的损失事件一旦发生,就具有单笔损失金额大和社会影响力大的特点。
2.操作风险大都发生在基层分支机构,且与上层机构的控制力负相关。我国银行的业务运作大多数集中在基层机构,总、分行则更偏重于行使管理职能,当分支机构距离较远、受到的监管较弱时,分支机构的一些违规操作就不易被发现,操作风险发生的可能性就更大。
二、我国银行业操作风险的影响因素
目前,我国银行业普遍存在内部控制制度不完善的问题,这是导致操作风险频发的最主要原因。我国银行业内部控制不健全性主要表现在:
1.操作风险管理意识薄弱。目前,我国银行业的主营业务仍以信贷为主,因此银行风险管理的焦点都集中于信用风险,而对于操作风险,从管理层到基层员工对其管理的意识都有待于提高。
2.操作风险专业化管理部门缺位。我国绝大多数银行均未设立独立的专业化的操作风险管理部门,对其管理主要是依靠非专业部门负责,以定性管理为主,主要依赖专家的主观判断,缺乏科学和专业的管理。此外,根据巴塞尔新资本协议,用于计算监管资本的内部操作风险计量法,必须建立在对内部损失数据至少5年的观察基础上,而我国由于缺乏数据,很少采用定量分析控制操作风险的科学方法。
3.分行制的组织形式不利于监管。我国银行主要采用分行制,该体制下的直线管理职能削弱了内部控制的力度和有效性,各层次的负责人横向权利过大,为操作风险的孕育提供了空间。
4.管理体系不完善。我国银行业普遍存在管理层次多而繁杂,各层次权责不清,缺乏相互制衡、权责明晰和相互独立的管理体系,容易出现管理的真空地带和重复低效管理。
5.管理制度不健全。我国银行业风险管理所需的制度建设不健全,现有的制度大都流于形式,存在不切实际、难以执行的问题,此外,仍有部分正常经营所必备的规章制度缺位,导致管理盲点的存在。
三、完善我国银行业操作风险管理体系
由于我国银行业对操作风险的重视长期不足,导致银行对操作风险的管理长期处于低效率和不足的水平。因此,克服各种不利因素,及时建立完善的操作风险管理体系,具有重要的现实意义。银行操作风险管理和内部控制在内容、对象和范围上有着密切的联系,因此健全内部控制机制的形成有助于银行操作风险的高效管理。本文结合COSO委员会关于内部控制五要素的阐述和银监会的《指引》,设计一套适合我国银行业操作风险管理的体系。
COSO委员会所述的内部控制包括五要素:控制环境、风险评估、控制活动、信息与沟通和监控,以下分别从这五方面构建操作风险管理体系。
(一)控制环境
控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素。控制环境塑造企业风险管理文化,影响银行内部各成员的风险意识,关系着风险管理控制制度的贯彻和执行。
《指引》指出,操作风险管理需要创造一个良好的控制环境。首先,银行董事会应充分了解本行的主要操作风险所在,把它作为一种必须管理的主要风险类别,努力促进这种公司文化的建立,并且提供充足的资源支持在各职能部门实施操作风险管理,还应当把操作风险管理纳入到业绩评估程序中,强调风险管理为银行关注重点。其次,应建立一个能够有效执行操作风险管理框架要求的组织架构,该组织架构应明确界定各职能部门的责权关系、上下级报告关系,并且制定严格的监管审计制度。最后,应根据本行对操作风险的承受能力,制定规范的操作风险管理政策,该政策应对存在于本行各类业务中的操作风险进行界定,列明本行操作风险的具体构成,应明确识别、评估、监测与控制操作风险所应依据的原则、政策和方法。
(二)风险评估
风险评估是指操作风险管理部根据职能部门的信息,识别、量化和分析相关风险以实现既定目标,从而形成操作风险管理的核心内容。风险评估系统包括以下三个子系统(如图1所示):1.风险识别子系统
风险识别子系统的作用是将操作风险进行定义和分类,它的主要部分是“知识库”。“知识库”是一种风险映射,将职能部门的业务与风险类别之间建立对应关系。具体来说,“知识库”将银行业务分为若干个风险档次,并将所有的业务归类到相应的风险档次之中,并存储在数据库的相应位置。
2.风险计量子系统
风险计量子系统由“模型库”和“预警库”组成。该系统在初步识别原始数据的基础上,利用“模型库”中的风险计量模型对风险进行量化,将定性的操作风险数字化。其中风险计量模型利用数理统计方法量化银行操作风险,“模型库”再将风险计量模型计算机程序化,即编写计算机软件以实现风险计量模型的功能。而“预警库”则是预先在系统内设定的不同职能部门的市场风险限额指标,在“模型库”计算出风险值之后,“预警库”就可以对实际风险承担与预先设定的风险限额自动比较,若发生超限额的情况,“预警库”会将该信息同时反馈到风险评价子系统中,实现实时风险监控的功能。
3.风险评价子系统
风险评价子系统主要提供风险汇总报告,并对各职能部门风险承担状况进行评价,为风险管理决策层提供支持。“报告库”针对经“模型库”风险计量子系统测量的风险结果,根据指定的报告模式进行综合汇总,为管理层提供银行风险的数据。“评价库”是对综合报告进行的深入分析,通过对具体风险的分析评价,提出风险改进意见。
总的说来,风险评估系统中,风险识别子系统归类操作风险,风险计量子系统量化操作风险,评价子系统评价并报告操作风险。这一系列活动的完成,关键在于设计出一整套计算机程序以实现上述几个子系统的功能。我国银行应当根据本行业务的特点,设计出自己的风险管理程序,或者直接从专业公司引进成熟又适合自身的风险管理系统。
(三)控制活动
控制活动是指那些有助于管理层决策顺利实施的政策和程序,主要包括明确银行各部门的职责、对各部门活动的控制和对偏离授权的行为进行调整。
首先,《指引》明确规定了各组织层次在操作风险管理系统中的职责,以便整个系统有条不紊的运作,各层次的职责具体为:银行高层负责制定操作风险管理的战略和总体政策;风险管理委员会建立风险管理的操作方法;各职能部门具体实施。
其次,对各职能部门活动的控制分为两个层次:第一个层次是各职能部门,应定期向负责操作风险管理的部门通报本部门操作风险管理的总体状况,及时通报重大操作风险事件;第二个层次是操作风险管理部门应当提供风险预警指标,将风险限额建立在各业务部门的不同的层面,然后为每个关键风险指标设定门槛值,一旦风险值超过门槛值则启动预警系统。
最后,操作风险部门应当对于超过门槛值的采取必要的整改措施,及时修正执行中的偏差。
(四)信息与沟通
各职能部门的信息沟通是整个操作风险系统的基础,系统的数据来源于各职能部门。只有将信息及时有效地传递给操作风险管理部,才能及时进行信息分类。《指引》规定,职能部门应当根据统一的操作风险管理评估方法,建立持续、有效的操作风险报告程序,从制度上建立有效的信息和沟通机制。此外,《指引》要求建立案件查处和相应的信息披露制度,通过对案件查处的信息披露有良好的警示作用,对案件的及时总结能有效地避免同类风险事件的发生。
(五)监控
监控的核心在于监控的制度性和监控的独立性。《指引》规定,监控的制度性建设要求风险管理委员会应当建立指向清晰的定期监控体系,清晰的监控系统可以明确监管者的责任范围,而定期监查行为有利于快速发现并且纠正操作风险。监控独立性依靠操作风险管理部与其他职能部门相对保持独立,不能存在从属关系,应当受董事会或其下属的审计委员会直接领导。
与此同时,银行还需要对其内部监管人员进行严格培训,使其对银行各项业务活动和岗位责任的执行情况依据相关制度标准进行监控,及时预见潜在风险并极力阻止其发生,实现银行操作风险的有效管理。
参考文献:
[1]阎达五,宁建波.双元控制主体构架下现代企业会计控制的新思考[J].会计研究,2000.
[2]钟伟.论跨国银行操作风险管理模型的新进展[J].学术月刊,2004.
[3]钟伟.新巴塞尔协议和操作风险高级衡量法框架[J].金融与经济,2005.
操作风险管理例9
[中图分类号] F830.4 [文献标识码] A [文章编号] 1006-5024(2008)07-0175-03
[作者简介] 乐友华,农行江西省分行经济师,法律顾问,硕士,研究方向为金融保险法。(江西 南昌 330008)
一、商业银行操作风险及特点
风险就是未来结果的不确定性。不确定性越高,风险就越大。由于分析角度不同,对银行风险分类的标准也不一。一般可分为市场风险(利率、汇率和资产价格)、信用风险、流动性风险、操作风险、法律风险、道德风险和国家风险。一般业界所说的三大风险是指信用风险、市场风险和操作风险。这是国际上巴塞尔委员会要求提取资本金的三类风险,是国际银行业和银行监管机构重点关注的三类风险。
对我国商业银行来说,操作风险是个新概念,但这并不表明我国商业银行中没有操作风险管理活动。事实上,各商业银行一直都有自己的操作风险管理实践,但一般使用“内部控制”一类的表述,而且,在多年内控管理过程中,各商业银行都程度不一地建立和制定了相关的管理框架、制度和措施。不过,相对于信用风险、市场风险管理而言,操作风险管理还缺乏识别标准、管理模式、数据积累等。
操作风险是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。操作风险包括法律风险,但不包括策略风险和声誉风险。具体表现就是商业银行因办理业务或内部管理出了差错;由于内部人员监守自盗,外部人员欺诈得手;电子系统硬件软件发生故障,网络遭到黑客侵袭;通信、电力中断;自然灾害、恐怖袭击等原因导致损失的银行风险,这些都属于操作风险。可见,操作风险不仅仅包括操作中的风险,还包括内部程序、信息科技系统和外部事件所带来的损失。
与信用风险和市场风险相比,操作风险主要有几个特点。第一,具有内生性,除自然灾害等外部事件引起的操作风险损失外,操作风险大多是在银行可控范围内的内生风险,信用风险和市场风险则为外生风险。第二,广泛性,操作风险的覆盖的范围相当广泛,与市场风险主要存在于交易类业务和信用风险主要存在于授信业务不同,操作风险普遍存在于商业银行的业务和管理中。此外,对于信用风险和市场风险来说,风险越高,收益越高,存在风险与收益的对应关系,而操作风险和收益没有太多联系。
二、操作风险识别和管理
操作风险主要表现为以下几种类型,商业银行在经营中需加以识别和管理。
(一)人为因素。主要为内部欺诈、主观违规、操作失误。主观违规有超授权授信行为、逆程序、过度信任造成管理缺位、岗位设置不合理造成监督空位、不良爱好(如涉毒、涉赌、涉黄)引发的违法违规。操作失误是由于员工技能水平不高、态度不认真在业务过程中的失误造成的,如数字输入错误、将取款记作存款等。由银行员工操作失误引起的操作风险一般具有损失小(当然不排除特殊情况)、发生频率高、难以事先预测的特征,因而非常难以防范。人员因素引发的操作风险,有的是作为,如主观违规,有的是不作为,如业务不熟出错,疏忽大意。
(二)流程因素。包括操作程序遗漏或忽略、产品设计缺陷、业务流程设计不合理等。过去认为流程越复杂、相互制约性越强越好。事实上,流程越简单越易于操作,流程越短越便于管理,设计越合理越利于控制。这样才能适应变化,确保效率和风险管理,流程设计不合理,有瑕疵,往往容易出现风险隐患。
(三)系统因素。系统是现代商业银行赖以生存的命脉。无论是业务发展如网上银行、现金管理还是风险监控,都离不开信息系统紧密支持。但是,商业银行高度依赖信息系统,信息数据高度集中也给银行带来新的风险管理难题,如系统安全稳定、IT技术风险防范、数据和信息质量,系统设计和开发战略风险,等等。系统出现如故障、瘫痪,系统不安全、通讯中断以及系统兼容性、稳定性、适宜性方面的操作风险很容易给银行带来巨大的经济损失和无法估量的信誉损失。此外,从操作风险发生的部位来看,当前与系统有关的操作风险日益增加。由于系统原因和流程问题导致犯罪分子利用系统漏洞实施金融诈骗已经成为妨碍我国银行业资金安全重大问题。
(四)外部因素。银行经营都是处于一定的政治、社会、经济环境中的,经营环境的变化、外部突发事件都会影响到银行的经营活动,甚至会产生损失。外部事件引起银行损失的范围非常广泛,包括外部欺诈、外部突发事件与外部经营环境的不利变化。外部人员的蓄意欺诈行为是近年来给银行造成损失最大、发生频率最高的操作风险之一,而内外勾结作案更是令商业银行防不胜防。外部欺诈包括骗贷、抢劫、偷盗、爆炸等风险因素。外部突发风险包括遭受冰冻雨雪、地震等自然灾害以及恐怖袭击、火灾等给商业银行带来的损失。外部经营环境的不利变化引起的操作风险是由于受宏观经济环境、银行监管法规变化使银行发生损失的风险。宏观经济环境的不利变化会给商业银行带来意想不到的损失。
三、商业银行操作风险管理的现状
目前,我国操作风险管理与监管尚处在一个较为初期的发展阶段。由银行监管部门以规范性文件关于操作风险监测方法或者具体操作模式还为时尚早。监管机构主要把重点放在提高操作风险(或内部控制)管理质量上,并且要求银行提高对操作风险的重视。
(一)商业银行操作风险的监管要求。2004年6月,巴塞尔委员会了新的资本协议,对银行操作风险提出了新的资本要求。据巴塞尔委员会估计,在银行业所有风险中,操作风险所造成的损失已经仅次于信用风险。2006年10月巴塞尔委员会的新版《有效银行监管核心原则》中,专门为“操作风险的监管”新增一条原则,制定了评估该原则执行情况的标准,提出了商业银行操作风险管理的最佳做法和监管指引。
目前,实施新资本协议的国家都按照新协议要求,明确将操作风险纳入资本监管范畴,国际上已形成了对操作风险加强监管的共识,已经形成了相关制度和监管标准。巴塞尔新资本协议对操作风险的有关规定是近年来国际金融界日益注重操作风险管理的制度体现,也是加强全面风险管理方面的新要求。
在未来几年内,我国银行界按照新资本协议的要求实施操作风险管理已是大势所趋。根据中国银监会《商业银行操作风险指引》要求,操作风险监管机构是中国银监会和派出机构。商业银行要履行报告义务,提交有关方面的审议报告,对有关政策和程序要报备。银监会定期要进行检查评估。对于高管严重违规、重大抢劫银行等操作风险事件商业银行必须报告银监会和其派出机构。另外,《商业银行操作风险指引》要求商业银行要根据自身实际操作风险管理的政策、选择适当的方法进行管理,采取一定的措施控制、降低操作风险。
(二)操作风险机制建设。国际上巴塞尔协议将人们的视线更多地集中于操作风险的监管资本要求上。但实际上,一个银行的资本量多少并不是管理成功与否的关键,加强操作风险管理最关键是加强商业银行操作风险的机制建设。
1.关于操作风险管理体系建设。关于操作风险管理的组织体系,各银行间存在着重大差异。各商业银行主要依据银监会《商业银行操作风险管理指引》要求逐步建立和探索适应本行的操作风险管理体系。该体系主要包括董事会的监督控制;高级管理层的职责;适当的组织架构;操作风险管理政策、方法和程序;计提操作风险所需资本等基本要素。董事会从总体上履行操作风险管理的职责。如制定总体战略、政策、定期审批报告等。高级管理层在操作风险管理中职责主要为执行董事会的有关决议,定期向董事会报告。各商业银行一般以与自身的风险管理战略和组织结构相匹配成立管理操作风险的部门。具体执行中操作风险人员可能被放在一个部门――操作风险管理部门,主要拟定本行操作风险管理政策、程序和具体的操作规程;建立并组织实施操作风险识别、评估、缓释(包括内部控制措施)和监测方法;定期检查操作风险的管理情况。有些银行在总行层面上建立了首席风险官,在各营运业务条线设置风险经理,对主要业务的关键、高发风险点进行实时监测。有些银行在专业领域内如法规部门、审计监察部门设立单独的风险监管部门,在管理好本部门的操作风险的基础上,为其他部门管理操作风险提供相关资源和支持。
2.商业银行操作风险管理有关政策。各商业银行正积极探索制定有效管理操作风险的政策和方法。首先,在操作风险政策制定方面,部分商业银行已经制定《操作风险管理政策框架》、《操作风险管理政策》,进一步明确了各行各级机构和部门在操作风险中的管理职责。针对操作风险的执行,制定具体执行措施,如详细的《案件防控及整改方案》、《基层机构关键风险点监控检查内容与操作指引》,同时,将操作风险控制基本要求植入业务流程改造和IT蓝图建设中。其次,为衡量分析操作风险建立操作风险管理技术标准。各商业银行正在积极研发风险控制与评估、关键风险指标、重大事件报告制度、损失数据收集和业务持续经营计划等工具。再次,识别操作风险,制定有关制度措施。根据银行风险的特点,加大对操作风险的识别,并针对性地制定制度措施,如对系统风险、外部等操作风险,有关行制定了详细的风险应急预案,增加应急措施;建立与新产品、新业务发展相对应的制度规定;修改更新产品和流程,塑造流程银行,按流程操作;增加制度执行建设,强化日常检查的频率,加强员工行为排查,等等。
四、对商业银行操作风险管理的几点启示
(一)引入全面风险管理。全面风险管理体系(Enterprise
wide Risk Management 简称ERM)是西方商业银行比较成熟的风险控制理念和技术。全面风险是风险管理的最终目标,全面风险管理,主要体现在它的全面性、全程性、全员性和系统性。操作风险与市场风险、信用风险有高度的相关性,操作风险与其他风险结合将导致风险更加复杂、更加分散,风险损失更加显著,将数倍、数十倍地被放大。因此,在风险管理中应将操作风险与市场风险、信用风险等各种风险联系起来进行全面的风险管理,保证风险管理政策统一、工作协调。同时,操作风险遍布商业银行内部各业务环节、产品线和不同的管理层面,不仅仅是依赖于一两个专门的部门监管,应该从本行、本部门、个人操作抓起。各商业银行应及时上升层次,逐步建立全面风险管理委员会下辖操作风险、信用风险和市场风险等风险管理委员会,制定全面风险管理政策,形成总体规划,发挥资本在风险覆盖、部门配置方面的作用。
(二)操作风险的缓释。操作风险是客观存在的,只要有人群、行为和活动,就一定存在操作风险,应尽量降低其发生的频率和所造成的损失。从操作风险的规避角度分析,操作风险可以分为可规避的操作风险、可降低的操作风险、可缓释的操作风险。除极少数应承担的操作风险外,大部分操作风险都有规律可循,其发生过程类似多米诺骨牌,有前因后果的连锁关系。因此,要查找出其发生规律,通过技术手段切断引发操作风险的关键环节,并通过必要的管理措施加以缓释。
1.商业银行一揽子保险和打包保险。火灾、自然灾害等引起的商业银行财产损失,商业银行的内外部欺诈,对高级管理层和员工的责任险等都可以通过保险公司一揽子保险和打包保险承保予以缓释,通过承保转移给保险公司。然而,目前国内保险公司尚未开发更多的针对商业银行操作风险的保险产品,保险方式、有关保险业务品种还有待保险公司创新。另外,保险公司对银行风险管理能力和财务承受能力还不能准确精算评估,各保险公司保费收取也存在重大分歧。如对于内外部欺诈引发的操作风险,各保险公司普遍收费高,无疑增加了银行的成本管理,也直接约束了操作风险的缓释。不过,相信随着金融市场的逐步开放,这一局面将逐步得到改善。
2.业务外包。除保险外,商业银行可以通过业务外包来缓释操作风险。将技术含量高、专业性强的有关业务交由专业机构管理,增加操作风险管理的效益性。如有关法律风险可聘请具有符合条件的外聘律师诉讼和仲裁;对于风险性高的守护、保卫、押运可聘请符合资质条件的保安公司管理;对于产品评估、网络维护、系统开发也可招标专业公司。当然,选择外包公司,不可能一包了事,也需加强双方之间的沟通,通过签订合同,明确双方权利和义务,合理转移风险。事实上基于双方的委托关系,最终的权利和义务应由商业银行承担。
(三)建立健全制度管理,狠抓制度落实。总结有关操作风险损失案例,其中大部分为有法不依,有章不循,制度落实不到位,管理缺位造成的风险损失。因此,要建立健全制度管理,狠抓制度落实,才能够使操作风险得到有效管理和控制,才能使因操作风险损失降到最低限度。一是做到制度到位,及时立、改、废有关制度,形成制度数据库,并根据实际情况将有关规章制度分解到各个部门、各个环节、各个岗位,形成操作指南和岗位流程;二是责任到人,处理到人。要及时跟踪检查执行,增加检查的频率和有效性,加大违规处罚力度,把隐患消灭在萌芽状态。
(四)加强合规管理与合规文化教育。商业银行要倡导和强化全员合规文化,引导全行员工树立对风险管理的责任意识,使风险意识突破传统的部门界限,真正融入全行各个部门、每位员工的行为规范和工作习惯之中,让员工认识到自身岗位关键风险点,形成防范风险的有效屏障。
总之,我国商业银行的操作风险管理要求不是一时之需,而是伴随商业银行发展的长期任务,如果要想保持现有的竞争优势,甚至在国际金融市场取得一定的地位,就必须不断提高自身的操作风险管理水平,全面加强风险管理。
参考文献:
[1]陈余化,赵榄.警惕商业银行操作风险监管走向误区[J].经济论坛,2006,(13).
[2]姜燕. 新巴塞尔协议框架下中国商业银行操作风险的度量与管理[D].北京:对外经济贸易大学, 2006.
操作风险管理例10
中图分类号:F830.33 文献标识码:A 文章编号:1001-828X(2013)11-0-01
一、我国商业银行操作风险管理的发展分析
2004年巴塞尔新资本协议后,全球银行业对操作风险的认识提升到一个新的层次。受国际监管理念的影响,同时受金融机构案件频发的警醒,近年来,我国监管机构和商业银行加大了操作风险管理力度。2005年银监会出台了防范操作风险的“十三条”规定,2007年5月,颁布了《商业银行操作风险管理指引》,并指出,操作风险是“由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险,包括法律风险,但不包括策略风险和声誉风险”,2008年9月又颁布了《商业银行操作风险监管资本计量指引》,指出商业银行选择标准法、替代标准法和高级计量法之一来计量操作风险的监管资本,2012年了《商业银行资本管理办法(试行)》,对新资本协议提出的操作风险组织架构、政策、工具、流程和报告路线方面的监管要求做出了全面承接与细化,并要求国内银行业在2018年前达标。至此,在中国银行业,操作风险管理被作为主要风险管理职能纳入了全面风险管理体系。
二、我国商业银行操作风险成因分析
(一)对操作风险管理的认识存在主观偏差
一是认为操作性风险是操作部门或操作岗位员工才会产生的业务风险,对操作风险的普遍性、危害性和长期性缺乏足够的认识,同时缺乏对操作风险的有效认识和整体把握。二是认为操作风险管理主要是管理层的任务,与自己的切身利益关系不大,导致操作风险管理的执行力度受到影响。三是管理层面还存在操作风险管理理念和认识深度参差不齐的现象,导致未能有效实施操作风险管理的规划。
(二)操作风险管理工具的实际应用有待加强
目前,我国商业银行的操作风险管理还处于初期阶段,管理基础比较薄弱。在风险管理实际执行中,对风险管理工具的认知和应用还存在报送数据、报告之类的初级操作,且报告的风险分析质量不高,数据错漏现象时有发生。另外,专业风险管理人才普遍欠缺,不能熟练运用操作风险三大工具实现风险识别、评估、监控和预警处理的全流程管理,使管理层不能全面深入了解所面临的操作风险,不能有效根据自身的承受能力和发展策略采取针对性的应对措施。
(三)操作风险监测分析不到位
目前,操作风险管理对事前的防范和事中的控制措施关注度不够,主要是对已发生或已存在的风险采取事后的管理处罚措施并提出相关的改进意见,管理部门通常将工作重点集中在事件后的突击检查、查找问题、整改工作和处理责任人等。操作不按流程、审核不到位、随意简化程序等问题依旧屡查屡犯,不能从根源上有效控制和防范操作风险。另外,风险预警体系不够健全,缺乏事前全面、系统的评价机制,不能有效的对风险损失事件进行预测和控制。
(四)基层操作风险相对突出
基层机构数量众多,管理链条过长,监管相对较弱,是违规操作发生的原因之一。根据监管部门的案情通报,大案要案及违规事件主要大部分都集中在银行的基层机构,反映出银行对基层机构的控制及基层机构自身的操作风险管理能力相对较弱,制度执行力不强,风险最为突出,基层营业网点操作风险主要表现在违规操作屡查屡犯。
三、我国商业银行操作风险管理的对策分析
(一)培育操作风险管理文化
管理者应充分了解本行操作风险现状,营造全员共同参与的操作风险管理环境,确立全面风险管理理念,从经营理念、管理制度、行为规范等方面形成内部积极和谐的风险管理文化氛围。组织多形式、分层次的操作风险管理培训,培训课程应涵盖操作风险管理实务、风险资本计量、操作风险管理师资培训等,保证各级员工获得足够的操作风险管理知识和技能。
(二)完善操作风险管理激励约束机制
改善和强化绩效考核和约束机制,加强对监管政策及要求的学习与传达。由于基层机构内控水平较为薄弱,操作风险管理应把基层机构的内控执行效果作为评价、验证操作风险管理的重要标准。不仅要加强对基层机构操作风险的及时监控,还应将风险因素的考核纳入网点负责人绩效考核范畴,并加大操作风险的考核权重,提高内控管理工作效果考核分值,明确奖惩标准。通过考核促进基层行重视操作风险管理,从而激发全体员工积极参与操作风险管理。
(三)加强内控管理与操作风险管理一体化建设
良好的内部控制建设,可有效防范起因于内部管理流程、人员以及系统的操作风险。实际工作中,对操作风险发挥主要控制作用的是内部控制体系。内控管理和操作风险管理工作一体化管理思路,要从组织与职责、体系与流程、管理工具和信息系统等方面将内控管理与操作风险管理两项工作整合起来,避免内控与操作风险管理中的重复工作,节约时间成本与人力资源。同时,借鉴操作风险的监控指标、风险容忍度等工具,使内控管理决策更加科学,成本效益比更趋合理。
(四)完善风险评估与监测体系,强化事前预警监测
建立操作风险监控分析平台,实现对异常交易的筛查、核查和验证,对交易、行为、实物进行实时监控。在日常管理中,应充分考虑IT资源成本优先实现对高风险业务的监控,并及时根据监控情况及业务发展实际,在现有的参数化预警模型基础上,进一步完善预警模型及监测体系,满足完善监控平台用户需求,加强对操作风险特性的识别,着力提升风险分析能力,识别和防控重大操作风险,促进业务流程优化和系统完善,完善的操作风险识别、计量、监测和控制程序。
参考文献:
[1]杨天玲.银行操作风险成因及对策研究来源[J].金融与保险,2008(06).
