时间:2023-07-06 09:30:54
引言:寻求写作上的突破?我们特意为您精选了4篇操作风险案例分析范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
纵观近期发生的操作风险案例,覆盖面非常广,涉及的范围全面,几乎涉及银行内部的所有部门,既涉及商业银行传统的资产负债业务,也涉及商业银行的中间业务;既包括发生频率高、但损失相对较低的日常业务流程处理上的小纰漏,也包括发生频率低、但一旦发生就会造成极大损失,甚至危及到银行存亡的自然灾害、大规模舞弊等。这些案件呈现出四大特点:一是刑事犯罪案件频发,内外勾结案件凸现;二是尽管银行案件总数稳中有降,但涉案金额上升;三是大部分案件集中在基层;四是因赌博、炒股、经商等原因诱发的案件比重较大。这些案件的发生,是旧体制的弊端、当前社会矛盾、社会信用环境以及传统的银行文化等多种因素相互交织与作用的结果,也是商业银行自身管理体制不完善、基本制度执行不力、内控制度不落实和对基层机构特别是对机构负责人管控不到位造成的。要遏制当前银行案件高发势头,必须坚持改革和管理并重,要从根本上改变“重业务轻管理,重外延扩张轻内控建设”的局面。
一、 我国商业银行操作风险的成因
通过总结这些案例,我国商业银行操作风险的影响因素可以概括为:制度因素,内部人员因素,系统因素,有关社会因素。下面分别从这四个方面阐述我国商业银行操作风险的成因[1]。
(一)制度因素
主要包括制度不完善、滞后性、执行不力等。目前,各商业银行制度建设正朝规范化和标准化的方向发展,但由于内控制度和各程序设计上存在缺陷,许多制度都执行不力从而流于形式;制度的滞后性使得制度建设跟不上业务创新的需要。诸如银行职工盗用客户资金案、贪污公款案、挪用公款案等。
(二)内部人员因素
包括员工思想道德素质、员工业务能力、越权和行为、关键人员流失等。人是操作风险防范的主体,在操作风险的控制过程中发挥着不可或缺的作用。同时随着我国法律制度的不断健全和完善,银行和内部员工之间的劳资和法律纠纷,员工因意外伤害而要求赔偿的事件也不断出现,增加了操作风险的损失。诸如违规放贷案、假冒客户名义办理贷款案等。
(三)系统因素
包括软硬件设备、操作系统网络等。目前,银行都实现了网络化,系统的评估与升级、系统日常维护、系统安全保护就显得非常重要,一旦出现失误,就会引发操作风险。在业务处理过程中,由于网络故障,可能会出现存款重复入帐、取款未下账等。如果不法分子利用这类故障,将错误款项转移将使银行蒙受损失。诸如存款资金被电话银行盗取案、利用假省份证造假案等。
(四)有关社会因素
主要包括外部欺诈、抢劫、盗窃、黑客攻击以及经济萧条、战争等不可抗力因素。从短期来看,操作风险主要来自内外部欺诈,从银行的实践中可以看出,由于内外部欺诈所产生的损失事件数目占到全部损失事件数目的70%,损失频度和强度均高于其他类型;从长期来看,随着银行业电子化程度不断提高,技术性因素引发的操作风险越来越多。诸如:齐鲁银行金融票据诈骗案等。
二、 我国商业银行操作风险的特征
(一)广泛性
这些操作风险案例覆盖面广,涉及的范围全面,操作风险发生可能性遍布银行的所有业务环节,涵盖所有的部门,而且风险内容会随着管理实践的发展和管理环境的变化而不断增加。既包括较为传统的存取款业务、贷款业务、支付业务、收单业务、担保业务,也包括新兴的代客理财业务、信用卡业务、票据业务、同业业务,还包括银行外包的相关业务;既包括发生频率高但损失较低的日常业务流程的错误处理上,也包括发生频率低但损失较大、甚至危及到银行存亡的重大事件上。
(二)同步性
纵观这些案例,发现随着商业银行业务的创新,业务的复杂程度上升,在制度、流程、系统和人员上会出现许多新的操作风险因子;随着业务规模扩大,在制度、流程和系统上越是容易出现漏洞,人员越是容易疏忽。商业银行操作风险发生与商业银行发展的同步性,虽然具有一定的客观必然性,但商业银行内控机制与人员素质的落后是其频发的症结。
(三)多样性
通过总结这些案例,发现我国金融机构操作风险的表现形式多种多样,有内部欺诈风险、外部欺诈风险、客户产品与经营业务风险、执行分割和流程管理风险。
(四)基层性
纵观这些案例,大多数操作风险案例发生在基层单位,支行对总行与分行的相关制度和业务规定执行不力,总行和分行对支行的监督也不够充分,基层员工法律和合规意识不足,有章不循,有法不依,或抱有明显的侥幸心理。
(五)放大性
这些案例在发生的第一时间都没有得到有效的控制,大多数基层支行对操作风险案件的发生封闭消息、封闭舆论,只要有负面东西一律不让报道,说是担心引发金融风险。结果是把小问题酿造成了大问题,把小风险酿造成了大风险。比如齐鲁银行事件,普华永道中天会计师事务所早有预警和提示,结果是人员被换,最终酿成大案。
三、 我国商业银行操作风险的防范
(一)防范难点
对于这些防不胜防的操作风险案件,国内银行在监控上确实存在不少的难点[2]:
1、案件防范意识不到位
不论是领导者还是一般员工,对案件防范的意识不到位,片面的认为案件主要是指大案要案,操作上的小问题不是案件,没有考虑到往往是这些小问题才导致了大案件;认为业务发展是主要,案件防范是次要,重发展、轻风险的思想还比较严重。
2、制度执行不到位
再完善的制度落实不到位也只是空谈。有章不循,操作不规范在实际中普遍的存在,过分相信自己,没有严格按照操作规程进行操作,导致了“大错不犯,小错不断”的现象频繁出现,久而久之,造成风险漏洞越来越多、越积越大,为案件的发生埋下了隐患。
3、监督检查不到位
没有监督检查,制度就无法真正的落实到位,而在工作中,不论是专门监督检查部门还是业务部门自身,监督检查常常流于形式,重视纸式材料,忽视现场检查,造成在重要工作环节上不能严格履行制度,规章制度的严肃性和相互制约的作用受到了限制,以致引发了案件。
4、案件防范手段不到位
目前,工作中主要强调硬件手段的防范,而忽视员工对案件防范的关心程度、理解程度、执行程度,忽视员工的思想变化、情绪变化、家庭环境变化,缺乏对案件防范措施的创新性、有效性。
(二)防范措施
针对这些防不胜防的案件,纵然监管部门在监控上存在诸多难点,但还是要坚定不移的防范操作风险,以维护金融市场的稳定,使金融机构健康有序的发展。就如何防范操作风险问题,提出如下几项建议[3]:
1、全面加强内部控制建设
内部控制制度是有针对性的管理操作风险的有力工具,有效且能保证严格执行的内部控制制度是银行风险管理体系的核心。主要手段:第一,加强内控管理文化建设;第二,建立有效的法人治理结构和合理的组织架构,从制度上保证内控效率。有效的法人治理结构和合理的组织架构是商业银行内控制度发挥效率的制度保证; 第三,积极开展内部控制评价,建立独立、权威的内部监督制度,确保内部监管的连续性。
2、建立和完善操作风险管理体系
这是商业银行防范和控制操作风险的一项基础工作,也是我国商业银行操作风险管理的基本要求。主要手段:第一,梳理商业银行的组织架构;第二,专设操作风险管理部门;第三,建立科学的决策机制。
四、 结束语
综上所述,商业银行的操作风险可能来源于制度、人员、系统和社会等各个方面,任何方面的缺陷都会诱发商业银行操作风险的发生。在总结我国当今商业银行操作风险特征的基础上,我们要抓住重点,克服难点,加强内控制度的执行力,增强员工守法合规意识,在全行形成良好的文化氛围,力争全面控制操作风险的发生。
参考文献:
[1]杨天玲.银行操作风险成因及对策研究.金融与保险.2008.(6).
[2]中恒国际租赁有限公司项目部.金融业风险案例汇编.2012.
摘 要:由于《新巴塞尔资本协议》把操作风险纳入到资本充足率的计算之中,使得金融界对它的关注显著提高,并对操作风险的估计提出了迫切要求。本文将人工智能中的案例推理技术应用到操作风险估计,并对操作风险案例的描述与存储组织、匹配案例的检索以及检索结果的调整等关键问题进行了探讨。
关键词:案例推理;操作风险;风险估计
中图分类号:F830
文献标识码:A
文章编号:1003-9031(2006)12-0048-03
一、引言
操作风险最早由COSO~在其1991年的报告中提出,但在20世纪90年代中期以前这一概念并没有引起金融行业的广泛关注,直到巴林银行和大和证券事件发生后,巴塞尔委员会才对操作风险重视起来。
2004年6月,巴塞尔银行监管委员会正式公布新资本协议,明确提出将操作风险纳入资本监管,操作风险开始与信用风险和市场风险并重成为商业银行的三大风险。常见的操作风险包括:系统或流程缺陷;交易错误;结算延迟;业务连续性故障;内外部欺诈;信息安全性;完整性和机密性受到侵犯;执行、传递和程序管理失误,实物资产损坏;等等。由于操作风险发生的不确定性,因而对操作风险的估计就成为操作风险管理的难点。本文探索使用案例推理方法,分析过去发生过的操作风险事件特点,比较操作风险案例的异同之处,估计可能的风险后果和寻找合适的对策,以提高金融机构的操作风险控制能力。
二、基于案例的推理方法
当人们面临一个新问题时,往往会利用以前解决问题的经验,对当前类似的情况进行分析、推理,得到解决新问题的方法,从而不必从头做起。将人们这种解决自然问题的心理过程上升到方法学的角度,就是基于案例的推理(Case-based Reasoning,简称CBR)。由于CBR方法同传统的基于规则的推理系统(Rule-based Reason―ing,简称RBR)相比,具有知识获取容易、有记忆功能、健壮性好、更加符合人们的认知心理过程等优点,所以自20世纪80年代末、90年代初兴起之后,受到人工智能研究者的高度重视。
CBR方法最早由耶鲁大学的Schank教授在1982年出版的专著《Dynamic Memory:A Theory of Remindingand Learning in Computers and People》中提出,是人工智能领域一项重要的推理方法。20世纪80年代后期国外大量学者对CBR的理论和方法进行了系统研究,在通用问题求解、法律案例分析、设备故障诊断、辅助工程设计、辅助计划制定等领域取得实用性成果。国内在20世纪90年代后期开始出现关于CBR方法在经济管理中应用的研究报道,例如李光等设计的基于案例推理的知识库系统设计,陈东明等设计的基于案例推理的复杂装备故障诊断系统等等。
CBR是一种类比推理方法,其基本思想是在进行新问题求解时,借助以前求解类似问题的经验来进行推理,其主要过程是:新问题的描述一相似案例检索一方案调整一方案评估一案例学习与维护。因此,将CBR方法用于操作风险估计时,首先需要构建操作风险的案例库,通过访问操作风险案例库中过去的同类风险案例而获得当前潜在风险的评估。案例推理方法在解决操作风险估计问题时的一般步骤是:
(1)对新问题进行规范化描述;
(2)以新问题的若干特征为检索查询条件,从案例库中查找以前解决类似问题的案例;
(3)将所选出的最接近案例作为样本形成新问题的解;
(4)分析新旧案例的差异,识别新问题的新情况,修正调整得到的解;
(5)对新案例进行整理,添加到案例库。
案例推理的工作流程如图1所示。
三、案例的描述与存储组织
案例描述与存储组织是CBR的基础支撑技术之一,也是将其应用于操作风险估计的基础。案例描述是对过去已经解决了的问题及其解决方案的描述,可以用二元组或三元组表示,或者用语义网络、框架、剧本和动态存贮模型(Dynamic-memory Model)等表示。此外,目前对案例特征的抽取与描述的研究还涉及到采用神经网络技术、面向对象技术等。下面介绍用二元组或三元组的方法来描述案例,后面关于案例索引的讨论也以元组的表示方法为基础。元组的描述方法可以形式化表示如下:
case=或case=
二元组的描述包括两个域:问题域(problem-field)和解决方案域(solution-field),这种形式可以用于简单的操作风险领域的案例描述。
三元组的描述包括三个域:问题域、症状描述域(symptom-field)和解决方案域,这种形式可以用于操作风险诊断领域的案例描述。
问题域用来描述问题的特征信息和上下文信息等,是有关问题特征信息的完整描述。一般把问题域分解为多个属性来描述,可形式化的表示为:
problem-field=,表示问题域可以用n个属性来描述。案例的症状描述域一般为案例问题域的自然语言描述,它的作用是为了人们更好的理解案例问题域的描述信息。
案例的解决方案域为针对案例问题域所描述的问题所采取的解决方法的一种描述。可以形式化的表示为:
solution-field=表示解决方案域可以用n个属性描述。
导致操作风险的偶然因素多,风险形成机制复杂,在操作风险发生不同阶段的表现各异。同时案例是知识表示的一种模式,它将专家的知识与经验用描述案例的数据结构表示出来,它实际就是专家求解问题的一个具体例子。本文采用表1所示的知识结构来描述金融操作风险案例。
采用上述框架结构的描述方法,将所搜集到的金融操作风险案例存放到一系列相互关联的数据库中,利用关系数据库的索引技术,可以方便地建立案例索引。
四、匹配案例检索
案例检索就是通过访问操作风险案例库中过去同类问题的解决方案从而获得当前风险问题的解决方案的一种推理方法。操作风险案例检索的结果可以是一个最佳操作风险案例,也可以是一组相似操作风险案例。案例检索的效率和案例的索引结构密切相关,如何准确、快速获得操作风险案例的解决方案是评价基于案例推理系统的一个重要方面。
从索引级别上可以将CBR分为单级和多级索引。单
级索引比较简单,适用于风险案例库中案例不太多的情况,可按问题域某个属性的取值进行索引。
多级索引技术对于操作风险案例库较大的情况很有效,可以提高案例检索的效率。下面介绍采用聚类分析方法来为案例库建立二级索引时的案例组织方法。设整个案例库有N个案例,Casebase=,首先对所有的案例按照上文所介绍的方法进行聚类分析(即把相似的操作风险案例按某种方法先进行归类),得到M类抽象案例Abstract Casebase=,其中M≤N。这M类抽象案例作为第一级索引,每类抽象案例中又含有数个具体案例,A―case i=,S为第i类抽象案例中所含具体案例数量。这些具体案例再按照案例的某项属性的取值进行索引形成第二级索引。抽象案例问题域各个属性的取值可以取它所包含的具体案例的各分量的平均值。
在CBR系统中应用的检索方式主要有三种:最相邻法(Nearest Neighbor Algorithm)、归纳法(Induction)、知识引导法(Knowledge-Guided Indexing)。最相邻法适合于案例特征属性为数值型的情况,定义和计算案例之间的相似度(或匹配度),相似度最大的案例为匹配案例。归纳法,提取案例特征上的差异,并根据这些特征将案例组成一个类似判别网络的层次结构,检索时采用决策树搜索策略,适合于案例特征相互独立或推理结果只是案例中某一特征的情况。知识引导法,采用一套规则进行索引控制,根据已知的知识来决定案例中哪些特征在进行案例检索时是最重要的,并根据这些特征来组织和检索。
考虑到操作风险估计的特殊性,操作风险案例特征属性多数是描述性的字符型字段,可将归纳法和最相邻法相结合,按照SQL查询方式检索出最匹配的案例。首先找出“事件类型”和“受影响阶段”两个字段完全匹配的案例记录,从中再查找“事件性质”匹配的记录,如果没有完全匹配的记录,则把条件放宽继续搜索。再按照“发生时间”最接近原则,从中挑出最匹配的案例记录,其中的“实际后果”字段可以看作是对风险的初步估计。为了加快检索速度,也可以给出多个记录供参考,对“事件类型”、“受影响阶段”、“事件性质”、“发生时间”几个字段建立索引。
五、结果调整
通过操作风险案例检索得到的初步操作风险估计结果,严格意义上说是以往相类似事件导致的风险处理方案。而将要估计的操作风险事件发生的时间、地点、程度都发生了变化,因而要根据新的操作风险事件特点与风险案例之间的差异对风险估计的初步结果进行调整。
调整方案有计算机自动调整和专家调整两种方式。如果影响推理结果的那些主要因素是有限的而且是可以测量的,可以采取计算机自动调整。一种简单的调整方法是
其中E为风险估计结果;Ec为通过案例检索得到的初步风险估计结果; 为时间调整系数,由于实际风险事件与案例事件发生时间不同需要考虑的调整系数,例如考虑金融业务多少的季节性因素和趋势性因素的影响; 为地点调整系数,由于风险事件发生地点不同或与之相关的操作流程不同需要考虑的调整系数;0-3为程度调整系数,由于操作风险事件对金融机构影响程度不同需要考虑的调整系数;B为其它因素综合调整系数,综合考虑操作风险事件之间的其它差异而确定的调整系数。由于操作风险发生的不同分布特征,各种影响结果的因素不可能全部收集存储到案例库中,这时便可以采用计算机辅助下的专家人工调整方式,由管理人员分析以往操作风险案例与当前操作风险事件的差别,分别确定调整方法与调整参数,并综合考虑其它环境因素的影响。
中图分类号:F830文献标识码:A文章编号:16723198(2009)22003403
随着经济环境的不断变化,操作风险爆发的频率大幅攀升,而且往往造成巨额损失,巴林银行和大和银行的倒闭事件充分证实了操作风险的危害性以及对其进行管理的重要性。2001年以来巴塞尔银行监管委员会连续三次发表长篇咨询报告,与业界磋商如何建立稳妥的操作风险管理和监管机制。不论是金融从业机构,还是金融监管部门,都前所未有地加大了对操作风险的管理和控制的力度。
1 操作风险定义中的内控因素
巴塞尔委员会根据英国银行家协会(BBA)、国际掉期和衍生品交易协会、风险管理协会以及普华永到咨询公司的意见,将操作风险定义为“由不完善或有问题的内部程序、人员、系统或外部事件造成的直接或间接损失的风险”。首先,从定义中可以看出,操作风险与内部操作有直接相关关系。内部操作通常就是银行及其员工的作为或不作为,银行能够也应该能够对其施加影响,也就是强调了内部控制系统所具有的重要作用。其次,人员和人员失误对操作风险的产生起到了决定性作用。操作风险主要源于银行日常的经营活动,人为因素在引发操作风险的因素中占有重要的、直接的地位。巴塞尔新资本协议规定的7类操作风险中有6类都与人为操作有直接关系。
巴塞尔委员会和反对虚假财务报告组织委员会(COSO)提出了内部控制的“三元目标”:业绩目标、信息目标、合规性目标。我国监管当局确立了“四元目标”,即在三元目标的基础上增加了“风险管理有效性目标”。可见,商业银行内部控制以防范和化解风险为出发点,是一个风险管理的动态过程。商业银行内部控制同样也强调了人的作用,政策制定主体是董事会,实施主体是高级管理人员,控制主体是员工。
单纯从概念内涵中可以初步得到两者之间的关系:管理的内容相同,都对操作风险进行管理;管理的对象有重叠,都对人员的作为与不作为进行控制;管理的特征相同,都注重过程,而不是单纯的阶段性管理。同样,两者之间的区别在于:管理的重点不同,操作风险管理强调“区别”管理,区分出可忍受的风险、可转移的风险,并对其采用不同的管理手段;内控机制强调机制、制度建设。管理的方式方法不同,操作风险管理主要通过技术手段,而内控机制主要通过银行内部组织构架和制度建设来实现管理的需求。
2 操作风险案例实证
通过案例实证,我们想证明的是内部控制与操作风险高度的相关关系,操作风险的产生大部分是由于银行内部控制机制的不健全造成的。
为了说明,首先将操作风险按照损失事件的类型分类。根据巴塞尔新资本协议,将操作风险分为以下几类:
分类内容
内部欺诈例如,故意误报头寸、员工偷窃、员工通过自己账户的内部交易
外部欺诈例如,抢劫、伪造、空头支票、计算机黑客的破坏。
营业中断和系统瘫痪例如,计算机硬件和软件的损毁、通讯故障、供电中断。
执行、传递和程序管理例如,数据录入错误、抵押管理失败、不完全的法律文件、非法进入客户账户、非客户的交易对手操作失误和供应商纠纷。
雇佣制度和工作场所安全例如,工人补偿申诉、有组织的工会行动、侵害员工健康和安全条例。
顾客、产品和业务做法例如,信用违约、客户秘密信息的滥用、洗钱、银行账户上不正当交易行为和未经许可产品的销售。
实物资产的损坏例如,恐怖行为、破坏行为、地震、火灾和洪灾。
2.1 国际案例
除了著名的巴林银行倒闭事件以外,还有很多操作风险的案例。
1992年,标准渣打银行被印度政府指控违反印度银行法和指引,包括:投资国债、代公司客户投资、给经纪人融资去投资孟买市场,损失4.4亿美元。
日本大和银行由于在资金交易的前台、后台没有很好的隔离,高级管理层对操作风险缺乏认识等原因,其在长达11年的资金交易中,有3万笔交易没有经过授权,最终在1995年累积爆发,最终的损失达11亿美元。
1995年3月15日,由于内部管理不善、贷款和投资出现严重问题,法国三大银行之一的里昂信贷银行出现了高达500亿法国法郎(约100.6亿美元)的坏账。
1997年,摩根格雷费资产管理公司(德意志银行)一名基金经理违反规定,投资于三大共同基金的非上市证券,造成损失超过6个亿。
2001年由于高级管理人员挪用和贷款欺诈,导致基斯顿第一国民银行倒闭。
2001年纽约共和银行在普林斯顿国际经济公司销售的证券中担任管理人,该公司编制虚假财务报表并且混合客户资金,该行因此支付了6.11亿美元的赔偿金和罚金。
2001年FSB超级银行因在证券化的次级优惠贷款中截留利息,会计报表失真,导致该行倒闭,损失金额4.4亿美元。
20002年美洲银行因为解决与国民银行合并之后的诉讼(诉讼美洲银行隐瞒与D.E.Shaw公司的关系),损失4.9亿美元。
2002年爱尔兰联合银行由于在过去5年内发生非授权交易蒙受近7亿美元的亏损。
2002年J.P.摩根大通因为与安然公司有关的诉讼和监管事宜,已经拨备9亿美元的储备金。
就以上有限的案例分类分析,至少可以说明,国际案例中操作风险主要集中在:执行、传递、程序管理和顾客、产品、业务做法两大块内容中。相对而言,防范内部欺诈和外部欺诈是对内控制度的基础要求,而防范执行、传递、程序管理和顾客、产品、业务做法中的操作风险是对内控制度的高级要求。如果内控制度相对完善,那么欺诈行为出现的频率也会有所降低(当然,这种结论存在着片面和不确定性,不排除其他没有搜集到的案例也存在其他方面的巨额损失)。
2.2 国内案例
除此以外,为了更加强调研究问题的现实意义,缩小研究范围,有必要对我国的操作风险情况做出比较细致的讨论。
通过媒体报道,搜集了部分操作风险损失的典型案例。当然,这是不全面的,因为发生损失的金额大小与报道的频率呈正相关,也就是说,操作风险损失金额越大,报道的概率就越高。但是尽管不全面,由于目前我国操作风险的数据库尚未建立,而且很难搜集,对其分析研究就只能通过媒体报道来完成。
由于我国目前正处于经济转型时期,市场经济所需要的制度环境仍不健全,而金融领域的改革相对其他领域滞后,管理经验不足,软硬件设备不够先进,致使操作风险在我国商业银行系统内广泛存在,重要的是由于内部控制机制不完善在很大程度上加剧了发生操作风险的频率,并带来了巨大的损失。搜集的34个案例的时间跨度长达15年(1992年2006年),损失金额少则72万,多则高达74亿。而实际上,就2004年一年期间,仅仅工、农、中、建四家国有商业银行发生操作类风险案件高达300多起,涉案金额4亿多元。我国商业银行的操作风险损失总体数量、总数额、单笔损失额呈快速上升趋势。
对我国操作风险来讲,可暂且忽略雇佣制度和工作场所安全以及实物资产的损坏这两类操作风险损失。根据其他5项将34个操作风险案例进行划分。
2.3 结论
(1)内部控制制度设立的不完善、执行的不严格是我国商业银行操作风险形成的主要原因。由于内部控制制度不严,为各种各样的来自银行内部的违规操作提供了可能。大部分案件当事人都是因为钻内控制度不健全的空子,牟取暴利。特别是,存在大量欺诈案件这个事实提醒了我们“人本思想”的内控体制建设还有待极大的发展和完善。
(2)通过对国际案例和国内案例的比较分析,可以得出结论:欺诈性操作风险的多发表明我国商业银行的内部控制机制存在基础性的问题和缺陷。如果内部控制高度健全,操作风险仍然无法完全消除,但发生范围会逐步缩小到主要由自然事故而非人为因素所导致的操作风险上来。也就是说,内控制度越不完善,发生欺诈性操作风险的频率越高,内控制度基础因素相对完善,发生欺诈性操作风险的频率也会随之下降。相比较而言,欺诈行为是我国商业银行操作风险的主要表现形式,而在发达国家的商业银行中却较少出现,这说明我国商业银行内控制度建设相对发达国家还很落后,存在基础层面上的缺陷,特别是内控制度中基础文化的树立。
(3)在欺诈风险内部分析中,如果一个内控制度相对健全的商业银行中,由于内部欺诈导致的损失不会大于外部欺诈。在具体分析中,我们发现26个欺诈案件中,内部欺诈数量占35%,外部欺诈数量占19%,内部欺诈导致的损失金额占欺诈案件的达24%,而外部欺诈导致的损失金额只有5%。由此可见,我国商业银行内部欺诈导致的损失要大于外部欺诈导致的损失,这又进一步说明了我国商业银行内部控制制度存在严重的漏洞和缺陷。
(4)从现实案例来看,欺诈是我国商业银行操作风险的主要类型,而其中内外勾结的欺诈行为相对比较严重。这类行为一旦发生,一般隐匿时间较长,银行的损失极大。这也说明目前我国商业银行的内控机制还不很健全,或者说内控制度执行不严格、力度不到位。这些内外勾结的欺诈案例大部分是由于高层管理人员掌握着人力、财力、物力等大权,其危害性要远大于基层操作人员。
(5)除这些欺诈案件之外,其他损失类型也与内控制度的不健全密切相关,只是相关的层面不同而已,欺诈性操作风险与内控制度的基本层面相关,而例如,顾客、产品和业务做法以及执行、传递和程序管理等操作风险与内控制度相对较高层面相关,对它们的防范要求更为严格、更为缜密的内控制度建设。
(6)不仅操作风险所分类型之间不能完全区分,操作风险和信用风险、市场风险之间在某种程度上也不能完全割裂开来。金融机构有时很难清楚地区分客户不能偿还贷款,是由于“正常的”信用风险导致的,还是由于信贷人员本该认真审查而事实上却没有的操作风险造成的。也就是说,在目前的风险测量体系中,有相当一部分所谓的“信用风险”实质上应属于“操作风险”。
3 内控视角的操作风险管理
当然,我们并不能完全将操作风险的形成归结为内控制度的不完善,但至少可以说明后者是前者频繁发生的重要原因之一。所以,管理、防范操作风险主要从内部控制制度的完善和执行方面入手。这也是各商业银行建立现代企业制度、开展公司治理结构的改革所不可或缺的内容。
(1)观念上,树立商业银行内控制度的基本文化思想,这属于企业文化的一个子集。培养员工,使其具有最基本的防范操作风险的意识,树立防范、管理操作风险的责任观,认为这是作为银行一员所必须的基本原则和责任。提出操作风险管理的宗旨,定期举办培训会议,举行操作风险防范管理的评比活动并施以不同的奖惩措施。
(2)业务上,建立动态的全过程的风险管理线,完善内控制度的过程管理。
风险管理线包括操作风险内部的和外部的管理程序。
操作风险涉及领域非常广泛,业务操作的各个环节都有可能发生操作风险。所以必须建立一个从预防、监控到缓解的动态的、全过程的风险管理线。目前,我国商业银行内控程序主要是单一程序而不是复合程控,管理压力主要集中于风险管理部门,业务部门没有防范操作风险的意识和动力,而实际上,业务部门是操作风险的“发源地”,需要严加防范。所以,应当在业务一线设立操作风险的预警机制,培养业务人员的操作风险防范意识,确立奖惩机制。具体的法律部门、稽核部门也应当承担操作风险管理的责任。
操作风险与信用风险、市场风险存在重叠或交叉的部分,不能完全将它们割裂开。所以全过程的管理线还要关注三大风险之间的转化,及早在管理部门之间建立交流机制和渠道,防止风险的“真空地带”和迅速转化。
(3)人员上,确立合理的激励约束机制,但激励机制的建立也要考虑操作风险的因素。
除了对业务的风险管理之外,更重要的是对人员的风险管理。从案例分析发现,高层管理人员欺诈导致的损失是操作风险中不可小觑的一部分。由于历史原因,我国商业银行的董事会、监事会、股东大会三会的治理结构建立仍处于起步阶段,三会不能有效发挥作用已是不争的事实。尤其是监事会,很难起到监督管理的作用,高层管理人员由于没有受到有效的约束,滋生了谋取暴利的动机,导致金融腐败在操作风险上集中暴露。因此,建立对高管层的控制机制,实施有效的激励约束作用是关键之举。当然也不能忽视对基层一线人员的激励。
现有的银行激励制度的设计往往过分看重盈利性指标,忽略了风险指标。在对银行高层管理者进行评价时,没有区分其经营业绩的取得是建立在冒险型策略还是稳健型策略(策略风险是操作风险的一种)的基础之上,也没有相应的对报酬予以调整,那么这就鼓励了银行雇员采取冒险型策略以获取更大利润可能性的动机,使银行面临更大的操作风险,因为风险就是一种损失发生的不确定性,一时的利润可能潜伏着巨大亏损的可能性。所以,必须将操作风险水平纳入报酬激励设计中,这样才能有效控制操作风险。
(4)组织机构上,健全三会一高的内控制度,重塑内审的权威性。在我国,通常执行这一职能的机构是内部审计部门。与国外商业银行不同的是,我国银行的内审部门与一般不是平行设置,并不是直接隶属于监事会,往往对分支机构的稽核监督容易,对总行层面的稽核监督难以开展,其权威性、独立性受到极大程度的制约。因此,从内控角度讲,应尽快健全监事会的作用,提升内部审计部门的独立性和权威性,最直接、最有效的方法就是将其纳入监事会的独立框架中。
参考文献
[1]樊欣,杨晓光.从媒体报道看我国商业银行业操作风险状.管理评论[J].2003,15(11):4347.
[2]巴曙松.巴塞尔新资本协议框架下的操作风险衡量与资本金约束[J].经济理论与经济管理,2003,(2).
[3]罗平.巴塞尔新资本协议研究文献及评述[M].北京:中国金融出版社,2004.
一、商业银行操作风险的定义及内容分类
(一)操作风险的定义
银行操作风险的界定较为复杂,银行包括声誉在内所有的资产基本都被覆盖在其中,国内和国外的金融界赋予操作风险的定义也都各有不同。主要包括下面一些观点。(1)操作风险较早的定义就是指除了市场风险和信用风险以外的风险,这个定义较为模糊,没有针对性,实际意义也不是很大。因为信用风险在不同银行的定义是不同的,这样就将导致对操作风险的划分不同,(2)英国银行家协会指出,操作风险是由于内部程序、人员、系统或外部因素造成的直接或间接损失的风险。(3)美联储对操作风险的定义是由于违规操作、不完善的系统及欺诈造成的非预期性的损失。(4)目前来看,被大多数人认可的操作风险是指因为失灵或不完善的内部程序、人员、系统及外部事件所导致的损失。
(二)操作风险的内容分类
巴塞尔委员会依据银行损失事件的类型对操作风险进行了分类,其主要包括内部欺诈、外部欺诈、就业政策和工作场所安全、客户产品和业务操作、业务中断及系统失败、实体资产损坏、执行与流程管理等。
我国商业银行在结合国内实际情况的基础上对操作风险内容也做出了分类,主要分为内部因素和外部因素两大类。其中,内部因素包括操作失误、违法行为、流程设计不合理、关键人员流失等;外部因素包括外部欺诈、经营环境恶化等。
二、会计操作风险的定义及其主要风险点
(一)会计操作风险的定义
银行业几乎所有经营业务的运营都与会计有关,这使会计操作环节成为被关注的高风险区域。一般来说会计风险可划分为会计管理风险、会计系统风险与会计操作风险。我们在这里要探讨的会计操作风险就是指商业银行柜面业务及后台的会计综合管理中存在的风险。
(二)会计操作的主要风险点
随着业务品种在商业银行的不断增加,会计操作风险也不断地加大,其主要的潜在风险点体现在核算与结算风险、账户风险、授权风险、轮岗风险、金库管理风险、会计信息化风险等方面。
三、商业银行会计操作风险的成因分析
(一)组织结构与机构设置不合理
多年来,商业银行一直在延用一种纵向的、以分行为主的科层式组织架构,这种组织架构的特点是分行主导、分权管理,管理链条过长、信息传递不及时、分行的权力过大,行长负责制更是使各业务岗之间的彼此监督成了一种摆设。在这种环境下,绝对的权力就容易产生腐败的行为。
近年来,我国的会计操作风险案例多发生在基层分支机构,所以对基层营业机构的会计操作风险防范尤为重要。商业银行对此的认识不足,对基层会计操作风险的管理通常由内控合规部门负责。商业银行一般是一级分行以上内审部门来组织实施非现场审计,非现场审计系统也不能完全覆盖基层内审机构,基层分支机构会计操作风险管理职能不完善,总行对分行是不可能进行实时监督的,这就容易引发会计操作风险。
(二)人员的配置水平无法满足会计风险管理的要求
银行的工作多是由人来完成的,银行的制度和流程也是人去设计和执行的。操作风险和人员配置紧密相关,对人员管理不到位就容易产生道德风险和能力风险。在我国,很多的商业银行没有建立起一套科学的人员任用机制,特别是在选拔任用银行管理层方面,既没有对人员综合素质的评估过程,又没有完整的岗前培训,上级对干部使用的考察重能力、轻品德,重外部业务内力、轻内部管理能力,这就造成了潜在的风险。
另外,中小商业银行人员流动性大且储备不足,部分银行的业务增加量远远高于人员增长,造成了会计操作运营人员的缺失。过多银行强调网点柜员的压缩,而压缩却不能与网点的调整同步,人员、岗位矛盾越来越突出。过分强调减员增效,使网点人员不足,一人多岗、不相容职务不分离的情况时有出现,造成人员素质与岗位设置都难以符合风险控制的要求。
(三)会计操作风险的评估手段落后
我国商业银行会计操作风险要加强管理,必须要能够对每个机构会计操作风险水平做出客观的评价,但目前我国商业银行会计操作风险的评估手段还比较落后。
首先,我国商业银行可量化的综合评价指标不多,差别化管理难以实施,管理重点不能精确地定位。商业银行评价会计操作风险的体系还不成熟,管理者基本还是凭借主观经验来确定风险管理的重点,其客观性及准确性都较差,机构风险点的变化和管理水平不能及时反映,差别化管理遇到瓶颈。
其次,风险评估工作达不到会计操作风险控制的要求。新业务及金融工具的不断更新换代使会计操作风险不断增加,但内部控制风险评估工作的发展速度却落后于业务的更新,这就难以满足会计操作风险控制的要求,无法准确识别风险点,不能有针对性地警示员工,会计操作风险发生的概率大大增加。
(四)业务发展与风险控制出现矛盾
随着市场经济的发展,银行在市场上也面临着越来越激烈的竞争,这就使银行及分支机构极为关注绩效指标、存款贷款等市场指标。部分银行的管理层只重视业务发展,轻视风险控制,对会计操作风险可能给银行带来的危害认识不足,甚至出现了为取得业务发展而干预会计操作的情况。以牺牲原则为代价来获取客户,片面地强调市场业务的发展,必将导致违规操作的发生,业务发展与风险控制失去了平衡点。
存款与贷款的扩张完全以绩效为导向、存款任务指标与绩效奖金挂钩,这容易引发违规操作,导致内部风险控制失控。近年来的很多会计操作风险案例就是由于盲目揽储造成的,部分银行人员为了个人利益,将内部控制流程和制度抛于脑后,给商业银行经营造成的危害极大。
(五)内部审计缺乏有效性
我国商业银行的内部控制和监管制度并不缺乏,但这些制度在真正的执行过程中却被变通打破,有效性也就大大地降低了。商业银行内部审计缺乏有效性主要体现在缺乏内部审计应该具有的独立性和权威性、内部审计方法过于偏重事后监督、审计范围不够全面、不重视对高级管理人员的监督等方面。
四、防范商业会计操作风险的对策
(一)完善会计操作风险控制的组织架构
首先,公司法人治理结构必须合理,公司的股东大会、监事会、董事会的运作必须保持独立性,务必明确各位置的权力与职责,建立起各个机构相互制衡来管理银行的组织架构,权力、执行、监督、经营等机构要相互分离。银行管理机构要合理的行使各自的权利,保证银行内部各部门及员工各司其责、相互监督。
其次,会计操作风险全程检查体系要在银行内部建立起来。商业银行在进行内部控制体系设计及会计操作风险管理时,应该注意权利相互分离的原则,应建立分层次全程监督系统,对银行的经营活动进行事前、事中、事后的实时监督。
(二)形成内部控制文化,全面提高内控意识
会计操作风险是很难把握的,也确实较为复杂。在银行中要全面普及内控意识,内控文化的宣传对象也不仅仅是银行的管理人员,具体执行操作的银行普通员工也要覆盖到。银行内部员工只有提高自己的内控意识,才能更有助于银行的平稳发展。内控文化的传播目的就是要提升员工的能动性,使银行的运营更加稳健。
首先,银行内部不能仅仅注重银行业务量的增长,也要在内部树立起会计操作风险的内部控制意识。银行的管理层应该从全局把握会计操作风险,将风险始终控制在萌芽状态。
其次,在银行内部要明确会计操作风险的防范不仅仅是银行内审部门的工作,也关系到银行的管理层及银行的各个部门,各部门间应相互合作、彼此监督,共同规避可能发生的会计操作风险。
最后,要在企业内部形成一种防范会计操作风险的内控文化,银行的管理层要大力对这一文化建设给予支持,提升银行全员的内控意识。
(三)提高员工的综合素质,奠定会计操作风险管理的基础
要在银行内部建立培训机制,全面提高银行员工的政治素质、思想素质、道德品质、职业素养,提高专业知识及综合能力。
首先,要在银行内部大力宣传法制教育及职业道德教育。银行可通过先进事例报告、内控案例分析、内控知识竞赛、行业经验讲座等多种形式来强化会计人员、监察人员的职业道德,使银行员工有正确的价值观,让员工对法律法规与内部制度有一个更加深刻的认识。
其次,要强化会计人员的职业技能培训。银行内部要有针对性地对各个岗位进行适当、有效的培训,人员上岗必须有相关培训合规证书,切实做到岗前有培训、上岗有证书,改变原来老员工带新员工的教育办法,鼓励学习、鼓励创新。
(四)量化综合评价指标,实行差别化管理
选取一些内控措施重要环节的执行情况、内外部检查出的风险性问题等能反映会计风险控制状况的指标,将这些指标纳入风险评价体系,根据各个指标风险重要程度的不同来分别设定分值,然后根据综合分值对机构的风险防范水平做出全面的评价。对风险不同的机构,可以采取不同的管理措施,将管理精力向管理薄弱的机构倾斜,通过整改汇报、加强培训、跟踪验收等形式,改进其会计操作风险管理状态。
(五)建立银行内控的信息交流与反馈机制
首先,银行内部要实行信息化管理,信息数据均可联网体现,便于内部信息的实时获取,也便于发现问题及时向上级领导反映,从而进行及时的整改。
其次,信息管理员应该将信息进行及时的整理及提炼,形成有价值的信息平台,负责内控的人员获取相关信息后要完成风险分析,及时控制风险并有效减少风险。
(六)充分发挥审计在会计操作风险中的监督作用
要建立起独立的对董事会负责的内部审计部门,使审计职能更充分地发挥;通过网络技术采取非现场稽核手段对业务操作进行监督;重视内部审计的同时也要大力借助外部审计手段;审计部门要对各部分风险防范有一个系统的分析,建立全面风险预警体系及应对风险的预案。
参考文献: