发布时间:2023-09-25 11:52:44
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇操作风险的管理范例,将为您的写作提供有力的支持和灵感!
巴林银行的倒闭,大和银行纽约支行的不慎交易,诸多事件为全球金融机构敲响了警钟,金融理论界和实业界开始研究影响日益巨大的操作风险问题。国际银行业普遍认识到操作风险管理的重要性,新巴赛尔资本协议把操作风险也纳入资本监管的范围。因此,操作风险的管理在金融机构中的地位日益重要,金融机构可以通过操作风险的管理来实现资源的有效使用。
巴塞尔银行监管委员会根据国际银行业风险管理的变化,从1998年开始关注对银行业操作风险的管理和研究,并在1999年6月公布的新巴塞尔资本协议的第一次征询稿中,提出应考虑对操作风险进行资本覆盖。2003年4月29日,巴塞尔银行监管委员会对《巴塞尔资本协议》(称“新巴塞尔资本协议”)进行第3次征求意见,以对新的资本充足率的规定做出最后的修订。委员会的目标在2003年末最后一个季度完成修订,并于2006年末在成员国家开始执行。新巴塞尔资本协议有3个支柱:最低资本要求,监管部门的监督检查和市场纪律。在计算最低资本要求时,需要考虑三大风险:信用风险、市场风险和操作风险。新资本协议在不断改进中反映着风险测量和管理技术的提高。新巴塞尔资本协议以资本充足率为核心的监管思路,使最低风险资本要求和每项信贷风险面的规范评估结合在一起,特别是第一次将操作风险和最低资本要求结合起来。相对于旧协议而言,其风险衡量的方式更加灵活,不再局限于原有的单一框架,银行可以根据自身情况选择合适的风险衡量方法,以促使银行不断改进风险管理水平。
新巴塞尔资本协议中操作风险的涵义及衡量
巴塞尔银行业监管委员会的定义是比较权威的一个,也就是巴赛尔新资本协议中的定义。根据此定义,操作风险指的是由于不充分的或失败的内部程序、人员和系统,或者由于外部的事件所引起的直接或间接损失的风险。巴塞尔委员会同时指出,这一界定包含了法律风险,但是并不包含策略性风险和声誉风险。
从广义来说,操作风险可以分为内部风险和外部风险,内部风险主要指由于内部因素引起的操作风险,包括程序风险、技术风险和人员风险。程序风险又分为流程设计不合理和流程执行不严格两种情况;技术风险包括系统失灵和系统漏洞两种情况;人员风险包括操作失误、违法行为(员工内部欺诈或内外勾结)、违反用工法、关键人员流失等情况。外部风险主要是指外部因素引起的操作风险。这些外部冲击包括税制和政治方面的变动、监管和社会环境的调整、竞争者的行为和特性的变化等。内部风险主要与内部控制效率或管理质量有关,而外部风险与外部欺诈、突发事件以及银行经营环境的不利变化等有关。
操作风险也存在量化困难,新协议第一稿并未提出任何计量方法。在充分听取各方意见后,巴赛尔新资本协议,对于操作风险的衡量大致有三种方法:基本指数法,指以银行过去3年内的平均年总收入的一个固定比例来确定应对操作风险的必需资本量;标准法,把银行的业务分为8个不同领域:公司金融,交易,零售银行,商业银行,支付结算,服务,资产管理和零售经纪,然后分别计算操作风险指数,再乘上某一固定比例得出所需资本量;高级测量方法,采用此法的银行必须取得监管层的同意,由银行内部操作风险测量系统用定性和定量的方法加以确定。高级测量方法的使用则需要一些特别的标准。如果银行采用较高级的方法在没有监管层同意前不得转为较简单的方法。在新巴塞尔资本协议的第二次征询稿中,对高级计量法中内部衡量法、损失分布法有比较详细的描述,但在最终只是在“资格条款”中对使用高级计量法计算操作风险资本的银行提出了严格的定性和定量的要求,并要求一定要得到监管当局的批准。目前国际上只有少数跨国大银行在使用或开发该计算方法。
我国商业银行操作风险管理的策略
政府应加强操作风险监管的力度,使其与最低资本要求相结合
为了使操作风险的控制更具实际意义,就需要进一步研究出金融机构具体的行为准则。中国银行业监督管理委员会令(2004年第2号)公布的《商业银行资本充足率管理办法》中第一章总则中第五条明确规定“商业银行资本应抵御信用风险和市场风险”。虽然暂时未将操作风险纳入计算的范围,在制度上减轻了商业银行对操作风险的资本覆盖压力,但是也不可避免的放慢了商业银行对操作风险的管理。建议对不同的商业银行实行不同的操作风险要求。
探索操作风险控制与缓释的方式
银行在控制操作风险发生的同时,还可以采用各种方式控制和缓释风险。包括避免、缓释、保险和承担四种方式。其中保险是目前国际活跃银行使用最为普遍的操作风险缓释方式,针对不同的操作风险会有不同的保险产品与之相对应。传统保险产品中的银行一揽子保险、错误与遗漏保险和经理与高级职员责任险等已经被实践证明是比较成熟的保险产品,而且得到了广泛的运用。20世纪90年代中期至今,又开发了诸多新的保险保障产品,诸如未授权交易保险、电子网络技术风险的保险等。银行操作风险保险承保范围将进一步扩大,新的操作风险将不断被纳入保险的范畴,保险将作为银行操作风险管理的经常性工具。目前国际上除了保险以外,还有互惠资保险基金、证券化、优先风险计划也可作为操作风险保险的替代品。
完善银行操作风险管理组织架构
根据风险管理基本流程与组织设计原则,我国商业银行操作风险管理应采用分权化职能型的组织结构,在总分行制的基础上(以“总行一分行一支行”型结构的银行为例),总行应以操作风险战略决策的制定和管理为主,同时负责对操作风险的总体控制。总行管理操作风险的组织机构应包括:董事会、高级管理层、内控制度管理委员会、稽核总局、操作风险的计量分析与评估部门、科技信息部门、教育培训部门、内部授权管理部门、法律事务部门以及所有业务部门,其中稽核总局直接向董事会负责。分行的机构与总行基本一致,但不包括董事会,分行设立稽核分局,并直接向稽核总局负责。支行主要从操作层面控制操作风险,因此支行只设立业务部门,执行总行和分行所制订的制度和政策,支行不设稽核部门,只接受稽核总局或分局的检查。
由于将操作风险纳入到组织文化中成为风险管理的一个重要部分,培养操作风险文化对于操作风险管理也是极其重要的。依靠教育培训部门对银行所有业务人员加强培训,提高操作人员的业务能力、法律意识、制度观念和道德水准,降低一切因操作人员业务技能低、管理人员管理水平差或员工对政策、制度、法律不了解等原因所造成的操作风险。
积极开展操作风险的模型化研究
虽然目前国外对操作风险管理也还处于发展阶段,但是通过量化方式衡量操作风险则是大势所趋。国内银行操作风险的模型化发展基本处于零阶段,这就造成操作风险的管理始终停留在内部审计和主观判断的低层次上。把操作风险量化研究与控制框架结合起来才能为操作风险管理提供科学的依据,这是国际活跃银行管理操作风险的趋势,也是我国商业银行的最终选择。量化操作风险的首要工作就是要建立操作损失数据库,因此监管机构和商业银行自身都要按巴塞尔委员会的操作风险矩阵立即着手建立损失数据库,积累损失资料。建立成功的损失数据库从而为精确度量操作风险建立基础。
一、强化银行操作风险管理的意义
银行所有交易及业务活动都存在操作风险。根据巴塞尔委员会的观点,操作风险的定义是:因内部程序、人员及操作系统的不足或缺陷,或因外在事件而导致亏损的风险。这个定义包括法律风险,但不包括策略及信誉风险。过往几年,操作风险越来越受关注,原因包括如下方面:银行越来越倚赖日趋复杂的自动化技术;开发日趋复杂的产品;参与大型的合并及收购活动;进行整合及内部重组;采用某些技术(如抵押、信用衍生产品、净额结算及资产证券化等)以减低风险,但这个举动却也可能会导致其他风险(如法律风险)。当前很多银行由于未能实施妥善的程序以控制操作风险,蒙受了重大的操作亏损。
总体而言,随着金融自由化、全球化趋势的发展,银行业务日渐多元与复杂,加以自动化信息科技与电子商务的大幅应用、大规模并购与策略联盟的发展,及风险冲抵技术与委外作业比重的提高,银行发生操作风险的可能性与威胁性与日俱增。根据美国操作风险公司(Operational Risk Inc.)的研究指出,自1980年以来,银行在操作风险上的损失已超过2000亿美元,著名案例包括英国巴林银行李森事件等。归纳其原由,不外乎是内部诈欺、外部诈欺、作业流程失误、系统管控不良、或疏于控管委外作业等因素造成,因此,银行须以更宏观、积极的态度来面对及管理操作风险。
二、银行操作风险管理的组织模式
合适的操作风险管理架构应具备以下元素:组织架构;人员职责;风险文化三大方面内容。
(一)管理的组织架构
操作风险管理组织与架构包括如下内容:一是高层管理部门,负责核定操作风险管理政策;二是内审部门,负责定期查核各单位操作风险管理机制的有效性;三是风控部门,负责拟订操作风险管理政策及目标,设计及导入操作风险评估及管理机制,定期汇总报告操作风险损失情形;四是各业务主管单位,负责辨识操作风险,制订各项业务管理规章及作业规范以建立控管机制;五是全行各单位,依据各项控管机制操作各项业务,定期开展自查、操作风险自我评估,报告损失事件。
(二)人员的职责
管理人员负责日常管理及报告其业务单位特有的操作风险。他们必须确保其业务单位的内部管控及做法与银行管理整个银行的操作风险的整体政策及程序一致。他们应确保就有关业务备有特定政策、程序及人员,以管理所有重要产品、活动及程序的操作风险。每个业务单位推行的操作风险管理架构应反映其业务范畴,以及其固有的操作的复杂性及操作风险状况。业务单位管理人员必须与银行的整体操作风险管理职能保持独立。为促进各业务单位管理操作风险,根据良好的做法,业务单位应有专责的操作风险管理人员。这些人员通常都有两条的报告路线。一方面他们在其部门内有直接的报告关系,另一方面他们又与高层风险管理职能紧密合作,确保政策与工具保持一致,并报告成效与问题。他们的责任可能包括制定风险指标、厘清触发需要升级处理风险的事项,以及提供管理报告。
另外,风险管理人员还应当肩负内部审核的职责。内部审核应提供对操作风险管理架构的独立评估,包括操作风险管理职能的运作情况。因此,内部审核不应有直接的操作风险管理责任。银行的审核所涵盖的范围应足以核实在整个银行内,操作风险管理政策及程序都得到有效实施。
(三)风险文化
一个成功的操作风险管理架构,尤其是架构内的程序的成效,有赖于良好的风险文化。银行的风险文化包括其员工对风险的一般意识、态度及行为,以及银行内的风险管理。构成良好的风险文化的因素包括:一是银行的业务目标及承受风险的能力、操作风险管理架构以及实施该架构的有关职责与责任必须清晰传达予各级员工,员工也应了解他们在操作风险管理方面的责任。二是高级管理人员必须持续参与整个风险管理程序,并向整个银行传达一致的信息,即通过行动与说话全力支持银行的风险管理架构。三是高级管理人员向银行各级员工传达的文化,应强调高水平的道德行为标准。为此,银行可采纳行为守则,并在遵行有关守则方面,管理人员应以身作则。四是银行的业务及风险管理活动必须由合资格的员工执行,这些员工应具备必需的经验、技术能力及获取足够资源。五是银行的薪酬政策必须与其承受风险的能力相符。对表现的奖励应顾及风险管理因素,而且有关制度的设计不应鼓励员工采用与期望的风险管理价值观相反的方式运作。六是银行必须营造适当环境,让员工可公开提出操作风险的问题而不用担心会带来不良后果。
三、银行操作风险管理的流程模式
(一)风险识别及评估
为能更深入了解其操作风险状况,及有效调配风险管理资源,银行应尽可能识别所承受的操作风险类别,并评估银行受这些风险影响的可能性及程度。银行应根据本身对操作风险的定义及分类,识别及评估所有现有或新的主要产品、活动、程序及操作系统的固有操作风险。有效的风险识别及评估程序是其后制定可行的操作风险监督及管控制度的关键。识别及评估操作风险的工具包括如下类型:一是自我或风险评估──银行根据一个潜在风险清单评估其操作及活动。这个程序是由内部发起,通常结合核对清单及/或研讨会来识辨操作风险环境的优势及弱点。二是风险图表──在这个程序中,各业务单位、银行职能或工作流程会按不同的风险类别标出。这个程序可突显有问题的地方,有助安排其后的管理行动的先后次序。三是风险指标──风险指标是指统计数据及/或矩阵(通常是财政方面的),它们有助于解银行的风险状况。银行应定期(例如每季或每月)分析这些指标,及时发现一些转变可能带来的风险。这些指标包括未能完成的交易宗数、员工流失率及失误与遗漏的次数及/或严重程度。
(二)操作风险管理策略与流程
一是策略,包括:设立有效的控制架构及制订各层级的内控程序;加强员工制度及业务培训;强化作业流程的控管;通过内部和外部检查监督与跟踪措施,降低全行操作风险损失。二是流程,包括:新产品或新业务上市前需进行风险识别与评估、适应性分析及信息作业系统的规划,新产品或新业务并应按照规章进行审议;制订业务管理规章、操作规范,并构建信息系统,供员工即时查询,作为执行业务的依据;关注操作风险自评,以识别及评估操作风险暴险程度,强化风险管理意识,改善现行控管机制;开展自查以了解各业务控管机制落实情形,即时改进缺失;依照相关资本协定规范。
(三)操作风险报告与评价系统
一是银行应定期将操作风险自我评估结果、操作风险损失事件发生情形、制度执行情况、各项检查情况向管理层提出报告;二是银行应操作风险损失事件报告、制度执行及内部审计制度的实施涵盖全行各单位,自查制度则应由各营业单位办理;三是各单位发现问题,及时进行改善与纠正,并应由主管部门跟踪办理;四是银行应根据各单位、部门每年度开展的操作风险自评信息,衡量自身操作风险暴险程度,并依据各单位提出的建议,研究改善现行控管机制,以期防范操作风险发生。
四、小结
总体而言,有效管理操作风险的重要手段是完善内部控制,正如巴塞尔委员会在《关于操作风险管理的报告》中指出:“内部控制是操作风险管理的重要工具,绝大多数操作风险事件都与内控漏洞或者与不符合内控程序有关。”历史经验表明,流动性紧缩压力下,存款市场竞争的加剧将可能使得银行放松内部控制,因此银行内控工作一定要未雨绸缪,警钟长鸣,超前防范。
作者简介:谷秀娟(1968―),女,河南郑州人,经济学博士,教育部重点人文社科基地中国财政金融政策研究中心研究员,河南省创新人才,河南工业大学经济贸易学院教授,主要从事金融风险、金融市场与公司治理研究。
中图分类号:F830.99
文献标识码:A
文章编号:1006―1096(2006)06―0122-05
收稿日期:2006-08―16
一、关于操作风险
应当说,到目前为止尚且没有形成关于操作风险的被广泛认同和接受的概念。业界所使用的各种定义往彼此不一致或互相交叉从而引起混乱,主要有以下4种定义方法:(1)将操作风险定义为除了市场风险和信用风险之外的风险。这是一种最宽泛的定义。这种方法实际上导致风险难以识别、度量和管理,因为它还包含了经营风险。(2)与上述广义的操作风险相对应的是狭义的操作风险:来自于操作环节的风险,包括交易处理和操作系统的失误,这种方法使得风险易于控制,但却未考虑到期诈风险。(3)一种相对宽泛的定义是将操作风险定义为金融机构可以控制的风险。这种方法虽然包含了内部欺诈风险但却忽视了外部事件的影响,如监管制度体系的变化或自然灾害等问题。(4)一种认同度较高的定义是将操作风险定义为源于流程、系统、人员或外部事件的直接或间接风险。这种定义方法避免了将经营风险混在其中,但却将外部事件如政治因素、监管因素、自然灾害、交易对手风险等等涵盖进来了。只有具备了一个明确界定的概念,才可以划分责任并实施风险资本管理。
巴塞尔委员会(2001)的定义如下:由于不完善的或有问题的内部操作过程、人员、系统或外部事件而导致的直接或间接损失风险。这一定义已为大多数银行所接受。
巴塞尔委员会的定义排除了经营风险,但也考虑了外部事件的影响如:外部欺诈、违反安全性规定、监管影响或自然灾害。它包含了法律风险,但不包含战略风险和信誉风险(strategic & reputational risk)。应当说,目前,国际银行界关于操作风险应当包含的内容,存在相当明显的争论和分歧(如表1)。
二、操作风险的度量
市场和信用风险均来自外部的不确定性,而操作风险则主要由机构内部因素引起。因此,我们就可以采取措施使得其发生可能性和严重性最小化。但是,要实现对操作风险的控制和管理,我们首先必须准确地度量它。
(一)度量原则
应当对操作风险测度设定明晰的原则,以确保对银行所有业务部门中的操作风险进行适当的测度。图2列出了这些方针。这里“客观性”是指使用正式的客观标准来衡量操作风险。“一致性”是指要保证对不同业务部门里相似的操作风险资产组合进行评估所得出的测度结果应该相近。“相关性”是指风险报告应便于管理层采取相应的操作风险管理行动。“透明性”是指风险评估报告应确保所有实质性操作风险都以便于高级管理层理解的方式来进行报告和估计。“全银行范围”是指报告提交者应当仔细设计操作风险的衡量方式和标准,以使该项评估结果可以在全银行范围内进行累计和加总。最后,“完备性”是指要确保所有实质性操作风险都能得到识别和考察而不会有遗漏项。
(二)自上而下法与自下而上法
我们可以说,操作风险的度量是一个尚待发展的领域。有人采取自上而下的方法,即运用机构层面的全面数据去估计风险,主要使用财务指标和收益率波动性等作为衡量风险的变量,由各部门将操作风险合计起来计算,这比自下而上的方法更容易些,但对于具体业务流程的运行却不敏感。
在实践中,自上而下法通常先选择一个目标变量如收益率、利润率或成本作为因变量,然后将市场风险因子和信用风险因子作为自变量,再运用回归模型分析(一般用线性回归模型),则操作风险就是无法被两个自变量解释的变量的方差。
举一个总的收益波动性的例子,如果我们将操作风险视为除市场风险和信用风险之外的风险,则将总收益中与市场和信用风险相关的成分剔除掉剩下的就反映了操作风险的作用。这种“后视镜”(rearmirror)方法,却无法度量当前的风险,而且无法揭示操作风险的来源,从而得以更好地控制它。另外,事实上,收益的波动性大部分可归于经营风险,或与宏观层面的波动相关,而非源于操作风险。
与自上而下法形成对比的是,自下而上的方法是根据各个损失的事件类型或业务类型来区别风险,并逐步进行统计的计量方法,是一种可以寻求操作风险来源的结构性方法。运用这种方法可以在各经营单位层面对业务流程进行映射,从而识别潜在失误及引致的相应损失。而且,自下而上方法是唯一一种可以将操作风险因素纳入产品定价的方法,该法也有助于衡量改进流程后的效果。
自下而上法的不足之处在于其复杂性和对数据的要求;另外,由于这种方法分别考察各个产品线,可能会忽视不同产品线或流程之间的相关关系。
可见,自上而下法和自下而上法各有利弊。因此,有许多机构根据不同目的选择使用不同的方法。(见表2)
(三)巴塞尔新资本协议推荐的度量方法
巴塞尔新资本协议推荐了三种测度操作风险的方法:基本指标法(the Standardized Approach)、标准化法(the Basicindication Approach)和高级计量法(theAdvanced Measurement Approach)。
在各产品线中,总收入是广义指标,代表业务经营规模,因此也大致代表各产品线的操作风险暴露。计算各产品线资本要求的方法是,用银行的总收入乘以该产品线适用的系数(用β值表示)。β值代表行业在特定产品线的操作风险损失经验值与该产品线总收入之间的关系。应注意到,标准法是按各产品线计算总收入,而非在整个机构层面计算,例如,公司金融指标采用的是公司金融业务产生的总收入。总资本
1.基本指标法
基本指标法就是一种自上而下法,巴塞尔委员会认为操作风险的大小和银行的业务活动的规模呈正比,而银行的总收入是反映银行业务规模的重要指标。根据巴塞尔委员会的规定,银行应持有其总收入的一定比例(α)的资本以应对操作风险,经过与业界的广泛讨论商椎,α最后定为15%。
采用基本指标法银行持有的操作风险资本,应等于前三年中各年正的总收入乘上一个固定比例(用。表示)并加总后的平均值。如果某年的总收入为负值或零,在计算平均值时,就不应在分子和分母中包含这项数据。资本计算公式如下:
其中,KBLA=基本指标法需要的资本;CI=前三年中各年
为正的总收入;n=前三年中总收入为正数的年数;α=15%,由巴塞尔委员会设定,将行业范围的监管资本要求与行业范围的指标联系起来。
总收入定义为:净利息收入加上非利息收入。这种计算方法旨在(1)反映所有准备(例如,未付利息的准备)的总额;(2)不包括银行账户上出售证券实现的盈利(或损失);以及(3)不包括特殊项目以及保险收入。
2.标准化法
“标准化法”实际上是一种自下而上法。
在标准化法中,银行的业务分为8个产品线:公司金融(corporate finance)、交易和销售(trading & sales)、零售银行业务(retail banking)、商业银行业务(commercial banking)、支付和清算(payment&settlement)、服务(agency services)、资产管理(asse tmanagement)和零售经纪(retail brokerage)。要求是各产品线监管资本按年简单加总后取三年的平均值。在任何一年,任何产品线负的资本要求(由负的总收入所造成)可在不加限制的情况下,用以抵消其他产品线正的资本要求。但如果在给定年份,各产品线加总的资本要求为负值,则当年分子项为零。总资本要求如下所示:
其中,KTSA=用标准法计算的资本要求;GI1-8=按基本指标法的定义,8个产品线中各产品线当年的总收入;β1-8=由委员会设定的固定百分数,建立8个产品线中各产品线的总收入与资本要求之间的联系。β值详见下表3。
β值实际反映了银行各产品线的重要性,其具体数值由监管当局根据抽样获取的行业平均值计算得到
三、高级计量法
高级计量法是允许银行通过内部操作风险计量系统计算监管资本要求,使用高级计量法需获得监管当局的批准。高级计量法又分为三种:内部计量法(1MA:theinternal Measurement Approach)损失分布法(LDA:the Loss Distribation Approach)和打分卡法(SA:the Scorecard Approach)。
1.内部计量法。这是更复杂的操作风险度量方法,类似于信用风险度量中的内部评级法。银行是基于对预期操作风险损失的度量来估计资本金配置的水平。也就是说,该方法是假定预期损失(损失分布的均值)和意外损失(损失分布的尾部)之间具有固定和稳定的关系,这种关系既可能是线性的,即资本配置要求是预期损失的简单倍数,也可能是非线性的,即资本配置要求是预期损失的复杂函数。利用内部度量法计算资本金配置水平通常是基于这样一个框架:将银行的操作风险暴露分解成一系列业务种类i和风险事件类型j,EI(i,j)表示i类业务在j类风险事件下风险暴露的规模或金额;PE(i,j)(Probability of Loss Event)表示i类业务在j类风险事件下操作风险发生的概率;LGE(i,j)(Loss Given Event)表示i类业务在j类风险事件下操作风险发生的损失程度;参数7(i,j)则是将i类业务在j类风险事件下的预期损失EL(i,j)(The Expected Loss)转化成资本配置要求的转换因子。即操作风险资本配置要求为此方法在运用过程中存在这样一个问题,即转换因子决定于整个行业的损失分布,而单一银行的风险损失分布不可能与行业损失分布恰好一致,为捕捉这种风险分布上的差别,可以考虑用风险剖面指数RPI(Risk Profile lndex)来调整利用内部度量法计算出的资本金配置水平。风险剖面指数反映的是较行业风险损失分布而言单一银行风险损失分布的意外损失(UL)与预期损失(EL)的比率,即UL/EL。UL与EL之间的关系依赖于多种因素。如交易规模的分布、损失发生的频率、损失的严重程度等,这些因素都有可能成为风险控制环境的条件函数。例如,如果银行损失事件发生频率的标准差较小,则UL/EL的值就较小。同样,操作风险也依赖于单一交易规模被适当控制的程度。对于一个特定的银行来说,我们可以利用RPI来调节其资本配置需求水平,公式如下:
同时,为确保银行在应用内部度量法中的一致性,应该有一个标准化、统一的公式来计算每个业务种类或风险类型组合的RPI,而这需要对影响RPI的一些基本因子进行评估,因为基本因子不仅决定了不同业务种类和风险类型的UL/EL的值,而且也是计算RH的基础。此外,引进RPI指数还有利于激励银行提高操作风险管理水平的积极性。
2.损失分布法。这是目前银行度量和管理操作风险最为复杂的方法。银行一般首先根据内部历史数据,估计出每一业务种类或风险分类的两个可能性分布:(1)单一事件的影响;(2)次年事件发生的频率。然后,银行在这两项估计数据的基础上计算出累计操作损失分布的概率,所有业各种类或风险类型的风险值的总和就是银行最终的操作性风险资本金配置要求。该方法与内部度量法的一个重要的区别在于:损失分布法的目的是直接估计意外损失,而不是通过对预期损失(EL)与意外损失(UL)之间关系进行假定。也就是说,内部度量法是估计总体损失分布的单一参数EL,并且假定EL的水平以及EL不同部门的组成如何;相反,损失分布法则允许损失分布随着EL的水平及其内部组成的变化而变化。此外,损失分布法也不需要先决定一个乘数因子(γ)。但由于此种方法过于复杂,目前在银行操作风险度量和管理中的可执行性不大。
3.打分卡法。这是一种较为直观的方法,主要是通过调查和专家分析设计出多项前瞻性的关于操作风险的指标,并用这些指标来量化操作风险。打分卡的关键是找出与操作风险相关的风险因素,并设计出前瞻性的衡量操作风险的指标,在此基础上量化操作风险。通过量化操作风险,银行可以将预期损失和资本直接与各业务单位的操作风险联系起来,并利用打分卡给各业务部门的管理人员明确的指示,鼓励其降低操作风险。
四、操作风险的管理
操作风险一旦被准确度量,就可以有效地进行控制和管理。损失的概率分布揭示了每一个经济单位的预期损失和在一定置信水平下的VaR值。一些风险调整(risk―adjust-ment)方法和工具,如RAROC也相应地适用。
表4比较了管理市场、信用和操作风险的各种方法。在每种情况下,我们需要明确界定风险、度量风险暴露和风险因子的分布以计算VaR值。
(一)预期和非预期风险
操作风险可分为预期损失和非预期损失。第一步,金融机构必须针对预期风险分配一定的准备金。这种准备金要求表明了机构的脆弱性,也度、量了改进控制措施所带来的收益。有了这些信息,一个机构就可以评估用于改进程序的投资的
成本和收益。在一个更广泛的、全企业的层面,这种准备金要求有利于进行更好的战略决策。高层管理者将会发现,一项看似很好的业务流程一旦考虑其预期的操作风险,则实际上勉强能够有所盈利。第二步,金融机构必须选择针对非预期风险的融资策略。
关于预期和非预期损失的分布见图4。
严重但并不是灾难性的损失。未预期到的重大操作错失,应当通过对操作风险资本进行适当分配来弥补。
灾难性损失。指最极端但也是最少见的操作风险事件。这种损失会毁掉整个银行。VaR和RAROC模型无意于考察灾难性风险。这是因为这些方法所计量的潜在损失数值仅限于一定的置信区间内,但灾难性风险却非常少见。对这类风险,一般的做法是进行保险,因为银行的资本根本无法为这类风险提供保障。
对操作风险越来越多的重视以及金融体系的变动会如何影响银行整体资本分配状况?目前银行资本分配比例大概为:平均有20%给操作风险,10%给市场风险,70%给信用风险(图5)。但从长期来看,我们认为,操作风险和市场风险敞口两者的资本分配比率最终都会增加到30%左右。不过,具体情况还取决于该机构的性质。
操作风险资本权重的提高可以归因于同人员、流程、技术和外部依赖性有关的风险增加。举例来说,人员流动加速、更高的产品复杂性、更多的业务量、不可避免的新技术引进和越来越多的收购兼并活动――所有这些变动都会提高操作风险。
(二)控制操作风险
通过度量替代措施的成本和收益就可以很好地控制操作风险。一旦识别了脆弱性,就可采取如下纠正措施(属于内控制度):
(1)减少损失(Loss reduction),当损失发生时尽量减少其严重性;(2)避免损失(Loss prevention),减少损失发生的频率;(3)避免风险暴露(Exposure avoidance),这是避免损失的极端形式,这样损失就被彻底地规避掸了。
通过购买更好的设备或重造流程以减少差错率就可以避免损失。就象在制造企业实行的“全面质量管理”或“6―sig-ma质量控制系统”,度量操作风险实际上为改进流程铺平了道路。
(三)针对操作风险的融资
一旦建立了合适的内控制度,则操作风险管理的另一个方面就是对非预期风险的融资,分为损失前和损失后融资。
损失后融资是在损失发生后以可用资本来“吸收”损失。损失前融资是在依据对风险预期建立事前的准备。
风险或者被保留或者被转移。机构可以用自我保险法防备非预期损失,即建立资本金(保留风险),也可以购买外部保险(转移风险)。在谈到外部保险时,一个主要问题是保险金定价是否合理。
(四)整合的操作风险
当今,大多数金融机构都有一套规则来衡量市场风险,另一套规则来衡量信用风险,并且正在开发第三套规则来衡量操作风险。不过,目前大银行正在致力于整合这些方法(图6)。具体来说,就是试图用一种新的与市场风险VaR和信用风险VaR相一致的操作风险VAR分析方法。
从风险透明度和监管资本两者的角度来看,开发一种统一的风险衡量模型有重要的意义。举例来说,如果人们仅仅简单地将市场风险VaR、操作风险VaR和信用风险VaR加总来得出总体的VaR(而不是开发一种整合的模型)话,往往就会高估风险的规模。对这些数据进行简单的加总忽略了市场风险、信用风险和操作风险之间的相互作用和相关度。
从公式pR+pL>(1-p)Y中可以看出,银行员工是否选择违规操作主要取决于p、R、L、Y四个变量相互作用所导致的机会成本――收益天平的倾斜情况,因此,p、R、L、Y这四个变量乃是解开操作风险奥秘的钥匙。具体来说,这四个变量之中,L、Y属于从属性变量,因而是机会成本――收益天平中较轻的砝码,对天平的倾斜与否起不到实质性作用。换言之,决定操作风险的重要变量只有p值和R值,而与p值相关的正是我们的传统操作风险管理体系。毫无疑问。传统操作风险管理体系的完善能够提高p值,进而提高对潜在违规者的威慑力度,以使其不敢违规。不过,p值并不能无限升高至其极限值1。实际上,随着传统操作风险管理体系的不断加强和完善,p值会随之升高,但p值上升的速度却会不断趋缓直到达到某个最高值(如0.7)便终止了上升势头,而导致p值上升速率趋缓并终止的根本原因则是管理者与潜在违规者之间客观存在着的无处不在的信息不对称。故此,我们不能指望仅仅通过提高p值来一劳永逸地解决操作风险问题,要想突破操作风险困局,我们就必须把目光转到变量R值上。从上述公式可知,R是潜在违规者的违规成本的主要组成部分,因而对R的调控理应成为银行化解操作风险的有效武器。举例言之,假设潜在违规者对传统操作风险管理制度的威慑效果的预期估值为500,对违规收益的估值为800,那么,潜在违规者经过机会成本――收益计算后的最优决策便是冒险进行违规操作,但是当一个估值为400的R变量作为生力军加入机会成本阵营后,违规操作的机会成本上升为900,此时为了800的收益而丢掉900的违规操作行为就不合算了,于是,R的加入就使潜在违规者的最优决策从违规操作变为合规经营了,操作风险自然也就消弥于无形了。R,简单地说,就是银行员工的未来所有预期工作收入或效用的折现值。对R而言,最重要的并不是当前收入,而是银行员工对未来的预期,因为根据理性预期学说,理性人通常是根据其对未来的预期来做出决策的。因此,要想提高R值,不仅需要提高员工的现实收入,更重要的是要为员工的职业生涯打通上升的通道。也就是说,尽管行员的当前收入较低,但只要能够预期他经过自身努力就可以沿着职业路径持续、平稳地顺利前行,那么,他的R值就会高到足以抵御任何大额违规收益的诱惑。由此可见,商业银行人力资源部门针对所有行员开展实施职业生涯规划在提高行员的R值从而彻底根除重大违规事件方面起着举足轻重的作用。
综上可知,作为机会成本主体的R值是潜在违规者借以权衡违规利弊进而决定是否违规的重要砝码,因而R值的提高可以有效地将操作风险消弭于无形。如果说p值是通过外部防控使潜在违规者不敢违规,R值则是通过内部激励使其不愿违规。其中,前者从潜在违规者的外部入手,侧重于防,后者则从潜在违规者的内部人手,倾向于攻。毋庸讳言,要想从根本上解决操作风险之患,我国银行业就必须坚持两手抓,两手都要硬,即一手抓外部防控,要给违规者布下天罗地网以使其不敢违规,一手抓内在激励,要为合规者勾画美好未来以使其不愿违规。囿于观察视角的局限性,我国银行业完全忽视了R值的存在,遑论R值在降低操作风险方面的作用了。毫无疑问,我们这种一条腿走路的操作风险管理模式注定了摔跟头的命运。实际上,近年来我国商业银行操作风险泛滥的局面正是这种“独腿”模式所导致的恶果。亡羊补牢,犹未晚也。我国银行业应该迅速展开基于R值职业生涯管理制度,以便将我国操作风险体系的漏洞尽早补上。当然,职业生涯规划建设在实践中能否起到提高R值进而有效降低操作风险的作用,仍取决于它是否彰显了以人为本的理念。因为任何违规操作事件都不是一个偶然的孤立的存在,它实际上是操作风险由小到大不断累积直至最终爆发的必然结果,正所谓冰冻三尺,非一日之寒,而惟有秉承以人为本理念的职业生涯管理制度才能真正温暖银行员工的心进而将操作风险的寒冰融化。
二、当前我国商业银行职业生涯管理的不足
如上所述,囿于传统的研究方法,我国商业银行在操作风险的管理方面仍在围绕着p值兜圈子,大部分制度和措施的初衷无非是通过提高p值以加强对潜在违规者的威慑功能。观察视角上的盲点使我国商业银行无视R值提高对降低操作风险的良好效果,从而无法有意识地将对员工职业生涯的科学管理纳入操作风险管理体系之中。概括而言,我国商业银行在员工职业生涯管理上的不足主要体现在如下三方面。
(一)观念滞后
国有商业银行对职业生涯管理的理解和认识只是流于形式,
对职业生涯管理与人才培养、有效降低银行操作风险之间的内在联系缺乏深女4认识,这导致我国商业银行将职业生涯管理与专业化岗位培训、业务培训等简单等同起来。而员工对自己也没有很好的定位,职业行为缺损,自己的成长发展过分依赖于管理职位的提升,缺少对个人发展的清晰规划意识,在个人职业发展问题上表现较盲目。
(二)规划欠缺
国有商业银行对员工的未来发展缺乏完整的规划,只是简单的就业前培训、在职培训等,没有很好的了解员工的特点。国外先进银行特别强调能力主义,行政职务根据工作需要和个人能力随时调整,技术职务每隔几年评定一次,员工能力达到高一级业务时就上调一级,达不到要求则继续留在原岗位,工作太差的则给予下调。而我国商业银行员工的晋升大多是仿照行政管理那种结构单一的管理职位提升的,容易使员工形成“官本位”思想。就某一个银行来说,这种单一的管理岗位的供给毕竟是有限的,不能满足员工的晋职需要,这使得很多行员无法找到他们自己的发展空间,他们对未来的预期就必然降低从而相应导致R值的降低。
(三)人力资源管理机制上的缺陷也不利于职业生涯管理
员工职业生涯管理主要依赖于完善的人力资源管理机制为员工的职业生涯发展提供公平的竞争环境和发展平台。而我国商业银行人力资源管理的运行机制与时展的要求相比,尚存在一些不适应性,不利于员工职业生涯的发展。比如说,目前国有商业银行给员工提供的培训内容大多较注重专业技能,而忽略了对员工素质和潜能的开发培训,特别是中高层次的培训和专业技术人员的继续教育跟不上发展的要求。再比如,目前我国商业银行的员工绩效考核体系尚不完善,仍存在着许多问题:1.不同类别和职级岗位的员工采用的考评指标没有区分,并且统一用“德、能、勤、绩”这一类抽象指标,难以量化和具体评价;2.不同岗位和职级的员工职责界定模糊,没有规范的职位说明和实施细则;3.考核指标群中没有核心指标和权重,没有充分体现商业银行经营的特点,防范和化解操作风险的评价还没有体现到具体指标中;4考核多流于形式。
农村中小金融机构柜面业务操作风险管理现状
(一)农村中小金融机构柜面业务操作风险特点1.目前国内农村中小金融机构操作风险发生范围广。农商(合)行存贷款、银行卡、财务管理等所涉及到的所有业务流程都可能发生操作风险,无论是经济发达地区还是经济欠发达地区的城市、乡镇都有可能发生操作风险。2.农村中小金融机构操作风险表现形式多样。(1)内部欺诈风险。员工因放弃职业道德,违背相关法律法规,以满足自己的需要而造成的风险。尤其是一些“要害岗位”人员利用职务之便成为其作案的主要方式。(2)外部欺诈风险。员工在办理业务的过程中被客户用欺诈的手段利用,给银行带来潜在的风险。主要表现为外部人员诈骗、黑客侵入计算机等形式造成的损失。(二)农村中小金融机构柜面业务操作风险存在的主要问题1.操作风险管理组织架构不完善。尽管许多农村中小金融机构初步建立了形式上健全的法人治理结构,但是实际工作中“三会一层”及相关委员会只是形式上存在,没有很好发挥其在风险管理中的作用。2.内控机制不健全,风险管理方式效果差。从国内农村中小金融机构发生的案件涉及的操作风险分析,内控制度不完善,是大量违规经营和操作风险积聚的直接原因。目前存在部分农村中小金融机构内控管理混乱,在发生案件风险的情况下,往往只是处理案件当事人,那些负有管理和监督责任的人员一般不会受到处罚,从而造成内控体系的有效性差,在某种程度上积聚了风险。3.风险管理手段和技术落后。国内农村中小金融机构操作风险管理技术还比较落后,过分依靠内部审计而忽略外部审计。操作风险的识别还不够全面和准确,风险评估计量的手段落后。4.人员构成不合理,风险管理人才匮乏。人员素质是操作风险管理的关键,我国农村中小金融机构的风险管理人员在业务素质要求方面还达不到进行全面风险管理的需要,为操作风险埋下隐患。
构建农村中小金融机构柜面业务操作风险管理体系的对策
(一)构建有效的操作风险组织体系由于农村中小金融机构组织结构是“一级法人”下的总行—基层营业机构管理体系,由董事会及高级管理层承担最终管理责任的操作风险防御体系,以及内部审计部门的独立性尚未真正发挥作用的客观情况,决定了我国商业银行操作风险管理应该是总部集中管理模式。在这种管理体制下,农村中小金融机构的操作风险防御体系可以划分为六层:第一层:基层层面。银行金融机构基层组织是银行经营活动的前沿,对操作风险的生成和管理负有主要责任。第二层:起支持作用的部门,是业务部门开展经营活动的支撑,对操作风险发挥着重要的事前防范作用。第三层:风险管理部门。包括总行和分支机构在内的风险管理部门,负责对操作风险的政策及管理流程加以贯彻落实。第四层:内外部审计。主要侧重于对操作风险管理体系、管理政策、组织结构以及政策与制度的执行情况进行审计。第五层:董事会。在“一级法人”管理体系下,董事会对操作风险管理承担最终责任。董事会要确保本行的操作风险管理系统受到内审部门全面、有效的监督。内审部门不应直接负责操作风险的管理。第六层:监管者和股东及其他利益相关者。两者分别通过监管制度、监管要求和市场约束对商业银行的操作风险管理状况加以关注和制约。(二)加强内控制度建设1.制定个人柜面业务操作风险管理制度手册。组织人员从现有的柜面业务风险点着手,制定涵盖相应全部现行的业务流程,风险点等的个人柜面业务操作风险管理制度手册。员工能根据手册速查,了解某项业务的具体办理方法、依据,以及发生某种操作风险后,应该如何处理和向上汇报。2.制定新型的柜员管理制度。新型的银行柜员制度是指建立在前台操作系统基础上,覆盖全部业务流程和风险点的柜员管理制度。3.深化流程整合,提升服务质量。组织人员根据最新制度要求,对业务处理手续进行规范,在防范风险的前提下,最大限度的简化前台操作。(三)建立完整的操作风险内部管理体系1.转变管理理念,将零售业务管理从规范化等级管理向风险等级管理转变。按年对分(支)行和零售网点进行风险评级,按行、按点建立风险控制档案,将全部零售网点按照风险等级,进行差别化管理,对分(支)行零售业务风险管理情况进行综合排名。2.建立风险档案管理体系。将重点建立对基层营业机构的操作风险档案,并对基层营业机构的操作风险档案进行综合管理,分析运用风险档案,积极对风险档案进行汇总和分析,定期对检查出的问题进行深入细致研究分类和分析。3.建立操作风险损失事件数据库,设置专门的损失事件岗。建立风险损失数据可以为管理者提供有力的模型化实证分析,将提高管理者在内控过程中制定管理政策的有效性。4.建立对柜面业务操作风险状况的分析、报告、持续改进及风险提示机制。基层营业机构应及时上报辖内的操作风险管理风险分析报告,总行积极对风险档案、业务检查情况等相关资料,进行汇总和分析,及时向网点下发风险提示,提示风险点及其防范措施。(四)建立完善以柜员考评为基础的激励约束机制建立科学的风险津贴与业绩相结合的绩效考核机制,合理分配员工薪酬,按业务的复杂度和贡献度设定权重,计算柜员的业绩积分,对柜员的业绩进行全面考核。通过考核以岗定酬、升岗升区,充分调动柜员工作积极性,有效利用资源,提升网点综合竞争力。(五)加强前台核心业务系统的升级管理和运行维护管理系统中存在的任何问题都可能导致农村中小金融机构不可估量的损失。因此,系统的安全性、稳定性和完备性直接决定了系统运行过程中发生系统中断、出错乃至遭到非法侵入等而导致操作风险事件的概率。加大系统的科技投入,加强系统开发和升级以及后续的运行维护管理能使之能更有效的防范操作风险的发生。(六)构建良好的操作风险文化加强操作风险制度文化建设是当前的风险文化的重点。我国农村金融机构操作风险文化建设刚刚起步,培育操作风险文化是一项长期的目标。操作风险制度文化建设是指银行对经营过程中可能出现的各种风险进行预防和控制的一整套制度安排。
本文作者:李平工作单位:商丘华商农村商业银行
会计操作是反映商业银行资金运作的各个重要环节,其风险的防范在现代商业银行营运中的地位显著。各项业务发展和创新都需要会计操作风险加强管理,各新旧网点的升级改造、新吸收员工不断增多,而当前会计操作大部分处在柜面操作,由此伴随会计操作风险管理重要性凸显。
一、会计操作风险的重要地位及特点
商业银行作为经营货币的企业,会计风险是客观存在的。按照商业银行经营的一般规律,其会计操作风险在经营各环节中占有重要地位和独特的特点,主要体现在以下三方面:
第一方面是商业银行的资金运作的各个环节不可能撇开会计操作,而银行日常的资金流量巨大、出入款项频率高,加上程序设计上漏洞,有可能产生会计操作风险,可以说会计是银行营运的基础。
第二方面是会计的职责是担负着银行营运全过程的收支、结算、核算业务,全面反馈资金、资本运作信息,为领导层的决策提供可靠财务依据,为确保银行资金安全,实现绩效目标的重要保证。会计操作出现了问题,不仅难以实现绩效目标,而且会影响企业整体营运,因此说会计风险管理在商业银行经营中处于核心地位。
第三方面是会计的覆盖面大,会计操作风险对内涉及到银行高、中、低层工作人员和有关机构,而且出现频率较高,风险时刻存在。对外范围较广,面对不同的业务种类和客户群体,因此说会计操作风险潜在危害性巨大。
二、商业银行会计操作风险的成因分析
(一)队伍建设方面存在管理不到位
一是员工培训效果不理想。一方面上岗前培训不够全面,针对性不够强,涉及到新员工和轮岗到新岗位员工,由于对所在岗位操作规范不熟悉,办理业务时对关键风险点控制不到位。而随着营业网点扩张和升级改造,新员工不断增多,该矛盾显得较为突出;二是在激励约束机制方面,对网点人员的核算质量还未实行量化考核,造成部分柜员重产品营销、轻前台操作风险控制。
(二)会计操作风险的评估手段不够科学
商业银行会计操作风险的科学管理,要求能够对每个机构会计操作风险水平做出客观的评价,但目前的会计操作风险的评估手段不够科学。 一是可量化的综合评价指标不够精准,且不同的机构没设有细化评价指标,各机构差别化管理难以实施,管理重点出现偏离。二是风险评估工作达不到会计操作风险控制的要求。随着经济发展和形势变化,新业务及金融工具的更新换代较快,使会计操作风险存在增加的可能,但内部控制风险评估体系的完善和发展程度却落后于业务的发展,无法准确识别风险点,不能有针对性地警示员工,会计操作风险发生的概率有增无减。
(三)业务发展与风险控制没兼顾平衡
随着市场经济的不断发展,银行在市场上的竞争也面临着越来越激烈,这就促使银行营业机构网点极为关注营销、成本、效益等绩效指标和存款、贷款等市场指标。部分银行的管理层只顾业务发展而轻风险控制,对会计操作风险带来的危害认识不到位,甚至为取得业务发展而干预会计操作的情况时有发生,业务发展与风险控制容易失去了平衡点。
(四)内部控制机制不够完善
财政部颁布新会计准则之后,新旧财务会计的处理规定发生了较大的变化,但是商业银行的相关法规,并没有及时进行修订,制度建设与业务的发展不同步,造成了业务操作过程中出现了一些存在着争议性的问题,企业会计内部控制制度建设不够完善。
三、防范商业会计操作风险的对策
(一)加强队伍建设,充分利用各种资源 。
一是人事部门统一规划,加强企业员工业务素质的培训。做好前岗后培训,根据企业员工实际情况,分层次、按不同对象实施针对性培训。对新上岗人员、发生差错较多人员等开展中短培训,利用工作空隙时间进行重点提示和强调,特别是操作要求和风险应对措施。二是加强员工行为管理。完善员工行为管理和排查有效方法,例如建立员工家访制度,定期对员工家庭进行家访,既掌握员工八小时以外的生活情况,又使员工感受到组织的温暖。对排查发现有异常行为的,及时采取有效措施。在问责方面,不只建立单纯“惩戒”制度,同时还要建立保护和奖励合规、主动纠错从轻问责等制度相结合。三是加强人力资源利用。前台人员直接接触客户,掌握客户资金流动信息,这些信息可与营销和贷款部门共享,可赋予前台、后台人员相应职责,并在利益分配上给予考虑,通过发挥整体合力进一步拓展业务。
(二)量化综合评价指标,实行差别化管理
将银行资金运转内控制度重点环节的执行情况、经全面检查发现存在风险性问题以及同行业普遍容易出现的风险问题等能反映会计风险控制状况的指标,将这些指标纳入风险评价体系,根据各个指标风险重要程度来分别设定分值,然后根据综合分值对机构的风险防范水平做出综合的评价。评价结果可分为优、良、中、低、差五个等级,评价结果可与机构的绩效相挂钩。对风险不等级的机构,管理层可以采取不同的管理措施,改进其会计操作风险管理状态。
(三)建立银行内控的信息交流与反馈机制
一是银行要分别建立内网和外网,全面实行信息化管理,内网用于系统内部信息传达、交流、反馈等,外网用于对外信息。企业内部信息数据均可在内网实时获取,也便于发现问题及时向上级领导反映,从而进行及时的整改。二是信息部门可将信息整理及提炼,形成有价值的信息平台,内控人员获取相关信息后要采取有效措施,及时控制风险。
(四)进一步完善内部控制机制
操作风险的监管要求
巴塞尔委员会在1998年的《操作风险管理》专题文件中,首次要求银行必须对操作风险进行专门管理,并提供相应监管资本的支持。2003年2月,巴塞尔委员会《操作风险管理和监控的稳健做法》,对操作风险管理提出了10大原则,内容涉及风险管理环境、风险管理措施、监管职责、信息披露等方面,指出银行在操作风险管理中应综合考虑经营规模、业务性质、复杂性等一系列因素,并强调,不管银行的经营规模与业务范围如何,有效的操作风险管理框架至少应包括由董事会和高级管理人员制定的明确战略、浓厚的操作风险与内控氛围、有效的内部报告机制及应急预案等多种因素。2004年6月,巴塞尔委员会在其的《新资本协议》中正式将操作风险管理纳入全面风险管理之中。
巴塞尔委员会提出了操作风险的3种计量方法,即基本指标法、标准法、高级计量法,3种方法在复杂性、风险敏感度和资本节约效应方面逐渐加强。基本指标法和标准法是针对操作风险管理水平较为初级的银行,其中基本指标法要求银行抵御操作风险的资本相当于前3年总收入均值乘以15%,而标准法将银行业务分为8个类别,分别以其前3年净利润均值乘以12~18%的系数。高级计量法则为国际活跃银行和操作风险管理水平较高的银行所偏重,其风险敏感度更高,但在具体运用方面由于涉及模型开发等复杂程度较高的工作,目前还处于在某些业务中局部使用和逐步推进阶段。
国际银行业操作风险管理的主要做法
20世纪90年代以来,随着巴林银行、里昂信贷银行等多家知名银行由于操作风险防范疏漏而倒闭,操作风险管理问题开始日益受到国际银行业的重视。同时,由于银行业竞争加剧,产品服务日趋复杂多样以及监管部门要求不断提高等因素,提高操作风险管理水平也成为银行业的客观需要。
有关调查统计显示,目前全球大部分银行在操作风险管理方面仍处于初步识别风险和数据积累阶段,将近10%的机构尚未着手进行操作风险管理,只有不足20%的机构将操作风险纳入日常管理。一般而言,资产超过1000亿美元的大型银行操作风险管理进展较快,资产少于10亿美元的小型银行则大部分刚刚起步。
近年来,国际银行业操作风险管理逐步走向集中化模式,除业务部门在操作风险管理中发挥重要作用外,加强了管理部门和专职监控人员的参与,赋予其明确的权力。在欧洲地区,这种集中化趋势更为突出,并已明显走在同业前列。据穆迪公司2004年的一次调查显示,几乎所有欧洲银行都建立了集中化的操作风险管理部门,在全行范围内应用和推广管理工具、管理方法、管理政策,负责监控操作风险敞口和损失,积累和集中处理相关数据,提交高层操作风险管理报告,规划操作风险缓释策略。操作风险的集中管理可以解决基层业务经理和风险控制人员缺乏全局意识,难以正确执行总部决策等问题。但与市场风险管理中控制交易员敞口的方法不同,对操作风险的全面管理和控制一般不容易仅落实到某一个特定部门或个人,而应由基层管理人员和专职支持部门共同负责,涉及一线业务人员,风险管理、信息科技,人力资源、法律与合规及稽核监察等部门。一方面,操作风险管理组织各环节应有较明确的职权界定,另一方面,要保证风险管理、稽核监察等部门在其所属分支机构中的适度独立性,以确保风险管理体系运行有效和集中管理报告路线的畅通。
合理运用量化工具,识别和评估所有银行产品、活动、流程和系统中的操作风险,为进一步计算操作风险所需提取资本金做准备,是操作风险管理中的关键环节。当前国际大银行尝试采用的主流方法有:自我风险评估、损失事项登记、风险指标设置、风险打分卡等。
自我风险评估法是由操作风险管理部门或行内专家研究制定风险评估问题清单,并由操作风险管理部门人员、业务部门操作风险负责人、分支机构操作风险负责人组成工作组并定期召开研讨会。汇丰集团、荷兰商业银行等在实践中即采用这种方式,并且都是至少每年召开一次研讨会。如汇丰集团首先在各分支机构由业务部门人员进行集体讨论,再逐级汇集到分支机构业务联络员、操作风险联络员、分支机构首席操作风险官、分支机构首席执行官、总部操作风险管理主管。自我风险评估能充分调动有关操作风险管理各方的积极性和智慧,对全行操作风险战略和技术细节都能提供富有价值的专家性意见和行动指南。
损失事项登记是银行在积累了一定操作风险损失数据的基础上,通过建立损失事项登记系统,运用内部网络系统定期或实时报告操作风险有关情况,可包括查证操作风险损失原因、自动预警和通知、上载有关损失案例及分析、统计和复核操作风险损失数据等功能。通过网上损失事项登记系统,银行可以实现对操作风险损失事件和有关情况的实时了解和预警。
风险指标设置是指通过定期审查设定的银行有关财务指标或管理指标,来提醒银行操作风险变化情况。基本指标如按业务部门考察员工病假天数、合同工比例、系统死机频率等。荷兰商业银行已经设置了一整套风险指标系统,根据不同业务共设置了60个指标项目,提供相应的“红绿灯”警戒线系统,设置风险容忍度,向管理层定期提交概要报告。
操作风险打分卡,简单讲就是通过一定的转换系统,把定性评估转换成定量指标,以便对不同的操作风险类别进行排序。打分项设置和具体分值的确定因行而异,与各行业务经营特点和风险大小有关。打分卡方法可以独立使用,也可以与损失登记、风险指标等结合运用。
最后,关于操作风险管理信息系统。目前,国际主流银行操作风险管理信息系统都仍在探索与构建中,相对成熟、发达的市场风险和信用风险管理信息系统,显得比较落后。不少国际知名银行正在为建设理想的操作风险管理信息系统而努力,这种系统将可实现从一线高效提取、积累数据,向后台和管理层综合提供各种信息的功能,并能与其他内部系统(必要时也可与外部系统)顺畅连接,以下载数据和运算。信息系统用户可对原始数据进行处理。银行既可自行开发也可外购信息系统,但要注意两点:一要将重点集中在操作风险管理的关键领域;二要为今后更新版本和扩充功能预留必要的空间。
我国商业银行操作
风险管理的思考
[中图分类号] F832 [文献标识码] A [文章编号] 1003-1650 (2015)05-0015-02
我国商业银行操作风险管理发展历程较短,《商业银行操作风险管理指引》要求商业银行建立与本行发展相适应的风险管理体系,合理评估、控制操作风险。因此,如何加强操作风险建设,提高银行的风险防范水平,是商业银行需要探索和研究的重点课题。
1 强化内控意识,创造良好操作风险文化氛围
银行无法对每项操作风险都制定有效的预防措施,更多风险防范是依靠操作人员自觉地规范操作,因此,需要营造良好的风险文化氛围,增强职工内控意识,使全体职工能够自觉地参与到内控管理中。具体可从以下方面努力:
首先,充分发挥银行管理人员在风险管理中主导作用,确定风险管理目标,加强银行文化建设,提倡爱岗敬业、认真负责的工作态度,银行管理层应该保证风险管理文化的持续性和发展性,将风险文化融合到银行业务操作流程中。银行高级管理层是银行操作风险管理的主要负责人,因此,需要对管理层的操作风险管理达成共识,并在实际工作中贯彻落实,严格执行各种内控措施,降低银行的操作风险。
其次,要求银行全员参与操作风险管理文化建设,如果管理层不参与风险文化建设,不利于职工形成正确的价值观,甚至起到负面作用,管理层对操作风险管理和内控管理的态度直接关系着银行操作风险文化的发展,管理层需要制定科学的防范措施和内控措施,加强操作风险管理,保证内部操作风险管理信息的畅通,增强职工的责任感,提高职工的专业素养,降低风险发生率。
最后,银行作为企业,其经营目的是实现经济效益最大化。银行具有经营货币的职能,经营风险越大,收益越高。在这种情况下,如果银行为了追求经济效益最大化,忽视风险防范和内控管理,则会增加操作管理风险,引发严重后果。因此,银行应该正确认识和处理风险防范和经济效益间的关系,树立“先内控管理后业务发展”的理念,制定科学的激励考核机制,增强职工合法、合规的操作意识,合理控制操作风险。
2 完善内控措施,提高银行操作风险管理职能
银行在制定内部控制措施时,需要坚持“职责分离,岗位制约”的原则。根据近几年我国银行发生的重大操作风险事件可以看出,银行普遍存在监督失效、一人多岗、业务一手清等问题。在内控管理过程中,没有遵守这一原则,导致内控制度形同虚设,给不法分子提供了违法操作的孔隙。为了提高内控措施的有效性,银行需要加强内控管理,建立健全内控措施。
2.1 商业银行应该根据内部各岗位制定统一标准的岗位卡片,明确岗位职责和风险防范范围,根据国家相关法律政策、规章制度以及监管要求,严格遵循内控管理要求和操作流程,让职工了解自己的岗位职责,在日常业务处理过程中,依法抵制不合规行为,规范业务行为。
2.2 商业银行需要建立完善基层机构风险经理派驻制度,风险管理经理对上级委派机构负责,派驻机构独立于经营机构,对银行进行风险管理和内控管理,监督银行职工认真履行职责,规范职工行为,强化基层内控管理,降低操作风险。
2.3 我国商业银行基本都是以部门银行管理为主,责任不明确,一旦出现问题,上下级和各部门会相互推诿责任。因此,商业银行需要重新梳理操作流程,将部门管理变为流程管理,创建新的内控体系,保证各机构、各部门职权清晰、职责明确,从而进行有效的内控管理。商业银行可以通过岗位监督、提高内部管理有效性、明确岗位职责、加强业务审核授权等措施,将全体职工纳入到内控管理中,提高内控管理的有效性,合理规避风险。
3 强化内控执行,提高银行风险防范能力
由于操作人员有章不循而造成重大操作风险的事件比比皆是。如果银行制定了科学系统的制度,但没有贯彻落实,制度则毫无价值可言。内控制度执行不到位是造成银行风险损失不断的主要原因。只有解决制度执行层面的问题,才能有效地防范风险。
首先,建立科学的激励机制,保证各岗位操作人员做到有章必循,严格执行各项措施。通过有效的激励手段,使职工感受到按章操作带来的回报。激励形式各种各样,有物质层面的,有精神层面的,如果将激励机制和职工个人职业规划结合起来,能充分发挥激励效果,对职工而言,激励价值更大。
其次,屡查屡犯问题是银行内控管理中普遍存在的问题,产生这种现象的根本原因是执行不到位。因此,银行需要建立完善的违规问责机制,制定具体的问责流程和问责标准,建立完善的职工档案管理制度,树立违规必惩的观念,规范职工经营行为,保证其按章操作,强化内控执行,彻底解决有令不行,遏制屡查屡犯的行为。
最后,建立对经营业务持续性检查,对一线形成强有力的内控压力。一方面,利用监控录像进行实时监控,让职工感受到监督的压力,从而自觉遵守规章制度,促进有效执行。另一方面,需要建立完善的风险预警体系,设置风险预警模型,建立一张强有力的内控风险监控网,及时找出风险隐患,加强对职工行为的监控。
4 建立健全内控信息机制,及时防范风险
商业银,行建立完善的内控信息机制,拓展信息渠道,有助于操作人员及时掌握风险动态,并制定针对性风险防范措施,完善风险防范和内控管理手段,及时将信息传达到业务一线,不断提升操作人员的内控管理能力和风险意识。但是目前我国商业银行的内控信息机制还不够完善,管理手段比较落后。因此,商业银行需要拓展信息交流和反馈渠道,保证及时、准确、有效地传递信息,防范各种操作风险事件的发生。
4.1 创建各部门和分支机构间的内控信息与共享系统平台,保证操作人员能够在第一时间获取有效的风险防范信息,让各级管理人员能够交流内控管理经验和风险防范措施,强调当期重点风险管理,了解外部风险管理形势,从而为各级人员开展内控管理,提高风险防范水平提供有效的信息支持。同时,让职工了解操作风险状况,及时改善,不断提升自身风险识别能力和防范能力。内控信息与共享系统平台还需要设置风险防范交流平台,鼓励和支持内控管理人员交流内控管理经验以及业务操作疑问,从而调动职工参与内控管理的积极性。
4.2 建立健全公开信息披露机制,及时公布本机构的风险管理信息,使其他办理同样业务的银行能够了解本业务中存在的风险信息,从而提前做好风险防范准备。如果各家银行都隐藏风险信息,则给不法分子可乘之机,因为信息不对称,便于不法分子进行欺诈行为。因此,各银行需要建立健全风险信息披露机制,认真履行披露职责,有效防范风险。
4.3 建立完善的信息反馈机制,明确信息反馈职责,保证机构发生风险事件时,能及时反馈,防止机构隐瞒风险事件,保证管理层能够全面、及时掌握风险状况,找出风险成因,并针对风险案例进行风险识别和评估,从操作流程和制度的角度制定有效的风险防范措施。同时,根据风险事件中的违规操作行为,编制教学案例,总结经验,对操作人员起着警示作用。建立科学系统的信息交流和反馈机制,有助于提高信息传递的时效性,及时防范操作风险。
5 加强内控监督审计,减少人为引发的操作风险
应该对银行内控管理的总体有效性实施持续性监督,将关键性风险监督纳入到银行日常管理中。在各项关键性风险中,人为因素是需要考虑的重要因素,关键性人员,比如客户经理、理财经理、基层负责人或者业务经理等都属于高危人群。由关键人员引发的操作风险事件的危害远远大于一般操作人员,所以,关键人员是内控管理的重点对象。但是我国商业银行赋予关键人员更多权利的同时,还未建立相对应的监督机制。因此,银行需要加强内控监督审计,尤其是风险频发的重要岗位人员监督审计。
5.1 加强对关键人员和重要岗位的监督,可以通过飞行检查或临时突击检查等方法,加大对基层内控制度执行的监督力度,保证操作人员能够按章行事,合规操作,减少由人为因素引发的风险损失事件。
5.2 贯彻落实各项监督审计规定,加大对关键人员违规行为的惩罚力度,不管职位高低,有责必罚。同时,可以利用同行业的典型案例开展警示教育,深入分析案件,使操作人员能从中得到经验和教训。针对违法违规行为中的薄弱环节,可以提出整改意见,及时解决问题。
6 总结
综上所述,商业银行不要不断强化职工的内控意识,创造良好操作风险文化氛围,完善内控措施,提高银行操作风险管理职能,强化内控执行,提高银行风险防范能力,建立健全内控信息机制,及时防范风险,加强内控监督审计,减少人为引发的操作风险,从而有效地降低操作风险。
参考文献
[中图分类号]F831 [文献标识码]A [文章编号]1006-5024(2009)04-0167-04
[作者简介]董红,北京航空航天大学经济管理学院博士生,研究方向为风险管理与决策;(北京100083)
邱菀华,中国光大银行总行风险管理部教授,博士生导师,研究方向为决策、风险与项目管理;
林直友,中国光大银行总行风险管理部业务经理、硕士,研究方向为金融风险管理。(北京100045)
金融业的全面开放和金融服务的管制放松,以及高端化的信息技术,使银行的业务、产品日益多元化,这直接导致其面临的风险更为复杂和多样。国内外银行业重大违规事件及美国金融海啸影响的迅速扩大,迫切需要国内外金融监管部门和从业机构反思对操作风险的管理和防范,加强合规管理。2004年的巴塞尔新资本协议,将操作风险正式纳入资本监管范围,并进一步提出了明确的监管资本要求。2007年我国银监会再次对其进行解读和说明。然而,由于操作风险情况复杂,与银行自身的规模、经验、业务特征等密切相关,具有和动态变化等特点。因此,探索适合银行不同类别操作风险特点的管理和计量方法,是一项十分重要而紧迫的课题。
一、操作风险管理的困惑与问题
到目前为止,有关操作风险的定义、管理及计量问题一直困扰着各家商业银行和监管机构,国内外银行也未对它形成统一的认识。本文采用至今已被大多数银行所接受的巴塞尔银行监管委员会有关操作风险的定义,即由于不完善或有问题的内部程序、人员和系统或因外部事件导致损失的风险。新资本协议从风险监管的角度将操作风险事件划分为七种类型,包括内部欺诈,外部欺诈,雇员活动和工作场所的安全问题,客户、产品和业务活动的安全问题,银行维系经营的实物资产损坏,业务中断和系统故障,执行、交付和过程管理等。就其风险成因可分为人员、流程、系统和外部事件四大类。此外,按产品线将商业银行的业务划分为公司金融、交易和销售、零售银行业务、商业银行业务、支付和结算、业务、资产管理和零售经纪类,并对每一类产品分别规定不同的操作风险资本要求系数,籍以用标准法计算操作风险总体资本要求。
巴塞尔委员会给出了管理操作风险的十大原则,但这些原则都是从宏观角度要求商业银行应该建立什么
样的组织、制度和流程,并未给出管理操作风险的详细方法和手段。实际工作中,我们发现信息资产是商业银行极其重要的一类资产,在信息时代,一个机构要利用其拥有的资产,特别是信息资产来完成其使命,因此,对信息资产的管理关系到该机构能否完成其使命的大事。然而,由于信息资产对IT系统的依赖性很强,绝大部分具有无形化、易变化、易传播的特点,且风险存在于其产生、传递、使用和销毁等各个环节,与一般银行产品相比,具有很大的独特性。所以,我们建议将此类资产作为商业银行一类独特的产品线来进行管理。在实践中,我们发现ISO27001为有效管理组织的信息资产、确保信息安全提出了一整套要求和最佳实践指南。它从11个方面对信息资产的安全管理提出要求,其管理思想完全符合操作风险的管理原则,并且是在其原则基础上的细化,如高层管理的支持和承诺、资源管理、风险评估、内部审核、信息的沟通、有效性测量和改进,等等。可见,ISO27001不仅适用于多数IT软硬件开发等企业,同时也适用于银行、保险等信息化程度较高的金融行业。
因此,我们希望能够使用ISO27001的管理标准来细化商业银行信息资产类产品的风险管理,进而按照操作风险管理的总体原则与其他类产品进行融合,最终实现在总体框架要求下对信息资产类操作风险的细化管理。
二、ISO27001简介
ISO/IEC27001源自英国标准协会制定的BS7799,包括两部分内容:BS7799―1信息安全管理实施细则和BS7799-2信息安全管理体系规范。其中,BS7799-1被ISO组织吸纳为ISO/IEC17799,BS7799-2升版并转换为国际标准ISO/IEC2700I,它是建立信息安全管理体系ISMS(Information se-curity Management systems)的一套需求规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,指出组织应遵循的风险评估标准。
信息是一种资产,就像其他重要的业务资产一样,对组织是不可或缺的,需要妥善保护。根据ISO/IEC27001的定义,资产是对组织有价值的任何东西。它能以多种形式存在,如有形资产(硬件、软件、数据文件、人员等)、无形资产(声誉、品牌、客户关系等)、辅助资产(信息资产的制造、存储、传输、处理、销毁等)。信息安全就是指保持这些资产的机密性、完整性和可用性。另外,也可包括诸如真实性、可核查性、不可否认性和可靠性等。
1 机密性――信息具有不能被未授权的个人、实体或者过程利用或知悉的特性。
2 完整性――保护资产的准确和完整的特性。
3 可用性――根据授权实体的要求可访问和利用的特性。
企业的业务战略以企业的资产来得以体现,但资产自身不可避免地带有漏洞,我们称之为资产的脆弱性。外界的威胁则利用资产的脆弱性,给企业带来风险。信息安全就是要保护信息资产免受威胁的影响,从而确保业务的连续性,缩减业务风险,最大化投资收益并充分把握业务机会。构建信息安全管理体系,就是通过对组织信息资产的风险评估,确定重要信息资产清单以及风险等级,从而采取相应的控制措施来实现信息资产的安全性。信息安全管理的核心是风险管理,其对象是组织的信息资产。我们将其作为操作风险管理产品线之外的第九类特殊产品线,评估其价值和风险,确定相应的安全需求,并制定安全措施来降低和控制资产的风险。
可见,信息安全风险,是指由于系统存在的脆弱性、人为或自然的威胁导致安全事件发生的可能性及其造成的影响,包括由于IT流程缺陷、系统的业务需求/流程控制缺陷、信息系统脆弱性、操作人员无意/蓄意失误、外部事件等因素直接导致业务操作风险并间接导致信用、市场、声誉等风险。它不仅存在于应用系统及IT基础设施等信息资产中,而且存在于业务流程及管理流程中。ISMS是通过实施一整套适当的控
制措施来实现目标的,包括策略、过程、程序、组织结构和软硬件功能,他们可以是行政、技术、管理、法律等方面的。IS017799包含了11个管理要项,既有偏重管理的信息安全方针、安全组织、资产管理、人员安全、物理和环境安全、事故管理、业务连续性管理、法律符合性等方面,也有偏重于技术的通信和操作管理、访问控制、系统开发和维护等内容,每一部分都针对不同的主体或范围,在这11个管理要项中,它又细分为39个控制目标和133个控制措施。可以说,ISO/IEC27001是目前国际上关于信息安全管理要求最全面、最完整的体系,可有效防范信息资产风险,从而进一步巩固操作风险的驾驭能力,保证组织核心业务的持续运行。
三、基于风险的信息安全管理体系的构建
信息安全管理体系是基于业务风险方法建立、实施、运行、监视、评审、保持和改进信息安全,提出了基于戴明环的Plan-Do-Check-Act(PDCA)风险模型,强调全过程和动态的控制,如图所示。它的设计思路充分体现了“过程方法”的特点,以过程为控制对象,在业务和风险管理过程中控制风险,实现持续改进,并达到监管方要求实现的事前、事中、事后全程控制。
(一)策划并建立信息安全管理体系
1 确定安全方针和范围
信息安全管理体系可覆盖组织的全部或部分,组织需根据业务特征、地理位置、资产和技术等明确界定体系的范围,并使之文件化。另外,要制定ISMS方针和策略,它是指导如何对组织信息资产进行管理的规则,是构建信息安全管理体系的宗旨。它表明了管理层的承诺,提出组织管理信息安全的方法,为组织的信息安全管理提供方向和支持。
2 资产的识别和评价
资产管理是实施有效ISMS的基础,也是风险评估的核心内容。资产管理的优劣直接影响评估的效率和质量以及保持循环评估的连续性,而且有助于预见这些数据在之后风险分析中的重要作用。
资产识别A:为保证资产识别的合理性,建议组织从业务流程角度(纵向比较)和信息活动(横向比较)两个角度进行。在清晰识别资产后,组织应根据资产的重要性形成文件,建立资产清单,包含资产类型、格式、位置、责任人、备份信息和业务价值。
资产评价的目的是确保资产受到相应等级的保护,以保障在处理信息时指明保护的需求、优先级和期望程度。企业的所有资产都处在业务流程和相应的支持过程中,资产的重要程度,应根据其所处业务流程的位置,且与其它资产的比较中界定。通过分析资产的机密性、完整性、可用性及其它需求进行评估。对资产赋值时,一方面要考虑资产购买成本,另一方面也要考虑当这种资产的机密性、完整性和可用性受到损害时,对业务运营的负面影响程度。
3 风险评估
资产管理和风险评估是相辅相成,紧密相连的。在实际操作过程中,资产管理数据可为风险评估提供支持;而每次风险评估正是对资产管理数据进行修正和维护的过程。因此,定义全面合理的信息安全风险评估方法及风险可接受准则是十分关键的。评估方法要和组织既定的体系范围、安全需求、法律法规相适应。另外,组织应建立风险评估文件,解释和说明所选择的风险评估方法,介绍所采用的技术和工具。
(1)威胁识别T:威胁是对组织及其资产构成潜在破坏的可能性因素或事件。评估者应根据经验和有关统计数据判断威胁发生的频率或概率。
(2)脆弱性识别V:弱点是资产本身存在的,若被威胁利用将引起资产或目标的损害。我们将针对每一项要保护的信息资产,找出每一种威胁所能利用的脆弱性,并对其严重程度进行评估,为其赋值。
(3)对已有安全控制措施进行确认。
(4)建立风险测量的方法及风险等级评价原则,结合资产本身的价值、威胁发生的概率、威胁利用弱点的影响程度和已有控制等来确定风险的大小与等级R。即R=f(A,v,T)=f[Ia,L(Va,T)],其中Ia表示资产的重要程度;Va表示某资产本身的脆弱性,L表示威胁利用脆弱性对资产造成安全事件的可能性。
(5)识别并评价风险处理的方法,包括接受风险、降低风险、规避风险、转移风险等。组织应加以分析,区别对待所识别的信息安全风险。若风险满足组织可接受的风险准则,将接受风险。否则,考虑规避风险或转移风险。若无法规避或转移的风险,应采取适当的控制措施,将它降低到可接受水平。
(6)选择控制目标和措施
选择并建立文件化的控制目标和措施,制定风险处置计划。ISO27001系列强调在风险处理方式及控制措施的选择上,组织应考虑发展战略、组织文化、人员素质,并特别关注成本与风险的平衡,以满足法律法规及相关方的要求。另外,实施控制措施后仍会有残余风险存在,我们需要密切监视这些风险,防止它诱发新的风险事件。
(7)获得最高管理者的授权批准
风险识别和评估对后续可行的风险监测和控制至关重要。有效的风险识别要同时考虑内部因素(如企业结构、性质、文化以及人员的素质和流动性等)和外部因素(如环境的变化和技术的发展),他们可能对组织目标的实现造成重大不利影响。在识别绝大多数潜在的不利风险的同时,组织还应该评估自身对这些风险的承受能力。通过有效的风险评估,组织可以更好地掌握其风险状况和最有效地使用风险管理资源。
(二)实施并运行信息安全管理体系
阐明并实施风险处置计划。在此过程中,组织应指明和分配适当的管理措施、资源(人员、时间和资金)、职责和优先级。针对不同的管理层次、岗位和职责制订不同的培训计划,记录并考核培训的效果。通过提高全员的信息安全意识,塑造企业的风险文化,保证意识和控制活动的同步,确保体系的持续有效性和实时性。同时,组织应搜集证据、记录信息安全管理活动,为将来的评审、检查做准备。
(三)监视并评审信息安全管理体系
监控、评审阶段主要用来加强、修订及改进已识别的控制措施和解决方案。对不合理、不充分的控制措施应及时采取纠正和预防。组织可通过多种方式检查和监视信息安全管理体系的运行状况,如收集安全审核的结果、事故、以及所有相关方的建议和反馈;定期评审残余风险和可接受风险的等级;通过内部审核和管理评审检查信息安全管理体系的有效性、符合性等。此外,组织应做好记录,并报告影响信息安全管理体系有效性或业绩的所有活动、事件。
(四)改进信息安全管理体系
基于评审结果或其他相关信息,采取纠正和预防措施,以持续改进信息安全管理体系,开始新一轮的PDCA循环。改进活动和措施必须获得所有相关方的认可,并确保达到预期目的。
四、信息资产类操作风险管理的实施建议
柜面业务风险是指银行网点柜台在为客户办理账户开销、现金存取、支付结算等业务过程中存在的使银行或客户资金遭受损失的风险,是银行操作风险的主要领域。近年来,随着国内商业银行业务范围的扩大以及业务集中处理模式的不断推进,各类相关操作风险亦产生变化和转移。大量的差错事故、法律纠纷和经济案件风险不仅给相关银行带来了极大压力,也给银行全行业造成巨大的财务损失。基于金融业自身的性质,柜面业务操作风险及其管理一直客观存在于银行业。因此,有效地、全面地、科学地做好柜面业务操作风险控制对促进商业银行的良好发展具有重要的意义。
本文在分析商业银行柜面业务操作风险因素的基础上,探讨了风险管理对策:
一、商业银行柜面业务操作风险因素
柜面业务作为银行的前端和基础业务,尽管近年来我国各大商业银行通过内控机制建设、业务系统完善、加强监督管理及明确管理职责等管理措施在加强柜面业务风险控制方面做了大量工作,但柜面业务案件事故依仍屡见不鲜,表明商业银行柜面业务操作中仍存在着一定的风险因素:
(一)柜面业务监督稽核体系不完善
我国大部分商业银行为防止柜面操作风险,在后续监管、事后稽核、会计检查和审计监督三大体系的多重把关,建立了一套较为完整的柜面业务监督稽核体系,但也存在一定的不足:一是各体系间的协调规划缺乏统一性,导致检叠和监督空白现象存在;二是各体系监控信息共享机制不完善,整体协防作用不够突出;三是对柜面业务检查仍按照传统以历史业务交易为重点,以审查凭证资料等为主要手段,对欺诈、盗窃、贪污等深层问题难以发现,监控效果不佳。
(二)柜面业务管理制度存在缺陷
银行案件事故的发生多伴随着违规操作和有章不循现象,因此规章制度本身的合理性与否是银行柜面业务操作风险发生的重要因素。目前,我国商业银行柜面业务管理制度存在缺陷主要表现在:一是灵活性不足,制度规定过于空洞、笼统和部分条款过于僵化,不能很好指导业务实践;二是过于强调业务事中风险的管理,未能真正增强事前、事后的控制作用;三是过于庞杂,频繁修改,缺乏稳定性,导致柜员理解、掌握困难。
(三)柜员业务素质和风险控制水平亟待提高
银行柜员是柜面业务办理的主体,柜面风险控制的有效性必须依赖柜员的业务素质和风险控制水平。然而在实际工作中,银行对这方面的关注和重视不足,柜员缺乏风险控制知识的学习以及风险控制点的把握,导致操作失误、疏忽现象时有发生。
二、商业银行柜面业务操作风险管理对策
针对商业银行在柜面业务操作中存在的体系、制度及人员风险因素,商业银行应加强全面管理,最大限度控制和化解风险隐患,确保全行安全运营。
(一)完善柜面业务监督稽核体系,重构柜面业务风险控制方案
银行柜面业务监督稽核体系只有构成多层次、多角度的框架,既有宽广的平台,又有纵深的架构,才能形成统一的内控监督平台,在统一的内控监督体制中发挥作用,使内控机制更加健全有效。目前,我国商业银行应可从以下几个方面来完善柜面业务监督稽核体系:一是在体系协调规划方面,各监督稽核体系应统筹安排,各负其责,各有侧重,相互补充,相互配合,对综合性、全行性大检查,实施部门联动监督稽核,提高检查效果。并实现人员互补,对于全行性的案件排查、合规检查、重点区域巡视,形成人员互相支持、统一调度、合理配备的风险控制格局,提高风险管理效果。二是在监控信息共享方面,各监督稽核体系应加强汇报与沟通,互通检查报告,互通检查结果,统一对全行揭示风险,形成资源共享的平台。逐步将审计业务系统转化为内控监督管理系统,在信息技术上满足不同部门的需求和使用。三是在监督级核方式上,着力推进稽核监测向件防范方面转变,不断加强柜面业务重要部位和环节的专项稽核检查工作,如“电子渠道交易业务”、“对公账户资金频繁转个人”等交易事项专题稽核,深挖问题风险源,不断优化调险预警模型和监测规则,从而促进稽核工作深度和广度的提高,进一步增强集中稽核对交易风险的监控和识别能力。
(二)完善柜面业务管理制度建设,取得风险管理实效
只有更好的应用和服务于实践,管理制度的建立才能发挥作用,彰显意义,才能取得实效。针对目前我国商业银行柜面业务管理制度存在的问题,应从以下几个方面着手加以完善:一是探索“自下而上”的管理制度制定模式。制度是对银行业务操作进行规范的具体指南,其制定必须从实际出发、与执行的客观环境相适应、与基层的风险控制实践想吻合才能体现实践性意义。因此,商业银行在柜面业务操作管理制度的制定中不仅要注重先进性和理论性原则,更要强调对基层员工意见的听取和采纳,对部分操作性强的规章应探索“自下而上”的制定过程,使之更为科学合理,更好的指导实践。二是进一步完善和加强事前、事后监督、业务检查和审计监督的职责分工管理条例,防止职能重合和管理真空,实现柜面业务的全过程持续性监测。三是细化条例。以总行办法为指引,统一业务操作规范及监督、检查等管理标准。并细化总行办法,遵循“大统一、小补充”的原则,并保持必要的稳定,促进柜员理解、掌握,更好地预防柜面业务风险。
(三)提高柜员业务素质和风险控制水平,提升防范操作性风险能力
商业银行应加强柜员的业务素质培训和风险意识教育活动,组织柜员利用晨会、业余时间进行学习,对重要业务、重点环节、重大事项及工作中遇到的疑点、难点进行分析,探讨,熟悉柜面业务的风险环节和控制措施,提高风险控制意识。同时,对同类问题和风险点进行每月归集整理,做检查通报和风险提示,并分析问题成因和存在的风险因素,制定解决措施,充分利用内外部检查结果,举一反三,对照检查,杜绝类似问题重复发生,从而提升柜员防范操作性风险的能力,提高风险管理水平。
三、总结
柜面业务操作风险管理是加强银行内部控制、防范金融风险的重中之重,针对商业银行在柜面业务操作中存在的体系、制度及人员风险因素,银行应对现有的规章制度、机制体系及柜员素质等进行全方位的规划协调,使风险管理更为科学合理,提高风险管理水平。
参考文献
关键词:商业银行;操作风险;人员因素
近年来,国内外银行因未能妥善管理操作风险而遭受重大损失的事件迭出不穷,诸如2008年震荡欧洲金融的法国兴业银行欺诈案等。随着这一系列由操作风险所导致的金融案件的相继暴露,操作风险作为一种古老的风险引起了人们的注意和重视,不论是学术界还是金融界再次兴起了研究操作风险的热潮。
一、商业银行操作风险理论概述
1.操作风险的定义及分类
操作风险在商业银行产生和发展过程中始终如影随形。尽管操作风险很早就被提出来了,但直到20世纪90年代才成为学术界讨论的热点。对于操作风险的界定,目前还没有统一的观念与认识。巴塞尔委员会于2004年给出了操作风险的定义,即由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。该定义包括法律风险,但不包括策略风险和声誉风险。巴塞尔委员会给出的操作风险的定义是从银行监管者的角度来界定的,对银行经营上有警示作用,但并不能完全满足各个商业银行进行实际的操作风险管理活动,因而各国商业银行大多以此为基础,纷纷制定适合自身环境的定义。
《巴塞尔新资本协议》按风险成因划分将操作风险划分七类,包括内部欺诈,外部欺诈,就业政策和工作场所安全,客户、产品及业务活动,实物资产损坏,业务中断和系统失败,执行、交割及流程管理。在这七类操作风险类型中就有六类与银行内部人员相关,是由于有意或无意的人为操作失误所造成。
2.操作风险的特征
市场风险、信用风险以及操作风险是目前商业银行面临的最主要的风险。操作风险主要有以下特征:第一,显著的内生性。操作风险始终存在并内在于各个业务操作之中,只能防范却不能消除,表现为可控的内生性风险。而信用风险和市场风险则主要是由外部因素引发的,具有外生性特点。第二,广泛覆盖性。市场风险和信用风险仅涵盖于商业银行部分业务环节之内,而操作风险却分布广泛,几乎渗透于商业银行所有业务环节中,具有广泛覆盖性。第三,较强的人为性。信用风险和市场风险主要受经济环境等外部因素影响,而操作风险与人的关系密不可分,操作风险存在于所有的与人员操作相关的业务环节中,具有较强的人为性。第四,不对称性。信用风险和市场风险的风险与收益存在对应关系,风险越大则收益就越高。但不适用于操作风险,商业银行承担较高的操作风险往往带来难以预料的损失,是一种纯粹的风险。
3.引发商业银行操作风险的动机分析
基于委托理论,商业银行与其从业人员之间存在着委托问题。作为理性的经济人,银行从业人员追求的是自身利益的最大化, 银行追求的则是银行利润的最大化,而这种利益的冲突就是商业银行发生操作风险的根本所在。当面临极大的利益诱惑时,银行从业人员往往会违规操作,不惜一切代价采取各种手段谋求利益,诸如银行人员通过欺诈的方式骗取银行资金为自身牟利等。
但是,促使银行从业人员违规的动机并只是单纯的个人收益的最大化。马斯洛需求层次理论告诉我们,人类不但有维持生存的生理需求,还有追求荣耀、渴望被尊重等更高层次的需求。同样,银行从业人员也会谋求自我尊重和他人尊重以及个人理想等的自我实现。因而,银行从业人员有动机进行其认为可靠的能够带来巨额收益的投资,以此赢得同行人员的尊重和管理层认可、赏识。
二、基于人员因素对法国兴业银行亏损案的分析
1. 法国兴业银行事件及其人为性特征
一提到“操作风险”,时隔今日映入人们脑海的首先是巴林银行事件,它俨然成为了操作风险的代称。当我们对巴林银行倒闭案进行全程回顾时,我们很难忽视巴林银行肇事者尼克・里森及其银行高管在促使巴林银行最终破产倒闭的过程中充当的角色。巴林银行倒闭事件震惊了国际银行界, 操作风险的高危性和破坏性使得金融界、各国监管部门和理论界备受震惊,开始高度关注操作风险。
然而,历史的悲剧再次上演,2008年法国兴业银行发生高达49亿欧元的亏损案,使得法国兴业银行一度陷入危机。同巴林银行事件如出一辙, 交易员盖维耶尔未经授权违规交易股指期货,最终使得法国兴业银行遭受巨额损失,并且创下了史上单笔金额损失最高的纪录。法国兴业银行巨额亏损事件充分体现了操作风险对商业银行的影响。在此之前,法国兴业银行一直以其出色的风险控制而闻名于世, 然而盖维耶尔一个人的行为却给这个老牌的银行带来了巨大的灾难。
由此可见,人员因素引发的操作风险对商业银行的影响巨大、危害极高。因而,操作风险具有显著的人为性,商业银行在操作风险管理活动中需要高度重视人员因素。
2.影响商业银行操作风险的人员因素分析
(1)薪酬制度及激励机制
商业银行的薪酬制度及激励机制对银行员工的思想行为具有极大的影响力。一般而言,商业银行提高员工的薪酬待遇,并将其薪酬等级与业绩水平相挂钩,能够缓解银行与员工因委托关系而产生的利益冲突,从而减少由银行内部人员导致的操作风险事件。然而,银行提高薪酬不一定就能够降低商业银行操作风险。过高的薪酬待遇水平,相反可能会激起银行员工追求高风险的热情,从而增加了操作风险发生的几率。此外,由马斯洛需求层次理论可知,银行人员在满足基本的生存需求之后可能会进一步追求更高层次的需求,诸如期望获得主管和同事的认可和尊重等。因而,要想减少银行人员处于以上动机而导致的操作风险事件,就必须改变过于激进和一味追求业绩的企业文化。
法国兴业银行是银行激进派的代表,倡导激进的企业文化,鼓励员工不断提升业绩水平。法国兴业银行的交易员最终拿到的薪酬及奖金与其业务绩效水平直接相关,即业务绩效水平越高,交易员的薪酬及奖金就越高,也就更有可能获得赏识和晋升。受这种激励机制的影响,交易员往往甘于冒险,为银行赚取更高的利润,当然也给银行留下了风险的隐患。
虽然盖维耶尔此前在法国兴业银行很努力地工作但由于是二流商学院的毕业生,却并不受重视。作为一名普通的交易员,盖维耶尔如果拿不到奖金,他就只能拿取较低的基本薪水。因而,他极其渴望得到身边同事的认可和尊重并期望获得上司的赏识和提拔。在这种心理动机影响下,盖维耶尔开始进行违规操作,未经授权而投机股指期货,最终使法国兴业银行以损失高达49亿欧元的惨烈局面而收场。
由此可见,“唯业绩论”的薪酬制度及激励机制,加重了银行从业人员的赌徒心理。银行员工为了提高自身的业绩而为商业银行赚取高额利润进而获取同事的尊重及上司的认可提拔,往往会铤而走险,由此增加了商业银行发生操作风险的可能性。
(2)内部控制机制
商业银行健全的内部控制机制能够及时有效的对操作风险进行防范和控制,从而最大限度地减少由银行人员导致操作风险发生的几率。法国兴业银行事件的发生直接是由期货交易员盖维耶尔对金融产品走势的判断失误引发的,然而其深层原因在于法国兴业银行的内控机制存在缺陷而引发操作风险。
通过分析法国兴业银行的内部环境,我们可以发现法国兴业银行激进、高绩效的企业文化使得员工将风险置于脑后,而管理人员置之不管使得原本严格的审核制度近乎形同虚设。风险控制部门没有坚守职业操守,风险评估过程存在严重问题,轻信了盖维耶尔的谎言。另外,法国兴业银行没有考虑到不相容岗位人员的流动问题。
盖维耶尔在做交易员之前,曾经供职于监管交易的多个部门,因而对风险控制流程极为熟悉,经验极为丰富。凭借着曾供职于中后台多年的经验,利用技术漏洞以及内部监督的缺失,他刻意地避开了监控系统进行较长时间的违规操作。因此可见,有效地内控机制对商业银行风险防范和控制能力意义重大。
三、针对人员因素完善商业银行操作风险管理的建议
1.完善薪酬制度及激励机制
科学合理的薪酬制度及激励机制关系到商业银行经营绩效的优劣和人力管理的成功与否。商业银行不应该把员工的业绩水平作为考核评价的唯一标准。商业银行在考虑对员工进行加薪以及职位晋升时,应该综合考虑员工在任职期间的表现,诸如员工是否有违规操作行为,以及违规操作造成的损失程度等,并应该加大这一比重。商业银行要使其激励机制有效发挥作用,就必须将惩罚机制与激励机制有机结合,一方面要对银行人员的出色业绩进行奖励,另一方面要加大对银行人员违规行为的惩罚力度,并将员工因违规操作导致损失的行为计入档案,以此警戒员工。
尽管法国兴业银行已经建立了较完善的操作风险管理体系,但并未真正发挥作用。这与它的企业文化密不可分。因而,要想改变商业银行“唯业绩论”的文化理念,就必须重视风险管理文化的构建,有效培养上到管理层、监管层下到普通职员的操作风险意识,营造操作风险管理的整体氛围。
2.完善人员管理
银行操作风险管理的实质是对人的管理,操作风险管理必将落实到每个员工的具体操作上。
商业银行在进行新员工招聘时要提高甄别能力,科学合理的判断应聘人员的真实水平,而不只是看其学历水平。另外,员工的能力与岗位要相匹配。减少如盖维耶尔因不被上司认可强烈期望证明自己而越权违规操作行为,进而降低操作风险发生的可能性。在人员选拔任用上,要改变以往重业务轻管理、重绩效轻品行的情况。
商业银行要加强对员工的职业操守和价值观进行教育和培训,不断增强员工的操作风险防范意识,提高员工的道德素质和业务素质,引导员工树立正确的风险价值观,促使员工坚守职业道德和职业操守,从而减少操作风险事件的发生。
3.健全商业银行内控制度
健全的内部控制制度,能够使商业银行及时有效发现银行人员在业务活动中的违规操作行为,从而迅速采取有效措施进行控制,由此降低操作风险的发生的可能性。内部控制机制是一个整体系统,可以将操作风险管理与培训、绩效考核、薪酬福利联系在一起。针对内部监督的缺失,商业银行应该设立独立的部门专门对银行的交易活动进行监督,并对内控系统的各个环节进行严格检查以防范操作风险的发生。此外,商业银行在进行风险控制时,除了贯彻不相容岗位相分离的原则外,还要重视不相容岗位人员的流动问题,对这些人员的业务活动务必要进行严格审查和有效监控。
综上,人员因素引发的操作风险对商业银行造成的影响极为重大。操作风险管理是一个长期的、不断探索过程,要注重操作风险控制文化的培育、完善内部控制制度、制定合理的薪酬及激励制度以及加强人员的管理。(作者单位:中国海洋大学)
参考文献:
[1]巴塞尔委员会新资本协议
[2]梁红霞.商业银行操作风险案例研究[D].西南财经大学 2010
[3]胡为民.法国兴业银行:小交易员捅出的大窟窿[J].商学院,2010,(12)
[4]张跃,张启文.由法国兴业银行事件谈商业银行操作风险管理[J].商业经济,2010,(5)
[5]李志辉.从法国兴业银行欺诈案看商业银行操作风险管理[J].中国金融,2008,(11)
文章编号:1003-4625(2008)01-0043-04 中图分类号:F830.2 文献标识码:A
一、引言
国际银行业监管的理论和实践将银行风险分为市场风险(Market Risk)、信用风险(Credit Risk)和操作风险(operational Risk)三类,新巴塞尔资本协议将操作风险也纳入风险资本的计算和监管框架。
2003年4月公布的《新巴赛尔资本协议》征求意见稿(第三稿)中,商业银行操作风险被定义为:指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。委员会认为这一定义对于操作风险的度量和管理很合适,有利于金融机构对操作风险的管理。该定义包括法律风险,但不包括战略风险和声誉风险,而且,从风险所要求的资本配置来讲,对策略风险和声誉风险进行衡量并配置资本几乎是不可能的。
现有研究表明,操作风险损失是银行业风险的重要来源,其对风险资本要求的影响甚至可能超过市场风险。操作风险与市场风险、信用风险存在显著的不同,其构成更复杂,难以结构化,风险暴露不清晰,不同个体间存在较大的差异,并且对风险发生的特定环境具有高度依赖性。另外,操作风险研究的历史也不长,历史数据与建模经验都很少,而且操作风险事件发生频率很低,但一旦发生易造成极大的损失,甚至会导致银行破产。
鉴于操作风险的特点,致使其难以度量、管理。新巴塞尔资本协议要求用于计算监管资本的内部操作风险计量方法,必须基于对内部损失数据至少5年的观测,但现实是多数银行缺乏损失数据。如果没有一个损失的历史数据库,大多计量工具和技术如损失分布法(Loss Distribution Approach,LDA)都无法应用。贝叶斯网络模型是基于贝叶斯决策理论的因果建模技术,它是综合定性和定量方法,能比较好地分析操作风险发生的原因并可建立操作风险度量系统,以作为操作风险度量的基础,从而更便于操作风险管理。本文将较为详细地给出贝叶斯网络在操作风险管理上的应用。
二、贝叶斯网络模型
贝叶斯网络(Bayesian Networks,BN)又称为概率因果网络,是一种对概率关系的有向图解描述,适用于不确定性和概率性事物及用于有条件的依赖多种控制因素的决策。
已有相关文献给出贝叶斯网络在操作风险管理方面的架构。Alexander、King将贝叶斯网络引入金融领域,演示了一些在操作风险方面的应用,尤其在过程建模方面。Kwabena利用贝叶斯网络对外汇与货币市场的操作风险进行建模与管理。Giudici则把贝叶斯网络用来计算经济资本。
(一)简单的贝叶斯网络模型
贝叶斯网络模型是描述变量之间概率联系的图形模式,该模型使用贝叶斯法则对网络传播进行计算。其最基本、最简单的结构是由有向无环图(Di-rected Acyclic Graph,DAG)和一系列概率构成的。DAG由变量的节点及连接这些节点的有向边构成,节点代表随机变量,节点间的有向边代表了节点间的相互关系(由母节点指向其子节点,表示母节点决定子节点)。一个母节点可以决定多个子节点,一个子节点也可同时由多个母节点决定,即只要存在因果关系,母子节点的数量不受限制。
母子节点之间用条件概率来表达关系强度。为了计算过程简便,建议每个事件节点的母节点不超过两个,根节点用先验概率进行信息表达。节点变量可以是任何问题的抽象,如测试值、观测现象、意见征询等。对于两个事件X和Y,由贝叶斯法则,P(X|Y)=P(X)P(Y|X)/P(Y)
贝叶斯网络模型的特点是:如果网络中任一节点状态确定,就可以利用贝叶斯公式对网络本身进行正向或者逆向计算,从而得出网络中任一节点的概率,如图2-1所示。
(二)具有多个节点的贝叶斯网络模型
如图2-2所示,图中各节点代表随机变量,节点间的有向边代表了节点问的相互关联关系。通常认为有向边表示一种因果关系,因此贝叶斯网络也叫做因果网络。
假设各条件是独立的,即图中的各节点Xi条件独立于由Xi.的母节点给定的非Xi后代节点构成的任何节点子集。如果用N(Xi)表示非Xi后代节点构成的任何节点子集,用P'(Xi)表示Xi的直接双亲节点,则:P(Xi|N(Xi),P'(Xi))=P(Xi|P'(Xi))。
(三)与各节点相关的条件概率
条件概率表可以用P(Xi\P(Xi))来描述,它表达了子节点同其母节点的相关关系。
如果要完全表示变量的联合分布,则联合分布表需要指数级的规模,n个节点需要2n个概率表。由独立性假设,联合分布可以分解为几个局部分布的乘积:P(x1,x2,…xn)=∏xiP(xi|P'i)。需要的参数个数随网络中节点个数呈线性增长,而联合分布的计算呈指数增长,假设有n个节点,每个节点的母节点数不超过k,则概率表个数为N・2k。由于贝叶斯网络假定了条件独立性,只需考虑与该变量相关的有限变量,可以大大简化问题的求解难度。
因此,基于贝叶斯网络的推理实际上是进行概率计算。由于条件独立性假设,在信息获取时,只需关心与节点相邻的局部网络图,而在推理计算时,只需知道相关节点的状态就可估计该节点的发生概率。另外,贝叶斯网络可以综合先验信息和样本信息,在样本很少时也能发现数据之间的因果关系,适合处理不完整数据集,这是其他模型难以达到的。如果确定了网络中任一节点的状态,就可以利用贝叶斯规则在网络中进行正向或逆向的计算,从而得出网络中任一节点后来变化的概率。
三、贝叶斯网络模型的应用
(一)关键风险指标与关键风险诱因的设计
关键风险指标(Key Risk Indicators,KRI)是指能够给估计操作风险损失提供可靠基础的一系列财务或者操作的指标体系。这些指标在一定风险管理框
架中,对业务活动和环境进行监控,有助于动态化的操作风险管理。实际工作中可以给这些指标分别设置一个阈值(Threshold),当指标超过或者低于这个阈值时,需要采取相应的干预措施。引起风险的随机因素,可以用关键风险诱因来定义。关键风险诱因(Key Risk Drivers,KRD)就是一些风险特质,它们是KRI发生的主要诱因,这些诱因可以用来监测各具体业务单元和风险损失类型的KRI。管理者对业务深入了解后,可以通过控制关键风险诱因来控制风险。银行操作风险的关键风险诱因与关键风险指标如表3-1所示。
(二)贝叶斯网络模型框架的设计
关键风险指标在网络中是目标节点,KRD作为母节点,通过贝叶斯公式就可以确定任一节点的概率和条件概率。在KRI超过预先设置的阈值时,管理者就能够方便地找到影响具体风险指标变化的诱因排序,以采取相应手段控制排序中最重要的诱因,有效地控制风险。
框架结构如图3-1所示。风险为内部欺诈,关键风险指标为前台操作差错率。前台操作差错导致了内部欺诈,造成巨大的操作风险损失。关键风险诱因可以设为员工培训、薪酬制度、业务系统复杂程度、员工效率、日处理笔数。差错率阈值如设为0.03%,当大于等于0.03%时,风险经理就要采取措施控制内部欺诈风险了。
贝叶斯网络模型有正向和逆向两种分析方法,即情景分析和因果分析。情景分析是一种多因素分析方法,结合设定的各种可能情景的概率,研究多种因素同时作用时可能产生的影响。实践中可以假设其他条件不变,通过贝叶斯法则计算提高日工作量出差错的概率是否发生显著变化。如果明显变大,说明日处理笔数过多造成了差错率急剧增加,可以考虑增加柜员人数减少差错率;如果不显著,说明日处理笔数这个因素不起主要作用不用调整。通过情景分析,能找到多因素对差错率的影响。因果分析和情景分析方向正好相反,它是假定一个结果情况概率,反过来确定哪个因素对它起到主要作用。
实践中我们可以分别给出部分节点概率和条件概率,通过贝叶斯法则就可以正向或逆向推导出任何一个节点的条件概率。
(三)贝叶斯网络模型应用实例
经营活动中由于人员所造成的损失通常叫做人员风险,这些可能归因于员工缺少培训、薪水过低、较差的工作气氛、关键员工少等。人员风险的一些经营数据便于得到,如员工培训费用、班次周转频率等,但是人员风险仍是最难以度量的,因为许多因素都是主观的。
下面用一个定量分析人员风险的例子分析贝叶斯网络模型在商业银行操作风险管理上的应用。假设一个零售业务部门经理依经验判断,他的员工有25%的时间不努力工作,对客户提供了不周到的服务,这意味着他们只有75%的时间能为客户提供周到的服务(先验概率)。在提供周到服务的条件下,有80%的客户表示满意并签约(保持业务往来),即在顾客满意的情况下不能签约的概率是0.2。但由过去的经验,当员工不努力工作时,顾客抱怨的次数会快速上升,这时不能签约的概率从0.2上升到0.65。也就是说,在他们偷懒或者没有全身投入的情况下,只有35%的客户会依然青睐于该银行(条件概率)。而目前的情况是客户流失日益严重导致签约数量急剧下降,该经理想知道除了金融环境的竞争越来越激烈外,团队本身应该负多大的责任。换言之,他的团队有多少时间提供了周到的服务(后验概率)。
假设X为事件“提供服务”,Y为事件“签约”。当Y=1,表示“成功签约”;当Y=0,表示“签约失败”。同样的,当X=1,表示“服务周到”;当X=0,表示“服务不周到”。如上所述,最先的判断应该是P(X)=0.25,而且P(Y)=P(X)P(Y|X)+P(X)P(Y|X)=0.256*0.65+0.75*0.2=0.3125。而给出不满意服务的事后概率后,通过贝叶斯规则计算顾客不签约的概率为:P(X=0|Y=0)=P(Y=0|X=0)*P(X=0)|P(Y=0)=0.65*0.25/0.3125=0.52。
现在可以确定,当“签约失败”事件发生时,该零售业务部门不是只有25%的时间未提供令人满意的服务,而是有52%的时间处于松散怠慢状态,未能提供良好的服务。这与当初的判断即25%的时间不能努力工作相差很大,原因在于“签约失败”这个信息的加入。
将上述案例扩展,增加一个随机事件“金融环境(Market)”,DAG模型图、先验概率及条件概率数据分别如图3-2、表3-2、3-3所示。
四、贝叶斯网络模型的评价
贝叶斯网络(BN)模型容易进行情景分析,有助于识别风险因子并确定相关关系,可用于度量一系列的操作风险,包括难以量化的人员风险等。它提高了风险管理的透明度,给分析者描绘了整个经营过程,对同一个问题可以建立无数个BN网络框架,这种网络框架的设计不仅对个人选择开放,而且在某些问题上数据可以主观选择。另外,BN可以进行返回检验,因此就能够判断哪一个是最好的网络设计,哪一个是对非量化变量最好的估计。
在银行及其他金融机构中应用贝叶斯网络进行操作风险管理有如下优点:
(一)贝叶斯网络不仅给出了在证据确定情况下由先验概率更新为后验概率的方法,还给出了在证据不确定情况下更新先验概率为后验概率的方法,是一种比较实用又灵活的不确定性推理方法,已经成功应用在专家系统中。
(二)一个贝叶斯网络与可能影响操作风险的因素(关键风险诱因)、风险度量以及企业风险指标相关,这种风险分析模型可以给出行为多样化的确切原因,而且当一种关键风险指标作为目标节点后,贝叶斯网络可以应用于确定“阈值”以评价风险控制的有效性。
(三)既可以对引致操作风险的因素进行分析,也可以对市场风险因素以及信用风险因素进行分析,风险经理可以集中精力关注那些对操作风险影响最大的风险因素,并且将操作风险的度量与市场风险和信用风险结合起来。
(四)贝叶斯网络模型解决了操作风险管理中历史数据缺乏的问题,通过情景分析和因果分析能得到影响关键风险指标的关键诱因排序,从而能有效进行风险控制。在当前银行历史损失数据比较匮乏的情况下,贝叶斯网络模型是一个非常直观、有用的操作风险管理工具。
同时,我们也应该看到,贝叶斯网络模型实质上是一个多元化的概率分布模型,它要求领域专家在给出规则的同时,给出一定事件的先验概率,这是比较困难的。另外,关于事件独立性的要求使该方法的应用受到一定限制,这需要专家的经验。运用其进行风险控制,不仅要具体考虑到企业因素,还要考虑到管理者的作用,需要真正有不数据后去验证它的有效性。
二、我国银行业操作风险管理的现状
(一)操作风险的定义
一般意义上讲,操作风险,指因操作流程不完善、人为过失、系统故障或外来因素所造成的经济损失,广泛存在于银行经营管理的各个领域,是银行经营管理面临的基础风险之一。商业银行日常工作中,典型的操作风险事件包括内部欺诈,外部欺诈,雇佣合同以及工作状况带来的风险事件,客户、产品以及商业行为带来的风险事件,有形资产的损失,经营中断或系统出错,涉及执行、交割以及交易过程管理的风险事件。
操作风险事件难以在事前充分预期,并往往来源于制度、系统缺陷和人员舞弊行为,具有较强的内生性,即使建立相对完善的内控制度和监督检查机制,也难以充分预计未来持续期内的所有变动因素并彻底杜绝内部舞弊所造成的违法犯罪行为。
(二)操作风险管理滞后于发展。在全球经济一体化、社会与经济环境快速发展、商业银行全球化和综合化经营的趋势下,金融创新层出不穷。金融产品、服务的复杂性提高, 各项业务超常规发展,操作风险的类型不断演变。在认识不到位、风险管理手段不足的情况下,发生操作风险和造成损失的可能性增加。
(三)操作风险管理尚处于起始阶段。长期以来,我国商业银行偏重信用风险和市场风险管理, 未设立独立的专业部门承担操作风险管理的职责,而是由非独立专业部门牵头负责或由各专业条线内部控制,没有形成针对操作风险的统一的政策标准,有章不循,违章操作的现象时有发生。对操作风险管理主要采取定性管理、质量控制,尚未建立起操作风险管理系统。在建立按新巴塞尔协议计量监管资本操作风险的损失事件数据库、开发和运用操作风险的资本分配模型、定量计算操作风险等方面,与国际先进商业银行以资本约束为核心的操作风险管理存在差距。
三、内审部门对防范操作风险所担负的责任
银监会的《商业银行操作风险管理指引》第十一条规定:商业银行的内审部门不直接负责或参与其他部门的操作风险管理,但应定期检查评估本行的操作风险管理体系运作情况,监督操作风险管理政策的执行情况,对新出台的操作风险管理政策、程序和具体的操作规程进行独立评估,并向董事会报告操作风险管理体系运行效果的评估情况。笔者认为上述规定应包括以下几层涵义:
(一)内部审计部门作为风险防范的第三道防线,对操作风险管理框架,以及框架在银行的建立和执行情况进行审计、监督和评价。
(二)内部审计部门对操作风险管理政策和流程的充分性和有效性进行评价。
(三)内部审计部门应当制定具体的实施办法,并合理配置审计资源,对操作风险管理政策执行情况进行评价,评价的频率根据操作风险大小和重要性等因素来确定。内部审计部门应当对重大策略改变、管理架构变动等影响操作风险管理政策的事件给予关注。
(四)内部审计部门应当将审计结果及时上报高管层,同时提供给风险管理部门。操作风险管理职能部门和相关业务部门应根据审计管理建议,按照成本收益匹配原则,对操作风险管理采取相应的改进优化措施,以保证操作风险管理机制的有效性和不断完善。
四、银行内部审计部门在操作风险管理工作中应发挥的作用
操作风险管理是当前银行风险管理的重大问题,与国外商业银行相比,国内银行在管理思想、技术、方式、水平等方面存在明显差距。同时,与信用风险和市场风险相比,操作风险又具有明显的特点:即操作风险大多是银行可控范围内的内生风险,并往往属于人的风险。如何结合操作风险的特点和银监会、国内银行的职责定位,进行系统化的操作风险管理,不仅对银行各级机构和部门是个严峻挑战,对内审部门也是一个重要课题。内部审计承担着健全与完善内控的职责,在开展操作风险管理时如何发挥作用,笔者认为目前应着重关注以下方面。
(一)关注操作风险管理架构及部门职责划分。组织架构及职责划分是风险管理的基础,是制定、完善、传导操作风险管理政策或方法的途径,是建立与各商业银行业务性质、规模和复杂程度相适应的操作风险管理体系的前提。审计人员在工作中,应按银监会相关文件规定,关注各级机构和部门有无指定牵头部门负责全行操作风险管理?各机构操作风险管理体系如何构建?职责是否清晰?分工是否重叠或适当?实施情况如何等等,为评价被审计对象的操作风险管理状况作好准备。
(二)关注被审对象操作风险管理流程的健全性和有效性。各经营机构应建立操作风险管理的清晰流程,包括对操作风险识别、评估、控制/缓释、监测、报告等环节,这是操作风险管理的制度基础。在开展审计评价时,审计人员应关注各级机构如何开展操作风险的识别与评估工作,确立了哪些关键控制环节点?日常操作风险的检查监测怎样开展?发现隐患如何报告?对于影响程度较大的操作风险事件损失或损失发生频率较多的产品,是否及时进行操作风险重检?损失是否得到及时报告等等,从而对被审计对象的操作风险管理水平状况作出合理评价。
(三)从内控检查与评价入手开展操作风险管理。落实规章制度是开展操作风险管理最直接和有效的手段。在开展工作时,内部审计应加强对关键业务环节执行情况的检查入手,从关键岗位员工的定期轮岗制度、强制休假制度、不相容岗位和职能分离情况、授权制度及对操作风险管理奖惩机制等方面展开监督检查,这些基本制度的执行情况对防范操作风险发挥着决定性作用。通过进一步加大内部控制的检查与评价力度,为防范操作风险管理发挥基础作用。
(四)提出完善内控及业务系统的方法与建议。按照多米诺骨牌理论,人员道德并不直接导致操作风险,规则及流程缺陷与人的缺陷结合才导致操作风险。完善流程和规则,纠正人的错误行为是防范风险最有效的手段。因此,内部审计应当经常检修工作流程和规则,提出消除业务系统缺陷的建议和措施,将改进与完善内部控制作为参与操作风险管理的基本方法,并纳入日常工作目标管理,如此才能较好担负起操作风险管理的职责。
(五)关注从业人员行为的监督及管理过程。《商业银行操作风险管理指引》第十七条指出:“对重要岗位或敏感环节员工八小时内外行为要进行规范;建立基层员工署名揭发违法违规问题的激励和保护制度是防范操作风险的重要措施。” 血的教训表明:情节重大且性质恶劣的操作风险(尤其内部员工欺诈与道德风险)往往与银行疏于关注员工行为相关。内审部门应当充分重视这项规定要求,要结合审计活动的开展,收集适当证据判断管理层是否采取措施认真执行了这一规定,督促管理层加强员工行为监管,为防范操作风险打下基础。
(六)加强对新流程、新产品的操作风险识别及评估。新流程与新产品不确定性因素较多,各级机构和部门在实施推广前,应当确保对新产品、新流程及新系统的操作风险的充分识别和评估。内部审计也应积极参与其中,并且,在新流程和新产品推出后,内部审计要继续跟踪了解对经营管理目标可能产生不良影响的关键风险点,对缺乏控制或控制不足的业务流程提出完善建议,对控制过度并导致服务效率低下的情况提出优化方案,促进业务健康发展。