目 录
一、 背景.........................................................1
二 、损失事件......................................................2
三、 商业银行的操作风险在实际管理过程中有多种具体的表现形式........3
四、 现代商业银行在操作风险管理方面存在的问题......................4
五 、有关现代商业银行操作风险的防范措施............................5
参考文献.........................................................15
摘 要
巴塞尔银行委员会对操作风险的定义为:由于内部程序、人员、系统的不完善或失误,或外部事件造成直接或间接损失的风险。一般而言,目前对操作风险的分类有两种方法。第一种将操作风险简单的分为人员因素引起的操作风险;流程因素引起的操作风险;系统因素引起的操作风险和外部事件引起的操作风险四类。第二种分类方法将操作风险较详细的分为七类,包括内部欺诈;外部欺诈;雇员活动和工作场所的安全问题;客户、产品和业务活动的安全问题;银行维系经营的实物资产损坏;业务中断和系统错误;行政、交付和过程的管理等。
从操作风险的定义和分类方法中我们不难发现,操作风险的来源不外乎以下两个方面:一是人为、操作性的操作风险,二是非操作性的操作风险。从我国各商业银行在操作风险管理方面的现状来看,目前各商业银行对操作风险的管理尚不完善,在操作风险管理理念、管理框架、管理手段等方面都存在着很大的缺陷,即使部分商业银行对操作风险有所关注,也还只是停留在操作性的操作风险层面。本文通过作者从公开媒体报道中所有可能搜集到的国内商业银行的操作风险损失时间,从损失时间类型、业务部门、四大专业银行、区域分布等维度,对操作风险损失事件的频度和幅度进行定量分析,试图对我国商业银行业目前面临的操作风险的状况给出一个初步的定量概括归纳,从操作风险的基本概念入手,分析了现代商业银行在操作风险管理方面所存在的问题,并对症下药,寻求防范操作风险的有效途径。
[关键词]:操作风险、损失事件、损失频度、损失幅度
商业银行操作风险的控制分析
背景
操作风险是商业银行经营活动中所面临的最古老的风险种类。但是与市场风险、信用风险、流动性风险相比,商业银行对操作风险的理解、认识和管理都处于较低的水平。20世纪80年代以来,全球金融机构因操作风险已经损失了2000多亿美元。巴塞尔委员会在2002年举行过一次全球操作性风险调查,被调查银行共计报告47269起损失金额超过1万欧元的操作性风险时间,平均每家银行发生操作风险事件528起。进入20世纪90年代以后,一系列由于操作风险(Operational Risk)所导致的银行案件震惊了国际金融界,也对金融机构的操作风险管理提出了严峻的挑战。2004年6月“新巴塞尔协议”的颁布,提出了研究商业银行操作风险的要求。据金融信息参考2007年第6期报道,我国从2000年到2007年共发生涉案金额在百万以上的银行业案件75起,其中人民银行6起,农业银行15起,建设银行17起,中国银行18起,其他金融机构10起,除涉案金额不详的13起案件以外的其他案件造成国有资产损失高达24.15亿元。操作风险频繁引爆,破坏力量之大令人震惊,建立和完善操作风险管理体系已经成为现代商业银行急需解决的重大课题。在这种情况下,研究我国商业银行的操作风险产生的原因及其防范对策具有特别的重要性和迫切性。虽然操作风险这个概念的提出已有较长的历史,但将其与其它两种风险并列为金融机构面临的三种主要风险则是最近几年的事情。金融管制的放松、金融全球化、金融服务产品的日益丰富、以及金融技术的日益复杂使得金融机构的活动花样繁多,日趋复杂。与信用风险、市场风险相比,操作风险管理在金融时间中地位日趋彰显。因此不论是金融监管部门,还是金融从业机构,都前所未有地加大了对操作风险的管理和控制力度。
操作风险主要具有以下一些特点:
(一) 因为操作风险主要来源于企业的日常营运,人为因素在引发操作风险的因素中占有直接的、重要的地位。如果说市场风险来自于金融产品价格的波动,信用风险来自于借款者偿还能力的变化,绝大多数的操作风险则更多可以归因于有意或无意的、来自企业内部或外部的人为操作失误。在Basel银行监管委员会定义的7种操作风险损失事件类型中,有6种直接与人为操作有关。
(二) 操作风险事件具有发生频率很低,但是一旦发生就会造成极大的损失,甚至危及到银行的存亡的特点。例如,1992-1995年间,巴林银行交易员里森的错误交易以及在出现损失后继续隐瞒,最终给巴林银行带来86000万英镑的损失,导使其破产。1995年华夏银行3名职员非法拆借3.4亿多元的贷款,致使华夏银行2亿多元资金无法收回。
因为以上两个特性,导致了操作风险难以度量、难以管理。如何使用定量的方法来定量操作风险,将操作风险纳入整个银行的风险管理体系,对这个问题的研究才刚刚起步。
具体到我国的银行业,由于大多数银行还处在向真正的商业银行转型的过程中,内部控制机制还不完善,加之以社会转型过程中泥沙俱下的腐败蔓延,操作风险是我国商业银行的主要风险来源之一,其在商业银行风险中的比重远大于国际同行的水平。操作风险的度量和控制的研究在我国有着重要的现实意义。尽管我国商业银行由操作风险引发的损失事件数量较大,但是有关操作风险时间数据积累却十分贫乏,给操作风险的度量研究带来很大的困难。造成这种贫乏的原因,一方面是历史的原因,过去对操作风险更多地是从管理制度方面考虑,很少有定量分析的意识,因而不注重历史数据的积累;另一方面是我国商业银行的产权和信息披露制度的原因,银行不但没有压力披露操作风险时间,相反却有主动隐藏风险事件的动机。为克服研究数据的缺乏,我们尽可能的收集了国内外媒体公开报道的我国商业银行操作风险损失事件。我们认为这些报道,尽管不充分,但是人为的厚此薄彼的可能性很小,应该说能基本上反应出我国商业银行目前操作风险的大致轮廓。我们希望以这些数据作为依据,来对我国商业银行的操作风险状况做一个定量的概括归纳,以期能初步认识我国商业银行操作风险的各种属性。
二、损失事件
对损失事件类型和业务部门的定义来自于Basel银行监管委员会,简介如下:
损失事件类型是按照操作风险损失事件导致损失发生的原因来进行区分的具体分为7类;
(一) 内部欺诈(Internal Fraud):有机构内部人员参与的欺诈、盗用资产、违范律以及公司的规章制度的行为。例如内部人员虚报头寸、内部人员偷盗、在职员帐户上进行内部交易等等。
(二) 外部欺诈(External Fraud):第三方的欺诈、盗用资产、违犯法律的行为。例如抢劫、伪造、开具空头支票以及黑客行为对计算机系统的损坏。
(三) 雇佣合同以及工作状态带来的风险事件(Employ Practices & Workspace Safety):由于不履行合同、或者不符合劳动健康、安全法规所引起的赔偿要求。例如:工人赔偿要求、违犯雇员的健康安全规定、有组织的罢工以及各种应对顾客负有的责任。
(四) 客户、产品以及商业行为引起的风险事件(Client,Products & Business Practices):有意或无意造成的无法满足某一顾客的特定要求,或者是由于产品的性质、设计问题造成的失误。例如受托人违约、滥用客户的秘密信息、银行帐户上的不正确的交易行为、洗钱、销售未授权产品等。
(五) 有形资产的损失(Damage to Physical Assets):由于灾难性事件或其他事件引起的有形资产的损坏或损失。例如恐怖事件、地震、火灾、洪灾等。
(六) 经营中断和系统出错(Business Disruption & System Failure):例如软件或者硬件的错误、通讯问题以及设备老化。
(七) 涉及执行、交割以及交易过程管理的风险事件(Excution Delivety & Process Management);交易失败、过程管理出错、与合作伙伴、卖方的合作失败。例如交易数据输入错误、间接的管理失误、不完备的法律文件、未经批准访问客户帐户、合作伙伴的不当操作以及卖方纠纷等。
业务部门是按照损失事件发生的部门,来对损失事件进行分类。Basel委员会划分的商业银行的业务部门包括:
(八) 公司财务(Corporate Finance):合并与收购、股份承销、资产证券化、首次公开上市发行、政府债券和高收益债券等。
(九) 交易与销售(Trading & Sales):固定收益债券、股权、商品期货、信用产品、自有头寸证券、租赁与赎回、经纪、债务。
(十) 零售银行业务(Retail Banking):零售的存贷款业务、私人的存贷款业务、委托理财、投资建议。
(十一) 商业银行业务(Commercial Banking):项目融资、房地产、出口融资、交易融资、租赁、担保、贷款。
(十二) 支付与清算(Payment & Settlement):支付、转账、清算。
(十三) 代理服务(Agency Services):契约、存款收据、证券借贷、发行和支付代理。
(十四) 资产管理(Asset Management):可自由支配的资金管理和不可自由支配的资金管理。
(十五) 零售经纪(Retail Brokerage):零售的经纪执行以及其他服务。
三、商业银行的操作风险在实际管理过程中有多种具体的表现形式。
根据商业银行的特征和运行规律,借鉴国外操作风险控制与管理的经验主要有以下几种主要形式:
(一) 组织风险。是指商业银行由于组织机构设置以及组织控制失效或低效,产生操作风险,而使得实际效果偏离预期目标的可能性。我国商业银行在改革过程中,组织机构及控制方式在变革之中,由传统的组织结构以及控制方式,向“公司化”的组织机构及控制方式转移,组织机构及控制方式发生失效或低效的可能性很大,由此就比较容易引起操作性风险的产生,这种由组织机构及控制方式的作用或内在功能失效的产生的内部操作风险,就是组织风险。
(二) 管理风险。是指由于管理人员以及管理职能失效,产生操作风险,而使得实际管理效果达不到预期目标的可能性。加强管理是控制操作风险的有力手段,在商业银行的运行过程中,管理人员舞弊、管理制度缺陷、管理技能下降等,都会导致内部控制制度的失效或低效,从而引发操作风险的产生。这种因管理人员以及职能原因产生的操作风险被成为管理风险。
(三) 技术风险。是指由于技术工艺、设备及手段等不完备或失效引发操作风险,从而使得技术控制效果达不到预期目标的可能性。商业银行的技术控制手段越来越先进,犯罪份子的作案手段也越来越高明,尤其是计算机及网络系统的产生,在方便用户以及增加商业银行业务量的同时,也在不断地增加网络操作风险。另外,现代印刷手段的提高,也在不断产生着假票、假币,也促进了操作风险的产生。以上这方面的原因产生的操作风险,被成为技术风险。
(四) 人员风险。是指商业银行的内部以及外部相关人员,有意识、有目的地作弊或责任心不强、判断失误等原因而产生操作风险的可能性。内部人员舞弊是由于员工素质低下以及内部控制制度失效等原因造成的人为风险;外部人员舞弊是外部不法份子与内部人勾结、利用商业银行的缺陷或采用现代技术手段进行欺骗,以造成商业银行或他人资产损失的行为。
(五) 法律及制度风险。是指由于国家法律、规律不健全,以及商业银行制度缺陷,而造成商业银行及他人资产损失的现象。我国商业银行目前正处在改革时期,法律、法规还不够健全,商业银行制度及业务还没有完全与国际接轨,已经颁布的相关法律、法规也由于环境条件的不成熟还没有完全起作用。因此,通过完善及贯彻执行相关法律、法规来降低操作风险,具有重要的现实意义。
四、现代商业银行在操作风险管理方面存在的问题
从近年来银监局和各商业银行对银行业务的专业检查、内控调研,以及对僵硬管理状况的了解情况来看,我国商业银行对操作风险的管理尚不完善,还存在着较多的缺陷,主要表现在一下几个方面:
(一) 我国商业银行内部对操作风险的意识比较薄弱,对操作风险的认识存在偏差,因此未能正确处理好风险管理与市场营销、市场开拓的关系。
由于风险是一种不确定性事件,它的出现和造成的损失不是确定的,即使发生风险,在时间上也是滞后的。因此,长期以来我们总是将其放在附属的位置上,全身心的投入到眼前“确定”的业务收益之中。即使经过了这些年的思想灌输、制度加强、监督检查,我国商业银行上下对操作风险仍缺乏统一的认识,基本上没有形成自觉自愿进行风险防范的氛围,风险防范的意识较弱化。即使某些商业银行认识到应该对操作风险进行防范,但认识上仍存在一定的偏差,尚未认识到操作风险的防范是一个全局的概念,是一个过程,需要全面认识,需要建立一个环环相扣、监督制约的动态机制。比如某些商业银行内部人员认为操作风险防范的方法主要在制定制度、事后监督、防范的对象主要在操作层,因而造成银行内部规章制度多而杂乱,对操作人员的检查名目繁多。
对操作风险认识上的误区导致了我国商业银行在处理风险管理与市场营销、市场开拓的关系中,往往处于“放松—过紧—放松”这样一个非良性循环中。也就是说前些年,商业银行往往把加强风险管理与拓展业务、实现效益对立起来,在业务拓展和风险防范抉择中,侧重于抓规模、抓效益,忽略了对违规违章现象的防范。而这两年,在向现代商业银行转变的过程中,商业银行大多开始强调风险控制,这又导致部分行处出现了在市场拓展方面谨小慎微,在风险防范方面过多注重表面现象,造成银行业务在一定程度上有所萎缩。随之为完成指标,拓展业务,相关行处又产生急躁情绪,进而又会将风险控制的要求置于脑后。可见,这样一种对风险管理和业务开拓关系处理不妥当的做法,将不利于现代商业银行的长期发展和稳定。
目前,在某些商业银行的领导层仍存在这样的思想,认为抓业务开拓与发展最能体现一个行的工作业绩,是硬道理;抓内部管理、风险控制是软指标,只要不出现大的差错事故就可以了,对风险防范工作只做表面文章。相应的,在部分员工中也存在类似思想,以业务开拓为主,对业务开展中的风险防范不加重视,得过且过,只注重眼前利益,忽视长远利益。
(二) 我国商业银行对操作风险的事前防范和预警机制尚未建立,防范的重心仍在事后,且操作风险管理工作较分散,没有形成核心管理机构,缺乏统一性和协调性。
由于管理体系、技术条件和人员素质等方面的原因,我国商业银行事前风险控制工作显得较为薄弱,并没有相应的操作风险评估、衡量体系,无法量化风险,估计损失。对于操作风险的工作重心主要在事后管理上。如某商业银行在组织机构中设立了稽核处(内控办公室)、监察室、事后监督中心、贷后管理中心、检辅中心等风险管理部门,但这些部门只起到了事后防范的作用,并没有系统的评估风险的过程,识别风险的能力较弱。
同时,我国商业银行尚未成立一个风险核心管理机构,有的商业银行虽成立了一定的风险管理机构,但从对风险的整体管理而言,尚未能总揽全部风险的管理工作,不是有效的风险核心管理机构。且工作中对风险管理缺乏统一协调和集中管理,未将具体责任落实到操作风险的所有相关部门。以某国有商业银行二级分行为例,该行从市分行到支行都设立了内控委员会,但一些支行的内控委工作在一定程度上流于形式,应付上级。且相关风险管理部门之间的协调不配合并不顺畅,某些职责的落实并不明确、清晰,对风险的管理不到位。各个业务部门各自为政、分头管理,缺乏应有的信息互通,偶尔还会出现检查依据不一致的情况,造成总体检查次数较多,重复检查的情况时有发生。
(三) 我国商业银行人力资源管理和配置方式不能适应风险防范的要求。
目前我国商业银行在人员数量、素质方面存在与业务发展不相适应的情况。以某国有商业银行为例,根据风险防范要求,不相容职责应该分离。但由于减员的要求,目前该行大部分分理处配置6名左右工作人员,储蓄所配置4至5名左右工作人员。随着网点经营业务品种的增加,网点机构风险控制点相应增加,因此一人多岗,一人多卡,主任混岗等“失控”现象频频发生,干部交流、员工轮岗以及强行休假制度得不到很好的落实,存在操作风险的隐患。
银行内部业务管理人员的管理水平与业务管理的规范要求存在一定差距,影响、减弱内控实施的有效性。如部分商业银行总会计或营业经理业务水平不高,对不相容业务的风险认识不足;信贷员、审查员不胜任贷款管理,不能根据企业的基本情况、经营状况等信息,对企业进行全面、综合的风险分析和评估,无法满足贷款“安全性”的管理要求等。
另外,银行在人力资源管理方面的投入相对不足,分配制度和比例有待进一步改进。比如在人员培训经费上投入不足,员工基本保障方面的投入不足,奖金分配制度尚有所欠缺,以某国有商业银行为例,随着该行大幅度的减员增效,各部门人员在数量上已经大大减少,甚至很多业务部门出现人员不足、超负荷运转的现状,但是由于分配制度和比例方面有所欠缺,“增效”的甜头不明显,导致员工对制度执行的态度不积极,对规范化操作不重视。
(四) 我国商业银行计算机系统方面也存在着不少操作风险。
计算机系统的不完善和失误所造成的问题影响面广,范围大,所引起的操作风险是不容忽视的。如某商业银行二级支行2004年3季度全行贷款计息出错就是一个例子,由于该行工作人员对计算机过于信赖,因此没有及时发现这一错误。更为严重的是部分人员在知道出错的情况下,也没有引起应有的重视,甚至向上反应也没有得到及时答复,最终造成该二级支行贷款计息错误一直托了一个多月才予以更正。又如某商业银行业务处理系统对于手续费减免的检测和控制不严密,日常工作中难免出现手续费漏收或未经授权减免手续费的情况,影响了核算的规范化,存在一定的操作风险。
(五)商业银行内部制度建设缺乏规范性,部分内部控制制度僵化,制度传递不及时。
目前而言,我国商业银行内部各种规章制度名目繁多,发文管理欠规范。有些业务没有一个明确的规定,缺少指导性较强的文件;有些业务制度既存在着重复控制,又存在着控制盲点。如在新文件下发时,没有明确那些文件要在该文件实施之日起废止,加大了实际操作的难度。有些相关规定又散落在各种不同的文件中,影响操作。在文件中类似“原则上“这样的规定较多,执行起来形同虚设。
对规章制度的完善工作相对滞后,未及时进行调整,表现出业务与控制在时间上的脱节。在新兴业务方面,并没有落实“内控先行“的原则。这类业务的制度、监管和高风险点尚未健全,业务发展过程中没有得到合理的引导与有效控制,缺乏有力的检查监督,制度建设跟不上业务发展的需要。
还有一些制度管理部门在制定制度时,比较注重控制风险,没有考虑制度实施的可能性,使许多制度在基层营业网点难以完全执行,流于形式。另外某些上级行的文件传达不到基层,或在转发过程中存在时间滞后的现象,造成制度贯彻执行中的断层、盲点,是非标准难辨,造成内控制度贯彻落实不到位。
(六) 商业银行内部的监督检查缺乏系统性,存在检查不到位,处罚力度不够的现象,不能有效的防范操作风险。
近些年,由于银行业金融案件不断发生,银监局和各商业银行内部都加大了对辖属网点的监督管理,因此各种类型的检查项目比较多,但并不是每一次检查都能切切实实达到效果。有些检查由于照顾情面,得过且过,检查质量、检查深度不尽人意,对被检查单位没有威慑力,起不到应有的警戒作用;有的检查由于时间紧,人员配备问题,匆忙上阵,检查深度和有效性不强;有的检查对发现的问题不及时处理,整改不落实。因此,检查工作的质量和效果受到影响,达不到应有的效果。
另外,商业银行对某些存在风险隐患的部位,内部各监督部门均未纳入检查范围,造成了检查上的真空、漏洞。此外,银行内部的各种检查监督力量各自为政,形不成合力,导致重复检查、低效率检查。而相对于基层行而言,就出现了备查次数多,接待压力大,疲于应对,导致检查效果不明显的现象。
各类检查的严肃性不够,处罚力度不强,也影响了操作风险的有效防范。事实上,有了严格完善的规章制度,还需要有严格的“执法”相匹配,这样才能真正起到风险防范的作用。而有的检查对违法违纪者碍于情面,大事化小、小事化了;有的检查只注重表面整改,不重视对同类问题的反省,也不进行处罚,多次下来,没有引起操作层的真正重视,检查的严肃性就遭到了破坏,风险防范效果就大打折扣。
(七) 商业银行内部存在岗位职责不规范,激励机制不到位,权责不明,奖罚不利的现象,以至于对检查出的问题缺乏应有的重视,整改落实不到位。
目前一些商业银行对员工的责、权、利的规定不明确,没有制定完善的岗位职责。在制度建设上,往往注重处罚机制,相应的奖励机制不健全。而在落实处罚时,往往又出现处罚依据可协商,处罚标准“就低不就高”的现象。在日常检查时,我们往往会遇到这样的事:操作人员表现的态度诚恳,并能及时整改,但对其真正对待检查的态度却不够积极,只是就事论事,查一点改一点,没有真正对该类问题进行全面改正,造成整改上的不到位。并且,在检查中经常会出现被检查行的整改报告显示“已全部整改”,但复查中却未整改的现象。可见权责利不明确,奖罚不分明,就会出现问题屡查屡犯,整改之后又犯的现象,操作风险的发生就不可避免了。
(八) 商业银行内部人员流动过大,部分员工学习自觉性不强,业务技能、知识水平不能满足要求,按章操作观念淡化,以至于有章不循、违章操作,带来操作风险。
随着金融业竞争的加剧,对人才的需求也在不断加大,因此各商业银行内部人员的流动性加剧。但目前我国商业银行还没有建立一套真正科学、合理、有效的新员工培训机制,老员工后续教育机制。导致虽然有“师傅带徒弟”的培训办法,但师父的操作也不完全规范,徒弟的规范性更无从谈起,因此技术性风险错误或事故难以根绝,这也是我们在日常内部管理中出现频率最高的问题。以某国有商业银行为例,在改革过程中,该行客户经理和临柜员工队伍变化过快,新老员工的频繁替换造成了违规操作在新员工中不断出现。
另外,由于部分员工对规章制度的学习不够,存在“有章不知”的现象,责任意识、风险意识和自我保护意识的淡漠,因此带来风险隐患。如有的员工以感情代替内控制度,员工之间相互信任,排斥“认制度不认人”的法理性控制机制。一些员工认为只求自己不出问题,别人出问题与己无关,是部门领导和行长的事,从而放弃了应有的监控责任。
有关现代商业银行操作风险的防范措施
(一) 现代商业银行全体干部员工必须更新风险防范理念,正确处理风险防范和业务拓展之间的关系。
从上级管理人员开始,改变传统的经营理念,加深对风险管理的理解,将操作风险的管理和防范纳入到整个银行风险防范的关注范围。通过教育、培训、目标管理等多种方式,切实提高全员,特别是领导层的风险意识和责任意识,深入理解风险和效益的关系。进一步了解风险的防范不是某一些人,某一些部门的责任,而是每一个部门、每一个员工的责任,需要全员共同参与风险管理。
同时应从上到下全面认识业务拓展和风险管理的关系,两者必须相适应。在业务拓展之时,必须坚持“内控先行”的原则,将“安全性”这一目标自觉融入到日常工作中,最终将风险意识贯穿到银行全体员工的自觉行动中去。通过广泛的风险教育和提高对业务上风险的重视,使所有员工了解操作风险,培养对风险的敏感性。
(二)加强对商业银行现有信息系统的管理,进一步重视系统数据的核对工作,加强内部信息资源共享和同行业信息资源的利用。
我国现有银行现有业务系统大部分都已实现联网,信息管理能力正在不断较强。但由于系统升级、新业务上机、临时系统出错等原因,难免会出现机内数据不确定的情况,因此必须加强对计算机系统的数据检查,以及系统安全的管理。同时,应该明确落实各业务系统的管理部门,使操作人员遇到问题时可以及时询问,进行核查,从而有效防范操作风险。
另外,我国商业银行现有计算机网络正逐步强大,应进一步推广和加强行内行外信息资源的共享。如赋予风险管理委员会各种查询信息的权利,通过数据查询,及时掌握商业银行各项业务的开展情况,了解其中的风险隐患,为今后建立风险预警系统作准备。各专业部门应及时将日常发现的风险隐患上报风险管理委员会,以便进行统筹安排。银行同业之间应及时互通各种信息资源,通过交流好的经验措施来更好的防范风险。
(三)理顺各部门、组织的责任及其关系,改造现代商业银行现有的风险管理系统组织结构,建立有效的内部信息交流制度和报告制度。
改革现有的风险管理组织结构,建立以风险管理委员会(或内控控制部门)为核心,各业务部门相互协调、共同参与的风险管理组织体系。由风险管理委员会统一领导全行操作风险的管理和防范工作,由其统一指挥和协调,其他处室共同参与,切实落实对风险的全过程监督,避免各自为政,重复监督,重复检查的现状。
同时,必须关注风险管理委员会的职责问题,严格制定各成员及部门的责任,以免出现谁都参与风险管理,谁都不管的相互扯皮,无法落实责任的现象。
进一步建立有效的内部信息交流制度和报告制度。除了定期召开风险管理委员会例会外,还应要求各专业部门将检查的范围及时发现的问题及时报送风险管理委员会,以便统一领导全行的风险防范管理。另外,应对信息交流和报告制度建立相应的规章制度,避免内部各管理部门从自身利益出发,隐瞒不报,或是对该项工作不加重视。
(四)严格内部控制制度,加强对文件的管理,提高文件的可行性、实用性。
防范操作风险的第一道防线应该是严格的内部控制制度和有效的风险管理。现代商业银行应制定行之有效的规章制度和各种操作规程,切实落实责任,形成系统的风险控制制度和奖惩制度。
不断规范和完善内部控制制度,规范对文件的管理。一是针对商业银行业已建立的内部控制制度,由各专业部门负责进行梳理,通过调研,广泛征集意见,区别两种情况,一种是与现实不相符,实物性不强,或是风险可控的环节,需要删去或修改的;一种是目前存在一定风险,但内部控制制度尚未包括在内的,需要增加的部分。可以鼓励银行内部操作层踊跃汇报反应制度中存在的缺陷,以便全面、及时的发现问题。若属本级行权利范围内的,由专业部门进行修改;若属于超出本级行权利范围的,应形成书面报告向上级反映,从而有效促进和规范内部控制制度的完善,促进上下级之间的信息交流,同时也有利于发挥广大员工的主管能动性,积极参与到商业银行的改革发展中来。另外,对于一时无法提供改进的制度,应及时向下级行(操作层)进行反馈,以便得到广大员工的理解和支持。信息的传递需要上下畅通,不仅要向上汇报时通畅及时,向下反馈也同样应该畅通及时,从而降低操作风险的发生。二是对发文进行规范管理,在新的文件下发时,明确规定哪个文件将废止,同时各专业部门应该整理出本专业目前尚有效的所有文件,进行规范管理,避免文件过多过杂,或相关规定散落在不同文件中,影响执行。三是形成系统的风险控制制度和奖惩制度,让每一个员工认识到自身的工作岗位上可能存在的危险,时刻警觉,形成防范风险的第一道屏障。并通过明确的奖惩制度,鼓励好的行为,处理坏的行为,体现内部控制制度的奖惩分明。通过内部控制制度的规范和管理,使其具备灵活性,以适应市场不断变化的需要。
(五)进一步完善检查目的,改进检查方法,严肃检查结果,提高整改落实的效果。
我们知道,检查的最终目的不是查问题,而是通过对业务操作层的辅导,提高银行内部防范风险的能力。促进业务的不断发展。检查要善于抓住重点,对容易导致事故、案件和造成资产损失的薄弱环节、部门和岗位要进行重点监控。在检查过程中,标准应该严格,结果应分轻重,对于马上整改的问题应作为建议提出,提醒被检查部门提高重视,注意这一类问题的再次发生。同时不仅要检查出现存在的问题,还要总结出现问题的环节是否属于一个风险点,并对风险进行区分,分析原因,在检查报告中予以列示。
风险管理的有效性还依赖于对问题的态度和对问题的整改落实度。各项检查不能仅仅停留在揭露问题这一层面,要帮助被检查对象提高对存在问题的认识和制定整改措施,从加强管理的角度提出管理建议,并对出现问题的部门、网点进行持续关注、持续检查,以使问题得到彻底解决。
(六)再造业务流程,减少操作风险
现代商业银行内部各管理部门应该承担起业务流程再造的任务,深入研究本业务范围的操作流程是否符合风险控制的要求,是否在有效防范风险的前提下,提高效率,促进业务发展。商业银行应为每项银行业务设计尽可能短的业务处理流程或程序,从客观上减少操作风险源,减少出现技术性风险的错误或事故几率,并尽量将业务流程中的高风险控制点纳入计算机的控制范围,通过在机内设置响应的要素,增加后台管理能力,减少人为的操作性风险。
(七)及时修订相应的高风险点管理控制要点,突出对业务高风险点的管理监控,重视基层机构的风险管理,抓好案件防范责任的落实。
业务高风险点是商业银行基础管理的薄弱环节,把高风险点控制与执行内控建设,内控综合评价结合起来,将对业务高风险点的管理作为各专业控制风险、防范案件的重点来抓,常抓不懈,不断完善内控方法,夯实管理基础,提高风险控制能力。
把基层机构的风险控制、防御、化解作为风险管理的重点,要进一步完善基层机构风险管理的方法,切实控制基层机构风险。以某商业银行为例,该行检辅集中后,网点营业经理(总会计)处在基层机构风险管理的事中控制环节,因此该行十分重视发挥其在风险控制中的重要作用,同时不忘加强监督中心事后控制风险的作用。另外,通过加大检查监督,抓好基层管理人员的履职情况的落实,督促管理人员切实负起责任,提高工作责任心。检查中应克服查员工多、查负责人少的情况,防止对管理人员过分信任而疏于监督。
把各要害岗位的内控落实和案件防范作为考核单位“一把手”和主管科长、部门负责人的重要目标,同其政绩考核、晋升、奖惩,等直接挂钩,层层签订责任状,;落实责任,使各级领导干部与其所主管的要害部门形成“一损俱损、一荣俱荣”的局面,提升案件防范能力,减少操作风险的发生。
(八)明确岗位职责,加强对员工的管理,充分调动员工积极性,培养自觉学习的良好氛围。
有道是没有规矩不成方圆,只有每个员工都明确认识到自己该做什么,不该做什么,操作性的操作风险才能得到很好的防范。因此,必须具体落实每一个员工的职责,制定全面、规范、明确的岗位责任制,明确界定各岗位的操作权限,使人人认识到滥用职权是越权,“怠用”职权则是失职,每个银行职员都需要承担响应的责任。同时切实做好岗位职责的修改工作,及时根据文件和人员岗位的调整进行修改,做到人人有章可循。通过明确权、责、利,使好的岗位,职权大,相应的责任也大,只有具备相应能力的员工才敢去争这些岗位,从而有效的规避了操作风险的发生,建议可以建立内控扣分制度,对于高风险点的职责,应该是级别越高的相关人员,扣点和处罚的程度越高,以便加大管理层的责任,提高其对防范风险的重视度。
操作风险产生的一个主要原因还在于人的因素,因此提高全员按章办事的意识,不断学习业务技能,是防范操作风险的有效手段。通过充分调动员工的主观能动性,鼓励发展身边可能出现的操作性风险,加强事前防范能力。对每个员工赋予一定的目标,包括业绩和风险目标,充分调动员工的积极性。对员工制定的“业绩目标”不应超出员工个人能力所及的范围,也就是说“业绩目标”必须是可望而又可及的,能给人以动力和希望,但又不是可以坐享其成的。而风险目标应该是和业绩目标相辅相成的,使员工在开展业务的时候,关注该业务的风险。同时控制每个员工的工作量和业务量,使其有时间、有精力将风险防范纳入工作范围,不然即使制定了目标也会因为缺乏实际可行性而让人心寒。
进一步加大对人力资源管理的投入。一是进行人力资源再投资,提升员工的素质,减少道德风险所造成的操作风险。通过对员工进行调查,了解大家的实际要求,对培训方式的偏好,采取有针对性的方法,提高培训的效果,扩大培训面,促进全行形成一个良好的学习氛围,提高员工自身的素质和能力。二是有意识的培养专业风险管理人员,除在工作上要有意识地培养其专业机能外,还必须采用集中培训的方法,使风险管理人员能集中学习先进的风险管理知识,从而增强商业银行防范风险的能力。三是健全福利保障和用工制度,提升员工的基本保障水平,不会应该过多担心生活问题而影响工作,引发操作风险和道德风险。
(九)学习国外风险管理的经验,逐步建立操作风险管理体系
国外一些国家已经执行了新巴塞尔协议关于操作风险管理的规定,如美国,对一些大银行实施新资本协议有关操作风险管理的要求,并采用操作风险的高级度量法,而欧盟国家也开始全面的实施新资本协议,我们可以学习这些国家风险管理的先进经验,并结合我国银行的实际,采用适合的风险资本的计量方法。同时还要进行“集中管理”,就是要指定一个部门(通常是风险管理部)为操作风险管理的总管理部门,负责全行操作风险的监测、评估并制定控制方案,负责全行风险经理的培训、指导、考核和监督,负责全行“操作风险库”的建立并对各种操作风险进行差别化管理,推进内部(高级)风险计量模型开发。
参考文献
[1]张吉光 商业银行操作风险识别与管理[M] 北京;中国人民大学出版社,2005
[2]Carol Alexander 商业银行操作风险[M] 北京;中国金融出版社,2005
[3]Robert Hubner等,金融机构操作风险新论[M] 天津:南开大学出版社,2005
[4]魏雅华 盘点2006年中国十大金融犯罪案件[J] 金融经纪,2006
[5]田玲 中国 商业银行操作风险度量模型的选择与应用[J] 中国软科学,2003
