[摘要]2008年1月法国兴业银行“交易员事件”再次将全球金融界目光聚焦在操作风险上。相比信用风险和市场风险,操作风险的内涵更为广泛,操作风险事件更为复杂。主要有人为、流程、系统因素和外部事件所造成的风险事故。本文论述了商业银行操作风险及其特点,探讨了操作风险的管理现状,提出了预防和控制商业银行操作风险的对策和措施。
[关键词]风险管理;操作风险;发展趋势
一、商业银行操作风险及特点
风险就是未来结果的不确定性。不确定性越高,风险就越大。由于分析角度不同,对银行风险分类的标准也不一。一般可分为市场风险(利率、汇率和资产价格)、信用风险、流动性风险、操作风险、法律风险、道德风险和国家风险。一般业界所说的三大风险是指信用风险、市场风险和操作风险。这是国际上巴塞尔委员会要求提取资本金的三类风险,是国际银行业和银行监管机构重点关注的三类风险。
对我国商业银行来说,操作风险是个新概念,但这并不表明我国商业银行中没有操作风险管理活动。事实上,各商业银行一直都有自己的操作风险管理实践,但一般使用“内部控制”一类的表述,而且,在多年内控管理过程中,各商业银行都程度不一地建立和制定了相关的管理框架、制度和措施。不过,相对于信用风险、市场风险管理而言,操作风险管理还缺乏识别标准、管理模式、数据积累等。
操作风险是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。操作风险包括法律风险,但不包括策略风险和声誉风险。具体表现就是商业银行因办理业务或内部管理出了差错;由于内部人员监守自盗,外部人员欺诈得手;电子系统硬件软件发生故障,网络遭到侵袭;通信、电力中断;自然灾害、恐怖袭击等原因导致损失的银行风险,这些都属于操作风险。可见,操作风险不仅仅包括操作中的风险,还包括内部程序、信息科技系统和外部事件所带来的损失。
与信用风险和市场风险相比,操作风险主要有几个特点。第一,具有内生性,除自然灾害等外部事件引起的操作风险损失外,操作风险大多是在银行可控范围内的内生风险,信用风险和市场风险则为外生风险。第二,广泛性,操作风险的覆盖的范围相当广泛,与市场风险主要存在于交易类业务和信用风险主要存在于授信业务不同,操作风险普遍存在于商业银行的业务和管理中。此外,对于信用风险和市场风险来说,风险越高,收益越高,存在风险与收益的对应关系,而操作风险和收益没有太多联系。
二、操作风险识别和管理
操作风险主要表现为以下几种类型,商业银行在经营中需加以识别和管理。
(一)人为因素。主要为内部欺诈、主观违规、操作失误。主观违规有超授权授信行为、逆程序、过度信任造成管理缺位、岗位设置不合理造成监督空位、不良爱好(如涉毒、涉赌、涉黄)引发的违法违规。操作失误是由于员工技能水平不高、态度不认真在业务过程中的失误造成的,如数字输入错误、将取款记作存款等。由银行员工操作失误引起的操作风险一般具有损失小(当然不排除特殊情况)、发生频率高、难以事先预测的特征,因而非常难以防范。人员因素引发的操作风险,有的是作为,如主观违规,有的是不作为,如业务不熟出错,疏忽大意。
(二)流程因素。包括操作程序遗漏或忽略、产品设计缺陷、业务流程设计不合理等。过去认为流程越复杂、相互制约性越强越好。事实上,流程越简单越易于操作,流程越短越便于管理,设计越合理越利于控制。这样才能适应变化,确保效率和风险管理,流程设计不合理,有瑕疵,往往容易出现风险隐患。
(三)系统因素。系统是现代商业银行赖以生存的命脉。无论是业务发展如网上银行、现金管理还是风险监控,都离不开信息系统紧密支持。但是,商业银行高度依赖信息系统,信息数据高度集中也给银行带来新的风险管理难题,如系统安全稳定、IT技术风险防范、数据和信息质量,系统设计和开发战略风险,等等。系统出现如故障、瘫痪,系统不安全、通讯中断以及系统兼容性、稳定性、适宜性方面的操作风险很容易给银行带来巨大的经济损失和无法估量的信誉损失。此外,从操作风险发生的部位来看,当前与系统有关的操作风险日益增加。由于系统原因和流程问题导致犯罪分子利用系统漏洞实施金融诈骗已经成为妨碍我国银行业资金安全重大问题。
(四)外部因素。银行经营都是处于一定的政治、社会、经济环境中的,经营环境的变化、外部突发事件都会影响到银行的经营活动,甚至会产生损失。外部事件引起银行损失的范围非常广泛,包括外部欺诈、外部突发事件与外部经营环境的不利变化。外部人员的蓄意欺诈行为是近年来给银行造成损失最大、发生频率最高的操作风险之一,而内外勾结作案更是令商业银行防不胜防。外部欺诈包括骗贷、抢劫、偷盗、爆炸等风险因素。外部突发风险包括遭受冰冻雨雪、地震等自然灾害以及恐怖袭击、火灾等给商业银行带来的损失。外部经营环境的不利变化引起的操作风险是由于受宏观经济环境、银行监管法规变化使银行发生损失的风险。宏观经济环境的不利变化会给商业银行带来意想不到的损失。
三、商业银行操作风险管理的现状
目前,我国操作风险管理与监管尚处在一个较为初期的发展阶段。由银行监管部门以规范性文件发布关于操作风险监测方法或者具体操作模式还为时尚早。监管机构主要把重点放在提高操作风险(或内部控制)管理质量上,并且要求银行提高对操作风险的重视。
(一)商业银行操作风险的监管要求。2004年6月,巴塞尔委员会发布了新的资本协议,对银行操作风险提出了新的资本要求。据巴塞尔委员会估计,在银行业所有风险中,操作风险所造成的损失已经仅次于信用风险。2006年10月巴塞尔委员会发布的新版《有效银行监管核心原则》中,专门为“操作风险的监管”新增一条原则,制定了评估该原则执行情况的标准,提出了商业银行操作风险管理的最佳做法和监管指引。
目前,实施新资本协议的国家都按照新协议要求,明确将操作风险纳入资本监管范畴,国际上已形成了对操作风险加强监管的共识,已经形成了相关制度和监管标准。巴塞尔新资本协议对操作风险的有关规定是近年来国际金融界日益注重操作风险管理的制度体现,也是加强全面风险管理方面的新要求。
在未来几年内,我国银行界按照新资本协议的要求实施操作风险管理已是大势所趋。根据中国银监会《商业银行操作风险指引》要求,操作风险监管机构是中国银监会和派出机构。商业银行要履行报告义务,提交有关方面的审议报告,对有关政策和程序要报备。银监会定期要进行检查评估。对于高管严重违规、重大抢劫银行等操作风险事件商业银行必须报告银监会和其派出机构。另外,《商业银行操作风险指引》要求商业银行要根据自身实际操作风险管理的政策、选择适当的方法进行管理,采取一定的措施控制、降低操作风险。
(二)操作风险机制建设。国际上巴塞尔协议将人们的视线更多地集中于操作风险的'监管资本要求上。但实际上,一个银行的资本量多少并不是管理成功与否的关键,加强操作风险管理最关键是加强商业银行操作风险的机制建设。
1.关于操作风险管理体系建设。关于操作风险管理的组织体系,各银行间存在着重大差异。各商业银行主要依据银监会《商业银行操作风险管理指引》要求逐步建立和探索适应本行的操作风险管理体系。该体系主要包括董事会的监督控制;高级管理层的职责;适当的组织架构;操作风险管理政策、方法和程序;计提操作风险所需资本等基本要素。董事会从总体上履行操作风险管理的职责。如制定总体战略、政策、定期审批报告等。高级管理层在操作风险管理中职责主要为执行董事会的有关决议,定期向董事会报告。各商业银行一般以与自身的风险管理战略和组织结构相匹配成立管理操作风险的部门。具体执行中操作风险人员可能被放在一个部门——操作风险管理部门,主要拟定本行操作风险管理政策、程序和具体的操作规程;建立并组织实施操作风险识别、评估、缓释(包括内部控制措施)和监测方法;定期检查操作风险的管理情况。有些银行在总行层面上建立了首席风险官,在各营运业务条线设置风险经理,对主要业务的关键、高发风险点进行实时监测。有些银行在专业领域内如法规部门、审计监察部门设立单独的风险监管部门,在管理好本部门的操作风险的基础上,为其他部门管理操作风险提供相关资源和支持。
2.商业银行操作风险管理有关政策。各商业银行正积极探索制定有效管理操作风险的政策和方法。首先,在操作风险政策制定方面,部分商业银行已经制定《操作风险管理政策框架》、《操作风险管理政策》,进一步明确了各行各级机构和部门在操作风险中的管理职责。针对操作风险的执行,制定具体执行措施,如详细的《案件防控及整改方案》、《基层机构关键风险点监控检查内容与操作指引》,同时,将操作风险控制基本要求植入业务流程改造和IT蓝图建设中。其次,为衡量分析操作风险建立操作风险管理技术标准。各商业银行正在积极研发风险控制与评估、关键风险指标、重大事件报告制度、损失数据收集和业务持续经营计划等工具。再次,识别操作风险,制定有关制度措施。根据银行风险的特点,加大对操作风险的识别,并针对性地制定制度措施,如对系统风险、外部等操作风险,有关行制定了详细的风险应急预案,增加应急措施;建立与新产品、新业务发展相对应的制度规定;修改更新产品和流程,塑造流程银行,按流程操作;增加制度执行建设,强化日常检查的频率,加强员工行为排查,等等。