对我国商业银行操作风险管理的思考,本文主要内容关键词为:商业银行论文,风险管理论文,操作论文,我国论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、操作风险管理的基本思路:以德意志银行为例
操作风险是指由于不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。(注:巴塞尔银行监督委员会:《巴塞尔新资本协议》,中国金融出版社2004年版。)巴塞尔委员会尽管在《操作风险的管理与监管的稳健做法》中提出了十条指导原则,但考虑到操作风险比信用风险和市场风险更加变幻不定,很难利用单一的一套制度来管理,巴塞尔委员会仍给商业银行较大的灵活空间,允许、鼓励商业银行根据自身经营特点和内部控制体系自主开发操作风险计量系统,不断改进、完善操作风险管理方法。目前,国际银行业对操作风险管理尚处于探索阶段,笔者以德意志银行为例,分析他们是如何将十条原则“本土化”的。
(一)高层要对操作风险的定位达成共识,注重营造良好的操作风险管理氛围
面对监管、经营和竞争环境的变化,德意志银行高层认为,操作风险属于一种独立的风险形式,与信用风险和市场风险同等重要,有效管理操作风险对保持银行安全、稳健经营具有重要意义。他们将操作风险统一纳入全行的资本和风险管理体系,使操作风险管理覆盖全行所有的运营层面和业务领域。他们注重向全体员工灌输操作风险意识,明确管理操作风险不仅是内部控制和审计部门的责任,更是每个业务部门、每个业务单元和每位员工的责任,努力使操作风险观念贯彻于全行每个人的思想和行动之中(注:郑先炳:《感悟海外银行》,中国经济出版社2002年版。),营造有利于操作风险管理的银行文化。
(二)确立符合银行整体发展战略的操作风险组织架构和管理体系
1.建立健全操作风险决策系统。德意志银行实行双层董事会制度(注:http://www.db.com.),监督董事会和管理董事会负责制定操作风险管理战略和政策,并根据各自的职责对操作风险管理负责。
监督董事会职责:①规定操作风险定义。德意志银行根据本行业务结构及运作架构,将操作风险定义为由于员工失误、项目管理缺陷、合同条款纠纷、技术系统故障、固定资产损坏、自然灾害、外部事件冲击和客户关系恶化等原因而使银行遭受的损失。其中包括法规和监管风险。②制定操作风险管理战略。明确全行风险偏好和对特定风险的承受能力,指出可承受的风险类型,确定识别、评估、计量、监测、控制和转移操作风险的指导原则和方法。③定期评估操作风险组织和管理架构,确保对由市场和其他经营环境变化以及新产品、新系统、新业务活动所引起的操作风险进行有效管理。④向管理董事会提供有关操作风险管理框架的指引,审批管理董事会确定的操作风险管理策略。⑤确立操作风险责任体系。对操作风险专职控制部门、市场开拓部门、业务支持部门的操作风险管理职责和操作风险信息报告渠道进行区分和界定。⑥任命操作风险官员,向审计师签发审计命令,规范本行内部和外部审计活动等。
管理董事会职责:①按照监督董事会批准的操作风险管理架构,制定主要产品、业务、流程和系统操作风险管理政策、制度和流程。②确保操作风险管理政策准确地传到可能发生操作风险的每个部门和员工,明确各级员工在操作风险管理中的具体责任,保证操作风险监控人员独立地开展工作。③建立操作风险管理责任体系,制定银行内部各个管理层次操作风险的管理职能、责任和信息报告路线。④保证管理信用风险、市场风险、操作风险和其他风险的人员能够保持有效沟通,避免风险管理漏洞和重叠。⑤保持薪酬政策与银行的风险偏好相一致。
设立操作风险委员会和首席操作风险管理官。操作风险委员会成员包括部门操作风险控制官、业务部门和“管理中心”(指法律、审计、风险控制等不直接从事业务操作,只负责对业务系统进行管理和控制的部门)的代表。首席操作风险官作为操作风险管理的责任人,担任操作风险委员会主席,并作为集团风险委员会的成员,负责操作风险管理架构具体设计和评估,直接向集团首席风险官报告。同时,作为独立的操作风险管理体系的组成部分,各业务部门的操作风险控制官直接向首席操作风险官汇报工作。
2.完善操作风险管理执行系统。德意志银行建立了以专职操作风险管理部门为主体,业务部门和“管理中心”统一协调、分工负责、职责清晰、相互配合的操作风险管理组织体系。操作风险专职管理部门职责为:①建立操作风险管理框架,制定操作风险管理的具体策略和标准,明确管理和报告操作风险的任务和责任。②协调、指导、评估、监督各业务部门、支持部门的操作风险管理活动。③评估操作风险。④与信用风险和市场风险管理部门以及审计部门保持沟通,设计和开发本行统一的操作风险管理工具。⑤定期向高层汇报操作风险及管理情况。各业务部门承担识别、评估、管理、转移和管理操作风险的第一责任。每个业务部门、每个业务单元都分别设有操作风险经理和操作风险控制官,在操作风险管理部门支持下,负责执行本行的操作风险管理政策,制定本部门所辖各项业务的操作风险管理制度和流程,作为全行操作风险管理政策的补充,并自觉接受管理层的评估。在组织、业务管理上,根据“风险管理独立于业务部门”的原则,这些分散于各业务部门的专职人员行政上属于业务部门,但在业务上则属于操作风险管理部门派驻业务部门的人员,直接对操作风险管理部门负责,直到首席操作风险官,形成一个自下而上、逐级负责、垂直运作的风险管理和报告系统。
(三)建立周密的操作风险识别、计量、缓释、监控和报告流程
1.识别、评估和计量操作风险。按照操作风险定义,从引起操作风险的原因入手,识别各业务线和管理环节可能存在的操作风险类别及风险点,评估其可能的影响并明确风险标识。根据全行风险管理能力和风险偏好,对已经识别的风险,决定是否需要采取措施来控制和转移这些风险,或决定承担这些风险。并根据操作风险信息,选择适当的模型进行风险计量。
2.缓释、管理操作风险。德意志银行管理操作风险的基本方法主要有实行岗位职责分离、推行“四眼原则”、定期对员工进行教育和技能培训、制定应急计划、编发业务操作手册、对业务发展异常情况进行及时跟踪检查、购买保险等。在此基础上,德意志银行开发了四套应用系统。①“德意志风险图”(db—RiskMap)。利用此系统进行操作风险自我评估,及时掌握各业务线、业务部门和“管理中心”操作风险整体情况,据此监督风险管理活动的进度和效率。②“德意志事件报告系统”(db—Incident Reporting System)系统。利用此系统收集、积累各分支机构操作风险发生情况及损失数据,为计量操作风险、建立操作风险数据仓库和计量模型提供基础。③“德意志记分”(db—Score)系统。利用此系统识别和监控有关操作风险的定性和定量指标变动情况,以管理业务流程和信息系统安全风险。④“德意志跟踪”(db—Track)系统。利用此系统确定操作风险管理要点,并从动态角度,对需要重点管理的操作风险关键点及管理效果实施监控。利用这些系统,高层可以较全面地把握操作风险基本情况,及时调整风险管理策略。
对于一些特殊的操作风险,德意志银行也进行了探索。如针对计算机系统运行风险,根据德国法律和监管部门的要求,德意志银行对整个银行计算机软件的安全性、可靠性和稳定性进行审计认定,同时,为阻止外部计算机病毒的侵害,实行银行内外部计算机网络分开,对业务数据每天在不同地点进行备份。
3.监测和报告操作风险。为及时发现和纠正管理漏洞,控制操作风险发生频率,减少财务损失,德意志银行对操作风险状况和操作风险敞口实行即时持续监测,并设置了一系列监测指标来反映操作风险管理有效性,如违规违纪事件、客户投诉次数、系统故障次数及持续时间、财产损失金额、银客对账差错率等。他们还设计操作风险预警指标,如业务快速增长、新业务推广、员工流失、交易中断情况等对操作风险进行预警,以使银行能及时发现操作风险关键点,并采取恰当管理措施。操作风险管理部门、业务部门、“管理中心”和内部审计部门定期向董事会和高级管理层报告,报告内容包括银行面临的主要操作风险、重大操作风险事件、外部与操作风险相关的信息等。
德意志银行操作风险管理的特色是:操作风险管理是一个长期的、不断探索和总结完善的过程,要注重操作风险控制文化的培育;要有明确的操作风险定义,明确管理重点,增强针对性;操作风险管理架构的设计要与银行治理结构各组成部分相融合,操作风险管理不能仅局限于内部控制范围;注重信息技术在操作风险管理中的应用。
二、我国商业银行操作风险管理的现状和问题(注:如无特殊说明,本文主要以工、农、中、建四大行为研究对象。)
(一)我国商业银行操作风险管理现状
我国商业银行真正关注操作领域的风险是从上世纪90年代中后期治理违法违纪行为开始的。如工商银行在1997年发布了“十大禁令”,严禁账外经营、高息揽存、超规模放贷、虚假核算贷款业务、挪用信贷资金进行股票期货交易、会计财务报表作假、越权拆借资金和对外提供担保、隐瞒重大案件事故等违规行为,对违反者,一律撤职或开除,并追究上一级行领导责任。2002年,央行发布《商业银行信息披露暂行办法》,明确规定商业银行必须向公众披露操作风险状况。同时,受我国加入WTO和《巴塞尔新资本协议》影响,商业银行对操作风险重视程度有了一定的提高。下表所示的情况基本上反映了我国商业银行操作风险管理的现状(注:中国工商银行、中国建设银行和中国银行2003年度报告。)。
从此表可以看出,目前我国商业银行管理操作风险的方法主要有授权、流程与制度控制、法律审查、稽核监督、保险、考核评价等。应该说,这些措施对控制操作风险发挥了一定的作用,但由于理论准备和实践经验不足,对操作风险尚处于学习认识阶段,在风险管理理念、思想和工具等方面与国际银行业有较大差距,关注程度和投入有限,管理方法比较初级,主要依靠定性管理,未与资本配置挂钩,距离模型化计量管理阶段还很远。总体上说比较薄弱,突出问题表现在:
1.尚未建立起较为完善的操作风险管理架构。对于操作风险的管理只是在部分风险点上有所突破,未设立专门的操作风险管理职能部门,操作风险管理战略和政策不明确,风险标准不统一,风险偏好和容忍度不清晰,没有一整套操作风险定义、识别、监控、转移等管理系统。对同一类型的操作风险,即使在同一银行不同分行做法也各不相同,表现出较强的随意性和自发性。操作风险管理层次低,过于分散,责任主体不明确,主要由各行业务部门按照本部门的理解和工作目标进行管理,缺乏信用风险、市场风险和操作风险信息沟通机制。
2.操作风险信息透明度低。由于政府高层和社会各界对商业银行发案情况格外关注,各行普遍将依法合规经营纳入分支机构负责人经营目标责任制考核,并与各种资源分配挂钩,“发案率”对各级行管理层是一个十分敏感的指标,在某种程度上其重要性甚至超过利润指标。各级行出于各种考虑,对大量损失较小的操作风险采用了“就地消化”的策略,对损失较大的风险在上报时也要进行“过滤加工”,从而形成了一种独特的“隐瞒文化”,使得决策层难以真正了解操作风险真实情况,特别是那些尽管造成损失较小、但性质严重的操作风险,由于信息在银行内部不能及时、全面上传,结果失去了较早采取管理措施的机会,导致同一银行在同一个地方多次被绊倒。
操作风险定义 主要管理措施
(1)健全规范授权授信管理;(2)对发展较快的电子银行等业务开展专项稽
工 由于内部控制和公司治理存在的
核;(3)启用财务授权管理系统,对有关财务事项进行指标控制和授权控
商 问题,员工业务操作中违规违纪
制;(4)开展全行信息系统安全生产管理检查,加强对防毒、防黑监控系统
银 以及信息管理系统由于自身或人
的管理;(5)对部分分行统计制度执行情况进行抽查;(6)推广会计监测系
行 为因素导致的风险。统,实现事后监督对各营业网点内部账户余额的自动监控管理;(7)成立稽
核监督委员会,建立内控评价和整改制度;(8)撤并分支机构等。
由于内部流程、人员和系统的失败
(1)实行有限授权管理;(2)对违规违纪行为进行追究和处分,建立严格
建 或不充分,或由于外部事件而导致
的问责制度;(3)建立健全内部监控系统以确认、监控和报告主要风险;
设 直接或间接损失的风险,如欺诈、
(4)推动全行风险文化建设,加快风险经理队伍建设,通过制度化岗位培
银 未经授权交易、操作失误、疏忽、低 训和上岗考核,提高全员风险意识;(5)在法律事务部设立反洗钱处,加
行 效、系统故障或其他外部事件均可
强反洗钱工作;(6)对所有业务及主要后台运作均设立后备系统及紧急
能导致潜在的经济损失。
业务复原方案;(7)投保以减低特定运营事故可能造成的损失等。
(1)整合信息系统,信息中心数量由2001年的1040个整合为2003年的8
个,其中国内5个,境外3个;(2)整合业务流程和管理流程。逐步推进扁
中 由于内部流程、人员或者系统的
平化管理和前、中、后台分离,减少管理层次,实现后台处理的集约化操
国 错误和疏漏、欺诈事件或地震、火
作,中台管理职能的集中化运行;(3)加强内部稽核。定期或不定期对各
银 灾、传染病等自然灾害给银行带
个机构进行现场和非现场稽核,对内控制度建设和执行情况进行监督;
行 来的直接或间接的损失。
(4)建立突发事件管理办法;(5)针对特殊风险,积极寻求第三方的帮助
以降低风险,如对固定资产及大型IT设备购买火灾意外保险。
3.操作风险管理来能实现全覆盖。突出问题是产品创新管理混乱,缺乏面向市场的产品管理组织框架,新产品开发评估论证一申报审核一研究设计一完善内控一成熟移交一形成品牌的创新流程尚未建立,新产品管理政策政出多门,多头开发,多头审批,各业务部门、各专业都可以开发本专业、本部门的产品,甚至出现内部竞争,部分产品投产前就存在先天不足的问题。
(二)我国商业银行操作风险产生的特殊原因
1.经营规模太大。这不光是指资产规模大,也包括分支机构数量多、员工队伍庞大、部分业务市场占比过高,操作风险点过多和管理跨度过宽。如工商银行,截至2004年末,该行拥有各类机构2.1万家,员工37.8万人,总资产占比18%、存款占比20%,贷款占比19%。仅储蓄所主任以上分支机构“一把手”就有2万多人,在统一法人体制下,要让他们按统一法人意志去管理市场占比如此之高的业务,已成为一个世界性难题,仅靠提高管理水平已不能及。
2.违规经营、道德风险和金融腐败现象严重。我国商业银行是一个多级委托代理组织体系,银行管理层缺乏追求盈利和长远发展的内在动力,存在较为严重的内部人控制问题,道德风险和违法违规问题严重。在1990—2003年被媒体曝光的操作风险中(注:樊欣等:《从媒体报道看我国商业银行操作风险状况》,《管理评论》2003年第11期。),发现操作风险最常见的形式是内部欺诈、外部欺诈和内外勾结,而且隐蔽时间较长,财务损失较大,单笔损失最高5.3亿元,最低2500元。银行内部控制的控制力度随着人员职位的升高而减弱,对分支机构领导约束力不强,部分管理者处于上级管不到,同级管不了,下级不敢管的失控状态,导致重大丑闻和案件不断出现。各级行领导短期行为严重,有的分支行行长为拓宽升官渠道,用贷款讨好地方政府等。基层员工受自身素质和周围环境的影响,不注重个人声誉培养,利用制度漏洞作案,银行防不胜防。
3.同业竞争不规范。各商业银行市场定位不明确,产品/服务同质化现象严重,为竞争优质客户,抢市场,上规模,一味迁就客户的不合理要求,如为存款大户无偿提供电脑、交通工具、办公场所和业务费用,返还中间业务手续费等。为优质项目贷款开辟所谓“贷款审批绿色通道”,结果导致有关规章制度的约束力大打折扣。2004年发生的借记卡收费事件也是一个很好的例证,当初各商业银行为扩大借记卡发卡量,提高市场份额,向客户做出无期限免收年费的承诺,结果在收费时机成熟时,想对持卡人收费,又与《合同法》产生冲突,被中国消费者协会指责为“霸王条款”,商业银行处于一个非常尴尬的境地。
4.员工整体素质不适应业务发展需要。随着金融市场体系的逐步完善和客户需求的日益多元化,商业银行已经从劳动密集型行业转为集劳动密集与技术、智力密集于一体的行业,通讯技术、电子技术和网络技术的广泛应用、金融工程的兴起以及各种分析计量模型的引入,迫切需要知识型、专家型的管理者和从业人员,而目前商业银行管理者和员工大多是经验型和关系型,特别是新兴业务管理人员严重匮乏,这不可避免地将会产生操作风险。如财务顾问业务,由于缺乏为客户设计资本运营、投资决策等复杂财务安排的专家,只能提供网络结算、账户托管等比较简单的服务项目,服务档次上不去,结果把财务顾问业务做成了结算或信息咨询业务,难以兑现对客户的承诺。而且,加入WTO后,商业银行的高端人才成为外资银行挖墙脚的主要目标,高素质员工流失,导致现有工作团队服务能力下降,新加入人员又需要再磨合和适应,在这个过程中,又会产生较大的操作风险。
5.金融生态等环境因素不佳。一是社会信用秩序混乱。全社会信用制度和信用管理体系建设滞后于市场经济体制发育进程,各级政府、企业和居民个人信用意识淡薄,信用监督和惩戒制度不完善,如“银广厦”、“蓝田股份”和社会中介机构联手编造、包装财务报表骗取银行贷款等。二是商业银行客户选择权极为有限。由于受意识形态和金融组织结构不完善等因素影响,商业银行特别是国有商业银行对客户“来者不拒”,无权限制客户消费金融服务的权利。这种作法的直接后果是增大银行经营成本和操作风险。如客户受自身素质约束,对银行自助设备不会或不当使用,导致自助器具故障发生率提高或投诉增加。一些客户对银行代发工资感到不放心,每到发薪日总要到银行把工资取出数一数后再存入,结果加大了银行的柜面负担,一些优质客户不愿排队而选择他行。另外,社会中介机构发育不足和法律对银行债权保护不力也是操作风险重要诱因。
三、再造商业银行内部控制“三道防线”
借鉴国际商业银行的实践经验,我国商业银行应从两方面推进操作风险管理。一是加快商业银行治理结构改革,完善决策、激励约束、制衡和外部监督机制,规范各级管理者和员工的经营行为;二是加强内部控制,建立以风险管理委员会——操作风险管理委员会——首席风险官——风险管理部——风险控制官——风险经理为主体的风险组织和责任体系,形成符合商业银行经营原则和我国社会传统的操作风险管理文化。前者目前论述已经很多,在此重点就后者进行分析。
鉴于操作风险的特点,商业银行对其很难实施“一网打尽”式的控制,各项管理制度的设计只能以全面控制为原则,以内控收益大于内控成本为约束,以概率化控制为目标,重点将发生频率高、可能损失大的操作风险控制好。巴塞尔委员会在《银行机构的内部控制制度框架》中将内部控制要素概括为五项,即控制环境、管理信息系统、风险识别与评估、职责分工与控制措施、检查监督系统。其中前两个要素为支持系统,后三个要素为控制系统。针对控制系统,我国商业银行通过对内控实践的总结,提出了内部控制“三道防线”理论。(注:李扬等:《中国金融理论前沿》,社会科学文献出版社2002年版。)即一线岗位双人、双责、双职为第一道防线,也称“自控”防线;相关部门、相关岗位之间相互监督制约的工作机制为第二道防线,也称“互控”防线;内部监督部门对各岗位、部门及机构各项业务实施全面监督反馈为第三道防线,也称“监控”防线。应该说,“三道防线”理论在推进银行内部控制体系建设,明确各部门内控职责方面发挥了较好的作用。但随着银行业务范围不断拓宽、操作流程的日趋复杂,风险形式的日益多样化以及技术进步等因素影响,其缺陷也暴露无遗。一是“自控”和“互控”所指的控制主体不同,“自”与“互”具有相互性,控制主体不明确,而且,在同一个部门内部,每一个环节、每一名员工的行为都存在“自控、互控、监控”问题,这使得前两道防线各自的内含相当模糊;二是对“四眼原则”做出了简单化甚至庸俗化的理解,认为只要有两个人同时盯住一笔业务就能控制风险,其实在引起风险的人员及人为因素中,由于员工判断失误或误解指令等就可能使一项内控制度失效,只有分别来自市场部门和风险控制部门的两双眼构成的“四只眼”才会对风险的理解、判断更全面、更准确;三是将风险职能定义成一个静态的岗位概念,而不是一个动态的流程概念,对不同类型风险之间的相互关系关注不够,只从一个独立的风险角度,而不是从整个银行、各部门等组合角度来看待风险和风险管理。所有这些缺陷都不同程度地削弱了“三道防线”理论的解释和指导能力。笔者针对传统“三道防线”理论的缺陷,从操作风险管理角度,按照业务部门日常风险管理、风险政策制定和风险管理指引、风险监督这个流程,提出修正后的“三道防线”理论框架及具体内容。
第一道防线:各项业务操作全过程所必须遵守的各类规章制度和操作规程。主要内容包括各项业务的:①主要风险点、风险类型和风险标准。细分每项业务可能存在的风险,明确操作风险可能分布的流程、岗位、业务环节和风险事件可能的类型。②基本管理制度、管理办法和实施细则。按部门、业务整章建制,每开办一项业务都要有相应的管理制度和办法,把各项业务活动和业务环节都纳入有效的制度控制之下。③操作规程。细化业务流程并制定操作规程,做到一个流程一项规度,实现操作规程对业务流程的全覆盖。④各操作岗位的岗位职责。对每个岗位所经办业务的操作步骤、审验要件以及权限、职责作详细的规定,明确每一个岗位的职责要求,做到一个岗位一套规定,禁止岗位间互相代替和跨越。⑤实行职责分离制度。具体包括岗位分离、部门分离制度。⑥授权和转授权制度等。根据业务风险和授权对象管理水平,确定明确的转授权规定。本防线突出各业务部门作为第一责任人的作用,重点解决“这项业务应该怎么办理”的问题。
第二道防线:业务管理部门的业务管理、专业检查和辅导以及事后监督制度。主要内容包括:①对各项业务经营状况和例外情况经常性的检查。充分掌握各项业务各个风险点的运转和控制情况,对增长速度突然加快或放缓的业务实施专项分析和检查,弄清原因,并通过调整业务审批权限等方式作必要改进。②银客对账。保持必要的银企对账频率,及时发现问题和开展专项检查。③对执行授信额度、风险度管理情况进行监控,如信贷台账监控。④对各种账、证、表定期进行核对。⑤电子监控。⑥对特殊业务、重要岗位和高风险部位的事后监督制度;对有问题人员进行特别观察和排查。⑦业务部门操作风险的自我评估、监测制度等。本防线解决“这项业务必须怎么办理”的问题。
第三道防线:稽核、内审监督和纪检、监察部门的检查监督。主要内容包括:①非现场稽核和现场稽核;②对内控制度建设及执行情况的检查;③内控评价;④处罚违规违纪部门和个人;⑤对检查监督中发现的问题及时加以解决等。本防线解决“这项业务是否按规定那样办理”的问题。这种制度安排与专业监督检查的最大区别就是它是不连续、不全面控制,属于事后的和阶段性的检查。其中后两道防线是服务于第一道防线的,通过三道防线不断叠加强化,最终保证第一道防线不出问题。
修正后的三道防线理论克服了原理论的局限性,从流程上讲,做到了风险管理连贯性和系统性的统一,各项业务不仅有章可循,而且操作有序;从责任主体上讲,划清了日常业务活动、风险政策制定和风险管理、风险监督部门各自的责任边界,形成了明确的是非标准,有利于员工之间、上道工序和下道工序之间、部门与部门之间的协作配合,便于奖优罚劣;从信息传递上讲,细化了每个信息的来源点和核对关系,利于做到按图索骥,实现各个信息源之间的有效衔接,提高业务信息的准确性。
对商业银行来讲,操作风险管理是一项长期的任务,需要进行综合治理,对操作风险的管理过程,也是一个不断试错,在吸取失败教训中逐步成熟的过程。
标签:操作风险论文; 风险管理论文; 三道防线论文; 商业银行论文; 商业银行操作风险管理指引论文; 商业银行资本管理办法论文; 商业银行风险管理论文; 银行风险论文; 流程管理论文; 银行系统论文; 银行论文; 德意志银行论文;