浅议商业银行操作风险控制

作者
作者

  【摘要】进入20世纪90年代以后,国内外商业银行操作风险发生概率越来越高,操作性风险损失明显增长,对操作风险的研究与管理日益受到重视。借助“新巴塞尔协议”的实施,推动商业银行操作风险管理能力的提高,是未来几年银行业亟待解决的重要问题,这也是本文研究意义所在。本文从分析我国商业银行操作风险管理现状出发,提出风险管理建议,对降低操作风险进行了有益的探讨。
  【关键词】商业银行 操作风险 控制
  
  操作风险是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险,但不包括策略风险和声誉风险。操作风险市商业银行的面临的主要风险之一。近年来,因为操作风险引发的大案频发,给商业银行带来重大损失和声誉损害。本文从商业银行目前的操作风险管理现状出发,分析风险管理中存在的问题,提出改善措施,力图为商业银行风险管理寥尽绵薄之力。
  一、加强商业银行操作风险控制的意义
  (一)银行业发展的现实要求
  20世纪90年代以来,全球迅速调整的法律和监管体系,新经济模式(如网络银行、电子贸易等)的出现,更为复杂的交易工具和交易战略,技术系统的可靠性,交易量的提高,监管要求的日趋严格等,都极大地增加了金融机构面临的操作风险。国内外商业银行操作风险发生概率越来越高,操作性风险损失明显增长,对操作风险管理的关注日益增加,并成为银行经营管理的核心内容之一。
  20世纪90年代以前,我国银行业的产品种类和业务结构比较单一,电子化程度较低,业务规模不大,同业竞争不太激烈,银行操作风险问题不是很严重,操作风险损失较小。90年代以后,操作风险问题越来越突出,特别是近几年有加速上升的趋势。从已披露的案件看,大案要案触目惊心。如2004年发生的交通银行锦州分行221亿元核销不良贷款作假案、山西‘“7.28”系列诈骗案、2005年发生在光大银行广州越秀支行的近亿元骗贷案、2006年发生在交通银行沈阳分行2亿元人民币的巨额客户资金诈骗案、2007年农行河北省邯郸分行金库管理员盗取金库现金5100多万元等等。此类案件,正是源自操作风险。
  (二)新巴塞尔协议的要求
  新巴塞尔协议将风险扩大到信用风险、市场风险、操作风险,并提出“三个支柱”:最低资本规定、监管当局的监督检查和市场约束。巴塞尔强调“三个支柱”在现代监管体制中的作用,即第二支柱“监管当局监督检查”和第三支柱“市场约束”作为对第一支柱“最低資本要求”的重要补充手段,对监管商业银行面临的信用风险、市场风险、操作风险至关重要,要求资本监管更为准确的反映银行经营的风险状况,进一步提高金融体系的安全性和稳健性,表明三大支柱互为一体、协调发展,才能达到提高商业银行风险计量与管理水平的目的。
  (三)我国银行业监管部门的监管要求
  中国银监会于2005年初下发《关于加大防范操作风险工作力度的通知》,在做出13条具体要求的同时,明确提出要从重视操作风险管理角度切入遏制银行案件高发。这一切都表明我国银行业在提高其运作效率的同时,加强操作风险的计量、监控和管理刻不容缓。
  中国银监会明确表态,至少在以美国为代表的西方10国集团于2006年实施新资本协议的几年后,中国仍将执行1988年的协议。这说明中国银行业目前的风险管理水平与国际大银行相比还有较大的差距。
  二、我国商业银行操作风险管理现状
  我国商业银行操作风险主要体现在以下几个方面:
  (一)人员因素导致的操作风险
  员工违法违规操作、工作疏忽、操作失误或员工自身能力与岗位任职要求不符给商业银行造成的损失。包括:
  一是员工欺诈犯罪:内外勾结作案;参与洗钱;挪用客户资金;蓄意破坏商业银行声誉;偷窃或利用工作之便盗用商业银行实物资产;窃取、盗用或泄露商业银行商业机密;泄露或出卖商业银行重要客户资料信息;以权谋私,挪用或侵吞公款;恶意损坏商业银行资产;收受贿赂和回扣。二是员工越权或隐瞒行为:员工超越权限办理业务或滥用授权;编造虚假财务信息;与未经授权的客户进行业务往来。三是员工操作失误:计算机系统操作失误;遗漏、缩减和增加业务操作流程;会计记录或交割发生失误。四是违反劳动合同:劳动合同解除与终止出现纠纷;由于合同管理问题支付额外经济补偿;违反劳动约定造成赔偿、经济补偿金、违约损失。五是人员配置:人员配备不足岗位编制;员工业务能力与岗位需求不一致;关键岗位人员流失。
  (二)内部程序因素导致的操作风险
  因业务流程、规章制度不健全完善,导致操作或执行困难,出现风险控制盲区,从而给商业银行造成的损失。包括:
  一是制度风险:规章制度缺乏有效性、充分性、合规性与适宜性,未及时进行制度修订;规章制度滞后于新业务或新产品办理。二是文件或合同标准文本风险:文件残缺;合同标准文本条款残缺或对商业银行不利;合同标准文本中空白条款填写不完善或不正确。三是内部或外部报告风险:会计记录错误或数据缺乏;经营管理等各类报告内容不充分、不准确。四是产品风险:产品选择不当;产品设计不当;未经银监会批准向市场推出高风险产品。五是文件传递风险:规章制度或通知没有及时传达到基层员工。六是职责设定风险:人员编制设置与实际业务需求不匹配;岗位职责不清、分工不明确、关键岗位未实现职责分离。
  (三)IT系统及技术因素导致的操作风险
  由于IT技术或技术应用环境失灵造成系统中断,或因系统数据风险影响业务正常运行,从而给商业银行造成的损失。包括:
  一是科技投资风险:某一业务的IT体系不适应商业银行发展需要;IT系统的引入与业务需求的关系无法明确解释或与现有系统不兼容;硬件老化;软件更新不及时。二是系统开发和执行风险:程序设计错误;无法将现有系统进行整合;系统功能设置与业务需求不符;系统设计存在缺陷;业务操作流程和软件开发流程不吻合。三是系统失效风险:系统功能及设计在风险控制方面存在缺陷;网络失灵;系统控制、接口、硬件和软件失效。四是系统安全风险:外部系统或内部系统安全性不够;计算机病毒袭击;黑客袭击;非法用户登陆;客户资料泄密;对生产系统的变更缺乏完备的监督和审计功能。五是法律或公共责任风险:对IT的法律解释产生误解;IT人员未将IT相关程序引起的操作风险告知业务人员或制度修订人员。六是风险管理模型风险:采用的风险管理模型未能有效识别风险;风险管理模型的结果误导决策。
  (四)外部事件因素导致的操作风险
  直接来自外部的主观或客观因素给商业银行造成的损失。包括:
  一是外部欺诈等犯罪:伪造或编造票据欺诈;盗用账户欺诈;外部盗窃、抢劫和其他欺诈风险;恐怖袭击;纵火。二是外部采购或供应商风险:供应商破产或违背其职责;合同制订不当。三是外部开发风险、自然灾难或基础设施风险:外部开发过程中所面临的第三方中断必要资源的风险;火灾;地震、洪水等自然灾害;交通事故;能源不足;外部通讯不稳定或中断;供水、供电中断;建筑物等固定资产损坏。四是政策、经济和国家风险:行业或国家宏观经济政策改变;经济衰退;经济危机;战争。
  三、有效管理操作风险的对策
  商业银行风险管理部门要通过制定操作风险管理办法,明确本行对操作风险的定义、分类、职责分工,制定操作风险识别与评估、监测、量化、控制、报告等管理流程,做好操作风险控制。
  (一)做好操作风险识别与评估
  风险管理部门应根据风险管理“事前管理”原则对业务流程、各类业务系统以及外部监管政策、宏观经济政策、产业政策及行业政策等外部环境(事件)进行持续的风险识别与评估,并对分支机构进行充分、及时的风险预警提示。
  
  风险管理部门应加强基层分支机构调查研究,查找各业务条线的风险点或风险管理薄弱点,确定可能存在操作风险的环节。如目前部分房地产评估事务所、会计(审计)事务所等外部资产评估机构和审计机构隐藏一定道德风险,对商业银行的信用风险和操作风险影响极大,风险管理部门应对其进行操作风险识别与评估。
  (二)加强操作风险监测
  操作风险监测主要就是选择具有前瞻性的关键风险指标(Key?risk?indicators)来预测操作风险的变化趋势,对操作风险实施动态管理。操作风险监测工作首先就是选择有效的关键风险指标。从目前商业银行经营管理实际来看,关键风险指标至少应包括关键岗位人员轮岗率、关键岗位人员强制休假率、持证上岗率、关键岗位人员流失率、企业对账单有效回收率、客户有效投诉率、内控问题整改率等。
  确定关键风险指标后,不能只简单给出计算公式,风险管理部门需向分支机构明确指标计算所需数据的来源,否则上报的关键风险指标就缺乏真实性,从而失去关键风险指标监测操作风险的管理意义。风险管理部门在一定时间内建立起某些关键风险指标波动的区间、中间值或门槛值,对关键风险指标进行定期趋势分析,并将分析结果向高级管理层报告。对持续不满意的关键风险指标,风险管理部门需要进行现场调查或对分支机构进行操作风险提示。
  (三)实现操作风险量化管理
  商业银行操作风险量化管理的短期目标是实施基本指标法,为实施《巴塞尔新资本协议》基本指标法做好准备。随着时机成熟,银监会将要求商业银行根据《巴塞尔新资本协议》基本指标法计算操作风险资本,即要求商业银行为操作风险配置或分配经济资本。因此,商业银行风险管理部门可逐步积累操作风险损失事件历史数据,按照业务环节、岗位、金额、时间等不同维度搜集并记录本行以及其他商业银行发生的操作风险损失事件(案件),形成操作风险数据库,为将来的操作风险量化管理工作奠定数据基础。
  (四)落实操作风险控制措施
  操作风险不同于信用风险和市场风险,接受或承担一定的信用风险和市场风险可能获得收益,但接受或承担操作风险的结果不会获得任何收益,甚至只能带来损失,因此,对不可接受的操作风险提出管理建议或制定具体的风险控制措施。
  1.根据上述操作风险分类及操作风险类型占比,操作风险管理的重点是加强人员管理。商业银行合规部门应加强风险管理培训,保证全行各级员工获得操作风险管理方面足够的知识和技能,提高各级员工操作风险管理的意识。要求分支机构建立持续培训机制,定期对一线关键岗位员工业务技能和职业道德教育培训。对违法违规行为,须对相关责任人进行经济和行政上的责任追究,同时,对操作风险管理好的分支机构或个人也要给予奖励和表扬。
  2.健全完善规章制度是有效操作风险管理的前提。目前,商业银行销售的产品高度同质,不同的是销售产品的管理模式和业务流程的设计能力。制度建设工作包括以下内容:一是定期评估现有规章制度的有效性;二是制度修订过程中要进行大量调查研究,到分行了解实际情况,尊重实际,不能仅根据个人经验和主观判断进行制度修订;三是规章制度之间要相一致、相衔接,需要制度制定或修订部门之间密切配合与有效沟通,防止部门本位主义。四是由于地区经济发展不平衡、市场化程度发展不一,操作风险管理措施应考虑不同地区、经济发展特征而进行适当的区别化、差异化的风险管理。五是总行专业管理部门应检查评估分支机构制定的各项细则或操作规程的合规性与有效性。
  3.不断提高IT技术水平,控制操作风险。信息科技部门、风险管理部门应高度重视IT系统及技术因素导致的操作风险。制定IT系统应急方案,并对应急预案进行定期修订、演练和压力测试,保证在发生严重业务中断事件情况下,执行应急方案,将影响和损失减到最低或将损失控制到最小程度。
  4.根据近年商业银行发生的案件特点,商业银行风险管理部门、合规部门应对分支行操作风险易发点进行持续风险评估和合规检查,建立案件防范长效机制。
  
  参考文献
  [1]顾京圃.中国商业银行操作风险管理.北京:中国金融出版社.2006年。
  [2]范肇臻.中国国有商业银行制度创新.北京:经济科学出版社.2005年。
  [3]顾旋、刘都、刘炜.中国商业银行营销管理.北京:社会科学文献出版社.2000年。
  [4]焦瑾璞.中国银行业国际竞争力研究.北京:中国时代经济出版社.2002年。
  [5]宋安平.商业银行核心竞争力研究.北京:中国金融出版社.2005年。
  
  作者简介:武继源(1970-),男,经济师,现供职于中国建设银行股份有限公司山东聊城分行。
  


作者 武继源