内容提要:我国商业银行目前对操作风险尚处于学习认识阶段,管理水平较低。重大丑闻和各类违规事件较多、员工素质不适应业务转型需要、产品创新风险较大、信用欺诈形势严峻是我国商业银行操作风险的基本特征。要通过完善治理机制,构筑新的“三道防线”对操作风险实施概率化控制。
关键词:商业银行操作风险管理
作者简介:尹毅飞,西安交通大学经济与金融学院博士研究生,710061。
中图分类号:17832.33文献标识码:A文章编号:1002-8102(2005)
一、操作风险管理的基本思路:以德意志银行为例
操作风险是指由于不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。①巴塞尔委员会尽管在《操作风险的管理与监管的稳健做法》中提出了十条指导原则,但考虑到操作风险比信用风险和市场风险更加变幻不定,很难利用单一的一套制度来管理,巴塞尔委员会仍给商业银行较大的灵活空间,允许、鼓励商业银行根据自身经营特点和内部控制体系自主开发操作风险计量系统,不断改进、完善操作风险管理方法。目前,国际银行业对操作风险管理尚处于探索阶段,笔者以德意志银行为例,分析他们是如何将十条原则“本土化”的。
(一)高层要对操作风险的定位达成共识,注重营造良好的操作风险管理氛围
面对监管、经营和竞争环境的变化,德意志银行高层认为,操作风险属于一种独立的风险形式,与信用风险和市场风险同等重要,有效管理操作风险对保持银行安全、稳健经营具有重要意义。他们将操作风险统一纳入全行的资本和风险管理体系,使操作风险管理覆盖全行所有的运营层面和业务领域。他们注重向全体员工灌输操作风险意识,明确管理操作风险不仅是内部控制和审计部门的责任,更是每个业务部门、每个业务单元和每位员工的责任,努力使操作风险观念贯彻于全行每个人的思想和行动之中②,营造有利于操作风险管理的银行文化。
(二)确立符合银行整体发展战略的操作风险组织架构和管理体系
1.建立健全操作风险决策系统。德意志银行实行双层董事会制度③,监督董事会和管理董事会负责制定操作风险管理战略和政策,并根据各自的职责对操作风险管理负责。
监督董事会职责:①规定操作风险定义。德意志银行根据本行业务结构及运作架构,将操作风险定义为由于员工失误、项目管理缺陷、合同条款纠纷、技术系统故障、固定资产损坏、自然灾害、外部事件冲击和客户关系恶化等原因而使银行遭受的损失。其中包括法规和监管风险。②制定操作风险管理战略。明确全行风险偏好和对特定风险的承受能力,指出可承受的风险类型,确定识别、评估、计量、监测、控制和转移操作风险的指导原则和方法。③定期评估操作风险组织和管理架构,确保对由市场和其他经营环境变化以及新产品、新系统、新业务活动所引起的操作风险进行有效管理。④向管理董事会提供有关操作风险管理框架的指引,审批管理董事会确定的操作风险管理策略。⑤确立操作风险责任体系。对操作风险专职控制部门、市场开拓部门、业务支持部门的操作风险管理职责和操作风险信息报告渠道进行区分和界定。⑥任命操作风险官员,向审计师签发审计命令,规范本行内部和外部审计活动等。
管理董事会职责:①按照监督董事会批准的操作风险管理架构,制定主要产品、业务、流程和系统操作风险管理政策、制度和流程。②确保操作风险管理政策准确地传到可能发生操作风险的每个部门和员工,明确各级员工在操作风险管理中的具体责任,保证操作风险监控人员独立地开展工作。③建立操作风险管理责任体系,制定银行内部各个管理层次操作风险的管理职能、责任和信息报告路线。④保证管理信用风险、市场风险、操作风险和其他风险的人员能够保持有效沟通,避免风险管理漏洞和重叠。⑤保持薪酬政策与银行的风险偏好相一致。
设立操作风险委员会和首席操作风险管理官。操作风险委员会成员包括部门操作风险控制官、业务部门和“管理中心”(指法律、审计、风险控制等不直接从事业务操作,只负责对业务系统进行管理和控制的部门)的代表。首席操作风险官作为操作风险管理的责任人,担任操作风险委员会主席,并作为集团风险委员会的成员,负责操作风险管理架构具体设计和评估,直接向集团首席风险官报告。同时,作为独立的操作风险管理体系的组成部分,各业务部门的操作风险控制官直接向首席操作风险官汇报工作。
2.完善操作风险管理执行系统。德意志银行建立了以专职操作风险管理部门为主体,业务部门和“管理中心”统一协调、分工负责、职责清晰、相互配合的操作风险管理组织体系。操作风险专职管理部门职责为:①建立操作风险管理框架,制定操作风险管理的具体策略和标准,明确管理和报告操作风险的任务和责任。②协调、指导、评估、监督各业务部门、支持部门的操作风险管理活动。③评估操作风险。④与信用风险和市场风险管理部门以及审计部门保持沟通,设计和开发本行统一的操作风险管理工具。⑤定期向高层汇报操作风险及管理情况。各业务部门承担识别、评估、管理、转移和管理操作风险的第一责任。每个业务部门、每个业务单元都分别设有操作风险经理和操作风险控制官,在操作风险管理部门支持下,负责执行本行的操作风险管理政策,制定本部门所辖各项业务的操作风险管理制度和流程,作为全行操作风险管理政策的补充,并自觉接受管理层的评估。在组织、业务管理上,根据“风险管理独立于业务部门”的原则,这些分散于各业务部门的专职人员行政上属于业务部门,但在业务上则属于操作风险管理部门派驻业务部门的人员,直接对操作风险管理部门负责,直到首席操作风险官,形成一个自下而上、逐级负责、垂直运作的风险管理和报告系统。
(三)建立周密的操作风险识别、计量、缓释、监控和报告流程
1.识别、评估和计量操作风险。按照操作风险定义,从引起操作风险的原因入手,识别各业务线和管理环节可能存在的操作风险类别及风险点,评估其可能的影响并明确风险标识。根据全行风险管理能力和风险偏好,对已经识别的风险,决定是否需要采取措施来控制和转移这些风险,或决定承担这些风险。并根据操作风险信息,选择适当的模型进行风险计量。
2.缓释、管理操作风险。德意志银行管理操作风险的基本方法主要有实行岗位职责分离、推行“四眼原则”、定期对员工进行教育和技能培训、制定应急计划、编发业务操作手册、对业务发展异常情况进行及时跟踪检查、购买保险等。在此基础上,德意志银行开发了四套应用系统。①“德意志风险图”(db-RiskMap)。利用此系统进行操作风险自我评估,及时掌握各业务线、业务部门和“管理中心”操作风险整体情况,据此监督风险管理活动的进度和效率。②“德意志事件报告系统”(db-Incident Reporting System)系统。利用此系统收集、积累各分支机构操作风险发生情况及损失数据,为计量操作风险、建立操作风险数据仓库和计量模型提供基础。③“德意志记分”(db-Score)系统。利用此系统识别和监控有关操作风险的定性和定量指标变动情况,以管理业务流程和信息系统安全风险。④“德意志跟踪”(db-Track)系统。利用此系统确定操作风险管理要点,并从动态角度,对需要重点管理的操作风险关键点及管理效果实施监控。利用这些系统,高层可以较全面地把握操作风险基本情况,及时调整风险管理策略。
对于一些特殊的操作风险,德意志银行也进行了探索。如针对计算机系统运行风险,根据德国法律和监管部门的要求,德意志银行对整个银行计算机软件的安全性、可靠性和稳定性进行审计认定,同时,为阻止外部计算机病毒的侵害,实行银行内外部计算机网络分开,对业务数据每天在不同地点进行备份。
3.监测和报告操作风险。为及时发现和纠正管理漏洞,控制操作风险发生频率,减少财务损失,德意志银行对操作风险状况和操作风险敞口实行即时持续监测,并设置了一系列监测指标来反映操作风险管理有效性,如违规违纪事件、客户投诉次数、系统故障次数及持续时间、财产损失金额、银客对账差错率等。他们还设计操作风险预警指标,如业务快速增长、新业务推广、员工流失、交易中断情况等对操作风险进行预警,以使银行能及时发现操作风险关键点,并采取恰当管理措施。操作风险管理部门、业务部门、“管理中心”和内部审计部门定期向董事会和高级管理层报告,报告内容包括银行面临的主要操作风险、重大操作风险事件、外部与操作风险相关的信息等。
德意志银行操作风险管理的特色是:操作风险管理是一个长期的、不断探索和总结完善的过程,要注重操作风险控制文化的培育;要有明确的操作风险定义,明确管理重点,增强针对性;操作风险管理架构的设计要与银行治理结构各组成部分相融合,操作风险管理不能仅局限于内部控制范围;注重信息技术在操作风险管理中的应用。
二、我国商业银行操作风险管理的现状和问题④
(一)我国商业银行操作风险管理现状
我国商业银行真正关注操作领域的风险是从上世纪90年代中后期治理违法违纪行为开始的。
如工商银行在1997年发布了“十大禁令”,严禁账外经营、高息揽存、超规模放贷、虚假核算贷款业务、挪用信贷资金进行股票期货交易、会计财务报表作假、越权拆借资金和对外提供担保、隐瞒重大案件事故等违规行为,对违反者,一律撤职或开除,并追究上一级行领导责任。2002年,央行发布《商业银行信息披露暂行办法》,明确规定商业银行必须向公众披露操作风险状况。同时,受我国加入WTO和《巴塞尔新资本协议》影响,商业银行对操作风险重视程度有了一定的提高。下表所示的情况基本上反映了我国商业银行操作风险管理的现状⑤。
从此表可以看出,目前我国商业银行管理操作风险的方法主要有授权、流程与制度控制、法律审查、稽核监督、保险、考核评价等。应该说,这些措施对控制操作风险发挥了一定的作用,但由于理论准备和实践经验不足,对操作风险尚处于学习认识阶段,在风险管理理念、思想和工具等方面与国际银行业有较大差距,关注程度和投入有限,管理方法比较初级,主要依靠定性管理,未与资本配置挂钩,距离模型化计量管理阶段还很远。总体上说比较薄弱,突出问题表现在:
1.尚未建立起较为完善的操作风险管理架构。对于操作风险的管理只是在部分风险点上有所突破,未设立专门的操作风险管理职能部门,操作风险管理战略和政策不明确,风险标准不统一,风险偏好和容忍度不清晰,没有一整套操作风险定义、识别、监控、转移等管理系统。对同一类型的操作风险,即使在同一银行不同分行做法也各不相同,表现出较强的随意性和自发性。操作风险管理层次低,过于分散,责任主体不明确,主要由各行业务部门按照本部门的理解和工作目标进行管理,缺乏信用风险、市场风险和操作风险信息沟通机制。
2.操作风险信息透明度低。由于政府高层和社会各界对商业银行发案情况格外关注,各行普遍将依法合规经营纳入分支机构负责人经营目标责任制考核,并与各种资源分配挂钩,“发案率”对各级行管理层是一个十分敏感的指标,在某种程度上其重要性甚至超过利润指标。各级行出于各种考虑,对大量损失较小的操作风险采用了“就地消化