第五章 操作風險管理
考點預測
操作風險的定義、特點、監管體系★★★
操作風險四個主要類別★★★
操作風險與內部控制、合規和法律風險的關系★★★
自我評估法★★★★
因果分析模型★★★★
操作風險評估的定義、原理和原則★★★★
自我評估法★★★★★
操作風險控制環境的四項主要因素★★★
風險緩釋的三種常用手段★★★
我國商業銀行主要業務的操作風險控制措施★★★
關鍵風險指標法★★★★
損失數據收集★★★★
操作風險報告的路徑和主要內容★★★★
基本指標法★★★★
標準法計量★★★★
高級計量法★★
第一節 操作風險概述
《商業銀行資本管理辦法(試行)》將信用風險、市場風險和操作風險同步納入銀行資本計量與監管范圍,標志著操作風險管理已經成為商業銀行全面風險管理體系的重要組成部分。
一、操作風險的定義與特點
操作風險是指由不完善或有問題的內部程序、員工、信息科技系統以及外部事件所造成損失的風險。本定義所指操作風險包括法律風險,但不包括聲譽風險和戰略風險。這里從人員因素、內部流程、系統缺陷和外部事件四個方面對操作風險形成的原因、損失種類及特征進行分析。
操作風險主要是由歐洲的巴塞爾委員會倡導的概念,經歷了一個逐漸清晰化的過程。中國銀監會和銀行業采用的是巴塞爾委員會在資本協議中提出的定義。與信用風險、市場風險相比,操作風險具有以下特點:具體性、分散性、差異性、復雜性、內生性、轉化性。
二、操作風險相關概念辨析
國有資產監督管理委員會2006年6月發布的《中央企業全面風險管理指引》認為,全面風險管理,是指企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統,從而為實現風險管理的總體目標提供合理保證的過程和方法。
2008年4月,財政部等五部委發布了《企業內部控制基本規范》,認為內部控制是由董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。要求企業在保證經營管理合法合規、資產安全、財務報告真實完整、提高經營效率和效果的基礎上,著力促進企業實現發展戰略,要求企業構建以控制環境為重要基礎,以風險評估為重要環節、以控制活動為重要手段、以信息與溝通為重要條件、以內部監督為重要保證,相互聯系、相互促進的五要素框架。
銀監會2006年頒布的《商業銀行合規風險管理指引》認為合規風險是指商業銀行因沒有遵循法律、規則和準則可能遭受法律制裁、監管處罰、重大財務損失和剩余損失的風險。
(1)COS0委員會和巴塞爾委員會于2004年在“內部控制”和“全面風險管理”的理解上趨于一致,操作風險屬于全面風險管理的組成部分。
(2)合規是操作風險的管理目標,兩者在管理實踐中存在重疊。
三、操作風險的監管規則
1.國際監管規則
1997年《有效銀行監管的核心原則》,確立操作風險管理的概念,操作風險首次納入風險管理的監管范圍。
1998年推出了首個專門針對操作風險的《操作風險管理》。
2003年《操作風險管理與監管的穩健辦法》,從內部控制環境、風險管理、監管和信息披露四個方面闡明操作風險管理體系的主要構成要素。
2004年頒布實施《巴塞爾新資本協議》,提出了以三大支柱——資本充足率監管部門的監督檢查和市場紀律約束為主要特點的資本監管框架,將信用風險、市場風險、操作風險一起構成第一支柱——最低資本要求的三個組成部分。
2.國內監管規則
2005年3月銀監會發布了《關于加大防范操作風險工作力度的通知》。
2007年5月銀監會發布了《商業銀行操作風險管理指引》。
2012年6月,出臺了《商業銀行資本管理辦法(試行)》。
四、操作風險分類
1.人員因素
操作風險的人員因素主要是指因商業銀行員工發生內部欺詐、失職違規,以及因員工的知識/技能匱乏、核心員工流失、商業銀行違反用工法等造成損失或者不良影響而引起的風險。
(1)內部欺詐。
內部欺詐是指員工故意騙取、盜用財產或違反監管規章、法律或公司政策導致的損失。此類事件至少涉及內部人員一方,但不包括性別/種族歧視事件。我國商業銀行員工違法行為導致的操作風險主要集中于內部人作案和內外勾結作案兩種,屬于最常見的操作風險類型。
(2)失職違規。
商業銀行內部員工因過失沒有按照雇傭合同、內部員工守則、相關業務及管理規定操作或者辦理業務造成的風險,主要包括因過失、未經授權的業務或交易行為以及超越授權的活動。員工越權行為包括濫用職權、對客戶交易進行誤導或者支配超出其權限的資金額度,或者從事未經授權的交易等,致使商業銀行發生損失的風險。商業銀行應對員工越權行為導致的操作風險予以高度關注。
(3)知識技能匱乏。
①在工作中,自己意識不到缺乏必要的知識,按照自己認為正確而實際錯誤的方式工作;
②意識到自己缺乏必要的知識,但是礙于顏面或者其他原因而不向管理層提出或者聲明其無法勝任某一工作或者不能處理面對的情況;
③意識到本身缺乏必要的知識,并進而利用這種缺陷。
在前兩種情況下,有關人員會按照他認為正確的方式工作,如果他們負責交易方面的工作,可能會給商業銀行帶來經濟或者聲譽方面的損失。最后一種情況屬于內部欺詐。
(4)核心雇員流失。
核心人員具備商業銀行員工不普遍具備的知識,或者主要人員能夠快速吸收商業銀行的內部知識。核心人員掌握商業銀行大量技術和關鍵信息,他們(如交易員、高級客戶經理)的流失將給商業銀行帶來不可估量的損失。核心雇員流失體現為對關鍵人員依賴的風險,包括缺乏足夠的后援/替代人員,相關信息缺乏共享和文檔記錄,缺乏崗位輪換機制等。
(5)違反用工法。
違反用工法是指違反就業、健康或安全方面的法律或協議,包括勞動法、合同法等,造成個人工傷賠付或因性別/種族歧視事件導致的損失。
2.內部流程
內部流程引起的操作風險是指由于商業銀行業務流程缺失、設計不完善,或者沒有被嚴格執行而造成的損失。
(1)財務/會計錯誤。
財務/會計錯誤是指商業銀行內部在財務管理和會計賬務處理方面存在流程錯誤,主要原因是財會制度不完善,管理流程不清晰,財會系統建設存在缺陷等。各商業銀行從2007年開始根據新的會計準則進行財務制度的設計和相應管理流程的調整,有必要對相應操作風險予以關注,尤其是上市商業銀行在不良貸款撥備方面的處理。
(2)文件合同缺陷。
文件/合同缺陷也稱文件/合同瑕疵,是指各類文件檔案的制定、管理不善,包括不合適的或者不健全的文檔結構,以及協議中出現錯誤或者缺乏協議等,主要表現為抵押權證、房產證丟失等。作為關鍵流程的有效控制與否的證據,文件/合同歷來是各商業銀行加強檔案管理的重點。
(3)產品設計缺陷。
產品設計缺陷是指商業銀行為公司、個人、金融機構等客戶提供的產品在業務管理框架、權利義務結構、風險管理要求等方面存在不完善、不健全等問題。
產品的競爭是各商業銀行市場競爭的主要體現。隨著外資商業銀行的進人,發達國家的先進金融工具會直接在我國轉化并進入市場。為了滿足客戶要求,各商業銀行會競相模仿甚至在條件方面更優惠客戶、流程更簡便,但是內部流程的缺失、設計不合理或者執行得不到位,將造成更嚴重的風險。
(4)錯誤監控/報告。
錯誤監控/報告是指商業銀行監控/報告流程不明確、混亂,負責監控/報告的部門的職責不清晰,有關數據不全面、不及時、不準確,造成未履行必要的匯報義務或者對外部匯報不準確(發生損失)。
銀監會督促各商業銀行加強公司治理機制,完善內部報告流程和信息披露工作。各銀行在監控/報告的流程、頻率和路線方面出現問題,造成決策層或者管理層不能及時發現并督促整改,形成的損失較難統計,但是應當形成有效的跟蹤和反饋機制。
(5)結算/支付錯誤。
結算/支付錯誤是指因商業銀行結算支付系統失靈或延遲,如現金未及時送達網點以及對方商業銀行等。國內外各商業銀行均在大力推進運營與后臺支持的集中化,在流程方面既加強對前臺和中臺的控制,又重視對商業銀行總體管理的流程重整。
(6)交易/定價錯誤。
交易/定價錯誤是指在交易過程中,因未遵循操作規定,交易和定價產生的錯誤。
3.系統缺陷
系統缺陷引發的操作風險是指由于信息科技部門或服務供應商提供的計算機系統或設備發生故障或其他原因,商業銀行不能正常提供部分、全部服務或業務中斷而造成的損失。包括系統設計不完善和系統維護不完善所產生的風險。
(1)數據/信息質量。
商業銀行對數據/信息質量管理主要是防止各類文件檔案的制定、管理不善,業務操作中的數據出現差錯。曾有說法“商業銀行里數據為王”,而企業級數據倉庫的建設,都離不開數據。在商業銀行實施《巴塞爾新資本協議》的過程中,缺乏數據/信息以及數據/信息的質量不符合要求的風險成為近期風險防范的重點。
(2)違反系統安全規定。
系統安全包括外部系統安全、內部系統安全以及對計算機病毒和對第三方程序欺詐的防護等。違反系統安全規定具體表現在:突破存儲限制、系統信息傳遞/系統修改信息傳送失敗、第三方界面失敗、系統無法完成任務、數據崩潰、系統崩潰重新存儲、請求批處理失敗、對賬錯誤等。
(3)系統設計/開發的戰略風險。
商業銀行應當對信息系統的項目立項、開發、驗收、運行和維護實施有效管理,不能片面追求快速見效或者貪大求全,超越本行業務要求,僅為“上系統而上系統”,要在戰略高度評價經營管理的需求,要慎重對待系統設計、開發全過程。
(4)系統的穩定性、兼容性、適宜性。
技術部門應當與業務部門互相協調,確保系統的整體穩定運行,核心銀行系統與相關系統有效兼容,與業務需求和管理需求保持相當的適宜性。
4.外部事件
商業銀行的經營是在一定的政治、經濟和社會環境中發生的,經營環境的變化,外部突發事件等都會影響商業銀行的正常經營活動,甚至發生損失。外部事件可能是內部控制失敗或內部控制的薄弱環節,或是外部因素對商業銀行運作或聲譽造成的“威脅”。
(1)外部欺詐/盜竊。
外部欺詐是指外部人員故意騙取、盜用財產或逃避法律而給商業銀行造成損失的行為,包括外部的盜竊、搶劫、涉槍行為;偽造、變造多戶頭支票,騙貸等欺詐行為。該類風險是給商業銀行造成損失最大、發生次數最多的操作風險之一。
(2)洗錢。
洗錢是指通過各種手段將違法所得合法化的行為,例如毒品犯罪洗錢等。目前全球反恐的推進,對商業銀行在經營過程中設定相應程序、政策以對付恐怖融資和洗錢行為提出了更高的要求。
(3)政治風險。
政治風險是指由于戰爭、征用、罷工和政府行為、公共利益集團或極端分子活動而引起的風險。例如,本國政府或者商業銀行海外機構所在地政府新的/新興的立法,公共利益集團的持續壓力/運動,極端組織的行動,政變、政府更替等。
(4)監管規定。
監管規定是指未遵守金融監管當局的規定而引起的風險。在出臺新的金融監管規定或者金融監管加強,新的金融監管者發生改變,出現新的金融監管重點時,較易出現此方面的風險。
(5)業務外包。
由于供應商的過錯而造成服務或供應中斷或者撤銷而引發的風險,包括為商業銀行提供產品或服務的供應商中斷,或者拒絕產品或服務的供應。
(6)自然災害。
由于自然因素造成商業銀行財產損失,包括火災、洪水、地震等。
(7)恐怖威脅。
由于人為因素造成商業銀行財產損失,包括恐怖活動、綁架和爆炸等。最典型的美國“9•11事件”、2003年年底匯豐銀行遭受恐怖襲擊等,給各銀行帶來重大風險。
在商業銀行的操作風險管理實踐中,還可以從原因、損失事件、影響等角度進行多維度分類和評級,以便運用風險與控制評估、關鍵風險指標、損失數據收集、檢查、整改及操作風險報告等操作風險管理流程,提升管理效率。
(1)操作風險原因是指誘發操作風險轉變為操作風險損失事件的緣由,通常一個操作風險損失事件可由一個或多個操作風險原因引發。一級操作風險原因分類有信息科技系統、流程、人員、經營活動、環境、政治、監管和破壞或事故等八類。其中信息科技系統、流程、人員屬于內部原因,經營活動、環境、政治、監管和破壞或事故屬于外部原因。
(2)操作風險損失事件分類援用了銀監會的操作風險損失事件分類。操作風險損失事件分類共有一級、二級和三級分類。在開展操作風險與控制評估、操作風險損失數據收集工作時,需要將識別的風險或發現的損失事件按照本事件分類進行歸類。
(3)操作風險影響分類包括可用經濟指標衡量的財務影響及無法用經濟指標量化的非財務影響。其中財務影響指由操作風險損失事件引起的實際財物損失,表現為發生了實際或潛在的核銷或財務賬務項下費用,影響子類別包括法律責任、監管處罰、實際或其他資產損失或損毀、賠償、追索權引起的損失。非財務影響的影響子類別包括客戶/服務影響、聲譽影響、員工影響、法律/監管影響。
(4)操作風險嚴重度評級可以通過等級矩陣進行評級。操作風險等級矩陣通過風險概率和影響兩個維度來度量風險的嚴重度。
五、操作風險的識別方法
1.自我評估法
自我評估法是在商業銀行內部控制體系的基礎上,通過開展全員風險識別,識別出全行經營管理中存在的風險點,并從影響程度和發生概率兩個角度來評估操作風險的重要程度。自我評估法還應當評估風險控制措施的質量,不僅要對沒有控制措施或控制不足而具有潛在風險的環節進行完善,也要對控制過度引起效率低下的環節進行重新調整。
2.因果分析模型
在綜合自我評估結果和各類操作風險報告的基礎上,利用因果分析模型能夠對風險成因、風險指標和風險損失進行邏輯分析和數據統計,進而形成三者之間相互關聯的多元分布。實踐中,商業銀行通常先收集損失事件,然后識別導致損失的風險成因,方法包括實證分析法、與業務管理部門會談等,最終獲得損失事件與風險成因之間的因果關系。
