第一篇:流程視角下的商業銀行操作風險管理研究(大全)
流程視角下的商業銀行操作風險管理研究
內容提要:操作風險管理是銀行風險管理領域中的一個前沿和熱點問題,由于銀行操作風險產生的原因復雜,很難進行科學的度量和計算。本文將流程的相關理論引入到銀行操作風險管理領域,以流程的視角來分析操作風險,幫助銀行實施有效的風險管理。關鍵字: 流程;操作風險;商業銀行
一、引言
隨著銀行服務的全球化、技術系統的更新、交易量的提高、日趨復雜的交易工具和交易策略等,都增大了銀行機構面臨的操作風險。對整個銀行業和國際監管機構引起巨大震撼的“巴林銀行”事件,從表面上來說是由于“關東大地震”所導致的日經指數期貨暴跌,日本政府債券卻一路上揚,里森不幸在這兩個品種上都持有錯誤方向的籌碼。這種突然來臨的市場風險直接導致了里森的垮臺,及巴林銀行的清盤倒閉。但本質上,卻是由于巴林銀行混亂的內部控制與風險管理體系所導致的,徹頭徹尾是由于操作風險而招致的滅頂之災。巴林事件之所以能發生,關鍵在于:交易與清算之間應有的制度執行缺失,業務流程應履行的監督失靈所導致。操作風險源自于內部程序不完善、人為失誤、系統故障和外部事件的影響,而銀行業務流程是操作風險發生的主要載體,規范、科學、運行良好的業務流程,能從根本上起到規避和減少操作風險的作用。因此,從流程角度來研究操作風險管理是從商業銀行操作風險管理和流程管理理論的內在耦合性出發,對銀行操作風險管理所做的有益嘗試。
二、流程與操作風險
操作風險的核心概念是操作(operations),其本意是“運營或發揮功能的活動或流程(the act or process of operating or functioning,美國傳統辭典)”,中心詞是活動或流程(act或process)。實際上,商業銀行本身就是一個為最終滿足顧客需求、實現投資者價值最大化而運行的一系列有密切聯系的業務流程和活動的集合體。2005年中國銀監會主席劉明康就指出“流程銀行”是商業銀行變革的方向之一,凸顯了“流程”在現代商業銀行中的重要地位。銀行提供產品或服務的過程,即是承擔風險、消耗資源使得價值從一個業務流程或活動轉移到下一個業務流程或活動的過程,最終商品或勞務既是全部業務流程的集合,也是全部資源、全部風險的集合。國內外許多學者在這方面進行了研究,從國內的研究看,主要集中在操作風險的管理框架、度量方法及風險值衡量、基于工作流的操作風險控制及基于流程管理的銀行信息化等方面。從國外看,Ebnother et al.(2002)認為操作風險的衡量和管理一定是基于定義良好的流程,它們是操作風險管理的“精微平臺(microscopic level)”,該文獻中也提到了流程活動的概念,但它們只是作為流程的附屬存在。Leippold et al.(2003)提出并應用價值鏈的概念來模型化操作風險,而價值鏈實質就是基于流程展開的。這些研究雖然涉及到流程和操作風險之間的關系,但較為全面論述二者關系的文章還沒有見到,特別是將流程理論和操作風險緊密結合起來,重新審視操作風險管理。因此本文從流程出發,以流程的視角分析操作風險管理的兩個重要內容:內部控制和風險度量,為銀行操作風險管理提供一個新的思路。
所謂流程,普適的定義是指為特定客戶和市場提供產品和服務而實施的一系列精心設計的有邏輯相關性的活動(Davenport & Short, 1991)。流程進一步細分為活動(或稱為流程活動,activity),流程活動是流程的最基本要素。一個流程活動是接收某一種類型的輸入,并在某種規則控制下,利用某些資源,經過特定變換轉化為輸出的過程,即: 流程活動={輸入,處理規則,資源,輸出} 其中,資源是指流程活動執行者在執行這一流程活動時所依賴的方法或憑借的手段。一個流程中的基本流程活動是不可再分的流程活動,其特征包括:明確的結果;清楚的邊界;獨立于其他流程活動。
銀行業務流程就是銀行實現自身價值所進行的一系列的業務活動,它是銀行的核心價值活動,也是隱含風險,造成損失的重要載體。
我國商業銀行現有的業務流程可以分為直接創造價值的前臺客戶服務流程和為直接創造價值活動服務的后臺支持流程,這兩個流程按照J·佩帕德和P·羅蘭的劃分分別屬于銀行的經營流程和保障流程。對我國的商業銀行而言,前臺后臺的業務流程類型如圖1所示: 從流程的角度來考察操作風險,也可以從操作風險的定義中反映出來。巴塞爾委員會的定義是:“由于不當或失敗的內部程序、人員和系統或外部事件導致損失的風險”,這一定義包含四類因素,即人員,程序,系統和外部事件,但都通過業務流程發生作用。瑞士信貸集團的定義是“由于以不當或失敗的方式操作流程活動而對業務帶來負面影響的風險,操作風險也可能是由外部因素造成的”。全球衍生產品研究小組曾經給操作風險下過這樣一個定義:“操作風險是指由于控制和系統的不完善、人為的錯誤或管理不當所導致的損失的風險。”它是從人員、系統和操作流程三個方面對操作風險進行了界定,并且把管理作為防止操作風險的決定性因素。銀行操作風險涉及組織的各個方面,主要發生在銀行服務的各種流程活動之中,流程中的人、系統和操作程序就成為操作風險管理的重點。因而操作風險管理的重要內容是規范、監視和分析組織內部的各種流程,同時將人和系統的因素考慮到流程之中。
由圖2可以看出,風險管理流程作為一項支持性的經常活動,對其它流程有著監督的作用,因而可以將風險管理流程和普通業務流程作為整體來考慮,即對流程的數據、知識和規則建模時,可以對每個業務流程活動和類型進行基于損失數據的風險評估和分析,做到每一個流程活動的流程管理和風險管理。
三、流程視角下的銀行內部控制框架
自1992年美國COSO委員會發布《內部控制框架》(簡稱COSO報告)以來,該內部控制框架已經被世界上許多銀行所采用,但理論界和實務界紛紛對內部控制框架提出一些改進建議,強調內部控制框架的建立應與銀行的風險管理尤其是操作風險相結合。新的全面風險管理框架就是在1992年的研究成果--《內部控制框架》報告的基礎上,結合《薩班斯一奧克斯法案》(Sarbanes-OxleyAct)在報告方面的要求,進行擴展研究得到的。《薩班斯-奧克斯法案》是安然、世通等財務欺詐事件發生后,美國證監會于2002年7月30日頒布并實施的強制所有在美國上市的公司在2006年財年結束前執行的一項內部控制法案,被美國總統布什稱為“自羅斯福總統以來美國商業界影響最為深遠的改革法案”。該法案要求組織機構使用文檔化的財務政策和流程來改善可審計性,并更快地拿出財務報告。要求銀行針對產生財務交易的所有流程活動,都做到透明度、控制、通訊、風險管理和詐欺防治,并且這些流程必須詳加記錄到可追查交易源頭的地步。
在傳統的勞動分工原則下,職能部門把銀行的流程割裂成一個個獨立的環節,關注的是單個任務或工作,其結果就是忽視內部控制的動態性、系統性。從流程的視角出發,就需要從顧客需求出發,對銀行流程進行系統性的思考分析,或通過對銀行流程構成要素的重新分解、組合,以此實現銀行流程徹底的改造和重新設計,從而獲得銀行績效的持續改進。它不再強調單個工作或任務自身是什么,而是這些工作是如何有效執行的,因為銀行的一切經營活動就是一系列富有邏輯關系的流程的有序集成,因而契合于銀行整個業務流程的內部控制活動和程序,也將表現出如同流程再造那樣必須根據外界需求變化不斷檢視和調整的系統動態過程,這個過程也體現了銀行抵御外部影響而導致操作風險的柔性能力。
進一步看,流程實際上又是由一系列流程活動的集成,也即銀行就是一個為滿足履行要素使用權交易合約需求而設計的一系列流程活動的集合體。流程活動是通過組織、單位或成員按照一定的流程、活動的要求來完成。為此,內部控制的功能不僅在于通過流程活動的分析,剔除非增值流程活動,實現流程的最優化,而且還要保證最優化的流程有效地運行,并在此基礎上根據客戶的不斷變化的需求產生最優的流程。此時,內部控制實際上進一步彰顯其過程化的行為,成為銀行最優化、間接和理性的流程活動標準,并按照控制的循環步驟,實現內部控制的目標。其具體過程如下圖3所示。
顯然,傳統的內部控制強調權利與職責的分配、崗位相互之間的牽制等基本理念將受到嚴重挑戰,原有“要素化”的控制方式將會被流程化、系統化的控制機制所取代,也就是說職能控制、崗位控制將被流程控制所替代,從上到下的分權控制將被各個流程活動之間的控制、各個任務之間的控制所替代。在流程視角下,信息流、資金流成為銀行經營活動的基本組成要素。為迎合銀行業務流程管理和操作風險控制的需要,內部控制實際上將演變成一種最優化、簡潔和理性(合乎邏輯)的流程活動方式或流程活動標準,實現資金流和信息流的高度合一,達到控制和規避操作風險的目的。
四、基于流程活動的操作風險度量
巴塞爾新資本協議中將銀行業務分為8個產品線,19個二級目錄及50多個業務群組,但這種劃分只是停留在流程層面,并沒有深入到流程活動層面。正確劃分銀行流程活動,應從銀行本身的規模、戰略、業務特性和管理特點出發。對流程活動分解的越細,就越容易找到具體的風險驅動因素,從而越能對操作風險進行準確衡量與管理,因此,合乎邏輯的做法是將銀行業務劃分為產品線,再細分為流程,最后細分到流程活動。
定義、衡量和控制操作風險,不可能對所有的銀行流程活動都同樣關注,而應該重點關注銀行的核心流程活動,對銀行的增長和收益沒有貢獻的非核心的流程及流程活動不應予以考慮。巴塞爾委員會將操作風險因素劃分為7個類型,在此基礎上進一步細分為20種、71個具體風險因素。Doerig(2004)將操作風險類型分為5大類,即組織,政策/過程,技術,人員和外部,細分因素有20種;英國銀行服務局(FSA , 2002)在其關于操作風險系統和控制的咨詢文件(CP142)中將形成操作風險的因素歸結為人的因素、過程和系統、外部事件、外部采購和保險等5個方面。盡管細分的風險因素中可能包含幾十種,但具體到不同的流程活動,很可能只有幾種因素在起作用。
銀行業務可以劃分為若干個產品線,每個產品線由一組流程組成,而每個流程又由一組關鍵流程活動ai構成,每個流程活動都有潛在的fj 種風險因素可能導致操作風險。圖4所示的流程活動和風險因素的組合顯示了基于流程活動的操作風險度量原理。
圖4中,橫坐標為關鍵流程活動,縱坐標為風險因素。圖中取1的為關鍵流程活動與風險因素的有效組合,取0表示該組合無效。例如組合(a2, f1)表示在流程活動a2中,風險因素f1不起作用。對于有效組合,可以進行衡量或評估以確定該組合下的風險損失Rij。如果確認了銀行業務中的所有關鍵流程活動ai和風險因素fj,那么就可以得到一個關鍵流程活動/風險因素組合有效性矩陣,在該矩陣中,有效組合取值為1,無效組合取值為0。
一般地,操作風險度量有兩大類方法,即自上而下法和自下而上法。自上而下法基于宏觀數據來度量操作風險,不去識別具體的損失事件和原因。自下而上法則是利用具體的事件來決定操作風險的來源并進行度量,屬于風險敏感方法。巴塞爾新資本協議中的前兩種方法屬于自上而下法,第三種方法即高級衡量法屬于自下而上法。委員會鼓勵銀行提高風險管理的復雜程度并采用更加精確的計量方法。基于流程活動的操作風險度量方法將銀行業務細分為流程活動,識別每一流程活動中潛在的具體風險因素,在此基礎上衡量風險損失,因而屬于風險敏感的自下而上方法。
該方法首先確認流程活動和風險因素將銀行操作風險暴露分解,EI(i,j)表示第i個流程活動在j類風險因素下的風險暴露;PE(i,j)表示流程活動i在風險因素j下操作風險發生的概率;LGE(i,j)表示流程活動i在風險因素j下的預期損失程度,那么,組合(ai, fj)的操作風險預期損失為:
如果數據是夠充分,模型還可以估算出不同風險損失之間的相關系數,從而使計算結果更加準確。基于流程活動的操作風險度量深入到微觀的活動層面,對流程活動的各個要素和風險驅動因素進行分析,為銀行控制和緩釋操作風險提供了依據。該方法將操作風險度量與管理有機地結合起來。將操作風險度量和管理建立在對銀行關鍵流程活動及潛在風險因素的清晰理解基礎之上,它考慮到了每個流程活動/風險因素組合(ai, fj)的損失分布,考慮到了流程活動之間的銜接同樣是操作風險的重要來源,考慮到了流程活動與流程活動之間、風險因素與風險因素之間的相關關系,從而保證了衡量的準確性。
五、結論
操作風險的基本定義表明,操作風險主要載體是業務流程,本文研究了流程視角下的操作風險管理,闡述了基于流程的商業銀行內部控制和操作風險度量,為進一步“流程銀行”的操作風險管理模式研究打下了理論基礎。
第二篇:內部控制視角下我國商業銀行操作風險研究
高等教育自學考試畢業論文
摘要
操作風險廣泛存在于銀行經營管理的各個領域,是銀行面臨的基礎風險之一。從我國商業銀行操作風險的表現形式看,因人員因素和內部流程導致的操作風險損失內部控制視角下我國商業銀行操作風險研究事件占了操作風險損失事件的絕大多數,反映出我國商業銀行內部控制的薄弱或內部控制制度執行不力。由于操作風險往往與公司治理、企業文化、內部控制等密切相關,所以應當從基礎理論中尋找研究操作風險的突破口。正是基于上述背景,本文從內部控制角度對我國商業銀行操作風險進行了研究和探索,針對我國商業銀行操作風險內部控制存在的問題,構建了我國商業銀行操作風險的內部控制體系。
關鍵詞:商業銀行;操作風險;內部控制
ABSTRACT Operational risk in all areas of bank management,the foundation is one of the risks banks face.Operational risk of commercial banks from the manifestation of view , due to human factors and internal processes within the operation risk loss resulting from the Perspective of China’s commercial banks to control operation risk of the event accents for the vast majority of operation risk loss event , reflecting China’s Commercial Banks control of the internal control system are weak or ineffective implementation.Because operational risk is often associated with corporate governance , corporate culture , internal controls and other closely related , so it should be from the basic theory of operational risk to find a breakthrough.It is based on the above background , the paper point of view of internal control operation , China’s commercial banks for operational risk internal control problems , building a commercial bank operation risk of the internal control system.Keywords: Commercial Banks;Operational Risk;Internal Controls
I
高等教育自學考試畢業論文
目錄
1商業銀行風險管理及內部控制..............................................1 1.1商業銀行的基本理論及其風險的概述...................................1 1.1.1商業銀行的含義...............................................1 1.1.2商業銀行的主要特征...........................................1 1.1.3商業銀行風險概述.............................................1 1.2商業銀行操作風險的基本理論.........................................1 1.2.1巴塞爾委員會關于操作風險的界定...............................2 1.2.2操作風險的分類...............................................2 1.2.3 操作風險的特征...............................................3 1.3 商業銀行內部控制定義..............................................4 1.4商業銀行操作風險管理與內部控制關系.................................4 1.4.1內部控制是操作風險管理的基礎.................................4 1.4.2內部控制與操作風險管理控制的目標基本一致,略有不同...........4 1.4.3加強內部控制可提高操作風險管理效率...........................4 2我國商業銀行現行內部控制制度下操作風險問題分析..........................5 2.1 目前我國銀行業內部控制中存在的問題................................5 2.1.1銀行內部控制制度執行不到位,制度實行力度不夠.................5 2.1.2沒有做到未雨綢繆.............................................5 2.1.3缺乏有效的監管機制...........................................5 2.1.4銀行對內控制度的認識不到位,自我約束不夠.....................5 2.1.5責、權、利嚴重分離,執行規章制度不嚴.........................5 2.1.6會計人員素質不高,人員管理存在缺陷...........................5 2.2 案例分析我國商業銀行操作風險管理現狀..............................6 2.2.1案例分析我國近年來因操作風險發生的金融案件...................6 2.3 我國商業銀行操作風險管理中存在的主要問題..........................6 2.3.1操作風險管理的架構不完善.....................................6 2.3.2操作風險的管理的手段單一.....................................7 2.3.3外部環境不完善...............................................8 3內部控制視角下完善我國商業銀行操作風險管理的對策........................8 3.1加強內控意識,形成良好的操作風險文化...............................8 3.2建立內部制度,加大內控執行力度.....................................8 3.3提高內部稽核水平強化操作風險管理能力...............................9 3.4積累數據,為開發操作風險管理模型奠定基礎...........................9 3.5建立全方位的操作風險監督體系.......................................9 總結......................................................................9 參考文獻.................................................................10
II
高等教育自學考試畢業論文
1商業銀行風險管理及內部控制 1.1商業銀行的基本理論及其風險的概述
1.1.1商業銀行的含義
所謂商業銀行,即是指從事貨幣資金經營的一種特殊企業,其可從事的業務有:吸收公眾存款、發放貸款、辦理結算等。商業銀行是各經濟主體獲得融資的主要來源,因此它的健康與否直接關系到整個國民經濟的發展。1.1.2商業銀行的主要特征
經營大量貨幣性項目,要求建立健全的內部控制:從事交易種類繁多、次數頻繁、金額巨大,要求建立嚴密的會計信息系統,并廣泛使用計算機信息系統及電子資金轉賬系統;分支機構眾多、分布區域廣、會計處理和控制職能分散,要求保持統一的操作規程和會計信息系統;存在大量不涉及資金流動的資產負債表表外業務,要求保持采取控制程序進行記錄和監控;高負債經營,債權人眾多,與社會公眾利益密切相關,受到銀行監管法規的嚴格約束和政府有關部門的嚴格監管。其中最顯著的特征是高負債經營,利用各種存款及其它借入款作為主要的營運資金,通過發放貸款及辦理各種投資業務獲取收益,其自有資本占資產總額比率遠低于其它行業。1.1.3商業銀行風險概述
商業銀行風險是指商業銀行在經營管理過程中由于各種不確定因素的存在而導致收益損失或收益率波動的可能性,是金融風險的一種表現形式。商業銀行風險不是損失,損失只是商業銀行發生的結果,商業銀行風險是從不確定的角度出發指出遭受經濟損失的可能性,而并非現實性,其是否轉化為損失要取決于顯示經濟生活中多種因素的制約。在經營管理的全過程中商業銀行都有遭受經濟損失的可能性,因而商業銀行風險始終貫穿于商業銀行經營活動的全過程。
1.2商業銀行操作風險的基本理論
銀行的每一個業務環節,隨時隨地都潛伏著操作風險。國內外銀行業關于操作風險仁者見仁,智者見智,大體上可歸納為三種:一是廣義操作風險概念,它把信用風險和市場風險之外的所有風險都是為操作風險;二是狹義操作風險概念,認為只有與業務運營部門有關的風險才是操作風險,聲譽、法律、人力資源等方面的風險不屬于操作風險范疇,因此根據這一定義操作風險涉及的內容大多數被定位于后臺管理部門;三是介于廣義和狹義之間的戰略操作風險概念,其觀點是首先區分可控制事件和由于外部機構(如監管機構、競爭對手的影響)而難以控制的事件,進而將可控制的事件,進而將可控制事件的風險定義為操作風險,對另一類事件的風險也就是一些研究機構所稱的“戰略性風險”。顯然,廣義和狹義的操作風險概念均不利于操作風險管理工作的開展,廣義概念使人們很難對其進行準確計量,而狹義概念會因不能涵蓋所有操作風險而使銀行遭受一些意想不到的損失。因此,越來越多的人傾向于接受介于廣義和狹義之間的操作風險概念。
高等教育自學考試畢業論文
1.2.1巴塞爾委員會關于操作風險的界定
根據巴塞爾委員會在2004年6月26日正式頒布的巴塞爾新資本協議第64段所給的定義,操作風險是指由于不完善或有問題的內部程序、人員及系統或外部事件造成損失的風險,它包括法律風險,但不包括策略風險和聲譽風險。從新協議的操作風險損失分類中可以看出,巴塞爾委員會關于操作風險的定義突出強調銀行內部人員操作和業務系統因素所導致的操作風險。這一概念基本上覆蓋了商業銀行的所有業務線,是比較實用的。從國際銀行業監管的趨勢來看,越來越多的國家采用巴塞爾委員會的監管標準。中國銀監會發布的《商業銀行操作風險管理指引》中對風險的定義也參照了巴塞爾新資本協議,與其本質上是一致的。
巴塞爾銀行監管委員會對操作風險所作的定義有以下幾方面的特點:(1)以發生損失為前提,操作風險是一種純粹風險。(2)操作風險大多是在銀行內部可控范圍內的內生風險。(3)注重風險綜合。該定義是一個間于廣義定義和狹義定義間的一種定義,既包括了可控風險,也包括了部分不可控風險。既包括了內部風險,也包括外部風險;既包括了業務運行中的操作性風險,也包括了業務運行中的非操作性風險。(4)關注重大風險類型。該定義考慮了銀行所面臨的所有重大操作風險,抓住了導致嚴重操作風險損失的主要原因。(5)較強的包容性。盡管巴塞爾銀行監管委員會在國際銀行界具有很高權威性,但考慮各銀行的操作風險及對操作風險管理上的差異性,“委員會承認操作風險這個術語在銀行業中有多種含義,所以為了內部目標,銀行可以采用它們自己對操作風險的定義。”同時也指出“無論怎么精確地定義,銀行應當清楚地明白什么是操作風險,對這類風險的有效管理與控制是相當關鍵的。1.2.2操作風險的分類
在給出定義的同時,巴塞爾委員會還就定義中提到的操作風險損失事件的分類作了進一步闡述。新協議實行雙線分類,既按風險成因進行事件分類,又按風險發生部門進行歸類。
(1)操作風險的七分類法
①內部欺詐風險。主要指內部員工有主觀愿望,存心欺詐銀行,包括由于進行未被授權的交易、從事未報告的交易、超過限額的交易、內部交易;偷盜、貪污、接受賄賂、做假賬、違反稅法等原因而引發的銀行損失。
②外部欺詐風險。主要指由于第三方的愿意欺詐、非法侵占財產以及規避法律而引發的損失。
③客戶、產品與商業行為風險。由于產品特性或設計不合理、員工服務粗心大意、對特定客戶不能提供專業服務等原因而造成的銀行損失。這類風險在整個操作風險中占有相當大的比重。
④執行交割和流程管理風險。主要指交易處理、流程管理失誤以及交易對手關系破裂而引發的損失,包括業務記賬錯誤、錯誤的信息交流、敘述錯誤、未被批準的賬戶錄入、未經客戶允許的交易、交割失誤、抵押品管理失誤等原因造成的損失。
⑤經營中斷和系統錯誤風險。主要指由于計算機硬件、軟件、通信或電力中斷而引發的損失,包括硬件癱瘓、軟件漏洞、設備故障、程序錯誤、計算機病毒、制度,而引發的索賠、補償損失;由于缺乏對員工的恰當評估和考核等導致的風險。
⑥雇員行為與工作場所風險。主要指在員工雇用、管理中,由于違反相關法律、制度,而引發的索賠、補償損失;由于缺乏對員工的恰當評估和考核等導致的風險。
⑦物理資產破壞風險。主要指自然災害或其它外部事件(恐怖主義)而引起的損失。包括由于暴雨、洪水、地震、電壓過大、恐怖活動等原因造成的物理資產損失。
高等教育自學考試畢業論文
(2)操作風險的八分類法
此分類法是操作風險按照損失事件發生的部門,來對損失事件進行分類的。巴塞爾委員會劃分的商業銀行的業務部門包括:
①公司財務:合并與收購、股份承銷、資產證券化、首次公開上市發行、政府證券和高收益債券等。
②交易與銷售:固定收益債券、股權、商品期貨、信用產品、自有頭寸證券、租賃與贖回、經紀、債券等。
③零售銀行業務:零售的存貸款業務、私人的存款業務、委托理財、投資建議。④商業銀行業務:項目融資、房地產、出口融資、交易融資、交易融資、代收賬款、租賃、擔保、貸款。
⑤支付與清算:支付、轉賬、清算。
⑥代理服務:契約、存款收據、證券借貸、發行和支付代理。
⑦資產管理:可自由支配的資金管理和不可自由支配的資金管理。
⑧零售經濟:零售的經紀執行以及其他服務。1.2.3 操作風險的特征
(1)操作風險成因具有明顯的內生性。操作風險包括內生于銀行業務操作而風險和外部事件,其中大部分是由內部不合規的操作因素引起,它的防范依賴于銀行的結構、效率和控制能力。只要銀行業務沒有被中斷,操作風險將永遠存在,并成為銀行業務經營中的重要組成部分,銀行只能對操作風險進行管理,而不能消除操作風險。此外,操作風險的風險因素是內生于銀行的業務操作,而且單個操作風險因素與操作性損失之間并不存在清晰的、可以用數量界定的關系。因此,對于操作風險的管理,具體的業務部門應當承擔第一位的責任。
(2)對稱性。對于信用風險和市場風險來說,存在風險與報酬的一一對應關系,但這種關系并不一定適用于操作風險,我們不能保證長時間、持續的獲得回報,而且操作風險上引起的損失很多情況下與回報的產生沒有任何關系。
(3)較強的人為性特征。操作風險主要來自商業銀行的日常營運,銀行業作為人力密集型企業,人為因素在操作風險的形成原因中占了絕大部分,只要是與人員相關的業務,都存在著操作風險。如果說市場風險來自金融市場上金融產品價格的波動,信用風險來自于借款人違約,那么大多數的操作風險來自于有意或無意的、來自于銀行內部的人為操作失誤。在上述七大類操作風險表現形式中,有六種風險與人為操作有關。操作風險與人的關系密不可分,相互關聯,而人的道德風險、行為特征又是最難以控制的,操作風險的發生具有突發性、偶發性和難以預測的特點。在我國,人為因素風險更是操作風險的主要組成部分。
(4)操作風險具有較大的危害性。操作風險在各家銀行,在任何時間都有可能發生,且給商業銀行造成的損失也越來越大,如日本大和銀行、住友銀行、英國巴林銀行、法國興業銀行等案件,或導致百年銀行的破產,或導致整個金融界的動蕩。
(5)操作風險具有難以管理的復雜性。一是涉及的領域寬廣,涵蓋的商業銀行業務經營的方方面面,相當分散。因此,試圖用一種方法來覆蓋操作風險的所有領域幾乎是不可能的。二是形成原因復雜。操作風險的成因既有外部事件的影響,更大部分是銀行內部控制制造的,其表現形式和形成原因依賴于前后關聯的事件,而這些事件有往往不易辨別。三是損失具有不確定性,操作風險既包括發生頻率很高、損失小或無損失的操作失誤性風險,也包括發生頻率很低,損失巨大的意外風險。同時,操作風險造成對的損失通常以信用風險、市場風險等其它風險的形式表現出來,難以清楚界定。四是由于
高等教育自學考試畢業論文
通常可以檢測盒識別的操作風險因素同由此可能導致的損失規模、頻率之間不存在直接關系,因而銀行的風險管理部門難以確定哪些因素對于操作風險管理來說是最重要的。六是在業務規模大、交易量大、結構變化迅速的業務領域,受到操作風險沖擊的可能性最大。
1.3 商業銀行內部控制定義
內部控制是商業銀行內部各種制度方法、措施和程序等因素組成的相互聯系、相互制約的控制機制,是對銀行內部管理活動進行衡量和糾正的制度安排。其最初的目的是為了減少和控制商業銀行徇私舞弊、弄虛作假、盜用公款的損失,它屬于操作風險管理最傳統、最原始的手段。中國人民銀行在2002年9月公布的《商業銀行內部控制指引》中指出,內部控制是商業銀行為實現經營目標,通過制定和實施一系列制度、程序和方法對風險進行事前防范、事中控制和事后評價的動態過程和機制。內部控制的最終目標就是要實現商業銀行安全穩健地運行。據此,一個有效的內部控制意味著銀行具有很強的風險防范和控制能力,風險案件很少或幾乎不發生;反之,則是銀行內部控制失靈的結果和表現。
1.4商業銀行操作風險管理與內部控制關系
1.4.1內部控制是操作風險管理的基礎
巴塞爾委員會在2003年發布的《操作風險管理和監督穩健做法》中指出:“《銀行機構內部控制框架》是操作風險管理的基礎”。內部控制框架式合理的控制銀行內部人員與系統的活動,而操作風險管理基本涵蓋了信用風險管理與市場風險管理以外的所有風險。在判別角度,內部控制是經營管理職能,操作風險管理主要著眼于風險管理,兩者內容交叉,但重點不同。從國際范圍看,由于操作風險造成的損失是原因大多出自內部控制的漏洞與失效造成的損失。因此,才涵蓋內容和損失導致的原因等方面看,內部控制是操作風險管理的基礎。
1.4.2內部控制與操作風險管理控制的目標基本一致,略有不同
內部控制的目標通常包括三個方面:操作性目標、信息性目標、符合性目標;而操作風險管理的目標在其基礎上多了戰略目標與經營目標等。操作風險管理目標與內部控制的目標基本相同,其更注重戰略目標,以及拓展市場對銀行的信心,確保銀行順利經營。可以說,內部控制目標的實現是操作風險管理的基礎,為銀行操作風險管理的目標的完成提供了幫助。
1.4.3加強內部控制可提高操作風險管理效率
巴塞爾委員會認為,資本約束并不是控制操作風險的最好辦法,對付操作風險的第一道防線是嚴格的內控制度。對于外部因素導致的操作風險,因為外部事件是銀行不可控制的,因而除了采用保險等風險緩釋手段進行規避外別無他法。而由內部因素導致的操作風險卻是銀行可以防范的,通過加強內控制度建設,完善銀行的業務流程、人事安排和會計系統,并強化法規的執行,就能在相當程度上避免內部失誤和違規操作,從而防范操作風險。
高等教育自學考試畢業論文
2我國商業銀行現行內部控制制度下操作風險問題分析 2.1 目前我國銀行業內部控制中存在的問題
2.1.1銀行內部控制制度執行不到位,制度實行力度不夠
每個金融機構都有一套行之有效的規章制度,大到信貸現金計劃,小到安全保衛措施。但在實際執行中一遇到具體問題,于己有利的就嚴格執行,于己不利的就采取的就采取變通辦法予以回避,使得規章制度形式形同虛設。2.1.2沒有做到未雨綢繆
銀行建立內部控制制度是為了確保經營目標的實現。然而目前我國銀行在各項內部控制制度的實施中普遍存在著重事后檢查、輕事前防范的問題,導致內部控制制度流于形式。一些金融機構的領導重經營輕管理傾向嚴重,熱衷于爭規模、講速度、求政績,忽視了對可能產生的風險或不安全隱患的防范于分析,而面對已經出現的經營風險或資產損失,再要求稽核等監管部門去查找原因,堵塞漏洞,為時已晚。2.1.3缺乏有效的監管機制
內部控制制度作為一個系統工程,涉及到金融機構的每個職能部門,只有齊抓共管、有的放矢,才能達到預期效果。然而,在實際執行中往往只依賴于幾個職能部門去監督管理,盡管職能部門竭盡全力也只能是顧此失彼,得不償失,陷于“頭痛醫頭,腳痛醫腳”的境地。加之,各職能部門缺乏協調合作,各自為政,使得控制目標出現重復或空白監管,甚至形成多頭監管的狀況。
2.1.4銀行對內控制度的認識不到位,自我約束不夠
由于我國銀行業起步較晚,一些銀行對內控制度的認識不到位,自我約束不夠。有的銀行把內部控制簡單的理解成各種規章制度的制定、裝訂、匯總,有的銀行缺乏嚴格的制約和監督決策管理者的制度,法人代表或主要負責人素質不高,行為不受約束,在某些部門,仍存在一些人員為了部門利益,身兼數職的現象。有些銀行出了問題,往往就事論事,推諉客觀原因,不首先從內控方面找原因。2.1.5責、權、利嚴重分離,執行規章制度不嚴
我國商業銀行現行內控機制最大弊端是責、權、利嚴重分離,形成職工吃銀行大鍋飯,銀行吃國家大鍋飯,有益處的歸功自己,該負責的屬于他人,職能不明、責任不清,導致內控機制無法有效實施。另一方面是執行規章制度不嚴格、不公平,違反者沒有得到應有的處置,對員工沒有產生足夠的壓力。加之有的基層行負責人素質不高,沒有切實履行管理者責任,以致許多制度形同虛設,對一些違章操作和越權行事的人起不到作用。
2.1.6會計人員素質不高,人員管理存在缺陷
隨著我國加入WTO,金融行業開始對外開放,加劇了銀行業的競爭,同時也使我國的銀行業得到了快速的發展。在發展的過程中,各種新型業務、新型的理財方式得到了快速的發展。在發展的過程中,各種新型的業務缺乏應變能力,在處理業務過程中經常導致錯誤發生,給銀行造成了巨大的損失。另外,銀行對會計人員也缺乏有效的管理,高等教育自學考試畢業論文
監督不到位,使得賬務管理混亂,不能給銀行發展以有力的支持。以上內控機制問題的存在,導致各家銀行操作風險的“大堤”上或多或少地分布著“蟻穴”。加強內部控制機制建設,消除操作風險管理中的“蟻穴”,已是各家商業銀行面臨的現實任務。
2.2 案例分析我國商業銀行操作風險管理現狀
在21世紀以來,我國商業銀行出現的金融案件,大多因操作風險引起,在經濟局勢穩定,信貸審核嚴格的情況下,操作風險已經上升為我國金融領域的最重要的風險。經過多年的實踐,我國商業銀行內部控制與外部監督方面取得了很大的進步,但是在操作風險管理方面依然存在著很多問題,因操作風險引發的經濟案件層出不窮。2.2.1案例分析我國近年來因操作風險發生的金融案件
1999年至2001年間,長春市一個詐騙團伙借銘雨集團的名義,傳統拉攏某建設銀行工作人員,私自印章,制作假票據、假合同、假收入存款證明等,偽造信貸材料、擔保文件等手段,騙取貸款、承兌匯票,詐騙總金額高達3.2億。建行吉林省分行在自查中察覺被詐騙,并報案,但依然造成了無法挽回的損失。
2003年12月,香港的一犯罪團伙利用制作網站,假冒香港匯豐銀行個人理財業務網頁,并鏈接到匯豐銀行官方網頁,客戶在登陸匯豐銀行網站時可以打開假網站的鏈接,在網上銀行的轉賬登陸與輸入密碼的過程中,很容易在假網站中泄露個人信息。在案件之前,此詐騙團伙共詐騙金額巨大的案件6件,為匯豐銀行的信譽與網上銀行業務帶來了巨大的損失。
2006年,中國銀行雙鴨山四馬路支行原行長胡偉東、副行長王林、業務員沈洪澤、趙偉澤、楊曉平等五人,沒有經過上報與審批,從2005年8月至12月,先后為朱德全開具空白銀行承兌45張匯票并在沒有足額保證金情況下山東貼現,票面金額合計4.325億元,給中國銀行帶來了巨大損失。
2007年4月14日,河北邯鄲農業銀行金庫近5100萬現金被銀行內部員工盜取,并將絕大部分用于購買彩票。
2.3 我國商業銀行操作風險管理中存在的主要問題
2.3.1操作風險管理的架構不完善
要實現全面的風險管理,就要求有一個比較健全的風險管理架構,當前我國銀行業在這方面的缺陷主要有:
(1)操作風險管理職責分散,缺乏專門的管理部門操作風險是由人員、系統流程和外部事件四類因素引起的,幾乎涉及到銀行的所有部門。因此,國外商業銀行在操作風險管理框架中一般會設置一個委員會,有各相關部門參加而操作風險管理政策的執行和協調由專門的風險管理部門負責。但在我國,尚未專司操作風險管理的機構,不同 類型的操作風險由不同的部門負責。這種分散管理的做法使得銀行系統沒有統一的操作風險管理戰略和政策,高層管理人員也很難把握銀行面臨的整體操作風險狀況。同時,這種“各人自掃門前雪”的模式還會存在管理盲區。
(2)基層分支機構操作風險管理職能缺失。據調查發現,操作風險大多發生在基層分支機構。因此,國外銀行一般都在基層分支機構設有風險經理一職,由其負責總行操作風險管理政策在基層的貫徹落實,對基層分支機構進行監督管理,并保證與總行操作
高等教育自學考試畢業論文
風險管理部門的信息溝通。而我國銀行大多沒有這一設置,基層操作風險管理體系、流程、匯報路線、溝通機制缺失。
(3)內部審計/稽核部門權威性不強。我國銀行的總行、分行一級的機構中大都設有審計的稽核部門,負責對本行及下級的各類業務風險進行檢查稽核,并根據檢查結果對違法違規案件進行處理。但因為內部審計/稽核部門一般是作為銀行下屬的一個部門存在的,直接接受本機構管理者的領導和管理,其獨立性作用難以發揮權威性不強。稽核部門若對其發現的問題在系統內曝光,會直接影響到本級機構在銀行系統內的形象,本級銀行機構的管理者也可能因此遭到上級主管機構的責任追究。因此,對于檢查中發現的問題,若屬于皮毛方面的小問題,放權內部審計部門獨立處理,若屬于重大的原則問題,則以“家丑不可外揚”為名,將其大事化了,小事化無。因此,內部審計部門的監督作用難以有效發揮,監督范圍受到限制,公正性難以保證。2.3.2操作風險的管理的手段單一
隨著電子技術和金融工程的不斷發展,操作風險的管理受到也日益完善,從手工管理到電子化運作,從定性管理到定量管理。相比之下,我國銀行業在這方面的差距十分明顯。
(1)過分依賴內部審計。從國外的管理經驗來看,其自身的內部審計能力很強,但是為了能更及時的發現風險隱患,它們仍然會聘請權威的外部審計所對其進行審計,因此在某些情況下,外部審計所的獨立性更強。而從我國的銀行業來看,對于操作風險的管理幾乎全部依賴內部審計部門,而這些部門的客觀獨立性和權威性都有待提高,再加上內部審計力量薄弱,目前我國銀行業內部審計人員占銀行員工人數的比例為1%,國外一般為5%,嚴重影響了內部稽核的頻率和范圍。而且,內部稽核人員的專業性不強,很多人甚至設有內部稽核發展的電子化趨勢,嚴重制約了銀行內部稽核水平的提高。由此也可看出,為什么最早發現馮明昌騙貸案的是審計署而不是工商銀行自身。
(2)制度建設跟不上,制度執行不力。從某種程度上說,防范操作風險最有效的辦法就是制度盡可能詳細的業務規章制度和操作手冊。通常,風險管理做的比較好的銀行都有比較完善的制度。在這方面,外資銀行的做法值得我們借鑒,這在很大程度上可以減少操作人員因操作不當引發操作風險的可能性,并為其管理部門的監督提供指導。而我國銀行業在制度建設方面存在明顯不足,很多情況下都是業務現行規章制度后補,從而引發了大量的操作風險。此外,有章不循現象普遍,制度形同虛設,缺乏約束力。如將規章制度隨意變通,即“遇到紅燈繞道走”,將上級檔層層轉發但無人抓落實,檔長期“睡眠”,只重形式不重實效。
(3)電子手段缺乏。由于國外電子技術發展迅速,國外在操作提高了工作效率,也確保了風險管理的有效性。而我國,銀行電子化建設還主要集中與業務一線,內控部門沒有形成一套科學有效的內部電子監督、預警系統,對操作風險的管理或者仍然停留在傳統的手工操作上,或者管理人員難以使現代畫的手段與具體的業務管理有效“對接”運用。我國的電子系統功能僅局限于服務經營,沒有實現服務經營與服務管理并重,系統不能為銀行的戰略決策、管理活動特別是風險管理提供充分、完整的數據信息。
(4)管理技術低下。操作風險的管理技術包括定性管理和定量管理風險進行識別和定性評估,進而加強內部控制和內部審計來防范和管理操作風險。定量管理則是通過對銀行歷史資料的統計分析,將銀行面臨的操作風險量化,并通過損失頻率和損失嚴重程度兩個指標來衡量,進而為其分配經濟資本。一般來說,定性分析不受銀行數據庫的制約,簡便易行,但是不能通過直觀的數字衡量,也就不能為操作風險分配資本提供支持,而定量分析不能像定性分析那樣找到引起操作風險的原因及現有控制措施的缺陷。因
高等教育自學考試畢業論文
此,國外那些做得好的商業銀行往往把兩者結合起來使用。從當前來看,我國商業銀行的操作風險管理仍處于定性管理的初級階段,即注重定性分析,但主觀性較強,常常運用經驗分析的方法,與國際先進銀行大量運用數量統計模型、金融工程等先進方法相比更顯落后。再加上在風險管理信息系統建設和信息技術運用上的嚴重滯后,不僅使風險管理所需的大量業務信息缺失,而且無法建立相應的風險模型,無法準確把握風險敞口,直接影響了風險管理的科學性。2.3.3外部環境不完善
商業銀行的操作風險管理是一項系統工程,需要一系列外部環境因素的支持,如保險市場、中介機構和信用環境等。具體來說,發達的保險市場可以為商業銀行提供種類齊全的操作風險保險產品,使其在風險方面可以得到緩解;獨立、專業的外部審計機構可以為其提供科學高效的審計服務,幫助其提高內部控制水平;而良好的信用環境有利于商業銀行合理配置風險管理資源,為操作風險量化技術服務。然而,國內的情況不容樂觀。首先,我國的保險市場特別是操作風險保險市場不發達,保險公司推出的針對操作風險的保險產品十分貧乏,這很大程度上制約了商業銀行對操作風險的緩釋和轉移。其次,我國的外部審計機構還沒有形成強大的力量,其獨立性、專業性和權威性都有待提高,這就制約了商業銀行對風險信息的收集及對內部審計缺陷的彌補。再次,社會信用環境不樂觀,信用缺失問題嚴重,騙貸、欺詐現象時有發生,嚴重影響了商業銀行操作風險管理的開展。
3內部控制視角下完善我國商業銀行操作風險管理的對策
有效的內控體系是銀行防范各類風險、尤其是操作風險的一道重要屏障。而要建立這套體系,則必須把著眼點既放在銀行管理的根部又放在頂部。根部則需從基層做起。通過對銀行現有運行基礎的系統梳理分析,識別出風險和薄弱環節,跟進有效控制措施,把基礎打牢。
3.1加強內控意識,形成良好的操作風險文化
制度作為銀行經營活動的基本規范,也是銀行據以開展內部控制的基本依據。但是,商業銀行目前的各項規章制度是呈“條線”狀,即針對某項業務活動而制定的。相互之間缺乏關聯性。通過公文的形式下發,有封閉性特征。當經營環境或法律法規變化時只能通過文件的不斷疊加來補充或修正。
3.2建立內部制度,加大內控執行力度
國有商業銀行再完善公司治理結構時,應該建立以董事會為中心的決策系統、以董事會為中心的監督系統以及以經營班子為中心的經營系統三位一體的管理模式。建立良好的公司治理以及分工合理、職責明確、報告關系清晰的組織結構,為內控的有效性提供必要的前提條件。
高等教育自學考試畢業論文
3.3提高內部稽核水平強化操作風險管理能力
樹立正確的操作風險管理觀念,強化內控意識,對銀行面臨的風險進行全面、系統的分析,形成全面的風險管理,特別是加強對內部高層管理人員的管理,同時設立專門的操作風險管理部門和基層機構操作管理職位,加強內部審計部門的權性。
3.4積累數據,為開發操作風險管理模型奠定基礎
內控體系的一個基礎性要求,就是要求商業銀行建立并保持書面程序,記錄內部控制相關活動中所涉及的主要內容,以提供內控體系有效運行的證據。操作風險的無處不在和爆發前隱蔽性,靠人工檢查和手工操作有較大局限性,因此急需開發模型,建立監督與計量系統,一有效跟進與控制操作風險。考慮到目前國際上尚無成熟操作風險管理模型,目前操作風險量化存在一定困難等因素,我國商業銀行現在就應控制程序,并隨經驗的增加和情形的發展而不斷完善。
3.5建立全方位的操作風險監督體系
逐步建立起絕對垂直和相對獨立的內部審計體制,審計工作的戰略重心要向全面風險管理和綜合經營管理轉移,審計目標從偏重財務收支的真、合法、效益“三性”審計轉向經營,審計方法要以風險導向審計,從過去對會計資料的詳細檢查轉向為評價內部控制系統為基礎的抽樣審計方法,并且不斷提高內部審計人員素質,引國外先進的審計理念和審計技術,普及審計創新意識,提高審計人員對內部控制的適應性。此外,建立銀行內部審計、財務審計、風險管理、紀檢、監察等互為補充的銀行內部操作風險管理組織體系,同時,要充分發揮信息總披露作用,與外部審計、銀行監管一起,形成對銀行操作風險外部監管的有效補充。
總結
風險管理是商業銀行管理的永恒話題,操作風險管理相對于成熟的信用、市場風險管理來說,起步較晚,它是在不斷發生的金融案件中進入人們研究的視野,有著很大的研究深入空間,如在此基礎上深入研究風險的緩釋、計量等問題。本文基于內部控制的角度,探討了操作風險的基本理論,分析了內部管理與我國商業銀行操作風險管理的關系及我國商業銀行操作風險的現象和存在的問題,在此基礎上提出了基于內部控制條件下完善我國商業銀行操作風險管理的對策。這方面的實證應用研究還不完善,我國商業銀行對商業銀行風險的防范與發達國家還存在較大的差距,但是,通過優化環境、強化監督、深化制度改革,加速化解歷史風險和有效防范新增風險,相信在不久的將來,我國商業銀行的風險會被控制在比較低的水平。
高等教育自學考試畢業論文
參考文獻
[1] 卡羅爾亞歷山大.商業銀行操作風險[M].陳林龍.北京:中國金融出版社,2005 [2] 約翰.赫爾.風險管理與金融機構.葉偉春,溫正大,孫凱譯著.英文版雙語教學.機械工業出版社.2009.[3] 趙姝,顧金宏.從內控視角分析我國商業銀行操作風險[J].商業銀行經營與管理.2007(1)[4] 徐仲坤.對內控視角下的商業銀行操作風險管理的思考[J].時代經貿.2007(9)[5] 陳忠陽.金融機構現代風險管理基本框架[M].北京:中國金融出版社,2006 [6] 張吉光.商業銀行操作風險識別與管理[M].北京:中國人民大學出版社,2005 [7] 盧文瑩.金融風險管理[M].上海:復旦大學出版社,2006 [8] 薛敏.新巴塞爾協議對建立我國商業銀行操作風險量化管理模型的啟示[J].西南金融,2007(6):20-21 [9] 周兆生.內部控制與風險管理[J].審計與經濟研究,2004(7)[10] 巴曙松.巴塞爾新資本協議研究.第1版.北京:中國金融出版社,2003
第三篇:商業銀行操作風險管理探討
商業銀行操作風險管理探
討
摘要近年來隨著經濟的發展和金融開放步伐的加快我國商業銀行發展取得長足進步但由于我國商業銀行全面風險管理體系建設相對滯后風險防范長效機制尚未全面建立特別是在操作風險管理上存在的問題依然較為突出本文從分析我國商業銀行操作風險管理現狀入手就如何加強操作風險管理提出了初步思考
關鍵詞商業銀行;操作風險;現狀;對策
一、商業銀行操作風險的涵義及基本分類
巴塞爾銀行委員會對操作風險的定義為由于內部程序、人員、系統的不完善或失誤或外部事件造成直接或間接損失的風險一般而言目前對操作風險的分類有兩種方法第一
種將操作風險簡單的分為人員因素引起的操作風險、流程因素引起的操作風險、系統因素引起的操作風險和外部事件引起的操作風險四類第二種分類方法將操作風險較詳細的分為七類包括內部欺詐;外部欺詐;雇員活動和工作場所的安全問題;客戶、產品和業務活動的安全問題;銀行維系經營的實物資產損壞;業務中斷和系統錯誤;行政、交付和過程管理等
二、國內商業銀行操作風險管理現狀
近年來隨著外部監管力度的加大和商業銀行風險管理意識的增強國內商業銀行操作風險管理制度逐步健全、制度執行力得到加強操作風險管理水平有了較大提升主要表現一是內控組織體系初步形成各商業銀行基本建立了由基層機構、業務主管部門、再監督部門共同組成的內控組織機構體系二是內控制度建設得到加強各商業銀行按照建設現代商業銀行要求加大了制度建設的力度對相關制度辦法進行了清理和完善細化了業務操作辦法增強了規章制度的有效性和權威
性三是內控制度執行力逐步增強各商業銀行在抓好制度建設的基礎上積極培育合規文化加強員工思想教育增強了員工自我約束意識和風險防范意識四是強化了審計、監察部門的再監督職能各商業銀行普遍開展了內部控制綜合評價工作定期檢查、評價各分支行內控體系的建立健全程度和抵御風險的能力尋找薄弱環節提出整改措施內部審計部門加大了現場和非現場審計力度監察部門加大了執法監察和違規處罰力度五是加大了內控建設投入物防和技防水平得到提高各商業銀行在業務快速發展、盈利能力增強的同時加大了對營業網點的內控投入提高了商業銀行操作風險防范能力
但應該清醒地認識到隨著商業銀行新業務的快速發展新科技的廣泛運用加之商業銀行改革力度加大操作風險的表現方式更為多樣化操作風險控制的難度加大操作風險管理面臨的任務依然艱巨
1.部分行對操作風險管理缺乏系統、全面的認識部分員工對操作風險的認識存在誤區片面認為操作風險就是人員因素引起的操作性風險對操作風險缺乏整體認識和把握導致操作風險管理上存在“四輕四重”現象即重事后管理、輕事前防范往往看重對已發生的風險采取事后的查處、補救措施而對事前的防范和事中的控制措施關注較少;重個案查處
輕全面分析從而造成同類案件多次發生;重基層操作人員管理輕高層管理人員管理特別是一些基層經營機構對操作風險管理面臨的形勢及危害性認識不足存在重業務經營、輕內控管理的思想更有甚者為了所謂的發展業務明知不可為而為之搞政策變通有章不循甚至違章操作一些基層行對各類問題的責任人處理不到位“重檢查輕處理”沒能起到應有的警示和震懾作用
2.缺乏對操作風險的戰略規劃和系統管理操作風險涉及面廣必須統籌規劃各相關部門應明確各自職責并加強協調配合但目前部分商業銀行將不同類型的操作風險歸由不同部門負責沒有一個協調部門缺乏統一的操作風險管理戰略高層管理者無法清楚地了解銀行面臨的操作風險整體狀況在操作風險的管理手段上過于信賴內部審計忽視外部審計的力量內部管理制度建設滯后執行不力電子化手段在操作風險管理中的適用水平較低
3.內控機制不健全制度落實不到位內控制度不適應新業務發展的需要如綜合業務系統推廣應用后相關內控制度建設不夠完備有時出現內控滯后或內控“真空”以致高科技作案時有發生制度執行意識淡薄一些制度沒有真正得到貫徹落實違章操作問題依然比較突出
4.內控崗位設臵不能適應風險防范的要求近年來幾家大型商業銀行加大了撤點減員力度部分基層行在撤點減員過程中缺乏整體規劃導致一些營業網點人員緊張在崗位設臵和人員配備上很難達到內控要求隨著網點經營業務品種的增加網點機構風險控制點相應增加無論是人員數量還是員工素質都與業務發展不相適應在少數網點仍存在一人多崗、一人多卡、主任混崗等內控制度難以落實的現象干部交流、員工輪崗以及強行休假制度得不到很好的落實存在操作風險的隱患銀行內部業務管理人員的管理水平與業務管理的規范要求存在一定差距影響、減弱內控實施的有效性
5.合規文化建設滯后受歷史因素影響部分商業銀行歷史包袱較重管理基礎還比較薄弱部分商業銀行網點較多且比較分散分布城鄉鏈條長管理難度大隨著各項改革的深入許多員工思想上呈現出矛盾性、多元性的特點給內控建設提出了新的挑戰同時我國四大國有商業銀行都是由計劃經濟時期的專業銀行轉變過來現代商業銀行管理理念、管理手段尚在形成之中部分干部員工的合規管理、依法經營意識還有待加強自覺維護制度、遵守制度的合規文化氛圍還沒有廣泛形成
三、對加強商業銀行操作風險管理的幾點思考
穩健經營、控制風險是商業銀行可持續發展的基礎加強操作風險管理是商業銀行全面風險管理的重要內容商業銀行在操作風險管理中應堅持“內控優先、規范操作、遵守制度、違規問責、綜合治理、標本兼治”的原則所謂“內控優先、規范操作”是指業務的發展必須首先考慮內控管理及風險控制的要求業務操作必須堅持誠實守信、合規合法;所謂“遵守制度、違規問責”是指在操作風險管理中必須做到崗位明確、職責清晰、執行堅決對違規操作行為應實行嚴格的責任追究;所謂“綜合治理、標本兼治”是指操作風險管理工作涉及的相關部門要各司其職、密切配合在解決問題的同時既要針對具體問題對癥下藥也要研究治本之策
(一)強化操作風險管理意識國內商業銀行應借鑒國際經驗逐步建立起一套較完善的操作風險管理體系這個體系應覆蓋操作風險的識別、評估、監測、控制及報告等程序和環節并在此基礎上建立起操作風險管理的戰略、政策和基本目標要通過一定程序定期監測操作風險的狀況及時報告有關
信息敏感地反映操作風險的變動以此形成有效的風險預警決策支持機制要注重技術創新積極推進操作風險管理工具的開發和運用要進一步建立有效的內部信息交流制度和報告制度商業銀行除了定期召開風險管理委員會例會外還應要求各專業部門將檢查的范圍及所發現的問題及時報送風險管理委員會以便統一領導全行的風險防范管理另外應對信息交流和報告制度建立相應的規章制度避免內部各管理部門從自身利益出發隱瞞不報或是對該項工作不加重視而引發操作風險(二)提升操作風險管理層次操作風險管理是相當復雜的系統工程強化操作風險管理應合理規劃、逐步推進根據西方商業銀行操作風險管理的實踐有關專家分析認為目前各國商業銀行分別處于操作風險管理的五個不同發展階段上分別是傳統管理—認識—監控—量化—整合各個階段的特征是傳統管理階段強調內部控制、同部審計分離風險控制項目認識階段設臵操作風險管理人職位和操作風險管理組織機構充分認識并定義操作風險制定風險管理政策監控階段制定操作風險管理的目標和統一的監控指標進行風險限額控制和風險臨界指標分析對業務流程進行風險監控分析和風險管理報告加強員工風險管理培訓量化階段建立完善的風險損失數據庫制定量化管理目標進行風險預測分析和警戒指標設臵建立以風險為基礎的資本配臵模型整合階段建立系統化的風險度量和管理工具建立風險指標和損失之間的相關性模型跨部門的風險分析以及
基于風險分析和資本實力考慮的保險策略從我國商業銀行當前操作風險管理的特征來看有的尚處于傳統管理階段部分商業銀行操作風險管理層次有所提升但與量化、整合階段的要求還有較大差距因此我國商業銀行操作風險管理的重點是在做實操作風險管理基礎、做好傳統管理階段各項工作的基礎上逐步提升操作風險管理層次
(三)健全完善內控制度一是嚴格按照《商業銀行內部控制指引》對現有的各項規章制度進行整理并借鑒國外商業銀行內控制度建設的成功經驗統一制定若干管理制度和操作規程在制度的制定上要強化統一性為此首先應統一制度的出臺避免政出多門互相打架銀行的各項規章制度有很多種并且不斷更新具體操作的員工不易全部掌握而且一項業務受多個制度約束員工很容易在操作時顧此失彼這也是在制度制定時應著重考慮并解決的問題即制度制定時應將復雜的問題簡單化易于操作和執行在開發推廣新業務產品的過程中相應管理制度必須同步落實徹底扭轉“先發展后規范”的做法二是在清理完善的同時狠抓內控制度的貫徹落實建立一套執行制度的監督機制加大內控管理在各級經營單位業績考評中的力度進一步強化制度執行的嚴肅性三是對各類規章制度要進行定期的清理集中匯編印發給每一位員工還可將制度細化為員工手冊或崗位手冊或采取表格化的方式將經辦業務種類和應
當審核的條件采取的步驟和需注意的事項分別列示方便員工掌握和執行給員工提供一個學習規章制度的平臺并通過制度學習考試等形式強化學習制度的意識以提高員工掌握制度、執行制度的能力和水平
(四)強化計算機系統控制各項業務的計算機應用系統不僅是一個數據平臺和操作平臺更應當是一個管理平臺和控制平臺要加強各項業務計算機系統的風險控制一方面對計算機系統的立項、設計、開發、調試、運行、維修等全部過程實行嚴格管理確保計算機系統不留下操作風險隱患另一方面業務經營管理中的各項制度約束應在相應的計算機應用系統中得以體現并得到“固化”達到通過計算機系統有效實施管理和控制的目的因此在開發各項業務的計算機應用系統和對原有系統進行升級的過程中應不斷地將各項管理和控制制度的原則和要求在系統中以程序的方式加以限制盡量減少人為操作的風險如對網點柜員的操作權限控制嚴格根據柜員崗位制約的要求設臵交易掩碼和應用掩碼加強授權管理按規定配臵和使用柜員安全認證卡嚴禁“一人多卡”嚴禁“飛卡”授權和明碼授權嚴禁柜員辦理本人金融性業務和非金融性業務
(五)完善基層機構風險管理的方法把各要害崗位的
內控落實和案件防范作為考核單位“一把手”和主管領導、部門負責人的重要目標同其業績考核、晉升、獎懲等直接掛鉤層層簽訂責任狀落實責任使各級領導干部與其所主管的要害部門形成“一損俱損、一榮俱榮”的局面提升案件防范能力減少操作風險的發生制定全面、規范、明確的崗位責任制明確界定各崗位的操作權限使人人認識到濫用職權是越權“怠用”職權則是失職每個銀行職員都需要承擔相應的責任同時切實做好崗位職責的修改工作及時根據文件和人員崗位的調整進行修改做到人人有章可循明確各個崗位的權、責、利薪酬較高的崗位其相應的責任也大只有具備相應能力的員工才敢去、才能去競爭這些崗位從而有效規避操作風險的發生可以建立內控扣分制度對于高風險點的崗位應該是級別越高的相關人員扣點和處罰的程度越高以便加大管理層的責任提高其對防范風險的重視度
(六)強化審計監督職能審計監督是商業銀行內控機制中不可缺少的重要內容良好的內部審計監督是公司治理結構的有機組成部分是內控制度的核心環節是實現經營目標的重要保證隨著我國金融體制改革的進一步深入和現代企業制度的逐步建立商業銀行的內部審計監督職能必須進一步強化一是要建立一個具有獨立性、超脫性、權威性的內部審計監督體制二是推行外部審計再審制度由商業銀行總部選擇技術
力量強、信譽良好的審計師事務所不定期地對各級行進行全面稽審充分發揮外部審計在防范銀行操作風險中的控制作用三是加強培訓不斷提高審計工作人員的素質確保審計檢查人員的檢查水平和檢查能力不斷提高四是在強化審計監督職能的同時強化內部審計的指導職能指導被審計單位推進各項制度和操作規程的貫徹落實及時整改落實審計檢查中反映的問題對經營管理提出建設性意見
(七)強力推進合規文化建設一是決策層必須依法決策各級行的高級管理人員的行為在業務經營活動中處于支配地位決策層決策的正確與否直接影響著銀行經營狀況的好壞所以合規管理的關鍵環節在于規范決策者的行為要求各級行決策者的行為必須合規嚴格按照上級行授權管理的規定依法合規地正確行使決策權不發生越權、變相越權行為二是傳導層必須盡職盡責各級行的中級管理人員是規章制度和決策者意志的傳導者起著紐帶和橋梁的作用對基層機構執行規章制度起著引導、指導、監督的作用是合規管理的重要環節傳導層是否盡職盡責直接影響著各項規章制度能否得到正確有效的貫徹執行對各級行的內部職能部門必須明確具體而有效的管理內容和管理職責使其認真履行管理職責盡責經營與管理不失職、不瀆職三是操作層必須按章操作直接辦理各類業務的操作人員是各項規章制度的最終執行者規范“一線員工” 的操作行為是合規管理的關鍵環節上級行在制定各項規章制度時必須設計科學合理的操作流程使之規范化、程序化便于操作;同時要建立對操作人員的考核制度實行違規積分考核辦法并與效益工資直接掛鉤四是加強對員工的培訓和輔導提高銀行從業人員整體素質要通過優化結構、強化培訓、完善激勵等手段努力提高銀行從業人員的政策水平、思想覺悟和業務素質加大對新業務、新產品、新制度的適應性培訓以適應業務發展的需要要全面推行銀行從業人員資格認定制度規范銀行從業人員的準入標準
第四篇:商業銀行操作風險管理
華北金融
淺議商業銀行操作風險的管理
孫波濤
摘要:操作風險是銀行需要管理的最基礎的風險之一,它是與銀行的業務相依相存的。在金融業全面開放,國有商業銀行加快推進股份制改造步伐的新形勢下,必須有效加強基礎管理,防范操作風險,建立風險防范長效機制,不斷增強操作風險識別和控制能力,提高內控管理水平。
關鍵詞 《巴塞爾新資本協議》 操作風險管理現狀 操作風險文化 內部控制體系
商業銀行在社會發展中具有支持經濟發展、實現自身利潤最大化、承擔社會責任的角色。商業銀行是經營風險的企業,風險管理能力是其核心能力。相對于信用風險和市場風險的管理,操作風險管理從理念、手段、技術應用等各方面都存在明顯差距,操作風險的影響力和破壞力日益顯現,因此對操作風險的研究和管理也迫在眉睫。
一、操作風險的產生及定義
巴塞爾銀行監管委員會對操作風險的定義是:操作風險是指由于不完善或有問題的內部操作過程、人員、系統或外部事件而導致的直接或間接損失的風險。《巴塞爾新資本協議》把操作風險分為由人員、系統、流程和外部事件所引發的四類風險,并將其歸納為七種表現形
1式:內部欺詐,外部欺詐,聘用員工做法和工作場所安全性,客戶、產品及業務做法,實物資產損壞,業務中斷和系統失靈,交割及流程管理。我國銀監會明確指出,操作風險與信用風險、市場風險等并列,在于銀行內部控制及公司治理機制的失效。可見,操作風險更多來自于內部不當程序和操作,有著內生性、廣泛性、復雜性的特點。
二、當前商業銀行操作風險管理的不足
(一)操作風險意識不強,合規文化相對缺失。基層行對操作風險管理缺乏系統認識,對操作風險管理功能的職責界定不清,基層合規文化建設和教育相對落后,制度建設相對滯后,操作風險管理職能分散于業務條塊中,職能相對分散而弱化,全面風險觀念尚未從根本上得以貫徹和重視。
(二)操作風險管理方式和技術手段落后。沒有建立如風險評估、關鍵風險指標、損失事件、風險數據庫、情景分析等相關的科學管理手段,缺乏有效的事前防范和事中控制,對易發生操作風險的環節、崗位缺乏有效的防范措施,發生操作風險后,只是突擊檢查、查找漏洞、進行整改、處理有關責任人。
(三)操作風險管理體系不完整。沒有完全覆蓋操作風險的識別、評估、監測、緩釋、控制和報告等程序和環節,基層行只能在控制和報告環節被動工作,對于新產品、活動和系統推出過程中的風險控制顯得盲目被動。
(四)專業人才匱乏。尤其在一些數據模型、預測分析工具應用過程中,專業人才匱乏。
三、加強商業銀行操作風險防范的對策
(一)認真貫徹落實銀監會要求商業銀行進一步防范操作風險的13條指導意見。嚴格按照《關于加大防范操作風險工作力度的通知》要求,切實采取有效的貫徹執行措施。
(二)在文化上,踐行穩健合規的經營管理理念,建立操作風險管理的先進合規文化,夯實操作風險管理的基礎。一是要樹立風險控制優先的理念,注重預防,強化風險的過程控制;二是建立操作風險管理的先進合規文化,要堅持速度、規模、質量和效益的協調發展;三是要堅持業務發展與內部管理并重,加強精細化經營管理,強化內控,形成事前防范、事中控制、事后監督和糾正的動態風險防范機制。
(三)在體制機制上,繼續深化改革,為操作風險管理提供根本保障。一要構建系統、透明、文件化的操作風險控制體系,提升管理層次,實時、連續、有效地控制;二要優化業務流程和管理流程,確保對條線內的人員、產品、崗位、系統以及活動進行有效控制,并充分識別、及時報告和有效處置重大風險隱患;三是要前移風險控制關口,健全委派會計主管、風險經理和紀檢監察特派員等組織體系,探索建立垂直化的管理體制,確保風險控制和監督人員獨立、有效的履行職責;四是要改進考核評價機制,把風險及內控管理納入考核體系,有效引導各級機構樹立正確的業績觀;五是根據發展戰略、業務規模和對風險的預測,靈活運用風險轉移、分散、降低、規避等策略,完善風險緩釋工具。
(四)在管理上,提高控制能力和操作風險管理的有效性。一是要加強對各級管理人員的管理,正確處理好局部與全局、當前與長遠的關系;二是要重點加強對基層機構負責人的選配、考核、評價及日常管理,在強調品德、知識、業務拓展能力的同時,把管控能力作為
基層機構負責人選拔與評價的重要標準;三是要加強對員工隊伍的管理、監督和約束,嚴格執行重要崗位輪換、強制休假等制度,認真開展員工行為排查等各項活動。
(五)在執行上,認真遵守各項制度,提高操作風險管理水平。操作風險管理不僅要與產權改革、完善法人治理結構相結合,使經營者與風險承擔者統一起來。同時健全內控制度,包括崗位責任制度、授權審批制度、業務操作制度、責任追究制度、相關業務配套控制制度、突發事件控制制度等在內的一系列制度,對各類業務的流程進行基于風險管理的再造。
(六)在信息技術上,完善現代管理工具,提高操作風險管理的信息化水平。一要推進信息技術建設,完善數據倉庫,建立覆蓋所有操作風險的監控體系;采用具有前瞻性的關鍵風險指標,提供早期預警;建立和保持信息交流機制,確保操作風險監測的全面性,運用技術手段提升管理水平和風險控制能力;二要加快對營業網點的監控聯網,實施遠程、實時、集中監控,建立新的監督檢查平臺,提升防范操作風險的科技水平;三要加強信息安全體系建設,完善信息安全基礎平臺,確保與信息安全相關的資源、技術、管理等因素始終處于受控狀態。制定和完善應急預案,提高預防能力,嚴防信息技術管理風險和案件的發生。
參考文獻
【1】董建軍 劉楠 李金澤.《商業銀行內部控制指引》導讀[M].北京:中國言實出版社,2002 :1-60
【2】覃正 郝曉玲 方一丹.IT操作風險管理理論與實務[M].北京:清華大學出版社,2009:7-20
作者簡介:孫波濤,(1968年—),男,河北永清人,碩士研究生,辦公室主任,經濟師,供職于中國建設銀行股份有限公司廊坊分行
第五篇:商業銀行操作風險管理指引
中國銀監會關于印發《商業銀行操作風險管理指引》的通知
(銀監發?2007?42號2007年5月14日)
各銀監局,各政策性銀行、國有商業銀行、股份制商業銀行,郵政儲蓄銀行:
為加強商業銀行的操作風險管理,推動商業銀行進一步完善公司治理結構,提升風險管理能力,銀監會制定了《商業銀行操作風險管理指引》,現印發給你們,請遵照執行。請各銀監局將本通知轉發至轄內各城市商業銀行、農村商業銀行、農村合作銀行、農村信用社、城市信用社、外資獨資銀行、中外合資銀行和外國銀行分行主報告行。
二○○七年五月十四日
商業銀行操作風險管理指引
第一章 總 則
第一條 為加強商業銀行的操作風險管理,根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》以及其他有關法律法規,制定本指引。
第二條 在中華人民共和國境內設立的中資商業銀行、外商獨資銀行和中外合資銀行適用本指引。
第三條 本指引所稱操作風險是指由不完善或有問題的內部程序、員工和信息科技系統,以及外部事件所造成損失的風險。本定義所指操作風險包括法律風險,但不包括策略風險和聲譽風險。
第四條 中國銀行業監督管理委員會(以下簡稱銀監會)依法對商業銀行的操作風險管理實施監督檢查,評價商業銀行操作風險管理的有效性。
第二章 操作風險管理
第五條 商業銀行應當按照本指引要求,建立與本行的業務性質、規模和復雜程度相適應的操作風險管理體系,有效地識別、評估、監測和控制/緩釋操作風險。操作風險管理體系的具體形式不要求統一,但至少應包括以下基本要素:
(一)董事會的監督控制;
(二)高級管理層的職責;
(三)適當的組織架構;
(四)操作風險管理政策、方法和程序;
(五)計提操作風險所需資本的規定。
第六條 商業銀行董事會應將操作風險作為商業銀行面對的一項主要風險,并承擔監控操作風險管理有效性的最終責任。主要職責包括:
(一)制定與本行戰略目標相一致且適用于全行的操作風險管理戰略和總體政策;
(二)通過審批及檢查高級管理層有關操作風險的職責、權限及報告制度,確保全行的操作風險管理決策體系的有效性,并盡可能地確保將本行從事的各項業務面臨的操作風險控制在可以承受的范圍內;
(三)定期審閱高級管理層提交的操作風險報告,充分了解本行操作風險管理的總體情況、高級管理層處理重大操作風險事件的有效性以及監控和評價日常操作風險管理的有效
性;
(四)確保高級管理層采取必要的措施有效地識別、評估、監測和控制/緩釋操作風險;
(五)確保本行操作風險管理體系接受內審部門的有效審查與監督;
(六)制定適當的獎懲制度,在全行范圍有效地推動操作風險管理體系地建設。
第七條 商業銀行的高級管理層負責執行董事會批準的操作風險管理戰略、總體政策及體系。主要職責包括:
(一)在操作風險的日常管理方面,對董事會負最終責任;
(二)根據董事會制定的操作風險管理戰略及總體政策,負責制定、定期審查和監督執行操作風險管理的政策、程序和具體的操作規程,并定期向董事會提交操作風險總體情況的報告;
(三)全面掌握本行操作風險管理的總體狀況,特別是各項重大的操作風險事件或項目;
(四)明確界定各部門的操作風險管理職責以及操作風險報告的路徑、頻率、內容,督促各部門切實履行操作風險管理職責,以確保操作風險管理體系的正常運行;
(五)為操作風險管理配備適當的資源,包括但不限于提供必要的經費、設臵必要的崗位、配備合格的人員、為操作風險管理人員提供培訓、賦予操作風險管理人員履行職務所必需的權限等;
(六)及時對操作風險管理體系進行檢查和修訂,以便有效地應對內部程序、產品、業務活動、信息科技系統、員工及外部事件和其他因素發生變化所造成的操作風險損失事件。
第八條 商業銀行應指定部門專門負責全行操作風險管理體系的建立和實施。該部門與其他部門應保持獨立,確保全行范圍內操作風險管理的一致性和有效性。主要職責包括:
(一)擬定本行操作風險管理政策、程序和具體的操作規程,提交高級管理層和董事會審批;
(二)協助其他部門識別、評估、監測、控制及緩釋操作風險;
(三)建立并組織實施操作風險識別、評估、緩釋(包括內部控制措施)和監測方法以及全行的操作風險報告程序;
(四)建立適用全行的操作風險基本控制標準,并指導和協調全行范圍內的操作風險管理;
(五)為各部門提供操作風險管理方面的培訓,協助各部門提高操作風險管理水平、履行操作風險管理的各項職責;
(六)定期檢查并分析業務部門和其他部門操作風險的管理情況;
(七)定期向高級管理層提交操作風險報告;
(八)確保操作風險制度和措施得到遵守。
第九條 商業銀行相關部門對操作風險的管理情況負直接責任。主要職責包括:
(一)指定專人負責操作風險管理,其中包括遵守操作風險管理的政策、程序和具體的操作規程;
(二)根據本行統一的操作風險管理評估方法,識別、評估本部門的操作風險,并建立持續、有效的操作風險監測、控制/緩釋及報告程序,并組織實施;
(三)在制定本部門業務流程和相關業務政策時,充分考慮操作風險管理和內部控制的要求,應保證各級操作風險管理人員參與各項重要的程序、控制措施和政策的審批,以確保與操作風險管理總體政策的一致性;
(四)監測關鍵風險指標,定期向負責操作風險管理的部門或牽頭部門通報本部門操作風險管理的總體狀況,并及時通報重大操作風險事件。
第十條 商業銀行法律、合規、信息科技、安全保衛、人力資源等部門在管理好本部門操作風險的同時,應在涉及其職責分工及專業特長的范圍內為其他部門管理操作風險提供相
關資源和支持。
第十一條 商業銀行的內審部門不直接負責或參與其他部門的操作風險管理,但應定期檢查評估本行的操作風險管理體系運作情況,監督操作風險管理政策的執行情況,對新出臺的操作風險管理政策、程序和具體的操作規程進行獨立評估,并向董事會報告操作風險管理體系運行效果的評估情況。
鼓勵業務復雜程度較高和規模較大的商業銀行委托社會中介機構對其操作風險管理體系定期進行審計和評價。
第十二條 商業銀行應當制定適用于全行的操作風險管理政策。操作風險管理政策應當與銀行的業務性質、規模、復雜程度和風險特征相適應。主要內容包括:
(一)操作風險的定義;
(二)適當的操作風險管理組織架構、權限和責任;
(三)操作風險的識別、評估、監測和控制/緩釋程序;
(四)操作風險報告程序,其中包括報告的責任、路徑、頻率,以及對各部門的其他具體要求;
(五)應針對現有的和新推出的重要產品、業務活動、業務程序、信息科技系統、人員管理、外部因素及其變動,及時評估操作風險的各項要求。
第十三條 商業銀行應當選擇適當的方法對操作風險進行管理。
具體的方法可包括:評估操作風險和內部控制、損失事件的報告和數據收集、關鍵風險指標的監測、新產品和新業務的風險評估、內部控制的測試和審查以及操作風險的報告。
第十四條 業務復雜及規模較大的商業銀行,應采用更加先進的風險管理方法,如使用量化方法對各部門的操作風險進行評估,收集操作風險損失數據,并根據各業務線操作風險的特點有針對性地進行管理。
第十五條 商業銀行應當制定有效的程序,定期監測并報告操作風險狀況和重大損失情況。應針對潛在損失不斷增大的風險,建立早期的操作風險預警機制,以便及時采取措施控制、降低風險,降低損失事件的發生頻率及損失程度。
第十六條 重大操作風險事件應當根據本行操作風險管理政策的規定及時向董事會、高級管理層和相關管理人員報告。
第十七條 商業銀行應當將加強內部控制作為操作風險管理的有效手段,與此相關的內部措施至少應當包括:
(一)部門之間具有明確的職責分工以及相關職能的適當分離,以避免潛在的利益沖突;
(二)密切監測遵守指定風險限額或權限的情況;
(三)對接觸和使用銀行資產的記錄進行安全監控;
(四)員工具有與其從事業務相適應的業務能力并接受相關培訓;
(五)識別與合理預期收益不符及存在隱患的業務或產品;
(六)定期對交易和賬戶進行復核和對賬;
(七)主管及關鍵崗位輪崗輪調、強制性休假制度和離崗審計制度;
(八)重要崗位或敏感環節員工八小時內外行為規范;
(九)建立基層員工署名揭發違法違規問題的激勵和保護制度;
(十)查案、破案與處分適時、到位的雙重考核制度;
(十一)案件查處和相應的信息披露制度;
(十二)對基層操作風險管控獎懲兼顧的激勵約束機制。
第十八條 為有效地識別、評估、監測、控制和報告操作風險,商業銀行應當建立并逐步完善操作風險管理信息系統。管理信息系統至少應當記錄和存儲與操作風險損失相關的數據和操作風險事件信息,支持操作風險和控制措施的自我評估,監測關鍵風險指標,并可提
供操作風險報告的有關內容。
第十九條 商業銀行應當制定與其業務規模和復雜性相適應的應急和業務連續方案,建立恢復服務和保證業務連續運行的備用機制,并應當定期檢查、測試其災難恢復和業務連續機制,確保在出現災難和業務嚴重中斷時這些方案和機制的正常執行。
第二十條 商業銀行應當制定與外包業務有關的風險管理政策,確保業務外包有嚴謹的合同和服務協議、各方的責任義務規定明確。
第二十一條 商業銀行可購買保險以及與第三方簽訂合同,并將其作為緩釋操作風險的一種方法,但不應因此忽視控制措施的重要作用。
購買保險等方式緩釋操作風險的商業銀行,應當制定相關的書面政策和程序。
第二十二條 商業銀行應當按照銀監會關于商業銀行資本充足率管理的要求,為所承擔的操作風險提取充足的資本。
第三章 操作風險監管
第二十三條 商業銀行的操作風險管理政策和程序應報銀監會備案。商業銀行應按照規定向銀監會或其派出機構報送與操作風險有關的報告。委托社會中介機構對其操作風險管理體系進行審計的,還應提交外部審計報告。
第二十四條 商業銀行應及時向銀監會或其派出機構報告下列重大操作風險事件:
(一)搶劫商業銀行或運鈔車、盜竊銀行業金融機構現金30萬元以上的案件,詐騙商業銀行或其他涉案金額1000萬元以上的案件;
(二)造成商業銀行重要數據、賬冊、重要空白憑證嚴重損毀、丟失,造成在涉及兩個或兩個以上省(自治區、直轄市)范圍內中斷業務3小時以上,在涉及一個省(自治區、直轄市)范圍內中斷業務6小時以上,嚴重影響正常工作開展的事件;
(三)盜竊、出賣、泄漏或丟失涉密資料,可能影響金融穩定,造成經濟秩序混亂的事件;
(四)高管人員嚴重違規;
(五)發生不可抗力導致嚴重損失,造成直接經濟損失1000萬元以上的事故、自然災害;
(六)其他涉及損失金額可能超過商業銀行資本凈額1‰的操作風險事件;
(七)銀監會規定其他需要報告的重大事件。
第二十五條 銀監會對商業銀行有關操作風險管理的政策、程序和做法進行定期的檢查評估。主要內容包括:
(一)商業銀行操作風險管理程序的有效性;
(二)商業銀行監測和報告操作風險的方法,包括關鍵操作風險指標和操作風險損失數據;
(三)商業銀行及時有效處理操作風險事件和薄弱環節的措施;
(四)商業銀行操作風險管理程序中的內控、檢查和內審程序;
(五)商業銀行災難恢復和業務連續方案的質量和全面性;
(六)計提的抵御操作風險所需資本的充足水平;
(七)操作風險管理的其他情況。
第二十六條 對于銀監會在監管中發現的有關操作風險管理的問題,商業銀行應當在規定的時限內,提交整改方案并采取整改措施。
對于發生重大操作風險事件而未在規定時限內采取有效整改措施的商業銀行,銀監會將依法采取相關監管措施。
第四章 附則
第二十七條 政策性銀行、金融資產管理公司、城市信用社、農村信用社、農村合作銀行、信托投資公司、財務公司、金融租賃公司、汽車金融公司、貨幣經紀公司、郵政儲蓄機構等其他銀行業金融機構參照本指引執行。
第二十八條 未設董事會的銀行業金融機構,應當由其經營決策機構履行本指引規定的董事會的有關操作風險管理職責。
第二十九條 在中華人民共和國境內設立的外國銀行分行,應當遵循其總行制定的操作風險管理政策和程序,按照規定向銀監會或其派出機構報告重大操作風險事件并接受銀監會的監管;其總行未制定操作風險管理政策和程序的,按照本指引的有關要求執行。
第三十條 本指引所涉及的有關名詞見附錄。
第三十一條 本指引自發布之日起施行。
附錄:《商業銀行操作風險管理指引》有關名詞的說明附錄
《商業銀行操作風險管理指引》有關名詞的說明
一、操作風險事件
操作風險事件是指由不完善或有問題的內部程序、員工和信息科技系統,以及外部因素所造成財務損失或影響銀行聲譽、客戶和員工的操作事件,具體事件包括:內部欺詐,外部欺詐,就業制度和工作場所安全,客戶、產品和業務活動,實物資產的損壞,營業中斷和信息技術系統癱瘓,執行、交割和流程管理七種類型(進一步的信息可參閱《統一資本計量和資本標準的國際協議:修訂框架》,即巴塞爾新資本協議的“附錄7:損失事件分類詳表”)。
二、自我風險評估、關鍵風險指標
商業銀行用于識別、評估操作風險的常用工具。
(一)自我風險評估
自我風險評估是指商業銀行識別和評估潛在操作風險以及自身業務活動的控制措施、適當程度及有效性的操作風險管理工具。
(二)關鍵風險指標
關鍵風險指標是指代表某一風險領域變化情況并可定期監控的統計指標。關鍵風險指標可用于監測可能造成損失事件的各項風險及控制措施,并作為反映風險變化情況的早期預警指標(高級管理層可據此迅速采取措施),具體指標例如:每億元資產損失率、每萬人案件發生率、百萬元以上案件發生比率、超過一定期限尚未確認的交易數量、失敗交易占總交易數量的比例、員工流動率、客戶投訴次數、錯誤和遺漏的頻率以及嚴重程度等。
三、法律風險
法律風險包括但不限于下列風險:1.商業銀行簽訂的合同因違反法律或行政法規可能被依法撤銷或者確認無效的;2.商業銀行因違約、侵權或者其他事由被提起訴訟或者申請仲裁,依法可能承擔賠償責任的;3.商業銀行的業務活動違反法律或行政法規,依法可能承擔行政責任或者刑事責任的。
點擊咨詢 