论文部分内容阅读
内部控制的失效往往是商业银行操作风险频发的最主要原因,应通过建立有效的内控体系加以控制和防范,并在此基础上构建全面的操作风险管理体系。
20世纪80年代以来,全球金融机构因操作风险而造成的损失超过2000亿美元。2002年巴塞尔委员会做过一次全球性的操作风险调查,被调查银行共计报告损失金额超过1万欧元的操作性风险事件47269起,平均每家银行发生操作风险事件逾500起。操作风险事件频繁引爆,破坏力量之大令业内震惊,建立和完善操作风险管理体系已经成为现代商业银行急需解决的重大课题。
随着金融全球化趋势的加快,银行业无论是经营的业务范围还是提供的金融产品种类都更具多元化,加之日益先进的信息技术和金融技术在银行业越来越广泛的应用,使得银行面临的风险也更为复杂。操作风险暗流涌动,已成为导致金融机构及整个金融体系恐慌的潜在威胁。即使是最传统的业务,也有相当部分是银行内部由于有章不循、违规越权甚至内部人作案而导致的,有的甚至酿成重大损失,比如,今年四月邯郸农行金库被盗近5100万元,涉案金额如此之巨大,性质如此之恶劣,给正处于股改关键时期的农行产生了极坏影响,也给整个金融系统带来了一定的负面影响,这起案件依然凸现了商业银行在操作风险管理上的薄弱环节,它又一次给各家商业银行敲响了警钟,值得中国银行业深刻反思。
巴塞尔银行业监管委员会以及国内外商业银行对于操作风险的调查统计都表明,操作风险不同于信用风险,不仅具有很强的不可预测性,难以依赖模型进行判断,而且与政策体制及人员因素直接相关,因而健全的内部控制成为商业银行进行有效操作风险管理的基础。
内部控制失效导致操作风险频发
政策层面上的控制机制缺乏是要害所在。由于地域辽阔、经济发展不平衡的特点,使得商业银行的一些程序在不同区域或不同层级呈现非标准化特征,而这种非标准化正是造成操作行为不一并缺乏统一衡量标准的重要原因。同时,这些程序并没有被系统整合上升为政策层面的东西,没有形成诸如信用风险、市场风险、操作风险等统一有效的政策,无法指导和规范各类业务的运行,这也是商业银行从整体上难以规避操作风险的原因所在。
严密有效的制度体系缺乏是风险难以规避的重要原因。近年来,我国商业银行在制度建设方面下了很大功夫。但是,这些制度或规章多是针对某一产品或某一业务领域而制订的,因而具有单点或条线式的特征,不能形成一个网络状的体系,使业务运行中的各个部位和各个环节达到平衡制约、相互支持。这种制度执行的结果,往往是局部或某一环节的风险点得到了控制,抑或是某一业务条线的风险得到了防范,但总体上却控制不足或系统控制失效,使内控难以达到预期目标。
监督不力或无效容易酿成操作风险。无论是商业银行自身还是外部监管机构,为实现规章、制度的有效运行,每年都会定期或不定期地组织现場或非现场检查,甚至是大规模的全国性检查。可每次检查都会发现大量的、以前检查中发现并责成整改的问题,又在不同的部位、以不同的形式表现出来,甚至还会在相同部位、相同形式再次发生。究其原因,一是这种检查多是“自上而下”发起而非“内生性”的,操作人员有“隔靴搔痒”之感;二是这种检查是不定期的、视银行管理者或监管部门的管理偏好而定的,是非制度化的,改进的效果也多属“就事论事”式的,而非从根源上查找原因并加以系统整改的;三是缺乏持续跟进的机制,因此屡查屡犯的现象难以从根本上去除。
关键岗位缺乏有效制约是风险频发的重要因素。尽管商业银行的制度规定中对一些关键岗位有明确界定,如要求机构负责人、尤其是基层机构负责人在任期届满后必须交流,又如,要求会计部位的人员必须定期轮换或“强制休假”等,但执行起来遭遇种种原因或借口而打了许多“折扣”。近些年在一些银行发生的大案要案,有相当部分属于机构负责人在一地或某一岗位任期太长,而使一些已酿成损失的事件长期被掩盖,由此造成巨额损失。
体制性因素成为商业银行内控失效的关键。近年来,虽然银行内部强调了平衡制约,规定了一些不相容岗位的职责,但由于业务条线自上至下的管理与对人员和资源的配置是脱节的,因此政策的传导和制度的执行力度会因各层级管理者的风险偏好或自身利益驱动而发生一定的扭曲或调整,从而使控制失效。这一问题已成为商业银行实现效益最大化目标的致命性掣肘因素。
建立有效内控体系管理操作风险
有效的内控体系是银行防范各类风险、尤其是操作风险的一道重要屏障。而要建立这套体系,则必须把着眼点既放在银行管理的根部又放在顶部。根部则需从基础做起,通过对银行现有运行的基础系统进行梳理分析,识别出风险点和薄弱环节,并跟进有效控制措施,把基础打牢。顶部则指银行高管层必须把对操作风险的防范放在同信用风险同等重要的位置,在明确内控政策、目标和程序的前提下,督促建立系统、透明、文件化的内控体系,实施对银行整体经营活动的系统监测控制,并通过不断评审保持其持续改进。
进行制度整合,建立文件化的内控体系。为使内控体系有效,需按照内控原则对现有制度进行整合,通过系统梳理业务及管理流程找准其出口与入口,将其有机连接起来,使之体系化,然后通过这一“网状”的体系文件来指挥、控制各项业务的运行。体系文件在指挥业务运行中的一大显著优势是它的惟一性,即一项活动只能由一个文件来规范,其后发生的变化可以通过该文件的不断评审和修订来完成。这不仅可避免众多文件指挥一项活动带来的负担和操作风险,还有利于根据不断变化的经营环境和基层行的实际情况随时修订文件,增进体系文件的时效性,并随着不断评审持续改进,增进内控的有效性。
定期评审,建立持续改进机制。解决商业银行“屡查屡犯”问题的根本途径在于建立制度化的评审和系统化改进机制。即规定承担操作风险的各业务部门的各岗位员工必须定期对涉及该岗位的体系文件的适宜性和有效性进行自查或审核,对发现问题并积极建议者给予奖励;风险管理部门需定期组织对所有业务条线和各业务环节的系统评审,发现问题及时跟进整改措施,并对疑点和薄弱环节建立持续跟踪检查制度;审计部门也需定期对文件化的内控体系进行评审,对其有效性发表意见并提出整改建议;银行监管当局则应在一定的期间内对商业银行内控体系进行评价,针对发现的问题或风险隐患责成制定纠正措施,并跟踪其纠正效果及有效性。这种职责分明、环环相扣的评审机制有利于形成一个动态的过程,促使商业银行不断改进内控体系,提升内控体系的有效性。
积累数据,为开发操作风险管理模型奠定基础。内控体系的一个基础性要求,就是要求商业银行建立并保持书面程序,记录内部控制相关活动中所涉及的主要内容,以提供内控体系有效运行的证据,并可追溯到相关的活动。这无疑为积累操作风险的数据,开发操作风险管理模型奠定了基础。由于操作风险的无处不在和爆发前的隐蔽性,靠人工检查和手工操作有较大局限性,因此亟需开发模型,建立监测与计量系统,以有效跟进与控制操作风险。考虑到目前国际上尚无成熟的操作风险管理模型,且操作风险的量化存在一定困难等因素,我国商业银行现在就应着手积累数据,并就易发风险的关键环节开发相应控制程序,并随经验的增加和情形的发展而不断丰富完善。
建立基于有效内控体系的操作风险管理体系
严密的内部控制体系为操作风险政策及标准的实施提供了基础平台。国际先进银行的内部控制体系是建立在统一的风险管理政策和框架之下的。这一基于统一政策、标准流程、明晰的职责分工和授权建立起来的体系,能够通过全行范围内的自评活动,有效识别经营及管理活动中的风险,跟进控制措施,并搜集、积累操作风险损失事件的数据,为筛选关键风险指标,开发分析工具奠定基础。
确立统一完整的操作风险管理流程。银行可在全面风险管理流程框架的基本模式下,结合操作风险的特点,确定统一完整的操作风险管理流程。首先,从潜在重大风险事件入手,开展风险辨识和成因分析;其次,通过对上述工作所得数据在各业务单元和业务部门进行分类,从而使各业务部门根据自身的操作风险状况采用合理的风险管理架构;最后,银行需要建立一个防范非预期损失的机制,包括一个风险转移机制,如保险。风险管理流程可以分为事件识别、原因分析、风险映射、风险应对以及资本管理五个环节,每个环节又分别涉及定性、定量风险管理以及内外部审计三个层面。
开发行之有效的操作风险管理范式和工具。首先,要建立全行范围的事件和风险指标数据库。新资本协议在多处提及操作风险损失数据问题。操作风险损失数据的收集被视为风险识别和风险监控的基本要素,用来校验风险估计,并成为风险报告和操作风险高级法的关键输入变量。在风险事件数据库构建时,必须要确立连续的事件收集标准,包括事件的定义、收集的金额起点以及事件分类方法等。其次,通过开发一个获取和跟踪的程序对全机构各层面的操作风险问题、事件和损失进行跟踪,包括这些事件的损失和成因。识别并跟踪操作风险的先行指标和驱动因子。获取定量及定性的驱动因素数据和其他描述性信息,为管理层采取适当的行动提供指标报告和打分依据。
开展动态的操作风险监控和评估。操作风险监控和评估有三大目标:第一,确定风险事件损失情景的类型;第二,确定损失事件的原因以及潜在的损失程度;第三,将上述分析结果转化为能够应用于风险缓解的模式。风险管理部与业务部门协同进行持续性的风险评估,从内外部审计等部门获取有关风险的信息及数据。操作风险管理部为各业务部门进行的操作风险评估提供便利,并在全行范围内进行操作风险脆弱性分析。通过在全行实施操作性风险调整后绩效管理(RAPM)方法等风险和业绩测量工具,将有关操作风险、风险指标以及事件趋势等信息进行有效传递。
建立一体化的操作风险报告体系。操作风险报告过程应该涵盖银行面临的关键操作风险或潜在操作风险、风险事件以及所采取的补救措施、已实施措施的有效性、管理风险暴露的详细计划、操作风险明确会发生的压力领域、为管理操作风险而采取步骤的状态等方面的信息。并且这些信息应该足以满足以下要求:(1)使高级管理层和经营者能够确定風险管理职责的委派的有效性,操作风险管理的要求是否得到了满足;(2)使整体风险预测能够与银行的风险战略和偏好相比较,并得到评定;(3)使关键风险指标得到监控,可以判断出采取措施的需要;(4)使业务单元能够确定对关键风险成功实施了控制,有关信息得到了传递。以上所述的风险管理过程是一个不断重复的过程。风险管理职能部门应该确保关键操作风险管理活动以适当的频率重复进行,例如每年或每半年一次。
操作风险管理中的有关报告清单包括:风险汇总报告、单一风险指标报告、风险指标综合分析报告;关键风险因素分析报告;问题跟踪系统报告;损失原因分析和预测报告;事件和损失汇总报告;事件趋势预测报告;损失预测;关键事件的风险监控报告;经济资本分析报告;监管资本分析报告;操作风险管理成本报告;风险融资和保险决策报告;风险化解报告。
运用科学的操作风险管理激励和约束机制。为充分调动业务部门和员工在日常工作中参与风险管理的主动性,可运用激励和约束机制来平衡战略性风险和收益,运用资本作为优化风险和回报的手段,为风险管理提供激励和约束。比如使用风险调整后绩效测量模型(如基于风险的经济资本配置或分配程序)来强化操作风险较高的业务。通过经济资本分配和操作风险管理成本配置等手段对业务部门操作风险管理的进展给与奖励;通过在员工绩效考核指标体系中增加操作风险管理的考核指标,鼓励员工参与操作风险管理的积极性。将操作风险的考核内嵌到员工的福利计划中,以保证员工在日常工作中能够专注于操作风险的防范和优化上。
(作者系上海浦东发展银行总行操作风险管理部总经理)