时间:2022-05-31 23:54:53
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇操作风险管理范例。如需获取更多原创内容,可随时联系我们的客服老师。
风险就是未来结果的不确定性。不确定性越高,风险就越大。由于分析角度不同,对银行风险分类的标准也不一。一般可分为市场风险(利率、汇率和资产价格)、信用风险、流动性风险、操作风险、法律风险、道德风险和国家风险。一般业界所说的三大风险是指信用风险、市场风险和操作风险。这是国际上巴塞尔委员会要求提取资本金的三类风险,是国际银行业和银行监管机构重点关注的三类风险。
对我国商业银行来说,操作风险是个新概念,但这并不表明我国商业银行中没有操作风险管理活动。事实上,各商业银行一直都有自己的操作风险管理实践,但一般使用“内部控制”一类的表述,而且,在多年内控管理过程中,各商业银行都程度不一地建立和制定了相关的管理框架、制度和措施。不过,相对于信用风险、市场风险管理而言,操作风险管理还缺乏识别标准、管理模式、数据积累等。
操作风险是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。操作风险包括法律风险,但不包括策略风险和声誉风险。具体表现就是商业银行因办理业务或内部管理出了差错;由于内部人员监守自盗,外部人员欺诈得手;电子系统硬件软件发生故障,网络遭到黑客侵袭;通信、电力中断;自然灾害、恐怖袭击等原因导致损失的银行风险,这些都属于操作风险。可见,操作风险不仅仅包括操作中的风险,还包括内部程序、信息科技系统和外部事件所带来的损失。
与信用风险和市场风险相比,操作风险主要有几个特点。第一,具有内生性,除自然灾害等外部事件引起的操作风险损失外,操作风险大多是在银行可控范围内的内生风险,信用风险和市场风险则为外生风险。第二,广泛性,操作风险的覆盖的范围相当广泛,与市场风险主要存在于交易类业务和信用风险主要存在于授信业务不同,操作风险普遍存在于商业银行的业务和管理中。此外,对于信用风险和市场风险来说,风险越高,收益越高,存在风险与收益的对应关系,而操作风险和收益没有太多联系。
二、操作风险识别和管理
操作风险主要表现为以下几种类型,商业银行在经营中需加以识别和管理。
(一)人为因素。主要为内部欺诈、主观违规、操作失误。主观违规有超授权授信行为、逆程序、过度信任造成管理缺位、岗位设置不合理造成监督空位、不良爱好(如涉毒、涉赌、涉黄)引发的违法违规。操作失误是由于员工技能水平不高、态度不认真在业务过程中的失误造成的,如数字输入错误、将取款记作存款等。由银行员工操作失误引起的操作风险一般具有损失小(当然不排除特殊情况)、发生频率高、难以事先预测的特征,因而非常难以防范。人员因素引发的操作风险,有的是作为,如主观违规,有的是不作为,如业务不熟出错,疏忽大意。
(二)流程因素。包括操作程序遗漏或忽略、产品设计缺陷、业务流程设计不合理等。过去认为流程越复杂、相互制约性越强越好。事实上,流程越简单越易于操作,流程越短越便于管理,设计越合理越利于控制。这样才能适应变化,确保效率和风险管理,流程设计不合理,有瑕疵,往往容易出现风险隐患。
(三)系统因素。系统是现代商业银行赖以生存的命脉。无论是业务发展如网上银行、现金管理还是风险监控,都离不开信息系统紧密支持。但是,商业银行高度依赖信息系统,信息数据高度集中也给银行带来新的风险管理难题,如系统安全稳定、IT技术风险防范、数据和信息质量,系统设计和开发战略风险,等等。系统出现如故障、瘫痪,系统不安全、通讯中断以及系统兼容性、稳定性、适宜性方面的操作风险很容易给银行带来巨大的经济损失和无法估量的信誉损失。此外,从操作风险发生的部位来看,当前与系统有关的操作风险日益增加。由于系统原因和流程问题导致犯罪分子利用系统漏洞实施金融诈骗已经成为妨碍我国银行业资金安全重大问题。
(四)外部因素。银行经营都是处于一定的政治、社会、经济环境中的,经营环境的变化、外部突发事件都会影响到银行的经营活动,甚至会产生损失。外部事件引起银行损失的范围非常广泛,包括外部欺诈、外部突发事件与外部经营环境的不利变化。外部人员的蓄意欺诈行为是近年来给银行造成损失最大、发生频率最高的操作风险之一,而内外勾结作案更是令商业银行防不胜防。外部欺诈包括骗贷、抢劫、偷盗、爆炸等风险因素。外部突发风险包括遭受冰冻雨雪、地震等自然灾害以及恐怖袭击、火灾等给商业银行带来的损失。外部经营环境的不利变化引起的操作风险是由于受宏观经济环境、银行监管法规变化使银行发生损失的风险。宏观经济环境的不利变化会给商业银行带来意想不到的损失。
三、商业银行操作风险管理的现状
目前,我国操作风险管理与监管尚处在一个较为初期的发展阶段。由银行监管部门以规范性文件关于操作风险监测方法或者具体操作模式还为时尚早。监管机构主要把重点放在提高操作风险(或内部控制)管理质量上,并且要求银行提高对操作风险的重视。
(一)商业银行操作风险的监管要求。2004年6月,巴塞尔委员会了新的资本协议,对银行操作风险提出了新的资本要求。据巴塞尔委员会估计,在银行业所有风险中,操作风险所造成的损失已经仅次于信用风险。2006年10月巴塞尔委员会的新版《有效银行监管核心原则》中,专门为“操作风险的监管”新增一条原则,制定了评估该原则执行情况的标准,提出了商业银行操作风险管理的最佳做法和监管指引。
目前,实施新资本协议的国家都按照新协议要求,明确将操作风险纳入资本监管范畴,国际上已形成了对操作风险加强监管的共识,已经形成了相关制度和监管标准。巴塞尔新资本协议对操作风险的有关规定是近年来国际金融界日益注重操作风险管理的制度体现,也是加强全面风险管理方面的新要求。
在未来几年内,我国银行界按照新资本协议的要求实施操作风险管理已是大势所趋。根据中国银监会《商业银行操作风险指引》要求,操作风险监管机构是中国银监会和派出机构。商业银行要履行报告义务,提交有关方面的审议报告,对有关政策和程序要报备。银监会定期要进行检查评估。对于高管严重违规、重大抢劫银行等操作风险事件商业银行必须报告银监会和其派出机构。另外,《商业银行操作风险指引》要求商业银行要根据自身实际操作风险管理的政策、选择适当的方法进行管理,采取一定的措施控制、降低操作风险。
(二)操作风险机制建设。国际上巴塞尔协议将人们的视线更多地集中于操作风险的监管资本要求上。但实际上,一个银行的资本量多少并不是管理成功与否的关键,加强操作风险管理最关键是加强商业银行操作风险的机制建设。
1.关于操作风险管理体系建设。关于操作风险管理的组织体系,各银行间存在着重大差异。各商业银行主要依据银监会《商业银行操作风险管理指引》要求逐步建立和探索适应本行的操作风险管理体系。该体系主要包括董事会的监督控制;高级管理层的职责;适当的组织架构;操作风险管理政策、方法和程序;计提操作风险所需资本等基本要素。董事会从总体上履行操作风险管理的职责。如制定总体战略、政策、定期审批报告等。高级管理层在操作风险管理中职责主要为执行董事会的有关决议,定期向董事会报告。各商业银行一般以与自身的风险管理战略和组织结构相匹配成立管理操作风险的部门。具体执行中操作风险人员可能被放在一个部门——操作风险管理部门,主要拟定本行操作风险管理政策、程序和具体的操作规程;建立并组织实施操作风险识别、评估、缓释(包括内部控制措施)和监测方法;定期检查操作风险的管理情况。有些银行在总行层面上建立了首席风险官,在各营运业务条线设置风险经理,对主要业务的关键、高发风险点进行实时监测。有些银行在专业领域内如法规部门、审计监察部门设立单独的风险监管部门,在管理好本部门的操作风险的基础上,为其他部门管理操作风险提供相关资源和支持。
2.商业银行操作风险管理有关政策。各商业银行正积极探索制定有效管理操作风险的政策和方法。首先,在操作风险政策制定方面,部分商业银行已经制定《操作风险管理政策框架》、《操作风险管理政策》,进一步明确了各行各级机构和部门在操作风险中的管理职责。针对操作风险的执行,制定具体执行措施,如详细的《案件防控及整改方案》、《基层机构关键风险点监控检查内容与操作指引》,同时,将操作风险控制基本要求植入业务流程改造和IT蓝图建设中。其次,为衡量分析操作风险建立操作风险管理技术标准。各商业银行正在积极研发风险控制与评估、关键风险指标、重大事件报告制度、损失数据收集和业务持续经营计划等工具。再次,识别操作风险,制定有关制度措施。根据银行风险的特点,加大对操作风险的识别,并针对性地制定制度措施,如对系统风险、外部等操作风险,有关行制定了详细的风险应急预案,增加应急措施;建立与新产品、新业务发展相对应的制度规定;修改更新产品和流程,塑造流程银行,按流程操作;增加制度执行建设,强化日常检查的频率,加强员工行为排查,等等。
四、对商业银行操作风险管理的几点启示
(一)引入全面风险管理。全面风险管理体系(Enterprise
wideRiskManagement简称ERM)是西方商业银行比较成熟的风险控制理念和技术。全面风险是风险管理的最终目标,全面风险管理,主要体现在它的全面性、全程性、全员性和系统性。操作风险与市场风险、信用风险有高度的相关性,操作风险与其他风险结合将导致风险更加复杂、更加分散,风险损失更加显著,将数倍、数十倍地被放大。因此,在风险管理中应将操作风险与市场风险、信用风险等各种风险联系起来进行全面的风险管理,保证风险管理政策统一、工作协调。同时,操作风险遍布商业银行内部各业务环节、产品线和不同的管理层面,不仅仅是依赖于一两个专门的部门监管,应该从本行、本部门、个人操作抓起。各商业银行应及时上升层次,逐步建立全面风险管理委员会下辖操作风险、信用风险和市场风险等风险管理委员会,制定全面风险管理政策,形成总体规划,发挥资本在风险覆盖、部门配置方面的作用。
(二)操作风险的缓释。操作风险是客观存在的,只要有人群、行为和活动,就一定存在操作风险,应尽量降低其发生的频率和所造成的损失。从操作风险的规避角度分析,操作风险可以分为可规避的操作风险、可降低的操作风险、可缓释的操作风险。除极少数应承担的操作风险外,大部分操作风险都有规律可循,其发生过程类似多米诺骨牌,有前因后果的连锁关系。因此,要查找出其发生规律,通过技术手段切断引发操作风险的关键环节,并通过必要的管理措施加以缓释。
1.商业银行一揽子保险和打包保险。火灾、自然灾害等引起的商业银行财产损失,商业银行的内外部欺诈,对高级管理层和员工的责任险等都可以通过保险公司一揽子保险和打包保险承保予以缓释,通过承保转移给保险公司。然而,目前国内保险公司尚未开发更多的针对商业银行操作风险的保险产品,保险方式、有关保险业务品种还有待保险公司创新。另外,保险公司对银行风险管理能力和财务承受能力还不能准确精算评估,各保险公司保费收取也存在重大分歧。如对于内外部欺诈引发的操作风险,各保险公司普遍收费高,无疑增加了银行的成本管理,也直接约束了操作风险的缓释。不过,相信随着金融市场的逐步开放,这一局面将逐步得到改善。
2.业务外包。除保险外,商业银行可以通过业务外包来缓释操作风险。将技术含量高、专业性强的有关业务交由专业机构管理,增加操作风险管理的效益性。如有关法律风险可聘请具有符合条件的外聘律师诉讼和仲裁;对于风险性高的守护、保卫、押运可聘请符合资质条件的保安公司管理;对于产品评估、网络维护、系统开发也可招标专业公司。当然,选择外包公司,不可能一包了事,也需加强双方之间的沟通,通过签订合同,明确双方权利和义务,合理转移风险。事实上基于双方的委托关系,最终的权利和义务应由商业银行承担。
(三)建立健全制度管理,狠抓制度落实。总结有关操作风险损失案例,其中大部分为有法不依,有章不循,制度落实不到位,管理缺位造成的风险损失。因此,要建立健全制度管理,狠抓制度落实,才能够使操作风险得到有效管理和控制,才能使因操作风险损失降到最低限度。一是做到制度到位,及时立、改、废有关制度,形成制度数据库,并根据实际情况将有关规章制度分解到各个部门、各个环节、各个岗位,形成操作指南和岗位流程;二是责任到人,处理到人。要及时跟踪检查执行,增加检查的频率和有效性,加大违规处罚力度,把隐患消灭在萌芽状态。
(四)加强合规管理与合规文化教育。商业银行要倡导和强化全员合规文化,引导全行员工树立对风险管理的责任意识,使风险意识突破传统的部门界限,真正融入全行各个部门、每位员工的行为规范和工作习惯之中,让员工认识到自身岗位关键风险点,形成防范风险的有效屏障。
总之,我国商业银行的操作风险管理要求不是一时之需,而是伴随商业银行发展的长期任务,如果要想保持现有的竞争优势,甚至在国际金融市场取得一定的地位,就必须不断提高自身的操作风险管理水平,全面加强风险管理。
参考文献:
[1]陈余化,赵榄.警惕商业银行操作风险监管走向误区[J].经济论坛,2006,(13).
[2]姜燕.新巴塞尔协议框架下中国商业银行操作风险的度量与管理[D].北京:对外经济贸易大学,2006.
[3]曾向阳.对商业银行操作风险管理的几点思考[J].广西金融研究,2005,(8).
[4]杨满沧.企业银行博弈与共赢[M].北京:中央编译出版社,2007.
[5]刘毅.商业银行经营管理学[M].北京:机械工业出版社,2006.
关键词:保险公司;风险管理;操作风险
中图分类号:F27 文献标识码:A
收录日期:2012年2月2日
《巴塞尔新资本协议》将金融机构面临的风险概况为三大类:信用风险、市场风险和操作风险。其中,操作风险被定义为由于不正确的内部操作流程、人员、系统或外部事件所导致的直接或间接损失的风险。这一定义同样适用于保险业。2007年11月中国人寿湖南宜章县支公司某位“业务明星”通过伪造收据、保单等骗取挪用公司保费1,500万元,成为保险业有史以来最大的营销员骗保案;同年,保监会查处新华人寿泰州支公司某副总在任职期间,利用职务之便,通过拼凑团单并截留保费,挪用退保资金,仅2003~2006年期间,涉及资金约达7,500万元左右,被骗客户约2,000人。以上案件的发生,都是由于保险公司内部的操作风险控制薄弱引起的,这不仅给公司造成了巨大的经济损失,同时也给公司的声誉带来了不良影响。
一、保险业操作风险管理现状
(一)保险公司对操作风险的认识不足,且管理水平较低。目前,我国保险业整体还处于粗放型经营,仍以保费收入作为经营业绩的主要指标。保险企业对操作风险的认识不足,对操作风险管理的制度建设不够重视,有些制度的建立只是流于形式,不切实际且针对性差,不能对关键岗位起到监督作用。
保险企业对操作风险的管理水平偏低,缺乏有效的技术手段以及防范和控制措施。对操作风险的评估目前只限于用定性的方法,主观性较强。较之利用金融工程和统计模型对风险进行识别、度量和检测的方法来说比较落后。而且目前对操作风险的管理多为事后控制,缺少积极主动的防范机制,不能从根本上防范重大操作风险的发生。
(二)保险业经营注重业务量的增长,对风险管理重视不够。一直以来,我国保险业的发展都是重保费、轻管理。各保险企业在发展方向上,更注重保费增加的规模和速度,强调业务的增长量,而忽视对业务质量的管理。而且保险法规和监管部门对保费的过分强调也使得各保险企业将保费规模作为主要经营目标,过分地追逐保费的提高必然会导致业务质量的下降,从而导致风险因素的增加。在激烈的市场竞争中,以低价进行恶性竞争,盲目承保、劣质承保的事件屡禁不止。在发展的战略方针上,一些保险企业存在经营决策的短期行为,不重视公司的长远发展战略,从而忽视了对影响公司长远发展的风险因素的管理。
(三)缺乏操作风险管理的企业环境和相关管理人才。保险公司的操作风险包括在经营中存在的资金运用、核保核赔、从业人员和保险人以及法律风险等。其涉及到保险公司的各个岗位和各个环节,一个有效的操作风险管理制度的建立要求操作风险管理意识能够渗透到公司每个员工的日常经营活动中。然而,受保险业多年来粗放式经营的影响,从公司管理层到一般员工都相对缺乏操作风险的意识,缺乏对操作风险管理和防范的理念。由于我国风险管理理论发展滞后,风险管理人才严重不足。尤其操作风险的综合性更需要一些既懂风险管理理论又懂公司管理同时又熟悉保险业务的复合型人才,而这种人才在市场上少之又少。
(四)保险公司对分支机构的操作风险管理不足。对操作风险的控制是各保险企业总公司对分支公司进行有效控制的关键。当前,保险公司分支机构在经营过程中面临诸多操作风险。首先,保险企业合规经营意识不强。保险企业的一些基层分支机构违背市场规律,盲目或违规经营的现象仍时有发生。近年来,同业非理性竞争的手段则更加隐蔽,有些公司甚至通过口头承诺、系统外违规操作等方式为客户提供高保障范围来争取业务,导致保险公司经营风险积聚,同时也损害了保险业的形象;其次,对操作风险的管控不严。如有的基层分支机构不严格执行业务管理制度,有的营销员不在规定时间将投保资料和保费交回公司,业务员代客户签名的事件也时有发生。
二、保险公司操作风险产生的根本原因
(一)盲目的经营目标是操作风险产生的最主要原因。当前,我国多数保险企业仍将保费收入和所占有的市场份额作为经营的首要目标,各保险企业的总公司对分支机构的考核主要是以保费收入的增加额为依据,这使得有些基层分支机构为达到考核目标,违反市场规律和有关制度,为获得短期利益而忽视公司的长远利益,由此诱发操作风险的发生。另外,有些保险企业在发展中不能制定适合自身实际的发展战略,常常提出不切合实际的口号,盲目决策,过分追求规模的扩张。这种盲目扩张的后果往往使得保险企业在获得规模扩张的同时,降低了对内部控制和操作风险的有效管理,成为操作风险发生的直接诱因。
(二)保险企业的多层制度导致对操作风险的管理松懈。当前,我国多数保险企业都采用的是一级法人制,即总公司是最高管理机关,省分公司按照总公司的授权进行经营,然后自上而下一级授权一级,实行总、省、市三级管理制度。这样一来,上级公司对下级公司的管理仅限于各项报表的统计、上下级转发文件、季度末各项报表的检查、定期不定期开会等形式,从而使保险公司的风险难以及时发现并予以纠正。而且,在这种多重关系中,上级公司往往更关心下级公司的成长和发展,而下级分支机构更关心自身效用的最大化,各方利益的不一致也是导致操作风险发生的关键。
(三)保险企业的文化建设严重滞后。在近年来保险企业发生的一些违规案件中突出暴露了部分保险企业员工职业道德沦丧。有些营销员在销售保单时缺乏诚信和职业道德,对客户提供无法兑现的承诺,或利用高的投资回报率误导客户,有的甚至采取欺诈手段欺骗公司和客户,这些都可能引起操作风险的发生。而且,保险业营销员队伍素质偏低、展业不规范、缺乏诚信、误导客户等问题屡见报端,因此对营销员的业务培训和职业道德培训显得越来越重要。尤其是一些分支机构只以保费的多少来衡量营销员工作的好坏,忽视了对营销员的职业道德培训,导致部分营销员职业道德素质不过硬,为寻求自身利益的最大化,以低价进行恶性竞争,盲目承保、劣质承保,这些都无疑会增加保险公司的操作风险。
三、完善操作风险管理的对策建议
一要强化保险企业员工的风险意识。首先要认识到操作风险管理的重要性,操作风险管理并不是经营中可有可无的附属品,而是为实现公司经营目标所必须承担的。忽视了对操作风险的管理,一旦发生操作风险事件,不仅会侵蚀到保险公司的偿付能力,而且会损害保险公司的声誉,由此引发保险公司的融资困难和客户流,并进一步影响到建立新客户关系或服务渠道的能力。所以,需要对保险公司的员工自上而下进行操作风险管理的培训。要使高级管理层深信,不是只有保费的增加量才能给公司带来利润,对操作风险管理的重视能够降低操作风险发生的频率,同样也能给公司带来价值;要使员工意识到,他们实施的对操作风险的控制行为不仅使公司而且还使他们自身受益。其次,保险公司应该从单纯追求业务规模、市场份额的思路中跳出来,建立操作风险管理激励机制。通过采取适当的方法对经营过程中的操作风险进行控制,将保险公司各级、各类人员的奖惩不是单纯地只与保费挂钩,还要与其行为结果挂钩,充分体现保险公司操作风险管理的目标。
二要建立有效的内控机制,防范操作风险的发生。就保险企业的多层制度而言,制定有效的内控机制是委托人监督企业运营,实现企业经营效益最大化目标的重要保证。同时,通过内部控制可以协调上下级公司之间的利益冲突,使控制双方能够建立起相互信任的关系,从而降低操作风险。因此,保险企业只有建立起一套职责分明、规章健全、运作有序的内控机制,才能从根本上防范和控制操作风险的发生。
三要完善激励机制,控制保险人的操作风险。就目前人的佣金制度来说,过高比例的首期佣金制度是导致个人人短期行为的关键,因此,应当适当的将首、续期佣金率均衡化,并确保人续期佣金的请求权,只有这样才能激励人在不断招揽新业务的同时也能为客户提供优质的保全服务。除了人佣金制度,对于在公司服务时间长且业绩较好的人,应积极探索规范的股权、期权激励机制,从而将个人人的自身利益和保险公司的长远利益有机地结合起来,形成为公司长期服务的意识。与此同时,还要加强对营销员队伍的业务培训和职业道德培训,树立正确的世界观和人生观,提高营销队伍的整体素质,这是防范操作风险的根本保证。
四要重视行业自律,加强保险行业协会对操作风险的自律性控制。从各国保险业的发展历程来看,行业自律组织的建立是防范保险公司之间不正当竞争的有效途径。我国的保险行业自律协会尚处于发展初期,还有许多规定有待完善,可以通过借鉴国外保险行业协会的相关规定,完善我国保险行业协会的自律规定,从而加强对各保险企业操作风险控制。
主要参考文献:
[1]连严燕.我国保险业操作风险及其监管[D].云南财经大学硕士论文,2010.
关键词:商业银行;操作风险;管理防范
中图分类号:F832.33文献标识码:A文章编号:1006-1428(2007)07-0052-03
一、商业银行三大风险的比较
相对而言,国内商业银行对信用风险的研究较早,对市场风险、操作风险管理的比较研究较晚,因而对三大风险的认识程度、管理方式、投入的资源等不尽相同(详见表1)。
二、目前国内商业银行操作风险管理的两种模式
尽管国内商业银行操作风险管理起步较晚,与外资银行相比存在较大差距,但仍有一些优秀的国内商业银行较为重视操作风险,采取了多种措施,也投入了一定的资源来防范和控制操作风险(详见表2)。
三、国内商业银行操作风险管理存在的不足
(一)风险管理认识上还存在误区
由于尚未引入全面风险管理理念,国内商业银行对操作风险还存在一些认识误区,认为操作风险就是“操作性风险”,将操作风险等同于“金融犯罪”;或者认为操作风险往往具有突发性、偶然性,难以预测,也毫无联系,因而无法计量,也不能为其分配资本。同样,还有的商业银行认为操作风险管理只是会计结算部门或者内部审计部门的事情,与其他部门如安全保卫部门、科技部门、后勤事务部门等无关,进而将操作风险管理职责仅赋予会计结算部门或者内部审计部门。甚至有的商业银行的分支行,认为营销和操作风险管理是对立的,在分支行行长忽视操作风险管理,而重视营销的极端情况下,也有的营销人员会产生错误的思想,认为风险管理人员是依靠他们养活的,有些强势的分支行行长有可能叫板风险管理部门。
(二)风险管理信息传递链条过长
在统一法人体制的分级授权经营模式下,国内商业银行的管理层级往往达到五个层级或者更多。这种授权经营模式一方面与国内金融资源的层级分布相关,另一方面也与国内商业银行的信息技术落后相关,而且这种经营模式也适合目前商业银行的经营管理能力。但是这种多层次的委托关系,将导致信息传递的强度减弱,对下级单位的控制和管理能力下降,操作风险隐患也会因为委托关系链条的增加而增大。在体制改变时,如果实行“先体制架构,后流程、规章”的推行模式,制度建设慢一拍,管理链条就会出现危机,使操作环节风险环生。
(三)风险管理体系不健全
国内商业银行中目前设置统一的操作风险管理机构的并不太多,只有个别商业银行设立了委员会形式的管理机构。如工行上海市分行成立了操作风险委员会,下设“临柜业务”、“离柜业务”、“业务监测”三个专家小组,来提高操作风险管理防范水平。大部分商业银行一般都尚未设立专门的部门负责全面管理操作风险,操作风险管理职责分散在诸如风险管理部、内部审计部门、法律与合规部门等部门,缺乏统一的操作风险管理体系。这种分散管理的模式,导致各相关部门的管理职责不清、沟通协调不顺畅,管理效率低下。有的商业银行在基层分支机构往往只设一名行长,主要负责业务推进,操作风险无人负责。
(四)风险管理政策不统一
在整个银行层面上,没有形成从股东大会、董事会、高级管理层、各经营单位以及到各个业务部门、内审部门的操作性风险管理职责,并制定明确的操作风险管理程序,包括风险的识别、评估、计量、监控、化解等。在各个业务部门制定具体的操作规程时,没有将操作风险管理的整体程序贯穿于各个管理层级和各个业务条线,也没有明确各个管理层级的权利和应承担的职责。因而,从最高层面的董事会,到最低层面的操作人员没有形成全行统一的目标和管理政策。
(五)风险管理制度执行力不强
根据中国银监会去年的统计,操作风险的发生,80%是因为有制度却没有严格执行而造成的,制度不全和制度残缺造成漏洞形成案件的不到20%,操作风险的发生与制度执行力不强存在相当大的联系。从商业银行操作风险的实践来看,操作风险多的银行往往执制不严现象较为突出,员工执制意识薄弱,违章违规行为不能及时纠正。例如,有的未严格执行开户资料审查、印鉴比对、可疑支付交易报告等会计制度;有的未按要求进行账户监控和账务核对;有的未执行同城交换制度、印章管理制度、权限管理制度;致使案犯接连突破风险控制防线。甚至“五缺”情况下办业务的现象严重:缺图章(公章或授权人私章)、缺签名、缺决议(如董事会决议)、缺证件(如房产贷款四证缺一证)、缺授权(如法人代表授权委托书),就办业务。同时,部分业务内控制度存在盲点,管理制度、操作流程存在漏洞和缺失。一些重要业务领域如账户管理、业务授权、票据交换、外汇开证、批量代扣业务等方面操作不规范,存在较大操作风险隐患。
(六)风险发现能力不够
多数国内商业银行没有将操作风险的发生当作连续发生的必然事件来处理,并建立数据库,进行量化计算,一般都是采取一些被动的短期补救措施。正因为没将风险的发生当作是偶然的、孤立的、无法计量的事件,因此根本没有投入资源进行操作风险管理计量工具的开发。由于长期以来没有建立数据库,因而即使引进了国外操作风险计量工具和模型,也因为缺乏足够的数据分析支撑,不能使分析管理工具真正发挥作用。因此操作风险的识别、计量、管理能力缺乏,管理的关口无法前移,不能进行主动的事前管理。
四、多管齐下提高商业银行操作风险管理能力
(一)强化操作风险管理的外部监管
监管机构应及时制定《商业银行操作风险管理指引》,指导和推动国内商业银行全面加强操作风险管理。监管部门按照高风险、高频率监管,低风险、低频率监管的原则,对各商业银行执行防范操作风险“十三条”和“十个联动”的情况及时进行事后评价,推行监管的问责制度。强制商业银行将操作风险管理的信息披露给公众,通过外部力量迫使商业银行加强操作风险管理。根据中国银监会提出的“三个挂钩”(即将操作风险的防范和整改工作同激励约束机制挂钩,同银行的评级挂钩,市场准入挂钩),加大对商业银行操作风险的监管力度。
(二)建立统一的操作风险管理体制
应按照巴塞尔委员会的建议,由各级高层管理人员组成操作风险管理委员会,制定操作风险管理政策,建立自我评估、风险评判及稽核体系,对全行操作风险进行有效管理。在各级网点设立风险经理,负责网点操作风险控制的具体管理,进行网点风险自我评估,组织网点对评估中或内、外部检查中发现的问题进行纠正。通过一系列操作风险管理流程和框架的再造,对操作风险进行全面识别、评估、监控、报告、改进,建立循环的、持续改进的管理过程,构筑较为完整的操作风险管理体制,同时建立操作风险管理责任制度,明确不同职位的人员在操作风险管理中应担负的责任。
(三)构建完善的操作风险监控体系
一是形成检查制度。加强规章制度执行情况的监督检查,加大对储蓄、会计、出纳、信贷、保卫等重要部门、重要人员和三授权卡、印鉴密押、空白凭证、金库尾箱、查询对账、轮岗休假等易发案件部位和环节的监督检查力度。二是充分发挥稽核监督职能。形成独立的内部审计体系,提升非现场稽核手段能力,大力借助外部审计手段,将合规性审计向合规性审计与风险性审计并重,突出风险性审计。三是建立持续改进机制。检查监督是对是否符合要求进行发现,要建立和完善纠错机制,实施有效的纠正和预防措施,建立一个持续的、循环的操作风险改进过程,确保可能产生风险的每一个环节和过程得到有效控制。
(四)提高操作风险的识别控制能力
对发生的每一次风险事件进行监控和记录,并分析导致每次风险的因素和产生风险的环节点,度量这些因素对风险的具体影响,同时对风险的程度进行数量化的度量记录。在已有的几种度量方法中,基本指标法和标准法相对简单但过于保守,不能满足资本金对风险的敏感度,而内部度量法、VaR法、损失分布法等均需要较多的历史损失数据,因而应从积累日常数据开始建立损失数据库,记录损失及其程度。根据历史数据设置好关键指标体系,对操作风险进行识别和度量,为其配置相应的资本金;另一方面应对操作风险进行评估、监控和管理,按风险的可接受程度对风险进行排序,对不可接受的风险要进行缓释、转移,对可防范的风险要从损失数据库的记录中总结经验,从具体业务流程中找出风险点,制定详细的规章制度,进行控制,按照“一个岗位对应一本岗位手册、一条业务线对应一套操作程序”的原则,逐渐形成健全的内部控制制度。
(五)培育良好的操作风险管理文化
由银行高级管理人员积极推动,建立起共同的风险管理价值观。将操作风险文化贯穿于完善风险管理体系的整个过程,不断将操作风险管理新理念、原理、工具等传递给相关人员。各层次管理人员对操作风险形成全面、足够的了解,并高度重视,带头防范。积极倡导诚信理念,鼓励员工积极关注操作风险,注重员工思想道德的培育、法律意识的培养及工作技能的培训,使其自觉遵守各项规章制度和操作规程。建立违规举报机制,增强员工合规意识。建立全面、科学、可操作的风险管理激励约束机制,纠正片面“重营销激励、轻违规约束”的做法,充分调动员工加强风险管理的积极性和主动性。
参考文献:
[1]顾京圃.中国商业银行操作风险管理.中国金融出版社,2006
[2]巴曙松.巴塞尔新资本协议研究.中国金融出版社,2003
[3]王修华,黄满池.基于新巴塞尔协议的银行操作风险管理.经济问题,2004,(10)
从商业银行的发展历程看,有很多商业银行在经营银行业务过程中更多的是把风险管理的重点和精力放在了市场风险和信用风险的管理上,从而忽视或弱化了被称为商业银行“三大风险”之一的操作风险管理。本文依据“巴塞尔新资本协议”的要求和近几年商业银行管理的先进经验,重点对商业银行面临的操作风险进行分析,并对操作风险的控制和管理思路进行探讨,从而达到从理论和实践相结合的角度来阐述操作风险管理在商业银行管理中的重要意义。本文借鉴国际先进的经验和结合我国的实际情况,针对我国加强商业银行的操作风险管理提出了具体建议。本文主要论述正确的认识是操作风险管理的关键所在,建立健全的流程、框架和体系是操作风险管理的保障,最终才能实现对操作风险有效的管理和控制,使因操作风险给商业银行带来的损失降到最低限度。
【关键词】:商业银行、操作风险、巴塞尔新资本协议、操作风险管理框架
【正文】:
随着我国金融体制改革的逐步深化和商业银行股份制改造的稳步推进,金融市场竞争不断加剧,金融产品日新月异,与此同时,银行经营在必须控制和管理一些传统的风险如信用风险、市场风险、国家风险等之外,不得不面临着一类新的风险——“操作风险”的挑战。
操作风险是指由于银行内部程序、人员、系统不充足或者运行失当以及因为外部事件的冲击等导致直接或间接损失的可能性的风险。例如,1995年的巴林银行倒闭、1996年三井住友银行的巨额亏损以及2001年中国银行的开平案件,均可视为由操作风险所致。这类风险一旦发生,往往给银行带来巨大损失,严重时会直接导致银行的破产和倒闭,甚至还会对整个金融行业或国民经济运行都产生巨大的影响,因而越来越引起投资者、金融界、监管当局的重视。自然地,防范和控制操作风险也成为银行经营管理者的一个重要课题。
本文将首先介绍银行操作风险的内涵和实质,并揭示当前商业银行在操作风险管理方面的现状。之后,分析造成操作风险的主要原因,然后,在前面论述的基础上提出加强银行操作风险管理的方法和建议。
一、商业银行操作风险的实质、内涵和管理要求
巴塞尔新资本协议把操作风险定义为:操作风险是指由于银行内部程序、人员、系统不充足或者运行失当以及因为外部事件的冲击等导致直接或间接损失的可能性的风险。从操作风险的定义中不难看出操作风险包括内部程序、人员、系统三大方面的主要内容,也是认识操作风险的关键环节。
(一)全面认识操作风险的实质和内涵
认识事物是改造事物的前提和关键,对操作风险的认知程度越高,才能有效的提升操作风险管理的地位和管理的水准,有了正确的操作风险的认识,才能够上升到宏观的决策和微观的具体落实。张吉光认为:“商业银行在操作风险管理中,对操作风险的认识存在五大方面错误或偏差”。 (注1)通过对操作风险管理理论的研究,笔者认为:解决操作风险管理认识上存在错误或偏差,成为提高操作风险管理水平的关键。具体而言,要全面认识和了解操作风险,需要消除以下几方面的误区。
1、操作风险不能等同于操作性风险和操作中的风险
根据巴塞尔新资本协议的定义,操作风险可以分为四类:人员因素引起的操作风险、流程因素引起的操作风险、系统因素引起的操作风险和外部事件引起的操作风险。人员因素引起的操作风险包括操作失误、违法行为(员工内部欺诈/内外勾结)、违反用工法、关键人员流失等情况。流程因素引起的操作风险又分为流程设计不合理和流程执行不严格两种情况。而系统因素引起的操作风险包括系统失灵和系统漏洞两种情况。外部事件引起的操作风险主要是指外部欺诈、突发事件以及银行经营环境的不利变化等情况。其中,属于操作性风险的仅包括人员因素引起的操作风险中的操作失误、违法行为、越权行为和流程因素引起的操作风险中的流程执行不严格的情况。显然,操作性风险不能等同于操作风险,尽管操作性风险是操作风险中发生频率最大、占比最高的风险类型。从笔者搜集整理的近几年来国内商业银行发生的近50起操作风险案例的数据显示,操作性风险占总数的比例为70%。将操作风险狭隘地定义为操作性风险的做法,往往会使得建立在这一认识基础上的操作风险管理体系不能覆盖所有的操作风险,从而使银行难以防范那些突发事件的冲击,如前一段时间工商银行北京市分行出现的系统瘫痪、美国发生的“911”恐怖袭击等。
2、操作风险不能等同于金融犯罪
金融犯罪仅是操作风险中的主要类型,并不能涵盖所有类型的操作风险。根据我国对金融犯罪的定义,金融犯罪是指在金融活动中,侵害金融管理制度、金融市场秩序以及其他社会经济关系,依照我国刑法规定,应当受到刑法处罚的行为。对比巴塞尔委员会关于操作风险的定义,金融犯罪显然不包括那些由于银行自身不完善的流程和系统漏洞以及外部事件等因素造成的操作风险。最简单的例子就是操作失误,比如银行员工误将取款操作成存款,或者数字录入错误等均属于操作风险的范畴,但并不构成犯罪。将操作风险等同于金融犯罪,往往会使商业银行无意识地缩小操作风险的管理范围,错误地将操作风险管理等同于金融犯罪管理,从而将操作风险管理职责不恰当地赋予内部审计或安全保卫部门。这恰恰是造成目前我国商业银行操作风险管理进展缓慢的原因所在。
3、操作风险是可以计量的,应该为操作风险配置资本
表面上看操作风险确实无规律可循。事实上,这只是人们观察问题的角度不正确造成的。如果我们就单个年份来看,一些操作风险事件是无规律的,一旦将这些操作风险事件放在很长一段时间和同类型的大量数据中来看,我们会发现,这些操作风险往往会以某种稳定的概率发生。这正是人们量化操作风险的基础。最早提出操作风险量化模型的是Duncan Wilson。他在1995年12月的《risk》杂志中发表了“操作Var”的文章。文章认为,操作风险可以使用“在险值(Var)”技术进行测度,银行可以建立来自于内部和外部的操作损失事件数据库,并从数据拟合操作损失的分布,通过设置一个置信区间,比如95%,银行就可以计算出操作风险的Var,也就可以为其分配资本了。为操作风险分配资本的最大好处就在于,当银行遭受某种灾难性损失的时候不至于瘫痪,甚至于倒闭。在不可量化思想的支配下,很难想象银行会致力于操作风险量化模型的开发。这或许是国内商业银行操作风险管理水平难以提升的重要原因之一。
4、操作风险事件之间是相互联系的而不是孤立的
从表面看,工作人员的操作失误、银行员工的欺诈以及关键人员的流失三者之间并无多大联系。而停电、诈骗以及“非典”之间更是风马牛不相及。由此,很多人得出“各种操作风险事件之间是孤立的、毫无联系的,从而操作风险是突发事件”的结论。这其实是忽略了隐藏在不同表面现象背后的共性本质,忽略了众多随机变量近似地服从正态分布的统计原理。以工作人员操作失误、银行员工欺诈和关键人员流失三类风险事件来看,它们的本质均是人的因素引起的操作风险,且在足够长期限和足够多数据的情况下可以近似地描绘出其概率分布。停电、诈骗与“非典”之间的关系与此相似,三者均属于外部因素造成的操作风险,且众多上述事件同样会近似地服从正态分布。只有看到各种操作风险事件之间的联系,才能准确地描述银行面临的操作风险,进而从整体上把握操作风险。这正是巴塞尔委员会关于操作风险定义的基础所在。那种以孤立的、隔离的眼光看待操作风险的做法只能将各个操作风险视作突发事件,也就无法从整体上把握银行面临的操作风险,更不用说对其进行科学有效的管理了。目前国内很多银行就存在这一问题,当面对“非典”冲击之时,当遭受系统瘫痪之时,银行并未从操作风险的角度对之进行系统分析和把握,只是将其看作突如其来的偶然事件,应付过去。如此一来,银行根本不会想到为其准备应急预案和分配经济资本。再次面对类似事件,银行只能是屡屡受损,甚至于出现灾难性的后果。
操作风险的认识还应注意到操作风险的管理不仅仅是稽核审计部门的事,应该是业务生产各环节的管理要求;管理者非常容易对市场风险和信用风险管理产生偏好,不应该因此而忽视操作风险的重要地位;操作风险应重视资源的投入,尤其是更多的人力(培养专业的操作风险管理人才,建设操作风险管理的团队)、财力(投入资金用于操作风险的模型和系统建设)、物力(配置更多的固定资产资源,为操作风险管理的实施提供环境和保障)等等方面的投入。只有对操作风险有了清醒认识、足够的重视,才能上升到如何落实和实施操作风险的管理过程及事后的评价。
(二)、巴塞尔委员会对管理操作风险提出的要求
巴曙松在《巴塞尔新资本协议研究》一书中曾经提到:“操作风险的管理需要强调风险管理环境、风险管理过程、监管者的作用和信息披露的作用”(注2)。巴塞尔委员会在总结国际金融界经验的基础上,将管理操作风险归纳为四部分的具体要求:
1、建立适当的风险管理环境
巴塞尔委员会认为,对银行来说,应当首先建立适当的风险管理环境,这要求董事会应当了解作为一个独特的、可以控制的风险种类-----银行操作风险的主要方面,应当批准和定期审查银行的操作风险战略。该战略应该能够反映银行的风险容忍程度及其对这种风险种类的特定特征的理解。巴塞尔委员会也承认,银行组织内部的信息流程在建立和维持一个有效的操作风险管理框架方面可以发挥重要作用。
2、风险管理过程:识别、衡量、监督和控制
巴塞尔委员会认为,银行应当建立识别操作风险的类别、衡量操作风险的方法、监督操作风险的手段和控制操作风险的机制等的电子化管理系统。对操作风险的整个过程进行跟踪,有效的管理操作风险的全过程。建立衡量操作风险的必要方法,实施可以持续监督操作风险暴露和重大业务损失的应用系统。
3、监管者的作用
在建立适当的风险环境和全程的风险管理过程的基础上,监管者应对银行与操作风险相关的战略、政策、程序和做法直接或间接地进行定期的独立评价,使之可以及时的修正错误的环节。并保证银行具备一个有效的报告机制,使他们可以及时了解银行操作风险管理执行过程是否按照计定的方针政策行事,使监管者亦可了解政策方针落实的进展情况。
关键词:新巴赛尔资本协议 商业银行 操作风险
巴林银行的倒闭,大和银行纽约支行的不慎交易,诸多事件为全球金融机构敲响了警钟,金融理论界和实业界开始研究影响日益巨大的操作风险问题。国际银行业普遍认识到操作风险管理的重要性,新巴赛尔资本协议把操作风险也纳入资本监管的范围。因此,操作风险的管理在金融机构中的地位日益重要,金融机构可以通过操作风险的管理来实现资源的有效使用。
巴塞尔银行监管委员会根据国际银行业风险管理的变化,从1998年开始关注对银行业操作风险的管理和研究,并在1999年6月公布的新巴塞尔资本协议的第一次征询稿中,提出应考虑对操作风险进行资本覆盖。2003年4月29日,巴塞尔银行监管委员会对《巴塞尔资本协议》(称“新巴塞尔资本协议”)进行第3次征求意见,以对新的资本充足率的规定做出最后的修订。委员会的目标在2003年末最后一个季度完成修订,并于2006年末在成员国家开始执行。新巴塞尔资本协议有3个支柱:最低资本要求,监管部门的监督检查和市场纪律。在计算最低资本要求时,需要考虑三大风险:信用风险、市场风险和操作风险。新资本协议在不断改进中反映着风险测量和管理技术的提高。新巴塞尔资本协议以资本充足率为核心的监管思路,使最低风险资本要求和每项信贷风险面的规范评估结合在一起,特别是第一次将操作风险和最低资本要求结合起来。相对于旧协议而言,其风险衡量的方式更加灵活,不再局限于原有的单一框架,银行可以根据自身情况选择合适的风险衡量方法,以促使银行不断改进风险管理水平。
新巴塞尔资本协议中操作风险的涵义及衡量
巴塞尔银行业监管委员会的定义是比较权威的一个,也就是巴赛尔新资本协议中的定义。根据此定义,操作风险指的是由于不充分的或失败的内部程序、人员和系统,或者由于外部的事件所引起的直接或间接损失的风险。巴塞尔委员会同时指出,这一界定包含了法律风险,但是并不包含策略性风险和声誉风险。
从广义来说,操作风险可以分为内部风险和外部风险,内部风险主要指由于内部因素引起的操作风险,包括程序风险、技术风险和人员风险。程序风险又分为流程设计不合理和流程执行不严格两种情况;技术风险包括系统失灵和系统漏洞两种情况;人员风险包括操作失误、违法行为(员工内部欺诈或内外勾结)、违反用工法、关键人员流失等情况。外部风险主要是指外部因素引起的操作风险。这些外部冲击包括税制和政治方面的变动、监管和社会环境的调整、竞争者的行为和特性的变化等。内部风险主要与内部控制效率或管理质量有关,而外部风险与外部欺诈、突发事件以及银行经营环境的不利变化等有关。
操作风险也存在量化困难,新协议第一稿并未提出任何计量方法。在充分听取各方意见后,巴赛尔新资本协议,对于操作风险的衡量大致有三种方法:基本指数法,指以银行过去3年内的平均年总收入的一个固定比例来确定应对操作风险的必需资本量;标准法,把银行的业务分为8个不同领域:公司金融,交易,零售银行,商业银行,支付结算,服务,资产管理和零售经纪,然后分别计算操作风险指数,再乘上某一固定比例得出所需资本量;高级测量方法,采用此法的银行必须取得监管层的同意,由银行内部操作风险测量系统用定性和定量的方法加以确定。高级测量方法的使用则需要一些特别的标准。如果银行采用较高级的方法在没有监管层同意前不得转为较简单的方法。在新巴塞尔资本协议的第二次征询稿中,对高级计量法中内部衡量法、损失分布法有比较详细的描述,但在最终只是在“资格条款”中对使用高级计量法计算操作风险资本的银行提出了严格的定性和定量的要求,并要求一定要得到监管当局的批准。目前国际上只有少数跨国大银行在使用或开发该计算方法。
我国商业银行操作风险管理的策略
政府应加强操作风险监管的力度,使其与最低资本要求相结合
为了使操作风险的控制更具实际意义,就需要进一步研究出金融机构具体的行为准则。中国银行业监督管理委员会令(2004年第2号)公布的《商业银行资本充足率管理办法》中第一章总则中第五条明确规定“商业银行资本应抵御信用风险和市场风险”。虽然暂时未将操作风险纳入计算的范围,在制度上减轻了商业银行对操作风险的资本覆盖压力,但是也不可避免的放慢了商业银行对操作风险的管理。建议对不同的商业银行实行不同的操作风险要求。
探索操作风险控制与缓释的方式
银行在控制操作风险发生的同时,还可以采用各种方式控制和缓释风险。包括避免、缓释、保险和承担四种方式。其中保险是目前国际活跃银行使用最为普遍的操作风险缓释方式,针对不同的操作风险会有不同的保险产品与之相对应。传统保险产品中的银行一揽子保险、错误与遗漏保险和经理与高级职员责任险等已经被实践证明是比较成熟的保险产品,而且得到了广泛的运用。20世纪90年代中期至今,又开发了诸多新的保险保障产品,诸如未授权交易保险、电子网络技术风险的保险等。银行操作风险保险承保范围将进一步扩大,新的操作风险将不断被纳入保险的范畴,保险将作为银行操作风险管理的经常性工具。目前国际上除了保险以外,还有互惠资保险基金、证券化、优先风险计划也可作为操作风险保险的替代品。
完善银行操作风险管理组织架构
根据风险管理基本流程与组织设计原则,我国商业银行操作风险管理应采用分权化职能型的组织结构,在总分行制的基础上(以“总行一分行一支行”型结构的银行为例),总行应以操作风险战略决策的制定和管理为主,同时负责对操作风险的总体控制。总行管理操作风险的组织机构应包括:董事会、高级管理层、内控制度管理委员会、稽核总局、操作风险的计量分析与评估部门、科技信息部门、教育培训部门、内部授权管理部门、法律事务部门以及所有业务部门,其中稽核总局直接向董事会负责。分行的机构与总行基本一致,但不包括董事会,分行设立稽核分局,并直接向稽核总局负责。支行主要从操作层面控制操作风险,因此支行只设立业务部门,执行总行和分行所制订的制度和政策,支行不设稽核部门,只接受稽核总局或分局的检查。
由于将操作风险纳入到组织文化中成为风险管理的一个重要部分,培养操作风险文化对于操作风险管理也是极其重要的。依靠教育培训部门对银行所有业务人员加强培训,提高操作人员的业务能力、法律意识、制度观念和道德水准,降低一切因操作人员业务技能低、管理人员管理水平差或员工对政策、制度、法律不了解等原因所造成的操作风险。
积极开展操作风险的模型化研究
虽然目前国外对操作风险管理也还处于发展阶段,但是通过量化方式衡量操作风险则是大势所趋。国内银行操作风险的模型化发展基本处于零阶段,这就造成操作风险的管理始终停留在内部审计和主观判断的低层次上。把操作风险量化研究与控制框架结合起来才能为操作风险管理提供科学的依据,这是国际活跃银行管理操作风险的趋势,也是我国商业银行的最终选择。量化操作风险的首要工作就是要建立操作损失数据库,因此监管机构和商业银行自身都要按巴塞尔委员会的操作风险矩阵立即着手建立损失数据库,积累损失资料。建立成功的损失数据库从而为精确度量操作风险建立基础。
参考文献:
关键词:金融投资;风险管理;操作;分析
引言:风险管理逐渐受到金融机构的关注。科学合理的金融风险管理可以让金融机构进行有效的、健康的发展,并且,还可以将企业的防范风险的资金成本降低,提升企业的竞争能力。当前,金融机构所要面对的风险大致上可以分为:市场风险、信用风险和操作风险。市场风险指的是因为特殊的环境风险因素的转变,让净收入或投资组合价值出现波动。当前由于我国的经济处在转型阶段,认为目前的市场经济的法律及规章制度具有许多不完善的地方,加上社会的变化,使得各种违规与欺诈的事情不断涌现。所以,操作风险是我国金融机构需要面对的主要风险,操作风险的管理对于金融机构具有极其特殊的含义。
一、操作风险的含义
金融操作风险的含义为:操作风险与金融投资业务紧密相连,是由于外部因素、技术体系以及内部因素的影响下,导致无法掌控的损失,这些损失和金融市场上出现的波动以及交易方的信用问题无关。所以,通过引起风险发生的内部原因可以发现,金融投资的操作风险主要出自以下几个方面:
1、操作结算风险。由于交易指令、定价、结算以及交易能力等问题引起的损失;
2、技术风险。因为技术的局限或者硬件方面的原因,导致公司无法有效、正确的收集、解决、传导信息所引发的损失;
3、内部失控风险。因为超风险限额而没有被发现、越权交易或者是后台部门的欺诈行为造成的损失。
当然,想要为金融投资的操作风险给出一个非常明确的定义是具有难度的。在进行风险操作管理时,很多国外的金融投资机构运用了对于市场风险以及信用风险认同的方法及管理方式,也就是针对风险进行详细划分,掌握操作风险的含义,了解哪些类型的风险应当归入到操作风险当中,哪些类型的操作风险应当归入到风险管理当中,并且进行详细的分析来确定是否要进行整体风险的控制,通过实践表明,这样的方式确实非常有效。
二、金融投资面对的风险分析
风险管理的目的并非消除风险,而是将风险管理降到最低的过程,在风险管理的过程里,要先针对金融投资里的风险进行辨别,这是投资者做风险管理的先决条件,只有真正辨别出投资过程里的风险,才可以运用合理的方法进行风险管理。而在金融投资的过程里,最为常见的风险有以下几种:
1、市场风险。市场风险也可以称作价格风险,指的是通过金融工具的市场价格进行转变,从而引发的亏损风险。因为金融投资工具频繁出现价格的转变,因此投资者在面对市场风险是最常见的一种风险。通过市场风险的不同来源可以进行不同的分类,大致可以把市场风险分成系统性和非系统性风险,系统性风险通常是指因为宏观原因的转变,造成投资组合净值的转变。非系统性风险指的是投资的某一品种引发的风险。投资者在面对系统性风险及非系统性风险时所采用的房里方法也不同,而系统性风险是无法动摇的,非系统性风险可以透过投资重组进行分散。
2、流动性风险。流动性风险指的是通过投资重组将金融工具进行集中,引发投资产品短期内变现困难,并且持有的流动资金无法进行正常支付时产生的风险。常规情况下,如果投资者的金融产品价格波动正常,并且投资金额占总资金的比重不大时,流动性风险就不会非常严重。流动性风险往往出现在市场波动较大,交易量迅速降低,投资者必须要大批先进的状况下,才容易造成严重的损失,因为这样的状况下,投资者通常要用较低的价格将手中投资的金融资产销售掉。
3、操作风险。操作风险作为金融投资过程里最关键的风险,包含了很多已经识别出的风险。详细来说,操作风险指的是因为投资者内部经营管理问题以及投资策略失误引起的风险。通常包含以下几点:
(1)投资研究员的专业素养、职业道德以及风险意识所引起的投资决策风险;
(2)因为投资者的管理能力有限所引起的经营风险。
这些风险都会给金融投资造成损失。操作风险融入于金融投资过程当中的方方面面,是投资者必须基于关注和防范的风险。
4、信用风险。信用风险也是金融投资风险当中非常重要的一种,它主要指在金融交易的过程里可能会引发的交收违约,也可能会引起债券持有发行人违约或者拒绝支付到期款而引发的金融投资资产损失的风险。由于我国金融市场的不断发展,货币、债券等固定收益的金融工具逐渐变成重要的投资类型,甚至是国内短期的融资券的发行也在不断扩大,由于这些金融投资品种的风险不断累积,最大程度的避免金融投资信用风险成为了投资者必须关注的问题。
三、操作风险的度量
操作风险作为金融活动当中最为普遍的风险表现形式,从历史的角度来讲,很多度量操作风险的失败原因,大多是没有适当的方式以及可以用在量化分析的客观数据,而信用风险和市场风险则存在许多例如价格变动、违约率等可以利用的外部分析数据,相对而言较为容易进行风险度量。因为影响操作风险的原因大多是金融机构内部原因,并且风险因素和产生的可能性及损失的大小之间不具备明显的关联,所以,在实际操作中,很难有人寻求到一种方式可以清晰的描绘出操作风险,自然对于操作风险的度量来讲,也具有非常大的困难。已经掌握的操作风险度量模型有三种:
第一种:创建于数据之上的统计模型,此模型最具代表性的方式就是损失分步法,也被称为LDA。此方式会先对单个损失的发生频率以及大小通过参数进行评估,之后运用连接函数的方式将各种影响因素进行综合;
第二种:依旧是统计模型的计算操作风险,可是主要应当通过定性方法进行校对模型,定性方法大致包含了风险排序法、情景分析法、排查法、权衡打分法等;
第三种:创建于操作风险过程的功能模拟智商的模型,透过单一的过程相互依存的方式来模仿影响因素之间的关联性。
当然,就目前的操作风险度量方法而言,有两种模型应当重点说明:第一种是用于测量操作风险的VaR技术。它的主要论点在于操作风险可以通过VaR技术进行测量,以建立来自内部和外部的操作损失数据库为基本思想,并通过数据的操作损失分布,来确定一个置信区间,这样就可以将VaR的操作风险计算出来。但也可以通过分析收益波动性来计算操作风险,也就是通过收益当中将市场风险以及信用风险的相关收益剔除掉,把剩下的收益当成和操作风险有关的收益,可是就这一点而言争议性非常大;第二种是贝叶斯推断网络模型,也可以称之为BBN模型,贝叶斯网络逐渐被使用在度量以及模拟操作风险方面,其主要原因有以下四个方面:
第一,BBN推断网络模型描绘了对操作风险具有影响的各类因素,所以可以提供行为改变的原因;
第二,BBN可以使用在情景分析方面,计算出度量的最大经营损失,并将市场风险以及信用风险有效结合;
第三,BBN适合用在度量以及模拟不同种类的操作风险方面;
第四,运用决策节点以及效用来充实BBN,来提升管理决策的明朗化。
BBN的结构属于一种直接的非循环类的图形,其中节点的意思是随机变量,连线的意思是影响因素,BBN结构属于一种流转过程同各类因素的融合。BBN较为容易进行情景分析,投资经理在进行债券交易的同时,对即将要执行的交易通过情景模拟的方式来计算出预计的结算损失有多少,BBN较容易通过情景分析让风险经理针对外来的交易风险进行掌控,并且风险经理可以透过针对市场风险因素以及信用风险因素的情景模拟,判断出操作风险是怎样同市场风险以及信用风险有效结合的。
贝叶斯推断网络模型可以用在一系列的度量操作风险上,针对同一个问题可以创建出很多个BBN网络大框,并且决策人员可以透过返回检验的方法来判定哪种是最佳的网络设计。通过理论以及实践可以发现,贝叶斯推断网络模型非常值得金融投资机构使用操作风险度量以及模拟方式进行操作。
总之,操作风险度量大致有以下三种方式:
第一种,分析方式。这种方式对于损失产生的次数以及大小都给出了非常强硬的假定,之后通过一些统计模型来获得操作风险的大小,大致上来讲属于一种定量测量的方式;
第二种,主观判定方式。在执行操作风险的度量时,由于缺少操作风险的损失数据,因此,想要通过数据进行评估操作损失的分布就变得尤为困难,至少对当前而言,用评估操作损失分布的方式来判断金融投资的操作风险是不符合逻辑的。因此,当前国外的金融体系运用的操作风险度量方式普遍以定性评价方式为主,这种方式通过独立的部门,经由事先预定的风险评估指标针对每一个业务的缺陷进行评估,之后,再进一步进行细分;
第三种,定性和定量相结合的方式。这种混合的方式,使得相对风险排序、主观方式的运用以及损失时间数据库的建立进行有效结合。
四、操作风险的控制与管理
操作风险管理不仅要系统的进行分析预期损失以及未预期损失的缘由,并且也要评估风险,为风险的预防、降低转移和为风险分配资本等做出努力。操作风险管理的步骤大致包括以下几点:
1、明确风险管理的范畴以及目标。
高层的管理人员询问过董事会之后,应当同企业的经营策略、风险偏好相结合,为风险管理建立一个范畴以及目标。并且,还要制定一些短期的具体目标,以确保风险管理的工作可以稳定的发展。这些短期的具体目标可以分为以下方面:
(1)明确定义一些关键的损失事件并进行命名,这样才可以确保在未来的管理工作里可以更加方便的进行探讨和分析;
(2)创建一个损失事件簿,为定量分析操作风险模型积攒数据;
(3)创建统计模型分析特定损失时间的原因以及相互之间的关联;
(4)采取由于风险进行的资源配置和情景分析。
2、明确重要的风险。
员工通过高级管理人员的支持后,一定要明确哪些才是重要的风险。操作风险管理之所以失败,是由于内容过于宽泛,所以在明确的同时,一定要严格依照高层规定的目标进行操作。
3、针对风险进行评估。
运用不同渠道获得的数据,用来评估一些较为重要的过程以及资源的操作风险,评估的内容不仅包含了风险形成的冲击,还包含了损失事件产生的概率。针对无法定量分析的风险,一定要找到产生这些风险的原因和可以通过怎样的方式进行评估。并且,风险不同,相互间的依赖就不同,所以需要对她们之间的依赖性进行评估。
4、分析。
通过以上内容后,已经初步判断出各部门潜在的操作风险。随之而来的,就是要为这些风险进行分析。先进行风险加总,然后进行可行的风险管理措施,之后要分析单独的损失事件,再分析风险的过程以及资源的分配,分析出关键的风险因素,最后,针对风险管理的措施进一步进行分析。
5、通过措施消除存在于经营过程以及资源当中的风险。
可以通过风险回避以及风险因素管理的措施、损失预报的措施、损失预防的措施、损失掌控的措施、降低损失的措施、应急措施和风险融资的措施进行管理。
6、针对操作风险的检测报告。
一个规范的报告制度是一个成功的风险管理的首要条件。针对风险采取连续的检测,并定期进行报告的方式可以有效的检测出操作风险管理的需求,所以,持续的检测对于任何一种风险管理来讲都是必不可少的环节。
结束语:通过世界的角度来看,针对操作风险管理的分析才刚刚开始,虽然在金融部门的投资过程里运用了一系列的操作风险管理的方法,可是显然这些管理方式还不够健全,也缺少理论作为指导。操作风险在金融机构进行投资的过程里需要面对的主要风险,金融投资风险的管理成效如何完全在于怎样操作风险管理。投资者应当建立长期的投资目标,以完善的风险政策进行总结和评论,进而为风险建立一个完善的制度及管理的支持。(作者单位:贵州省茅台集团财务有限公司)
参考文献:
[1]黎仁华,马丽莎.商业银行风险预警测度指标的定位分析——基于操作风险导向的审计模式[A].中国会计学会财务成本分会2006年年会暨第19次理论研讨会论文集(下)[C].2006.
[2]周青.中国特色社会主义金融监管体制创新研究——转轨时期我国商业银行操作风险管理创新研究[A].“中国特色社会主义行政管理体制”研讨会暨中国行政管理学会第20届年会论文集[C].2010.
关键词:操作风险;巴塞尔协议;内部欺诈;风险评估机制
操作风险的存在可谓是历史悠久,自商业银行诞生之日起,它便一直伴随左右,然而人们对于其定义、重要性等的认识却不全面,2004年颁布的《新巴塞尔协议》才将操作风险与信用风险和市场风险并列为三大主要风险,而我国银监会在2005年的《关于加大防范操作风险工作力度的通知》中首次提出了操作风险这一概念。
一、操作风险的提出背景及定义
20世纪90年代以来,由于风险管理不足而引发的震惊国际的商业银行损失事件频频发生,有的银行甚至因此而破产清算。1995年,巴林银行由于操作管理存在问题,交易业务与清算稽核没有分离,外汇交易员兼总经理的里森违规进行未经授权及隐匿的期权和期货交易,并隐藏亏损,最终导致具有230多年的银行宣布破产。同样由于银行操作人员越权交易,1996年日本大和银行纽约分行的员工帐外买卖美国联邦债券,并伪造文件隐瞒亏损,在11年间有3万多笔交易未经授权,造成11亿美元的损失,最后从美国全面撤退。2002年,联合爱尔兰银行美国分行的员工伪造交易单给银行造成7.5亿美元的损失。越来越多的银行损失倒闭案件,使人们开始关注被忽略已久的操作风险。2002年巴塞尔委员会举行了一次全球性的针对操作风险的调查,损失数据调查中89个银行提交了数据,涵盖了超过47000个损失事件,共造成了77.95亿欧元的损失。终于,在2004年的新资本协议中将其纳入风险资本的计算和监管框架之中。巴塞尔委员会对操作风险的定义是:由不完善或有问题的内部程序、人员及系统或外部事件所造成的损失。操作风险的损失事件又分为七项内容:内部欺诈、外部欺诈、就业政策和工作场所安全性、客户,产品及业务操作、实体资产损坏、业务中断和系统失败、执行、交割及流程管理。
二、我国商业银行操作损失情况及操作风险的独特性
据金融信息参考2005年第6期报道,我国从2000年到2004年共发生涉案金额在百万元以上的银行业案件75起,其中人民银行6起,农业银行15起,建设银行17起,中国银行18起,其他金融机构10起,除涉案金额不祥的13起案件以外的其他案件造成国有资产损失高达24.15亿元。2001年,中国建设银行吉林分行的工作人员内外勾结,采取私刻印鉴和印章,制作假合同、假存款证明书,伪造资信材料、担保文件等手段,进行贷款、承兑汇票的诈骗。2003年,审计署审计报告中公布的"华光案"中,冯明昌利用其控制的13家关联企业,累计从工商银行广东南海支行获得贷款74亿,案发后,其中28.8亿无法归还。2005年,中国银行黑龙江河松街支行内外勾结,进行票据诈骗,损失金额达10亿元,中国银监会公开对中国银行提出批评。
从上述国际银行以及我国商业银行的案例中,我们可以发现操作风险有其自己的独特性。其中最主要的是其内生于银行的工作人员、日常操作、银行的结构等,不同于市场风险和信用风险属于外生性风险。其次是它的复杂性,由于发生操作风险的原因以及涉及的业务十分宽广,监管部门很难全面的监管以及防范,无法有效控制损失频率与大小。
有学者对我国商业银行操作风险事件在商业银行业务中的比重进行了研究。其中,国内商业银行业务的操作风险事件占全部业务线操作风险事件的74.7%,商业银行业务线上的操作风险损失金额占全部业务线损失的97.6%,而商业银行操作风险损失事件主要来源于银行内部,特别是银行内部人员或内部人员与外部人员互相勾结所进行的主观的、故意的欺诈行为。从下图可以了解到,内部欺诈98起,比重为56.3%,外部欺诈34起,比重为19.6%。从以上数据可以看出,商业银行的操作风险损失事件的数量和金额都比较大,因此对我国银行业的操作风险管理与度量迫在眉睫,而且对从业人员的监督与管理尤为重要。
资料来源:张新杨:《我国商业银行的操作风险研究》 中国期刊网博硕士学位论文全文数据库
三、防范商业银行操作风险的主要方法
1、建立商业银行的操作风险意识
要想做好防范商业银行的操作风险,那么首先要从思想上重视。由于我国商业银行在2005年第一次接触操作风险的概念,对其关注的时间比较短,尚未真正认识操作风险,银行内部也没有形成良好的操作风险文化。因此,当务之急便是使银行工作人员上至管理层下至普通员工都对操作风险有清楚的认识,使得人人讲风险,事事讲风险。
2、建立商业银行的操作风险管理架构
首先,商业银行必须建立一个独立的部门来负责操作风险的度量与管理,这样可以使得交易业务与清算稽核相分离。其次,商业银行的董事会、监事会、高级管理层,都有权对商业银行进行全行范围内的风险监督与管理,以确保银行的安全与稳定。
3、提高商业银行工作人员的内在素质
从国内外的案例中我们可以发现,操作风险的发生与人密不可分,尤其在我国,内部欺诈的比例达到56.3%。银行应建立完善的完善的防范约束机制,对违法越权的员工给予惩罚,同时,应经常对员工进行教育,避免其利欲熏心,铤而走险。
4、建立完善的操作风险测度机制
国际上通常认为操作风险通过定性和定量相结合的方法进行测量。操作风险管理的内部评估机制基本上是定性的,由于各个国家有不同的内部控制定义和框架,因此在测度操作风险是也会有所差异,主要有美国COSO委员会的内部控制框架、巴塞尔委员会的内部控制系统的评估框架、英国的综合准则以及操作风险统计的记分卡法。而定量方法主要有三种,是巴塞尔委员会在新资本协议中提出的三种估计方法:基础指标法、标准法、高级计量法。商业银行需要根据自己的实际情况,在做好数据收集、系统设计的基础上,选择适合自己的测量方法,开发出适合自己的操作风险测量模型,使操作风险的大小直观、全面的呈现出来。
四、结语
商业银行的操作风险虽然是一个古老的风险,但是我们对它的认识与研究仍然处在一个起步阶段,对操作风险的防范与度量仍需要很大的完善与创新。在全球经济一体化的浪潮下,金融的国际化也是必然的,所以,商业银行更需要完善与创新自己银行内部的防范措施与测量方法,使得操作风险发生的概率与损失金额都降到最小。
参考文献:
[1]巴塞尔委员会.巴塞尔新资本协议[Z].2004.
[2]张吉光.商业银行操作风险识别与管理[M].中国人民大学出版社,2005.
关键词:商业银行 风险管理操作风险信息科技风险
中图分类号:F830.33 文献标识码:A 文章编号:1006-1770(2010)09-032-05
一、引言
随着信息技术与现代商业银行业务的深度融合,银行对信息技术和信息系统的依赖日益增强。信息科技已成为商业银行日常运营的操作平台、管理决策的重要支持、以及业务创新的基础工具。同时,与之相关的信息科技风险也渗透到了银行经营和决策的各个方面,信息科技风险管理不仅维系着商业银行的持续安全运营,而且也成为银行价值创造的重要支柱,因而信息科技风险成为现代商业银行风险管理不可或缺的重要内容。
商业银行传统的信息安全管理,更多是从信息技术开发和管理的本身出发,建立相应的技术标准而进行的,这些标准适用于信息技术部门内部的信息安全管理,也是信息科技风险管理的重要基础。但信息安全管理的本质是风险管理,现代商业银行构建全面风险管理体系,也需要借助操作风险管理框架和工具对信息科技风险进行有效管理。
我国主要商业银行正在积极实施《巴塞尔新资本协议》,这需要对包括操作风险在内的三大风险建立全面风险管理体系,而信息科技风险作为操作风险的重要表现形式之一,也成为银行风险管理的一个新的焦点。因此,本文试图在操作风险管理视角下探讨信息科技风险的识别、计量、监测和控制等流程和方法,以提高商业银行对信息科技的应用水平和对信息科技风险的管理效率,增强银行全面风险管理能力。
二、信息科技风险与操作风险管理框架
商业银行信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术应用水平,增强核心竞争力和可持续发展能力。
操作风险是《巴塞尔新资本协议》在信用风险和市场风险之外,所强调的商业银行面临的另一种重要风险类型,是指“由不完善或者有问题的内部程序、人员及系统或外部事件所造成损失的风险(表1)。”策略风险和声誉风险不包含在此定义中。我国银监会也基本沿用了这一定义。
可见操作风险这一定义的内涵包括由信息科技系统所产生的信息科技风险。因而商业银行在落实《巴塞尔新资本协议》、实施全面风险管理的过程中,需将信息科技风险作为操作风险的重要内容统一进行管理;对信息科技风险的管理,可以借用操作风险的管理框架和工具。
从风险管理的流程来看,一个完整的操作风险管理(Operational Risk Management,ORM)框架首先要确定执行和负责操作风险管理的组织机构,然后依据操作风险识别、风险计量、风险监测和风险控制的流程进行,形成一个循环往复、不断提升的风险管理过程。这一过程可用如下的操作风险管理“转轮”来表示(图1)。这一框架能提供一个对操作风险管理的完整流程,并允许银行在事先管理操作风险,而不论风险是否存在于业务过程、人员、信息科技系统或是外部事件中。
操作风险管理框架中的每一阶段都有不同的任务,理论界和实务界也都分别提出相应的工具和方法。下文尝试将操作风险的管理框架应用于商业银行信息科技风险管理,从而使信息科技风险管理成为银行全面风险管理的有机组成部分。
三、ORM框架下的信息科技风险管理
(一)信息科技风险管理的组织建设――信息科技治理
根据银监会的要求,IT治理的目标是在良好的公司治理的基础上,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。从银行内部来看,IT治理是公司治理的重要组成部分,包括与信息科技相关的领导关系、组织结构和工作流程等,其目的是保障信息科技与业务发展战略目标相一致。
信息科技治理是良好信息科技风险管理的基石,商业银行需要在公司治理基础上建立自上而下的信息科技治理结构。具体地,商业银行的董事会、高管层要对本行信息科技风险最终负责;董事会下的风险管理委员会可专设信息科技风险管理分委员会,由高级管理层、信息科技部门和主要业务部门代表组成;设立首席信息官(CIO),负责信息科技相关的重大决策,向上直接向行长和董事会报告信息科技运行和管理情况,向下统一领导信息科技板块各个部门,布置信息科技风险管理措施的实施;同时,风险管理部、尤其是操作风险管理部,也应把信息科技风险作为操作风险管理的一个特殊而重要的类型进行统一管理。此外,内部审计部门负责对信息科技风险管理的合规性和有效性进行审核(图2)。
在这样的信息科技治理结构之上,商业银行可将信息科技风险纳入总体风险管理框架,针对信息科技风险分布广泛、专业性强等特点,可以构建由信息科技业务经营部门、信息科技条线管理部门、风险管理部门和内部审计部门构成的“四道防线”,实现对信息科技风险的有效防范和管理。
(二)信息科技风险的识别方法
信息科技风险识别是指风险管理者通过一定的方法和手段,按照信息科技风险的来源范围和表现形式,鉴别信息系统开发和运行过程中一切可能导致信息科技风险的因素和产生风险的环节点的过程。信息科技风险识别方法可借用操作风险的识别工具。
1.风险与控制自评估法
信息科技风险的风险与控制自评估法(RCSA),是指银行IT风险管理部门对本行信息系统开发、信息数据管理、系统运行与维护等IT条线业务进行流程分析,识别并评估其中隐含的风险点,并对业务流程现有的控制措施的合理性和有效性进行评价的过程。
RCSA从梳理IT条线的主流程及其包含的子流程入手,针对这些流程设计RCSA问卷。这一问卷包含了每一流程步骤涉及的风险类型、相应的控制类型等内容,需要评分人对现有的控制设计和有效性进行评估,对风险导致的固有风险暴露、以及采取控制措施之后的剩余风险进行评分。最后要根据RCSA的结果决定是否采取对特定风险的控制行动。
2.风险地图法
风险地图(Risk Mapping)能够显示特定风险事件的风险暴露分布状况,将风险暴露与银行或业务部门的风险容忍度连接起来,根据特定风险在风险地图中的落点可决定对风险是否采取适当的控制措施。
风险地图是一个严重性-可能性矩阵。根据特定风险可能导致损失的严重程度及损失发生的可能性,可以共同确定风险暴露及其在风险地图的落点。风险地图不同区域所代表了不同风险容忍度,风险的不同落点有不同的涵义(图3)。
A.绿色区域:表示风险处于安全区域,不需采取控制措施降低风险暴露。
B.黄色区域:表示风险在加强监控的区域,应对风险进行关注和加强监控,但还不需采取具体控制措施。
C.橙色区域:表示风险在警戒范围内,风险管理部门应立即采取控制措施,将风险暴露降低到安全区域之内。
D.红色区域:表示风险已不可容忍,除了应立即采取措施降低风险暴露至安全范围内,还应该对风险暴露过高的原因进行追溯和问责。
需要说明的是,不同银行、不同业务条线的风险容忍度不同,因而风险地图的具体风险轮廓各异。即使同样的风险暴露在不同部门的风险地图上所处的区域可能都不一样,严重程度也不一样。对具体的信息科技风险管理者而言,要根据本行信息科技业务特点和自己的风险偏好,确定以上四个区域的临界值。
3.关键风险指标(KRI)
KRI是可用于表示商业银行信息科技风险状况的定量指标。通过指标的定期监控,可以对信息科技风险变化有代表性的某些方面进行跟踪和预警,并根据指标所处的区域决定是否采取控制措施。
关键风险指标应能代表信息科技领域最主要的风险指标,容易度量并能反映信息科技风险的暴露水平或者控制状态。商业银行首先需要明确各项与信息科技相关的关键风险指标,对每一指标设定相应门槛值。银行通过对所有KRI的动态跟踪,在超过门槛值时采取必要的控制措施,从而及时降低风险暴露程度,使基于KRI的风险控制行动能防止重大损失事件的发生。
与信息科技风险相关的KRI可根据信息科技业务的风险表现和分布特点而设定,具体指标可能包括:系统故障频率、系统中断次数、系统中断持续时间、系统交易失败比例、IT人员离职率、IT风险事件总数等。
4.损失数据收集(LDC)
首先要根据信息科技风险的分布特点,确定损失数据的收集范围、起点金额以及统一的损失数据内容(具体表现为损失数据库的字段格式)。
关于收集范围,巴塞尔新资本协议对操作风险的损失事件形态分为7个类型,其中与信息科技风险损失事件有关的整理如表2。银监会《商业银行操作风险管理指引》中规定应收集并报告的重大操作风险事件中,就包括“造成涉及两个或以上省(自治区、直辖市)范围内中断业务3小时以上,在涉及一个省(自治区、直辖市)范围内中断业务6小时以上”的系统业务中断事件等等。
损失起点金额要根据IT风险损失的分布特征和银行的风险容忍度而定。而损失数据内容则包括损失事件产生原因、发生时间、所在部门、损失金额、控制措施及有效性等。损失数据要按统一字段格式及时录入操作损失数据库。巴塞尔新资本要求采用高级计量法(AMA)的银行需要至少三年的历史损失数据积累。
(三)信息科技风险度量方法
操作风险度量方法包括基本指标法(BIA),标准法(SA),以及高级度量法(AMA),后者包括内部度量法、损失分布法和极值法等。目前我国商业银行对操作风险计量在实践中采用标准法。
但标准法设定的8个业务线,并未将信息科技业务条线专门列出,因而不能充分体现对信息科技风险的资本要求。事实上,信息科技风险不仅存在于商业银行信息科技业务条线,同时也广泛分布于其他业务条线之中。因而,在标准法的基础上,我们提出将信息科技风险按照所存在的业务部门分为两部分,分别进行风险计量和资本计提。
第一部分是存在于8大业务线内部的信息科技风险,在根据标准法对8大业务类型的操作风险计量时,已经包含了其中涉及到信息系统操作、运行等相关的信息科技风险。第二部分是信息科技条线的业务平台上涉及到的信息科技风险,主要包括信息系统开发、信息系统运行维护、数据中心建设和管理、软件外包、业务连续性经营等方面的风险。
具体计量时,第一部分已经涵盖在各个业务线的操作风险中;第二部分则由于信息科技业务并不直接产生收入盈利,可根据前三年信息科技投入的平均值,按其一定比例计算信息科技风险的资本要求。
其中Ii表示此前第i年信息科技投入的金额,βIT表示根据信息科技业务风险特征所确定的资本计提比例,KIT表示信息科技风险的资本要求,与其他业务的资本要求相加得到全行总的操作风险资本要求。
(四)信息科技风险监测与报告
风险管理是一个持续提升的过程,因而信息科技风险也需要定期持续的监测,以掌握风险发展的动态。监测一方面可以结合信息安全管理和内控措施,发现信息科技业务中存在的风险点及严重程度;另一方面也可以通过对之前设定的KRI的定期检查,判断风险是否在可容忍的范围之内。
对风险监测的结果和风险控制的现状,需要定期撰写风险报告,并逐级向上级风险管理部门汇总,最后由总行风险管理部向高管层和董事会定期提交风险报告。如总行操作风险部可以逐月汇总来自信息安全管理部和所有分行有关操作风险报告,其中包含信息科技风险的相关内容,然后逐季向高管层和董事会提交全行的风险报告。当遇到重大信息科技风险事件时,应随时上交风险报告。
风险报告是支持全面风险管理决策的重要依据,信息科技风险报告内容应包含在操作风险报告之中,其内容应涵盖报告期内:面临的或潜在的信息科技风险类型,已发生的信息科技风险事件,风险事件原因和过程,风险导致的损失,风险控制/缓释措施及其有效性,对风险事件的总结等。
(五)信息科技风险控制措施
由于信息科技风险自身的技术特点,对其有效控制的基础是在信息科技部门的开发、服务、运营等具体业务流程中实施先进的信息安全管理标准,如ISO20000 IT服务管理国际标准、ISO27001信息安全管理制度标准等。从信息科技风险整体的控制方面,可以实施以下几项措施。
1.完善内部控制机制。为实现信息科技风险的有效控制,商业银行需要建立并完善与信息科技风险相关业务的内部控制机制,确定信息科技相关业务和信息系统应用中不同职位的人员在信息科技风险管理中的分工和责任。这包括不同系统在物理上和技术上的隔离、规范业务操作流程、确定并执行严格的权限范围、建立业务流程之间相互平衡的制约机制等。
2.信息系统审计(IS audit)。指收集并评价证据,以判断一个信息系统能否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源的过程。商业银行内部或外部的信息系统审计部门,可通过一般控制和应用控制等审计方法对全行范围内的信息系统生命周期内的资产保护、数据完整、资源经济有效利用以及完成组织目标的情况进行综合评价。从而总体把握商业银行信息系统的风险状况,并向商业银行风险管理部门和信息科技部门提出咨询意见。
3.业务连续性管理(BCM)。BCM的目的是通过有效的管理,使在各种意外情况发生时,银行信息系统和相关业务都能始终不间断运营;或者退一步,BCM使意外冲击对信息系统正常运行或业务连续经营的影响降至最小。影响信息科技基础设施(如银行的数据中心或业务处理中心)连续运营的主要因素有,黑客攻击、电脑病毒、软件错误、人为失误、硬件故障、自然灾难等。
有效的BCM是针对以上影响因素严重程度制订的一整套管理方法。如首先是要建立信息系统应急机制和紧急变更预案,从制度上保证出现业务中断时的行动路线。其次加强重要数据的灾难备份。目前我国大部分大中型商业银行都已经成立了灾备中心,进行核心数据的同城镜像和异地灾备。此外还需要对业务处理系统进行切换演练,通过定期进行切换演练,对可能面对的不同冲击进行情景分析和压力测试,降低突发事件威胁,提高应急处理能力。
4.通过保险和外包来缓释和转移风险。由于发生概率较低但损失程度较大的信息科技风险是难以预测、量化及分配资本的,因此对信息科技风险的缓释和转移,可大大降低银行相关风险暴露程度。
使用保险作为操作风险的重要缓释工具有很大的必要性。商业银行与保险公司可以根据主要信息科技风险的损失分布特征,共同开发适当的保险产品以此对商业银行面临的信息科技风险进行缓释。同时软件开发等的外包,即可利用外部专业资源,又可转移商业银行自身承担的失败风险。但也需注意要通过签署权责明确的事前协议,来规避外包过程中的潜在风险。
综上,信息科技风险管理可利用操作风险管理的框架,但信息科技风险的组织结构、识别、计量、报告和控制等都有其具体的方法和工具。这一框架可以表示为如下图4,其中左半部分表示了操作风险管理的框架,右边虚线内是信息科技风险管理的具体内容。
四、结论和建议
本文在操作风险视角下研究了信息科技风险的管理流程和具体措施。研究发现,首先,商业银行的信息科技风险是操作风险的重要表现形式之一,因而有必要利用操作风险管理框架对其进行管理。其次,操作风险管理的流程和工具,可为信息科技风险的识别、计量、监测和控制提供规范化的参考依据。另外,值得注意的是,信息科技风险有其具体的表现形式和技术特点,对信息科技风险的评估、监测和控制等具体措施等有明显的技术特点,因而信息技术部门内部的信息安全管理是信息科技风险管理必不可少的重要基础。
研究建议,商业银行应在信息技术部门内部的信息安全管理的基础上,通过在信息技术条线推行操作风险管理,利用操作风险的规范流程和科学方法对信息科技风险进行有效管理。这不仅有利于落实《新巴塞尔资本协议》的监管要求,也有助于提升我国商业银行全面风险管理体系的建设水平。
注:
本文得到中国博士后科学基金第四十七批面上资助,项目名称《商业银行信息科技风险管理研究――基于操作风险管理框架》(资助编号20100470108)。特此感谢,当然文责自负。
[关键词]商业银行;操作风险;风险管理
[中图分类号]F832.1[文献标识码]A [文章编号]1673-291X(2006)04-0045-04
操作风险是指由不完善或有问题的内部操作过程、人员、系统或外部事件而导致的直接或间接损失风险(Basel II,2003)。“操作风险伴随着每一笔信贷业务而如影随形。”(Alexander J. Muermann,2001)实践与研究成果显示,操作风险长期以来未受到与其他类别风险同等的重视,匮乏的研究也难以提供较为成熟的风险管理技术(樊欣等,2003)。1995年,巴林银行破产案给国际银行界极大震动。该案揭示“即使银行符合资本充足性的要求,也可能因为操作风险而陷入经营困境”。(Hoffman,1998)
一、操作风险管理的重要意义
随着金融服务的全球化以及信息技术在金融业的应用和发展,银行业务经营及其风险组合变得更为复杂。技术系统的更新、交易量的提高、日趋复杂的交易工具和交易战略、网络银行的发展、法律和监管体系的调整和监管要求的日趋严格等,都增大了金融机构面临的操作风险。实践证明,操作风险比信用风险和市场风险更为广泛地分布于银行经营管理的方方面面,并给银行经营造成了越来越多的损失(Hoffman,1998)。继巴林银行破产案后相继发生的大和银行11亿美元的亏损事件以及2001年爱尔兰联合银行的7亿美元亏损事件等都源自操作性风险。巴塞尔委员会风险管理小组2002年6月的一项调查表明,损失巨大的突发事件导致大额损失报告事项增加是一个明显的趋势(Padraic Walsh,2003)。操作风险的客观存在及其增长,迫使金融机构提升其运作效率和可靠性,加强操作性风险的监控和管理。
在银行业操作性风险损失明显增长的背景下,从业者对操作风险管理日益关注。《巴塞尔新资本协议》于1999年6月、2001年1月和2003年4月,分别了三个版本的新协议征求意见稿,把操作风险、信用风险和市场风险一并纳入对金融机构的监管框架,既是近年来国际金融界日益注重操作风险管理的制度体现,同时,也是从全面风险管理和保持银行体系稳定的角度对操作风险管理的新要求。因此,以新协议的公布和实施为标志,商业银行必将面临一个如何根据新的监管要求有效引入操作风险管理的现实问题(Christine.M,2001)。
二、操作风险管理的相关研究:问题与争议
有关金融风险的研究一直是金融经济学的核心内容,由于全球金融系统的一体化进程加快以及金融工具的不断创新,风险管理的理论和实践都得到了极大的发展。然而,这种发展是不均衡的,其中有关市场风险度量和管理理论与实践最丰富,信用风险的研究开展得最早,近来也形成了一个研究的,唯有操作风险的研究至今未形成统一的理论框架。
1.操作风险的界定
对于操作风险的定义现在有多种看法(Hoffman,1998;BBA/ISDA/RMA,2000),讨论的焦点是哪种风险应该计入操作风险以及哪种操作风险应该是开展风险管理活动关注的焦点。几年前,银行通常将操作风险定义为除了信用风险或市场风险之外的所有风险(Jams Lam,2001),如今业内则普遍接收了巴塞尔委员会的定义:操作风险是指由不完善或有问题的内部操作过程、人员、系统或外部事件而导致的直接或间接损失风险。但Andy Kuritzkes(2001)对银行操作风险进行分类,认为如果风险定义为收益的不稳定性,则操作风险是指除金融风险(信用、市场、ALM、保险)外的非金融风险。而非金融风险可以进一步划分为三类:内部事件风险(由于内部失误造成的损失);外部事件风险(由于不可控的外部事件造成的损失);以及业务风险(由残余的收益不稳定性造成的损失,而不是来自事件风险)。他将全部的非金融风险粗计为资产的2.0%,而将BIS II界定的操作风险定义为内部和外部事件风险,粗计为资产的0.8%。Andrew和Hal(2002)在2002年6月26日举行的就资本充足率进行讨论的国际金融系统讨论会上,对新巴塞尔资本协议提出的通过资本准备金控制操作风险的做法也提出了异议。Andrew和Hal将银行风险分为金融风险和非金融风险,指出新巴塞尔协议定义的操作风险仅仅是非金融风险的一个子集,包括了内部事件风险和外部事件风险,而将业务风险排除在外。James Lam(2001)则认为,巴塞尔委员会的定义是就“一般意义”而言的,建议银行构造符合自身目标的定义,关键问题是是否将业务风险和名誉风险作为操作风险定义的一部分。而对于风险事件发生的频率以及影响力的讨论,现在比较一致的看法是,虽然频率高影响小的事件仍然是内部管理的重点,但操作风险管理的重点应该是频率低影响大的事件。
2.操作风险的度量
自操作风险管理系统提出之后,存在两种截然不同的学院派观点。一个学派认为,如果没有度量就没有管理,因此,集中研究操作风险的量化工具,例如,损失分布,风险指示器以及经济资本模型。继1998年巴塞尔委员会公布了关于操作风险的报告之后,1999年巴塞尔委员会又在其咨询意见稿中确立了包括操作风险在内的银行风险最小监管资本要求原则,这是推动操作风险模型化的标志性事件。一时间,操作风险量化模型得到了极大发展。
而另一个学派则坚信操作风险无法有效量化,因此,集中关注更人性化的定性方法,如自我评价、风险绘图以及稽核调查。John Drzik(2001)认为,操作风险管理应该更注重改善管理实践而不应过于强调操作风险的度量。监管者的最佳作用是通过要求银行机构评述所采用的控制操作风险的适当步骤来推进有效的操作风险管理。
两个学派之争是人与机器的典型战争。如今,操作风险管理的实践者越来越认识到,最好的操作风险管理实践是将两者结合起来。James Lam(2003)基于一致化操作风险管理基准体系的关键特性,提出了7因子经济资本模型。他认为,一致化操作风险管理基准体系应满足两个基本要求。首先,它应同时支持操作风险的度量与管理。其次,ORM基准体系应将相互依赖的信用、市场和操作风险结合起来,作为企业全面风险管理(EWRM)程序的一部分。基于这两个要求,操作风险管理基准体系有五个关键特性:(1)平衡定性和定量工具;(2)提供早期警告并逐步升级;(3)影响业务活动;(4)反映环境变化;(5)合并互相依赖的风险因素。根据这五个关键特性,Jams Lam提出了包含收益乘数、操作边际、内部指示器、外部指示器、模型风险、系统风险、金融风险乘数7个因素的经济资本模型。
3.操作风险的管理手段
关于操作风险的管理手段,《巴塞尔新资本协议》对操作风险提取监管资本的要求引起了银行业和一些学者的极大关注,人们关注的焦点除了在于如何衡量操作风险,以便适当地配置监管资本外,更有不少学者产生质疑。
Alexander Muermann(2001)认为,操作风险管理是银行依据特殊目的用于限制资金暴露而进行的特别保险,而监管者的资本要求可能是不必要的,因为在银行操作风险的特殊性质下资本的再分配未必一定能规避像巴林银行这样的重大事件。
Karen Petrou(2001)强调了操作风险管理的两个重点:(1)监管者的作用不应该是利用不明智的风险承担来防范银行个体的失误,相反,他应该防范由于整个行业内薄弱的风险管理造成的系统性银行失误。因此,监管资本并非最佳办法。(2)第二支柱和保险的作用应该是监管者关注的重点,这会促使银行度量自身风险并采取适当措施进行缓解。Petrou还评论了美国、欧洲和日本银行系统间的差异,以及这些差异导致在欧洲和日本,预留资本准备金成为天然的解决办法。然而,内部控制和良好的度量手段是美国的最佳解决方案。其中,主要差异在于美国的监管水平较高但监管范围较小,只有银行处于监管中。
Charles和Richard(2002)认为,新巴塞尔协议提出的用最低资本要求控制操作风险的方法并不适宜。私人保险和过程监管在控制操作风险方面比资本要求更有效。私人保险有如下好处:将操作风险转移给第三方,引入市场监管和约束以及具有风险敏感性的保险成本。过程监管则通过要求金融机构在适当的地方采取适当的过程和程序识别、度量、监督和控制操作风险,加强风险控制的私人市场动机。相反,巴塞尔协议中提出的控制操作风险的资本要求并不像私人保险和过程监管一样具有风险敏感性。而且利用过程监管和私人保险可以进一步避免在巴塞尔协议中由于差别对待低风险企业的反竞争效果。
Andrew和Hal(2002)认为,与银行为获取金融回报有意识地主动承担的金融风险不同,操作风险是银行业务不受欢迎的副产品。银行可以在事前采取重要步骤来减轻操作风险暴露,而不是在事后依靠资本准备金来吸收损失。银行管理操作风险时面对的并非风险与收益的权衡,而是风险和规避成本的权衡。规避操作风险的方法也因内部事件和外部事件风险而不同。内部事件风险从本质上讲是内生的,它们来自于内部过程、人员或系统的失误。防御内部事件风险的第一条战线应该是管理控制。银行安全防御操作失误的关键决定因素并不是它所持有的资本水平,相反,如何管理好银行则处于首要地位。即使预留更多资本准备,操作失误照样会发生,交易损失会继续攀升直至资本耗尽。外部事件风险是由企业不能控制的外生因素引起的。因此,外部事件不包括道德风险并且存在互不相关的倾向,这使得它们成为保险的良好对象。对大多数银行来说,保险是防御外部事件风险的第一条战线。在利用保险将风险暴露转移给第三方的同时,银行还可以采取内部手段来减轻外部事件带来的后果。相对于有效的管理控制和保险而言,资本准备至多是银行防御操作风险的次优机制。但荒谬的是,从最低操作风险资本要求来看,资本准备实际上充当了减少操作风险的障碍。因为如果银行必须预留出最低操作风险资本准备金,就无法有足够的资金进行管理控制或购买保险以减少操作风险,使其低于与最低资本要求一致的风险水平。
综观前人对操作风险的相关研究,我们发现目前存在以下问题和争议,有待进一步深入研究:
(1)操作风险的界定问题:寻求“共性”还是“个性”?
(2)操作风险的度量工具如何选择?
(3)如何确定一致化的操作风险管理(ORM)基准体系?
(4)如何综合利用监管资本要求、内部控制和保险有效管理操作风险?
三、操作风险管理对我国商业银行的挑战
从全球范围看,尽管操作风险已经给不少金融机构造成了相当严重的损失,新协议也从制度化的角度对操作风险管理提出了近乎标准化的要求,但迄今为止已经建立起有效操作风险管理体系的银行并不多见,操作风险的管理结构、程序、方法、工具和模型也远远没有信用风险管理和市场风险管理那样成熟。2000年6月,巴塞尔委员会风险管理小组进行的一次调查表明,大部分金融机构对操作风险的量化仍处于初级阶段,多数银行对风险指标的追踪还处于起步阶段(Haggerty,2001),还有很多银行根本没有进行这方面的工作。即使追踪数据的银行在风险管理或分配经济资本时对如何使用数据也不十分清楚。同时,多数银行还不具备将风险定义、数据收集、风险评估和管理、资本配置以及管理机制完全统一起来的程序。
国际商业银行在操作风险管理方面尚处于初级阶段,“我国商业银行的操作风险管理尚在起步阶段,定量研究几近于无”(樊欣等,2003),主要原因是:银行业务类型与国外银行相比有很多空白,银行董事会和管理层对操作风险缺乏足够的重视,全面风险管理的意识和理念尚未真正确立起来;银行内部和管理层次过多,风险控制机制不完善,操作风险管理的基础工作相当薄弱;操作风险的管理结构、程序、方法、工具和模型远远没有建立起来甚至处于空白的状态,操作风险管理体系建设明显滞后;操作风险管理人才不足,激励机制不健全,操作风险管理缺乏有力的支持和保障(王廷科, 2003)。
[参考文献]
[1] Alexander J. Muermann (2001),Extreme Value Theory for Risk Managers.Risk Publication,2001.
[2] Andres P. Knritzkes and Hal S. Scott(2002), Sizing Operational Risk and the Effect of Insurance: Implications for the Basel II Capital Accord.International Financial Systems Colloquium, June 26,2002.
[3] Charles W. Calomiris and Richard J. Herring(2002), The Regulation of Operational Risk in Investment Management Companies, Perspective.Investment Company Institute, Vol 8, No.1, September 2002.
[4] Christine M. Cumming and Beverly J. Hirtle(2001), The Challenges of Risk Management in Diversified Financial Companies.Economic Policy Review, Federal Reserve Bank of NewYork, March 2001.
[5] Hoffman, D. G. Ed(1998), Operatioanl Risk and Financial Institutions. Risk Publication. 1998.
[6] ISDA/BBA/RMA Survey Report (February 2000), Operational Risk-The Next Frontier. http://www.isda.org.
[7] James Lam(2001), Defining and Mannageing Operational Risk at Community Banks.Risk Publication. 2001.
[8] James Lam,(2003), A Unified Management and Capital Framework for Operational Risk. The RMA Journal, February 2003.
[9] John Drzik(2001), Doug Hoffman(2001), Andy Kuritakes(2001), Karen Petrou(2001), Assessing and Managing Operational Risk. Wharton Financial Institutions Center Risk Roundable, Sponsored by Oliver, Wyman & Company, April 18-19,2001.
[10] Michael A Lewis(2003). Cause,consequence and control: Towards a theoretical and practical model of operational risk.Journal of Operations Management. Columbia: Mar 2003. Vol. 21, Iss. 2.
[11] Padraic Walsh(2003), Operational Risk and the New Basel Accord. Hyperion, October 2003.
[12] Robert M Wiseman, Anthony H Catanach Jr. (1997),A longitudinal disaggregation of operational risk under changing regulations: Evidence from the savings and loan industry. Academy of Management Journal. Mississippi State: Aug 1997. Vol.40.
Relative Research on Operational Risk Management: Problems and Disputations
LU Xian-wen
(Lishui Radio & Television University, Zhejiang, Lishui 323000, China)