管理運營風險的原則
在巴塞爾新資本協議的征求意見階段,操作風險曾被定義為“由於不完善或有問題的內部程序、人員、系統和外部事件而給銀行造成直接或間接損失的風險”。這個定義意味著操作風險可能造成直接損失和間接損失。直接損失很好理解,是指發生操作風險事件後,根據銀行適用的法律法規,反映在銀行法定財務報表中的損失。損失包括與操作風險事件相關的所有成本,但不包括避免後續操作風險損失的相關成本。然而,如何界定操作風險造成的間接損失壹直存在爭議。有人認為其他類型風險導致操作風險事件,或者操作風險事件後其他類型風險造成的財務損失,但間接損失數據應歸入操作風險損失還是其他類型風險造成的損失,很難把握。後來新資本協議定稿時,操作風險被定義為“由於不完善或有問題的內部程序、人員、系統和外部事件而給銀行造成損失的風險”,間接損失實際上被排除在外。
參照新資本協議的定義,現階段我國商業銀行操作風險管理應遵循以下四項基本原則:
(1)綜合管理。今後,我國商業銀行的總部和境內外分支機構必須建立健全操作風險管理體系,控制操作風險損失。操作風險管理高度分散,因此操作風險管理體系的控制力要滲透到銀行的所有業務流程和操作環節,覆蓋所有部門、分支機構和崗位,由全體員工執行。
(2)及時調整政策。目前,我國銀行業監管機構尚未制定商業銀行操作風險管理的監管規則,我國商業銀行的經營戰略、方針和政策也在發生變化。操作風險管理的政策體系應隨著內外部環境的變化而及時調整。
(3)成本與收益匹配。操作風險的管理需要壹定的成本,商業銀行的管理措施必須與具體業務的規模、復雜程度和特點相適應。通過支付合理的成本將操作風險的損失控制在銀行可以承受的範圍內是不可取的,追求零操作風險也是不現實的。
(4)嚴格責任追究。目前,我國商業銀行正處於操作風險的高發期,應堅持嚴格問責的原則。銀行內部操作流程的每個環節都要有明確的責任人,對違反制度的直接責任人和負有領導責任的管理人員要嚴格按照規定追究責任。
操作風險的分類
新資本協議將操作風險損失事件分為七大類:內部欺詐、外部欺詐、就業政策和工作場所安全、客戶、產品和業務運營、實物資產損壞、業務中斷和系統故障、執行、交付和流程管理,每壹類又有相應的子類。然而,如何根據新協議對我國銀行業面臨的操作風險進行有效分類,是實踐中的難題。國內商業銀行的許多操作風險事件具有典型的“中國特色”。因此,在新協議的指導下,結合我國商業銀行的實際情況,對操作風險進行分類可能是目前較為合理的選擇。
根據新協議規定的操作風險的四類誘因,我國商業銀行的操作風險類別大致可分為:
(1)因銀行業務流程和系統管理不當或有偏差,未及時改進,導致操作或執行困難而產生的操作風險。例如,不當的內部或外部流程;責任劃分不清;文件不完整;合同標準文本條款不完整;合同的標準文本條款對銀行不利;文件內容不全面;合同標準文本中的空白條款不完整或不正確;風險管理報告不足;財務報表披露不充分;新業務或新產品已在前臺辦理,相關文件未及時送達前臺;前臺相關業務新規定未及時傳達給員工;業務流程需求執行不力等。
(2)人員因素導致的操作風險。這種操作風險是目前我國銀行業面臨的主要操作風險。人員風險來自主觀和客觀因素。前者是銀行從業人員不遵守職業道德,違反規章制度或違規操作,單獨或部分騙取或侵吞銀行資產和客戶資產,或玩忽職守,其行為給銀行造成直接經濟損失;後者是員工自身能力與崗位對人員素質的要求不壹致而造成的直接經濟損失。
(3)因IT技術或技術應用環境故障導致系統服務中斷或錯誤服務,或因系統數據風險影響業務正常運行導致操作風險。如科技投資的風險;系統開發和實施風險;系統功能問題或系統故障風險;系統安全風險;法律或公共責任風險;風險管理模式風險等。
(四)外部主客觀因素導致的操作風險。交易對方訴諸法律(非故意或過失違反法律、法規、規章)使交易無效的;內部管理規章制度與外部法律、法規或監管要求相沖突;反洗錢活動薄弱;業務操作違規;對客戶隱私和數據的保護不力;外部采購或供應商風險;外部開發過程中第三方中斷必要資源的風險;火災、洪水和其他自然災害。
操作風險管理的組織結構設計
隨著我國商業銀行公司治理機制的完善,未來完整的操作風險管理組織架構應由董事會、高級管理層、商業銀行總部執行操作風險管理的牽頭部門、總部其他部門、境內外分行等組成。
在這壹管理層級體系中,董事會應是我國商業銀行操作風險管理的最高決策機構,負責制定操作風險管理的發展藍圖和制度框架,審批操作風險基本管理制度。評估操作風險,定期評估高級管理層、職能部門和各級機構履行操作風險管理職責的情況,並提出改進要求,確保整個銀行業機構能夠識別、計量、監督和控制操作風險。確定全行操作風險的可接受水平,監控整體操作風險狀況是否符合本行的操作風險偏好,審查特殊情況,必要時向董事會報告特殊情況。
高級管理層負責執行董事會批準的操作風險管理戰略、管理政策和基本管理制度,評估操作風險管理制度的有效性,監控相關管理制度的具體實施,識別相關管理制度的不足和缺陷,決定改進操作風險管理的重要措施或行動計劃。
商業銀行總行是操作風險管理的牽頭部門,負責制定加強操作風險管理的基本制度和方法,以及操作風險識別、評估、監測、控制、緩釋和計量的具體管理制度和報告制度,並向高級管理層報告相關信息;提出改進操作風險管理的意見和建議,以及擬采取的改進措施和行動計劃;牽頭協調、監控和監督總部其他部門和壹級分行開展操作風險管理,落實高級管理層的決策,並向高級管理層報告相關情況;負責定期向高級管理層報告操作風險及其占用的經濟資本。
商業銀行總部其他部門的主要職責包括:根據自身實際情況制定本部門的操作風險管理制度,並向牽頭管理部門報告。負責建立本部門操作風險控制程序,落實操作風險管理的各項要求。積極掌握和運用操作風險管理技術、模型和經驗,識別本部門產品、業務、流程等方面存在的操作風險,確保在推出新產品、業務、流程和IT系統前,充分評估其內在的操作風險,並采取適當措施防範和化解操作風險。檢查監督本部門操作風險控制情況,持續監控主要業務範圍內的操作風險暴露和操作風險事件,完成本部門操作風險狀況的匯總、收集和分析,並按時報送牽頭部門。
境內外各級分支機構負責本級機構的操作風險管理。其主要職責包括:收集操作風險信息,監控和管理轄內操作風險,按照相關要求向上級報告本機構操作風險狀況,並向同級機構負責人報告。監督檢查轄內各部門及下屬機構的操作風險管理,收集轄內操作風險信息。識別各種內部因素(如業務的性質和復雜程度、人員的素質、組織的變化和離職率)和外部因素(如經濟形勢的波動、產業技術的變化、政策形勢的變化等。)對工作目標的實現產生負面影響,制定或完善相應的操作風險管理制度,采取適當措施防範和化解操作風險。
中國銀行業操作風險管理的運行機制
未來,我國商業銀行操作風險管理的運行機制應由識別和確定、量化和評估、緩釋、監控、規避和報告等組成。
從操作風險的識別來看,首先要通過識別不同部門、不同分支機構、不同業務的操作風險事件來識別操作風險。由於操作風險表現程度的差異,應根據歷史經驗、未來操作風險預測、潛在損失金額、潛在損失頻率等因素對操作風險事件進行分類,如I類操作風險事件、II類操作風險事件和III類操作風險事件。
操作風險的度量是現階段我國商業銀行面臨的最大困難。根據國際活躍銀行的經驗,壹般是通過量化的方法,收集和分析銀行在不同部門、分支機構和業務中的各類操作風險,綜合衡量銀行整體的操作風險承受能力。隨著戰略投資者進入我國商業銀行,我國商業銀行應利用戰略投資者的風險管理技術,引入關鍵風險指標、戰略風險評估、自我評估問卷、操作損失分析等方法,建立完整的操作風險計量體系。
操作風險緩釋實際上是銀行操作風險的“出口”。我國商業銀行應根據操作風險管理成本收益與預期損失的匹配原則以及各種風險緩釋措施在應用中的可操作性,采取接受風險、減少業務量、外包、購買保險、調整流程、提取準備金、加強人員培訓等不同的操作風險緩釋措施。
操作風險的監控是現階段我國商業銀行管理操作風險的另壹個難點。操作風險事件涉及的領域非常廣泛。沒有IT手段的有力支持,有效監控操作風險幾乎是壹句空話。我國商業銀行應充分利用信息技術建立操作風險監控系統,並將操作風險信息納入全行企業數據倉庫工程。在風險緩釋措施不力、風險監控手段不到位的情況下,如果業務產生的利潤不能覆蓋可能的損失,應果斷限制經營風險高的業務。
目前,我國商業銀行應考慮建立操作風險管理的報告體系。壹個完整的操作風險報告體系應該涵蓋報告內容、報告人員、報告頻率等要素。操作風險報告的內容應包括操作風險的類型、操作風險事件導致的所有相關數據和損失原因、關鍵風險指標KRI、戰略風險評估結果、自我評估問卷結果、操作損失分析結果以及監管機構、董事會審計委員會、內外部審計機構等發現問題的整改結果。無論是商業銀行總部的職能部門,還是境內外各級分支機構,都應針對本級機構的操作風險設立報告人,報告人負責報告其管轄範圍內的操作風險;應區分報告內容並確定操作風險報告的頻率,包括臨時報告、月度報告、季度報告等。對於重大操作風險事故或案件,應采用無時間限制的專題報告,以便董事會和高級管理層在第壹時間獲得準確信息。
中國銀行業操作風險管理的環境建設
現階段,我國商業銀行應特別重視操作風險管理的環境建設。
首先,本行董事會和高級管理層必須對操作風險給予足夠的重視,營造全員參與的操作風險管理環境,建立科學有效的激勵約束機制,提高員工的操作風險管理意識和職業道德水平。
其次,根據銀行企業數據倉庫項目的總體規劃,對規劃實施過程中的操作風險進行識別,同時建立及時收集操作風險損失的數據采集系統和數據庫,提高操作風險管理水平。在此階段,應開始收集操作風險損失數據,實現對全行整體操作風險的持續、實時監控和評估,確保整體操作風險水平在董事會確定的可接受範圍內,使董事會和高級管理層能夠根據操作風險數據有效評估操作風險狀況。
第三,銀行應加強操作風險管理手段和方法的培訓,確保各級員工具備足夠的操作風險管理知識和技能。特別是對新員工,要把崗位的操作職責和技能作為上崗前培訓的必要內容。
第四,在制定操作風險管理政策時,應註意清晰易懂和正確執行。在操作風險管理的相關政策正式出臺之前,必須確保決策部門或機構與相關執行部門或機構的人員進行充分溝通。
第五,操作風險管理的理念、政策體系、制度規範和監控目標應充分傳達給各級員工,並作為銀行風險管理文化的壹部分自覺落實到實際行動中。