银行系统论文：操作风险管理问题研究.doc

银行系统论文：操作风险管理问题研究近年来，国际上频繁发生的操作风险事故使商业银行遭受巨额的损失，过去10年里导致金融机构操作风险损失超过1亿美元的事件不下100宗，引起了银行管理层的高度重视。国际上一些先进的银行在操作风险管理上积累了较为丰富的经验，并形成了自身独特的操作风险文化和理念。国内银行业对操作风险尚未有一个全面、系统的认识，制约了国内银行业对操作风险管理的实践。一、操作风险管理的发展及在我国的引入 （一） 操作风险管理的发展历程。 根据国际跨国银行对“操作风险管理”研究达成的共识，认为对于操作风险的研究与管理可分为四个阶段： 第一阶段为识别阶段。此阶段的目标是要正确分辨和识别出银行所面临的主要操作风险，20世纪90年代国际金融界基本处于这一时期。90年代初期，国际上对于操作风险还没有统一的定义、没有普遍认同的衡量方法、没有可以公开获取的数据库、没有成熟的技术和软件，也没有引起监管者足够的关注。但是到90年代末期，尤其是年6月巴塞尔委员会颁布的“新资本协议框架”提出银行应对操作风险进行定量分析以后，操作风险才开始受到重视。 第二阶段为量化和追踪阶段。此阶段表现为进一步关注和研究操作风险，能够运用简单的方法对操作风险进行初步量化，并且能够简单预测主要操作风险的发展趋势。从年起至今，国际银行界基本处于这一时期。如巴塞尔委员会在年发布的“新资本协议框架”中提出，“银行应当披露更为详细的操作风险的信息”。最近，美联储对美国大型银行的抽样调查发现，样本银行中的17已经为操作风险建立了资本准备，有几家还公开披露了相关信息。 第三阶段为计量阶段。在此阶段银行应能对自身所面临的操作风险进行准确计量，并能公开对外披露。年6月公布的“巴塞尔新资本协议”中提出操作风险资本量化的三种方法，即基本指标法(BIA)、标准法(SA)和高级测量法(AMA)，其中AMA于年底实施，届时标志着国际先进银行操作风险管理进入更高的阶段。 第四阶段为整合管理阶段。在此阶段银行应能结合自身所面临的操作风险，运用多种方法进行管理，最大限度地降低操作风险所带来的损失。 从全球现状来看，目前多数银行都处于认知、量化追踪阶段，少数国际大银行达到了计量和整合阶段。 （二）操作风险管理在我国风险管理中的引入 年9月，中国人民银行发布并开始实施商业银行内部控制指引，对我国银行建立操作风险管理和控制框架提出了要求，对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控，这就使得内部控制覆盖到银行的全部经营管理活动。与此同时，国内学术界和实践界也开始较多地关注操作风险的研究，出现了一些介绍性文献和相关文章。 年伊始，中国银行业似乎一下进入“多事之秋”，金融业大案、要案频发且不断升级。先是年初中国银行黑龙江河松街支行行长高山卷款10亿元潜逃案；随后2月22日，建设银行吉林分行3.2亿元金融诈骗案又浮出水面；3月24日，银监会又查出农行包头分行重大违法经营案件，涉案金额1.15亿元；仅8天之隔，4月2日中国银行北京分行6.4亿烂尾楼骗贷大案曝光。建行上市冲刺阶段，又发生了原行长张恩照突然“辞职”事件。此类案件，中国社科院金融所所长李扬称之为“细节中的魔鬼”，正是巴塞尔新资本协议谓之的“操作风险”。换句话说，中国银行业面临的操作风险正在逐渐显现，且严重程度令人担忧。 年3月7日，中国银监会针对银行机构对操作风险识别与控制能力不适应业务发展的突出问题，发布了关于加大防范操作风险工作力度的通知，首次将操作风险与信用风险并列为银行面临的三大风险。通知指出，一些机构由于相关制度不健全，或者对制度执行缺乏有效监督，对不执行制度规定者查处不力，风险管理和内部控制薄弱，导致大案、要案屡有发生。要求银行机构加大力度，采取切实措施，有效防范和控制操作风险。通知既是商业银行防范操作风险的指引性文件，也是审慎监管要求。主要针对当前商业银行操作风险中存在的突出问题，而不是操作风险控制的一般性指引，并未覆盖有关操作风险的全部内容。 可以看出，操作风险管理的重要性和必要性越来越多地被各界所认识。但遗憾的是，目前还没有形成一个广泛认可的操作风险衡量和管理框架供银行业借鉴。 二、操作风险的涵义、特点及分类 根据巴塞尔新资本协议的定义，操作风险(operationalrisk)是由不完善的或有问题的内部程序、人员及系统以及外部事件所造成损失的风险，其中包括法律风险，但不包括策略风险和声誉风险(strateSic andreputationalrisk)。与所有的风险一样，对于银行而言，操作风险指的是操作实际绩效低于预期绩效的可能性。 这个定义有五个特点：一是关注内部操作，内部操作常常就是银行及其员工的作为或不作为，银行能够也应该对其施加影响；二是重视概念中的过程导向；三是人员和人员失误起着决定性作用，但人员失误不包括出于个人利益和知识不足的失误；四是外部事件是指自然、政治或军事事件，技术设施的缺陷，以及法律、税收和监管方面的变化；五是内部控制系统具有重要的作用。目前常见的操作风险分类方法将其划分为以下七种事件类型： （一）内部欺诈：有机构内部人员参与的诈骗、盗用资产、违犯法律以及公司的规章制度的行为。例如内部人员虚报头寸、在职员的账户上进行内部交易等等。 （二）外部欺诈：第三方的诈骗、盗用资产、违犯法律的行为。例如抢劫、伪造、开具空头支票以及黑客行为对计算机系统的损坏。 （三）雇用合同以及工作状况带来的风险事件：由于不履行合同或者不符合劳动健康、安全法规所引起的赔偿要求。例如，工人赔偿要求、违犯雇员的健康安全规定、有组织的罢工以及各种应对顾客负有的责任。 （四）客户、产品以及商业行为引起的风险事件：有意或无意造成的无法满足某一顾客的特定需求，或者是由于产品的性质、设计问题造成的失误。例如滥用客户的秘密信息、银行账户上的不正确的交易行为、洗钱、销售未授权产品等。 （五）有形资产的损失：由于灾难性事件或其他事件引起的有形资产的损坏或损失。例如恐怖事件、地震、火灾、洪灾等。 （六）经营中断和系统出错：业务的意外中断或系统出现错误。例如软件或者硬件错误、通信问题以及设备老化。 （七）涉及执行、交割以及交易过程管理的风险事件：交易失败、过程管理出错、与合作伙伴、卖方的合作失败。例如交易数据输入错误、间接的管理失误、不完备的法律文件、未经批准访问客户账户、合作伙伴的不当操作以及卖方纠纷等。 业务部门是按照损失事件发生的部门，来对损失事件进行分类。Basel委员会划分的商业银行的业务部门包括： （一）公司财务：合并与收购、股份承销、资产证券化、首次公开上市发行、政府债券和高收益债券等。 （二）交易与销售：固定收益债券、股权、商品期货、信用产品、自有头寸证券、租赁与赎回、经纪、债务。 （三）零售银行业务：零售的存贷款业务、私人的存贷款业务、委托理财、投资建议。 （四）商业银行业务：项目融资、房地产、出口融资、交易融资、代收账款、租赁、担保、贷款。 （五）支付与清算：支付、转账、清算。 （六）代理服务：契约、存款收据、证券借贷、发行和支付代理。 （七）资产管理：可自由支配的资金管理和不可自由支配的资金管理。 （八）零售经纪：零售的经纪执行以及其他服务。三、我国银行操作风险现状（1990年年）由于我国大多数银行还处在向真正的商业银行转型过程中,我国银行业内部控制机制还不完善,加之以社会转型过程中泥沙俱下的腐败蔓延,操作风险是我国商业银行的主要风险来源之一,其在商业银行风险中的比重远大于国际同行的水平。 本文所涉及的我国商业银行操作风险损失事件全部来自于国内外媒体的公开报道。时间跨度由1990年至年，涉及我国国内的7家商业银行，共发生操作风险损失事件71起，给银行带来的损失多至5.3亿元，少至2500元。尽管我国银行业损失事件的收集很不全面，但仍然可以概括出以下特征： 1）在我国的商业银行中,操作风险广泛存在,并且给银行带来了巨大的损失。这充分显示了操作风险发生频率低、但是一旦发生就会造成极大的损失，甚至危及到银行存亡的特点。2）从业务部门来分析，损失事件主要集中在商业银行业务和零售银行业务，分别占到了74.65%和18.31%。3）从损失事件类型来看，损失事件主要可以归因于内部欺诈、外部欺诈，分别占到了57.75%、21.13%。这类行为一般隐匿时间较长,银行的损失极大。 4）业务部门和损失事件类型两种因素的组合来看，占损失事件比例最大的是商业银行业务中的内部欺诈，总共有38起，占53.52%。其次是商业银行中的外部欺诈行为，占到了总损失事件的16.90%。5）从中可以看出，无论在哪种分类情况下，各类之中的损失大小的均值相差都很大。这说明，在度量操作风险时，应该分别考虑每个业务部门和每个风险事件组合下的损失分布情况。四、我国银行操作风险存在的认识误区和管理中的缺陷 （一）银行操作风险认识五大误区。主要表现在：1、操作风险就是操作性风险或操作中的风险。从字面上理解操作风险，很容易将其理解为操作中的风险，极大地缩小了操作风险所包含的范畴。操作风险可以分为四类：人员因素引起的、流程因素引起的、系统因素引起的和外部事件引起的操作风险。操作性风险仅包括人员因素引起的操作风险中的操作失误、违法行为、越权行为和流程因素引起的操作风险中的流程执行不严格的情况。显然，操作性风险不能等同于操作风险。统计显示，近几年来国内银行业发生的近200起操作风险案例，操作性风险占总数的70%。2、操作风险等同于金融犯罪。严格来讲，金融犯罪是操作风险中的主要类型，并不能涵盖所有类型的操作风险。根据我国法律，金融犯罪是指在金融活动中，侵害金融管理制度、金融市场秩序以及其他社会经济关系，依照我国刑法规定应当受到刑法处罚的行为。对比巴塞尔委员会关于操作风险的定义，金融犯罪显然不包括那些由于银行自身不完善的流程和系统漏洞以及外部事件等因素造成的操作风险。将操作风险等同于金融犯罪，会缩小操作风险的管理范围，错误地将操作风险管理等同于金融犯罪管理。3、操作风险无法计量，不能为其分配资本。与其他风险相比，操作风险往往具有突发性、偶然性和难以预测的特点，长期以来对操作风险描述更多局限于定性内容。最早提出操作风险量化模型的是DuncanWilson。他认为操作风险可以使用“在险值（Var）”技术进行测度，银行可建立操作损失事件数据库，并从数据拟合操作损失的分布，通过设置一个置信区间，比如95%，就可以计算出操作风险Var，即可为其分配资本。为操作风险分配资本最大好处在于，当银行遭受灾难性损失时不至于瘫痪，甚至于倒闭。在不可量化思想的支配下，很难想象银行会致力于操作风险量化模型的开发。4、各种操作风险事件之间是孤立的、毫无联系的。忽略了隐藏在不同表面现象背后的共性本质，忽略了众多随机变量近似地服从正态分布的统计原理。以工作人员操作失误、银行员工欺诈和关键人员流失三类风险事件为例，它们的本质均是人的因素引起的操作风险，且在足够长期限和足够多数据的情况下可以近似地描绘出其概率分布。只有看到各种操作风险事件之间的联系，才能准确地描述银行面临的操作风险，进而从整体上把握操作风险。5、操作风险管理只牵涉到内部审计部门，与其他部门无关。认为操作风险管理只是银行内部审计部门的事情，与其他部门无关，进而将操作风险管理职责不恰当地赋予内部审计部门。这种情况在国内银行业中绝非少数。从银行内部控制体系的构成来看，内部审计部门属于内部控制机制中的评价与监督环节，对银行的风险管理进行监督，对其有效性进行评价，而不是直接参与风险管理。并且操作风险管理涉及许多部门，如安全保卫、科技、后勤事务部门等。这就难免出现部门之间需要协调的情况。显然，这仅靠内部审计一个部门是不够的。（二）与国外先进银行相比，我国商业银行操作风险管理存在的主要缺陷 1、错误的操作风险管理理念。一是“重事后管理，轻事前防范”，看重对已发生或已存在的风险采取事后的管理处罚措施，试图以严厉的处罚遏制风险的出现。而对事前的防范和事中的控制措施关注较少。二是“重个案查处，轻全面分析”，从而造成同类性质案件屡次发生，相同的诈骗手法屡次得逞。关联企业骗贷频频发生就是很好的例证。三是“重基层操作人员管理，轻高层领导人员管理”，银行内部审计部门主要精力集中在基层操作人员，而对高层管理人员仅有离任审计，没有日常稽核监督。近年很多银行高官纷纷落马与这种错误风险理念的指导是分不开的。四是“重审计稽核，轻全面管理”，国内很多银行往往将操作风险视同操作性风险。在此理念的支配下，银行往往将操作风险管理职能赋予内部审计部门，而非风险管理部门，从而造成很多类型的操作风险（比如系统因素引起的操作风险）无人管理。2、不健全的风险管理架构。 （1）操作风险管理职责分散，缺乏专门的管理部门。国外银行在操作风险管理框架上一般会设置一个委员会，由各相关部门参加，而操作风险管理政策的执行和协调由风险管理部来负责。但从我国的情况来看，不同类型的操作风险由不同的部门负责，没有一个协调部门。比如安全保卫部负责安全保卫方面的操作风险，内部审计部门负责操作性风险，科技部门负责系统方面的操作风险。这种分散管理的做法使得银行系统缺乏统一的操作风险管理战略和政策，高层管理者更是无法清楚了解银行面临的操作风险整体状况。同时，分散管理还使得有些操作风险因无人管理而陷入真空状态。 （2）基层分支机构操作风险管理职能缺失。国外银行一般会在基层分支机构设置风险经理一职，负责总行风险管理政策在基层的贯彻落实，对基层分支机构的监督管理以及与总行风险管理信息的沟通。国内银行大多没有这一设置。操作风险管理基本上由内部审计部门负责，这一部门仅在总行有设置，在基层机构没有分支。这就造成基层分支机构操作风险管理职能的缺失，从而为操作风险的出现提供了机会。 （3）内部审计部门权威性不强。在对操作风险的错误认识下，国内很多银行几乎一致将内部审计部门作为操作风险管理的职能部门。值得注意的是，尽管国外很多银行的内部审计部门也承担了部分操作风险的管理职能，但该部门直接向董事会负责，具有很强的独立性和权威性。因而审计工作很容易开展。不过，国内银行的内部审计部门并不是直接隶属于董事会，而是与一般部室平行设置。这就造成其权威性不强。往往是对分支机构的稽核监督容易，对总行层面的稽核监督难以开展。 3、操作风险管理手法单一。 （1）过分依靠内部审计，忽略外部审计力量。 （2）制度建设跟不上，制度执行不力。外资银行对每种业务都会制定详尽的操作手册，并列示所有潜在风险点，减少了操作人员因操作不当引发操作风险的可能，并为操作风险管理部门的监督提供指导。而国内银行业在风险管理制度建设方面明显不足，往往先开展业务，后制定规章，从而引发大量风险的发生。此外，制度执行不力也是我国银行业操作风险管理上的一大问题。制度执行不力就会使制度形同虚设，失去约束力。 （3）电子化手段缺乏。国外越来越多地采用电子手段进行操作风险管理，既提高了工作效率，也确保了风险管理的有效性。在对操作性风险的审计监督上，国外银行大多也采用了电子审计方式。在这方面，国内银行要走的路似乎还很长。 五、完善我国商业银行操作风险管理的策略选择 （一）培育重在细节和执行的企业执行文化和风险文化。巴塞尔新资本协议提出了对包括操作风险在内的资本最低配置要求，但是配置资本并不是有效控制操作风险的最好办法，对付操作风险的第一道防线还应该是良好的企业执行文化、严格的内控机制和风险管理。当前，商业银行应成立企业文化建设管理委员会(或企业文化促进会)，专门研究和推进企业文化建设，大力宣传和倡导一种重在细节和执行的企业执行文化。针对目前大量存在的高频率、低损失类操作风险，首先应加强对员工合规意识的教育和培训；其次，加大对全员内控和风险知识的培训力度，将其作为新员工培训及新提拔干部的必修课。成功的风险管理需要一种“风险管理人人有责”的企业文化。（二）确立全面风险管理理念，建立适当的操作风险管理环境。这要求银行董事会和高级管理层要从战略上将有效的操作风险管理确定为银行稳健经营的关键要素之一。董事会应充分了解银行的主要操作风险所在，核准并定期审查银行的操作风险管理系统，确保操作风险管理系统受到内审部门全面、有效的监督；高级管理层应负责执行和实施经董事会批准的操作风险管理系统，制定相关政策、程序和步骤，以管理存在于银行重要产品、活动和系统中的操作风险，使各级员工充分了解其与操作风险管理相关的职责，确保操作风险管理战略和政策在全行范围内得以持续的贯彻执行。 （三）对当前金融案件深层梳理，做好合规、合法与欺诈控制。当前商业银行操作风险管理应以商业银行业务和零售银行业务部门为重心，以内部欺诈、外部欺诈事件类型等为重点，制订出确保有关法律法规得到有效遵守的内部政策和具体程序；通过教育、示范、监督与技术控制，切断银行与违法犯罪活动的联系，避免内部欺诈与犯罪以及卷入外部欺诈陷阱。防范要基本覆盖交叉于当前商业银行各业务部门的内外勾结、欺诈作案的主要操作风险点。 （四）借鉴国际经验，建立完整的操作风险管理体系。要使操作风险得到有效控制，还必须建立一个行之有效的操作风险管理体系。这个体系应基本覆盖操作风险的识别、评估、监测、缓释、控制和报告等程序和环节，并在此基础上建立覆盖整个银行的操作风险管理战略和政策。建立操作风险管理体系的基本目标，一是要充分识别和评估所有重要产品、活动和系统中的操作风险，并确保在引入新产品、活动和系统之前，对其中的操作风险经过足够的评估；二是要通过一套程序定期监测操作风险的状况和重大损失，及时报告有关信息，敏感地反映有关操作风险的变动，以此形成有效的风险预警和决策支持机制；三是要有相应的策略、方法、程序来控制或降低风险，并根据整个风险状况和风险承担能力来及时调整操作风险政策。（五）注重技术创新，积极推进操作风险管理工具的开发和运用。从巴塞尔委员会的建议和国际银行业风险管理方面的实践看，银行用于识别、评估操作风险的工具和方法主要包括监测指标、外部参考指标、统计分析、计分卡方法、体现风险及其影响的因果关系的模型、风险对应关系、历史损失数据库等等。一方面，从风险控制和缓释方面来说，除了通过加强内控外，银行还应积极运用保险、外包协议等方法降低和转移风险。另一方面，要运用先进的现代技术，建立操作风险计量、预报和信息发布制度，学习和借鉴科学的操作风险计量技术，建立适合于我国商业银行的操作风险计量模型，定期对操作风险进行度量和预测。（六）加强人才队伍和激励机制建设，为有效引入操作风险管理提供支持和保障。一是推行风险经理制度，建立科学的风险管理专业人员任职体系。制定风险经理职、权、责标准和素质要求，通过考试进行资格认证、