時間:2022-10-30 08:04:48
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇操作風險管理范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
1、監督檢查不到位。管理層檢查流于形式,沒有查出或糾正操作中存在的問題。一是各種類型的檢查太多太雜,基層行、網點疲于應付;二是檢查從內容、方式方法、操作程序、整改到處理都不夠規范,存在很大的隨意性;三是檢查人員大多是從各行臨時抽調,素質、業務水平參差不齊,檢查沒有權威性,無法真正達到檢查、整改的效果。
2、業務培訓不到位。由于部分柜員素質達不到要求,又未及時參加新業務培訓,造成操作人員對新業務不熟悉,潛藏著風險隱患。’
3、制度執行不到位。制度是員工行為的準則和業務操作的規范,一切活動都要嚴格按照制度的規定執行。但是不少員工缺乏遵守制度的觀念和風險防范意識,往往有章不循、麻痹大意,加大了操作風險。
4、對操作風險重視不夠。部分員工風險意識淡薄,缺乏對操作風險的足夠認識。
5、思想教育不到位。在少數基層行,教育說起來重要,抓起來熱鬧,往往停留在表面,沒有真正深入下去,對職工的思想政治工作缺乏針對性和有效性,尤其對職工“八小時”以外的活動失去控制。有的明明知道有不良表現,但就是沒人去管。
6、短期行為嚴重。許多營業機構目光局限于完成考核任務,甚至不惜冒著違規操作的風險以實現短期業績。許多員工在操作崗位,卻被迫承擔了大量營銷任務。
制度本身存在一些問題。管理行沒有對現行制度定期進行整合,致使有些制度不夠精細、有些制度過于理想化、有些制度沒有與業務發展同步修訂,從而使制度可操作性差,某些關鍵控制點的規定存在遺漏,制度之間不能很好地銜接,甚至有的規定相互矛盾等。
缺乏保證制度執行的機制。一些單位對內部控制執行情況既沒有檢查監督,又沒有相應的獎懲措施,內部控制制度成為墻上擺設和—紙空文。
構筑操作風險管理長效機制
實踐證明,應加快構筑操作風險管理長效機制。風險控制和商業銀行自身發展密不可分,貫穿于銀行經營管理的全過程,只要是與人員相關的業務,都存在著操作風險。同時,隨著金融體制改革的深化和金融市場開放程度的不斷提高,我們面臨的風險也將與日俱增。未來的競爭,其核心是風險管理水平的競爭,操作風險更是首位。要防范和化解操作風險點,就必須去認識、研究。要抓住風險點,逐個剖析,搞清原因,采取措施,對癥下藥。因此,構筑操作風險管理長效機制非常重要。
加強對操作風險的前瞻性研究。銀行操作風險具有隱蔽性、智能性、職務性、突發性和破壞性。隱蔽時使人不知不覺,突發時讓人措手不及。要掌握其分布狀態、特征及走向,經常深入基層調查研究,聽取:—線員工意見,分析風險要害點,定期交流情況。特別是對新業務、新產品的管理要加強研究,找出隱患,分析原因,更新技術,完善制度,總結經驗。
加強對權力的制約和監督。對于管理高層:一是實行職權的分解,避免形成大權獨攬和越權、專權;建立和完善決策機制,對重要干部的任免、重要業務的決策和大額資金的運用要通過科學的論證、集體決策;二是健全民主監督制度,明確同級監督的權利和程序,建立健全民主評議、職工參與管理的民;主監督機制;三是實行權力的公開,提高權力運行的透明度,使權力在行使的過程中得到廣泛的監督。
對基層管理者:一是嚴把選拔關,二是按照規定進行交流、輪換,預防違紀違法行為和團體欺騙行為的發生。
建立和規范操作流程。要逐步建立一套有效的風險控制制度體系,如激勵機制和風險控制獎懲制度等,并定期考評。同時把各項制度繪制成清晰的工作流程圖,讓每個人都能一目了然地知道辦事程序,能夠將工作形成的好經驗固化下來,并且通過流程圖能比較容易發現內部控制中的不足之處和風險點,從而有助于內部控制的持續改進。
中圖分類號:F27 文獻標識碼:A
收錄日期:2012年2月2日
《巴塞爾新資本協議》將金融機構面臨的風險概況為三大類:信用風險、市場風險和操作風險。其中,操作風險被定義為由于不正確的內部操作流程、人員、系統或外部事件所導致的直接或間接損失的風險。這一定義同樣適用于保險業。2007年11月中國人壽湖南宜章縣支公司某位“業務明星”通過偽造收據、保單等騙取挪用公司保費1,500萬元,成為保險業有史以來最大的營銷員騙保案;同年,保監會查處新華人壽泰州支公司某副總在任職期間,利用職務之便,通過拼湊團單并截留保費,挪用退保資金,僅2003~2006年期間,涉及資金約達7,500萬元左右,被騙客戶約2,000人。以上案件的發生,都是由于保險公司內部的操作風險控制薄弱引起的,這不僅給公司造成了巨大的經濟損失,同時也給公司的聲譽帶來了不良影響。
一、保險業操作風險管理現狀
(一)保險公司對操作風險的認識不足,且管理水平較低。目前,我國保險業整體還處于粗放型經營,仍以保費收入作為經營業績的主要指標。保險企業對操作風險的認識不足,對操作風險管理的制度建設不夠重視,有些制度的建立只是流于形式,不切實際且針對性差,不能對關鍵崗位起到監督作用。
保險企業對操作風險的管理水平偏低,缺乏有效的技術手段以及防范和控制措施。對操作風險的評估目前只限于用定性的方法,主觀性較強。較之利用金融工程和統計模型對風險進行識別、度量和檢測的方法來說比較落后。而且目前對操作風險的管理多為事后控制,缺少積極主動的防范機制,不能從根本上防范重大操作風險的發生。
(二)保險業經營注重業務量的增長,對風險管理重視不夠。一直以來,我國保險業的發展都是重保費、輕管理。各保險企業在發展方向上,更注重保費增加的規模和速度,強調業務的增長量,而忽視對業務質量的管理。而且保險法規和監管部門對保費的過分強調也使得各保險企業將保費規模作為主要經營目標,過分地追逐保費的提高必然會導致業務質量的下降,從而導致風險因素的增加。在激烈的市場競爭中,以低價進行惡性競爭,盲目承保、劣質承保的事件屢禁不止。在發展的戰略方針上,一些保險企業存在經營決策的短期行為,不重視公司的長遠發展戰略,從而忽視了對影響公司長遠發展的風險因素的管理。
(三)缺乏操作風險管理的企業環境和相關管理人才。保險公司的操作風險包括在經營中存在的資金運用、核保核賠、從業人員和保險人以及法律風險等。其涉及到保險公司的各個崗位和各個環節,一個有效的操作風險管理制度的建立要求操作風險管理意識能夠滲透到公司每個員工的日常經營活動中。然而,受保險業多年來粗放式經營的影響,從公司管理層到一般員工都相對缺乏操作風險的意識,缺乏對操作風險管理和防范的理念。由于我國風險管理理論發展滯后,風險管理人才嚴重不足。尤其操作風險的綜合性更需要一些既懂風險管理理論又懂公司管理同時又熟悉保險業務的復合型人才,而這種人才在市場上少之又少。
(四)保險公司對分支機構的操作風險管理不足。對操作風險的控制是各保險企業總公司對分支公司進行有效控制的關鍵。當前,保險公司分支機構在經營過程中面臨諸多操作風險。首先,保險企業合規經營意識不強。保險企業的一些基層分支機構違背市場規律,盲目或違規經營的現象仍時有發生。近年來,同業非理性競爭的手段則更加隱蔽,有些公司甚至通過口頭承諾、系統外違規操作等方式為客戶提供高保障范圍來爭取業務,導致保險公司經營風險積聚,同時也損害了保險業的形象;其次,對操作風險的管控不嚴。如有的基層分支機構不嚴格執行業務管理制度,有的營銷員不在規定時間將投保資料和保費交回公司,業務員代客戶簽名的事件也時有發生。
二、保險公司操作風險產生的根本原因
(一)盲目的經營目標是操作風險產生的最主要原因。當前,我國多數保險企業仍將保費收入和所占有的市場份額作為經營的首要目標,各保險企業的總公司對分支機構的考核主要是以保費收入的增加額為依據,這使得有些基層分支機構為達到考核目標,違反市場規律和有關制度,為獲得短期利益而忽視公司的長遠利益,由此誘發操作風險的發生。另外,有些保險企業在發展中不能制定適合自身實際的發展戰略,常常提出不切合實際的口號,盲目決策,過分追求規模的擴張。這種盲目擴張的后果往往使得保險企業在獲得規模擴張的同時,降低了對內部控制和操作風險的有效管理,成為操作風險發生的直接誘因。
(二)保險企業的多層制度導致對操作風險的管理松懈。當前,我國多數保險企業都采用的是一級法人制,即總公司是最高管理機關,省分公司按照總公司的授權進行經營,然后自上而下一級授權一級,實行總、省、市三級管理制度。這樣一來,上級公司對下級公司的管理僅限于各項報表的統計、上下級轉發文件、季度末各項報表的檢查、定期不定期開會等形式,從而使保險公司的風險難以及時發現并予以糾正。而且,在這種多重關系中,上級公司往往更關心下級公司的成長和發展,而下級分支機構更關心自身效用的最大化,各方利益的不一致也是導致操作風險發生的關鍵。
(三)保險企業的文化建設嚴重滯后。在近年來保險企業發生的一些違規案件中突出暴露了部分保險企業員工職業道德淪喪。有些營銷員在銷售保單時缺乏誠信和職業道德,對客戶提供無法兌現的承諾,或利用高的投資回報率誤導客戶,有的甚至采取欺詐手段欺騙公司和客戶,這些都可能引起操作風險的發生。而且,保險業營銷員隊伍素質偏低、展業不規范、缺乏誠信、誤導客戶等問題屢見報端,因此對營銷員的業務培訓和職業道德培訓顯得越來越重要。尤其是一些分支機構只以保費的多少來衡量營銷員工作的好壞,忽視了對營銷員的職業道德培訓,導致部分營銷員職業道德素質不過硬,為尋求自身利益的最大化,以低價進行惡性競爭,盲目承保、劣質承保,這些都無疑會增加保險公司的操作風險。
三、完善操作風險管理的對策建議
一要強化保險企業員工的風險意識。首先要認識到操作風險管理的重要性,操作風險管理并不是經營中可有可無的附屬品,而是為實現公司經營目標所必須承擔的。忽視了對操作風險的管理,一旦發生操作風險事件,不僅會侵蝕到保險公司的償付能力,而且會損害保險公司的聲譽,由此引發保險公司的融資困難和客戶流,并進一步影響到建立新客戶關系或服務渠道的能力。所以,需要對保險公司的員工自上而下進行操作風險管理的培訓。要使高級管理層深信,不是只有保費的增加量才能給公司帶來利潤,對操作風險管理的重視能夠降低操作風險發生的頻率,同樣也能給公司帶來價值;要使員工意識到,他們實施的對操作風險的控制行為不僅使公司而且還使他們自身受益。其次,保險公司應該從單純追求業務規模、市場份額的思路中跳出來,建立操作風險管理激勵機制。通過采取適當的方法對經營過程中的操作風險進行控制,將保險公司各級、各類人員的獎懲不是單純地只與保費掛鉤,還要與其行為結果掛鉤,充分體現保險公司操作風險管理的目標。
二要建立有效的內控機制,防范操作風險的發生。就保險企業的多層制度而言,制定有效的內控機制是委托人監督企業運營,實現企業經營效益最大化目標的重要保證。同時,通過內部控制可以協調上下級公司之間的利益沖突,使控制雙方能夠建立起相互信任的關系,從而降低操作風險。因此,保險企業只有建立起一套職責分明、規章健全、運作有序的內控機制,才能從根本上防范和控制操作風險的發生。
三要完善激勵機制,控制保險人的操作風險。就目前人的傭金制度來說,過高比例的首期傭金制度是導致個人人短期行為的關鍵,因此,應當適當的將首、續期傭金率均衡化,并確保人續期傭金的請求權,只有這樣才能激勵人在不斷招攬新業務的同時也能為客戶提供優質的保全服務。除了人傭金制度,對于在公司服務時間長且業績較好的人,應積極探索規范的股權、期權激勵機制,從而將個人人的自身利益和保險公司的長遠利益有機地結合起來,形成為公司長期服務的意識。與此同時,還要加強對營銷員隊伍的業務培訓和職業道德培訓,樹立正確的世界觀和人生觀,提高營銷隊伍的整體素質,這是防范操作風險的根本保證。
四要重視行業自律,加強保險行業協會對操作風險的自律性控制。從各國保險業的發展歷程來看,行業自律組織的建立是防范保險公司之間不正當競爭的有效途徑。我國的保險行業自律協會尚處于發展初期,還有許多規定有待完善,可以通過借鑒國外保險行業協會的相關規定,完善我國保險行業協會的自律規定,從而加強對各保險企業操作風險控制。
主要參考文獻:
中圖分類號:F832 文獻標識碼:A 文章編號:1006-1770(2011)08-024-04
編者按:巴塞爾委員會新資本協議II將操作風險作為一項單獨風險納入第一支柱,中國銀監會相應出臺了《商業銀行操作風險管理指引》和《商業銀行操作風險監管資本計量指引》。根據這些標準與指引,中國的商業銀行開始探索集中統一的操作風險管理之路。日前,銀監會召集部分準備實施新協議的商業銀行在廣西南寧舉行研討會,就操作風險管理的最新監管動態、日常管理機制、信息系統研發、業務連續性管理和高級計量法實施等議題進行討論。現選取部分會議成果予以刊發,以供讀者參考。
操作風險是一項有銀行業務經營活動以來就存在的風險。但是直到2004年的新資本協議,國際監管組織才正式將其視作一項獨立風險進行管理和計量。由此,操作風險被列為與信用風險、市場風險并列的三大風險之一,在第一支柱下單獨針對其計提監管資本,并針對操作風險管理提出了專門的要求。
但是由于操作風險管理作為獨立風險類型加以管理的時間較短,因此其管理和計量即便在發達國家也仍處于起步階段,新資本協議的雖為操作風險計量提供了規范,但在操作風險管理方面,長期以來只有巴塞爾委員會2003年的《操作風險管理和監管的穩健做法》(簡稱03版《穩健做法》)。直到2010年10月,巴塞爾委員會公布了研究文件《保險在操作風險建模中的緩釋作用》,2010年12月,巴塞爾委員會又了更新后的《穩健做法》征求意見稿,同時了《操作風險高級計量法監管指引》的征求意見稿。2011年6月,巴塞爾委員會經討論同意這兩份文件;2011年7月,新版的《穩健做法》(簡稱2011年版《穩健做法》)和《操作風險高級計量法監管指引》正式并生效。我們注意到,上述的動態變化是操作風險管理向專業化、精細化方向發展的必然,而對于我國銀行業來說,更為具體和精細化的管理要求將有利于推進操作風險管理和監管水平。本文介紹了2010年以來巴塞爾委員會在操作風險管理及監管方面的最新動態,然后分析這些監管動態對我國銀行業推進操作風險管理的啟示。
一、操作風險管理的治理架構
完善健全的治理架構是實現有效操作風險管理的基礎,2011年版的《穩健做法》最主要的亮點即在于強化了操作風險治理架構方面的具體要求,更加明確了不同層級的操作風險管理職責與問責。
(一)操作風險管理的治理架構
首先,《穩健做法》明確要求董事會應對操作風險管理承擔最終責任,并應當確保全行操作風險管理制度及其執行的有效性。董事會亦應定期對全行操作風險狀況及其管理情況進行核驗。另外,新版《穩健做法》還提出,董事會不僅應負責在全行建立良好的操作風險管理文化,還應該負責確定本行操作風險偏好及容忍度的設置。
與之相對應的是,《穩健做法》也要求銀行的高管層將董事會制定的操作風險管理框架加以落實,并強調高管層應確保本行負責操作風險管理的專業人員能有效履職。
此外,對于較大規模及業務復雜的銀行來說,《穩健做法》還要求其建立專司操作風險管理的風險委員會。操作風險委員會應包含操作風險管理專職人員、業務條線專業人員等,委員會定期召開會議并向董事會風險委員會進行直接報告。
(二)思考與啟示
2010年版《穩健做法》厘清了操作風險治理架構的一些具體問題,但是仍然留存了一些模糊地帶和爭議。如雖然董事會的職責得到了強化,但是一方面對董事會如何履責仍然失之籠統,而另一方面卻又對董事會提出了諸如定期核驗操作風險管理制度等執行層面的要求,這顯然又同高管層的職責產生了交叉。此外,從當前的國際實踐來看,操作風險偏好和容忍度的概念仍然模糊,因為操作風險與信用風險及市場風險在風險來源和本質上差異很大,操作風險不僅包含銀行內生的風險(如流程、內部欺詐等),也包含了很多外生性的風險,即便其中的內生性操作風險可以進行估量,外生性操作風險則很難界定其風險暴露。因此,如果操作風險暴露難以確定,則設置操作風險容忍度和風險偏好將變得非常困難。2011年版的《穩健做法》也并未在這方面提出明確的操作方案。
不過從總體上看,2011年版《穩健做法》提出的治理架構方面的要求不僅令操作風險管理職責劃分更加明確,也為銀行建立操作風險管理體系提供了普遍標準。至于如何將已經用于信用風險和市場風險管理的一些理念和做法(如職責分工、專業委員會機制、風險偏好和容忍度設置等)合理有效地用于操作風險管理,我們認為這些都是開拓性和建設性的命題,而且這些問題本身也并無一致性的解答案,《穩健做法》也給予了商業銀行實踐的彈性,銀行在關注這些要素的基礎上,宜制定與自身特點相匹配的落實方案。
二、強化操作風險全流程管理
新資本協議將操作風險納入第一支柱進行管理和計量后,自然也必須建立相應的操作風險全流程管理框架,《穩健做法》再次確認了操作風險管理所包含的識別、評估、監測、報告、控制及緩釋的流程,并對流程的各個環節提出了具體的要求。
(一)全流程管理新要求
2003年版《穩健做法》在全流程管理方面僅包含了風險自我評估(RCSA)、關鍵風險指標(KRI)、風險計量以及風險映射四項內容,而2011年版《穩健做法》還提出操作風險的識別和評估也應包括內部損失數據以及外部損失數據的收集和分析、情景分析以及對不同工具運行結果的綜合分析。此外,新業務和新產品上線前除了應評估其蘊含的操作風險外,還應將相應風險因素納入其定價機制。而在報告機制方面,2011年版《穩健做法》也提出銀行應建立常規報告和壓力場景報告兩種機制,并且必須包含本行操作風險實際情況與制定的風險偏好和容忍度吻合情況等。
(二)分析及啟示
我們不難發現,上述新要求其實也有著豐富的內涵,且隱含了巴塞爾委員會在操作風險管理方面的總體思路。
首先,將內部損失數據和外部損失數據收集及分析列為對所有銀行的普遍要求,而不僅僅局限在實施高級計量法的銀行,這表明巴塞爾委員會再次強調損失數據收集是操作風險評估的核心,也是全流程管理的起點。我們甚至不難推斷,提出更嚴格的損失數據收集要求,表明巴塞爾委員會認為即便對于實施基本指標法和標準法的銀行而言,進行更為精細化的損失數據收集也是必須的,也部分矯正了先前的一種觀點,即認為損失數據收集和情景分析的目的主要是為實施高級計量法的銀行建模所需。事實上,巴塞爾委員會的2011年版的《穩健做法》給出了明確的信號,損失數據收集的作用不僅是用于建模,更應用于收集全行操作風險狀況,并且不僅應包含“收集”,更應把落腳點放在“分析”,且應融合內部數據和外部數據,做到“回顧”和“前瞻”相結合,形成對操作風險管理提供參考依據的合力。
其次,對不同工具運行提出綜合比較分析的要求表明,巴塞爾委員會明確要求操作風險管理工具之間應當建立良好的互動關系,而這點正是目前操作風險管理實踐中所缺乏的。尤其是在我國,一方面前期已經著手建立操作風險管理框架的銀行在開發和推廣工具方面尚處于起步階段,對工具運行結果的分析也很不足,更難以建立不同管理工具之間的互動機制,另一方面由于不同管理工具往往在開發、運行和維護上會由不同團隊負責,甚至可能會由不同部門主持,因此建立不同工具之間的互動就面臨更大的挑戰。
第三,要求把操作風險評估加入定價機制表明,巴塞爾委員會將繼續推動把操作風險管理與計量結合的實踐。盡管操作風險在定義、邊界界定、定量等方面還爭議較大,但是銀行應當建立評估操作風險暴露的機制,并且將操作風險暴露的概念運用于日常管理,一方面對業務條線的經營運營起到規范制約的作用,另一方面也對提高操作風險管理水平起到促進作用。
第四,提出了在壓力場景下的報告機制,可以認為是對報告機制的一種完善。結合我國銀行業實踐,我們可以認為這是對各行已經執行的重大事件報告的一種規范化。因為操作風險事件往往具有突發性、不可預期性和外生性的特點,因此及時對外部壓力場景做出反饋,通過報告體系使高管層或董事會知曉,是十分重要的環節。
當然,如果我們仔細斟酌,也容易發現,2011年版《穩健做法》雖然提出了不少新理念和規范,但是在實際操作上仍然缺少具體方法的指導,如對于操作風險的定價仍然囿于多種不確定性而難以準確執行,而操作風險管理工具之間如何建立互相補充完善的機制也不明確。此外,如何定義壓力場景的報告、如何將操作風險偏好和容忍度執行納入操作風險報告等問題,也都需要各方努力研究具體的執行方法。
三、細化的高級計量法要求
(一)《操作風險高級計量法監管指引》的主要內容
由于巴塞爾委員會在制定新資本協議時就隱含了鼓勵銀行實施更為高級的計量方法的意向,因此不少計量手段較為成熟的銀行即著手開發操作風險高級計量法(AMA)。隨著高級計量法的鋪開,出臺比新資本協議相關內容更為具體的規范性文件也顯得非常迫切,而《操作風險高級計量法監管指引》(以下簡稱《監管指引》)正是在這樣的背景下出臺的,主要覆蓋了高級計量法的治理架構、數據和建模三個部分。
首先,在治理架構方面,《監管指引》區分了對操作風險計量的驗證(validation)以及對操作風險管理框架的核驗(verification),即驗證應當作為操作風險計量體系的一個有機組成部分,對高級計量法的建模進行驗證,而對于包括計量和管理在內的完整的操作風險管理框架,則仍需要由獨立團隊再次對其進行有效性核驗(見下圖)。另外,《監管指引》還明確指出,實施高級法的銀行應當更加注重通過使用測試(use test)將計量結果運用于操作風險管理實踐,并起到促進操作風險管理水平的作用。
其次,《監管指引》明確了一些數據方面的要求,大致包括:
1.毛損失與凈損失的確認:銀行可以選擇毛損失或凈損失進行數據收集,但是應足夠審慎,如損失挽回消耗大量時間,則必須用毛損失作為建模依據,且銀行在計算凈損失時不得先行使用保險緩釋進行扣減,銀行如使用合格保險緩釋,需要建立單獨的模型。
2.損失數據收集門檻:銀行應明確其收集數據的門檻值,對于門檻值可以是全行統一的,也可以設置不同的門檻值,但是銀行必須足夠審慎并確保其設置的門檻值能將實質性風險事件均包括在內。同時,鼓勵銀行根據操作風險形態進行分類,對于同一分類的事件或條線設置相同的門檻值。
3.損失時間點:明確了可供選擇的時間點限于發生日、發現日和會計結算日三項,并認為結算日是比較穩健的做法。
第三,在建模方面,對于建模數據來源、分布假設等提出了要求:
1.數據來源。再次確認了高級計量法建模數據來源必須包括內部數據、外部數據、情景分析以及經營環境和內部控制要素這四項要素,其中內部數據是建模的主體,外部數據則是針對肥尾分布的校準,情景分析作為對可重復損失事件的評估,也構成數據來源的重要部分,而經營環境與內部控制要素由于主觀性過強,目前尚難以直接植入模型。
2.精細化程度(granularity)。實施高級法的銀行應根據操作風險形態進行歸類,并用于情景分析等場合。
3.分布假設。由于建立合適的分布是高級計量法的核心,因此銀行應確保選取了合適的損失頻度及嚴重程度的分布假設,并應保證進入內部損失數據庫的數據均已包含在建模數據中,同時銀行可以針對分布的不同部分采用不同的假設,但是銀行應建立完整的數據清洗、模型選取、擬合等環節的文檔記錄。
(二)分析與啟示
我們認為,一方面高級計量法尚處于起步階段,另一方面高級計量法本身亦允許了較大的操作彈性。《監管指引》雖然在治理、數據和建模三方面提出了一些規范,但是實踐中仍然有大量的彈性空間。從一些發達國家銀行實施高級計量法的經驗看,內部數據、外部數據和情景分析在模型中的比重差異非常大。事實上,某些銀行的建模較大依賴了情景分析,而并非如很多人認為來自于內部損失數據,這可能因為各國銀行經營和管理模式的差異,也可能因為不同銀行數據基礎和質量的差異。而《監管指引》在多個部分亦強調,巴塞爾委員會將在持續收集數據和調研的基礎上,在合適的范圍內對可以確定的良好實踐予以明確。
四、第一支柱與第二支柱統籌
除了公開征求意見并提交高層討論的2011年版《穩健做法》和《監管指引》外,巴塞爾委員會還對操作風險管理和計量實踐的一些問題進行了研究,其中比較重要的一項工作是在第二支柱框架下評估操作風險監管資本充足情況。
事實上,雖然新資本協議將操作風險納入了第一支柱,但是由于操作風險計量的不確定性,新資本協議也指出,監管當局將在第二支柱框架下評估銀行操作風險監管資本的充足情況,并且可以對操作風險資本不足的銀行提出附加資本要求。本輪金融危機后,各國監管當局和巴塞爾委員會都發現銀行實際操作風險暴露可能遠遠大于實際計提資本的數量,而基本指標法和標準法由于風險敏感度較低,對實際損失覆蓋的有效性也需要評估,可是在實踐中,一方面監管當局并無明確提出在第二支柱下如何評估未覆蓋的操作風險暴露,銀行在亦沒有在第二支柱下對操作風險暴露的覆蓋情況進行評估。但是與之對應的是,由于操作風險與內控和合規管理不可分割的關系,不少監管當局和銀行內部都制定過一些對內控及合規執行情況進行評估的規章,但是這些零散的文件卻并未納入操作風險管理和監管體系。正是在這樣的背景下,巴塞爾委員會亦打算研究在第二支柱下開展操作風險資本充足情況的良好實踐。
一、操作風險的定義
操作風險,一般意義上指因操作流程不完善、人為過失、系統故障或外來因素所造成的經濟損失,廣泛存在于銀行經營管理的各個領域,是銀行經營管理面臨的基礎風險之一。商業銀行日常工作中,典型的操作風險事件包括內部欺詐、外部欺詐、雇傭合同及工作狀況帶來的風險事件、客戶或產品以及商業行為帶來的風險事件、有形資產損失、經營中斷或系統出錯,以及涉及執行、交割以及交易過程管理的風險事件等。
巴塞爾委員2003年公布了《操作風險管理和監管穩健原則》,2004年修訂的《新資本協議》中,明確地將操作風險的衡量和管理納入金融機構的風險管理框架,與信用風險、市場風險一起納入資本監管的范疇,并把操作風險明確定義為“由不完善或有問題的內部程序、員工、信息科技系統或外部事件所造成損失的風險”。
二、操作風險的特征
操作風險事件難以在事前充分預期,并往往來源于制度、系統缺陷和人員舞弊行為,具有較強的內生性,即使建立相對完善的內控制度和監督檢查機制,也難以充分預計未來持續期內的所有變動因素并徹底杜絕內部舞弊所造成的違法違規行為,但與信用風險和市場風險相比,操作風險存在以下特征:
一是具體性,操作風險因素存在于銀行的各項業務中,操作風險事件前后之間有關聯,單個的操作風險因素與最終形成的操作性損失之間難以定量分析和界定,不易分散及量化,不同類型的操作風險具有各自的具體特性,與相對成熟的信用風險和市場風險的識別和計量方法不同,操作風險的準確識別和計量手段還需要銀行進一步研發和完善。
二是分散性,操作風險管理主要涉及銀行內部經營管理中各方面的不同風險,包括發生頻率高、造成損失相對較低的日常業務流程處理上的小錯誤,以及發生頻率低、造成損失相對較高的大規模舞弊、自然災害等,與信用風險和市場風險多是外生性風險不同。操作風險與各類風險相互交疊,涉及面廣,需要建立全面操作風險管理的體系,結合實際采用多種方法來覆蓋分散于各項活動中的操作風險。
三是差異性,銀行不同業務領域操作風險的表現方式存在差異。業務規模小、交易量小、結構變化不太迅速的業務領域,雖然操作風險造成的損失不一定低,但是發生操作風險的頻率相對較低,而業務規模大、交易量大、結構變化迅速的業務領域,受到操作風險沖擊的可能性也較大。從風險與收益的對應關系看,信用風險和市場風險的一般原則是風險高收益高,風險低收益低,但銀行不能保證因承擔操作風險而獲得收益,而且在大多情況下操作風險損失與收益的產生沒有必然的聯系。
四復雜性,引起操作風險的因素較復雜,如產品的復雜性、產品營銷渠道的拓展、人員流動以及規章制度的變化等都可能引起操作風險。而通常可以監測和識別的操作風險,與由此可能導致的損失的規模、頻率之間不存在直接關系,常常帶有鮮明的個案特征,與信用風險主要來源于客戶和交易對手方,市場風險主要來源于市場上的各種價格波動不同。銀行風險管理部門雖然可以結合實際制定操作風險管理不同時期的重點,但不易確定哪些因素對于操作風險管理來說是最重要的。
三、國內商業銀行操作風險管理狀況
新資本協議實施以來,國內商業銀行按照相關要求,積極結合自身實際,對操作風險識別、評估、控制、報告等關鍵程序進行了規范,推進操作風險管理體系建設,完善了操作風險管理的內在機制,操作風險管理的框架體系已經基本建立。但是,與國外大銀行相比仍存在一定差距,主要表現在:
一是操作風險管理未與業務發展同步。在全球經濟一體化、社會與經濟環境快速發展、商業銀行全球化和綜合化經營的趨勢下,金融創新層出不窮,金融產品、服務的復雜性提高, 各項業務超常規發展,操作風險的類型不斷演變, 在認識不到位、風險管理手段不足的情況下,發生操作風險和造成損失的可能性增加。
二是操作風險管理手段還不完善。我國商業銀行長期以來偏重信用風險, 未設立獨立的專業部門承擔操作風險管理的職責,而是由非獨立專業部門牽頭負責或由各專業條線內部控制,對操作風險管理的統一的政策標準還不完善, 尚未建立起全面、系統地操作風險管理體系,導致有章不循,違章操作的現象時有發生。同時,操作風險管理的手段還顯單一,主要采取定性管理、指標考核、質量控制等,在建立操作風險損失事件數據庫、開展自評估、采用風險緩釋工具等操作風險管理工具和方法,以及按照新資本協議的要求建立銀行內部操作風險計量系統、采用定量和定性標準結合的資本計量模型、量化分析等操作風險計量方法方面,與國際先進商業銀行還存在差距。
三是流程化、系統化地操作風險管控還需要改進。完善操作風險管理是過程與結果的結合,環環相扣,才能取得較好結果,其中任何一個環節出問題,都可能導致風險事件的發生。以信貸業務操作風險管理為例,按照操作風險管理及公司治理等要求,商業銀行建立了包括風險預警、信貸授權、盡職調查、客戶評價與項目評估、統一授信及集團風險控制、信貸獨立審批、貸后管理、資產質量監測和考核、資產保全、內部審計及檢查等在內的較為完善的信貸風險管控制度,但是因貸前調查、貸后管理不到位而引發的操作風險事件及損失遠大于其他環節的風險及損失,反映出在信貸管理的全流程風險控制中統一、整體化的風險控制還需要改進和加強。
四、商業銀行面臨的主要操作風險及原因
商業銀行的業務經營活動復雜多樣,涉及不同類型的業務操作及各業務環節、產品和經營管理層面,操作過程中由于各種不確定因素的存在,產生不同的操作風險,按風險成因主要表現為以下類型:
一是內部程序不當導致的操作風險,主要是銀行因業務流程設計不合理、制度管理不當、業務政策存在偏差、監督檢查不到位,且未及時予以完善等原因,導致實際操作或執行困難,甚至給蓄意不法者留下漏洞而造成的風險及損失,如:貸款業務審貸未分離、會計業務關鍵崗位長期未輪換、不相容崗位未分離等。這類情況的影響較大,使一些違規行為有可乘之機,容易誘發重大違規事項或案件,危害性較大,需要及時完善內部控制予以防范。
二是人員因素導致的操作風險,主要是銀行員工主觀上不遵守職業道德,違法、違規或違章操作,或工作疏忽等行為導致的風險及損失,以及客觀上業務崗位人員數量配備不足,或員工的自身業務能力及素質與崗位要求不符而導致的風險及損失。如:員工從事或參與社會高息融資活動、挪用銀行資產或客戶資金、發生業務差錯等。前一類情況發生不多,一旦發生,后果及影響嚴重,即小概率大損失事件,需要加強員工行為排查防范于未燃,后一類情況情況較多,風險一般不大,即大概率小損失事件,通過加強業務學習,規范操作及業務檢查,可以及時發現并糾正。
三是業務系統故障導致的操作風險,主要是銀行IT系統、機具設備等因技術故障、設備失靈造成系統服務中斷、數據錯誤等影響業務正常持續運行而導致的風險及損失。如:系統因感染病毒、遭到黑客攻擊及軟硬件故障不能正常運行時,導致系統癱瘓、崩潰,影響正常對外營業。這類情況發生的概率小,但影響較大,后果嚴重,損失嚴重并給銀行帶來負面聲譽風險,需要通過完善應急機制,并加強演練,在故障發生第一時間響應并有效發揮作用。
四是外部事件導致的操作風險,主要是銀行因外部不可預見的破壞性因素導致的風險及損失。如:自然環境災害、社會動亂、暴力行為等。這類情況發生的概率小,其影響及后果事前不易評估,但應建立各類應急預案,并有明確、清晰報告路線,在發生此類事件時使上級管理機構能夠及時獲得信息,迅速應對,將風險降至最低。
五、完善操作風險管理的建議
相對信用風險和市場風險,操作風險更加難以事先計量和預測,完善操作風險管理的關鍵是過程控制。操作風險管理的核心環節是強化內部控制,建立良好的管理機制,在操作風險發生之初能夠及時、有效地識別和處置風險。
一是加強業務培訓及風險內控管理文化建設,進一步提高銀行各級員工的綜合素質。通過對業務操作、多崗位輪換,以及公司治理、外部監管標準、職業操守、典型案例等培訓學習和監督檢查, 提高員工履崗能力和盡職度,將操作風險管理落實在每一個員工的職責及行為中,樹立科學的風險管理理念,自覺遵守規章制度,嚴格規范操作,培育良好的風險內控管理文化,促進制度執行力的提升。
二是按照公司治理及操作風險管理政策的要求,進一步完善內部控制,明確各部門的定位和職責,合理確定各部門的管理邊界,形成分工明確、責任清晰、有效制衡的內部管理架構。針對操作風險易發部位制定有關管理細則,加強監督檢查,定期開展操作風險與內部控制的自我評估檢查,及時整改存在問題,并強化責任約束,提高各層級人員的工作盡職度。
三是結合新資本協議實施工作的相關要求,研究、完善操作風險識別計量方法和工具,提高操作風險管理技術。根據新巴塞爾協議風險資本計量的要求,結合實際逐步開發適合本行特點的內部風險計量工具及相關的管理辦法,借助計算機技術建立操作風險歷史數據倉庫,為按高級法建立計量模型、分析測量風險、分配資本奠定基礎。
四是做好操作風險管理工具與業務流程的結合。將操作風險管理嵌入業務流程,完善人控、機控手段,并建立完善操作風險績效考核體系;加強關鍵風險點的調查分析,建立不同管理層次、不同條線的關鍵風險指標,并根據業務發展變化及時維護更新,對操作風險實時監控和早期預警;逐步建立主動識別與管理操作風險的內在機制,推動由被動承擔風險向主動掌控風險轉變,有效識別防范操作風險。
參考文獻
[1]巴塞爾銀行監管委員會《新資本協議》、《操作風險管理》文件.
[2]中國銀行業監督管理委員會《關于加大防范操作風險工作力度的通知》.
巴林銀行的倒閉,大和銀行紐約支行的不慎交易,諸多事件為全球金融機構敲響了警鐘,金融理論界和實業界開始研究影響日益巨大的操作風險問題。國際銀行業普遍認識到操作風險管理的重要性,新巴賽爾資本協議把操作風險也納入資本監管的范圍。因此,操作風險的管理在金融機構中的地位日益重要,金融機構可以通過操作風險的管理來實現資源的有效使用。
巴塞爾銀行監管委員會根據國際銀行業風險管理的變化,從1998年開始關注對銀行業操作風險的管理和研究,并在1999年6月公布的新巴塞爾資本協議的第一次征詢稿中,提出應考慮對操作風險進行資本覆蓋。2003年4月29日,巴塞爾銀行監管委員會對《巴塞爾資本協議》(稱“新巴塞爾資本協議”)進行第3次征求意見,以對新的資本充足率的規定做出最后的修訂。委員會的目標在2003年末最后一個季度完成修訂,并于2006年末在成員國家開始執行。新巴塞爾資本協議有3個支柱:最低資本要求,監管部門的監督檢查和市場紀律。在計算最低資本要求時,需要考慮三大風險:信用風險、市場風險和操作風險。新資本協議在不斷改進中反映著風險測量和管理技術的提高。新巴塞爾資本協議以資本充足率為核心的監管思路,使最低風險資本要求和每項信貸風險面的規范評估結合在一起,特別是第一次將操作風險和最低資本要求結合起來。相對于舊協議而言,其風險衡量的方式更加靈活,不再局限于原有的單一框架,銀行可以根據自身情況選擇合適的風險衡量方法,以促使銀行不斷改進風險管理水平。
新巴塞爾資本協議中操作風險的涵義及衡量
巴塞爾銀行業監管委員會的定義是比較權威的一個,也就是巴賽爾新資本協議中的定義。根據此定義,操作風險指的是由于不充分的或失敗的內部程序、人員和系統,或者由于外部的事件所引起的直接或間接損失的風險。巴塞爾委員會同時指出,這一界定包含了法律風險,但是并不包含策略性風險和聲譽風險。
從廣義來說,操作風險可以分為內部風險和外部風險,內部風險主要指由于內部因素引起的操作風險,包括程序風險、技術風險和人員風險。程序風險又分為流程設計不合理和流程執行不嚴格兩種情況;技術風險包括系統失靈和系統漏洞兩種情況;人員風險包括操作失誤、違法行為(員工內部欺詐或內外勾結)、違反用工法、關鍵人員流失等情況。外部風險主要是指外部因素引起的操作風險。這些外部沖擊包括稅制和政治方面的變動、監管和社會環境的調整、競爭者的行為和特性的變化等。內部風險主要與內部控制效率或管理質量有關,而外部風險與外部欺詐、突發事件以及銀行經營環境的不利變化等有關。
操作風險也存在量化困難,新協議第一稿并未提出任何計量方法。在充分聽取各方意見后,巴賽爾新資本協議,對于操作風險的衡量大致有三種方法:基本指數法,指以銀行過去3年內的平均年總收入的一個固定比例來確定應對操作風險的必需資本量;標準法,把銀行的業務分為8個不同領域:公司金融,交易,零售銀行,商業銀行,支付結算,服務,資產管理和零售經紀,然后分別計算操作風險指數,再乘上某一固定比例得出所需資本量;高級測量方法,采用此法的銀行必須取得監管層的同意,由銀行內部操作風險測量系統用定性和定量的方法加以確定。高級測量方法的使用則需要一些特別的標準。如果銀行采用較高級的方法在沒有監管層同意前不得轉為較簡單的方法。在新巴塞爾資本協議的第二次征詢稿中,對高級計量法中內部衡量法、損失分布法有比較詳細的描述,但在最終只是在“資格條款”中對使用高級計量法計算操作風險資本的銀行提出了嚴格的定性和定量的要求,并要求一定要得到監管當局的批準。目前國際上只有少數跨國大銀行在使用或開發該計算方法。
我國商業銀行操作風險管理的策略
政府應加強操作風險監管的力度,使其與最低資本要求相結合
為了使操作風險的控制更具實際意義,就需要進一步研究出金融機構具體的行為準則。中國銀行業監督管理委員會令(2004年第2號)公布的《商業銀行資本充足率管理辦法》中第一章總則中第五條明確規定“商業銀行資本應抵御信用風險和市場風險”。雖然暫時未將操作風險納入計算的范圍,在制度上減輕了商業銀行對操作風險的資本覆蓋壓力,但是也不可避免的放慢了商業銀行對操作風險的管理。建議對不同的商業銀行實行不同的操作風險要求。
探索操作風險控制與緩釋的方式
銀行在控制操作風險發生的同時,還可以采用各種方式控制和緩釋風險。包括避免、緩釋、保險和承擔四種方式。其中保險是目前國際活躍銀行使用最為普遍的操作風險緩釋方式,針對不同的操作風險會有不同的保險產品與之相對應。傳統保險產品中的銀行一攬子保險、錯誤與遺漏保險和經理與高級職員責任險等已經被實踐證明是比較成熟的保險產品,而且得到了廣泛的運用。20世紀90年代中期至今,又開發了諸多新的保險保障產品,諸如未授權交易保險、電子網絡技術風險的保險等。銀行操作風險保險承保范圍將進一步擴大,新的操作風險將不斷被納入保險的范疇,保險將作為銀行操作風險管理的經常性工具。目前國際上除了保險以外,還有互惠資保險基金、證券化、優先風險計劃也可作為操作風險保險的替代品。
完善銀行操作風險管理組織架構
根據風險管理基本流程與組織設計原則,我國商業銀行操作風險管理應采用分權化職能型的組織結構,在總分行制的基礎上(以“總行一分行一支行”型結構的銀行為例),總行應以操作風險戰略決策的制定和管理為主,同時負責對操作風險的總體控制。總行管理操作風險的組織機構應包括:董事會、高級管理層、內控制度管理委員會、稽核總局、操作風險的計量分析與評估部門、科技信息部門、教育培訓部門、內部授權管理部門、法律事務部門以及所有業務部門,其中稽核總局直接向董事會負責。分行的機構與總行基本一致,但不包括董事會,分行設立稽核分局,并直接向稽核總局負責。支行主要從操作層面控制操作風險,因此支行只設立業務部門,執行總行和分行所制訂的制度和政策,支行不設稽核部門,只接受稽核總局或分局的檢查。
由于將操作風險納入到組織文化中成為風險管理的一個重要部分,培養操作風險文化對于操作風險管理也是極其重要的。依靠教育培訓部門對銀行所有業務人員加強培訓,提高操作人員的業務能力、法律意識、制度觀念和道德水準,降低一切因操作人員業務技能低、管理人員管理水平差或員工對政策、制度、法律不了解等原因所造成的操作風險。
積極開展操作風險的模型化研究
雖然目前國外對操作風險管理也還處于發展階段,但是通過量化方式衡量操作風險則是大勢所趨。國內銀行操作風險的模型化發展基本處于零階段,這就造成操作風險的管理始終停留在內部審計和主觀判斷的低層次上。把操作風險量化研究與控制框架結合起來才能為操作風險管理提供科學的依據,這是國際活躍銀行管理操作風險的趨勢,也是我國商業銀行的最終選擇。量化操作風險的首要工作就是要建立操作損失數據庫,因此監管機構和商業銀行自身都要按巴塞爾委員會的操作風險矩陣立即著手建立損失數據庫,積累損失資料。建立成功的損失數據庫從而為精確度量操作風險建立基礎。
銀行業是一個高風險的行業,對風險的防范、管理和化解是銀行業發展的永恒主題。由操作風險導致銀行倒閉的深刻案例之一是巴林銀行由于沒有將交易與清算業務分開這個制度上的缺陷以及其內部審計的松散與監管不力,直接走向了倒閉的命運。1995年2月英國中央銀行英格蘭銀行宣布一條消息:巴林銀行不得繼續從事交易活動并將申請資產清理。10天后,又以1英鎊的象征性價格被荷蘭國際集團收購。巴林銀行總損失為13億美元,資本損失100%,從違規到災難發生的時間僅為三年 。
近些年以來,國內金融業發生了一系列因操作風險導致金融機構陷入危機甚至倒閉破產的事件,這些事件嚴重影響了政府、公眾和潛在海外投資者對中國商業銀行的信心。我國在與國際金融業接軌的同時,我國的銀行業面臨的操作風險正在逐漸顯現,控制操作風險迫在眉睫。
一、操作風險及其影響因素分析
(一)《巴塞爾新資本協議》對操作風險的界定
在對操作風險的定義方面,學術界已有頗多的探討,他們分別從不同的方面進行界定,使得目前尚沒有形成統一的操作風險定義。目前,最具影響力的操作風險定義是《巴塞爾新資本協議》給出的界定:“操作風險是指由不完善或有問題的內部程序、人員及系統或外部事件所造成損失的風險。”
(二)操作風險影響因素分析
1、人員因素。主要包括員工的思想道德素質、員工的業務能力、內部欺詐、失職違規、知識/技能匱乏、越權和行為、核心雇員流失、違反用工法等。人是操作風險防范的主體,在操作風險的控制過程中發揮著不可或缺的作用。同時隨著我國法律制度的不斷健全和完善,銀行和內部員工之間的勞資和法律糾紛,員工因意外傷害而要求賠償的事例也不斷出現,增加了操作風險的損失。
2、內部流程制度因素。主要包括財務會計錯誤、文件合同缺陷、產品設計缺陷、錯誤監控、支付結算錯誤、交易定價錯誤、制度的不完善、滯后性、執行不力等。一些銀行財會制度不完善、管理流程不清晰。目前,各商業銀行的制度建設正朝規范化和標準化方向發展,但由于內控制度和各程序設計上存在缺陷,許多制度都執行不力從而流于形式;制度的滯后性使得制度的建設跟不上業務創新的需要。
3、系統因素。包括軟件、硬件設備、操作系統網絡等。目前,銀行都實現了網絡化,這樣系統的評估與升級、系統日常維護、系統安全保護就顯得尤為重要,一旦出現失誤,就會產生操作風險。在業務處理過程中,由于網絡故障,可能會出現存款重復入款、取款未下賬等。如果被不法分子利用將錢取走將使銀行蒙受無謂的損失。 商業銀行的技術部門應當與業務部門相互協調,確保系統的整體穩定運行,核心銀行系統與相關系統有效兼容,保持業務和管理需求的適宜性。
4、外部事件因素。主要包括外部欺詐、洗錢、政治風險、監管規定、業務外包、自然災害、恐怖威脅等。例如搶劫、黑客攻擊、盜竊以及地震、經濟蕭條、戰爭等不可抗因素都會給商業銀行造成損失。從短期來看,操作風險主要來自內部欺詐和外部欺詐,在銀行的實踐中可以看出,由于內部和外部欺詐所產生的損失額約占到全部損失的70%,損失頻度和強度均高于其他類型;從長期來看,隨著銀行業電子化程度不斷提高,黑客攻擊等技術性因素產生的操作風險越來越多。
二、商業銀行操作風險現狀及問題分析
自我國商業銀行體制改革以來,各商業銀行都在完善自身內控制度、加強監督檢查、提高從業人員素質等方面做了非常不懈的努力,但我國商業銀行對操作風險的認識和防范仍處在探索階段。無論是在操作風險管理理念、管理框架還是操作風險的度量、管理和化解手段上,都處于初級階段,在實踐中還存在很多需要解決的問題。
(一)錯誤的操作風險管理理念
一直以來,我國商業銀行都把對信用風險和市場風險的防范做為商業銀行風險防范的重點。操作風險與之相比,不論是在制度規則和認識水平上都比較低,尚未形成全面的內控文化。我國商業銀行以往是以“人治”為主,以信任代替管理,以習慣代替制度。只有當發生重大事件時,才采取強硬的處罰手段來進行管理,試圖以嚴厲的處罰遏制風險的出現,缺乏事前和事中的控制,使許多重要的防范制度形同虛設,未能做到防范于未然。
(二)內控體系不完善
隨著近年來國內外銀行業操作風險事件的頻頻曝光,操作風險越來越多引起銀行業和金融監管機構的關注,并已成為不容忽視的重要風險。對操作風險的探索和研究已成為商業銀行一項重要課題。
一、操作風險的種類
根據《巴塞爾新資本協議》按照損失事件原因或風險因素將操作風險分為7 類,包括:內部欺詐、外部欺詐、客戶、產品及商業行為風險、執行、交割和過程管理風險、業務中斷和系統錯誤風險、就業政策與工作場所風險,以及實物資產損壞風險。由于我國商業銀行的發展狀況、企業文化、現實制度等與國外銀行存在一定差異性,因此結合我國實踐,對當前我國面臨的操作風險進行了分析,主要分為以下五類。
(一)人員風險
根據媒體公開報道事件分析,因內部欺詐造成的損失案件在所有損失事件中占比較高,而內部欺詐事件發生的主體是內部員工。其中,內部職位設計不合理、對員工培訓不足,以及考核機制不完善等因素都是造成內部不安定,人員風險的主要原因。
(二)制度和流程風險
此類操作風險是指因未及時制訂制度或在業務發生重大變化后未予以及時修訂、完善,致使業務流程中由于崗位職責、權限不明確或內控措施缺失等所導致的風險;以及由于商業銀行內部不合理、不科學的業務流程設計而產生經濟損失的操作風險。
(三)執行風險
因執行不力所造成的風險是銀行各層級管理者較難應對的一類風險,由于其帶有主觀性、隨意性,使得制度應有的效果難以發揮。執行不力的主要表現為執行不到位和故意違規操作。
(四)系統風險
指由現有系統或技術不完善或故障毀損而產生的風險,非故意的損失。在2004年版的《巴塞爾新資本協議》中,將信息系統導致的風險作為操作風險四大風險因素之一。
(五)外部風險。外部風險主要是指商業銀行在經營活動中,受到來自于外部環境因素,如:競爭風險、政策風險、外部欺詐以及不可抗力事件等所導致的風險。
二、操作風險產生的成因分析
(一)內部員工操作風險意識淡薄
當前各商業銀行基層網點普遍面臨人員年輕化、實務經驗不足的情況。一方面,員工對風險的本質及危害性認識不足,簡單認為操作風險就是操作性風險,其造成的后果不過是賬務差錯;另一方面,基層人員流動性大,內部培訓不到位,也導致了員工思想意識跟不上,違規操作時有發生,加劇了操作風險隱患。
(二)內部控制制度缺失
操作風險的根源往往在于內部控制的失效,而內部控制機制不健全的表現之一是內控制度缺失。我國商業銀行歷來重業務,輕制度,很多情況是業務先行開展,而制度遲滯于業務發展;另外是制定的制度操作性不強,跟不上業務實際需要,致使業務處理中經常“無章可循”。
(三)制度執行不力且問責不嚴
基層機構管理中以信任代替制度,以情面代替紀律的情況不在少數,使得制度形同虛設,內部管理松散。而基層機構發生違規事件后,處罰力度偏輕,對員工的警示作用不大;且受到內部考核影響,無論是基層機構還是其上級機構都有意將違規事件的影響控制在最小范圍,由于處理偏輕,違規成本低,使操作風險無法得到有效控制。
(四)考核制度不盡合理
由于銀行內部的績效考核機制多以經營指標為重,因此“重業務、輕內控”的情況仍是存在,基層網點為了追求短期利益,往往忽視內控合規、避談操作風險,導致內部不安定的風險因素長期存在。
三、商業銀行操作風險的管理對策
(一)增強內部人員道德觀念和風險意識的培養
目前商業銀行面臨的操作風險多是“人”的風險,因此加強一線員工合規意識尤為重要。通過對員工實施周期性的專題培訓,培養員工樹立正確的價值觀和強烈的責任意識,對工作中的違規違紀行為時刻保持警醒的狀態,主動自覺進行合規操作,杜絕操作風險事件的發生。
(二)促進內控制度建設,提高制度執行力
所制定的制度應規范可行,不僅需針對各項業務制定詳盡的操作流程并指出潛在的風險點,而且應隨著業務的發展變化而不斷修訂完善,以保持制度的持續有效。另一方面,在制度的執行中必須保持制度的嚴肅性,對于執行不力而產生風險的行為應給與嚴厲懲治。
(三)建立健全激勵約束機制
有效的激勵約束機制,有利于調動人員積極性和主動性,促進銀行內部人員隊伍的穩定,充分發揮人才潛能。操作風險管理必須以對人的控制為基礎,從而建立具有長效激勵作用的薪酬制度和以價值為導向的績效考核分配體系。
(四)完善內部控制管理
積極推動內部控制管理系統向基層機構的延伸,構建商業銀行的三道防控體系。其中:一道防線以各級機構、經營部門、員工為主,強調過程實時控制和自我評估;二道防線主要是操作風險管理牽頭部門,負責對一線部門的管理、指導、檢查和監督,三道防線強調內部稽核部門對一、二道防線的再監督和評價,發現問題并督促其及時采取相應措施。
參考文獻:
[1]黃新穎.《內控視角下商業銀行操作風險完善途徑》[J].財會通訊.2013.2
中圖分類號:F830.33 文獻標識碼:A 文章編號:1006-1770(2010)09-032-05
一、引言
隨著信息技術與現代商業銀行業務的深度融合,銀行對信息技術和信息系統的依賴日益增強。信息科技已成為商業銀行日常運營的操作平臺、管理決策的重要支持、以及業務創新的基礎工具。同時,與之相關的信息科技風險也滲透到了銀行經營和決策的各個方面,信息科技風險管理不僅維系著商業銀行的持續安全運營,而且也成為銀行價值創造的重要支柱,因而信息科技風險成為現代商業銀行風險管理不可或缺的重要內容。
商業銀行傳統的信息安全管理,更多是從信息技術開發和管理的本身出發,建立相應的技術標準而進行的,這些標準適用于信息技術部門內部的信息安全管理,也是信息科技風險管理的重要基礎。但信息安全管理的本質是風險管理,現代商業銀行構建全面風險管理體系,也需要借助操作風險管理框架和工具對信息科技風險進行有效管理。
我國主要商業銀行正在積極實施《巴塞爾新資本協議》,這需要對包括操作風險在內的三大風險建立全面風險管理體系,而信息科技風險作為操作風險的重要表現形式之一,也成為銀行風險管理的一個新的焦點。因此,本文試圖在操作風險管理視角下探討信息科技風險的識別、計量、監測和控制等流程和方法,以提高商業銀行對信息科技的應用水平和對信息科技風險的管理效率,增強銀行全面風險管理能力。
二、信息科技風險與操作風險管理框架
商業銀行信息科技風險,是指信息科技在商業銀行運用過程中,由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。信息科技風險管理的目標是通過建立有效的機制,實現對商業銀行信息科技風險的識別、計量、監測和控制,促進商業銀行安全、持續、穩健運行,推動業務創新,提高信息技術應用水平,增強核心競爭力和可持續發展能力。
操作風險是《巴塞爾新資本協議》在信用風險和市場風險之外,所強調的商業銀行面臨的另一種重要風險類型,是指“由不完善或者有問題的內部程序、人員及系統或外部事件所造成損失的風險(表1)。”策略風險和聲譽風險不包含在此定義中。我國銀監會也基本沿用了這一定義。
可見操作風險這一定義的內涵包括由信息科技系統所產生的信息科技風險。因而商業銀行在落實《巴塞爾新資本協議》、實施全面風險管理的過程中,需將信息科技風險作為操作風險的重要內容統一進行管理;對信息科技風險的管理,可以借用操作風險的管理框架和工具。
從風險管理的流程來看,一個完整的操作風險管理(Operational Risk Management,ORM)框架首先要確定執行和負責操作風險管理的組織機構,然后依據操作風險識別、風險計量、風險監測和風險控制的流程進行,形成一個循環往復、不斷提升的風險管理過程。這一過程可用如下的操作風險管理“轉輪”來表示(圖1)。這一框架能提供一個對操作風險管理的完整流程,并允許銀行在事先管理操作風險,而不論風險是否存在于業務過程、人員、信息科技系統或是外部事件中。
操作風險管理框架中的每一階段都有不同的任務,理論界和實務界也都分別提出相應的工具和方法。下文嘗試將操作風險的管理框架應用于商業銀行信息科技風險管理,從而使信息科技風險管理成為銀行全面風險管理的有機組成部分。
三、ORM框架下的信息科技風險管理
(一)信息科技風險管理的組織建設――信息科技治理
根據銀監會的要求,IT治理的目標是在良好的公司治理的基礎上,形成分工合理、職責明確、相互制衡、報告關系清晰的信息科技治理組織結構。從銀行內部來看,IT治理是公司治理的重要組成部分,包括與信息科技相關的領導關系、組織結構和工作流程等,其目的是保障信息科技與業務發展戰略目標相一致。
信息科技治理是良好信息科技風險管理的基石,商業銀行需要在公司治理基礎上建立自上而下的信息科技治理結構。具體地,商業銀行的董事會、高管層要對本行信息科技風險最終負責;董事會下的風險管理委員會可專設信息科技風險管理分委員會,由高級管理層、信息科技部門和主要業務部門代表組成;設立首席信息官(CIO),負責信息科技相關的重大決策,向上直接向行長和董事會報告信息科技運行和管理情況,向下統一領導信息科技板塊各個部門,布置信息科技風險管理措施的實施;同時,風險管理部、尤其是操作風險管理部,也應把信息科技風險作為操作風險管理的一個特殊而重要的類型進行統一管理。此外,內部審計部門負責對信息科技風險管理的合規性和有效性進行審核(圖2)。
在這樣的信息科技治理結構之上,商業銀行可將信息科技風險納入總體風險管理框架,針對信息科技風險分布廣泛、專業性強等特點,可以構建由信息科技業務經營部門、信息科技條線管理部門、風險管理部門和內部審計部門構成的“四道防線”,實現對信息科技風險的有效防范和管理。
(二)信息科技風險的識別方法
信息科技風險識別是指風險管理者通過一定的方法和手段,按照信息科技風險的來源范圍和表現形式,鑒別信息系統開發和運行過程中一切可能導致信息科技風險的因素和產生風險的環節點的過程。信息科技風險識別方法可借用操作風險的識別工具。
1.風險與控制自評估法
信息科技風險的風險與控制自評估法(RCSA),是指銀行IT風險管理部門對本行信息系統開發、信息數據管理、系統運行與維護等IT條線業務進行流程分析,識別并評估其中隱含的風險點,并對業務流程現有的控制措施的合理性和有效性進行評價的過程。
RCSA從梳理IT條線的主流程及其包含的子流程入手,針對這些流程設計RCSA問卷。這一問卷包含了每一流程步驟涉及的風險類型、相應的控制類型等內容,需要評分人對現有的控制設計和有效性進行評估,對風險導致的固有風險暴露、以及采取控制措施之后的剩余風險進行評分。最后要根據RCSA的結果決定是否采取對特定風險的控制行動。
2.風險地圖法
風險地圖(Risk Mapping)能夠顯示特定風險事件的風險暴露分布狀況,將風險暴露與銀行或業務部門的風險容忍度連接起來,根據特定風險在風險地圖中的落點可決定對風險是否采取適當的控制措施。
風險地圖是一個嚴重性-可能性矩陣。根據特定風險可能導致損失的嚴重程度及損失發生的可能性,可以共同確定風險暴露及其在風險地圖的落點。風險地圖不同區域所代表了不同風險容忍度,風險的不同落點有不同的涵義(圖3)。
A.綠色區域:表示風險處于安全區域,不需采取控制措施降低風險暴露。
B.黃色區域:表示風險在加強監控的區域,應對風險進行關注和加強監控,但還不需采取具體控制措施。
C.橙色區域:表示風險在警戒范圍內,風險管理部門應立即采取控制措施,將風險暴露降低到安全區域之內。
D.紅色區域:表示風險已不可容忍,除了應立即采取措施降低風險暴露至安全范圍內,還應該對風險暴露過高的原因進行追溯和問責。
需要說明的是,不同銀行、不同業務條線的風險容忍度不同,因而風險地圖的具體風險輪廓各異。即使同樣的風險暴露在不同部門的風險地圖上所處的區域可能都不一樣,嚴重程度也不一樣。對具體的信息科技風險管理者而言,要根據本行信息科技業務特點和自己的風險偏好,確定以上四個區域的臨界值。
3.關鍵風險指標(KRI)
KRI是可用于表示商業銀行信息科技風險狀況的定量指標。通過指標的定期監控,可以對信息科技風險變化有代表性的某些方面進行跟蹤和預警,并根據指標所處的區域決定是否采取控制措施。
關鍵風險指標應能代表信息科技領域最主要的風險指標,容易度量并能反映信息科技風險的暴露水平或者控制狀態。商業銀行首先需要明確各項與信息科技相關的關鍵風險指標,對每一指標設定相應門檻值。銀行通過對所有KRI的動態跟蹤,在超過門檻值時采取必要的控制措施,從而及時降低風險暴露程度,使基于KRI的風險控制行動能防止重大損失事件的發生。
與信息科技風險相關的KRI可根據信息科技業務的風險表現和分布特點而設定,具體指標可能包括:系統故障頻率、系統中斷次數、系統中斷持續時間、系統交易失敗比例、IT人員離職率、IT風險事件總數等。
4.損失數據收集(LDC)
首先要根據信息科技風險的分布特點,確定損失數據的收集范圍、起點金額以及統一的損失數據內容(具體表現為損失數據庫的字段格式)。
關于收集范圍,巴塞爾新資本協議對操作風險的損失事件形態分為7個類型,其中與信息科技風險損失事件有關的整理如表2。銀監會《商業銀行操作風險管理指引》中規定應收集并報告的重大操作風險事件中,就包括“造成涉及兩個或以上省(自治區、直轄市)范圍內中斷業務3小時以上,在涉及一個省(自治區、直轄市)范圍內中斷業務6小時以上”的系統業務中斷事件等等。
損失起點金額要根據IT風險損失的分布特征和銀行的風險容忍度而定。而損失數據內容則包括損失事件產生原因、發生時間、所在部門、損失金額、控制措施及有效性等。損失數據要按統一字段格式及時錄入操作損失數據庫。巴塞爾新資本要求采用高級計量法(AMA)的銀行需要至少三年的歷史損失數據積累。
(三)信息科技風險度量方法
操作風險度量方法包括基本指標法(BIA),標準法(SA),以及高級度量法(AMA),后者包括內部度量法、損失分布法和極值法等。目前我國商業銀行對操作風險計量在實踐中采用標準法。
但標準法設定的8個業務線,并未將信息科技業務條線專門列出,因而不能充分體現對信息科技風險的資本要求。事實上,信息科技風險不僅存在于商業銀行信息科技業務條線,同時也廣泛分布于其他業務條線之中。因而,在標準法的基礎上,我們提出將信息科技風險按照所存在的業務部門分為兩部分,分別進行風險計量和資本計提。
第一部分是存在于8大業務線內部的信息科技風險,在根據標準法對8大業務類型的操作風險計量時,已經包含了其中涉及到信息系統操作、運行等相關的信息科技風險。第二部分是信息科技條線的業務平臺上涉及到的信息科技風險,主要包括信息系統開發、信息系統運行維護、數據中心建設和管理、軟件外包、業務連續性經營等方面的風險。
具體計量時,第一部分已經涵蓋在各個業務線的操作風險中;第二部分則由于信息科技業務并不直接產生收入盈利,可根據前三年信息科技投入的平均值,按其一定比例計算信息科技風險的資本要求。
其中Ii表示此前第i年信息科技投入的金額,βIT表示根據信息科技業務風險特征所確定的資本計提比例,KIT表示信息科技風險的資本要求,與其他業務的資本要求相加得到全行總的操作風險資本要求。
(四)信息科技風險監測與報告
風險管理是一個持續提升的過程,因而信息科技風險也需要定期持續的監測,以掌握風險發展的動態。監測一方面可以結合信息安全管理和內控措施,發現信息科技業務中存在的風險點及嚴重程度;另一方面也可以通過對之前設定的KRI的定期檢查,判斷風險是否在可容忍的范圍之內。
對風險監測的結果和風險控制的現狀,需要定期撰寫風險報告,并逐級向上級風險管理部門匯總,最后由總行風險管理部向高管層和董事會定期提交風險報告。如總行操作風險部可以逐月匯總來自信息安全管理部和所有分行有關操作風險報告,其中包含信息科技風險的相關內容,然后逐季向高管層和董事會提交全行的風險報告。當遇到重大信息科技風險事件時,應隨時上交風險報告。
風險報告是支持全面風險管理決策的重要依據,信息科技風險報告內容應包含在操作風險報告之中,其內容應涵蓋報告期內:面臨的或潛在的信息科技風險類型,已發生的信息科技風險事件,風險事件原因和過程,風險導致的損失,風險控制/緩釋措施及其有效性,對風險事件的總結等。
(五)信息科技風險控制措施
由于信息科技風險自身的技術特點,對其有效控制的基礎是在信息科技部門的開發、服務、運營等具體業務流程中實施先進的信息安全管理標準,如ISO20000 IT服務管理國際標準、ISO27001信息安全管理制度標準等。從信息科技風險整體的控制方面,可以實施以下幾項措施。
1.完善內部控制機制。為實現信息科技風險的有效控制,商業銀行需要建立并完善與信息科技風險相關業務的內部控制機制,確定信息科技相關業務和信息系統應用中不同職位的人員在信息科技風險管理中的分工和責任。這包括不同系統在物理上和技術上的隔離、規范業務操作流程、確定并執行嚴格的權限范圍、建立業務流程之間相互平衡的制約機制等。
2.信息系統審計(IS audit)。指收集并評價證據,以判斷一個信息系統能否有效做到保護資產、維護數據完整、完成組織目標,同時最經濟地使用資源的過程。商業銀行內部或外部的信息系統審計部門,可通過一般控制和應用控制等審計方法對全行范圍內的信息系統生命周期內的資產保護、數據完整、資源經濟有效利用以及完成組織目標的情況進行綜合評價。從而總體把握商業銀行信息系統的風險狀況,并向商業銀行風險管理部門和信息科技部門提出咨詢意見。
3.業務連續性管理(BCM)。BCM的目的是通過有效的管理,使在各種意外情況發生時,銀行信息系統和相關業務都能始終不間斷運營;或者退一步,BCM使意外沖擊對信息系統正常運行或業務連續經營的影響降至最小。影響信息科技基礎設施(如銀行的數據中心或業務處理中心)連續運營的主要因素有,黑客攻擊、電腦病毒、軟件錯誤、人為失誤、硬件故障、自然災難等。
有效的BCM是針對以上影響因素嚴重程度制訂的一整套管理方法。如首先是要建立信息系統應急機制和緊急變更預案,從制度上保證出現業務中斷時的行動路線。其次加強重要數據的災難備份。目前我國大部分大中型商業銀行都已經成立了災備中心,進行核心數據的同城鏡像和異地災備。此外還需要對業務處理系統進行切換演練,通過定期進行切換演練,對可能面對的不同沖擊進行情景分析和壓力測試,降低突發事件威脅,提高應急處理能力。
4.通過保險和外包來緩釋和轉移風險。由于發生概率較低但損失程度較大的信息科技風險是難以預測、量化及分配資本的,因此對信息科技風險的緩釋和轉移,可大大降低銀行相關風險暴露程度。
使用保險作為操作風險的重要緩釋工具有很大的必要性。商業銀行與保險公司可以根據主要信息科技風險的損失分布特征,共同開發適當的保險產品以此對商業銀行面臨的信息科技風險進行緩釋。同時軟件開發等的外包,即可利用外部專業資源,又可轉移商業銀行自身承擔的失敗風險。但也需注意要通過簽署權責明確的事前協議,來規避外包過程中的潛在風險。
綜上,信息科技風險管理可利用操作風險管理的框架,但信息科技風險的組織結構、識別、計量、報告和控制等都有其具體的方法和工具。這一框架可以表示為如下圖4,其中左半部分表示了操作風險管理的框架,右邊虛線內是信息科技風險管理的具體內容。
四、結論和建議
本文在操作風險視角下研究了信息科技風險的管理流程和具體措施。研究發現,首先,商業銀行的信息科技風險是操作風險的重要表現形式之一,因而有必要利用操作風險管理框架對其進行管理。其次,操作風險管理的流程和工具,可為信息科技風險的識別、計量、監測和控制提供規范化的參考依據。另外,值得注意的是,信息科技風險有其具體的表現形式和技術特點,對信息科技風險的評估、監測和控制等具體措施等有明顯的技術特點,因而信息技術部門內部的信息安全管理是信息科技風險管理必不可少的重要基礎。
研究建議,商業銀行應在信息技術部門內部的信息安全管理的基礎上,通過在信息技術條線推行操作風險管理,利用操作風險的規范流程和科學方法對信息科技風險進行有效管理。這不僅有利于落實《新巴塞爾資本協議》的監管要求,也有助于提升我國商業銀行全面風險管理體系的建設水平。
注:
住房公積金操作風險目前還沒有權威定義,參照銀行業的定義,操作風險是指由不完善或有問題的內部程序、人員及系統或外部事件所造成損失的風險。該定義不包括策略風險和聲譽風險,但包括法律風險。住房公積金操作風險在我國公積金行業中普遍存在,但沒有引起足夠的重視,也沒有對住房公積金操作風險管理進行系統研究,本文試圖從住房公積金操作風險管理的現狀入手,分析原因,提出相應對策。
一、現狀
住房公積金制度自1999年《住房公積金管理條例》頒布以來,在推進住房制度改革,幫助職工家庭解決基本住房需求,解決和改善城鎮居民的住房問題的同時,住房公積金管理水平也得到了較快的提升。但在住房公積金管理中,操作風險在各公積金管理中心以不同的類型的事件顯現。
(一)內部欺詐損失案件屢破記錄
我國住房公積金在內部管理和監督層面上缺乏風險防范以及未建立有效的風險管理考核指標、責任追究機制和未建立健全監督機制,導致公積金對內部的管理失控,內部欺詐案件數額一件比一件驚人。例如,湖南省郴州市住房公積金管理中心原主任李樹彪貪污、挪用公積金一案,被稱為當時(2004年)的“全國住房公積金第一案”,1999年9月至2004年1月,李樹彪利用其職務便利,撇開單位內部的審核、管理環節,與商業銀行和其他金融機構惡意串通,作案29次,從銀行和其他金融機構非法獲取貸款6675.5萬元,實際占用6229.1061萬元。郴州市中級人民法院一審判決李樹彪死刑。2009年,據《中國經營報》報道,北京市住房公積金管理中心朝陽區分中心(下稱朝陽分中心)原主任劉毅被檢查部門帶走,其任職期間先后挪用近9000萬元住房公積金。2014年,爆出吉林通化公積金挪用案,案件涉嫌金額驚人,又破歷史紀錄。
(二)外部欺詐案件常見報端
住房公積金的外部欺詐案件主要發生現在貸款和支取兩個領域上。在貸款方面的表現為:申請人冒名貸款或虛構申請人騙取貸款,或貸款后潛逃;申請人明知自己無履行合同的實際能力或擔保能力,采取欺騙手段申請貸款的;未將貸款按規定用途使用,任意揮霍致使貸款無法償還的;為爭取不正當利益,改變貸款用途,造成重大經濟損失,致使貸款無法償還的;隱匿貸款去向,貸款到期后拒不償還的。例如,劉凡等3人利用他人名義冒頂替,使用欺騙手段在北京住房公積金管理中心騙取管理中心借款1376萬元。在支取方面表現為:提交虛假材料和授權委托書代替他人支取公積金;偽造退休證、身份證等相關證件,提前支取公積金;虛構建房、大修房屋手續,支取公積金。此類情況一旦發生,追繳公積金存在很大的不確定性。例如,中山首例非法套取住房公積金案15人被公訴,南寧對非法騙提住房公積金行為立案51起 查處48起,安徽宣城判處騙提公積金者有期徒刑……。
(三)信息系統損失事件鮮為人知
由于維護不到位,操作不規范,或雷電短路損毀,使用不規范介質,或人為故意所致,甚至地震等等導致計算機系統失靈和系統漏洞以及系統崩潰,造成系統癱瘓、數據丟失和信息混亂,這給我國的住房公積金帶來致命性的打擊。
(四)資產隱形損失事件時有發生
住房公積金的資產在資產負債表上分為存款、應收款、國債、委托貸款和逾期貸款等,這些資產顯性的損失易被發現,而隱形損失不易發現但時有發生。隱形損失主要表現為資產配置不合理,資產收益率低,在公積金滿足住房貸款后,公積金配置存款和國債的年限和種類會影響流動性和收益。有的公積金管理中心沒有爭取銀行存款的上浮政策,未獲得或少獲得利率上浮區間的利息收益,也造成資產的隱形損失。
(五)業務辦理不規范埋下敗訴苦果
住房公積金管理中心在日常業務辦理應當遵守相關的管理制度和法律原則。在這個過程中,因為業務辦理不規范,無法滿足或違反法律要求,在法律訴訟案件中時有敗訴案件發生,給住房公積金管理中心造成了經濟損失,在這些敗訴案件中主要有三類:訴訟時效和法定執行時效過期、主體資格不適用、不作為等。第一類是法定時效過期案件敗訴,此類案件主要發生在貸款追繳方面,管理中心因為錯過法定期間或訴訟時效,導致訴訟無效,喪失追索權,形成損失。逾期貸款的訴訟時效期間為2年,超過2年后進行訴訟就是無效訴訟,只能進行協議協商;保證人承擔保證責任的時效是保證期間,一旦超過保證期間,保證人就會免除保證責任;在抵押權存續期滿未處置抵押物將導致抵押權的消滅,如果對法定的時效沒有進行主張權利,就很容易形成法律風險。第二類為主體資格不適用敗訴,有的公積金管理中心在受理貸款、擔保和提取公積金時不實行當事人當面進行身份認證和簽字的操作辦法,當出現法律糾紛時,多會因主體資格問題而敗訴;在保證擔保實踐中,一些管理中心把《擔保法》規定不得作為保證人的國家機關、以公益為目的事業單位、社會團體(如學校、幼兒園、醫院等)、企業法人的分支機構、職能部門作為保證人,這也會因擔保無效而敗訴。第三類第為不作為案件敗訴,有的管理中心在匯繳,拒絕接受合規貸款申請及破產改制補繳工作中,對少繳、停繳、欠繳的單位沒有按規定進行催建,置之不理,放任自流,形成工作中的“不作為”,那么繳存人有權依法要求管理中心承擔因行政“不作為”帶來的責任和損失。
二、原因
造成以上風險事件的原因是多方面的,歸納起來主要有有六個方面。一是新興行業,積累操作風險管理經驗少,住房公積金制度建立在我國僅有30多年的歷史,是一個新興行業,沒有現成的管理經驗可借鑒,全國的公積金管理在設區的市成立管委會進行分散管理,各地管理模式還處在全委托銀行、半委托銀行、自主管理三種模式并存的探討階段,操作風險管理積累的經驗很少。二是認識誤區,把操作風險管理等同于內審、廉政管理,內部審計是指組織內部的一種獨立客觀的監督和評價活動,它通過審查和評價經營活動及內部控制的適當性、合法性和有效性來促進組織目標的實現;廉政管理是對工作人員在履行其職能時不,辦事公正廉潔等方面的管理;操作風險管理是指對操作風險從識別到分析乃至采取應對措施等一系列過程的管理。三是機構缺位,沒有設置操作風險管理機構,當今住房公積金操作風險管理機構不健全,機構缺失,主要表現在:操作風險管理職責分散,缺乏專門的管理部門;基層分支機構操作風險管理職能缺失。長此以往,這種缺失的操作風險管理機構將嚴重阻礙我國住房公積金的發展。四是人才匱乏,沒有操作風險管理的人才,目前從我國住房公積金風險控制中看出,領導對風險管理人才重視不夠,招錄、引進、培養、留住風險管理人才的工作措施不得力;五是政策缺失,沒有統一的操作風險管理指引,在住房公積金操作管理這一塊,沒有建立一套正確的統一的操作風險管理政策。如果沒有一套統一的操作風險管理指引,那么就會出現各行其是的效果,上級管理部門對下屬部門無法進行有效的管理和控制,各單位也沒統一的操作風險管理指引可遵循,從而給單位各方面帶來操作風險。六是流程失范,創造了風險事件發生的環境,目前,在住房公積金大多數管理中心已實現了流程管理,但在流程管理中隱含了大量的風險事件沒有引起足夠的重視。
三、對策
通過對目前住房公積金操作風險管理現狀的分析,要提高操作風險管理水平,筆者建議應從以下六個方面入手:
(一)提高認識,把操作風險管理與業務管理同等重視
樹立操作風險管理理念,全力營造操作風險管理的文化氛圍,把科學的操作風險管理理念深入到各級公積金管理部門,植入到公積金管理中心的每一位員工,讓上下各級、全部員工形成慣性思維。
(二)統一政策,出臺操作風險管理指引
就全國而言,住房和城鄉建設部要制定住房公積金操作風險管理指引,通過統一政策出臺操作風險管理指引能夠更好落實住房公積金的相關規定和做到防范風險。在單位各方面利益得到維護時,不合法的操作管理也將難以隱藏,同時便于更好的業務規范操作。
統一的操作風險管理指引能進一步完善住房公積金內部治理結構,提升操作風險管理能力。住房公積金操作風險管理指引要至少應包括以下基本要素:公積金管理委員會的監督控制、公積金管理中心管理層的職責、操作風險管理架構、操作風險管理政策、方法和程序,住房和城鄉建設行政主管部門對操作風險的監管。
(三)成立機構,公積金管理中心設立操作風險管理機構
建立健全操作風險管理機構,各獨立機關要在全系統建立風險管理委員會。在綜合管理部門、歸集部門、支取轉移部門、個貸部門、財務部門要明確問責制、承諾機制、考核機制,并完善這些部門的程序、方法和操作風險計量、計提所需資金;完善操作風險管理機構,對重要的崗位、要害環節、敏感的業務風險點明確內控規定;嚴格授權、授信制度;建立完善事中控制和事后監督機制;建立操作風險信息預警報告制度,構建“人控、制控、機控一條龍”管理體系,從而,杜絕操作風險管理盲區和“斷層”。此外,還必須在成立機構的同時保證做到整合操作風險管理資源,構建內控與內審聯動、互動機制。
(四)重視人才,強化培養與引進操作風險管理人才
首先建立與行業要求相適應的教育培訓體系是培養符合住房公積金操作風險管理人才的基礎。我國住房公積金改革進程不斷加快也對操作風險管理人才提出了更多的要求,除了熟悉專業的風險管理知識外,還要具有較高的發現評估風險的能力與風險規避緩釋管理的技能。因此,國家住房和城鄉建設部對外要助推知名大學開設公積金管理專業,專門設置操作風險管理課程;對內要成立住房公積金風險管理研究團隊,培訓全國公積金操作風險管理人員。
(五)強化研究,重視操作風險管理工具的研究
操作風險管理工具有三大類:RSCA――風險與控制自我評估、KRI――關鍵風險指標、LDC――損失數據收集。要重視風險與控制自我評估,對自身進行診斷和完善。住房公積金要對單位綜合管理、歸集個貸、提取轉移、財務管理等進行自我觀察、分析和判斷,對可能出現的風險和采取什么樣的相應控制方法進行評估,對不可接受的風險提出流程優化方案。
要重視關鍵風險指標,預警和應對信息監控。結合歸集崗位、個貸崗位、支取轉移崗位等流程分析和梳理,設計一系列反映關鍵操作風險狀況的指標并確定預警閥值,定期跟蹤監測值和變動情況,確保潛在風險或風險事件及時得到控制。
要重視損失數據收集,收集和整改事情。根據廣泛性、重要性、及時性等原則,以2012年事業單位會計制度為最低要求收集損失數據,并對損失數據進行識別、匯總、分析與報告,以改善內部管理。
(六)規范流程,鏟除操作風險發生的土壤。
提高流程設計科學性,在流程框架設計時層次要合理,必須設置到標準作業流程層次,從而避免公積金業務操作隨意性大、責任不夠清晰的現象;在設計流程環節時,關鍵環節要設置審核、復合環節,有的還要設置審批和內部審計監督環節。
參考文獻:
[1]胡杰武,萬里霜,企業風險管理[M].清華大學出版社有限公司.2009.09
[2]郭延安.風險管理[M].清華大學出版社.2010.02
新資本協議對我國金融機構的風險管理提出了新的更高的要求。我國商業銀行要在實施全面風險管理的基礎上,逐步推進新資本協議所倡導的內部評級法,構建風險管理的整體機制。樹立全面風險管理理念,營造風險管理的執行文化氛圍;實施以內部評級為主的風險計量方法,注重風險緩釋技術的應用;創建風險計量模型,構筑信息數據平臺;提高風險管理的制度化水平,增強風險預警能力;建立現代企業制度,構建風險管理市場機制;發揮監管當局作用,強化外部監督。
一、當前我國商業銀行操作風險管理存在的主要問題
(一)對操作風險尚無一個全面、系統的認識。目前國內銀行操作風險的管理還處于起步階段,對操作風險尚未有一個全面、系統的認識,這種認識上的局限性不但造成對操作風險理解上的誤區,也制約了國內銀行對操作風險的具體實踐。
(二)操作風險管理機制缺失。國外商業銀行在風險管理機制方面已經形成了一整套完善的系統,健全有效的風險管理機制是國外商業銀行經營運作的堅實基礎,也是銀行安全性原則的重要體現。這一點正是我國商業銀行的薄弱環節。
(三)操作風險內控機制不健全。業務偏重事后監督,事前、事中風險控制不力,還未形成全過程、立體化有效防控體系;內部崗位、業務的制約、制衡機制亟須加強,新業務、新產品推廣前風險評估不足;以及一些規章制度已不適應業務發展的需要、應急事件處理機制尚未真正建立等等。
(四)風險防范意識亟需加強。國有商業銀行普遍機構臃腫、人員素質參差不齊、文化層次較低、業務技能陳舊單一,風險管理人才嚴重匱乏,更重要的是創新能力和接受新事物的能力偏低,加上操作風險管理在國內銀行中起步較晚,存在認識上的誤區和實踐上的滯后,員工風險防范意識較為薄弱,尤其柜面業務操作風險漏洞頗多,制度執行不力、有章不循、違規操作成為形成操作風險的直接和主要誘因。
(五)操作風險監管不力。問題屢禁不止,案件時有發生,甚至在監管檢查之后仍會發生責任事故,一個重要原因在于監管不得力,后續監督流于形式,監管制度不夠剛性和量化。要實現合規監管向風險監管的轉變、事后監督向事前、事中、事后全程監督管理的轉變,以及定性管理向定量管理的轉變等,還需一個漸進的、逐步完善和加強的過程。
二、建立操作風險管理機制的途徑
(一)構筑操作風險管理組織架構。商業銀行應根據行情選擇適合自身特點的方法,通過一系列操作風險管理流程和框架的再造,對操作風險進行全面識別、評估、監控、報告、改進,建立循環的、持續改進的管理過程,構筑較為完整的操作風險制度體系,同時建立操作風險管理責任制度,明確不同職位的人員在操作風險管理中應擔負的責任。
