楊天玲
壹、操作風險的主要特征
(壹)內生性為主
從操作風險的引發因素來看,主要因內部因素而引發,如內部程序、人員和系統的不完善或失效;銀行工作人員越權或從事職業道德不允許的或風險過高的業務,因此操作風險具有很強的內生性,但是銀行作為社會性企業或組織,其業務計劃的完成還需要其他組織予以配合,其他組織同樣也存在內部程序、人員和系統失敗的可能性,因此外部因素也可能導致操作風險的發生,如提供通訊線路租賃業務的電信公司技術故障而導致銀行IT通信系統無法正常運行,因此操作風險也具有壹定的外生性。
信用風險和市場風險主要是外生性風險。市場風險是指因市場價格(利率、匯率、股票價格和商品價格)的不利變動而使銀行表內和表外業務發生損失的風險,如利率風險、匯率風險(包括黃金)、股票價格風險和商品價格風險,發生風險的因子主要是利率、匯率、股票價格和商品價格的變動等外部因素。信用風險是指債務人不能履行合約而給債權人造成損失的可能性,發生風險的因子主要是債務人的履約能力等外部因素,如借款企業遭受重大的資產損失而導致借款無法正常歸還。
(二)涵蓋全部業務
壹個銀行要使用人、流程和技術來實現業務計劃,這些因素中的每壹項都可能產生壹些類型的失敗,因此操作風險具有普遍性,操作風險發生可能性遍布銀行的所有業務環節,涵蓋所有的部門。但是信用風險和市場風險發生的環節僅限於與之相關的部分業務環節,如發放貸款、吸收存款;主要涵蓋業務發展部門和業務管理部門。壹般來說後勤保障部門基本不涉及信用風險和市場風險。因此對於操作風險的管理必須貫徹“三全”原則(全面性、全員性和全程性)。
(三)難以度量性
與市場風險和信用風險不同的是,影響操作風險的因素基本上在銀行內部,並且風險因素與發生的可能性和損失大小之間不存在清晰的聯系,通常操作風險以不經常發生的離散事件等形式出現。雖然經過近幾年對操作風險測量技術的研究和歷史數據的積累,國際銀行業對操作風險的嚴重性(損失大小)計量還是主要依賴於業務管理者的經驗來獲得,因為發生較大損失的經驗和時間序列數據對於大多數銀行而言都是不足的,遠沒有產生壹些標準的模型。而市場風險和信用風險量化技術目前基本成熟,基本采用數據模型進行風險的計量,如信用風險中在國際上被廣泛使用的Credit Monitor TM(KMV模型)和Credit Metrics TM(信用計量模型)等;市場風險中廣泛使用的缺口分析、外匯敞口分析(Foreign Currency Exposure Analysis)、敏感性分析(Sensitivity Analysis)等方法。
二、操作風險管理的發展階段及趨勢
壹般而言,操作風險管理的發展可分為五個階段。
第壹階段是傳統、基本的階段。這壹階段主要依靠內部控制或內部審計等方式進行操作風險管理,且等到損失事件發生時,才開始謀求對策。第二階段是認識階段。銀行認識到加強和改善操作風險管理的重要性,董事會和高級管理層針對操作風險管理識別、衡量、監測和控制等各個環節擬定政策方針與風險管理策略,設置風險管理部門和職位並指派專人負責操作風險管理。第三階段是監控階段。銀行開始針對足以反映操作風險的各項風險數據和現象進行追蹤與自我評估,加強員工風險管理培訓,設定風險限額控制,董事會和高級管理層根據上述結果,確定對操作風險的容忍度,明確風險臨界指標。第四階段是量化階段。相對於第三階段較重視以質化指標作為評估基礎,量化階段的操作風險管理功能已日趨周全,銀行開始建立損失數據庫、制訂量化管理目標,開始發展風險為基礎的資本量化模型來衡量操作風險。第五階段是全面風險管理階段。銀行將操作風險管理充分融人全行整體的風險管理之中,操作風險衡量與市場風險、信用風險衡量進行有機整合,應用系統化的風險度量和管理工具,建立風險指標和損失之間的相關性,全面引入基於風險分析和資本實力考慮的保險策略與調整的收益分析等,確立全方位風險管理的理念。
遵循國際銀行業操作風險管理的發展過程,我國銀行業操作風險管理也將會呈現以下發展趨勢:對操作風險的認識將得到強化並會成為制度化;對操作風險的識別、計量、監測、控制和轉移將更具合理性和可分析性;操作風險產生將隨迅速變化的環境而變化且涉及更多業務領域,銀行監管部門更加重視操作風險;銀行業開始考核現有組織結構對操作風險管理的影響,操作風險管理理念開始進行更新,操作風險管理框架將進行重構。中小銀行將普遍使用基本指標法或標準法,規模較大的銀行開始嘗試使用內部衡量法;度量模型將從國外商業銀行陸續引進,並結合國情進行改造;內部和外部的操作風險損失數據庫將開始建立。
三、我國商業銀行操作風險成因分析
目前我國商業銀行真正意義上的各業務部門內部控制制衡機制尚未建立,而管理部門機構控制設置繁多,但職責不清,職能不明確,容易產生控制的重復(資源的浪費)和出現管理的真空地段,同時各部門間又缺乏協調與制約,極易對同壹控制點產生不同的控制標準和辦法,使壹線管理和操作人員無所適從。
由於內部約束不力、規章制度不夠健全或執行不力所造成的操作風險,壹是制度的空缺,前些年我國商業銀行出現的盲目投資,辦公司經商以及由此造成的巨大損失,很多都與沒有明確的制度規定有關,現在存在部分商業銀行的基層行違規經營,有些根本就沒有規矩;二是雖有制度,但制度設計的漏洞很多,許多制度的設計多是從方便管理層工作的角度考慮,而卻很少從方便客戶和防範風險的角度去考慮;三是有章不循,本來就不多而且存在漏洞的制度在實踐中也沒有得到認真執行,有的甚至是上有政策,下有對策。從近年來有關銀行多次對分支行會計科目使用情況進行的檢查分析,會發現普遍存在科目隨意使用,賬戶核算混亂,會計統計信息嚴重失真的現象。
銀行管理人員對內控管理認識不足,舊的觀念和行為慣性壹時難以扭轉,認識有偏差,同時由於受傳統專業銀行控制的影響,部分管理人員對現代銀行管理理論與方法缺乏系統的了解,對體現銀行管理水平的內控系統認識不足,沒有把內控這種自我調節、自我制約、自我控制的自律行為作為管理工作的重要組成部分,缺乏強化內控的自覺性和主動性。
隨著金融創新業務不斷增多,服務領域不斷拓展,銀行內部隊伍素質不高已成為操作風險發生的原因之壹。壹是沒有形成防範風險所要求的人員能進能出、幹部能上能下的激勵與約束機制;二是員工隊伍受社會環境的影響,個別人經不住腐蝕誘惑,這些年發生的壹系列案件足以說明這個問題;三是員工隊伍的專業技術水平不高,缺乏識別和防範風險的能力,更不要說運用專業技術來分散風險了;四是壹些領導幹部的責任心不強,管理粗放,甚至大撒手。
稽核審計部門缺乏應有的權威性、獨立性、超脫.性、制衡性和全面性。稽核部門是對已發生的經營行為進行監督,是事後監督,沒有滲入到經營管理的開始與過程中進行監督,且稽核手段落後,工作效率低下,內部稽核人員數量不足,素質偏低,知識結構不合理,且得不到及時培訓與更新,內部審計有時流於形式,查出來的問題也不壹定得到應有的處理。財務核算上事前分析、預測和監督少,監察系統對近年來銀行各種案件的分析結果也表明,有章不循、檢查監督不力是案件居高不下的重要原因。
近年來,電子計算機在商業銀行中得到廣泛應用,使金融業務實現了壹次革命性的轉變,但是電子計算機處理信息也存在壹定的問題。而且內控部門未形成壹套科學有效的內部電子監督、預警系統,仍是看報表、翻傳票、查漏洞等老壹套,內控效率低,局限性大,時效慢,反應不夠靈敏,內控信息不系統不完整,系統支持和運作能力的復雜程序與銀行業務活動量的大小和復雜性不相協調,不能容納所從事的各類越來越復雜的銀行業務。
四、我國商業銀行操作風險控制的對策分析
操作風險的這種特殊性質決定了商業銀行要註重防範損失的發生,而損失發生的減少就意味著收益的增加。中國銀行業監督管理委員會也於2004年末頒布了《商業銀行內部控制評價試行辦法》,***設八章七十二條,從評價目標和原則、評價內容、評價程序和方法、評價標準和評價等級、組織和實施及罰則等六個方面對商業銀行內部控制管理問題進行了全面的規範,是中國銀行業走向科學化管理、完善自我約束機制的壹部具有現實意義的指導性文件。目前中國商業銀行業的內部管理架構都屬於大型、非集中式的管理模式,對於這類銀行實施內部控制防範操作風險的管理原則是:首先,在全行實施分散化管理,各業務部門的前線經理應當是操作風險管理的主要負責人,負責降低風險的各項具體工作;其次,對全行的風險實施統壹的監督管理,要求總行的內控委員會負責監督全行的操作風險,界定全行各相關部門在操作風險不同層面的具體工作之間的相互聯系,以確保全行壹致,充分合作,避免重復工作,推廣最佳做法,並促進銀行高級管理層在風險問題上統壹立場。銀行內部控制的目的在於確保銀行的運營是有效率和效果的,交易記錄是準確的,財務報表是可信的,風險管理系統是可依賴的。銀行內部控制的手段包括限制授權、保護銀行資產和記錄的使用與接觸、分離重要崗位的職責並不定期地加以輪換、確保有定期和不定期的評估及測試。銀行有效的內部控制系統應該包括壹個可控的環境,及時的風險測評,有效的控制活動,完整的會計、信息及通訊交流系統和完善的自我評估監測機制。
(壹)建立清晰的操作風險管理戰略和政策
要根據銀行的業務種類和流程建立操作風險管理流程和框架,建立與本行的業務性質、規模和復雜程度相適應的、完善的、可靠的操作風險管理體系。包括董事會和高級管理層的有效監控;完善的操作風險管理政策和程序;完善的操作風險識別、計,量、監測和控制程序;完善的內部控制和獨立的外部審計以及適當的操作風險資本分配機制。
(二)建立分工明確的操作風險管理架構
設立專門獨立的部門負責操作風險的管理,由它牽頭、各部門配合制定操作風險管理戰略和政策,提供必要的管理工具,並負責匯總全行操作風險管理信息向管理層報告。各業務條線管理部門在制定的操作風險管理框架內負責組織實施,保證業務運作的合規性,保證條線內的全體員工認識到操作風險的存在並采取必要的措施去回避和管理這些風險。每壹員工嚴格按照規章制度去開展自己的工作,準確識別操作風險,確保自己辦理的業務和管理的事項無差錯、無事故、無損失,有責任及時報告那些有可能威脅銀行正常經營,損害銀行、股東、客戶和員工利益的事件。內部審計部門應定期地、獨立地檢查操作風險管理系統是否由上至下得到有效貫徹。此外銀行應有效依靠外部審計來實施對操作風險的獨立第三方評價。
(三)找準關鍵風險環節,建立健全內部控制制度
操作風險與內部控制有密切的聯系,內部控制失敗可能形成操作風險,因此必須強化內部控制建設,找準關鍵的風險環節,做到“制度完善、目標準確”,提高操作風險防範的效率和能力。
銀行應對各項業務操作流程制訂全面和系統的政策、制度、程序,並在全系統範圍內統壹業務標準和操作要求。內部控制貫穿於整個業務操作的全過程,滲透於各項業務流程和各個操作環節,涵蓋所有的部門和崗位,覆蓋所有主要的風險點。各項業務經營管理活動均應以審慎為出發點,貫徹“內控優先”要求,在控制措施嚴密充分的前提下進行,以準確計算和評估風臉,防患於未然。同時,對現有制度要不斷進行評估修訂、補充和整合,確保各項制度在各部門、各層次得到貫徹執行,並加強規章制度執行情況的監督檢查。判斷控制制度是否有效的重要標準是是否批準了此項業務的風險關鍵環節,並有針對性地提出控制措施,事實上,抓住了關鍵環節,也就抓住了風險控制的全局。因此,銀行應對各層級、各崗位、各環節的業務流程、操作規程等進行梳理和分析,找出關鍵的風險環節,從而制定出切實可行的控制和改進措施。
(四)培養員工的操作風險意識,提高規章制度執行力
科學合理設置崗位,貫徹“不相容職務分離”原則;建立完整而清晰的崗位職責制度,明確崗位的職責、擔任人員的資格和素質、崗位工作目標等;根據崗位特點,選擇合適的員工從事該崗位的工作,做到量才施用;加強員工的風險教育培訓,提高操作風險的識別和控制能力。強化對操作過程的控制,對關鍵風險設置定性和定量指標,建立操作風險預警機制,對這些指標進行持續監測和早期預警,使管理層及時采取預防措施,如采用現場和非現場的監控手段,對可能發生操作風險的環節要持續跟蹤檢查,對檢查出的問題督促其及時整改。實行嚴格的問責制度,對發生操作風險事件的直接經辦人員和相關人員進行處理。
(五)建立完善的事件管理機制
如何加強案件事故管理,最大限度降低負面影響,甚至利用媒體的高度關註和傳播,將事件轉化為增加品牌知名度和美譽度的契機,反敗為勝,成為各銀行在操作風險管理中的壹個重要課題。
應盡快在銀行內部建立危機公關機制,並逐漸形成危機公關管理的智慧和體系,不斷摸索有效的危機公關方法、危機管理反應方案,確定危機出現後危機處理工作的基本原則。重大操作風險事件發生後,迅速啟動應急預案,在第壹時間及時發布信息,以積極的姿態與媒體、政府部門等利益攸關者進行“懇談”溝通,爭取各方的支持,將負面影響降到最低甚至在逆市中提升品牌。
作者單位:建設銀行黑龍江省分行 原載《現代商業銀行導刊》(京),2008.1. 48—51
本文摘自《金融與保險》2008/6 99頁