论商业银行操作风险体系的构建
摘要:当前国内商业银行操作风险管理的治标之术层出,治本之策乏力。本文认为,商业银行要做好操作风险管理,必须变传统的操作风险管理“自上而下”模式为“自下而上”模式,借助科技之力,打造功能强大的操作风险管理平台,实现操作风险的动态管理与自我完善,才是商业银行操作风险的标本兼治之道。
关键词:商业银行;操作风险管理
正文:
当前,国内商业银行对操作风险的认识和管理依然停留在“案件防范”、“加强检查监督”的传统的“自上而下”的管理模式,防控的范围和重点依然定位于银行内外部的“欺诈性”违法行为和案件,对于来自银行内部的流程风险、系统风险、人员风险及银行外部事件风险的关注还不充分。本文认为,商业银行要做好操作风险管理,必须变传统的“自上而下”模式为“自下而上”模式,直接向一线人员征集风险信息,主动追踪、处理操作风险事件,借助科技之力,打造功能强大的操作风险管理平台,实现商业银行操作风险的动态管理与自我完善。
一、商业银行操作风险定义及分类
商业银行所面临的风险主要可分为信用风险、市场风险、操作风险三类。巴塞尔监管委员会在《巴塞尔新资本协议》中指出,操作风险是由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。其中:流程因素引起的操作风险,主要是指业务运管过程中由于管理体制和制度的缺失、以及制度漏洞所造成的操作风险;人员因素引起的操作风险,泛指在商业银行内部所有由于人员方面的原因给业务操作带来的风险。具体到业务运行工作当中,可以分为操作失误风险、违法行为风险以及核心人员流失带来的风险;系统因素引起的操作风险,主要是核心系统、周边系统自身或系统之间,因设计缺陷或其他原因导致的直接或间接风险,分为系统漏洞风险和系统失灵风险这两个方面;外部事件引起的操作风险,主要是指因外部欺诈、突发事件以及银行经营环境的不利变化等情况的冲击,导致银行发生直接或间接损失的风险。 巴塞尔委员会将典型的操作风险事件分为七大类:一是内部欺诈事件,指故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失事件,此类事件至少涉及内部一方,但不包括歧视及差别待遇事件。二是外部欺诈事件,指第三方故意骗取、盗用、抢劫财产、伪造要件、攻击商业银行信息科技系统或逃避法律监管导致的损失事件。三是就业制度和工作场所安全事件,指违反就业、健康或安全方面的法律或协议,个人工伤赔付或者因歧视及差别待遇导致的损失事件。四是客户、产品和业务活动事件,指因未按有关规定造成未对特定客户履行份内义务(如诚信责任和适当性要求)或产品性质或设计缺陷导致的损失事件。五是实物资产的损坏,指因自然灾害或其他事件(如恐怖袭击)导致实物资产丢失或毁坏的损失事件。六是信息科技系统事件,指因信息科技系统生产运行、应用开发、安全管理以及由于软件产品、硬件设备、服务提供商等第三方因素,造成系统无法正常办理业务或系统速度异常所导致的损失事件。七是执行、交割和流程管理事件,指因交易处理或流程管理失败,以及与交易对手方、外部供应商及销售商发生纠纷导致的损失事件。
二、国内商业银行操作风险管理存在的问题
目前,国内商业银行对操作风险的认识和管理还停留在较为肤浅的层次,完整有效的操作风险管理体系框架尚未建立,即使是计划实施新资本协议的商业银行,其操作风险管理的思路亦不例外:识别(根据监管分类列出操作风险事件类型)、评估(定期进行操作风险自我评估)、计量(损失数据收集)、控制(根据自我评估存在的问题并进行纠正)、监测(审计部门持续监测)。但是,按照上述思路进行操作风险管理,实际效果却不尽理想,其主要原因在于:
一是操作风险识别“以点概面”。操作风险点无所不在、数量庞大、层出不穷,现有的分类其实只是沧海一粟。理论上说,操作风险点当然是可以动态扩张的,但由于局部私利、信息不对称、操作风险隐蔽性等原因,不可能全部列出。商业银行要管理好操作风险,应做到“实时报告蚁穴状况,确保有及时足够的沙袋堵住漏洞”。
二是操作风险控制“职责不清”、“执行不力”。由于操作风险涉及面广,风险类型复杂,专业能力要求较高,目前国内商业银行操作风险模式实际上多为各职能部门分散管理,有些银行虽声称将操作风险纳入全面风险管理统一管理,实际上全面风险管理部门仅是进行形式上的牵头管理,实际管理职责仍落相关职能部门。涉及人员的操作风险主要由人力资源部管理, 涉及系统的操作风险主要由科技部门管理, 涉及外部事件的操作风险主要由安全保卫、后勤服务等部门管理, 涉及流程的操作风险由各所有业务及管理部门共同管理。各职能部门既是制度的制定者,又是制度的执行者,导致政出多门、各自为政。
三是操作风险监测“形同虚设”。国内商业银行风险监测工作主要由审计部门或是风险部门负责,风险监测主要依靠各级风险监测人员的经验和直觉,往往是发生案件后,才开始突击检查、查找漏洞、处理有关责任人,风险监测人员主动
发现风险的能力不强,被动式、运动式、临时性的监测活动占据主流。此外,由于考核激励机制的原因,部分银行分支机构对大量损失较小的操作风险采取“就地消化”的策略,对损失较大的操作风险采取“过滤加工”的策略,形成“隐瞒文化”,导致操作风险信息在银行内部不能真实、全面、及时上传,风险监测形同虚设。
三、商业银行操作风险体系的构建
操作风险实际上是一种全流程风险,只要有业务、有行动,就会存在人员误操作或流程设计不当或系统出错等风险,而且,操作风险还会随着业务的发展而实时变化。操作风险的这种特性,决定了商业银行过去的那种“自上而下”的管理,天然是一种“低效管理”。因此,商业银行要做好操作风险管理,必须变传统的“自上而下”管理为“自下而上”管理。真实的风险信息,最权威、最及时、最有效的来源途径,一定是直接接触业务、直接接触客户的人员,商业银行应将操作风险管理扁平化,直接向商业银行所有个体员工采集操作风险信息,主动追踪、处理操作风险事件。商业银行操作风险管理系统各个组成模块具体要求如下:
(一)操作风险信息收集
商业银行应打造功能强大的操作风险管理平台,对全行所有人员开放,允许任何与工作相关的不满意见或完善建议,直接在意见建议中心提交。这些意见建议经过后续的筛选、处理、反馈、固化流程,为商业银行自我完善提供源源不断的动力。提交信息人员可自由选择实名或匿名两种方式,系统应默认匿名方式,以保护信息提交人员的人身安全,防止打击报复。提交信息人员应填写基本信息,必填项包括:姓名、银行卡号。其中:商业银行应确保“姓名”项真实,以防止恶意人身攻击、无中生有的举报等,但是,商业银行应确保操作风险信息系统中的个人资料绝对保密。
(二)操作风险信息有效性判断
商业银行应在总行风险管理部设置操作风险管理岗对风险信息进行有效性判断,过滤掉与工作无关的、已处理过的风险信息,将有价值信息转入处理流程。操作风险管理系统应内置即时通讯工具,对信息提交者未表述明确的风险信息进行沟通明确。总行风险管理部门设置操作风险岗应判断风险信息职责所属,交主办部门或相关分支机构处理,并应将风险信息进行分类,为后续统计分析、风险评估作准备。
(三)操作风险事件处理
接受交办的机构提出处理或整改意见,交具体经办处理;具体经办经机构负责人同意后及时填写处理结果。系统设置办理时间提醒,具体经办人员每隔4小时/8小时/24小时/48小时收到办理时间提醒,超过48小时收到催办提醒。若接受交办的机构对部门职责有异议,认为不应由其主办的,应说明理由,并转办相关部门。若转办部门不明确或有争议的,提交商业银行机构职责管理部门裁定,若仍不明确或有争议的,提交行领导裁定。
上述处理流程均应公开透明,借助公众的监督评价,可以切实提高相关处理人员及机构的重视程度,确保处理的效率及质量,杜绝敷衍了事、推诿拖沓的现象。
(四)操作风险处理情况跟踪
主办部门应根据处理情况,及时提交处理进度汇报;若在设定的时限内,主办部门未反馈处理情况的,操作风险管理系统应自动发送催办函件,若催办后一定时限仍未得到反馈意见的,操作风险管理系统应定期生成未及时处理项目名单,由操作风险管理岗联系主办部门确认情况,有必要的,可提交上级领导反映情况。
商业银行应为优秀的建议意见设立专项资金,根据建议意见的质量,对意见提出者进行物质奖励,只要是对商业银行流程优化、制度完善、增收减损有帮助的建议意见,均应得到物质奖励;商业银行操作风险系统应与网银系统自动响应,操作风险系统应每日对得到物质奖励的员工进行批量自动划帐,并进行奖励提示,以提高员工贡献建议意见的积极性。
(五)操作风险处理情况评价
主办机构处理结果在系统中实时展现,商业银行所有人员均有评价权,但一名人员仅允许体现一个评价结果,评价结果可修改。处理情况评价:时效(快/中等/慢)、效果(好/一般/差)、满意度(满意/一般/不满),系统自动计算时效、效果、满意度比例。根据满意度不同采取不同处理结果。例如满意度达到80%的,作办结处理,满意度低于20%的,发回原主办机构重办;重办后仍达不到办结标准的,提交上级领导裁定。与部门考评挂钩。考虑到管理职责越多,被提出意见的可能性越大(例如:风险管理部门),管理职责少的部门,被提出意见的可能性较小(例如:机关工会)。因此,在进行部门考评时,应区分部门类型进行差别考核(例如:分类为前台营销部门、中台管理部门、后台支持部门),主要考核满意度指标,同时,对业务量较大的机构适当给予加分。
(六)操作风险成果运用
商业银行意见建议的主办机构对意见建议的处理,不应就事论事、简单整改了事,而应举一反三,根据风险处理结果修正现有流程或制度,达到业务流程不断优化、政策制度适时调整、操作规范简明展现的目的。因此,操作风险管理平台应设置“操作规范中心”,该中心包括“制度系统”及“操作系统”,根据改进建议形成良性映射,不断循环优化。 操作规范中心应内嵌“制度系统”,提供制度查询、制度制定及制度修订功能,主办机构对建议意见进行处理,形成处理方案后,需要以制度形式对管理要求进行固化的,可直接在制度系统中申请制度局部更替或是起草新的管理制度,经有权人批准后,系统自动将新旧制度进行替换,确保制度查询人员在系统中查询到的是最新有效的制度及管理要求。 “制度系统”应配合“操作系统”使用,将零散、分割的制度转化为流程化、完整的管理要求,每个岗位的工作人员仅需输入岗位名称,系统就自动提示岗位职责、操作规范、风控要点。主办机构修订或制定制度后,即应同步更新操作系统,确保系统展示的管理要求、操作规范实时有效。
(七)操作风险事件后台分析处理
1. 操作风险事件库管理。操作风险种类繁多,为实现操作风险的针对性管理,商业银行可参考巴塞尔协议损失事件类型,对操作风险进行三级细分,确保所有风险信息对应的风险问题得到准确分类。由于操作风险事件繁杂、操作风险分类需要统一标准,分类专业性要求较高,因此,该项分类工作应由总行操作风险管理岗负责。商业银行进行操作风险分类后,将能够直观展现商业银行操作风险薄弱环节,为商业银行针对性加强相关领域操作风险管理,提供明确指向。
2. 操作风险评估。商业银行应定期评估银行操作风险情况,提交总行决策管理层审议,为管理层采取操作风险控制措施、配置操作风险管理资源提供决策依据。具体做到:
(1)风险状况评价:总行操作风险职能机构应定期评价商业银行操作风险状况,揭示银行操作风险整体情况、主要风险源及风险的发展趋势、值得关注的风险点等,使得总行决策管理层清楚知道银行操作风险状况及薄弱环节,为制定实施有效的操作风险的控制策略提供支持。
(2)修正情况报告:报告操作风险控制成效,包括:一段时间内收集操作风险信息数量及同比变化情况,操作风险事件整改数量及进程,挽回损失金额或优化流程效果评价,操作风险事件整改相应调整商业银行基础制度、操作流程的数量及情况等。
(3)管理措施评价:分析风险事件所映射的流程环节及暴露的控制薄弱点、评价操作风险主办机构操作风险控制措施的主动性、有效性、效率及效果、报告操作风险事件整改的员工满意度及整改不力的原因分析与解决方案建议等。
3. 操作风险计量。商业银行应根据银监会《商业银行操作风险监管资本计量指引》,建立全行性的操作风险关键监测指标,例如:“内部欺诈事件数”、“外部违规事件发生率”、“操作风险损失率”和“综合人均发案率”、“百万元以上案件发案件数”,对操作风险事件进行分析跟踪,一旦发现关键风险指标异动,应立即采取针对性的措施,追查异动深层次原因,加强相关领域操作风险的关注及防控。
为明确展现商业银行操作风险造成的损失及挽回损失情况,商业银行应对损失及损失挽回数据进行统计。应责成操作风险事件责任部门,按规范性要求统计风险损失金额及风险挽回金额,损失事件一经发生,均需纳入统计。
四、商业银行操作风险管理展望
虽然操作风险事件纷繁复杂,但管理并非没有规律可循,关键是要从业务和管理实际出发,透过现象看本质。无论是业务差错、产品缺陷,还是违规操作、贪污受贿,都是操作风险事件的表现形式,核心问题都是业务流程或制度的完善。由于业务流程及制度渗透到银行的方方面面,要真正完善好业务流程及制度,商业银行应该鼓励操作风险问题的暴露和纠正。实际上,任何个体都不会独立存在,任何行动也都会与他人产生联系,操作风险事件一般都会或多或少地被他人员获知。如果这些风险苗头、风险信息能够及时传导到操作风险管理机构,并在公众的监督下得到有效控制或整改,那么,势必将消灭数量众多的操作风险,大大减少商业银行的操作风险损失。展望未来,若国内银行业金融机构能够打造高效实用的操作风险管理平台,以“自下而上”思维管理操作风险,就一定能够实现操作风险的动态管理,实现商业银行操作风险的标本兼治。
参考文献:
[1]巴塞尔银行监管委员会.巴塞尔银行监管委员会文献汇编[M].北京:中国金融出版社,2002.
[2]宋懿,赵琳. 国有商业银行操作风险成因及对策分析[J].齐鲁珠坛, 2010,(3) .
[3]徐学锋.商业银行操作风险管理现状及建议[J]. 武汉金融,2009,(2)
论商业银行操作风险体系的构建
摘要:当前国内商业银行操作风险管理的治标之术层出,治本之策乏力。本文认为,商业银行要做好操作风险管理,必须变传统的操作风险管理“自上而下”模式为“自下而上”模式,借助科技之力,打造功能强大的操作风险管理平台,实现操作风险的动态管理与自我完善,才是商业银行操作风险的标本兼治之道。
关键词:商业银行;操作风险管理
正文:
当前,国内商业银行对操作风险的认识和管理依然停留在“案件防范”、“加强检查监督”的传统的“自上而下”的管理模式,防控的范围和重点依然定位于银行内外部的“欺诈性”违法行为和案件,对于来自银行内部的流程风险、系统风险、人员风险及银行外部事件风险的关注还不充分。本文认为,商业银行要做好操作风险管理,必须变传统的“自上而下”模式为“自下而上”模式,直接向一线人员征集风险信息,主动追踪、处理操作风险事件,借助科技之力,打造功能强大的操作风险管理平台,实现商业银行操作风险的动态管理与自我完善。
一、商业银行操作风险定义及分类
商业银行所面临的风险主要可分为信用风险、市场风险、操作风险三类。巴塞尔监管委员会在《巴塞尔新资本协议》中指出,操作风险是由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。其中:流程因素引起的操作风险,主要是指业务运管过程中由于管理体制和制度的缺失、以及制度漏洞所造成的操作风险;人员因素引起的操作风险,泛指在商业银行内部所有由于人员方面的原因给业务操作带来的风险。具体到业务运行工作当中,可以分为操作失误风险、违法行为风险以及核心人员流失带来的风险;系统因素引起的操作风险,主要是核心系统、周边系统自身或系统之间,因设计缺陷或其他原因导致的直接或间接风险,分为系统漏洞风险和系统失灵风险这两个方面;外部事件引起的操作风险,主要是指因外部欺诈、突发事件以及银行经营环境的不利变化等情况的冲击,导致银行发生直接或间接损失的风险。 巴塞尔委员会将典型的操作风险事件分为七大类:一是内部欺诈事件,指故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失事件,此类事件至少涉及内部一方,但不包括歧视及差别待遇事件。二是外部欺诈事件,指第三方故意骗取、盗用、抢劫财产、伪造要件、攻击商业银行信息科技系统或逃避法律监管导致的损失事件。三是就业制度和工作场所安全事件,指违反就业、健康或安全方面的法律或协议,个人工伤赔付或者因歧视及差别待遇导致的损失事件。四是客户、产品和业务活动事件,指因未按有关规定造成未对特定客户履行份内义务(如诚信责任和适当性要求)或产品性质或设计缺陷导致的损失事件。五是实物资产的损坏,指因自然灾害或其他事件(如恐怖袭击)导致实物资产丢失或毁坏的损失事件。六是信息科技系统事件,指因信息科技系统生产运行、应用开发、安全管理以及由于软件产品、硬件设备、服务提供商等第三方因素,造成系统无法正常办理业务或系统速度异常所导致的损失事件。七是执行、交割和流程管理事件,指因交易处理或流程管理失败,以及与交易对手方、外部供应商及销售商发生纠纷导致的损失事件。
二、国内商业银行操作风险管理存在的问题
目前,国内商业银行对操作风险的认识和管理还停留在较为肤浅的层次,完整有效的操作风险管理体系框架尚未建立,即使是计划实施新资本协议的商业银行,其操作风险管理的思路亦不例外:识别(根据监管分类列出操作风险事件类型)、评估(定期进行操作风险自我评估)、计量(损失数据收集)、控制(根据自我评估存在的问题并进行纠正)、监测(审计部门持续监测)。但是,按照上述思路进行操作风险管理,实际效果却不尽理想,其主要原因在于:
一是操作风险识别“以点概面”。操作风险点无所不在、数量庞大、层出不穷,现有的分类其实只是沧海一粟。理论上说,操作风险点当然是可以动态扩张的,但由于局部私利、信息不对称、操作风险隐蔽性等原因,不可能全部列出。商业银行要管理好操作风险,应做到“实时报告蚁穴状况,确保有及时足够的沙袋堵住漏洞”。
二是操作风险控制“职责不清”、“执行不力”。由于操作风险涉及面广,风险类型复杂,专业能力要求较高,目前国内商业银行操作风险模式实际上多为各职能部门分散管理,有些银行虽声称将操作风险纳入全面风险管理统一管理,实际上全面风险管理部门仅是进行形式上的牵头管理,实际管理职责仍落相关职能部门。涉及人员的操作风险主要由人力资源部管理, 涉及系统的操作风险主要由科技部门管理, 涉及外部事件的操作风险主要由安全保卫、后勤服务等部门管理, 涉及流程的操作风险由各所有业务及管理部门共同管理。各职能部门既是制度的制定者,又是制度的执行者,导致政出多门、各自为政。
三是操作风险监测“形同虚设”。国内商业银行风险监测工作主要由审计部门或是风险部门负责,风险监测主要依靠各级风险监测人员的经验和直觉,往往是发生案件后,才开始突击检查、查找漏洞、处理有关责任人,风险监测人员主动
发现风险的能力不强,被动式、运动式、临时性的监测活动占据主流。此外,由于考核激励机制的原因,部分银行分支机构对大量损失较小的操作风险采取“就地消化”的策略,对损失较大的操作风险采取“过滤加工”的策略,形成“隐瞒文化”,导致操作风险信息在银行内部不能真实、全面、及时上传,风险监测形同虚设。
三、商业银行操作风险体系的构建
操作风险实际上是一种全流程风险,只要有业务、有行动,就会存在人员误操作或流程设计不当或系统出错等风险,而且,操作风险还会随着业务的发展而实时变化。操作风险的这种特性,决定了商业银行过去的那种“自上而下”的管理,天然是一种“低效管理”。因此,商业银行要做好操作风险管理,必须变传统的“自上而下”管理为“自下而上”管理。真实的风险信息,最权威、最及时、最有效的来源途径,一定是直接接触业务、直接接触客户的人员,商业银行应将操作风险管理扁平化,直接向商业银行所有个体员工采集操作风险信息,主动追踪、处理操作风险事件。商业银行操作风险管理系统各个组成模块具体要求如下:
(一)操作风险信息收集
商业银行应打造功能强大的操作风险管理平台,对全行所有人员开放,允许任何与工作相关的不满意见或完善建议,直接在意见建议中心提交。这些意见建议经过后续的筛选、处理、反馈、固化流程,为商业银行自我完善提供源源不断的动力。提交信息人员可自由选择实名或匿名两种方式,系统应默认匿名方式,以保护信息提交人员的人身安全,防止打击报复。提交信息人员应填写基本信息,必填项包括:姓名、银行卡号。其中:商业银行应确保“姓名”项真实,以防止恶意人身攻击、无中生有的举报等,但是,商业银行应确保操作风险信息系统中的个人资料绝对保密。
(二)操作风险信息有效性判断
商业银行应在总行风险管理部设置操作风险管理岗对风险信息进行有效性判断,过滤掉与工作无关的、已处理过的风险信息,将有价值信息转入处理流程。操作风险管理系统应内置即时通讯工具,对信息提交者未表述明确的风险信息进行沟通明确。总行风险管理部门设置操作风险岗应判断风险信息职责所属,交主办部门或相关分支机构处理,并应将风险信息进行分类,为后续统计分析、风险评估作准备。
(三)操作风险事件处理
接受交办的机构提出处理或整改意见,交具体经办处理;具体经办经机构负责人同意后及时填写处理结果。系统设置办理时间提醒,具体经办人员每隔4小时/8小时/24小时/48小时收到办理时间提醒,超过48小时收到催办提醒。若接受交办的机构对部门职责有异议,认为不应由其主办的,应说明理由,并转办相关部门。若转办部门不明确或有争议的,提交商业银行机构职责管理部门裁定,若仍不明确或有争议的,提交行领导裁定。
上述处理流程均应公开透明,借助公众的监督评价,可以切实提高相关处理人员及机构的重视程度,确保处理的效率及质量,杜绝敷衍了事、推诿拖沓的现象。
(四)操作风险处理情况跟踪
主办部门应根据处理情况,及时提交处理进度汇报;若在设定的时限内,主办部门未反馈处理情况的,操作风险管理系统应自动发送催办函件,若催办后一定时限仍未得到反馈意见的,操作风险管理系统应定期生成未及时处理项目名单,由操作风险管理岗联系主办部门确认情况,有必要的,可提交上级领导反映情况。
商业银行应为优秀的建议意见设立专项资金,根据建议意见的质量,对意见提出者进行物质奖励,只要是对商业银行流程优化、制度完善、增收减损有帮助的建议意见,均应得到物质奖励;商业银行操作风险系统应与网银系统自动响应,操作风险系统应每日对得到物质奖励的员工进行批量自动划帐,并进行奖励提示,以提高员工贡献建议意见的积极性。
(五)操作风险处理情况评价
主办机构处理结果在系统中实时展现,商业银行所有人员均有评价权,但一名人员仅允许体现一个评价结果,评价结果可修改。处理情况评价:时效(快/中等/慢)、效果(好/一般/差)、满意度(满意/一般/不满),系统自动计算时效、效果、满意度比例。根据满意度不同采取不同处理结果。例如满意度达到80%的,作办结处理,满意度低于20%的,发回原主办机构重办;重办后仍达不到办结标准的,提交上级领导裁定。与部门考评挂钩。考虑到管理职责越多,被提出意见的可能性越大(例如:风险管理部门),管理职责少的部门,被提出意见的可能性较小(例如:机关工会)。因此,在进行部门考评时,应区分部门类型进行差别考核(例如:分类为前台营销部门、中台管理部门、后台支持部门),主要考核满意度指标,同时,对业务量较大的机构适当给予加分。
(六)操作风险成果运用
商业银行意见建议的主办机构对意见建议的处理,不应就事论事、简单整改了事,而应举一反三,根据风险处理结果修正现有流程或制度,达到业务流程不断优化、政策制度适时调整、操作规范简明展现的目的。因此,操作风险管理平台应设置“操作规范中心”,该中心包括“制度系统”及“操作系统”,根据改进建议形成良性映射,不断循环优化。 操作规范中心应内嵌“制度系统”,提供制度查询、制度制定及制度修订功能,主办机构对建议意见进行处理,形成处理方案后,需要以制度形式对管理要求进行固化的,可直接在制度系统中申请制度局部更替或是起草新的管理制度,经有权人批准后,系统自动将新旧制度进行替换,确保制度查询人员在系统中查询到的是最新有效的制度及管理要求。 “制度系统”应配合“操作系统”使用,将零散、分割的制度转化为流程化、完整的管理要求,每个岗位的工作人员仅需输入岗位名称,系统就自动提示岗位职责、操作规范、风控要点。主办机构修订或制定制度后,即应同步更新操作系统,确保系统展示的管理要求、操作规范实时有效。
(七)操作风险事件后台分析处理
1. 操作风险事件库管理。操作风险种类繁多,为实现操作风险的针对性管理,商业银行可参考巴塞尔协议损失事件类型,对操作风险进行三级细分,确保所有风险信息对应的风险问题得到准确分类。由于操作风险事件繁杂、操作风险分类需要统一标准,分类专业性要求较高,因此,该项分类工作应由总行操作风险管理岗负责。商业银行进行操作风险分类后,将能够直观展现商业银行操作风险薄弱环节,为商业银行针对性加强相关领域操作风险管理,提供明确指向。
2. 操作风险评估。商业银行应定期评估银行操作风险情况,提交总行决策管理层审议,为管理层采取操作风险控制措施、配置操作风险管理资源提供决策依据。具体做到:
(1)风险状况评价:总行操作风险职能机构应定期评价商业银行操作风险状况,揭示银行操作风险整体情况、主要风险源及风险的发展趋势、值得关注的风险点等,使得总行决策管理层清楚知道银行操作风险状况及薄弱环节,为制定实施有效的操作风险的控制策略提供支持。
(2)修正情况报告:报告操作风险控制成效,包括:一段时间内收集操作风险信息数量及同比变化情况,操作风险事件整改数量及进程,挽回损失金额或优化流程效果评价,操作风险事件整改相应调整商业银行基础制度、操作流程的数量及情况等。
(3)管理措施评价:分析风险事件所映射的流程环节及暴露的控制薄弱点、评价操作风险主办机构操作风险控制措施的主动性、有效性、效率及效果、报告操作风险事件整改的员工满意度及整改不力的原因分析与解决方案建议等。
3. 操作风险计量。商业银行应根据银监会《商业银行操作风险监管资本计量指引》,建立全行性的操作风险关键监测指标,例如:“内部欺诈事件数”、“外部违规事件发生率”、“操作风险损失率”和“综合人均发案率”、“百万元以上案件发案件数”,对操作风险事件进行分析跟踪,一旦发现关键风险指标异动,应立即采取针对性的措施,追查异动深层次原因,加强相关领域操作风险的关注及防控。
为明确展现商业银行操作风险造成的损失及挽回损失情况,商业银行应对损失及损失挽回数据进行统计。应责成操作风险事件责任部门,按规范性要求统计风险损失金额及风险挽回金额,损失事件一经发生,均需纳入统计。
四、商业银行操作风险管理展望
虽然操作风险事件纷繁复杂,但管理并非没有规律可循,关键是要从业务和管理实际出发,透过现象看本质。无论是业务差错、产品缺陷,还是违规操作、贪污受贿,都是操作风险事件的表现形式,核心问题都是业务流程或制度的完善。由于业务流程及制度渗透到银行的方方面面,要真正完善好业务流程及制度,商业银行应该鼓励操作风险问题的暴露和纠正。实际上,任何个体都不会独立存在,任何行动也都会与他人产生联系,操作风险事件一般都会或多或少地被他人员获知。如果这些风险苗头、风险信息能够及时传导到操作风险管理机构,并在公众的监督下得到有效控制或整改,那么,势必将消灭数量众多的操作风险,大大减少商业银行的操作风险损失。展望未来,若国内银行业金融机构能够打造高效实用的操作风险管理平台,以“自下而上”思维管理操作风险,就一定能够实现操作风险的动态管理,实现商业银行操作风险的标本兼治。
参考文献:
[1]巴塞尔银行监管委员会.巴塞尔银行监管委员会文献汇编[M].北京:中国金融出版社,2002.
[2]宋懿,赵琳. 国有商业银行操作风险成因及对策分析[J].齐鲁珠坛, 2010,(3) .
[3]徐学锋.商业银行操作风险管理现状及建议[J]. 武汉金融,2009,(2)