關於我國銀行操作風險管理論文
關於我國銀行操作風險管理論文
長期以來,社會各界對銀行業的風險管理都聚焦於信用風險和市場風險,而對操作風險並未予以足夠的重視,對其認識和管理都處於較低水平。然而,隨著金融管制的放鬆、銀行經營業務範圍及產品的多樣化和複雜化,操作風險的破壞力和影響力愈發顯現,對其研究和管理也迫在眉睫。在此背景下,2004年的巴塞爾新資本協議規範了操作風險的定義①,並提出操作風險的最低資本要求,為各國銀行業加強操作風險管理敲響警鐘和提供指導;中國銀監會於2007年6月釋出了《商業銀行操作風險管理指引》(以下簡稱《指引》),為加強銀行業操作風險管理、推進完善銀行業公司治理結構、提升風險管理能力提供指導。
一、我國銀行業操作風險危機四伏
受舊體制等不利影響,我國銀行業面臨著嚴重的操作風險。表1列示了近年來部分銀行操作風險事件。
透過綜合分析我國銀行業操作風險損失事件,其具有的特點主要有:
1.操作風險主要形式是欺詐①。欺詐包括內部員工的欺詐、外部人員的欺詐以及內外部勾結的欺詐,其中內部員工欺詐和內外部勾結的欺詐是我國當前存在的主要形式,並且這種型別的損失事件一旦發生,就具有單筆損失金額大和社會影響力大的特點。
2.操作風險大都發生在基層分支機構,且與上層機構的控制力負相關。我國銀行的業務運作大多數集中在基層機構,總、分行則更偏重於行使管理職能,當分支機構距離較遠、受到的監管較弱時,分支機構的一些違規操作就不易被發現,操作風險發生的可能性就更大。
二、我國銀行業操作風險的影響因素
目前,我國銀行業普遍存在內部控制制度不完善的問題,這是導致操作風險頻發的最主要原因。我國銀行業內部控制不健全性主要表現在:
1.操作風險管理意識薄弱。目前,我國銀行業的主營業務仍以信貸為主,因此銀行風險管理的焦點都集中於信用風險,而對於操作風險,從管理層到基層員工對其管理的意識都有待於提高。
2.操作風險專業化管理部門缺位。我國絕大多數銀行均未設立獨立的專業化的操作風險管理部門,對其管理主要是依靠非專業部門負責,以定性管理為主,主要依賴專家的主觀判斷,缺乏科學和專業的管理。此外,根據巴塞爾新資本協議,用於計算監管資本的內部操作風險計量法,必須建立在對內部損失資料至少5年的觀察基礎上,而我國由於缺乏資料,很少採用定量分析控制操作風險的科學方法。
3.分行制的組織形式不利於監管。我國銀行主要採用分行制,該體制下的直線管理職能削弱了內部控制的力度和有效性,各層次的負責人橫向權利過大,為操作風險的孕育提供了空間。
4.管理體系不完善。我國銀行業普遍存在管理層次多而繁雜,各層次權責不清,缺乏相互制衡、權責明晰和相互獨立的管理體系,容易出現管理的真空地帶和重複低效管理。
5.管理制度不健全。我國銀行業風險管理所需的制度建設不健全,現有的制度大都流於形式,存在不切實際、難以執行的問題,此外,仍有部分正常經營所必備的規章制度缺位,導致管理盲點的存在。
三、完善我國銀行業操作風險管理體系
由於我國銀行業對操作風險的重視長期不足,導致銀行對操作風險的管理長期處於低效率和不足的水平。因此,克服各種不利因素,及時建立完善的操作風險管理體系,具有重要的現實意義。銀行操作風險管理和內部控制在內容、物件和範圍上有著密切的聯絡,因此健全內部控制機制的形成有助於銀行操作風險的高效管理。本文結合COSO委員會關於內部控制五要素的闡述和銀監會發布的《指引》,設計一套適合我國銀行業操作風險管理的體系。
COSO委員會所述的內部控制包括五要素:控制環境、風險評估、控制活動、資訊與溝通和監控,以下分別從這五方面構建操作風險管理體系。
(一)控制環境
控制環境是指對建立、加強或削弱特定政策、程式及其效率產生影響的各種因素。控制環境塑造企業風險管理文化,影響銀行內部各成員的風險意識,關係著風險管理控制制度的貫徹和執行。
《指引》指出,操作風險管理需要創造一個良好的控制環境。首先,銀行董事會應充分了解本行的主要操作風險所在,把它作為一種必須管理的主要風險類別,努力促進這種公司文化的'建立,並且提供充足的資源支援在各職能部門實施操作風險管理,還應當把操作風險管理納入到業績評估程式中,強調風險管理為銀行關注重點。其次,應建立一個能夠有效執行操作風險管理框架要求的組織架構,該組織架構應明確界定各職能部門的責權關係、上下級報告關係,並且制定嚴格的監管審計制度。最後,應根據本行對操作風險的承受能力,制定規範的操作風險管理政策,該政策應對存在於本行各類業務中的操作風險進行界定,列明本行操作風險的具體構成,應明確識別、評估、監測與控制操作風險所應依據的原則、政策和方法。
(二)風險評估
風險評估是指操作風險管理部根據職能部門的資訊,識別、量化和分析相關風險以實現既定目標,從而形成操作風險管理的核心內容。風險評估系統包括以下三個子系統:
1.風險識別子系統
風險識別子系統的作用是將操作風險進行定義和分類,它的主要部分是“知識庫”。“知識庫”是一種風險對映,將職能部門的業務與風險類別之間建立對應關係。具體來說,“知識庫”將銀行業務分為若干個風險檔次,並將所有的業務歸類到相應的風險檔次之中,並存儲在資料庫的相應位置。
2.風險計量子系統
風險計量子系統由“模型庫”和“預警庫”組成。該系統在初步識別原始資料的基礎上,利用“模型庫”中的風險計量模型對風險進行量化,將定性的操作風險數字化。其中風險計量模型利用數理統計方法量化銀行操作風險,“模型庫”再將風險計量模型計算機程式化,即編寫計算機軟體以實現風險計量模型的功能。而“預警庫”則是預先在系統內設定的不同職能部門的市場風險限額指標,在“模型庫”計算出風險值之後,“預警庫”就可以對實際風險承擔與預先設定的風險限額自動比較,若發生超限額的情況,“預警庫”會將該資訊同時反饋到風險評價子系統中,實現實時風險監控的功能。
3.風險評價子系統
風險評價子系統主要提供風險彙總報告,並對各職能部門風險承擔狀況進行評價,為風險管理決策層提供支援。“報告庫”針對經“模型庫”風險計量子系統測量的風險結果,根據指定的報告模式進行綜合彙總,為管理層提供銀行風險的資料。“評價庫”是對綜合報告進行的深入分析,透過對具體風險的分析評價,提出風險改進意見。
總的說來,風險評估系統中,風險識別子系統歸類操作風險,風險計量子系統量化操作風險,評價子系統評價並報告操作風險。這一系列活動的完成,關鍵在於設計出一整套計算機程式以實現上述幾個子系統的功能。我國銀行應當根據本行業務的特點,設計出自己的風險管理程式,或者直接從專業公司引進成熟又適合自身的風險管理系統。
(三)控制活動
控制活動是指那些有助於管理層決策順利實施的政策和程式,主要包括明確銀行各部門的職責、對各部門活動的控制和對偏離授權的行為進行調整。
首先,《指引》明確規定了各組織層次在操作風險管理系統中的職責,以便整個系統有條不紊的運作,各層次的職責具體為:銀行高層負責制定操作風險管理的戰略和總體政策;風險管理委員會建立風險管理的操作方法;各職能部門具體實施。
其次,對各職能部門活動的控制分為兩個層次:第一個層次是各職能部門,應定期向負責操作風險管理的部門通報本部門操作風險管理的總體狀況,及時通報重大操作風險事件;第二個層次是操作風險管理部門應當提供風險預警指標,將風險限額建立在各業務部門的不同的層面,然後為每個關鍵風險指標設定門檻值,一旦風險值超過門檻值則啟動預警系統。
最後,操作風險部門應當對於超過門檻值的採取必要的整改措施,及時修正執行中的偏差。
(四)資訊與溝通
各職能部門的資訊溝通是整個操作風險系統的基礎,系統的資料來源於各職能部門。只有將資訊及時有效地傳遞給操作風險管理部,才能及時進行資訊分類。《指引》規定,職能部門應當根據統一的操作風險管理評估方法,建立持續、有效的操作風險報告程式,從制度上建立有效的資訊和溝通機制。此外,《指引》要求建立案件查處和相應的資訊披露制度,透過對案件查處的資訊披露有良好的警示作用,對案件的及時總結能有效地避免同類風險事件的發生。
(五)監控
監控的核心在於監控的制度性和監控的獨立性。《指引》規定,監控的制度性建設要求風險管理委員會應當建立指向清晰的定期監控體系,清晰的監控系統可以明確監管者的責任範圍,而定期監查行為有利於快速發現並且糾正操作風險。監控獨立性依靠操作風險管理部與其他職能部門相對保持獨立,不能存在從屬關係,應當受董事會或其下屬的審計委員會直接領導。
與此同時,銀行還需要對其內部監管人員進行嚴格培訓,使其對銀行各項業務活動和崗位責任的執行情況依據相關制度標準進行監控,及時預見潛在風險並極力阻止其發生,實現銀行操作風險的有效管理。