時間:2022-05-31 23:54:53
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇操作風險管理范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
風險就是未來結果的不確定性。不確定性越高,風險就越大。由于分析角度不同,對銀行風險分類的標準也不一。一般可分為市場風險(利率、匯率和資產價格)、信用風險、流動性風險、操作風險、法律風險、道德風險和國家風險。一般業界所說的三大風險是指信用風險、市場風險和操作風險。這是國際上巴塞爾委員會要求提取資本金的三類風險,是國際銀行業和銀行監管機構重點關注的三類風險。
對我國商業銀行來說,操作風險是個新概念,但這并不表明我國商業銀行中沒有操作風險管理活動。事實上,各商業銀行一直都有自己的操作風險管理實踐,但一般使用“內部控制”一類的表述,而且,在多年內控管理過程中,各商業銀行都程度不一地建立和制定了相關的管理框架、制度和措施。不過,相對于信用風險、市場風險管理而言,操作風險管理還缺乏識別標準、管理模式、數據積累等。
操作風險是指由不完善或有問題的內部程序、員工和信息科技系統,以及外部事件所造成損失的風險。操作風險包括法律風險,但不包括策略風險和聲譽風險。具體表現就是商業銀行因辦理業務或內部管理出了差錯;由于內部人員監守自盜,外部人員欺詐得手;電子系統硬件軟件發生故障,網絡遭到黑客侵襲;通信、電力中斷;自然災害、恐怖襲擊等原因導致損失的銀行風險,這些都屬于操作風險。可見,操作風險不僅僅包括操作中的風險,還包括內部程序、信息科技系統和外部事件所帶來的損失。
與信用風險和市場風險相比,操作風險主要有幾個特點。第一,具有內生性,除自然災害等外部事件引起的操作風險損失外,操作風險大多是在銀行可控范圍內的內生風險,信用風險和市場風險則為外生風險。第二,廣泛性,操作風險的覆蓋的范圍相當廣泛,與市場風險主要存在于交易類業務和信用風險主要存在于授信業務不同,操作風險普遍存在于商業銀行的業務和管理中。此外,對于信用風險和市場風險來說,風險越高,收益越高,存在風險與收益的對應關系,而操作風險和收益沒有太多聯系。
二、操作風險識別和管理
操作風險主要表現為以下幾種類型,商業銀行在經營中需加以識別和管理。
(一)人為因素。主要為內部欺詐、主觀違規、操作失誤。主觀違規有超授權授信行為、逆程序、過度信任造成管理缺位、崗位設置不合理造成監督空位、不良愛好(如涉毒、涉賭、涉黃)引發的違法違規。操作失誤是由于員工技能水平不高、態度不認真在業務過程中的失誤造成的,如數字輸入錯誤、將取款記作存款等。由銀行員工操作失誤引起的操作風險一般具有損失小(當然不排除特殊情況)、發生頻率高、難以事先預測的特征,因而非常難以防范。人員因素引發的操作風險,有的是作為,如主觀違規,有的是不作為,如業務不熟出錯,疏忽大意。
(二)流程因素。包括操作程序遺漏或忽略、產品設計缺陷、業務流程設計不合理等。過去認為流程越復雜、相互制約性越強越好。事實上,流程越簡單越易于操作,流程越短越便于管理,設計越合理越利于控制。這樣才能適應變化,確保效率和風險管理,流程設計不合理,有瑕疵,往往容易出現風險隱患。
(三)系統因素。系統是現代商業銀行賴以生存的命脈。無論是業務發展如網上銀行、現金管理還是風險監控,都離不開信息系統緊密支持。但是,商業銀行高度依賴信息系統,信息數據高度集中也給銀行帶來新的風險管理難題,如系統安全穩定、IT技術風險防范、數據和信息質量,系統設計和開發戰略風險,等等。系統出現如故障、癱瘓,系統不安全、通訊中斷以及系統兼容性、穩定性、適宜性方面的操作風險很容易給銀行帶來巨大的經濟損失和無法估量的信譽損失。此外,從操作風險發生的部位來看,當前與系統有關的操作風險日益增加。由于系統原因和流程問題導致犯罪分子利用系統漏洞實施金融詐騙已經成為妨礙我國銀行業資金安全重大問題。
(四)外部因素。銀行經營都是處于一定的政治、社會、經濟環境中的,經營環境的變化、外部突發事件都會影響到銀行的經營活動,甚至會產生損失。外部事件引起銀行損失的范圍非常廣泛,包括外部欺詐、外部突發事件與外部經營環境的不利變化。外部人員的蓄意欺詐行為是近年來給銀行造成損失最大、發生頻率最高的操作風險之一,而內外勾結作案更是令商業銀行防不勝防。外部欺詐包括騙貸、搶劫、偷盜、爆炸等風險因素。外部突發風險包括遭受冰凍雨雪、地震等自然災害以及恐怖襲擊、火災等給商業銀行帶來的損失。外部經營環境的不利變化引起的操作風險是由于受宏觀經濟環境、銀行監管法規變化使銀行發生損失的風險。宏觀經濟環境的不利變化會給商業銀行帶來意想不到的損失。
三、商業銀行操作風險管理的現狀
目前,我國操作風險管理與監管尚處在一個較為初期的發展階段。由銀行監管部門以規范性文件關于操作風險監測方法或者具體操作模式還為時尚早。監管機構主要把重點放在提高操作風險(或內部控制)管理質量上,并且要求銀行提高對操作風險的重視。
(一)商業銀行操作風險的監管要求。2004年6月,巴塞爾委員會了新的資本協議,對銀行操作風險提出了新的資本要求。據巴塞爾委員會估計,在銀行業所有風險中,操作風險所造成的損失已經僅次于信用風險。2006年10月巴塞爾委員會的新版《有效銀行監管核心原則》中,專門為“操作風險的監管”新增一條原則,制定了評估該原則執行情況的標準,提出了商業銀行操作風險管理的最佳做法和監管指引。
目前,實施新資本協議的國家都按照新協議要求,明確將操作風險納入資本監管范疇,國際上已形成了對操作風險加強監管的共識,已經形成了相關制度和監管標準。巴塞爾新資本協議對操作風險的有關規定是近年來國際金融界日益注重操作風險管理的制度體現,也是加強全面風險管理方面的新要求。
在未來幾年內,我國銀行界按照新資本協議的要求實施操作風險管理已是大勢所趨。根據中國銀監會《商業銀行操作風險指引》要求,操作風險監管機構是中國銀監會和派出機構。商業銀行要履行報告義務,提交有關方面的審議報告,對有關政策和程序要報備。銀監會定期要進行檢查評估。對于高管嚴重違規、重大搶劫銀行等操作風險事件商業銀行必須報告銀監會和其派出機構。另外,《商業銀行操作風險指引》要求商業銀行要根據自身實際操作風險管理的政策、選擇適當的方法進行管理,采取一定的措施控制、降低操作風險。
(二)操作風險機制建設。國際上巴塞爾協議將人們的視線更多地集中于操作風險的監管資本要求上。但實際上,一個銀行的資本量多少并不是管理成功與否的關鍵,加強操作風險管理最關鍵是加強商業銀行操作風險的機制建設。
1.關于操作風險管理體系建設。關于操作風險管理的組織體系,各銀行間存在著重大差異。各商業銀行主要依據銀監會《商業銀行操作風險管理指引》要求逐步建立和探索適應本行的操作風險管理體系。該體系主要包括董事會的監督控制;高級管理層的職責;適當的組織架構;操作風險管理政策、方法和程序;計提操作風險所需資本等基本要素。董事會從總體上履行操作風險管理的職責。如制定總體戰略、政策、定期審批報告等。高級管理層在操作風險管理中職責主要為執行董事會的有關決議,定期向董事會報告。各商業銀行一般以與自身的風險管理戰略和組織結構相匹配成立管理操作風險的部門。具體執行中操作風險人員可能被放在一個部門——操作風險管理部門,主要擬定本行操作風險管理政策、程序和具體的操作規程;建立并組織實施操作風險識別、評估、緩釋(包括內部控制措施)和監測方法;定期檢查操作風險的管理情況。有些銀行在總行層面上建立了首席風險官,在各營運業務條線設置風險經理,對主要業務的關鍵、高發風險點進行實時監測。有些銀行在專業領域內如法規部門、審計監察部門設立單獨的風險監管部門,在管理好本部門的操作風險的基礎上,為其他部門管理操作風險提供相關資源和支持。
2.商業銀行操作風險管理有關政策。各商業銀行正積極探索制定有效管理操作風險的政策和方法。首先,在操作風險政策制定方面,部分商業銀行已經制定《操作風險管理政策框架》、《操作風險管理政策》,進一步明確了各行各級機構和部門在操作風險中的管理職責。針對操作風險的執行,制定具體執行措施,如詳細的《案件防控及整改方案》、《基層機構關鍵風險點監控檢查內容與操作指引》,同時,將操作風險控制基本要求植入業務流程改造和IT藍圖建設中。其次,為衡量分析操作風險建立操作風險管理技術標準。各商業銀行正在積極研發風險控制與評估、關鍵風險指標、重大事件報告制度、損失數據收集和業務持續經營計劃等工具。再次,識別操作風險,制定有關制度措施。根據銀行風險的特點,加大對操作風險的識別,并針對性地制定制度措施,如對系統風險、外部等操作風險,有關行制定了詳細的風險應急預案,增加應急措施;建立與新產品、新業務發展相對應的制度規定;修改更新產品和流程,塑造流程銀行,按流程操作;增加制度執行建設,強化日常檢查的頻率,加強員工行為排查,等等。
四、對商業銀行操作風險管理的幾點啟示
(一)引入全面風險管理。全面風險管理體系(Enterprise
wideRiskManagement簡稱ERM)是西方商業銀行比較成熟的風險控制理念和技術。全面風險是風險管理的最終目標,全面風險管理,主要體現在它的全面性、全程性、全員性和系統性。操作風險與市場風險、信用風險有高度的相關性,操作風險與其他風險結合將導致風險更加復雜、更加分散,風險損失更加顯著,將數倍、數十倍地被放大。因此,在風險管理中應將操作風險與市場風險、信用風險等各種風險聯系起來進行全面的風險管理,保證風險管理政策統一、工作協調。同時,操作風險遍布商業銀行內部各業務環節、產品線和不同的管理層面,不僅僅是依賴于一兩個專門的部門監管,應該從本行、本部門、個人操作抓起。各商業銀行應及時上升層次,逐步建立全面風險管理委員會下轄操作風險、信用風險和市場風險等風險管理委員會,制定全面風險管理政策,形成總體規劃,發揮資本在風險覆蓋、部門配置方面的作用。
(二)操作風險的緩釋。操作風險是客觀存在的,只要有人群、行為和活動,就一定存在操作風險,應盡量降低其發生的頻率和所造成的損失。從操作風險的規避角度分析,操作風險可以分為可規避的操作風險、可降低的操作風險、可緩釋的操作風險。除極少數應承擔的操作風險外,大部分操作風險都有規律可循,其發生過程類似多米諾骨牌,有前因后果的連鎖關系。因此,要查找出其發生規律,通過技術手段切斷引發操作風險的關鍵環節,并通過必要的管理措施加以緩釋。
1.商業銀行一攬子保險和打包保險。火災、自然災害等引起的商業銀行財產損失,商業銀行的內外部欺詐,對高級管理層和員工的責任險等都可以通過保險公司一攬子保險和打包保險承保予以緩釋,通過承保轉移給保險公司。然而,目前國內保險公司尚未開發更多的針對商業銀行操作風險的保險產品,保險方式、有關保險業務品種還有待保險公司創新。另外,保險公司對銀行風險管理能力和財務承受能力還不能準確精算評估,各保險公司保費收取也存在重大分歧。如對于內外部欺詐引發的操作風險,各保險公司普遍收費高,無疑增加了銀行的成本管理,也直接約束了操作風險的緩釋。不過,相信隨著金融市場的逐步開放,這一局面將逐步得到改善。
2.業務外包。除保險外,商業銀行可以通過業務外包來緩釋操作風險。將技術含量高、專業性強的有關業務交由專業機構管理,增加操作風險管理的效益性。如有關法律風險可聘請具有符合條件的外聘律師訴訟和仲裁;對于風險性高的守護、保衛、押運可聘請符合資質條件的保安公司管理;對于產品評估、網絡維護、系統開發也可招標專業公司。當然,選擇外包公司,不可能一包了事,也需加強雙方之間的溝通,通過簽訂合同,明確雙方權利和義務,合理轉移風險。事實上基于雙方的委托關系,最終的權利和義務應由商業銀行承擔。
(三)建立健全制度管理,狠抓制度落實。總結有關操作風險損失案例,其中大部分為有法不依,有章不循,制度落實不到位,管理缺位造成的風險損失。因此,要建立健全制度管理,狠抓制度落實,才能夠使操作風險得到有效管理和控制,才能使因操作風險損失降到最低限度。一是做到制度到位,及時立、改、廢有關制度,形成制度數據庫,并根據實際情況將有關規章制度分解到各個部門、各個環節、各個崗位,形成操作指南和崗位流程;二是責任到人,處理到人。要及時跟蹤檢查執行,增加檢查的頻率和有效性,加大違規處罰力度,把隱患消滅在萌芽狀態。
(四)加強合規管理與合規文化教育。商業銀行要倡導和強化全員合規文化,引導全行員工樹立對風險管理的責任意識,使風險意識突破傳統的部門界限,真正融入全行各個部門、每位員工的行為規范和工作習慣之中,讓員工認識到自身崗位關鍵風險點,形成防范風險的有效屏障。
總之,我國商業銀行的操作風險管理要求不是一時之需,而是伴隨商業銀行發展的長期任務,如果要想保持現有的競爭優勢,甚至在國際金融市場取得一定的地位,就必須不斷提高自身的操作風險管理水平,全面加強風險管理。
參考文獻:
[1]陳余化,趙欖.警惕商業銀行操作風險監管走向誤區[J].經濟論壇,2006,(13).
[2]姜燕.新巴塞爾協議框架下中國商業銀行操作風險的度量與管理[D].北京:對外經濟貿易大學,2006.
[3]曾向陽.對商業銀行操作風險管理的幾點思考[J].廣西金融研究,2005,(8).
[4]楊滿滄.企業銀行博弈與共贏[M].北京:中央編譯出版社,2007.
[5]劉毅.商業銀行經營管理學[M].北京:機械工業出版社,2006.
關鍵詞:保險公司;風險管理;操作風險
中圖分類號:F27 文獻標識碼:A
收錄日期:2012年2月2日
《巴塞爾新資本協議》將金融機構面臨的風險概況為三大類:信用風險、市場風險和操作風險。其中,操作風險被定義為由于不正確的內部操作流程、人員、系統或外部事件所導致的直接或間接損失的風險。這一定義同樣適用于保險業。2007年11月中國人壽湖南宜章縣支公司某位“業務明星”通過偽造收據、保單等騙取挪用公司保費1,500萬元,成為保險業有史以來最大的營銷員騙保案;同年,保監會查處新華人壽泰州支公司某副總在任職期間,利用職務之便,通過拼湊團單并截留保費,挪用退保資金,僅2003~2006年期間,涉及資金約達7,500萬元左右,被騙客戶約2,000人。以上案件的發生,都是由于保險公司內部的操作風險控制薄弱引起的,這不僅給公司造成了巨大的經濟損失,同時也給公司的聲譽帶來了不良影響。
一、保險業操作風險管理現狀
(一)保險公司對操作風險的認識不足,且管理水平較低。目前,我國保險業整體還處于粗放型經營,仍以保費收入作為經營業績的主要指標。保險企業對操作風險的認識不足,對操作風險管理的制度建設不夠重視,有些制度的建立只是流于形式,不切實際且針對性差,不能對關鍵崗位起到監督作用。
保險企業對操作風險的管理水平偏低,缺乏有效的技術手段以及防范和控制措施。對操作風險的評估目前只限于用定性的方法,主觀性較強。較之利用金融工程和統計模型對風險進行識別、度量和檢測的方法來說比較落后。而且目前對操作風險的管理多為事后控制,缺少積極主動的防范機制,不能從根本上防范重大操作風險的發生。
(二)保險業經營注重業務量的增長,對風險管理重視不夠。一直以來,我國保險業的發展都是重保費、輕管理。各保險企業在發展方向上,更注重保費增加的規模和速度,強調業務的增長量,而忽視對業務質量的管理。而且保險法規和監管部門對保費的過分強調也使得各保險企業將保費規模作為主要經營目標,過分地追逐保費的提高必然會導致業務質量的下降,從而導致風險因素的增加。在激烈的市場競爭中,以低價進行惡性競爭,盲目承保、劣質承保的事件屢禁不止。在發展的戰略方針上,一些保險企業存在經營決策的短期行為,不重視公司的長遠發展戰略,從而忽視了對影響公司長遠發展的風險因素的管理。
(三)缺乏操作風險管理的企業環境和相關管理人才。保險公司的操作風險包括在經營中存在的資金運用、核保核賠、從業人員和保險人以及法律風險等。其涉及到保險公司的各個崗位和各個環節,一個有效的操作風險管理制度的建立要求操作風險管理意識能夠滲透到公司每個員工的日常經營活動中。然而,受保險業多年來粗放式經營的影響,從公司管理層到一般員工都相對缺乏操作風險的意識,缺乏對操作風險管理和防范的理念。由于我國風險管理理論發展滯后,風險管理人才嚴重不足。尤其操作風險的綜合性更需要一些既懂風險管理理論又懂公司管理同時又熟悉保險業務的復合型人才,而這種人才在市場上少之又少。
(四)保險公司對分支機構的操作風險管理不足。對操作風險的控制是各保險企業總公司對分支公司進行有效控制的關鍵。當前,保險公司分支機構在經營過程中面臨諸多操作風險。首先,保險企業合規經營意識不強。保險企業的一些基層分支機構違背市場規律,盲目或違規經營的現象仍時有發生。近年來,同業非理性競爭的手段則更加隱蔽,有些公司甚至通過口頭承諾、系統外違規操作等方式為客戶提供高保障范圍來爭取業務,導致保險公司經營風險積聚,同時也損害了保險業的形象;其次,對操作風險的管控不嚴。如有的基層分支機構不嚴格執行業務管理制度,有的營銷員不在規定時間將投保資料和保費交回公司,業務員代客戶簽名的事件也時有發生。
二、保險公司操作風險產生的根本原因
(一)盲目的經營目標是操作風險產生的最主要原因。當前,我國多數保險企業仍將保費收入和所占有的市場份額作為經營的首要目標,各保險企業的總公司對分支機構的考核主要是以保費收入的增加額為依據,這使得有些基層分支機構為達到考核目標,違反市場規律和有關制度,為獲得短期利益而忽視公司的長遠利益,由此誘發操作風險的發生。另外,有些保險企業在發展中不能制定適合自身實際的發展戰略,常常提出不切合實際的口號,盲目決策,過分追求規模的擴張。這種盲目擴張的后果往往使得保險企業在獲得規模擴張的同時,降低了對內部控制和操作風險的有效管理,成為操作風險發生的直接誘因。
(二)保險企業的多層制度導致對操作風險的管理松懈。當前,我國多數保險企業都采用的是一級法人制,即總公司是最高管理機關,省分公司按照總公司的授權進行經營,然后自上而下一級授權一級,實行總、省、市三級管理制度。這樣一來,上級公司對下級公司的管理僅限于各項報表的統計、上下級轉發文件、季度末各項報表的檢查、定期不定期開會等形式,從而使保險公司的風險難以及時發現并予以糾正。而且,在這種多重關系中,上級公司往往更關心下級公司的成長和發展,而下級分支機構更關心自身效用的最大化,各方利益的不一致也是導致操作風險發生的關鍵。
(三)保險企業的文化建設嚴重滯后。在近年來保險企業發生的一些違規案件中突出暴露了部分保險企業員工職業道德淪喪。有些營銷員在銷售保單時缺乏誠信和職業道德,對客戶提供無法兌現的承諾,或利用高的投資回報率誤導客戶,有的甚至采取欺詐手段欺騙公司和客戶,這些都可能引起操作風險的發生。而且,保險業營銷員隊伍素質偏低、展業不規范、缺乏誠信、誤導客戶等問題屢見報端,因此對營銷員的業務培訓和職業道德培訓顯得越來越重要。尤其是一些分支機構只以保費的多少來衡量營銷員工作的好壞,忽視了對營銷員的職業道德培訓,導致部分營銷員職業道德素質不過硬,為尋求自身利益的最大化,以低價進行惡性競爭,盲目承保、劣質承保,這些都無疑會增加保險公司的操作風險。
三、完善操作風險管理的對策建議
一要強化保險企業員工的風險意識。首先要認識到操作風險管理的重要性,操作風險管理并不是經營中可有可無的附屬品,而是為實現公司經營目標所必須承擔的。忽視了對操作風險的管理,一旦發生操作風險事件,不僅會侵蝕到保險公司的償付能力,而且會損害保險公司的聲譽,由此引發保險公司的融資困難和客戶流,并進一步影響到建立新客戶關系或服務渠道的能力。所以,需要對保險公司的員工自上而下進行操作風險管理的培訓。要使高級管理層深信,不是只有保費的增加量才能給公司帶來利潤,對操作風險管理的重視能夠降低操作風險發生的頻率,同樣也能給公司帶來價值;要使員工意識到,他們實施的對操作風險的控制行為不僅使公司而且還使他們自身受益。其次,保險公司應該從單純追求業務規模、市場份額的思路中跳出來,建立操作風險管理激勵機制。通過采取適當的方法對經營過程中的操作風險進行控制,將保險公司各級、各類人員的獎懲不是單純地只與保費掛鉤,還要與其行為結果掛鉤,充分體現保險公司操作風險管理的目標。
二要建立有效的內控機制,防范操作風險的發生。就保險企業的多層制度而言,制定有效的內控機制是委托人監督企業運營,實現企業經營效益最大化目標的重要保證。同時,通過內部控制可以協調上下級公司之間的利益沖突,使控制雙方能夠建立起相互信任的關系,從而降低操作風險。因此,保險企業只有建立起一套職責分明、規章健全、運作有序的內控機制,才能從根本上防范和控制操作風險的發生。
三要完善激勵機制,控制保險人的操作風險。就目前人的傭金制度來說,過高比例的首期傭金制度是導致個人人短期行為的關鍵,因此,應當適當的將首、續期傭金率均衡化,并確保人續期傭金的請求權,只有這樣才能激勵人在不斷招攬新業務的同時也能為客戶提供優質的保全服務。除了人傭金制度,對于在公司服務時間長且業績較好的人,應積極探索規范的股權、期權激勵機制,從而將個人人的自身利益和保險公司的長遠利益有機地結合起來,形成為公司長期服務的意識。與此同時,還要加強對營銷員隊伍的業務培訓和職業道德培訓,樹立正確的世界觀和人生觀,提高營銷隊伍的整體素質,這是防范操作風險的根本保證。
四要重視行業自律,加強保險行業協會對操作風險的自律性控制。從各國保險業的發展歷程來看,行業自律組織的建立是防范保險公司之間不正當競爭的有效途徑。我國的保險行業自律協會尚處于發展初期,還有許多規定有待完善,可以通過借鑒國外保險行業協會的相關規定,完善我國保險行業協會的自律規定,從而加強對各保險企業操作風險控制。
主要參考文獻:
[1]連嚴燕.我國保險業操作風險及其監管[D].云南財經大學碩士論文,2010.
關鍵詞:商業銀行;操作風險;管理防范
中圖分類號:F832.33文獻標識碼:A文章編號:1006-1428(2007)07-0052-03
一、商業銀行三大風險的比較
相對而言,國內商業銀行對信用風險的研究較早,對市場風險、操作風險管理的比較研究較晚,因而對三大風險的認識程度、管理方式、投入的資源等不盡相同(詳見表1)。
二、目前國內商業銀行操作風險管理的兩種模式
盡管國內商業銀行操作風險管理起步較晚,與外資銀行相比存在較大差距,但仍有一些優秀的國內商業銀行較為重視操作風險,采取了多種措施,也投入了一定的資源來防范和控制操作風險(詳見表2)。
三、國內商業銀行操作風險管理存在的不足
(一)風險管理認識上還存在誤區
由于尚未引入全面風險管理理念,國內商業銀行對操作風險還存在一些認識誤區,認為操作風險就是“操作性風險”,將操作風險等同于“金融犯罪”;或者認為操作風險往往具有突發性、偶然性,難以預測,也毫無聯系,因而無法計量,也不能為其分配資本。同樣,還有的商業銀行認為操作風險管理只是會計結算部門或者內部審計部門的事情,與其他部門如安全保衛部門、科技部門、后勤事務部門等無關,進而將操作風險管理職責僅賦予會計結算部門或者內部審計部門。甚至有的商業銀行的分支行,認為營銷和操作風險管理是對立的,在分支行行長忽視操作風險管理,而重視營銷的極端情況下,也有的營銷人員會產生錯誤的思想,認為風險管理人員是依靠他們養活的,有些強勢的分支行行長有可能叫板風險管理部門。
(二)風險管理信息傳遞鏈條過長
在統一法人體制的分級授權經營模式下,國內商業銀行的管理層級往往達到五個層級或者更多。這種授權經營模式一方面與國內金融資源的層級分布相關,另一方面也與國內商業銀行的信息技術落后相關,而且這種經營模式也適合目前商業銀行的經營管理能力。但是這種多層次的委托關系,將導致信息傳遞的強度減弱,對下級單位的控制和管理能力下降,操作風險隱患也會因為委托關系鏈條的增加而增大。在體制改變時,如果實行“先體制架構,后流程、規章”的推行模式,制度建設慢一拍,管理鏈條就會出現危機,使操作環節風險環生。
(三)風險管理體系不健全
國內商業銀行中目前設置統一的操作風險管理機構的并不太多,只有個別商業銀行設立了委員會形式的管理機構。如工行上海市分行成立了操作風險委員會,下設“臨柜業務”、“離柜業務”、“業務監測”三個專家小組,來提高操作風險管理防范水平。大部分商業銀行一般都尚未設立專門的部門負責全面管理操作風險,操作風險管理職責分散在諸如風險管理部、內部審計部門、法律與合規部門等部門,缺乏統一的操作風險管理體系。這種分散管理的模式,導致各相關部門的管理職責不清、溝通協調不順暢,管理效率低下。有的商業銀行在基層分支機構往往只設一名行長,主要負責業務推進,操作風險無人負責。
(四)風險管理政策不統一
在整個銀行層面上,沒有形成從股東大會、董事會、高級管理層、各經營單位以及到各個業務部門、內審部門的操作性風險管理職責,并制定明確的操作風險管理程序,包括風險的識別、評估、計量、監控、化解等。在各個業務部門制定具體的操作規程時,沒有將操作風險管理的整體程序貫穿于各個管理層級和各個業務條線,也沒有明確各個管理層級的權利和應承擔的職責。因而,從最高層面的董事會,到最低層面的操作人員沒有形成全行統一的目標和管理政策。
(五)風險管理制度執行力不強
根據中國銀監會去年的統計,操作風險的發生,80%是因為有制度卻沒有嚴格執行而造成的,制度不全和制度殘缺造成漏洞形成案件的不到20%,操作風險的發生與制度執行力不強存在相當大的聯系。從商業銀行操作風險的實踐來看,操作風險多的銀行往往執制不嚴現象較為突出,員工執制意識薄弱,違章違規行為不能及時糾正。例如,有的未嚴格執行開戶資料審查、印鑒比對、可疑支付交易報告等會計制度;有的未按要求進行賬戶監控和賬務核對;有的未執行同城交換制度、印章管理制度、權限管理制度;致使案犯接連突破風險控制防線。甚至“五缺”情況下辦業務的現象嚴重:缺圖章(公章或授權人私章)、缺簽名、缺決議(如董事會決議)、缺證件(如房產貸款四證缺一證)、缺授權(如法人代表授權委托書),就辦業務。同時,部分業務內控制度存在盲點,管理制度、操作流程存在漏洞和缺失。一些重要業務領域如賬戶管理、業務授權、票據交換、外匯開證、批量代扣業務等方面操作不規范,存在較大操作風險隱患。
(六)風險發現能力不夠
多數國內商業銀行沒有將操作風險的發生當作連續發生的必然事件來處理,并建立數據庫,進行量化計算,一般都是采取一些被動的短期補救措施。正因為沒將風險的發生當作是偶然的、孤立的、無法計量的事件,因此根本沒有投入資源進行操作風險管理計量工具的開發。由于長期以來沒有建立數據庫,因而即使引進了國外操作風險計量工具和模型,也因為缺乏足夠的數據分析支撐,不能使分析管理工具真正發揮作用。因此操作風險的識別、計量、管理能力缺乏,管理的關口無法前移,不能進行主動的事前管理。
四、多管齊下提高商業銀行操作風險管理能力
(一)強化操作風險管理的外部監管
監管機構應及時制定《商業銀行操作風險管理指引》,指導和推動國內商業銀行全面加強操作風險管理。監管部門按照高風險、高頻率監管,低風險、低頻率監管的原則,對各商業銀行執行防范操作風險“十三條”和“十個聯動”的情況及時進行事后評價,推行監管的問責制度。強制商業銀行將操作風險管理的信息披露給公眾,通過外部力量迫使商業銀行加強操作風險管理。根據中國銀監會提出的“三個掛鉤”(即將操作風險的防范和整改工作同激勵約束機制掛鉤,同銀行的評級掛鉤,市場準入掛鉤),加大對商業銀行操作風險的監管力度。
(二)建立統一的操作風險管理體制
應按照巴塞爾委員會的建議,由各級高層管理人員組成操作風險管理委員會,制定操作風險管理政策,建立自我評估、風險評判及稽核體系,對全行操作風險進行有效管理。在各級網點設立風險經理,負責網點操作風險控制的具體管理,進行網點風險自我評估,組織網點對評估中或內、外部檢查中發現的問題進行糾正。通過一系列操作風險管理流程和框架的再造,對操作風險進行全面識別、評估、監控、報告、改進,建立循環的、持續改進的管理過程,構筑較為完整的操作風險管理體制,同時建立操作風險管理責任制度,明確不同職位的人員在操作風險管理中應擔負的責任。
(三)構建完善的操作風險監控體系
一是形成檢查制度。加強規章制度執行情況的監督檢查,加大對儲蓄、會計、出納、信貸、保衛等重要部門、重要人員和三授權卡、印鑒密押、空白憑證、金庫尾箱、查詢對賬、輪崗休假等易發案件部位和環節的監督檢查力度。二是充分發揮稽核監督職能。形成獨立的內部審計體系,提升非現場稽核手段能力,大力借助外部審計手段,將合規性審計向合規性審計與風險性審計并重,突出風險性審計。三是建立持續改進機制。檢查監督是對是否符合要求進行發現,要建立和完善糾錯機制,實施有效的糾正和預防措施,建立一個持續的、循環的操作風險改進過程,確保可能產生風險的每一個環節和過程得到有效控制。
(四)提高操作風險的識別控制能力
對發生的每一次風險事件進行監控和記錄,并分析導致每次風險的因素和產生風險的環節點,度量這些因素對風險的具體影響,同時對風險的程度進行數量化的度量記錄。在已有的幾種度量方法中,基本指標法和標準法相對簡單但過于保守,不能滿足資本金對風險的敏感度,而內部度量法、VaR法、損失分布法等均需要較多的歷史損失數據,因而應從積累日常數據開始建立損失數據庫,記錄損失及其程度。根據歷史數據設置好關鍵指標體系,對操作風險進行識別和度量,為其配置相應的資本金;另一方面應對操作風險進行評估、監控和管理,按風險的可接受程度對風險進行排序,對不可接受的風險要進行緩釋、轉移,對可防范的風險要從損失數據庫的記錄中總結經驗,從具體業務流程中找出風險點,制定詳細的規章制度,進行控制,按照“一個崗位對應一本崗位手冊、一條業務線對應一套操作程序”的原則,逐漸形成健全的內部控制制度。
(五)培育良好的操作風險管理文化
由銀行高級管理人員積極推動,建立起共同的風險管理價值觀。將操作風險文化貫穿于完善風險管理體系的整個過程,不斷將操作風險管理新理念、原理、工具等傳遞給相關人員。各層次管理人員對操作風險形成全面、足夠的了解,并高度重視,帶頭防范。積極倡導誠信理念,鼓勵員工積極關注操作風險,注重員工思想道德的培育、法律意識的培養及工作技能的培訓,使其自覺遵守各項規章制度和操作規程。建立違規舉報機制,增強員工合規意識。建立全面、科學、可操作的風險管理激勵約束機制,糾正片面“重營銷激勵、輕違規約束”的做法,充分調動員工加強風險管理的積極性和主動性。
參考文獻:
[1]顧京圃.中國商業銀行操作風險管理.中國金融出版社,2006
[2]巴曙松.巴塞爾新資本協議研究.中國金融出版社,2003
[3]王修華,黃滿池.基于新巴塞爾協議的銀行操作風險管理.經濟問題,2004,(10)
從商業銀行的發展歷程看,有很多商業銀行在經營銀行業務過程中更多的是把風險管理的重點和精力放在了市場風險和信用風險的管理上,從而忽視或弱化了被稱為商業銀行“三大風險”之一的操作風險管理。本文依據“巴塞爾新資本協議”的要求和近幾年商業銀行管理的先進經驗,重點對商業銀行面臨的操作風險進行分析,并對操作風險的控制和管理思路進行探討,從而達到從理論和實踐相結合的角度來闡述操作風險管理在商業銀行管理中的重要意義。本文借鑒國際先進的經驗和結合我國的實際情況,針對我國加強商業銀行的操作風險管理提出了具體建議。本文主要論述正確的認識是操作風險管理的關鍵所在,建立健全的流程、框架和體系是操作風險管理的保障,最終才能實現對操作風險有效的管理和控制,使因操作風險給商業銀行帶來的損失降到最低限度。
【關鍵詞】:商業銀行、操作風險、巴塞爾新資本協議、操作風險管理框架
【正文】:
隨著我國金融體制改革的逐步深化和商業銀行股份制改造的穩步推進,金融市場競爭不斷加劇,金融產品日新月異,與此同時,銀行經營在必須控制和管理一些傳統的風險如信用風險、市場風險、國家風險等之外,不得不面臨著一類新的風險——“操作風險”的挑戰。
操作風險是指由于銀行內部程序、人員、系統不充足或者運行失當以及因為外部事件的沖擊等導致直接或間接損失的可能性的風險。例如,1995年的巴林銀行倒閉、1996年三井住友銀行的巨額虧損以及2001年中國銀行的開平案件,均可視為由操作風險所致。這類風險一旦發生,往往給銀行帶來巨大損失,嚴重時會直接導致銀行的破產和倒閉,甚至還會對整個金融行業或國民經濟運行都產生巨大的影響,因而越來越引起投資者、金融界、監管當局的重視。自然地,防范和控制操作風險也成為銀行經營管理者的一個重要課題。
本文將首先介紹銀行操作風險的內涵和實質,并揭示當前商業銀行在操作風險管理方面的現狀。之后,分析造成操作風險的主要原因,然后,在前面論述的基礎上提出加強銀行操作風險管理的方法和建議。
一、商業銀行操作風險的實質、內涵和管理要求
巴塞爾新資本協議把操作風險定義為:操作風險是指由于銀行內部程序、人員、系統不充足或者運行失當以及因為外部事件的沖擊等導致直接或間接損失的可能性的風險。從操作風險的定義中不難看出操作風險包括內部程序、人員、系統三大方面的主要內容,也是認識操作風險的關鍵環節。
(一)全面認識操作風險的實質和內涵
認識事物是改造事物的前提和關鍵,對操作風險的認知程度越高,才能有效的提升操作風險管理的地位和管理的水準,有了正確的操作風險的認識,才能夠上升到宏觀的決策和微觀的具體落實。張吉光認為:“商業銀行在操作風險管理中,對操作風險的認識存在五大方面錯誤或偏差”。 (注1)通過對操作風險管理理論的研究,筆者認為:解決操作風險管理認識上存在錯誤或偏差,成為提高操作風險管理水平的關鍵。具體而言,要全面認識和了解操作風險,需要消除以下幾方面的誤區。
1、操作風險不能等同于操作性風險和操作中的風險
根據巴塞爾新資本協議的定義,操作風險可以分為四類:人員因素引起的操作風險、流程因素引起的操作風險、系統因素引起的操作風險和外部事件引起的操作風險。人員因素引起的操作風險包括操作失誤、違法行為(員工內部欺詐/內外勾結)、違反用工法、關鍵人員流失等情況。流程因素引起的操作風險又分為流程設計不合理和流程執行不嚴格兩種情況。而系統因素引起的操作風險包括系統失靈和系統漏洞兩種情況。外部事件引起的操作風險主要是指外部欺詐、突發事件以及銀行經營環境的不利變化等情況。其中,屬于操作性風險的僅包括人員因素引起的操作風險中的操作失誤、違法行為、越權行為和流程因素引起的操作風險中的流程執行不嚴格的情況。顯然,操作性風險不能等同于操作風險,盡管操作性風險是操作風險中發生頻率最大、占比最高的風險類型。從筆者搜集整理的近幾年來國內商業銀行發生的近50起操作風險案例的數據顯示,操作性風險占總數的比例為70%。將操作風險狹隘地定義為操作性風險的做法,往往會使得建立在這一認識基礎上的操作風險管理體系不能覆蓋所有的操作風險,從而使銀行難以防范那些突發事件的沖擊,如前一段時間工商銀行北京市分行出現的系統癱瘓、美國發生的“911”恐怖襲擊等。
2、操作風險不能等同于金融犯罪
金融犯罪僅是操作風險中的主要類型,并不能涵蓋所有類型的操作風險。根據我國對金融犯罪的定義,金融犯罪是指在金融活動中,侵害金融管理制度、金融市場秩序以及其他社會經濟關系,依照我國刑法規定,應當受到刑法處罰的行為。對比巴塞爾委員會關于操作風險的定義,金融犯罪顯然不包括那些由于銀行自身不完善的流程和系統漏洞以及外部事件等因素造成的操作風險。最簡單的例子就是操作失誤,比如銀行員工誤將取款操作成存款,或者數字錄入錯誤等均屬于操作風險的范疇,但并不構成犯罪。將操作風險等同于金融犯罪,往往會使商業銀行無意識地縮小操作風險的管理范圍,錯誤地將操作風險管理等同于金融犯罪管理,從而將操作風險管理職責不恰當地賦予內部審計或安全保衛部門。這恰恰是造成目前我國商業銀行操作風險管理進展緩慢的原因所在。
3、操作風險是可以計量的,應該為操作風險配置資本
表面上看操作風險確實無規律可循。事實上,這只是人們觀察問題的角度不正確造成的。如果我們就單個年份來看,一些操作風險事件是無規律的,一旦將這些操作風險事件放在很長一段時間和同類型的大量數據中來看,我們會發現,這些操作風險往往會以某種穩定的概率發生。這正是人們量化操作風險的基礎。最早提出操作風險量化模型的是Duncan Wilson。他在1995年12月的《risk》雜志中發表了“操作Var”的文章。文章認為,操作風險可以使用“在險值(Var)”技術進行測度,銀行可以建立來自于內部和外部的操作損失事件數據庫,并從數據擬合操作損失的分布,通過設置一個置信區間,比如95%,銀行就可以計算出操作風險的Var,也就可以為其分配資本了。為操作風險分配資本的最大好處就在于,當銀行遭受某種災難性損失的時候不至于癱瘓,甚至于倒閉。在不可量化思想的支配下,很難想象銀行會致力于操作風險量化模型的開發。這或許是國內商業銀行操作風險管理水平難以提升的重要原因之一。
4、操作風險事件之間是相互聯系的而不是孤立的
從表面看,工作人員的操作失誤、銀行員工的欺詐以及關鍵人員的流失三者之間并無多大聯系。而停電、詐騙以及“非典”之間更是風馬牛不相及。由此,很多人得出“各種操作風險事件之間是孤立的、毫無聯系的,從而操作風險是突發事件”的結論。這其實是忽略了隱藏在不同表面現象背后的共性本質,忽略了眾多隨機變量近似地服從正態分布的統計原理。以工作人員操作失誤、銀行員工欺詐和關鍵人員流失三類風險事件來看,它們的本質均是人的因素引起的操作風險,且在足夠長期限和足夠多數據的情況下可以近似地描繪出其概率分布。停電、詐騙與“非典”之間的關系與此相似,三者均屬于外部因素造成的操作風險,且眾多上述事件同樣會近似地服從正態分布。只有看到各種操作風險事件之間的聯系,才能準確地描述銀行面臨的操作風險,進而從整體上把握操作風險。這正是巴塞爾委員會關于操作風險定義的基礎所在。那種以孤立的、隔離的眼光看待操作風險的做法只能將各個操作風險視作突發事件,也就無法從整體上把握銀行面臨的操作風險,更不用說對其進行科學有效的管理了。目前國內很多銀行就存在這一問題,當面對“非典”沖擊之時,當遭受系統癱瘓之時,銀行并未從操作風險的角度對之進行系統分析和把握,只是將其看作突如其來的偶然事件,應付過去。如此一來,銀行根本不會想到為其準備應急預案和分配經濟資本。再次面對類似事件,銀行只能是屢屢受損,甚至于出現災難性的后果。
操作風險的認識還應注意到操作風險的管理不僅僅是稽核審計部門的事,應該是業務生產各環節的管理要求;管理者非常容易對市場風險和信用風險管理產生偏好,不應該因此而忽視操作風險的重要地位;操作風險應重視資源的投入,尤其是更多的人力(培養專業的操作風險管理人才,建設操作風險管理的團隊)、財力(投入資金用于操作風險的模型和系統建設)、物力(配置更多的固定資產資源,為操作風險管理的實施提供環境和保障)等等方面的投入。只有對操作風險有了清醒認識、足夠的重視,才能上升到如何落實和實施操作風險的管理過程及事后的評價。
(二)、巴塞爾委員會對管理操作風險提出的要求
巴曙松在《巴塞爾新資本協議研究》一書中曾經提到:“操作風險的管理需要強調風險管理環境、風險管理過程、監管者的作用和信息披露的作用”(注2)。巴塞爾委員會在總結國際金融界經驗的基礎上,將管理操作風險歸納為四部分的具體要求:
1、建立適當的風險管理環境
巴塞爾委員會認為,對銀行來說,應當首先建立適當的風險管理環境,這要求董事會應當了解作為一個獨特的、可以控制的風險種類-----銀行操作風險的主要方面,應當批準和定期審查銀行的操作風險戰略。該戰略應該能夠反映銀行的風險容忍程度及其對這種風險種類的特定特征的理解。巴塞爾委員會也承認,銀行組織內部的信息流程在建立和維持一個有效的操作風險管理框架方面可以發揮重要作用。
2、風險管理過程:識別、衡量、監督和控制
巴塞爾委員會認為,銀行應當建立識別操作風險的類別、衡量操作風險的方法、監督操作風險的手段和控制操作風險的機制等的電子化管理系統。對操作風險的整個過程進行跟蹤,有效的管理操作風險的全過程。建立衡量操作風險的必要方法,實施可以持續監督操作風險暴露和重大業務損失的應用系統。
3、監管者的作用
在建立適當的風險環境和全程的風險管理過程的基礎上,監管者應對銀行與操作風險相關的戰略、政策、程序和做法直接或間接地進行定期的獨立評價,使之可以及時的修正錯誤的環節。并保證銀行具備一個有效的報告機制,使他們可以及時了解銀行操作風險管理執行過程是否按照計定的方針政策行事,使監管者亦可了解政策方針落實的進展情況。
關鍵詞:新巴賽爾資本協議 商業銀行 操作風險
巴林銀行的倒閉,大和銀行紐約支行的不慎交易,諸多事件為全球金融機構敲響了警鐘,金融理論界和實業界開始研究影響日益巨大的操作風險問題。國際銀行業普遍認識到操作風險管理的重要性,新巴賽爾資本協議把操作風險也納入資本監管的范圍。因此,操作風險的管理在金融機構中的地位日益重要,金融機構可以通過操作風險的管理來實現資源的有效使用。
巴塞爾銀行監管委員會根據國際銀行業風險管理的變化,從1998年開始關注對銀行業操作風險的管理和研究,并在1999年6月公布的新巴塞爾資本協議的第一次征詢稿中,提出應考慮對操作風險進行資本覆蓋。2003年4月29日,巴塞爾銀行監管委員會對《巴塞爾資本協議》(稱“新巴塞爾資本協議”)進行第3次征求意見,以對新的資本充足率的規定做出最后的修訂。委員會的目標在2003年末最后一個季度完成修訂,并于2006年末在成員國家開始執行。新巴塞爾資本協議有3個支柱:最低資本要求,監管部門的監督檢查和市場紀律。在計算最低資本要求時,需要考慮三大風險:信用風險、市場風險和操作風險。新資本協議在不斷改進中反映著風險測量和管理技術的提高。新巴塞爾資本協議以資本充足率為核心的監管思路,使最低風險資本要求和每項信貸風險面的規范評估結合在一起,特別是第一次將操作風險和最低資本要求結合起來。相對于舊協議而言,其風險衡量的方式更加靈活,不再局限于原有的單一框架,銀行可以根據自身情況選擇合適的風險衡量方法,以促使銀行不斷改進風險管理水平。
新巴塞爾資本協議中操作風險的涵義及衡量
巴塞爾銀行業監管委員會的定義是比較權威的一個,也就是巴賽爾新資本協議中的定義。根據此定義,操作風險指的是由于不充分的或失敗的內部程序、人員和系統,或者由于外部的事件所引起的直接或間接損失的風險。巴塞爾委員會同時指出,這一界定包含了法律風險,但是并不包含策略性風險和聲譽風險。
從廣義來說,操作風險可以分為內部風險和外部風險,內部風險主要指由于內部因素引起的操作風險,包括程序風險、技術風險和人員風險。程序風險又分為流程設計不合理和流程執行不嚴格兩種情況;技術風險包括系統失靈和系統漏洞兩種情況;人員風險包括操作失誤、違法行為(員工內部欺詐或內外勾結)、違反用工法、關鍵人員流失等情況。外部風險主要是指外部因素引起的操作風險。這些外部沖擊包括稅制和政治方面的變動、監管和社會環境的調整、競爭者的行為和特性的變化等。內部風險主要與內部控制效率或管理質量有關,而外部風險與外部欺詐、突發事件以及銀行經營環境的不利變化等有關。
操作風險也存在量化困難,新協議第一稿并未提出任何計量方法。在充分聽取各方意見后,巴賽爾新資本協議,對于操作風險的衡量大致有三種方法:基本指數法,指以銀行過去3年內的平均年總收入的一個固定比例來確定應對操作風險的必需資本量;標準法,把銀行的業務分為8個不同領域:公司金融,交易,零售銀行,商業銀行,支付結算,服務,資產管理和零售經紀,然后分別計算操作風險指數,再乘上某一固定比例得出所需資本量;高級測量方法,采用此法的銀行必須取得監管層的同意,由銀行內部操作風險測量系統用定性和定量的方法加以確定。高級測量方法的使用則需要一些特別的標準。如果銀行采用較高級的方法在沒有監管層同意前不得轉為較簡單的方法。在新巴塞爾資本協議的第二次征詢稿中,對高級計量法中內部衡量法、損失分布法有比較詳細的描述,但在最終只是在“資格條款”中對使用高級計量法計算操作風險資本的銀行提出了嚴格的定性和定量的要求,并要求一定要得到監管當局的批準。目前國際上只有少數跨國大銀行在使用或開發該計算方法。
我國商業銀行操作風險管理的策略
政府應加強操作風險監管的力度,使其與最低資本要求相結合
為了使操作風險的控制更具實際意義,就需要進一步研究出金融機構具體的行為準則。中國銀行業監督管理委員會令(2004年第2號)公布的《商業銀行資本充足率管理辦法》中第一章總則中第五條明確規定“商業銀行資本應抵御信用風險和市場風險”。雖然暫時未將操作風險納入計算的范圍,在制度上減輕了商業銀行對操作風險的資本覆蓋壓力,但是也不可避免的放慢了商業銀行對操作風險的管理。建議對不同的商業銀行實行不同的操作風險要求。
探索操作風險控制與緩釋的方式
銀行在控制操作風險發生的同時,還可以采用各種方式控制和緩釋風險。包括避免、緩釋、保險和承擔四種方式。其中保險是目前國際活躍銀行使用最為普遍的操作風險緩釋方式,針對不同的操作風險會有不同的保險產品與之相對應。傳統保險產品中的銀行一攬子保險、錯誤與遺漏保險和經理與高級職員責任險等已經被實踐證明是比較成熟的保險產品,而且得到了廣泛的運用。20世紀90年代中期至今,又開發了諸多新的保險保障產品,諸如未授權交易保險、電子網絡技術風險的保險等。銀行操作風險保險承保范圍將進一步擴大,新的操作風險將不斷被納入保險的范疇,保險將作為銀行操作風險管理的經常性工具。目前國際上除了保險以外,還有互惠資保險基金、證券化、優先風險計劃也可作為操作風險保險的替代品。
完善銀行操作風險管理組織架構
根據風險管理基本流程與組織設計原則,我國商業銀行操作風險管理應采用分權化職能型的組織結構,在總分行制的基礎上(以“總行一分行一支行”型結構的銀行為例),總行應以操作風險戰略決策的制定和管理為主,同時負責對操作風險的總體控制。總行管理操作風險的組織機構應包括:董事會、高級管理層、內控制度管理委員會、稽核總局、操作風險的計量分析與評估部門、科技信息部門、教育培訓部門、內部授權管理部門、法律事務部門以及所有業務部門,其中稽核總局直接向董事會負責。分行的機構與總行基本一致,但不包括董事會,分行設立稽核分局,并直接向稽核總局負責。支行主要從操作層面控制操作風險,因此支行只設立業務部門,執行總行和分行所制訂的制度和政策,支行不設稽核部門,只接受稽核總局或分局的檢查。
由于將操作風險納入到組織文化中成為風險管理的一個重要部分,培養操作風險文化對于操作風險管理也是極其重要的。依靠教育培訓部門對銀行所有業務人員加強培訓,提高操作人員的業務能力、法律意識、制度觀念和道德水準,降低一切因操作人員業務技能低、管理人員管理水平差或員工對政策、制度、法律不了解等原因所造成的操作風險。
積極開展操作風險的模型化研究
雖然目前國外對操作風險管理也還處于發展階段,但是通過量化方式衡量操作風險則是大勢所趨。國內銀行操作風險的模型化發展基本處于零階段,這就造成操作風險的管理始終停留在內部審計和主觀判斷的低層次上。把操作風險量化研究與控制框架結合起來才能為操作風險管理提供科學的依據,這是國際活躍銀行管理操作風險的趨勢,也是我國商業銀行的最終選擇。量化操作風險的首要工作就是要建立操作損失數據庫,因此監管機構和商業銀行自身都要按巴塞爾委員會的操作風險矩陣立即著手建立損失數據庫,積累損失資料。建立成功的損失數據庫從而為精確度量操作風險建立基礎。
參考文獻:
關鍵詞:金融投資;風險管理;操作;分析
引言:風險管理逐漸受到金融機構的關注。科學合理的金融風險管理可以讓金融機構進行有效的、健康的發展,并且,還可以將企業的防范風險的資金成本降低,提升企業的競爭能力。當前,金融機構所要面對的風險大致上可以分為:市場風險、信用風險和操作風險。市場風險指的是因為特殊的環境風險因素的轉變,讓凈收入或投資組合價值出現波動。當前由于我國的經濟處在轉型階段,認為目前的市場經濟的法律及規章制度具有許多不完善的地方,加上社會的變化,使得各種違規與欺詐的事情不斷涌現。所以,操作風險是我國金融機構需要面對的主要風險,操作風險的管理對于金融機構具有極其特殊的含義。
一、操作風險的含義
金融操作風險的含義為:操作風險與金融投資業務緊密相連,是由于外部因素、技術體系以及內部因素的影響下,導致無法掌控的損失,這些損失和金融市場上出現的波動以及交易方的信用問題無關。所以,通過引起風險發生的內部原因可以發現,金融投資的操作風險主要出自以下幾個方面:
1、操作結算風險。由于交易指令、定價、結算以及交易能力等問題引起的損失;
2、技術風險。因為技術的局限或者硬件方面的原因,導致公司無法有效、正確的收集、解決、傳導信息所引發的損失;
3、內部失控風險。因為超風險限額而沒有被發現、越權交易或者是后臺部門的欺詐行為造成的損失。
當然,想要為金融投資的操作風險給出一個非常明確的定義是具有難度的。在進行風險操作管理時,很多國外的金融投資機構運用了對于市場風險以及信用風險認同的方法及管理方式,也就是針對風險進行詳細劃分,掌握操作風險的含義,了解哪些類型的風險應當歸入到操作風險當中,哪些類型的操作風險應當歸入到風險管理當中,并且進行詳細的分析來確定是否要進行整體風險的控制,通過實踐表明,這樣的方式確實非常有效。
二、金融投資面對的風險分析
風險管理的目的并非消除風險,而是將風險管理降到最低的過程,在風險管理的過程里,要先針對金融投資里的風險進行辨別,這是投資者做風險管理的先決條件,只有真正辨別出投資過程里的風險,才可以運用合理的方法進行風險管理。而在金融投資的過程里,最為常見的風險有以下幾種:
1、市場風險。市場風險也可以稱作價格風險,指的是通過金融工具的市場價格進行轉變,從而引發的虧損風險。因為金融投資工具頻繁出現價格的轉變,因此投資者在面對市場風險是最常見的一種風險。通過市場風險的不同來源可以進行不同的分類,大致可以把市場風險分成系統性和非系統性風險,系統性風險通常是指因為宏觀原因的轉變,造成投資組合凈值的轉變。非系統性風險指的是投資的某一品種引發的風險。投資者在面對系統性風險及非系統性風險時所采用的房里方法也不同,而系統性風險是無法動搖的,非系統性風險可以透過投資重組進行分散。
2、流動性風險。流動性風險指的是通過投資重組將金融工具進行集中,引發投資產品短期內變現困難,并且持有的流動資金無法進行正常支付時產生的風險。常規情況下,如果投資者的金融產品價格波動正常,并且投資金額占總資金的比重不大時,流動性風險就不會非常嚴重。流動性風險往往出現在市場波動較大,交易量迅速降低,投資者必須要大批先進的狀況下,才容易造成嚴重的損失,因為這樣的狀況下,投資者通常要用較低的價格將手中投資的金融資產銷售掉。
3、操作風險。操作風險作為金融投資過程里最關鍵的風險,包含了很多已經識別出的風險。詳細來說,操作風險指的是因為投資者內部經營管理問題以及投資策略失誤引起的風險。通常包含以下幾點:
(1)投資研究員的專業素養、職業道德以及風險意識所引起的投資決策風險;
(2)因為投資者的管理能力有限所引起的經營風險。
這些風險都會給金融投資造成損失。操作風險融入于金融投資過程當中的方方面面,是投資者必須基于關注和防范的風險。
4、信用風險。信用風險也是金融投資風險當中非常重要的一種,它主要指在金融交易的過程里可能會引發的交收違約,也可能會引起債券持有發行人違約或者拒絕支付到期款而引發的金融投資資產損失的風險。由于我國金融市場的不斷發展,貨幣、債券等固定收益的金融工具逐漸變成重要的投資類型,甚至是國內短期的融資券的發行也在不斷擴大,由于這些金融投資品種的風險不斷累積,最大程度的避免金融投資信用風險成為了投資者必須關注的問題。
三、操作風險的度量
操作風險作為金融活動當中最為普遍的風險表現形式,從歷史的角度來講,很多度量操作風險的失敗原因,大多是沒有適當的方式以及可以用在量化分析的客觀數據,而信用風險和市場風險則存在許多例如價格變動、違約率等可以利用的外部分析數據,相對而言較為容易進行風險度量。因為影響操作風險的原因大多是金融機構內部原因,并且風險因素和產生的可能性及損失的大小之間不具備明顯的關聯,所以,在實際操作中,很難有人尋求到一種方式可以清晰的描繪出操作風險,自然對于操作風險的度量來講,也具有非常大的困難。已經掌握的操作風險度量模型有三種:
第一種:創建于數據之上的統計模型,此模型最具代表性的方式就是損失分步法,也被稱為LDA。此方式會先對單個損失的發生頻率以及大小通過參數進行評估,之后運用連接函數的方式將各種影響因素進行綜合;
第二種:依舊是統計模型的計算操作風險,可是主要應當通過定性方法進行校對模型,定性方法大致包含了風險排序法、情景分析法、排查法、權衡打分法等;
第三種:創建于操作風險過程的功能模擬智商的模型,透過單一的過程相互依存的方式來模仿影響因素之間的關聯性。
當然,就目前的操作風險度量方法而言,有兩種模型應當重點說明:第一種是用于測量操作風險的VaR技術。它的主要論點在于操作風險可以通過VaR技術進行測量,以建立來自內部和外部的操作損失數據庫為基本思想,并通過數據的操作損失分布,來確定一個置信區間,這樣就可以將VaR的操作風險計算出來。但也可以通過分析收益波動性來計算操作風險,也就是通過收益當中將市場風險以及信用風險的相關收益剔除掉,把剩下的收益當成和操作風險有關的收益,可是就這一點而言爭議性非常大;第二種是貝葉斯推斷網絡模型,也可以稱之為BBN模型,貝葉斯網絡逐漸被使用在度量以及模擬操作風險方面,其主要原因有以下四個方面:
第一,BBN推斷網絡模型描繪了對操作風險具有影響的各類因素,所以可以提供行為改變的原因;
第二,BBN可以使用在情景分析方面,計算出度量的最大經營損失,并將市場風險以及信用風險有效結合;
第三,BBN適合用在度量以及模擬不同種類的操作風險方面;
第四,運用決策節點以及效用來充實BBN,來提升管理決策的明朗化。
BBN的結構屬于一種直接的非循環類的圖形,其中節點的意思是隨機變量,連線的意思是影響因素,BBN結構屬于一種流轉過程同各類因素的融合。BBN較為容易進行情景分析,投資經理在進行債券交易的同時,對即將要執行的交易通過情景模擬的方式來計算出預計的結算損失有多少,BBN較容易通過情景分析讓風險經理針對外來的交易風險進行掌控,并且風險經理可以透過針對市場風險因素以及信用風險因素的情景模擬,判斷出操作風險是怎樣同市場風險以及信用風險有效結合的。
貝葉斯推斷網絡模型可以用在一系列的度量操作風險上,針對同一個問題可以創建出很多個BBN網絡大框,并且決策人員可以透過返回檢驗的方法來判定哪種是最佳的網絡設計。通過理論以及實踐可以發現,貝葉斯推斷網絡模型非常值得金融投資機構使用操作風險度量以及模擬方式進行操作。
總之,操作風險度量大致有以下三種方式:
第一種,分析方式。這種方式對于損失產生的次數以及大小都給出了非常強硬的假定,之后通過一些統計模型來獲得操作風險的大小,大致上來講屬于一種定量測量的方式;
第二種,主觀判定方式。在執行操作風險的度量時,由于缺少操作風險的損失數據,因此,想要通過數據進行評估操作損失的分布就變得尤為困難,至少對當前而言,用評估操作損失分布的方式來判斷金融投資的操作風險是不符合邏輯的。因此,當前國外的金融體系運用的操作風險度量方式普遍以定性評價方式為主,這種方式通過獨立的部門,經由事先預定的風險評估指標針對每一個業務的缺陷進行評估,之后,再進一步進行細分;
第三種,定性和定量相結合的方式。這種混合的方式,使得相對風險排序、主觀方式的運用以及損失時間數據庫的建立進行有效結合。
四、操作風險的控制與管理
操作風險管理不僅要系統的進行分析預期損失以及未預期損失的緣由,并且也要評估風險,為風險的預防、降低轉移和為風險分配資本等做出努力。操作風險管理的步驟大致包括以下幾點:
1、明確風險管理的范疇以及目標。
高層的管理人員詢問過董事會之后,應當同企業的經營策略、風險偏好相結合,為風險管理建立一個范疇以及目標。并且,還要制定一些短期的具體目標,以確保風險管理的工作可以穩定的發展。這些短期的具體目標可以分為以下方面:
(1)明確定義一些關鍵的損失事件并進行命名,這樣才可以確保在未來的管理工作里可以更加方便的進行探討和分析;
(2)創建一個損失事件簿,為定量分析操作風險模型積攢數據;
(3)創建統計模型分析特定損失時間的原因以及相互之間的關聯;
(4)采取由于風險進行的資源配置和情景分析。
2、明確重要的風險。
員工通過高級管理人員的支持后,一定要明確哪些才是重要的風險。操作風險管理之所以失敗,是由于內容過于寬泛,所以在明確的同時,一定要嚴格依照高層規定的目標進行操作。
3、針對風險進行評估。
運用不同渠道獲得的數據,用來評估一些較為重要的過程以及資源的操作風險,評估的內容不僅包含了風險形成的沖擊,還包含了損失事件產生的概率。針對無法定量分析的風險,一定要找到產生這些風險的原因和可以通過怎樣的方式進行評估。并且,風險不同,相互間的依賴就不同,所以需要對她們之間的依賴性進行評估。
4、分析。
通過以上內容后,已經初步判斷出各部門潛在的操作風險。隨之而來的,就是要為這些風險進行分析。先進行風險加總,然后進行可行的風險管理措施,之后要分析單獨的損失事件,再分析風險的過程以及資源的分配,分析出關鍵的風險因素,最后,針對風險管理的措施進一步進行分析。
5、通過措施消除存在于經營過程以及資源當中的風險。
可以通過風險回避以及風險因素管理的措施、損失預報的措施、損失預防的措施、損失掌控的措施、降低損失的措施、應急措施和風險融資的措施進行管理。
6、針對操作風險的檢測報告。
一個規范的報告制度是一個成功的風險管理的首要條件。針對風險采取連續的檢測,并定期進行報告的方式可以有效的檢測出操作風險管理的需求,所以,持續的檢測對于任何一種風險管理來講都是必不可少的環節。
結束語:通過世界的角度來看,針對操作風險管理的分析才剛剛開始,雖然在金融部門的投資過程里運用了一系列的操作風險管理的方法,可是顯然這些管理方式還不夠健全,也缺少理論作為指導。操作風險在金融機構進行投資的過程里需要面對的主要風險,金融投資風險的管理成效如何完全在于怎樣操作風險管理。投資者應當建立長期的投資目標,以完善的風險政策進行總結和評論,進而為風險建立一個完善的制度及管理的支持。(作者單位:貴州省茅臺集團財務有限公司)
參考文獻:
[1]黎仁華,馬麗莎.商業銀行風險預警測度指標的定位分析——基于操作風險導向的審計模式[A].中國會計學會財務成本分會2006年年會暨第19次理論研討會論文集(下)[C].2006.
[2]周青.中國特色社會主義金融監管體制創新研究——轉軌時期我國商業銀行操作風險管理創新研究[A].“中國特色社會主義行政管理體制”研討會暨中國行政管理學會第20屆年會論文集[C].2010.
關鍵詞:操作風險;巴塞爾協議;內部欺詐;風險評估機制
操作風險的存在可謂是歷史悠久,自商業銀行誕生之日起,它便一直伴隨左右,然而人們對于其定義、重要性等的認識卻不全面,2004年頒布的《新巴塞爾協議》才將操作風險與信用風險和市場風險并列為三大主要風險,而我國銀監會在2005年的《關于加大防范操作風險工作力度的通知》中首次提出了操作風險這一概念。
一、操作風險的提出背景及定義
20世紀90年代以來,由于風險管理不足而引發的震驚國際的商業銀行損失事件頻頻發生,有的銀行甚至因此而破產清算。1995年,巴林銀行由于操作管理存在問題,交易業務與清算稽核沒有分離,外匯交易員兼總經理的里森違規進行未經授權及隱匿的期權和期貨交易,并隱藏虧損,最終導致具有230多年的銀行宣布破產。同樣由于銀行操作人員越權交易,1996年日本大和銀行紐約分行的員工帳外買賣美國聯邦債券,并偽造文件隱瞞虧損,在11年間有3萬多筆交易未經授權,造成11億美元的損失,最后從美國全面撤退。2002年,聯合愛爾蘭銀行美國分行的員工偽造交易單給銀行造成7.5億美元的損失。越來越多的銀行損失倒閉案件,使人們開始關注被忽略已久的操作風險。2002年巴塞爾委員會舉行了一次全球性的針對操作風險的調查,損失數據調查中89個銀行提交了數據,涵蓋了超過47000個損失事件,共造成了77.95億歐元的損失。終于,在2004年的新資本協議中將其納入風險資本的計算和監管框架之中。巴塞爾委員會對操作風險的定義是:由不完善或有問題的內部程序、人員及系統或外部事件所造成的損失。操作風險的損失事件又分為七項內容:內部欺詐、外部欺詐、就業政策和工作場所安全性、客戶,產品及業務操作、實體資產損壞、業務中斷和系統失敗、執行、交割及流程管理。
二、我國商業銀行操作損失情況及操作風險的獨特性
據金融信息參考2005年第6期報道,我國從2000年到2004年共發生涉案金額在百萬元以上的銀行業案件75起,其中人民銀行6起,農業銀行15起,建設銀行17起,中國銀行18起,其他金融機構10起,除涉案金額不祥的13起案件以外的其他案件造成國有資產損失高達24.15億元。2001年,中國建設銀行吉林分行的工作人員內外勾結,采取私刻印鑒和印章,制作假合同、假存款證明書,偽造資信材料、擔保文件等手段,進行貸款、承兌匯票的詐騙。2003年,審計署審計報告中公布的"華光案"中,馮明昌利用其控制的13家關聯企業,累計從工商銀行廣東南海支行獲得貸款74億,案發后,其中28.8億無法歸還。2005年,中國銀行黑龍江河松街支行內外勾結,進行票據詐騙,損失金額達10億元,中國銀監會公開對中國銀行提出批評。
從上述國際銀行以及我國商業銀行的案例中,我們可以發現操作風險有其自己的獨特性。其中最主要的是其內生于銀行的工作人員、日常操作、銀行的結構等,不同于市場風險和信用風險屬于外生性風險。其次是它的復雜性,由于發生操作風險的原因以及涉及的業務十分寬廣,監管部門很難全面的監管以及防范,無法有效控制損失頻率與大小。
有學者對我國商業銀行操作風險事件在商業銀行業務中的比重進行了研究。其中,國內商業銀行業務的操作風險事件占全部業務線操作風險事件的74.7%,商業銀行業務線上的操作風險損失金額占全部業務線損失的97.6%,而商業銀行操作風險損失事件主要來源于銀行內部,特別是銀行內部人員或內部人員與外部人員互相勾結所進行的主觀的、故意的欺詐行為。從下圖可以了解到,內部欺詐98起,比重為56.3%,外部欺詐34起,比重為19.6%。從以上數據可以看出,商業銀行的操作風險損失事件的數量和金額都比較大,因此對我國銀行業的操作風險管理與度量迫在眉睫,而且對從業人員的監督與管理尤為重要。
資料來源:張新楊:《我國商業銀行的操作風險研究》 中國期刊網博碩士學位論文全文數據庫
三、防范商業銀行操作風險的主要方法
1、建立商業銀行的操作風險意識
要想做好防范商業銀行的操作風險,那么首先要從思想上重視。由于我國商業銀行在2005年第一次接觸操作風險的概念,對其關注的時間比較短,尚未真正認識操作風險,銀行內部也沒有形成良好的操作風險文化。因此,當務之急便是使銀行工作人員上至管理層下至普通員工都對操作風險有清楚的認識,使得人人講風險,事事講風險。
2、建立商業銀行的操作風險管理架構
首先,商業銀行必須建立一個獨立的部門來負責操作風險的度量與管理,這樣可以使得交易業務與清算稽核相分離。其次,商業銀行的董事會、監事會、高級管理層,都有權對商業銀行進行全行范圍內的風險監督與管理,以確保銀行的安全與穩定。
3、提高商業銀行工作人員的內在素質
從國內外的案例中我們可以發現,操作風險的發生與人密不可分,尤其在我國,內部欺詐的比例達到56.3%。銀行應建立完善的完善的防范約束機制,對違法越權的員工給予懲罰,同時,應經常對員工進行教育,避免其利欲熏心,鋌而走險。
4、建立完善的操作風險測度機制
國際上通常認為操作風險通過定性和定量相結合的方法進行測量。操作風險管理的內部評估機制基本上是定性的,由于各個國家有不同的內部控制定義和框架,因此在測度操作風險是也會有所差異,主要有美國COSO委員會的內部控制框架、巴塞爾委員會的內部控制系統的評估框架、英國的綜合準則以及操作風險統計的記分卡法。而定量方法主要有三種,是巴塞爾委員會在新資本協議中提出的三種估計方法:基礎指標法、標準法、高級計量法。商業銀行需要根據自己的實際情況,在做好數據收集、系統設計的基礎上,選擇適合自己的測量方法,開發出適合自己的操作風險測量模型,使操作風險的大小直觀、全面的呈現出來。
四、結語
商業銀行的操作風險雖然是一個古老的風險,但是我們對它的認識與研究仍然處在一個起步階段,對操作風險的防范與度量仍需要很大的完善與創新。在全球經濟一體化的浪潮下,金融的國際化也是必然的,所以,商業銀行更需要完善與創新自己銀行內部的防范措施與測量方法,使得操作風險發生的概率與損失金額都降到最小。
參考文獻:
[1]巴塞爾委員會.巴塞爾新資本協議[Z].2004.
[2]張吉光.商業銀行操作風險識別與管理[M].中國人民大學出版社,2005.
關鍵詞:商業銀行 風險管理操作風險信息科技風險
中圖分類號:F830.33 文獻標識碼:A 文章編號:1006-1770(2010)09-032-05
一、引言
隨著信息技術與現代商業銀行業務的深度融合,銀行對信息技術和信息系統的依賴日益增強。信息科技已成為商業銀行日常運營的操作平臺、管理決策的重要支持、以及業務創新的基礎工具。同時,與之相關的信息科技風險也滲透到了銀行經營和決策的各個方面,信息科技風險管理不僅維系著商業銀行的持續安全運營,而且也成為銀行價值創造的重要支柱,因而信息科技風險成為現代商業銀行風險管理不可或缺的重要內容。
商業銀行傳統的信息安全管理,更多是從信息技術開發和管理的本身出發,建立相應的技術標準而進行的,這些標準適用于信息技術部門內部的信息安全管理,也是信息科技風險管理的重要基礎。但信息安全管理的本質是風險管理,現代商業銀行構建全面風險管理體系,也需要借助操作風險管理框架和工具對信息科技風險進行有效管理。
我國主要商業銀行正在積極實施《巴塞爾新資本協議》,這需要對包括操作風險在內的三大風險建立全面風險管理體系,而信息科技風險作為操作風險的重要表現形式之一,也成為銀行風險管理的一個新的焦點。因此,本文試圖在操作風險管理視角下探討信息科技風險的識別、計量、監測和控制等流程和方法,以提高商業銀行對信息科技的應用水平和對信息科技風險的管理效率,增強銀行全面風險管理能力。
二、信息科技風險與操作風險管理框架
商業銀行信息科技風險,是指信息科技在商業銀行運用過程中,由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。信息科技風險管理的目標是通過建立有效的機制,實現對商業銀行信息科技風險的識別、計量、監測和控制,促進商業銀行安全、持續、穩健運行,推動業務創新,提高信息技術應用水平,增強核心競爭力和可持續發展能力。
操作風險是《巴塞爾新資本協議》在信用風險和市場風險之外,所強調的商業銀行面臨的另一種重要風險類型,是指“由不完善或者有問題的內部程序、人員及系統或外部事件所造成損失的風險(表1)。”策略風險和聲譽風險不包含在此定義中。我國銀監會也基本沿用了這一定義。
可見操作風險這一定義的內涵包括由信息科技系統所產生的信息科技風險。因而商業銀行在落實《巴塞爾新資本協議》、實施全面風險管理的過程中,需將信息科技風險作為操作風險的重要內容統一進行管理;對信息科技風險的管理,可以借用操作風險的管理框架和工具。
從風險管理的流程來看,一個完整的操作風險管理(Operational Risk Management,ORM)框架首先要確定執行和負責操作風險管理的組織機構,然后依據操作風險識別、風險計量、風險監測和風險控制的流程進行,形成一個循環往復、不斷提升的風險管理過程。這一過程可用如下的操作風險管理“轉輪”來表示(圖1)。這一框架能提供一個對操作風險管理的完整流程,并允許銀行在事先管理操作風險,而不論風險是否存在于業務過程、人員、信息科技系統或是外部事件中。
操作風險管理框架中的每一階段都有不同的任務,理論界和實務界也都分別提出相應的工具和方法。下文嘗試將操作風險的管理框架應用于商業銀行信息科技風險管理,從而使信息科技風險管理成為銀行全面風險管理的有機組成部分。
三、ORM框架下的信息科技風險管理
(一)信息科技風險管理的組織建設――信息科技治理
根據銀監會的要求,IT治理的目標是在良好的公司治理的基礎上,形成分工合理、職責明確、相互制衡、報告關系清晰的信息科技治理組織結構。從銀行內部來看,IT治理是公司治理的重要組成部分,包括與信息科技相關的領導關系、組織結構和工作流程等,其目的是保障信息科技與業務發展戰略目標相一致。
信息科技治理是良好信息科技風險管理的基石,商業銀行需要在公司治理基礎上建立自上而下的信息科技治理結構。具體地,商業銀行的董事會、高管層要對本行信息科技風險最終負責;董事會下的風險管理委員會可專設信息科技風險管理分委員會,由高級管理層、信息科技部門和主要業務部門代表組成;設立首席信息官(CIO),負責信息科技相關的重大決策,向上直接向行長和董事會報告信息科技運行和管理情況,向下統一領導信息科技板塊各個部門,布置信息科技風險管理措施的實施;同時,風險管理部、尤其是操作風險管理部,也應把信息科技風險作為操作風險管理的一個特殊而重要的類型進行統一管理。此外,內部審計部門負責對信息科技風險管理的合規性和有效性進行審核(圖2)。
在這樣的信息科技治理結構之上,商業銀行可將信息科技風險納入總體風險管理框架,針對信息科技風險分布廣泛、專業性強等特點,可以構建由信息科技業務經營部門、信息科技條線管理部門、風險管理部門和內部審計部門構成的“四道防線”,實現對信息科技風險的有效防范和管理。
(二)信息科技風險的識別方法
信息科技風險識別是指風險管理者通過一定的方法和手段,按照信息科技風險的來源范圍和表現形式,鑒別信息系統開發和運行過程中一切可能導致信息科技風險的因素和產生風險的環節點的過程。信息科技風險識別方法可借用操作風險的識別工具。
1.風險與控制自評估法
信息科技風險的風險與控制自評估法(RCSA),是指銀行IT風險管理部門對本行信息系統開發、信息數據管理、系統運行與維護等IT條線業務進行流程分析,識別并評估其中隱含的風險點,并對業務流程現有的控制措施的合理性和有效性進行評價的過程。
RCSA從梳理IT條線的主流程及其包含的子流程入手,針對這些流程設計RCSA問卷。這一問卷包含了每一流程步驟涉及的風險類型、相應的控制類型等內容,需要評分人對現有的控制設計和有效性進行評估,對風險導致的固有風險暴露、以及采取控制措施之后的剩余風險進行評分。最后要根據RCSA的結果決定是否采取對特定風險的控制行動。
2.風險地圖法
風險地圖(Risk Mapping)能夠顯示特定風險事件的風險暴露分布狀況,將風險暴露與銀行或業務部門的風險容忍度連接起來,根據特定風險在風險地圖中的落點可決定對風險是否采取適當的控制措施。
風險地圖是一個嚴重性-可能性矩陣。根據特定風險可能導致損失的嚴重程度及損失發生的可能性,可以共同確定風險暴露及其在風險地圖的落點。風險地圖不同區域所代表了不同風險容忍度,風險的不同落點有不同的涵義(圖3)。
A.綠色區域:表示風險處于安全區域,不需采取控制措施降低風險暴露。
B.黃色區域:表示風險在加強監控的區域,應對風險進行關注和加強監控,但還不需采取具體控制措施。
C.橙色區域:表示風險在警戒范圍內,風險管理部門應立即采取控制措施,將風險暴露降低到安全區域之內。
D.紅色區域:表示風險已不可容忍,除了應立即采取措施降低風險暴露至安全范圍內,還應該對風險暴露過高的原因進行追溯和問責。
需要說明的是,不同銀行、不同業務條線的風險容忍度不同,因而風險地圖的具體風險輪廓各異。即使同樣的風險暴露在不同部門的風險地圖上所處的區域可能都不一樣,嚴重程度也不一樣。對具體的信息科技風險管理者而言,要根據本行信息科技業務特點和自己的風險偏好,確定以上四個區域的臨界值。
3.關鍵風險指標(KRI)
KRI是可用于表示商業銀行信息科技風險狀況的定量指標。通過指標的定期監控,可以對信息科技風險變化有代表性的某些方面進行跟蹤和預警,并根據指標所處的區域決定是否采取控制措施。
關鍵風險指標應能代表信息科技領域最主要的風險指標,容易度量并能反映信息科技風險的暴露水平或者控制狀態。商業銀行首先需要明確各項與信息科技相關的關鍵風險指標,對每一指標設定相應門檻值。銀行通過對所有KRI的動態跟蹤,在超過門檻值時采取必要的控制措施,從而及時降低風險暴露程度,使基于KRI的風險控制行動能防止重大損失事件的發生。
與信息科技風險相關的KRI可根據信息科技業務的風險表現和分布特點而設定,具體指標可能包括:系統故障頻率、系統中斷次數、系統中斷持續時間、系統交易失敗比例、IT人員離職率、IT風險事件總數等。
4.損失數據收集(LDC)
首先要根據信息科技風險的分布特點,確定損失數據的收集范圍、起點金額以及統一的損失數據內容(具體表現為損失數據庫的字段格式)。
關于收集范圍,巴塞爾新資本協議對操作風險的損失事件形態分為7個類型,其中與信息科技風險損失事件有關的整理如表2。銀監會《商業銀行操作風險管理指引》中規定應收集并報告的重大操作風險事件中,就包括“造成涉及兩個或以上省(自治區、直轄市)范圍內中斷業務3小時以上,在涉及一個省(自治區、直轄市)范圍內中斷業務6小時以上”的系統業務中斷事件等等。
損失起點金額要根據IT風險損失的分布特征和銀行的風險容忍度而定。而損失數據內容則包括損失事件產生原因、發生時間、所在部門、損失金額、控制措施及有效性等。損失數據要按統一字段格式及時錄入操作損失數據庫。巴塞爾新資本要求采用高級計量法(AMA)的銀行需要至少三年的歷史損失數據積累。
(三)信息科技風險度量方法
操作風險度量方法包括基本指標法(BIA),標準法(SA),以及高級度量法(AMA),后者包括內部度量法、損失分布法和極值法等。目前我國商業銀行對操作風險計量在實踐中采用標準法。
但標準法設定的8個業務線,并未將信息科技業務條線專門列出,因而不能充分體現對信息科技風險的資本要求。事實上,信息科技風險不僅存在于商業銀行信息科技業務條線,同時也廣泛分布于其他業務條線之中。因而,在標準法的基礎上,我們提出將信息科技風險按照所存在的業務部門分為兩部分,分別進行風險計量和資本計提。
第一部分是存在于8大業務線內部的信息科技風險,在根據標準法對8大業務類型的操作風險計量時,已經包含了其中涉及到信息系統操作、運行等相關的信息科技風險。第二部分是信息科技條線的業務平臺上涉及到的信息科技風險,主要包括信息系統開發、信息系統運行維護、數據中心建設和管理、軟件外包、業務連續性經營等方面的風險。
具體計量時,第一部分已經涵蓋在各個業務線的操作風險中;第二部分則由于信息科技業務并不直接產生收入盈利,可根據前三年信息科技投入的平均值,按其一定比例計算信息科技風險的資本要求。
其中Ii表示此前第i年信息科技投入的金額,βIT表示根據信息科技業務風險特征所確定的資本計提比例,KIT表示信息科技風險的資本要求,與其他業務的資本要求相加得到全行總的操作風險資本要求。
(四)信息科技風險監測與報告
風險管理是一個持續提升的過程,因而信息科技風險也需要定期持續的監測,以掌握風險發展的動態。監測一方面可以結合信息安全管理和內控措施,發現信息科技業務中存在的風險點及嚴重程度;另一方面也可以通過對之前設定的KRI的定期檢查,判斷風險是否在可容忍的范圍之內。
對風險監測的結果和風險控制的現狀,需要定期撰寫風險報告,并逐級向上級風險管理部門匯總,最后由總行風險管理部向高管層和董事會定期提交風險報告。如總行操作風險部可以逐月匯總來自信息安全管理部和所有分行有關操作風險報告,其中包含信息科技風險的相關內容,然后逐季向高管層和董事會提交全行的風險報告。當遇到重大信息科技風險事件時,應隨時上交風險報告。
風險報告是支持全面風險管理決策的重要依據,信息科技風險報告內容應包含在操作風險報告之中,其內容應涵蓋報告期內:面臨的或潛在的信息科技風險類型,已發生的信息科技風險事件,風險事件原因和過程,風險導致的損失,風險控制/緩釋措施及其有效性,對風險事件的總結等。
(五)信息科技風險控制措施
由于信息科技風險自身的技術特點,對其有效控制的基礎是在信息科技部門的開發、服務、運營等具體業務流程中實施先進的信息安全管理標準,如ISO20000 IT服務管理國際標準、ISO27001信息安全管理制度標準等。從信息科技風險整體的控制方面,可以實施以下幾項措施。
1.完善內部控制機制。為實現信息科技風險的有效控制,商業銀行需要建立并完善與信息科技風險相關業務的內部控制機制,確定信息科技相關業務和信息系統應用中不同職位的人員在信息科技風險管理中的分工和責任。這包括不同系統在物理上和技術上的隔離、規范業務操作流程、確定并執行嚴格的權限范圍、建立業務流程之間相互平衡的制約機制等。
2.信息系統審計(IS audit)。指收集并評價證據,以判斷一個信息系統能否有效做到保護資產、維護數據完整、完成組織目標,同時最經濟地使用資源的過程。商業銀行內部或外部的信息系統審計部門,可通過一般控制和應用控制等審計方法對全行范圍內的信息系統生命周期內的資產保護、數據完整、資源經濟有效利用以及完成組織目標的情況進行綜合評價。從而總體把握商業銀行信息系統的風險狀況,并向商業銀行風險管理部門和信息科技部門提出咨詢意見。
3.業務連續性管理(BCM)。BCM的目的是通過有效的管理,使在各種意外情況發生時,銀行信息系統和相關業務都能始終不間斷運營;或者退一步,BCM使意外沖擊對信息系統正常運行或業務連續經營的影響降至最小。影響信息科技基礎設施(如銀行的數據中心或業務處理中心)連續運營的主要因素有,黑客攻擊、電腦病毒、軟件錯誤、人為失誤、硬件故障、自然災難等。
有效的BCM是針對以上影響因素嚴重程度制訂的一整套管理方法。如首先是要建立信息系統應急機制和緊急變更預案,從制度上保證出現業務中斷時的行動路線。其次加強重要數據的災難備份。目前我國大部分大中型商業銀行都已經成立了災備中心,進行核心數據的同城鏡像和異地災備。此外還需要對業務處理系統進行切換演練,通過定期進行切換演練,對可能面對的不同沖擊進行情景分析和壓力測試,降低突發事件威脅,提高應急處理能力。
4.通過保險和外包來緩釋和轉移風險。由于發生概率較低但損失程度較大的信息科技風險是難以預測、量化及分配資本的,因此對信息科技風險的緩釋和轉移,可大大降低銀行相關風險暴露程度。
使用保險作為操作風險的重要緩釋工具有很大的必要性。商業銀行與保險公司可以根據主要信息科技風險的損失分布特征,共同開發適當的保險產品以此對商業銀行面臨的信息科技風險進行緩釋。同時軟件開發等的外包,即可利用外部專業資源,又可轉移商業銀行自身承擔的失敗風險。但也需注意要通過簽署權責明確的事前協議,來規避外包過程中的潛在風險。
綜上,信息科技風險管理可利用操作風險管理的框架,但信息科技風險的組織結構、識別、計量、報告和控制等都有其具體的方法和工具。這一框架可以表示為如下圖4,其中左半部分表示了操作風險管理的框架,右邊虛線內是信息科技風險管理的具體內容。
四、結論和建議
本文在操作風險視角下研究了信息科技風險的管理流程和具體措施。研究發現,首先,商業銀行的信息科技風險是操作風險的重要表現形式之一,因而有必要利用操作風險管理框架對其進行管理。其次,操作風險管理的流程和工具,可為信息科技風險的識別、計量、監測和控制提供規范化的參考依據。另外,值得注意的是,信息科技風險有其具體的表現形式和技術特點,對信息科技風險的評估、監測和控制等具體措施等有明顯的技術特點,因而信息技術部門內部的信息安全管理是信息科技風險管理必不可少的重要基礎。
研究建議,商業銀行應在信息技術部門內部的信息安全管理的基礎上,通過在信息技術條線推行操作風險管理,利用操作風險的規范流程和科學方法對信息科技風險進行有效管理。這不僅有利于落實《新巴塞爾資本協議》的監管要求,也有助于提升我國商業銀行全面風險管理體系的建設水平。
注:
本文得到中國博士后科學基金第四十七批面上資助,項目名稱《商業銀行信息科技風險管理研究――基于操作風險管理框架》(資助編號20100470108)。特此感謝,當然文責自負。
[關鍵詞]商業銀行;操作風險;風險管理
[中圖分類號]F832.1[文獻標識碼]A [文章編號]1673-291X(2006)04-0045-04
操作風險是指由不完善或有問題的內部操作過程、人員、系統或外部事件而導致的直接或間接損失風險(Basel II,2003)。“操作風險伴隨著每一筆信貸業務而如影隨形。”(Alexander J. Muermann,2001)實踐與研究成果顯示,操作風險長期以來未受到與其他類別風險同等的重視,匱乏的研究也難以提供較為成熟的風險管理技術(樊欣等,2003)。1995年,巴林銀行破產案給國際銀行界極大震動。該案揭示“即使銀行符合資本充足性的要求,也可能因為操作風險而陷入經營困境”。(Hoffman,1998)
一、操作風險管理的重要意義
隨著金融服務的全球化以及信息技術在金融業的應用和發展,銀行業務經營及其風險組合變得更為復雜。技術系統的更新、交易量的提高、日趨復雜的交易工具和交易戰略、網絡銀行的發展、法律和監管體系的調整和監管要求的日趨嚴格等,都增大了金融機構面臨的操作風險。實踐證明,操作風險比信用風險和市場風險更為廣泛地分布于銀行經營管理的方方面面,并給銀行經營造成了越來越多的損失(Hoffman,1998)。繼巴林銀行破產案后相繼發生的大和銀行11億美元的虧損事件以及2001年愛爾蘭聯合銀行的7億美元虧損事件等都源自操作性風險。巴塞爾委員會風險管理小組2002年6月的一項調查表明,損失巨大的突發事件導致大額損失報告事項增加是一個明顯的趨勢(Padraic Walsh,2003)。操作風險的客觀存在及其增長,迫使金融機構提升其運作效率和可靠性,加強操作性風險的監控和管理。
在銀行業操作性風險損失明顯增長的背景下,從業者對操作風險管理日益關注。《巴塞爾新資本協議》于1999年6月、2001年1月和2003年4月,分別了三個版本的新協議征求意見稿,把操作風險、信用風險和市場風險一并納入對金融機構的監管框架,既是近年來國際金融界日益注重操作風險管理的制度體現,同時,也是從全面風險管理和保持銀行體系穩定的角度對操作風險管理的新要求。因此,以新協議的公布和實施為標志,商業銀行必將面臨一個如何根據新的監管要求有效引入操作風險管理的現實問題(Christine.M,2001)。
二、操作風險管理的相關研究:問題與爭議
有關金融風險的研究一直是金融經濟學的核心內容,由于全球金融系統的一體化進程加快以及金融工具的不斷創新,風險管理的理論和實踐都得到了極大的發展。然而,這種發展是不均衡的,其中有關市場風險度量和管理理論與實踐最豐富,信用風險的研究開展得最早,近來也形成了一個研究的,唯有操作風險的研究至今未形成統一的理論框架。
1.操作風險的界定
對于操作風險的定義現在有多種看法(Hoffman,1998;BBA/ISDA/RMA,2000),討論的焦點是哪種風險應該計入操作風險以及哪種操作風險應該是開展風險管理活動關注的焦點。幾年前,銀行通常將操作風險定義為除了信用風險或市場風險之外的所有風險(Jams Lam,2001),如今業內則普遍接收了巴塞爾委員會的定義:操作風險是指由不完善或有問題的內部操作過程、人員、系統或外部事件而導致的直接或間接損失風險。但Andy Kuritzkes(2001)對銀行操作風險進行分類,認為如果風險定義為收益的不穩定性,則操作風險是指除金融風險(信用、市場、ALM、保險)外的非金融風險。而非金融風險可以進一步劃分為三類:內部事件風險(由于內部失誤造成的損失);外部事件風險(由于不可控的外部事件造成的損失);以及業務風險(由殘余的收益不穩定性造成的損失,而不是來自事件風險)。他將全部的非金融風險粗計為資產的2.0%,而將BIS II界定的操作風險定義為內部和外部事件風險,粗計為資產的0.8%。Andrew和Hal(2002)在2002年6月26日舉行的就資本充足率進行討論的國際金融系統討論會上,對新巴塞爾資本協議提出的通過資本準備金控制操作風險的做法也提出了異議。Andrew和Hal將銀行風險分為金融風險和非金融風險,指出新巴塞爾協議定義的操作風險僅僅是非金融風險的一個子集,包括了內部事件風險和外部事件風險,而將業務風險排除在外。James Lam(2001)則認為,巴塞爾委員會的定義是就“一般意義”而言的,建議銀行構造符合自身目標的定義,關鍵問題是是否將業務風險和名譽風險作為操作風險定義的一部分。而對于風險事件發生的頻率以及影響力的討論,現在比較一致的看法是,雖然頻率高影響小的事件仍然是內部管理的重點,但操作風險管理的重點應該是頻率低影響大的事件。
2.操作風險的度量
自操作風險管理系統提出之后,存在兩種截然不同的學院派觀點。一個學派認為,如果沒有度量就沒有管理,因此,集中研究操作風險的量化工具,例如,損失分布,風險指示器以及經濟資本模型。繼1998年巴塞爾委員會公布了關于操作風險的報告之后,1999年巴塞爾委員會又在其咨詢意見稿中確立了包括操作風險在內的銀行風險最小監管資本要求原則,這是推動操作風險模型化的標志性事件。一時間,操作風險量化模型得到了極大發展。
而另一個學派則堅信操作風險無法有效量化,因此,集中關注更人性化的定性方法,如自我評價、風險繪圖以及稽核調查。John Drzik(2001)認為,操作風險管理應該更注重改善管理實踐而不應過于強調操作風險的度量。監管者的最佳作用是通過要求銀行機構評述所采用的控制操作風險的適當步驟來推進有效的操作風險管理。
兩個學派之爭是人與機器的典型戰爭。如今,操作風險管理的實踐者越來越認識到,最好的操作風險管理實踐是將兩者結合起來。James Lam(2003)基于一致化操作風險管理基準體系的關鍵特性,提出了7因子經濟資本模型。他認為,一致化操作風險管理基準體系應滿足兩個基本要求。首先,它應同時支持操作風險的度量與管理。其次,ORM基準體系應將相互依賴的信用、市場和操作風險結合起來,作為企業全面風險管理(EWRM)程序的一部分。基于這兩個要求,操作風險管理基準體系有五個關鍵特性:(1)平衡定性和定量工具;(2)提供早期警告并逐步升級;(3)影響業務活動;(4)反映環境變化;(5)合并互相依賴的風險因素。根據這五個關鍵特性,Jams Lam提出了包含收益乘數、操作邊際、內部指示器、外部指示器、模型風險、系統風險、金融風險乘數7個因素的經濟資本模型。
3.操作風險的管理手段
關于操作風險的管理手段,《巴塞爾新資本協議》對操作風險提取監管資本的要求引起了銀行業和一些學者的極大關注,人們關注的焦點除了在于如何衡量操作風險,以便適當地配置監管資本外,更有不少學者產生質疑。
Alexander Muermann(2001)認為,操作風險管理是銀行依據特殊目的用于限制資金暴露而進行的特別保險,而監管者的資本要求可能是不必要的,因為在銀行操作風險的特殊性質下資本的再分配未必一定能規避像巴林銀行這樣的重大事件。
Karen Petrou(2001)強調了操作風險管理的兩個重點:(1)監管者的作用不應該是利用不明智的風險承擔來防范銀行個體的失誤,相反,他應該防范由于整個行業內薄弱的風險管理造成的系統性銀行失誤。因此,監管資本并非最佳辦法。(2)第二支柱和保險的作用應該是監管者關注的重點,這會促使銀行度量自身風險并采取適當措施進行緩解。Petrou還評論了美國、歐洲和日本銀行系統間的差異,以及這些差異導致在歐洲和日本,預留資本準備金成為天然的解決辦法。然而,內部控制和良好的度量手段是美國的最佳解決方案。其中,主要差異在于美國的監管水平較高但監管范圍較小,只有銀行處于監管中。
Charles和Richard(2002)認為,新巴塞爾協議提出的用最低資本要求控制操作風險的方法并不適宜。私人保險和過程監管在控制操作風險方面比資本要求更有效。私人保險有如下好處:將操作風險轉移給第三方,引入市場監管和約束以及具有風險敏感性的保險成本。過程監管則通過要求金融機構在適當的地方采取適當的過程和程序識別、度量、監督和控制操作風險,加強風險控制的私人市場動機。相反,巴塞爾協議中提出的控制操作風險的資本要求并不像私人保險和過程監管一樣具有風險敏感性。而且利用過程監管和私人保險可以進一步避免在巴塞爾協議中由于差別對待低風險企業的反競爭效果。
Andrew和Hal(2002)認為,與銀行為獲取金融回報有意識地主動承擔的金融風險不同,操作風險是銀行業務不受歡迎的副產品。銀行可以在事前采取重要步驟來減輕操作風險暴露,而不是在事后依靠資本準備金來吸收損失。銀行管理操作風險時面對的并非風險與收益的權衡,而是風險和規避成本的權衡。規避操作風險的方法也因內部事件和外部事件風險而不同。內部事件風險從本質上講是內生的,它們來自于內部過程、人員或系統的失誤。防御內部事件風險的第一條戰線應該是管理控制。銀行安全防御操作失誤的關鍵決定因素并不是它所持有的資本水平,相反,如何管理好銀行則處于首要地位。即使預留更多資本準備,操作失誤照樣會發生,交易損失會繼續攀升直至資本耗盡。外部事件風險是由企業不能控制的外生因素引起的。因此,外部事件不包括道德風險并且存在互不相關的傾向,這使得它們成為保險的良好對象。對大多數銀行來說,保險是防御外部事件風險的第一條戰線。在利用保險將風險暴露轉移給第三方的同時,銀行還可以采取內部手段來減輕外部事件帶來的后果。相對于有效的管理控制和保險而言,資本準備至多是銀行防御操作風險的次優機制。但荒謬的是,從最低操作風險資本要求來看,資本準備實際上充當了減少操作風險的障礙。因為如果銀行必須預留出最低操作風險資本準備金,就無法有足夠的資金進行管理控制或購買保險以減少操作風險,使其低于與最低資本要求一致的風險水平。
綜觀前人對操作風險的相關研究,我們發現目前存在以下問題和爭議,有待進一步深入研究:
(1)操作風險的界定問題:尋求“共性”還是“個性”?
(2)操作風險的度量工具如何選擇?
(3)如何確定一致化的操作風險管理(ORM)基準體系?
(4)如何綜合利用監管資本要求、內部控制和保險有效管理操作風險?
三、操作風險管理對我國商業銀行的挑戰
從全球范圍看,盡管操作風險已經給不少金融機構造成了相當嚴重的損失,新協議也從制度化的角度對操作風險管理提出了近乎標準化的要求,但迄今為止已經建立起有效操作風險管理體系的銀行并不多見,操作風險的管理結構、程序、方法、工具和模型也遠遠沒有信用風險管理和市場風險管理那樣成熟。2000年6月,巴塞爾委員會風險管理小組進行的一次調查表明,大部分金融機構對操作風險的量化仍處于初級階段,多數銀行對風險指標的追蹤還處于起步階段(Haggerty,2001),還有很多銀行根本沒有進行這方面的工作。即使追蹤數據的銀行在風險管理或分配經濟資本時對如何使用數據也不十分清楚。同時,多數銀行還不具備將風險定義、數據收集、風險評估和管理、資本配置以及管理機制完全統一起來的程序。
國際商業銀行在操作風險管理方面尚處于初級階段,“我國商業銀行的操作風險管理尚在起步階段,定量研究幾近于無”(樊欣等,2003),主要原因是:銀行業務類型與國外銀行相比有很多空白,銀行董事會和管理層對操作風險缺乏足夠的重視,全面風險管理的意識和理念尚未真正確立起來;銀行內部和管理層次過多,風險控制機制不完善,操作風險管理的基礎工作相當薄弱;操作風險的管理結構、程序、方法、工具和模型遠遠沒有建立起來甚至處于空白的狀態,操作風險管理體系建設明顯滯后;操作風險管理人才不足,激勵機制不健全,操作風險管理缺乏有力的支持和保障(王廷科, 2003)。
[參考文獻]
[1] Alexander J. Muermann (2001),Extreme Value Theory for Risk Managers.Risk Publication,2001.
[2] Andres P. Knritzkes and Hal S. Scott(2002), Sizing Operational Risk and the Effect of Insurance: Implications for the Basel II Capital Accord.International Financial Systems Colloquium, June 26,2002.
[3] Charles W. Calomiris and Richard J. Herring(2002), The Regulation of Operational Risk in Investment Management Companies, Perspective.Investment Company Institute, Vol 8, No.1, September 2002.
[4] Christine M. Cumming and Beverly J. Hirtle(2001), The Challenges of Risk Management in Diversified Financial Companies.Economic Policy Review, Federal Reserve Bank of NewYork, March 2001.
[5] Hoffman, D. G. Ed(1998), Operatioanl Risk and Financial Institutions. Risk Publication. 1998.
[6] ISDA/BBA/RMA Survey Report (February 2000), Operational Risk-The Next Frontier. http://www.isda.org.
[7] James Lam(2001), Defining and Mannageing Operational Risk at Community Banks.Risk Publication. 2001.
[8] James Lam,(2003), A Unified Management and Capital Framework for Operational Risk. The RMA Journal, February 2003.
[9] John Drzik(2001), Doug Hoffman(2001), Andy Kuritakes(2001), Karen Petrou(2001), Assessing and Managing Operational Risk. Wharton Financial Institutions Center Risk Roundable, Sponsored by Oliver, Wyman & Company, April 18-19,2001.
[10] Michael A Lewis(2003). Cause,consequence and control: Towards a theoretical and practical model of operational risk.Journal of Operations Management. Columbia: Mar 2003. Vol. 21, Iss. 2.
[11] Padraic Walsh(2003), Operational Risk and the New Basel Accord. Hyperion, October 2003.
[12] Robert M Wiseman, Anthony H Catanach Jr. (1997),A longitudinal disaggregation of operational risk under changing regulations: Evidence from the savings and loan industry. Academy of Management Journal. Mississippi State: Aug 1997. Vol.40.
Relative Research on Operational Risk Management: Problems and Disputations
LU Xian-wen
(Lishui Radio & Television University, Zhejiang, Lishui 323000, China)
