操作風險
出自 MBA智库百科(https://wiki.mbalib.com/)
操作風險(operational risk)
目錄 |
在不少金融機構中,操作風險導致的損失已經明顯大於市場風險和信用風險。因此,國際金融界和監管組織開始致力於操作風險管理技術、方法和組織框架的探索與構建,目前已取得了明顯的進展。但是,從國內銀行業情況來看,對操作風險的認識和管理還停留在比較膚淺的層次,監管當局關註的焦點一直定位在信用風險領域,監管資源過分傾斜於銀行不良資產的處置,以至於銀行操作風險近些年呈持續上升趨勢。
因此,關註操作風險已成為我國商業銀行不可迴避的話題,操作風險是當前銀行業風險管理的重中之重,銀行職員操作權歸屬不清是操作風險產生的根源,整合IT平臺清晰界定操作權是國有商業銀行的當務之急。
巴塞爾銀行監管委員會對操作風險的正式定義是:由於內部程式、人員和系統的不完備或失效,或由於外部事件造成損失的風險。按照發生的頻率和損失大小,巴塞爾委員會將操作風險分為七類:
(1)內部欺詐。有機構內部人員參與的詐騙、盜用資產、違犯法律以及公司的規章制度的行為。
(2)外部欺詐。第三方的詐騙、盜用資產、違犯法律的行為。
(3)雇用合同以及工作狀況帶來的風險事件。由於不履行合同,或者不符合勞動健康、安全法規所引起的賠償要求。
(4)客戶、產品以及商業行為引起的風險事件。有意或無意造成的無法滿足某一顧客的特定需求,或者是由於產品的性質、設計問題造成的失誤。
(5)有形資產的損失。由於災難性事件或其他事件引起的有形資產的損壞或損失。
(6)經營中斷和系統出錯。例如,軟體或者硬體錯誤、通信問題以及設備老化。
(7)涉及執行、交割以及交易過程管理的風險事件。例如,交易失敗、與合作伙伴的合作失敗、交易數據輸入錯誤、不完備的法律文件、未經批准訪問客戶賬戶,以及賣方糾紛等。
與信用風險、市場風險相比,操作風險具有以下特點:
(1)操作風險中的風險因素很大比例上來源於銀行的業務操作,屬於銀行可控範圍內的內生風險。單個操作風險因素與操作損失之間並不存在清晰的、可以界定的數量關係。
(2)從覆蓋範圍看,操作風險管理幾乎覆蓋了銀行經營管理所有方面的不同風險。既包括發生頻率高、但損失相對較低的日常業務流程處理上的小紕漏,也包括發生頻率低、但一旦發生就會造成極大損失,甚至危及到銀行存亡的自然災害、大規模舞弊等。因此,試圖用一種方法來覆蓋操作風險的所有領域幾乎是不可能的。
(3)對於信用風險和市場風險而言,風險與報酬存在一一映射關係,但這種關係並不一定適用於操作風險。
(4)業務規模大、交易量大、結構變化迅速的業務領域,受操作風險衝擊的可能性最大。
(5)操作風險是一個涉及面非常廣的範疇,操作風險管理幾乎涉及銀行內部的所有部門。因此,操作風險管理不僅僅是風險管理部門和內部審計部門的事情。
近期,國內有人對我國的操作風險進行了實證分析。根據研究結果,我國商業銀行操作風險的主要特征大概可以總結為:
(1)損失事件主要集中在商業銀行業務和零售銀行業務,主要可以歸因於內部欺詐、外部欺詐,占到損失事件比例最大的是商業銀行業務中的內部欺詐。
(2)單筆損失金額的均值相差很大,在度量操作風險時,應該分別考慮每個業務部門和每個風險事件組合下的損失分佈情況。
(3)損失事件的多少與銀行的總資產規模成正相關,但損失金額多少與總資產沒有明顯的相關性。
(4)從損失事件數目和損失金額的地區分佈看,操作風險不一定發生在經濟發達的分支機構,但是肯定會發生在管理薄弱、風險控制意識不強的地區。
1、公司治理結構不健全。一是所有者虛位,導致對代理人監督不夠。二是內部制衡機制不完善。董事會、監事會、經營管理層之間的制衡機制還未真正建立起來。三是存在“內部人”控制現象。由於國有商業銀行所有者虛位,很容易導致銀行高管人員利用政府產權上的弱控制而形成事實上的“內部人”控制,進行違法違紀活動。四是內部控制能力逐級衰減。國有商業銀行的“五級”直線式管理架構,由於內部管理鏈條過長,信息交流不對稱,按照“變壓器”原理,總行對分支機構的控制力層層衰減,管理漏洞比較多。
2、內控制度建設尚不完備。一是沒有形成系統的內部控制制度,控制不足與控制分散並存,業務開拓與內控制度建設缺乏同步性,特別是新業務的開展缺乏必要的制度保障,風險較大。二是內控制度的整體性不夠。對所屬分支機構控制不力,對決策管理層缺乏有效的監督。對業務人員監督得多,而對各級管理人員監督得較少、制約力不強。三是內控制度的權威性不強。審計資源配置效率低下,稽核審計職能和權威性沒有充分發揮,內部審計部門沒有完全起到查錯防漏、控制操作風險的作用。
3、風險管理方法落後,信息技術的運用嚴重滯後。
4、員工隊伍管理不到位。銀行管理人員在日常工作中重業務開拓,輕隊伍建設;重員工使用,輕員工管理,對員工思想動態掌握不夠,加之舉報機制不健全,使本來可以超前防範的操作風險不能及時發現和制止。
5、與風險控制有衝突的考核激勵政策容易誘導操作風險。
6、社會轉型及銀行變革容易引發操作風險。當前社會治安形勢仍然嚴峻,針對銀行的搶劫、詐騙、盜竊等犯罪時有發生。從銀行內部來看,國有銀行正在進行股改,伴隨機構撤並,也帶來了大量富餘人員消化問題,並導致各種矛盾的尖銳化。
(一)加大改革力度
1、建立完善的公司法人治理結構。我國商業銀行要建立規範的股東大會、董事會、監事會制度,設立獨立董事,構建以股東大會-董事會-監事會-行長經營層之間的權力劃分和權力制衡有效結構,通過高級管理層權力制衡,抑制“內部人”控制、“道德風險”的發生。
2、按照“機構扁平化、業務垂直化”的要求,推進管理架構和業務流程再造,從根本上解決操作風險的控制問題。
3、改革考核考評辦法。正確引導分支機構在調整結構和防範風險的基礎上提高經營效益,防止重規模輕效益。要合理確定任務指標,把風險及內控管理納入考核體系,切實加強和改善銀行審慎經營和管理,嚴防操作風險。不能制定容易引發偏離既定經營目標或違規經營的激勵機制。
(二)不斷完善內部控制制度
商業銀行在堅持過去行之有效的內部控制制度的同時,要把握形勢,緊貼業務,不斷研究新的操作風險控制點,完善內部控制制度,及時有效地評估並控制可能出現的操作風險,把各種安全隱患消除在萌芽狀態。
當前,重點要在以下七個方面完善內部控制制度:一是建立相應的授權體系,實行統一法人管理和法人授權;二是建立必要的職責分離,以及橫向與縱向相互監督制約關係的制度;三是明確關鍵崗位、特殊崗位、不相容崗位及其控制要求;四是對於重要活動應實施連續記錄和監督檢查;五是對於產品、組織結構、流程、電腦系統的設計過程,應建立有效的控製程序;六是建立信息安全管理體系,對硬體、操作系統和應用程式、數據和操作環境,以及設計、採購、安全和使用實施控制;七是建立並保持應急預案和程式,確保業務持續開展。
(三)全面落實操作風險管理責任制
首先,要通過層層簽訂防範操作風險責任合同,使風險防範責任目標與員工個人利益直接掛鉤,形成各級行一把手負總責,分管領導直接負責,相關部門各司其職、各負其責,一線員工積极參与的大防範工作格局。其次,要真正落實問責制。要明確各級管理者及每位操作人員在防範操作風險中的權力與責任,併進行責任公示。今後銀行發生大案,既要有人及時問責,又要深入追查事件責任人。對出現大案、要案,或措施不得力的,要從嚴追究高管人員和直接責任人的責任,並相應追究檢查部門、審計部門及人員對檢查發現的問題隱瞞不報、上報虛假情況或檢查監督整改不力的責任。
(四)切實改進操作風險管理方法
1、不斷摸索,逐步完善操作風險計量方法。雖然目前對操作風險的計量還沒有一個十分完善的方法,但是隨著商業銀行全面風險管理的深入開展,準確計量操作風險並計提準備金是一個必然的發展趨勢。
2、加強信息技術應用。在數據大集中的進程中,要加強業務系統操作平臺建設,全面查找設計上的漏洞,完善系統軟體。
3、建立健全操作風險識別和評估體系。要借鑒國際先進經驗並運用現代科技手段,逐步建立覆蓋所有業務類別操作風險的監控、評價和預警系統,識別和評估所有當前和未來潛在的操作風險及其性質。
4、建立和完善內部信息交流制度。針對近年來多發的管理人員帶頭實施違規,強迫命令下屬違規操作,形成案件和資金風險的問題,銀行要建立和完善員工舉報制度,依靠和發動一線員工,鼓勵檢舉違法違規問題,堅決遏制各類案件特別是大案要案的高發勢頭。
(五)加強人員管理
一是要牢固樹立以人為本的經營思想,充分發動和依靠廣大員工抓好操作風險管理工作。
二是加強思想政治教育。要深入開展矛盾糾紛和不安定因素排查化解工作,多方面、多層次將矛盾糾紛和不安定因素化解在單位內部和萌芽狀態。
三是加強風險意識教育。要堅持不懈地進行安全形勢教育、典型案例教育、規章制度教育,提高全行員工安全防範意識和遵紀守法觀念。
四是要及時、深入瞭解重要崗位人員工作、生活情況,掌握思想和行為變化動態,對行為失範的員工要及時進行教育疏導和誡免談話,情節嚴重的,要嚴肅處理。
操作風險基本原因在於崗位職權的空無與欠缺