楊·
壹、操作風險的主要特征
(壹)主要是內生的
從操作風險的觸發因素來看,主要是內部因素造成的,如內部程序、人員、制度的不完善或失效;銀行工作人員越權或者從事職業道德不允許或者風險太大的業務,因此操作風險具有很強的內生性。但銀行作為壹個社會企業或組織,需要其他組織的配合才能完成其經營計劃,而其他組織也存在內部程序、人員和系統故障的可能,因此外部因素也可能導致經營風險,如提供通信線路租賃服務的電信公司技術故障導致銀行IT通信系統故障,因此經營風險也具有壹定的外部性。
信用風險和市場風險主要是外生風險。市場風險是指銀行的表內和表外業務因市場價格(利率、匯率、股票價格和商品價格)的不利變化而遭受損失的風險,如利率風險、匯率風險(包括黃金)、股票價格風險和商品價格風險。風險因素主要是外部因素,如利率、匯率、股票價格和商品價格的變化。信用風險是指債務人不能履行合同並給債權人造成損失的可能性。主要風險因素是債務人履約能力等外部因素,如借款人資產損失較重,貸款無法正常歸還等。
(2)覆蓋所有業務。
如果壹家銀行想要利用人員、流程和技術來實現其業務計劃,這些因素中的每壹個都可能產生某種類型的失敗,因此操作風險具有普遍性,操作風險的可能性發生在銀行的所有業務環節,涵蓋所有部門。而信用風險和市場風險只發生在壹些相關的業務環節,如發放貸款、吸收存款;主要涵蓋業務拓展部門和業務管理部門。壹般來說,物流部門基本不涉及信用風險和市場風險。因此,操作風險管理必須貫徹“三圓”原則(全面性、全員性和全過程)。
(三)難以衡量
與市場風險和信用風險不同,操作風險的影響因素基本在銀行內部,風險因素與發生的可能性和損失的大小沒有明確的關系。通常,操作風險以不經常發生的離散事件的形式出現。盡管近年來有了操作風險度量技術的研究和歷史數據的積累,但國際銀行業仍然主要依靠業務經理的經驗來衡量操作風險的嚴重程度(損失大小),因為大額損失的經驗和時間序列數據對大多數銀行來說是不足的,遠遠不能產生壹些標準模型。目前市場風險和信用風險的量化技術基本成熟,基本采用數據模型來度量風險,如信用風險國際上廣泛使用的Credit Monitor TM(KMV模型)和Credit Metrics TM(信用度量模型)。缺口分析、外匯敞口分析和敏感性分析在市場風險中被廣泛使用。
二、操作風險管理的發展階段和趨勢
壹般來說,操作風險管理的發展可以分為五個階段。
第壹階段是傳統的基礎階段。現階段主要依靠內部控制或內部審計進行操作風險管理,等到損失事件發生後才開始尋求對策。第二個階段是認知階段。銀行認識到加強和改善操作風險管理的重要性。董事會和高級管理層針對操作風險管理的識別、計量、監測和控制等各個環節制定政策和風險管理策略,設置風險管理部門和崗位,指定專人負責操作風險管理。第三階段是監控階段。銀行開始跟蹤和自我評估各種能夠反映操作風險的風險數據和現象,加強員工風險管理培訓,設置風險限額控制。根據上述結果,董事會和高級管理層確定了操作風險的容忍度,並定義了風險的關鍵指標。第四階段是量化階段。與第三階段更註重以定性指標作為評價依據相比,量化階段的操作風險管理功能已日趨全面,銀行開始建立損失數據庫,制定量化管理目標,開發基於風險的資本量化模型來計量操作風險。第五階段是全面風險管理階段。銀行將操作風險管理全面納入全行風險管理,將操作風險計量與市場風險和信用風險計量有機結合,應用系統性風險計量和管理工具,建立風險指標與損失的相關性,全面引入基於風險分析和資本實力考量的保險策略和調整後收益分析,樹立全面風險管理理念。
遵循國際銀行業操作風險管理的發展進程,我國銀行業操作風險管理也將呈現以下發展趨勢:對操作風險的認識將得到加強和制度化;操作風險的識別、計量、監測、控制和轉移將更加合理和可分析;操作風險會隨著快速變化的環境而變化,涉及更多的業務領域,銀行監管部門對操作風險更加關註;銀行業開始評估現有組織結構對操作風險管理的影響,操作風險管理的理念開始更新,操作風險管理的框架將被重構。中小銀行壹般會使用基本指標法或標準法,規模較大的銀行會盡量使用內部計量法;計量模型將陸續從國外商業銀行引進,並根據國情進行改革;將建立內部和外部運營風險損失數據庫。
三、我國商業銀行操作風險的成因分析
目前,我國商業銀行各業務部門內部控制制衡機制尚未建立,管理部門機構控制較多,但職責和職能不清,容易造成重復控制(資源浪費)和管理真空。同時,部門之間缺乏協調和制約,容易導致同壹控制點的控制標準和方法不同,使壹線管理人員和操作人員無所適從。
內部約束薄弱、規章制度不完善或執行不力導致的操作風險表現為:壹是制度缺位,前幾年我國商業銀行盲目投資、辦公司及其造成的巨額虧損,很多都與缺乏明確的規章制度有關。現在商業銀行的基層行有的違規操作,有的壹點規矩都沒有;第二,雖然有制度,但是制度設計漏洞很多。很多制度是從方便管理層工作的角度來設計的,很少從方便客戶和防範風險的角度來設計;第三,有章可循的不多,實踐中有漏洞的制度不多,有的甚至上有政策,下有對策。從近年來有關銀行對會計科目使用情況的檢查分析,會發現普遍存在科目隨意使用、賬戶核算混亂、會計統計信息嚴重失真的現象。
銀行管理者對內控管理缺乏了解,陳舊的觀念和行為慣性壹時難以扭轉,認識有偏差。同時,由於傳統專業銀行的影響,部分管理人員對現代銀行管理理論和方法缺乏系統了解,對反映銀行管理水平的內控制度缺乏了解。他們沒有把內部控制作為管理工作的重要組成部分,缺乏加強內部控制的自覺性和主動性。
隨著金融創新業務的不斷增加和服務領域的不斷拓展,銀行內部團隊素質低下已經成為操作風險的原因之壹。壹是沒有防範風險的激勵約束機制,要求人員能進能出,幹部能上能下;二是工作人員受社會環境影響,個人經不起腐蝕的誘惑。這些年的壹系列案例足以說明這個問題;三是工作人員專業技術水平不高,缺乏識別和防範風險的能力,更談不上利用專業技術分散風險;四是部分領導幹部責任意識淡薄,管理粗放甚至自暴自棄。
審計部門缺乏應有的權威性、獨立性、超然性、平衡性和全面性。審計部門是事後監督,對已經發生的經營活動進行監督,但並沒有滲透到經營管理的開始和過程中。而且審計手段落後,工作效率低下,內部審計人員數量不足,素質低下,知識結構不合理,內部審計培訓和更新不及時。有時候流於形式,查出的問題不壹定處理得當。財務會計很少進行事前的分析、預測和監督,監控系統對近年來各類銀行案件的分析結果也表明,有章可循、檢查監督不力是案件數量居高不下的重要原因。
近年來,電子計算機在商業銀行得到了廣泛應用,使金融業務發生了革命性的變化,但電子計算機處理信息也存在壹些問題。而且內控部門也沒有形成科學有效的內部電子監管預警體系,還是看報表、翻傳票、查漏洞等壹樣的套路。內部控制效率低,局限性大,時效性慢,反應不夠靈敏,內部控制信息不系統、不完整,系統支持和運行能力的復雜程序與銀行活動的規模和復雜程度不相協調,不能適應各種日益復雜的銀行業務。
四、我國商業銀行操作風險控制對策。
操作風險的特殊性決定了商業銀行要註重防範損失,損失的減少意味著收益的增加。2004年底,中國銀監會也頒布了《商業銀行內部控制評價試行辦法》,共八章七十二條。從評價目標和原則、評價內容、評價程序和方法、評價標準和等級、組織實施、處罰等六個方面全面規範了商業銀行內部控制管理。是我國銀行業走向科學管理、完善自我約束機制的具有現實意義的指導性文件。目前,我國商業銀行的內部管理結構屬於大規模、分散的管理模式。對此類銀行實施內部控制防範操作風險的管理原則是:壹是全行實行分權管理,各業務部門的壹線經理應是操作風險管理的主要負責人,負責降低風險的具體工作;其次,對全行風險進行統壹監督管理,要求總行內控委員會負責監督全行操作風險,明確操作風險不同層級相關部門具體工作的相互關系,以確保全行的壹致性和充分合作,避免工作重復,推廣最佳實踐,促進全行高級管理層在風險問題上的統壹立場。銀行內部控制的目的是確保銀行的經營高效、有效,交易記錄準確,財務報表可信,風險管理體系可靠。銀行內部控制的手段包括限制授權、保護銀行資產和記錄的使用和接觸、重要崗位職責分離和不定期輪換、保證定期和不定期的評價和測試。有效的銀行內部控制體系應包括可控的環境、及時的風險評估、有效的控制活動、完整的會計、信息和溝通交流系統以及完善的自我評估和監控機制。
(1)建立清晰的操作風險管理策略和政策。
要根據銀行的業務類型和流程建立操作風險管理流程和框架,建立健全可靠的、與銀行業務性質、規模和復雜程度相適應的操作風險管理體系。包括董事會和高級管理層的有效監督;完善操作風險管理政策和程序;完善的操作風險識別、計算、量化、監測和控制程序;完善的內部控制、獨立的外部審計和適當的操作風險資本配置機制。
(二)建立分工明確的操作風險管理框架。
設立專門的獨立部門負責操作風險管理,由該部門牽頭,配合各部門制定操作風險管理戰略和政策,提供必要的管理工具,負責匯總全行操作風險管理信息並上報管理層。各業務條線管理部門負責在已建立的操作風險管理框架內組織實施,確保業務操作的合規性,確保條線所有員工意識到操作風險的存在,並采取必要措施規避和管理這些風險。每個員工都應嚴格按照規章制度開展工作,準確識別操作風險,確保所處理的業務和管理事項無差錯、無事故、無損失,並有責任及時報告可能威脅銀行正常經營、損害銀行、股東、客戶和員工利益的事件。內部審計部門應定期獨立檢查操作風險管理體系是否自上而下得到有效實施。此外,銀行應有效依靠外部審計實施獨立的第三方操作風險評估。
(三)識別關鍵風險環節,建立和完善內部控制制度
操作風險與內部控制密切相關,內部控制失效可能導致操作風險。因此,必須加強內部控制建設,識別關鍵風險環節,做到“系統完善、目標準確”,提高操作風險防範的效率和能力。
銀行應針對各項業務操作流程制定全面系統的政策、制度和流程,在全系統統壹業務標準和操作要求。內部控制貫穿於業務經營的全過程,滲透於所有業務流程和經營環節,覆蓋所有部門和崗位以及所有主要風險點。壹切經營管理活動都要以審慎為基礎,貫徹“內部控制第壹”的要求,在控制措施嚴格、充分的前提下進行,做到準確計算和評估風向,防患於未然。同時,要不斷對現有制度進行評估、修訂、補充和整合,確保各項制度在各部門、各級得到落實,並加強對規章制度執行情況的監督檢查。判斷控制體系是否有效的壹個重要標準是該業務的關鍵風險環節是否得到批準,是否有針對性地提出控制措施。其實抓住了關鍵環節,也就抓住了風險控制的大局。因此,銀行應對各層級、各崗位、各環節的業務流程和操作規程進行梳理和分析,找出關鍵風險環節,從而制定切實可行的控制和改進措施。
(四)培養員工操作風險意識,提高規章制度執行力。
科學合理設置崗位,實行“不相容崗位分離”原則;建立完整、清晰的崗位責任制,明確人員的崗位職責、資格和素質、崗位工作目標;根據崗位特點,選擇合適的員工從事崗位工作,量後才使用;加強對從業人員的風險教育和培訓,提高識別和控制操作風險的能力。加強對操作過程的控制,對關鍵風險設定定性和定量指標,建立操作風險預警機制,對這些指標進行持續監控和預警,以便管理層及時采取防範措施,如采取現場和非現場監控手段,對可能發生操作風險的環節進行持續跟蹤和檢查,督促其對發現的問題及時整改。對發生操作風險事件的直接經辦人員和相關人員,實行嚴格的責任追究制度。
(五)建立健全事故管理機制。
如何加強案件事故管理,將負面影響降到最低,甚至利用媒體的高度關註和傳播,將事件轉化為提高品牌知名度和美譽度的契機,轉敗為勝,成為銀行操作風險管理的重要課題。
應盡快在銀行內部建立危機公關機制,逐步形成危機公關管理的智慧和體系,不斷探索有效的危機公關方法和危機管理應對預案,確定危機出現後危機處理的基本原則。重大操作風險事件發生後,應迅速啟動應急預案,及時發布信息,以積極的態度“約談”媒體、政府部門等利益相關方,爭取各方支持,最大限度減少負面影響,甚至逆市推廣品牌。
作者:《現代商業銀行指南》(北京),中國建設銀行黑龍江省分行原創,2008.438+0.48—5438+0。
本文摘自《金融與保險》2008/6,第99頁。