APP下载

银行操作风险管理重在体系建设

2006-08-16傅巧灵

银行家 2006年8期
关键词:损失风险管理商业银行

章 彰 傅巧灵

操作风险是近年来国际银行界风险管理领域关注的一个新的重点。2004年公布的新巴塞尔资本协议首次将操作风险纳入统一计算银行监管资本的框架之中,标志着国际银行界已经正式认可操作风险大小会直接影响一家银行的资本充足水平,操作风险作为独立的管理对象正在受到监管机构和商业银行越来越多的重视。

管理操作风险的原则

在新巴塞尔资本协议征求意见阶段,操作风险曾被定义为“由于不完善或有问题的内部程序、人员、系统以及外部事件给银行造成直接或间接损失的风险”。这个定义意味着操作风险可能引发直接损失和间接损失。直接损失比较容易理解,是指某一操作风险事件发生后,按照银行适用的法律、法规反映在银行法定财务报表的损失,损失包括所有与该操作风险事件相联系的成本支出,但不包括为避免后续操作风险损失实施的相关成本支出。但对于如何界定操作风险引发的间接损失一直存在争议,有观点认为是其他类型的风险发生引发操作风险事件发生,或者操作风险事件发生后引发其他类型风险发生而造成的财务损失,但难以把握的是,间接损失数据是应当归入操作风险损失,还是归入其他类型风险的损失。后来,在新资本协议定稿之际,操作风险被定义为“由于不完善或有问题的内部程序、人员、系统以及外部事件给银行造成损失的风险”,事实上将间接损失排除在外。

参考新资本协议的定义,我国商业银行管理操作风险现阶段应遵循以下四项基本的原则:

(1)全面管理。未来我国商业银行的总部和国内外分支机构都必须建立完善的操作风险管理制度,控制操作风险损失。而操作风险管理具有高度分散化的特征,因此操作风险管理制度的控制力应该渗透到银行各项业务过程和各个操作环节,覆盖所有的部门、分支机构和岗位,并由全体员工执行。

(2)政策及时调整。由于目前我国银行业监管机构尚未对商业银行操作风险管理制订监管规则,我国商业银行经营战略、方针、政策也都处于变化当中,操作风险管理的政策制度应随着外部和内部环境的变化及时调整。

(3)成本与收益匹配。管理操作风险要付出一定的成本,商业银行的管理措施必须与具体业务的规模、复杂程度和特点相适应,通过付出合理的成本将操作风险损失控制在银行经营所能承受的范围内,不切实际地追求零操作风险并不可取。

(4)严格问责。目前我国商业银行正处于操作风险发生频率较高的阶段,应坚持严格问责的原则。银行内部操作流程的每一个环节都必须有明确的责任人,并严格按规定对违反制度的直接责任人和负有领导责任的管理人员进行问责。

操作风险的分类

新资本协议将操作风险损失事件分为内部欺诈,外部欺诈,就业政策和工作场所安全性,客户、产品及业务操作,实体资产损坏,业务中断和系统失败,执行、交割及流程管理七类,每一类还有相应的子类。但如何根据新协议对我国银行业面临的操作风险进行有效分类是实践中的一个难题。不少国内商业银行发生的操作风险事件带有典型的“中国特色”。因此,在新协议的指引下,结合我国商业银行的实际情况,对操作风险进行分类或许是当前一个比较合理的选择。

按照新协议中规定的操作风险的四类诱因,我国商业银行的操作风险类别大体可以分为:

(1)由于银行业务流程、制度管理存在不当或偏差而没有及时完善,导致操作或执行困难而产生的操作风险。比如,内部或对外流程不适当;责任分工不明确;文件残缺;合同标准文本条款残缺;合同标准文本条款对银行不利;文件记录内容不全面;合同标准文本中空白条款填写不完善或不正确;风险管理报告不充分;财务报表披露不充分;新业务或新产品已经在前台办理,相关的文件没有及时传达到前台;对前台相关业务的新规定没有及时传达到员工;对业务流程要求执行不力等。

(2)由于人员因素导致的操作风险。这类操作风险是当前我国银行业面临的主要操作风险。人员风险源于主观和客观因素,前者为银行员工不遵守职业道德,违章、违规或违法操作,单独或参与骗取、盗用银行资产和客户资产,或工作疏忽,其行为给银行造成直接经济损失;后者为员工的自身能力与岗位对人员素质要求不符给银行造成的直接经济损失。

(3)由于IT技术或技术应用环境失灵造成系统服务中断或造成错误的服务,或由于系统数据风险影响业务的正常运行而产生的操作风险。如科技投资风险;系统开发和执行风险;系统功能问题或系统失效风险;系统安全风险;法律或公共责任风险;风险管理模型风险等。

(4)来自外部的主观或客观因素产生的操作风险。如交易对手通过诉诸法律而使交易无效(并非主观故意或过失违反法律、法规、规章和规定);内部的管理规章制度与外部法律、法规或监管要求发生冲突;反洗钱活动不力;业务操作违规;对客户的隐私和数据保护不力;外部采购或供应商风险;外部开发过程中所面临的第三方中断必要资源的风险;火灾、洪水、其他自然灾害等。

操作风险管理组织架构设计

随着我国商业银行公司治理机制的完善,未来完整的操作风险管理组织架构应由董事会、高级管理层、商业银行总部履行操作风险管理的牵头部门、总部其他部门、国内外各级分支机构等构成。

在这个管理层级体系中,董事会应是我国商业银行操作风险管理的最高决策机构,负责制定操作风险管理的发展蓝图和体系框架,审议并批准操作风险基本管理制度。评判操作风险状况,对高级管理层、职能部门、各级机构履行操作风险管理职责情况进行定期评估,并提出改进要求,确保整个银行机构能够识别、衡量、监督及控制操作风险。确定整个银行操作风险可以接受的水平,监控整体操作风险状况是否符合本行的操作风险偏好,对特殊情况进行审议,必要时向董事会报告特殊情况等。

高级管理层负责执行董事会批准的操作风险管理战略、管理政策、基本管理制度,评估操作风险管理制度的有效性,监控相关管理制度的具体实施情况,识别相关管理制度的不足和缺陷,决定为完善操作风险管理而采取的重要措施或行动方案。

商业银行总部是履行操作风险管理的牵头部门,负责拟订有关加强操作风险管理的基本制度和办法,以及操作风险识别、评估、监测、控制、缓释、计量等方面的具体管理制度和报告制度,并向高级管理层报告有关情况;就完善操作风险管理及拟采取改进措施和行动方案提出意见和建议;牵头协调、监控、督导总部其他部门及各一级分行开展操作风险管理工作和执行高级管理层的决定,并向高级管理层报告有关情况;负责定期向高级管理层报告操作风险状况及其占用的经济资本状况等。

商业银行总部其他部门的主要职责包括:结合本部门实际情况负责制定本部门的操作风险管理制度,报备牵头管理的部门。负责建立本部门操作风险控制程序,贯彻操作风险管理的各项要求。积极掌握和运用操作风险管理技术、模型和经验,识别本部门存在于产品、业务、流程方面及其他方面的操作风险,并确保在推出新的产品、业务、流程及IT系统前,对其内在操作风险做出充分的评估,采取适当措施防范和化解操作风险。对本部门操作风险控制情况进行检查、监督,对主要业务范围内的操作风险暴露及操作风险事件进行持续监控,完成本部门操作风险状况的汇总、归集和分析工作,按时报送牵头部门。

国内外各级分支机构负责本级机构的操作风险管理,其主要职责包括:实施辖内操作风险信息的汇集、操作风险的监控和管理工作,并按相关要求向上级机构报告本级机构操作风险状况,同时向本级机构负责人汇报。对辖内各部门及下级机构的操作风险管理情况进行政策执行督导和检查,汇集辖内操作风险信息状况。通过自我评估等方法识别对实现工作目标有负面影响的各类内在因素(如本机构业务的性质和复杂程度、人员的素质、组织的变化及人员流失率等)及外在因素(如经济状况的波动、产业技术的改变、政策形势的变化等),制订或完善相应的操作风险管理制度,采取适当措施防范和化解操作风险。

我国银行业操作风险管理运行机制

未来我国商业银行操作风险管理的运行机制应该由识别和确定、量化和评估、缓释、监控、规避、报告等环节组成。

从操作风险的识别来看,首先要通过确定不同部门、不同分支机构、不同业务的操作风险事件来识别操作风险。由于操作风险表现程度上的差异,在确定操作风险事件时应根据对操作风险的历史经验、未来操作风险预测、潜在损失金额、潜在损失频率等因素,将操作风险事件进行一定的分类,如一类操作风险事件、二类操作风险事件和三类操作风险事件等。

操作风险的度量是现阶段我国商业银行最难以做到的。根据国际活跃银行的经验,一般是通过量化方法,归集和分析银行在不同部门、不同分支机构、不同业务的各类操作风险,全面衡量银行总体操作风险承受能力。随着战略投资者进入我国商业银行,我国的商业银行应借助战略投资者的风险管理技术,引进关键风险指标、战略风险评估、自我评估问卷、操作损失分析等方法,建立完整的操作风险度量体系。

操作风险缓释实际是银行操作风险的“出口”。我国的商业银行应根据操作风险管理的成本效益和预期损失相匹配原则,以及各类风险缓释措施在应用中的可操作性,针对不同类型操作风险事件可以考虑采取接受风险、减少业务量、实施外包、购买保险、调整流程、计提准备金、加强人员培训等不同的操作风险缓释措施。

操作风险的监控是现阶段我国商业银行管理操作风险的另外一个难点。操作风险事件涉及的领域非常宽泛,没有IT手段的强力支持,有效地监控操作风险几乎是一句空话。我国的商业银行应充分利用IT手段建立操作风险的监控体系,操作风险的信息应纳入整个银行企业级数据仓库项目中。在风险缓释措施难以奏效,风险监控手段不到位的情况下,如果业务产生的盈利无法覆盖可能带来的损失,应果断限制开展具有高操作风险的业务。

现阶段我国的商业银行应考虑建立操作风险管理的报告制度。完整的操作风险报告制度应涵盖报告内容、报告人员、报告频率等要素。操作风险报告的内容应包括操作风险类型,所有因操作风险事件产生的相关数据和损失原因,关键风险指标KRI、战略风险评估结果、自我评估问卷结果、操作损失分析结果,对监管机构、董事会稽核委员会、内外部审计机构等在检查中发现问题进行整改的结果等;无论是商业银行总部的职能部门,还是国内外各级分支机构都应该设立本级机构操作风险的报告人,由报告人负责报告辖内的操作风险状况;应区分报告的内容,确定操作风险报告的频率,有临时性报告、月度报告、季度报告等,对于重大操作风险事故或案件,应采取特事特报的方式,不设时限规定,使董事会和高级管理层能在第一时间获得准确信息。

我国银行业操作风险管理的环境建设

现阶段我国商业银行内部应特别注意操作风险管理的环境建设。

首先,银行董事会和高级管理层必须对操作风险给予足够的重视,营造由全体员工共同参与的操作风险管理环境,建立科学、有效的激励约束机制,提高员工的操作风险管理意识和职业道德素质。

其次,根据银行企业级数据仓库项目建设的总体规划,对计划实施的流程进行操作风险识别,同时建立及时归集操作风险损失的数据采集系统和数据库,提升操作风险管理水平。现阶段就应着手收集操作风险损失数据,实现连续、实时地监控和评估整个银行总体操作风险,确保总体操作风险水平在董事会确定的可以接受的范围内,同时使董事会和高级管理层能根据操作风险数据对操作风险状况进行有效评估。

第三,银行内部应加强对操作风险管理手段和方法的培训,保证各级员工获得操作风险管理方面足够的知识和技能。尤其是对新入行员工,应在上岗前将岗位的操作职责及操作技能作为培训的必要内容。

第四,在制订关于操作风险管理的政策上要注意清晰、便于理解和正确执行。正式下发操作风险管理有关政策前,应确保政策制订部门或机构与相关执行部门或机构的人员进行充分沟通。

第五,应将操作风险管理的理念、政策体系、制度规范以及监控目标充分传达到各级员工,作为银行风险管理文化的一部分自觉贯彻到实际行动中。

(作者单位:中银香港风险管理部北京联合大学)

责任编辑:柯 丹

猜你喜欢

损失风险管理商业银行
住房公积金风险管理信息化审计探讨
风险管理在心内科中的应用效果观察
2020中国商业银行竞争里评价获奖名单
两败俱伤
基于因子分析法国内上市商业银行绩效评
基于因子分析法国内上市商业银行绩效评
2018中国商业银行竞争力评价结果
养老保险精算的分析与风险管理的研究
养老保险精算的分析与风险管理的研究
亡羊补牢