兇悍的操作風險怎么搞垮銀行

作者:俞勇 日期:2016-03-07 18:36:49

從1995年,英國的外匯交易員里森(Nick Leeson)的違規操作導致巴林銀行(Barings Bank)破產,到2013年,中國的招商銀行計算機系統故障導致全國交易短暫暫停使得大量客戶蒙受巨大損失……國內外商

 
 

從1995年,英國的外匯交易員里森(Nick Leeson)的違規操作導致巴林銀行(Barings Bank)破產,到2013年,中國的招商銀行計算機系統故障導致全國交易短暫暫停使得大量客戶蒙受巨大損失……國內外商業銀行的日常經營一直為我們敲響操作風險的警鐘!

 

著名的法興銀行弊案前后,商業銀行操作風險事件一直不勝枚舉。從1995年,英國的外匯交易員里森(Nick Leeson)的違規操作導致巴林銀行(Barings Bank)破產,到2001年UBS(瑞銀)交易事件中一位交易員把“每股61萬日圓,賣出16股”打成“每股16日圓,賣出61萬股”,幾秒鐘內使公司損失7100萬英鎊,再到2010年,中國齊魯銀行被外部人員詐騙,涉案金額高達101億元人民幣,以及2013年,招商銀行計算機系統故障導致全國交易短暫暫停使得大量客戶蒙受巨大損失……國內外商業銀行的日常經營已歷經的各種操作風險,提醒我們時刻敲響操作風險的警鐘。

 

國際銀行業的風險管理實踐表明,有怎樣的風險認識,決定了有怎樣的風險管理水平。對于操作風險,我國商業銀行研究起步較晚,管理水平不高,而隨著高新科技在銀行業的發展、產品創新頻率的加快等內外部環境的變化,我國銀行業中誘發操作風險的因素越來越多,操作風險事件越來越密集地發生,并給整個銀行業帶來巨大損失。在這一領域,當務之急是界定商業銀行操作風險的內涵、特征及分類,并分析其表現形式,研究其產生的內外部原因,并科學有效度量操作風險,在此基礎上提高操作風險管理水平。

 

無處不在的操作風險

 

 

操作風險事件幾乎每天都在銀行業內發生。簡單來說,銀行只要開門營業,就會面臨各種由于人員、流程、系統及外部環境沖擊所帶來的風險。例如,客戶的欺詐、偽造、糾紛等風險,內部人員越權、勾結、差錯、盜竊的風險,以及系統宕機、產品瑕疵、管理不當的風險。

 

商業銀行操作風險涉及商業銀行的每一項業務及其相關人員,這也是其同信用風險、市場風險的主要區別。事實上,在商業銀行面臨的三大風險中,影響并危及銀行運營的最主要風險即是操作風險。只是由于對于操作風險的認識較為模糊,加之對如何系統性地進行管理尚無經驗可循,操作風險管理經常被管理者有意或無意地“忽視”著。

 

對操作風險進行準確、合理的界定是建立完善、有效的操作風險管理體系的前提和基礎。2004年,巴塞爾銀行監管委員會(BCBS)對商業銀行的操作風險作出了明確界定,即操作風險是指由不完善或失靈的內部程序、人員及系統或外部事件而導致的銀行直接或間接損失的風險。2012年,中國銀監會提出,操作風險是指由不完善或有問題的內部程序、員工和信息科技系統,以及外部事件所造成損失的風險,包括法律風險,但不包括策略風險和聲譽風險。

 

在我國,總結來看,商業銀行觸發操作風險事件的誘因有銀行內部人員業務差錯、欺詐或違規操作(如員工私賣理財產品使得銀行受到控訴,利用看管金庫的職務便利盜取金庫資金使得銀行蒙受大額損失)、電子信息系統設計存在漏洞或系統癱瘓及業務停辦)、貪污受賄等,也有不可抗力的外部事件(諸如汶川地震等導致2008年銀行業遭受凈損失50億~130億人民幣);其包括銀行經營管理所有方面的不同風險,既包括發生頻率低、但可能導致較高損失的意外事件等,也包括那些發生頻率高、但可能造成較低損失的日常業務流程處理方面。

 

操作風險管理有多重價值

 

 

在目睹國內外金融行業陸續發生的諸多觸目驚心的重大操作風險事件后,國內金融業逐漸意識到實施操作風險管理工作的必要性和緊迫性。單以招商銀行系統性故障引發的操作風險事件為例,可以看出,高科技的運用將人工操作帶來的風險轉變為影響范圍更廣的系統性風險。我們還可以觀察到,金融創新的出現會對銀行的人員素質、系統和業務流程提出更高的要求,任何的疏漏都可能會給銀行帶來高額損失。如果銀行的流程管理和內控體制還停留在原地不動,激發的操作風險事件將不斷出現。

 

在操作風險損失預防與控制之外,操作風險管理另有三個更深層面的目的和意義:

 

首先,從監管達標的角度來看,巴塞爾委員會編制的“巴塞爾新資本協議”明確提出了操作風險組織架構、政策、工具、流程和報告路線方面的監管要求,中國銀監會也在2012年6月發布了《商業銀行資本管理辦法(試行)》,對這一監管要求作出了承接與細化,并要求在2018年前要達標。

 

其次,從成本效益角度來講,在可以承受的資源投入條件下,將操作風險可能造成的損失降低到管理者的風險容忍之內,簡單講就是不干虧本的買賣,要實現風險管理的效益大于成本投入。

 

最后,從內部管理提升需求來看,可通過操作風險管理將一套思路、方式、手段、工具與既有的內部控制體系相結合,形成一體化建設的整合模式,提升風險管理文化、建立風險偏好、完善企業治理架構,達到“1+1>2”的效果。

 

操作風險管理還有更加長遠的目的和意義。比如,從風險資本計提的角度來說,在操作風險高級計量法的框架下,通過計量工具精細量化操作風險,可有效降低操作風險計提資本,從而釋放資金以提升銀行的業務發展動能。再比如,實施操作風險管理可作為資本分配和考核的核心基礎,可在此基礎上建立收益與風險掛鉤的資本計量體系,并應用在資本分配、績效考核中,以使公司的風險/收益最大化。

 

有效運用操作風險管理三大工具

 

 

操作風險在管理上有許多困難。系統癱瘓,業務停辦,造成客戶與企業的損失;員工監守自盜;產品營銷不當;交易超過公司內的規定限額;交易錯誤……以上均屬操作風險。但實踐中,我們一直認為企業自身人員素質佳、風控意識強、制度健全,其他企業發生的操作風險事件在本企業絕對不會發生。

 

以上觀點顯然是錯誤的,而深入探究原因,一方面,操作風險涉及范圍太廣,難以管理:操作風險多源自內部問題,一般“家丑不外揚”,而且很難收集到大量資料;不同機構所面臨的操作風險不同,一些既成的操作風險管理經驗無法一體化適用;引發操作風險的原因與損失的概率、規模之間很難建立起關聯性;大型且危及生存的操作風險事件并不常見,大多數可能的操作風險事件,在大部分銀行的歷史上從未發生。另一方面,常見的操作風險的管理思路、方式、手段、工具以及與之配套的管理信息系統仍處于初級階段,對其的計量更是不同于信用風險與市場風險,難以用風險概率分布方式進行量化。

 

新資本管理協議提供了操作風險管理的三大工具,包括“風險控制與自我評估(RCSA)、關鍵風險指標(KRI)和損失數據庫(LDC)三大操作風險管理工具,要求商業銀行應當評估各業務條線的操作風險暴露金額與頻率,并系統性地收集、跟蹤和分析與操作風險相關的數據。此外,在此基礎上建立操作風險評估機制,將風險評估整合入業務處理流程,引入操作風險和控制自我評估或其他評估工具。定期評估主要業務條線的操作風險,并將評估結果應用到風險考核、流程優化和風險報告中。與此同時,通過建立關鍵風險指標體系,及時監測相關指標,并明確指標突破閾值情況的處理流程,積極開展風險預警管控。

 

具體而言,風險控制與自我評估(RCSA)是指企業內部為實現控制風險目標,而對內部控制體系的有效性和恰當性實施自我評估的方法。RCSA的結果會形成風險熱圖,作橫向(同業)和縱向(業務條線)的對比。對剩余風險較高的業務條線或機構,管理層會按此制定合適的風險管理機制,包括對風險較高的業務規模進行規劃、強化風險管理措施、采取風險緩釋手段去降低風險可能帶來的影響。

 

RCSA的工作方法:關注業務流程和控制成效,由業務部門以及操作風險管理部門共同進行。操作風險職能人員和業務流程具體執行人員全體參與,用系統化的工作方法開展評估活動。例如:各職能人員與被評估單位管理人員組成一個小組,對部門/條線風險控制的恰當性和有效性進行評估,然后跟據評估和集體討論的結構,提出改進建議并出具報告,最后由管理者實施。RCSA需要定期進行重檢。如有新增業務或原有流程的變更,需要及時更新。

 

關鍵風險指標(KRI)分為企業級指標和業務指標:企業級指標適用跟據業務共同特點制定,如員工離職率、IT錯誤率等。業務指標跟據各個業務部門特點分別制定。通過評估、選擇和設計相應的關鍵風險指標,提供對風險敞口、風險管理和控制有效性的洞察工具,作為預警信號監控和跟蹤潛在風險和銀行預定的控制問題。同時關鍵風險因子表的選擇可以驅動潛在損失的收集。KRI的工作方法:由業務部門以及操作風險管理部門共同進行,針對銀行業務流程中的風險點,共同探討關鍵風險指標。指標的制定應考慮數據的可獲取性、可計量性、預警性、相關性以及成本收益成效。此外,在新業務或新風險點識別后,KRI也需要進行重檢更新,保證其完整性。

 

損失數據庫(LDC):收集損失數據的最終目的是用作分析。通過分析發生在不同部門的不同風險事件以及不同的風險暴露情況,從而找出財務損失角度的高風險領域,操作風險發生頻率高的領域等問題,并采取相應的措施管理。LDC與KRI和RCSA是相互參照,相互驗證的。損失數據的收集管包括:損失數據的定義、識別,收集,復核驗證、合并,分析,匯報、整改。目前對操作風險損失事件的定義是指因操作風險未被有效控制,給銀行造成直接經濟損失(已確認的賬面損失)的操作風險事件。一般數據來源包括個別重大事件上報、客戶投訴、法律訴訟、監管檢查、內外審發現等。LDC的上報由業務部門發起,并由操作風險職能部門負責檢查監控。

 

操作風險三大管理工具彼此間存在著事前、事中以及事后的邏輯關系,同時也可以作為互相評估及設置的參考依據。風險與控制自我評估RCSA:通過RCSA對風險識別,為找尋損失數據提供了依據;風險與控制的識別結果,為KRI的設置提供了參考。缺陷/損失數據收集:真實的損失數據,為RCSA的評估提供了參考;真實的損失數據為KRI的設置提供了參考。關鍵風險指標KRI:KRI的異常,為RCSA的評估提供了參考并可作為執行的驅動力;KRI的異常往往指向真實的損失事件。

 

缺陷/損失數據收集相當于病例(過去),風險與控制自我評估RCSA相當于全面體檢(現狀),關鍵風險指標KRI相當于血壓計(未來)。通過三大工具的建設和應用,可找出目前公司的高風險領域、強化內控及風險管理力度,盡量在風險發生之前發現問題。此外,還可幫助銀行構建操作風險識別、評估、監控和預警處理的管理流程,可以確保管理層了解所面臨的操作風險,并根據自身的承受能力和發展策略采取針對性的風險應對措施,以合理的成本達到預期的風險管理效果。

 

內控、操作風險管理須一體化建設

 

 

有了操作風險管理工具并不可高枕無憂。

 

操作風險管理工具若要在銀行實際落地運用,必須與銀行既有的內控體系結合起來。“內部控制是操作風險管理的重要工具,絕大多數操作風險事件都與內控漏洞或者與不符合內控程序有關。”巴塞爾委員會在《關于操作風險管理的報告》中這樣指出。雖然操作風險事件的表現形式多種多樣,但透過現象看本質,這些操作風險實質是內控制度存在缺欠,商業銀行對內控體系認識不足,缺乏強化銀行風險內控的自覺性和主動性,造成識別和防范風險的能力不足。而當銀行內部控制失效時,操作風險就會浮出水面。

 

所以,銀行在運營的過程中,對操作風險發揮最主要也最實際的控制效果就是內部控制體系——良好的內部控制建設,可以有效防范起因于內部管理流程、人員以及系統的操作風險。在完善好內控體系的基礎上,再通過操作風險三大工具以及其配套的機制,建立操作風險識別與評估、監測與報告、控制與緩釋的機制,便可讓銀行的操作風險管理智能化,依據自身的風險偏好與容忍度,及時監控各項業務的操作風險暴露對業務的影響,以及發現風險管理薄弱的環節。

 

但是,獨立開展內控管理與操作風險兩項管理工作勢必會導致銀行較高的管理成本。內控管理工作與操作風險管理工作既存在重疊,也各有側重,就像唇與齒一樣缺一不可。因此,銀行業開始探索并應用能夠兼顧內控管理和操作風險管理工作的一體化管理思路,從組織與職責、體系與流程、管理工具和信息系統等各個方面將內控管理與操作風險管理兩項工作整合起來。

 

組織職責整合就是“兩塊牌子、一套人馬”,由同一個部門和團隊負責內控與操作風險管理,實現知識和人力資源的共享。

 

體系流程與工具整合就是以操作風險管理三大工具為核心,搭載內控和操作風險管理的流程,將內控梳理、損失數據收集、風險與控制評估程序、問題與缺陷整改、風險報告及考核體系有機整合,同時兼顧內控管理和操作風險管理的需要。

 

信息系統整合就是搭建同一的管理信息系統平臺,同時收集內控與操作風險所需的數據,在統一的平臺進行風險評估、監測預警、評估、學習和考核。

 

一體化的組織、流程、工具和信息系統管理避免了內控與操作風險管理中的重復工作,節約了時間成本與人力資源。以控制自我評估為例,它既是內控評價的重要組成部分,又是操作風險管理的重要工具,一體化的管理可以減輕基層業務人員內控與風險管理的壓力。

 

與此同時,借鑒操作風險的監控指標、風險容忍度地圖、風險監測儀表盤等監控和分析決策工具,可以使得銀行采取的內控管理決策更加科學,以成本效益的角度采取適當的控制措施。例如,采取風險容忍度地圖方法確定管理層對操作風險容忍的底線,確定“不可接受”區間,將日常風險評估的結果落在風險地圖中,如果落在“不可接受”區間,則必須立即采取措施完善內部控制。

 

借助一體化管理信息系統繪制的風險監測儀表盤,將內控與風險管控現狀、內控薄弱環節與風險暴露高發領域等評估結果進行圖表與圖形化展示,生成相關報告,供管理者決策,帶來管理上的意義。

 

目前,內控與操作風險一體化管理體系已經在我國部分股份制商業銀行與大型城市商業銀行中開始運作,并已初見成效,各中小銀行也漸漸開始思考采用這一方式。相信更多的金融機構會加入此行列,完善內部控制,提升操作風險管理能力。

 

(俞勇,恒豐銀行首席風險官、中國人民大學兼職教授,清華大學深圳研究生院校外導師,先后在美國摩根大通銀行、美國運通公司等從事新資本協議、戰略規劃、風險管理、金融衍生品交易與定價模型、金融信息安全等工作,曾任職于平安銀行風險管理部兼新資本協議辦公室總經理、中國銀行業監督管理委員會監管二部,參與起草《商業銀行資本充足率管理辦法》等中國銀行業監管法規文件,具有全面的國際銀行先進風險管理工作經驗和國內銀行風險管理工作經驗。著有《貨幣、銀行與經濟》、《銀行全面風險管理與資本管理》、Asset Returns and Demographic Effects、Quality Choice Simulation and Implication Based on Individual Conjoint Analysis 等。本文原標題為《法興銀行弊案前后——警惕無處不在的商業銀行操作風險》,刊載于《當代金融家》2016年第2期





上一篇:有沒有嗅到金融危機的氣息?
下一篇:新型金融科技業態的各國監管比較

相關文章

當代金融家 2020年第9期 總第183期
出版時間:2020年09月08日
查看詳細內容
 
熱門排行
商業銀行法修訂的實質性進展如何?
【舊文新讀】毛澤東思維方式對我從事...
險資監管的現在與未來
社科院深度干貨|交叉金融風險及監管...
央行原副行長告訴你:人民幣是怎樣發...
有沒有嗅到金融危機的氣息?
兇悍的操作風險怎么搞垮銀行
【老馬一席談】央行將如何應對利率市...
【老馬一席談】央行原副行長:利率市...
如何使我們的政策選擇更有效率
体彩老11选5最新开奖信息 黑龙江快乐十分助手 安徽体彩11选五走势图牛 股票各种线详解图 股票分析软件有用吗 金融投资理财平台 安徽11选5前三直遗漏 湖南快乐十分开奖一定牛 甘肃快三专家推荐号码 股票配资软件源码下载 福彩3d开奖更新走势图