時間:2023-01-05 03:30:34
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇操作風險管理,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:會計結算 操作風險 管理
一、建立完善的會計結算操作風險管理體制
會計業務操作風險的內部控制體系和管理體制的設置應按照商業銀行的決策、執行、監督、反饋相互制約的原則進行。建立職責清晰、層次分明的會計內部管理監督和執行體系。由會計結算管理機構制定出一套針對會計結算操作風險管理的具體辦法并執行其主要職能,建立實時控制的監督系統以及針對會計結算操作風險的事后監控系統,從而可形成一個由上而下,系統且連貫的會計操作風險管理體系。由于會計業務是最基礎的平臺,會計業務中存在的操作風險必然會對其他業務產生影響,但會計管理部門并不是唯一對風險負責的部門,其他各相關業務部門都應按照各部門的職能特性共同地參與和配合對會計業務操作風險的管理和防范工作。
二、加強會計結算制度的流程建設工作
第一,要在整合、梳理會計結算管理制度及內部控制管理制度的基礎上建立更加統一的業務標準和操作流程,完善并強化對會計業務操作過程中各個環節的風險控制和風險管理。第二,要及時對會計制度和流程進行補充修訂。第三,建立定期的風險評價和風險評估機制。定期對各項會計業務進行風險評估和評價、操作風險防范評價、會計內控檢查評價。第四,制定具有針對性的操作風險防范制度。警惕和借鑒金融領域已發生過的各大案例,積極查找會計業務中存在的漏洞,制定出更加具有針對性的防范操作風險的制度。
三、實施有效檢查監督、完善整改糾錯機制
1、對會計工作的檢查目的進行明確,改進會計工作的日常檢查方法,嚴肅地對待檢查的結果,提高整改落實的效果。對會計工作進行檢查目的并不是查出問題本身,而是要通過檢查提高對風險的防范能力,從而促進會計業務的健康發展。對會計工作進行檢查時要注意抓住重點方面,對容易出現問題的環節及相關工作崗位應進行重點控制和監督。不僅要檢查出現存的問題,還要能夠分析導致問題原因,并由此進行風險分析。
2、不斷完善整改和糾錯機制。首先,對會計檢查工作中發現的問題要制定出明確的整改計劃和整改措施,徹底消滅風險隱患。其次,檢查部門要及時對整改的情況和進展進行跟蹤驗證,以便能及時地對措施未落實和整改不夠徹底的現象進行督促。
3、建立起會計結算工作操作風險警示、報告制度。針對比較突出的風險點,可由會計結算主管部門或稽核監控部門每月進行整理和匯總,編制一個風險警示報告下發到各營業網點,以便對大家都能起到強調和警示的作用。
4、定期召開會計結算工作風險對策分析討論會。通過討論有效的措施,監督和指導相關工作人員嚴格履行崗位職責并嚴格遵守會計業務的操作流程,確保每個環節都能有效實施,最終達到控制和消除會計操作風險的目的。
四、加強會計結算監督隊伍建設,提高風險管理水平
1、加強結算操作風險監督管理和預警手段的完善,要著力于培養出更多的會計操作風險的管理性人才。加強對會計業務操作風險的動態管理、模型化管理以及量化管理,在技術條件比較成熟的情況下還可運用非線性模型、回歸分析、經濟函數模型等理論來科學地預測風險,使得監督管理部門能夠在最短的時間內發現問題從而堵塞風險漏洞。
2、明確風險管理的責任,建立和完善風險管理能力和業績的評價機制。定期組織風險管理能力、管理業績和管理經驗的評估活動,建立考核機制。同時可通過集中培訓或者分散培訓的方式,定期組織相關工作人員學習風險管理的先進知識、先進理念和先進方法,不斷提高會計工作人員的風險管理水平。
3、加強會計結算監管隊伍的人員培養。將業務素質比較高、工作責任心比較強、敢抓敢管的會計人員充實到監督管理和風險防范隊伍中去,充分發揮出防線作用。
五、優化會計業務操作流程,提高會計結算操作的風險管理水平
1、優化會計業務的操作流程。從客觀上減少會計業務操作風險的源頭、減少出現技術性風險的可能性,盡量將會計結算業務中的高風險點納入計算機所能控制的范圍,通過在計算機內設置一些要素來增加后臺管理的能力,減少人為業務操作時風險的發生概率。
2、提高會計操作風險的管理水平。采用科學的操作風險衡量和控制方法,建立會計結算風險預測系統,以便更加敏感地反映會計結算工作操作風險的相應變動,由此對會計結算工作操作風險的信息進行自動的收集和分析。
六、培育出會計業務操作風險預測、控制和管理的文化
會計業務操作風險的管理文化應貫穿于建設和完善風險管理體系的整個過程之中,并結合實際的組織架構、業務流程及信息系統的建設工作,不斷將會計業務操作風險管理的原理、工具和新理念傳遞給相關崗位的會計工作人員,使他們能夠主動地參與風險防范制度的改進,發揮集體的聰明才智和力量。
首先,要加強風險防范知識的教育,增強會計工作者對會計業務操作風險的防范意識。風險的防范關鍵之處在于人,要加強會計工作者對會計業務操作風險知識的學習,增強員工的風險防范意識。其次,要建立共同的風險防范以及管理價值觀。讓各層次的會計結算及相關人員對操作風險形成足夠而全面的了解,充分認識到各類違規和違法行為所造成的危害的嚴重性,使各崗位會計工作人員能夠真正提高警惕,把防范措施落到實處。再次,要發揮會計工作人員在操作風險管理防范中的主觀能動性。增強會計人員在操作風險管理上的主人翁意識,尊重并聽取會計工作者的建議和意見,構建一個充滿活力的選拔會計工作人員的機制,做到人盡其才,使大家充分發揮出自己的智慧和能力,形成積極努力的工作氛圍。最后,要加強對會計風險管理人才的培養,建立科學、全面、可操作的風險管理約束和風險管理激勵機制,充分調動會計工作人員參與風險管理的主動性和積極性。
七、結語
在每一筆會計結算事件中都隱藏著會計業務操作風險,在會計操作風險的管理和控制中,我們要時刻牢記形神兼顧的原則。建立起完善的會計結算風險組織管理體系,制定出嚴格的會計結算風險管理機制及業務流程,又要充分地導入會計業務操作風險管理文化,這樣才能有效構筑會計業務操作的風險防范和控制的堅固大堤。
參考文獻:
[1]姜薇、韓雪蓮.商業銀行會計結算操作風險研究[J].希望月報(上半月), 2007,(07).
[2]李希榮、張澤文、楊志兵.銀行會計結算存在的問題及風險防范[J].甘肅金融, 2003,(10).
[3]李俊亮.銀行會計結算業務集中處理探討[J].科技情報開發與經濟, 2004,(08).
關鍵詞:金融投資;風險管理;操作;分析
引言:風險管理逐漸受到金融機構的關注??茖W合理的金融風險管理可以讓金融機構進行有效的、健康的發展,并且,還可以將企業的防范風險的資金成本降低,提升企業的競爭能力。當前,金融機構所要面對的風險大致上可以分為:市場風險、信用風險和操作風險。市場風險指的是因為特殊的環境風險因素的轉變,讓凈收入或投資組合價值出現波動。當前由于我國的經濟處在轉型階段,認為目前的市場經濟的法律及規章制度具有許多不完善的地方,加上社會的變化,使得各種違規與欺詐的事情不斷涌現。所以,操作風險是我國金融機構需要面對的主要風險,操作風險的管理對于金融機構具有極其特殊的含義。
一、操作風險的含義
金融操作風險的含義為:操作風險與金融投資業務緊密相連,是由于外部因素、技術體系以及內部因素的影響下,導致無法掌控的損失,這些損失和金融市場上出現的波動以及交易方的信用問題無關。所以,通過引起風險發生的內部原因可以發現,金融投資的操作風險主要出自以下幾個方面:
1、操作結算風險。由于交易指令、定價、結算以及交易能力等問題引起的損失;
2、技術風險。因為技術的局限或者硬件方面的原因,導致公司無法有效、正確的收集、解決、傳導信息所引發的損失;
3、內部失控風險。因為超風險限額而沒有被發現、越權交易或者是后臺部門的欺詐行為造成的損失。
當然,想要為金融投資的操作風險給出一個非常明確的定義是具有難度的。在進行風險操作管理時,很多國外的金融投資機構運用了對于市場風險以及信用風險認同的方法及管理方式,也就是針對風險進行詳細劃分,掌握操作風險的含義,了解哪些類型的風險應當歸入到操作風險當中,哪些類型的操作風險應當歸入到風險管理當中,并且進行詳細的分析來確定是否要進行整體風險的控制,通過實踐表明,這樣的方式確實非常有效。
二、金融投資面對的風險分析
風險管理的目的并非消除風險,而是將風險管理降到最低的過程,在風險管理的過程里,要先針對金融投資里的風險進行辨別,這是投資者做風險管理的先決條件,只有真正辨別出投資過程里的風險,才可以運用合理的方法進行風險管理。而在金融投資的過程里,最為常見的風險有以下幾種:
1、市場風險。市場風險也可以稱作價格風險,指的是通過金融工具的市場價格進行轉變,從而引發的虧損風險。因為金融投資工具頻繁出現價格的轉變,因此投資者在面對市場風險是最常見的一種風險。通過市場風險的不同來源可以進行不同的分類,大致可以把市場風險分成系統性和非系統性風險,系統性風險通常是指因為宏觀原因的轉變,造成投資組合凈值的轉變。非系統性風險指的是投資的某一品種引發的風險。投資者在面對系統性風險及非系統性風險時所采用的房里方法也不同,而系統性風險是無法動搖的,非系統性風險可以透過投資重組進行分散。
2、流動性風險。流動性風險指的是通過投資重組將金融工具進行集中,引發投資產品短期內變現困難,并且持有的流動資金無法進行正常支付時產生的風險。常規情況下,如果投資者的金融產品價格波動正常,并且投資金額占總資金的比重不大時,流動性風險就不會非常嚴重。流動性風險往往出現在市場波動較大,交易量迅速降低,投資者必須要大批先進的狀況下,才容易造成嚴重的損失,因為這樣的狀況下,投資者通常要用較低的價格將手中投資的金融資產銷售掉。
3、操作風險。操作風險作為金融投資過程里最關鍵的風險,包含了很多已經識別出的風險。詳細來說,操作風險指的是因為投資者內部經營管理問題以及投資策略失誤引起的風險。通常包含以下幾點:
(1)投資研究員的專業素養、職業道德以及風險意識所引起的投資決策風險;
(2)因為投資者的管理能力有限所引起的經營風險。
這些風險都會給金融投資造成損失。操作風險融入于金融投資過程當中的方方面面,是投資者必須基于關注和防范的風險。
4、信用風險。信用風險也是金融投資風險當中非常重要的一種,它主要指在金融交易的過程里可能會引發的交收違約,也可能會引起債券持有發行人違約或者拒絕支付到期款而引發的金融投資資產損失的風險。由于我國金融市場的不斷發展,貨幣、債券等固定收益的金融工具逐漸變成重要的投資類型,甚至是國內短期的融資券的發行也在不斷擴大,由于這些金融投資品種的風險不斷累積,最大程度的避免金融投資信用風險成為了投資者必須關注的問題。
三、操作風險的度量
操作風險作為金融活動當中最為普遍的風險表現形式,從歷史的角度來講,很多度量操作風險的失敗原因,大多是沒有適當的方式以及可以用在量化分析的客觀數據,而信用風險和市場風險則存在許多例如價格變動、違約率等可以利用的外部分析數據,相對而言較為容易進行風險度量。因為影響操作風險的原因大多是金融機構內部原因,并且風險因素和產生的可能性及損失的大小之間不具備明顯的關聯,所以,在實際操作中,很難有人尋求到一種方式可以清晰的描繪出操作風險,自然對于操作風險的度量來講,也具有非常大的困難。已經掌握的操作風險度量模型有三種:
第一種:創建于數據之上的統計模型,此模型最具代表性的方式就是損失分步法,也被稱為LDA。此方式會先對單個損失的發生頻率以及大小通過參數進行評估,之后運用連接函數的方式將各種影響因素進行綜合;
第二種:依舊是統計模型的計算操作風險,可是主要應當通過定性方法進行校對模型,定性方法大致包含了風險排序法、情景分析法、排查法、權衡打分法等;
第三種:創建于操作風險過程的功能模擬智商的模型,透過單一的過程相互依存的方式來模仿影響因素之間的關聯性。
當然,就目前的操作風險度量方法而言,有兩種模型應當重點說明:第一種是用于測量操作風險的VaR技術。它的主要論點在于操作風險可以通過VaR技術進行測量,以建立來自內部和外部的操作損失數據庫為基本思想,并通過數據的操作損失分布,來確定一個置信區間,這樣就可以將VaR的操作風險計算出來。但也可以通過分析收益波動性來計算操作風險,也就是通過收益當中將市場風險以及信用風險的相關收益剔除掉,把剩下的收益當成和操作風險有關的收益,可是就這一點而言爭議性非常大;第二種是貝葉斯推斷網絡模型,也可以稱之為BBN模型,貝葉斯網絡逐漸被使用在度量以及模擬操作風險方面,其主要原因有以下四個方面:
第一,BBN推斷網絡模型描繪了對操作風險具有影響的各類因素,所以可以提供行為改變的原因;
第二,BBN可以使用在情景分析方面,計算出度量的最大經營損失,并將市場風險以及信用風險有效結合;
第三,BBN適合用在度量以及模擬不同種類的操作風險方面;
第四,運用決策節點以及效用來充實BBN,來提升管理決策的明朗化。
BBN的結構屬于一種直接的非循環類的圖形,其中節點的意思是隨機變量,連線的意思是影響因素,BBN結構屬于一種流轉過程同各類因素的融合。BBN較為容易進行情景分析,投資經理在進行債券交易的同時,對即將要執行的交易通過情景模擬的方式來計算出預計的結算損失有多少,BBN較容易通過情景分析讓風險經理針對外來的交易風險進行掌控,并且風險經理可以透過針對市場風險因素以及信用風險因素的情景模擬,判斷出操作風險是怎樣同市場風險以及信用風險有效結合的。
貝葉斯推斷網絡模型可以用在一系列的度量操作風險上,針對同一個問題可以創建出很多個BBN網絡大框,并且決策人員可以透過返回檢驗的方法來判定哪種是最佳的網絡設計。通過理論以及實踐可以發現,貝葉斯推斷網絡模型非常值得金融投資機構使用操作風險度量以及模擬方式進行操作。
總之,操作風險度量大致有以下三種方式:
第一種,分析方式。這種方式對于損失產生的次數以及大小都給出了非常強硬的假定,之后通過一些統計模型來獲得操作風險的大小,大致上來講屬于一種定量測量的方式;
第二種,主觀判定方式。在執行操作風險的度量時,由于缺少操作風險的損失數據,因此,想要通過數據進行評估操作損失的分布就變得尤為困難,至少對當前而言,用評估操作損失分布的方式來判斷金融投資的操作風險是不符合邏輯的。因此,當前國外的金融體系運用的操作風險度量方式普遍以定性評價方式為主,這種方式通過獨立的部門,經由事先預定的風險評估指標針對每一個業務的缺陷進行評估,之后,再進一步進行細分;
第三種,定性和定量相結合的方式。這種混合的方式,使得相對風險排序、主觀方式的運用以及損失時間數據庫的建立進行有效結合。
四、操作風險的控制與管理
操作風險管理不僅要系統的進行分析預期損失以及未預期損失的緣由,并且也要評估風險,為風險的預防、降低轉移和為風險分配資本等做出努力。操作風險管理的步驟大致包括以下幾點:
1、明確風險管理的范疇以及目標。
高層的管理人員詢問過董事會之后,應當同企業的經營策略、風險偏好相結合,為風險管理建立一個范疇以及目標。并且,還要制定一些短期的具體目標,以確保風險管理的工作可以穩定的發展。這些短期的具體目標可以分為以下方面:
(1)明確定義一些關鍵的損失事件并進行命名,這樣才可以確保在未來的管理工作里可以更加方便的進行探討和分析;
(2)創建一個損失事件簿,為定量分析操作風險模型積攢數據;
(3)創建統計模型分析特定損失時間的原因以及相互之間的關聯;
(4)采取由于風險進行的資源配置和情景分析。
2、明確重要的風險。
員工通過高級管理人員的支持后,一定要明確哪些才是重要的風險。操作風險管理之所以失敗,是由于內容過于寬泛,所以在明確的同時,一定要嚴格依照高層規定的目標進行操作。
3、針對風險進行評估。
運用不同渠道獲得的數據,用來評估一些較為重要的過程以及資源的操作風險,評估的內容不僅包含了風險形成的沖擊,還包含了損失事件產生的概率。針對無法定量分析的風險,一定要找到產生這些風險的原因和可以通過怎樣的方式進行評估。并且,風險不同,相互間的依賴就不同,所以需要對她們之間的依賴性進行評估。
4、分析。
通過以上內容后,已經初步判斷出各部門潛在的操作風險。隨之而來的,就是要為這些風險進行分析。先進行風險加總,然后進行可行的風險管理措施,之后要分析單獨的損失事件,再分析風險的過程以及資源的分配,分析出關鍵的風險因素,最后,針對風險管理的措施進一步進行分析。
5、通過措施消除存在于經營過程以及資源當中的風險。
可以通過風險回避以及風險因素管理的措施、損失預報的措施、損失預防的措施、損失掌控的措施、降低損失的措施、應急措施和風險融資的措施進行管理。
6、針對操作風險的檢測報告。
一個規范的報告制度是一個成功的風險管理的首要條件。針對風險采取連續的檢測,并定期進行報告的方式可以有效的檢測出操作風險管理的需求,所以,持續的檢測對于任何一種風險管理來講都是必不可少的環節。
結束語:通過世界的角度來看,針對操作風險管理的分析才剛剛開始,雖然在金融部門的投資過程里運用了一系列的操作風險管理的方法,可是顯然這些管理方式還不夠健全,也缺少理論作為指導。操作風險在金融機構進行投資的過程里需要面對的主要風險,金融投資風險的管理成效如何完全在于怎樣操作風險管理。投資者應當建立長期的投資目標,以完善的風險政策進行總結和評論,進而為風險建立一個完善的制度及管理的支持。(作者單位:貴州省茅臺集團財務有限公司)
參考文獻:
[1]黎仁華,馬麗莎.商業銀行風險預警測度指標的定位分析——基于操作風險導向的審計模式[A].中國會計學會財務成本分會2006年年會暨第19次理論研討會論文集(下)[C].2006.
[2]周青.中國特色社會主義金融監管體制創新研究——轉軌時期我國商業銀行操作風險管理創新研究[A].“中國特色社會主義行政管理體制”研討會暨中國行政管理學會第20屆年會論文集[C].2010.
關鍵詞:商業銀行 風險管理操作風險信息科技風險
中圖分類號:F830.33 文獻標識碼:A 文章編號:1006-1770(2010)09-032-05
一、引言
隨著信息技術與現代商業銀行業務的深度融合,銀行對信息技術和信息系統的依賴日益增強。信息科技已成為商業銀行日常運營的操作平臺、管理決策的重要支持、以及業務創新的基礎工具。同時,與之相關的信息科技風險也滲透到了銀行經營和決策的各個方面,信息科技風險管理不僅維系著商業銀行的持續安全運營,而且也成為銀行價值創造的重要支柱,因而信息科技風險成為現代商業銀行風險管理不可或缺的重要內容。
商業銀行傳統的信息安全管理,更多是從信息技術開發和管理的本身出發,建立相應的技術標準而進行的,這些標準適用于信息技術部門內部的信息安全管理,也是信息科技風險管理的重要基礎。但信息安全管理的本質是風險管理,現代商業銀行構建全面風險管理體系,也需要借助操作風險管理框架和工具對信息科技風險進行有效管理。
我國主要商業銀行正在積極實施《巴塞爾新資本協議》,這需要對包括操作風險在內的三大風險建立全面風險管理體系,而信息科技風險作為操作風險的重要表現形式之一,也成為銀行風險管理的一個新的焦點。因此,本文試圖在操作風險管理視角下探討信息科技風險的識別、計量、監測和控制等流程和方法,以提高商業銀行對信息科技的應用水平和對信息科技風險的管理效率,增強銀行全面風險管理能力。
二、信息科技風險與操作風險管理框架
商業銀行信息科技風險,是指信息科技在商業銀行運用過程中,由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。信息科技風險管理的目標是通過建立有效的機制,實現對商業銀行信息科技風險的識別、計量、監測和控制,促進商業銀行安全、持續、穩健運行,推動業務創新,提高信息技術應用水平,增強核心競爭力和可持續發展能力。
操作風險是《巴塞爾新資本協議》在信用風險和市場風險之外,所強調的商業銀行面臨的另一種重要風險類型,是指“由不完善或者有問題的內部程序、人員及系統或外部事件所造成損失的風險(表1)?!辈呗燥L險和聲譽風險不包含在此定義中。我國銀監會也基本沿用了這一定義。
可見操作風險這一定義的內涵包括由信息科技系統所產生的信息科技風險。因而商業銀行在落實《巴塞爾新資本協議》、實施全面風險管理的過程中,需將信息科技風險作為操作風險的重要內容統一進行管理;對信息科技風險的管理,可以借用操作風險的管理框架和工具。
從風險管理的流程來看,一個完整的操作風險管理(Operational Risk Management,ORM)框架首先要確定執行和負責操作風險管理的組織機構,然后依據操作風險識別、風險計量、風險監測和風險控制的流程進行,形成一個循環往復、不斷提升的風險管理過程。這一過程可用如下的操作風險管理“轉輪”來表示(圖1)。這一框架能提供一個對操作風險管理的完整流程,并允許銀行在事先管理操作風險,而不論風險是否存在于業務過程、人員、信息科技系統或是外部事件中。
操作風險管理框架中的每一階段都有不同的任務,理論界和實務界也都分別提出相應的工具和方法。下文嘗試將操作風險的管理框架應用于商業銀行信息科技風險管理,從而使信息科技風險管理成為銀行全面風險管理的有機組成部分。
三、ORM框架下的信息科技風險管理
(一)信息科技風險管理的組織建設――信息科技治理
根據銀監會的要求,IT治理的目標是在良好的公司治理的基礎上,形成分工合理、職責明確、相互制衡、報告關系清晰的信息科技治理組織結構。從銀行內部來看,IT治理是公司治理的重要組成部分,包括與信息科技相關的領導關系、組織結構和工作流程等,其目的是保障信息科技與業務發展戰略目標相一致。
信息科技治理是良好信息科技風險管理的基石,商業銀行需要在公司治理基礎上建立自上而下的信息科技治理結構。具體地,商業銀行的董事會、高管層要對本行信息科技風險最終負責;董事會下的風險管理委員會可專設信息科技風險管理分委員會,由高級管理層、信息科技部門和主要業務部門代表組成;設立首席信息官(CIO),負責信息科技相關的重大決策,向上直接向行長和董事會報告信息科技運行和管理情況,向下統一領導信息科技板塊各個部門,布置信息科技風險管理措施的實施;同時,風險管理部、尤其是操作風險管理部,也應把信息科技風險作為操作風險管理的一個特殊而重要的類型進行統一管理。此外,內部審計部門負責對信息科技風險管理的合規性和有效性進行審核(圖2)。
在這樣的信息科技治理結構之上,商業銀行可將信息科技風險納入總體風險管理框架,針對信息科技風險分布廣泛、專業性強等特點,可以構建由信息科技業務經營部門、信息科技條線管理部門、風險管理部門和內部審計部門構成的“四道防線”,實現對信息科技風險的有效防范和管理。
(二)信息科技風險的識別方法
信息科技風險識別是指風險管理者通過一定的方法和手段,按照信息科技風險的來源范圍和表現形式,鑒別信息系統開發和運行過程中一切可能導致信息科技風險的因素和產生風險的環節點的過程。信息科技風險識別方法可借用操作風險的識別工具。
1.風險與控制自評估法
信息科技風險的風險與控制自評估法(RCSA),是指銀行IT風險管理部門對本行信息系統開發、信息數據管理、系統運行與維護等IT條線業務進行流程分析,識別并評估其中隱含的風險點,并對業務流程現有的控制措施的合理性和有效性進行評價的過程。
RCSA從梳理IT條線的主流程及其包含的子流程入手,針對這些流程設計RCSA問卷。這一問卷包含了每一流程步驟涉及的風險類型、相應的控制類型等內容,需要評分人對現有的控制設計和有效性進行評估,對風險導致的固有風險暴露、以及采取控制措施之后的剩余風險進行評分。最后要根據RCSA的結果決定是否采取對特定風險的控制行動。
2.風險地圖法
風險地圖(Risk Mapping)能夠顯示特定風險事件的風險暴露分布狀況,將風險暴露與銀行或業務部門的風險容忍度連接起來,根據特定風險在風險地圖中的落點可決定對風險是否采取適當的控制措施。
風險地圖是一個嚴重性-可能性矩陣。根據特定風險可能導致損失的嚴重程度及損失發生的可能性,可以共同確定風險暴露及其在風險地圖的落點。風險地圖不同區域所代表了不同風險容忍度,風險的不同落點有不同的涵義(圖3)。
A.綠色區域:表示風險處于安全區域,不需采取控制措施降低風險暴露。
B.黃色區域:表示風險在加強監控的區域,應對風險進行關注和加強監控,但還不需采取具體控制措施。
C.橙色區域:表示風險在警戒范圍內,風險管理部門應立即采取控制措施,將風險暴露降低到安全區域之內。
D.紅色區域:表示風險已不可容忍,除了應立即采取措施降低風險暴露至安全范圍內,還應該對風險暴露過高的原因進行追溯和問責。
需要說明的是,不同銀行、不同業務條線的風險容忍度不同,因而風險地圖的具體風險輪廓各異。即使同樣的風險暴露在不同部門的風險地圖上所處的區域可能都不一樣,嚴重程度也不一樣。對具體的信息科技風險管理者而言,要根據本行信息科技業務特點和自己的風險偏好,確定以上四個區域的臨界值。
3.關鍵風險指標(KRI)
KRI是可用于表示商業銀行信息科技風險狀況的定量指標。通過指標的定期監控,可以對信息科技風險變化有代表性的某些方面進行跟蹤和預警,并根據指標所處的區域決定是否采取控制措施。
關鍵風險指標應能代表信息科技領域最主要的風險指標,容易度量并能反映信息科技風險的暴露水平或者控制狀態。商業銀行首先需要明確各項與信息科技相關的關鍵風險指標,對每一指標設定相應門檻值。銀行通過對所有KRI的動態跟蹤,在超過門檻值時采取必要的控制措施,從而及時降低風險暴露程度,使基于KRI的風險控制行動能防止重大損失事件的發生。
與信息科技風險相關的KRI可根據信息科技業務的風險表現和分布特點而設定,具體指標可能包括:系統故障頻率、系統中斷次數、系統中斷持續時間、系統交易失敗比例、IT人員離職率、IT風險事件總數等。
4.損失數據收集(LDC)
首先要根據信息科技風險的分布特點,確定損失數據的收集范圍、起點金額以及統一的損失數據內容(具體表現為損失數據庫的字段格式)。
關于收集范圍,巴塞爾新資本協議對操作風險的損失事件形態分為7個類型,其中與信息科技風險損失事件有關的整理如表2。銀監會《商業銀行操作風險管理指引》中規定應收集并報告的重大操作風險事件中,就包括“造成涉及兩個或以上?。ㄗ灾螀^、直轄市)范圍內中斷業務3小時以上,在涉及一個省(自治區、直轄市)范圍內中斷業務6小時以上”的系統業務中斷事件等等。
損失起點金額要根據IT風險損失的分布特征和銀行的風險容忍度而定。而損失數據內容則包括損失事件產生原因、發生時間、所在部門、損失金額、控制措施及有效性等。損失數據要按統一字段格式及時錄入操作損失數據庫。巴塞爾新資本要求采用高級計量法(AMA)的銀行需要至少三年的歷史損失數據積累。
(三)信息科技風險度量方法
操作風險度量方法包括基本指標法(BIA),標準法(SA),以及高級度量法(AMA),后者包括內部度量法、損失分布法和極值法等。目前我國商業銀行對操作風險計量在實踐中采用標準法。
但標準法設定的8個業務線,并未將信息科技業務條線專門列出,因而不能充分體現對信息科技風險的資本要求。事實上,信息科技風險不僅存在于商業銀行信息科技業務條線,同時也廣泛分布于其他業務條線之中。因而,在標準法的基礎上,我們提出將信息科技風險按照所存在的業務部門分為兩部分,分別進行風險計量和資本計提。
第一部分是存在于8大業務線內部的信息科技風險,在根據標準法對8大業務類型的操作風險計量時,已經包含了其中涉及到信息系統操作、運行等相關的信息科技風險。第二部分是信息科技條線的業務平臺上涉及到的信息科技風險,主要包括信息系統開發、信息系統運行維護、數據中心建設和管理、軟件外包、業務連續性經營等方面的風險。
具體計量時,第一部分已經涵蓋在各個業務線的操作風險中;第二部分則由于信息科技業務并不直接產生收入盈利,可根據前三年信息科技投入的平均值,按其一定比例計算信息科技風險的資本要求。
其中Ii表示此前第i年信息科技投入的金額,βIT表示根據信息科技業務風險特征所確定的資本計提比例,KIT表示信息科技風險的資本要求,與其他業務的資本要求相加得到全行總的操作風險資本要求。
(四)信息科技風險監測與報告
風險管理是一個持續提升的過程,因而信息科技風險也需要定期持續的監測,以掌握風險發展的動態。監測一方面可以結合信息安全管理和內控措施,發現信息科技業務中存在的風險點及嚴重程度;另一方面也可以通過對之前設定的KRI的定期檢查,判斷風險是否在可容忍的范圍之內。
對風險監測的結果和風險控制的現狀,需要定期撰寫風險報告,并逐級向上級風險管理部門匯總,最后由總行風險管理部向高管層和董事會定期提交風險報告。如總行操作風險部可以逐月匯總來自信息安全管理部和所有分行有關操作風險報告,其中包含信息科技風險的相關內容,然后逐季向高管層和董事會提交全行的風險報告。當遇到重大信息科技風險事件時,應隨時上交風險報告。
風險報告是支持全面風險管理決策的重要依據,信息科技風險報告內容應包含在操作風險報告之中,其內容應涵蓋報告期內:面臨的或潛在的信息科技風險類型,已發生的信息科技風險事件,風險事件原因和過程,風險導致的損失,風險控制/緩釋措施及其有效性,對風險事件的總結等。
(五)信息科技風險控制措施
由于信息科技風險自身的技術特點,對其有效控制的基礎是在信息科技部門的開發、服務、運營等具體業務流程中實施先進的信息安全管理標準,如ISO20000 IT服務管理國際標準、ISO27001信息安全管理制度標準等。從信息科技風險整體的控制方面,可以實施以下幾項措施。
1.完善內部控制機制。為實現信息科技風險的有效控制,商業銀行需要建立并完善與信息科技風險相關業務的內部控制機制,確定信息科技相關業務和信息系統應用中不同職位的人員在信息科技風險管理中的分工和責任。這包括不同系統在物理上和技術上的隔離、規范業務操作流程、確定并執行嚴格的權限范圍、建立業務流程之間相互平衡的制約機制等。
2.信息系統審計(IS audit)。指收集并評價證據,以判斷一個信息系統能否有效做到保護資產、維護數據完整、完成組織目標,同時最經濟地使用資源的過程。商業銀行內部或外部的信息系統審計部門,可通過一般控制和應用控制等審計方法對全行范圍內的信息系統生命周期內的資產保護、數據完整、資源經濟有效利用以及完成組織目標的情況進行綜合評價。從而總體把握商業銀行信息系統的風險狀況,并向商業銀行風險管理部門和信息科技部門提出咨詢意見。
3.業務連續性管理(BCM)。BCM的目的是通過有效的管理,使在各種意外情況發生時,銀行信息系統和相關業務都能始終不間斷運營;或者退一步,BCM使意外沖擊對信息系統正常運行或業務連續經營的影響降至最小。影響信息科技基礎設施(如銀行的數據中心或業務處理中心)連續運營的主要因素有,黑客攻擊、電腦病毒、軟件錯誤、人為失誤、硬件故障、自然災難等。
有效的BCM是針對以上影響因素嚴重程度制訂的一整套管理方法。如首先是要建立信息系統應急機制和緊急變更預案,從制度上保證出現業務中斷時的行動路線。其次加強重要數據的災難備份。目前我國大部分大中型商業銀行都已經成立了災備中心,進行核心數據的同城鏡像和異地災備。此外還需要對業務處理系統進行切換演練,通過定期進行切換演練,對可能面對的不同沖擊進行情景分析和壓力測試,降低突發事件威脅,提高應急處理能力。
4.通過保險和外包來緩釋和轉移風險。由于發生概率較低但損失程度較大的信息科技風險是難以預測、量化及分配資本的,因此對信息科技風險的緩釋和轉移,可大大降低銀行相關風險暴露程度。
使用保險作為操作風險的重要緩釋工具有很大的必要性。商業銀行與保險公司可以根據主要信息科技風險的損失分布特征,共同開發適當的保險產品以此對商業銀行面臨的信息科技風險進行緩釋。同時軟件開發等的外包,即可利用外部專業資源,又可轉移商業銀行自身承擔的失敗風險。但也需注意要通過簽署權責明確的事前協議,來規避外包過程中的潛在風險。
綜上,信息科技風險管理可利用操作風險管理的框架,但信息科技風險的組織結構、識別、計量、報告和控制等都有其具體的方法和工具。這一框架可以表示為如下圖4,其中左半部分表示了操作風險管理的框架,右邊虛線內是信息科技風險管理的具體內容。
四、結論和建議
本文在操作風險視角下研究了信息科技風險的管理流程和具體措施。研究發現,首先,商業銀行的信息科技風險是操作風險的重要表現形式之一,因而有必要利用操作風險管理框架對其進行管理。其次,操作風險管理的流程和工具,可為信息科技風險的識別、計量、監測和控制提供規范化的參考依據。另外,值得注意的是,信息科技風險有其具體的表現形式和技術特點,對信息科技風險的評估、監測和控制等具體措施等有明顯的技術特點,因而信息技術部門內部的信息安全管理是信息科技風險管理必不可少的重要基礎。
研究建議,商業銀行應在信息技術部門內部的信息安全管理的基礎上,通過在信息技術條線推行操作風險管理,利用操作風險的規范流程和科學方法對信息科技風險進行有效管理。這不僅有利于落實《新巴塞爾資本協議》的監管要求,也有助于提升我國商業銀行全面風險管理體系的建設水平。
注:
本文得到中國博士后科學基金第四十七批面上資助,項目名稱《商業銀行信息科技風險管理研究――基于操作風險管理框架》(資助編號20100470108)。特此感謝,當然文責自負。
關鍵詞:操作風險;公司治理結構;內部控制
長期以來,社會各界對銀行業的風險管理都聚焦于信用風險和市場風險,而對操作風險并未予以足夠的重視,對其認識和管理都處于較低水平。然而,隨著金融管制的放松、銀行經營業務范圍及產品的多樣化和復雜化,操作風險的破壞力和影響力愈發顯現,對其研究和管理也迫在眉睫。在此背景下,2004年的巴塞爾新資本協議規范了操作風險的定義①,并提出操作風險的最低資本要求,為各國銀行業加強操作風險管理敲響警鐘和提供指導;中國銀監會于2007年6月了《商業銀行操作風險管理指引》(以下簡稱《指引》),為加強銀行業操作風險管理、推進完善銀行業公司治理結構、提升風險管理能力提供指導。
一、我國銀行業操作風險危機四伏
受舊體制等不利影響,我國銀行業面臨著嚴重的操作風險。表1列示了近年來部分銀行操作風險事件。
通過綜合分析我國銀行業操作風險損失事件,其具有的特點主要有:
1.操作風險主要形式是欺詐①。欺詐包括內部員工的欺詐、外部人員的欺詐以及內外部勾結的欺詐,其中內部員工欺詐和內外部勾結的欺詐是我國當前存在的主要形式,并且這種類型的損失事件一旦發生,就具有單筆損失金額大和社會影響力大的特點。
2.操作風險大都發生在基層分支機構,且與上層機構的控制力負相關。我國銀行的業務運作大多數集中在基層機構,總、分行則更偏重于行使管理職能,當分支機構距離較遠、受到的監管較弱時,分支機構的一些違規操作就不易被發現,操作風險發生的可能性就更大。
二、我國銀行業操作風險的影響因素
目前,我國銀行業普遍存在內部控制制度不完善的問題,這是導致操作風險頻發的最主要原因。我國銀行業內部控制不健全性主要表現在:
1.操作風險管理意識薄弱。目前,我國銀行業的主營業務仍以信貸為主,因此銀行風險管理的焦點都集中于信用風險,而對于操作風險,從管理層到基層員工對其管理的意識都有待于提高。
2.操作風險專業化管理部門缺位。我國絕大多數銀行均未設立獨立的專業化的操作風險管理部門,對其管理主要是依靠非專業部門負責,以定性管理為主,主要依賴專家的主觀判斷,缺乏科學和專業的管理。此外,根據巴塞爾新資本協議,用于計算監管資本的內部操作風險計量法,必須建立在對內部損失數據至少5年的觀察基礎上,而我國由于缺乏數據,很少采用定量分析控制操作風險的科學方法。
3.分行制的組織形式不利于監管。我國銀行主要采用分行制,該體制下的直線管理職能削弱了內部控制的力度和有效性,各層次的負責人橫向權利過大,為操作風險的孕育提供了空間。
4.管理體系不完善。我國銀行業普遍存在管理層次多而繁雜,各層次權責不清,缺乏相互制衡、權責明晰和相互獨立的管理體系,容易出現管理的真空地帶和重復低效管理。
5.管理制度不健全。我國銀行業風險管理所需的制度建設不健全,現有的制度大都流于形式,存在不切實際、難以執行的問題,此外,仍有部分正常經營所必備的規章制度缺位,導致管理盲點的存在。
三、完善我國銀行業操作風險管理體系
由于我國銀行業對操作風險的重視長期不足,導致銀行對操作風險的管理長期處于低效率和不足的水平。因此,克服各種不利因素,及時建立完善的操作風險管理體系,具有重要的現實意義。銀行操作風險管理和內部控制在內容、對象和范圍上有著密切的聯系,因此健全內部控制機制的形成有助于銀行操作風險的高效管理。本文結合COSO委員會關于內部控制五要素的闡述和銀監會的《指引》,設計一套適合我國銀行業操作風險管理的體系。
COSO委員會所述的內部控制包括五要素:控制環境、風險評估、控制活動、信息與溝通和監控,以下分別從這五方面構建操作風險管理體系。
(一)控制環境
控制環境是指對建立、加強或削弱特定政策、程序及其效率產生影響的各種因素??刂骗h境塑造企業風險管理文化,影響銀行內部各成員的風險意識,關系著風險管理控制制度的貫徹和執行。
《指引》指出,操作風險管理需要創造一個良好的控制環境。首先,銀行董事會應充分了解本行的主要操作風險所在,把它作為一種必須管理的主要風險類別,努力促進這種公司文化的建立,并且提供充足的資源支持在各職能部門實施操作風險管理,還應當把操作風險管理納入到業績評估程序中,強調風險管理為銀行關注重點。其次,應建立一個能夠有效執行操作風險管理框架要求的組織架構,該組織架構應明確界定各職能部門的責權關系、上下級報告關系,并且制定嚴格的監管審計制度。最后,應根據本行對操作風險的承受能力,制定規范的操作風險管理政策,該政策應對存在于本行各類業務中的操作風險進行界定,列明本行操作風險的具體構成,應明確識別、評估、監測與控制操作風險所應依據的原則、政策和方法。
(二)風險評估
風險評估是指操作風險管理部根據職能部門的信息,識別、量化和分析相關風險以實現既定目標,從而形成操作風險管理的核心內容。風險評估系統包括以下三個子系統
1.風險識別子系統
風險識別子系統的作用是將操作風險進行定義和分類,它的主要部分是“知識庫”?!爸R庫”是一種風險映射,將職能部門的業務與風險類別之間建立對應關系。具體來說,“知識庫”將銀行業務分為若干個風險檔次,并將所有的業務歸類到相應的風險檔次之中,并存儲在數據庫的相應位置。
2.風險計量子系統
風險計量子系統由“模型庫”和“預警庫”組成。該系統在初步識別原始數據的基礎上,利用“模型庫”中的風險計量模型對風險進行量化,將定性的操作風險數字化。其中風險計量模型利用數理統計方法量化銀行操作風險,“模型庫”再將風險計量模型計算機程序化,即編寫計算機軟件以實現風險計量模型的功能。而“預警庫”則是預先在系統內設定的不同職能部門的市場風險限額指標,在“模型庫”計算出風險值之后,“預警庫”就可以對實際風險承擔與預先設定的風險限額自動比較,若發生超限額的情況,“預警庫”會將該信息同時反饋到風險評價子系統中,實現實時風險監控的功能。
3.風險評價子系統
風險評價子系統主要提供風險匯總報告,并對各職能部門風險承擔狀況進行評價,為風險管理決策層提供支持?!皥蟾鎺臁贬槍洝澳P蛶臁憋L險計量子系統測量的風險結果,根據指定的報告模式進行綜合匯總,為管理層提供銀行風險的數據?!霸u價庫”是對綜合報告進行的深入分析,通過對具體風險的分析評價,提出風險改進意見。
總的說來,風險評估系統中,風險識別子系統歸類操作風險,風險計量子系統量化操作風險,評價子系統評價并報告操作風險。這一系列活動的完成,關鍵在于設計出一整套計算機程序以實現上述幾個子系統的功能。我國銀行應當根據本行業務的特點,設計出自己的風險管理程序,或者直接從專業公司引進成熟又適合自身的風險管理系統。
(三)控制活動
控制活動是指那些有助于管理層決策順利實施的政策和程序,主要包括明確銀行各部門的職責、對各部門活動的控制和對偏離授權的行為進行調整。
首先,《指引》明確規定了各組織層次在操作風險管理系統中的職責,以便整個系統有條不紊的運作,各層次的職責具體為:銀行高層負責制定操作風險管理的戰略和總體政策;風險管理委員會建立風險管理的操作方法;各職能部門具體實施。
其次,對各職能部門活動的控制分為兩個層次:第一個層次是各職能部門,應定期向負責操作風險管理的部門通報本部門操作風險管理的總體狀況,及時通報重大操作風險事件;第二個層次是操作風險管理部門應當提供風險預警指標,將風險限額建立在各業務部門的不同的層面,然后為每個關鍵風險指標設定門檻值,一旦風險值超過門檻值則啟動預警系統。
最后,操作風險部門應當對于超過門檻值的采取必要的整改措施,及時修正執行中的偏差。
(四)信息與溝通
各職能部門的信息溝通是整個操作風險系統的基礎,系統的數據來源于各職能部門。只有將信息及時有效地傳遞給操作風險管理部,才能及時進行信息分類。《指引》規定,職能部門應當根據統一的操作風險管理評估方法,建立持續、有效的操作風險報告程序,從制度上建立有效的信息和溝通機制。此外,《指引》要求建立案件查處和相應的信息披露制度,通過對案件查處的信息披露有良好的警示作用,對案件的及時總結能有效地避免同類風險事件的發生。
(五)監控
監控的核心在于監控的制度性和監控的獨立性?!吨敢芬幎?,監控的制度性建設要求風險管理委員會應當建立指向清晰的定期監控體系,清晰的監控系統可以明確監管者的責任范圍,而定期監查行為有利于快速發現并且糾正操作風險。監控獨立性依靠操作風險管理部與其他職能部門相對保持獨立,不能存在從屬關系,應當受董事會或其下屬的審計委員會直接領導。
與此同時,銀行還需要對其內部監管人員進行嚴格培訓,使其對銀行各項業務活動和崗位責任的執行情況依據相關制度標準進行監控,及時預見潛在風險并極力阻止其發生,實現銀行操作風險的有效管理。
參考文獻:
[1]閻達五,寧建波.雙元控制主體構架下現代企業會計控制的新思考[J].會計研究,2000.
[2]鐘偉.論跨國銀行操作風險管理模型的新進展[J].學術月刊,2004.
[3]鐘偉.新巴塞爾協議和操作風險高級衡量法框架[J].金融與經濟,2005.
[4]樊欣,楊曉光.操作風險管理的方法與現狀[J].證券市場導報,2003,(6):64-6.
關鍵詞:新巴塞爾協議;操作風險管理;政策建議
自20世紀80年代以來,一系列因為操作風險所導致的金融案件震驚了國際銀行界(見表1),使銀行經營者和監管者普遍認識到了操作風險管理的重要性。安永國際會計公司2001年對美國前100家大銀行的風險管理調查報告證實了這一點。報告間隔一個月或更長時間,94%的銀行衡量了市場風險,100%的銀行衡量了信用風險,69%的銀行衡量了操作風險。在不少國際金融機構中,操作風險導致的損失已經明顯大于市場風險和信用風險。2004年6月通過的新巴塞爾資本協議反映了這一風險管理趨勢,正式將市場風險,信用風險和操作風險綜合起來考慮,并首次明確了對操作風險的資本配置要求。目前我國正處于經濟轉軌時期,相應的制度環境尚待完善,人們求富的急切心態導致各種違規事件的層出不窮(見表2),操作風險正成為我國金融機構面臨的主要風險。
一、新巴塞爾協議與銀行操作風險
新巴塞爾協議(2004)第一次對銀行操作風險提出了資本要求,并把操作風險定義為:由于不正確的內部操作流程,人員,系統或外部事件所導致的直接或間接損失的風險。該定義包括法律風險,但不包括策略風險和聲譽風險。這一定義側重于風險形成的原因,委員會認為這樣對操作風險的管理和度量都是合適的,同時又鼓勵對定義中損失類型(見表3)進行討論以形成更為完備的定義。操作風險相比于信用風險和市場風險,意味著純粹的損失;而后兩者是一中性概念,損失機會和盈利可能并存。根據新協議的監管要求,銀行必須全面收集業務活動中有關操作風險的損失數據??梢砸勒瞻腿麪栁瘑T會定義的8種銀行業務類型(具體包括:公司金融,交易和銷售,零售銀行業務,結算和支付,和保管,資產管理,零售經紀業務)和7種操作風險事件類型(具體包括:內部欺詐,外部欺詐,就業政策和工作場所安全,客戶產品及業務操作,實物資產的損壞,業務中斷和系統失敗,執行交割和流程管理)進行數據分類。分別統計發生概率大而每件的損失額度較小和發生概率小而每件的損失額度較大的事件數量。同市場風險和信用風險一樣,不論是對操作性風險簡單的定性估計,還是復雜的模型計量,都必須涉及風險的種類,風險敞口,風險事件的發生概率以及風險損失。
二、新巴塞爾協議下我國商業銀行的操作風險管理建議
根據巴塞爾委員會2003年2月公布的《操作性風險管理與監管的最佳實踐》,不管銀行規模的大小,監管當局應當要求所有的銀行都建立起自己的操作性風險計量和監管框架。銀行應同時進行足夠的信息披露,以便市場能夠就其操作性風險管理方法進行評估。操作性風險管理越來越被置于同信用風險和市場風險管理同樣重要的地位,對操作性風險管理計量的技術要求也在逐步向信用風險和市場風險看齊。操作風險管理正作為一個重要的有機組成部分被納入到銀行的風險管理體系中。目前我國在銀行操作風險方面存在很大的不足。中國有五家規模各異的銀行參加了十國集團國家監管當局之間對新資本協議第三決定量影響測算(QIS3測算),其合計的資產占到中國銀行業總資產的48%。按標準法計算,操作風險的貢獻率為3.83%。由此可見,我國銀行在操作風險管理方面的水平是相當低的。雖然中國人民銀行于2002年9月并開始實施《商業銀行內部控制指引》,對我國銀行建立操作風險管理和控制框架提出了要求,但是到目前為止,我國商業銀行的操作風險管理仍然存在很多問題。商業銀行操作風險的組織基礎工作薄弱,銀行內部控制制度建設滯后,相關的信息披露嚴重不足,缺乏操作風險的計量模型和損失數據等問題?;诎腿麪栃沦Y本協議的要求和我國銀行業操作風險管理的現狀,要解決上述問題,建立起適應我國銀行業發展要求的操作風險管理體系,本文認為應從以下幾個方面人手。
1.確立全面風險管理理念,加強金融機構自身的風險管理文化建設。我國商業銀行應從以定性為主的傳統風險管理方式向以定量分析為基礎定量與定性相結合的現代風險管理模式轉變,樹立市場風險、信用風險和操作風險綜合管理的理念,積極借鑒新巴塞爾協議的銀行管理精髓,打造我國金融機構自身的風險管理文化,使高層管理人員和所有員工對各自業務部門防范操作風險有一個全面的認識,認真履行風險管理責任,確保操作風險管理活動被很好地理解和執行。
2.建立操作風險損失數據庫,選用適當的操作風險計量方法。新巴塞爾協議指出:“委員會認為,根據統一的損失、風險和業務的定義,在業內有序地收集及分享數據,對于制定處理操作風險的各類先進方法十分重要。若沒有這類數據,委員會將被迫在制定操作風險最低資本規定時采用保守的假設?!北M管目前我國很難采用那些先進的操作風險量化方法,但是操作風險的量化將是大勢所趨。因此我們要提前做好風險損失數據庫的建立,為日后使用先進的操作風險管理方法作準備。根據新協議的提議,“委員會計劃允許銀行采用更加先進的方法按業務處理操作風險。如銀行可以采用標準法處理某些產品,并同時采用內部計量法處理其他產品?!币虼?,當前我國的金融機構可以根據自身情況對不同業務的操作風險采用不同的度量方法。前面分析的幾種度量方法為銀行操作風險管理提供了一種可以參照的標準,但這些方法有自身的特點,就現階段的中國商業銀行來說,并不都適用。基本指標法過于簡單,損失分布法和極值方法屬于高級計量法,對損失數據要求高,必須滿足一系列的分類標準,這些標準有許多在現階段我國商業銀行無法達到,應用難度較大。而標準法和內部度量法介于兩者之間,既克服了基本指標法的不足,又不像高級計量法那么復雜,應當是大多數商業銀行的短期努力方向。尤其是內部度量法,能很好地結合絕大多數中國商業銀行自身業務狀況(如業務規模、范圍、業務類別等),對風險的衡量有較強的針對性,可以建議我國商業銀行現階段著重考慮對該方法應用的熟悉和完善,為今后更高級方法的使用積累經驗。
3.借鑒國際經驗,創造一個合適的操作風險管理環境。新協議對操作風險管理環境提出了三條原則。一是董事會應當意識到操作風險的主要方面,并將其做清楚的分類以能夠實施管理,并應當批準和定期地檢查銀行操作風險管理框架;二是董事會應當確保銀行的操作風險管理框架從屬于由受過培訓能力的員工所獨立進行的、有效的和全面的內部審計;三是高級管理層應當負責董事會批準的操作風險管理框架的實施。這個實施在全行范圍內應當是一致的,所有層面的員工都應該理解其相關的操作風險管理責任。我國的操作風險管理應該積極借鑒這些原則,操作風險管理體系應基本覆蓋操作風險識別、評估、監測、緩釋、控制和報告等程序和環節,并在此基礎上建立覆蓋整個銀行的操作風險管理戰略和政策,構建責權明晰的管理架構。與此同時,由于國有銀行權責不明晰,操作者是銀行經營者,而風險承擔者是國家,這樣使得銀行經營者缺乏實施風險監管的動力。因此,國有商業銀行操作風險的管理必須與銀行的產權改革、完善法人治理結構相結合,為操作風險管理提供一個好的企業制度環境。
4.健全銀行內部控制制度,加強風險管理人才建設。最重大的操作風險經常由內控制度的失靈引起,而這又是銀行可控范圍內的內生風險,所以防范操作風險的關鍵在于健全銀行的內控制度。內控制度建設應從銀行實際出發,設計合理科學,具有可操作性。同時要發揮信息披露的作用,要求銀行應向公眾進行充分的信息披露以便于市場參與者能夠對銀行的操作風險管理進行監督和評價。由于操作風險的復雜性,客觀上要求其業務人員必需具有豐富的專業知識和技能,這在很大程度上決定了操作風險管理質量的高低。目前我國熟悉操作風險管理業務的人員非常匱乏,加強這方面的人才培養和引進非常必要。
參考文獻:
1.BaselCommitteeOnBankingSupervision.TheNewBaselCapltalAccord.Fourthconsultativedoc-ument.http://www.bis.org/bcbs/cp3full.Pdf,2004.
2.趙先信,銀行內部模型和監管模型:風險計量與資本分配.上海:上海人民出版社,2004.
3.BaselcommitteeonBankingsupervision.SoundPracticesfortheManagementandSupervisionOfOperationalRisk.Basel,February,2003.
4.King,J.L.OperationalRisk:MeasurementandModeling.JohnWiley&SonsLtd.starliuCom.cn,2001.
5.段紅濤等.中國商業銀行風險防范問題研究.武漢:湖北人民出版社,2001.
6.王衛東.現代銀行全面風險管理.北京:中國經濟出版社,2001.
關鍵字: 流程;操作風險;商業銀行
中圖分類號:F830.49文獻標識碼:B文章編號:1006-1770(2006)09-053-03
一、引言
隨著銀行服務的全球化、技術系統的更新、交易量的提高、日趨復雜的交易工具和交易策略等,都增大了銀行機構面臨的操作風險。對整個銀行業和國際監管機構引起巨大震撼的“巴林銀行”事件,從表面上來說是由于“關東大地震”所導致的日經指數期貨暴跌,日本政府債券卻一路上揚,里森不幸在這兩個品種上都持有錯誤方向的籌碼。這種突然來臨的市場風險直接導致了里森的,及巴林銀行的清盤倒閉。但本質上,卻是由于巴林銀行混亂的內部控制與風險管理體系所導致的,徹頭徹尾是由于操作風險而招致的滅頂之災。巴林事件之所以能發生,關鍵在于:交易與清算之間應有的制度執行缺失,業務流程應履行的監督失靈所導致。
操作風險源自于內部程序不完善、人為失誤、系統故障和外部事件的影響,而銀行業務流程是操作風險發生的主要載體,規范、科學、運行良好的業務流程,能從根本上起到規避和減少操作風險的作用。因此,從流程角度來研究操作風險管理是從商業銀行操作風險管理和流程管理理論的內在耦合性出發,對銀行操作風險管理所做的有益嘗試。
二、流程與操作風險
操作風險的核心概念是操作(operations),其本意是“運營或發揮功能的活動或流程(the act or process of operating or functioning,美國傳統辭典)”,中心詞是活動或流程(act或process)。實際上,商業銀行本身就是一個為最終滿足顧客需求、實現投資者價值最大化而運行的一系列有密切聯系的業務流程和活動的集合體。2005年中國銀監會主席劉明康就指出“流程銀行”是商業銀行變革的方向之一,凸顯了“流程”在現代商業銀行中的重要地位。銀行提品或服務的過程,即是承擔風險、消耗資源使得價值從一個業務流程或活動轉移到下一個業務流程或活動的過程,最終商品或勞務既是全部業務流程的集合,也是全部資源、全部風險的集合。國內外許多學者在這方面進行了研究,從國內的研究看,主要集中在操作風險的管理框架、度量方法及風險值衡量、基于工作流的操作風險控制及基于流程管理的銀行信息化等方面。從國外看,Ebnother et al. (2002 )認為操作風險的衡量和管理一定是基于定義良好的流程,它們是操作風險管理的“精微平臺(microscopic level)”,該文獻中也提到了流程活動的概念,但它們只是作為流程的附屬存在。Leippold et al. (2003) 提出并應用價值鏈的概念來模型化操作風險,而價值鏈實質就是基于流程展開的。這些研究雖然涉及到流程和操作風險之間的關系,但較為全面論述二者關系的文章還沒有見到,特別是將流程理論和操作風險緊密結合起來,重新審視操作風險管理。因此本文從流程出發,以流程的視角分析操作風險管理的兩個重要內容:內部控制和風險度量,為銀行操作風險管理提供一個新的思路。
所謂流程,普適的定義是指為特定客戶和市場提品和服務而實施的一系列精心設計的有邏輯相關性的活動(Davenport & Short, 1991)。流程進一步細分為活動(或稱為流程活動,activity ) ,流程活動是流程的最基本要素。一個流程活動是接收某一種類型的輸入,并在某種規則控制下,利用某些資源,經過特定變換轉化為輸出的過程,即:
流程活動={輸入,處理規則,資源,輸出}
其中,資源是指流程活動執行者在執行這一流程活動時所依賴的方法或憑借的手段。一個流程中的基本流程活動是不可再分的流程活動,其特征包括:明確的結果;清楚的邊界;獨立于其他流程活動。
銀行業務流程就是銀行實現自身價值所進行的一系列的業務活動,它是銀行的核心價值活動,也是隱含風險,造成損失的重要載體。
我國商業銀行現有的業務流程可以分為直接創造價值的前臺客戶服務流程和為直接創造價值活動服務的后臺支持流程,這兩個流程按照J?佩帕德和P?羅蘭的劃分分別屬于銀行的經營流程和保障流程。對我國的商業銀行而言,前臺后臺的業務流程類型如圖1所示:
從流程的角度來考察操作風險,也可以從操作風險的定義中反映出來。巴塞爾委員會的定義是:“由于不當或失敗的內部程序、人員和系統或外部事件導致損失的風險”,這一定義包含四類因素,即人員,程序,系統和外部事件,但都通過業務流程發生作用。瑞士信貸集團的定義是“由于以不當或失敗的方式操作流程活動而對業務帶來負面影響的風險,操作風險也可能是由外部因素造成的”。全球衍生產品研究小組曾經給操作風險下過這樣一個定義:“操作風險是指由于控制和系統的不完善、人為的錯誤或管理不當所導致的損失的風險?!彼菑娜藛T、系統和操作流程三個方面對操作風險進行了界定,并且把管理作為防止操作風險的決定性因素。銀行操作風險涉及組織的各個方面,主要發生在銀行服務的各種流程活動之中,流程中的人、系統和操作程序就成為操作風險管理的重點。因而操作風險管理的重要內容是規范、監視和分析組織內部的各種流程,同時將人和系統的因素考慮到流程之中。
由圖2可以看出,風險管理流程作為一項支持性的經常活動,對其它流程有著監督的作用,因而可以將風險管理流程和普通業務流程作為整體來考慮,即對流程的數據、知識和規則建模時,可以對每個業務流程活動和類型進行基于損失數據的風險評估和分析,做到每一個流程活動的流程管理和風險管理。
三、流程視角下的銀行內部控制框架
自1992年美國COSO委員會《內部控制框架》(簡稱COSO報告)以來,該內部控制框架已經被世界上許多銀行所采用,但理論界和實務界紛紛對內部控制框架提出一些改進建議,強調內部控制框架的建立應與銀行的風險管理尤其是操作風險相結合。新的全面風險管理框架就是在1992年的研究成果--《內部控制框架》報告的基礎上,結合《薩班斯一奧克斯法案》(Sarbanes-OxleyAct)在報告方面的要求,進行擴展研究得到的?!端_班斯-奧克斯法案》是安然、世通等財務欺詐事件發生后,美國證監會于2002年7月30日頒布并實施的強制所有在美國上市的公司在2006年財年結束前執行的一項內部控制法案,被美國總統布什稱為“自羅斯??偨y以來美國商業界影響最為深遠的改革法案”。該法案要求組織機構使用文檔化的財務政策和流程來改善可審計性,并更快地拿出財務報告。要求銀行針對產生財務交易的所有流程活動,都做到透明度、控制、通訊、風險管理和詐欺防治,并且這些流程必須詳加記錄到可追查交易源頭的地步。
在傳統的勞動分工原則下,職能部門把銀行的流程割裂成一個個獨立的環節,關注的是單個任務或工作,其結果就是忽視內部控制的動態性、系統性。從流程的視角出發,就需要從顧客需求出發,對銀行流程進行系統性的思考分析,或通過對銀行流程構成要素的重新分解、組合,以此實現銀行流程徹底的改造和重新設計,從而獲得銀行績效的持續改進。它不再強調單個工作或任務自身是什么,而是這些工作是如何有效執行的,因為銀行的一切經營活動就是一系列富有邏輯關系的流程的有序集成,因而契合于銀行整個業務流程的內部控制活動和程序,也將表現出如同流程再造那樣必須根據外界需求變化不斷檢視和調整的系統動態過程,這個過程也體現了銀行抵御外部影響而導致操作風險的柔性能力。
進一步看,流程實際上又是由一系列流程活動的集成,也即銀行就是一個為滿足履行要素使用權交易合約需求而設計的一系列流程活動的集合體。流程活動是通過組織、單位或成員按照一定的流程、活動的要求來完成。為此,內部控制的功能不僅在于通過流程活動的分析,剔除非增值流程活動,實現流程的最優化,而且還要保證最優化的流程有效地運行,并在此基礎上根據客戶的不斷變化的需求產生最優的流程。此時,內部控制實際上進一步彰顯其過程化的行為,成為銀行最優化、間接和理性的流程活動標準,并按照控制的循環步驟,實現內部控制的目標。其具體過程如下圖3所示。
顯然,傳統的內部控制強調權利與職責的分配、崗位相互之間的牽制等基本理念將受到嚴重挑戰,原有“要素化”的控制方式將會被流程化、系統化的控制機制所取代,也就是說職能控制、崗位控制將被流程控制所替代,從上到下的分權控制將被各個流程活動之間的控制、各個任務之間的控制所替代。在流程視角下,信息流、資金流成為銀行經營活動的基本組成要素。為迎合銀行業務流程管理和操作風險控制的需要,內部控制實際上將演變成一種最優化、簡潔和理性(合乎邏輯)的流程活動方式或流程活動標準,實現資金流和信息流的高度合一,達到控制和規避操作風險的目的。
四、基于流程活動的操作風險度量
巴塞爾新資本協議中將銀行業務分為8個產品線,19個二級目錄及50多個業務群組,但這種劃分只是停留在流程層面,并沒有深入到流程活動層面。正確劃分銀行流程活動,應從銀行本身的規模、戰略、業務特性和管理特點出發。對流程活動分解的越細,就越容易找到具體的風險驅動因素,從而越能對操作風險進行準確衡量與管理,因此,合乎邏輯的做法是將銀行業務劃分為產品線,再細分為流程,最后細分到流程活動。
定義、衡量和控制操作風險,不可能對所有的銀行流程活動都同樣關注,而應該重點關注銀行的核心流程活動,對銀行的增長和收益沒有貢獻的非核心的流程及流程活動不應予以考慮。
巴塞爾委員會將操作風險因素劃分為7個類型,在此基礎上進一步細分為20種、71個具體風險因素。Doerig(2004)將操作風險類型分為5大類,即組織,政策/過程,技術,人員和外部,細分因素有20種;英國銀行服務局(FSA , 2002)在其關于操作風險系統和控制的咨詢文件(CP142)中將形成操作風險的因素歸結為人的因素、過程和系統、外部事件、外部采購和保險等5個方面。盡管細分的風險因素中可能包含幾十種,但具體到不同的流程活動,很可能只有幾種因素在起作用。
銀行業務可以劃分為若干個產品線,每個產品線由一組流程組成,而每個流程又由一組關鍵流程活動ai構成,每個流程活動都有潛在的fj 種風險因素可能導致操作風險。圖4所示的流程活動和風險因素的組合顯示了基于流程活動的操作風險度量原理。
圖4中,橫坐標為關鍵流程活動,縱坐標為風險因素。圖中取1的為關鍵流程活動與風險因素的有效組合,取0表示該組合無效。例如組合(a2, f1)表示在流程活動a2中,風險因素f1不起作用。對于有效組合,可以進行衡量或評估以確定該組合下的風險損失Rij。如果確認了銀行業務中的所有關鍵流程活動ai和風險因素fj,那么就可以得到一個關鍵流程活動/風險因素組合有效性矩陣,在該矩陣中,有效組合取值為1,無效組合取值為0。
一般地,操作風險度量有兩大類方法,即自上而下法和自下而上法。自上而下法基于宏觀數據來度量操作風險,不去識別具體的損失事件和原因。自下而上法則是利用具體的事件來決定操作風險的來源并進行度量,屬于風險敏感方法。巴塞爾新資本協議中的前兩種方法屬于自上而下法,第三種方法即高級衡量法屬于自下而上法。委員會鼓勵銀行提高風險管理的復雜程度并采用更加精確的計量方法?;诹鞒袒顒拥牟僮黠L險度量方法將銀行業務細分為流程活動,識別每一流程活動中潛在的具體風險因素,在此基礎上衡量風險損失,因而屬于風險敏感的自下而上方法。
該方法首先確認流程活動和風險因素將銀行操作風險暴露分解,EI(i,j)表示第i個流程活動在j類風險因素下的風險暴露;PE(i,j)表示流程活動i在風險因素j下操作風險發生的概率;LGE(i,j)表示流程活動i在風險因素j下的預期損失程度,那么,組合(ai, fj)的操作風險預期損失為:
如果數據是夠充分,模型還可以估算出不同風險損失之間的相關系數,從而使計算結果更加準確?;诹鞒袒顒拥牟僮黠L險度量深入到微觀的活動層面,對流程活動的各個要素和風險驅動因素進行分析,為銀行控制和緩釋操作風險提供了依據。
該方法將操作風險度量與管理有機地結合起來。將操作風險度量和管理建立在對銀行關鍵流程活動及潛在風險因素的清晰理解基礎之上,它考慮到了每個流程活動/風險因素組合(ai, fj)的損失分布,考慮到了流程活動之間的銜接同樣是操作風險的重要來源,考慮到了流程活動與流程活動之間、風險因素與風險因素之間的相關關系,從而保證了衡量的準確性。
五、結論
操作風險的基本定義表明,操作風險主要載體是業務流程,本文研究了流程視角下的操作風險管理,闡述了基于流程的商業銀行內部控制和操作風險度量,為進一步“流程銀行”的操作風險管理模式研究打下了理論基礎。
作者簡介:
胡衍強 同濟大學經濟與管理學院博士生
關鍵詞:操作風險;人力資本;激勵
近年來,隨著我國銀行業務的快速發展,商業銀行面臨的運營風險也在不斷增加。其中,作為商業銀行常見三大金融風險之一的操作風險更是頻頻凸顯。據統計,僅2003年-2007年,通過媒體公開報道可以搜集到的操作風險案件就達174件。2011年,中國銀監會的《銀監會2010年年報》指出,2011年中國銀行業仍存在諸多風險挑戰,其中之一便是“部分金融機構操作風險管理意識弱化”。該報告指出:“2010年底,部分銀行業金融機構案件出現反彈。齊魯銀行案件等多數案件發生在基層網點和所謂低風險業務領域,且多為內部人員作案,這反映出部分銀行內在風險管理機制存在缺陷。”
與信用風險和市場風險不同,操作風險涵蓋的范圍和涉及的業務種類更為廣泛,貫穿于商業銀行經營管理活動的始終,幾乎覆蓋了銀行經營活動的方方面面,因此管理難度更大。本文從操作風險的分類與特征入手,對商業銀行操作風險的一般問題進行分析。在此基礎上,選取人力資本激勵視角對我國商業銀行操作風險管理問題進行另一種視角的詮釋,最后提出相關對策建議。
1 關于操作風險的一般問題分析
目前對于操作風險國內外尚未有統一的定義。其中,巴塞爾委員會在《巴塞爾新資本協議》中關于操作風險的定義較具代表性,具體為“操作風險是指由不完善或有問題的內部程序、人員及系統或外部事件所造成損失的風險”。該定義突出強調了銀行內部人員操作和業務系統因素所導致的操作風險。
1.1 操作風險的分類
操作風險類型較多,可從不同的角度予以劃分。比較常見的劃分標準有:巴塞爾新資本協議標準、英國銀行家協會分類標準等。
(1)巴塞爾新資本協議中的分類。包括兩個維度的分類:一個是按照損失事件類型進行分類,具體分為七類:內部欺詐,外部欺詐,雇用合同以及工作狀況帶來的風險事件,客戶、產品以及商業行為引起的風險事件,有形資產的損失,業務中斷和系統錯誤,涉及執行、交割以及交易過程管理的風險事件。另一個維度是依據發生操作風險的業務部門或業務流程環節,分為八類:公司財務、交易與銷售、零售銀行業務、商業銀行業務、支付與清算、服務、資產管理、零售經紀。上述兩個維度的分類還可共同構成操作風險分類的7×8矩陣。
(2)英國銀行家協會的分類標準。具體涉及四類:人員因素導致的操作風險、流程因素導致的操作風險、系統因素導致的操作風險、外部事件導致的操作風險。其中,前三類為內部因素導致的操作風險,又稱為操作性失誤風險(operational failure risk);第四種為外部因素導致的操作風險,又稱為操作性杠桿風險(operational leverage risk)。
1.2 操作風險的特征
操作風險的內涵豐富,外延寬泛,因此了解和把握其主要特征,可以更有效的管理此類風險。通過對國內外文獻和監管部門披露的操作風險案件進行梳理發現,操作風險主要具有以下幾方面特征:
(1)操作風險的生成具有明顯的內生性。相對于信用風險和市場風險,操作風險的生成更多的是由銀行內部不合規的操作引起。銀行業務的客觀存在使得操作風險將永遠存在,并成為銀行業務經營的重要組成部分。
(2)操作風險具有較強的人為性。在《巴塞爾新資本協議》中按照損失事件類型劃分的七類操作風險中,有六類與人為因素直接相關。如若說市場風險來自于金融產品的市場價格變動,信用風險源于借款者償還能力的不確定性,而操作風險則大多數來自于有意或是無意的、銀行內部或外部的人為操作失誤。此外,操作風險的強人為性還表現在來自銀行內部人員的操作風險反控性(銀行業務人員往往對業務流程更為熟知,因而更加容易通過對既有管理流程和制度的規避從而實施違規操作,并隱匿操作風險的外在表現)和操作風險管理過程中的不作為。
【關鍵詞】銀行 操作風險
會計操作是反映商業銀行資金運作的各個重要環節,其風險的防范在現代商業銀行營運中的地位顯著。各項業務發展和創新都需要會計操作風險加強管理,各新舊網點的升級改造、新吸收員工不斷增多,而當前會計操作大部分處在柜面操作,由此伴隨會計操作風險管理重要性凸顯。
一、會計操作風險的重要地位及特點
商業銀行作為經營貨幣的企業,會計風險是客觀存在的。按照商業銀行經營的一般規律,其會計操作風險在經營各環節中占有重要地位和獨特的特點,主要體現在以下三方面:
第一方面是商業銀行的資金運作的各個環節不可能撇開會計操作,而銀行日常的資金流量巨大、出入款項頻率高,加上程序設計上漏洞,有可能產生會計操作風險,可以說會計是銀行營運的基礎。
第二方面是會計的職責是擔負著銀行營運全過程的收支、結算、核算業務,全面反饋資金、資本運作信息,為領導層的決策提供可靠財務依據,為確保銀行資金安全,實現績效目標的重要保證。會計操作出現了問題,不僅難以實現績效目標,而且會影響企業整體營運,因此說會計風險管理在商業銀行經營中處于核心地位。
第三方面是會計的覆蓋面大,會計操作風險對內涉及到銀行高、中、低層工作人員和有關機構,而且出現頻率較高,風險時刻存在。對外范圍較廣,面對不同的業務種類和客戶群體,因此說會計操作風險潛在危害性巨大。
二、商業銀行會計操作風險的成因分析
(一)隊伍建設方面存在管理不到位
一是員工培訓效果不理想。一方面上崗前培訓不夠全面,針對性不夠強,涉及到新員工和輪崗到新崗位員工,由于對所在崗位操作規范不熟悉,辦理業務時對關鍵風險點控制不到位。而隨著營業網點擴張和升級改造,新員工不斷增多,該矛盾顯得較為突出;二是在激勵約束機制方面,對網點人員的核算質量還未實行量化考核,造成部分柜員重產品營銷、輕前臺操作風險控制。
(二)會計操作風險的評估手段不夠科學
商業銀行會計操作風險的科學管理,要求能夠對每個機構會計操作風險水平做出客觀的評價,但目前的會計操作風險的評估手段不夠科學。 一是可量化的綜合評價指標不夠精準,且不同的機構沒設有細化評價指標,各機構差別化管理難以實施,管理重點出現偏離。二是風險評估工作達不到會計操作風險控制的要求。隨著經濟發展和形勢變化,新業務及金融工具的更新換代較快,使會計操作風險存在增加的可能,但內部控制風險評估體系的完善和發展程度卻落后于業務的發展,無法準確識別風險點,不能有針對性地警示員工,會計操作風險發生的概率有增無減。
(三)業務發展與風險控制沒兼顧平衡
隨著市場經濟的不斷發展,銀行在市場上的競爭也面臨著越來越激烈,這就促使銀行營業機構網點極為關注營銷、成本、效益等績效指標和存款、貸款等市場指標。部分銀行的管理層只顧業務發展而輕風險控制,對會計操作風險帶來的危害認識不到位,甚至為取得業務發展而干預會計操作的情況時有發生,業務發展與風險控制容易失去了平衡點。
(四)內部控制機制不夠完善
財政部頒布新會計準則之后,新舊財務會計的處理規定發生了較大的變化,但是商業銀行的相關法規,并沒有及時進行修訂,制度建設與業務的發展不同步,造成了業務操作過程中出現了一些存在著爭議性的問題,企業會計內部控制制度建設不夠完善。
三、防范商業會計操作風險的對策
(一)加強隊伍建設,充分利用各種資源 。
一是人事部門統一規劃,加強企業員工業務素質的培訓。做好前崗后培訓,根據企業員工實際情況,分層次、按不同對象實施針對性培訓。對新上崗人員、發生差錯較多人員等開展中短培訓,利用工作空隙時間進行重點提示和強調,特別是操作要求和風險應對措施。二是加強員工行為管理。完善員工行為管理和排查有效方法,例如建立員工家訪制度,定期對員工家庭進行家訪,既掌握員工八小時以外的生活情況,又使員工感受到組織的溫暖。對排查發現有異常行為的,及時采取有效措施。在問責方面,不只建立單純“懲戒”制度,同時還要建立保護和獎勵合規、主動糾錯從輕問責等制度相結合。三是加強人力資源利用。前臺人員直接接觸客戶,掌握客戶資金流動信息,這些信息可與營銷和貸款部門共享,可賦予前臺、后臺人員相應職責,并在利益分配上給予考慮,通過發揮整體合力進一步拓展業務。
(二)量化綜合評價指標,實行差別化管理
將銀行資金運轉內控制度重點環節的執行情況、經全面檢查發現存在風險性問題以及同行業普遍容易出現的風險問題等能反映會計風險控制狀況的指標,將這些指標納入風險評價體系,根據各個指標風險重要程度來分別設定分值,然后根據綜合分值對機構的風險防范水平做出綜合的評價。評價結果可分為優、良、中、低、差五個等級,評價結果可與機構的績效相掛鉤。對風險不等級的機構,管理層可以采取不同的管理措施,改進其會計操作風險管理狀態。
(三)建立銀行內控的信息交流與反饋機制
一是銀行要分別建立內網和外網,全面實行信息化管理,內網用于系統內部信息傳達、交流、反饋等,外網用于對外信息。企業內部信息數據均可在內網實時獲取,也便于發現問題及時向上級領導反映,從而進行及時的整改。二是信息部門可將信息整理及提煉,形成有價值的信息平臺,內控人員獲取相關信息后要采取有效措施,及時控制風險。
(四)進一步完善內部控制機制
進一步完善內部控制機制,建立完整的內部控制系統,以有效地防止違規操作及犯罪的出現。根據財政部頒發會計準則、會計法及本企業實際會計業務,制定詳細的制度規范和操作程序。以整個業務流程為中心,整合分散的規則規章,形成一個動態的系統平臺,指導并控制系統文件的運行和會計業務的操作。
關鍵詞:操作風險員工素質職業道德
1、管理操作風面臨的挑戰
巴塞爾委員會在新資本協議中將操作風險定義為:由不完善或有問題的內部程序、人員及系統或外部事件所造成損失的風險,包括法律風險,但不包括策略風險和聲譽風險。近年來,國內銀行業不斷有大案曝光,均給商業銀行造成了嚴重的損失。“人”不僅是風險的控制者,也是風險的制造者。相比國際活躍銀行操作風險主要集中在外部欺詐方面,我國操作風險高發的是人員風險。違規操作、內外勾結導致的操作風險在國內更多。
1.1 管理人員約束真空
國內商業銀行普遍存在對管理人員監督約束不力的問題,有關管理人員尤其是分支機構領導權力過大,時間一長難免出現內部人控制以及由此引發的各類違規違法行為。舉報機制不健全,對重點要害部門和崗位沒有完善的舉報流程,把關不嚴現象時有發生,事前預防工作形同虛設。
1.2 業務人員素質參差不齊
風險管理需要工作人員具有較為扎實的理論功底和豐富的實踐經驗。但是,現有商業銀行工作人員的知識水平,知識結構與有效的控制操作風險這一艱巨的任務相比,存在著較大的差距,很多業務流程存在著不合理和不適用的情況。同時對前臺業務操作人員的后續培訓工作不夠重視,容易造成業務人員的使用業務系統以及新系統的過程中出現操作錯誤和失誤,給控制操作風險帶來極大的難度。
1.3 員工職業道德隱患
雖然各家銀行相繼制定了不少規章制度,但是由于許多銀行政治思想工作薄弱,對職工的思想教育重視不夠。員工面對誘惑的抵抗力不足,造成內外勾結,詐騙、挪用銀行和客戶資產的事件頻發。
2、建設完善的人員管理機制
人是風險管理的核心。雖然《巴塞爾新資本協議》將操作風險分為七種類型,但每個類型的操作風險,風險產生的每個環節都有伴隨著較大的人為因素。加強對操作風險的管理,本質上是加強對人的管理。
2.1 推進內控文化建設和宣傳
在組織內部建立從上至下的完善的合規教育體系,決策層要明確風險管理的導向和意義,成立專職機構和人員負責全公司的風險管理;管理層要制定科學的業務流程,嚴格執行決策層制定的規章制度,同時對業務層的操作進行跟蹤、監控和反饋,不斷的發現問題、總結問題并更新制度;業務層要認真履職,一切工作按規章辦事。同時要完善獎懲機制,明確違規事件責任人,管理層和業務層采取捆綁式管理,發生違規事件,業務部門的主管領導為第一責任人,員工的所有操作與個人和部門的績效掛鉤,并建立違規考核辦法,對于不同影響和危害的違規事件的相關責任人要給予不同級別的懲罰,對于重大違規事件,要從嚴從重處罰。最后要加強對員工的培訓和輔導,提高銀行從業人員整體素質。加強內控管理文化建設,對銀行員工的風險觀、風險內部控制意識和風險管理職業道德等銀行內部控制管理要作為一項持續的工作來抓。要求員工具有一定行為規范和道德水準,內部控制管理文化建設就是通過調動每位員工的積極性、主動性和創造性在全行樹立全員內控意識持續不斷地對全體員工進行內部控制培訓,確保全體員工都具有內控管理觀念、意識和行為規范通過約束員工行為來達到業務發展與內部控制的目的。要通過優化結構、強化培訓、完善激勵等手段,努力提高銀行從業人員的政策水平、思想覺悟和業務素質。
2.2 提高對管理人員的監管
將分支機構主管領導的風險防范能力和合規管理能力納入到考核體系中,同時加強對其的監管。每個分支機構設置獨立的監察部門,具體負責對分支機構的管理層和業務層進行審查和審計,該部門直接對公司監管層負責,分支機構領導無權管理其工作,該部門同時承擔分支機構違規事件責任。建立舉報制度,各級會計人員對于他人超越自身職責范圍(僅限于會計專業規定的職責),越規越權,違法或嚴重違規辦理會計業務或自身被他人授意、暗示、指令或強令,違法或嚴重違規辦理會計業務等情況可越級向分支機構監管部門、分支機構領導和總部監管層直接進行舉報,同時建立舉報保護制度,對于進行實名舉報的業務人員要充分保護其工作、崗位、人身和財產安全不受侵害,對于匿名舉報的業務人員,對其身份要嚴格保密,對于泄密人員要進行嚴肅處理。
2.3 加強用人管理
嚴格崗位分工,根據業務運作的實際要求,因事設崗,因崗定人。按照每一項業務至少必須有兩個崗位或兩個人以上參與記錄、核算和管理的要求,明確各崗位或員工在業務操作中的責權劃分,按各自的工作性質、權限承擔相應的工作責任。并對未達賬和賬款實行差錯核查不逆返原崗,設立獨立審核和責任復核制度。業務人員必須按照各自的崗位職責要求充分履職,提高制度的執行力,把好每一個關口,認真、仔細對待每一筆業務,嚴防每一個風險,不給犯罪分子留有任何的可乘之機。對于會計人員,要引入會計人員淘汰機制,對工作散漫、差錯率高、技能差以及在工作中表現出不良動機等道德風險的會計人員,要及時終止上崗資格,營造會計人員優勝劣汰的良性競爭環境。運用組織控制考核輪換的方法,對重要崗位和關健崗位人員定期考核,適時輪換,并進行必要的離職稽核、責任稽核或強行休假制度。
3、結語
加強商業銀行操作風險的管理,管人是關鍵,著力培養操作風險文化、加強對管理層人員的監控、完善組織的用人制度和考核機制是全面提高操作風險管控能力的重要方面。只有以人為本,從員工管理出發,不斷完善風險管理的制度和手段,才能將涵蓋操作風險在內的全面風險管理水平將提升到一個新的高度。
參考文獻
[1]閻慶民,蔡紅艷.商業銀行操作風險管理框架評價研究[J].《金融研究》,2006(6):17-19.
[2]郭睿.我國商業銀行操作風險管理研究[M].華東師范大學出版社,2008.
[3]張吉光,梁曉.商業銀行全面風險管理[M].立信會計出版社,2006.
[4]中國銀行業監督管理委員會.商業銀行操作風險管理指引.2007.
[5]陽.金融機構現代風險管理基本框架[M].中國金融出版社,2006.
[6]陳小憲.風險、資本、價值[M].中國金融出版社,2004.
中圖分類號:TU247.1
文獻標識碼:A
隨著金融技術和金融業務的不斷創新和全球銀行市場的不斷發展,全世界范圍內銀行的規模不斷膨脹,交易金額的迅速放大,經營復雜程度的急劇提高,銀行活動及其操作風險特征越來越復雜多變,操作風險已經成為全球銀行業風險管理的重要領域。由巴塞爾銀行監管委員會于2004年6月的《巴塞爾新資本協議》,更是繼信用風險、市場風險之后,對銀行的操作風險提出了資本要求。
一、《巴塞爾新資本協議》
(一)商業銀行操作風險的概念、特點和分類。2004年6月公布的《巴塞爾新資本協議》將操作風險定義為:操作風險是指由于不完善或有問題的內部程序、人員、以及系統或外部事件所造成損失的風險。此定義兼顧了操作風險的內涵和量化操作風險的可能性??梢哉f,《巴塞爾新資本協議》中對操作風險的定義將會普遍被各金融機構所認可,成為度量和管理操作風險的統一標準。商業銀行的操作風險是與信用風險、市場風險截然不同的一種風險,與信用風險和市場風險相比較,有其明顯的特點:一是風險因素在于銀行的業務操作中;二是操作風險是一種純粹風險;三是操作風險具有內生性;四是從覆蓋范圍看,操作風險管理實際上幾乎覆蓋了銀行經營管理的所有方面。
(二)商業銀行操作風險管理。首先,銀行應該識別和評估所有重要產品、活動、程序和系統中固有的操作風險,確保在引進或采取新的產品、活動、程序和系統之前,對其中固有的操作風險已經進行了足夠的評估步驟。其次,銀行應制定一套程序來定期監測操作風險狀況和重大損失風險。對積極支持操作風險管理的高級管理層和董事會,定期報告有關信息。再次,銀行應制定控制或緩釋重大操作風險的政策、程序和步驟。定期檢查其風險限度和制戰略,并且根據其全面的風險喜好和狀況,通過使用合適的戰略,相應地調整其操作風險狀況。最后,銀行要制定應急和連續營業方案,以確保在嚴重的業務中斷事件中連續經營并控制損失。
二、我國商業銀行操作風險管理
在借鑒巴塞爾新資本協議操作風險管理框架后,中國的商業銀行要建立適合自身發展的操作風險管理框架。
(一)建立操作風險預警體系:1,操作風險的識別。有效的預警體系能夠保證對銀行各項操作風險做到及時的識別和正確的評估。操作風險的種類和程度會隨著銀行業務活動和外部環境的變化而變化,因此操作風險的識別和評估不僅要全面反映操作風險的性質和程度,更要反映操作風險的變化。2,操作風險的度量。操作風險度量是操作風險管理的核心。銀行應選擇適合自身的度量方法,通過建立度量模型和損失估計,對操作風險的大小和影響進行定量分析,當條件成熟時就采用更高級的度量方法。3,操作風險處理。綜合考慮銀行面臨的操作風險性質、大小,銀行的經營目標、風險承受能力、風險管理能力和核心競爭能力等因素,選擇恰當的風險管理工具和策略,對面臨的操作風險進行處理,包括風險回避、風險轉移、風險保留、風險緩釋、風險防范與風險控制等。4,操作風險管理的實施。為保證操作風險管理策略、方法和過程的貫徹執行,銀行須對董事會、執行委員會、各職能部門等組織系統的功能進行科學設置、授權和監督,從而使操作風險的監測程序保持正常、有效運轉。5,管理監督和控制文化。一個有效的預警體系包括董事會、高級經理層以及各級經理和員工在內,使銀行面臨的操作風險得到每個人的充分認識和重視,從而把操作風險管理體系納入銀行的整體文化之中,使之成為銀行合法、穩健經營、長遠發展的銀行文化的基本因素。6,風險激勵和考核。銀行應該在操作風險調整的績效測量基礎之上,充分考慮風險因素和風險管理戰略的執行效果,將激勵機制的目標與風險調整回報、績效的絕對指標以及變化情況相結合。
【關鍵詞】哈爾濱銀行 運營操作風險 風險管理
近年來,國內外屢屢爆出因運營操作風險事故導致商業銀行蒙受巨大損失的案例,同時從我國近些年來銀行機構所爆出的問題也可以看出,銀行運營操作風險已是銀行損失重要的源頭。隨著哈爾濱銀行業務規模的逐步提升,其運營操作風險管理也應隨之進一步加強,本文對哈爾濱銀行運營操作風險管理現狀進行分析,從中就其存在的問題進行分析,并就如何進一步加強運營操作風險管理提出了具體的建議,以便于提高哈爾濱銀行操作風險管理水平。
一、哈爾濱銀行運營操作風險管理體系的現狀
(1)實施運營人員崗位認證制度。為了規范操作,哈爾濱銀行將運營人員分為運營管理人員和操作人員,實行準入資格認證和聘任資格認證兩種模式,同時對于崗位層次多、人員數量龐大、更新變化快的特點,實施運營崗位人員資格認證序列,從而確保人員的素質。
(2)實施定期監督檢查。加強監督檢查是保障運用操作風險管理的重要舉措。對此主要通過現場監督和非現場監督來控制?,F場監督主要對業務、人員、內控以及機構進行檢查,檢查的重點主要包括“風險要點”、“過程控制”以及“管理模式”三個部分,主要通過資料調用、檢查準備以及系統操作等方法進行檢查。而非現場檢查主要是由事后監督人員及監測系統進行,發現問題之后及時下達整改通知書,及時對所出現的問題進行整改。
(3)實施存款風險滾動式檢查。哈爾濱銀行采用存款風險滾動式檢查制度,在原有賬戶檢查的基礎之上,結合銀行開戶流程,對實施大額支付對賬制度。同時存款風險控制除了依靠滾動式檢查之外,還要結合存款動態管理、賬戶集中管理等手段加強,檢查人員主要由分行負責賬戶管理、大額支付、對賬、反洗錢等相關人員組成,實施周期性檢查。
二、哈爾濱銀行運營操作風險管理存在的問題
雖然哈爾濱銀行在流程、制度、環境上對運營操作風險有一定的保障措施,但是仍有進一步可以改進的空間,其主要在以下幾個方面存在著一些問題。
(1)銀行體系建設方面。由于對會計工作理論指導缺乏足夠的認識,導致整個分行系統并沒有形成一個完整的體系,造成了日常工作缺少操作和制度依據。具體主要表現在對于銀行特色業務或是新業務并沒有相應的核算辦法作為指導,很難規范和指導業務的展開和處理。同時人員、機構以及業務管理等方面規范性還需加強,存著著選擇性執行的現象。
(2)業務流程方面。由于二級分行及異地支行的快速擴張,以及同城支付前臺柜員在SOP模式下角色的轉變,導致總行層面對于異地分行業務和人員管理還沒有健全和成熟的模式可供其參考,使得對異地支行非現場監督的力度還不是很強。同時由于總行對各層面的電子銀行業務、零售銀行業務以及外匯業務還沒有相關明確的崗位職責,導致業務管理邊界不甚明了,在支行業務出現疑難問題時無法及時得到溝通和解決。最后則是由于異地監管環境不同,對于分行的管理難以達到預定的目標。由于收入水平、競爭文化以及當地認識的不同,人員素質差異較大,對此在短時間內很難適應哈爾濱銀行的管理模式。
(3)人員管理及崗位分工方面。對于分行而言,存在著人員結構不合理的現象,主要表現在由于新員工比例較大,導致機構人員管理基礎薄弱,操作風險管理水平不一,人員素質有待于進一步提高。同時由于缺乏足夠的人才培養機制,導致普通員工晉升通道單一,員工對崗位認同度較低,從而影響了運營工作的提高和改善。
(4)業務操作環節方面。由于部分支行領導對員工思想建設工作不到位,導致員工對制度執行存在選擇性認識,缺乏合規風險氛圍的營造。同時由于資產業務、開戶等重要流程涉及到客戶部門、客戶、運營機構等眾多部門,導致運營人員日終在崗時間過長,存在著對重要時間人員監督薄弱的環節。
三、加強哈爾濱銀行操作風險管理的對策
(1)加強哈爾濱銀行運營操作風險管理體系。為了加強對銀行運營操作風險管理,需要不斷深化合規風險管理的深度和廣度,營造出嚴厲規范的監管企業文化。對此哈爾濱銀行因依據《商業銀行合規風險管理指引》之規定,不但完善和梳理內控制度,逐步建立起嚴密科學的內部風險管理體制,初步形成事前防范、事中控制、事后監督的管理體制,從而將各項制度滲入日常的各項操作當中,同時著力完善人員管理手段,努力提升員工的風險管理意識,從而形成良好的合規文化體系。
(2)關鍵業務操作控制。針對業務操作存在的問題,應加強對分行風險業務環節的控制力度,對此可以通過以下幾個步驟進行。首先強化客戶身份的識別,同時嚴查客戶的證明文件等證件,從而強化客戶信息的真實性,同時通過對員工加強培訓學習,從而提供其對客戶身份的識別能力和防范意識。其次則是嚴密實施實物交接和保管手續,實施雙封和日終碰庫制度,對實物進行定期不定期檢查。
(3)運營人員控制。由于風險存在于各個環節,對此要加強對員工的培訓。哈爾濱銀行應結合自身實際情況,制定相應的培訓制度和計劃,定期對員工進行培訓。同時嚴格落實運營人員準入、崗位輪換以及資格認證制度,促使運營人員素質的不斷提高??啥ㄆ谡匍_關鍵崗位運營人員風險例會,促進相關人員加強對風險的認識,并以此機會進行相關經驗的交流。
(4)建設操作風險管理文化。操作風險管理體系能夠很好的實施離不開企業文化的支持。而銀行操作風險管理文化則是操作風險管理的靈魂。對此哈爾濱銀行應積極培育自身的操作風險管理文化,堅持實施全員行動的風險管理理念和文化,唯有銀行以高標準的道德情操嚴格遵守各項規則,才能夠真正將風險控制與業務增長緊密的結合起來,從而減少運營操作風險。
參考文獻:
關鍵詞:商業銀行操作風險 ; 經濟模型;內控制度
中圖分類號:F830.33 文獻標識碼:A 文章編號:1006-3544(2009)05-0020-04
本文擬從成本―收益分析的經濟學視角出發,通過經濟模型的構建和解讀, 得出關于操作風險成因的解釋, 并在此基礎上提出完善我國商業銀行操作風險管理體系的建議。
一、經濟模型的構建
從邏輯上來講,并不存在放之四海而皆準的普適性模型, 任何經濟模型都是植根于某種特定條件并在該環境
中才是有效的。具體而言,首先在某種環境中找出一些具有共性的現象或關系作為參數, 再將所關注的該環境中的特定問題作為變量, 最后再根據數理邏輯關系將這些參數和變量組合到一個目標函數之中, 而一個或多個目標函數的組合便構成了與該環境相適應的經濟模型。就本文而言,模型所處的環境乃是我國商業銀行操作風險的實際情況和典型特征。總的來說,我國商業銀行面臨的操作風險主要是內部欺詐和外部欺詐,客戶、產品及業務操作等其他類型的操作風險所占比例很小。 具體而言, 我國商業銀行操作風險呈現出四個特點: 第一, 操作風險損失金額巨大, 單筆金額呈上升的趨勢, 且多存在于對公業務;第二,操作風險事故發案率逐年上升;第三,操作風險大多集中在基層分支機構;第四,銀行內部人員欺詐較多。 [1]
由上述操作風險的典型特征可知, 我國銀行業的操作風險集中體現為基層行領導和員工基于主觀故意的人為性內部欺詐。 這就是本文模型所處的特定環境。也就是說,模型中的潛在違規者是在這種環境的約束下應用“成本―收益”方法來權衡利弊得失從而最終決定做與不做以及做多少違規之事。需要指出的是, 任何違規行為的暴露事實上都是一個不確定性事件, 所以潛在違規者在對成本和收益權衡時考慮的并非現實成本和收益, 而是加入概率因素的期望成本和收益。換言之,潛在違規者考慮的是與違規行為相關的可能的損失和收益(即經濟學中的期望成本和收益),而這種可能的成本和收益就是用現實成本和收益各自乘上其相關概率p(違規被發現的概率)和(1-p)(違規未被發現的概率)得到的。
首先,為簡便起見,可以將特定環境中的諸種客觀因素化約到違規被發現的概率p之中,因為這些客觀因素如銀行的內控制度、審計制度、紀檢監察力度等與p其實屬于正相關的函數關系。例如,內控制度的完善最主要的目的和功能就是增大行員違規被發現的概率,從而震懾潛在違規者使其不敢違規。
其次, 將潛在違規者進行一次違規所導致的期望損失(或稱預期損失)及獲得的期望收益放到一個公式之中,從而得到其違規期望收益。分別以Y、R、(-L)來指代收益(違規所得)、銀行工作給其帶來的效用、違規被發現后的損失(刑法懲罰及銀行內部紀律處罰),這樣就可以得出潛在違規者一次違規所得到的凈期望收益,即NI=(1-p)Y-pR-pL。其中,(1-p)Y是指潛在違規者一次違規所得的期望收益,即其未被發現的概率和實際違法所得的數學期望值;-pR是指其銀行工作效用的期望損失, 即違規行為被發現的概率與銀行工作效用的數學期望值的負數; 而-pL則是指期望懲罰即違規行為被發現的概率與懲罰的數學期望值。
為便于分析, 可將上述充要條件轉化為同價的充要條件,即pR+pL>(1-p)Y。這個同價的充要條件告訴我們, 當違規行為的期望成本大于其期望收益時, 潛在違規者就打消了或根本不會產生違規操作的念頭,從而使銀行實現了最優控制目標,即X=0。
從模型中得出的上述結論應該說既符合“經濟人”假定,又經得起實踐和常識的檢驗。需要強調的是, 此處的成本是現代經濟學意義上的機會成本概念,它不同于傳統經濟學意義上的生產成本概念。簡言之, 機會成本就是你為了得到某種東西所必須放棄的東西。 [2] 從本質上來說,機會成本是行為選擇的成本, 因為當你選擇從事某種行為時, 你就不能從事另一種可行的行為, 而你放棄的這種行為便成為你的既定選擇的機會成本。于是,可以得出關于操作風險的基本命題: 銀行欲實現員工不違規的控制目標, 就必須促使潛在違規者的違規機會成本大于違規收益。 這一命題不僅能夠清晰地揭示出操作風險的形成機理,而且能夠在操作風險的治理上提供更為科學合理的“藥方”。具體來說,從公式pR+pL>(1-p)Y中可以看出,銀行員工是否選擇違規操作主要取決于p、R、L、Y四個變量相互作用所導致的“成本―收益”天平的傾斜情況, 而p、R、L等變量的大小又直接取決于銀行的操作風險管理制度,因此,通過考察銀行的操作風險管理制度便可以間接地了解到與之相應的操作風險程度, 更重要的是還可以通過完善相關的制度和措施來改變p、R、L的值, 從而達到有效降低銀行操作風險的目的??梢?潛在違規者用以權衡機會成本和收益的公式pR+pL>(1-p)Y中隱藏著關于操作風險的一切秘密, 只要以公式中的變量作為突破口便可以最終找到解開操作風險奧秘的鑰匙。
二、基于模型的三個核心命題
在上述公式pR+pL>(1-p)Y的兩端, 機會成本pL與收益(1-p)Y存在著相互對應的關系。 具體而言,在p、R等變量既定的情況下,當違規操作的收益Y超過了刑法規定的底線時, 公式右端的Y越大,刑法對違規者的相應處罰就越重, 即公式左端的L相應增加,從而基本抵消了Y增大的效應。同樣地,即使違規操作尚未達到違法程度, 銀行內部的紀律處罰也會隨著Y的增加而增加,從而使“機會成本―收益”天平兩端的砝碼重量不會發生實質性變化。加之銀行的制度和措施并不能有效地調控變量Y, 所以完全可以將變量Y視為既定, 而僅僅考察其他三個既具可操作性又具重要性的變量。鑒于此,我們可以通過進一步地對公式pR+pL>(1-p)Y移項及合并同類項而得出另一個同價公式,即p(R+L+Y)>Y。在新公式中,由于變量Y是既定的,因此,能夠決定公式成立與否的變量就只能是左端的p、R和L了,而且p、R、L的增加都能獨自或共同保證充要條件的滿足。也就是說, 銀行只要能夠通過內部管理制度的改進使違規被發現的概率、 銀行工作收益及違規處罰額度都變大,那么銀行的操作風險就會實現有效的、實質性的降低。推而廣之,通過對公式p(R+L+Y)>Y的考察可以得出關于操作風險的三個核心命題。
第一,變量p對于公式的成立與否起著至關重要的作用,因而它是理解和控制操作風險的基本工具。p在公式中的重要性主要體現為:它是一個乘數從而能夠使機會成本得以成倍地擴大或縮小, 而機會成本端砝碼重量的猛烈變化又必然導致天平傾斜方向及程度的相應變化。客觀地說,當前我國商業銀行操作風險管理制度和措施中的絕大多數在本質上都是針對p這個中間變量的,盡管很多商業銀行自身并未認識到這一點, 它們只是籠統地認為那些制度和措施是通過威懾作用來降低操作風險的。實際上,作為我國銀行操作風險管理的主要工具, 無論是操作風險責任制、操作風險報告制、內部審計制、垂直的風險管理制,還是基于高科技的業務信息系統、高強度的紀檢監察系統甚至外部的監管和監督系統, 都無非是為了盡快、 盡可能地發現員工的違規行為, 即提高違規發現概率p。 提高后的p值會大大增加潛在違規者的機會成本, 潛在違規者通過對違規操作的機會成本和收益的權衡會發現機會成本遠大于收益,從而放棄違規行為??梢?上述以p值調控為中心的邏輯鏈條正是銀行操作風險管理制度和措施發揮威懾功能的內在機理。毋庸置疑,我國銀行業未出現違規事件大面積爆發的現狀從反面證明了我國銀行業的制度和措施已經使p值達到了比較高的位置。不過,p值并不能無限升高至其極限值1。 筆者認為,隨著上述操作風險管理制度和措施的不斷加強和完善,p值也會隨之升高,但p值上升的速度卻會不斷趨緩直到達到某個最高值(如0.7)便終止其上升勢頭,而導致p值上升速率趨緩并終止的根本原因是管理者與潛在違規者之間客觀存在著的信息不對稱。 根據知識論理論, 潛在違規者的違規行為是其在特定的時間從事的特定行為, 它本質上屬于特定知識或信息,而這種特定的知識或信息屬于違規者個人,其他人(包括風險管理者)根本無從知曉,于是就可以說違規者和其他人之間存在著信息不對稱。 由于潛在違規者隨時都可以做出管理者無從知曉的某種違規行為,因此,管理者和潛在違規者之間的信息不對稱可以說是普遍存在的,它無時不在、無處不在。顯然, 這種客觀存在的嚴重的信息不對稱就像茫茫黑夜遮擋住了管理者的視線,或者更確切地比喻為,信息不對稱狀況下的管理者就像“躲貓貓”游戲中被黑布蒙上雙眼的人,任憑你如何努力,你也無法洞察那些躲閃你的人的所有行為。所以說,不能僅僅指望通過提高p值來一勞永逸地解決操作風險問題, 因為p值在信息不對稱所設置的重重障礙下終究會停下上升的腳步。此時,要想繼續解決操作風險問題,就必須把目光轉到另外兩個變量即L和R的身上。
第二, 由懲罰而導致的損失L屬于潛在違規者的機會成本的重要組成部分, 因而它也成為影響操作風險的重要因素。在p值既定的情況下,L值越大,潛在違規者的機會成本―收益天平的左端砝碼就越重, 其違規操作的動機就越小, 從而銀行的操作風險也就相應得以降低,因此,銀行可以通過對L值的調控來進行操作風險管理。需要指出的是,L值一般由兩部分組成,一部分是刑法懲罰所導致的損失,包括罰金、喪失自由所造成的精神損失等,另一部分則是銀行內部處罰所導致的損失。 我們此處所說的L值是指后者,它主要由經濟處罰、行政處分、解除勞動合同等所造成的損失構成。不可否認,基于L值的管理制度在有效降低銀行操作風險方面的確起著舉足輕重的作用, 但是這種制度卻存在著結構性缺陷。進而言之, 基于L值的管理制度只能適用于一般性違規行為的預防, 在涉及違法的違規行為的預防時,它就喪失了威懾功能,因為對嚴重違法行為的威懾主要依靠的是刑法的懲罰, 而潛在違規者在對嚴重違法行為的“成本―收益”權衡時,早把銀行的內部懲罰拋在了腦后。換言之,在嚴重違法行為的預防上, 刑法懲罰的威懾功能將銀行內部懲罰的威懾功能完全涵蓋, 從而使得銀行基于L值的管理制度歸于無效。于是,在p值已無法繼續提高,基于L值的管理制度在嚴重違規案件的預防方面又歸于無效時,就只能依靠對機會成本R的調控了。
第三,R是潛在違規者的違規機會成本的主要組成部分, 從而對R的調控成為銀行化解操作風險尤其是嚴重違規操作風險的最有力武器。 由于我國銀行業和理論界都是從如何威懾潛在違規者入手來理解和運用操作風險管理的, 因此注意力都集中到如何加強和完善操作風險管理體系, 以最大限度地提高p值和L值。毫無疑問,在操作風險的傳統的威懾視角下,R的意義、 作用以及如何調控R值自然成為盲點, 而對R的無視也讓我國銀行業付出了沉重代價。 近年來我國銀行業雖然在操作風險管理方面付出了很多精力, 但重大違規事件仍此起彼伏,層出不窮,這無疑從側面證明了銀行業基于p值和L值調控的操作風險管理體系存在著系統性漏洞。 可見, 要想在操作風險管理方面實現實質性突破, 就必須拓展視界,獨辟蹊徑,從“成本―收益”權衡的經濟學視角來重新審視操作風險問題。R, 簡單地說, 就是銀行員工的未來所有預期工作收入或效用的折現值。對R而言,最重要的并不是當前收入,而是銀行員工對未來的預期, 因為根據理性預期學說, 理性人通常是根據其對未來的預期來做出決策的。因此,要想提高R值,不僅需要提高員工的現實收入, 更重要的是要為員工的職業生涯打通上升的通道。也就是說,盡管員工的當前收入較低,但只要能夠預期他經過自身努力就可以沿著職業路徑持續、平穩地順利前行,那么,他的R值就會高到足以抵御任何大額違規收益的誘惑。由此可見,商業銀行人力資源部門針對所有員工實施職業生涯規劃在提高員工的R值, 從而徹底根除重大違規事件方面起著舉足輕重的作用。當然,除了物質收入之外,同事之間的關心、 領導的關愛以及不斷進步的喜悅等精神上的快樂也是構成R值的重要因素。因此,良好的企業文化建設在提升R值從而有效降低操作風險方面也是大有可為的。
三、經濟模型的啟示
根據由模型引出的三個核心命題, 可以圍繞著p值、L值和R值來探尋導致我國商業銀行操作風險困境的具體原因,并以此為突破口對癥下藥,找出破解操作風險之患的良策。
第一,就基于p值的操作風險管理而言,雖然我國銀行業已經建立了功能齊備、結構完整的操作風險防控體系,但該體系在實踐中的表現卻不盡人意。究其原因, 主要在于我國商業銀行仍沉溺在主要從全局發展、戰略高度及大處著手等方面思考問題,對于“在一切有序的情況下,決定成敗的必將是微若沙礫的細節” [3] 的觀念尚缺乏深刻認識。毫無疑問,這種忽略細節、大而無當的粗放式防控體系大大阻礙了p值的提升,進而導致傳統操作風險管理體系的威懾效力大打折扣?!疤┥讲痪芗毴?故能成其高;江海不擇細流,故能就其深”,所以,我國銀行業要想進一步提升p值, 從而使防控體系的威懾功能最大化,就必須擺脫過去那種粗放管理的防控模式, 從小處著手,以細節成就完美。鑒于此,我國銀行業應該從制度、 執行和技術等三個層面來進行操作風險防控體系的邊際改進。首先,我國商業銀行在制度層面上的邊際改進應體現在如下七個方面:(1)建立健全操作風險度量和監測機制;(2)強調后臺的監管職能;(3)建立對重要崗位和敏感環節人員的監控制度;(4)完善會計核算控制制度;(5) 建立防控制度執行監管機制;(6) 建立各風險管理部門間有效的分工合作機制;(7)完善商業銀行內部審計制度。其次,我國商業銀行在執行層面上的邊際改進應體現在如下四個方面:(1)必須引進一些操作風險的專業人才;(2)制定行之有效的激勵機制;(3) 經常進行員工的思想教育;(4)提高內部審計人員素質。最后,我國商業銀行在技術層面上的邊際改進應體現在如下兩個方面:(1)加大電子信息系統建設;(2)加強計算機技術和網絡技術在內部審計中的應用。
第二,就基于L值的操作風險管理而言,我國銀行業在與L值相關的違規懲罰方面雖然規定得極為明確和嚴格,但L值的威懾功能在實踐中卻往往因不合理的業務流程而大打折扣。 正如郭樹清所指出的:“過去很長一段時間內, 我們過分重視編寫制度條例,各級機構和每個環節‘層層加碼’,比如有的交易要客戶按十幾個手印,簽幾十個名。這種做法看似很安全,但實際上并不能真正達到目的。近年來,我們不斷對主要業務流程進行優化, 找出關鍵的風險點,取消不必要的控制環節,在方便客戶的同時又加強了風險控制?!?[4] 這實際上也從側面印證了業務流程優化與操作風險的正相關關系, 即業務流程設計得越合理,員工違規操作的概率就越小,銀行的操作風險也相應變小。顯然,為使L值在實踐中恢復其既有的威懾功能,我國銀行業有必要圍繞著“以客戶為中心” 的理念來進行業務流程的優化設計。 具體而言,應重點做好如下三方面的工作:第一,從價值鏈分析入手,突出核心業務流程;第二,以客戶為中心,流程設計體現差別和柔性要求;第三,優化業務處理流程,提高業務工作集約化程度和反應速度。 [5]
第三,就基于R值的操作風險管理而言,我國銀行業應把提高R值的努力集中于職業生涯管理和企業文化建設之上。當然,上述兩項制度建設在實踐中能否起到提高R值進而有效降低操作風險的作用,最終取決于它們是否彰顯了以人為本的理念。 因為任何違規操作事件都不是一個偶然的孤立的存在,它實際上是操作風險由小到大不斷累積直至最終爆發的必然結果,正所謂“冰凍三尺,非一日之寒”,而惟有秉承以人為本理念的職業生涯管理和企業文化建設才能真正溫暖銀行員工的心, 進而將操作風險的“寒冰”融化。首先,R值在本質上乃是一種預期,可以說,就基于R值的操作風險管理制度而言, 預期比黃金更重要。 根據國外先進銀行的成功經驗, 職業生涯管理中對銀行員工的預期影響最大的是職業通道的設計, 而與職業通道設計配套的人力資源制度以及分階段職業生涯管理制度也從不同層面上影響著銀行員工對未來收入的預期。因此,我國商業銀行應該以職業通道設計為主、 以分階段職業生涯管理和相關人力資源配套制度為輔來設計以人為本的職業生涯管理制度。毫無疑問, 透明順暢的職業通道以及完善的配套措施將點燃員工心中對美好明天的向往和渴望, 從而使他們的心靈時刻沉浸在溫暖的氛圍之中。人心暖了,操作風險“堅冰”自然也就融化了。其次, 良好的銀行企業文化能夠通過滿足銀行員工的尊重需求和自我實現需求使其無形中獲得可觀的非物質利,從而使員工違規的機會成本大增, 進而將員工的違規風險從源頭上予以清除。比如,日常工作中銀行領導對員工的關愛就如春風化雨, 在不經意間便把員工偶爾迸發的違規操作的沖動火花澆滅;而公開、公平的良性競爭環境以及和諧友愛的工作氛圍也會使銀行員工的內心溫暖如春,操作風險“寒冰”自然無法結成。故此,為了有效降低操作風險,我國商業銀行應秉持著以人為本的理念來努力加強銀行企業文化的建設。
綜上所述,為了破解操作風險之患,我國商業銀行就必須堅持兩手抓,即一手抓外部防控,要給違規者布下“天羅地網”以使其不敢違規;一手抓內部激勵,要為合規者勾畫美好未來以使其不愿違規。進而言之, 我國銀行業操作風險管理的基本路線應該是一方面繼續完善外部防控制度, 另一方面大力推進內部激勵體系建設,并使二者相輔相成,有機統一于操作風險管理體系之中。惟有如此,才能夠構建一個監督與激勵一體、 震懾違規與溫暖人心齊備的以人為本的科學的操作風險管理體系。
參考文獻:
[1]李志輝. 巴塞爾新協議與商業銀行操作風險管理[J]. 南開經濟研究,2008(3).
[2]N.格里高利?曼昆. 經濟學原理 (第4版)[M].北京:北京大學出版社,2006:3.
[3]汪中求. 細節決定成敗[M].北京:新華出版社,2004:23.