兇悍的操作風險怎么搞垮銀行
兇悍的操作風險怎么搞垮銀行
著名的法興銀行弊案前后,商業(yè)銀行操作風險事件一直不勝枚舉。下面學習啦小編為大家介紹一下風險,希望對你有幫助。
無處不在的操作風險
操作風險事件幾乎每天都在銀行業(yè)內(nèi)發(fā)生。簡單來說,銀行只要開門營業(yè),就會面臨各種由于人員、流程、系統(tǒng)及外部環(huán)境沖擊所帶來的風險。例如,客戶的欺詐、偽造、糾紛等風險,內(nèi)部人員越權(quán)、勾結(jié)、差錯、盜竊的風險,以及系統(tǒng)宕機、產(chǎn)品瑕疵、管理不當?shù)娘L險。
商業(yè)銀行操作風險涉及商業(yè)銀行的每一項業(yè)務(wù)及其相關(guān)人員,這也是其同信用風險、市場風險的主要區(qū)別。事實上,在商業(yè)銀行面臨的三大風險中,影響并危及銀行運營的最主要風險即是操作風險。只是由于對于操作風險的認識較為模糊,加之對如何系統(tǒng)性地進行管理尚無經(jīng)驗可循,操作風險管理經(jīng)常被管理者有意或無意地“忽視”著。
對操作風險進行準確、合理的界定是建立完善、有效的操作風險管理體系的前提和基礎(chǔ)。2004年,巴塞爾銀行監(jiān)管委員會(BCBS)對商業(yè)銀行的操作風險作出了明確界定,即操作風險是指由不完善或失靈的內(nèi)部程序、人員及系統(tǒng)或外部事件而導致的銀行直接或間接損失的風險。2012年,中國銀監(jiān)會提出,操作風險是指由不完善或有問題的內(nèi)部程序、員工和信息科技系統(tǒng),以及外部事件所造成損失的風險,包括法律風險,但不包括策略風險和聲譽風險。
在我國,總結(jié)來看,商業(yè)銀行觸發(fā)操作風險事件的誘因有銀行內(nèi)部人員業(yè)務(wù)差錯、欺詐或違規(guī)操作(如員工私賣理財產(chǎn)品使得銀行受到控訴,利用看管金庫的職務(wù)便利盜取金庫資金使得銀行蒙受大額損失)、電子信息系統(tǒng)設(shè)計存在漏洞或系統(tǒng)癱瘓及業(yè)務(wù)停辦)、貪污受賄等,也有不可抗力的外部事件(諸如汶川地震等導致2008年銀行業(yè)遭受凈損失50億~130億人民幣);其包括銀行經(jīng)營管理所有方面的不同風險,既包括發(fā)生頻率低、但可能導致較高損失的意外事件等,也包括那些發(fā)生頻率高、但可能造成較低損失的日常業(yè)務(wù)流程處理方面。
操作風險管理有多重價值
在目睹國內(nèi)外金融行業(yè)陸續(xù)發(fā)生的諸多觸目驚心的重大操作風險事件后,國內(nèi)金融業(yè)逐漸意識到實施操作風險管理工作的必要性和緊迫性。單以招商銀行系統(tǒng)性故障引發(fā)的操作風險事件為例,可以看出,高科技的運用將人工操作帶來的風險轉(zhuǎn)變?yōu)橛绊懛秶鼜V的系統(tǒng)性風險。我們還可以觀察到,金融創(chuàng)新的出現(xiàn)會對銀行的人員素質(zhì)、系統(tǒng)和業(yè)務(wù)流程提出更高的要求,任何的疏漏都可能會給銀行帶來高額損失。如果銀行的流程管理和內(nèi)控體制還停留在原地不動,激發(fā)的操作風險事件將不斷出現(xiàn)。
在操作風險損失預防與控制之外,操作風險管理另有三個更深層面的目的和意義:
1、首先,從監(jiān)管達標的角度來看
巴塞爾委員會編制的“巴塞爾新資本協(xié)議”明確提出了操作風險組織架構(gòu)、政策、工具、流程和報告路線方面的監(jiān)管要求,中國銀監(jiān)會也在2012年6月發(fā)布了《商業(yè)銀行資本管理辦法(試行)》,對這一監(jiān)管要求作出了承接與細化,并要求在2018年前要達標。
2、其次,從成本效益角度來講
在可以承受的資源投入條件下,將操作風險可能造成的損失降低到管理者的風險容忍之內(nèi),簡單講就是不干虧本的買賣,要實現(xiàn)風險管理的效益大于成本投入。
3、最后,從內(nèi)部管理提升需求來看
可通過操作風險管理將一套思路、方式、手段、工具與既有的內(nèi)部控制體系相結(jié)合,形成一體化建設(shè)的整合模式,提升風險管理文化、建立風險偏好、完善企業(yè)治理架構(gòu),達到“1+1>2”的效果。
操作風險管理還有更加長遠的目的和意義。比如,從風險資本計提的角度來說,在操作風險高級計量法的框架下,通過計量工具精細量化操作風險,可有效降低操作風險計提資本,從而釋放資金以提升銀行的業(yè)務(wù)發(fā)展動能。再比如,實施操作風險管理可作為資本分配和考核的核心基礎(chǔ),可在此基礎(chǔ)上建立收益與風險掛鉤的資本計量體系,并應(yīng)用在資本分配、績效考核中,以使公司的風險/收益最大化。
有效運用操作風險管理三大工具
操作風險在管理上有許多困難。系統(tǒng)癱瘓,業(yè)務(wù)停辦,造成客戶與企業(yè)的損失;員工監(jiān)守自盜;產(chǎn)品營銷不當;交易超過公司內(nèi)的規(guī)定限額;交易錯誤……以上均屬操作風險。但實踐中,我們一直認為企業(yè)自身人員素質(zhì)佳、風控意識強、制度健全,其他企業(yè)發(fā)生的操作風險事件在本企業(yè)絕對不會發(fā)生。
以上觀點顯然是錯誤的,而深入探究原因
一方面,操作風險涉及范圍太廣,難以管理:操作風險多源自內(nèi)部問題,一般“家丑不外揚”,而且很難收集到大量資料;不同機構(gòu)所面臨的操作風險不同,一些既成的操作風險管理經(jīng)驗無法一體化適用;引發(fā)操作風險的原因與損失的概率、規(guī)模之間很難建立起關(guān)聯(lián)性;大型且危及生存的操作風險事件并不常見,大多數(shù)可能的操作風險事件,在大部分銀行的歷史上從未發(fā)生。
另一方面,常見的操作風險的管理思路、方式、手段、工具以及與之配套的管理信息系統(tǒng)仍處于初級階段,對其的計量更是不同于信用風險與市場風險,難以用風險概率分布方式進行量化。
新資本管理協(xié)議提供了操作風險管理的三大工具,包括“風險控制與自我評估(RCSA)、關(guān)鍵風險指標(KRI)和損失數(shù)據(jù)庫(LDC)三大操作風險管理工具,要求商業(yè)銀行應(yīng)當評估各業(yè)務(wù)條線的操作風險暴露金額與頻率,并系統(tǒng)性地收集、跟蹤和分析與操作風險相關(guān)的數(shù)據(jù)。此外,在此基礎(chǔ)上建立操作風險評估機制,將風險評估整合入業(yè)務(wù)處理流程,引入操作風險和控制自我評估或其他評估工具。定期評估主要業(yè)務(wù)條線的操作風險,并將評估結(jié)果應(yīng)用到風險考核、流程優(yōu)化和風險報告中。與此同時,通過建立關(guān)鍵風險指標體系,及時監(jiān)測相關(guān)指標,并明確指標突破閾值情況的處理流程,積極開展風險預警管控。
具體而言,風險控制與自我評估(RCSA)是指企業(yè)內(nèi)部為實現(xiàn)控制風險目標,而對內(nèi)部控制體系的有效性和恰當性實施自我評估的方法。RCSA的結(jié)果會形成風險熱圖,作橫向(同業(yè))和縱向(業(yè)務(wù)條線)的對比。對剩余風險較高的業(yè)務(wù)條線或機構(gòu),管理層會按此制定合適的風險管理機制,包括對風險較高的業(yè)務(wù)規(guī)模進行規(guī)劃、強化風險管理措施、采取風險緩釋手段去降低風險可能帶來的影響。
RCSA的工作方法:關(guān)注業(yè)務(wù)流程和控制成效,由業(yè)務(wù)部門以及操作風險管理部門共同進行。操作風險職能人員和業(yè)務(wù)流程具體執(zhí)行人員全體參與,用系統(tǒng)化的工作方法開展評估活動。例如:各職能人員與被評估單位管理人員組成一個小組,對部門/條線風險控制的恰當性和有效性進行評估,然后跟據(jù)評估和集體討論的結(jié)構(gòu),提出改進建議并出具報告,最后由管理者實施。RCSA需要定期進行重檢。如有新增業(yè)務(wù)或原有流程的變更,需要及時更新。
關(guān)鍵風險指標(KRI)分為企業(yè)級指標和業(yè)務(wù)指標:企業(yè)級指標適用跟據(jù)業(yè)務(wù)共同特點制定,如員工離職率、IT錯誤率等。業(yè)務(wù)指標跟據(jù)各個業(yè)務(wù)部門特點分別制定。通過評估、選擇和設(shè)計相應(yīng)的關(guān)鍵風險指標,提供對風險敞口、風險管理和控制有效性的洞察工具,作為預警信號監(jiān)控和跟蹤潛在風險和銀行預定的控制問題。同時關(guān)鍵風險因子表的選擇可以驅(qū)動潛在損失的收集。KRI的工作方法:由業(yè)務(wù)部門以及操作風險管理部門共同進行,針對銀行業(yè)務(wù)流程中的風險點,共同探討關(guān)鍵風險指標。指標的制定應(yīng)考慮數(shù)據(jù)的可獲取性、可計量性、預警性、相關(guān)性以及成本收益成效。此外,在新業(yè)務(wù)或新風險點識別后,KRI也需要進行重檢更新,保證其完整性。
損失數(shù)據(jù)庫(LDC):收集損失數(shù)據(jù)的最終目的是用作分析。通過分析發(fā)生在不同部門的不同風險事件以及不同的風險暴露情況,從而找出財務(wù)損失角度的高風險領(lǐng)域,操作風險發(fā)生頻率高的領(lǐng)域等問題,并采取相應(yīng)的措施管理。LDC與KRI和RCSA是相互參照,相互驗證的。損失數(shù)據(jù)的收集管包括:損失數(shù)據(jù)的定義、識別,收集,復核驗證、合并,分析,匯報、整改。目前對操作風險損失事件的定義是指因操作風險未被有效控制,給銀行造成直接經(jīng)濟損失(已確認的賬面損失)的操作風險事件。一般數(shù)據(jù)來源包括個別重大事件上報、客戶投訴、法律訴訟、監(jiān)管檢查、內(nèi)外審發(fā)現(xiàn)等。LDC的上報由業(yè)務(wù)部門發(fā)起,并由操作風險職能部門負責檢查監(jiān)控。
操作風險三大管理工具彼此間存在著事前、事中以及事后的邏輯關(guān)系,同時也可以作為互相評估及設(shè)置的參考依據(jù)。風險與控制自我評估RCSA:通過RCSA對風險識別,為找尋損失數(shù)據(jù)提供了依據(jù);風險與控制的識別結(jié)果,為KRI的設(shè)置提供了參考。缺陷/損失數(shù)據(jù)收集:真實的損失數(shù)據(jù),為RCSA的評估提供了參考;真實的損失數(shù)據(jù)為KRI的設(shè)置提供了參考。關(guān)鍵風險指標KRI:KRI的異常,為RCSA的評估提供了參考并可作為執(zhí)行的驅(qū)動力;KRI的異常往往指向真實的損失事件。
缺陷/損失數(shù)據(jù)收集相當于病例(過去),風險與控制自我評估RCSA相當于全面體檢(現(xiàn)狀),關(guān)鍵風險指標KRI相當于血壓計(未來)。通過三大工具的建設(shè)和應(yīng)用,可找出目前公司的高風險領(lǐng)域、強化內(nèi)控及風險管理力度,盡量在風險發(fā)生之前發(fā)現(xiàn)問題。此外,還可幫助銀行構(gòu)建操作風險識別、評估、監(jiān)控和預警處理的管理流程,可以確保管理層了解所面臨的操作風險,并根據(jù)自身的承受能力和發(fā)展策略采取針對性的風險應(yīng)對措施,以合理的成本達到預期的風險管理效果。
內(nèi)控、操作風險管理須一體化建設(shè)
有了操作風險管理工具并不可高枕無憂。
操作風險管理工具若要在銀行實際落地運用,必須與銀行既有的內(nèi)控體系結(jié)合起來。“內(nèi)部控制是操作風險管理的重要工具,絕大多數(shù)操作風險事件都與內(nèi)控漏洞或者與不符合內(nèi)控程序有關(guān)。”巴塞爾委員會在《關(guān)于操作風險管理的報告》中這樣指出。雖然操作風險事件的表現(xiàn)形式多種多樣,但透過現(xiàn)象看本質(zhì),這些操作風險實質(zhì)是內(nèi)控制度存在缺欠,商業(yè)銀行對內(nèi)控體系認識不足,缺乏強化銀行風險內(nèi)控的自覺性和主動性,造成識別和防范風險的能力不足。而當銀行內(nèi)部控制失效時,操作風險就會浮出水面。
所以,銀行在運營的過程中,對操作風險發(fā)揮最主要也最實際的控制效果就是內(nèi)部控制體系——良好的內(nèi)部控制建設(shè),可以有效防范起因于內(nèi)部管理流程、人員以及系統(tǒng)的操作風險。在完善好內(nèi)控體系的基礎(chǔ)上,再通過操作風險三大工具以及其配套的機制,建立操作風險識別與評估、監(jiān)測與報告、控制與緩釋的機制,便可讓銀行的操作風險管理智能化,依據(jù)自身的風險偏好與容忍度,及時監(jiān)控各項業(yè)務(wù)的操作風險暴露對業(yè)務(wù)的影響,以及發(fā)現(xiàn)風險管理薄弱的環(huán)節(jié)。
但是,獨立開展內(nèi)控管理與操作風險兩項管理工作勢必會導致銀行較高的管理成本。內(nèi)控管理工作與操作風險管理工作既存在重疊,也各有側(cè)重,就像唇與齒一樣缺一不可。因此,銀行業(yè)開始探索并應(yīng)用能夠兼顧內(nèi)控管理和操作風險管理工作的一體化管理思路,從組織與職責、體系與流程、管理工具和信息系統(tǒng)等各個方面將內(nèi)控管理與操作風險管理兩項工作整合起來。
組織職責整合就是“兩塊牌子、一套人馬”,由同一個部門和團隊負責內(nèi)控與操作風險管理,實現(xiàn)知識和人力資源的共享。
體系流程與工具整合就是以操作風險管理三大工具為核心,搭載內(nèi)控和操作風險管理的流程,將內(nèi)控梳理、損失數(shù)據(jù)收集、風險與控制評估程序、問題與缺陷整改、風險報告及考核體系有機整合,同時兼顧內(nèi)控管理和操作風險管理的需要。
信息系統(tǒng)整合就是搭建同一的管理信息系統(tǒng)平臺,同時收集內(nèi)控與操作風險所需的數(shù)據(jù),在統(tǒng)一的平臺進行風險評估、監(jiān)測預警、評估、學習和考核。
一體化的組織、流程、工具和信息系統(tǒng)管理避免了內(nèi)控與操作風險管理中的重復工作,節(jié)約了時間成本與人力資源。以控制自我評估為例,它既是內(nèi)控評價的重要組成部分,又是操作風險管理的重要工具,一體化的管理可以減輕基層業(yè)務(wù)人員內(nèi)控與風險管理的壓力。
與此同時,借鑒操作風險的監(jiān)控指標、風險容忍度地圖、風險監(jiān)測儀表盤等監(jiān)控和分析決策工具,可以使得銀行采取的內(nèi)控管理決策更加科學,以成本效益的角度采取適當?shù)目刂拼胧?。例如,采取風險容忍度地圖方法確定管理層對操作風險容忍的底線,確定“不可接受”區(qū)間,將日常風險評估的結(jié)果落在風險地圖中,如果落在“不可接受”區(qū)間,則必須立即采取措施完善內(nèi)部控制。
借助一體化管理信息系統(tǒng)繪制的風險監(jiān)測儀表盤,將內(nèi)控與風險管控現(xiàn)狀、內(nèi)控薄弱環(huán)節(jié)與風險暴露高發(fā)領(lǐng)域等評估結(jié)果進行圖表與圖形化展示,生成相關(guān)報告,供管理者決策,帶來管理上的意義。
看了“兇悍的操作風險怎么搞垮銀行”的人還看了: