關於銀行操作風險管理論文
[摘要]2008年1月法國興業銀行“交易員事件”再次將全球金融界目光聚焦在操作風險上。相比信用風險和市場風險,操作風險的內涵更為廣泛,操作風險事件更為複雜。主要有人為、流程、系統因素和外部事件所造成的風險事故。本文論述了商業銀行操作風險及其特點,探討了操作風險的管理現狀,提出了預防和控制商業銀行操作風險的對策和措施。
[關鍵詞]風險管理;操作風險;發展趨勢
一、商業銀行操作風險及特點
風險就是未來結果的不確定性。不確定性越高,風險就越大。由於分析角度不同,對銀行風險分類的標準也不一。一般可分為市場風險(利率、匯率和資產價格)、信用風險、流動性風險、操作風險、法律風險、道德風險和國家風險。一般業界所說的三大風險是指信用風險、市場風險和操作風險。這是國際上巴塞爾委員會要求提取資本金的三類風險,是國際銀行業和銀行監管機構重點關注的三類風險。
對我國商業銀行來說,操作風險是個新概念,但這並不表明我國商業銀行中沒有操作風險管理活動。事實上,各商業銀行一直都有自己的操作風險管理實踐,但一般使用“內部控制”一類的表述,而且,在多年內控管理過程中,各商業銀行都程度不一地建立和制定了相關的管理框架、制度和措施。不過,相對於信用風險、市場風險管理而言,操作風險管理還缺乏識別標準、管理模式、資料積累等。
操作風險是指由不完善或有問題的內部程式、員工和資訊科技系統,以及外部事件所造成損失的風險。操作風險包括法律風險,但不包括策略風險和聲譽風險。具體表現就是商業銀行因辦理業務或內部管理出了差錯;由於內部人員監守自盜,外部人員欺詐得手;電子系統硬體軟體發生故障,網路遭到侵襲;通訊、電力中斷;自然災害、恐怖襲擊等原因導致損失的銀行風險,這些都屬於操作風險。可見,操作風險不僅僅包括操作中的風險,還包括內部程式、資訊科技系統和外部事件所帶來的損失。
與信用風險和市場風險相比,操作風險主要有幾個特點。第一,具有內生性,除自然災害等外部事件引起的操作風險損失外,操作風險大多是在銀行可控範圍內的內生風險,信用風險和市場風險則為外生風險。第二,廣泛性,操作風險的覆蓋的範圍相當廣泛,與市場風險主要存在於交易類業務和信用風險主要存在於授信業務不同,操作風險普遍存在於商業銀行的業務和管理中。此外,對於信用風險和市場風險來說,風險越高,收益越高,存在風險與收益的對應關係,而操作風險和收益沒有太多聯絡。
二、操作風險識別和管理
操作風險主要表現為以下幾種型別,商業銀行在經營中需加以識別和管理。
(一)人為因素。主要為內部欺詐、主觀違規、操作失誤。主觀違規有超授權授信行為、逆程式、過度信任造成管理缺位、崗位設定不合理造成監督空位、不良愛好(如涉毒、涉賭、涉黃)引發的違法違規。操作失誤是由於員工技能水平不高、態度不認真在業務過程中的失誤造成的,如數字輸入錯誤、將取款記作存款等。由銀行員工操作失誤引起的操作風險一般具有損失小(當然不排除特殊情況)、發生頻率高、難以事先預測的特徵,因而非常難以防範。人員因素引發的操作風險,有的是作為,如主觀違規,有的是不作為,如業務不熟出錯,疏忽大意。
(二)流程因素。包括操作程式遺漏或忽略、產品設計缺陷、業務流程設計不合理等。過去認為流程越複雜、相互制約性越強越好。事實上,流程越簡單越易於操作,流程越短越便於管理,設計越合理越利於控制。這樣才能適應變化,確保效率和風險管理,流程設計不合理,有瑕疵,往往容易出現風險隱患。
(三)系統因素。系統是現代商業銀行賴以生存的命脈。無論是業務發展如網上銀行、現金管理還是風險監控,都離不開資訊系統緊密支援。但是,商業銀行高度依賴資訊系統,資訊資料高度集中也給銀行帶來新的風險管理難題,如系統安全穩定、IT技術風險防範、資料和資訊質量,系統設計和開發戰略風險,等等。系統出現如故障、癱瘓,系統不安全、通訊中斷以及系統相容性、穩定性、適宜性方面的操作風險很容易給銀行帶來巨大的經濟損失和無法估量的信譽損失。此外,從操作風險發生的部位來看,當前與系統有關的操作風險日益增加。由於系統原因和流程問題導致犯罪分子利用系統漏洞實施金融詐騙已經成為妨礙我國銀行業資金安全重大問題。
(四)外部因素。銀行經營都是處於一定的政治、社會、經濟環境中的,經營環境的變化、外部突發事件都會影響到銀行的經營活動,甚至會產生損失。外部事件引起銀行損失的範圍非常廣泛,包括外部欺詐、外部突發事件與外部經營環境的不利變化。外部人員的蓄意欺詐行為是近年來給銀行造成損失最大、發生頻率最高的操作風險之一,而內外勾結作案更是令商業銀行防不勝防。外部欺詐包括騙貸、搶劫、偷盜、爆炸等風險因素。外部突發風險包括遭受冰凍雨雪、地震等自然災害以及恐怖襲擊、火災等給商業銀行帶來的損失。外部經營環境的不利變化引起的操作風險是由於受巨集觀經濟環境、銀行監管法規變化使銀行發生損失的風險。巨集觀經濟環境的不利變化會給商業銀行帶來意想不到的損失。
三、商業銀行操作風險管理的現狀
目前,我國操作風險管理與監管尚處在一個較為初期的發展階段。由銀行監管部門以規範性檔案釋出關於操作風險監測方法或者具體操作模式還為時尚早。監管機構主要把重點放在提高操作風險(或內部控制)管理質量上,並且要求銀行提高對操作風險的重視。
(一)商業銀行操作風險的監管要求。2004年6月,巴塞爾委員會發布了新的資本協議,對銀行操作風險提出了新的資本要求。據巴塞爾委員會估計,在銀行業所有風險中,操作風險所造成的損失已經僅次於信用風險。2006年10月巴塞爾委員會發布的新版《有效銀行監管核心原則》中,專門為“操作風險的監管”新增一條原則,制定了評估該原則執行情況的標準,提出了商業銀行操作風險管理的最佳做法和監管指引。
目前,實施新資本協議的國家都按照新協議要求,明確將操作風險納入資本監管範疇,國際上已形成了對操作風險加強監管的共識,已經形成了相關制度和監管標準。巴塞爾新資本協議對操作風險的有關規定是近年來國際金融界日益注重操作風險管理的制度體現,也是加強全面風險管理方面的新要求。
在未來幾年內,我國銀行界按照新資本協議的要求實施操作風險管理已是大勢所趨。根據中國銀監會《商業銀行操作風險指引》要求,操作風險監管機構是中國銀監會和派出機構。商業銀行要履行報告義務,提交有關方面的審議報告,對有關政策和程式要報備。銀監會定期要進行檢查評估。對於高管嚴重違規、重大搶劫銀行等操作風險事件商業銀行必須報告銀監會和其派出機構。另外,《商業銀行操作風險指引》要求商業銀行要根據自身實際操作風險管理的政策、選擇適當的方法進行管理,採取一定的措施控制、降低操作風險。
(二)操作風險機制建設。國際上巴塞爾協議將人們的視線更多地集中於操作風險的監管資本要求上。但實際上,一個銀行的資本量多少並不是管理成功與否的關鍵,加強操作風險管理最關鍵是加強商業銀行操作風險的機制建設。
1.關於操作風險管理體系建設。關於操作風險管理的組織體系,各銀行間存在著重大差異。各商業銀行主要依據銀監會《商業銀行操作風險管理指引》要求逐步建立和探索適應本行的操作風險管理體系。該體系主要包括董事會的監督控制;高階管理層的職責;適當的組織架構;操作風險管理政策、方法和程式;計提操作風險所需資本等基本要素。董事會從總體上履行操作風險管理的職責。如制定總體戰略、政策、定期審批報告等。高階管理層在操作風險管理中職責主要為執行董事會的有關決議,定期向董事會報告。各商業銀行一般以與自身的風險管理戰略和組織結構相匹配成立管理操作風險的部門。具體執行中操作風險人員可能被放在一個部門——操作風險管理部門,主要擬定本行操作風險管理政策、程式和具體的操作規程;建立並組織實施操作風險識別、評估、緩釋(包括內部控制措施)和監測方法;定期檢查操作風險的管理情況。有些銀行在總行層面上建立了首席風險官,在各營運業務條線設定風險經理,對主要業務的關鍵、高發風險點進行實時監測。有些銀行在專業領域內如法規部門、審計監察部門設立單獨的風險監管部門,在管理好本部門的操作風險的基礎上,為其他部門管理操作風險提供相關資源和支援。
2.商業銀行操作風險管理有關政策。各商業銀行正積極探索制定有效管理操作風險的政策和方法。首先,在操作風險政策制定方面,部分商業銀行已經制定《操作風險管理政策框架》、《操作風險管理政策》,進一步明確了各行各級機構和部門在操作風險中的管理職責。針對操作風險的執行,制定具體執行措施,如詳細的《案件防控及整改方案》、《基層機構關鍵風險點監控檢查內容與操作指引》,同時,將操作風險控制基本要求植入業務流程改造和IT藍圖建設中。其次,為衡量分析操作風險建立操作風險管理技術標準。各商業銀行正在積極研發風險控制與評估、關鍵風險指標、重大事件報告制度、損失資料收集和業務持續經營計劃等工具。再次,識別操作風險,制定有關制度措施。根據銀行風險的特點,加大對操作風險的識別,並針對性地制定制度措施,如對系統風險、外部等操作風險,有關行制定了詳細的風險應急預案,增加應急措施;建立與新產品、新業務發展相對應的制度規定;修改更新產品和流程,塑造流程銀行,按流程操作;增加制度執行建設,強化日常檢查的頻率,加強員工行為排查,等等。
四、對商業銀行操作風險管理的幾點啟示
(一)引入全面風險管理。全面風險管理體系(Enterprise
wideRiskManagement簡稱ERM)是西方商業銀行比較成熟的風險控制理念和技術。全面風險是風險管理的最終目標,全面風險管理,主要體現在它的全面性、全程性、全員性和系統性。操作風險與市場風險、信用風險有高度的相關性,操作風險與其他風險結合將導致風險更加複雜、更加分散,風險損失更加顯著,將數倍、數十倍地被放大。因此,在風險管理中應將操作風險與市場風險、信用風險等各種風險聯絡起來進行全面的風險管理,保證風險管理政策統一、工作協調。同時,操作風險遍佈商業銀行內部各業務環節、產品線和不同的管理層面,不僅僅是依賴於一兩個專門的部門監管,應該從本行、本部門、個人操作抓起。各商業銀行應及時上升層次,逐步建立全面風險管理委員會下轄操作風險、信用風險和市場風險等風險管理委員會,制定全面風險管理政策,形成總體規劃,發揮資本在風險覆蓋、部門配置方面的作用。
(二)操作風險的緩釋。操作風險是客觀存在的,只要有人群、行為和活動,就一定存在操作風險,應儘量降低其發生的頻率和所造成的損失。從操作風險的規避角度分析,操作風險可以分為可規避的操作風險、可降低的操作風險、可緩釋的操作風險。除極少數應承擔的操作風險外,大部分操作風險都有規律可循,其發生過程類似多米諾骨牌,有前因後果的連鎖關係。因此,要查找出其發生規律,通過技術手段切斷引發操作風險的.關鍵環節,並通過必要的管理措施加以緩釋。
1.商業銀行一攬子保險和打包保險。火災、自然災害等引起的商業銀行財產損失,商業銀行的內外部欺詐,對高階管理層和員工的責任險等都可以通過保險公司一攬子保險和打包保險承保予以緩釋,通過承保轉移給保險公司。然而,目前國內保險公司尚未開發更多的針對商業銀行操作風險的保險產品,保險方式、有關保險業務品種還有待保險公司創新。另外,保險公司對銀行風險管理能力和財務承受能力還不能準確精算評估,各保險公司保費收取也存在重大分歧。如對於內外部欺詐引發的操作風險,各保險公司普遍收費高,無疑增加了銀行的成本管理,也直接約束了操作風險的緩釋。不過,相信隨著金融市場的逐步開放,這一局面將逐步得到改善。
2.業務外包。除保險外,商業銀行可以通過業務外包來緩釋操作風險。將技術含量高、專業性強的有關業務交由專業機構管理,增加操作風險管理的效益性。如有關法律風險可聘請具有符合條件的外聘律師代理訴訟和仲裁;對於風險性高的守護、保衛、押運可聘請符合資質條件的保安公司管理;對於產品評估、網路維護、系統開發也可招標專業性服務公司。當然,選擇外包公司,不可能一包了事,也需加強雙方之間的溝通,通過簽訂合同,明確雙方權利和義務,合理轉移風險。事實上基於雙方的委託關係,最終的權利和義務應由商業銀行承擔。
(三)建立健全制度管理,狠抓制度落實。總結有關操作風險損失案例,其中大部分為有法不依,有章不循,制度落實不到位,管理缺位造成的風險損失。因此,要建立健全制度管理,狠抓制度落實,才能夠使操作風險得到有效管理和控制,才能使因操作風險損失降到最低限度。一是做到制度到位,及時立、改、廢有關制度,形成制度資料庫,並根據實際情況將有關規章制度分解到各個部門、各個環節、各個崗位,形成操作指南和崗位流程;二是責任到人,處理到人。要及時跟蹤檢查執行,增加檢查的頻率和有效性,加大違規處罰力度,把隱患消滅在萌芽狀態。
(四)加強合規管理與合規文化教育。商業銀行要倡導和強化全員合規文化,引導全行員工樹立對風險管理的責任意識,使風險意識突破傳統的部門界限,真正融入全行各個部門、每位員工的行為規範和工作習慣之中,讓員工認識到自身崗位關鍵風險點,形成防範風險的有效屏障。
總之,我國商業銀行的操作風險管理要求不是一時之需,而是伴隨商業銀行發展的長期任務,如果要想保持現有的競爭優勢,甚至在國際金融市場取得一定的地位,就必須不斷提高自身的操作風險管理水平,全面加強風險管理。
參考文獻:
[1]陳餘化,趙欖.警惕商業銀行操作風險監管走向誤區[J].經濟論壇,2006,(13).
[2]姜燕.新巴塞爾協議框架下中國商業銀行操作風險的度量與管理[D].北京:對外經濟貿易大學,2006.
[3]曾向陽.對商業銀行操作風險管理的幾點思考[J].廣西金融研究,2005,(8).
[4]楊滿滄.企業銀行博弈與共贏[M].北京:中央編譯出版社,2007.
[5]劉毅.商業銀行經營管理學[M].北京:機械工業出版社,2006.
