操作风险的管理篇1
关键词:商业银行操作风险治理架构国际监管
中图分类号:F832文献标识码:a文章编号:1006-1770(2011)08-024-04
编者按:巴塞尔委员会新资本协议ii将操作风险作为一项单独风险纳入第一支柱,中国银监会相应出台了《商业银行操作风险管理指引》和《商业银行操作风险监管资本计量指引》。根据这些标准与指引,中国的商业银行开始探索集中统一的操作风险管理之路。日前,银监会召集部分准备实施新协议的商业银行在广西南宁举行研讨会,就操作风险管理的最新监管动态、日常管理机制、信息系统研发、业务连续性管理和高级计量法实施等议题进行讨论。现选取部分会议成果予以刊发,以供读者参考。
操作风险是一项有银行业务经营活动以来就存在的风险。但是直到2004年的新资本协议,国际监管组织才正式将其视作一项独立风险进行管理和计量。由此,操作风险被列为与信用风险、市场风险并列的三大风险之一,在第一支柱下单独针对其计提监管资本,并针对操作风险管理提出了专门的要求。
但是由于操作风险管理作为独立风险类型加以管理的时间较短,因此其管理和计量即便在发达国家也仍处于起步阶段,新资本协议的虽为操作风险计量提供了规范,但在操作风险管理方面,长期以来只有巴塞尔委员会2003年的《操作风险管理和监管的稳健做法》(简称03版《稳健做法》)。直到2010年10月,巴塞尔委员会公布了研究文件《保险在操作风险建模中的缓释作用》,2010年12月,巴塞尔委员会又了更新后的《稳健做法》征求意见稿,同时了《操作风险高级计量法监管指引》的征求意见稿。2011年6月,巴塞尔委员会经讨论同意这两份文件;2011年7月,新版的《稳健做法》(简称2011年版《稳健做法》)和《操作风险高级计量法监管指引》正式并生效。我们注意到,上述的动态变化是操作风险管理向专业化、精细化方向发展的必然,而对于我国银行业来说,更为具体和精细化的管理要求将有利于推进操作风险管理和监管水平。本文介绍了2010年以来巴塞尔委员会在操作风险管理及监管方面的最新动态,然后分析这些监管动态对我国银行业推进操作风险管理的启示。
一、操作风险管理的治理架构
完善健全的治理架构是实现有效操作风险管理的基础,2011年版的《稳健做法》最主要的亮点即在于强化了操作风险治理架构方面的具体要求,更加明确了不同层级的操作风险管理职责与问责。
(一)操作风险管理的治理架构
首先,《稳健做法》明确要求董事会应对操作风险管理承担最终责任,并应当确保全行操作风险管理制度及其执行的有效性。董事会亦应定期对全行操作风险状况及其管理情况进行核验。另外,新版《稳健做法》还提出,董事会不仅应负责在全行建立良好的操作风险管理文化,还应该负责确定本行操作风险偏好及容忍度的设置。
与之相对应的是,《稳健做法》也要求银行的高管层将董事会制定的操作风险管理框架加以落实,并强调高管层应确保本行负责操作风险管理的专业人员能有效履职。
此外,对于较大规模及业务复杂的银行来说,《稳健做法》还要求其建立专司操作风险管理的风险委员会。操作风险委员会应包含操作风险管理专职人员、业务条线专业人员等,委员会定期召开会议并向董事会风险委员会进行直接报告。
(二)思考与启示
2010年版《稳健做法》厘清了操作风险治理架构的一些具体问题,但是仍然留存了一些模糊地带和争议。如虽然董事会的职责得到了强化,但是一方面对董事会如何履责仍然失之笼统,而另一方面却又对董事会提出了诸如定期核验操作风险管理制度等执行层面的要求,这显然又同高管层的职责产生了交叉。此外,从当前的国际实践来看,操作风险偏好和容忍度的概念仍然模糊,因为操作风险与信用风险及市场风险在风险来源和本质上差异很大,操作风险不仅包含银行内生的风险(如流程、内部欺诈等),也包含了很多外生性的风险,即便其中的内生性操作风险可以进行估量,外生性操作风险则很难界定其风险暴露。因此,如果操作风险暴露难以确定,则设置操作风险容忍度和风险偏好将变得非常困难。2011年版的《稳健做法》也并未在这方面提出明确的操作方案。
不过从总体上看,2011年版《稳健做法》提出的治理架构方面的要求不仅令操作风险管理职责划分更加明确,也为银行建立操作风险管理体系提供了普遍标准。至于如何将已经用于信用风险和市场风险管理的一些理念和做法(如职责分工、专业委员会机制、风险偏好和容忍度设置等)合理有效地用于操作风险管理,我们认为这些都是开拓性和建设性的命题,而且这些问题本身也并无一致性的解答案,《稳健做法》也给予了商业银行实践的弹性,银行在关注这些要素的基础上,宜制定与自身特点相匹配的落实方案。
二、强化操作风险全流程管理
新资本协议将操作风险纳入第一支柱进行管理和计量后,自然也必须建立相应的操作风险全流程管理框架,《稳健做法》再次确认了操作风险管理所包含的识别、评估、监测、报告、控制及缓释的流程,并对流程的各个环节提出了具体的要求。
(一)全流程管理新要求
2003年版《稳健做法》在全流程管理方面仅包含了风险自我评估(RCSa)、关键风险指标(KRi)、风险计量以及风险映射四项内容,而2011年版《稳健做法》还提出操作风险的识别和评估也应包括内部损失数据以及外部损失数据的收集和分析、情景分析以及对不同工具运行结果的综合分析。此外,新业务和新产品上线前除了应评估其蕴含的操作风险外,还应将相应风险因素纳入其定价机制。而在报告机制方面,2011年版《稳健做法》也提出银行应建立常规报告和压力场景报告两种机制,并且必须包含本行操作风险实际情况与制定的风险偏好和容忍度吻合情况等。
(二)分析及启示
我们不难发现,上述新要求其实也有着丰富的内涵,且隐含了巴塞尔委员会在操作风险管理方面的总体思路。
首先,将内部损失数据和外部损失数据收集及分析列为对所有银行的普遍要求,而不仅仅局限在实施高级计量法的银行,这表明巴塞尔委员会再次强调损失数据收集是操作风险评估的核心,也是全流程管理的起点。我们甚至不难推断,提出更严格的损失数据收集要求,表明巴塞尔委员会认为即便对于实施基本指标法和标准法的银行而言,进行更为精细化的损失数据收集也是必须的,也部分矫正了先前的一种观点,即认为损失数据收集和情景分析的目的主要是为实施高级计量法的银行建模所需。事实上,巴塞尔委员会的2011年版的《稳健做法》给出了明确的信号,损失数据收集的作用不仅是用于建模,更应用于收集全行操作风险状况,并且不仅应包含“收集”,更应把落脚点放在“分析”,且应融合内部数据和外部数据,做到“回顾”和“前瞻”相结合,形成对操作风险管理提供参考依据的合力。
其次,对不同工具运行提出综合比较分析的要求表明,巴塞尔委员会明确要求操作风险管理工具之间应当建立良好的互动关系,而这点正是目前操作风险管理实践中所缺乏的。尤其是在我国,一方面前期已经着手建立操作风险管理框架的银行在开发和推广工具方面尚处于起步阶段,对工具运行结果的分析也很不足,更难以建立不同管理工具之间的互动机制,另一方面由于不同管理工具往往在开发、运行和维护上会由不同团队负责,甚至可能会由不同部门主持,因此建立不同工具之间的互动就面临更大的挑战。
第三,要求把操作风险评估加入定价机制表明,巴塞尔委员会将继续推动把操作风险管理与计量结合的实践。尽管操作风险在定义、边界界定、定量等方面还争议较大,但是银行应当建立评估操作风险暴露的机制,并且将操作风险暴露的概念运用于日常管理,一方面对业务条线的经营运营起到规范制约的作用,另一方面也对提高操作风险管理水平起到促进作用。
第四,提出了在压力场景下的报告机制,可以认为是对报告机制的一种完善。结合我国银行业实践,我们可以认为这是对各行已经执行的重大事件报告的一种规范化。因为操作风险事件往往具有突发性、不可预期性和外生性的特点,因此及时对外部压力场景做出反馈,通过报告体系使高管层或董事会知晓,是十分重要的环节。
当然,如果我们仔细斟酌,也容易发现,2011年版《稳健做法》虽然提出了不少新理念和规范,但是在实际操作上仍然缺少具体方法的指导,如对于操作风险的定价仍然囿于多种不确定性而难以准确执行,而操作风险管理工具之间如何建立互相补充完善的机制也不明确。此外,如何定义压力场景的报告、如何将操作风险偏好和容忍度执行纳入操作风险报告等问题,也都需要各方努力研究具体的执行方法。
三、细化的高级计量法要求
(一)《操作风险高级计量法监管指引》的主要内容
由于巴塞尔委员会在制定新资本协议时就隐含了鼓励银行实施更为高级的计量方法的意向,因此不少计量手段较为成熟的银行即着手开发操作风险高级计量法(ama)。随着高级计量法的铺开,出台比新资本协议相关内容更为具体的规范性文件也显得非常迫切,而《操作风险高级计量法监管指引》(以下简称《监管指引》)正是在这样的背景下出台的,主要覆盖了高级计量法的治理架构、数据和建模三个部分。
首先,在治理架构方面,《监管指引》区分了对操作风险计量的验证(validation)以及对操作风险管理框架的核验(verification),即验证应当作为操作风险计量体系的一个有机组成部分,对高级计量法的建模进行验证,而对于包括计量和管理在内的完整的操作风险管理框架,则仍需要由独立团队再次对其进行有效性核验(见下图)。另外,《监管指引》还明确指出,实施高级法的银行应当更加注重通过使用测试(usetest)将计量结果运用于操作风险管理实践,并起到促进操作风险管理水平的作用。
其次,《监管指引》明确了一些数据方面的要求,大致包括:
1.毛损失与净损失的确认:银行可以选择毛损失或净损失进行数据收集,但是应足够审慎,如损失挽回消耗大量时间,则必须用毛损失作为建模依据,且银行在计算净损失时不得先行使用保险缓释进行扣减,银行如使用合格保险缓释,需要建立单独的模型。
2.损失数据收集门槛:银行应明确其收集数据的门槛值,对于门槛值可以是全行统一的,也可以设置不同的门槛值,但是银行必须足够审慎并确保其设置的门槛值能将实质性风险事件均包括在内。同时,鼓励银行根据操作风险形态进行分类,对于同一分类的事件或条线设置相同的门槛值。
3.损失时间点:明确了可供选择的时间点限于发生日、发现日和会计结算日三项,并认为结算日是比较稳健的做法。
第三,在建模方面,对于建模数据来源、分布假设等提出了要求:
1.数据来源。再次确认了高级计量法建模数据来源必须包括内部数据、外部数据、情景分析以及经营环境和内部控制要素这四项要素,其中内部数据是建模的主体,外部数据则是针对肥尾分布的校准,情景分析作为对可重复损失事件的评估,也构成数据来源的重要部分,而经营环境与内部控制要素由于主观性过强,目前尚难以直接植入模型。
2.精细化程度(granularity)。实施高级法的银行应根据操作风险形态进行归类,并用于情景分析等场合。
3.分布假设。由于建立合适的分布是高级计量法的核心,因此银行应确保选取了合适的损失频度及严重程度的分布假设,并应保证进入内部损失数据库的数据均已包含在建模数据中,同时银行可以针对分布的不同部分采用不同的假设,但是银行应建立完整的数据清洗、模型选取、拟合等环节的文档记录。
(二)分析与启示
我们认为,一方面高级计量法尚处于起步阶段,另一方面高级计量法本身亦允许了较大的操作弹性。《监管指引》虽然在治理、数据和建模三方面提出了一些规范,但是实践中仍然有大量的弹性空间。从一些发达国家银行实施高级计量法的经验看,内部数据、外部数据和情景分析在模型中的比重差异非常大。事实上,某些银行的建模较大依赖了情景分析,而并非如很多人认为来自于内部损失数据,这可能因为各国银行经营和管理模式的差异,也可能因为不同银行数据基础和质量的差异。而《监管指引》在多个部分亦强调,巴塞尔委员会将在持续收集数据和调研的基础上,在合适的范围内对可以确定的良好实践予以明确。
四、第一支柱与第二支柱统筹
除了公开征求意见并提交高层讨论的2011年版《稳健做法》和《监管指引》外,巴塞尔委员会还对操作风险管理和计量实践的一些问题进行了研究,其中比较重要的一项工作是在第二支柱框架下评估操作风险监管资本充足情况。
事实上,虽然新资本协议将操作风险纳入了第一支柱,但是由于操作风险计量的不确定性,新资本协议也指出,监管当局将在第二支柱框架下评估银行操作风险监管资本的充足情况,并且可以对操作风险资本不足的银行提出附加资本要求。本轮金融危机后,各国监管当局和巴塞尔委员会都发现银行实际操作风险暴露可能远远大于实际计提资本的数量,而基本指标法和标准法由于风险敏感度较低,对实际损失覆盖的有效性也需要评估,可是在实践中,一方面监管当局并无明确提出在第二支柱下如何评估未覆盖的操作风险暴露,银行在亦没有在第二支柱下对操作风险暴露的覆盖情况进行评估。但是与之对应的是,由于操作风险与内控和合规管理不可分割的关系,不少监管当局和银行内部都制定过一些对内控及合规执行情况进行评估的规章,但是这些零散的文件却并未纳入操作风险管理和监管体系。正是在这样的背景下,巴塞尔委员会亦打算研究在第二支柱下开展操作风险资本充足情况的良好实践。
反观我国的银行业实践,虽然新资本协议启动时间不长,但是操作风险管理却是一直存在的,尽管其表现形式主要是内控合规管理,而监管当局的注意力也多集中在案件防控等领域。我们认为,我国的一些实践做法在原则上是符合巴塞尔委员会的研究动向的,但是我国监管和管理实践可能存在规章零散、缺乏统筹等问题。例如,我国的商业银行在传统上都非常重视对内部欺诈等重大操作风险损失事件的监控,无论是银行内控部门、风险部门还是监管部门都先后出台过多种规章进行约束,其中也包括将重大损失事件数与损失金额与经济资本计量和分配挂钩的做法,这无疑是一种在第二支柱下探索操作风险管理的积极尝试,也可以对国际监管和管理提供积极的反馈,但是我们在实践中,也有必要梳理整合现有规章,评估实践中的优缺点,思考如何建立较为统一的第二支柱框架。同时我们也应该注意到,就操作风险管理而言,第一支柱确立了原则性的规范体系,第二支柱只是对其的补充和调整,不能将第二支柱的作用无限扩大,更不能给予操作风险资本计量和分配以无限的自由裁量权,同时也必须将第一支柱和第二支柱进行统筹考虑,既要在第二支柱下考量第一支柱未覆盖的风险,也要避免因出现在两大支柱下重复计量而造成银行不合理负担的情况。
操作风险的管理篇2
农村中小金融机构柜面业务操作风险管理现状
(一)农村中小金融机构柜面业务操作风险特点1.目前国内农村中小金融机构操作风险发生范围广。农商(合)行存贷款、银行卡、财务管理等所涉及到的所有业务流程都可能发生操作风险,无论是经济发达地区还是经济欠发达地区的城市、乡镇都有可能发生操作风险。2.农村中小金融机构操作风险表现形式多样。(1)内部欺诈风险。员工因放弃职业道德,违背相关法律法规,以满足自己的需要而造成的风险。尤其是一些“要害岗位”人员利用职务之便成为其作案的主要方式。(2)外部欺诈风险。员工在办理业务的过程中被客户用欺诈的手段利用,给银行带来潜在的风险。主要表现为外部人员诈骗、黑客侵入计算机等形式造成的损失。(二)农村中小金融机构柜面业务操作风险存在的主要问题1.操作风险管理组织架构不完善。尽管许多农村中小金融机构初步建立了形式上健全的法人治理结构,但是实际工作中“三会一层”及相关委员会只是形式上存在,没有很好发挥其在风险管理中的作用。2.内控机制不健全,风险管理方式效果差。从国内农村中小金融机构发生的案件涉及的操作风险分析,内控制度不完善,是大量违规经营和操作风险积聚的直接原因。目前存在部分农村中小金融机构内控管理混乱,在发生案件风险的情况下,往往只是处理案件当事人,那些负有管理和监督责任的人员一般不会受到处罚,从而造成内控体系的有效性差,在某种程度上积聚了风险。3.风险管理手段和技术落后。国内农村中小金融机构操作风险管理技术还比较落后,过分依靠内部审计而忽略外部审计。操作风险的识别还不够全面和准确,风险评估计量的手段落后。4.人员构成不合理,风险管理人才匮乏。人员素质是操作风险管理的关键,我国农村中小金融机构的风险管理人员在业务素质要求方面还达不到进行全面风险管理的需要,为操作风险埋下隐患。
构建农村中小金融机构柜面业务操作风险管理体系的对策
(一)构建有效的操作风险组织体系由于农村中小金融机构组织结构是“一级法人”下的总行—基层营业机构管理体系,由董事会及高级管理层承担最终管理责任的操作风险防御体系,以及内部审计部门的独立性尚未真正发挥作用的客观情况,决定了我国商业银行操作风险管理应该是总部集中管理模式。在这种管理体制下,农村中小金融机构的操作风险防御体系可以划分为六层:第一层:基层层面。银行金融机构基层组织是银行经营活动的前沿,对操作风险的生成和管理负有主要责任。第二层:起支持作用的部门,是业务部门开展经营活动的支撑,对操作风险发挥着重要的事前防范作用。第三层:风险管理部门。包括总行和分支机构在内的风险管理部门,负责对操作风险的政策及管理流程加以贯彻落实。第四层:内外部审计。主要侧重于对操作风险管理体系、管理政策、组织结构以及政策与制度的执行情况进行审计。第五层:董事会。在“一级法人”管理体系下,董事会对操作风险管理承担最终责任。董事会要确保本行的操作风险管理系统受到内审部门全面、有效的监督。内审部门不应直接负责操作风险的管理。第六层:监管者和股东及其他利益相关者。两者分别通过监管制度、监管要求和市场约束对商业银行的操作风险管理状况加以关注和制约。(二)加强内控制度建设1.制定个人柜面业务操作风险管理制度手册。组织人员从现有的柜面业务风险点着手,制定涵盖相应全部现行的业务流程,风险点等的个人柜面业务操作风险管理制度手册。员工能根据手册速查,了解某项业务的具体办理方法、依据,以及发生某种操作风险后,应该如何处理和向上汇报。2.制定新型的柜员管理制度。新型的银行柜员制度是指建立在前台操作系统基础上,覆盖全部业务流程和风险点的柜员管理制度。3.深化流程整合,提升服务质量。组织人员根据最新制度要求,对业务处理手续进行规范,在防范风险的前提下,最大限度的简化前台操作。(三)建立完整的操作风险内部管理体系1.转变管理理念,将零售业务管理从规范化等级管理向风险等级管理转变。按年对分(支)行和零售网点进行风险评级,按行、按点建立风险控制档案,将全部零售网点按照风险等级,进行差别化管理,对分(支)行零售业务风险管理情况进行综合排名。2.建立风险档案管理体系。将重点建立对基层营业机构的操作风险档案,并对基层营业机构的操作风险档案进行综合管理,分析运用风险档案,积极对风险档案进行汇总和分析,定期对检查出的问题进行深入细致研究分类和分析。3.建立操作风险损失事件数据库,设置专门的损失事件岗。建立风险损失数据可以为管理者提供有力的模型化实证分析,将提高管理者在内控过程中制定管理政策的有效性。4.建立对柜面业务操作风险状况的分析、报告、持续改进及风险提示机制。基层营业机构应及时上报辖内的操作风险管理风险分析报告,总行积极对风险档案、业务检查情况等相关资料,进行汇总和分析,及时向网点下发风险提示,提示风险点及其防范措施。(四)建立完善以柜员考评为基础的激励约束机制建立科学的风险津贴与业绩相结合的绩效考核机制,合理分配员工薪酬,按业务的复杂度和贡献度设定权重,计算柜员的业绩积分,对柜员的业绩进行全面考核。通过考核以岗定酬、升岗升区,充分调动柜员工作积极性,有效利用资源,提升网点综合竞争力。(五)加强前台核心业务系统的升级管理和运行维护管理系统中存在的任何问题都可能导致农村中小金融机构不可估量的损失。因此,系统的安全性、稳定性和完备性直接决定了系统运行过程中发生系统中断、出错乃至遭到非法侵入等而导致操作风险事件的概率。加大系统的科技投入,加强系统开发和升级以及后续的运行维护管理能使之能更有效的防范操作风险的发生。(六)构建良好的操作风险文化加强操作风险制度文化建设是当前的风险文化的重点。我国农村金融机构操作风险文化建设刚刚起步,培育操作风险文化是一项长期的目标。操作风险制度文化建设是指银行对经营过程中可能出现的各种风险进行预防和控制的一整套制度安排。
本文作者:李平工作单位:商丘华商农村商业银行
操作风险的管理篇3
摘要社会经济的大幅度进步依赖于不同程度上的投资,从客观的角度来说,很多的地区为了让本地的经济有一个良好的发展,在金融投资方面进行了很大程度上的努力。很多人认为金融投资仅限于炒股、基金、期货一类的虚拟经济,其实不然,金融投资要想得到一个较大的经济效益,必须有效的控制风险,这样才能得到一个较大的成就。以目前的情况而言,金融投资的风险管理需要通过内部因素和外部因素两个方面进行管理,只有这样才能将利益最大化。
关键词金融投资风险
在金融投资当中,操作风险的管理是最主要的一个环节,从各个层面来说,操作风险管理需要结合实际的情况、具体的操作环节、国家的政策以及城市的经济发展情况,这样才能得到一个较好的结果。我国在金融投资操作管理方面已经进行了很大程度上的努力,而且时间也不短。阶段性的成果已经对现有的一些风险进行了有效的控制。为了在将来的发展中,将操作风险最小化,将利益最大化,需要从各个不同的角度出发,避免一切可能发生的操作风险。本文就金融投资的操作风险管理进行一定的讨论。
一、操作风险的含义
对于金融投资的操作风险而言,现阶段并没有一个明确的定义,无论是在理论上还是在实践中,都没有得到确切的结果。对于操作风险的含义而言,我们需要结合每个地区的具体发展情况来定义,比方说在青岛地区。青岛属于我国的重点二线城市,在任何一个行业的发展中,都展现出了非常好的前景,从客观的角度来说,在金融投资操作风险管理方面,做到了较为标准的效果。这有很大一部分的功劳要归功于青岛地区在定义操作风险的过程中,有效的结合了本地的实际发展情况,比方说青岛地区的综合经济实力持续提高;科技创新能力不断增强;居民生活水平再上新台阶;社会事业全面发展等,这些都为金融投资降低了操作风险,在客观方面增加了利益的提升点。
二、操作风险的辨识
(一)人为因素
在现阶段的发展中,金融投资的操作风险管理难点之一就是操作风险的辨识。在辨识工作方面,首要的辨识因素就是人为因素,我国很多的地区之所以发生了一些重大的金融投资恶性案件,主要原因之一就在于人为因素。从主观方面来分析,无论是人性的贪婪,还是一时的诱惑,亦或是在具体的操作中的失误,都会造成客观上的操作风险。在将来的工作中,我们必须将人为因素的操作风险管理放在首位,这样才能将损失的部分降到最低。
(二)技术风险
技术风险可能来自于维持现有it基础设施和应用软件合同直到完成计划的外部采购或全部it设备,或因跟不上技术革新的依赖步伐而面临技术风险。对于技术风险来说,是现阶段难以攻破的一个重要难题,技术难题显得非常客观化。无论是具体的操作系统还是设备,都会对金融投资产生很大的风险。为了有效的降低技术风险,青岛地区在十二五规划的内容中,明确了要加强科技创新能力,具体措施为:引导和支持资金、技术和人才等创新要素向企业集聚,加快建立以企业为主体、市场为导向、产学研相结合的技术创新体系。探索建立产学研(产学研:即企业和学校、科研单位之间的合作机制)合作新机制,鼓励引导企业、高等院校、科研院所联合开展技术合作、项目攻关,每年组织实施“产学研”项目10个以上。鼓励引进科研院所与重点实验室。支持企业建立技术研发中心、博士后工作站、专家工作站等,提升企业科技创新能力。由此可见,技术风险对于金融投资的操作风险来说,是非常严重的一种存在,必须在将来的发展中,通过加强科技力量来有效的降低风险,这样才能保证城市在发展的过程中,将利益最大化。
三、操作风险的控制与管理
(一)操作风险的控制
对于金融投资的操作风险而言,要将风险控制在一个较小的范围之内,之后才能进行有效的管理。可以说,操作风险的控制是管理的基础性工作。在操作风险的控制工作中,青岛市达到了相关的标准,这个城市并没有采用传统的方式进行控制,而是通过对各种产业和发展进行有效的布局,从而让操作风险自然而然的被控制在某个范围之内。比方说青岛市在发展的过程中,有效的进行了城市的发展布局,首先是加快扩展城市核心区;其次规划建设“两横三纵”的城市发展轴;第三个措施就是突出抓好居住组团建设。如此一来,城市的发展布局就被有效的限定,一些不良的风险因素就自然而然的消失了。另外,在产业发展布局方面,青岛市还全力打造国际空港商务区;同时加快了加快建设先进制造业聚集区;在此基础上,还积极建设中央休闲区。通过这些有效的布局,将城市各个方向的发展进行有效的规划,而金融投资操作风险管理也会伴随着城市的布局发生一定的改变,从青岛市的发展来看,经过有效的布局,金融投资的操作风险被控制在了一个较小范围之内。
(二)操作风险的管理
金融投资对于城市的发展而言,势必会带来一定的经济效益和社会效益,但由于金融投资涉及到的资金量较大,对居民的生活和工作影响也很大,因此必须慎重的进行,尤其是在操作风险的管理方面。很多的地区都将操作风险管理当作首要的工作进行。本文认为,现阶段的发展要规范业务的流程,这样就可以将一些漏洞和隐患及时清除,避免其发展成为较大的风险,其次要对操作的专业知识进行强化,保证操作人员的操作手法或者方式符合城市的发展要求,同时在不亏损的程度上,尽量获得较大的利润。值得注意的是,负增长的情况一定要避免,否则将会引起很大的波动。
总结:本文对金融投资的操作风险管理进行了一定的讨论,同时以青岛市的情况为例,将具体的情况引入实际的工作中,通过青岛市的成绩来看,我国在操作风险管理方面的工作还是比较到位的,而且很多的问题都得到了有效的克服,将风险良好的控制在一个较小范围之内。
参考文献:
[1]田玲,黄斌.保险在商业银行操作风险管理中的应用.科技进步与对策.2003(16).
操作风险的管理篇4
关键词:商业银行风险管理操作风险信息科技风险
中图分类号:F830.33文献标识码:a文章编号:1006-1770(2010)09-032-05
一、引言
随着信息技术与现代商业银行业务的深度融合,银行对信息技术和信息系统的依赖日益增强。信息科技已成为商业银行日常运营的操作平台、管理决策的重要支持、以及业务创新的基础工具。同时,与之相关的信息科技风险也渗透到了银行经营和决策的各个方面,信息科技风险管理不仅维系着商业银行的持续安全运营,而且也成为银行价值创造的重要支柱,因而信息科技风险成为现代商业银行风险管理不可或缺的重要内容。
商业银行传统的信息安全管理,更多是从信息技术开发和管理的本身出发,建立相应的技术标准而进行的,这些标准适用于信息技术部门内部的信息安全管理,也是信息科技风险管理的重要基础。但信息安全管理的本质是风险管理,现代商业银行构建全面风险管理体系,也需要借助操作风险管理框架和工具对信息科技风险进行有效管理。
我国主要商业银行正在积极实施《巴塞尔新资本协议》,这需要对包括操作风险在内的三大风险建立全面风险管理体系,而信息科技风险作为操作风险的重要表现形式之一,也成为银行风险管理的一个新的焦点。因此,本文试图在操作风险管理视角下探讨信息科技风险的识别、计量、监测和控制等流程和方法,以提高商业银行对信息科技的应用水平和对信息科技风险的管理效率,增强银行全面风险管理能力。
二、信息科技风险与操作风险管理框架
商业银行信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术应用水平,增强核心竞争力和可持续发展能力。
操作风险是《巴塞尔新资本协议》在信用风险和市场风险之外,所强调的商业银行面临的另一种重要风险类型,是指“由不完善或者有问题的内部程序、人员及系统或外部事件所造成损失的风险(表1)。”策略风险和声誉风险不包含在此定义中。我国银监会也基本沿用了这一定义。
可见操作风险这一定义的内涵包括由信息科技系统所产生的信息科技风险。因而商业银行在落实《巴塞尔新资本协议》、实施全面风险管理的过程中,需将信息科技风险作为操作风险的重要内容统一进行管理;对信息科技风险的管理,可以借用操作风险的管理框架和工具。
从风险管理的流程来看,一个完整的操作风险管理(operationalRiskmanagement,oRm)框架首先要确定执行和负责操作风险管理的组织机构,然后依据操作风险识别、风险计量、风险监测和风险控制的流程进行,形成一个循环往复、不断提升的风险管理过程。这一过程可用如下的操作风险管理“转轮”来表示(图1)。这一框架能提供一个对操作风险管理的完整流程,并允许银行在事先管理操作风险,而不论风险是否存在于业务过程、人员、信息科技系统或是外部事件中。
操作风险管理框架中的每一阶段都有不同的任务,理论界和实务界也都分别提出相应的工具和方法。下文尝试将操作风险的管理框架应用于商业银行信息科技风险管理,从而使信息科技风险管理成为银行全面风险管理的有机组成部分。
三、oRm框架下的信息科技风险管理
(一)信息科技风险管理的组织建设――信息科技治理
根据银监会的要求,it治理的目标是在良好的公司治理的基础上,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。从银行内部来看,it治理是公司治理的重要组成部分,包括与信息科技相关的领导关系、组织结构和工作流程等,其目的是保障信息科技与业务发展战略目标相一致。
信息科技治理是良好信息科技风险管理的基石,商业银行需要在公司治理基础上建立自上而下的信息科技治理结构。具体地,商业银行的董事会、高管层要对本行信息科技风险最终负责;董事会下的风险管理委员会可专设信息科技风险管理分委员会,由高级管理层、信息科技部门和主要业务部门代表组成;设立首席信息官(Cio),负责信息科技相关的重大决策,向上直接向行长和董事会报告信息科技运行和管理情况,向下统一领导信息科技板块各个部门,布置信息科技风险管理措施的实施;同时,风险管理部、尤其是操作风险管理部,也应把信息科技风险作为操作风险管理的一个特殊而重要的类型进行统一管理。此外,内部审计部门负责对信息科技风险管理的合规性和有效性进行审核(图2)。
在这样的信息科技治理结构之上,商业银行可将信息科技风险纳入总体风险管理框架,针对信息科技风险分布广泛、专业性强等特点,可以构建由信息科技业务经营部门、信息科技条线管理部门、风险管理部门和内部审计部门构成的“四道防线”,实现对信息科技风险的有效防范和管理。
(二)信息科技风险的识别方法
信息科技风险识别是指风险管理者通过一定的方法和手段,按照信息科技风险的来源范围和表现形式,鉴别信息系统开发和运行过程中一切可能导致信息科技风险的因素和产生风险的环节点的过程。信息科技风险识别方法可借用操作风险的识别工具。
1.风险与控制自评估法
信息科技风险的风险与控制自评估法(RCSa),是指银行it风险管理部门对本行信息系统开发、信息数据管理、系统运行与维护等it条线业务进行流程分析,识别并评估其中隐含的风险点,并对业务流程现有的控制措施的合理性和有效性进行评价的过程。
RCSa从梳理it条线的主流程及其包含的子流程入手,针对这些流程设计RCSa问卷。这一问卷包含了每一流程步骤涉及的风险类型、相应的控制类型等内容,需要评分人对现有的控制设计和有效性进行评估,对风险导致的固有风险暴露、以及采取控制措施之后的剩余风险进行评分。最后要根据RCSa的结果决定是否采取对特定风险的控制行动。
2.风险地图法
风险地图(Riskmapping)能够显示特定风险事件的风险暴露分布状况,将风险暴露与银行或业务部门的风险容忍度连接起来,根据特定风险在风险地图中的落点可决定对风险是否采取适当的控制措施。
风险地图是一个严重性-可能性矩阵。根据特定风险可能导致损失的严重程度及损失发生的可能性,可以共同确定风险暴露及其在风险地图的落点。风险地图不同区域所代表了不同风险容忍度,风险的不同落点有不同的涵义(图3)。
a.绿色区域:表示风险处于安全区域,不需采取控制措施降低风险暴露。
B.黄色区域:表示风险在加强监控的区域,应对风险进行关注和加强监控,但还不需采取具体控制措施。
C.橙色区域:表示风险在警戒范围内,风险管理部门应立即采取控制措施,将风险暴露降低到安全区域之内。
D.红色区域:表示风险已不可容忍,除了应立即采取措施降低风险暴露至安全范围内,还应该对风险暴露过高的原因进行追溯和问责。
需要说明的是,不同银行、不同业务条线的风险容忍度不同,因而风险地图的具体风险轮廓各异。即使同样的风险暴露在不同部门的风险地图上所处的区域可能都不一样,严重程度也不一样。对具体的信息科技风险管理者而言,要根据本行信息科技业务特点和自己的风险偏好,确定以上四个区域的临界值。
3.关键风险指标(KRi)
KRi是可用于表示商业银行信息科技风险状况的定量指标。通过指标的定期监控,可以对信息科技风险变化有代表性的某些方面进行跟踪和预警,并根据指标所处的区域决定是否采取控制措施。
关键风险指标应能代表信息科技领域最主要的风险指标,容易度量并能反映信息科技风险的暴露水平或者控制状态。商业银行首先需要明确各项与信息科技相关的关键风险指标,对每一指标设定相应门槛值。银行通过对所有KRi的动态跟踪,在超过门槛值时采取必要的控制措施,从而及时降低风险暴露程度,使基于KRi的风险控制行动能防止重大损失事件的发生。
与信息科技风险相关的KRi可根据信息科技业务的风险表现和分布特点而设定,具体指标可能包括:系统故障频率、系统中断次数、系统中断持续时间、系统交易失败比例、it人员离职率、it风险事件总数等。
4.损失数据收集(LDC)
首先要根据信息科技风险的分布特点,确定损失数据的收集范围、起点金额以及统一的损失数据内容(具体表现为损失数据库的字段格式)。
关于收集范围,巴塞尔新资本协议对操作风险的损失事件形态分为7个类型,其中与信息科技风险损失事件有关的整理如表2。银监会《商业银行操作风险管理指引》中规定应收集并报告的重大操作风险事件中,就包括“造成涉及两个或以上省(自治区、直辖市)范围内中断业务3小时以上,在涉及一个省(自治区、直辖市)范围内中断业务6小时以上”的系统业务中断事件等等。
损失起点金额要根据it风险损失的分布特征和银行的风险容忍度而定。而损失数据内容则包括损失事件产生原因、发生时间、所在部门、损失金额、控制措施及有效性等。损失数据要按统一字段格式及时录入操作损失数据库。巴塞尔新资本要求采用高级计量法(ama)的银行需要至少三年的历史损失数据积累。
(三)信息科技风险度量方法
操作风险度量方法包括基本指标法(Bia),标准法(Sa),以及高级度量法(ama),后者包括内部度量法、损失分布法和极值法等。目前我国商业银行对操作风险计量在实践中采用标准法。
但标准法设定的8个业务线,并未将信息科技业务条线专门列出,因而不能充分体现对信息科技风险的资本要求。事实上,信息科技风险不仅存在于商业银行信息科技业务条线,同时也广泛分布于其他业务条线之中。因而,在标准法的基础上,我们提出将信息科技风险按照所存在的业务部门分为两部分,分别进行风险计量和资本计提。
第一部分是存在于8大业务线内部的信息科技风险,在根据标准法对8大业务类型的操作风险计量时,已经包含了其中涉及到信息系统操作、运行等相关的信息科技风险。第二部分是信息科技条线的业务平台上涉及到的信息科技风险,主要包括信息系统开发、信息系统运行维护、数据中心建设和管理、软件外包、业务连续性经营等方面的风险。
具体计量时,第一部分已经涵盖在各个业务线的操作风险中;第二部分则由于信息科技业务并不直接产生收入盈利,可根据前三年信息科技投入的平均值,按其一定比例计算信息科技风险的资本要求。
其中ii表示此前第i年信息科技投入的金额,βit表示根据信息科技业务风险特征所确定的资本计提比例,Kit表示信息科技风险的资本要求,与其他业务的资本要求相加得到全行总的操作风险资本要求。
(四)信息科技风险监测与报告
风险管理是一个持续提升的过程,因而信息科技风险也需要定期持续的监测,以掌握风险发展的动态。监测一方面可以结合信息安全管理和内控措施,发现信息科技业务中存在的风险点及严重程度;另一方面也可以通过对之前设定的KRi的定期检查,判断风险是否在可容忍的范围之内。
对风险监测的结果和风险控制的现状,需要定期撰写风险报告,并逐级向上级风险管理部门汇总,最后由总行风险管理部向高管层和董事会定期提交风险报告。如总行操作风险部可以逐月汇总来自信息安全管理部和所有分行有关操作风险报告,其中包含信息科技风险的相关内容,然后逐季向高管层和董事会提交全行的风险报告。当遇到重大信息科技风险事件时,应随时上交风险报告。
风险报告是支持全面风险管理决策的重要依据,信息科技风险报告内容应包含在操作风险报告之中,其内容应涵盖报告期内:面临的或潜在的信息科技风险类型,已发生的信息科技风险事件,风险事件原因和过程,风险导致的损失,风险控制/缓释措施及其有效性,对风险事件的总结等。
(五)信息科技风险控制措施
由于信息科技风险自身的技术特点,对其有效控制的基础是在信息科技部门的开发、服务、运营等具体业务流程中实施先进的信息安全管理标准,如iSo20000it服务管理国际标准、iSo27001信息安全管理制度标准等。从信息科技风险整体的控制方面,可以实施以下几项措施。
1.完善内部控制机制。为实现信息科技风险的有效控制,商业银行需要建立并完善与信息科技风险相关业务的内部控制机制,确定信息科技相关业务和信息系统应用中不同职位的人员在信息科技风险管理中的分工和责任。这包括不同系统在物理上和技术上的隔离、规范业务操作流程、确定并执行严格的权限范围、建立业务流程之间相互平衡的制约机制等。
2.信息系统审计(iSaudit)。指收集并评价证据,以判断一个信息系统能否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源的过程。商业银行内部或外部的信息系统审计部门,可通过一般控制和应用控制等审计方法对全行范围内的信息系统生命周期内的资产保护、数据完整、资源经济有效利用以及完成组织目标的情况进行综合评价。从而总体把握商业银行信息系统的风险状况,并向商业银行风险管理部门和信息科技部门提出咨询意见。
3.业务连续性管理(BCm)。BCm的目的是通过有效的管理,使在各种意外情况发生时,银行信息系统和相关业务都能始终不间断运营;或者退一步,BCm使意外冲击对信息系统正常运行或业务连续经营的影响降至最小。影响信息科技基础设施(如银行的数据中心或业务处理中心)连续运营的主要因素有,黑客攻击、电脑病毒、软件错误、人为失误、硬件故障、自然灾难等。
有效的BCm是针对以上影响因素严重程度制订的一整套管理方法。如首先是要建立信息系统应急机制和紧急变更预案,从制度上保证出现业务中断时的行动路线。其次加强重要数据的灾难备份。目前我国大部分大中型商业银行都已经成立了灾备中心,进行核心数据的同城镜像和异地灾备。此外还需要对业务处理系统进行切换演练,通过定期进行切换演练,对可能面对的不同冲击进行情景分析和压力测试,降低突发事件威胁,提高应急处理能力。
4.通过保险和外包来缓释和转移风险。由于发生概率较低但损失程度较大的信息科技风险是难以预测、量化及分配资本的,因此对信息科技风险的缓释和转移,可大大降低银行相关风险暴露程度。
使用保险作为操作风险的重要缓释工具有很大的必要性。商业银行与保险公司可以根据主要信息科技风险的损失分布特征,共同开发适当的保险产品以此对商业银行面临的信息科技风险进行缓释。同时软件开发等的外包,即可利用外部专业资源,又可转移商业银行自身承担的失败风险。但也需注意要通过签署权责明确的事前协议,来规避外包过程中的潜在风险。
综上,信息科技风险管理可利用操作风险管理的框架,但信息科技风险的组织结构、识别、计量、报告和控制等都有其具体的方法和工具。这一框架可以表示为如下图4,其中左半部分表示了操作风险管理的框架,右边虚线内是信息科技风险管理的具体内容。
四、结论和建议
本文在操作风险视角下研究了信息科技风险的管理流程和具体措施。研究发现,首先,商业银行的信息科技风险是操作风险的重要表现形式之一,因而有必要利用操作风险管理框架对其进行管理。其次,操作风险管理的流程和工具,可为信息科技风险的识别、计量、监测和控制提供规范化的参考依据。另外,值得注意的是,信息科技风险有其具体的表现形式和技术特点,对信息科技风险的评估、监测和控制等具体措施等有明显的技术特点,因而信息技术部门内部的信息安全管理是信息科技风险管理必不可少的重要基础。
研究建议,商业银行应在信息技术部门内部的信息安全管理的基础上,通过在信息技术条线推行操作风险管理,利用操作风险的规范流程和科学方法对信息科技风险进行有效管理。这不仅有利于落实《新巴塞尔资本协议》的监管要求,也有助于提升我国商业银行全面风险管理体系的建设水平。
注:
本文得到中国博士后科学基金第四十七批面上资助,项目名称《商业银行信息科技风险管理研究――基于操作风险管理框架》(资助编号20100470108)。特此感谢,当然文责自负。
操作风险的管理篇5
中图分类号:tU247.1
文献标识码:a
随着金融技术和金融业务的不断创新和全球银行市场的不断发展,全世界范围内银行的规模不断膨胀,交易金额的迅速放大,经营复杂程度的急剧提高,银行活动及其操作风险特征越来越复杂多变,操作风险已经成为全球银行业风险管理的重要领域。由巴塞尔银行监管委员会于2004年6月的《巴塞尔新资本协议》,更是继信用风险、市场风险之后,对银行的操作风险提出了资本要求。
一、《巴塞尔新资本协议》
(一)商业银行操作风险的概念、特点和分类。2004年6月公布的《巴塞尔新资本协议》将操作风险定义为:操作风险是指由于不完善或有问题的内部程序、人员、以及系统或外部事件所造成损失的风险。此定义兼顾了操作风险的内涵和量化操作风险的可能性。可以说,《巴塞尔新资本协议》中对操作风险的定义将会普遍被各金融机构所认可,成为度量和管理操作风险的统一标准。商业银行的操作风险是与信用风险、市场风险截然不同的一种风险,与信用风险和市场风险相比较,有其明显的特点:一是风险因素在于银行的业务操作中;二是操作风险是一种纯粹风险;三是操作风险具有内生性;四是从覆盖范围看,操作风险管理实际上几乎覆盖了银行经营管理的所有方面。
(二)商业银行操作风险管理。首先,银行应该识别和评估所有重要产品、活动、程序和系统中固有的操作风险,确保在引进或采取新的产品、活动、程序和系统之前,对其中固有的操作风险已经进行了足够的评估步骤。其次,银行应制定一套程序来定期监测操作风险状况和重大损失风险。对积极支持操作风险管理的高级管理层和董事会,定期报告有关信息。再次,银行应制定控制或缓释重大操作风险的政策、程序和步骤。定期检查其风险限度和制战略,并且根据其全面的风险喜好和状况,通过使用合适的战略,相应地调整其操作风险状况。最后,银行要制定应急和连续营业方案,以确保在严重的业务中断事件中连续经营并控制损失。
二、我国商业银行操作风险管理
在借鉴巴塞尔新资本协议操作风险管理框架后,中国的商业银行要建立适合自身发展的操作风险管理框架。
(一)建立操作风险预警体系:1,操作风险的识别。有效的预警体系能够保证对银行各项操作风险做到及时的识别和正确的评估。操作风险的种类和程度会随着银行业务活动和外部环境的变化而变化,因此操作风险的识别和评估不仅要全面反映操作风险的性质和程度,更要反映操作风险的变化。2,操作风险的度量。操作风险度量是操作风险管理的核心。银行应选择适合自身的度量方法,通过建立度量模型和损失估计,对操作风险的大小和影响进行定量分析,当条件成熟时就采用更高级的度量方法。3,操作风险处理。综合考虑银行面临的操作风险性质、大小,银行的经营目标、风险承受能力、风险管理能力和核心竞争能力等因素,选择恰当的风险管理工具和策略,对面临的操作风险进行处理,包括风险回避、风险转移、风险保留、风险缓释、风险防范与风险控制等。4,操作风险管理的实施。为保证操作风险管理策略、方法和过程的贯彻执行,银行须对董事会、执行委员会、各职能部门等组织系统的功能进行科学设置、授权和监督,从而使操作风险的监测程序保持正常、有效运转。5,管理监督和控制文化。一个有效的预警体系包括董事会、高级经理层以及各级经理和员工在内,使银行面临的操作风险得到每个人的充分认识和重视,从而把操作风险管理体系纳入银行的整体文化之中,使之成为银行合法、稳健经营、长远发展的银行文化的基本因素。6,风险激励和考核。银行应该在操作风险调整的绩效测量基础之上,充分考虑风险因素和风险管理战略的执行效果,将激励机制的目标与风险调整回报、绩效的绝对指标以及变化情况相结合。
操作风险的管理篇6
摘要:人员因素是致使商业银行发生操作风险的重要原因。国内外发生的一系列重大商业银行操作风险事件中有很大一部分是由人员因素造成的。本文以法国兴业银行事件为例尝试从操作风险的人为性入手,通过对人员因素进行分析进而提出完善法国兴业银行操作风险管理的建议。
关键词:商业银行;操作风险;人员因素
近年来,国内外银行因未能妥善管理操作风险而遭受重大损失的事件迭出不穷,诸如2008年震荡欧洲金融的法国兴业银行欺诈案等。随着这一系列由操作风险所导致的金融案件的相继暴露,操作风险作为一种古老的风险引起了人们的注意和重视,不论是学术界还是金融界再次兴起了研究操作风险的热潮。
一、商业银行操作风险理论概述
1.操作风险的定义及分类
操作风险在商业银行产生和发展过程中始终如影随形。尽管操作风险很早就被提出来了,但直到20世纪90年代才成为学术界讨论的热点。对于操作风险的界定,目前还没有统一的观念与认识。巴塞尔委员会于2004年给出了操作风险的定义,即由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。该定义包括法律风险,但不包括策略风险和声誉风险。巴塞尔委员会给出的操作风险的定义是从银行监管者的角度来界定的,对银行经营上有警示作用,但并不能完全满足各个商业银行进行实际的操作风险管理活动,因而各国商业银行大多以此为基础,纷纷制定适合自身环境的定义。
《巴塞尔新资本协议》按风险成因划分将操作风险划分七类,包括内部欺诈,外部欺诈,就业政策和工作场所安全,客户、产品及业务活动,实物资产损坏,业务中断和系统失败,执行、交割及流程管理。在这七类操作风险类型中就有六类与银行内部人员相关,是由于有意或无意的人为操作失误所造成。
2.操作风险的特征
市场风险、信用风险以及操作风险是目前商业银行面临的最主要的风险。操作风险主要有以下特征:第一,显著的内生性。操作风险始终存在并内在于各个业务操作之中,只能防范却不能消除,表现为可控的内生性风险。而信用风险和市场风险则主要是由外部因素引发的,具有外生性特点。第二,广泛覆盖性。市场风险和信用风险仅涵盖于商业银行部分业务环节之内,而操作风险却分布广泛,几乎渗透于商业银行所有业务环节中,具有广泛覆盖性。第三,较强的人为性。信用风险和市场风险主要受经济环境等外部因素影响,而操作风险与人的关系密不可分,操作风险存在于所有的与人员操作相关的业务环节中,具有较强的人为性。第四,不对称性。信用风险和市场风险的风险与收益存在对应关系,风险越大则收益就越高。但不适用于操作风险,商业银行承担较高的操作风险往往带来难以预料的损失,是一种纯粹的风险。
3.引发商业银行操作风险的动机分析
基于委托理论,商业银行与其从业人员之间存在着委托问题。作为理性的经济人,银行从业人员追求的是自身利益的最大化,银行追求的则是银行利润的最大化,而这种利益的冲突就是商业银行发生操作风险的根本所在。当面临极大的利益诱惑时,银行从业人员往往会违规操作,不惜一切代价采取各种手段谋求利益,诸如银行人员通过欺诈的方式骗取银行资金为自身牟利等。
但是,促使银行从业人员违规的动机并只是单纯的个人收益的最大化。马斯洛需求层次理论告诉我们,人类不但有维持生存的生理需求,还有追求荣耀、渴望被尊重等更高层次的需求。同样,银行从业人员也会谋求自我尊重和他人尊重以及个人理想等的自我实现。因而,银行从业人员有动机进行其认为可靠的能够带来巨额收益的投资,以此赢得同行人员的尊重和管理层认可、赏识。
二、基于人员因素对法国兴业银行亏损案的分析
1.法国兴业银行事件及其人为性特征
一提到“操作风险”,时隔今日映入人们脑海的首先是巴林银行事件,它俨然成为了操作风险的代称。当我们对巴林银行倒闭案进行全程回顾时,我们很难忽视巴林银行肇事者尼克・里森及其银行高管在促使巴林银行最终破产倒闭的过程中充当的角色。巴林银行倒闭事件震惊了国际银行界,操作风险的高危性和破坏性使得金融界、各国监管部门和理论界备受震惊,开始高度关注操作风险。
然而,历史的悲剧再次上演,2008年法国兴业银行发生高达49亿欧元的亏损案,使得法国兴业银行一度陷入危机。同巴林银行事件如出一辙,交易员盖维耶尔未经授权违规交易股指期货,最终使得法国兴业银行遭受巨额损失,并且创下了史上单笔金额损失最高的纪录。法国兴业银行巨额亏损事件充分体现了操作风险对商业银行的影响。在此之前,法国兴业银行一直以其出色的风险控制而闻名于世,然而盖维耶尔一个人的行为却给这个老牌的银行带来了巨大的灾难。
由此可见,人员因素引发的操作风险对商业银行的影响巨大、危害极高。因而,操作风险具有显著的人为性,商业银行在操作风险管理活动中需要高度重视人员因素。
2.影响商业银行操作风险的人员因素分析
(1)薪酬制度及激励机制
商业银行的薪酬制度及激励机制对银行员工的思想行为具有极大的影响力。一般而言,商业银行提高员工的薪酬待遇,并将其薪酬等级与业绩水平相挂钩,能够缓解银行与员工因委托关系而产生的利益冲突,从而减少由银行内部人员导致的操作风险事件。然而,银行提高薪酬不一定就能够降低商业银行操作风险。过高的薪酬待遇水平,相反可能会激起银行员工追求高风险的热情,从而增加了操作风险发生的几率。此外,由马斯洛需求层次理论可知,银行人员在满足基本的生存需求之后可能会进一步追求更高层次的需求,诸如期望获得主管和同事的认可和尊重等。因而,要想减少银行人员处于以上动机而导致的操作风险事件,就必须改变过于激进和一味追求业绩的企业文化。
法国兴业银行是银行激进派的代表,倡导激进的企业文化,鼓励员工不断提升业绩水平。法国兴业银行的交易员最终拿到的薪酬及奖金与其业务绩效水平直接相关,即业务绩效水平越高,交易员的薪酬及奖金就越高,也就更有可能获得赏识和晋升。受这种激励机制的影响,交易员往往甘于冒险,为银行赚取更高的利润,当然也给银行留下了风险的隐患。
虽然盖维耶尔此前在法国兴业银行很努力地工作但由于是二流商学院的毕业生,却并不受重视。作为一名普通的交易员,盖维耶尔如果拿不到奖金,他就只能拿取较低的基本薪水。因而,他极其渴望得到身边同事的认可和尊重并期望获得上司的赏识和提拔。在这种心理动机影响下,盖维耶尔开始进行违规操作,未经授权而投机股指期货,最终使法国兴业银行以损失高达49亿欧元的惨烈局面而收场。
由此可见,“唯业绩论”的薪酬制度及激励机制,加重了银行从业人员的赌徒心理。银行员工为了提高自身的业绩而为商业银行赚取高额利润进而获取同事的尊重及上司的认可提拔,往往会铤而走险,由此增加了商业银行发生操作风险的可能性。
(2)内部控制机制
商业银行健全的内部控制机制能够及时有效的对操作风险进行防范和控制,从而最大限度地减少由银行人员导致操作风险发生的几率。法国兴业银行事件的发生直接是由期货交易员盖维耶尔对金融产品走势的判断失误引发的,然而其深层原因在于法国兴业银行的内控机制存在缺陷而引发操作风险。
通过分析法国兴业银行的内部环境,我们可以发现法国兴业银行激进、高绩效的企业文化使得员工将风险置于脑后,而管理人员置之不管使得原本严格的审核制度近乎形同虚设。风险控制部门没有坚守职业操守,风险评估过程存在严重问题,轻信了盖维耶尔的谎言。另外,法国兴业银行没有考虑到不相容岗位人员的流动问题。
盖维耶尔在做交易员之前,曾经供职于监管交易的多个部门,因而对风险控制流程极为熟悉,经验极为丰富。凭借着曾供职于中后台多年的经验,利用技术漏洞以及内部监督的缺失,他刻意地避开了监控系统进行较长时间的违规操作。因此可见,有效地内控机制对商业银行风险防范和控制能力意义重大。
三、针对人员因素完善商业银行操作风险管理的建议
1.完善薪酬制度及激励机制
科学合理的薪酬制度及激励机制关系到商业银行经营绩效的优劣和人力管理的成功与否。商业银行不应该把员工的业绩水平作为考核评价的唯一标准。商业银行在考虑对员工进行加薪以及职位晋升时,应该综合考虑员工在任职期间的表现,诸如员工是否有违规操作行为,以及违规操作造成的损失程度等,并应该加大这一比重。商业银行要使其激励机制有效发挥作用,就必须将惩罚机制与激励机制有机结合,一方面要对银行人员的出色业绩进行奖励,另一方面要加大对银行人员违规行为的惩罚力度,并将员工因违规操作导致损失的行为计入档案,以此警戒员工。
尽管法国兴业银行已经建立了较完善的操作风险管理体系,但并未真正发挥作用。这与它的企业文化密不可分。因而,要想改变商业银行“唯业绩论”的文化理念,就必须重视风险管理文化的构建,有效培养上到管理层、监管层下到普通职员的操作风险意识,营造操作风险管理的整体氛围。
2.完善人员管理
银行操作风险管理的实质是对人的管理,操作风险管理必将落实到每个员工的具体操作上。
商业银行在进行新员工招聘时要提高甄别能力,科学合理的判断应聘人员的真实水平,而不只是看其学历水平。另外,员工的能力与岗位要相匹配。减少如盖维耶尔因不被上司认可强烈期望证明自己而越权违规操作行为,进而降低操作风险发生的可能性。在人员选拔任用上,要改变以往重业务轻管理、重绩效轻品行的情况。
商业银行要加强对员工的职业操守和价值观进行教育和培训,不断增强员工的操作风险防范意识,提高员工的道德素质和业务素质,引导员工树立正确的风险价值观,促使员工坚守职业道德和职业操守,从而减少操作风险事件的发生。
3.健全商业银行内控制度
健全的内部控制制度,能够使商业银行及时有效发现银行人员在业务活动中的违规操作行为,从而迅速采取有效措施进行控制,由此降低操作风险的发生的可能性。内部控制机制是一个整体系统,可以将操作风险管理与培训、绩效考核、薪酬福利联系在一起。针对内部监督的缺失,商业银行应该设立独立的部门专门对银行的交易活动进行监督,并对内控系统的各个环节进行严格检查以防范操作风险的发生。此外,商业银行在进行风险控制时,除了贯彻不相容岗位相分离的原则外,还要重视不相容岗位人员的流动问题,对这些人员的业务活动务必要进行严格审查和有效监控。
综上,人员因素引发的操作风险对商业银行造成的影响极为重大。操作风险管理是一个长期的、不断探索过程,要注重操作风险控制文化的培育、完善内部控制制度、制定合理的薪酬及激励制度以及加强人员的管理。(作者单位:中国海洋大学)
参考文献:
[1]巴塞尔委员会新资本协议
[2]梁红霞.商业银行操作风险案例研究[D].西南财经大学2010
[3]胡为民.法国兴业银行:小交易员捅出的大窟窿[J].商学院,2010,(12)
[4]张跃,张启文.由法国兴业银行事件谈商业银行操作风险管理[J].商业经济,2010,(5)
[5]李志辉.从法国兴业银行欺诈案看商业银行操作风险管理[J].中国金融,2008,(11)
[6]王晓博.商业银行操作风险管理的国际比较研究[J].金融理论与实践,2008,(2)
操作风险的管理篇7
关键词:商业银行操作风险;经济模型;内控制度
中图分类号:F830.33文献标识码:a文章编号:1006-3544(2009)05-0020-04
本文拟从成本―收益分析的经济学视角出发,通过经济模型的构建和解读,得出关于操作风险成因的解释,并在此基础上提出完善我国商业银行操作风险管理体系的建议。
一、经济模型的构建
从逻辑上来讲,并不存在放之四海而皆准的普适性模型,任何经济模型都是植根于某种特定条件并在该环境
中才是有效的。具体而言,首先在某种环境中找出一些具有共性的现象或关系作为参数,再将所关注的该环境中的特定问题作为变量,最后再根据数理逻辑关系将这些参数和变量组合到一个目标函数之中,而一个或多个目标函数的组合便构成了与该环境相适应的经济模型。就本文而言,模型所处的环境乃是我国商业银行操作风险的实际情况和典型特征。总的来说,我国商业银行面临的操作风险主要是内部欺诈和外部欺诈,客户、产品及业务操作等其他类型的操作风险所占比例很小。具体而言,我国商业银行操作风险呈现出四个特点:第一,操作风险损失金额巨大,单笔金额呈上升的趋势,且多存在于对公业务;第二,操作风险事故发案率逐年上升;第三,操作风险大多集中在基层分支机构;第四,银行内部人员欺诈较多。[1]
由上述操作风险的典型特征可知,我国银行业的操作风险集中体现为基层行领导和员工基于主观故意的人为性内部欺诈。这就是本文模型所处的特定环境。也就是说,模型中的潜在违规者是在这种环境的约束下应用“成本―收益”方法来权衡利弊得失从而最终决定做与不做以及做多少违规之事。需要指出的是,任何违规行为的暴露事实上都是一个不确定性事件,所以潜在违规者在对成本和收益权衡时考虑的并非现实成本和收益,而是加入概率因素的期望成本和收益。换言之,潜在违规者考虑的是与违规行为相关的可能的损失和收益(即经济学中的期望成本和收益),而这种可能的成本和收益就是用现实成本和收益各自乘上其相关概率p(违规被发现的概率)和(1-p)(违规未被发现的概率)得到的。
首先,为简便起见,可以将特定环境中的诸种客观因素化约到违规被发现的概率p之中,因为这些客观因素如银行的内控制度、审计制度、纪检监察力度等与p其实属于正相关的函数关系。例如,内控制度的完善最主要的目的和功能就是增大行员违规被发现的概率,从而震慑潜在违规者使其不敢违规。
其次,将潜在违规者进行一次违规所导致的期望损失(或称预期损失)及获得的期望收益放到一个公式之中,从而得到其违规期望收益。分别以Y、R、(-L)来指代收益(违规所得)、银行工作给其带来的效用、违规被发现后的损失(刑法惩罚及银行内部纪律处罚),这样就可以得出潜在违规者一次违规所得到的净期望收益,即ni=(1-p)Y-pR-pL。其中,(1-p)Y是指潜在违规者一次违规所得的期望收益,即其未被发现的概率和实际违法所得的数学期望值;-pR是指其银行工作效用的期望损失,即违规行为被发现的概率与银行工作效用的数学期望值的负数;而-pL则是指期望惩罚即违规行为被发现的概率与惩罚的数学期望值。
为便于分析,可将上述充要条件转化为同价的充要条件,即pR+pL>(1-p)Y。这个同价的充要条件告诉我们,当违规行为的期望成本大于其期望收益时,潜在违规者就打消了或根本不会产生违规操作的念头,从而使银行实现了最优控制目标,即X=0。
从模型中得出的上述结论应该说既符合“经济人”假定,又经得起实践和常识的检验。需要强调的是,此处的成本是现代经济学意义上的机会成本概念,它不同于传统经济学意义上的生产成本概念。简言之,机会成本就是你为了得到某种东西所必须放弃的东西。[2]从本质上来说,机会成本是行为选择的成本,因为当你选择从事某种行为时,你就不能从事另一种可行的行为,而你放弃的这种行为便成为你的既定选择的机会成本。于是,可以得出关于操作风险的基本命题:银行欲实现员工不违规的控制目标,就必须促使潜在违规者的违规机会成本大于违规收益。这一命题不仅能够清晰地揭示出操作风险的形成机理,而且能够在操作风险的治理上提供更为科学合理的“药方”。具体来说,从公式pR+pL>(1-p)Y中可以看出,银行员工是否选择违规操作主要取决于p、R、L、Y四个变量相互作用所导致的“成本―收益”天平的倾斜情况,而p、R、L等变量的大小又直接取决于银行的操作风险管理制度,因此,通过考察银行的操作风险管理制度便可以间接地了解到与之相应的操作风险程度,更重要的是还可以通过完善相关的制度和措施来改变p、R、L的值,从而达到有效降低银行操作风险的目的。可见,潜在违规者用以权衡机会成本和收益的公式pR+pL>(1-p)Y中隐藏着关于操作风险的一切秘密,只要以公式中的变量作为突破口便可以最终找到解开操作风险奥秘的钥匙。
二、基于模型的三个核心命题
在上述公式pR+pL>(1-p)Y的两端,机会成本pL与收益(1-p)Y存在着相互对应的关系。具体而言,在p、R等变量既定的情况下,当违规操作的收益Y超过了刑法规定的底线时,公式右端的Y越大,刑法对违规者的相应处罚就越重,即公式左端的L相应增加,从而基本抵消了Y增大的效应。同样地,即使违规操作尚未达到违法程度,银行内部的纪律处罚也会随着Y的增加而增加,从而使“机会成本―收益”天平两端的砝码重量不会发生实质性变化。加之银行的制度和措施并不能有效地调控变量Y,所以完全可以将变量Y视为既定,而仅仅考察其他三个既具可操作性又具重要性的变量。鉴于此,我们可以通过进一步地对公式pR+pL>(1-p)Y移项及合并同类项而得出另一个同价公式,即p(R+L+Y)>Y。在新公式中,由于变量Y是既定的,因此,能够决定公式成立与否的变量就只能是左端的p、R和L了,而且p、R、L的增加都能独自或共同保证充要条件的满足。也就是说,银行只要能够通过内部管理制度的改进使违规被发现的概率、银行工作收益及违规处罚额度都变大,那么银行的操作风险就会实现有效的、实质性的降低。推而广之,通过对公式p(R+L+Y)>Y的考察可以得出关于操作风险的三个核心命题。
第一,变量p对于公式的成立与否起着至关重要的作用,因而它是理解和控制操作风险的基本工具。p在公式中的重要性主要体现为:它是一个乘数从而能够使机会成本得以成倍地扩大或缩小,而机会成本端砝码重量的猛烈变化又必然导致天平倾斜方向及程度的相应变化。客观地说,当前我国商业银行操作风险管理制度和措施中的绝大多数在本质上都是针对p这个中间变量的,尽管很多商业银行自身并未认识到这一点,它们只是笼统地认为那些制度和措施是通过威慑作用来降低操作风险的。实际上,作为我国银行操作风险管理的主要工具,无论是操作风险责任制、操作风险报告制、内部审计制、垂直的风险管理制,还是基于高科技的业务信息系统、高强度的纪检监察系统甚至外部的监管和监督系统,都无非是为了尽快、尽可能地发现员工的违规行为,即提高违规发现概率p。提高后的p值会大大增加潜在违规者的机会成本,潜在违规者通过对违规操作的机会成本和收益的权衡会发现机会成本远大于收益,从而放弃违规行为。可见,上述以p值调控为中心的逻辑链条正是银行操作风险管理制度和措施发挥威慑功能的内在机理。毋庸置疑,我国银行业未出现违规事件大面积爆发的现状从反面证明了我国银行业的制度和措施已经使p值达到了比较高的位置。不过,p值并不能无限升高至其极限值1。笔者认为,随着上述操作风险管理制度和措施的不断加强和完善,p值也会随之升高,但p值上升的速度却会不断趋缓直到达到某个最高值(如0.7)便终止其上升势头,而导致p值上升速率趋缓并终止的根本原因是管理者与潜在违规者之间客观存在着的信息不对称。根据知识论理论,潜在违规者的违规行为是其在特定的时间从事的特定行为,它本质上属于特定知识或信息,而这种特定的知识或信息属于违规者个人,其他人(包括风险管理者)根本无从知晓,于是就可以说违规者和其他人之间存在着信息不对称。由于潜在违规者随时都可以做出管理者无从知晓的某种违规行为,因此,管理者和潜在违规者之间的信息不对称可以说是普遍存在的,它无时不在、无处不在。显然,这种客观存在的严重的信息不对称就像茫茫黑夜遮挡住了管理者的视线,或者更确切地比喻为,信息不对称状况下的管理者就像“躲猫猫”游戏中被黑布蒙上双眼的人,任凭你如何努力,你也无法洞察那些躲闪你的人的所有行为。所以说,不能仅仅指望通过提高p值来一劳永逸地解决操作风险问题,因为p值在信息不对称所设置的重重障碍下终究会停下上升的脚步。此时,要想继续解决操作风险问题,就必须把目光转到另外两个变量即L和R的身上。
第二,由惩罚而导致的损失L属于潜在违规者的机会成本的重要组成部分,因而它也成为影响操作风险的重要因素。在p值既定的情况下,L值越大,潜在违规者的机会成本―收益天平的左端砝码就越重,其违规操作的动机就越小,从而银行的操作风险也就相应得以降低,因此,银行可以通过对L值的调控来进行操作风险管理。需要指出的是,L值一般由两部分组成,一部分是刑法惩罚所导致的损失,包括罚金、丧失自由所造成的精神损失等,另一部分则是银行内部处罚所导致的损失。我们此处所说的L值是指后者,它主要由经济处罚、行政处分、解除劳动合同等所造成的损失构成。不可否认,基于L值的管理制度在有效降低银行操作风险方面的确起着举足轻重的作用,但是这种制度却存在着结构性缺陷。进而言之,基于L值的管理制度只能适用于一般性违规行为的预防,在涉及违法的违规行为的预防时,它就丧失了威慑功能,因为对严重违法行为的威慑主要依靠的是刑法的惩罚,而潜在违规者在对严重违法行为的“成本―收益”权衡时,早把银行的内部惩罚抛在了脑后。换言之,在严重违法行为的预防上,刑法惩罚的威慑功能将银行内部惩罚的威慑功能完全涵盖,从而使得银行基于L值的管理制度归于无效。于是,在p值已无法继续提高,基于L值的管理制度在严重违规案件的预防方面又归于无效时,就只能依靠对机会成本R的调控了。
第三,R是潜在违规者的违规机会成本的主要组成部分,从而对R的调控成为银行化解操作风险尤其是严重违规操作风险的最有力武器。由于我国银行业和理论界都是从如何威慑潜在违规者入手来理解和运用操作风险管理的,因此注意力都集中到如何加强和完善操作风险管理体系,以最大限度地提高p值和L值。毫无疑问,在操作风险的传统的威慑视角下,R的意义、作用以及如何调控R值自然成为盲点,而对R的无视也让我国银行业付出了沉重代价。近年来我国银行业虽然在操作风险管理方面付出了很多精力,但重大违规事件仍此起彼伏,层出不穷,这无疑从侧面证明了银行业基于p值和L值调控的操作风险管理体系存在着系统性漏洞。可见,要想在操作风险管理方面实现实质性突破,就必须拓展视界,独辟蹊径,从“成本―收益”权衡的经济学视角来重新审视操作风险问题。R,简单地说,就是银行员工的未来所有预期工作收入或效用的折现值。对R而言,最重要的并不是当前收入,而是银行员工对未来的预期,因为根据理性预期学说,理性人通常是根据其对未来的预期来做出决策的。因此,要想提高R值,不仅需要提高员工的现实收入,更重要的是要为员工的职业生涯打通上升的通道。也就是说,尽管员工的当前收入较低,但只要能够预期他经过自身努力就可以沿着职业路径持续、平稳地顺利前行,那么,他的R值就会高到足以抵御任何大额违规收益的诱惑。由此可见,商业银行人力资源部门针对所有员工实施职业生涯规划在提高员工的R值,从而彻底根除重大违规事件方面起着举足轻重的作用。当然,除了物质收入之外,同事之间的关心、领导的关爱以及不断进步的喜悦等精神上的快乐也是构成R值的重要因素。因此,良好的企业文化建设在提升R值从而有效降低操作风险方面也是大有可为的。
三、经济模型的启示
根据由模型引出的三个核心命题,可以围绕着p值、L值和R值来探寻导致我国商业银行操作风险困境的具体原因,并以此为突破口对症下药,找出破解操作风险之患的良策。
第一,就基于p值的操作风险管理而言,虽然我国银行业已经建立了功能齐备、结构完整的操作风险防控体系,但该体系在实践中的表现却不尽人意。究其原因,主要在于我国商业银行仍沉溺在主要从全局发展、战略高度及大处着手等方面思考问题,对于“在一切有序的情况下,决定成败的必将是微若沙砾的细节”[3]的观念尚缺乏深刻认识。毫无疑问,这种忽略细节、大而无当的粗放式防控体系大大阻碍了p值的提升,进而导致传统操作风险管理体系的威慑效力大打折扣。“泰山不拒细壤,故能成其高;江海不择细流,故能就其深”,所以,我国银行业要想进一步提升p值,从而使防控体系的威慑功能最大化,就必须摆脱过去那种粗放管理的防控模式,从小处着手,以细节成就完美。鉴于此,我国银行业应该从制度、执行和技术等三个层面来进行操作风险防控体系的边际改进。首先,我国商业银行在制度层面上的边际改进应体现在如下七个方面:(1)建立健全操作风险度量和监测机制;(2)强调后台的监管职能;(3)建立对重要岗位和敏感环节人员的监控制度;(4)完善会计核算控制制度;(5)建立防控制度执行监管机制;(6)建立各风险管理部门间有效的分工合作机制;(7)完善商业银行内部审计制度。其次,我国商业银行在执行层面上的边际改进应体现在如下四个方面:(1)必须引进一些操作风险的专业人才;(2)制定行之有效的激励机制;(3)经常进行员工的思想教育;(4)提高内部审计人员素质。最后,我国商业银行在技术层面上的边际改进应体现在如下两个方面:(1)加大电子信息系统建设;(2)加强计算机技术和网络技术在内部审计中的应用。
第二,就基于L值的操作风险管理而言,我国银行业在与L值相关的违规惩罚方面虽然规定得极为明确和严格,但L值的威慑功能在实践中却往往因不合理的业务流程而大打折扣。正如郭树清所指出的:“过去很长一段时间内,我们过分重视编写制度条例,各级机构和每个环节‘层层加码’,比如有的交易要客户按十几个手印,签几十个名。这种做法看似很安全,但实际上并不能真正达到目的。近年来,我们不断对主要业务流程进行优化,找出关键的风险点,取消不必要的控制环节,在方便客户的同时又加强了风险控制。”[4]这实际上也从侧面印证了业务流程优化与操作风险的正相关关系,即业务流程设计得越合理,员工违规操作的概率就越小,银行的操作风险也相应变小。显然,为使L值在实践中恢复其既有的威慑功能,我国银行业有必要围绕着“以客户为中心”的理念来进行业务流程的优化设计。具体而言,应重点做好如下三方面的工作:第一,从价值链分析入手,突出核心业务流程;第二,以客户为中心,流程设计体现差别和柔性要求;第三,优化业务处理流程,提高业务工作集约化程度和反应速度。[5]
第三,就基于R值的操作风险管理而言,我国银行业应把提高R值的努力集中于职业生涯管理和企业文化建设之上。当然,上述两项制度建设在实践中能否起到提高R值进而有效降低操作风险的作用,最终取决于它们是否彰显了以人为本的理念。因为任何违规操作事件都不是一个偶然的孤立的存在,它实际上是操作风险由小到大不断累积直至最终爆发的必然结果,正所谓“冰冻三尺,非一日之寒”,而惟有秉承以人为本理念的职业生涯管理和企业文化建设才能真正温暖银行员工的心,进而将操作风险的“寒冰”融化。首先,R值在本质上乃是一种预期,可以说,就基于R值的操作风险管理制度而言,预期比黄金更重要。根据国外先进银行的成功经验,职业生涯管理中对银行员工的预期影响最大的是职业通道的设计,而与职业通道设计配套的人力资源制度以及分阶段职业生涯管理制度也从不同层面上影响着银行员工对未来收入的预期。因此,我国商业银行应该以职业通道设计为主、以分阶段职业生涯管理和相关人力资源配套制度为辅来设计以人为本的职业生涯管理制度。毫无疑问,透明顺畅的职业通道以及完善的配套措施将点燃员工心中对美好明天的向往和渴望,从而使他们的心灵时刻沉浸在温暖的氛围之中。人心暖了,操作风险“坚冰”自然也就融化了。其次,良好的银行企业文化能够通过满足银行员工的尊重需求和自我实现需求使其无形中获得可观的非物质利,从而使员工违规的机会成本大增,进而将员工的违规风险从源头上予以清除。比如,日常工作中银行领导对员工的关爱就如春风化雨,在不经意间便把员工偶尔迸发的违规操作的冲动火花浇灭;而公开、公平的良性竞争环境以及和谐友爱的工作氛围也会使银行员工的内心温暖如春,操作风险“寒冰”自然无法结成。故此,为了有效降低操作风险,我国商业银行应秉持着以人为本的理念来努力加强银行企业文化的建设。
综上所述,为了破解操作风险之患,我国商业银行就必须坚持两手抓,即一手抓外部防控,要给违规者布下“天罗地网”以使其不敢违规;一手抓内部激励,要为合规者勾画美好未来以使其不愿违规。进而言之,我国银行业操作风险管理的基本路线应该是一方面继续完善外部防控制度,另一方面大力推进内部激励体系建设,并使二者相辅相成,有机统一于操作风险管理体系之中。惟有如此,才能够构建一个监督与激励一体、震慑违规与温暖人心齐备的以人为本的科学的操作风险管理体系。
参考文献:
[1]李志辉.巴塞尔新协议与商业银行操作风险管理[J].南开经济研究,2008(3).
[2]n.格里高利・曼昆.经济学原理(第4版)[m].北京:北京大学出版社,2006:3.
[3]汪中求.细节决定成败[m].北京:新华出版社,2004:23.
操作风险的管理篇8
[关键词]新巴塞尔协议操作风险问题建议
1988年公布的巴塞尔协议被金融理论界与广大国际银行业风险管理奉为“神圣条约”,其运用的广泛程度及准则化程度都受到了普遍认可。随着之后全世界金融发达程度与成熟程度的不断提高,金融风险领域各种类型的金融风险不断的“升级换代”,该协议的一些局限性与不适行逐渐显现出来。2004年6月26日,委员会了《同一资本计量和资本标准的国际协议:修订框架》即新巴塞尔资本协议(BaselⅡ),其中将商业银行面临的风险分为信用风险、市场风险和操作风险。可谓首次将操作风险(operationRisk)纳入风险资本的计算衡量与监管框架中,要求商业银行披露更为详细的有关操作风险的信息,并采取适时的措施应对日益增进的操作风险,从而把操作风险的管理与控制提高到一个新的高度。至此开始,操作风险与市场风险(marketRisk)、信用风险(CreditRisk)并列成为商业银行的三大风险。
长期以来,无论是银行管理层还是金融理论界,都一直将焦点和重心置于银行的信用风险和市场风险的管理方面。随着全球银行市场的不断发展,银行的规模不断扩张,银行的交易量不断放大,新型的交易品种不断增加,尤其是20世纪90年代后半期以来,老牌资深的巴林银行的倒闭案,大和银行纽约支行的不慎交易案,诸多事件为全球金融机构敲响了警钟,金融理论界和国际银行业开始频频关注研究影响日益巨大的操作风险问题;国内1995年爆发了震惊全国的“327国债期货风波”致使万国证券公司破产倒闭并最终合并形成上海申银万国证券有限公司,之后又陆续形成一系列与操作风险有关的事件,种种迹象表明,中国银行业正面临着越来越严重的操作风险,国际银行业也开始普遍认识到新巴塞尔协议重新界定操作风险的重要意义。
一、新巴塞尔协议条件下商业银行操作风险的涵义及分类
1.商业银行操作风险的涵义演变
新巴塞尔协议条件下将商业银行操作风险(operationRisk)定义为由于不完善或有问题的内部程序、人员、系统或外部事件所造成的直接或间接的风险。同时,巴塞尔委员会指出,这一定义包括法律责任(theLegalRisk),但不包括策略风险(theStrategicRisk)和声誉风险(theReputationRisk)。
2.分类及危险程度
新巴塞尔协议条件下一般将操作风险划分为以下七种事件类型:(1)内部欺诈:故意欺骗、盗用财产或违反规则、法律、公司政策的行为。(2)外部欺诈:第三方故意欺骗、盗用财产或违反法律的行为。(3)雇员活动和工作场所安全:由于个人伤害赔偿金支付或差别及歧视事件引起的违反雇员健康或安全相关法律或协议的行为。(4)客户、产品和业务活动:无意或由于疏忽没能履行对特定客户的专业职责,或者由于产品的性质或设计产生类似结果。(5)实物资产的损坏:自然灾害或其他事件造成的实物资产的损坏。(6)业务中断和系统错误;(7)行政交付和过程管理:由于与交易对方产生的交易过程错误或过程管理不善。
上面7种类型风险的发生频率和损失强度情况见下表1。
二、新巴塞尔协议条件下商业银行操作风险的度量方法
1.基本指数法(theBasicindicatorapproach)
这种方法将银行视为一个整体来衡量操作风险,只分析银行整体的操作风险水平,而不对其构成进行分析,银行所持有的操作风险资本金(用KBia表示)等于银行过去三年的平均总收入(用Gi表示)为标准,乘以12%(α表示)用来确定操作风险所需要的资本准备。
KBia=Gi×α
2.标准法(theStandardizeapproach)
这种方法是:银行的操作风险应该按照不同的业务类型分别计算。每一类的操作风险等于各类别业务的总收入乘以一个改业务类别适用的系数(β系数)。新巴塞尔协议将银行业分为8各类别:见下表2
3.高级衡量法(advancedmeasurementapproach)
这种方法是:银行可以在服从巴塞尔委员会规定的一系列定性和定量标准的条件下,建立起自己内部风险计量体系。该方法考虑了各个业务类别的操作风险,是最精确的方法。由于涉及较高级的数学运算与模型建立,文章暂不做讨论。
三、国外商业银行防范操作风险的经验借鉴――以美国摩根大通银行为例
1.建立监控管理体制
美国摩根大通银行为了对操作风险进行有效管理,在1996年,其管理阶层就针对其内部薄弱环节制定了一个“控制方案”,推行一个操作控制自我评估程序(简称CSa),不同部门的负责人组成有关的项目管理小组,有管理高层组成的监管委员会负责监控项目实施的情况,监管委员会负责制定监管政策、监管条款、审批CSa架构,评估操作风险及监督操作控制自我评估程序开展情况,CSa是摩根大通银行在操作风险管理方面取得成功的“成功秘诀”。
2.自我风险评估体系
按照巴塞尔协议要求,自我风险评估是操作风险控制的一个重要程序,各银行应根据业务特点分析主要风险及管理办法,摩根大通银行为将自我风险评估工作有效推广,公司高级管理层对整个公司说明CSa的重要性以及在操作风险控制方面的有效性,并成立专门小组对公司全体员工实施CSa培训计划,推行电子化解决方案,确定需要对董事会及不同管理层提供的报告、图标及评估工作种类,经过几年制度化、规范化的实施CSa计划,操作风险管理已初见成效。
3.风险报警系统
摩根大通银行在业务处理环节设立风险点,如:未经授权的交易、洗钱、内部和外部欺诈等等和操作错误或系统故障方面,适用风险报警系统对内部数据信息进行收集与分析,并与可收集到的外部数据信息进行比较分析,即使发现风险点,避免因为不完善或失效的程序或系统,认为因素以及外部原因而导致损失的风险。
4.遵循银行内部审计体制
摩根大通银行在操作风险管理方面不但注重制度执行者及业务操作者的自我评估、系统风险预警等方面,还不断完善内部审计体系,定期不定期地由稽核监督部门对业务部门操作风险控制情况、制度执行情况、自我评估程序的有效性进行检查。由此形成一个事先风险评估、事后稽核监督、共同执行同一风险控制指标体系的风险管理框架的三角形方针,三角形方针把三个独立的操作风险程序合一,成为一个周密的风险管理架构。
四、借鉴国外经验,完善我国商业银行操作风险管理
1.人员配置上
董事会须了解银行操作风险的主要方面,对操作风险管理框架进行审批和定期检查;须确保操作风险管理框架已接收过有效的内部审计;高级管理层应对框架的执行情况负责,银行各个岗位的人员应明确相应的职责;基层业务人员应了解本行的主要操作风险所在,在实践操作中切实贯彻实施相关规定,把控制操作风险作为日常工作中的一个目标;重要的是应同时着手建立风险管理委员会,隶属于董事会,向董事会提供独立支持。
2.监督体系上
(1)建立风险自我评估体系
自我评估计划的主要目标是鼓励各级机构承担责任及主动对操作风险进行管理,其主要策略是改变企业文化,把风险管理纳入那些具备判断控制能力员工的业务体系内,制定与业务策略目标配套的评估机构,将制度的被动执行转变为主动差错与纠错,建立良好的操作风险管理氛围,确保自我评估的准确性及一致性,确保有关程序的持续性及高效率性,在银行追求盈利时取得恰到好处的平衡点,兼顾风险与收益。
(2)建立银行统一的重要风险指标
银行应分别各类业务类型,将操作流程及制度办法转换为风险指标,建立全行统一的风险指标体系,定期更新,银行员工均能实时阅读。学习、不断进行操作流程的完善。
(3)建立稽核监督机制
操作风险的管理不但要加强执行系统的管理,还需要不断完善内部审计体制,定期或不定期的由稽核监督部门对业务部门操作风险控制情况、制度执行情况、自我评估的有效性进行检查,以完善日常业务操作中的风险管理体系。
参考文献:
[1]钟伟:新巴塞尔协议和操作风险高级衡量法框架.金融与经济,2005年第5期
[2]王兴城:银行公司治理――操作风险管理的治本之策.科技情报开发与经济,2005年第15卷第4期
操作风险的管理篇9
【关键词】人民银行风险评估管理
一、引言
如今,随着科技的发展和时代的进步,现代化的支付手段已经走入人们的日常。人民银行银行国库部门作为市场的参与者之一,对于其日常的国库资金的流通也越来越顺畅,服务各地方经济的能力也越来越强大,但是同时国库资金在操作上的难度也越来越大。对于建立国库资金的风险评估以及管理办法也是越来越重要,同时这也成为了国库资金操作的热点问题。
二、国库资金风险类型
国库资金风险是指国库资金在运转过程中会形成的损失的可能性,它包括操作风险、系统风险、制度风险、道德风险和其他风险等等。各种风险之间是相互联系的,每一种风险都会有可能对国库的资金造成一定的损失。
(一)操作风险
指国库工作人员在执行任务的过程中没有严格按照国库的规章制度做事,导致在操作中出现失误,进而造成国库资金出现操作风险。
(二)系统风险
它是指由与计算机的固件出现问题,导致国库资金间接受损失的可能性。比如在网络安全方面的风险和网络潜在的风险问题,和网络突发事件引起的国库资金损失。
(三)制度风险
是指在国库的规章制度中存在漏洞和缺失等因素导致的资金风险问题。比如规定中没有涵盖国库中的业务全部过程或者由于环境和地域等条件,国库人员在执行工作的过程中出现偏差和事物,也会在一定风险内造成国库资金风险。
(四)道德风险
是指国库业务人员因为职业道德意识疏忽而造成的国库资金风险,也是众多国库资金风险中最为隐蔽的风险。
三、国库资金的风险评估
国库资金的风险类型复杂,损失的危害性大,但是在资金风险的产生和发展存在一定的时间和过程。所以,对国库的资金风险做出一套完整的评估体系,和预警防备,可以将国库资金的风险降到最小化,预防国库资金风险扩大化。
(一)国库资金风险有预见性
国库资金会存在潜在的危险,但是危险也是有规律可循的。国库的资金核算已经达到了网络化和电子化的处理进程,但是在提高国库资金的运行效率和各个环节中存在着潜在的问题。对于风险性,每个国库的工作人员要书籍国库的规章制度和会计核算的流程,对每个运作规章流程和手续严格把关。吸取以往在国库资金上的教训,对资金运转的方方面面都进行细致的把关,这样就能够确定每个环节内可能出现的风险问题,从而就能够定性的分析出国库资金的风险情况,对于风险也能够准确的进行评估。因此,国库资金风险是有预见性的。
(二)国库资金风险有可控制性
在总结以往的国库资金风险教训的基础上,人民银行已经出台了许多对国库的法规和制度,并且根据国库业务的变化,也制定了相应的完善和管理。比如《国库会计核算业务规程》、《中国人民银行国库资金清算处理手续》等等,各地区的国库也根据各地的经济发展状况和工作中的需要,先后出台了许多与当地经济发展符合的制度和实施规则,这样就能规范国库中会计的核算工作,预防在国库操作中的资金风险。同时,强化资金的管理,谨慎认真的对待操作中的各项流程,把国库资金所蕴含的风险控制在最小化的范围内,达到最终的目标。
四、国库资金操作风险管理方法
(一)建设专业性的国库用人机制
对于国库工作人员来说,要建立专业性的用人机制,只有建设了专业化的人才队伍,才能保证国库的正常工作,这也是降低国库资金风险的一种方法。由于人民银行的自身原因,人员的编制的限制,在国库部门的会计核算人员较少,在人员紧缺的时候,经常从其他部门调用人员,并没有形成稳定的专业性国库人员队伍。因此,人民银行应该总结之前的国库业务管理中的实际情况,根据业务的专业程度从不同的地方聘用专业人才,这样对于招聘专业性抢的人才在国库内进行人员补充,从而也能够培养出一批优秀的专业人才,对国库的资金风险有一定的防范性作用。
(二)加强管理,建立网络系统监控
对国库的监管和监督是防止国库资金风险的重要措施之一。以往的监督可以在发现问题中进行纠正和改进,但仍然还有一些问题的残留,因此就需要对于国库平日里的业务操作的过程中强化行为的规范和处理,定期对国库的日常进行监督和规范,让风险处于可以控制的状态,比如,对国库的系统软件和固件硬件设施进行定期的维护和升级处理,对业务中所需要的数据和参数进行认真的核对和监督,建立起国库操作的网络监督。
五、总结
建立国库的风险评估方案和管理方案,对国库资金的操作有保障,也能够国库资金链中潜在的风险。要加强国库资金管理,从国库资金的风险类型出发,针对不同的类型利用不同的解决方案,把国库资金的风险控制在最小化,减轻损失。
参考文献
[1]张彬,许洁强.化基层国库与地方财政对账工作的几点思考.《金融经济(理论版)》,2014年4期.
[2]徐德华.国库资金风险分析及其管理路径选择――以宁波为例.《商业会计》,2013年21期.
[3]魏潇.山东省国库资金风险管理研究.工商管理.山东大学,2015(学位年度).
操作风险的管理篇10
一、BCBS关于操作风险管理框架的研究
1998年9月巴塞尔银行监管委员会(下文简称BCBS)了第42号文件《操作风险管理》,分别从六个方面概括地指出了商业银行操作风险管理框架,即管理层如何进行监督管理,如何进行内部控制,监督可能发挥的作用,怎样计量风险、监控风险和建立管理信息系统,控制操作风险的措施,相关的程序和政策等。
2003年2月BCBS公布了商业银行操作风险的第96号文件《操作风险管理和监管的稳健做法》。提出了操作风险管理的10项原则,具体包括风险管理的环境、风险管理(含识别、衡量、监督检测和控制及缓释等)、监管者的作用、信息的披露等四个方面,从而完善和丰富了商业银行管理操作风险的结构框架,对商业银行管理操作风险具有重大意义。
2004年6月BCBS公布了《统一资本计量和资本标准的国际协议:修订框架》,该修订框架针对计算操作风险资本的定性资格标准的形式,通过高级计量法和标准法简要地指出了商业银行操作风险管理的基本内容。
2006年4月7日,BCBS公布了《有效银行监管核心原则》和《核心原则评价方法》征求意见稿。2011年7月,全球巴塞尔协议Ⅲ终于敲定了全球金融监管新框架,BCBS明确表示,为避免全球再遭金融海啸冲击的风险,将全球系统重要银行的核心一级资本充足率提高1%至2.5%,且需在2016年至2018年的三年内逐步达标。
二、基于内部控制的操作风险管理框架要素分析
(一)英国银行家协会的全面操作风险管理框架英国银行家协会在1999年操作风险管理调查分析报告中指出:“操作风险的管理框架正在兴起,它包括一套相互结合的过程、工具和降低策略。”该报告总结了操作风险管理框架由6层金字塔结构组成,包括策略、政策、风险管理流程、风险缓解、经营管理和企业文化等要素组成的操作风险管理框架。
2003年,巴塞尔委员会为配合“巴塞尔新资本协议”出台而了《操作风险管理和监管的良好做法》,其中关于操作风险管理的七原则被分为两部分,即“构建一个合理的风险管理环境”和“风险管理:识别、评估、监测和缓释/控制”。前一类措施包括董事会、内部审计和高级管理人员在操作风险管理中的角色,它和英国银行家协会框架结构中的“文化”层面的含义实质上相似;后一类措施包括操作风险管理的策略、步骤和方法。可见,巴塞尔委员会试图通过这份文件推广的操作风险管理良好做法在本质上与英国银行家协会的基本框架是一致的。
(二)CoSo委员会的企业全面风险管理框架CoSo委员会于2004年9月公布了《企业风险管理——整合框架》(enterpriseRiskmanagement-integratedFramework,简称eRm框架,又被称为全面风险管理框架)。eRm框架认为,全面风险管理是从制定企业战略目标开始,到实现目标的风险管理流程。它可以概括为:
三个层面:业务目标、全面风险管理的要素、公司的层级;
四个目标:战略性目标、经营性目标、报告性目标和合规性目标;
八个要素:目标设定、内部环境、风险衡量、事项判断、风险应对、控制活动、信息与沟通和监测。
全面风险管理中的要素必须为公司的四个目标服务;公司的三个层面要坚持四个同样的目标;每一个层面都必须基于风险管理的八个要素进行。
eRm框架认为,风险管理(内部控制)涉及企业中的各个层面,包括模型坐标表示的企业和它的经营单位,即企业总体层面、部门层面、业务单位、子公司;模型横轴表示的八个模块,即每个层面的内部控制和风险管理都包括企业风险管理(内部控制)的八个要素;模型纵轴表示的四个目标层,即每个层面的风险管理和内部控制都有助于实现四大目标。全面风险管理强调对企业整体风险的控制和管理,组成了包括四大目标、八个要素和总体层面及各业务层次的三维立体矩阵模型框架结构。
三、基于内部控制的商业银行操作风险管理框架构建
(一)操作风险管理环境与文化层主要表现在:
(1)公司治理:董事会与高层经理的作用。公司治理本质是公司管理层、董事会、股东和其他利益相关者之间一系列的关系,核心在于董事会和高级管理层管理公司实务和考虑股东和债权人以及其他公司利益相关者利益的合理方式和有效激励。公司治理为公司制定目标、确定实现目标的手段和监测目标的实现过程提供了基本的框架,因此,有效的公司治理是商业银行安全稳定运行的最基本前提,是商业银行所有内部控制和风险管理活动的基础,进而成为商业银行有效控制操作风险管理和培育良好风险管理环境和文化的关键。同时,商业银行完善的公司治理制度能够对高层管理人员形成权力制约和监督,从而有效的遏制高层管理人员引发的操作风险事件,能够直接改善操作风险管理状况。
(2)内部控制:业务部门与内部审计部门的作用。内部控制主要突出业务部门控制和内部审计部门的作用。操作风险可以来自于商业银行的任何一项业务、产品和流程。因此,业务部门自身对其产品和流程的管理和控制成为操作风险管理框架中的重要一环,业务部门对日常经营管理中的操作风险管理负责,确保每一条业务线上的内部控制措施与操作风险管理的政策和程序相一致,从而为管理商业银行整体操作风险提供帮助。同时,商业银行的内部审计单位,应对操作风险管理框架和内部控制系统的有效性进行综合监控和审计。审计部门可向负责操作风险管理的人员提供有价值的数据,但其自身不能直接进行操作风险管理,也不对操作风险管理负责。
(二)操作风险管理战略与政策层
(1)操作风险管理战略主要表现在:
操作风险管理战略主要包括商业银行的操作风险管理目标、操作风险偏好和操作风险管理政策的改进等三个方面的内容,即解决“商业银行愿意接受什么风险”和“在何种程度上去接受这些风险”等基本问题的答案。总体而言,操作风险偏好是操作风险战略的核心内容,原因是操作风险管理目标取决于商业银行发展总体战略和风险管理总体目标,以及外部监管的要求,而操作风险容忍度是操作风险偏好的量化表示。根据国际银行业的通行做法,商业银行的风险管理水平和业务目标相结合,再加上银行的价值导向就可计算出其风险偏好。所以,商业银行应当在确定其操作风险偏好时应注意:不能影响银行业务的正常运行,风险偏好既不能过于激进,也不能过于保守;风险偏好不但要与风险意识水平一致,同时还应当与银行的管理经验与技巧相一致;银行风险偏好不能大于银行风险管理(包括人员、组织结构、科技系统等)设施所能承受的水平。
(2)操作风险管理政策。对于具体的操作风险管理单位和银行业务单位而言,风险战略通常表现过于宏观,和日常管理和经验相比,还有很长距离,而且缺乏细化的制度和方法。他们更想了解怎样实现这些风险战略,它们需要做些什么才能落实这些风险战略。操作风险政策就是对操作风险管理流程、工具和报告制度等具体规定。需要注意的是,操作风险管理政策应该在商业银行内部创造一种机制,在这种机制下,所有重大的操作风险都可以被有效的识别、量化和监督,并且适用于量化不同类型风险的管理工具可以被有效划分,同时能反映业务活动开展所处的内部和外部环境,还要不断进行检查和更新。
(三)操作风险管理技术方法主要表现在:
(1)识别操作风险。操作风险管理流程的开始是操作风险识别,同时操作风险识别也是操作风险衡量、应对、检测等环节顺利开展的前提。操作风险评估程序对商业银行经营目标及可能阻碍目标实现的事件进行有针对性的研究,识别所有主要产品、活动、程序和系统中固有的操作风险,明确回答在商业银行业务运行过程中将面临哪些操作风险、导致操作风险的因素是什么、操作风险应该如何描述等问题。需要注意的是,操作风险识别必须在银行没有对风险采取任何对策之前进行。只有这样,有关操作风险管理人员才能充分了解银行的真实情况,然后采取通过比较前后的风险管理措施的有效性来评估银行风险管理的效用。
(2)评估操作风险。操作风险评估程序是在识别出潜在的操作风险之后,对操作风险的定性和定量的分析程序,以决定哪些风险是不能接受的,必须规避或转移出去,而哪些操作风险是可以接受的,能够保留或控制。完成这一步骤需要考虑操作风险两个方面的性质:一是可能性,即潜在风险在风险事件作用下转化为实际损失的概率;二是影响力,即如果不对潜在风险实施任何控制措施,风险实际发生可能对商业银行造成的影响,这种影响不仅造成损失,更主要的是对公司经营目标实现的潜在冲击。
(3)操作风险监测。商业银行的操作风险监测主要从以下几个方面进行分析:操作风险诱因、关键风险指标、损失事件、因果模型。操作风险损失事件和诱因分析的监测可以发现操作风险的易发点、传导机制和发生损失,有利于深入认识商业银行的操作风险管理状况,并在此基础上用因果模型对风险诱因、风险指标和损失事件进行统计分析,确定与风险关联度较髙的风险因素,从而为操作风险管理指明方向。商业银行应该建立操作风险矩阵或“关键风险指标”(Kpi)体系,以保证重要风险的扩大都能立即得到相应力度的控制,减少损失增加的隐患,同时为将来损失增大的风险提供早期预警。