壹、操作風險的內涵
操作風險通常分為狹義和廣義。從狹義上講,操作風險僅在商業銀行的“操作”部門被定義為操作風險,它被定義為由於控制、系統和操作中的錯誤或疏忽而可能導致潛在損失的風險。這些風險是商業銀行可以控制的風險,但不包括外部事件,如監管機構或自然災害。廣義的操作風險定義為除市場風險和信用風險以外的所有金融風險。這壹內涵非常寬泛,其優勢在於涵蓋了除市場和信用風險之外的所有剩余風險,但這壹定義使得商業銀行管理和計量操作風險非常困難。銀行業普遍認同巴塞爾委員會對操作風險的定義。根據2003年發布的巴塞爾新資本協議草案,操作風險是指由於內部程序、人員和系統不完善或出現故障,或外部事件導致損失的風險。巴塞爾委員會對操作風險的定義突出了內部人員操作和業務系統因素導致的操作風險。這壹概念側重於操作風險形成的原因,基本涵蓋了商業銀行的所有業務條線,更具實用性。
二,我國商業銀行操作風險的現狀
90年代以後,操作風險越來越突出,尤其是近兩年,有加速暴露的趨勢。如2005年發生的中國銀行黑龍江宋河街支行6543.8億元詐騙案、中國銀行北京分行6.45億元房貸詐騙案;2006年,深圳發展銀行的非法貸款總額為654.38+0.5億元,中國銀行開平支行原行長被貪汙4.82億美元。這些案例只是銀行業操作風險的壹部分,還有大量損失較小的操作風險沒有被披露。據銀監會披露,2004年,* * *處罰非法機構2202家,處罰相關人員4538人,涉嫌案件274起,金額5840億元。2005年,* * *查出金融機構違法金額7671億元,處罰違法金融機構1,205家,處理違法金融機構6826家,取消325名高級管理人員任職資格。可見,我國銀行業操作風險的嚴重性令人擔憂。從我國現狀來看,商業銀行操作風險日益突出的主要原因是商業銀行操作風險管理存在諸多缺陷,集中表現在操作風險管理理念錯誤和操作風險管理框架不完善。
(壹)錯誤的操作風險管理理念
所謂風險管理理念,就是用什麽樣的思想來指導風險管理。因此,對風險有什麽樣的認識,就會有什麽樣的風險管理理念。片面錯誤的理解只能形成國內銀行業錯誤的操作風險管理理念。這體現在以下幾個方面:
1.比起事前預防,更註重事後管理。在這種錯誤思想的“指導”下,銀行註重對已經發生或存在的風險采取事後管理的懲罰措施,試圖以嚴厲的懲罰來遏制風險的出現。而對事前的預防措施和事後的控制措施關註較少,要麽沒有,要麽沒有。
2.比起高層領導的管理,更重視基層人員的管理。國內銀行業在操作風險管理方面存在壹個根深蒂固的誤區,即強調基層人員的管理而忽視高層領導的管理,認為只有基層操作人員才能有操作風險。因此,銀行的內部審計部門將重點放在基層經營者,而不是高層管理人員。但由於高層掌握著人力、財力、物力的大權,由此引發的經營風險,尤其是內外勾結,其危害性遠遠大於基層經營者。
3.重視審計多於全面管理。國內很多銀行往往將操作風險視為操作風險,這是銀行操作風險管理中“重審計輕全面管理理念”的認知根源。在這種觀念的支配下,銀行往往將操作風險管理的職能委托給內部審計部門,而不是風險管理部門,導致多種類型的操作風險(如系統因素導致的操作風險)無人管理。
(2)操作風險管理部門不健全
完善的風險管理框架是實現全面風險管理的前提。風險管理框架的缺陷會導致嚴格的內控制度出現漏洞,風險損失不可避免。從現狀來看,國內銀行操作風險管理框架的缺陷表現為:缺乏專門的操作風險管理部門,基層分行風險管理職能缺失。
1,操作風險管理職責分散,缺乏專門的管理部門。根據巴塞爾委員會的定義,操作風險是由人員、系統、流程和外部事件等四個因素造成的,幾乎涉及到銀行的所有職能部門。但在中國,不同的部門負責不同類型的操作風險,沒有協調部門。這種分散管理的做法使得銀行系統缺乏統壹的操作風險管理戰略和政策,高層管理者無法清晰地了解銀行面臨的整體操作風險狀況。同時,分散管理也會使壹些經營風險因無人管理而陷入真空。
2.基層分行操作風險管理職能缺失。國外對操作風險的研究表明,操作風險大多集中在基層分行。因此,外資銀行壹般在基層分行設立風險經理壹職,負責總行風險管理政策在基層的執行、基層分行的監督管理以及與總行風險管理信息的溝通。但是國內大部分銀行都沒有這個設置。操作風險管理基本上由內審部門負責,而且只在總行設立,基層機構沒有分支機構,導致基層分支機構操作風險管理職能缺失。由於總行內審部門無法對基層分行進行實時監督,為操作風險的出現提供了可乘之機。
三、我國商業銀行操作風險管理對策
(壹)全面加強內部控制建設
內部控制體系是有針對性地管理操作風險的有力工具,有效且嚴格執行的內部控制體系是銀行風險管理體系的核心。
1.加強內控管理文化建設。內控管理文化包括銀行員工的風險觀念、風險內控意識和風險管理職業道德。銀行內控管理要求員工具備壹定的行為準則和道德水準。內控管理文化建設是通過調動每個員工的積極性、主動性和創造性,在全行範圍內建立全體員工的內控意識,並對全體員工進行持續的內控培訓,確保全體員工具備內控管理的理念、意識和行為準則,通過約束員工的行為達到業務發展和內部控制的目的。
2.建立有效的公司治理結構和合理的組織結構,從制度上保證內部控制的效率。有效的公司治理結構和合理的組織結構是商業銀行內部控制體系效率的制度保障。要從根本上加強商業銀行內控體系建設,產權制度改革是核心問題。國有商業銀行股份制改革,實現股權多元化,可以改變目前產權和責任不清的狀況,建立目標明確、權責對應的有效公司治理結構。合理的組織結構對內部控制的效果也起著至關重要的作用。商業銀行應當按照決策系統、執行系統和監督反饋系統相互制衡的原則設置組織結構,選擇合理的組織管理形式。橫向上,權利均衡,部門在分工合理、職責明確的基礎上相對獨立、相互制約;縱向上要減少管理層級,精簡機構,加強對下級機構的控制。
3.積極開展內部控制評價,建立獨立、權威的內部監督體系,確保內部監督的連續性。內部控制評價是對商業銀行分支機構內部控制制度建設、執行和實施效果進行全面檢查、測試和評估的過程,是上級監管對各項業務活動的審計活動。它補充了監督和檢查。為了保證內部控制體系的有效運行,商業銀行必須對其進行持續監督。通過設立獨立、權威、僅對最高決策層負責的內部審計部門,內部審計部門獨立行使全面的內部監督職能,評價內部控制體系的有效性和合規性。建立健全合理有序的內部審計檢查體系和非現場審計體系,加大監督檢查的頻率和力度,持續監督商業銀行內部控制體系的整體有效性,促進銀行業內部控制體系的建立和完善。
(二)建立和完善操作風險管理體系。
這是商業銀行防控操作風險的壹項基礎性工作,也是我國商業銀行操作風險管理的基本要求。
1,梳理商業銀行組織架構。成立專門的風險管理委員會,負責銀行風險控制,形成暢通有效的報告渠道。商業銀行應在風險管理委員會下設立市場風險、信用風險和操作風險的專業管理委員會,在操作風險管理委員會的領導下協調和管理操作風險。操作風險管理委員會應加強部門間的溝通與合作,定期和不定期召開操作風險管理聯席會議,分析內外部操作風險形勢,評估風險暴露程度,研究制定防範措施。
2.建立操作風險管理部門。壹般來說,操作風險與日常業務經營密切相關,需要在不同的業務部門進行控制和管理,需要在業務部門設立專職的操作風險經理職位。不僅要對本部門負責,還要對上壹級操作風險管理部門負責,形成以操作風險管理委員會為中心,橫向延伸至相關部門,縱向延伸至基層營業網點的全面操作風險管理體系。運營風險經理可以派駐,也可以下壹級管理。操作風險經理的職責是:全面識別本部門涉及業務條線的操作風險損失類型,綜合評估風險暴露程度,實時監控並及時預警。
3.建立科學的決策機制。對於商業銀行來說,應該形成以個人負責制為基礎的集體決策體系。強調全面風險管理,必須認識到普通員工或高級管理人員必須建立在個人對其行為負責的微觀基礎上。風險管理框架本身必須能夠識別和獎勵那些善於應對風險並獲得收益的高級管理人員和員工,懲罰那些過度冒險或厭惡風險的人。只有這樣,金融機構中的風險文化才能是良性的。
(三)選擇適當的操作風險計量方法
風險量化和建模是銀行風險管理的發展趨勢。信用風險和市場風險都已發展出成熟的量化模型,而操作風險因其發生範圍廣、損失數據收集困難、損失程度不確定等原因發展緩慢。2004年4月26日,新巴塞爾協議要求商業銀行為操作風險計提相應的資本,並提出了計算操作風險資本的三種方法:基本指標法、標準法和高級計量法。
對於中資銀行來說,標準法既克服了基本指標法的缺陷,又不像高級計量法那樣苛刻。比較適合自己的經營情況,比如經營範圍、規模、經營類別等。,對風險度量有很強的針對性,所以我國目前應該采用這種方法。商業銀行根據自身情況將業務分為八大產品線。不同產品線的資本要求系數可以根據銀行具體情況適當調整,逐步向標準化方向發展,為未來采用更準確、更靈敏的計量方法做準備。同時,為使該方法更具適用性,中資銀行應在以下方面加強管理:壹是建立操作風險損失事件檔案,定期跟蹤記錄損失事件發生的頻率、規律性、嚴重程度等相關信息,為量化操作風險提供依據;二是建立包括幾年數據的操作風險損失數據庫,積累損失數據;第三,招聘具有豐富操作風險計量經驗的員工,收集和計量操作風險損失數據;第四,建立嚴格的實施程序,定期檢查損失率、風險指標和規模的有效性,確保內部數據和外部數據的準確性和適用性。