前言:中文期刊网精心挑选了操作风险管理范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
操作风险管理范文1
关键词:保险公司;风险管理;操作风险
中图分类号:F27 文献标识码:A
收录日期:2012年2月2日
《巴塞尔新资本协议》将金融机构面临的风险概况为三大类:信用风险、市场风险和操作风险。其中,操作风险被定义为由于不正确的内部操作流程、人员、系统或外部事件所导致的直接或间接损失的风险。这一定义同样适用于保险业。2007年11月中国人寿湖南宜章县支公司某位“业务明星”通过伪造收据、保单等骗取挪用公司保费1,500万元,成为保险业有史以来最大的营销员骗保案;同年,保监会查处新华人寿泰州支公司某副总在任职期间,利用职务之便,通过拼凑团单并截留保费,挪用退保资金,仅2003~2006年期间,涉及资金约达7,500万元左右,被骗客户约2,000人。以上案件的发生,都是由于保险公司内部的操作风险控制薄弱引起的,这不仅给公司造成了巨大的经济损失,同时也给公司的声誉带来了不良影响。
一、保险业操作风险管理现状
(一)保险公司对操作风险的认识不足,且管理水平较低。目前,我国保险业整体还处于粗放型经营,仍以保费收入作为经营业绩的主要指标。保险企业对操作风险的认识不足,对操作风险管理的制度建设不够重视,有些制度的建立只是流于形式,不切实际且针对性差,不能对关键岗位起到监督作用。
保险企业对操作风险的管理水平偏低,缺乏有效的技术手段以及防范和控制措施。对操作风险的评估目前只限于用定性的方法,主观性较强。较之利用金融工程和统计模型对风险进行识别、度量和检测的方法来说比较落后。而且目前对操作风险的管理多为事后控制,缺少积极主动的防范机制,不能从根本上防范重大操作风险的发生。
(二)保险业经营注重业务量的增长,对风险管理重视不够。一直以来,我国保险业的发展都是重保费、轻管理。各保险企业在发展方向上,更注重保费增加的规模和速度,强调业务的增长量,而忽视对业务质量的管理。而且保险法规和监管部门对保费的过分强调也使得各保险企业将保费规模作为主要经营目标,过分地追逐保费的提高必然会导致业务质量的下降,从而导致风险因素的增加。在激烈的市场竞争中,以低价进行恶性竞争,盲目承保、劣质承保的事件屡禁不止。在发展的战略方针上,一些保险企业存在经营决策的短期行为,不重视公司的长远发展战略,从而忽视了对影响公司长远发展的风险因素的管理。
(三)缺乏操作风险管理的企业环境和相关管理人才。保险公司的操作风险包括在经营中存在的资金运用、核保核赔、从业人员和保险人以及法律风险等。其涉及到保险公司的各个岗位和各个环节,一个有效的操作风险管理制度的建立要求操作风险管理意识能够渗透到公司每个员工的日常经营活动中。然而,受保险业多年来粗放式经营的影响,从公司管理层到一般员工都相对缺乏操作风险的意识,缺乏对操作风险管理和防范的理念。由于我国风险管理理论发展滞后,风险管理人才严重不足。尤其操作风险的综合性更需要一些既懂风险管理理论又懂公司管理同时又熟悉保险业务的复合型人才,而这种人才在市场上少之又少。
(四)保险公司对分支机构的操作风险管理不足。对操作风险的控制是各保险企业总公司对分支公司进行有效控制的关键。当前,保险公司分支机构在经营过程中面临诸多操作风险。首先,保险企业合规经营意识不强。保险企业的一些基层分支机构违背市场规律,盲目或违规经营的现象仍时有发生。近年来,同业非理性竞争的手段则更加隐蔽,有些公司甚至通过口头承诺、系统外违规操作等方式为客户提供高保障范围来争取业务,导致保险公司经营风险积聚,同时也损害了保险业的形象;其次,对操作风险的管控不严。如有的基层分支机构不严格执行业务管理制度,有的营销员不在规定时间将投保资料和保费交回公司,业务员代客户签名的事件也时有发生。
二、保险公司操作风险产生的根本原因
(一)盲目的经营目标是操作风险产生的最主要原因。当前,我国多数保险企业仍将保费收入和所占有的市场份额作为经营的首要目标,各保险企业的总公司对分支机构的考核主要是以保费收入的增加额为依据,这使得有些基层分支机构为达到考核目标,违反市场规律和有关制度,为获得短期利益而忽视公司的长远利益,由此诱发操作风险的发生。另外,有些保险企业在发展中不能制定适合自身实际的发展战略,常常提出不切合实际的口号,盲目决策,过分追求规模的扩张。这种盲目扩张的后果往往使得保险企业在获得规模扩张的同时,降低了对内部控制和操作风险的有效管理,成为操作风险发生的直接诱因。
(二)保险企业的多层制度导致对操作风险的管理松懈。当前,我国多数保险企业都采用的是一级法人制,即总公司是最高管理机关,省分公司按照总公司的授权进行经营,然后自上而下一级授权一级,实行总、省、市三级管理制度。这样一来,上级公司对下级公司的管理仅限于各项报表的统计、上下级转发文件、季度末各项报表的检查、定期不定期开会等形式,从而使保险公司的风险难以及时发现并予以纠正。而且,在这种多重关系中,上级公司往往更关心下级公司的成长和发展,而下级分支机构更关心自身效用的最大化,各方利益的不一致也是导致操作风险发生的关键。
(三)保险企业的文化建设严重滞后。在近年来保险企业发生的一些违规案件中突出暴露了部分保险企业员工职业道德沦丧。有些营销员在销售保单时缺乏诚信和职业道德,对客户提供无法兑现的承诺,或利用高的投资回报率误导客户,有的甚至采取欺诈手段欺骗公司和客户,这些都可能引起操作风险的发生。而且,保险业营销员队伍素质偏低、展业不规范、缺乏诚信、误导客户等问题屡见报端,因此对营销员的业务培训和职业道德培训显得越来越重要。尤其是一些分支机构只以保费的多少来衡量营销员工作的好坏,忽视了对营销员的职业道德培训,导致部分营销员职业道德素质不过硬,为寻求自身利益的最大化,以低价进行恶性竞争,盲目承保、劣质承保,这些都无疑会增加保险公司的操作风险。
三、完善操作风险管理的对策建议
一要强化保险企业员工的风险意识。首先要认识到操作风险管理的重要性,操作风险管理并不是经营中可有可无的附属品,而是为实现公司经营目标所必须承担的。忽视了对操作风险的管理,一旦发生操作风险事件,不仅会侵蚀到保险公司的偿付能力,而且会损害保险公司的声誉,由此引发保险公司的融资困难和客户流,并进一步影响到建立新客户关系或服务渠道的能力。所以,需要对保险公司的员工自上而下进行操作风险管理的培训。要使高级管理层深信,不是只有保费的增加量才能给公司带来利润,对操作风险管理的重视能够降低操作风险发生的频率,同样也能给公司带来价值;要使员工意识到,他们实施的对操作风险的控制行为不仅使公司而且还使他们自身受益。其次,保险公司应该从单纯追求业务规模、市场份额的思路中跳出来,建立操作风险管理激励机制。通过采取适当的方法对经营过程中的操作风险进行控制,将保险公司各级、各类人员的奖惩不是单纯地只与保费挂钩,还要与其行为结果挂钩,充分体现保险公司操作风险管理的目标。
二要建立有效的内控机制,防范操作风险的发生。就保险企业的多层制度而言,制定有效的内控机制是委托人监督企业运营,实现企业经营效益最大化目标的重要保证。同时,通过内部控制可以协调上下级公司之间的利益冲突,使控制双方能够建立起相互信任的关系,从而降低操作风险。因此,保险企业只有建立起一套职责分明、规章健全、运作有序的内控机制,才能从根本上防范和控制操作风险的发生。
三要完善激励机制,控制保险人的操作风险。就目前人的佣金制度来说,过高比例的首期佣金制度是导致个人人短期行为的关键,因此,应当适当的将首、续期佣金率均衡化,并确保人续期佣金的请求权,只有这样才能激励人在不断招揽新业务的同时也能为客户提供优质的保全服务。除了人佣金制度,对于在公司服务时间长且业绩较好的人,应积极探索规范的股权、期权激励机制,从而将个人人的自身利益和保险公司的长远利益有机地结合起来,形成为公司长期服务的意识。与此同时,还要加强对营销员队伍的业务培训和职业道德培训,树立正确的世界观和人生观,提高营销队伍的整体素质,这是防范操作风险的根本保证。
四要重视行业自律,加强保险行业协会对操作风险的自律性控制。从各国保险业的发展历程来看,行业自律组织的建立是防范保险公司之间不正当竞争的有效途径。我国的保险行业自律协会尚处于发展初期,还有许多规定有待完善,可以通过借鉴国外保险行业协会的相关规定,完善我国保险行业协会的自律规定,从而加强对各保险企业操作风险控制。
主要参考文献:
[1]连严燕.我国保险业操作风险及其监管[D].云南财经大学硕士论文,2010.
操作风险管理范文2
关键词:新巴赛尔资本协议 商业银行 操作风险
巴林银行的倒闭,大和银行纽约支行的不慎交易,诸多事件为全球金融机构敲响了警钟,金融理论界和实业界开始研究影响日益巨大的操作风险问题。国际银行业普遍认识到操作风险管理的重要性,新巴赛尔资本协议把操作风险也纳入资本监管的范围。因此,操作风险的管理在金融机构中的地位日益重要,金融机构可以通过操作风险的管理来实现资源的有效使用。
巴塞尔银行监管委员会根据国际银行业风险管理的变化,从1998年开始关注对银行业操作风险的管理和研究,并在1999年6月公布的新巴塞尔资本协议的第一次征询稿中,提出应考虑对操作风险进行资本覆盖。2003年4月29日,巴塞尔银行监管委员会对《巴塞尔资本协议》(称“新巴塞尔资本协议”)进行第3次征求意见,以对新的资本充足率的规定做出最后的修订。委员会的目标在2003年末最后一个季度完成修订,并于2006年末在成员国家开始执行。新巴塞尔资本协议有3个支柱:最低资本要求,监管部门的监督检查和市场纪律。在计算最低资本要求时,需要考虑三大风险:信用风险、市场风险和操作风险。新资本协议在不断改进中反映着风险测量和管理技术的提高。新巴塞尔资本协议以资本充足率为核心的监管思路,使最低风险资本要求和每项信贷风险面的规范评估结合在一起,特别是第一次将操作风险和最低资本要求结合起来。相对于旧协议而言,其风险衡量的方式更加灵活,不再局限于原有的单一框架,银行可以根据自身情况选择合适的风险衡量方法,以促使银行不断改进风险管理水平。
新巴塞尔资本协议中操作风险的涵义及衡量
巴塞尔银行业监管委员会的定义是比较权威的一个,也就是巴赛尔新资本协议中的定义。根据此定义,操作风险指的是由于不充分的或失败的内部程序、人员和系统,或者由于外部的事件所引起的直接或间接损失的风险。巴塞尔委员会同时指出,这一界定包含了法律风险,但是并不包含策略性风险和声誉风险。
从广义来说,操作风险可以分为内部风险和外部风险,内部风险主要指由于内部因素引起的操作风险,包括程序风险、技术风险和人员风险。程序风险又分为流程设计不合理和流程执行不严格两种情况;技术风险包括系统失灵和系统漏洞两种情况;人员风险包括操作失误、违法行为(员工内部欺诈或内外勾结)、违反用工法、关键人员流失等情况。外部风险主要是指外部因素引起的操作风险。这些外部冲击包括税制和政治方面的变动、监管和社会环境的调整、竞争者的行为和特性的变化等。内部风险主要与内部控制效率或管理质量有关,而外部风险与外部欺诈、突发事件以及银行经营环境的不利变化等有关。
操作风险也存在量化困难,新协议第一稿并未提出任何计量方法。在充分听取各方意见后,巴赛尔新资本协议,对于操作风险的衡量大致有三种方法:基本指数法,指以银行过去3年内的平均年总收入的一个固定比例来确定应对操作风险的必需资本量;标准法,把银行的业务分为8个不同领域:公司金融,交易,零售银行,商业银行,支付结算,服务,资产管理和零售经纪,然后分别计算操作风险指数,再乘上某一固定比例得出所需资本量;高级测量方法,采用此法的银行必须取得监管层的同意,由银行内部操作风险测量系统用定性和定量的方法加以确定。高级测量方法的使用则需要一些特别的标准。如果银行采用较高级的方法在没有监管层同意前不得转为较简单的方法。在新巴塞尔资本协议的第二次征询稿中,对高级计量法中内部衡量法、损失分布法有比较详细的描述,但在最终只是在“资格条款”中对使用高级计量法计算操作风险资本的银行提出了严格的定性和定量的要求,并要求一定要得到监管当局的批准。目前国际上只有少数跨国大银行在使用或开发该计算方法。
我国商业银行操作风险管理的策略
政府应加强操作风险监管的力度,使其与最低资本要求相结合
为了使操作风险的控制更具实际意义,就需要进一步研究出金融机构具体的行为准则。中国银行业监督管理委员会令(2004年第2号)公布的《商业银行资本充足率管理办法》中第一章总则中第五条明确规定“商业银行资本应抵御信用风险和市场风险”。虽然暂时未将操作风险纳入计算的范围,在制度上减轻了商业银行对操作风险的资本覆盖压力,但是也不可避免的放慢了商业银行对操作风险的管理。建议对不同的商业银行实行不同的操作风险要求。
探索操作风险控制与缓释的方式
银行在控制操作风险发生的同时,还可以采用各种方式控制和缓释风险。包括避免、缓释、保险和承担四种方式。其中保险是目前国际活跃银行使用最为普遍的操作风险缓释方式,针对不同的操作风险会有不同的保险产品与之相对应。传统保险产品中的银行一揽子保险、错误与遗漏保险和经理与高级职员责任险等已经被实践证明是比较成熟的保险产品,而且得到了广泛的运用。20世纪90年代中期至今,又开发了诸多新的保险保障产品,诸如未授权交易保险、电子网络技术风险的保险等。银行操作风险保险承保范围将进一步扩大,新的操作风险将不断被纳入保险的范畴,保险将作为银行操作风险管理的经常性工具。目前国际上除了保险以外,还有互惠资保险基金、证券化、优先风险计划也可作为操作风险保险的替代品。
完善银行操作风险管理组织架构
根据风险管理基本流程与组织设计原则,我国商业银行操作风险管理应采用分权化职能型的组织结构,在总分行制的基础上(以“总行一分行一支行”型结构的银行为例),总行应以操作风险战略决策的制定和管理为主,同时负责对操作风险的总体控制。总行管理操作风险的组织机构应包括:董事会、高级管理层、内控制度管理委员会、稽核总局、操作风险的计量分析与评估部门、科技信息部门、教育培训部门、内部授权管理部门、法律事务部门以及所有业务部门,其中稽核总局直接向董事会负责。分行的机构与总行基本一致,但不包括董事会,分行设立稽核分局,并直接向稽核总局负责。支行主要从操作层面控制操作风险,因此支行只设立业务部门,执行总行和分行所制订的制度和政策,支行不设稽核部门,只接受稽核总局或分局的检查。
由于将操作风险纳入到组织文化中成为风险管理的一个重要部分,培养操作风险文化对于操作风险管理也是极其重要的。依靠教育培训部门对银行所有业务人员加强培训,提高操作人员的业务能力、法律意识、制度观念和道德水准,降低一切因操作人员业务技能低、管理人员管理水平差或员工对政策、制度、法律不了解等原因所造成的操作风险。
积极开展操作风险的模型化研究
虽然目前国外对操作风险管理也还处于发展阶段,但是通过量化方式衡量操作风险则是大势所趋。国内银行操作风险的模型化发展基本处于零阶段,这就造成操作风险的管理始终停留在内部审计和主观判断的低层次上。把操作风险量化研究与控制框架结合起来才能为操作风险管理提供科学的依据,这是国际活跃银行管理操作风险的趋势,也是我国商业银行的最终选择。量化操作风险的首要工作就是要建立操作损失数据库,因此监管机构和商业银行自身都要按巴塞尔委员会的操作风险矩阵立即着手建立损失数据库,积累损失资料。建立成功的损失数据库从而为精确度量操作风险建立基础。
参考文献:
操作风险管理范文3
关键词:商业银行 风险管理操作风险信息科技风险
中图分类号:F830.33 文献标识码:A 文章编号:1006-1770(2010)09-032-05
一、引言
随着信息技术与现代商业银行业务的深度融合,银行对信息技术和信息系统的依赖日益增强。信息科技已成为商业银行日常运营的操作平台、管理决策的重要支持、以及业务创新的基础工具。同时,与之相关的信息科技风险也渗透到了银行经营和决策的各个方面,信息科技风险管理不仅维系着商业银行的持续安全运营,而且也成为银行价值创造的重要支柱,因而信息科技风险成为现代商业银行风险管理不可或缺的重要内容。
商业银行传统的信息安全管理,更多是从信息技术开发和管理的本身出发,建立相应的技术标准而进行的,这些标准适用于信息技术部门内部的信息安全管理,也是信息科技风险管理的重要基础。但信息安全管理的本质是风险管理,现代商业银行构建全面风险管理体系,也需要借助操作风险管理框架和工具对信息科技风险进行有效管理。
我国主要商业银行正在积极实施《巴塞尔新资本协议》,这需要对包括操作风险在内的三大风险建立全面风险管理体系,而信息科技风险作为操作风险的重要表现形式之一,也成为银行风险管理的一个新的焦点。因此,本文试图在操作风险管理视角下探讨信息科技风险的识别、计量、监测和控制等流程和方法,以提高商业银行对信息科技的应用水平和对信息科技风险的管理效率,增强银行全面风险管理能力。
二、信息科技风险与操作风险管理框架
商业银行信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术应用水平,增强核心竞争力和可持续发展能力。
操作风险是《巴塞尔新资本协议》在信用风险和市场风险之外,所强调的商业银行面临的另一种重要风险类型,是指“由不完善或者有问题的内部程序、人员及系统或外部事件所造成损失的风险(表1)。”策略风险和声誉风险不包含在此定义中。我国银监会也基本沿用了这一定义。
可见操作风险这一定义的内涵包括由信息科技系统所产生的信息科技风险。因而商业银行在落实《巴塞尔新资本协议》、实施全面风险管理的过程中,需将信息科技风险作为操作风险的重要内容统一进行管理;对信息科技风险的管理,可以借用操作风险的管理框架和工具。
从风险管理的流程来看,一个完整的操作风险管理(Operational Risk Management,ORM)框架首先要确定执行和负责操作风险管理的组织机构,然后依据操作风险识别、风险计量、风险监测和风险控制的流程进行,形成一个循环往复、不断提升的风险管理过程。这一过程可用如下的操作风险管理“转轮”来表示(图1)。这一框架能提供一个对操作风险管理的完整流程,并允许银行在事先管理操作风险,而不论风险是否存在于业务过程、人员、信息科技系统或是外部事件中。
操作风险管理框架中的每一阶段都有不同的任务,理论界和实务界也都分别提出相应的工具和方法。下文尝试将操作风险的管理框架应用于商业银行信息科技风险管理,从而使信息科技风险管理成为银行全面风险管理的有机组成部分。
三、ORM框架下的信息科技风险管理
(一)信息科技风险管理的组织建设――信息科技治理
根据银监会的要求,IT治理的目标是在良好的公司治理的基础上,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。从银行内部来看,IT治理是公司治理的重要组成部分,包括与信息科技相关的领导关系、组织结构和工作流程等,其目的是保障信息科技与业务发展战略目标相一致。
信息科技治理是良好信息科技风险管理的基石,商业银行需要在公司治理基础上建立自上而下的信息科技治理结构。具体地,商业银行的董事会、高管层要对本行信息科技风险最终负责;董事会下的风险管理委员会可专设信息科技风险管理分委员会,由高级管理层、信息科技部门和主要业务部门代表组成;设立首席信息官(CIO),负责信息科技相关的重大决策,向上直接向行长和董事会报告信息科技运行和管理情况,向下统一领导信息科技板块各个部门,布置信息科技风险管理措施的实施;同时,风险管理部、尤其是操作风险管理部,也应把信息科技风险作为操作风险管理的一个特殊而重要的类型进行统一管理。此外,内部审计部门负责对信息科技风险管理的合规性和有效性进行审核(图2)。
在这样的信息科技治理结构之上,商业银行可将信息科技风险纳入总体风险管理框架,针对信息科技风险分布广泛、专业性强等特点,可以构建由信息科技业务经营部门、信息科技条线管理部门、风险管理部门和内部审计部门构成的“四道防线”,实现对信息科技风险的有效防范和管理。
(二)信息科技风险的识别方法
信息科技风险识别是指风险管理者通过一定的方法和手段,按照信息科技风险的来源范围和表现形式,鉴别信息系统开发和运行过程中一切可能导致信息科技风险的因素和产生风险的环节点的过程。信息科技风险识别方法可借用操作风险的识别工具。
1.风险与控制自评估法
信息科技风险的风险与控制自评估法(RCSA),是指银行IT风险管理部门对本行信息系统开发、信息数据管理、系统运行与维护等IT条线业务进行流程分析,识别并评估其中隐含的风险点,并对业务流程现有的控制措施的合理性和有效性进行评价的过程。
RCSA从梳理IT条线的主流程及其包含的子流程入手,针对这些流程设计RCSA问卷。这一问卷包含了每一流程步骤涉及的风险类型、相应的控制类型等内容,需要评分人对现有的控制设计和有效性进行评估,对风险导致的固有风险暴露、以及采取控制措施之后的剩余风险进行评分。最后要根据RCSA的结果决定是否采取对特定风险的控制行动。
2.风险地图法
风险地图(Risk Mapping)能够显示特定风险事件的风险暴露分布状况,将风险暴露与银行或业务部门的风险容忍度连接起来,根据特定风险在风险地图中的落点可决定对风险是否采取适当的控制措施。
风险地图是一个严重性-可能性矩阵。根据特定风险可能导致损失的严重程度及损失发生的可能性,可以共同确定风险暴露及其在风险地图的落点。风险地图不同区域所代表了不同风险容忍度,风险的不同落点有不同的涵义(图3)。
A.绿色区域:表示风险处于安全区域,不需采取控制措施降低风险暴露。
B.黄色区域:表示风险在加强监控的区域,应对风险进行关注和加强监控,但还不需采取具体控制措施。
C.橙色区域:表示风险在警戒范围内,风险管理部门应立即采取控制措施,将风险暴露降低到安全区域之内。
D.红色区域:表示风险已不可容忍,除了应立即采取措施降低风险暴露至安全范围内,还应该对风险暴露过高的原因进行追溯和问责。
需要说明的是,不同银行、不同业务条线的风险容忍度不同,因而风险地图的具体风险轮廓各异。即使同样的风险暴露在不同部门的风险地图上所处的区域可能都不一样,严重程度也不一样。对具体的信息科技风险管理者而言,要根据本行信息科技业务特点和自己的风险偏好,确定以上四个区域的临界值。
3.关键风险指标(KRI)
KRI是可用于表示商业银行信息科技风险状况的定量指标。通过指标的定期监控,可以对信息科技风险变化有代表性的某些方面进行跟踪和预警,并根据指标所处的区域决定是否采取控制措施。
关键风险指标应能代表信息科技领域最主要的风险指标,容易度量并能反映信息科技风险的暴露水平或者控制状态。商业银行首先需要明确各项与信息科技相关的关键风险指标,对每一指标设定相应门槛值。银行通过对所有KRI的动态跟踪,在超过门槛值时采取必要的控制措施,从而及时降低风险暴露程度,使基于KRI的风险控制行动能防止重大损失事件的发生。
与信息科技风险相关的KRI可根据信息科技业务的风险表现和分布特点而设定,具体指标可能包括:系统故障频率、系统中断次数、系统中断持续时间、系统交易失败比例、IT人员离职率、IT风险事件总数等。
4.损失数据收集(LDC)
首先要根据信息科技风险的分布特点,确定损失数据的收集范围、起点金额以及统一的损失数据内容(具体表现为损失数据库的字段格式)。
关于收集范围,巴塞尔新资本协议对操作风险的损失事件形态分为7个类型,其中与信息科技风险损失事件有关的整理如表2。银监会《商业银行操作风险管理指引》中规定应收集并报告的重大操作风险事件中,就包括“造成涉及两个或以上省(自治区、直辖市)范围内中断业务3小时以上,在涉及一个省(自治区、直辖市)范围内中断业务6小时以上”的系统业务中断事件等等。
损失起点金额要根据IT风险损失的分布特征和银行的风险容忍度而定。而损失数据内容则包括损失事件产生原因、发生时间、所在部门、损失金额、控制措施及有效性等。损失数据要按统一字段格式及时录入操作损失数据库。巴塞尔新资本要求采用高级计量法(AMA)的银行需要至少三年的历史损失数据积累。
(三)信息科技风险度量方法
操作风险度量方法包括基本指标法(BIA),标准法(SA),以及高级度量法(AMA),后者包括内部度量法、损失分布法和极值法等。目前我国商业银行对操作风险计量在实践中采用标准法。
但标准法设定的8个业务线,并未将信息科技业务条线专门列出,因而不能充分体现对信息科技风险的资本要求。事实上,信息科技风险不仅存在于商业银行信息科技业务条线,同时也广泛分布于其他业务条线之中。因而,在标准法的基础上,我们提出将信息科技风险按照所存在的业务部门分为两部分,分别进行风险计量和资本计提。
第一部分是存在于8大业务线内部的信息科技风险,在根据标准法对8大业务类型的操作风险计量时,已经包含了其中涉及到信息系统操作、运行等相关的信息科技风险。第二部分是信息科技条线的业务平台上涉及到的信息科技风险,主要包括信息系统开发、信息系统运行维护、数据中心建设和管理、软件外包、业务连续性经营等方面的风险。
具体计量时,第一部分已经涵盖在各个业务线的操作风险中;第二部分则由于信息科技业务并不直接产生收入盈利,可根据前三年信息科技投入的平均值,按其一定比例计算信息科技风险的资本要求。
其中Ii表示此前第i年信息科技投入的金额,βIT表示根据信息科技业务风险特征所确定的资本计提比例,KIT表示信息科技风险的资本要求,与其他业务的资本要求相加得到全行总的操作风险资本要求。
(四)信息科技风险监测与报告
风险管理是一个持续提升的过程,因而信息科技风险也需要定期持续的监测,以掌握风险发展的动态。监测一方面可以结合信息安全管理和内控措施,发现信息科技业务中存在的风险点及严重程度;另一方面也可以通过对之前设定的KRI的定期检查,判断风险是否在可容忍的范围之内。
对风险监测的结果和风险控制的现状,需要定期撰写风险报告,并逐级向上级风险管理部门汇总,最后由总行风险管理部向高管层和董事会定期提交风险报告。如总行操作风险部可以逐月汇总来自信息安全管理部和所有分行有关操作风险报告,其中包含信息科技风险的相关内容,然后逐季向高管层和董事会提交全行的风险报告。当遇到重大信息科技风险事件时,应随时上交风险报告。
风险报告是支持全面风险管理决策的重要依据,信息科技风险报告内容应包含在操作风险报告之中,其内容应涵盖报告期内:面临的或潜在的信息科技风险类型,已发生的信息科技风险事件,风险事件原因和过程,风险导致的损失,风险控制/缓释措施及其有效性,对风险事件的总结等。
(五)信息科技风险控制措施
由于信息科技风险自身的技术特点,对其有效控制的基础是在信息科技部门的开发、服务、运营等具体业务流程中实施先进的信息安全管理标准,如ISO20000 IT服务管理国际标准、ISO27001信息安全管理制度标准等。从信息科技风险整体的控制方面,可以实施以下几项措施。
1.完善内部控制机制。为实现信息科技风险的有效控制,商业银行需要建立并完善与信息科技风险相关业务的内部控制机制,确定信息科技相关业务和信息系统应用中不同职位的人员在信息科技风险管理中的分工和责任。这包括不同系统在物理上和技术上的隔离、规范业务操作流程、确定并执行严格的权限范围、建立业务流程之间相互平衡的制约机制等。
2.信息系统审计(IS audit)。指收集并评价证据,以判断一个信息系统能否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源的过程。商业银行内部或外部的信息系统审计部门,可通过一般控制和应用控制等审计方法对全行范围内的信息系统生命周期内的资产保护、数据完整、资源经济有效利用以及完成组织目标的情况进行综合评价。从而总体把握商业银行信息系统的风险状况,并向商业银行风险管理部门和信息科技部门提出咨询意见。
3.业务连续性管理(BCM)。BCM的目的是通过有效的管理,使在各种意外情况发生时,银行信息系统和相关业务都能始终不间断运营;或者退一步,BCM使意外冲击对信息系统正常运行或业务连续经营的影响降至最小。影响信息科技基础设施(如银行的数据中心或业务处理中心)连续运营的主要因素有,黑客攻击、电脑病毒、软件错误、人为失误、硬件故障、自然灾难等。
有效的BCM是针对以上影响因素严重程度制订的一整套管理方法。如首先是要建立信息系统应急机制和紧急变更预案,从制度上保证出现业务中断时的行动路线。其次加强重要数据的灾难备份。目前我国大部分大中型商业银行都已经成立了灾备中心,进行核心数据的同城镜像和异地灾备。此外还需要对业务处理系统进行切换演练,通过定期进行切换演练,对可能面对的不同冲击进行情景分析和压力测试,降低突发事件威胁,提高应急处理能力。
4.通过保险和外包来缓释和转移风险。由于发生概率较低但损失程度较大的信息科技风险是难以预测、量化及分配资本的,因此对信息科技风险的缓释和转移,可大大降低银行相关风险暴露程度。
使用保险作为操作风险的重要缓释工具有很大的必要性。商业银行与保险公司可以根据主要信息科技风险的损失分布特征,共同开发适当的保险产品以此对商业银行面临的信息科技风险进行缓释。同时软件开发等的外包,即可利用外部专业资源,又可转移商业银行自身承担的失败风险。但也需注意要通过签署权责明确的事前协议,来规避外包过程中的潜在风险。
综上,信息科技风险管理可利用操作风险管理的框架,但信息科技风险的组织结构、识别、计量、报告和控制等都有其具体的方法和工具。这一框架可以表示为如下图4,其中左半部分表示了操作风险管理的框架,右边虚线内是信息科技风险管理的具体内容。
四、结论和建议
本文在操作风险视角下研究了信息科技风险的管理流程和具体措施。研究发现,首先,商业银行的信息科技风险是操作风险的重要表现形式之一,因而有必要利用操作风险管理框架对其进行管理。其次,操作风险管理的流程和工具,可为信息科技风险的识别、计量、监测和控制提供规范化的参考依据。另外,值得注意的是,信息科技风险有其具体的表现形式和技术特点,对信息科技风险的评估、监测和控制等具体措施等有明显的技术特点,因而信息技术部门内部的信息安全管理是信息科技风险管理必不可少的重要基础。
研究建议,商业银行应在信息技术部门内部的信息安全管理的基础上,通过在信息技术条线推行操作风险管理,利用操作风险的规范流程和科学方法对信息科技风险进行有效管理。这不仅有利于落实《新巴塞尔资本协议》的监管要求,也有助于提升我国商业银行全面风险管理体系的建设水平。
注:
本文得到中国博士后科学基金第四十七批面上资助,项目名称《商业银行信息科技风险管理研究――基于操作风险管理框架》(资助编号20100470108)。特此感谢,当然文责自负。
操作风险管理范文4
关键词:银行业务;操作风险;策略分析
中图分类号:F830.33 文献标识码:A 文章编号:1001-828X(2013)11-0-01
一、我国商业银行操作风险管理的发展分析
2004年巴塞尔新资本协议后,全球银行业对操作风险的认识提升到一个新的层次。受国际监管理念的影响,同时受金融机构案件频发的警醒,近年来,我国监管机构和商业银行加大了操作风险管理力度。2005年银监会出台了防范操作风险的“十三条”规定,2007年5月,颁布了《商业银行操作风险管理指引》,并指出,操作风险是“由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险,包括法律风险,但不包括策略风险和声誉风险”,2008年9月又颁布了《商业银行操作风险监管资本计量指引》,指出商业银行选择标准法、替代标准法和高级计量法之一来计量操作风险的监管资本,2012年了《商业银行资本管理办法(试行)》,对新资本协议提出的操作风险组织架构、政策、工具、流程和报告路线方面的监管要求做出了全面承接与细化,并要求国内银行业在2018年前达标。至此,在中国银行业,操作风险管理被作为主要风险管理职能纳入了全面风险管理体系。
二、我国商业银行操作风险成因分析
(一)对操作风险管理的认识存在主观偏差
一是认为操作性风险是操作部门或操作岗位员工才会产生的业务风险,对操作风险的普遍性、危害性和长期性缺乏足够的认识,同时缺乏对操作风险的有效认识和整体把握。二是认为操作风险管理主要是管理层的任务,与自己的切身利益关系不大,导致操作风险管理的执行力度受到影响。三是管理层面还存在操作风险管理理念和认识深度参差不齐的现象,导致未能有效实施操作风险管理的规划。
(二)操作风险管理工具的实际应用有待加强
目前,我国商业银行的操作风险管理还处于初期阶段,管理基础比较薄弱。在风险管理实际执行中,对风险管理工具的认知和应用还存在报送数据、报告之类的初级操作,且报告的风险分析质量不高,数据错漏现象时有发生。另外,专业风险管理人才普遍欠缺,不能熟练运用操作风险三大工具实现风险识别、评估、监控和预警处理的全流程管理,使管理层不能全面深入了解所面临的操作风险,不能有效根据自身的承受能力和发展策略采取针对性的应对措施。
(三)操作风险监测分析不到位
目前,操作风险管理对事前的防范和事中的控制措施关注度不够,主要是对已发生或已存在的风险采取事后的管理处罚措施并提出相关的改进意见,管理部门通常将工作重点集中在事件后的突击检查、查找问题、整改工作和处理责任人等。操作不按流程、审核不到位、随意简化程序等问题依旧屡查屡犯,不能从根源上有效控制和防范操作风险。另外,风险预警体系不够健全,缺乏事前全面、系统的评价机制,不能有效的对风险损失事件进行预测和控制。
(四)基层操作风险相对突出
基层机构数量众多,管理链条过长,监管相对较弱,是违规操作发生的原因之一。根据监管部门的案情通报,大案要案及违规事件主要大部分都集中在银行的基层机构,反映出银行对基层机构的控制及基层机构自身的操作风险管理能力相对较弱,制度执行力不强,风险最为突出,基层营业网点操作风险主要表现在违规操作屡查屡犯。
三、我国商业银行操作风险管理的对策分析
(一)培育操作风险管理文化
管理者应充分了解本行操作风险现状,营造全员共同参与的操作风险管理环境,确立全面风险管理理念,从经营理念、管理制度、行为规范等方面形成内部积极和谐的风险管理文化氛围。组织多形式、分层次的操作风险管理培训,培训课程应涵盖操作风险管理实务、风险资本计量、操作风险管理师资培训等,保证各级员工获得足够的操作风险管理知识和技能。
(二)完善操作风险管理激励约束机制
改善和强化绩效考核和约束机制,加强对监管政策及要求的学习与传达。由于基层机构内控水平较为薄弱,操作风险管理应把基层机构的内控执行效果作为评价、验证操作风险管理的重要标准。不仅要加强对基层机构操作风险的及时监控,还应将风险因素的考核纳入网点负责人绩效考核范畴,并加大操作风险的考核权重,提高内控管理工作效果考核分值,明确奖惩标准。通过考核促进基层行重视操作风险管理,从而激发全体员工积极参与操作风险管理。
(三)加强内控管理与操作风险管理一体化建设
良好的内部控制建设,可有效防范起因于内部管理流程、人员以及系统的操作风险。实际工作中,对操作风险发挥主要控制作用的是内部控制体系。内控管理和操作风险管理工作一体化管理思路,要从组织与职责、体系与流程、管理工具和信息系统等方面将内控管理与操作风险管理两项工作整合起来,避免内控与操作风险管理中的重复工作,节约时间成本与人力资源。同时,借鉴操作风险的监控指标、风险容忍度等工具,使内控管理决策更加科学,成本效益比更趋合理。
(四)完善风险评估与监测体系,强化事前预警监测
建立操作风险监控分析平台,实现对异常交易的筛查、核查和验证,对交易、行为、实物进行实时监控。在日常管理中,应充分考虑IT资源成本优先实现对高风险业务的监控,并及时根据监控情况及业务发展实际,在现有的参数化预警模型基础上,进一步完善预警模型及监测体系,满足完善监控平台用户需求,加强对操作风险特性的识别,着力提升风险分析能力,识别和防控重大操作风险,促进业务流程优化和系统完善,完善的操作风险识别、计量、监测和控制程序。
参考文献:
[1]杨天玲.银行操作风险成因及对策研究来源[J].金融与保险,2008(06).
[2]许文,徐明圣.风险映射与商业银行操作风险控制[J].银行家,2008(07).
操作风险管理范文5
关键词:操作风险;商业银行;风险管理;应对策略
根据《巴塞尔新资本协议》,操作风险可以分为由人员、系统、流程和外部事件所引发的四类风险,并由此分为七种表现形式:内部欺诈,外部欺诈,聘用员工做法和工作场所安全性,客户、产品及业务做法,实物资产损坏,业务中断和系统失灵,交割及流程管理。本文通过运用文献调查、实地观察和访谈等研究方法对商业银行操作风险管理问题进行了研究并将文章分成目前我国商业银行操作风险管理体系中所存在的问题以及加强操作风险管理的对策建议两部分。第一部分描述国内银行操作风险管理的现状;第二部分笔者通过对商业银行的实地采访调研提出了当前商业银行操作风险管理中存在的问题比如管理人员思想认识存在偏差、信息技术存在缺陷等;第三部分就上述现状和问题提出了加强操作风险管理的对策方法包括不断完善操作风险管理体系、不断增强法律意识、加强对操作风险的前瞻性研究与风险评估工作等。
一、商业银行操作风险管理问题的现状
随着我国对商业银行改革的不断深化,2002年9月,中国人民银行并开始实施《商业银行内部控制指引》,对我国银行建立操作风险管理和控制框架提出了要求,对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控,这就使得内部控制覆盖到银行的全部经营管理活动。与此同时,国内学术界和实践界也开始较多地关注操作风险的研究,出现了一些介绍性文献和相关文章。2005年,中国银行业似乎一下进入“多事之秋”,各种操作风险大案、要案频发且不断升级。年初中国银行黑龙江河松街支行行长高山卷款10亿元潜逃案;2月22日,建设银行吉林分行3.2亿元金融诈骗案又浮出水面;3月24日,银监会又查出农行包头分行重大违法经营案件,涉案金额1.15亿元;4月2日中国银行北京分行6.4亿烂尾楼骗贷大案曝光。此类案件被人称之为“细节中的魔鬼”,其实正是巴塞尔新资本协议谓之的“操作风险”。可以看出,国内银行业现在面临逐步出现的操作风险,情况严峻到让人担心。2005年3月7日,中国银监会针对银行机构对操作风险识别与控制能力不适应业务发展的突出问题,了《关于加大防范操作风险工作力度的通知》,首次将操作风险与信用风险并列为银行面临的三大风险。《通知》指出,一些机构由于相关制度不健全,或者对制度执行缺乏有效监督,对不执行制度规定者查处不力,风险管理和内部控制薄弱,导致大案、要案屡有发生。要求银行机构加大力度,采取切实措施,有效防范和控制操作风险。《通知》既是商业银行防范操作风险的指引性文件,也是审慎监管要求。主要针对当前商业银行操作风险中存在的突出问题,而不是操作风险控制的一般性指引,并未覆盖有关操作风险的全部内容。由此可见,风险管理措施的重视度及必要性已经广泛的被业界所认识。2007年5月为加强商业银行的操作风险管理,推动商业银行进一步完善公司治理结构,提升风险管理能力,银监会制定并了《商业银行操作风险管理指引》。
二、目前存在于我国商业银行操作风险管理体系中的问题
整体来说,我国商业银行已经建立起了一个较为完整的操作风险管理框架和体系,有着严格的制度准则,对操作风险的认识和重视程度也在逐渐加深,但在调查过程中我们也发现了一些商业银行在管理工作中存在的问题:
(一)管理人员思想认识存在偏差
中层管理人员对操作风险还没有足够的重视,大多领导干部都缺少风险及内部掌控的意识,可见各层领导对于业务的发展以及相关的管理没有过多认知,仅仅致力于当前对于营销的业绩要求以及其公司自身的各个目标规划,而忽略了对内部操作的规章制度管理的执行力,从而让各种规章制度不能有效的开展与执行,导致很多问题屡屡出现。
(二)信息技术存在缺陷
当前,各项业务的开展均以计算机网络为载体并通过专业管理系统来实现,但由于系统存在着运行不稳定、安全缺陷、系统升级、系统日常维护等风险隐患,将不同程度的引发操作风险。虽然部分银行在技术管理方面已经较为成熟,如两套备份系统,两套发电设备以及及时有效的报警反馈系统,但仍然有部分银行的技术条件简陋,基本上靠人力支持,效率低下。
三、加强操作风险管理的对策建议
操作风险的有效管理与经营发展密不可分,贯穿于银行经营管理活动的全过程。未来银行业的发展,其关键之一就是提高风险的管理水平,操作风险更是重中之重,要做好这份工作,就必须去认识、研究、制定措施并付诸实施。经过认真的学习研究之后,对商业银行操作风险管理方面提出了一些自己的建议:
(一)不断完善操作风险管理体系
在明确细化各业务职能部门操作风险管理职责的基础上,努力提高业务管理部门的操作自律意识,建立操严密的监控防线。二是完善优化监督制约机制。做到既分工明确,又相互制约和监督,内控合规部作为操作风险的牵头部门,通过随时调看各业务管理部门的业务管理系统,对各专业操作风险管理情况进行再监督,督促各部门认真履行其管理职责。三是夯实操作风险管理基础。将操作风险管理渗透到业务的事前、事中、事后等各个环节,根据基层营业机构的特点,制订具体、简明、科学、有效的基层营业机构操作风险管理办法,将支行甚至营业网点均纳入到操作风险管理的组织框架之中。
(二)不断增强法律意识
首先要严格按照法律法规和各项规章制度办事,构建经营管理过程的法律风险控制机制,从源头上杜绝或减少各类被诉案件的发生。二是针对我部诉讼案件多、金额大的实际情况,要强化案件管理,力争数量和涉案金额有明显下降,同时防止发生新的诉讼案件。三是加大对新型法律风险的防范力度。目前,一些新型的操作风险,如泄密、代售基金的误导等涉及负债、中间业务的案件正呈不断上升趋势,这类案件与传统的资产案件相比,银行从原告走向了被告,从赢多输少变成输多赢少,因此,要高度重视此类风险给我部带来的危害,采取有效措施切实加以防范。
(三)加强人才队伍和激励机制建设
一是从员工队伍结构上看,在操作风险管理方面有实际经验的员工及解决方案比较缺失,因此还应该根据内部人员现况做好相关的培训,通过培训,为加强操作风险管理工作提供人才保证。二是从激励机制方面讲,目前,虽然已经建立了完整的操作风险管理体系,但由于部分管理人员不能动态地介入整个管理过程,体系的运作效果大打折扣。为此,要加快建立和完善激励约束机制,为防范操作风险提供支持和保障。
(四)以人为本,培育有效的内控文化
内控文化首先是一种氛围,不管是管理者还是员工均可以通过自身的言行来营造这种氛围,使所有人都认识到内控的重要性,使所有人都了解自己在内控中的地位和职责,并全心全意认真履行。其次,内控文化是一种道德评价,通过思想道德教育,形成一种道德评价标准,形成一个健康的管理理念,促使员工恪守诚信原则并高效诚实地工作,推动经营管理良性发展。(作者单位:贵州财经大学金融学院)
参考文献
[1]王吉恒,王春峰.基于收入模型的商业银行操作风险量化研究[J].商业研究,2010(4).
[2]宋懿.赵琳.国有商业银行操作风险成因及对策分析[J].齐鲁珠坛,2010.(3).
[3]中国注册会计师协会.公司战略与风险管理[M].北京: 经济科学出版社,2010.
[4]宋懿,赵琳.国有商业银行操作风险成因及对策分析[J].齐鲁珠坛,2010,(3)
操作风险管理范文6
[摘要]操作风险和信用风险、市场风险一起被巴塞尔协议界定为金融机构面临的三大主要风险。本文从行为科学的角度对商业银行员工操作风险进行了分析,并相应地提出了改善员工操作风险管理的建议。
[关键词]行为科学员工操作风险风险管理
一、银行操作风险概述
操作风险是指在金融机构内由于工作人员的行为错误、不完善的内部控制、系统错误,以及不可控制的事件所引起的收入或者现金流的波动。操作风险可以分内部操作风险和外部操作风险。内部操作风险分为员工风险、流程风险和系统风险。员工风险又分为操作失误、员工内部欺诈和内外勾结、越权行为、违反用工法、关键人员流失。本文所研究的操作风险指的是员工操作风险。员工操作风险是我国商业银行面临的主要风险之一,其在商业银行风险中的比重远大于国际同行的水平。近几年我国的商业银行员工操作损失频发,已经引起了我国金融界高度重视。因此,员工操作风险管理的研究在我国有着重要的现实意义。
二、基于行为科学的商业银行员工操作风险管理分析
1.组织价值观在商业银行员工操作风险管理中的应用
现代行为科学理论认为组织价值观是规范和管理人员行为的核心。根据行为科学理论,人的一切行为都出自于人的心理活动,即人的动机、态度,而动机、态度又受制于人的需求和环境的刺激这两大因素。环境是一种客观事物,人无法选择,而需求则是主观的东西。因此为了控制人的行为,就要对人的需求进行调节。由于价值观对人的需求具有巨大的作用,因此就可以成为行为的控制器,也自然成为了员工操作风险管理的核心内容。所以要对员工行为进行有效的约束,使得员工按照银行的规章制度进行规范的业务操作,使得员工时刻保持以银行利益最大化的自觉性,就必须从员工的职业观、价值观着手,努力营造全体员工团结一致、共创银行业绩的氛围。同时,对员工操作风险的管理不是通过强迫命令、硬性服从来统一员工的行为,而是用柔性化的手段对人的心理进行改造。通过树立正确的价值观,使它内化为员工的意识、观念、态度和习惯,自觉地将自己的行为与组织的目标保持一致,使员工有归属感和价值认同感,进而使得银行员工始终按照银行的规则和程序来操作,减少操作失误。这还可以减少监督成本,提高银行业绩。
2.行为激励功能在商业银行员工操作风险管理的作用
由诱因触发动机,再由动机到达目标的过程就称为激励过程。根据行为科学理论,银行员工风险的激励功能可以从以下方面解释。从“目标理论”看,目标是引发人的动机诱因,是一种极其有效的激励因素,缺乏目标激励的行为将是低效率的。应该将员工的理想追求与银行的目标结合起来,使双方为了共同的目标奋斗。这种共同目标的形成不能只是对员工进行价值观培养,更重要的是要建立一整套的规章制度,在制度中实现二者目标的统一。在银行内部设置完善的奖惩制度,使员工受到激励,这样可以使员工尽量减少操作失误,从根本上降低员工操作风险。同时银行良好的激励机制,使得员工增加自我意识,使得员工更加认真工作以争取奖励,尽量减少操作失误以避免惩罚,透明的奖惩制度还可以减少关键员工的流失风险。
三、从行为科学的角度对加强商业银行员工操作风险管理的研究
根据行为科学理论,可以从价值观和激励功能角度来加强员工操作风险管理。具体可以从以下几个方面来加强员工操作风险的管理。
1.在银行内构建全体员工与银行共同发展的价值观。行为科学告诉我们,共同的价值观能很好地团结全体员工为银行的利润和声誉共同努力。首先,要构建商业银行内部的企业文化,形成一种为抑制操作风险共同努力的氛围。其次,要在平时的工作中加强团队建设,员工之间形成一种分工协作的关系。再次,要把这种共同的价值观体现在银行的规章制度中。这种共同价值观会增加员工的责任感,降低操作风险。
2.完善银行风险管理规章制度。首先,银行内部要建立一个全面的、系统的操作风险管理的规章制度,员工要按照此规章的要求有计划、有步骤地进行金融业务操作。其次,对于一些难以规定、时效性较强的金融业务要有一个大致的应急方案。再次,要提高员工的业务素质,面对一些特殊情况能随机应变,做出最合适的选择。风险管理规章制度可以使员工进行金融业务时有据可依,降低操作风险。
