商业银行操作风险管理探讨
来源:用户上传
作者: 王文红 徐饶贵
[摘要] 近年来,随着经济的发展和金融开放步伐的加快,我国商业银行发展取得长足进步。但由于我国商业银行全面风险管理体系建设相对滞后,风险防范长效机制尚未全面建立,特别是在操作风险管理上存在的问题依然较为突出。本文从分析我国商业银行操作风险管理现状入手,就如何加强操作风险管理提出了初步思考。
[关键词] 商业银行;操作风险;现状;对策
[中图分类号] F830.33[文献标识码] A[文章编号] 1006-5024(2008)02-0169-03
[作者简介] 王文红,农行上饶市分行经济师,研究方向为商业银行法律与合规管理;
徐饶贵,上饶市商业银行信江支行行长,研究方向为商业银行经营管理。(江西 上饶 334000)
一、商业银行操作风险的涵义及基本分类
巴塞尔银行委员会对操作风险的定义为:由于内部程序、人员、系统的不完善或失误,或外部事件造成直接或间接损失的风险。一般而言,目前对操作风险的分类有两种方法。第一种将操作风险简单的分为人员因素引起的操作风险、流程因素引起的操作风险、系统因素引起的操作风险和外部事件引起的操作风险四类。第二种分类方法将操作风险较详细的分为七类,包括内部欺诈;外部欺诈;雇员活动和工作场所的安全问题;客户、产品和业务活动的安全问题;银行维系经营的实物资产损坏;业务中断和系统错误;行政、交付和过程管理等。
二、国内商业银行操作风险管理现状
近年来,随着外部监管力度的加大和商业银行风险管理意识的增强,国内商业银行操作风险管理制度逐步健全、制度执行力得到加强,操作风险管理水平有了较大提升。主要表现:一是内控组织体系初步形成。各商业银行基本建立了由基层机构、业务主管部门、再监督部门共同组成的内控组织机构体系。二是内控制度建设得到加强。各商业银行按照建设现代商业银行要求,加大了制度建设的力度,对相关制度办法进行了清理和完善,细化了业务操作办法,增强了规章制度的有效性和权威性。三是内控制度执行力逐步增强。各商业银行在抓好制度建设的基础上,积极培育合规文化,加强员工思想教育,增强了员工自我约束意识和风险防范意识。四是强化了审计、监察部门的再监督职能。各商业银行普遍开展了内部控制综合评价工作,定期检查、评价各分支行内控体系的建立健全程度和抵御风险的能力,寻找薄弱环节,提出整改措施。内部审计部门加大了现场和非现场审计力度,监察部门加大了执法监察和违规处罚力度。五是加大了内控建设投入,物防和技防水平得到提高。各商业银行在业务快速发展、盈利能力增强的同时,加大了对营业网点的内控投入,提高了商业银行操作风险防范能力。
但应该清醒地认识到,随着商业银行新业务的快速发展,新科技的广泛运用,加之商业银行改革力度加大,操作风险的表现方式更为多样化,操作风险控制的难度加大,操作风险管理面临的任务依然艰巨。
1.部分行对操作风险管理缺乏系统、全面的认识。部分员工对操作风险的认识存在误区,片面认为操作风险就是人员因素引起的操作性风险,对操作风险缺乏整体认识和把握,导致操作风险管理上存在“四轻四重”现象,即重事后管理、轻事前防范,往往看重对已发生的风险采取事后的查处、补救措施,而对事前的防范和事中的控制措施关注较少;重个案查处,轻全面分析,从而造成同类案件多次发生;重基层操作人员管理,轻高层管理人员管理。特别是一些基层经营机构对操作风险管理面临的形势及危害性认识不足,存在重业务经营、轻内控管理的思想。更有甚者,为了所谓的发展业务,明知不可为而为之,搞政策变通,有章不循,甚至违章操作。一些基层行对各类问题的责任人处理不到位,“重检查,轻处理”,没能起到应有的警示和震慑作用。
2.缺乏对操作风险的战略规划和系统管理。操作风险涉及面广,必须统筹规划,各相关部门应明确各自职责,并加强协调配合。但目前部分商业银行将不同类型的操作风险归由不同部门负责,没有一个协调部门,缺乏统一的操作风险管理战略,高层管理者无法清楚地了解银行面临的操作风险整体状况。在操作风险的管理手段上,过于信赖内部审计,忽视外部审计的力量。内部管理制度建设滞后,执行不力。电子化手段在操作风险管理中的适用水平较低。
3.内控机制不健全,制度落实不到位。内控制度不适应新业务发展的需要,如综合业务系统推广应用后,相关内控制度建设不够完备,有时出现内控滞后或内控“真空”,以致高科技作案时有发生。制度执行意识淡薄,一些制度没有真正得到贯彻落实,违章操作问题依然比较突出。
4.内控岗位设置不能适应风险防范的要求。近年来,几家大型商业银行加大了撤点减员力度,部分基层行在撤点减员过程中缺乏整体规划,导致一些营业网点人员紧张,在岗位设置和人员配备上很难达到内控要求。随着网点经营业务品种的增加,网点机构风险控制点相应增加,无论是人员数量还是员工素质都与业务发展不相适应。在少数网点仍存在一人多岗、一人多卡、主任混岗等内控制度难以落实的现象,干部交流、员工轮岗以及强行休假制度得不到很好的落实,存在操作风险的隐患。银行内部业务管理人员的管理水平与业务管理的规范要求存在一定差距,影响、减弱内控实施的有效性。
5.合规文化建设滞后。受历史因素影响,部分商业银行历史包袱较重,管理基础还比较薄弱。部分商业银行网点较多,且比较分散,分布城乡,链条长,管理难度大。随着各项改革的深入,许多员工思想上呈现出矛盾性、多元性的特点,给内控建设提出了新的挑战。同时,我国四大国有商业银行都是由计划经济时期的专业银行转变过来,现代商业银行管理理念、管理手段尚在形成之中,部分干部员工的合规管理、依法经营意识还有待加强,自觉维护制度、遵守制度的合规文化氛围还没有广泛形成。
三、对加强商业银行操作风险管理的几点思考
稳健经营、控制风险是商业银行可持续发展的基础,加强操作风险管理是商业银行全面风险管理的重要内容。商业银行在操作风险管理中应坚持“内控优先、规范操作、遵守制度、违规问责、综合治理、标本兼治”的原则。所谓“内控优先、规范操作”,是指业务的发展必须首先考虑内控管理及风险控制的要求,业务操作必须坚持诚实守信、合规合法;所谓“遵守制度、违规问责”,是指在操作风险管理中,必须做到岗位明确、职责清晰、执行坚决,对违规操作行为应实行严格的责任追究;所谓“综合治理、标本兼治”,是指操作风险管理工作涉及的相关部门要各司其职、密切配合,在解决问题的同时,既要针对具体问题对症下药,也要研究治本之策。
(一)强化操作风险管理意识。国内商业银行应借鉴国际经验,逐步建立起一套较完善的操作风险管理体系,这个体系应覆盖操作风险的识别、评估、监测、控制及报告等程序和环节,并在此基础上建立起操作风险管理的战略、政策和基本目标。要通过一定程序定期监测操作风险的状况,及时报告有关信息,敏感地反映操作风险的变动,以此形成有效的风险预警决策支持机制。要注重技术创新,积极推进操作风险管理工具的开发和运用。要进一步建立有效的内部信息交流制度和报告制度。商业银行除了定期召开风险管理委员会例会外,还应要求各专业部门将检查的范围及所发现的问题及时报送风险管理委员会,以便统一领导全行的风险防范管理。另外,应对信息交流和报告制度建立相应的规章制度,避免内部各管理部门从自身利益出发,隐瞒不报,或是对该项工作不加重视,而引发操作风险。
(二)提升操作风险管理层次。操作风险管理是相当复杂的系统工程,强化操作风险管理应合理规划、逐步推进。根据西方商业银行操作风险管理的实践,有关专家分析认为,目前各国商业银行分别处于操作风险管理的五个不同发展阶段上,分别是:传统管理―认识―监控―量化―整合。各个阶段的特征是:传统管理阶段,强调内部控制、同部审计,分离风险控制项目。认识阶段,设置操作风险管理人职位和操作风险管理组织机构,充分认识并定义操作风险,制定风险管理政策。监控阶段,制定操作风险管理的目标和统一的监控指标进行风险限额控制和风险临界指标分析,对业务流程进行风险监控分析和风险管理报告,加强员工风险管理培训。量化阶段,建立完善的风险损失数据库,制定量化管理目标,进行风险预测分析和警戒指标设置,建立以风险为基础的资本配置模型。整合阶段,建立系统化的风险度量和管理工具,建立风险指标和损失之间的相关性模型,跨部门的风险分析以及基于风险分析和资本实力考虑的保险策略。从我国商业银行当前操作风险管理的特征来看,有的尚处于传统管理阶段,部分商业银行操作风险管理层次有所提升,但与量化、整合阶段的要求还有较大差距。因此,我国商业银行操作风险管理的重点是,在做实操作风险管理基础、做好传统管理阶段各项工作的基础上,逐步提升操作风险管理层次。
(三)健全完善内控制度。一是严格按照《商业银行内部控制指引》对现有的各项规章制度进行整理,并借鉴国外商业银行内控制度建设的成功经验,统一制定若干管理制度和操作规程。在制度的制定上要强化统一性。为此,首先应统一制度的出台,避免政出多门,互相打架。银行的各项规章制度有很多种,并且不断更新,具体操作的员工不易全部掌握,而且一项业务受多个制度约束,员工很容易在操作时顾此失彼,这也是在制度制定时应着重考虑并解决的问题,即制度制定时应将复杂的问题简单化,易于操作和执行。在开发推广新业务产品的过程中,相应管理制度必须同步落实,彻底扭转“先发展后规范”的做法。二是在清理完善的同时狠抓内控制度的贯彻落实,建立一套执行制度的监督机制,加大内控管理在各级经营单位业绩考评中的力度,进一步强化制度执行的严肃性。三是对各类规章制度要进行定期的清理,集中汇编印发给每一位员工,还可将制度细化为员工手册或岗位手册,或采取表格化的方式,将经办业务种类和应当审核的条件,采取的步骤和需注意的事项分别列示,方便员工掌握和执行,给员工提供一个学习规章制度的平台,并通过制度学习考试等形式强化学习制度的意识,以提高员工掌握制度、执行制度的能力和水平。
(四)强化计算机系统控制。各项业务的计算机应用系统不仅是一个数据平台和操作平台,更应当是一个管理平台和控制平台,要加强各项业务计算机系统的风险控制。一方面,对计算机系统的立项、设计、开发、调试、运行、维修等全部过程实行严格管理,确保计算机系统不留下操作风险隐患。另一方面,业务经营管理中的各项制度约束应在相应的计算机应用系统中得以体现,并得到“固化”,达到通过计算机系统有效实施管理和控制的目的。因此,在开发各项业务的计算机应用系统和对原有系统进行升级的过程中,应不断地将各项管理和控制制度的原则和要求在系统中以程序的方式加以限制,尽量减少人为操作的风险。如对网点柜员的操作权限控制,严格根据柜员岗位制约的要求设置交易掩码和应用掩码。加强授权管理,按规定配置和使用柜员安全认证卡,严禁“一人多卡”,严禁“飞卡”授权和明码授权,严禁柜员办理本人金融性业务和非金融性业务。
(五)完善基层机构风险管理的方法。把各要害岗位的内控落实和案件防范作为考核单位“一把手”和主管领导、部门负责人的重要目标,同其业绩考核、晋升、奖惩等直接挂钩,层层签订责任状,落实责任,使各级领导干部与其所主管的要害部门形成“一损俱损、一荣俱荣”的局面,提升案件防范能力,减少操作风险的发生。制定全面、规范、明确的岗位责任制,明确界定各岗位的操作权限,使人人认识到滥用职权是越权,“怠用”职权则是失职,每个银行职员都需要承担相应的责任。同时切实做好岗位职责的修改工作,及时根据文件和人员岗位的调整进行修改,做到人人有章可循。明确各个岗位的权、责、利,薪酬较高的岗位,其相应的责任也大,只有具备相应能力的员工才敢去、才能去竞争这些岗位,从而有效规避操作风险的发生。可以建立内控扣分制度,对于高风险点的岗位,应该是级别越高的相关人员,扣点和处罚的程度越高,以便加大管理层的责任,提高其对防范风险的重视度。
(六)强化审计监督职能。审计监督是商业银行内控机制中不可缺少的重要内容。良好的内部审计监督是公司治理结构的有机组成部分,是内控制度的核心环节,是实现经营目标的重要保证。随着我国金融体制改革的进一步深入和现代企业制度的逐步建立,商业银行的内部审计监督职能必须进一步强化。一是要建立一个具有独立性、超脱性、权威性的内部审计监督体制。二是推行外部审计再审制度,由商业银行总部选择技术力量强、信誉良好的审计师事务所不定期地对各级行进行全面稽审,充分发挥外部审计在防范银行操作风险中的控制作用。三是加强培训,不断提高审计工作人员的素质,确保审计检查人员的检查水平和检查能力不断提高。四是在强化审计监督职能的同时,强化内部审计的指导职能,指导被审计单位推进各项制度和操作规程的贯彻落实,及时整改落实审计检查中反映的问题,对经营管理提出建设性意见。
(七)强力推进合规文化建设。一是决策层必须依法决策。各级行的高级管理人员的行为在业务经营活动中处于支配地位,决策层决策的正确与否直接影响着银行经营状况的好坏。所以,合规管理的关键环节在于规范决策者的行为,要求各级行决策者的行为必须合规,严格按照上级行授权管理的规定,依法合规地正确行使决策权,不发生越权、变相越权行为。二是传导层必须尽职尽责。各级行的中级管理人员是规章制度和决策者意志的传导者,起着纽带和桥梁的作用,对基层机构执行规章制度起着引导、指导、监督的作用,是合规管理的重要环节。传导层是否尽职尽责,直接影响着各项规章制度能否得到正确有效的贯彻执行。对各级行的内部职能部门,必须明确具体而有效的管理内容和管理职责,使其认真履行管理职责,尽责经营与管理,不失职、不渎职。三是操作层必须按章操作。直接办理各类业务的操作人员是各项规章制度的最终执行者,规范“一线员工”的操作行为是合规管理的关键环节。上级行在制定各项规章制度时,必须设计科学合理的操作流程,使之规范化、程序化,便于操作;同时要建立对操作人员的考核制度,实行违规积分考核办法,并与效益工资直接挂钩。四是加强对员工的培训和辅导,提高银行从业人员整体素质。要通过优化结构、强化培训、完善激励等手段,努力提高银行从业人员的政策水平、思想觉悟和业务素质。加大对新业务、新产品、新制度的适应性培训,以适应业务发展的需要。要全面推行银行从业人员资格认定制度,规范银行从业人员的准入标准。
[责任编辑:杨承恩]
转载注明来源:https://www.xzbu.com/2/view-477041.htm