操作风险
在不少金融机构中,操作风险导致的损失已经明显大于市场风险和信用风险。因此,国际金融界和监管组织开始致力于操作风险管理技术、方法和组织框架的探索与构建,目前已取得了明显的进展。但是,从国内银行业情况来看,对操作风险的认识和管理还停留在比较肤浅的层次,监管当局关注的焦点一直定位在信用风险领域,监管资源过分倾斜于银行不良资产的处置,以至于银行操作风险近些年呈持续上升趋势。
因此,关注操作风险已成为我国商业银行不可回避的话题,操作风险是当前银行业风险管理的重中之重,银行职员操作权归属不清是操作风险产生的根源,整合IT平台清晰界定操作权是国有商业银行的当务之急。
操作风险的定义和类型
巴塞尔银行监管委员会对操作风险的正式定义是:由于内部程序、人员和系统的不完备或失效,或由于外部事件造成损失的风险。按照发生的频率和损失大小,巴塞尔委员会将操作风险分为七类:
(1)内部欺诈。有机构内部人员参与的诈骗、盗用资产、违犯法律以及公司的规章制度的行为。
(2)外部欺诈。第三方的诈骗、盗用资产、违犯法律的行为。
(3)雇用合同以及工作状况带来的风险事件。由于不履行合同,或者不符合劳动健康、安全法规所引起的赔偿要求。
(4)客户、产品以及商业行为引起的风险事件。有意或无意造成的无法满足某一顾客的特定需求,或者是由于产品的性质、设计问题造成的失误。
(5)有形资产的损失。由于灾难性事件或其他事件引起的有形资产的损坏或损失。
(6)经营中断和系统出错。例如,软件或者硬件错误、通信问题以及设备老化。
(7)涉及执行、交割以及交易过程管理的风险事件。例如,交易失败、与合作伙伴的合作失败、交易数据输入错误、不完备的法律文件、未经批准访问客户账户,以及卖方纠纷等。
操作风险的特点
与信用风险、市场风险相比,操作风险具有以下特点:
(1)操作风险中的风险因素很大比例上来源于银行的业务操作,属于银行可控范围内的内生风险。单个操作风险因素与操作损失之间并不存在清晰的、可以界定的数量关系。
(2)从覆盖范围看,操作风险管理几乎覆盖了银行经营管理所有方面的不同风险。既包括发生频率高、但损失相对较低的日常业务流程处理上的小纰漏,也包括发生频率低、但一旦发生就会造成极大损失,甚至危及到银行存亡的自然灾害、大规模舞弊等。因此,试图用一种方法来覆盖操作风险的所有领域几乎是不可能的。
(3)对于信用风险和市场风险而言,风险与报酬存在一一映射关系,但这种关系并不一定适用于操作风险。
(4)业务规模大、交易量大、结构变化迅速的业务领域,受操作风险冲击的可能性最大。
(5)操作风险是一个涉及面非常广的范畴,操作风险管理几乎涉及银行内部的所有部门。因此,操作风险管理不仅仅是风险管理部门和内部审计部门的事情。
目前我国商业银行操作风险主要特征
近期,国内有人对我国的操作风险进行了实证分析。根据研究结果,我国商业银行操作风险的主要特征大概可以总结为:
(1)损失事件主要集中在商业银行业务和零售银行业务,主要可以归因于内部欺诈、外部欺诈,占到损失事件比例最大的是商业银行业务中的内部欺诈。
(2)单笔损失金额的均值相差很大,在度量操作风险时,应该分别考虑每个业务部门和每个风险事件组合下的损失分布情况。
(3)损失事件的多少与银行的总资产规模成正相关,但损失金额多少与总资产没有明显的相关性。
(4)从损失事件数目和损失金额的地区分布看,操作风险不一定发生在经济发达的分支机构,但是肯定会发生在管理薄弱、风险控制意识不强的地区。
我国商业银行当前操作风险主要原因
1、公司治理结构不健全。一是所有者虚位,导致对代理人监督不够。二是内部制衡机制不完善。董事会、监事会、经营管理层之间的制衡机制还未真正建立起来。三是存在“内部人”控制现象。由于国有商业银行所有者虚位,很容易导致银行高管人员利用政府产权上的弱控制而形成事实上的“内部人”控制,进行违法违纪活动。四是内部控制能力逐级衰减。国有商业银行的“五级”直线式管理架构,由于内部管理链条过长,信息交流不对称,按照“变压器”原理,总行对分支机构的控制力层层衰减,管理漏洞比较多。
2、内控制度建设尚不完备。一是没有形成系统的内部控制制度,控制不足与控制分散并存,业务开拓与内控制度建设缺乏同步性,特别是新业务的开展缺乏必要的制度保障,风险较大。二是内控制度的整体性不够。对所属分支机构控制不力,对决策管理层缺乏有效的监督。对业务人员监督得多,而对各级管理人员监督得较少、制约力不强。三是内控制度的权威性不强。审计资源配置效率低下,稽核审计职能和权威性没有充分发挥,内部审计部门没有完全起到查错防漏、控制操作风险的作用。
3、风险管理方法落后,信息技术的运用严重滞后。
4、员工队伍管理不到位。银行管理人员在日常工作中重业务开拓,轻队伍建设;重员工使用,轻员工管理,对员工思想动态掌握不够,加之举报机制不健全,使本来可以超前防范的操作风险不能及时发现和制止。
5、与风险控制有冲突的考核激励政策容易诱导操作风险。
6、社会转型及银行变革容易引发操作风险。当前社会治安形势仍然严峻,针对银行的抢劫、诈骗、盗窃等犯罪时有发生。从银行内部来看,国有银行正在进行股改,伴随机构撤并,也带来了大量富余人员消化问题,并导致各种矛盾的尖锐化。
加强防范操作风险的对策
(一)加大改革力度
1、建立完善的公司法人治理结构。我国商业银行要建立规范的股东大会、董事会、监事会制度,设立独立董事,构建以股东大会-董事会-监事会-行长经营层之间的权力划分和权力制衡有效结构,通过高级管理层权力制衡,抑制“内部人”控制、“道德风险”的发生。
2、按照“机构扁平化、业务垂直化”的要求,推进管理架构和业务流程再造,从根本上解决操作风险的控制问题。
3、改革考核考评办法。正确引导分支机构在调整结构和防范风险的基础上提高经营效益,防止重规模轻效益。要合理确定任务指标,把风险及内控管理纳入考核体系,切实加强和改善银行审慎经营和管理,严防操作风险。不能制定容易引发偏离既定经营目标或违规经营的激励机制。
(二)不断完善内部控制制度
商业银行在坚持过去行之有效的内部控制制度的同时,要把握形势,紧贴业务,不断研究新的操作风险控制点,完善内部控制制度,及时有效地评估并控制可能出现的操作风险,把各种安全隐患消除在萌芽状态。
当前,重点要在以下七个方面完善内部控制制度:一是建立相应的授权体系,实行统一法人管理和法人授权;二是建立必要的职责分离,以及横向与纵向相互监督制约关系的制度;三是明确关键岗位、特殊岗位、不相容岗位及其控制要求;四是对于重要活动应实施连续记录和监督检查;五是对于产品、组织结构、流程、计算机系统的设计过程,应建立有效的控制程序;六是建立信息安全管理体系,对硬件、操作系统和应用程序、数据和操作环境,以及设计、采购、安全和使用实施控制;七是建立并保持应急预案和程序,确保业务持续开展。
(三)全面落实操作风险管理责任制
首先,要通过层层签订防范操作风险责任合同,使风险防范责任目标与员工个人利益直接挂钩,形成各级行一把手负总责,分管领导直接负责,相关部门各司其职、各负其责,一线员工积极参与的大防范工作格局。其次,要真正落实问责制。要明确各级管理者及每位操作人员在防范操作风险中的权力与责任,并进行责任公示。今后银行发生大案,既要有人及时问责,又要深入追查事件责任人。对出现大案、要案,或措施不得力的,要从严追究高管人员和直接责任人的责任,并相应追究检查部门、审计部门及人员对检查发现的问题隐瞒不报、上报虚假情况或检查监督整改不力的责任。
(四)切实改进操作风险管理方法
1、不断摸索,逐步完善操作风险计量方法。虽然目前对操作风险的计量还没有一个十分完善的方法,但是随着商业银行全面风险管理的深入开展,准确计量操作风险并计提准备金是一个必然的发展趋势。
2、加强信息技术应用。在数据大集中的进程中,要加强业务系统操作平台建设,全面查找设计上的漏洞,完善系统软件。
3、建立健全操作风险识别和评估体系。要借鉴国际先进经验并运用现代科技手段,逐步建立覆盖所有业务类别操作风险的监控、评价和预警系统,识别和评估所有当前和未来潜在的操作风险及其性质。
4、建立和完善内部信息交流制度。针对近年来多发的管理人员带头实施违规,强迫命令下属违规操作,形成案件和资金风险的问题,银行要建立和完善员工举报制度,依靠和发动一线员工,鼓励检举违法违规问题,坚决遏制各类案件特别是大案要案的高发势头。
(五)加强人员管理
一是要牢固树立以人为本的经营思想,充分发动和依靠广大员工抓好操作风险管理工作。
二是加强思想政治教育。要深入开展矛盾纠纷和不安定因素排查化解工作,多方面、多层次将矛盾纠纷和不安定因素化解在单位内部和萌芽状态。
三是加强风险意识教育。要坚持不懈地进行安全形势教育、典型案例教育、规章制度教育,提高全行员工安全防范意识和遵纪守法观念。
四是要及时、深入了解重要岗位人员工作、生活情况,掌握思想和行为变化动态,对行为失范的员工要及时进行教育疏导和诫免谈话,情节严重的,要严肃处理。