凶悍的操作風險怎麼搞垮銀行
著名的法興銀行弊案前後,商業銀行操作風險事件一直不勝列舉。下面小編為大家介紹一下風險,希望對你有幫助。
無處不在的操作風險
操作風險事件幾乎每天都在銀行業內發生。簡單來說,銀行只要開門營業,就會面臨各種由於人員、流程、系統及外部環境衝擊所帶來的風險。例如,客戶的欺詐、偽造、糾紛等風險,內?a href='//' target='_blank'>咳嗽痺餃ā⒐脣帷⒉畲懟⒌燎緣姆縵眨?約跋低衝椿?⒉?瘋Υ謾⒐芾聿壞鋇姆縵鍘?/p>
商業銀行操作風險涉及商業銀行的每一項業務及其相關人員,這也是其同信用風險、市場風險的主要區別。事實上,在商業銀行面臨的三大風險中,影響並危及銀行運營的最主要風險即是操作風險。只是由於對於操作風險的認識較為模糊,加之對如何系統性地進行管理尚無經驗可循,操作風險管理經常被管理者有意或無意地“忽視”著。
對操作風險進行準確、合理的界定是建立完善、有效的操作風險管理體系的前提和基礎。2004年,巴塞爾銀行監管委員會***BCBS***對商業銀行的操作風險作出了明確界定,即操作風險是指由不完善或失靈的內部程式、人員及系統或外部事件而導致的銀行直接或間接損失的風險。2012年,中國銀監會提出,操作風險是指由不完善或有問題的內部程式、員工和資訊科技系統,以及外部事件所造成損失的風險,包括法律風險,但不包括策略風險和聲譽風險。
在我國,總結來看,商業銀行觸發操作風險事件的誘因有銀行內部人員業務差錯、欺詐或違規操作***如員工私賣理財產品使得銀行受到控訴,利用看管金庫的職務便利盜取金庫資金使得銀行蒙受大額損失***、電子資訊系統設計存在漏洞或系統癱瘓及業務停辦***、貪汙受賄等,也有不可抗力的外部事件***諸如汶川地震等導致2008年銀行業遭受淨損失50億~130億人民幣***;其包括銀行經營管理所有方面的不同風險,既包括髮生頻率低、但可能導致較高損失的意外事件等,也包括那些發生頻率高、但可能造成較低損失的日常業務流程處理方面。
操作風險管理有多重價值
在目睹國內外金融行業陸續發生的諸多觸目驚心的重大操作風險事件後,國內金融業逐漸意識到實施操作風險管理工作的必要性和緊迫性。單以招商銀行系統性故障引發的操作風險事件為例,可以看出,高科技的運用將人工操作帶來的風險轉變為影響範圍更廣的系統性風險。我們還可以觀察到,金融創新的出現會對銀行的人員素質、系統和業務流程提出更高的要求,任何的疏漏都可能會給銀行帶來高額損失。如果銀行的流程管理和內控體制還停留在原地不動,激發的操作風險事件將不斷出現。
在操作風險損失預防與控制之外,操作風險管理另有三個更深層面的目的和意義:
1、首先,從監管達標的角度來看
巴塞爾委員會編制的“巴塞爾新資本協議”明確提出了操作風險組織架構、政策、工具、流程和報告路線方面的監管要求,中國銀監會也在2012年6月釋出了《商業銀行資本管理辦法***試行***》,對這一監管要求作出了承接與細化,並要求在2018年前要達標。
2、其次,從成本效益角度來講
在可以承受的資源投入條件下,將操作風險可能造成的損失降低到管理者的風險容忍之內,簡單講就是不幹虧本的買賣,要實現風險管理的效益大於成本投入。
3、最後,從內部管理提升需求來看
可通過操作風險管理將一套思路、方式、手段、工具與既有的內部控制體系相結合,形成一體化建設的整合模式,提升風險管理文化、建立風險偏好、完善企業治理架構,達到“1+1>2”的效果。
操作風險管理還有更加長遠的目的和意義。比如,從風險資本計提的角度來說,在操作風險高階計量法的框架下,通過計量工具精細量化操作風險,可有效降低操作風險計提資本,從而釋放資金以提升銀行的業務發展動能。再比如,實施操作風險管理可作為資本分配和考核的核心基礎,可在此基礎上建立收益與風險掛鉤的資本計量體系,並應用在資本分配、績效考核中,以使公司的風險/收益最大化。
有效運用操作風險管理三大工具
操作風險在管理上有許多困難。系統癱瘓,業務停辦,造成客戶與企業的損失;員工監守自盜;產品營銷不當;交易超過公司內的規定限額;交易錯誤……以上均屬操作風險。但實踐中,我們一直認為企業自身人員素質佳、風控意識強、制度健全,其他企業發生的操作風險事件在本企業絕對不會發生。
以上觀點顯然是錯誤的,而深入探究原因
一方面,操作風險涉及範圍太廣,難以管理:操作風險多源自內部問題,一般“家醜不外揚”,而且很難收集到大量資料;不同機構所面臨的操作風險不同,一些既成的操作風險管理經驗無法一體化適用;引發操作風險的原因與損失的概率、規模之間很難建立起關聯性;大型且危及生存的操作風險事件並不常見,大多數可能的操作風險事件,在大部分銀行的歷史上從未發生。
另一方面,常見的操作風險的管理思路、方式、手段、工具以及與之配套的管理資訊系統仍處於初級階段,對其的計量更是不同於信用風險與市場風險,難以用風險概率分佈方式進行量化。
新資本管理協議提供了操作風險管理的三大工具,包括“風險控制與自我評估***RCSA***、關鍵風險指標***KRI***和損失資料庫***LDC***三大操作風險管理工具,要求商業銀行應當評估各業務條線的操作風險暴露金額與頻率,並系統性地收集、跟蹤和分析與操作風險相關的資料。此外,在此基礎上建立操作風險評估機制,將風險評估整合入業務處理流程,引入操作風險和控制自我評估或其他評估工具。定期評估主要業務條線的操作風險,並將評估結果應用到風險考核、流程優化和風險報告中。與此同時,通過建立關鍵風險指標體系,及時監測相關指標,並明確指標突破閾值情況的處理流程,積極開展風險預警管控。
具體而言,風險控制與自我評估***RCSA***是指企業內部為實現控制風險目標,而對內部控制體系的有效性和恰當性實施自我評估的方法。RCSA的結果會形成風險熱圖,作橫向***同業***和縱向***業務條線***的對比。對剩餘風險較高的業務條線或機構,管理層會按此制定合適的風險管理機制,包括對風險較高的業務規模進行規劃、強化風險管理措施、採取風險緩釋手段去降低風險可能帶來的影響。
RCSA的工作方法:關注業務流程和控制成效,由業務部門以及操作風險管理部門共同進行。操作風險職能人員和業務流程具體執行人員全體參與,用系統化的工作方法開展評估活動。例如:各職能人員與被評估單位管理人員組成一個小組,對部門/條線風險控制的恰當性和有效性進行評估,然後跟據評估和集體討論的結構,提出改進建議並出具報告,最後由管理者實施。RCSA需要定期進行重檢。如有新增業務或原有流程的變更,需要及時更新。
關鍵風險指標***KRI***分為企業級指標和業務指標:企業級指標適用跟據業務共同特點制定,如員工離職率、IT錯誤率等。業務指標跟據各個業務部門特點分別制定。通過評估、選擇和設計相應的關鍵風險指標,提供對風險敞口、風險管理和控制有效性的洞察工具,作為預警訊號監控和跟蹤潛在風險和銀行預定的控制問題。同時關鍵風險因子表的選擇可以驅動潛在損失的收集。KRI的工作方法:由業務部門以及操作風險管理部門共同進行,針對銀行業務流程中的風險點,共同探討關鍵風險指標。指標的制定應考慮資料的可獲取性、可計量性、預警性、相關性以及成本收益成效。此外,在新業務或新風險點識別後,KRI也需要進行重檢更新,保證其完整性。
損失資料庫***LDC***:收集損失資料的最終目的是用作分析。通過分析發生在不同部門的不同風險事件以及不同的風險暴露情況,從而找出財務損失角度的高風險領域,操作風險發生頻率高的領域等問題,並採取相應的措施管理。LDC與KRI和RCSA是相互參照,相互驗證的。損失資料的收集管包括:損失資料的定義、識別,收集,複核驗證、合併,分析,彙報、整改。目前對操作風險損失事件的定義是指因操作風險未被有效控制,給銀行造成直接經濟損失***已確認的賬面損失***的操作風險事件。一般資料來源包括個別重大事件上報、客戶投訴、法律訴訟、監管檢查、內外審發現等。LDC的上報由業務部門發起,並由操作風險職能部門負責檢查監控。
操作風險三大管理工具彼此間存在著事前、事中以及事後的邏輯關係,同時也可以作為互相評估及設定的參考依據。風險與控制自我評估RCSA:通過RCSA對風險識別,為找尋損失資料提供了依據;風險與控制的識別結果,為KRI的設定提供了參考。缺陷/損失資料收集:真實的損失資料,為RCSA的評估提供了參考;真實的損失資料為KRI的設定提供了參考。關鍵風險指標KRI:KRI的異常,為RCSA的評估提供了參考並可作為執行的驅動力;KRI的異常往往指向真實的損失事件。
缺陷/損失資料收集相當於病例***過去***,風險與控制自我評估RCSA相當於全面體檢***現狀***,關鍵風險指標KRI相當於血壓計***未來***。通過三大工具的建設和應用,可找出目前公司的高風險領域、強化內控及風險管理力度,儘量在風險發生之前發現問題。此外,還可幫助銀行構建操作風險識別、評估、監控和預警處理的管理流程,可以確保管理層瞭解所面臨的操作風險,並根據自身的承受能力和發展策略採取針對性的風險應對措施,以合理的成本達到預期的風險管理效果。
內控、操作風險管理須一體化建設
有了操作風險管理工具並不可高枕無憂。
操作風險管理工具若要在銀行實際落地運用,必須與銀行既有的內控體系結合起來。“內部控制是操作風險管理的重要工具,絕大多數操作風險事件都與內控漏洞或者與不符合內控程式有關。”巴塞爾委員會在《關於操作風險管理的報告》中這樣指出。雖然操作風險事件的表現形式多種多樣,但透過現象看本質,這些操作風險實質是內控制度存在缺欠,商業銀行對內控體系認識不足,缺乏強化銀行風險內控的自覺性和主動性,造成識別和防範風險的能力不足。而當銀行內部控制失效時,操作風險就會浮出水面。
所以,銀行在運營的過程中,對操作風險發揮最主要也最實際的控制效果就是內部控制體系——良好的內部控制建設,可以有效防範起因於內部管理流程、人員以及系統的操作風險。在完善好內控體系的基礎上,再通過操作風險三大工具以及其配套的機制,建立操作風險識別與評估、監測與報告、控制與緩釋的機制,便可讓銀行的操作風險管理智慧化,依據自身的風險偏好與容忍度,及時監控各項業務的操作風險暴露對業務的影響,以及發現風險管理薄弱的環節。
但是,獨立開展內控管理與操作風險兩項管理工作勢必會導致銀行較高的管理成本。內控管理工作與操作風險管理工作既存在重疊,也各有側重,就像脣與齒一樣缺一不可。因此,銀行業開始探索並應用能夠兼顧內控管理和操作風險管理工作的一體化管理思路,從組織與職責、體系與流程、管理工具和資訊系統等各個方面將內控管理與操作風險管理兩項工作整合起來。
組織職責整合就是“兩塊牌子、一套人馬”,由同一個部門和團隊負責內控與操作風險管理,實現知識和人力資源的共享。
體系流程與工具整合就是以操作風險管理三大工具為核心,搭載內控和操作風險管理的流程,將內控梳理、損失資料收集、風險與控制評估程式、問題與缺陷整改、風險報告及考核體系有機整合,同時兼顧內控管理和操作風險管理的需要。
資訊系統整合就是搭建同一的管理資訊系統平臺,同時收集內控與操作風險所需的資料,在統一的平臺進行風險評估、監測預警、評估、學習和考核。
一體化的組織、流程、工具和資訊系統管理避免了內控與操作風險管理中的重複工作,節約了時間成本與人力資源。以控制自我評估為例,它既是內控評價的重要組成部分,又是操作風險管理的重要工具,一體化的管理可以減輕基層業務人員內控與風險管理的壓力。
與此同時,借鑑操作風險的監控指標、風險容忍度地圖、風險監測儀表盤等監控和分析決策工具,可以使得銀行採取的內控管理決策更加科學,以成本效益的角度採取適當的控制措施。例如,採取風險容忍度地圖方法確定管理層對操作風險容忍的底線,確定“不可接受”區間,將日常風險評估的結果落在風險地圖中,如果落在“不可接受”區間,則必須立即採取措施完善內部控制。
藉助一體化管理資訊系統繪製的風險監測儀表盤,將內控與風險管控現狀、內控薄弱環節與風險暴露高發領域等評估結果進行圖表與圖形化展示,生成相關報告,供管理者決策,帶來管理上的意義。