关于商业银行操作风险管理研究

这是一篇商业银行操作风险管理研究,商业银行操作风险管理研究,只有建立健全的操作风险管理流程、框架和体系,才能够使操作风险得到有效的管理和控制,才能使因操作风险带来的损失降到最低限度。

商业银行操作风险管理研究论述正确的认识是操作风险管理的关键所在,建立健全的流程、框架和体系是操作风险管理的保障。

随着我国金融体制改革的逐步深化和商业银行股份制改造的稳步推进,金融市场竞争不断加剧,金融产品日新月异,与此同时,银行经营在必须控制和管理一些传统的风险如信用风险、市场风险、国家风险等之外,不得不面临着一类新的风险——“操作风险”的挑战。

操作风险是指由于银行内部程序、人员、系统不充足或者运行失当以及因为外部事件的冲击等导致直接或间接损失的可能性的风险。例如,1995年的巴林银行倒闭、1996年三井住友银行的巨额亏损以及2001年中国银行的开平案件,均可视为由操作风险所致。这类风险一旦发生,往往给银行带来巨大损失,严重时会直接导致银行的破产和倒闭,甚至还会对整个金融行业或国民经济运行都产生巨大的影响,因而越来越引起投资者、金融界、监管当局的重视。自然地,防范和控制操作风险也成为银行经营管理者的一个重要课题。

本文将首先介绍银行操作风险的内涵和实质,并揭示当前商业银行在操作风险管理方面的现状。之后,分析造成操作风险的主要原因,然后,在前面论述的基础上提出加强银行操作风险管理的方法和建议。

一、商业银行操作风险的实质、内涵和管理要求

巴塞尔新资本协议把操作风险定义为:操作风险是指由于银行内部程序、人员、系统不充足或者运行失当以及因为外部事件的冲击等导致直接或间接损失的可能性的风险。从操作风险的定义中不难看出操作风险包括内部程序、人员、系统三大方面的主要内容,也是认识操作风险的关键环节。

(一)全面认识操作风险的实质和内涵

认识事物是改造事物的前提和关键,对操作风险的认知程度越高,才能有效的提升操作风险管理的地位和管理的水准,有了正确的操作风险的认识,才能够上升到宏观的决策和微观的具体落实。张吉光认为:“商业银行在操作风险管理中,对操作风险的认识存在五大方面错误或偏差”。 (注1)通过对操作风险管理理论的研究,笔者认为:解决操作风险管理认识上存在错误或偏差,成为提高操作风险管理水平的关键。具体而言,要全面认识和了解操作风险,需要消除以下几方面的误区。

1、操作风险不能等同于操作性风险和操作中的风险

根据巴塞尔新资本协议的定义,操作风险可以分为四类:人员因素引起的操作风险、流程因素引起的操作风险、系统因素引起的操作风险和外部事件引起的操作风险。人员因素引起的操作风险包括操作失误、违法行为(员工内部欺诈/内外勾结)、违反用工法、关键人员流失等情况。流程因素引起的操作风险又分为流程设计不合理和流程执行不严格两种情况。而系统因素引起的操作风险包括系统失灵和系统漏洞两种情况。外部事件引起的操作风险主要是指外部欺诈、突发事件以及银行经营环境的不利变化等情况。其中,属于操作性风险的仅包括人员因素引起的操作风险中的操作失误、违法行为、越权行为和流程因素引起的操作风险中的流程执行不严格的情况。显然,操作性风险不能等同于操作风险,尽管操作性风险是操作风险中发生频率最大、占比最高的风险类型。从笔者搜集整理的近几年来国内商业银行发生的近50起操作风险案例的数据显示,操作性风险占总数的比例为70%。将操作风险狭隘地定义为操作性风险的做法,往往会使得建立在这一认识基础上的操作风险管理体系不能覆盖所有的操作风险,从而使银行难以防范那些突发事件的冲击,如前一段时间工商银行北京市分行出现的系统瘫痪、美国发生的“911”恐怖袭击等。

2、操作风险不能等同于金融犯罪

金融犯罪仅是操作风险中的主要类型,并不能涵盖所有类型的操作风险。根据我国对金融犯罪的定义,金融犯罪是指在金融活动中,侵害金融管理制度、金融市场秩序以及其他社会经济关系,依照我国刑法规定,应当受到刑法处罚的行为。对比巴塞尔委员会关于操作风险的定义,金融犯罪显然不包括那些由于银行自身不完善的流程和系统漏洞以及外部事件等因素造成的操作风险。最简单的例子就是操作失误,比如银行员工误将取款操作成存款,或者数字录入错误等均属于操作风险的范畴,但并不构成犯罪。将操作风险等同于金融犯罪,往往会使商业银行无意识地缩小操作风险的管理范围,错误地将操作风险管理等同于金融犯罪管理,从而将操作风险管理职责不恰当地赋予内部审计或安全保卫部门。这恰恰是造成目前我国商业银行操作风险管理进展缓慢的原因所在。

3、操作风险是可以计量的,应该为操作风险配置资本

表面上看操作风险确实无规律可循。事实上,这只是人们观察问题的角度不正确造成的。如果我们就单个年份来看,一些操作风险事件是无规律的,一旦将这些操作风险事件放在很长一段时间和同类型的大量数据中来看,我们会发现,这些操作风险往往会以某种稳定的概率发生。这正是人们量化操作风险的基础。最早提出操作风险量化模型的是Duncan Wilson。他在1995年12月的《risk》杂志中发表了“操作Var”的文章。文章认为,操作风险可以使用“在险值(Var)”技术进行测度,银行可以建立来自于内部和外部的操作损失事件数据库,并从数据拟合操作损失的分布,通过设置一个置信区间,比如95%,银行就可以计算出操作风险的Var,也就可以为其分配资本了。为操作风险分配资本的最大好处就在于,当银行遭受某种灾难性损失的时候不至于瘫痪,甚至于倒闭。在不可量化思想的支配下,很难想象银行会致力于操作风险量化模型的开发。这或许是国内商业银行操作风险管理水平难以提升的重要原因之一。

4、操作风险事件之间是相互联系的而不是孤立的

从表面看,工作人员的操作失误、银行员工的欺诈以及关键人员的流失三者之间并无多大联系。而停电、诈骗以及“非典”之间更是风马牛不相及。由此,很多人得出“各种操作风险事件之间是孤立的、毫无联系的,从而操作风险是突发事件”的结论。这其实是忽略了隐藏在不同表面现象背后的共性本质,忽略了众多随机变量近似地服从正态分布的统计原理。以工作人员操作失误、银行员工欺诈和关键人员流失三类风险事件来看,它们的本质均是人的因素引起的操作风险,且在足够长期限和足够多数据的情况下可以近似地描绘出其概率分布。停电、诈骗与“非典”之间的关系与此相似,三者均属于外部因素造成的操作风险,且众多上述事件同样会近似地服从正态分布。只有看到各种操作风险事件之间的联系,才能准确地描述银行面临的操作风险,进而从整体上把握操作风险。这正是巴塞尔委员会关于操作风险定义的基础所在。那种以孤立的、隔离的眼光看待操作风险的做法只能将各个操作风险视作突发事件,也就无法从整体上把握银行面临的操作风险,更不用说对其进行科学有效的管理了。目前国内很多银行就存在这一问题,当面对“非典”冲击之时,当遭受系统瘫痪之时,银行并未从操作风险的角度对之进行系统分析和把握,只是将其看作突如其来的偶然事件,应付过去。如此一来,银行根本不会想到为其准备应急预案和分配经济资本。再次面对类似事件,银行只能是屡屡受损,甚至于出现灾难性的后果。

操作风险的认识还应注意到操作风险的管理不仅仅是稽核审计部门的事,应该是业务生产各环节的管理要求;管理者非常容易对市场风险和信用风险管理产生偏好,不应该因此而忽视操作风险的重要地位;操作风险应重视资源的投入,尤其是更多的人力(培养专业的操作风险管理人才,建设操作风险管理的团队)、财力(投入资金用于操作风险的模型和系统建设)、物力(配置更多的固定资产资源,为操作风险管理的实施提供环境和保障)等等方面的投入。只有对操作风险有了清醒认识、足够的重视,才能上升到如何落实和实施操作风险的管理过程及事后的评价。

(二)、巴塞尔委员会对管理操作风险提出的要求

巴曙松在《巴塞尔新资本协议研究》一书中曾经提到:“操作风险的管理需要强调风险管理环境、风险管理过程、监管者的作用和信息披露的作用”(注2)。巴塞尔委员会在总结国际金融界经验的基础上,将管理操作风险归纳为四部分的具体要求:

1、建立适当的风险管理环境

巴塞尔委员会认为,对银行来说,应当首先建立适当的风险管理环境,这要求董事会应当了解作为一个独特的、可以控制的风险种类-----银行操作风险的主要方面,应当批准和定期审查银行的操作风险战略。该战略应该能够反映银行的风险容忍程度及其对这种风险种类的特定特征的理解。巴塞尔委员会也承认,银行组织内部的信息流程在建立和维持一个有效的操作风险管理框架方面可以发挥重要作用。

2、风险管理过程:识别、衡量、监督和控制

巴塞尔委员会认为,银行应当建立识别操作风险的类别、衡量操作风险的方法、监督操作风险的手段和控制操作风险的机制等的电子化管理系统。对操作风险的整个过程进行跟踪,有效的管理操作风险的全过程。建立衡量操作风险的必要方法,实施可以持续监督操作风险暴露和重大业务损失的应用系统。

3、监管者的作用

在建立适当的风险环境和全程的风险管理过程的基础上,监管者应对银行与操作风险相关的战略、政策、程序和做法直接或间接地进行定期的独立评价,使之可以及时的修正错误的环节。并保证银行具备一个有效的报告机制,使他们可以及时了解银行操作风险管理执行过程是否按照计定的方针政策行事,使监管者亦可了解政策方针落实的进展情况。

4、信息披露的作用。

准确、及时、完整的信息披露是管理操作风险的重要环节之一,在操作风险管理和监管中发挥着重要的作用。巴塞尔委员会要求银行应向公众进行充分的信息披露,使市场参与者可以对银行的操作风险暴露及其操作风险管理质量进行评估,从而选择各自的风险偏好,由市场机制评价和吸纳操作风险带来的可能性风险。

二、商业银行操作风险管理的现状

商业银行的发展史已有三百多年。“操作风险”一个曾经不被人们重视而却与商业银行发展伴生的风险种类,越来越显示出它的重要性,由于商业银行对操作风险的管理重视不够、认识不清、手段单一、方法陈旧、人才匮乏,致使操作风险肆虐,使商业银行付出了沉重的代价。

(一)、商业银行忽视操作风险所带来的沉重代价

商业银行中流传这样一句话:“谁忽视了操作风险,谁将为之付出惨痛的代价。”事实也证明了

这一点。近十年,金融界的重量级案件频发,从95年巴林银行的李森事件到05年中国银行分理处主任高山的票据诈骗案等,短短十年间,一系列由操作风险而引发的案例给商业银行造成了数以亿计的巨大损失(参见附表)。

商业银行操作风险形成损失的典型案例统计表

涉案银行名称 案件时间 案情简述 造成损失 总结教训

巴林银行 1995年 交易员李森私自开立“88888”账户隐瞒投机日经指数期货亏损。 14亿美元 管理松懈,监督不利,有章不循。

大和银行 1995年 交易员井口俊英从事3万笔未经授权的账外买卖美国联邦债券的交易形成损失。 11亿美元 越权违规,缺乏制衡,授权无度。

三井住友银行 1996年 交易员滨中泰男从事投机铜的期货交易造成亏损。 40亿美元 违规操作,监控不利。忽视管理。

中国银行开平支行 2001年 交易及管理人员余振东等人从事外汇买卖、账外贷款、盗用联行资金等方式造成银行损失。 4.8亿美元 超权越权,违规违法,作假藏真,监控失灵。

中国银行河松街分理处 2005年 分理处的负责人高山内外勾结,私自开出假票据,私自挪用客户的存款,使银行形成损失。 10亿人民币 内外勾结,违规违法,监控失灵。

(数据来源:摘自中国经营报和国际金融报)

操作风险带来的黑洞使一些商业银行付出惨痛的代价。 触目惊心的案件应该让监管者意识到监管的乏力。

(二)、商业银行对操作风险管理存在诸多错误的认识

操作风险之所以越来越给商业银行的经营带来难以承受的风险压力,究其原因主要是因为对操

作风险的认识出现了偏差。归纳起来主要有以下几个方面:

1、认为操作风险就是操作性风险或操作中的风险。

如果仅从字面上去理解操作风险,很容易将其理解为操作中的风险。这实际上是大错特错,极大地缩小了操作风险所包含的范畴。

2、认为操作风险等同于金融犯罪。

国际上商业银行业风险管理的实践表明,人们对操作风险的认识是从金融犯罪开始的。百年老店巴林银行的倒闭正是交易员李森犯罪所致。人们对金融犯罪的熟悉程度远高于操作风险,所以容易误认为金融犯罪就是操作风险。

3、认为操作风险是无法计量的,不可以量化的。

长期以来,人们对操作风险的描述更多的是局限于定性内容,很少有定量内容。这是由操作风险的特点所决定的。

4、认为各种操作风险事件之间是孤立的、毫无联系的。

表面看来,工作人员的操作失误、银行员工的欺诈以及关键人员的流失三者之间是相对独立的事件,相互之间并无多大联系。

5、认为操作风险管理只是内部稽核审计部门的事情,与其他部门无关。

很多商业银行的管理者将操作风险等同于操作性风险或操作中的风险。这种认识误区往往会导致另外一种错误认识,即认为操作风险管理只是银行内部稽核审计部门的事情,与其他部门无关,进而将操作风险管理职责不恰当地赋予内部稽核审计部门。

6、认为决策层只重视信贷风险和市场风险,商业银行就可高枕无忧。

许多管理者认为:商业银行的信用风险和市场风险是最重要的,操作风险只是日常业务处理过程中的一般差错,并不会对银行的资本构成多大的威胁。

7、认为操作风险的控制手段可以简化,不需要浪费更多的人力、财力和物力。

大多数的商业银行操作风险的控制手段和方法还一直停留在简单的、手工的、事后检查的模式上。认为不需要对操作风险付出更多的人力、财力和物力成本。

商业银行暴露出的对操作风险的诸多错误认识,往往是导致操作风险管理失败的主要原因。有针对性的及时纠正错误的操作风险认识将有利于提高操作风险的管理能力。从这个意义上来讲,商业银行对于操作风险的错误认识应该是修正的时候了。

三、对加强商业银行操作风险管理的方法和建议

目前,国际范围内在操作风险管理方面水平相对较高的商业银行,通常都建立了强有力的操作风险管理流程和框架,并将操作风险与管理其他风险所采用的方法和框架有机整合起来,形成操作风险管理的体系,而且通过有效管理操作风险减少了收入的波动性,其中有些机构还改进了自身的外部评级水平。巴塞尔新资本协议的颁布及实施,就促使操作风险管理进一步向更多的商业银行扩展。陈四清曾经说过:“商业银行的操作风险管理是整个风险管理体系中的重要组成部分,同样需要考虑操作风险管理的范围、文化、方法、计量、监督等方面的内容”。(注3)

首先,要健全商业银行操作风险管理的体系,商业银行要逐步建立一套从决策层、执行层直到

监督层;从国内到海外;从总行到分支的全球化的操作风险管理体系,由风险管理委员会制定操作风险管理的大政方针、决策操作风险的风险资本配置、批准核销操作风险损失准备等等。执行层按照计定的操作风险策略具体执行和落实操作风险的管理内容。最终,由操作风险的监管层负责跟踪评价操作风险的管理过程。决策、执行与监督,层层到位,各司其职,才能有效的管理和控制操作风险。

其次,商业银行要界定操作风险管理的范围。根据巴塞尔新资本协议的要求操作风险的范围主要包括内部程序、人员、系统三部分,商业银行要针对内部程序制定操作规程,针对人员制定员工的行为规范,针对系统制定规章制度,对整个商业银行的运营制定应急方案,减少和降低因操作风险事故带来的损失,有了清晰的操作风险范围界定,事后评价操作风险和监督操作风险的政策执行情况才能有的放矢。

第三、需要培育商业银行操作风险管理的文化。商业银行的操作风险管理不是一时之需,追赶时髦,而是伴随商业银行发展的不朽主题。就像企业需要建立企业文化,操作风险的管理文化要深入人心。人人意识到操作风险,商业银行的各阶层都来重视操作风险。

第四、商业银行要制定操作风险管理的方法。如何确定和量化操作风险,还需要有科学的方法和计量手段。目前,国际上先进的软件、模型已开始被商业银行应用,商业银行的操作风险管理手段和方法也在不断的完善和进步。

第五、跟踪商业银行操作风险管理的过程。操作风险管理包括风险识别、风险评估、风险决策、风险防范、风险处理、风险监督和风险评价的多个步骤,具有环节多、领域广、隐蔽性、突发性等特点的繁杂过程,只有全过程的跟踪操作风险才能够总结经验教训,不断提高操作风险的防范能力。

立足于国际金融界的经验,商业银行在引入操作风险管理、建立操作风险管理框架和健全操作风险管理体系时,需要重点注意以下几个方面的问题:

(一)、健全操作风险管理框架模式

1、建立基本运作程序的同时,从容易衡量的领域着手。从具体的实施过程看,国际金融界的经验是,首先建立一套相对策略的、但是比较完整的操作风险管理体系、缓释、监控、报告等环节,在此基础上建立覆盖整个机构的操作风险管理战略和政策,从相对简略的领域出发,在实际运作中逐步完善,扩大其覆盖的操作风险的领域。

2、金融机构在着手管理操作风险时,重点要建立与信用风险和市场风险相一致的操作风险管理框架,确定不同职位的人员在操作风险管理中的责任,如业务管理人员,其中特别是零售业务部门的操作人员;中台人员;稽核人员;风险管理部门等。在此基础上,风险管理委员会等高层机构应当确定打算选用的风险管理方法和策略,业务部门应当据此采集关于操作风险的各种数据,向市场寻求专业的咨询和支持,逐步建立初步的操作风险管理体系。严格地说,整个金融机构范围内管理不同风险的基本原则和方法应当一致,这意味着新建立的操作风险管理框架必须要整合到与信用风险和市场风险管理相一致的框架中去,操作风险所运用的方法和原理也应当与整个商业银行在风险管理方面运用的方法和原理相协调。

3、风险管理部门并不是风险管理的惟一部门,具体的业务部门、法律部门、稽核部门都承担着进行操作风险管理的责任。如果说市场风险和信用风险的管理日趋强调集中化的话,那么,操作风险的管理必须强调分散化。严格地说,具体的业务部门在操作风险管理方面应承担第一位的责任。这是由操作风险的特征所决定的,当然关于操作风险管理的具体原则应当由风险管理部门提供。

(二)、建立操作风险的报告与考核机制

1、操作风险的报告体系。操作风险的报告系统应当独立于业务部门,并且应当能够敏感地反映操作风险的变动,主要数据自动生成,在整个机构采用的采集方法保持一致。

2、操作风险体系中的激励和考核机制。在具体的管理人员介入操作风险系统的运行时,就存在着其机会主义地运用这一系统的可能性,因此,建立完善的激励机制和绩效考核制度在操作风险管理中同样十分重要。同时,即使一个机构中建立了相当自动化的操作风险报告体系,但是如果高级管理人员不能动态地介入整个管理过程、不能将报告的结果与员工和部门的绩效考核有机的结合起来,这个系统的运作也会大打折扣。

3、操作风险的报告和考核都离不开操作风险的衡量方法和技术,谨慎选择适当的操作风险衡量方法和技术显得非常重要。在多种计算资本拨备方法中,一般的银行可以先采用单一指标法进行测试(即一定的风险系数×毛收入),向金融机构管理层提供参考数据,有条件的银行还可以考虑采用标准化方法的具体措施。按标准化方法,银行业务将分类,并以各类业务的毛收入去计算总操作风险资本金的配置要求。对于一些风险管理能力较强的银行来说,应当注意及时跟进监管机构及业界有关计提操作风险资本金配置要求的最新发展,着手积累各类操作风险损失的数据,并在此基础上考虑使用更精确的方法。

(三)、参与操作风险的管理者应各司其职

1、董事会和高级管理层在操作风险的管理中应当承担更大的责任,包括建立清晰的管理结构、明确的责任分工,并且保证操作风险的管理框架能够覆盖所有相关领域,还应当建立清晰的关于操作风险的管理和报告程序。所有的业务部门和支持性部门 都应当整合在整个操作风险的管理框架中。

2、寻求合格的、充足的操作风险管理人员。从人员结构看,目前的一些国际金融机构中的操作风险管理人员主要有不同部门的管理经理、法律或者稽核人员、业务计划人员、信息安全人员等。较之信用风险和市场风险,操作风险管理方面有实际经验的人员相对较少,大部分需要金融机构结合自身的实际情况进行培训,还有一部分需要向外部招聘。

(四)、选择操作风险管理的主要类型

目前,全球范围内管理操作风险主要采取三种方法:总部集中管理型、总部集中管理与分散化支持型、稽核部门占据主导作用型。选择其中任何一种类型,主要取决于各自企业文化和董事会的风险偏好、自身的风险管理能力和风险管理水平等。针对性的选择操作风险管理的类型有利于操作风险管理框架的建立和实施。

四、结论

对操作风险管理有怎样的认识,就会映射出怎样的管理水平。所以重视操作风险的管理首先要从清醒的认识和了解操作风险入手。其次,要从战略的高度制订操作风险的管理策略。第三,要有与之配套的管理工具,主要指电子化的操作风险管理应用系统。第四,还要具备操作风险管理的具体方法,主要包括:操作风险的计量工具和管理模型。第五,要有高素质的操作风险管理人员和团队具体实施。第六,还需要建立起监督和后评价的机制。

总之,商业银行操作风险管理研究,只有建立健全的操作风险管理流程、框架和体系,才能够使操作风险得到有效的管理和控制,才能使因操作风险带来的损失降到最低限度。商业银行的操作风险管理要求不是一时之需,而是伴随商业银行发展的长期任务,我国的商业银行如果要想保持现有的竞争优势,甚至在国际金融市场取得一定的地位,就必须不断提高自身的操作风险管理水平。