操作风险管理篇1
2.关注显性风险管理,忽视隐性风险管理。第一,在业务发展导向上,由于注重规模和速度,强调业务增长数量,忽视质量。我国保险公司分支机构的设立主要以当地市场的保费量(市场份额)为依据,保险法规和监管要求对保费地位的过分强调在一定程度上导致保险公司把市场占比作为主要经营指标之一,这种没有兼顾质的基础上的量导致业务品质低下,风险因素增多。第二,保险公司的经营以抢占市场份额为主要目的,对产品风险的评估控制重视不足。第三,价格制定上以低价进行恶性竞争,盲目承保、劣质承保屡禁不止,由此引发财务风险和因信息不对称而带来的道德风险。第四,在发展的战略方针上,存在保险决策和经营的短期行为,对保险业及保险公司长远发展战略注重不够,这样势必导致对影响长远发展的风险因素考虑不周全。第五,在制度建设上,保险发展的制度环境和法律基础建设还很薄弱,一个有效的保险法律体系还未形成。
3.注重内生风险管理,忽视外生风险管理。一是保险公司一般都忽视对公众信用风险的管理,没有认真研究因恶性竞争而引起的欺诈、误导等严重缺乏公信力的行为对操作风险可能带来的严重后果;二是保险公司面对同业的恶性竞争,对如何发挥同业组织的作用来规范共同的市场行为,形成有序的竞争局面重视不够;三是对保险中介的风险管理严重失衡,部分公司无视保险中介的有关法律法规和同业组织的自律公约,不顾中介机构经营资格、职业道德状况等条件进行合作展业,忽视或不能对中介组织进行风险管控;四是缺乏对保险欺诈和误导进行风险管控的有效手段,保险欺诈造成的损失日趋加大,保险误导给展业带来的操作困难日益严重,由此对应的管控措施却尤为不力。
4.注重财务风险管理,忽视人力资本风险管理。保险业的快速发展凸现人才供应的脱节,由此引发同业挖角现象十分严重。在人才引进过程中,不考虑人才素质、业务品质、展业习惯和队伍结构,更不考虑竞争主体间队伍的相对稳定,导致保险公司间矛盾重重,也培养了一批专靠跳槽为生的业务员队伍,出现一批市场跳蚤。他们的行为表现在市场操作过程中本身就是风险源。
5.注重财务报表静态分析管理,忽视操作过程动态风险管控。当前保险公司一般所进行的月度经营分析、季度经营分析主要是事后静态地评价达标情况,对不达标机构和指标缺少预防硬措施,也没有月度的风险管理评价报告;由于有些风险管理指标无法量化,年初下达计划指标任务时也没有把风险管控作为关键指标;直接拓展业务的各级机构对应关键指标而制定的关键行动计划也主要是围绕关键指标的达成而进行。这些管理行为导致操作过程动态管控不力,如保费现金流的管理,应收管理人为的呆账、赖账现象时有发生。
6.没有建立健全风险管理组织机构。很多公司尤其是寿险公司没有单独设立风险管理部门及防灾防损管理部门,即使有这种机构的存在,其人力财力物力配备也严重不足。对于风险管理比较普遍的做法是成立稽核部门,而稽核的技术力量又相当薄弱,无法应对风险管理。
7.缺少针对分支机构的经营风险管理的专门政策。当前保险公司分支机构在经营过程中面临诸多风险,主要表现在如下方面:一是合规经营意识不强。一些基层保险公司违背市场规律,盲目或违规经营现象时有发生,同业非理性竞争手段更加隐蔽,主要通过合同外口头承诺、系统外违规操作等方式提供高保障范围来争取业务,导致保险公司经营风险积聚,特别是渗透经营中的商业贿赂问题耗蚀了行业利益,损害了保险业形象,加重了影响偿付能力的潜在风险。二是风险管控不严。如有的基层公司执行业务管理制度不严,有的营销员未在规定时间将投保资料和保费交公司,有的公司数据来源不规范,上下级机构之间销售和财务数据不一致等,这些现象导致和积累了经营风险。
二、操作风险产生的根本原因
1.经营主体自身潜在的道德风险导致习惯性的风险行为发生。保险公司为达到经营目标,违反市场规律和有关制度,为获得短期利益而对长期利益的损害是保险公司主要的道德风险,而导致这类道德风险的原因与保险公司实行的绩效考核办法有密切关系。因传统绩效考评办法中经营指标的份量大,会导致业绩冲动而潜在着道德风险。同时,行业非理性竞争必然让公司间的道德风险增加,这种看似个人行为导致的经营风险,其真正的症结却是保险公司内部风险抑制机制的缺位。我国保险公司面临的最大风险,就是这种层级过多、管控不力导致的操作风险和道德风险。
2.全面的风险管理环境没有形成。有效的风险管理受到很多环境因素或“软因素”,具体包括行业文化、管理风格等的影响,其中行业文化尤为突出。文化因子对于风险管理效能的影响呈倍数作用,先进的行业风险管理文化在风险管理过程中能起到事半功倍的作用,反之,滞后的风险管理文化对于风险管理效能的缩小作用也是呈倍数作用,如果从环境的角度去思考、去探索,往往能找到问题的答案。因此风险管理不仅需要从组织、流程、技术等方面去改进和完善,还需要从文化等环境因素方面去培育和经营。而当前整个行业都在急功近利地对市场进行
破坏性开采,没有进行行业的风险环境培育。
三、强化操作风险管理的对策
1.严格控制现金交易风险。保险公司应全面推行资金收付转账结算,严格遵守国家《现金管理条例》的有关规定,充分利用银行结算工具,尽可能减少使用现金,防范化解现金交易风险。一是要把禁止业务员经手客户现金的规定纳入公司内控制度和业务处理流程,向社会和客户进行宣传倡导,并在柜面建设、账户开立、POS机设置等方面创造便利条件,引导客户通过采取上门临柜、刷卡、柜员机转账、银行柜台交现或转账等多种方式与保险公司实现资金收付的直接结算。二是动员客户本人到营业柜台办理缴交、退保和赔款领取手续,或通过转账方式结算。
2.推广见费出单制度。见费出单是指先收费,后生成并出具保单。目前寿险公司普遍采用了见费出单制度,但产险公司一直通过应收来推动业务发展,导致人为操作风险的发生。各产险公司应对当前通行的先出单后收款的业务流程进行改造,尤其对于分散型业务应按下述基本流程进行处理:客户投保——预核保——生成投保及缴费信息提示书——客户凭信息提示书缴清保单——公司凭缴费凭据生成并出具保单及发票。
操作风险管理篇2
2、业务培训不到位。由于部分柜员素质达不到要求,又未及时参加新业务培训,造成操作人员对新业务不熟悉,潜藏着风险隐患。’
3、制度执行不到位。制度是员工行为的准则和业务操作的规范,一切活动都要严格按照制度的规定执行。但是不少员工缺乏遵守制度的观念和风险防范意识,往往有章不循、麻痹大意,加大了操作风险。
4、对操作风险重视不够。部分员工风险意识淡薄,缺乏对操作风险的足够认识。
5、思想教育不到位。在少数基层行,教育说起来重要,抓起来热闹,往往停留在表面,没有真正深入下去,对职工的思想政治工作缺乏针对性和有效性,尤其对职工“八小时”以外的活动失去控制。有的明明知道有不良表现,但就是没人去管。
6、短期行为严重。许多营业机构目光局限于完成考核任务,甚至不惜冒着违规操作的风险以实现短期业绩。许多员工在操作岗位,却被迫承担了大量营销任务。
制度本身存在一些问题。管理行没有对现行制度定期进行整合,致使有些制度不够精细、有些制度过于理想化、有些制度没有与业务发展同步修订,从而使制度可操作性差,某些关键控制点的规定存在遗漏,制度之间不能很好地衔接,甚至有的规定相互矛盾等。
缺乏保证制度执行的机制。一些单位对内部控制执行情况既没有检查监督,又没有相应的奖惩措施,内部控制制度成为墙上摆设和—纸空文。
构筑操作风险管理长效机制
实践证明,应加快构筑操作风险管理长效机制。风险控制和商业银行自身发展密不可分,贯穿于银行经营管理的全过程,只要是与人员相关的业务,都存在着操作风险。同时,随着金融体制改革的深化和金融市场开放程度的不断提高,我们面临的风险也将与日俱增。未来的竞争,其核心是风险管理水平的竞争,操作风险更是首位。要防范和化解操作风险点,就必须去认识、研究。要抓住风险点,逐个剖析,搞清原因,采取措施,对症下药。因此,构筑操作风险管理长效机制非常重要。
加强对操作风险的前瞻性研究。银行操作风险具有隐蔽性、智能性、职务性、突发性和破坏性。隐蔽时使人不知不觉,突发时让人措手不及。要掌握其分布状态、特征及走向,经常深入基层调查研究,听取:—线员工意见,分析风险要害点,定期交流情况。特别是对新业务、新产品的管理要加强研究,找出隐患,分析原因,更新技术,完善制度,总结经验。
加强对权力的制约和监督。对于管理高层:一是实行职权的分解,避免形成大权独揽和越权、专权;建立和完善决策机制,对重要干部的任免、重要业务的决策和大额资金的运用要通过科学的论证、集体决策;二是健全民主监督制度,明确同级监督的权利和程序,建立健全民主评议、职工参与管理的民;主监督机制;三是实行权力的公开,提高权力运行的透明度,使权力在行使的过程中得到广泛的监督。
对基层管理者:一是严把选拔关,二是按照规定进行交流、轮换,预防违纪违法行为和团体欺骗行为的发生。
建立和规范操作流程。要逐步建立一套有效的风险控制制度体系,如激励机制和风险控制奖惩制度等,并定期考评。同时把各项制度绘制成清晰的工作流程图,让每个人都能一目了然地知道办事程序,能够将工作形成的好经验固化下来,并且通过流程图能比较容易发现内部控制中的不足之处和风险点,从而有助于内部控制的持续改进。
操作风险管理篇3
一、认识合规风险和操作风险
1.什么是合规风险。根据新巴塞尔协议的定义,“合规风险”指的是:银行因未能遵循法律法规、监管要求、规则、自律性组织制定的有关准则、已经适用于银行自身业务活动的行为准则,而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。
合规风险广泛存在于金融机构业务和管理的各个方面,较其他风险更具有主观、主导等内生性特点,合规风险事件一旦发生,其后果更为严重。
2.什么是操作风险。操作风险是指由不完善或失灵的内部程序、人员和系统或外部事件导致损失的风险。
操作风险较分散,金融机构运营的任何方面都可能出现操作风险,且主体多样,可以由内部工作人员操作不当、管理流程设计缺陷、系统设计缺陷等引发,并多由于内部原因引起。
二、合规风险和操作风险的联系
1.合规风险可以诱发操作风险
合规风险往往是操作风险存在和发生的重要起因,或是因为对合规风险的不重视、未能及时掌握政策法规要求而触发了操作风险,或是明知不合规却由于外部刺激、利益驱使、侥幸心理等因素而引发了操作风险。金融机构“合规文化”的缺失,合规风险意识的淡漠,必将通过操作风险等形式暴露。
2.操作风险可以导致合规风险
操作风险是金融机构日常经营活动中最容易发生或数量最大的风险。操作风险可能是由于主观上的疏忽,也可能由于相对客观的原因给操作风险的发生提供了可能性。无论主观与否,操作风险发生的前提都与合规风险管理不到位有关。操作人员未能按照合规要求操作,设计人员和管理人员未能按合规要求执行或设置相应控制措施等等,最终往往导致合规风险的产生。
3.操作风险使合规风险管理难度增加
简单地理解合规风险,主要指金融机构做了违法、违规的事,而招致的风险或损失,其动机主要受机构主观性的行为影响。而由于操作风险的存在,其分散性的特点,动机的不确定性,使得风险发生的点更加错综复杂。从而由操作风险可能引起一系列连锁反应,包括引发其他类风险而最终导致合规风险事件,为合规风险管理增加了难度,使得合规风险管理与操作风险管理不能割裂地进行。
4.内部控制中的关联性
虽然合规风险与操作风险有诸如以上的这些联系,但仍然不可以把两种风险的管理等同起来,尤其不能仅以操作风险管理措施替代合规风险管理。因为操作风险往往针对具体操作人员或者流程的具体环节而言,而合规风险往往发生在已经过管理层、决策层审批的流程中不合规的设计基础上。这就意味着合规风险更多体现了制度设计层面、合规意识层面的缺陷,而操作风险更多体现了具体执行中风险发生的可能性。但在内部控制方面两者也有较大的关联性,一方面,合规风险与操作风险在控制目标、控制措施设计上可以联动考虑,增强风险管理的力度。另一方面,要明确控制措施所面对的主体,使得风险管控措施更具针对性。
三、合规风险与操作风险的管理措施
合规风险与操作风险的内在联系,使得两者在风险管控手段上有着许多的共通的地方,具体如下:
1.培育良好“合规文化”
合规风险和操作风险的发生常常由观念意识的不够端正引起,所以培育“合规文化”,是金融机构合规风险和操作风险管理的基础。合规文化包含诚信守法、自主自觉、团队意识、廉洁自律、坚守道德底线等诸多层面。要做到高管带头、员工主动,在运营管理的环节上坚持将“合规”作为决策标准之一;员工在实际操作时时刻不忘进行合规性审查,树立主动合规意识,克服被动心理、侥幸心理,并能够主动发现所负责业务和管理活动中的不足,及时改进风险管理措施。
通过培训、宣传等方式,解读最新政策法规要求、分析真实案例,强化全员的风险管理意识、约束员工违规行为。
良好的合规文化虽然不能完全杜绝合规风险和操作风险事故的发生,但却能在萌芽阶段大大降低两类风险发生的概率。
2.建立健全制度、流程
合规风险和操作风险管理要通过制定一整套合理合规的制度和流程作为管理的依据和支撑。
以标准化管理下的制度体系来说,主要包括技术标准体系、管理标准体系、工作标准体系。其中管理标准中明确了法人治理机构、各层级、职能部室、岗位的职责,业务操作和管理活动各环节的具体要求等。工作标准中针对各个岗位的主要职责、工作内容、关键业绩指标、岗位资格要求做了详细的规定。制度体系建设涉及金融机构底层设计层面的架构设置,是风险管理的前提,要以风险为导向,由各职能部室负责编制,指定部门统筹管理。
业务流程和管理流程设计将操作规范化,流程是建立在制度建设和合规风险管理基础上的程式化体现。细化的流程、合理的岗位配置、明确的风险点、有效的控制点设置都是防控操作风险较好的手段。
制度和流程都需要定期进行执行情况的检查和评价,建立更新、修编、审批机制,弥补缺陷、完善措施,确保制度和流程的合规性,避免违规事件的发生和纠正已发生的违规事件。
3.建立合规管理机制
合规风险和操作风险管理不能被动迫于外部的监管压力和法律强制性要求,金融机构要建立适合自身发展的合规管理机制。
合规管理部门应当根据外部法律环境和监管环境等的发展变化,分析政策指导文件对本机构的影响程度及工作完善方向,根据分析结果向经营层提出管理建议,并对业务部门和岗位进行合规风险提示,参与内部规章制度等的及时更新修订,为公司内部各个层面提供合规咨询。
合规管理部门要运用先进方法识别和评估风险,定期对操作风险等重要风险敞口实施监测。通过信息技术手段实现对风险的实时监测和预警。建立合规风险的识别、监测、评估与报告机制,及时发现、制定风险缓释和转移策略,及时制止由此造成的损失。
4.确保合规部门独立性
设置独立的合规部门是合规风险和操作风险管理的重要保障,它可以协助经营层做好合规风险和操作风险的统筹管理。
首先,将合规部门独立于其他职能部门,直接隶属于董事会,有直接向董事会汇报的畅通渠道,确保合规部门的独立性不受干扰。其次,构建合规风险管理机制,要让合规人员充分地参与到组织架构和制度流程的设计过程中,使依法合规经营原则渗透到制度流程的每一个环节中。最后,明确职责,具体执行部门仍然对合规风险和操作风险负有直接责任,合规部门的工作是否到位不能作为各业务部门不履行风险管理责任的借口。
5.完善信息系统建设
信息系统建设是提高合规风险和操作风险管理质量和效率的最有力支持,更是加强防范基层机构人员操作风险的保障。信息系统建立在既定的逻辑关系下,对业务操作、管理流程起到了刚性的控制作用,使得合规风险可信息化管理的部分得到了控制,将操作风险控制在一定可预计的范围内。同时,统计分析的优势得以体现,提高了风险实时监测的可能性,风险预警的及时性,以及实现信息的共享,风险报告和风险提示功能。
6.建立问责与考核机制
合规风险和操作风险的问责与考核机制明晰了风险责任,充分体现金融机构倡导合规经营和惩处违规的价值观念。同时,对触碰红线的行为起到警示作用。风险责任包括经办责任、审查责任、管理责任和领导责任等。将合规风险与操作风险指标纳入对机构、员工等级评定的体系,如果发现了合规风险和操作风险,一旦被内审部门或外部监管查实,相关责任人员将受到相应的惩罚。
参考文献:
[1]毕鹏Q.对我国小额贷款公司合规风险管理的探析[J].经济论坛,2016(08).
[2]尚峰.农信社合规风险管理工作的对策[J].中外企业家,2013(32).
操作风险管理篇4
一、操作风险的特点
(一)操作风险具有内生性
内生性是操作风险最本质的特点,其他风险或多或少都与操作风险有关联。简单的说就是操作风险主要产生于公司内部经营,是一种无法进行分散的风险,风险产生的严重程度取决于公司内部的经营状况。操作风险的内生性与以下几个方面有较大的关系:公司组织架构、公司人员构成、公司内部控制制度以及风险管理体系等。当然也有少部分操作风险发生于公司的外部经营环境,例如自然灾害的发生产生的风险以及恐怖袭击事件造成的风险。
(二)操作风险与其他风险具有关联性
上一小节阐述了操作风险具有内生性,在整个业务操作过程中,操作风险与各项金融活动紧密相连,所以与其他的风险也具有关联性。举例说明,套利活动减少了市场风险的同时,却引起相关的操作风险;运用相关技术对信用风险以及市场风险进行化解的同时可能会将这些风险转换成为操作风险,这些操作风险包括抵押、对冲等证券化的操作风险。
(三)操作风险具有复杂多样性
从业务流程来看,整个业务流程是由多方面组成的,所以操作风险包括着中间业务以及后台业务等,除此之外还包括着数据模型以及信息流通等技术问题。从范围来看,操作风险的发生与内部员工文化素质、公司治理水平等当面息息相关,组织结构波动越大,人员组成波动越大越容易产生操作风险。从形成原因来看,不但有外部的因素还有内部员工的不可控因素,这些事件很难做到事前预警以及事后的准确计量。
(四)操作风险难以度量
由于操作风险的复杂多样性,风险的度量一直是个难以解决的问题。主要是由于两方面的原因造成操作风险难以进行度量:第一是操作风险的产生来自于公司经营的方方面面,不可能每个方面都进行细分;第二是操作风险的度量受到来自环境的影响,对于环境的依赖性以及对于系统模型的有效性较高。操作风险度量操作起来较为复杂的原因还在于很多时候与人的因素是紧密联系,企业以及员工出于自身利益的考虑,选择隐瞒真实情况,选择“大事化小,小事化了”的方式来解决问题,这样在很大程度上影响了相关数据的收集,并且由于添加了复杂情况,相关数据的真实性也值得深思。
二、操作风险的危害
首先是保险销售人员出于自身利益考虑,而在销售过程中出现夸大保险收益水平或者是发生误导消费者的现象,从而导致退保现象的产生。其次是保险公司虽然表面上都有着完善的内控制度,但是由于存在着领导的指令代表一切的现象,所以规章制度的权威性便受到挑战,在这种情况下容易出现员工的怠慢情绪,领导权利的膨胀现象使得上下级出现失信的现象,不利于工作的进一步展开。最后由于信息系统的故障以及人员操作失误而导致的公司资料丢失,经营数据受损,不利于公司的日常经营。
三、保险公司操作风险管理的对策
(一)培育良好的企业文化
企业文化是在企业的发展过程中逐渐发展形成的,不是管理层个人主观意愿的产物,而是多方共同综合作用的结果,包括有企业自身的形态、企业所经营的各类产品、企业所提供的各项服务等。保险公司可以从两方面来培育良好的企业文化,第一,加强对员工的道德约束力以及行为的规范。如果员工没有风险管理的意识,再好的风险管理制度都是无用功。第二,建立自律的风险管理文化,自律是人们按照基本的行为准则来对自己的行为进行自我约束的一种行为。随着社会经济的不断发展,这些外在的环境对保险公司员工的思想观念、行为准则等方面产生了巨大的影响,出于个人利益考虑,近些年经常出现保险公司内部等不良现象,所以培育良好的企业文化,加强员工的道德约束将会减少操作风险的发生。
(二)完善相关激励机制
完善相关的激励机制指的是,保险公司将各级以及各类人员的奖罚与其自身行为进行挂钩,良好的激励机制能够带动员工的工作积极性,从而实现保险公司风险管理目标。通过设计相关激励机制,采用一定的标准和方法对保险公司操作风险进行控制及指导,能够更好的实现保险公司的风险管理目标。公司应当满足优秀员工对于职位晋升的要求,创造一切条件来为优秀员工施展自己的才华,采用合理的激励方式为他们的努力工作创造条件。除此之外,保险公司还应当不断为员工提供培训的机会以及获取新知识的机会,帮助员工提升自身专业技能水平,从而为公司创造更大的利益,合理的激励机制能够很大程度上调动员工工作的积极性,减少保险公司的操作风险。
(三)健全内部控制制度
对于保险公司操作风险产生的外部因素而言,其具有不控性,所以不可规避;对于内部因素而言,健全内部控制制度能够对其有着较好的管理。完善内部控制制度包括如下几方面:完善业务流程、人事管理以及会计制度。内部控制制度只能作为保险公司操作风险管理的一部分,内部控制是化解保险业风险的第一道关卡,对于实现风险管理有着重要的意义。内部控制是对于常规风险进行防范,包括有五个方面的要素,简而言之就是如何正确的进行工作,操作风险管理简而言之就是如何选择正确的事并且使之能够顺利完成。
(四)规范信息技术操作流程
信息系统是保险业务操作过程中必不可缺的一部分,同时也是操作风险高发的部分。对于信息系统的操作风险的管理,首先需要做的便是进行合理的分工,设立操作岗位以及监控岗位,做好岗位分离,这样相互牵制以及相互监督能够较好规避员工的操作风险。其次需要建立必要的上机操作记录,不仅有利于加强相关工作人员责任意识的培养,还有利于管理人员对信息技术监督检查工作的顺利进行。最后是对员工信息技术知识进行培训完善,保险公司日常工作的顺利进行都是基于信息系统,所以员工的技术知识及时更新能够更好的控制操作风险的产生。
参考文献
[1]卓志.风险管理理论研究[M].中国金融出版社,2006.
[2]魏巧琴.保险企业风险管理[M].上海财经大学出版社,2002.
[3]刘明彦.商业银行操作风险管理[M].中国经济出版社,2008.
操作风险管理篇5
第一,认为操作风险不如信用风险重要,因而重视程度不够。城商行大都认为目前开展的业务主要是信贷业务,因而信用风险是城商行面临的最大风险。相比较而言,操作风险没那么重要,对操作风险的管理也就不够重视。事实上,由于操作风险会影响到银行的声誉,往往会引发流动性风险。而城商行等中小银行的信用和声誉比大型银行脆弱,操作风险有可能对中小银行产生致命打击。因此,城商行等中小银行应更加重视操作风险及其管理。
第二,将操作风险等同于金融案件。现实中,由于操作风险发生后往往最终体现为案件,一些城商行风险管理人员就简单地将操作风险等同于金融案件。对操作风险的管理也就被案件防控所替代。这实际上人为缩减了操作风险的范畴。
第三,认为操作风险就是操作性风险。有不少人仅从字面理解操作风险,从而将操作风险视同于操作性风险,即只在柜面存汇、会计等操作性岗位存在的操作失误、差错等风险。而这类操作性风险仅仅是操作风险中的一小部分,即“高频低损”的那部分。从某种意义上说,此类“高频低损”的操作风险对城商行的危害要远低于“低频高损”的那一类。
第四,认为操作风险不可控、不可测,无法主动管理。操作风险大都由人员因素引发,因而具有突发性、隐蔽性、事先难预测等特征。一些风险管理人员据此认为操作风险无法主动管理。事实上,通过对较长时期大量数据和案例进行分析可以发现,操作风险有一定的规律性,且可以通过完善业务流程、开发风险预警系统等实现事先发现、主动防控。而在“被动管理”认识的支配下,由于不能投入大量资源,操作风险管理基础设施的建设无法有效开展,管理落后状况也就在所难免。
问题二:操作风险管理理念薄弱
操作风险管理理念就是银行开展操作风险管理活动的指导思想,是操作风险文化的重要组成部分。城商行操作风险管控能力不强、操作风险大案频发,在很大程度上归因于操作风险管理理念的薄弱。这一问题可归纳为“五重五轻”。
一是,重视业务发展,轻视操作风险管理。城商行普遍存在明显的规模情节和速度情节,把发展放在第一位,追求跨越式发展,忽视操作风险管理;在考核压力下,分支机构甚至出现违规操作、打球等情形。特别是放松对一些低风险业务的控制,盲目做大业务,潜藏巨大风险。齐鲁银行票据诈骗案正是典型。
二是,重视事后管理,轻视事前防范。基于“操作风险不可控”的认识,城商行普遍重视操作风险的事后管理,通过加强审计、加大责任追究等措施,试图通过严厉的处罚和惩戒起到警示作用,以达到降低操作风险的目的。事实证明,该管理思路的效果并不理想。
三是,重视个案查处,轻视全面分析。操作风险案件发生后,城商行通常情况下更强调对单个案件的查处和整改,但很少对银行历史上发生的操作风险案件及外部案件进行全面分析,从而使得操作风险管理的改善进程缓慢。
四是,重视基层人员管理,轻视高层人员管理。在“操作风险就是操作性风险”的认识下,城商行更加重视对基层一线操作人员的操作风险管理,无论是检查力度、频度,还是检查深度、范围,都远超过对管理人员尤其是中高层管理人员的管理。但事实显示,中高层管理人员引发的操作风险给银行造成的损失大大超过基层操作人员。
五是,重视审计稽核,轻视全面管理。以审计稽核替代操作风险管理,操作风险管理覆盖范围小,管控水平不高。
问题三:操作风险管理架构尚未建立
操作风险管理架构是商业银行开展操作风险管理活动的平台,也是明确各相关部门职责,建立完善管理流程的关键。从目前情况来看,大多数城商行尚未建立起完善的操作风险管理架构,导致操作风险管理缺乏总体负责部门,相关职责混乱不清,严重影响操作风险管理活动的开展。
首先,董事会和高级管理层下均设立了风险管理委员会,但这两个委员会主要负责的是对信用风险和市场风险的统筹管理,尚未真正将操作风险纳入管理范畴。
其次,各家城商行均设立了独立的风险管理部,但该部门普遍仅负责信用风险管理,并不承担操作风险管理职能。换句话说,大多数城商行没有设置专门的操作风险管理部门,相关管理职能分散在多个部门,导致重复管理与管理真空并存、管理效率低下等问题。在此情况下,主要由风险管理部负责建设的所谓全面风险管理体系并未将操作风险纳入其中,更多的是强调对信用风险的全流程、全覆盖管理。
最后,分支机构的操作风险管理职能缺失。与总行操作风险管理部门缺乏相对应,在分支机构层面也没有设置专门的部门或岗位负责操作风险管理,而是分散于会计主管、风险经理、合规员以及审计经理等不同条线的有关岗位上,缺乏总体协调。操作风险管理架构的不完善还造成风险汇报路线不清晰,进而导致董事会及高管层不能及时、全面掌握银行的操作风险总体状况。
问题四:内控体系不完善,操作风险管理手段单一
从现实来看,城商行操作风险管理手段单一,大多主要依靠内部控制中的传统流程控制和制度控制。而城商行普遍存在内控体系不完善问题,从而使得操作风险管理能力不高,操作风险大案屡有发生。第一,内部控制架构不完善,导致内控体系不健全。在公司治理层面,董事会未能承担起内控建设的最终职责,造成内控建
设缺乏全面性、前瞻性和持续性。在经营管理层没有专门的部门负责内控体系建设,各相关部门仅从条线管理角度开展内控活动,使得内控体系缺乏整体性。
第二,内控制度不完善。相当一部分城商行尚未建立起由战略层面、基本制度层面和操作层面等不同层面构成的内控制度体系,大多由各业务条线的业务管理办法或操作手册代替,制度对风险的控制力不强。
第三,内控关键措施缺乏,内控效果不高。关键岗位强制休假、轮岗轮调、不相容岗位相互分离等内控关键措施对控制操作风险具有很好效果。但相当一部分城商行或由于人员不足,或由于不重视等原因并未建立起上述内控举措,或日常经营管理活动中未能严格执行,使得内控效果打折扣。而很多操作风险案件的发生与这些内控关键措施的缺乏直接相关。
第四,内控监督评价职能较弱,内控持续改进机制没有形成。由于历史原因,城商行内审普遍薄弱,而这恰恰是内控监督评价的核心因素。从而造成对内控缺陷的识别能力不强,建立在此基础上的内控持续改进机制也就难以形成。
问题五:制度执行的监督评价机制缺乏,制度执行力不高
制度执行不力是很多城商行操作风险案件发生的直接原因,也是城商行操作风险管理中存在的普遍性问题。在很多情况下,有制度不执行给银行造成的危害更大,因为在有制度的情况下往往会让风险管控人员放松警惕,进而发生风险。造成城商行制度执行力不高的原因有以下两方面:
第一,更加重视制度建设过程,对制度出台后的执行情况则重视不够。在制订制度的过程中,总行各相关部门均会积极参与,出谋策划。但制度出台后,在如何将总行的意图和制度的内含准确、完整、及时传递至分支机构方面,则做得相对不够。造成分支机构不能准确把握政策意图,影响制度的有效执行。
第二,对制度执行的监督评价机制缺乏。制度出台后,相关部门并未建立起一种评价机制,以了解制度执行情况、执行中碰到的问题,以及制度与外部环境的适应性等,以便于对制度进行调整完善,造成制度制定与制度执行的脱节。此外,对有章不循、违规违章操作问题的处罚力度不够,难以起到震慑作用,也是造成制度执行不力的原因之一。
问题六:操作风险管理的电子化水平较低
操作风险管理篇6
操作风险,一般意义上指因操作流程不完善、人为过失、系统故障或外来因素所造成的经济损失,广泛存在于银行经营管理的各个领域,是银行经营管理面临的基础风险之一。商业银行日常工作中,典型的操作风险事件包括内部欺诈、外部欺诈、雇佣合同及工作状况带来的风险事件、客户或产品以及商业行为带来的风险事件、有形资产损失、经营中断或系统出错,以及涉及执行、交割以及交易过程管理的风险事件等。
巴塞尔委员2003年公布了《操作风险管理和监管稳健原则》,2004年修订的《新资本协议》中,明确地将操作风险的衡量和管理纳入金融机构的风险管理框架,与信用风险、市场风险一起纳入资本监管的范畴,并把操作风险明确定义为“由不完善或有问题的内部程序、员工、信息科技系统或外部事件所造成损失的风险”。
二、操作风险的特征
操作风险事件难以在事前充分预期,并往往来源于制度、系统缺陷和人员舞弊行为,具有较强的内生性,即使建立相对完善的内控制度和监督检查机制,也难以充分预计未来持续期内的所有变动因素并彻底杜绝内部舞弊所造成的违法违规行为,但与信用风险和市场风险相比,操作风险存在以下特征:
一是具体性,操作风险因素存在于银行的各项业务中,操作风险事件前后之间有关联,单个的操作风险因素与最终形成的操作性损失之间难以定量分析和界定,不易分散及量化,不同类型的操作风险具有各自的具体特性,与相对成熟的信用风险和市场风险的识别和计量方法不同,操作风险的准确识别和计量手段还需要银行进一步研发和完善。
二是分散性,操作风险管理主要涉及银行内部经营管理中各方面的不同风险,包括发生频率高、造成损失相对较低的日常业务流程处理上的小错误,以及发生频率低、造成损失相对较高的大规模舞弊、自然灾害等,与信用风险和市场风险多是外生性风险不同。操作风险与各类风险相互交叠,涉及面广,需要建立全面操作风险管理的体系,结合实际采用多种方法来覆盖分散于各项活动中的操作风险。
三是差异性,银行不同业务领域操作风险的表现方式存在差异。业务规模小、交易量小、结构变化不太迅速的业务领域,虽然操作风险造成的损失不一定低,但是发生操作风险的频率相对较低,而业务规模大、交易量大、结构变化迅速的业务领域,受到操作风险冲击的可能性也较大。从风险与收益的对应关系看,信用风险和市场风险的一般原则是风险高收益高,风险低收益低,但银行不能保证因承担操作风险而获得收益,而且在大多情况下操作风险损失与收益的产生没有必然的联系。
四复杂性,引起操作风险的因素较复杂,如产品的复杂性、产品营销渠道的拓展、人员流动以及规章制度的变化等都可能引起操作风险。而通常可以监测和识别的操作风险,与由此可能导致的损失的规模、频率之间不存在直接关系,常常带有鲜明的个案特征,与信用风险主要来源于客户和交易对手方,市场风险主要来源于市场上的各种价格波动不同。银行风险管理部门虽然可以结合实际制定操作风险管理不同时期的重点,但不易确定哪些因素对于操作风险管理来说是最重要的。
三、国内商业银行操作风险管理状况
新资本协议实施以来,国内商业银行按照相关要求,积极结合自身实际,对操作风险识别、评估、控制、报告等关键程序进行了规范,推进操作风险管理体系建设,完善了操作风险管理的内在机制,操作风险管理的框架体系已经基本建立。但是,与国外大银行相比仍存在一定差距,主要表现在:
一是操作风险管理未与业务发展同步。在全球经济一体化、社会与经济环境快速发展、商业银行全球化和综合化经营的趋势下,金融创新层出不穷,金融产品、服务的复杂性提高, 各项业务超常规发展,操作风险的类型不断演变, 在认识不到位、风险管理手段不足的情况下,发生操作风险和造成损失的可能性增加。
二是操作风险管理手段还不完善。我国商业银行长期以来偏重信用风险, 未设立独立的专业部门承担操作风险管理的职责,而是由非独立专业部门牵头负责或由各专业条线内部控制,对操作风险管理的统一的政策标准还不完善, 尚未建立起全面、系统地操作风险管理体系,导致有章不循,违章操作的现象时有发生。同时,操作风险管理的手段还显单一,主要采取定性管理、指标考核、质量控制等,在建立操作风险损失事件数据库、开展自评估、采用风险缓释工具等操作风险管理工具和方法,以及按照新资本协议的要求建立银行内部操作风险计量系统、采用定量和定性标准结合的资本计量模型、量化分析等操作风险计量方法方面,与国际先进商业银行还存在差距。
三是流程化、系统化地操作风险管控还需要改进。完善操作风险管理是过程与结果的结合,环环相扣,才能取得较好结果,其中任何一个环节出问题,都可能导致风险事件的发生。以信贷业务操作风险管理为例,按照操作风险管理及公司治理等要求,商业银行建立了包括风险预警、信贷授权、尽职调查、客户评价与项目评估、统一授信及集团风险控制、信贷独立审批、贷后管理、资产质量监测和考核、资产保全、内部审计及检查等在内的较为完善的信贷风险管控制度,但是因贷前调查、贷后管理不到位而引发的操作风险事件及损失远大于其他环节的风险及损失,反映出在信贷管理的全流程风险控制中统一、整体化的风险控制还需要改进和加强。
四、商业银行面临的主要操作风险及原因
商业银行的业务经营活动复杂多样,涉及不同类型的业务操作及各业务环节、产品和经营管理层面,操作过程中由于各种不确定因素的存在,产生不同的操作风险,按风险成因主要表现为以下类型:
一是内部程序不当导致的操作风险,主要是银行因业务流程设计不合理、制度管理不当、业务政策存在偏差、监督检查不到位,且未及时予以完善等原因,导致实际操作或执行困难,甚至给蓄意不法者留下漏洞而造成的风险及损失,如:贷款业务审贷未分离、会计业务关键岗位长期未轮换、不相容岗位未分离等。这类情况的影响较大,使一些违规行为有可乘之机,容易诱发重大违规事项或案件,危害性较大,需要及时完善内部控制予以防范。
二是人员因素导致的操作风险,主要是银行员工主观上不遵守职业道德,违法、违规或违章操作,或工作疏忽等行为导致的风险及损失,以及客观上业务岗位人员数量配备不足,或员工的自身业务能力及素质与岗位要求不符而导致的风险及损失。如:员工从事或参与社会高息融资活动、挪用银行资产或客户资金、发生业务差错等。前一类情况发生不多,一旦发生,后果及影响严重,即小概率大损失事件,需要加强员工行为排查防范于未燃,后一类情况情况较多,风险一般不大,即大概率小损失事件,通过加强业务学习,规范操作及业务检查,可以及时发现并纠正。
三是业务系统故障导致的操作风险,主要是银行IT系统、机具设备等因技术故障、设备失灵造成系统服务中断、数据错误等影响业务正常持续运行而导致的风险及损失。如:系统因感染病毒、遭到黑客攻击及软硬件故障不能正常运行时,导致系统瘫痪、崩溃,影响正常对外营业。这类情况发生的概率小,但影响较大,后果严重,损失严重并给银行带来负面声誉风险,需要通过完善应急机制,并加强演练,在故障发生第一时间响应并有效发挥作用。
四是外部事件导致的操作风险,主要是银行因外部不可预见的破坏性因素导致的风险及损失。如:自然环境灾害、社会动乱、暴力行为等。这类情况发生的概率小,其影响及后果事前不易评估,但应建立各类应急预案,并有明确、清晰报告路线,在发生此类事件时使上级管理机构能够及时获得信息,迅速应对,将风险降至最低。
五、完善操作风险管理的建议
相对信用风险和市场风险,操作风险更加难以事先计量和预测,完善操作风险管理的关键是过程控制。操作风险管理的核心环节是强化内部控制,建立良好的管理机制,在操作风险发生之初能够及时、有效地识别和处置风险。
一是加强业务培训及风险内控管理文化建设,进一步提高银行各级员工的综合素质。通过对业务操作、多岗位轮换,以及公司治理、外部监管标准、职业操守、典型案例等培训学习和监督检查, 提高员工履岗能力和尽职度,将操作风险管理落实在每一个员工的职责及行为中,树立科学的风险管理理念,自觉遵守规章制度,严格规范操作,培育良好的风险内控管理文化,促进制度执行力的提升。
二是按照公司治理及操作风险管理政策的要求,进一步完善内部控制,明确各部门的定位和职责,合理确定各部门的管理边界,形成分工明确、责任清晰、有效制衡的内部管理架构。针对操作风险易发部位制定有关管理细则,加强监督检查,定期开展操作风险与内部控制的自我评估检查,及时整改存在问题,并强化责任约束,提高各层级人员的工作尽职度。
三是结合新资本协议实施工作的相关要求,研究、完善操作风险识别计量方法和工具,提高操作风险管理技术。根据新巴塞尔协议风险资本计量的要求,结合实际逐步开发适合本行特点的内部风险计量工具及相关的管理办法,借助计算机技术建立操作风险历史数据仓库,为按高级法建立计量模型、分析测量风险、分配资本奠定基础。
四是做好操作风险管理工具与业务流程的结合。将操作风险管理嵌入业务流程,完善人控、机控手段,并建立完善操作风险绩效考核体系;加强关键风险点的调查分析,建立不同管理层次、不同条线的关键风险指标,并根据业务发展变化及时维护更新,对操作风险实时监控和早期预警;逐步建立主动识别与管理操作风险的内在机制,推动由被动承担风险向主动掌控风险转变,有效识别防范操作风险。
参考文献
[1]巴塞尔银行监管委员会《新资本协议》、《操作风险管理》文件.
[2]中国银行业监督管理委员会《关于加大防范操作风险工作力度的通知》.
操作风险管理篇7
参考新资本协议的定义,我国商业银行管理操作风险现阶段应遵循以下四项基本的原则:
(1)全面管理。未来我国商业银行的总部和国内外分支机构都必须建立完善的操作风险管理制度,控制操作风险损失。而操作风险管理具有高度分散化的特征,因此操作风险管理制度的控制力应该渗透到银行各项业务过程和各个操作环节,覆盖所有的部门、分支机构和岗位,并由全体员工执行。
(2)政策及时调整。由于目前我国银行业监管机构尚未对商业银行操作风险管理制订监管规则,我国商业银行经营战略、方针、政策也都处于变化当中,操作风险管理的政策制度应随着外部和内部环境的变化及时调整。
(3)成本与收益匹配。管理操作风险要付出一定的成本,商业银行的管理措施必须与具体业务的规模、复杂程度和特点相适应,通过付出合理的成本将操作风险损失控制在银行经营所能承受的范围内,不切实际地追求零操作风险并不可取。
(4)严格问责。目前我国商业银行正处于操作风险发生频率较高的阶段,应坚持严格问责的原则。银行内部操作流程的每一个环节都必须有明确的责任人,并严格按规定对违反制度的直接责任人和负有领导责任的管理人员进行问责。
操作风险的分类
新资本协议将操作风险损失事件分为内部欺诈,外部欺诈,就业政策和工作场所安全性,客户、产品及业务操作,实体资产损坏,业务中断和系统失败,执行、交割及流程管理七类,每一类还有相应的子类。但如何根据新协议对我国银行业面临的操作风险进行有效分类是实践中的一个难题。不少国内商业银行发生的操作风险事件带有典型的“中国特色”。因此,在新协议的指引下,结合我国商业银行的实际情况,对操作风险进行分类或许是当前一个比较合理的选择。
按照新协议中规定的操作风险的四类诱因,我国商业银行的操作风险类别大体可以分为:
(1)由于银行业务流程、制度管理存在不当或偏差而没有及时完善,导致操作或执行困难而产生的操作风险。比如,内部或对外流程不适当;责任分工不明确;文件残缺;合同标准文本条款残缺;合同标准文本条款对银行不利;文件记录内容不全面;合同标准文本中空白条款填写不完善或不正确;风险管理报告不充分;财务报表披露不充分;新业务或新产品已经在前台办理,相关的文件没有及时传达到前台;对前台相关业务的新规定没有及时传达到员工;对业务流程要求执行不力等。
(2)由于人员因素导致的操作风险。这类操作风险是当前我国银行业面临的主要操作风险。人员风险源于主观和客观因素,前者为银行员工不遵守职业道德,违章、违规或违法操作,单独或参与骗取、盗用银行资产和客户资产,或工作疏忽,其行为给银行造成直接经济损失;后者为员工的自身能力与岗位对人员素质要求不符给银行造成的直接经济损失。
(3)由于IT技术或技术应用环境失灵造成系统服务中断或造成错误的服务,或由于系统数据风险影响业务的正常运行而产生的操作风险。如科技投资风险;系统开发和执行风险;系统功能问题或系统失效风险;系统安全风险;法律或公共责任风险;风险管理模型风险等。
(4)来自外部的主观或客观因素产生的操作风险。如交易对手通过诉诸法律而使交易无效(并非主观故意或过失违反法律、法规、规章和规定);内部的管理规章制度与外部法律、法规或监管要求发生冲突;反洗钱活动不力;业务操作违规;对客户的隐私和数据保护不力;外部采购或供应商风险;外部开发过程中所面临的第三方中断必要资源的风险;火灾、洪水、其他自然灾害等。
操作风险管理组织架构设计
随着我国商业银行公司治理机制的完善,未来完整的操作风险管理组织架构应由董事会、高级管理层、商业银行总部履行操作风险管理的牵头部门、总部其他部门、国内外各级分支机构等构成。
在这个管理层级体系中,董事会应是我国商业银行操作风险管理的最高决策机构,负责制定操作风险管理的发展蓝图和体系框架,审议并批准操作风险基本管理制度。评判操作风险状况,对高级管理层、职能部门、各级机构履行操作风险管理职责情况进行定期评估,并提出改进要求,确保整个银行机构能够识别、衡量、监督及控制操作风险。确定整个银行操作风险可以接受的水平,监控整体操作风险状况是否符合本行的操作风险偏好,对特殊情况进行审议,必要时向董事会报告特殊情况等。
高级管理层负责执行董事会批准的操作风险管理战略、管理政策、基本管理制度,评估操作风险管理制度的有效性,监控相关管理制度的具体实施情况,识别相关管理制度的不足和缺陷,决定为完善操作风险管理而采取的重要措施或行动方案。
商业银行总部是履行操作风险管理的牵头部门,负责拟订有关加强操作风险管理的基本制度和办法,以及操作风险识别、评估、监测、控制、缓释、计量等方面的具体管理制度和报告制度,并向高级管理层报告有关情况;就完善操作风险管理及拟采取改进措施和行动方案提出意见和建议;牵头协调、监控、督导总部其他部门及各一级分行开展操作风险管理工作和执行高级管理层的决定,并向高级管理层报告有关情况;负责定期向高级管理层报告操作风险状况及其占用的经济资本状况等。
商业银行总部其他部门的主要职责包括:结合本部门实际情况负责制定本部门的操作风险管理制度,报备牵头管理的部门。负责建立本部门操作风险控制程序,贯彻操作风险管理的各项要求。积极掌握和运用操作风险管理技术、模型和经验,识别本部门存在于产品、业务、流程方面及其他方面的操作风险,并确保在推出新的产品、业务、流程及IT系统前,对其内在操作风险做出充分的评估,采取适当措施防范和化解操作风险。对本部门操作风险控制情况进行检查、监督,对主要业务范围内的操作风险暴露及操作风险事件进行持续监控,完成本部门操作风险状况的汇总、归集和分析工作,按时报送牵头部门。
国内外各级分支机构负责本级机构的操作风险管理,其主要职责包括:实施辖内操作风险信息的汇集、操作风险的监控和管理工作,并按相关要求向上级机构报告本级机构操作风险状况,同时向本级机构负责人汇报。对辖内各部门及下级机构的操作风险管理情况进行政策执行督导和检查,汇集辖内操作风险信息状况。通过自我评估等方法识别对实现工作目标有负面影响的各类内在因素(如本机构业务的性质和复杂程度、人员的素质、组织的变化及人员流失率等)及外在因素(如经济状况的波动、产业技术的改变、政策形势的变化等),制订或完善相应的操作风险管理制度,采取适当措施防范和化解操作风险。
我国银行业操作风险管理运行机制
未来我国商业银行操作风险管理的运行机制应该由识别和确定、量化和评估、缓释、监控、规避、报告等环节组成。
从操作风险的识别来看,首先要通过确定不同部门、不同分支机构、不同业务的操作风险事件来识别操作风险。由于操作风险表现程度上的差异,在确定操作风险事件时应根据对操作风险的历史经验、未来操作风险预测、潜在损失金额、潜在损失频率等因素,将操作风险事件进行一定的分类,如一类操作风险事件、二类操作风险事件和三类操作风险事件等。
操作风险的度量是现阶段我国商业银行最难以做到的。根据国际活跃银行的经验,一般是通过量化方法,归集和分析银行在不同部门、不同分支机构、不同业务的各类操作风险,全面衡量银行总体操作风险承受能力。随着战略投资者进入我国商业银行,我国的商业银行应借助战略投资者的风险管理技术,引进关键风险指标、战略风险评估、自我评估问卷、操作损失分析等方法,建立完整的操作风险度量体系。
操作风险缓释实际是银行操作风险的“出口”。我国的商业银行应根据操作风险管理的成本效益和预期损失相匹配原则,以及各类风险缓释措施在应用中的可操作性,针对不同类型操作风险事件可以考虑采取接受风险、减少业务量、实施外包、购买保险、调整流程、计提准备金、加强人员培训等不同的操作风险缓释措施。
操作风险的监控是现阶段我国商业银行管理操作风险的另外一个难点。操作风险事件涉及的领域非常宽泛,没有IT手段的强力支持,有效地监控操作风险几乎是一句空话。我国的商业银行应充分利用IT手段建立操作风险的监控体系,操作风险的信息应纳入整个银行企业级数据仓库项目中。在风险缓释措施难以奏效,风险监控手段不到位的情况下,如果业务产生的盈利无法覆盖可能带来的损失,应果断限制开展具有高操作风险的业务。
现阶段我国的商业银行应考虑建立操作风险管理的报告制度。完整的操作风险报告制度应涵盖报告内容、报告人员、报告频率等要素。操作风险报告的内容应包括操作风险类型,所有因操作风险事件产生的相关数据和损失原因,关键风险指标KRI、战略风险评估结果、自我评估问卷结果、操作损失分析结果,对监管机构、董事会稽核委员会、内外部审计机构等在检查中发现问题进行整改的结果等;无论是商业银行总部的职能部门,还是国内外各级分支机构都应该设立本级机构操作风险的报告人,由报告人负责报告辖内的操作风险状况;应区分报告的内容,确定操作风险报告的频率,有临时性报告、月度报告、季度报告等,对于重大操作风险事故或案件,应采取特事特报的方式,不设时限规定,使董事会和高级管理层能在第一时间获得准确信息。
我国银行业操作风险管理的环境建设
现阶段我国商业银行内部应特别注意操作风险管理的环境建设。
首先,银行董事会和高级管理层必须对操作风险给予足够的重视,营造由全体员工共同参与的操作风险管理环境,建立科学、有效的激励约束机制,提高员工的操作风险管理意识和职业道德素质。
其次,根据银行企业级数据仓库项目建设的总体规划,对计划实施的流程进行操作风险识别,同时建立及时归集操作风险损失的数据采集系统和数据库,提升操作风险管理水平。现阶段就应着手收集操作风险损失数据,实现连续、实时地监控和评估整个银行总体操作风险,确保总体操作风险水平在董事会确定的可以接受的范围内,同时使董事会和高级管理层能根据操作风险数据对操作风险状况进行有效评估。
第三,银行内部应加强对操作风险管理手段和方法的培训,保证各级员工获得操作风险管理方面足够的知识和技能。尤其是对新入行员工,应在上岗前将岗位的操作职责及操作技能作为培训的必要内容。
操作风险管理篇8
一、银行操作风险管理的背景
相对于信用风险和市场风险管理而言,银行操作风险管理一直以来没有受到足够的重视。近年来,由银行操作风险引发的案例更是层出不穷,这突显了操作风险管理的不足,积极推进操作风险管理框架的构建和努力提升操作风险管理水平已日益紧迫。2000年后,中国银行业操作风险管理得到较快发展。中国银监会先后颁布了针对商业银行的《商业银行内部控制指引》、《商业银行操作风险管理指引》和《商业银行操作风险监管资本计量指引》等文件,它们的实施标志着中国商业银行风险管理水平和银行业监管水平的提升,对指导和监管我国商业银行风险管理具有重要意义。但是,就操作风险而言,中国商业银行如何在上述指引性文件的框架内将操作风险管理和风险管理体系相整合将成为操作风险管理的难点所在。因此,本文试图构建一个以商业银行为主体、以全面风险管理理念为核心、以业务流程管理为基础的操作风险管理框架,从制度上保障操作风险管理的实施,从而提升我国商业银行风险管理水平。
二、商业银行操作风险管理框架的构建
(一)公司治理、组织结构与操作风险管理
公司治理结构是否健全是操作风险的重要来源之一。一方面,从操作风险产生的过程来看,包括流程管理、业务系统在内的各方面风险因素都依赖于银行从业人员的操作和管理,尤其是董事会和高管等核心人员对各类业务和风险的管理。另一方面,从近年来操作风险事故所涉及的银行内部人员特点来看,基层人员和高管人员均有涉及,虽然高管人员涉案的频率不高,但其危害性往往很大。由于因公司治理问题引发的操作风险往往对银行产生难以估计的重大危害,巴塞尔委员会在2006年颁布的《加强银行公司治理》和2011年颁布的《操作风险健全管理原则》文件中对股东会、董事会以及高管层在操作风险方面的角色和作用作出了详细的安排。
除银行治理结构外,良好的组织结构也是风险管理的基础。银行的组织结构是操作风险管理的基础。组织结构应该将操作风险管理绩效与银行目标及员工表现相联系。因此,如何把操作风险管理职能与权限在各组织部门分配是操作风险管理关键问题。
另外,操作风险与信用、市场等其他风险有很强的关联性,在设立银行操作风险管理的组织框架时,要考虑到全面风险管理的需要。特别是核心业务流程要注意各种风险的相互影响。单一的风险因素可能并不重大,而相关风险的联结可能引发重大风险。因此,公司治理、组织结构与全面风险管理有机结合才能形成银行操作风险管理框架的基础。
(二)操作风险管理流程
巴塞尔协会2003年2月颁布的《操作风险管理和监管的稳健原则》中,对银行操作风险管理的流程分为风险识别、评估、报告、管理和监测五个步骤,并建议银行应识别和评估所有重要产品、活动、程度和系统中固有的操作风险、应建立一套政策和程序来定期监测操作风险状况和重大的损失风险等。2011年6月《操作风险健全管理原则》文件中又指出公司操作风险管理职能应具有独立性,并且大银行与小银行之间应有所区别。因此,商业银行操作风险框架中至少应包括上述文件中包括的5个步骤,并充分考虑银行自身的风险策略、组织结构、信息技术等条件。
(三)操作风险权数的确定
巴塞尔协议Ⅱ揭示出银行全面风险管理的趋势是考虑市场、信用和操作等多种风险及其资本配置的全面风险管理框架。由于操作风险与市场风险、信用风险密不可分,许多跨国银行已经意识到应将操作风险的管理纳入到全面风险管理体系中来,将巴塞协议关于操作风险的相关文件进行整合,将操作风险与三大支柱之间的紧密联系起来,并考虑资本充足率、行业监管和市场约束的影响。因此,操作风险管理框架构建的关键是通过内部评级给操作风险一个风险权数。
三、操作风险管理框架对中国银行的启示
(一)确立与操作风险敏感的资本配置观
在巴塞尔协议Ⅱ将操作风险纳入资本监管之后,银行操作风险与资本配置更加敏感。中国银行业资本充足率偏低是长期以来的现实情况。因此,构建操作风险管理框架除了考虑银行治理结构、组织结构和内部控制以及银监会关于风险监管的要求之外,还需要从银行业资本充足率的特点考虑资本配置和商业银行操作风险框架构建问题。从长远来看,建立一个对资本配置敏感的操作风险管理框架对于银行的资产安全和经营目标实现是有利的,因此实现操作风险与市场、信用等其他风险的整合是中国银行操作风险管理发展一个必然趋势。
(二)中国操作风险管理框架构建的条件
虽然中国人民银行早在2000年9月并开始实施《商业银行内部控制指引》,并对我国商业银行建立操作风险和控制框架提出了初步的要求,但目前我国商业银行的操作风险管理依然处在起步阶段。操作风险管理框架构建必须适应现有业务发展水平和资源条件。为此,首先我国商业银行应结合风险管理和内部控制的要求配置人力资源,形成有效的横向制约机制。其次,通过强化现有员工思想道德水平、业务知识等措施来提高操作风险管理水平。另外,考虑到中国总分行制下操作风险管理的实施很大程度上依赖于自下而上的路径,因此,分行容易出现资本管理与风险管理“两张皮”的现象。对此,银行需要将风险管理与资本管理相结合。
(三)量化操作风险面临难题
量化操作风险是操作风险管理框架构建的难点。目前中国商业银行采用的方法是银监会《关于操作风险资本计量的监管指引》中的标准法,由银监会对每家银行分配风险的权重系数。这种方法适用于我国目前商业银行发展的情况,但不能反映银行业务各类别的风险特征。内部计量法得出的计量结果风险敏感性和准确性要高,但该方法关于预期损失和未预期损失之间有稳定关系的假设与实际情况相差较远,因此不适用。平衡记分卡法主观性较强,对于专家要求很高,我国目前也无法适用。损失分布法虽然在数据处理阶段比较复杂,但可能是我国操作风险管理管理框架的基本取向。
参考文献:
[1]钟伟,谢婷.新巴塞尔协议Ⅲ的新进展及其影响初探[J].国际金融研究,2011(3).
操作风险管理篇9
[作者简介] 乐友华,农行江西省分行经济师,法律顾问,硕士,研究方向为金融保险法。(江西 南昌 330008)
一、商业银行操作风险及特点
风险就是未来结果的不确定性。不确定性越高,风险就越大。由于分析角度不同,对银行风险分类的标准也不一。一般可分为市场风险(利率、汇率和资产价格)、信用风险、流动性风险、操作风险、法律风险、道德风险和国家风险。一般业界所说的三大风险是指信用风险、市场风险和操作风险。这是国际上巴塞尔委员会要求提取资本金的三类风险,是国际银行业和银行监管机构重点关注的三类风险。
对我国商业银行来说,操作风险是个新概念,但这并不表明我国商业银行中没有操作风险管理活动。事实上,各商业银行一直都有自己的操作风险管理实践,但一般使用“内部控制”一类的表述,而且,在多年内控管理过程中,各商业银行都程度不一地建立和制定了相关的管理框架、制度和措施。不过,相对于信用风险、市场风险管理而言,操作风险管理还缺乏识别标准、管理模式、数据积累等。
操作风险是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。操作风险包括法律风险,但不包括策略风险和声誉风险。具体表现就是商业银行因办理业务或内部管理出了差错;由于内部人员监守自盗,外部人员欺诈得手;电子系统硬件软件发生故障,网络遭到黑客侵袭;通信、电力中断;自然灾害、恐怖袭击等原因导致损失的银行风险,这些都属于操作风险。可见,操作风险不仅仅包括操作中的风险,还包括内部程序、信息科技系统和外部事件所带来的损失。
与信用风险和市场风险相比,操作风险主要有几个特点。第一,具有内生性,除自然灾害等外部事件引起的操作风险损失外,操作风险大多是在银行可控范围内的内生风险,信用风险和市场风险则为外生风险。第二,广泛性,操作风险的覆盖的范围相当广泛,与市场风险主要存在于交易类业务和信用风险主要存在于授信业务不同,操作风险普遍存在于商业银行的业务和管理中。此外,对于信用风险和市场风险来说,风险越高,收益越高,存在风险与收益的对应关系,而操作风险和收益没有太多联系。
二、操作风险识别和管理
操作风险主要表现为以下几种类型,商业银行在经营中需加以识别和管理。
(一)人为因素。主要为内部欺诈、主观违规、操作失误。主观违规有超授权授信行为、逆程序、过度信任造成管理缺位、岗位设置不合理造成监督空位、不良爱好(如涉毒、涉赌、涉黄)引发的违法违规。操作失误是由于员工技能水平不高、态度不认真在业务过程中的失误造成的,如数字输入错误、将取款记作存款等。由银行员工操作失误引起的操作风险一般具有损失小(当然不排除特殊情况)、发生频率高、难以事先预测的特征,因而非常难以防范。人员因素引发的操作风险,有的是作为,如主观违规,有的是不作为,如业务不熟出错,疏忽大意。
(二)流程因素。包括操作程序遗漏或忽略、产品设计缺陷、业务流程设计不合理等。过去认为流程越复杂、相互制约性越强越好。事实上,流程越简单越易于操作,流程越短越便于管理,设计越合理越利于控制。这样才能适应变化,确保效率和风险管理,流程设计不合理,有瑕疵,往往容易出现风险隐患。
(三)系统因素。系统是现代商业银行赖以生存的命脉。无论是业务发展如网上银行、现金管理还是风险监控,都离不开信息系统紧密支持。但是,商业银行高度依赖信息系统,信息数据高度集中也给银行带来新的风险管理难题,如系统安全稳定、IT技术风险防范、数据和信息质量,系统设计和开发战略风险,等等。系统出现如故障、瘫痪,系统不安全、通讯中断以及系统兼容性、稳定性、适宜性方面的操作风险很容易给银行带来巨大的经济损失和无法估量的信誉损失。此外,从操作风险发生的部位来看,当前与系统有关的操作风险日益增加。由于系统原因和流程问题导致犯罪分子利用系统漏洞实施金融诈骗已经成为妨碍我国银行业资金安全重大问题。
(四)外部因素。银行经营都是处于一定的政治、社会、经济环境中的,经营环境的变化、外部突发事件都会影响到银行的经营活动,甚至会产生损失。外部事件引起银行损失的范围非常广泛,包括外部欺诈、外部突发事件与外部经营环境的不利变化。外部人员的蓄意欺诈行为是近年来给银行造成损失最大、发生频率最高的操作风险之一,而内外勾结作案更是令商业银行防不胜防。外部欺诈包括骗贷、抢劫、偷盗、爆炸等风险因素。外部突发风险包括遭受冰冻雨雪、地震等自然灾害以及恐怖袭击、火灾等给商业银行带来的损失。外部经营环境的不利变化引起的操作风险是由于受宏观经济环境、银行监管法规变化使银行发生损失的风险。宏观经济环境的不利变化会给商业银行带来意想不到的损失。
三、商业银行操作风险管理的现状
目前,我国操作风险管理与监管尚处在一个较为初期的发展阶段。由银行监管部门以规范性文件关于操作风险监测方法或者具体操作模式还为时尚早。监管机构主要把重点放在提高操作风险(或内部控制)管理质量上,并且要求银行提高对操作风险的重视。
(一)商业银行操作风险的监管要求。2004年6月,巴塞尔委员会了新的资本协议,对银行操作风险提出了新的资本要求。据巴塞尔委员会估计,在银行业所有风险中,操作风险所造成的损失已经仅次于信用风险。2006年10月巴塞尔委员会的新版《有效银行监管核心原则》中,专门为“操作风险的监管”新增一条原则,制定了评估该原则执行情况的标准,提出了商业银行操作风险管理的最佳做法和监管指引。
目前,实施新资本协议的国家都按照新协议要求,明确将操作风险纳入资本监管范畴,国际上已形成了对操作风险加强监管的共识,已经形成了相关制度和监管标准。巴塞尔新资本协议对操作风险的有关规定是近年来国际金融界日益注重操作风险管理的制度体现,也是加强全面风险管理方面的新要求。
在未来几年内,我国银行界按照新资本协议的要求实施操作风险管理已是大势所趋。根据中国银监会《商业银行操作风险指引》要求,操作风险监管机构是中国银监会和派出机构。商业银行要履行报告义务,提交有关方面的审议报告,对有关政策和程序要报备。银监会定期要进行检查评估。对于高管严重违规、重大抢劫银行等操作风险事件商业银行必须报告银监会和其派出机构。另外,《商业银行操作风险指引》要求商业银行要根据自身实际操作风险管理的政策、选择适当的方法进行管理,采取一定的措施控制、降低操作风险。
(二)操作风险机制建设。国际上巴塞尔协议将人们的视线更多地集中于操作风险的监管资本要求上。但实际上,一个银行的资本量多少并不是管理成功与否的关键,加强操作风险管理最关键是加强商业银行操作风险的机制建设。
1.关于操作风险管理体系建设。关于操作风险管理的组织体系,各银行间存在着重大差异。各商业银行主要依据银监会《商业银行操作风险管理指引》要求逐步建立和探索适应本行的操作风险管理体系。该体系主要包括董事会的监督控制;高级管理层的职责;适当的组织架构;操作风险管理政策、方法和程序;计提操作风险所需资本等基本要素。董事会从总体上履行操作风险管理的职责。如制定总体战略、政策、定期审批报告等。高级管理层在操作风险管理中职责主要为执行董事会的有关决议,定期向董事会报告。各商业银行一般以与自身的风险管理战略和组织结构相匹配成立管理操作风险的部门。具体执行中操作风险人员可能被放在一个部门――操作风险管理部门,主要拟定本行操作风险管理政策、程序和具体的操作规程;建立并组织实施操作风险识别、评估、缓释(包括内部控制措施)和监测方法;定期检查操作风险的管理情况。有些银行在总行层面上建立了首席风险官,在各营运业务条线设置风险经理,对主要业务的关键、高发风险点进行实时监测。有些银行在专业领域内如法规部门、审计监察部门设立单独的风险监管部门,在管理好本部门的操作风险的基础上,为其他部门管理操作风险提供相关资源和支持。
2.商业银行操作风险管理有关政策。各商业银行正积极探索制定有效管理操作风险的政策和方法。首先,在操作风险政策制定方面,部分商业银行已经制定《操作风险管理政策框架》、《操作风险管理政策》,进一步明确了各行各级机构和部门在操作风险中的管理职责。针对操作风险的执行,制定具体执行措施,如详细的《案件防控及整改方案》、《基层机构关键风险点监控检查内容与操作指引》,同时,将操作风险控制基本要求植入业务流程改造和IT蓝图建设中。其次,为衡量分析操作风险建立操作风险管理技术标准。各商业银行正在积极研发风险控制与评估、关键风险指标、重大事件报告制度、损失数据收集和业务持续经营计划等工具。再次,识别操作风险,制定有关制度措施。根据银行风险的特点,加大对操作风险的识别,并针对性地制定制度措施,如对系统风险、外部等操作风险,有关行制定了详细的风险应急预案,增加应急措施;建立与新产品、新业务发展相对应的制度规定;修改更新产品和流程,塑造流程银行,按流程操作;增加制度执行建设,强化日常检查的频率,加强员工行为排查,等等。
四、对商业银行操作风险管理的几点启示
(一)引入全面风险管理。全面风险管理体系(Enterprise
wide Risk Management 简称ERM)是西方商业银行比较成熟的风险控制理念和技术。全面风险是风险管理的最终目标,全面风险管理,主要体现在它的全面性、全程性、全员性和系统性。操作风险与市场风险、信用风险有高度的相关性,操作风险与其他风险结合将导致风险更加复杂、更加分散,风险损失更加显著,将数倍、数十倍地被放大。因此,在风险管理中应将操作风险与市场风险、信用风险等各种风险联系起来进行全面的风险管理,保证风险管理政策统一、工作协调。同时,操作风险遍布商业银行内部各业务环节、产品线和不同的管理层面,不仅仅是依赖于一两个专门的部门监管,应该从本行、本部门、个人操作抓起。各商业银行应及时上升层次,逐步建立全面风险管理委员会下辖操作风险、信用风险和市场风险等风险管理委员会,制定全面风险管理政策,形成总体规划,发挥资本在风险覆盖、部门配置方面的作用。
(二)操作风险的缓释。操作风险是客观存在的,只要有人群、行为和活动,就一定存在操作风险,应尽量降低其发生的频率和所造成的损失。从操作风险的规避角度分析,操作风险可以分为可规避的操作风险、可降低的操作风险、可缓释的操作风险。除极少数应承担的操作风险外,大部分操作风险都有规律可循,其发生过程类似多米诺骨牌,有前因后果的连锁关系。因此,要查找出其发生规律,通过技术手段切断引发操作风险的关键环节,并通过必要的管理措施加以缓释。
1.商业银行一揽子保险和打包保险。火灾、自然灾害等引起的商业银行财产损失,商业银行的内外部欺诈,对高级管理层和员工的责任险等都可以通过保险公司一揽子保险和打包保险承保予以缓释,通过承保转移给保险公司。然而,目前国内保险公司尚未开发更多的针对商业银行操作风险的保险产品,保险方式、有关保险业务品种还有待保险公司创新。另外,保险公司对银行风险管理能力和财务承受能力还不能准确精算评估,各保险公司保费收取也存在重大分歧。如对于内外部欺诈引发的操作风险,各保险公司普遍收费高,无疑增加了银行的成本管理,也直接约束了操作风险的缓释。不过,相信随着金融市场的逐步开放,这一局面将逐步得到改善。
2.业务外包。除保险外,商业银行可以通过业务外包来缓释操作风险。将技术含量高、专业性强的有关业务交由专业机构管理,增加操作风险管理的效益性。如有关法律风险可聘请具有符合条件的外聘律师诉讼和仲裁;对于风险性高的守护、保卫、押运可聘请符合资质条件的保安公司管理;对于产品评估、网络维护、系统开发也可招标专业公司。当然,选择外包公司,不可能一包了事,也需加强双方之间的沟通,通过签订合同,明确双方权利和义务,合理转移风险。事实上基于双方的委托关系,最终的权利和义务应由商业银行承担。
(三)建立健全制度管理,狠抓制度落实。总结有关操作风险损失案例,其中大部分为有法不依,有章不循,制度落实不到位,管理缺位造成的风险损失。因此,要建立健全制度管理,狠抓制度落实,才能够使操作风险得到有效管理和控制,才能使因操作风险损失降到最低限度。一是做到制度到位,及时立、改、废有关制度,形成制度数据库,并根据实际情况将有关规章制度分解到各个部门、各个环节、各个岗位,形成操作指南和岗位流程;二是责任到人,处理到人。要及时跟踪检查执行,增加检查的频率和有效性,加大违规处罚力度,把隐患消灭在萌芽状态。
(四)加强合规管理与合规文化教育。商业银行要倡导和强化全员合规文化,引导全行员工树立对风险管理的责任意识,使风险意识突破传统的部门界限,真正融入全行各个部门、每位员工的行为规范和工作习惯之中,让员工认识到自身岗位关键风险点,形成防范风险的有效屏障。
总之,我国商业银行的操作风险管理要求不是一时之需,而是伴随商业银行发展的长期任务,如果要想保持现有的竞争优势,甚至在国际金融市场取得一定的地位,就必须不断提高自身的操作风险管理水平,全面加强风险管理。
参考文献:
[1]陈余化,赵榄.警惕商业银行操作风险监管走向误区[J].经济论坛,2006,(13).
[2]姜燕. 新巴塞尔协议框架下中国商业银行操作风险的度量与管理[D].北京:对外经济贸易大学, 2006.
操作风险管理篇10
【正文】:
随着我国金融体制改革的逐步深化和商业银行股份制改造的稳步推进,金融市场竞争不断加剧,金融产品日新月异,与此同时,银行经营在必须控制和管理一些传统的风险如信用风险、市场风险、国家风险等之外,不得不面临着一类新的风险——“操作风险”的挑战。
操作风险是指由于银行内部程序、人员、系统不充足或者运行失当以及因为外部事件的冲击等导致直接或间接损失的可能性的风险。例如,1995年的巴林银行倒闭、1996年三井住友银行的巨额亏损以及2001年中国银行的开平案件,均可视为由操作风险所致。这类风险一旦发生,往往给银行带来巨大损失,严重时会直接导致银行的破产和倒闭,甚至还会对整个金融行业或国民经济运行都产生巨大的影响,因而越来越引起投资者、金融界、监管当局的重视。自然地,防范和控制操作风险也成为银行经营管理者的一个重要课题。
本文将首先介绍银行操作风险的内涵和实质,并揭示当前商业银行在操作风险管理方面的现状。之后,分析造成操作风险的主要原因,然后,在前面论述的基础上提出加强银行操作风险管理的方法和建议。
一、商业银行操作风险的实质、内涵和管理要求
巴塞尔新资本协议把操作风险定义为:操作风险是指由于银行内部程序、人员、系统不充足或者运行失当以及因为外部事件的冲击等导致直接或间接损失的可能性的风险。从操作风险的定义中不难看出操作风险包括内部程序、人员、系统三大方面的主要内容,也是认识操作风险的关键环节。
(一)全面认识操作风险的实质和内涵
认识事物是改造事物的前提和关键,对操作风险的认知程度越高,才能有效的提升操作风险管理的地位和管理的水准,有了正确的操作风险的认识,才能够上升到宏观的决策和微观的具体落实。张吉光认为:“商业银行在操作风险管理中,对操作风险的认识存在五大方面错误或偏差”。 (注1)通过对操作风险管理理论的研究,笔者认为:解决操作风险管理认识上存在错误或偏差,成为提高操作风险管理水平的关键。具体而言,要全面认识和了解操作风险,需要消除以下几方面的误区。
1、操作风险不能等同于操作性风险和操作中的风险
根据巴塞尔新资本协议的定义,操作风险可以分为四类:人员因素引起的操作风险、流程因素引起的操作风险、系统因素引起的操作风险和外部事件引起的操作风险。人员因素引起的操作风险包括操作失误、违法行为(员工内部欺诈/内外勾结)、违反用工法、关键人员流失等情况。流程因素引起的操作风险又分为流程设计不合理和流程执行不严格两种情况。而系统因素引起的操作风险包括系统失灵和系统漏洞两种情况。外部事件引起的操作风险主要是指外部欺诈、突发事件以及银行经营环境的不利变化等情况。其中,属于操作性风险的仅包括人员因素引起的操作风险中的操作失误、违法行为、越权行为和流程因素引起的操作风险中的流程执行不严格的情况。显然,操作性风险不能等同于操作风险,尽管操作性风险是操作风险中发生频率最大、占比最高的风险类型。从笔者搜集整理的近几年来国内商业银行发生的近50起操作风险案例的数据显示,操作性风险占总数的比例为70%。将操作风险狭隘地定义为操作性风险的做法,往往会使得建立在这一认识基础上的操作风险管理体系不能覆盖所有的操作风险,从而使银行难以防范那些突发事件的冲击,如前一段时间工商银行北京市分行出现的系统瘫痪、美国发生的“911”恐怖袭击等。
2、操作风险不能等同于金融犯罪
金融犯罪仅是操作风险中的主要类型,并不能涵盖所有类型的操作风险。根据我国对金融犯罪的定义,金融犯罪是指在金融活动中,侵害金融管理制度、金融市场秩序以及其他社会经济关系,依照我国刑法规定,应当受到刑法处罚的行为。对比巴塞尔委员会关于操作风险的定义,金融犯罪显然不包括那些由于银行自身不完善的流程和系统漏洞以及外部事件等因素造成的操作风险。最简单的例子就是操作失误,比如银行员工误将取款操作成存款,或者数字录入错误等均属于操作风险的范畴,但并不构成犯罪。将操作风险等同于金融犯罪,往往会使商业银行无意识地缩小操作风险的管理范围,错误地将操作风险管理等同于金融犯罪管理,从而将操作风险管理职责不恰当地赋予内部审计或安全保卫部门。这恰恰是造成目前我国商业银行操作风险管理进展缓慢的原因所在。
3、操作风险是可以计量的,应该为操作风险配置资本
表面上看操作风险确实无规律可循。事实上,这只是人们观察问题的角度不正确造成的。如果我们就单个年份来看,一些操作风险事件是无规律的,一旦将这些操作风险事件放在很长一段时间和同类型的大量数据中来看,我们会发现,这些操作风险往往会以某种稳定的概率发生。这正是人们量化操作风险的基础。最早提出操作风险量化模型的是Duncan Wilson。他在1995年12月的《risk》杂志中发表了“操作Var”的文章。文章认为,操作风险可以使用“在险值(Var)”技术进行测度,银行可以建立来自于内部和外部的操作损失事件数据库,并从数据拟合操作损失的分布,通过设置一个置信区间,比如95%,银行就可以计算出操作风险的Var,也就可以为其分配资本了。为操作风险分配资本的最大好处就在于,当银行遭受某种灾难性损失的时候不至于瘫痪,甚至于倒闭。在不可量化思想的支配下,很难想象银行会致力于操作风险量化模型的开发。这或许是国内商业银行操作风险管理水平难以提升的重要原因之一。
4、操作风险事件之间是相互联系的而不是孤立的
从表面看,工作人员的操作失误、银行员工的欺诈以及关键人员的流失三者之间并无多大联系。而停电、诈骗以及“非典”之间更是风马牛不相及。由此,很多人得出“各种操作风险事件之间是孤立的、毫无联系的,从而操作风险是突发事件”的结论。这其实是忽 略了隐藏在不同表面现象背后的共性本质,忽略了众多随机变量近似地服从正态分布的统计原理。以工作人员操作失误、银行员工欺诈和关键人员流失三类风险事件来看,它们的本质均是人的因素引起的操作风险,且在足够长期限和足够多数据的情况下可以近似地描绘出其概率分布。停电、诈骗与“非典”之间的关系与此相似,三者均属于外部因素造成的操作风险,且众多上述事件同样会近似地服从正态分布。只有看到各种操作风险事件之间的联系,才能准确地描述银行面临的操作风险,进而从整体上把握操作风险。这正是巴塞尔委员会关于操作风险定义的基础所在。那种以孤立的、隔离的眼光看待操作风险的做法只能将各个操作风险视作突发事件,也就无法从整体上把握银行面临的操作风险,更不用说对其进行科学有效的管理了。目前国内很多银行就存在这一问题,当面对“非典”冲击之时,当遭受系统瘫痪之时,银行并未从操作风险的角度对之进行系统分析和把握,只是将其看作突如其来的偶然事件,应付过去。如此一来,银行根本不会想到为其准备应急预案和分配经济资本。再次面对类似事件,银行只能是屡屡受损,甚至于出现灾难性的后果。
操作风险的认识还应注意到操作风险的管理不仅仅是稽核审计部门的事,应该是业务生产各环节的管理要求;管理者非常容易对市场风险和信用风险管理产生偏好,不应该因此而忽视操作风险的重要地位;操作风险应重视资源的投入,尤其是更多的人力(培养专业的操作风险管理人才,建设操作风险管理的团队)、财力(投入资金用于操作风险的模型和系统建设)、物力(配置更多的固定资产资源,为操作风险管理的实施提供环境和保障)等等方面的投入。只有对操作风险有了清醒认识、足够的重视,才能上升到如何落实和实施操作风险的管理过程及事后的评价。
(二)、巴塞尔委员会对管理操作风险提出的要求
巴曙松在《巴塞尔新资本协议研究》一书中曾经提到:“操作风险的管理需要强调风险管理环境、风险管理过程、监管者的作用和信息披露的作用”(注2)。巴塞尔委员会在总结国际金融界经验的基础上,将管理操作风险归纳为四部分的具体要求:
1、建立适当的风险管理环境
巴塞尔委员会认为,对银行来说,应当首先建立适当的风险管理环境,这要求董事会应当了解作为一个独特的、可以控制的风险种类-----银行操作风险的主要方面,应当批准和定期审查银行的操作风险战略。该战略应该能够反映银行的风险容忍程度及其对这种风险种类的特定特征的理解。巴塞尔委员会也承认,银行组织内部的信息流程在建立和维持一个有效的操作风险管理框架方面可以发挥重要作用。
2、风险管理过程:识别、衡量、监督和控制
巴塞尔委员会认为,银行应当建立识别操作风险的类别、衡量操作风险的方法、监督操作风险的手段和控制操作风险的机制等的电子化管理系统。对操作风险的整个过程进行跟踪,有效的管理操作风险的全过程。建立衡量操作风险的必要方法,实施可以持续监督操作风险暴露和重大业务损失的应用系统。
3、监管者的作用
在建立适当的风险环境和全程的风险管理过程的基础上,监管者应对银行与操作风险相关的战略、政策、程序和做法直接或间接地进行定期的独立评价,使之可以及时的修正错误的环节。并保证银行具备一个有效的报告机制,使他们可以及时了解银行操作风险管理执行过程是否按照计定的方针政策行事,使监管者亦可了解政策方针落实的进展情况。
4、信息披露的作用。
准确、及时、完整的信息披露是管理操作风险的重要环节之一,在操作风险管理和监管中发挥着重要的作用。巴塞尔委员会要求银行应向公众进行充分的信息披露,使市场参与者可以对银行的操作风险暴露及其操作风险管理质量进行评估,从而选择各自的风险偏好,由市场机制评价和吸纳操作风险带来的可能性风险。
二、商业银行操作风险管理的现状
商业银行的发展史已有三百多年。“操作风险”一个曾经不被人们重视而却与商业银行发展伴生的风险种类,越来越显示出它的重要性,由于商业银行对操作风险的管理重视不够、认识不清、手段单一、方法陈旧、人才匮乏,致使操作风险肆虐,使商业银行付出了沉重的代价。
(一)、商业银行忽视操作风险所带来的沉重代价
商业银行中流传这样一句话:“谁忽视了操作风险,谁将为之付出惨痛的代价。”事实也证明了
这一点。近十年,金融界的重量级案件频发,从95年巴林银行的李森事件到05年中国银行分理处主任高山的票据诈骗案等,短短十年间,一系列由操作风险而引发的案例给商业银行造成了数以亿计的巨大损失(参见附表)。
商业银行操作风险形成损失的典型案例统计表
涉案银行名称 案件时间 案情简述 造成损失 总结教训
巴林银行 1995年 交易员李森私自开立“88888”账户隐瞒投机日经指数期货亏损。 14亿美元 管理松懈,监督不利,有章不循。
大和银行 1995年 交易员井口俊英从事3万笔未经授权的账外买卖美国联邦债券的交易形成损失。 11亿美元 越权违规,缺乏制衡,授权无度。
三井住友银行 1996年 交易员滨中泰男从事投机铜的期货交易造成亏损。 40亿美元 违规操作,监控不利。忽视管理。
中国银行开平支行 2001年 交易及管理人员余振东等人从事外汇买卖、账外贷款、盗用联行资金等方式造成银行损失。 4.8亿美元 超权越权,违规违法,作假藏真,监控失灵。
中国银行河松街分理处 2005年 分理处的负责人高山内外勾结,私自开出假票据,私自挪用客户的存款,使银行形成损失。 10亿人民币 内外勾结,违规违法,监控失灵。
(数据来源:摘自中国经营报和国际金融报)
操作风险带来的黑洞使一些商业银行付出惨痛的代价。 触目惊心的案件应该让监管者意识到监
管的乏力。
(二)、商业银行对操作风险管理存在诸多错误的认识
操作风险之所以越来越给商业银行的经营带来难以承受的风险压力,究其原因主要是因为对操
作风险的认识出现了偏差。归纳起来主要有以下几个方面:
1、认为操作风险就是操作性风险或操作中的风险。
如果仅从字面上去理解操作风险,很容易将其理解为操作中的风险。这实际上是大错特错,极大地缩小了操作风险所包含的范畴。
2、认为操作风险等同于金融犯罪。
国际上商业银行业风险管理的实践表明,人们对操作风险的认识是从金融犯罪开始的。百年老店巴林银行的倒闭正是交易员李森犯罪所致。人们对金融犯罪的熟悉程度远高于操作风险,所以容易误认为金融犯罪就是操作风险。
3、认为操作风险是无法计量的,不可以量化的。
长期以来,人们对操作风险的描述更多的是局限于定性内容,很少有定量内容。这是由操作风险的特点所决定的。
4、认为各种操作风险事件之间是孤立的、毫无联系的。
表面看来,工作人员的操作失误、银行员工的欺诈以及关键人员的流失三者之间是相对独立的事件,相互之间并无多大联系。
5、认为操作风险管理只是内部稽核审计部门的事情,与其他部门无关。
很多商业银行的管理者将操作风险等同于 操作性风险或操作中的风险。这种认识误区往往会导致另外一种错误认识,即认为操作风险管理只是银行内部稽核审计部门的事情,与其他部门无关,进而将操作风险管理职责不恰当地赋予内部稽核审计部门。
6、认为决策层只重视信贷风险和市场风险,商业银行就可高枕无忧。
许多管理者认为:商业银行的信用风险和市场风险是最重要的,操作风险只是日常业务处理过程中的一般差错,并不会对银行的资本构成多大的威胁。
7、认为操作风险的控制手段可以简化,不需要浪费更多的人力、财力和物力。
大多数的商业银行操作风险的控制手段和方法还一直停留在简单的、手工的、事后检查的模式上。认为不需要对操作风险付出更多的人力、财力和物力成本。
商业银行暴露出的对操作风险的诸多错误认识,往往是导致操作风险管理失败的主要原因。有针对性的及时纠正错误的操作风险认识将有利于提高操作风险的管理能力。从这个意义上来讲,商业银行对于操作风险的错误认识应该是修正的时候了。
三、对加强商业银行操作风险管理的方法和建议
目前,国际范围内在操作风险管理方面水平相对较高的商业银行,通常都建立了强有力的操作风险管理流程和框架,并将操作风险与管理其他风险所采用的方法和框架有机整合起来,形成操作风险管理的体系,而且通过有效管理操作风险减少了收入的波动性,其中有些机构还改进了自身的外部评级水平。巴塞尔新资本协议的颁布及实施,就促使操作风险管理进一步向更多的商业银行扩展。陈四清曾经说过:“商业银行的操作风险管理是整个风险管理体系中的重要组成部分,同样需要考虑操作风险管理的范围、文化、方法、计量、监督等方面的内容”。(注3)
首先,要健全商业银行操作风险管理的体系,商业银行要逐步建立一套从决策层、执行层直到
监督层;从国内到海外;从总行到分支的全球化的操作风险管理体系,由风险管理委员会制定操作风险管理的大政方针、决策操作风险的风险资本配置、批准核销操作风险损失准备等等。执行层按照计定的操作风险策略具体执行和落实操作风险的管理内容。最终,由操作风险的监管层负责跟踪评价操作风险的管理过程。决策、执行与监督,层层到位,各司其职,才能有效的管理和控制操作风险。
其次,商业银行要界定操作风险管理的范围。根据巴塞尔新资本协议的要求操作风险的范围主要包括内部程序、人员、系统三部分,商业银行要针对内部程序制定操作规程,针对人员制定员工的行为规范,针对系统制定规章制度,对整个商业银行的运营制定应急方案,减少和降低因操作风险事故带来的损失,有了清晰的操作风险范围界定,事后评价操作风险和监督操作风险的政策执行情况才能有的放矢。
第三、需要培育商业银行操作风险管理的文化。商业银行的操作风险管理不是一时之需,追赶时髦,而是伴随商业银行发展的不朽主题。就像企业需要建立企业文化,操作风险的管理文化要深入人心。人人意识到操作风险,商业银行的各阶层都来重视操作风险。
第四、商业银行要制定操作风险管理的方法。如何确定和量化操作风险,还需要有科学的方法和计量手段。目前,国际上先进的软件、模型已开始被商业银行应用,商业银行的操作风险管理手段和方法也在不断的完善和进步。
第五、跟踪商业银行操作风险管理的过程。操作风险管理包括风险识别、风险评估、风险决策、风险防范、风险处理、风险监督和风险评价的多个步骤,具有环节多、领域广、隐蔽性、突发性等特点的繁杂过程,只有全过程的跟踪操作风险才能够总结经验教训,不断提高操作风险的防范能力。
立足于国际金融界的经验,商业银行在引入操作风险管理、建立操作风险管理框架和健全操作风险管理体系时,需要重点注意以下几个方面的问题:
(一)、健全操作风险管理框架模式
1、建立基本运作程序的同时,从容易衡量的领域着手。从具体的实施过程看,国际金融界的经验是,首先建立一套相对策略的、但是比较完整的操作风险管理体系、缓释、监控、报告等环节,在此基础上建立覆盖整个机构的操作风险管理战略和政策,从相对简略的领域出发,在实际运作中逐步完善,扩大其覆盖的操作风险的领域。
2、金融机构在着手管理操作风险时,重点要建立与信用风险和市场风险相一致的操作风险管理框架,确定不同职位的人员在操作风险管理中的责任,如业务管理人员,其别是零售业务部门的操作人员;人员;稽核人员;风险管理部门等。在此基础上,风险管理委员会等高层机构应当确定打算选用的风险管理方法和策略,业务部门应当据此采集关于操作风险的各种数据,向市场寻求专业的咨询和支持,逐步建立初步的操作风险管理体系。严格地说,整个金融机构范围内管理不同风险的基本原则和方法应当一致,这意味着新建立的操作风险管理框架必须要整合到与信用风险和市场风险管理相一致的框架中去,操作风险所运用的方法和原理也应当与整个商业银行在风险管理方面运用的方法和原理相协调。
3、风险管理部门并不是风险管理的惟一部门,具体的业务部门、法律部门、稽核部门都承担着进行操作风险管理的责任。如果说市场风险和信用风险的管理日趋强调集中化的话,那么,操作风险的管理必须强调分散化。严格地说,具体的业务部门在操作风险管理方面应承担第一位的责任。这是由操作风险的特征所决定的,当然关于操作风险管理的具体原则应当由风险管理部门提供。
(二)、建立操作风险的报告与考核机制
1、操作风险的报告体系。操作风险的报告系统应当独立于业务部门,并且应当能够敏感地反映操作风险的变动,主要数据自动生成,在整个机构采用的采集方法保持一致。
2、操作风险体系中的激励和考核机制。在具体的管理人员介入操作风险系统的运行时,就存在着其机会主义地运用这一系统的可能性,因此,建立完善的激励机制和绩效考核制度在操作风险管理中同样十分重要。同时,即使一个机构中建立了相当自动化的操作风险报告体系,但是如果高级管理人员不能动态地介入整个管理过程、不能将报告的结果与员工和部门的绩效考核有机的结合起来,这个系统的运作也会大打折扣。
3、操作风险的报告和考核都离不开操作风险的衡量方法和技术,谨慎选择适当的操作风险衡量方法和技术显得非常重要。在多种计算资本拨备方法中,一般的银行可以先采用单一指标法进行测试(即一定的风险系数×毛收入),向金融机构管理层提供参考数据,有条件的银行还可以考虑采用标准化方法的具体措施。按标准化方法,银行业务将分类,并以各类业务的毛收入去计算总操作风>:请记住我站域名/
(三)、参与操作风险的管理者应各司其职
1、董事会和高级管理层在操作风险的管理中应当承担更大的责任,包括建立清晰的管理结构、明确的责任分工,并且保证操作风险的管理框架能够覆盖所有相关领域,还应当建立清晰的关于操作风险的管理和报告程序。所有的业务部门和支持性部门 都应当整合在整个操作风险的管理框架中。
2、寻求合格的、充足的操作风险管理人员。从人员结构看,目前的一些国际金融机构中的操作风险管理人员主要有不同部门的管理经理、法律或者稽核人员、业务 计划人员、信息安全人员等。较之信用风险和市场风险,操作风险管理方面有实际经验的人员相对较少,大部分需要金融机构结合自身的实际情况进行培训,还有一部分需要向外部招聘。
(四)、选择操作风险管理的主要类型
目前,全球范围内管理操作风险主要采取三种方法:总部集中管理型、总部集中管理与分散化支持型、稽核部门占据主导作用型。选择其中任何一种类型,主要取决于各自企业文化和董事会的风险偏好、自身的风险管理能力和风险管理水平等。针对性的选择操作风险管理的类型有利于操作风险管理框架的建立和实施。
四、结论
对操作风险管理有怎样的认识,就会映射出怎样的管理水平。所以重视操作风险的管理首先要从清醒的认识和了解操作风险入手。其次,要从战略的高度制订操作风险的管理策略。第三,要有与之配套的管理工具,主要指电子化的操作风险管理应用系统。第四,还要具备操作风险管理的具体方法,主要包括:操作风险的计量工具和管理模型。第五,要有高素质的操作风险管理人员和团队具体实施。第六,还需要建立起监督和后评价的机制。
总之,只有建立健全的操作风险管理流程、框架和体系,才能够使操作风险得到有效的管理和控制,才能使因操作风险带来的损失降到最低限度。商业银行的操作风险管理要求不是一时之需,而是伴随商业银行发展的长期任务,我国的商业银行如果要想保持现有的竞争优势,甚至在国际金融市场取得一定的地位,就必须不断提高自身的操作风险管理水平。
【引文注释】:
(注1)张吉光:国际金融报《商业银行操作风险认识的五大误区》2004年11月 5
(注2)巴曙松:《巴塞尔新资本协议研究》中国金融出版社 2003年6月第1版 第34 页
(注3)陈四清:《试论商业银行风险管理》,《国际金融研究》2003年第7期 第49页
【参考文献】:
1、阳:《金融机构风险分析与管理研究》人民大学出版社2001年版
2、张吉光:国际金融报《商业银行操作风险认识的五大误区》2004年11月
3、巴曙松:《巴塞尔新资本协议研究》中国金融出版社 2003年6月第1版
4、[英]艾迪.凯德着,王松奇等译:《银行风险管理》中国金融出版社2004年5月第1版
5、赵其宏:《商业银行风险管理》经济管理出版社2001年1月第一版
6、彭江平:《商业银行风险管理的理论与系统》西南财经大学出版社2001年9月第1版
7、陈四清:《试论商业银行风险管理》,《国际金融研究》2003年第7期
操作风险管理篇11
长期以来,社会各界对银行业的风险管理都聚焦于信用风险和市场风险,而对操作风险并未予以足够的重视,对其认识和管理都处于较低水平。然而,随着金融管制的放松、银行经营业务范围及产品的多样化和复杂化,操作风险的破坏力和影响力愈发显现,对其研究和管理也迫在眉睫。在此背景下,2004年的巴塞尔新资本协议规范了操作风险的定义①,并提出操作风险的最低资本要求,为各国银行业加强操作风险管理敲响警钟和提供指导;中国银监会于2007年6月了《商业银行操作风险管理指引》(以下简称《指引》),为加强银行业操作风险管理、推进完善银行业公司治理结构、提升风险管理能力提供指导。
一、我国银行业操作风险危机四伏
受旧体制等不利影响,我国银行业面临着严重的操作风险。表1列示了近年来部分银行操作风险事件。
通过综合分析我国银行业操作风险损失事件,其具有的特点主要有:
1.操作风险主要形式是欺诈①。欺诈包括内部员工的欺诈、外部人员的欺诈以及内外部勾结的欺诈,其中内部员工欺诈和内外部勾结的欺诈是我国当前存在的主要形式,并且这种类型的损失事件一旦发生,就具有单笔损失金额大和社会影响力大的特点。
2.操作风险大都发生在基层分支机构,且与上层机构的控制力负相关。我国银行的业务运作大多数集中在基层机构,总、分行则更偏重于行使管理职能,当分支机构距离较远、受到的监管较弱时,分支机构的一些违规操作就不易被发现,操作风险发生的可能性就更大。
二、我国银行业操作风险的影响因素
目前,我国银行业普遍存在内部控制制度不完善的问题,这是导致操作风险频发的最主要原因。我国银行业内部控制不健全性主要表现在:
1.操作风险管理意识薄弱。目前,我国银行业的主营业务仍以信贷为主,因此银行风险管理的焦点都集中于信用风险,而对于操作风险,从管理层到基层员工对其管理的意识都有待于提高。
2.操作风险专业化管理部门缺位。我国绝大多数银行均未设立独立的专业化的操作风险管理部门,对其管理主要是依靠非专业部门负责,以定性管理为主,主要依赖专家的主观判断,缺乏科学和专业的管理。此外,根据巴塞尔新资本协议,用于计算监管资本的内部操作风险计量法,必须建立在对内部损失数据至少5年的观察基础上,而我国由于缺乏数据,很少采用定量分析控制操作风险的科学方法。
3.分行制的组织形式不利于监管。我国银行主要采用分行制,该体制下的直线管理职能削弱了内部控制的力度和有效性,各层次的负责人横向权利过大,为操作风险的孕育提供了空间。
4.管理体系不完善。我国银行业普遍存在管理层次多而繁杂,各层次权责不清,缺乏相互制衡、权责明晰和相互独立的管理体系,容易出现管理的真空地带和重复低效管理。
5.管理制度不健全。我国银行业风险管理所需的制度建设不健全,现有的制度大都流于形式,存在不切实际、难以执行的问题,此外,仍有部分正常经营所必备的规章制度缺位,导致管理盲点的存在。
三、完善我国银行业操作风险管理体系
由于我国银行业对操作风险的重视长期不足,导致银行对操作风险的管理长期处于低效率和不足的水平。因此,克服各种不利因素,及时建立完善的操作风险管理体系,具有重要的现实意义。银行操作风险管理和内部控制在内容、对象和范围上有着密切的联系,因此健全内部控制机制的形成有助于银行操作风险的高效管理。本文结合COSO委员会关于内部控制五要素的阐述和银监会的《指引》,设计一套适合我国银行业操作风险管理的体系。
COSO委员会所述的内部控制包括五要素:控制环境、风险评估、控制活动、信息与沟通和监控,以下分别从这五方面构建操作风险管理体系。
(一)控制环境
控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素。控制环境塑造企业风险管理文化,影响银行内部各成员的风险意识,关系着风险管理控制制度的贯彻和执行。
《指引》指出,操作风险管理需要创造一个良好的控制环境。首先,银行董事会应充分了解本行的主要操作风险所在,把它作为一种必须管理的主要风险类别,努力促进这种公司文化的建立,并且提供充足的资源支持在各职能部门实施操作风险管理,还应当把操作风险管理纳入到业绩评估程序中,强调风险管理为银行关注重点。其次,应建立一个能够有效执行操作风险管理框架要求的组织架构,该组织架构应明确界定各职能部门的责权关系、上下级报告关系,并且制定严格的监管审计制度。最后,应根据本行对操作风险的承受能力,制定规范的操作风险管理政策,该政策应对存在于本行各类业务中的操作风险进行界定,列明本行操作风险的具体构成,应明确识别、评估、监测与控制操作风险所应依据的原则、政策和方法。
(二)风险评估
风险评估是指操作风险管理部根据职能部门的信息,识别、量化和分析相关风险以实现既定目标,从而形成操作风险管理的核心内容。风险评估系统包括以下三个子系统(如图1所示):
1.风险识别子系统
风险识别子系统的作用是将操作风险进行定义和分类,它的主要部分是“知识库”。“知识库”是一种风险映射,将职能部门的业务与风险类别之间建立对应关系。具体来说,“知识库”将银行业务分为若干个风险档次,并将所有的业务归类到相应的风险档次之中,并存储在数据库的相应位置。
2.风险计量子系统
风险计量子系统由“模型库”和“预警库”组成。该系统在初步识别原始数据的基础上,利用“模型库”中的风险计量模型对风险进行量化,将定性的操作风险数字化。其中风险计量模型利用数理统计方法量化银行操作风险,“模型库”再将风险计量模型计算机程序化,即编写计算机软件以实现风险计量模型的功能。而“预警库”则是预先在系统内设定的不同职能部门的市场风险限额指标,在“模型库”计算出风险值之后,“预警库”就可以对实际风险承担与预先设定的风险限额自动比较,若发生超限额的情况,“预警库”会将该信息同时反馈到风险评价子系统中,实现实时风险监控的功能。
3.风险评价子系统
风险评价子系统主要提供风险汇总报告,并对各职能部门风险承担状况进行评价,为风险管理决策层提供支持。“报告库”针对经“模型库”风险计量子系统测量的风险结果,根据指定的报告模式进行综合汇总,为管理层提供银行风险的数据。“评价库”是对综合报告进行的深入分析,通过对具体风险的分析评价,提出风险改进意见。
总的说来,风险评估系统中,风险识别子系统归类操作风险,风险计量子系统量化操作风险,评价子系统评价并报告操作风险。这一系列活动的完成,关键在于设计出一整套计算机程序以实现上述几个子系统的功能。我国银行应当根据本行业务的特点,设计出自己的风险管理程序,或者直接从专业公司引进成熟又适合自身的风险管理系统。
(三)控制活动
控制活动是指那些有助于管理层决策顺利实施的政策和程序,主要包括明确银行各部门的职责、对各部门活动的控制和对偏离授权的行为进行调整。
首先,《指引》明确规定了各组织层次在操作风险管理系统中的职责,以便整个系统有条不紊的运作,各层次的职责具体为:银行高层负责制定操作风险管理的战略和总体政策;风险管理委员会建立风险管理的操作方法;各职能部门具体实施。
其次,对各职能部门活动的控制分为两个层次:第一个层次是各职能部门,应定期向负责操作风险管理的部门通报本部门操作风险管理的总体状况,及时通报重大操作风险事件;第二个层次是操作风险管理部门应当提供风险预警指标,将风险限额建立在各业务部门的不同的层面,然后为每个关键风险指标设定门槛值,一旦风险值超过门槛值则启动预警系统。
最后,操作风险部门应当对于超过门槛值的采取必要的整改措施,及时修正执行中的偏差。
(四)信息与沟通
各职能部门的信息沟通是整个操作风险系统的基础,系统的数据来源于各职能部门。只有将信息及时有效地传递给操作风险管理部,才能及时进行信息分类。《指引》规定,职能部门应当根据统一的操作风险管理评估方法,建立持续、有效的操作风险报告程序,从制度上建立有效的信息和沟通机制。此外,《指引》要求建立案件查处和相应的信息披露制度,通过对案件查处的信息披露有良好的警示作用,对案件的及时总结能有效地避免同类风险事件的发生。
(五)监控
监控的核心在于监控的制度性和监控的独立性。《指引》规定,监控的制度性建设要求风险管理委员会应当建立指向清晰的定期监控体系,清晰的监控系统可以明确监管者的责任范围,而定期监查行为有利于快速发现并且纠正操作风险。监控独立性依靠操作风险管理部与其他职能部门相对保持独立,不能存在从属关系,应当受董事会或其下属的审计委员会直接领导。
与此同时,银行还需要对其内部监管人员进行严格培训,使其对银行各项业务活动和岗位责任的执行情况依据相关制度标准进行监控,及时预见潜在风险并极力阻止其发生,实现银行操作风险的有效管理。
参考文献:
[1] 阎达五,宁建波.双元控制主体构架下现代企业会计控制的新思考[J].会计研究,2000.
[2] 钟伟.论跨国银行操作风险管理模型的新进展[J].学术月刊,2004.
[3] 钟伟.新巴塞尔协议和操作风险高级衡量法框架[J].金融与经济,2005.
[4] 樊欣,杨晓光.操作风险管理的方法与现状[J].证券市场导报,2003,(6):64-6.
操作风险管理篇12
操作风险这一话题并不新鲜,伴随着银行的诞生,风险管理和操作风险管理就一直存在。随着世界经济和银行业的发展,人们对待操作风险的态度已由最初的忽视逐渐转变为目前的较为重视。通常不是主动产生的操作风险在较早的时候由于人们的认识不足,仅仅被称作除市场风险和信贷风险之外的其他风险;而现在,多种可供分析的操作风险管理方法正在逐渐的形成,商业银行多年来一直试图对它进行一定程度的控制,定性并尝试测量这一风险。目前银行家们已经达成了共识:好的操作风险管理能通过减少风险、改善服务质量和降低经营成本,从而形成一种竞争优势并在股东价值中得到相应体现。
1 操作风险的定义、分类及其特点
关于操作风险的定义全世界的银行家们还仍然没有达成共识,但对操作风险的性质正在形成一致的看法:操作风险是一种引起损失的风险,是由不当的或者说失败的操作程序,工作人员或工作系统以及外部事件所造成的风险。目前被广泛采用的定义有两个:
一是全球衍生产品研究小组的定义,他们认为“操作风险是由于控制和系统的不完善、人为的错误或管理不当所导致的损失的风险。”这一定义从人员、系统和操作流程三个方面对操作风险进行了界定。
二是《新巴塞尔资本协议》(2003)给出的定义:“操作风险是指由于不正确的内部操作流程、人员、系统或外部事件所导致的直接或间接损失的风险。”这一定义侧重于从操作风险的成因包括法律方面的风险,但将策略风险和声誉风险排除在外。
除了以上两个定义之外,世界著名的瑞士信贷集团也给出了他们有关操作风险的定义:“操作风险是指由于以不当或不足的方式操作业务而对业务带来负面影响的风险,操作风险也可能是由外部因素造成的。
瑞士信贷集团认为操作风险可具体表现为经营混乱、失控、出差错、不当行为或外部事件,但都不外乎组织、政策/过程、技术、人员和外部5大类。①其中组织风险源于管理层的更替、项目组织管理,企业文化和沟通、责任以及持续经营计划;政策和过程风险源于操作过程中较为薄弱的环节,例如支付、结算、操作违反政策规定和产品方面的失败;技术风险源于计算机系统软件或硬件方面的不足,通信技术、信息技术安全方面的漏洞等;人员风险源于不适当的雇佣关系引发的利益冲突以及其他内部欺诈行为;外部风险源于外部欺诈或法律冲突。
这5个分类只是对操作风险最初步的分析辨别,很显然它们还需要进一步的细化,进行次级分类。例如组织风险可以细化为治理结构、文化、沟通、项目管理、持续经营等几个方面;技术风险可以细化为通信、软硬件和信息技术安全三个方面等等。
操作风险的性质决定了操作风险与其他风险相比有着较为明显的特点:
(1)市场风险和信用风险不同,操作风险的风险因素存在于银行的业务操作过程之中,且引起操作风险的因素与之导致的损失之间并不存在清晰的可以用数量关系衡量的联系。因此对于操作风险的管理需要整个银行的业务人员和部门共同努力防范。
(2)越是业务规模大、交易量大,结构调整迅速的领域,越是容易受到操作风险的冲击。
(3)由于前面提到的,可以观测识别的操作风险因素与其可能导致的损失的规模和频率之间不存在直接的数量关系,因此银行的风险管理部门很难确定什么因素对操作风险的管理最为重要。
(4)操作风险几乎覆盖银行经营管理的所有方面,既包括那些发生频率高、造成经济损失相对较小的日常业务处理中的小错误,也包括那些较少发生但能够导致较大损失的自然灾害和大规模舞弊行为等。因此试图用一种方法来测量和管理操作风险的所有领域几乎是不可能的。
2 巴塞尔新资本协议对管理操作风险的建议
对于如此难以驾驭的操作风险,巴塞尔委员会在总结国际金融经验的基础上将商业银行对操作风险的管理工作归纳为四个部分:
①建立适当的风险管理环境;
②风险管理:识别、衡量、监督和控制;
③监管者的作用;
④信息披露的作用。
巴塞尔委员会认为,对银行来说首先应当建立适当的风险管理环境,要求董事会了解银行操作风险的主要方面,并对银行的操作风险战略进行定期审查。银行的操作风险战略应当能够反映银行的风险容忍程度及其对各种风险种类特征的理解。巴塞尔委员会同时认为银行组织内部的信息流程在建立和维持一个有效的操作风险管理框架方面能够发挥重要的作用。
其次银行应当建立识别、衡量、监督与控制操作风险的管理系统,找出衡量操作风险的有效方法和持续对操作风险敞口和重大损失事件进行监督。在这些措施的基础上,监管者应当对银行经营中与操作风险相关的战略、政策、程序和方法直接或间接地进行定期的独立评价,并保证银行具备一个有效的报告机制以便及时了解银行在相关方面的新进展。
此外,信息披露在操作风险管理和监督过程中也应当发挥重要作用。巴塞尔委员会要求银行应当向公众进行充分的信息披露,使市场参与者可以对银行的操作风险敞口和操作风险管理质量进行比较评估。
3 操作风险管理的几个阶段
对任何风险的管理都应当是一个有序的管理过程,银行对操作风险的管理也不例外。通常来说,对操作风险的管理可以划分为四个阶段:识别、量化和追踪、计量以及整合管理。
3.1 识别阶段
这一阶段的任务是进行风险识别,应当使用许多人力资源进行数据的收集,在根据整理后的数据划分出风险的优先次序。在这一阶段,需要银行的整个组织机构都有不同层次的参与,建立起操作风险管理的基础。
3.2 量化和追踪阶段
这一阶段要求执行操作风险管理任务的团队不断试验以找出量化风险的方法,进行风险的跟踪观测;建立能够将识别阶段的数据收集和整理工作自动化的电子系统;并建立系统风险的汇报传达机制。
3.3 计量阶段
这一阶段需要对在量化和追踪阶段是探索的操作风险量化模型和方法进行继续的开发和提升,建立相应的操作风险数据库并加大对相关技术的开发应用。该阶段的大部分工作应当由操作风险管理团队来完成,减少人力资源的投入。
3.4 整合管理阶段
这一阶段应当建立起管理操作风险的软件程序,所需的技术和人力资源较前面几个阶段有所减少;该阶段需要做到能够将敞口性操作风险数据整合到管理过程之中,并能够运用保险等类似的避险方法对敞口性操作风险进行管理。
4 操作风险的量化管理
从上面提到的操作风险管理的阶段分析可以看出,从操作风险管理的第二个阶段开始,风险的量化就作为整个管理过程的重要组成部分出现,是整个操作风险管理的决定性环节。对于这一关键环节,国外的商业银行在过去的数十年间做出过不少有益的尝试,除此之外,巴塞尔新资本协议当中对银行操作风险的量化方法也给出了较为明确的建议。
4.1 国外商业银行操作风险的度量方法
首先是由上至下法。这种方法是根据传统的假定(资产或非利息收入越多,操作风险越大)以资产和非利息收入等财务指标为基础分派操作风险资本金。但是大多数国外银行并不采用这种方法管理操作风险,原因是该方法不能反映出操作风险管理的真实水平。在这种方法下,即使某种业务流程已经拥有很高的操作风险管理水平,但只要他的资产或者是非利息收入的财务指标没有降低,分配给这项业务的操作风险资本金就不会被减少,因而不利于激励管理人员加强操作风险管理。
其次是由下至上法。这种方法目前在国外有较多的研究和采用。很多管理者认为随着统计方法和信息技术的发展,操作风险是可以像其他风险那样被较为准确的度量的。
在这种方法之下,整个银行的业务被分割成若干个类别,然后对每个类别的业务的操作风险进行分别度量之后再加以汇总。这种方法可以直接测量各个业务类别的分线情况,从而能够促使操作风险管理水平的提高。
在一般情况下,银行根据统计度量法的结果向各个业务部门分派风险资本金,利用情景模拟分析法得到的结果进行资本金的补充,相互结合以提高操作风险的管理水平。另外,对于一些发生几率很低但可能造成巨大损失的事件,很多国外银行试图将极值理论运用到统计度量法之中来提高相关损失值的置信度。
4.2 新巴塞尔资本协议中的操作风险度量方法
巴塞尔新资本协议不仅对如何管理操作风险给出了许多有用的建议,而且对操作风险的计量方法也进行了设计。为了适应不同金融机构的情况,巴塞尔委员会设计了三种由简到繁的操作风险计量方法:基本指标法、标准法和高级法。其中基本指标法和高级法到采用基本指标乘以固定比例的计量方法。固定比例由巴塞尔委员会研究确定。基本指标法用前三年包括经利息收入和非利息收入的平均总收入作为基本指标。而在标准法下商业银行的业务被划分为八个类别,每个类别需要配置的资本为该业务类别风险敞口与相应的固定比例的乘积。将这些乘积加和就得到总的资本要求。可以看出,基本指标法和标准法计量的资本要求不直接与数据相联系,也不能反映各个银行不同的操作风险损失特征,所计算出来的结果不能反映资本对风险的敏感度。
因此,巴塞尔委员会建议国际活跃银行采用高级法计量操作风险。
高级法包括内部法、损失分布法、极值模型法和其他一些新的操作风险计量方法。首先是内部法。内部法在标准法的基础上,对于每个业务类型的组合,银行应当根据自己的历史损失数据计算组合的期望损失值,而操作风险需配置的资本由操作风险的预期损失和非预期损失之间的关系来确定。影响预期损失与非预期损失相互的关系的因素很多,因此在绝大多数情况下,预期损失与非预期损失之间的关系并不是线性的。
5 总结
可以说,在目前金融市场快速发展的背景之下,商业银行的管理者们正在不遗余力的对银行经营管理过程中所遇到的各种大大小小的风险进行跟踪监测并试图通过各种各样的数学模型建立起风险与损失之间较为明确的数量关系。对于曾经一度被认为是最难以进行量化的操作风险,现在也逐渐建立了量化的理论和模型。当然,无论是什么样的计量方法,其最终的目的就是使操作风险这一对于商业银行来说越来越重要的东西变得可测,从而有利于银行对其进行精细化的管理。
但从另一方面来说,商业银行对操作风险的管理并不能全部依赖于各种量化模型,毕竟操作风险的变幻十分难以捉摸;而且模型大都是根据历史上已发生的事件及其导致损失的数据估算得出的,无法主动的对未来的风险进行控制管理。
总之,操作风险的量化管理在商业银行进行操作风险管理起到极其重要的作用,是贯穿操作风险管理的各个阶段的不可或确的环节;但银行在实际的工作过程中并不能完全依赖于由计量模型所得出的数据,而是要根据商业银行各自所面临的风险的不同情形给操作风险以灵活的综合管理,以最优的管理水平将操作风险发生的几率降到最低,以最为合适的资本准备将操作风险所引致的损失减为最少。
注释:
①引自汉斯·乌里希·德瑞克.金融服务运营风险管理手册,P33。
参考文献
[1]汉斯·乌里希·德瑞克.金融服务运营风险管理手册[M].中信出版社,2004:6.
[2]姜海军,惠晓峰,李雪松.巴塞尔新资本协议操作风险及其计量问题思考[J].金融与经济,2006:8.
操作风险管理篇13
文献标识码:A
文章编号:1007―4392(2007)09―0052―03
一、操作风险的性质分析
(一)操作风险的异质性
这是操作风险与市场风险、信用风险相比都很不同的一种特性。后两者尽管在各产品和业务中的表现会各有差异,但同一类风险的影响因素具有共同的规律,如市场风险主要受到宏观经济因素的影响,各金融产品本质上具有同质性,其价格波动受许多共同因素的影响,而信用风险都可以分解为违约率和违约损失率等因素来分析,而且也大都受到企业、行业和经济周期等大致相同的主要风险因素的影响。但是,操作风险由于覆盖范围广泛,诱发因素多种多样,不同操作风险之间表现出明显的性质差异。外部欺诈、计算机病毒引发的系统崩溃、地震以及恐怖袭击等尽管都同属于操作风险,但显然其诱发因素和性质的差异是很大的。这种性质差异导致了操作风险的管理从量化到管理控制、监测等各个方面都具有很大的挑战性。
(二)操作风险的普遍性
与市场风险主要存在于交易类业务和信用风险主要存在于授信业务不同,操作风险普遍存在于商业银行业务和管理的各个方面,包括前台、和后台,总行、分支机构和子公司,交易业务、信贷业务和中间业务,等等。操作风险不仅存在于业务流程之中,也存在于风险管理本身的实施过程之中。操作风险的普遍性是商业银行进行全面风险管理的重要原因之一。
(三)操作风险的不对称性
这是指反映操作风险的操作损失分布是不对称的。这与信用风险相似,而与市场风险相异。这主要反映在操作风险从发生频率和损失严重程度上看可以分为两类:一是发生频率高、造成损失相对较小的日常业务流程处理上的小错误;二是发生频率低但造成的损失相对大的自然灾害、大规模舞弊等。这使得操作风险在分布上呈现出肥尾的非对称特征。因此,试图用一种方法来覆盖操作风险的所有领域几乎是不可能的。
(四)操作风险的非盈利性
这是操作风险与市场风险和信用风险相比另一个重要的特性。后两者由于存在盈利的可能,商业银行承担它们的一个主要动机是为了获得盈利,而操作风险却并不能直接带来盈利,商业银行之所以承担它是因为在业务开展和机构管理中它不可避免。因此,在承担市场风险和信用风险时,商业银行追求风险和收益的平衡,并将这种管理风险和收益平衡能力视为其核心的竞争能力。而对于操作风险而言,由于不具备盈利性,商业银行的基本策略就是尽可能降低,然而这必须受到成本支出的约束,因而需要追求的是降低操作风险和增加管理成本之间的平衡。
(五)操作风险的可转化性
在实践中,操作风险通常可以转化为市场风险和信用风险。例如,巴林银行的内部控制缺陷和交易员里森的欺诈最终转化为该银行在日本金融市场上的巨大风险;一系列银行信贷流程中的问题最终也会转化为大量的信用风险。由于操作风险的这种可转化性,人们往往难以将操作风险与市场风险和信用风险区别开来。一个典型的例子就是我国银行体系大量的不良贷款,不少人由此认为我国银行信用风险管理能力有缺陷,而实际上,大量不良贷款中相当一部分反映了商业银行管理操作风险的水平欠缺。因为严格地讲,只有由于借款人信用水平变化(而并非信用水平低)所导致的可能损失才算是真正意义的信用风险。即便是借款给欺诈者,银行首先面临的也并非信用风险,而是操作风险,因为借款者的信用水平并没有发生变化,导致银行可能损失的是银行内部识别和管理信用水平的能力和流程出现的问题。
二、操作风险管理的特点
(一)操作风险难以进行量化管理
在商业银行所面临的主要风险中,市场风险因交易数据丰富而最容易计量,信用风险的计量就困难得多,但近些年随着贷款销售和资产证券化导致信贷产品流动性加强,同时信用计量模型也不断被开发出来,其计量的难度相对降低。而操作风险则成为当前最难计量的风险,其主要原因是构成复杂,性质各异,各风险因子之间的可比性差;损失数据,尤其是大额损失数据稀少且缺乏积累;大多数操作风险具有内生性,与人的作用有关,难以客观量化;风险量化模型的开发还处在非常初级的阶段等。操作风险的量化困难目前已经成为制约操作风险管理发展的重要因素。
(二)操作风险不易通过市场转嫁
转嫁风险是现代风险管理中最为引人注目的策略和技术之一,也是金融体系实现风险配置(即将风险由没有承担能力或意愿的参与者转移到有承担能力和意愿的参与者)的重要途径。在市场风险和信用风险管理中,包括信用衍生产品在内的各种市场转嫁产品构成了被称之为金融工程和信用工程的现代风险管理的核心技术。然而,市场转嫁策略在操作风险管理中的应用相对而言就困难得多,传统上商业银行可转嫁的操作风险主要局限在保险公司愿意承保的火灾、盗窃等风险范围,其主要原因在于上述操作风险难以计量的管理特征。不能计量的风险,就不能定价,不能定价自然就不能交易转让。
(三)与业务线路的管理过程相融合
由于操作风险源自商业银行各项业务的人员、系统和流程等因素,对这些因素的管理显然与业务线路本身的管理是相互融合的。即便是审计、公司治理和独立操作风险管理部门,其最终发挥作用仍然必须通过对业务线路的管理产生影响而实现。因此,在操作风险管理体系中,具体的业务部门应该首先对自身的操作风险负首要责任,董事会则应承担最终的责任。
(四)治理结构和内部控制所决定的环境和文化具有决定性的关键作用
公司治理是关于利益相关者之间权责利关系的基本制衡结构,直接决定了商业银行内部从事业务和管理各项活动的人的相应激励机制,内部控制是覆盖商业银行所有人员在内为达到预定业绩进行风险控制、制度管理和相互制约的方法、措施和程序,两者共同作用决定了商业银行操作风险及其管理的基本环境和文化。只有在良好的公司治理和有效的内部控制制度的规范下,才能确保商业银行整体上将其操作风险有效地控制在可以承受的范围之内。
(五)事前合规管理和事后稽核审查是主要管理手段
在操作风险管理中,各项外部法规和内部制
度是管理的主要依据,而对这些法规和制度的违反正是导致损失的直接原因。因此,保持对相关内外部法律和规章制度的遵循是成功的操作风险管理的关键。传统上,审计活动(包括内部审计和外部独立审计)是确保各项法规和制度得到遵循的主要手段。近些年金融界出现了强调合规管理的发展趋势,与审计相比,合规管理偏于事前,更加符合风险管理事前性的要求。
(六)人在操作风险管理中发挥关键作用
尽管操作风险被定义为来自于人员、系统流程和外部事件等多方面因素,但在操作风险管理中,人的因素始终是决定性的因素。这一方面表现在人是操作风险的主要来源,而且职位越高,风险越大,因为一旦位高权重的人犯下错误,其所导致的损失也相应大很多;另一方面表现在人也是操作风险管理动力的主要来源,人的级别越高,权力越大,其对风险管理的责任和作用也越大。
三、商业银行操作风险管理的基本策略
(一)风险规避
商业银行在面临某一项业务所带来的操作风险暴露时,其应对的策略可以分为基本的两类:规避或者承担。选择规避策略,意味着商业银行将拒绝开展该项业务,或者关闭已开展的该项业务。规避策略使得商业银行彻底地消除了对该项业务操作风险的暴露,而且并不支付任何管理成本。很显然,该策略的代价是在消除风险暴露的同时商业银行也失去了开展该业务可能带来的盈利。规避策略适用于操作风险很大和风险难以衡量、缺乏管理手段的新业务,也适用于操作风险水平和业务的盈利水平不匹配、不相称的业务。操作风险规避策略尽管简单,但其关键是如何科学地确定规避的风险对象,即什么样的业务因操作风险过大应该规避。长期以来,商业银行主要是依靠主观经验判断来确定风险规避的对象。近些年来,随着经济资本配置技术和操作风险量化方法的发展,主要用于市场和信用风险的基于经济资本配置的风险和业务限额管理技术也逐渐开始用于操作风险,操作风险规避策略应用的技术基础得以加强。
(二)内部控制降低风险
内部控制降低操作风险主要包括三个方面的内容和方法:一是通过实施IT技术或项目管理方案等来改善业务部门本身的运行质量和管理水平;二是通过审计稽核、合规检查和操作风险管理等业务部门以外的管理部门的管理来降低业务的操作风险;三是通过改善公司治理和加强操作风险管理部门的独立作用,在商业银行建立起管理操作风险的良好环境和文化,制定合适的操作风险管理战略和政策,健全操作风险管理流程。这一类方法的特点是通过内部管理制度和方法的改进对所承担的操作风险进行控制和降低。
(三)风险转嫁
商业银行并不能对所有承担下来的操作风险都可以采取策略降低风险的,有些应该采取风险转嫁的策略。这一方面是因为有些操作风险性质过于复杂或者操作风险所涉及的知识领域并不是商业银行核心竞争力所在的领域,商业银行并不擅长管理和控制这一类操作风险,自己采取控制措施降低操作风险的投入成本相对较高,而经济体系中又存在着管理这类操作风险的专业机构,合理的方法显然是商业银行以一定的代价将这一类操作风险转嫁给擅长管理这类风险的机构。典型的例子就是通过业务外包的形式将商业银行并不擅长或在战略上不愿意重点拓展的业务或管理环节委托给相应的外部专业机构。另一方面,转嫁风险是因为业务中的某些操作风险具有发生概率很小、但后果很严重的性质,商业银行本身缺乏管理的手段和承担的能力,于是通过购买保险将该操作风险转嫁给保险公司,而保险公司则通过在全社会中集合类似的操作风险,在全社会范围内分摊这种风险。保险不仅是商业银行转嫁操作风险,如自然灾害、员工安全等的传统手段,而且,随着保险产品创新的发展,保险在商业银行的风险转嫁中发挥了越来越重要的作用。
