探究商業銀行操作風險管理
隨著我國金融體制改革的逐步深化和商業銀行股份制改造的穩步推進,金融市場競爭不斷加劇,金融產品日新月異,與此同時,銀行經營在必須控制和管理一些傳統的風險如信用風險、市場風險、國家風險等之外,不得不面臨著一類新的風險——“操作風險”的挑戰。
操作風險是指由於銀行內部程式、人員、系統不充足或者執行失當以及因為外部事件的衝擊等導致直接或間接損失的可能性的風險。例如,1995年的巴林銀行倒閉、1996年三井住友銀行的鉅額虧損以及2001年中國銀行的開平案件,均可視為由操作風險所致。這類風險一旦發生,往往給銀行帶來巨大損失,嚴重時會直接導致銀行的破產和倒閉,甚至還會對整個金融行業或國民經濟執行都產生巨大的影響,因而越來越引起投資者、金融界、監管當局的重視。自然地,防範和控制操作風險也成為銀行經營管理者的一個重要課題。
本文將首先介紹銀行操作風險的內涵和實質,並揭示當前商業銀行在操作風險管理方面的現狀。之後,分析造成操作風險的主要原因,然後,在前面論述的基礎上提出加強銀行操作風險管理的方法和建議。
一、商業銀行操作風險的實質、內涵和管理要求
巴塞爾新資本協議把操作風險定義為:操作風險是指由於銀行內部程式、人員、系統不充足或者執行失當以及因為外部事件的衝擊等導致直接或間接損失的可能性的風險。從操作風險的定義中不難看出操作風險包括內部程式、人員、系統三大方面的主要內容,也是認識操作風險的關鍵環節。
***一***全面認識操作風險的實質和內涵
認識事物是改造事物的前提和關鍵,對操作風險的認知程度越高,才能有效的提升操作風險管理的地位和管理的水準,有了正確的操作風險的認識,才能夠上升到巨集觀的決策和微觀的具體落實。張吉光認為:“商業銀行在操作風險管理中,對操作風險的認識存在五大方面錯誤或偏差”。 ***注1***通過對操作風險管理理論的研究,筆者認為:解決操作風險管理認識上存在錯誤或偏差,成為提高操作風險管理水平的關鍵。具體而言,要全面認識和了解操作風險,需要消除以下幾方面的誤區。
1、操作風險不能等同於操作性風險和操作中的風險
根據巴塞爾新資本協議的定義,操作風險可以分為四類:人員因素引起的操作風險、流程因素引起的操作風險、系統因素引起的操作風險和外部事件引起的操作風險。人員因素引起的操作風險包括操作失誤、違法行為***員工內部欺詐/內外勾結***、違反用工法、關鍵人員流失等情況。流程因素引起的操作風險又分為流程設計不合理和流程執行不嚴格兩種情況。而系統因素引起的操作風險包括系統失靈和系統漏洞兩種情況。外部事件引起的操作風險主要是指外部欺詐、突發事件以及銀行經營環境的不利變化等情況。其中,屬於操作性風險的僅包括人員因素引起的操作風險中的操作失誤、違法行為、越權行為和流程因素引起的操作風險中的流程執行不嚴格的情況。顯然,操作性風險不能等同於操作風險,儘管操作性風險是操作風險中發生頻率最大、佔比最高的風險型別。從筆者蒐集整理的近幾年來國內商業銀行發生的近50起操作風險案例的資料顯示,操作性風險佔總數的比例為70%。將操作風險狹隘地定義為操作性風險的做法,往往會使得建立在這一認識基礎上的操作風險管理體系不能覆蓋所有的操作風險,從而使銀行難以防範那些突發事件的衝擊,如前一段時間工商銀行北京市分行出現的系統癱瘓、美國發生的“911”***等。
2、操作風險不能等同於金融犯罪
金融犯罪僅是操作風險中的主要型別,並不能涵蓋所有型別的操作風險。根據我國對金融犯罪的定義,金融犯罪是指在金融活動中,侵害金融管理制度、金融市場秩序以及其他社會經濟關係,依照我國刑法規定,應當受到刑法處罰的行為。對比巴塞爾委員會關於操作風險的定義,金融犯罪顯然不包括那些由於銀行自身不完善的流程和系統漏洞以及外部事件等因素造成的操作風險。最簡單的例子就是操作失誤,比如銀行員工誤將取款操作成存款,或者數字錄入錯誤等均屬於操作風險的範疇,但並不構成犯罪。將操作風險等同於金融犯罪,往往會使商業銀行無意識地縮小操作風險的管理範圍,錯誤地將操作風險管理等同於金融犯罪管理,從而將操作風險管理職責不恰當地賦予內部審計或安全保衛部門。這恰恰是造成目前我國商業銀行操作風險管理進展緩慢的原因所在。
3、操作風險是可以計量的,應該為操作風險配置資本
表面上看操作風險確實無規律可循。事實上,這只是人們觀察問題的角度不正確造成的。如果我們就單個年份來看,一些操作風險事件是無規律的,一旦將這些操作風險事件放在很長一段時間和同型別的大量資料中來看,我們會發現,這些操作風險往往會以某種穩定的概率發生。這正是人們量化操作風險的基礎。最早提出操作風險量化模型的是Duncan Wilson。他在1995年12月的《risk》雜誌中發表了“操作Var”的文章。文章認為,操作風險可以使用“在險值***Var***”技術進行測度,銀行可以建立來自於內部和外部的操作損失事件資料庫,並從資料擬合操作損失的分佈,通過設定一個置信區間,比如95%,銀行就可以計算出操作風險的Var,也就可以為其分配資本了。為操作風險分配資本的最大好處就在於,當銀行遭受某種災難性損失的時候不至於癱瘓,甚至於倒閉。在不可量化思想的支配下,很難想象銀行會致力於操作風險量化模型的開發。這或許是國內商業銀行操作風險管理水平難以提升的重要原因之一。
4、操作風險事件之間是相互聯絡的而不是孤立的
從表面看,工作人員的操作失誤、銀行員工的欺詐以及關鍵人員的流失三者之間並無多大聯絡。而停電、***以及“非典”之間更是風馬牛不相及。由此,很多人得出“各種操作風險事件之間是孤立的、毫無聯絡的,從而操作風險是突發事件”的結論。這其實是忽略了隱藏在不同表面現象背後的共性本質,忽略了眾多隨機變數近似地服從正態分佈的統計原理。以工作人員操作失誤、銀行員工欺詐和關鍵人員流失三類風險事件來看,它們的本質均是人的因素引起的操作風險,且在足夠長期限和足夠多資料的情況下可以近似地描繪出其概率分佈。停電、***與“非典”之間的關係與此相似,三者均屬於外部因素造成的操作風險,且眾多上述事件同樣會近似地服從正態分佈。只有看到各種操作風險事件之間的聯絡,才能準確地描述銀行面臨的操作風險,進而從整體上把握操作風險。這正是巴塞爾委員會關於操作風險定義的基礎所在。那種以孤立的、隔離的眼光看待操作風險的做法只能將各個操作風險視作突發事件,也就無法從整體上把握銀行面臨的操作風險,更不用說對其進行科學有效的管理了。目前國內很多銀行就存在這一問題,當面對“非典”衝擊之時,當遭受系統癱瘓之時,銀行並未從操作風險的角度對之進行系統分析和把握,只是將其看作突如其來的偶然事件,應付過去。如此一來,銀行根本不會想到為其準備應急預案和分配經濟資本。再次面對類似事件,銀行只能是屢屢受損,甚至於出現災難性的後果。
操作風險的認識還應注意到操作風險的管理不僅僅是稽核審計部門的事,應該是業務生產各環節的管理要求;管理者非常容易對市場風險和信用風險管理產生偏好,不應該因此而忽視操作風險的重要地位;操作風險應重視資源的投入,尤其是更多的人力***培養專業的操作風險管理人才,建設操作風險管理的團隊***、財力***投入資金用於操作風險的模型和系統建設***、物力***配置更多的固定資產資源,為操作風險管理的實施提供環境和保障***等等方面的投入。只有對操作風險有了清醒認識、足夠的重視,才能上升到如何落實和實施操作風險的管理過程及事後的評價。
***二***、巴塞爾委員會對管理操作風險提出的要求
巴曙鬆在《巴塞爾新資本協議研究》一書中曾經提到:“操作風險的管理需要強調風險管理環境、風險管理過程、監管者的作用和資訊披露的作用”***注2***。巴塞爾委員會在總結國際金融界經驗的基礎上,將管理操作風險歸納為四部分的具體要求:
1、建立適當的風險管理環境
巴塞爾委員會認為,對銀行來說,應當首先建立適當的風險管理環境,這要求董事會應當瞭解作為一個獨特的、可以控制的風險種類-----銀行操作風險的主要方面,應當批准和定期審查銀行的操作風險戰略。該戰略應該能夠反映銀行的風險容忍程度及其對這種風險種類的特定特徵的理解。巴塞爾委員會也承認,銀行組織內部的資訊流程在建立和維持一個有效的操作風險管理框架方面可以發揮重要作用。
2、風險管理過程:識別、衡量、監督和控制
巴塞爾委員會認為,銀行應當建立識別操作風險的類別、衡量操作風險的方法、監督操作風險的手段和控制操作風險的機制等的電子化管理系統。對操作風險的整個過程進行跟蹤,有效的管理操作風險的全過程。建立衡量操作風險的必要方法,實施可以持續監督操作風險暴露和重大業務損失的應用系統。
3、監管者的作用
在建立適當的風險環境和全程的風險管理過程的基礎上,監管者應對銀行與操作風險相關的戰略、政策、程式和做法直接或間接地進行定期的獨立評價,使之可以及時的修正錯誤的環節。並保證銀行具備一個有效的報告機制,使他們可以及時瞭解銀行操作風險管理執行過程是否按照計定的方針政策行事,使監管者亦可瞭解政策方針落實的進展情況。
4、資訊披露的作用
準確、及時、完整的資訊披露是管理操作風險的重要環節之一,在操作風險管理和監管中發揮著重要的作用。巴塞爾委員會要求銀行應向公眾進行充分的資訊披露,使市場參與者可以對銀行的操作風險暴露及其操作風險管理質量進行評估,從而選擇各自的風險偏好,由市場機制評價和吸納操作風險帶來的可能性風險。
二、商業銀行操作風險管理的現狀
商業銀行的發展史已有三百多年。“操作風險”一個曾經不被人們重視而卻與商業銀行發展伴生的風險種類,越來越顯示出它的重要性,由於商業銀行對操作風險的管理重視不夠、認識不清、手段單一、方法陳舊、人才匱乏,致使操作風險肆虐,使商業銀行付出了沉重的代價。
***一***、商業銀行忽視操作風險所帶來的沉重代價
商業銀行中流傳這樣一句話:“誰忽視了操作風險,誰將為之付出慘痛的代價。”事實也證明了
這一點。近十年,金融界的重量級案件頻發,從95年巴林銀行的李森事件到05年中國銀行分理處主任高山的票據***案等,短短十年間,一系列由操作風險而引發的案例給商業銀行造成了數以億計的巨大損失***參見附表***。
商業銀行操作風險形成損失的典型案例統計表
涉案銀行名稱 案件時間 案情簡述 造成損失 總結教訓
巴林銀行 1995年 交易員李森私自開立“88888”賬戶隱瞞投機日經指數期貨虧損。 14億美元 管理鬆懈,監督不利,有章不循。
大和銀行 1995年 交易員井口俊英從事3萬筆未經授權的賬外買賣美國聯邦債券的交易形成損失。 11億美元 越權違規,缺乏制衡,授權無度。
三井住友銀行 1996年 交易員濱中泰男從事投機銅的期貨交易造成虧損。 40億美元 違規操作,監控不利。忽視管理。
中國銀行開平支行 2001年 交易及管理人員餘振東等人從事外匯買賣、賬外貸款、盜用聯行資金等方式造成銀行損失。 4.8億美元 超權越權,違規違法,作假藏真,監控失靈。
中國銀行河鬆街分理處 2005年 分理處的負責人高山內外勾結,私自開出假票據,私自挪用客戶的存款,使銀行形成損失。 10億人民幣 內外勾結,違規違法,監控失靈。
***資料來源:摘自中國經營報和國際金融報***
操作風險帶來的黑洞使一些商業銀行付出慘痛的代價。 觸目驚心的案件應該讓監管者意識到監
管的乏力。
***二***、商業銀行對操作風險管理存在諸多錯誤的認識
操作風險之所以越來越給商業銀行的經營帶來難以承受的風險壓力,究其原因主要是因為對操
作風險的認識出現了偏差。歸納起來主要有以下幾個方面: