论文部分内容阅读
巴林银行事件发生后,“Operational Risk”一词在国际学术界和金融界开始被频频提及,金融界开始认识到在信用风险和市场风险之外,另一种风险也可以对银行造成巨大的冲击,甚至于破产,“Opera?鄄tional Risk”开始进入人们的视野。
一、我国商业银行操作风险现状分析
(一)商业银行操作风险现状的定性分析
1.没有形成操作风险的管理意识
在实际管理中,不善于分析不同操作风险产生的根源,只注意操作风险事件的表面现象,就事论事。目前我国商业银行对信用风险和市场风险管理相对较重视,但对操作风险则没有配套的防范和控制措施,甚至没有专门的部门和人员来对操作风险进行管理。
2.操作风险汇报线路和业务流程存在缺陷
我国商业银行的管理层级多,又没有良好的全流程监控,分支机构潜伏和暴露的问题往往令人防不胜防,又增加了操作风险管理的难度。首先,多级管理模式难以对操作风险特性、度量和控制达成共识。其次,多级管理模式给操作又增添了一系列风险隐患。实践中,一些重要的操作风险管理制度缺乏总体的设计和协调,也未严格遵循内部控制要求的前后台职能分离原则,风险管理职能大多由各个业务管理部门负责,存在管理职能交叉、业务流程不清晰的现象,且还有不少管理死角,导致潜在操作风险较大。
3.操作风险的管理方式失效
长期以来,我们对银行高管人员采取的是行政性的官本位手段,市场化的激励约束手段运用不足,高管人员具有很强的道德风险,缺乏在管理上的高度责任感和事业心,导致管理制度的系统化和长期化不足。这是近年来银行业出现问题的关键。因而,在操作风险的识别、评估和控制等各环节上还不能做到定量分析,对风险的大小和危害只是定性估计和主观感觉.对风险的管理大多是以事后补救为主的亡羊补牢式,缺乏有效的事前防范和事中控制,对易发生操作风险的环节岗位缺乏有效的防范措施。在发生操作风险事件后,只是突击检查、查找漏洞、进行整改、处理有关责任人。通常情况下,整改的结果就是加强防范,而防范的措施往往就是修改或增加现有的管理规定,增加一道防线,增加人员和环节。这种管理方式不仅效率低下,成本较高,而且只治标不治本,致使同样的操作风险事件(主要是操作失误和恶意欺诈)依然在各银行中屡屡发生。
4.系统建设和监督尚欠有力
近年来,国内商业银行在金融信息化、电子化方面的建设确实有了长足的改善,但系统建设的滞后使得总行难以对分支行进行准确到位的内部监控,也是造成案件频发的重要原因。
(二)当前商业银行操作风险现状的定量分析
近期,国内有人对我国的操作风险进行了实证分析(樊欣、杨晓光,2003)。通过收集媒体公开报道的我国商业银行71起操作风险损失事件,对我国商业银行的操作风险状况做一个定量的概括归纳,以期能初步认识我国商业银行操作风险的各种属性。他们的研究结论是:
1.损失事件主要集中在商业银行业务和零售银行业务,损失事件主要可以归因于内部欺诈、外部欺诈
2.从业务部门和损失事件类型两种因素的组合来看,占到损失事件比例最大的是商业银行业务中的内部欺诈,其次是商业银行业务中的外部欺诈行为
3.单笔损失金额的均值相差很大
按损失事件看,最高的是外部欺诈,其次是内部欺诈,其他依次是客户、产品以及商业行为,执行、交割以及交易过程,最少的是经营中断和系统出错。这说明,在度量操作风险时,应该分别考虑每个业务部门和每个风险事件组合下的损失分布情况。
4.损失事件的多少与银行的总资产规模成正相关,但损失金额多少与总资产没有明显的相关性
这说明,一个银行操作风险的大小是由其内部控制是否严密决定的,而不是由总资产规模决定的。
二、我国商业银行应对操作风险的政策建议
(一)建立和完善操作风险管理体系
1.梳理银行的组织架构,设立专门的风险管理委员会总揽银行风险控制,形成顺畅有效的汇报路线
在风险管理委员会下设市场风险、信用风险、操作风险等专业管理委员会,在操作风险管理委员会领导下协调管理操作风险。操作风险管理委员会要加强部门之间的沟通协作,定期不定期召开操作风险管理联席会议,分析内外部操作风险形势,评估风险暴露程度,研究制订防范措施。
2.专设操作风险管理岗位
一般来说,操作风险与日常业务经营密切相关,因此需要分散在不同业务部门进行控制和管理,需要在业务部门设立专职的操作风险经理岗位。它既要对本部门负责,又要向上一级操作风险管理部门负责,从而形成一个以操作风险管理委员会为中心,横向拓展到相关部门,纵向延伸到基层营业网点的操作风险全面管理体系。扁平化改革成熟后,可实行操作风险经理派驻制或下管一级。操作风险经理的职责是:充分识别本部门所涉及的业务线操作风险损失类型,全面评估风险暴露程度,实时监测,及时预警。
3.“人”是操作风险管理的核心
要把以人为本的管理思想贯穿于操作风险防范全过程,将绩效管理与风险控制结合,充分发动和依靠广大员工抓好操作风险管理工作。从定义理解,操作性风险包括两方面:一是人员因素引起的操作风险中的操作失误、违法行为、越权行为;二是流程因素引起的操作风险中的流程执行不严格。相对于对流程、系统和外部事件的风险管理而言,操作风险管理的核心仍然是对人的管理。通过培育全员的风险管理文化,金融机构才能实现良性发展。
4.建立科学的决策机制
对商业银行而言,应形成基于个人负责制基础上的集体决策制。强调全面风险管理就必须意识到,一般员工或高管人员都必须基于个人对其行为负责的微观基础之上,风险管理框架本身,必须能够甄别和奖励善于应对风险获得收益的高管和员工,惩罚那些过度冒险或者厌恶风险的人,惟其如此,金融机构内的风险文化才是良性的。
(二)全面加强内部控制建设
1.加强内部控制管理的文化建设
银行内部控制管理要求员工具有一定行为规范和道德水准,内部控制管理文化建设就是通过调动每位员工的积极性、主动性和创造性,通过约束员工行为来达到业务发展与内部控制的目的。
2.建立健全内部控制制度
商业银行结合已有的内部控制制度的同时,根据实际形势的需要,不断研究新的操作风险控制点,逐步完善内部控制制度。重点要在以下十个方面完善内部控制制度:一是建立相应的授权体系,实行统一法人管理和法人授权;二是建立必要的职责分离,以及横向与纵向相互监督制约关系的制度;三是明确关键岗位、特殊岗位、不相容岗位及其控制要求;四是建立关键岗位定期或不定期的人员轮换和强制休假制度;五是对于可能导致偏离内部控制政策、目标的运行情况,应建立并保持书面程序和要求,并在程序中规定操作和控制标准;六是对于重要活动应实施连续记录和监督检查;七是在可能的情况下,应考虑运用计算机系统进行控制;八是对于产品、组织结构、流程、计算机系统的设计过程,应建立有效的控制程序;九是建立信息安全管理体系,对硬件、操作系统和应用程序、数据和操作环境,以及设计、采购、安全和使用实施控制;十是建立并保持应急预案和程序,确保业务持续开展。
3.依据银监会颁布的《商业银行内部控制评价试行办法》,积极开展内部控制评价
商业银行内部控制评价包括过程评价和结果评价。过程评价是对内部控制环境、风险识别与评估、内部控制措施等体系要素的评价。结果评价是对内部控制主要目标实现程度的评价。内部控制评价与监督检查既相辅相成,又各有侧重。日常监督检查的重点是业务监管,其目的是对业务的合规性和经营结果进行检查,是针对可能存在问题的“负面评价”,是针对“点”的监管。而内控评价是对内控体系的监管,是对业务过程的全面评价,是对商业银行内部控制水平的“正面评价”,是针对“面”的监管。内部控制评价可以形成确定日常监督检查的基础,即依据内部控制评价的结果确定日常监督检查的重点业务区域,使日常监督检查更具有针对性。
(三)建立先进的管理信息系统防范和控制操作风险
在信息流动加速的今天,加强IT系统建设已经是势在必行。努力实现业务的电子化、网络化,进一步加强信息安全建设,对已有的各种业务流程的再造和设置操作风险控制点,更有助于总行对其星罗棋布的分支机构进行有效管理。银行机构对监管数据进行科学的评价,建立起风险监测、监控和评价系统,将信贷风险、操作风险、市场风险、信誉风险等纳入信息系统,进行科学的管理,及时有效地处置经营过程中产生的各种风险问题。
当然,信息化和电子化也是一柄双刃剑。因此,必须在规范的制度原则框架下,建立安全责任制,界定职责权限及其利害归属,使应用流程管理、应用软件开发管理、操作性管理、网络安全管理等的风险降至最低。
(四)加强运用操作风险缓释工具———保险
新巴塞尔资本协议对作为商业银行操作风险管理工具的保险给予了相当的关注与阐释。长期以来保险一直是商业银行风险管理的重要工具,并且操作风险的本质特征符合保险的可保性要求。银行也可以购买承保范围比较广的风险转移产品,它们能够较充分地反映出银行操作风险的状况。因此可以将操作风险,尤其低频高危类风险纳人商业保险的业务范围。
(作者单位:中国银行天津市分行会计结算部)
一、我国商业银行操作风险现状分析
(一)商业银行操作风险现状的定性分析
1.没有形成操作风险的管理意识
在实际管理中,不善于分析不同操作风险产生的根源,只注意操作风险事件的表面现象,就事论事。目前我国商业银行对信用风险和市场风险管理相对较重视,但对操作风险则没有配套的防范和控制措施,甚至没有专门的部门和人员来对操作风险进行管理。
2.操作风险汇报线路和业务流程存在缺陷
我国商业银行的管理层级多,又没有良好的全流程监控,分支机构潜伏和暴露的问题往往令人防不胜防,又增加了操作风险管理的难度。首先,多级管理模式难以对操作风险特性、度量和控制达成共识。其次,多级管理模式给操作又增添了一系列风险隐患。实践中,一些重要的操作风险管理制度缺乏总体的设计和协调,也未严格遵循内部控制要求的前后台职能分离原则,风险管理职能大多由各个业务管理部门负责,存在管理职能交叉、业务流程不清晰的现象,且还有不少管理死角,导致潜在操作风险较大。
3.操作风险的管理方式失效
长期以来,我们对银行高管人员采取的是行政性的官本位手段,市场化的激励约束手段运用不足,高管人员具有很强的道德风险,缺乏在管理上的高度责任感和事业心,导致管理制度的系统化和长期化不足。这是近年来银行业出现问题的关键。因而,在操作风险的识别、评估和控制等各环节上还不能做到定量分析,对风险的大小和危害只是定性估计和主观感觉.对风险的管理大多是以事后补救为主的亡羊补牢式,缺乏有效的事前防范和事中控制,对易发生操作风险的环节岗位缺乏有效的防范措施。在发生操作风险事件后,只是突击检查、查找漏洞、进行整改、处理有关责任人。通常情况下,整改的结果就是加强防范,而防范的措施往往就是修改或增加现有的管理规定,增加一道防线,增加人员和环节。这种管理方式不仅效率低下,成本较高,而且只治标不治本,致使同样的操作风险事件(主要是操作失误和恶意欺诈)依然在各银行中屡屡发生。
4.系统建设和监督尚欠有力
近年来,国内商业银行在金融信息化、电子化方面的建设确实有了长足的改善,但系统建设的滞后使得总行难以对分支行进行准确到位的内部监控,也是造成案件频发的重要原因。
(二)当前商业银行操作风险现状的定量分析
近期,国内有人对我国的操作风险进行了实证分析(樊欣、杨晓光,2003)。通过收集媒体公开报道的我国商业银行71起操作风险损失事件,对我国商业银行的操作风险状况做一个定量的概括归纳,以期能初步认识我国商业银行操作风险的各种属性。他们的研究结论是:
1.损失事件主要集中在商业银行业务和零售银行业务,损失事件主要可以归因于内部欺诈、外部欺诈
2.从业务部门和损失事件类型两种因素的组合来看,占到损失事件比例最大的是商业银行业务中的内部欺诈,其次是商业银行业务中的外部欺诈行为
3.单笔损失金额的均值相差很大
按损失事件看,最高的是外部欺诈,其次是内部欺诈,其他依次是客户、产品以及商业行为,执行、交割以及交易过程,最少的是经营中断和系统出错。这说明,在度量操作风险时,应该分别考虑每个业务部门和每个风险事件组合下的损失分布情况。
4.损失事件的多少与银行的总资产规模成正相关,但损失金额多少与总资产没有明显的相关性
这说明,一个银行操作风险的大小是由其内部控制是否严密决定的,而不是由总资产规模决定的。
二、我国商业银行应对操作风险的政策建议
(一)建立和完善操作风险管理体系
1.梳理银行的组织架构,设立专门的风险管理委员会总揽银行风险控制,形成顺畅有效的汇报路线
在风险管理委员会下设市场风险、信用风险、操作风险等专业管理委员会,在操作风险管理委员会领导下协调管理操作风险。操作风险管理委员会要加强部门之间的沟通协作,定期不定期召开操作风险管理联席会议,分析内外部操作风险形势,评估风险暴露程度,研究制订防范措施。
2.专设操作风险管理岗位
一般来说,操作风险与日常业务经营密切相关,因此需要分散在不同业务部门进行控制和管理,需要在业务部门设立专职的操作风险经理岗位。它既要对本部门负责,又要向上一级操作风险管理部门负责,从而形成一个以操作风险管理委员会为中心,横向拓展到相关部门,纵向延伸到基层营业网点的操作风险全面管理体系。扁平化改革成熟后,可实行操作风险经理派驻制或下管一级。操作风险经理的职责是:充分识别本部门所涉及的业务线操作风险损失类型,全面评估风险暴露程度,实时监测,及时预警。
3.“人”是操作风险管理的核心
要把以人为本的管理思想贯穿于操作风险防范全过程,将绩效管理与风险控制结合,充分发动和依靠广大员工抓好操作风险管理工作。从定义理解,操作性风险包括两方面:一是人员因素引起的操作风险中的操作失误、违法行为、越权行为;二是流程因素引起的操作风险中的流程执行不严格。相对于对流程、系统和外部事件的风险管理而言,操作风险管理的核心仍然是对人的管理。通过培育全员的风险管理文化,金融机构才能实现良性发展。
4.建立科学的决策机制
对商业银行而言,应形成基于个人负责制基础上的集体决策制。强调全面风险管理就必须意识到,一般员工或高管人员都必须基于个人对其行为负责的微观基础之上,风险管理框架本身,必须能够甄别和奖励善于应对风险获得收益的高管和员工,惩罚那些过度冒险或者厌恶风险的人,惟其如此,金融机构内的风险文化才是良性的。
(二)全面加强内部控制建设
1.加强内部控制管理的文化建设
银行内部控制管理要求员工具有一定行为规范和道德水准,内部控制管理文化建设就是通过调动每位员工的积极性、主动性和创造性,通过约束员工行为来达到业务发展与内部控制的目的。
2.建立健全内部控制制度
商业银行结合已有的内部控制制度的同时,根据实际形势的需要,不断研究新的操作风险控制点,逐步完善内部控制制度。重点要在以下十个方面完善内部控制制度:一是建立相应的授权体系,实行统一法人管理和法人授权;二是建立必要的职责分离,以及横向与纵向相互监督制约关系的制度;三是明确关键岗位、特殊岗位、不相容岗位及其控制要求;四是建立关键岗位定期或不定期的人员轮换和强制休假制度;五是对于可能导致偏离内部控制政策、目标的运行情况,应建立并保持书面程序和要求,并在程序中规定操作和控制标准;六是对于重要活动应实施连续记录和监督检查;七是在可能的情况下,应考虑运用计算机系统进行控制;八是对于产品、组织结构、流程、计算机系统的设计过程,应建立有效的控制程序;九是建立信息安全管理体系,对硬件、操作系统和应用程序、数据和操作环境,以及设计、采购、安全和使用实施控制;十是建立并保持应急预案和程序,确保业务持续开展。
3.依据银监会颁布的《商业银行内部控制评价试行办法》,积极开展内部控制评价
商业银行内部控制评价包括过程评价和结果评价。过程评价是对内部控制环境、风险识别与评估、内部控制措施等体系要素的评价。结果评价是对内部控制主要目标实现程度的评价。内部控制评价与监督检查既相辅相成,又各有侧重。日常监督检查的重点是业务监管,其目的是对业务的合规性和经营结果进行检查,是针对可能存在问题的“负面评价”,是针对“点”的监管。而内控评价是对内控体系的监管,是对业务过程的全面评价,是对商业银行内部控制水平的“正面评价”,是针对“面”的监管。内部控制评价可以形成确定日常监督检查的基础,即依据内部控制评价的结果确定日常监督检查的重点业务区域,使日常监督检查更具有针对性。
(三)建立先进的管理信息系统防范和控制操作风险
在信息流动加速的今天,加强IT系统建设已经是势在必行。努力实现业务的电子化、网络化,进一步加强信息安全建设,对已有的各种业务流程的再造和设置操作风险控制点,更有助于总行对其星罗棋布的分支机构进行有效管理。银行机构对监管数据进行科学的评价,建立起风险监测、监控和评价系统,将信贷风险、操作风险、市场风险、信誉风险等纳入信息系统,进行科学的管理,及时有效地处置经营过程中产生的各种风险问题。
当然,信息化和电子化也是一柄双刃剑。因此,必须在规范的制度原则框架下,建立安全责任制,界定职责权限及其利害归属,使应用流程管理、应用软件开发管理、操作性管理、网络安全管理等的风险降至最低。
(四)加强运用操作风险缓释工具———保险
新巴塞尔资本协议对作为商业银行操作风险管理工具的保险给予了相当的关注与阐释。长期以来保险一直是商业银行风险管理的重要工具,并且操作风险的本质特征符合保险的可保性要求。银行也可以购买承保范围比较广的风险转移产品,它们能够较充分地反映出银行操作风险的状况。因此可以将操作风险,尤其低频高危类风险纳人商业保险的业务范围。
(作者单位:中国银行天津市分行会计结算部)