银行操作风险成因及对策研究
杨天玲
一、操作风险的主要特征
(一)内生性为主
从操作风险的引发因素来看,主要因内部因素而引发,如内部程序、人员和系统的不完善或失效;银行工作人员越权或从事职业道德不允许的或风险过高的业务,因此操作风险具有很强的内生性,但是银行作为社会性企业或组织,其业务计划的完成还需要其他组织予以配合,其他组织同样也存在内部程序、人员和系统失败的可能性,因此外部因素也可能导致操作风险的发生,如提供通讯线路租赁业务的电信公司技术故障而导致银行IT通信系统无法正常运行,因此操作风险也具有一定的外生性。
信用风险和市场风险主要是外生性风险。市场风险是指因市场价格(利率、汇率、股票价格和商品价格)的不利变动而使银行表内和表外业务发生损失的风险,如利率风险、汇率风险(包括黄金)、股票价格风险和商品价格风险,发生风险的因子主要是利率、汇率、股票价格和商品价格的变动等外部因素。信用风险是指债务人不能履行合约而给债权人造成损失的可能性,发生风险的因子主要是债务人的履约能力等外部因素,如借款企业遭受重大的资产损失而导致借款无法正常归还。
(二)涵盖全部业务
一个银行要使用人、流程和技术来实现业务计划,这些因素中的每一项都可能产生一些类型的失败,因此操作风险具有普遍性,操作风险发生可能性遍布银行的所有业务环节,涵盖所有的部门。但是信用风险和市场风险发生的环节仅限于与之相关的部分业务环节,如发放贷款、吸收存款;主要涵盖业务发展部门和业务管理部门。一般来说后勤保障部门基本不涉及信用风险和市场风险。因此对于操作风险的管理必须贯彻“三全”原则(全面性、全员性和全程性)。
(三)难以度量性
与市场风险和信用风险不同的是,影响操作风险的因素基本上在银行内部,并且风险因素与发生的可能性和损失大小之间不存在清晰的联系,通常操作风险以不经常发生的离散事件等形式出现。虽然经过近几年对操作风险测量技术的研究和历史数据的积累,国际银行业对操作风险的严重性(损失大小)计量还是主要依赖于业务管理者的经验来获得,因为发生较大损失的经验和时间序列数据对于大多数银行而言都是不足的,远没有产生一些标准的模型。而市场风险和信用风险量化技术目前基本成熟,基本采用数据模型进行风险的计量,如信用风险中在国际上被广泛使用的Credit Monitor TM(KMV模型)和Credit Metrics TM(信用计量模型)等;市场风险中广泛使用的缺口分析、外汇敞口分析(Foreign Currency Exposure Analysis)、敏感性分析(Sensitivity Analysis)等方法。
二、操作风险管理的发展阶段及趋势
一般而言,操作风险管理的发展可分为五个阶段。
第一阶段是传统、基本的阶段。这一阶段主要依靠内部控制或内部审计等方式进行操作风险管理,且等到损失事件发生时,才开始谋求对策。第二阶段是认识阶段。银行认识到加强和改善操作风险管理的重要性,董事会和高级管理层针对操作风险管理识别、衡量、监测和控制等各个环节拟定政策方针与风险管理策略,设置风险管理部门和职位并指派专人负责操作风险管理。第三阶段是监控阶段。银行开始针对足以反映操作风险的各项风险数据和现象进行追踪与自我评估,加强员工风险管理培训,设定风险限额控制,董事会和高级管理层根据上述结果,确定对操作风险的容忍度,明确风险临界指标。第四阶段是量化阶段。相对于第三阶段较重视以质化指标作为评估基础,量化阶段的操作风险管理功能已日趋周全,银行开始建立损失数据库、制订量化管理目标,开始发展风险为基础的资本量化模型来衡量操作风险。第五阶段是全面风险管理阶段。银行将操作风险管理充分融人全行整体的风险管理之中,操作风险衡量与市场风险、信用风险衡量进行有机整合,应用系统化的风险度量和管理工具,建立风险指标和损失之间的相关性,全面引入基于风险分析和资本实力考虑的保险策略与调整的收益分析等,确立全方位风险管理的理念。
遵循国际银行业操作风险管理的发展过程,我国银行业操作风险管理也将会呈现以下发展趋势:对操作风险的认识将得到强化并会成为制度化;对操作风险的识别、计量、监测、控制和转移将更具合理性和可分析性;操作风险产生将随迅速变化的环境而变化且涉及更多业务领域,银行监管部门更加重视操作风险;银行业开始考核现有组织结构对操作风险管理的影响,操作风险管理理念开始进行更新,操作风险管理框架将进行重构。中小银行将普遍使用基本指标法或标准法,规模较大的银行开始尝试使用内部衡量法;度量模型将从国外商业银行陆续引进,并结合国情进行改造;内部和外部的操作风险损失数据库将开始建立。
三、我国商业银行操作风险成因分析
目前我国商业银行真正意义上的各业务部门内部控制制衡机制尚未建立,而管理部门机构控制设置繁多,但职责不清,职能不明确,容易产生控制的重复(资源的浪费)和出现管理的真空地段,同时各部门间又缺乏协调与制约,极易对同一控制点产生不同的控制标准和办法,使一线管理和操作人员无所适从。
由于内部约束不力、规章制度不够健全或执行不力所造成的操作风险,一是制度的空缺,前些年我国商业银行出现的盲目投资,办公司经商以及由此造成的巨大损失,很多都与没有明确的制度规定有关,现在存在部分商业银行的基层行违规经营,有些根本就没有规矩;二是虽有制度,但制度设计的漏洞很多,许多制度的设计多是从方便管理层工作的角度考虑,而却很少从方便客户和防范风险的角度去考虑;三是有章不循,本来就不多而且存在漏洞的制度在实践中也没有得到认真执行,有的甚至是上有政策,下有对策。从近年来有关银行多次对分支行会计科目使用情况进行的检查分析,会发现普遍存在科目随意使用,账户核算混乱,会计统计信息严重失真的现象。
银行管理人员对内控管理认识不足,旧的观念和行为惯性一时难以扭转,认识有偏差,同时由于受传统专业银行控制的影响,部分管理人员对现代银行管理理论与方法缺乏系统的了解,对体现银行管理水平的内控系统认识不足,没有把内控这种自我调节、自我制约、自我控制的自律行为作为管理工作的重要组成部分,缺乏强化内控的自觉性和主动性。
随着金融创新业务不断增多,服务领域不断拓展,银行内部队伍素质不高已成为操作风险发生的原因之一。一是没有形成防范风险所要求的人员能进能出、干部能上能下的激励与约束机制;二是员工队伍受社会环境的影响,个别人经不住腐蚀诱惑,这些年发生的一系列案件足以说明这个问题;三是员工队伍的专业技术水平不高,缺乏识别和防范风险的能力,更不要说运用专业技术来分散风险了;四是一些领导干部的责任心不强,管理粗放,甚至大撒手。
稽核审计部门缺乏应有的权威性、独立性、超脱.性、制衡性和全面性。稽核部门是对已发生的经营行为进行监督,是事后监督,没有渗入到经营管理的开始与过程中进行监督,且稽核手段落后,工作效率低下,内部稽核人员数量不足,素质偏低,知识结构不合理,且得不到及时培训与更新,内部审计有时流于形式,查出来的问题也不一定得到应有的处理。财务核算上事前分析、预测和监督少,监察系统对近年来银行各种案件的分析结果也表明,有章不循、检查监督不力是案件居高不下的重要原因。
近年来,电子计算机在商业银行中得到广泛应用,使金融业务实现了一次革命性的转变,但是电子计算机处理信息也存在一定的问题。而且内控部门未形成一套科学有效的内部电子监督、预警系统,仍是看报表、翻传票、查漏洞等老一套,内控效率低,局限性大,时效慢,反应不够灵敏,内控信息不系统不完整,系统支持和运作能力的复杂程序与银行业务活动量的大小和复杂性不相协调,不能容纳所从事的各类越来越复杂的银行业务。
四、我国商业银行操作风险控制的对策分析
操作风险的这种特殊性质决定了商业银行要注重防范损失的发生,而损失发生的减少就意味着收益的增加。中国银行业监督管理委员会也于2004年末颁布了《商业银行内部控制评价试行办法》,共设八章七十二条,从评价目标和原则、评价内容、评价程序和方法、评价标准和评价等级、组织和实施及罚则等六个方面对商业银行内部控制管理问题进行了全面的规范,是中国银行业走向科学化管理、完善自我约束机制的一部具有现实意义的指导性文件。目前中国商业银行业的内部管理架构都属于大型、非集中式的管理模式,对于这类银行实施内部控制防范操作风险的管理原则是:首先,在全行实施分散化管理,各业务部门的前线经理应当是操作风险管理的主要负责人,负责降低风险的各项具体工作;其次,对全行的风险实施统一的监督管理,要求总行的内控委员会负责监督全行的操作风险,界定全行各相关部门在操作风险不同层面的具体工作之间的相互联系,以确保全行一致,充分合作,避免重复工作,推广最佳做法,并促进银行高级管理层在风险问题上统一立场。银行内部控制的目的在于确保银行的运营是有效率和效果的,交易记录是准确的,财务报表是可信的,风险管理系统是可依赖的。银行内部控制的手段包括限制授权、保护银行资产和记录的使用与接触、分离重要岗位的职责并不定期地加以轮换、确保有定期和不定期的评估及测试。银行有效的内部控制系统应该包括一个可控的环境,及时的风险测评,有效的控制活动,完整的会计、信息及通讯交流系统和完善的自我评估监测机制。
(一)建立清晰的操作风险管理战略和政策
要根据银行的业务种类和流程建立操作风险管理流程和框架,建立与本行的业务性质、规模和复杂程度相适应的、完善的、可靠的操作风险管理体系。包括董事会和高级管理层的有效监控;完善的操作风险管理政策和程序;完善的操作风险识别、计,量、监测和控制程序;完善的内部控制和独立的外部审计以及适当的操作风险资本分配机制。
(二)建立分工明确的操作风险管理架构
设立专门独立的部门负责操作风险的管理,由它牵头、各部门配合制定操作风险管理战略和政策,提供必要的管理工具,并负责汇总全行操作风险管理信息向管理层报告。各业务条线管理部门在制定的操作风险管理框架内负责组织实施,保证业务运作的合规性,保证条线内的全体员工认识到操作风险的存在并采取必要的措施去回避和管理这些风险。每一员工严格按照规章制度去开展自己的工作,准确识别操作风险,确保自己办理的业务和管理的事项无差错、无事故、无损失,有责任及时报告那些有可能威胁银行正常经营,损害银行、股东、客户和员工利益的事件。内部审计部门应定期地、独立地检查操作风险管理系统是否由上至下得到有效贯彻。此外银行应有效依靠外部审计来实施对操作风险的独立第三方评价。
(三)找准关键风险环节,建立健全内部控制制度
操作风险与内部控制有密切的联系,内部控制失败可能形成操作风险,因此必须强化内部控制建设,找准关键的风险环节,做到“制度完善、目标准确”,提高操作风险防范的效率和能力。
银行应对各项业务操作流程制订全面和系统的政策、制度、程序,并在全系统范围内统一业务标准和操作要求。内部控制贯穿于整个业务操作的全过程,渗透于各项业务流程和各个操作环节,涵盖所有的部门和岗位,覆盖所有主要的风险点。各项业务经营管理活动均应以审慎为出发点,贯彻“内控优先”要求,在控制措施严密充分的前提下进行,以准确计算和评估风脸,防患于未然。同时,对现有制度要不断进行评估修订、补充和整合,确保各项制度在各部门、各层次得到贯彻执行,并加强规章制度执行情况的监督检查。判断控制制度是否有效的重要标准是是否批准了此项业务的风险关键环节,并有针对性地提出控制措施,事实上,抓住了关键环节,也就抓住了风险控制的全局。因此,银行应对各层级、各岗位、各环节的业务流程、操作规程等进行梳理和分析,找出关键的风险环节,从而制定出切实可行的控制和改进措施。
(四)培养员工的操作风险意识,提高规章制度执行力
科学合理设置岗位,贯彻“不相容职务分离”原则;建立完整而清晰的岗位职责制度,明确岗位的职责、担任人员的资格和素质、岗位工作目标等;根据岗位特点,选择合适的员工从事该岗位的工作,做到量才施用;加强员工的风险教育培训,提高操作风险的识别和控制能力。强化对操作过程的控制,对关键风险设置定性和定量指标,建立操作风险预警机制,对这些指标进行持续监测和早期预警,使管理层及时采取预防措施,如采用现场和非现场的监控手段,对可能发生操作风险的环节要持续跟踪检查,对检查出的问题督促其及时整改。实行严格的问责制度,对发生操作风险事件的直接经办人员和相关人员进行处理。
(五)建立完善的事件管理机制
如何加强案件事故管理,最大限度降低负面影响,甚至利用媒体的高度关注和传播,将事件转化为增加品牌知名度和美誉度的契机,反败为胜,成为各银行在操作风险管理中的一个重要课题。
应尽快在银行内部建立危机公关机制,并逐渐形成危机公关管理的智慧和体系,不断摸索有效的危机公关方法、危机管理反应方案,确定危机出现后危机处理工作的基本原则。重大操作风险事件发生后,迅速启动应急预案,在第一时间及时发布信息,以积极的姿态与媒体、政府部门等利益攸关者进行“恳谈”沟通,争取各方的支持,将负面影响降到最低甚至在逆市中提升品牌。
作者单位:建设银行黑龙江省分行 原载《现代商业银行导刊》(京),2008.1. 48—51
本文摘自《金融与保险》2008/6 99页
温馨提示:答案为网友推荐,仅供参考