基本概述
銀行辦理業務或內部管理出了差錯,必須做出補償或賠償;法律文書有漏洞,被人鑽了空子;內部人員監守自盜,外部人員欺詐得手;電子系統硬體軟體發生故障,網路遭到黑客侵襲;通信、電力中斷;地震、水災、火災、恐怖攻擊;等等,所有這些,都會給商業銀行帶來損失。這一類的銀行風險,被統稱為操作風險。巴塞爾銀行監管委員會對操作風險的正式定義是:操作風險是指由於不完善或有問題的內部操作過程、人員、系統或外部事件而導致的直接或間接損失的風險,這一定義包含了法律風險,但是不包含策略性風險和聲譽風險。
英國銀行家協會(BritishBankerAssociation,BBA,1997)最早給出了操作風險的定義,他們認為:操作風險與人為失誤、不完備的程式控制、欺詐和犯罪活動相聯繫,它是由技術缺陷和系統崩潰引起的。經過廣泛的討論和爭論,1998年5月,IBM(英國)公司發起設立了第一個行業先進思想管理論壇----操作風險論壇,在這個論壇上,將操作風險定義為:操作風險是遭受潛在損失的可能,是指由於客戶、設計不當的控制體系、控制系統失靈以及不可控事件導致的各類風險。損失可能來自於內部或外部事件、巨觀趨勢以及不能為公司決策機構和內部控制體系、信息系統、行政機構組織、道德準則或其他主要控制手段和標準所洞悉並組織的變動。它不包括已經存在的其他風險種類如市場風險、信用風險及決策風險。通過這次會議,上述結論性的定義開始為多數銀行所接受。巴塞爾委員會關於操作風險的定義也是建立在這個基礎之上的。
根據《巴塞爾新資本協定》,操作風險可以分為由人員、系統、流程和外部事件所引發的四類風險,並由此分為七種表現形式:內部欺詐,外部欺詐,聘用員工做法和工作場所安全性,客戶、產品及業務做法,實物資產損壞,業務中斷和系統失靈,交割及流程管理。現在,操作風險受到國際銀行業界的高度重視。這主要是因為,銀行機構越來越龐大,它們的產品越來越多樣化和複雜化,銀行業務對以計算機為代表的IT技術的高度依賴,還有金融業和金融市場的全球化的趨勢,使得一些“操作”上的失誤,可能帶來很大的甚至是極其嚴重的後果。過去一二十年里,這方面已經有許多慘痛的教訓。巴林銀行的倒閉就是一個令人怵目驚心的例子。
定義類型
操作風險的管理技術(1)內部欺詐。有機構內部人員參與的詐欺、盜用資產、違犯法律以及公司的規章制度的行為。
(2)外部欺詐。第三方的詐欺、盜用資產、違犯法律的行為。
(3)雇用契約以及工作狀況帶來的風險事件。由於不履行契約,或者不符合勞動健康、安全法規所引起的賠償要求。
(4)客戶、產品以及商業行為引起的風險事件。有意或無意造成的無法滿足某一顧客的特定需求,或者是由於產品的性質、設計問題造成的失誤。
(5)有形資產的損失。由於災難性事件或其他事件引起的有形資產的損壞或損失。
(6)經營中斷和系統出錯。例如,軟體或者硬體錯誤、通信問題以及設備老化。
(7)涉及執行、交割以及交易過程管理的風險事件。例如,交易失敗、與合作夥伴的合作失敗、交易數據輸入錯誤、不完備的法律檔案、未經批准訪問客戶賬戶,以及賣方糾紛等。
風險特點
操作風險的處理流程(1)操作風險中的風險因素很大比例上來源於銀行的業務操作,屬於銀行可控範圍內的內生風險。單個操作風險因素與操作損失之間並不存在清晰的、可以界定的數量關係。
(2)從覆蓋範圍看,操作風險管理幾乎覆蓋了銀行經營管理所有方面的不同風險。既包括發生頻率高、但損失相對較低的日常業務流程處理上的小紕漏,也包括發生頻率低、但一旦發生就會造成極大損失,甚至危及到銀行存亡的自然災害、大規模舞弊等。因此,試圖用一種方法來覆蓋操作風險的所有領域幾乎是不可能的。
(3)對於信用風險和市場風險而言,風險與報酬存在一一映射關係,但這種關係並不一定適用於操作風險。
(4)業務規模大、交易量大、結構變化迅速的業務領域,受操作風險衝擊的可能性最大。
(5)操作風險是一個涉及面非常廣的範疇,操作風險管理幾乎涉及銀行內部的所有部門。因此,操作風險管理不僅僅是風險管理部門和內部審計部門的事情。
主要特徵
近期,國內有人對中國的操作風險進行了實證分析。根據研究結果,中國商業銀行操作風險的主要特徵大概可以總結為:
(1)損失事件主要集中在商業銀行業務和零售銀行業務,主要可以歸因於內部欺詐、外部欺詐,占到損失事件比例最大的是商業銀行業務中的內部欺詐。
(2)單筆損失金額的均值相差很大,在度量操作風險時,應該分別考慮每個業務部門和每個風險事件組合下的損失分布情況。
(3)損失事件的多少與銀行的總資產規模成正相關,但損失金額多少與總資產沒有明顯的相關性。
(4)從損失事件數目和損失金額的地區分布看,操作風險不一定發生在經濟發達的分支機構,但是肯定會發生在管理薄弱、風險控制意識不強的地區。
主要原因
中國商業銀行當前操作風險主要原因
1、公司治理結構不健全。一是所有者虛位,導致對代理人監督不夠。二是內部制衡機制不完善。董事會、監事會、經營管理層之間的制衡機制還未真正建立起來。三是存在“內部人”控制現象。由於國有商業銀行所有者虛位,很容易導致銀行高管人員利用政府產權上的弱控制而形成事實上的“內部人”控制,進行違法違紀活動。四是內部控制能力逐級衰減。國有商業銀行的“五級”直線式管理架構,由於內部管理鏈條過長,信息交流不對稱,按照“變壓器”原理,總行對分支機構的控制力層層衰減,管理漏洞比較多。
2、內控制度建設尚不完備。一是沒有形成系統的內部控制制度,控制不足與控制分散並存,業務開拓與內控制度建設缺乏同步性,特別是新業務的開展缺乏必要的制度保障,風險較大。二是內控制度的整體性不夠。對所屬分支機構控制不力,對決策管理層缺乏有效的監督。對業務人員監督得多,而對各級管理人員監督得較少、制約力不強。三是內控制度的權威性不強。審計資源配置效率低下,稽核審計職能和權威性沒有充分發揮,內部審計部門沒有完全起到查錯防漏、控制操作風險的作用。
3、風險管理方法落後,信息技術的運用嚴重滯後。
4、員工隊伍管理不到位。銀行管理人員在日常工作中重業務開拓,輕隊伍建設;重員工使用,輕員工管理,對員工思想動態掌握不夠,加之舉報機制不健全,使本來可以超前防範的操作風險不能及時發現和制止。
5、與風險控制有衝突的考核激勵政策容易誘導操作風險。
6、社會轉型及銀行變革容易引發操作風險。社會治安形勢仍然嚴峻,針對銀行的搶劫、詐欺、盜竊等犯罪時有發生。從銀行內部來看,國有銀行正在進行股改,伴隨機構撤併,也帶來了大量富餘人員消化問題,並導致各種矛盾的尖銳化。
防範對策
(一)加大改革力度
1、建立完善的公司法人治理結構。中國商業銀行要建立規範的股東大會、董事會、監事會制度,設立獨立董事,構建以股東大會-董事會-監事會-行長經營層之間的權力劃分和權力制衡有效結構,通過高級管理層權力制衡,抑制“內部人”控制、“道德風險”的發生。
2、按照“機構扁平化、業務垂直化”的要求,推進管理架構和業務流程再造,從根本上解決操作風險的控制問題。
3、改革考核考評辦法。正確引導分支機構在調整結構和防範風險的基礎上提高經營效益,防止重規模輕效益。要合理確定任務指標,把風險及內控管理納入考核體系,切實加強和改善銀行審慎經營和管理,嚴防操作風險。不能制定容易引發偏離既定經營目標或違規經營的激勵機制。
(二)不斷完善內部控制制度
商業銀行在堅持過去行之有效的內部控制制度的同時,要把握形勢,緊貼業務,不斷研究新的操作風險控制點,完善內部控制制度,及時有效地評估並控制可能出現的操作風險,把各種安全隱患消除在萌芽狀態。
當前,重點要在以下七個方面完善內部控制制度:一是建立相應的授權體系,實行統一法人管理和法人授權;二是建立必要的職責分離,以及橫向與縱向相互監督制約關係的制度;三是明確關鍵崗位、特殊崗位、不相容崗位及其控制要求;四是對於重要活動應實施連續記錄和監督檢查;五是對於產品、組織結構、流程、計算機系統的設計過程,應建立有效的控制程式;六是建立信息安全管理體系,對硬體、作業系統和應用程式、數據和操作環境,以及設計、採購、安全和使用實施控制;七是建立並保持應急預案和程式,確保業務持續開展。
(三)全面落實操作風險管理責任制
首先,要通過層層簽訂防範操作風險責任契約,使風險防範責任目標與員工個人利益直接掛鈎,形成各級行一把手負總責,分管領導直接負責,相關部門各司其職、各負其責,一線員工積極參與的大防範工作格局。其次,要真正落實問責制。要明確各級管理者及每位操作人員在防範操作風險中的權力與責任,並進行責任公示。今後銀行發生大案,既要有人及時問責,又要深入追查事件責任人。對出現大案、要案,或措施不得力的,要從嚴追究高管人員和直接責任人的責任,並相應追究檢查部門、審計部門及人員對檢查發現的問題隱瞞不報、上報虛假情況或檢查監督整改不力的責任。
(四)切實改進操作風險管理方法
1、不斷摸索,逐步完善操作風險計量方法。雖然對操作風險的計量還沒有一個十分完善的方法,但是隨著商業銀行全面風險管理的深入開展,準確計量操作風險並計提準備金是一個必然的發展趨勢。
2、加強信息技術套用。在數據大集中的進程中,要加強業務系統操作平台建設,全面查找設計上的漏洞,完善系統軟體。
3、建立健全操作風險識別和評估體系。要借鑑國際先進經驗並運用現代科技手段,逐步建立覆蓋所有業務類別操作風險的監控、評價和預警系統,識別和評估所有當前和未來潛在的操作風險及其性質。
4、建立和完善內部信息交流制度。針對20世紀的管理人員帶頭實施違規,強迫命令下屬違規操作,形成案件和資金風險的問題,銀行要建立和完善員工舉報制度,依靠和發動一線員工,鼓勵檢舉違法違規問題,堅決遏制各類案件特別是大案要案的高發勢頭。
(五)加強人員管理
一是要牢固樹立以人為本的經營思想,充分發動和依靠廣大員工抓好操作風險管理工作。
二是加強思想政治教育。要深入開展矛盾糾紛和不安定因素排查化解工作,多方面、多層次將矛盾糾紛和不安定因素化解在單位內部和萌芽狀態。
三是加強風險意識教育。要堅持不懈地進行安全形勢教育、典型案例教育、規章制度教育,提高全行員工安全防範意識和遵紀守法觀念。
四是要及時、深入了解重要崗位人員工作、生活情況,掌握思想和行為變化動態,對行為失范的員工要及時進行教育疏導和誡免談話,情節嚴重的,要嚴肅處理。
