时间:2022-01-28 19:25:16
引言:寻求写作上的突破?我们特意为您精选了12篇操作风险管理范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
1.操作风险管理理念不强。风险管理作为一种管理职能基本上还未纳入保险企业管理,保险经营还处于财务型控制被动经营状态;总体经营比较粗放,直接开拓市场的各基层经营单位没有把风险管理作为常规的工作来抓,即使发现了风险事故,也未尽力处理,而是把风险责任上交。
2.关注显性风险管理,忽视隐性风险管理。第一,在业务发展导向上,由于注重规模和速度,强调业务增长数量,忽视质量。我国保险公司分支机构的设立主要以当地市场的保费量(市场份额)为依据,保险法规和监管要求对保费地位的过分强调在一定程度上导致保险公司把市场占比作为主要经营指标之一,这种没有兼顾质的基础上的量导致业务品质低下,风险因素增多。第二,保险公司的经营以抢占市场份额为主要目的,对产品风险的评估控制重视不足。第三,价格制定上以低价进行恶性竞争,盲目承保、劣质承保屡禁不止,由此引发财务风险和因信息不对称而带来的道德风险。第四,在发展的战略方针上,存在保险决策和经营的短期行为,对保险业及保险公司长远发展战略注重不够,这样势必导致对影响长远发展的风险因素考虑不周全。第五,在制度建设上,保险发展的制度环境和法律基础建设还很薄弱,一个有效的保险法律体系还未形成。
3.注重内生风险管理,忽视外生风险管理。一是保险公司一般都忽视对公众信用风险的管理,没有认真研究因恶性竞争而引起的欺诈、误导等严重缺乏公信力的行为对操作风险可能带来的严重后果;二是保险公司面对同业的恶性竞争,对如何发挥同业组织的作用来规范共同的市场行为,形成有序的竞争局面重视不够;三是对保险中介的风险管理严重失衡,部分公司无视保险中介的有关法律法规和同业组织的自律公约,不顾中介机构经营资格、职业道德状况等条件进行合作展业,忽视或不能对中介组织进行风险管控;四是缺乏对保险欺诈和误导进行风险管控的有效手段,保险欺诈造成的损失日趋加大,保险误导给展业带来的操作困难日益严重,由此对应的管控措施却尤为不力。
4.注重财务风险管理,忽视人力资本风险管理。保险业的快速发展凸现人才供应的脱节,由此引发同业挖角现象十分严重。在人才引进过程中,不考虑人才素质、业务品质、展业习惯和队伍结构,更不考虑竞争主体间队伍的相对稳定,导致保险公司间矛盾重重,也培养了一批专靠跳槽为生的业务员队伍,出现一批市场跳蚤。他们的行为表现在市场操作过程中本身就是风险源。
5.注重财务报表静态分析管理,忽视操作过程动态风险管控。当前保险公司一般所进行的月度经营分析、季度经营分析主要是事后静态地评价达标情况,对不达标机构和指标缺少预防硬措施,也没有月度的风险管理评价报告;由于有些风险管理指标无法量化,年初下达计划指标任务时也没有把风险管控作为关键指标;直接拓展业务的各级机构对应关键指标而制定的关键行动计划也主要是围绕关键指标的达成而进行。这些管理行为导致操作过程动态管控不力,如保费现金流的管理,应收管理人为的呆账、赖账现象时有发生。
6.没有建立健全风险管理组织机构。很多公司尤其是寿险公司没有单独设立风险管理部门及防灾防损管理部门,即使有这种机构的存在,其人力财力物力配备也严重不足。对于风险管理比较普遍的做法是成立稽核部门,而稽核的技术力量又相当薄弱,无法应对风险管理。
7.缺少针对分支机构的经营风险管理的专门政策。当前保险公司分支机构在经营过程中面临诸多风险,主要表现在如下方面:一是合规经营意识不强。一些基层保险公司违背市场规律,盲目或违规经营现象时有发生,同业非理性竞争手段更加隐蔽,主要通过合同外口头承诺、系统外违规操作等方式提供高保障范围来争取业务,导致保险公司经营风险积聚,特别是渗透经营中的商业贿赂问题耗蚀了行业利益,损害了保险业形象,加重了影响偿付能力的潜在风险。二是风险管控不严。如有的基层公司执行业务管理制度不严,有的营销员未在规定时间将投保资料和保费交公司,有的公司数据来源不规范,上下级机构之间销售和财务数据不一致等,这些现象导致和积累了经营风险。
二、操作风险产生的根本原因
1.经营主体自身潜在的道德风险导致习惯性的风险行为发生。保险公司为达到经营目标,违反市场规律和有关制度,为获得短期利益而对长期利益的损害是保险公司主要的道德风险,而导致这类道德风险的原因与保险公司实行的绩效考核办法有密切关系。因传统绩效考评办法中经营指标的份量大,会导致业绩冲动而潜在着道德风险。同时,行业非理性竞争必然让公司间的道德风险增加,这种看似个人行为导致的经营风险,其真正的症结却是保险公司内部风险抑制机制的缺位。我国保险公司面临的最大风险,就是这种层级过多、管控不力导致的操作风险和道德风险。
2.全面的风险管理环境没有形成。有效的风险管理受到很多环境因素或“软因素”,具体包括行业文化、管理风格等的影响,其中行业文化尤为突出。文化因子对于风险管理效能的影响呈倍数作用,先进的行业风险管理文化在风险管理过程中能起到事半功倍的作用,反之,滞后的风险管理文化对于风险管理效能的缩小作用也是呈倍数作用,如果从环境的角度去思考、去探索,往往能找到问题的答案。因此风险管理不仅需要从组织、流程、技术等方面去改进和完善,还需要从文化等环境因素方面去培育和经营。而当前整个行业都在急功近利地对市场进行
破坏性开采,没有进行行业的风险环境培育。
三、强化操作风险管理的对策
1.严格控制现金交易风险。保险公司应全面推行资金收付转账结算,严格遵守国家《现金管理条例》的有关规定,充分利用银行结算工具,尽可能减少使用现金,防范化解现金交易风险。一是要把禁止业务员经手客户现金的规定纳入公司内控制度和业务处理流程,向社会和客户进行宣传倡导,并在柜面建设、账户开立、POS机设置等方面创造便利条件,引导客户通过采取上门临柜、刷卡、柜员机转账、银行柜台交现或转账等多种方式与保险公司实现资金收付的直接结算。二是动员客户本人到营业柜台办理缴交、退保和赔款领取手续,或通过转账方式结算。
2.推广见费出单制度。见费出单是指先收费,后生成并出具保单。目前寿险公司普遍采用了见费出单制度,但产险公司一直通过应收来推动业务发展,导致人为操作风险的发生。各产险公司应对当前通行的先出单后收款的业务流程进行改造,尤其对于分散型业务应按下述基本流程进行处理:客户投保——预核保——生成投保及缴费信息提示书——客户凭信息提示书缴清保单——公司凭缴费凭据生成并出具保单及发票。
中图分类号:F27 文献标识码:A
收录日期:2012年2月2日
《巴塞尔新资本协议》将金融机构面临的风险概况为三大类:信用风险、市场风险和操作风险。其中,操作风险被定义为由于不正确的内部操作流程、人员、系统或外部事件所导致的直接或间接损失的风险。这一定义同样适用于保险业。2007年11月中国人寿湖南宜章县支公司某位“业务明星”通过伪造收据、保单等骗取挪用公司保费1,500万元,成为保险业有史以来最大的营销员骗保案;同年,保监会查处新华人寿泰州支公司某副总在任职期间,利用职务之便,通过拼凑团单并截留保费,挪用退保资金,仅2003~2006年期间,涉及资金约达7,500万元左右,被骗客户约2,000人。以上案件的发生,都是由于保险公司内部的操作风险控制薄弱引起的,这不仅给公司造成了巨大的经济损失,同时也给公司的声誉带来了不良影响。
一、保险业操作风险管理现状
(一)保险公司对操作风险的认识不足,且管理水平较低。目前,我国保险业整体还处于粗放型经营,仍以保费收入作为经营业绩的主要指标。保险企业对操作风险的认识不足,对操作风险管理的制度建设不够重视,有些制度的建立只是流于形式,不切实际且针对性差,不能对关键岗位起到监督作用。
保险企业对操作风险的管理水平偏低,缺乏有效的技术手段以及防范和控制措施。对操作风险的评估目前只限于用定性的方法,主观性较强。较之利用金融工程和统计模型对风险进行识别、度量和检测的方法来说比较落后。而且目前对操作风险的管理多为事后控制,缺少积极主动的防范机制,不能从根本上防范重大操作风险的发生。
(二)保险业经营注重业务量的增长,对风险管理重视不够。一直以来,我国保险业的发展都是重保费、轻管理。各保险企业在发展方向上,更注重保费增加的规模和速度,强调业务的增长量,而忽视对业务质量的管理。而且保险法规和监管部门对保费的过分强调也使得各保险企业将保费规模作为主要经营目标,过分地追逐保费的提高必然会导致业务质量的下降,从而导致风险因素的增加。在激烈的市场竞争中,以低价进行恶性竞争,盲目承保、劣质承保的事件屡禁不止。在发展的战略方针上,一些保险企业存在经营决策的短期行为,不重视公司的长远发展战略,从而忽视了对影响公司长远发展的风险因素的管理。
(三)缺乏操作风险管理的企业环境和相关管理人才。保险公司的操作风险包括在经营中存在的资金运用、核保核赔、从业人员和保险人以及法律风险等。其涉及到保险公司的各个岗位和各个环节,一个有效的操作风险管理制度的建立要求操作风险管理意识能够渗透到公司每个员工的日常经营活动中。然而,受保险业多年来粗放式经营的影响,从公司管理层到一般员工都相对缺乏操作风险的意识,缺乏对操作风险管理和防范的理念。由于我国风险管理理论发展滞后,风险管理人才严重不足。尤其操作风险的综合性更需要一些既懂风险管理理论又懂公司管理同时又熟悉保险业务的复合型人才,而这种人才在市场上少之又少。
(四)保险公司对分支机构的操作风险管理不足。对操作风险的控制是各保险企业总公司对分支公司进行有效控制的关键。当前,保险公司分支机构在经营过程中面临诸多操作风险。首先,保险企业合规经营意识不强。保险企业的一些基层分支机构违背市场规律,盲目或违规经营的现象仍时有发生。近年来,同业非理性竞争的手段则更加隐蔽,有些公司甚至通过口头承诺、系统外违规操作等方式为客户提供高保障范围来争取业务,导致保险公司经营风险积聚,同时也损害了保险业的形象;其次,对操作风险的管控不严。如有的基层分支机构不严格执行业务管理制度,有的营销员不在规定时间将投保资料和保费交回公司,业务员代客户签名的事件也时有发生。
二、保险公司操作风险产生的根本原因
(一)盲目的经营目标是操作风险产生的最主要原因。当前,我国多数保险企业仍将保费收入和所占有的市场份额作为经营的首要目标,各保险企业的总公司对分支机构的考核主要是以保费收入的增加额为依据,这使得有些基层分支机构为达到考核目标,违反市场规律和有关制度,为获得短期利益而忽视公司的长远利益,由此诱发操作风险的发生。另外,有些保险企业在发展中不能制定适合自身实际的发展战略,常常提出不切合实际的口号,盲目决策,过分追求规模的扩张。这种盲目扩张的后果往往使得保险企业在获得规模扩张的同时,降低了对内部控制和操作风险的有效管理,成为操作风险发生的直接诱因。
(二)保险企业的多层制度导致对操作风险的管理松懈。当前,我国多数保险企业都采用的是一级法人制,即总公司是最高管理机关,省分公司按照总公司的授权进行经营,然后自上而下一级授权一级,实行总、省、市三级管理制度。这样一来,上级公司对下级公司的管理仅限于各项报表的统计、上下级转发文件、季度末各项报表的检查、定期不定期开会等形式,从而使保险公司的风险难以及时发现并予以纠正。而且,在这种多重关系中,上级公司往往更关心下级公司的成长和发展,而下级分支机构更关心自身效用的最大化,各方利益的不一致也是导致操作风险发生的关键。
(三)保险企业的文化建设严重滞后。在近年来保险企业发生的一些违规案件中突出暴露了部分保险企业员工职业道德沦丧。有些营销员在销售保单时缺乏诚信和职业道德,对客户提供无法兑现的承诺,或利用高的投资回报率误导客户,有的甚至采取欺诈手段欺骗公司和客户,这些都可能引起操作风险的发生。而且,保险业营销员队伍素质偏低、展业不规范、缺乏诚信、误导客户等问题屡见报端,因此对营销员的业务培训和职业道德培训显得越来越重要。尤其是一些分支机构只以保费的多少来衡量营销员工作的好坏,忽视了对营销员的职业道德培训,导致部分营销员职业道德素质不过硬,为寻求自身利益的最大化,以低价进行恶性竞争,盲目承保、劣质承保,这些都无疑会增加保险公司的操作风险。
三、完善操作风险管理的对策建议
一要强化保险企业员工的风险意识。首先要认识到操作风险管理的重要性,操作风险管理并不是经营中可有可无的附属品,而是为实现公司经营目标所必须承担的。忽视了对操作风险的管理,一旦发生操作风险事件,不仅会侵蚀到保险公司的偿付能力,而且会损害保险公司的声誉,由此引发保险公司的融资困难和客户流,并进一步影响到建立新客户关系或服务渠道的能力。所以,需要对保险公司的员工自上而下进行操作风险管理的培训。要使高级管理层深信,不是只有保费的增加量才能给公司带来利润,对操作风险管理的重视能够降低操作风险发生的频率,同样也能给公司带来价值;要使员工意识到,他们实施的对操作风险的控制行为不仅使公司而且还使他们自身受益。其次,保险公司应该从单纯追求业务规模、市场份额的思路中跳出来,建立操作风险管理激励机制。通过采取适当的方法对经营过程中的操作风险进行控制,将保险公司各级、各类人员的奖惩不是单纯地只与保费挂钩,还要与其行为结果挂钩,充分体现保险公司操作风险管理的目标。
二要建立有效的内控机制,防范操作风险的发生。就保险企业的多层制度而言,制定有效的内控机制是委托人监督企业运营,实现企业经营效益最大化目标的重要保证。同时,通过内部控制可以协调上下级公司之间的利益冲突,使控制双方能够建立起相互信任的关系,从而降低操作风险。因此,保险企业只有建立起一套职责分明、规章健全、运作有序的内控机制,才能从根本上防范和控制操作风险的发生。
三要完善激励机制,控制保险人的操作风险。就目前人的佣金制度来说,过高比例的首期佣金制度是导致个人人短期行为的关键,因此,应当适当的将首、续期佣金率均衡化,并确保人续期佣金的请求权,只有这样才能激励人在不断招揽新业务的同时也能为客户提供优质的保全服务。除了人佣金制度,对于在公司服务时间长且业绩较好的人,应积极探索规范的股权、期权激励机制,从而将个人人的自身利益和保险公司的长远利益有机地结合起来,形成为公司长期服务的意识。与此同时,还要加强对营销员队伍的业务培训和职业道德培训,树立正确的世界观和人生观,提高营销队伍的整体素质,这是防范操作风险的根本保证。
四要重视行业自律,加强保险行业协会对操作风险的自律性控制。从各国保险业的发展历程来看,行业自律组织的建立是防范保险公司之间不正当竞争的有效途径。我国的保险行业自律协会尚处于发展初期,还有许多规定有待完善,可以通过借鉴国外保险行业协会的相关规定,完善我国保险行业协会的自律规定,从而加强对各保险企业操作风险控制。
主要参考文献:
一、建立完善的会计结算操作风险管理体制
会计业务操作风险的内部控制体系和管理体制的设置应按照商业银行的决策、执行、监督、反馈相互制约的原则进行。建立职责清晰、层次分明的会计内部管理监督和执行体系。由会计结算管理机构制定出一套针对会计结算操作风险管理的具体办法并执行其主要职能,建立实时控制的监督系统以及针对会计结算操作风险的事后监控系统,从而可形成一个由上而下,系统且连贯的会计操作风险管理体系。由于会计业务是最基础的平台,会计业务中存在的操作风险必然会对其他业务产生影响,但会计管理部门并不是唯一对风险负责的部门,其他各相关业务部门都应按照各部门的职能特性共同地参与和配合对会计业务操作风险的管理和防范工作。
二、加强会计结算制度的流程建设工作
第一,要在整合、梳理会计结算管理制度及内部控制管理制度的基础上建立更加统一的业务标准和操作流程,完善并强化对会计业务操作过程中各个环节的风险控制和风险管理。第二,要及时对会计制度和流程进行补充修订。第三,建立定期的风险评价和风险评估机制。定期对各项会计业务进行风险评估和评价、操作风险防范评价、会计内控检查评价。第四,制定具有针对性的操作风险防范制度。警惕和借鉴金融领域已发生过的各大案例,积极查找会计业务中存在的漏洞,制定出更加具有针对性的防范操作风险的制度。
三、实施有效检查监督、完善整改纠错机制
1、对会计工作的检查目的进行明确,改进会计工作的日常检查方法,严肃地对待检查的结果,提高整改落实的效果。对会计工作进行检查目的并不是查出问题本身,而是要通过检查提高对风险的防范能力,从而促进会计业务的健康发展。对会计工作进行检查时要注意抓住重点方面,对容易出现问题的环节及相关工作岗位应进行重点控制和监督。不仅要检查出现存的问题,还要能够分析导致问题原因,并由此进行风险分析。
2、不断完善整改和纠错机制。首先,对会计检查工作中发现的问题要制定出明确的整改计划和整改措施,彻底消灭风险隐患。其次,检查部门要及时对整改的情况和进展进行跟踪验证,以便能及时地对措施未落实和整改不够彻底的现象进行督促。
3、建立起会计结算工作操作风险警示、报告制度。针对比较突出的风险点,可由会计结算主管部门或稽核监控部门每月进行整理和汇总,编制一个风险警示报告下发到各营业网点,以便对大家都能起到强调和警示的作用。
4、定期召开会计结算工作风险对策分析讨论会。通过讨论有效的措施,监督和指导相关工作人员严格履行岗位职责并严格遵守会计业务的操作流程,确保每个环节都能有效实施,最终达到控制和消除会计操作风险的目的。
四、加强会计结算监督队伍建设,提高风险管理水平
1、加强结算操作风险监督管理和预警手段的完善,要着力于培养出更多的会计操作风险的管理性人才。加强对会计业务操作风险的动态管理、模型化管理以及量化管理,在技术条件比较成熟的情况下还可运用非线性模型、回归分析、经济函数模型等理论来科学地预测风险,使得监督管理部门能够在最短的时间内发现问题从而堵塞风险漏洞。
2、明确风险管理的责任,建立和完善风险管理能力和业绩的评价机制。定期组织风险管理能力、管理业绩和管理经验的评估活动,建立考核机制。同时可通过集中培训或者分散培训的方式,定期组织相关工作人员学习风险管理的先进知识、先进理念和先进方法,不断提高会计工作人员的风险管理水平。
3、加强会计结算监管队伍的人员培养。将业务素质比较高、工作责任心比较强、敢抓敢管的会计人员充实到监督管理和风险防范队伍中去,充分发挥出防线作用。
五、优化会计业务操作流程,提高会计结算操作的风险管理水平
1、优化会计业务的操作流程。从客观上减少会计业务操作风险的源头、减少出现技术性风险的可能性,尽量将会计结算业务中的高风险点纳入计算机所能控制的范围,通过在计算机内设置一些要素来增加后台管理的能力,减少人为业务操作时风险的发生概率。
2、提高会计操作风险的管理水平。采用科学的操作风险衡量和控制方法,建立会计结算风险预测系统,以便更加敏感地反映会计结算工作操作风险的相应变动,由此对会计结算工作操作风险的信息进行自动的收集和分析。
六、培育出会计业务操作风险预测、控制和管理的文化
会计业务操作风险的管理文化应贯穿于建设和完善风险管理体系的整个过程之中,并结合实际的组织架构、业务流程及信息系统的建设工作,不断将会计业务操作风险管理的原理、工具和新理念传递给相关岗位的会计工作人员,使他们能够主动地参与风险防范制度的改进,发挥集体的聪明才智和力量。
首先,要加强风险防范知识的教育,增强会计工作者对会计业务操作风险的防范意识。风险的防范关键之处在于人,要加强会计工作者对会计业务操作风险知识的学习,增强员工的风险防范意识。其次,要建立共同的风险防范以及管理价值观。让各层次的会计结算及相关人员对操作风险形成足够而全面的了解,充分认识到各类违规和违法行为所造成的危害的严重性,使各岗位会计工作人员能够真正提高警惕,把防范措施落到实处。再次,要发挥会计工作人员在操作风险管理防范中的主观能动性。增强会计人员在操作风险管理上的主人翁意识,尊重并听取会计工作者的建议和意见,构建一个充满活力的选拔会计工作人员的机制,做到人尽其才,使大家充分发挥出自己的智慧和能力,形成积极努力的工作氛围。最后,要加强对会计风险管理人才的培养,建立科学、全面、可操作的风险管理约束和风险管理激励机制,充分调动会计工作人员参与风险管理的主动性和积极性。
七、结语
在每一笔会计结算事件中都隐藏着会计业务操作风险,在会计操作风险的管理和控制中,我们要时刻牢记形神兼顾的原则。建立起完善的会计结算风险组织管理体系,制定出严格的会计结算风险管理机制及业务流程,又要充分地导入会计业务操作风险管理文化,这样才能有效构筑会计业务操作的风险防范和控制的坚固大堤。
参考文献:
[1]姜薇、韩雪莲.商业银行会计结算操作风险研究[J].希望月报(上半月), 2007,(07).
[2]李希荣、张泽文、杨志兵.银行会计结算存在的问题及风险防范[J].甘肃金融, 2003,(10).
第一条为加强商业银行的操作风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他有关法律法规,制定本指引。
第二条在中华人民共和国境内设立的中资商业银行、外商独资银行和中外合资银行适用本指引。
第三条本指引所称操作风险是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险,但不包括策略风险和声誉风险。
第四条中国银行业监督管理委员会(以下简称银监会)依法对商业银行的操作风险管理实施监督检查,评价商业银行操作风险管理的有效性。
第二章操作风险管理
第五条商业银行应当按照本指引要求,建立与本行的业务性质、规模和复杂程度相适应的操作风险管理体系,有效地识别、评估、监测和控制/缓释操作风险。操作风险管理体系的具体形式不要求统一,但至少应包括以下基本要素:
(一)董事会的监督控制;
(二)高级管理层的职责;
(三)适当的组织架构;
(四)操作风险管理政策、方法和程序;
(五)计提操作风险所需资本的规定。
第六条商业银行董事会应将操作风险作为商业银行面对的一项主要风险,并承担监控操作风险管理有效性的最终责任。主要职责包括:
(一)制定与本行战略目标相一致且适用于全行的操作风险管理战略和总体政策;
(二)通过审批及检查高级管理层有关操作风险的职责、权限及报告制度,确保全行的操作风险管理决策体系的有效性,并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内;
(三)定期审阅高级管理层提交的操作风险报告,充分了解本行操作风险管理的总体情况、高级管理层处理重大操作风险事件的有效性以及监控和评价日常操作风险管理的有效性;
(四)确保高级管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险;
(五)确保本行操作风险管理体系接受内审部门的有效审查与监督;
(六)制定适当的奖惩制度,在全行范围有效地推动操作风险管理体系地建设。
第七条商业银行的高级管理层负责执行董事会批准的操作风险管理战略、总体政策及体系。主要职责包括:
(一)在操作风险的日常管理方面,对董事会负最终责任;
(二)根据董事会制定的操作风险管理战略及总体政策,负责制定、定期审查和监督执行操作风险管理的政策、程序和具体的操作规程,并定期向董事会提交操作风险总体情况的报告;
(三)全面掌握本行操作风险管理的总体状况,特别是各项重大的操作风险事件或项目;
(四)明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容,督促各部门切实履行操作风险管理职责,以确保操作风险管理体系的正常运行;
(五)为操作风险管理配备适当的资源,包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需的权限等;
(六)及时对操作风险管理体系进行检查和修订,以便有效地应对内部程序、产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化所造成的操作风险损失事件。
第八条商业银行应指定部门专门负责全行操作风险管理体系的建立和实施。该部门与其他部门应保持独立,确保全行范围内操作风险管理的一致性和有效性。主要职责包括:
(一)拟定本行操作风险管理政策、程序和具体的操作规程,提交高级管理层和董事会审批;
(二)协助其他部门识别、评估、监测、控制及缓释操作风险;
(三)建立并组织实施操作风险识别、评估、缓释(包括内部控制措施)和监测方法以及全行的操作风险报告程序;
(四)建立适用全行的操作风险基本控制标准,并指导和协调全行范围内的操作风险管理;
(五)为各部门提供操作风险管理方面的培训,协助各部门提高操作风险管理水平、履行操作风险管理的各项职责;
(六)定期检查并分析业务部门和其他部门操作风险的管理情况;
(七)定期向高级管理层提交操作风险报告;
(八)确保操作风险制度和措施得到遵守。
第九条商业银行相关部门对操作风险的管理情况负直接责任。主要职责包括:
(一)指定专人负责操作风险管理,其中包括遵守操作风险管理的政策、程序和具体的操作规程;
(二)根据本行统一的操作风险管理评估方法,识别、评估本部门的操作风险,并建立持续、有效的操作风险监测、控制/缓释及报告程序,并组织实施;
(三)在制定本部门业务流程和相关业务政策时,充分考虑操作风险管理和内部控制的要求,应保证各级操作风险管理人员参与各项重要的程序、控制措施和政策的审批,以确保与操作风险管理总体政策的一致性;
(四)监测关键风险指标,定期向负责操作风险管理的部门或牵头部门通报本部门操作风险管理的总体状况,并及时通报重大操作风险事件。
第十条商业银行法律、合规、信息科技、安全保卫、人力资源等部门在管理好本部门操作风险的同时,应在涉及其职责分工及专业特长的范围内为其他部门管理操作风险提供相关资源和支持。
第十一条商业银行的内审部门不直接负责或参与其他部门的操作风险管理,但应定期检查评估本行的操作风险管理体系运作情况,监督操作风险管理政策的执行情况,对新出台的操作风险管理政策、程序和具体的操作规程进行独立评估,并向董事会报告操作风险管理体系运行效果的评估情况。
鼓励业务复杂程度较高和规模较大的商业银行委托社会中介机构对其操作风险管理体系定期进行审计和评价。
第十二条商业银行应当制定适用于全行的操作风险管理政策。操作风险管理政策应当与银行的业务性质、规模、复杂程度和风险特征相适应。主要内容包括:
(一)操作风险的定义;
(二)适当的操作风险管理组织架构、权限和责任;
(三)操作风险的识别、评估、监测和控制/缓释程序;
(四)操作风险报告程序,其中包括报告的责任、路径、频率,以及对各部门的其他具体要求;
(五)应针对现有的和新推出的重要产品、业务活动、业务程序、信息科技系统、人员管理、外部因素及其变动,及时评估操作风险的各项要求。
第十三条商业银行应当选择适当的方法对操作风险进行管理。
具体的方法可包括:评估操作风险和内部控制、损失事件的报告和数据收集、关键风险指标的监测、新产品和新业务的风险评估、内部控制的测试和审查以及操作风险的报告。
第十四条业务复杂及规模较大的商业银行,应采用更加先进的风险管理方法,如使用量化方法对各部门的操作风险进行评估,收集操作风险损失数据,并根据各业务线操作风险的特点有针对性地进行管理。
第十五条商业银行应当制定有效的程序,定期监测并报告操作风险状况和重大损失情况。应针对潜在损失不断增大的风险,建立早期的操作风险预警机制,以便及时采取措施控制、降低风险,降低损失事件的发生频率及损失程度。
第十六条重大操作风险事件应当根据本行操作风险管理政策的规定及时向董事会、高级管理层和相关管理人员报告。
第十七条商业银行应当将加强内部控制作为操作风险管理的有效手段,与此相关的内部措施至少应当包括:
(一)部门之间具有明确的职责分工以及相关职能的适当分离,以避免潜在的利益冲突;
(二)密切监测遵守指定风险限额或权限的情况;
(三)对接触和使用银行资产的记录进行安全监控;
(四)员工具有与其从事业务相适应的业务能力并接受相关培训;
(五)识别与合理预期收益不符及存在隐患的业务或产品;
(六)定期对交易和账户进行复核和对账;
(七)主管及关键岗位轮岗轮调、强制性休假制度和离岗审计制度;
(八)重要岗位或敏感环节员工八小时内外行为规范;
(九)建立基层员工署名揭发违法违规问题的激励和保护制度;
(十)查案、破案与处分适时、到位的双重考核制度;
(十一)案件查处和相应的信息披露制度;
(十二)对基层操作风险管控奖惩兼顾的激励约束机制。
第十八条为有效地识别、评估、监测、控制和报告操作风险,商业银行应当建立并逐步完善操作风险管理信息系统。管理信息系统至少应当记录和存储与操作风险损失相关的数据和操作风险事件信息,支持操作风险和控制措施的自我评估,监测关键风险指标,并可提供操作风险报告的有关内容。
第十九条商业银行应当制定与其业务规模和复杂性相适应的应急和业务连续方案,建立恢复服务和保证业务连续运行的备用机制,并应当定期检查、测试其灾难恢复和业务连续机制,确保在出现灾难和业务严重中断时这些方案和机制的正常执行。
第二十条商业银行应当制定与外包业务有关的风险管理政策,确保业务外包有严谨的合同和服务协议、各方的责任义务规定明确。
第二十一条商业银行可购买保险以及与第三方签订合同,并将其作为缓释操作风险的一种方法,但不应因此忽视控制措施的重要作用。
购买保险等方式缓释操作风险的商业银行,应当制定相关的书面政策和程序。
第二十二条商业银行应当按照银监会关于商业银行资本充足率管理的要求,为所承担的操作风险提取充足的资本。
第三章操作风险监管
第二十三条商业银行的操作风险管理政策和程序应报银监会备案。商业银行应按照规定向银监会或其派出机构报送与操作风险有关的报告。委托社会中介机构对其操作风险管理体系进行审计的,还应提交外部审计报告。
第二十四条商业银行应及时向银监会或其派出机构报告下列重大操作风险事件:
(一)抢劫商业银行或运钞车、盗窃银行业金融机构现金30万元以上的案件,诈骗商业银行或其他涉案金额1000万元以上的案件;
(二)造成商业银行重要数据、账册、重要空白凭证严重损毁、丢失,造成在涉及两个或两个以上省(自治区、直辖市)范围内中断业务3小时以上,在涉及一个省(自治区、直辖市)范围内中断业务6小时以上,严重影响正常工作开展的事件;
(三)盗窃、出卖、泄漏或丢失资料,可能影响金融稳定,造成经济秩序混乱的事件;
(四)高管人员严重违规;
(五)发生不可抗力导致严重损失,造成直接经济损失1000万元以上的事故、自然灾害;
(六)其他涉及损失金额可能超过商业银行资本净额1‰的操作风险事件;
巴林银行的倒闭,大和银行纽约支行的不慎交易,诸多事件为全球金融机构敲响了警钟,金融理论界和实业界开始研究影响日益巨大的操作风险问题。国际银行业普遍认识到操作风险管理的重要性,新巴赛尔资本协议把操作风险也纳入资本监管的范围。因此,操作风险的管理在金融机构中的地位日益重要,金融机构可以通过操作风险的管理来实现资源的有效使用。
巴塞尔银行监管委员会根据国际银行业风险管理的变化,从1998年开始关注对银行业操作风险的管理和研究,并在1999年6月公布的新巴塞尔资本协议的第一次征询稿中,提出应考虑对操作风险进行资本覆盖。2003年4月29日,巴塞尔银行监管委员会对《巴塞尔资本协议》(称“新巴塞尔资本协议”)进行第3次征求意见,以对新的资本充足率的规定做出最后的修订。委员会的目标在2003年末最后一个季度完成修订,并于2006年末在成员国家开始执行。新巴塞尔资本协议有3个支柱:最低资本要求,监管部门的监督检查和市场纪律。在计算最低资本要求时,需要考虑三大风险:信用风险、市场风险和操作风险。新资本协议在不断改进中反映着风险测量和管理技术的提高。新巴塞尔资本协议以资本充足率为核心的监管思路,使最低风险资本要求和每项信贷风险面的规范评估结合在一起,特别是第一次将操作风险和最低资本要求结合起来。相对于旧协议而言,其风险衡量的方式更加灵活,不再局限于原有的单一框架,银行可以根据自身情况选择合适的风险衡量方法,以促使银行不断改进风险管理水平。
新巴塞尔资本协议中操作风险的涵义及衡量
巴塞尔银行业监管委员会的定义是比较权威的一个,也就是巴赛尔新资本协议中的定义。根据此定义,操作风险指的是由于不充分的或失败的内部程序、人员和系统,或者由于外部的事件所引起的直接或间接损失的风险。巴塞尔委员会同时指出,这一界定包含了法律风险,但是并不包含策略性风险和声誉风险。
从广义来说,操作风险可以分为内部风险和外部风险,内部风险主要指由于内部因素引起的操作风险,包括程序风险、技术风险和人员风险。程序风险又分为流程设计不合理和流程执行不严格两种情况;技术风险包括系统失灵和系统漏洞两种情况;人员风险包括操作失误、违法行为(员工内部欺诈或内外勾结)、违反用工法、关键人员流失等情况。外部风险主要是指外部因素引起的操作风险。这些外部冲击包括税制和政治方面的变动、监管和社会环境的调整、竞争者的行为和特性的变化等。内部风险主要与内部控制效率或管理质量有关,而外部风险与外部欺诈、突发事件以及银行经营环境的不利变化等有关。
操作风险也存在量化困难,新协议第一稿并未提出任何计量方法。在充分听取各方意见后,巴赛尔新资本协议,对于操作风险的衡量大致有三种方法:基本指数法,指以银行过去3年内的平均年总收入的一个固定比例来确定应对操作风险的必需资本量;标准法,把银行的业务分为8个不同领域:公司金融,交易,零售银行,商业银行,支付结算,服务,资产管理和零售经纪,然后分别计算操作风险指数,再乘上某一固定比例得出所需资本量;高级测量方法,采用此法的银行必须取得监管层的同意,由银行内部操作风险测量系统用定性和定量的方法加以确定。高级测量方法的使用则需要一些特别的标准。如果银行采用较高级的方法在没有监管层同意前不得转为较简单的方法。在新巴塞尔资本协议的第二次征询稿中,对高级计量法中内部衡量法、损失分布法有比较详细的描述,但在最终只是在“资格条款”中对使用高级计量法计算操作风险资本的银行提出了严格的定性和定量的要求,并要求一定要得到监管当局的批准。目前国际上只有少数跨国大银行在使用或开发该计算方法。
我国商业银行操作风险管理的策略
政府应加强操作风险监管的力度,使其与最低资本要求相结合
为了使操作风险的控制更具实际意义,就需要进一步研究出金融机构具体的行为准则。中国银行业监督管理委员会令(2004年第2号)公布的《商业银行资本充足率管理办法》中第一章总则中第五条明确规定“商业银行资本应抵御信用风险和市场风险”。虽然暂时未将操作风险纳入计算的范围,在制度上减轻了商业银行对操作风险的资本覆盖压力,但是也不可避免的放慢了商业银行对操作风险的管理。建议对不同的商业银行实行不同的操作风险要求。
探索操作风险控制与缓释的方式
银行在控制操作风险发生的同时,还可以采用各种方式控制和缓释风险。包括避免、缓释、保险和承担四种方式。其中保险是目前国际活跃银行使用最为普遍的操作风险缓释方式,针对不同的操作风险会有不同的保险产品与之相对应。传统保险产品中的银行一揽子保险、错误与遗漏保险和经理与高级职员责任险等已经被实践证明是比较成熟的保险产品,而且得到了广泛的运用。20世纪90年代中期至今,又开发了诸多新的保险保障产品,诸如未授权交易保险、电子网络技术风险的保险等。银行操作风险保险承保范围将进一步扩大,新的操作风险将不断被纳入保险的范畴,保险将作为银行操作风险管理的经常性工具。目前国际上除了保险以外,还有互惠资保险基金、证券化、优先风险计划也可作为操作风险保险的替代品。
完善银行操作风险管理组织架构
根据风险管理基本流程与组织设计原则,我国商业银行操作风险管理应采用分权化职能型的组织结构,在总分行制的基础上(以“总行一分行一支行”型结构的银行为例),总行应以操作风险战略决策的制定和管理为主,同时负责对操作风险的总体控制。总行管理操作风险的组织机构应包括:董事会、高级管理层、内控制度管理委员会、稽核总局、操作风险的计量分析与评估部门、科技信息部门、教育培训部门、内部授权管理部门、法律事务部门以及所有业务部门,其中稽核总局直接向董事会负责。分行的机构与总行基本一致,但不包括董事会,分行设立稽核分局,并直接向稽核总局负责。支行主要从操作层面控制操作风险,因此支行只设立业务部门,执行总行和分行所制订的制度和政策,支行不设稽核部门,只接受稽核总局或分局的检查。
由于将操作风险纳入到组织文化中成为风险管理的一个重要部分,培养操作风险文化对于操作风险管理也是极其重要的。依靠教育培训部门对银行所有业务人员加强培训,提高操作人员的业务能力、法律意识、制度观念和道德水准,降低一切因操作人员业务技能低、管理人员管理水平差或员工对政策、制度、法律不了解等原因所造成的操作风险。
积极开展操作风险的模型化研究
虽然目前国外对操作风险管理也还处于发展阶段,但是通过量化方式衡量操作风险则是大势所趋。国内银行操作风险的模型化发展基本处于零阶段,这就造成操作风险的管理始终停留在内部审计和主观判断的低层次上。把操作风险量化研究与控制框架结合起来才能为操作风险管理提供科学的依据,这是国际活跃银行管理操作风险的趋势,也是我国商业银行的最终选择。量化操作风险的首要工作就是要建立操作损失数据库,因此监管机构和商业银行自身都要按巴塞尔委员会的操作风险矩阵立即着手建立损失数据库,积累损失资料。建立成功的损失数据库从而为精确度量操作风险建立基础。
中图分类号: F830.9
文献标识码:A
文章编号:1003-9031(2007)03-0004-06
经济资本作为优化资源配置、提高风险调整收益的核心工具,目前在国际先进银行中得到广泛应用。近年来,关于信用风险和市场风险的经济资本管理取得了很大进展,其技术方法日趋成熟,而操作风险的经济资本管理却仍处于初级阶段。随着现代银行信息化和技术化程度不断提高,操作风险带来的损失正大幅度增加,如何通过经济资本配置,提高操作风险的控制能力,已成为商业银行亟待解决的问题。本文旨在探讨操作风险的经济资本配置与管理方法,并结合我国银行业实际情况,提出相关的对策建议。
一、经济资本的管理流程
经济资本是一种虚拟资本,与银行风险敞口的非预期损失(UL)等额。银行的预期损失(EL)以准备金形式被计入经营成本,并在金融产品定价中取得补偿,事实上已不构成风险。非预期损失才是真正意义上的风险,它是指实际损失超过预期损失的部分,该损失最终必须用银行的经济资本抵御。
在实际工作中,经济资本的管理流程分为经济资本计量、经济资本分配以及应用调试三个主要环节,如图1所示。上述流程中,信用风险的经济资本计量基于银行的内部评级系统,市场风险的经济资本基于银行内部的VaR模型,而操作风险的经济资本一般采用高级计量法AMA获得。
(一)经济资本计量
根据等额配置原则,经济资本在数量上等于风险敞口的非预期损失,其计算方法主要有三种:简单系数法、收入变动法和资产变动法。[1]从各国银行的实践看,资产变动法正在成为主流的经济资本计算方式。对一个特定资产组合,经济资本的计算步骤如下:第一,计算资产组合中单笔资产的非预期损失。首先,假设风险服从单尾β分布,计算该笔资产损失的标准差和数学期望再通过联立方程组反推该笔资产的损失分布函数;最后,在损失标准差上乘以经济资本系数。第二,利用历史数据,计算资产损失变化的相关系数矩阵,该计算过程的复杂度较高,普通银行无需自己开发系统,而可直接运用CreditMetrics或KMV等软件实施计算。第三,应用蒙特卡罗法模拟整个资产组合的风险分布函数,并计算资产组合的标准差和数学期望。第四,将资产组合的损失标准差乘以经济资本系数。该系数取决于银行股东的风险偏好,风险偏好越高,经济资本系数越小。
(二)经济资本分配
确定资产组合所需的经济资本总量后,就要将其分配到各业务单元和分支机构中去,以实现引导和优化资源配置的管理目标。按照国际先进银行的经验,经济资本分配分为存量分配和增量分配两个方面。存量分配的任务是按照一定比例,将资产组合对应的经济资本总量分配到单笔敞口上去,常用方法有敞口余额分配法、预期损失分配法、非预期损失分配法和欧拉微分方程法。另一方面,增量分配的一般步骤为:第一,银行总部根据盈利能力和融资情况,预测全行在下一时期经济资本的增长目标;第二,在已知各分行和业务单元的经济资本存量的基础上,按照风险调整后资本收益率(RAROC)最大化原则,应用运筹学最优化模型,确定分配给各业务单元或分支机构的经济资本增量目标;第三,根据经济资本增量目标和各业务单元或分支机构的风险状况,计算相应的风险限额,并据此确定全行业务发展计划。
(三)应用与调试
经济资本管理的实质是根据风险分布现状,向各分行或业务单元分配风险资产的增量控制额度。因各项业务的风险度不同,在既定的经济资本增量内,如果发展低风险业务,业务规模增长可以较大,但如果发展高风险业务,则业务规模的增长将受到限制。经济资本管理的目标是引导所属机构和部门尽可能发展风险低、回报高的业务,以实现RAROC或EVA的最大化。经济资本一旦分配到每个业务单元,就可以在风险内控、资产组合、绩效考核等诸多方面发挥作用。根据国际经验,市场风险的经济资本在实际业务中偏差度较小,操作风险的经济资本通常需要经过大幅度调整才能趋于稳定。
二、操作风险的核心技术
操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险,它包括法律风险,但不含策略风险和信誉风险。国际上,操作风险的管理框架包括战略、组织、流程、系统、环境等5个方面,在这一框架下发挥作用的核心技术包含自我评估、关键指标、数据收集、风险计量和风险缓释等5个环节,如图2所示。
(一)自我评估
自我评估包括流程梳理、风险指标确立和评估报告。自我评估旨在找出与目标业务有关的重大风险并进行分类和排序;明确风险责任人;对风险的损失及其可能性进行评价;对内部控制进行评价;找出并记录相应的改进措施,并为此分配时间和责任人;向董事会及高级管理层进行报告,并向有关部门提供相关的评估信息。自我评估是一个动态持续的协调反馈过程。随着时间推移,业务部门需将风险评估与损失事件及关键指标数据进行比较,找出业务环境的变化并确认相应风险及控制措施。
(二)关键指标
风险指标是指用来考察银行的风险状况的统计数据和指标(包括财务和非财务方面的)。对这些指标要进行定期(逐月或逐季)审查,以提醒银行有关风险的可能变化。这些指标通常包括失败交易的次数、员工流动比率、错误和遗漏的频率和/或严重程度等。
(三)数据收集
与市场风险和信用风险相比,操作风险的数据散落在各业务条线和部门,收集难度较大,且数据普遍偏少。目前应用于操作风险计量的数据主要包括内部损失数据、外部损失数据、情景分析数据、自我评估数据、关键风险指标数据以及风险缓释数据。
(四)风险计量
国际先进银行通常利用数理统计方法来量化操作风险。例如,利用历史损失记录的数据评估银行未来蒙受操作风险的可能性及程度,进而开发缓释风险的政策。充分利用这些信息,需要建立一种制度系统跟踪和记录每项损失事件的频率、严重性和其他相关信息。由于每个银行历史数据信息的有限性,通常还需合并使用内外部损失数据、方案分析和风险评估因素。
新资本协议提出的基本指标法和标准法都将总收入作为操作风险暴露的指标,但总收入与操作风险暴露之间不一定存在对应关系。事实上,这两种方法对风险并不敏感,不能反映真实的操作风险水平。高级计量法在理论上能够比较科学地解决操作风险的经济资本配置问题,但实施过程中技术难度较大。一般而言,操作风险的经济资本确定需要结合多种方法,并根据各银行自身情况进行适当调整。[2]
(五)风险缓释
操作风险缓释是在量化分析风险点分布、发生概率和损失程度的基础上,采用适当的缓释工具(如保险、系统安全技术和服务外包等,限制、降低或分散操作风险,并形成统一的管理规范,对风险缓释工具的效果进行系统跟踪和评价,对外包服务质量进行严格控制,对各种意外冲击制定备用方案。
近年来,许多国际化银行在操作风险缓释过程中,采用风险地图(Risk Maps)作为政策规划和行动指引,以提高操作风险管理的效率和效果。操作风险地图基于损失数据库和统计模型,全方位、多维度揭示各类操作风险的预期频率和预期强度,建立和描述各业务单元、职能部门或工作程序与操作风险类别之间的对应关系,从而帮助风险经理确定风险缓释的行动边界,明确后续管理的工作重点,如图3所示。
图3 某类损失事件的风险地图
三、操作风险的经济资本配置
最早提出操作风险经济资本配置的是Duncan Wilson。他在1995年发表了《操作风险VaR》的文章。文章认为,操作风险可以使用VaR技术进行精确计量,银行可以建立来自于内部和外部的操作损失事件数据库,并用数据拟合操作损失的分布。随后,通过设置一个置信区间,比如99%,由此算出操作风险VaR,再根据前面所讲的增量和存量的配置原则,确定相应的经济资本额度。[3]
巴塞尔新资本协议提出,操作风险的资本计量方法包括6种:基本指标法(BIA)、标准法(SA)、计分卡方法(SCA)、内部衡量法(IMA)、损失分布法(LDA)以及极值理论方法(EVT)。其中,基本指标法、标准法只适合于操作风险的监管资本计量,其数据要求较低,精确度和敏感性差。新资本协议还提出了用于操作风险计量的高级计量法(AMA),它是指银行经过监管当局批准,采用规定的定量和定性标准,通过银行内部操作风险管理系统计算经济资本的方法。[4]高级计量法包括采用记分卡、内部衡量法、损失分布法和极值理论方法。其中,IMA、LDA和EVT适合于操作风险经济资本计量,其数据要求高,精确度和敏感性较好;SCA是计量经济资本的一种过渡方案,数据要求和精确度适中,适合于中等管理水平的银行,上述方法如图4所示。
图4 操作风险经济资本模型结构
(一)记分卡方法
记分卡方法包括多项前瞻性的关于操作风险的数量指标,通过对这些指标的监测、度量和分析,金融机构可以大致估计出各条业务线所需要的经济资本。这种方法的优点在于能够对一线的工作人员形成良好的正向激励,促使其积极管理操作风险。但是这种方法的有效性和可靠性完全取决于设计这种方法的专家,因为该方法所选取的指标和每项指标的权重都靠专家的经验来决定,有比较强的主观性和随意性,换一批专家可能整个方法的体系和结果都会发生比较大的变化。
要量化操作风险,关键在于估计出每一类损失事件的风险指标、损失事件可能性、损失比率三个参数,有了这些参数就可以计算出操作风险的大小。用记分卡方法计算操作风险可以表示为
K(i;j)=EI(i;j)×ω(i;j)×RS(i;j)
其中EI 代表风险暴露(Exposure Indicator),RS 代表风险评分(Risk Score),ω是一个比例因子(Scaling Factor)。但计算的基础仍然建立在银行的高级管理层所提供的信息之上,记分卡方法已经在商业银行中得到广泛运用,银行的大部分自动记分授权问答卷设计,都可以视为记分卡方法的运用。
记分卡方法较少地依赖于历史数据,更多地偏重于定性分析和经验判断。从发展趋势看,记分卡方法也应尽可能地建立在良好的定量基础上,并且通过历史数据来验证经验评估的准确性。
(二)内部衡量法
根据新资本协议,内部衡量法要针对8个主要业务类型以及每个业务类型上划分出的7个事故类型,共56个组合的操作风险进行定量分析。银行被允许使用自己的内部损失数据来计算各组合的预期损失值(EL)。所需资本则由预期损失损失分布的均值和非预期的损失损失分布的尾部的关系来确定。假定二者之间呈线性关系,则所需经济资本为:
其中,i代表业务产品线;j代表事故类型;γi,j是将i业务产品线,j事故类型组合的预期损失ELi,j转化为资本的参数。如果二者之间并不具有线性关系,则所需经济资本为:
其中,RPli,j为风险特征指数(Risk Profile Index);λi,j为常数。多数情况下,EL和UL之间并不具有线性关系。此时可使用RPI来调整资本,具体来讲,对于风险呈现厚尾分布的银行,其RPI大于1;而对于薄尾分布的银行,其RPI应小于1。
内部衡量法是商业银行由简单的自上而下模型向更加复杂的操作风险资本度量过渡的关键一步。内部衡量法的基本思想就是根据非预期损失(UL)与预期损失(EL)之间的系数γ,通过计算预期损失而得到非预期损失。因此,内部衡量法主要是估算出预期损失。
内部衡量法为商业银行计量操作风险提供了一定的灵活性,但风险系数γ是监管当局根据行业整体的操作风险状况设定的统一标准,不一定符合特定商业银行以及特定业务部门的风险分布状况。虽然新巴塞尔资本协议引入了RPI调整机制,但这样做的一个重要前提是:整个银行业的预期损失(EL)和非预期损失(UL)之间必须有稳定的线性函数关系。但EL与UL之间的关系依赖于多种因素,如业务规模的分布、操作损失发生的频率、操作损失的严重程度等,这些因素都有可能成为操作风险控制的环境因素。
(三)损失分布法
损失分布法是银行内部衡量法的更高级形式,它使用银行内部数据,为每个业务类别和风险类型估计两个随机变量――损失程度和损失概率的概率分布。在这两个概率分布的基础上,银行计算累积的操作风险概率分布,经济资本就是每个业务类别和风险类型VaR的加总。银行基于操作风险损失在未来时期内的可能分布来估计资本准备金。损失分布法通常也对损失发生概率和损失发生程度作出假设,比如假设损失发生概率服从帕松分布,而损失程度服从对数贝塔分布。总体的资本准备金是各个业务类别VaR值的简单加总。
一般认为,损失分布法在增加敏感性上有明显优势,它与内部测量方法相比有两个不同点:一是目标是直接评估非预期损失,而不是通过预期损失与不可预期损失的联系来计算不可预期损失;二是银行自身决定每个业务类别的结构和参数,而不需要由监管当局确定。
在损失分布法下,银行针对每个业务类别或风险类型估计操作风险的年度损失频率和损失强度分布。通常,对某一业务线中的某一操作风险类型,为未来一年损失事件个数n定义一个离散分布b(n),为给定n的前提下损失额x定义一个连续条件分布g(x|n),则年度损失分布就服从一个复合概率分布:
f(x)=Σb(n)g(x|n)
依照新资本协议,银行需要为每一个业务线和风险类型建立一个年度损失分布。损失分布法有两个最关键的因素:损失频率和损失强度。首先,考虑损失频率的分布。最基本的模型是二项分布B(N,p),其中N是暴露于某操作风险下的事件总个数,p为损失事件发生的概率。假设事件相互独立,频率分布的密度函数可表示为:
对高频率风险,损失分布可选用对数正态分布,即:
尽管损失分布法具有更强的风险敏感性,但它没有考虑各个业务产品线或事故类型之间的相关性,而且业务产品线和事故类型由银行自主决定也产生了一个缺乏可比性的问题。
采用损失分布法计算操作风险的经济资本时,先根据历史数据拟合出损失频率和损失强度的分布函数,然后通过蒙特罗的方法模拟出年度损失分布,最后从年度损失分布计算出所需操作风险资本要求,计算流程如图5。
个重要方面,特别是有效的操作风险管理通过避免各种损失同样创造出相当可观的经济收益。由于不同模型的性质、构建思路不同,所需资源投入的种类与投入量的大小也各有不同,见表2。
第三,不同的经济资本计量方法之间存在不同的优势与缺陷,单一使用一种计量方法的效果未必理想。因此,综合运用不同的方法进行判断和相互引证,一般会取得更好的计量与管理效果。
四、操作风险经济资本管理的实施路径
(一)全面梳理业务流程
业务流程的标准化是实施操作风险经济资本管理的重要基础。只有通过梳理流程,将各个部门的职责贯穿起来,才能为实现“流程银行”和全面风险管理。[6]这一过程中,要强调以事实为依据,强化风险计量标准的客观性和一致性。首先,要对业务流程中的重要环节设置各种记录要求,将操作事实定量化,做到有迹可循、有据可查;其次,要将定量化的记录转换成计算机可处理的数据格式,为经济资本计量提供扎实的依据;第三,要建立相应的监督、协调和制约机制,确保经济资本管理效能的充分发挥。
(二)确立关键风险指标体系
关键指标是对操作风险评估和监测的重要工具,它用来表示操作风险的变动情况,不仅可以起到风险预警作用,而且还会揭示指标过去的变动情况与专家评估结果是否一致。一方面,银行要确保关键风险指标在业务环境下容易识别、便于理解;另一方面,风险指标要具有风险敏感性,并且建立相应的参考系,设置最低警戒线,超过警戒线时管理层要采取相应的防范措施。
(三)建立操作风险损失数据库
操作风险的经济资本计量至少需要5年内部损失数据。目前,国外银行对于操作风险损失的内部数据也不多,因此大都使用外部数据,如英国的数据公会网站op Vantage、英国银行家联合会和省略均建立了10多年损失额大于100万美元的损失事件记录。尽管我国商业银行在操作风险数据库方面的差距较大,但鉴于各国都起步较晚,只要运用适当的方法,还是可以争取赶上发达国家的。我国商业银行应尽快规范数据标准,提早构建操作风险的数据架构。按照巴塞尔新协议,加强对8个业务条线和7种损失事件类型所确定的56个子项目的跟踪监测,做好风险损失数据的收集整理和数据共享,为实施操作风险的经济资本管理做好基础工作。
(四)建立专门的操作风险管理系统
加强信息化建设,开发专门的操作风险管理系统,使实施经济资本管理的重要途径。尽管目前国际上关于操作风险的计量方法并不成熟,但许多银行、咨询公司和专业软件公司还是推出了一些实用的操作风险管理系统,如摩根大通的Horizon系统、Algo公司的OpVantage系统、Comit公司的OpRisk Suite系统、SAS公司的操作风险管理系统等。引进这些管理系统需要注意系统设计是否符合银行自身的业务特点,系统所采用模型技术的权威性、可验证性以及可扩展性等。另外,各银行也可通过外包或聘请咨询公司等方式,量身定做操作风险管理系统。但无论采用何种方式,都需要充分考虑操作风险管理与市场风险管理、信用风险管理之间的关系,注意各种风险管理系统的衔接整合。
(五)以计分卡为突破口,逐步完善操作风险的计量体系
在数据基础不牢固的情况下,银行可以考虑先采取计分卡方式,建立初步的操作风险量化模式。随着损失数据的不断积累,再逐步过渡到损失分布法。采用记分卡方法计算操作风险资本金具有一定的内在弹性,它能较好地与银行的风险和内控相适应,而无须获得外界对银行面临风险的评价,同时银行能提早计算和配置操作风险的经济资本,而不必等到内部损失数据库全部建成。由于记分卡数据在一定程度上吸纳了专家判断,具有一定的业务前瞻性,与纯粹基于历史数据的方法相比,有时能更好地对未来风险进行预测。澳新银行正是选取了这样的发展路径,该行从2001年起开始操作风险的研究工作,2002年建立了以记分卡为核心的操作风险管理系统,然后逐步积累数据,并不断发展更高级的度量和管理技术,目前已经确立了在操作风险管理领域的国际领先地位。
参考文献:
[1] 赵先信.银行内部模型和监管模型:风险计量与资本分配[M].北京:上海人民出版社,2004.
[2] 巴曙松.巴塞尔新资本协议框架下的操作风险衡量与资本金约束[J].经济理论与经济管理,2003,(2).
[3] Denault.M.Coherent allocation of risk capital, in Journal of Risk, Vol. 4, No.1, Fall 2001.
[4] 阎龙光.银行资本目标与资本充足监管[J].上海金融,2005,(10).
操作风险是由于内部系统不完善的操作或者外部因素导致的直接风险或者间接风险,会给金融机构带来一定负面的不利的影响。金融投资操作风险可表述为人为失误、不完善的程序控制等因素导致金融投资的某种损失风险性。金融投资的操作风险特点如下。
首先,风险涉及面广。金融投资其风险贯穿投资操作的各个阶段,稍有不慎都有可能引起操作风险。所以,用相同的方法一成不变地应对各个金融领域中可能出现的操作风险,这种想法是不现实的。其次,操作风险具有随意性,很难被控制。会导致操作风险产生的方式多种多样,这无疑增加了投资者在投资过程中对于操作风险的控制难度。只要有投资机构或是投资人员的存在,就有可能导致操作风险的出现,尤其是业务规模大、交易量大、结构变化迅速的业务领域,出现操作风险的因素更加多,更加难以对操作风险进行控制。
二、金融投资操作风险分类
第一,人为操作风险。操作风险很多时候都是人为因素所致,金融投资市场其环境是非常复杂的,因此在投资操作过程中作为投资主体必须具备极高的专业素养,这样才能减小操作风险。金融操作风险是贯穿于整个投资过程当中的,投资者可能因某个阶段操作有误或考虑不全而随时导致风险的产生。金融投资的操作是需要依靠人类这个主体来完成的,这一主体是具有其自身主观思维的,作为金融投资操作者由于个人素养的差异,难免会产生一些错误,从而导致了操作风险的产生。这类风险的存在虽然比较普遍,但在一定程度上也是可以进行控制和管理的,只有减少人为因素导致的操作风险才能更好进行金融投资操作的风险管理!
第二,内部操作风险。金融投资市场环境是极其复杂的,各金融投资机构相互关联,其内部管理的不合理性很可能导致操作风险性的形成。一旦金融投资机构业务操作速率过低,这肯定会导致金融投资的内部操作风险性增大,造成巨大的损失。同时,金融投资机构的硬件设施如果不能满足投资业技术要求,或是应用软件等基础设施太过陈旧,这都不利于金融信息的准确快速获取,对于金融投资者来说及时准确的信息是至关重要的,这些硬件设施的不完善,都会增大技术风险存在的可能性。内部操作风险是与金融机构内部控制密切相关的,金融投资市场复杂性以及其内部管理的不合理性都可能产生内部操作风险,从而致使金融投资操作风险的产生,为了维护金融投资市场的稳定秩序,就应该加强对金融机构的管理,减小内部操作风险!
第三,市场风险。在金融市场中,价格转变是非常常见的现象,所以投资者遇到市场风险其实是一种很常见的风险。金融投资过程中常常会遇到投资重组的情况,导致投资者的资金变现困难,使投资者所持有的流动资金没有办法进行正常的支付。这种情况下很容易造成金融产品价格波动,从而导致市场价格的波动诱发市场风险。市场风险无疑加大投资者进行投资操作的风险,要想更好的管理金融投资的操作风险就必须更好的进行市场风险的控制。
第四,信用风险。信用风险又称违约风险,和市场风险一样,也是金融市场中很常见的一种风险,主要是交易对方未能完成自己的义务导致的一种违约行为,所承担的风险。信用风险也可能因为债券持有发行人没有按照规定支付到期款而引发的金融投资资产损失的风险。随着我国金融市场的完善和发展,金融投资产品的不断丰富,加大了信用风险产生的可能性,从而诱发金融投资风险,只有减小信用风险的产生,才能更好的进行投资操作风险的管理。
三、金融投资的操作风险管理措施
第一,加强金融投资的操作风险管理要提高职员的素质。金融机构要积极引进高素质的人才,扩大“高、精、尖”人才的吸收途径。金融风险产生的很大一个因素就是人为原因,因此要培养员工的专业技能,提高员工的工作素质。对于已就职的员工,要定期进行技能培训,通过培训可以树立员工的金融风险意识,增强员工的责任感,可以使员工严于律己,减少员工在工作中的失误,从而推动金融投资操作风险的管理。员工之间要共同学习,相互促进,共同进步,提高员工之间的合作协助能力,促进员工互相交换知识见解,尽量减少操作风险的出现。通过培训还可以倡导员工爱岗敬业。金融机构也要培养良好的工作环境,积极加强金融投资风险管理的宣传,把风险管理的观念和意识慢慢渗透到员工当中,调动员工的工作积极性。
第二,完善内部管理。在金融投资过程中,要想减小操作风险,完善的内部管理制度是非常重要的。金融投资机构需要将各部门相关职责具体化,以此来提高金融投资机构操作速率,并根据各金融机构的特点制定出详细的监管条例和相应的惩罚制度,来规范操作行为减小金融投资过程中的操作风险。金融机构要建立健全完善的金融风险管理制度,来促进风险管理工作的良性健康稳定发展。金融机构还要建立风险预警机制,不仅要做好规避风险的事前工作,当风险出现时,也要及时有应急预案。
通过完善健全的风险管理制度,保证各个部门之间相互监督相互制约,加强了金融操作的管理,减少了操作风险出现的机率。
第三,规范操作流程,提高信息技术水平。操作风险存在于金融投资的整个过程,标准规范化的操作流程可降低操作风险发生的可能性。标准规范的操作流程应涉及到投资机构的每一个部门,深入到每一项投资决策,投资管理部门应当制定周密的投资计划,做到投资决策的标准化、规范化,尽量减小投资风险。要严格要求金融投资人员的操作手法,降低内部操作风险发生的可能性,降低操作风险为金融投资带来的危害。
中图分类号:F830.33 文献标识码:A 文章编号:1006-1770(2010)09-032-05
一、引言
随着信息技术与现代商业银行业务的深度融合,银行对信息技术和信息系统的依赖日益增强。信息科技已成为商业银行日常运营的操作平台、管理决策的重要支持、以及业务创新的基础工具。同时,与之相关的信息科技风险也渗透到了银行经营和决策的各个方面,信息科技风险管理不仅维系着商业银行的持续安全运营,而且也成为银行价值创造的重要支柱,因而信息科技风险成为现代商业银行风险管理不可或缺的重要内容。
商业银行传统的信息安全管理,更多是从信息技术开发和管理的本身出发,建立相应的技术标准而进行的,这些标准适用于信息技术部门内部的信息安全管理,也是信息科技风险管理的重要基础。但信息安全管理的本质是风险管理,现代商业银行构建全面风险管理体系,也需要借助操作风险管理框架和工具对信息科技风险进行有效管理。
我国主要商业银行正在积极实施《巴塞尔新资本协议》,这需要对包括操作风险在内的三大风险建立全面风险管理体系,而信息科技风险作为操作风险的重要表现形式之一,也成为银行风险管理的一个新的焦点。因此,本文试图在操作风险管理视角下探讨信息科技风险的识别、计量、监测和控制等流程和方法,以提高商业银行对信息科技的应用水平和对信息科技风险的管理效率,增强银行全面风险管理能力。
二、信息科技风险与操作风险管理框架
商业银行信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术应用水平,增强核心竞争力和可持续发展能力。
操作风险是《巴塞尔新资本协议》在信用风险和市场风险之外,所强调的商业银行面临的另一种重要风险类型,是指“由不完善或者有问题的内部程序、人员及系统或外部事件所造成损失的风险(表1)。”策略风险和声誉风险不包含在此定义中。我国银监会也基本沿用了这一定义。
可见操作风险这一定义的内涵包括由信息科技系统所产生的信息科技风险。因而商业银行在落实《巴塞尔新资本协议》、实施全面风险管理的过程中,需将信息科技风险作为操作风险的重要内容统一进行管理;对信息科技风险的管理,可以借用操作风险的管理框架和工具。
从风险管理的流程来看,一个完整的操作风险管理(Operational Risk Management,ORM)框架首先要确定执行和负责操作风险管理的组织机构,然后依据操作风险识别、风险计量、风险监测和风险控制的流程进行,形成一个循环往复、不断提升的风险管理过程。这一过程可用如下的操作风险管理“转轮”来表示(图1)。这一框架能提供一个对操作风险管理的完整流程,并允许银行在事先管理操作风险,而不论风险是否存在于业务过程、人员、信息科技系统或是外部事件中。
操作风险管理框架中的每一阶段都有不同的任务,理论界和实务界也都分别提出相应的工具和方法。下文尝试将操作风险的管理框架应用于商业银行信息科技风险管理,从而使信息科技风险管理成为银行全面风险管理的有机组成部分。
三、ORM框架下的信息科技风险管理
(一)信息科技风险管理的组织建设――信息科技治理
根据银监会的要求,IT治理的目标是在良好的公司治理的基础上,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。从银行内部来看,IT治理是公司治理的重要组成部分,包括与信息科技相关的领导关系、组织结构和工作流程等,其目的是保障信息科技与业务发展战略目标相一致。
信息科技治理是良好信息科技风险管理的基石,商业银行需要在公司治理基础上建立自上而下的信息科技治理结构。具体地,商业银行的董事会、高管层要对本行信息科技风险最终负责;董事会下的风险管理委员会可专设信息科技风险管理分委员会,由高级管理层、信息科技部门和主要业务部门代表组成;设立首席信息官(CIO),负责信息科技相关的重大决策,向上直接向行长和董事会报告信息科技运行和管理情况,向下统一领导信息科技板块各个部门,布置信息科技风险管理措施的实施;同时,风险管理部、尤其是操作风险管理部,也应把信息科技风险作为操作风险管理的一个特殊而重要的类型进行统一管理。此外,内部审计部门负责对信息科技风险管理的合规性和有效性进行审核(图2)。
在这样的信息科技治理结构之上,商业银行可将信息科技风险纳入总体风险管理框架,针对信息科技风险分布广泛、专业性强等特点,可以构建由信息科技业务经营部门、信息科技条线管理部门、风险管理部门和内部审计部门构成的“四道防线”,实现对信息科技风险的有效防范和管理。
(二)信息科技风险的识别方法
信息科技风险识别是指风险管理者通过一定的方法和手段,按照信息科技风险的来源范围和表现形式,鉴别信息系统开发和运行过程中一切可能导致信息科技风险的因素和产生风险的环节点的过程。信息科技风险识别方法可借用操作风险的识别工具。
1.风险与控制自评估法
信息科技风险的风险与控制自评估法(RCSA),是指银行IT风险管理部门对本行信息系统开发、信息数据管理、系统运行与维护等IT条线业务进行流程分析,识别并评估其中隐含的风险点,并对业务流程现有的控制措施的合理性和有效性进行评价的过程。
RCSA从梳理IT条线的主流程及其包含的子流程入手,针对这些流程设计RCSA问卷。这一问卷包含了每一流程步骤涉及的风险类型、相应的控制类型等内容,需要评分人对现有的控制设计和有效性进行评估,对风险导致的固有风险暴露、以及采取控制措施之后的剩余风险进行评分。最后要根据RCSA的结果决定是否采取对特定风险的控制行动。
2.风险地图法
风险地图(Risk Mapping)能够显示特定风险事件的风险暴露分布状况,将风险暴露与银行或业务部门的风险容忍度连接起来,根据特定风险在风险地图中的落点可决定对风险是否采取适当的控制措施。
风险地图是一个严重性-可能性矩阵。根据特定风险可能导致损失的严重程度及损失发生的可能性,可以共同确定风险暴露及其在风险地图的落点。风险地图不同区域所代表了不同风险容忍度,风险的不同落点有不同的涵义(图3)。
A.绿色区域:表示风险处于安全区域,不需采取控制措施降低风险暴露。
B.黄色区域:表示风险在加强监控的区域,应对风险进行关注和加强监控,但还不需采取具体控制措施。
C.橙色区域:表示风险在警戒范围内,风险管理部门应立即采取控制措施,将风险暴露降低到安全区域之内。
D.红色区域:表示风险已不可容忍,除了应立即采取措施降低风险暴露至安全范围内,还应该对风险暴露过高的原因进行追溯和问责。
需要说明的是,不同银行、不同业务条线的风险容忍度不同,因而风险地图的具体风险轮廓各异。即使同样的风险暴露在不同部门的风险地图上所处的区域可能都不一样,严重程度也不一样。对具体的信息科技风险管理者而言,要根据本行信息科技业务特点和自己的风险偏好,确定以上四个区域的临界值。
3.关键风险指标(KRI)
KRI是可用于表示商业银行信息科技风险状况的定量指标。通过指标的定期监控,可以对信息科技风险变化有代表性的某些方面进行跟踪和预警,并根据指标所处的区域决定是否采取控制措施。
关键风险指标应能代表信息科技领域最主要的风险指标,容易度量并能反映信息科技风险的暴露水平或者控制状态。商业银行首先需要明确各项与信息科技相关的关键风险指标,对每一指标设定相应门槛值。银行通过对所有KRI的动态跟踪,在超过门槛值时采取必要的控制措施,从而及时降低风险暴露程度,使基于KRI的风险控制行动能防止重大损失事件的发生。
与信息科技风险相关的KRI可根据信息科技业务的风险表现和分布特点而设定,具体指标可能包括:系统故障频率、系统中断次数、系统中断持续时间、系统交易失败比例、IT人员离职率、IT风险事件总数等。
4.损失数据收集(LDC)
首先要根据信息科技风险的分布特点,确定损失数据的收集范围、起点金额以及统一的损失数据内容(具体表现为损失数据库的字段格式)。
关于收集范围,巴塞尔新资本协议对操作风险的损失事件形态分为7个类型,其中与信息科技风险损失事件有关的整理如表2。银监会《商业银行操作风险管理指引》中规定应收集并报告的重大操作风险事件中,就包括“造成涉及两个或以上省(自治区、直辖市)范围内中断业务3小时以上,在涉及一个省(自治区、直辖市)范围内中断业务6小时以上”的系统业务中断事件等等。
损失起点金额要根据IT风险损失的分布特征和银行的风险容忍度而定。而损失数据内容则包括损失事件产生原因、发生时间、所在部门、损失金额、控制措施及有效性等。损失数据要按统一字段格式及时录入操作损失数据库。巴塞尔新资本要求采用高级计量法(AMA)的银行需要至少三年的历史损失数据积累。
(三)信息科技风险度量方法
操作风险度量方法包括基本指标法(BIA),标准法(SA),以及高级度量法(AMA),后者包括内部度量法、损失分布法和极值法等。目前我国商业银行对操作风险计量在实践中采用标准法。
但标准法设定的8个业务线,并未将信息科技业务条线专门列出,因而不能充分体现对信息科技风险的资本要求。事实上,信息科技风险不仅存在于商业银行信息科技业务条线,同时也广泛分布于其他业务条线之中。因而,在标准法的基础上,我们提出将信息科技风险按照所存在的业务部门分为两部分,分别进行风险计量和资本计提。
第一部分是存在于8大业务线内部的信息科技风险,在根据标准法对8大业务类型的操作风险计量时,已经包含了其中涉及到信息系统操作、运行等相关的信息科技风险。第二部分是信息科技条线的业务平台上涉及到的信息科技风险,主要包括信息系统开发、信息系统运行维护、数据中心建设和管理、软件外包、业务连续性经营等方面的风险。
具体计量时,第一部分已经涵盖在各个业务线的操作风险中;第二部分则由于信息科技业务并不直接产生收入盈利,可根据前三年信息科技投入的平均值,按其一定比例计算信息科技风险的资本要求。
其中Ii表示此前第i年信息科技投入的金额,βIT表示根据信息科技业务风险特征所确定的资本计提比例,KIT表示信息科技风险的资本要求,与其他业务的资本要求相加得到全行总的操作风险资本要求。
(四)信息科技风险监测与报告
风险管理是一个持续提升的过程,因而信息科技风险也需要定期持续的监测,以掌握风险发展的动态。监测一方面可以结合信息安全管理和内控措施,发现信息科技业务中存在的风险点及严重程度;另一方面也可以通过对之前设定的KRI的定期检查,判断风险是否在可容忍的范围之内。
对风险监测的结果和风险控制的现状,需要定期撰写风险报告,并逐级向上级风险管理部门汇总,最后由总行风险管理部向高管层和董事会定期提交风险报告。如总行操作风险部可以逐月汇总来自信息安全管理部和所有分行有关操作风险报告,其中包含信息科技风险的相关内容,然后逐季向高管层和董事会提交全行的风险报告。当遇到重大信息科技风险事件时,应随时上交风险报告。
风险报告是支持全面风险管理决策的重要依据,信息科技风险报告内容应包含在操作风险报告之中,其内容应涵盖报告期内:面临的或潜在的信息科技风险类型,已发生的信息科技风险事件,风险事件原因和过程,风险导致的损失,风险控制/缓释措施及其有效性,对风险事件的总结等。
(五)信息科技风险控制措施
由于信息科技风险自身的技术特点,对其有效控制的基础是在信息科技部门的开发、服务、运营等具体业务流程中实施先进的信息安全管理标准,如ISO20000 IT服务管理国际标准、ISO27001信息安全管理制度标准等。从信息科技风险整体的控制方面,可以实施以下几项措施。
1.完善内部控制机制。为实现信息科技风险的有效控制,商业银行需要建立并完善与信息科技风险相关业务的内部控制机制,确定信息科技相关业务和信息系统应用中不同职位的人员在信息科技风险管理中的分工和责任。这包括不同系统在物理上和技术上的隔离、规范业务操作流程、确定并执行严格的权限范围、建立业务流程之间相互平衡的制约机制等。
2.信息系统审计(IS audit)。指收集并评价证据,以判断一个信息系统能否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源的过程。商业银行内部或外部的信息系统审计部门,可通过一般控制和应用控制等审计方法对全行范围内的信息系统生命周期内的资产保护、数据完整、资源经济有效利用以及完成组织目标的情况进行综合评价。从而总体把握商业银行信息系统的风险状况,并向商业银行风险管理部门和信息科技部门提出咨询意见。
3.业务连续性管理(BCM)。BCM的目的是通过有效的管理,使在各种意外情况发生时,银行信息系统和相关业务都能始终不间断运营;或者退一步,BCM使意外冲击对信息系统正常运行或业务连续经营的影响降至最小。影响信息科技基础设施(如银行的数据中心或业务处理中心)连续运营的主要因素有,黑客攻击、电脑病毒、软件错误、人为失误、硬件故障、自然灾难等。
有效的BCM是针对以上影响因素严重程度制订的一整套管理方法。如首先是要建立信息系统应急机制和紧急变更预案,从制度上保证出现业务中断时的行动路线。其次加强重要数据的灾难备份。目前我国大部分大中型商业银行都已经成立了灾备中心,进行核心数据的同城镜像和异地灾备。此外还需要对业务处理系统进行切换演练,通过定期进行切换演练,对可能面对的不同冲击进行情景分析和压力测试,降低突发事件威胁,提高应急处理能力。
4.通过保险和外包来缓释和转移风险。由于发生概率较低但损失程度较大的信息科技风险是难以预测、量化及分配资本的,因此对信息科技风险的缓释和转移,可大大降低银行相关风险暴露程度。
使用保险作为操作风险的重要缓释工具有很大的必要性。商业银行与保险公司可以根据主要信息科技风险的损失分布特征,共同开发适当的保险产品以此对商业银行面临的信息科技风险进行缓释。同时软件开发等的外包,即可利用外部专业资源,又可转移商业银行自身承担的失败风险。但也需注意要通过签署权责明确的事前协议,来规避外包过程中的潜在风险。
综上,信息科技风险管理可利用操作风险管理的框架,但信息科技风险的组织结构、识别、计量、报告和控制等都有其具体的方法和工具。这一框架可以表示为如下图4,其中左半部分表示了操作风险管理的框架,右边虚线内是信息科技风险管理的具体内容。
四、结论和建议
本文在操作风险视角下研究了信息科技风险的管理流程和具体措施。研究发现,首先,商业银行的信息科技风险是操作风险的重要表现形式之一,因而有必要利用操作风险管理框架对其进行管理。其次,操作风险管理的流程和工具,可为信息科技风险的识别、计量、监测和控制提供规范化的参考依据。另外,值得注意的是,信息科技风险有其具体的表现形式和技术特点,对信息科技风险的评估、监测和控制等具体措施等有明显的技术特点,因而信息技术部门内部的信息安全管理是信息科技风险管理必不可少的重要基础。
研究建议,商业银行应在信息技术部门内部的信息安全管理的基础上,通过在信息技术条线推行操作风险管理,利用操作风险的规范流程和科学方法对信息科技风险进行有效管理。这不仅有利于落实《新巴塞尔资本协议》的监管要求,也有助于提升我国商业银行全面风险管理体系的建设水平。
注:
近年来,随着我国银行业务的快速发展,商业银行面临的运营风险也在不断增加。其中,作为商业银行常见三大金融风险之一的操作风险更是频频凸显。据统计,仅2003年-2007年,通过媒体公开报道可以搜集到的操作风险案件就达174件。2011年,中国银监会的《银监会2010年年报》指出,2011年中国银行业仍存在诸多风险挑战,其中之一便是“部分金融机构操作风险管理意识弱化”。该报告指出:“2010年底,部分银行业金融机构案件出现反弹。齐鲁银行案件等多数案件发生在基层网点和所谓低风险业务领域,且多为内部人员作案,这反映出部分银行内在风险管理机制存在缺陷。”
与信用风险和市场风险不同,操作风险涵盖的范围和涉及的业务种类更为广泛,贯穿于商业银行经营管理活动的始终,几乎覆盖了银行经营活动的方方面面,因此管理难度更大。本文从操作风险的分类与特征入手,对商业银行操作风险的一般问题进行分析。在此基础上,选取人力资本激励视角对我国商业银行操作风险管理问题进行另一种视角的诠释,最后提出相关对策建议。
1 关于操作风险的一般问题分析
目前对于操作风险国内外尚未有统一的定义。其中,巴塞尔委员会在《巴塞尔新资本协议》中关于操作风险的定义较具代表性,具体为“操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险”。该定义突出强调了银行内部人员操作和业务系统因素所导致的操作风险。
1.1 操作风险的分类
操作风险类型较多,可从不同的角度予以划分。比较常见的划分标准有:巴塞尔新资本协议标准、英国银行家协会分类标准等。
(1)巴塞尔新资本协议中的分类。包括两个维度的分类:一个是按照损失事件类型进行分类,具体分为七类:内部欺诈,外部欺诈,雇用合同以及工作状况带来的风险事件,客户、产品以及商业行为引起的风险事件,有形资产的损失,业务中断和系统错误,涉及执行、交割以及交易过程管理的风险事件。另一个维度是依据发生操作风险的业务部门或业务流程环节,分为八类:公司财务、交易与销售、零售银行业务、商业银行业务、支付与清算、服务、资产管理、零售经纪。上述两个维度的分类还可共同构成操作风险分类的7×8矩阵。
(2)英国银行家协会的分类标准。具体涉及四类:人员因素导致的操作风险、流程因素导致的操作风险、系统因素导致的操作风险、外部事件导致的操作风险。其中,前三类为内部因素导致的操作风险,又称为操作性失误风险(operational failure risk);第四种为外部因素导致的操作风险,又称为操作性杠杆风险(operational leverage risk)。
1.2 操作风险的特征
操作风险的内涵丰富,外延宽泛,因此了解和把握其主要特征,可以更有效的管理此类风险。通过对国内外文献和监管部门披露的操作风险案件进行梳理发现,操作风险主要具有以下几方面特征:
(1)操作风险的生成具有明显的内生性。相对于信用风险和市场风险,操作风险的生成更多的是由银行内部不合规的操作引起。银行业务的客观存在使得操作风险将永远存在,并成为银行业务经营的重要组成部分。
从公式pR+pL>(1-p)Y中可以看出,银行员工是否选择违规操作主要取决于p、R、L、Y四个变量相互作用所导致的机会成本――收益天平的倾斜情况,因此,p、R、L、Y这四个变量乃是解开操作风险奥秘的钥匙。具体来说,这四个变量之中,L、Y属于从属性变量,因而是机会成本――收益天平中较轻的砝码,对天平的倾斜与否起不到实质性作用。换言之,决定操作风险的重要变量只有p值和R值,而与p值相关的正是我们的传统操作风险管理体系。毫无疑问。传统操作风险管理体系的完善能够提高p值,进而提高对潜在违规者的威慑力度,以使其不敢违规。不过,p值并不能无限升高至其极限值1。实际上,随着传统操作风险管理体系的不断加强和完善,p值会随之升高,但p值上升的速度却会不断趋缓直到达到某个最高值(如0.7)便终止了上升势头,而导致p值上升速率趋缓并终止的根本原因则是管理者与潜在违规者之间客观存在着的无处不在的信息不对称。故此,我们不能指望仅仅通过提高p值来一劳永逸地解决操作风险问题,要想突破操作风险困局,我们就必须把目光转到变量R值上。从上述公式可知,R是潜在违规者的违规成本的主要组成部分,因而对R的调控理应成为银行化解操作风险的有效武器。举例言之,假设潜在违规者对传统操作风险管理制度的威慑效果的预期估值为500,对违规收益的估值为800,那么,潜在违规者经过机会成本――收益计算后的最优决策便是冒险进行违规操作,但是当一个估值为400的R变量作为生力军加入机会成本阵营后,违规操作的机会成本上升为900,此时为了800的收益而丢掉900的违规操作行为就不合算了,于是,R的加入就使潜在违规者的最优决策从违规操作变为合规经营了,操作风险自然也就消弥于无形了。R,简单地说,就是银行员工的未来所有预期工作收入或效用的折现值。对R而言,最重要的并不是当前收入,而是银行员工对未来的预期,因为根据理性预期学说,理性人通常是根据其对未来的预期来做出决策的。因此,要想提高R值,不仅需要提高员工的现实收入,更重要的是要为员工的职业生涯打通上升的通道。也就是说,尽管行员的当前收入较低,但只要能够预期他经过自身努力就可以沿着职业路径持续、平稳地顺利前行,那么,他的R值就会高到足以抵御任何大额违规收益的诱惑。由此可见,商业银行人力资源部门针对所有行员开展实施职业生涯规划在提高行员的R值从而彻底根除重大违规事件方面起着举足轻重的作用。
综上可知,作为机会成本主体的R值是潜在违规者借以权衡违规利弊进而决定是否违规的重要砝码,因而R值的提高可以有效地将操作风险消弭于无形。如果说p值是通过外部防控使潜在违规者不敢违规,R值则是通过内部激励使其不愿违规。其中,前者从潜在违规者的外部入手,侧重于防,后者则从潜在违规者的内部人手,倾向于攻。毋庸讳言,要想从根本上解决操作风险之患,我国银行业就必须坚持两手抓,两手都要硬,即一手抓外部防控,要给违规者布下天罗地网以使其不敢违规,一手抓内在激励,要为合规者勾画美好未来以使其不愿违规。囿于观察视角的局限性,我国银行业完全忽视了R值的存在,遑论R值在降低操作风险方面的作用了。毫无疑问,我们这种一条腿走路的操作风险管理模式注定了摔跟头的命运。实际上,近年来我国商业银行操作风险泛滥的局面正是这种“独腿”模式所导致的恶果。亡羊补牢,犹未晚也。我国银行业应该迅速展开基于R值职业生涯管理制度,以便将我国操作风险体系的漏洞尽早补上。当然,职业生涯规划建设在实践中能否起到提高R值进而有效降低操作风险的作用,仍取决于它是否彰显了以人为本的理念。因为任何违规操作事件都不是一个偶然的孤立的存在,它实际上是操作风险由小到大不断累积直至最终爆发的必然结果,正所谓冰冻三尺,非一日之寒,而惟有秉承以人为本理念的职业生涯管理制度才能真正温暖银行员工的心进而将操作风险的寒冰融化。
二、当前我国商业银行职业生涯管理的不足
如上所述,囿于传统的研究方法,我国商业银行在操作风险的管理方面仍在围绕着p值兜圈子,大部分制度和措施的初衷无非是通过提高p值以加强对潜在违规者的威慑功能。观察视角上的盲点使我国商业银行无视R值提高对降低操作风险的良好效果,从而无法有意识地将对员工职业生涯的科学管理纳入操作风险管理体系之中。概括而言,我国商业银行在员工职业生涯管理上的不足主要体现在如下三方面。
(一)观念滞后
国有商业银行对职业生涯管理的理解和认识只是流于形式,
对职业生涯管理与人才培养、有效降低银行操作风险之间的内在联系缺乏深女4认识,这导致我国商业银行将职业生涯管理与专业化岗位培训、业务培训等简单等同起来。而员工对自己也没有很好的定位,职业行为缺损,自己的成长发展过分依赖于管理职位的提升,缺少对个人发展的清晰规划意识,在个人职业发展问题上表现较盲目。
(二)规划欠缺
国有商业银行对员工的未来发展缺乏完整的规划,只是简单的就业前培训、在职培训等,没有很好的了解员工的特点。国外先进银行特别强调能力主义,行政职务根据工作需要和个人能力随时调整,技术职务每隔几年评定一次,员工能力达到高一级业务时就上调一级,达不到要求则继续留在原岗位,工作太差的则给予下调。而我国商业银行员工的晋升大多是仿照行政管理那种结构单一的管理职位提升的,容易使员工形成“官本位”思想。就某一个银行来说,这种单一的管理岗位的供给毕竟是有限的,不能满足员工的晋职需要,这使得很多行员无法找到他们自己的发展空间,他们对未来的预期就必然降低从而相应导致R值的降低。
(三)人力资源管理机制上的缺陷也不利于职业生涯管理
员工职业生涯管理主要依赖于完善的人力资源管理机制为员工的职业生涯发展提供公平的竞争环境和发展平台。而我国商业银行人力资源管理的运行机制与时展的要求相比,尚存在一些不适应性,不利于员工职业生涯的发展。比如说,目前国有商业银行给员工提供的培训内容大多较注重专业技能,而忽略了对员工素质和潜能的开发培训,特别是中高层次的培训和专业技术人员的继续教育跟不上发展的要求。再比如,目前我国商业银行的员工绩效考核体系尚不完善,仍存在着许多问题:1.不同类别和职级岗位的员工采用的考评指标没有区分,并且统一用“德、能、勤、绩”这一类抽象指标,难以量化和具体评价;2.不同岗位和职级的员工职责界定模糊,没有规范的职位说明和实施细则;3.考核指标群中没有核心指标和权重,没有充分体现商业银行经营的特点,防范和化解操作风险的评价还没有体现到具体指标中;4考核多流于形式。
中图分类号:F830.33 文献标识码:A 文章编号:1001-828X(2013)11-0-01
一、我国商业银行操作风险管理的发展分析
2004年巴塞尔新资本协议后,全球银行业对操作风险的认识提升到一个新的层次。受国际监管理念的影响,同时受金融机构案件频发的警醒,近年来,我国监管机构和商业银行加大了操作风险管理力度。2005年银监会出台了防范操作风险的“十三条”规定,2007年5月,颁布了《商业银行操作风险管理指引》,并指出,操作风险是“由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险,包括法律风险,但不包括策略风险和声誉风险”,2008年9月又颁布了《商业银行操作风险监管资本计量指引》,指出商业银行选择标准法、替代标准法和高级计量法之一来计量操作风险的监管资本,2012年了《商业银行资本管理办法(试行)》,对新资本协议提出的操作风险组织架构、政策、工具、流程和报告路线方面的监管要求做出了全面承接与细化,并要求国内银行业在2018年前达标。至此,在中国银行业,操作风险管理被作为主要风险管理职能纳入了全面风险管理体系。
二、我国商业银行操作风险成因分析
(一)对操作风险管理的认识存在主观偏差
一是认为操作性风险是操作部门或操作岗位员工才会产生的业务风险,对操作风险的普遍性、危害性和长期性缺乏足够的认识,同时缺乏对操作风险的有效认识和整体把握。二是认为操作风险管理主要是管理层的任务,与自己的切身利益关系不大,导致操作风险管理的执行力度受到影响。三是管理层面还存在操作风险管理理念和认识深度参差不齐的现象,导致未能有效实施操作风险管理的规划。
(二)操作风险管理工具的实际应用有待加强
目前,我国商业银行的操作风险管理还处于初期阶段,管理基础比较薄弱。在风险管理实际执行中,对风险管理工具的认知和应用还存在报送数据、报告之类的初级操作,且报告的风险分析质量不高,数据错漏现象时有发生。另外,专业风险管理人才普遍欠缺,不能熟练运用操作风险三大工具实现风险识别、评估、监控和预警处理的全流程管理,使管理层不能全面深入了解所面临的操作风险,不能有效根据自身的承受能力和发展策略采取针对性的应对措施。
(三)操作风险监测分析不到位
目前,操作风险管理对事前的防范和事中的控制措施关注度不够,主要是对已发生或已存在的风险采取事后的管理处罚措施并提出相关的改进意见,管理部门通常将工作重点集中在事件后的突击检查、查找问题、整改工作和处理责任人等。操作不按流程、审核不到位、随意简化程序等问题依旧屡查屡犯,不能从根源上有效控制和防范操作风险。另外,风险预警体系不够健全,缺乏事前全面、系统的评价机制,不能有效的对风险损失事件进行预测和控制。
(四)基层操作风险相对突出
基层机构数量众多,管理链条过长,监管相对较弱,是违规操作发生的原因之一。根据监管部门的案情通报,大案要案及违规事件主要大部分都集中在银行的基层机构,反映出银行对基层机构的控制及基层机构自身的操作风险管理能力相对较弱,制度执行力不强,风险最为突出,基层营业网点操作风险主要表现在违规操作屡查屡犯。
三、我国商业银行操作风险管理的对策分析
(一)培育操作风险管理文化
管理者应充分了解本行操作风险现状,营造全员共同参与的操作风险管理环境,确立全面风险管理理念,从经营理念、管理制度、行为规范等方面形成内部积极和谐的风险管理文化氛围。组织多形式、分层次的操作风险管理培训,培训课程应涵盖操作风险管理实务、风险资本计量、操作风险管理师资培训等,保证各级员工获得足够的操作风险管理知识和技能。
(二)完善操作风险管理激励约束机制
改善和强化绩效考核和约束机制,加强对监管政策及要求的学习与传达。由于基层机构内控水平较为薄弱,操作风险管理应把基层机构的内控执行效果作为评价、验证操作风险管理的重要标准。不仅要加强对基层机构操作风险的及时监控,还应将风险因素的考核纳入网点负责人绩效考核范畴,并加大操作风险的考核权重,提高内控管理工作效果考核分值,明确奖惩标准。通过考核促进基层行重视操作风险管理,从而激发全体员工积极参与操作风险管理。
(三)加强内控管理与操作风险管理一体化建设
良好的内部控制建设,可有效防范起因于内部管理流程、人员以及系统的操作风险。实际工作中,对操作风险发挥主要控制作用的是内部控制体系。内控管理和操作风险管理工作一体化管理思路,要从组织与职责、体系与流程、管理工具和信息系统等方面将内控管理与操作风险管理两项工作整合起来,避免内控与操作风险管理中的重复工作,节约时间成本与人力资源。同时,借鉴操作风险的监控指标、风险容忍度等工具,使内控管理决策更加科学,成本效益比更趋合理。
(四)完善风险评估与监测体系,强化事前预警监测
建立操作风险监控分析平台,实现对异常交易的筛查、核查和验证,对交易、行为、实物进行实时监控。在日常管理中,应充分考虑IT资源成本优先实现对高风险业务的监控,并及时根据监控情况及业务发展实际,在现有的参数化预警模型基础上,进一步完善预警模型及监测体系,满足完善监控平台用户需求,加强对操作风险特性的识别,着力提升风险分析能力,识别和防控重大操作风险,促进业务流程优化和系统完善,完善的操作风险识别、计量、监测和控制程序。
参考文献:
[1]杨天玲.银行操作风险成因及对策研究来源[J].金融与保险,2008(06).
农村中小金融机构柜面业务操作风险管理现状
(一)农村中小金融机构柜面业务操作风险特点1.目前国内农村中小金融机构操作风险发生范围广。农商(合)行存贷款、银行卡、财务管理等所涉及到的所有业务流程都可能发生操作风险,无论是经济发达地区还是经济欠发达地区的城市、乡镇都有可能发生操作风险。2.农村中小金融机构操作风险表现形式多样。(1)内部欺诈风险。员工因放弃职业道德,违背相关法律法规,以满足自己的需要而造成的风险。尤其是一些“要害岗位”人员利用职务之便成为其作案的主要方式。(2)外部欺诈风险。员工在办理业务的过程中被客户用欺诈的手段利用,给银行带来潜在的风险。主要表现为外部人员诈骗、黑客侵入计算机等形式造成的损失。(二)农村中小金融机构柜面业务操作风险存在的主要问题1.操作风险管理组织架构不完善。尽管许多农村中小金融机构初步建立了形式上健全的法人治理结构,但是实际工作中“三会一层”及相关委员会只是形式上存在,没有很好发挥其在风险管理中的作用。2.内控机制不健全,风险管理方式效果差。从国内农村中小金融机构发生的案件涉及的操作风险分析,内控制度不完善,是大量违规经营和操作风险积聚的直接原因。目前存在部分农村中小金融机构内控管理混乱,在发生案件风险的情况下,往往只是处理案件当事人,那些负有管理和监督责任的人员一般不会受到处罚,从而造成内控体系的有效性差,在某种程度上积聚了风险。3.风险管理手段和技术落后。国内农村中小金融机构操作风险管理技术还比较落后,过分依靠内部审计而忽略外部审计。操作风险的识别还不够全面和准确,风险评估计量的手段落后。4.人员构成不合理,风险管理人才匮乏。人员素质是操作风险管理的关键,我国农村中小金融机构的风险管理人员在业务素质要求方面还达不到进行全面风险管理的需要,为操作风险埋下隐患。
构建农村中小金融机构柜面业务操作风险管理体系的对策
(一)构建有效的操作风险组织体系由于农村中小金融机构组织结构是“一级法人”下的总行—基层营业机构管理体系,由董事会及高级管理层承担最终管理责任的操作风险防御体系,以及内部审计部门的独立性尚未真正发挥作用的客观情况,决定了我国商业银行操作风险管理应该是总部集中管理模式。在这种管理体制下,农村中小金融机构的操作风险防御体系可以划分为六层:第一层:基层层面。银行金融机构基层组织是银行经营活动的前沿,对操作风险的生成和管理负有主要责任。第二层:起支持作用的部门,是业务部门开展经营活动的支撑,对操作风险发挥着重要的事前防范作用。第三层:风险管理部门。包括总行和分支机构在内的风险管理部门,负责对操作风险的政策及管理流程加以贯彻落实。第四层:内外部审计。主要侧重于对操作风险管理体系、管理政策、组织结构以及政策与制度的执行情况进行审计。第五层:董事会。在“一级法人”管理体系下,董事会对操作风险管理承担最终责任。董事会要确保本行的操作风险管理系统受到内审部门全面、有效的监督。内审部门不应直接负责操作风险的管理。第六层:监管者和股东及其他利益相关者。两者分别通过监管制度、监管要求和市场约束对商业银行的操作风险管理状况加以关注和制约。(二)加强内控制度建设1.制定个人柜面业务操作风险管理制度手册。组织人员从现有的柜面业务风险点着手,制定涵盖相应全部现行的业务流程,风险点等的个人柜面业务操作风险管理制度手册。员工能根据手册速查,了解某项业务的具体办理方法、依据,以及发生某种操作风险后,应该如何处理和向上汇报。2.制定新型的柜员管理制度。新型的银行柜员制度是指建立在前台操作系统基础上,覆盖全部业务流程和风险点的柜员管理制度。3.深化流程整合,提升服务质量。组织人员根据最新制度要求,对业务处理手续进行规范,在防范风险的前提下,最大限度的简化前台操作。(三)建立完整的操作风险内部管理体系1.转变管理理念,将零售业务管理从规范化等级管理向风险等级管理转变。按年对分(支)行和零售网点进行风险评级,按行、按点建立风险控制档案,将全部零售网点按照风险等级,进行差别化管理,对分(支)行零售业务风险管理情况进行综合排名。2.建立风险档案管理体系。将重点建立对基层营业机构的操作风险档案,并对基层营业机构的操作风险档案进行综合管理,分析运用风险档案,积极对风险档案进行汇总和分析,定期对检查出的问题进行深入细致研究分类和分析。3.建立操作风险损失事件数据库,设置专门的损失事件岗。建立风险损失数据可以为管理者提供有力的模型化实证分析,将提高管理者在内控过程中制定管理政策的有效性。4.建立对柜面业务操作风险状况的分析、报告、持续改进及风险提示机制。基层营业机构应及时上报辖内的操作风险管理风险分析报告,总行积极对风险档案、业务检查情况等相关资料,进行汇总和分析,及时向网点下发风险提示,提示风险点及其防范措施。(四)建立完善以柜员考评为基础的激励约束机制建立科学的风险津贴与业绩相结合的绩效考核机制,合理分配员工薪酬,按业务的复杂度和贡献度设定权重,计算柜员的业绩积分,对柜员的业绩进行全面考核。通过考核以岗定酬、升岗升区,充分调动柜员工作积极性,有效利用资源,提升网点综合竞争力。(五)加强前台核心业务系统的升级管理和运行维护管理系统中存在的任何问题都可能导致农村中小金融机构不可估量的损失。因此,系统的安全性、稳定性和完备性直接决定了系统运行过程中发生系统中断、出错乃至遭到非法侵入等而导致操作风险事件的概率。加大系统的科技投入,加强系统开发和升级以及后续的运行维护管理能使之能更有效的防范操作风险的发生。(六)构建良好的操作风险文化加强操作风险制度文化建设是当前的风险文化的重点。我国农村金融机构操作风险文化建设刚刚起步,培育操作风险文化是一项长期的目标。操作风险制度文化建设是指银行对经营过程中可能出现的各种风险进行预防和控制的一整套制度安排。
本文作者:李平工作单位:商丘华商农村商业银行