第五章 操作风险管理
考点预测
操作风险的定义、特点、监管体系★★★
操作风险四个主要类别★★★
操作风险与内部控制、合规和法律风险的关系★★★
自我评估法★★★★
因果分析模型★★★★
操作风险评估的定义、原理和原则★★★★
自我评估法★★★★★
操作风险控制环境的四项主要因素★★★
风险缓释的三种常用手段★★★
我国商业银行主要业务的操作风险控制措施★★★
关键风险指标法★★★★
损失数据收集★★★★
操作风险报告的路径和主要内容★★★★
基本指标法★★★★
标准法计量★★★★
高级计量法★★
第一节 操作风险概述
《商业银行资本管理办法(试行)》将信用风险、市场风险和操作风险同步纳入银行资本计量与监管范围,标志着操作风险管理已经成为商业银行全面风险管理体系的重要组成部分。
一、操作风险的定义与特点
操作风险是指由不完善或有问题的内部程序、员工、信息科技系统以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险,但不包括声誉风险和战略风险。这里从人员因素、内部流程、系统缺陷和外部事件四个方面对操作风险形成的原因、损失种类及特征进行分析。
操作风险主要是由欧洲的巴塞尔委员会倡导的概念,经历了一个逐渐清晰化的过程。中国银监会和银行业采用的是巴塞尔委员会在资本协议中提出的定义。与信用风险、市场风险相比,操作风险具有以下特点:具体性、分散性、差异性、复杂性、内生性、转化性。
二、操作风险相关概念辨析
国有资产监督管理委员会2006年6月发布的《中央企业全面风险管理指引》认为,全面风险管理,是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
2008年4月,财政部等五部委发布了《企业内部控制基本规范》,认为内部控制是由董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。要求企业在保证经营管理合法合规、资产安全、财务报告真实完整、提高经营效率和效果的基础上,着力促进企业实现发展战略,要求企业构建以控制环境为重要基础,以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的五要素框架。
银监会2006年颁布的《商业银行合规风险管理指引》认为合规风险是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和剩余损失的风险。
(1)COS0委员会和巴塞尔委员会于2004年在“内部控制”和“全面风险管理”的理解上趋于一致,操作风险属于全面风险管理的组成部分。
(2)合规是操作风险的管理目标,两者在管理实践中存在重叠。
三、操作风险的监管规则
1.国际监管规则
1997年《有效银行监管的核心原则》,确立操作风险管理的概念,操作风险首次纳入风险管理的监管范围。
1998年推出了首个专门针对操作风险的《操作风险管理》。
2003年《操作风险管理与监管的稳健办法》,从内部控制环境、风险管理、监管和信息披露四个方面阐明操作风险管理体系的主要构成要素。
2004年颁布实施《巴塞尔新资本协议》,提出了以三大支柱——资本充足率监管部门的监督检查和市场纪律约束为主要特点的资本监管框架,将信用风险、市场风险、操作风险一起构成第一支柱——最低资本要求的三个组成部分。
2.国内监管规则
2005年3月银监会发布了《关于加大防范操作风险工作力度的通知》。
2007年5月银监会发布了《商业银行操作风险管理指引》。
2012年6月,出台了《商业银行资本管理办法(试行)》。
四、操作风险分类
1.人员因素
操作风险的人员因素主要是指因商业银行员工发生内部欺诈、失职违规,以及因员工的知识/技能匮乏、核心员工流失、商业银行违反用工法等造成损失或者不良影响而引起的风险。
(1)内部欺诈。
内部欺诈是指员工故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失。此类事件至少涉及内部人员一方,但不包括性别/种族歧视事件。我国商业银行员工违法行为导致的操作风险主要集中于内部人作案和内外勾结作案两种,属于最常见的操作风险类型。
(2)失职违规。
商业银行内部员工因过失没有按照雇佣合同、内部员工守则、相关业务及管理规定操作或者办理业务造成的风险,主要包括因过失、未经授权的业务或交易行为以及超越授权的活动。员工越权行为包括滥用职权、对客户交易进行误导或者支配超出其权限的资金额度,或者从事未经授权的交易等,致使商业银行发生损失的风险。商业银行应对员工越权行为导致的操作风险予以高度关注。
(3)知识技能匮乏。
①在工作中,自己意识不到缺乏必要的知识,按照自己认为正确而实际错误的方式工作;
②意识到自己缺乏必要的知识,但是碍于颜面或者其他原因而不向管理层提出或者声明其无法胜任某一工作或者不能处理面对的情况;
③意识到本身缺乏必要的知识,并进而利用这种缺陷。
在前两种情况下,有关人员会按照他认为正确的方式工作,如果他们负责交易方面的工作,可能会给商业银行带来经济或者声誉方面的损失。最后一种情况属于内部欺诈。
(4)核心雇员流失。
核心人员具备商业银行员工不普遍具备的知识,或者主要人员能够快速吸收商业银行的内部知识。核心人员掌握商业银行大量技术和关键信息,他们(如交易员、高级客户经理)的流失将给商业银行带来不可估量的损失。核心雇员流失体现为对关键人员依赖的风险,包括缺乏足够的后援/替代人员,相关信息缺乏共享和文档记录,缺乏岗位轮换机制等。
(5)违反用工法。
违反用工法是指违反就业、健康或安全方面的法律或协议,包括劳动法、合同法等,造成个人工伤赔付或因性别/种族歧视事件导致的损失。
2.内部流程
内部流程引起的操作风险是指由于商业银行业务流程缺失、设计不完善,或者没有被严格执行而造成的损失。
(1)财务/会计错误。
财务/会计错误是指商业银行内部在财务管理和会计账务处理方面存在流程错误,主要原因是财会制度不完善,管理流程不清晰,财会系统建设存在缺陷等。各商业银行从2007年开始根据新的会计准则进行财务制度的设计和相应管理流程的调整,有必要对相应操作风险予以关注,尤其是上市商业银行在不良贷款拨备方面的处理。
(2)文件合同缺陷。
文件/合同缺陷也称文件/合同瑕疵,是指各类文件档案的制定、管理不善,包括不合适的或者不健全的文档结构,以及协议中出现错误或者缺乏协议等,主要表现为抵押权证、房产证丢失等。作为关键流程的有效控制与否的证据,文件/合同历来是各商业银行加强档案管理的重点。
(3)产品设计缺陷。
产品设计缺陷是指商业银行为公司、个人、金融机构等客户提供的产品在业务管理框架、权利义务结构、风险管理要求等方面存在不完善、不健全等问题。
产品的竞争是各商业银行市场竞争的主要体现。随着外资商业银行的进人,发达国家的先进金融工具会直接在我国转化并进入市场。为了满足客户要求,各商业银行会竞相模仿甚至在条件方面更优惠客户、流程更简便,但是内部流程的缺失、设计不合理或者执行得不到位,将造成更严重的风险。
(4)错误监控/报告。
错误监控/报告是指商业银行监控/报告流程不明确、混乱,负责监控/报告的部门的职责不清晰,有关数据不全面、不及时、不准确,造成未履行必要的汇报义务或者对外部汇报不准确(发生损失)。
银监会督促各商业银行加强公司治理机制,完善内部报告流程和信息披露工作。各银行在监控/报告的流程、频率和路线方面出现问题,造成决策层或者管理层不能及时发现并督促整改,形成的损失较难统计,但是应当形成有效的跟踪和反馈机制。
(5)结算/支付错误。
结算/支付错误是指因商业银行结算支付系统失灵或延迟,如现金未及时送达网点以及对方商业银行等。国内外各商业银行均在大力推进运营与后台支持的集中化,在流程方面既加强对前台和中台的控制,又重视对商业银行总体管理的流程重整。
(6)交易/定价错误。
交易/定价错误是指在交易过程中,因未遵循操作规定,交易和定价产生的错误。
3.系统缺陷
系统缺陷引发的操作风险是指由于信息科技部门或服务供应商提供的计算机系统或设备发生故障或其他原因,商业银行不能正常提供部分、全部服务或业务中断而造成的损失。包括系统设计不完善和系统维护不完善所产生的风险。
(1)数据/信息质量。
商业银行对数据/信息质量管理主要是防止各类文件档案的制定、管理不善,业务操作中的数据出现差错。曾有说法“商业银行里数据为王”,而企业级数据仓库的建设,都离不开数据。在商业银行实施《巴塞尔新资本协议》的过程中,缺乏数据/信息以及数据/信息的质量不符合要求的风险成为近期风险防范的重点。
(2)违反系统安全规定。
系统安全包括外部系统安全、内部系统安全以及对计算机病毒和对第三方程序欺诈的防护等。违反系统安全规定具体表现在:突破存储限制、系统信息传递/系统修改信息传送失败、第三方界面失败、系统无法完成任务、数据崩溃、系统崩溃重新存储、请求批处理失败、对账错误等。
(3)系统设计/开发的战略风险。
商业银行应当对信息系统的项目立项、开发、验收、运行和维护实施有效管理,不能片面追求快速见效或者贪大求全,超越本行业务要求,仅为“上系统而上系统”,要在战略高度评价经营管理的需求,要慎重对待系统设计、开发全过程。
(4)系统的稳定性、兼容性、适宜性。
技术部门应当与业务部门互相协调,确保系统的整体稳定运行,核心银行系统与相关系统有效兼容,与业务需求和管理需求保持相当的适宜性。
4.外部事件
商业银行的经营是在一定的政治、经济和社会环境中发生的,经营环境的变化,外部突发事件等都会影响商业银行的正常经营活动,甚至发生损失。外部事件可能是内部控制失败或内部控制的薄弱环节,或是外部因素对商业银行运作或声誉造成的“威胁”。
(1)外部欺诈/盗窃。
外部欺诈是指外部人员故意骗取、盗用财产或逃避法律而给商业银行造成损失的行为,包括外部的盗窃、抢劫、涉枪行为;伪造、变造多户头支票,骗贷等欺诈行为。该类风险是给商业银行造成损失最大、发生次数最多的操作风险之一。
(2)洗钱。
洗钱是指通过各种手段将违法所得合法化的行为,例如毒品犯罪洗钱等。目前全球反恐的推进,对商业银行在经营过程中设定相应程序、政策以对付恐怖融资和洗钱行为提出了更高的要求。
(3)政治风险。
政治风险是指由于战争、征用、罢工和政府行为、公共利益集团或极端分子活动而引起的风险。例如,本国政府或者商业银行海外机构所在地政府新的/新兴的立法,公共利益集团的持续压力/运动,极端组织的行动,政变、政府更替等。
(4)监管规定。
监管规定是指未遵守金融监管当局的规定而引起的风险。在出台新的金融监管规定或者金融监管加强,新的金融监管者发生改变,出现新的金融监管重点时,较易出现此方面的风险。
(5)业务外包。
由于供应商的过错而造成服务或供应中断或者撤销而引发的风险,包括为商业银行提供产品或服务的供应商中断,或者拒绝产品或服务的供应。
(6)自然灾害。
由于自然因素造成商业银行财产损失,包括火灾、洪水、地震等。
(7)恐怖威胁。
由于人为因素造成商业银行财产损失,包括恐怖活动、绑架和爆炸等。最典型的美国“9•11事件”、2003年年底汇丰银行遭受恐怖袭击等,给各银行带来重大风险。
在商业银行的操作风险管理实践中,还可以从原因、损失事件、影响等角度进行多维度分类和评级,以便运用风险与控制评估、关键风险指标、损失数据收集、检查、整改及操作风险报告等操作风险管理流程,提升管理效率。
(1)操作风险原因是指诱发操作风险转变为操作风险损失事件的缘由,通常一个操作风险损失事件可由一个或多个操作风险原因引发。一级操作风险原因分类有信息科技系统、流程、人员、经营活动、环境、政治、监管和破坏或事故等八类。其中信息科技系统、流程、人员属于内部原因,经营活动、环境、政治、监管和破坏或事故属于外部原因。
(2)操作风险损失事件分类援用了银监会的操作风险损失事件分类。操作风险损失事件分类共有一级、二级和三级分类。在开展操作风险与控制评估、操作风险损失数据收集工作时,需要将识别的风险或发现的损失事件按照本事件分类进行归类。
(3)操作风险影响分类包括可用经济指标衡量的财务影响及无法用经济指标量化的非财务影响。其中财务影响指由操作风险损失事件引起的实际财物损失,表现为发生了实际或潜在的核销或财务账务项下费用,影响子类别包括法律责任、监管处罚、实际或其他资产损失或损毁、赔偿、追索权引起的损失。非财务影响的影响子类别包括客户/服务影响、声誉影响、员工影响、法律/监管影响。
(4)操作风险严重度评级可以通过等级矩阵进行评级。操作风险等级矩阵通过风险概率和影响两个维度来度量风险的严重度。
五、操作风险的识别方法
1.自我评估法
自我评估法是在商业银行内部控制体系的基础上,通过开展全员风险识别,识别出全行经营管理中存在的风险点,并从影响程度和发生概率两个角度来评估操作风险的重要程度。自我评估法还应当评估风险控制措施的质量,不仅要对没有控制措施或控制不足而具有潜在风险的环节进行完善,也要对控制过度引起效率低下的环节进行重新调整。
2.因果分析模型
在综合自我评估结果和各类操作风险报告的基础上,利用因果分析模型能够对风险成因、风险指标和风险损失进行逻辑分析和数据统计,进而形成三者之间相互关联的多元分布。实践中,商业银行通常先收集损失事件,然后识别导致损失的风险成因,方法包括实证分析法、与业务管理部门会谈等,最终获得损失事件与风险成因之间的因果关系。
