前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的操作风险管理主题范文,仅供参考,欢迎阅读并收藏。
关键词:移动保险 操作风险 风险源 风险评估
中图分类号:F840.2 文献标识码:A
文章编号:1004—4914(2012)06—038—03
近年来,随着我国移动互联网的纵深发展,特别是智能手机的普及与移动技术的成熟,各種基于移动设备的保险应用纷纷出现。从手机保险网站、短信投保到移动理赔系统,移动保险采用了多種多样的形式。本文所指的移动保险,指通过移动设备(包括智能手机、掌上电脑等)接入无线网络实现保险经营活动开展的一切形式。
在保险企业与IT企业的联合推动下,移动保险迅猛发展,但是移动保险涵盖的产品却只是电脑网站的简化版,险種也仅限于投保手续简单的险種。对移动保险安全性和有效性的疑虑,是许多顾客不选择移动终端投保的重要原因,指引性文件的空缺也使保险企业面临法律诉讼的风险,怯于推广复杂险種。在这样的背景下,保险企业应该如何从人员、业务流程、系统、外部因素四个方面进行有效操作风险管理,减少由移动保险带来的纷争,值得探讨。然而,目前操作风险管理研究仍然欠缺。本文意在借鉴移动电子商务风险管理以及保险企业操作风险管理研究的基础上,通过对移动保险操作风险的源头、特征、表现形式的初步探讨,为强化移动保险风险评估和改善风险源提出建议。本研究将移动保险操作风险定义为在开展移动保险过程中由于人员、系统、业务流程、外部事件引起损失的风险。
一、移动保险操作风险源
进行有效的操作风险控制手段之一就是控制或者改善风险源。因此,有必要找出移动保险操作风险的风险源。根据现代企业风险管理理论,风险源指可能促成不利结果出现的危险因素的来源,移动保险的危险因素源自下列环境:
1.自然环境。自然环境对移动保险的开展的影响主要表现在对移动终端、移动通讯与相关人员的影响。恶劣的天气、自然灾害可能影响移动保险工作人员的工作状态和安全状况进而影响移动定损查勘等工作的开展,可能导致移动终端的破坏与丢失、移动通讯的中断,进而导致保险信息的丢失。我们虽然无法控制自然环境,但是可以通过有效措施切断风险的传递。
2.认知环境。移动保险的认知环境主要体现为移动保险企业的企业文化,包括企业价值观、企业精神、企业道德、企业宗旨、企业使命和企业目标,对相关的工作人员起到导向、激励、约束作用,影响企业资源整合。目前,我国保险企业操作风险管理理念不强,风险管理作为一種管理职能基本上还未纳入保险企业管理,保险经营还处于财务型控制被动经营状态,这样的企业文化容易导致移动保险操作风险的产生。
3.运作环境。动保险的运作环境主要指保险企业的产权制度。目前,中国保险业形成了以大型国有控股企业为主导,多家股份制企业、中外合资企业和外国企业分企业并存的竞争格局,中国保险业的产权也演变为公有产权、私有产权并存的混合产权形式。移动保险企业中包含政府部门、保险企业管理层、移动保险开发商、移动保险合作方、保险企业员工及人、投保人和被保险人五个层次的委托关系,多层委托导致各级委托人信息不对称,可能出现内部人控制、逆向选择、道德风险,产生操作风险。
4.技术环境。移动保险的技术环境主要指移动技术、移动保险操作系统、移动终端的研究成果以及国家保险信息化投入情况。近几年学者纷纷开展移动保险主要技术(包括GPRS、WAP、J2ME、SMS等)的研究并指出各種技术的优劣势及改进方法,但是随着技术发展,技术风险也不断发展。值得注意的是,2011年中国保险行业信息化投入为65.5亿元,较2010年同比增长12%,IT投入进入持续增长期,有利减少移动保险的操作风险。
5.法律环境。移动保险相关法律的欠缺导致操作风险的产生。我国对保险企业操作风险的研究、立法起步较慢,至今尚未有移动保险的操作风险及其管理的立法。这样的情况下,解决移动保险带来纷争只能依据保险法,但是移动保险相关资料电子化、通过移动网络传递,保单的生效条件、投保人如实告知义务和保险说明义务的履行形式与传统保险应有所不同,保险法没有做出与移动保险相适应的修改,保险合同双方都面临法律风险。
二、移动保险操作风险的特征
移动保险的操作风险与传统保险具有共性:内生性、非盈利性、普遍性、可控性。同时,移动保险由于终端的移动性和接入网络的虚拟性,其操作风险相对传统保险操作风险有以下突出特征:
1.成长性。移动保险操作风险的成长性源于移动技术的发展、应用程序的开发。
移动技术的发展可能消除移动保险原有的操作风险,同时也催生新的操作风险。移动保险正处于不断变化阶段,从手机保险网站、短信投保、移动理赔到自助保险卡,每一種形式的移动保险操作风险都具有不同的表现形式。随着移动技术进步、移动保险形式更新,移动保险操作风险的表现形式、特征会不断变化,具有成长性。
2.隐蔽性。移动保险操作风险的隐蔽性源于其运用网络的虚拟性与保险信息的电子化。
移动保险的投保单、理赔资料等数据在移动终端中保存,通过无线网络传输,这些电子信息不为人们所见,泄露、丢失、被窃取或修改都不易被发现。另外,人为破坏造成的机器硬件和手机终端表面损坏很小,风险产生后较少留下破坏痕迹或者很容易消除表面痕迹,移动保险操作风险不易被发现。
3.高科技性。移动保险的部分操作风险具有高科技性,这是由其运用平台的高科技性决定的。
移动保险风险的有些制造者具有较高的科技知识背景与掌握较高的科技手段。黑客是其典型代表,他们利用自身的计算机技术知识和娴熟的操作技能,搜寻移动网络、移动终端系统的漏洞,伺机攻入移动保险的核心程序,通过更改程序、向计算机系统输入非法指令等手法,盗取、伪造投保人信息和理赔资料,给移动保险企业带来风险。
4.高传导性。移动保险终端的可移动特点以及其接入的网络虚拟的特点,使得移动保险操作风险可在地区间甚至全球的高速传导。移动终端可移动、终端的持有人可移动、网络信息的高速流动,三层流动决定了移动保险相关人员的失误行为、犯罪行为带来的后果可以高速传导。
移动保险操作风险隐蔽、高科技、高传导的特点决定了其后果的严重性。尽管移动保险风险复杂多变,但由于它是由于人员、系统、业务操作流程、外部因素经内部因素传导引起的,具有内生特点,仍然具有可控性,我们可以通过一定方法进行风险控制。
三、移动保险操作风险分析
(一)风险分类
为了对移动保险的操作风险有清晰的认识,奠定操作风险度量的基础,本节在借鉴巴塞尔协议与传统保险中操作风险分类的基础上,对移动保险的操作风险进行分类。如表1。本分类只是对现有移动保险操作风险进行初步探讨,随着移动保险的创新,其操作风险的表现形式和具体描述需不断改进。
(二)风险分析——以手机投保为例
目前国内具有代表性的手机保险网站有中国平安、泰康人寿与人保财险的手机网。三家公司手机投保流程相似,如图1所示,值得注意的有两个问题:
一是保险条款阅读仅作为选择环节,免责条款需要用电脑登录网站才能阅读,投保人在利用手机投保时只能获知保险保障金额与保障范围。这会导致两个方面的问题:投保人在不便于上网查看详细条款的情况下,出于紧急需要直接投保,后期容易出现理赔纠纷;保险人设置责任免除条款阅读的环节形同虚设,依据保险法该免责条款无效,保险企业面临法律诉讼的风险。
二是被保险人的名字、身份证号码对应的名字、信用卡持卡人姓名不一致仍然可以进行投保,产生利用他人的身份证号码没有经过被保险人同意就为非法定可为其投保人投保,进行骗保的可能。虽然保险企业可以以投保人没有充分证据证明经被保险人同意为由拒赔,但是这样就无法保护误填信息的保险消费者。
相关数据表明,外部欺诈和执行、交割以及流程管理的风险事件占我国保险企业操作风险损失事件的比例超过60%,手机投保流程导致的操作风险必须引起重视。
五、移动保险操作风险管理对策建议
(一)强化风险评估
1.运用模糊影响图分析移动保险风险要素关联情况。移动保险的操作风险产生的环境复杂,通过关联因素高速传导,一系列的风险事故或者多个风险事故组合到一起就会造成非常严重的后果,应对其相互关联的风险因素一起评估。模糊影响图是处理移动保险相关专家给出不够精确、完整的模糊信息的有效工具。
2.融合专家意见,决定移动保险操作风险因素等级。移动保险操作风险不断变化、隐蔽、高科技的特征,使得操作风险数据获取极其困难,无法定量分析损失发生的频率以及决定风险因素等级。因此,融合专家评价评估出风险因素等级就显得非常必要。通过征集与移动网络密切相关方面专家的意见,进行群决策,避免由于问题的模糊性、复杂性和专家对问题认识的局限性从而导致评估信息的不确定。
通过运用模糊影响图分析移动保险风险要素关联情况、融合专家意见决定移动保险操作风险因素等级,移动保险企业可以决定各类损失是否在自己的承受范围内,采取对应的措施。
(二)改善风险源
1.建立重视操作风险理念的企业文化氛围。认知环境是操作风险生长的土壤,移动保险的操作风险管理应该从建立重视操作风险管理的企业文化氛围开始。移动保险企业从三个角度着手改善企业文化氛围:第一,从保险企业的董事会到基层机构都明确各部门的风险管理目标,并且建立操作风险管理激励机制;第二,通过日常规章制度规范操作,同时,适时地组织学习应对恶劣天气、系统问题、意外事故等问题的技巧,从实践中树立重视操作风险管理的企业风险文化氛围;第三,吸引、招纳具备风险管理知识与经验的人才,让他们推动重视操作风险管理的企业风险文化氛围的建立。
2.完善移动保险业务操作流程。业务流程的不完善是移动保险操作风险产生的重要原因,保险企业加强与IT企业合作完善业务流程,是减少操作风险的重要措施。手机保险要进行推广得从这些方面完善流程:把保险条款中可能引起争议的条款做突出处理,对专业术语作详细说明;把免责条款的阅读作为投保的必要环节;减少数据传输可人为操作环节;建立精细有效的身份认证机制确保投保人的真实身份。
3.提高移动保险的安全性能。移动保险的安全性不高是阻碍其持续发展的最重要原因,改善技术环境既得有政府重视保险信息化投入,学者们技术研究,还需要保险企业重视操作风险管理,从物理层、网络层安全和系统层三个方面进行安全防范。物理安全防范应从设备、线路、系统所处环境进行;网络层可以通过防火墙安全技术、入侵检测安全技术等防止黑客、病毒入侵,保护移动支付安全。系统层安全防范需要关注移动系统研究最新成果、及时进行系统升级、数据备份。
[项目基金:广东省大学生创新实验项目(1184611008)]
关键词:商业银行;操作风险;管理策略
中图分类号:F830.33
文献标识码:A
文章编号:1007―4392(2007)09―0052―03
一、操作风险的性质分析
(一)操作风险的异质性
这是操作风险与市场风险、信用风险相比都很不同的一种特性。后两者尽管在各产品和业务中的表现会各有差异,但同一类风险的影响因素具有共同的规律,如市场风险主要受到宏观经济因素的影响,各金融产品本质上具有同质性,其价格波动受许多共同因素的影响,而信用风险都可以分解为违约率和违约损失率等因素来分析,而且也大都受到企业、行业和经济周期等大致相同的主要风险因素的影响。但是,操作风险由于覆盖范围广泛,诱发因素多种多样,不同操作风险之间表现出明显的性质差异。外部欺诈、计算机病毒引发的系统崩溃、地震以及恐怖袭击等尽管都同属于操作风险,但显然其诱发因素和性质的差异是很大的。这种性质差异导致了操作风险的管理从量化到管理控制、监测等各个方面都具有很大的挑战性。
(二)操作风险的普遍性
与市场风险主要存在于交易类业务和信用风险主要存在于授信业务不同,操作风险普遍存在于商业银行业务和管理的各个方面,包括前台、和后台,总行、分支机构和子公司,交易业务、信贷业务和中间业务,等等。操作风险不仅存在于业务流程之中,也存在于风险管理本身的实施过程之中。操作风险的普遍性是商业银行进行全面风险管理的重要原因之一。
(三)操作风险的不对称性
这是指反映操作风险的操作损失分布是不对称的。这与信用风险相似,而与市场风险相异。这主要反映在操作风险从发生频率和损失严重程度上看可以分为两类:一是发生频率高、造成损失相对较小的日常业务流程处理上的小错误;二是发生频率低但造成的损失相对大的自然灾害、大规模舞弊等。这使得操作风险在分布上呈现出肥尾的非对称特征。因此,试图用一种方法来覆盖操作风险的所有领域几乎是不可能的。
(四)操作风险的非盈利性
这是操作风险与市场风险和信用风险相比另一个重要的特性。后两者由于存在盈利的可能,商业银行承担它们的一个主要动机是为了获得盈利,而操作风险却并不能直接带来盈利,商业银行之所以承担它是因为在业务开展和机构管理中它不可避免。因此,在承担市场风险和信用风险时,商业银行追求风险和收益的平衡,并将这种管理风险和收益平衡能力视为其核心的竞争能力。而对于操作风险而言,由于不具备盈利性,商业银行的基本策略就是尽可能降低,然而这必须受到成本支出的约束,因而需要追求的是降低操作风险和增加管理成本之间的平衡。
(五)操作风险的可转化性
在实践中,操作风险通常可以转化为市场风险和信用风险。例如,巴林银行的内部控制缺陷和交易员里森的欺诈最终转化为该银行在日本金融市场上的巨大风险;一系列银行信贷流程中的问题最终也会转化为大量的信用风险。由于操作风险的这种可转化性,人们往往难以将操作风险与市场风险和信用风险区别开来。一个典型的例子就是我国银行体系大量的不良贷款,不少人由此认为我国银行信用风险管理能力有缺陷,而实际上,大量不良贷款中相当一部分反映了商业银行管理操作风险的水平欠缺。因为严格地讲,只有由于借款人信用水平变化(而并非信用水平低)所导致的可能损失才算是真正意义的信用风险。即便是借款给欺诈者,银行首先面临的也并非信用风险,而是操作风险,因为借款者的信用水平并没有发生变化,导致银行可能损失的是银行内部识别和管理信用水平的能力和流程出现的问题。
二、操作风险管理的特点
(一)操作风险难以进行量化管理
在商业银行所面临的主要风险中,市场风险因交易数据丰富而最容易计量,信用风险的计量就困难得多,但近些年随着贷款销售和资产证券化导致信贷产品流动性加强,同时信用计量模型也不断被开发出来,其计量的难度相对降低。而操作风险则成为当前最难计量的风险,其主要原因是构成复杂,性质各异,各风险因子之间的可比性差;损失数据,尤其是大额损失数据稀少且缺乏积累;大多数操作风险具有内生性,与人的作用有关,难以客观量化;风险量化模型的开发还处在非常初级的阶段等。操作风险的量化困难目前已经成为制约操作风险管理发展的重要因素。
(二)操作风险不易通过市场转嫁
转嫁风险是现代风险管理中最为引人注目的策略和技术之一,也是金融体系实现风险配置(即将风险由没有承担能力或意愿的参与者转移到有承担能力和意愿的参与者)的重要途径。在市场风险和信用风险管理中,包括信用衍生产品在内的各种市场转嫁产品构成了被称之为金融工程和信用工程的现代风险管理的核心技术。然而,市场转嫁策略在操作风险管理中的应用相对而言就困难得多,传统上商业银行可转嫁的操作风险主要局限在保险公司愿意承保的火灾、盗窃等风险范围,其主要原因在于上述操作风险难以计量的管理特征。不能计量的风险,就不能定价,不能定价自然就不能交易转让。
(三)与业务线路的管理过程相融合
由于操作风险源自商业银行各项业务的人员、系统和流程等因素,对这些因素的管理显然与业务线路本身的管理是相互融合的。即便是审计、公司治理和独立操作风险管理部门,其最终发挥作用仍然必须通过对业务线路的管理产生影响而实现。因此,在操作风险管理体系中,具体的业务部门应该首先对自身的操作风险负首要责任,董事会则应承担最终的责任。
(四)治理结构和内部控制所决定的环境和文化具有决定性的关键作用
公司治理是关于利益相关者之间权责利关系的基本制衡结构,直接决定了商业银行内部从事业务和管理各项活动的人的相应激励机制,内部控制是覆盖商业银行所有人员在内为达到预定业绩进行风险控制、制度管理和相互制约的方法、措施和程序,两者共同作用决定了商业银行操作风险及其管理的基本环境和文化。只有在良好的公司治理和有效的内部控制制度的规范下,才能确保商业银行整体上将其操作风险有效地控制在可以承受的范围之内。
(五)事前合规管理和事后稽核审查是主要管理手段
在操作风险管理中,各项外部法规和内部制
度是管理的主要依据,而对这些法规和制度的违反正是导致损失的直接原因。因此,保持对相关内外部法律和规章制度的遵循是成功的操作风险管理的关键。传统上,审计活动(包括内部审计和外部独立审计)是确保各项法规和制度得到遵循的主要手段。近些年金融界出现了强调合规管理的发展趋势,与审计相比,合规管理偏于事前,更加符合风险管理事前性的要求。
(六)人在操作风险管理中发挥关键作用
尽管操作风险被定义为来自于人员、系统流程和外部事件等多方面因素,但在操作风险管理中,人的因素始终是决定性的因素。这一方面表现在人是操作风险的主要来源,而且职位越高,风险越大,因为一旦位高权重的人犯下错误,其所导致的损失也相应大很多;另一方面表现在人也是操作风险管理动力的主要来源,人的级别越高,权力越大,其对风险管理的责任和作用也越大。
三、商业银行操作风险管理的基本策略
(一)风险规避
商业银行在面临某一项业务所带来的操作风险暴露时,其应对的策略可以分为基本的两类:规避或者承担。选择规避策略,意味着商业银行将拒绝开展该项业务,或者关闭已开展的该项业务。规避策略使得商业银行彻底地消除了对该项业务操作风险的暴露,而且并不支付任何管理成本。很显然,该策略的代价是在消除风险暴露的同时商业银行也失去了开展该业务可能带来的盈利。规避策略适用于操作风险很大和风险难以衡量、缺乏管理手段的新业务,也适用于操作风险水平和业务的盈利水平不匹配、不相称的业务。操作风险规避策略尽管简单,但其关键是如何科学地确定规避的风险对象,即什么样的业务因操作风险过大应该规避。长期以来,商业银行主要是依靠主观经验判断来确定风险规避的对象。近些年来,随着经济资本配置技术和操作风险量化方法的发展,主要用于市场和信用风险的基于经济资本配置的风险和业务限额管理技术也逐渐开始用于操作风险,操作风险规避策略应用的技术基础得以加强。
(二)内部控制降低风险
内部控制降低操作风险主要包括三个方面的内容和方法:一是通过实施IT技术或项目管理方案等来改善业务部门本身的运行质量和管理水平;二是通过审计稽核、合规检查和操作风险管理等业务部门以外的管理部门的管理来降低业务的操作风险;三是通过改善公司治理和加强操作风险管理部门的独立作用,在商业银行建立起管理操作风险的良好环境和文化,制定合适的操作风险管理战略和政策,健全操作风险管理流程。这一类方法的特点是通过内部管理制度和方法的改进对所承担的操作风险进行控制和降低。
(三)风险转嫁
商业银行并不能对所有承担下来的操作风险都可以采取策略降低风险的,有些应该采取风险转嫁的策略。这一方面是因为有些操作风险性质过于复杂或者操作风险所涉及的知识领域并不是商业银行核心竞争力所在的领域,商业银行并不擅长管理和控制这一类操作风险,自己采取控制措施降低操作风险的投入成本相对较高,而经济体系中又存在着管理这类操作风险的专业机构,合理的方法显然是商业银行以一定的代价将这一类操作风险转嫁给擅长管理这类风险的机构。典型的例子就是通过业务外包的形式将商业银行并不擅长或在战略上不愿意重点拓展的业务或管理环节委托给相应的外部专业机构。另一方面,转嫁风险是因为业务中的某些操作风险具有发生概率很小、但后果很严重的性质,商业银行本身缺乏管理的手段和承担的能力,于是通过购买保险将该操作风险转嫁给保险公司,而保险公司则通过在全社会中集合类似的操作风险,在全社会范围内分摊这种风险。保险不仅是商业银行转嫁操作风险,如自然灾害、员工安全等的传统手段,而且,随着保险产品创新的发展,保险在商业银行的风险转嫁中发挥了越来越重要的作用。
(四)风险吸收
摘 要 金融投资作为一种可以扩大生产资本,增加获利收益的经济行为,如今已被更多的公司及个人所应用。作为金融投资,其自身可与实物投资相分离,随机性增强,这就加大了金融投资的风险性。金融投资的操作风险管理就是要保证金融投资这种经济行的稳定性与可获利性。随着商品社会与市场经济的日益发展,现时的金融市场也在不断地完善与发展,金融投资的形式也愈发的多种多样,结合金融投资的不同方式种类,做到在盘间操作的风险可控,金融投资才可以做到稳定获利,金融投资才可以更好在生产和生活中发挥良性作用。
关键词 金融投资 操作风险 可控 稳定
一、影响金融投资产品风险的原因及控制措施
目前国内常见的金融投资产品有:股票,期货,债券,基金,黄金,外汇,现货及信托等。结合金融投资产品的特点,将其风险主要划分为:资本风险、价格风险、市场风险、利率风险以及汇率风险,根据这些风险成因逐一进行分析,得出相应的控制措施。
1.关于资本风险
资本风险体现在金融产品发行者的资金实力是否可靠,也常常延伸出一个新的风险即信用风险。股票、债券、基金及信托这些投资产品的主要风险就是信用风险。信用风险一般是指与金融产品的发行者相关联的风险,以信托为例,信托公司倒闭,就是信用风险。控制措施在于选择信用度高的发行者,并注重信用风险的分散,避免全部投资的资金与同一个的发行者相关联。
2.关于利率风险与价格风险
利率风险是针对于所有与利率变化有关的风险。作为金融产品,其自身的收益好坏基本上都与目前的利率水平与后期的利率变化息息相关。他直接影响金融产品的价格涨跌,金融产品的价格风险直接受其影响。期货与现货的主要风险就是在于价格变化。利率风险及价格风向的控制措施在于根据变化趋势的预判去决定相应的操作方向,即多头还是空头,这在现货中经常能够遇到。同时调整好持仓量,控制好持仓量与资金的比例。
3.关于市场风险
投资者决定用资金去购买金融产品本身就是属于一种买卖行为,这就构成了市场风险的成因,即买卖双方。内、外需,供求关系,季节变化,国际战争,人文习惯,政策性原因还有市场的周期性,这些都会影响到市场的变化与走向,这些也是市场风险的所在,同时市场风险也会影响到价格风险。市场风险影响最深的是黄金,其次是现货与期货。控制措施在于洞悉市场信息,了解所操作的金融产品与那些市场有关,根据相关市场信息对价格进行短期与中长期预判,并进行行营的操作。例如现货一般与农产和季节相关,黄金一般与原油相关。现货企业也要结合市场信息做好仓储准备。
4.关于汇率风险
由于国际经济逐渐一体化,不同币种之间的互换成为了常见的金融行为,汇率的波动加大了汇率风险。关于汇率的风险大多与国际形势有关,外汇储备、利率、通货膨胀等都是主要影响汇率的原因。外汇与黄金的投资风险也受汇率影响。针对进出口企业可以进行合同方面的约定措施,约定双方风险比例,或者与汇率锁定公司签订汇率锁定合约。对个人可以在操盘技巧与规律上进行控制。
二、操盘风险及管理
现在的金融投资产品大都应用了电子盘面进行价格走势的规律性的分析。在股票、期货、现货、黄金与外汇的操作过程中都可以应用,关于操作技巧可以通过以下几种方式进行:
1.盘面规律与K线
电子盘面是由一根根“K”线组成的,K线是反应一段时间内(商品)的价格变化,K线具有多种形态,不同形态的K线的组成也会预示着一些现象的发生,掌握K线的规律是进行盘面操作风险可控的一种常见方法。
2.做好止盈与止损短线操作
大多数投资人在进行盘间操作时都会 有“眼热”问题出现,见到盘势大好的时候进行追单操作,或者在单子被套的时候持单,甚至是重仓持单,这种行为在盘间操作时是比较忌讳的,在操盘时常有两句话叫“物极必反”与“见好就收”,在进行每一批进单操作时都要设置好止盈位置与止损位置。顺势追涨杀跌,宜追初涨,忌追高位,宜追初追,忌追地板。
3.仓位控制与锁仓
统计好自己可以进行操作的仓位量,将仓位分成三份或者四份,依据行情每次进行操作时只用其中一份的仓位进行操作,并保证一方的进仓量不能超过全部仓位的一半,其余仓位为锁仓做好准备。
4.成交量变化
在持续下跌的价格低位区,出现成交量增加价格趋稳,说明底部在积聚上涨动力,可以适量买进待涨;成交量持续增加,价格逐渐上升,是最常见的多头主动进攻模式,应积极进场买入;成交量显著减少,价格大涨后出现横盘,此为警戒出仓的信号;成交量继续减少,价格逐渐下跌,此时应及时止损出仓;价格经过多次大幅涨跌,出现成交量增加,此时忌空仓,如果多头进场后发现为逆势应及时离场观望;在低价区出现增量有底部反弹的趋势,此时不适宜进场,应做观望。
三、结论
由此可见,纵使金融投资产品万般变化,都无法摆脱其自身具有的商品属性,抓住金融投资产品的特点与规律,加上对固有属性的技术分析与方法应用,就可以做到操作风险的可控制管理,也可以发挥作为金融投资有强大的融资获利的作用,也可以活跃商品市场,促进经济的快速发展。
参考资料:
[1]金融投资视频讲座大全.今朝成功网.2011.9.7.
[2]李冰.西方经济学原理.今朝成功网.2011.9.7.
[3]李平.投资学.今朝成功网.2011.9.7.
[4]李维国.国际贸易.今朝成功网.2011.9.7.
问题一:操作风险认识落后
对操作风险的理解和认识是商业银行操作风险管理的基础。与大型银行高度重视操作风险,对其进行深入研究,并在此基础上对本行面临的操作风险进行界定形成对比,城商行对操作风险普遍不够重视,认识相对落后。这也是城商行操作风险管理落后、案件频发的重要原因。具体表现在四个方面:
第一,认为操作风险不如信用风险重要,因而重视程度不够。城商行大都认为目前开展的业务主要是信贷业务,因而信用风险是城商行面临的最大风险。相比较而言,操作风险没那么重要,对操作风险的管理也就不够重视。事实上,由于操作风险会影响到银行的声誉,往往会引发流动性风险。而城商行等中小银行的信用和声誉比大型银行脆弱,操作风险有可能对中小银行产生致命打击。因此,城商行等中小银行应更加重视操作风险及其管理。
第二,将操作风险等同于金融案件。现实中,由于操作风险发生后往往最终体现为案件,一些城商行风险管理人员就简单地将操作风险等同于金融案件。对操作风险的管理也就被案件防控所替代。这实际上人为缩减了操作风险的范畴。
第三,认为操作风险就是操作性风险。有不少人仅从字面理解操作风险,从而将操作风险视同于操作性风险,即只在柜面存汇、会计等操作性岗位存在的操作失误、差错等风险。而这类操作性风险仅仅是操作风险中的一小部分,即“高频低损”的那部分。从某种意义上说,此类“高频低损”的操作风险对城商行的危害要远低于“低频高损”的那一类。
第四,认为操作风险不可控、不可测,无法主动管理。操作风险大都由人员因素引发,因而具有突发性、隐蔽性、事先难预测等特征。一些风险管理人员据此认为操作风险无法主动管理。事实上,通过对较长时期大量数据和案例进行分析可以发现,操作风险有一定的规律性,且可以通过完善业务流程、开发风险预警系统等实现事先发现、主动防控。而在“被动管理”认识的支配下,由于不能投入大量资源,操作风险管理基础设施的建设无法有效开展,管理落后状况也就在所难免。
问题二:操作风险管理理念薄弱
操作风险管理理念就是银行开展操作风险管理活动的指导思想,是操作风险文化的重要组成部分。城商行操作风险管控能力不强、操作风险大案频发,在很大程度上归因于操作风险管理理念的薄弱。这一问题可归纳为“五重五轻”。
一是,重视业务发展,轻视操作风险管理。城商行普遍存在明显的规模情节和速度情节,把发展放在第一位,追求跨越式发展,忽视操作风险管理;在考核压力下,分支机构甚至出现违规操作、打球等情形。特别是放松对一些低风险业务的控制,盲目做大业务,潜藏巨大风险。齐鲁银行票据诈骗案正是典型。
二是,重视事后管理,轻视事前防范。基于“操作风险不可控”的认识,城商行普遍重视操作风险的事后管理,通过加强审计、加大责任追究等措施,试图通过严厉的处罚和惩戒起到警示作用,以达到降低操作风险的目的。事实证明,该管理思路的效果并不理想。
三是,重视个案查处,轻视全面分析。操作风险案件发生后,城商行通常情况下更强调对单个案件的查处和整改,但很少对银行历史上发生的操作风险案件及外部案件进行全面分析,从而使得操作风险管理的改善进程缓慢。
四是,重视基层人员管理,轻视高层人员管理。在“操作风险就是操作性风险”的认识下,城商行更加重视对基层一线操作人员的操作风险管理,无论是检查力度、频度,还是检查深度、范围,都远超过对管理人员尤其是中高层管理人员的管理。但事实显示,中高层管理人员引发的操作风险给银行造成的损失大大超过基层操作人员。
五是,重视审计稽核,轻视全面管理。以审计稽核替代操作风险管理,操作风险管理覆盖范围小,管控水平不高。
问题三:操作风险管理架构尚未建立
操作风险管理架构是商业银行开展操作风险管理活动的平台,也是明确各相关部门职责,建立完善管理流程的关键。从目前情况来看,大多数城商行尚未建立起完善的操作风险管理架构,导致操作风险管理缺乏总体负责部门,相关职责混乱不清,严重影响操作风险管理活动的开展。
首先,董事会和高级管理层下均设立了风险管理委员会,但这两个委员会主要负责的是对信用风险和市场风险的统筹管理,尚未真正将操作风险纳入管理范畴。
其次,各家城商行均设立了独立的风险管理部,但该部门普遍仅负责信用风险管理,并不承担操作风险管理职能。换句话说,大多数城商行没有设置专门的操作风险管理部门,相关管理职能分散在多个部门,导致重复管理与管理真空并存、管理效率低下等问题。在此情况下,主要由风险管理部负责建设的所谓全面风险管理体系并未将操作风险纳入其中,更多的是强调对信用风险的全流程、全覆盖管理。
最后,分支机构的操作风险管理职能缺失。与总行操作风险管理部门缺乏相对应,在分支机构层面也没有设置专门的部门或岗位负责操作风险管理,而是分散于会计主管、风险经理、合规员以及审计经理等不同条线的有关岗位上,缺乏总体协调。操作风险管理架构的不完善还造成风险汇报路线不清晰,进而导致董事会及高管层不能及时、全面掌握银行的操作风险总体状况。
问题四:内控体系不完善,操作风险管理手段单一
从现实来看,城商行操作风险管理手段单一,大多主要依靠内部控制中的传统流程控制和制度控制。而城商行普遍存在内控体系不完善问题,从而使得操作风险管理能力不高,操作风险大案屡有发生。第一,内部控制架构不完善,导致内控体系不健全。在公司治理层面,董事会未能承担起内控建设的最终职责,造成内控建
设缺乏全面性、前瞻性和持续性。在经营管理层没有专门的部门负责内控体系建设,各相关部门仅从条线管理角度开展内控活动,使得内控体系缺乏整体性。
第二,内控制度不完善。相当一部分城商行尚未建立起由战略层面、基本制度层面和操作层面等不同层面构成的内控制度体系,大多由各业务条线的业务管理办法或操作手册代替,制度对风险的控制力不强。
第三,内控关键措施缺乏,内控效果不高。关键岗位强制休假、轮岗轮调、不相容岗位相互分离等内控关键措施对控制操作风险具有很好效果。但相当一部分城商行或由于人员不足,或由于不重视等原因并未建立起上述内控举措,或日常经营管理活动中未能严格执行,使得内控效果打折扣。而很多操作风险案件的发生与这些内控关键措施的缺乏直接相关。
第四,内控监督评价职能较弱,内控持续改进机制没有形成。由于历史原因,城商行内审普遍薄弱,而这恰恰是内控监督评价的核心因素。从而造成对内控缺陷的识别能力不强,建立在此基础上的内控持续改进机制也就难以形成。
问题五:制度执行的监督评价机制缺乏,制度执行力不高
制度执行不力是很多城商行操作风险案件发生的直接原因,也是城商行操作风险管理中存在的普遍性问题。在很多情况下,有制度不执行给银行造成的危害更大,因为在有制度的情况下往往会让风险管控人员放松警惕,进而发生风险。造成城商行制度执行力不高的原因有以下两方面:
第一,更加重视制度建设过程,对制度出台后的执行情况则重视不够。在制订制度的过程中,总行各相关部门均会积极参与,出谋策划。但制度出台后,在如何将总行的意图和制度的内含准确、完整、及时传递至分支机构方面,则做得相对不够。造成分支机构不能准确把握政策意图,影响制度的有效执行。
第二,对制度执行的监督评价机制缺乏。制度出台后,相关部门并未建立起一种评价机制,以了解制度执行情况、执行中碰到的问题,以及制度与外部环境的适应性等,以便于对制度进行调整完善,造成制度制定与制度执行的脱节。此外,对有章不循、违规违章操作问题的处罚力度不够,难以起到震慑作用,也是造成制度执行不力的原因之一。
问题六:操作风险管理的电子化水平较低
研究显示,操作风险大都跟人员因素有关。因此,传统的制度控制、岗位制约等风险防控手段的效果不尽如人意。由于人容易受到自身感情、情绪以及外部环境等因素的影响,通过“人工控制”来防控操作风险还容易带来衍生风险,如合谋作案等。换句话说,电子化的系统控制方式不易受到外部因素干扰,防控效果更好。这也是操作风险管理的未来发展方向。值得注意的是,城商行操作风险管理的电子化水平普遍较低。集中表现在:第一,业务系统的风险控制功能较弱,业务系统更大程度上是业务操作和处理系统,缺乏对各环节潜在操作风险的控制功能,对风险管理的支撑不够。第二,城商行大都没有建立专门的操作风险管理系统,不能对操作风险进行及时识别、实时监控和预警。操作风险管理仍停留在传统的“人工控制”阶段,操作风险管理效率不高。第三,尚未在对银行历史上的操作风险进行全面梳理的基础上,建立操作风险损失数据库,以为操作风险的量化管理做好准备。鉴于操作风险的特殊性,全流程管理、全覆盖监控是有效管理操作风险的基本要求。但在缺乏专门的系统,电子化水平较低的情况下,城商行的操作风险管理很难做到这一点。
关键词:商业银行;风险管理;操作风险
中图分类号:F832.2 文献标识码:A doi:10.3969/j.issn.1672-3309(x).2011.11.39 文章编号:1672-3309(2011)11-86-02
从20世纪70年代以来,世界经济和政治格局发生了巨大的变化。全球经济一体化和金融交易电子化进程的不断推进,促使各类金融创新层出不穷。同时,金融自由化的发展使得国际银行业面临的不确定性风险也在不断增加,从而影响银行体系的稳定性。与较成熟并拥有完善理论的商业银行信用风险和市场风险相比,操作风险被单独提出是在20世纪90年代以后,对有关操作风险的识别、量化和管理等问题的研究并不透彻深入。但近些年商业银行因操作风险引起的案件所涉及金额巨大,对社会秩序造成了不良影响,商业银行操作风险管理越来越成为未来商业银行风险管理的重中之重。
一、操作风险的定义与内涵
操作风险是指由于不完善或失灵的内部程序、人员和系统、外部事件导致的风险,包括法律风险,但不包括策略风险和声誉风险,它涵盖了商业银行内部最重大范围内的风险。最重大的操作风险在于银行内部控制及公司治理机制的失效。这种失效状态可能因为失误、欺诈、未能及时做出反应而导致银行财务损失,或使银行的利益在其他方面遭受损失,如银行交易员、信贷员、其他工作人员越权、从事职业道德不允许的或风险过高的业务。操作风险的其他方面还包括信息技术系统的重大失效、火灾及其他灾难。
这样的定义反映出操作风险涵盖了商业银行除市场风险和信用风险以外的所有风险。但从银行业的现状来看,大多数银行并没有建立操作风险损失数据库,也没有一个全球银行业的操作风险评价标准,所以操作风险的量化存在着一定困难。如何建立有效合理的银行操作风险评估模型和评价体系将是未来银行业关注和研究的重点。
二、商业银行发生操作风险的必然性
金融业向来被认为是高风险的行业,高风险高收益的定律在这个行业被充分体现。商业银行作为金融业十分重要的参与者,其在追求利润的同时,也越来越关注如何将风险控制在可承受的范围之内,在控制风险的前提下更好的开展业务。所以,对商业银行操作风险的提出是深化银行经营管理和全面开展风险管理的必然趋势。
(一)商业银行风险管理理论不断发展的结果
风险的度量方法并非一朝一夕产生,自风险管理理论运用到实践以来,各国银行一直将风险管理的重点放在信用风险上,1988年具有划时代意义的国际银行业管理与监督协议――《巴塞尔协议》中确定了资产信用风险的度量方法。同时,金融市场的变化让人们意识到金融市场的价格变动给银行体系带来的极大风险,在1996年《巴塞尔资本协议》修正案中就对市场风险提出了进一步的资本要求:为了应对可能出现的市场风险,银行应持有额外的监管资本。随着经济全球化和金融创新的快速发展,金融体系的稳定性接受了极大挑战。在这种复杂的金融环境下,银行已经逐步将资产负债业务管理转向全面风险管理。同时各种风险管理理论逐渐产生,并被迅速运用到实际的银行经营管理中,经过实践、修正、完善,银行的风险管理水平不断提高。商业银行对于信用风险和市场风险的识别、度量以及建模等分析评价水平也已成熟,由于操作风险而造成银行实际损失频率的增加和数额巨大,操作风险已经成为近代银行业最主要的风险源之一。正因如此,关于操作风险管理的理论和研究也应运而生。
(二)银行提供服务品种增多的要求
传统银行业的利润来源主要来自于存贷差,但随着存贷利率空间不断缩小,依靠利息收入已经不能满足银行对收益的要求。而国际间的资本流动引发了全球货币体系和信用体系的巨大变革,以往的监管体系已经不能适应金融全球化的发展。与此同时,全球科学技术的发展也达到了一个顶峰,这为金融创新提供了一个重要的媒介。在这些外部和内部的因素共同影响下,一大批金融创新工具应运而生。这些新型的金融服务不但加速了资本的流动性和盈利性,同时也具有一定的避险能力。但是,金融服务创新是一把双刃剑,它既可以规避风险、降低风险,也可以制造风险、扩大风险。骇人听闻的巴林银行事件就是一个很好的例子。期货产品本可作为套期保值的金融工具,但该银行交易员却期望通过买卖获利,在风险不可控制的情况下一意孤行,最后造成不可弥补的损失。这个例子是一个经典的操作风险案例。首先,其是由内部人员操作导致。其次,交易员越权操作风险过高的业务。从中我们可以看出,金融服务品种的不断增多,极大地丰富了银行的流动性和盈利能力,但是,这些业务品种往往有别于传统银行业务,其业务类型相对复杂,很多是基于信用体系建立起来的,这就赋予其产品自身很高的风险性,操作员的一点失误,可能造成几倍或几十倍的损失。因此,大量金融创新的产生也带来巨大的潜在操作风险,为了规避这些风险,商业银行操作风险管理也被提到一个重要的位置。
三、对商业银行操作风险进行管理的重要性
通过操作风险的定义并结合银行的实际工作,我们从中不难看出,操作风险存在于银行的各个业务环节,银行几乎所有事情都与操作风险息息相关。银行高层管理者对操作风险带来损失的担心、监管当局对操作风险的关注、公众对于银行体系统安全性的质疑以及因金融全球化操作引发的操作风险增加等原因,使得人们对银行操作风险管理日益关注。
(一)操作风险涵盖广泛的银行风险
在日常的金融活动运行中,人们发现还存在着许多并不来自于信用风险和市场风险的风险损失,比如:人员舞弊、操作失误、恶意诈骗以及系统瘫痪或者软件漏洞等。当这些风险给银行带来巨大的损失时,人们开始关注这类不属于信用风险和市场风险范畴的风险。20世纪90年代以来,全球爆发的许多金融危机几乎都与人为因素风险、系统风险、法律风险等一系列风险有关,但这些风险并不能被归入信用风险和市场风险的范围,最后将其统称操作风险。我们可以看出,操作风险涵盖了商业银行除信用风险和市场风险以外的所有风险,其广泛的覆盖面是任何一种风险所不能比拟的。然而,尽管大家意识到操作风险管理的重要性,但对其投入的重视并不够。虽然,国内各大商业银行已经在为之做出努力,纷纷采取不同的方式和方法建立和完善自身的风险管理体系,并取得一定的成效,但截至现在,操作风险还没有一个统一的定义,没有一个全球认可的度量标准,没有可供获取的数据库,也没有相应的系统软件。所以如何对操作风险进行规避和管理将是商业银行未来改革的重点。
(二)操作风险具有内生性
从操作风险引发起的种种案例中可以看出,这些损失的发生往往来自于制度因素、人员因素以及系统因素等,而这些因素的性质决定了我们很难在操作风险发生前对其充分预知,比如员工蓄意犯案、交易员操作失误以及系统突然故障等等。所以说,操作风险具有内生性,即使建立完善的风险管理制度和预警机制,也不可能完全避免操作风险的发生。一般来说,操作风险自身的性质决定了其与信用风险和市场风险相比更加难以度量和评价。首先,操作风险涉及道德、不可抗力等领域,这些因素是没有一个衡量标准的。与我们可以直观看到的数据不同,我们很难对这些因素进行量化和建模。其次,类似操作失误、系统故障之类的事件发生是没有规律和端倪可寻的,这也给操作风险的度量带来一定的障碍。因此,操作风险的管理更应该引起银行经营管理者和监管者的高度重视。将事前防范、事中控制和事后审计相结合,同时建立完善的风险管理制度,力争在风险发生之前有效识别,风险发生之时有效控制,风险发生之后有效管理,将操作风险对银行的损失降到最低。
(三)操作风险给银行带来的损失巨大
众所周知,巴林银行、大和银行、美国长期资本管理公司的倒闭事件引发了人们对操作风险的广泛关注,而2008年发生的法国兴业银行巨额损失事件更是一个由银行操作风险引发的经典案例。据有关研究统计,在过去10年内,仅美国金融机构蒙受的超过1亿美元以上的遭受操作风险的损失事件已超过100宗,代表性案件有:阿尔弗斯特金融公司(Allfirst Financial)的流氓交易损失达6.91亿美元;家庭金融公司(Household Finance)因误导销售遭受损失达4.84亿美元;“9.11”恐怖袭击事件使纽约银行损失1.4亿美元。由此可见,操作风险给银行带来的损失是巨大的,甚至是毁灭性的。
参考文献:
[1] 徐学锋.商业银行操作风险管理新论[M].北京:中国金融出版社,2009.
[2] 汉斯・乌里希・德瑞克.金融服务运营风险管理手册(中文版)[M].北京:中信出版社,2004.
随着银行服务的全球化、技术系统的更新、交易量的提高、日趋复杂的交易工具和交易策略等,都增大了银行机构面临的操作风险。对整个银行业和国际监管机构引起巨大震撼的“巴林银行”事件,从表面上来说是由于“关东大地震”所导致的日经指数期货暴跌,日本政府债券却一路上扬,里森不幸在这两个品种上都持有错误方向的筹码。这种突然来临的市场风险直接导致了里森的,及巴林银行的清盘倒闭。但本质上,却是由于巴林银行混乱的内部控制与风险管理体系所导致的,彻头彻尾是由于操作风险而招致的灭顶之灾。巴林事件之所以能发生,关键在于:交易与清算之间应有的制度执行缺失,业务流程应履行的监督失灵所导致。
操作风险源自于内部程序不完善、人为失误、系统故障和外部事件的影响,而银行业务流程是操作风险发生的主要载体,规范、科学、运行良好的业务流程,能从根本上起到规避和减少操作风险的作用。因此,从流程角度来研究操作风险管理是从商业银行操作风险管理和流程管理理论的内在耦合性出发,对银行操作风险管理所做的有益尝试。
二、流程与操作风险
操作风险的核心概念是操作(operations),其本意是“运营或发挥功能的活动或流程(theactorprocessofoperatingorfunctioning,美国传统辞典)”,中心词是活动或流程(act或process)。实际上,商业银行本身就是一个为最终满足顾客需求、实现投资者价值最大化而运行的一系列有密切联系的业务流程和活动的集合体。2005年中国银监会主席刘明康就指出“流程银行”是商业银行变革的方向之一,凸显了“流程”在现代商业银行中的重要地位。银行提品或服务的过程,即是承担风险、消耗资源使得价值从一个业务流程或活动转移到下一个业务流程或活动的过程,最终商品或劳务既是全部业务流程的集合,也是全部资源、全部风险的集合。国内外许多学者在这方面进行了研究,从国内的研究看,主要集中在操作风险的管理框架、度量方法及风险值衡量、基于工作流的操作风险控制及基于流程管理的银行信息化等方面。从国外看,Ebnotheretal.(2002)认为操作风险的衡量和管理一定是基于定义良好的流程,它们是操作风险管理的“精微平台(microscopiclevel)”,该文献中也提到了流程活动的概念,但它们只是作为流程的附属存在。Leippoldetal.(2003)提出并应用价值链的概念来模型化操作风险,而价值链实质就是基于流程展开的。这些研究虽然涉及到流程和操作风险之间的关系,但较为全面论述二者关系的文章还没有见到,特别是将流程理论和操作风险紧密结合起来,重新审视操作风险管理。因此本文从流程出发,以流程的视角分析操作风险管理的两个重要内容:内部控制和风险度量,为银行操作风险管理提供一个新的思路。
所谓流程,普适的定义是指为特定客户和市场提品和服务而实施的一系列精心设计的有逻辑相关性的活动(Davenport&Short,1991)。流程进一步细分为活动(或称为流程活动,activity),流程活动是流程的最基本要素。一个流程活动是接收某一种类型的输入,并在某种规则控制下,利用某些资源,经过特定变换转化为输出的过程,即:
流程活动={输入,处理规则,资源,输出}
其中,资源是指流程活动执行者在执行这一流程活动时所依赖的方法或凭借的手段。一个流程中的基本流程活动是不可再分的流程活动,其特征包括:明确的结果;清楚的边界;独立于其他流程活动。
银行业务流程就是银行实现自身价值所进行的一系列的业务活动,它是银行的核心价值活动,也是隐含风险,造成损失的重要载体。
我国商业银行现有的业务流程可以分为直接创造价值的前台客户服务流程和为直接创造价值活动服务的后台支持流程,这两个流程按照J·佩帕德和P·罗兰的划分分别属于银行的经营流程和保障流程。对我国的商业银行而言,前台后台的业务流程类型如图1所示:
从流程的角度来考察操作风险,也可以从操作风险的定义中反映出来。巴塞尔委员会的定义是:“由于不当或失败的内部程序、人员和系统或外部事件导致损失的风险”,这一定义包含四类因素,即人员,程序,系统和外部事件,但都通过业务流程发生作用。瑞士信贷集团的定义是“由于以不当或失败的方式操作流程活动而对业务带来负面影响的风险,操作风险也可能是由外部因素造成的”。全球衍生产品研究小组曾经给操作风险下过这样一个定义:“操作风险是指由于控制和系统的不完善、人为的错误或管理不当所导致的损失的风险。”它是从人员、系统和操作流程三个方面对操作风险进行了界定,并且把管理作为防止操作风险的决定性因素。银行操作风险涉及组织的各个方面,主要发生在银行服务的各种流程活动之中,流程中的人、系统和操作程序就成为操作风险管理的重点。因而操作风险管理的重要内容是规范、监视和分析组织内部的各种流程,同时将人和系统的因素考虑到流程之中。
由图2可以看出,风险管理流程作为一项支持性的经常活动,对其它流程有着监督的作用,因而可以将风险管理流程和普通业务流程作为整体来考虑,即对流程的数据、知识和规则建模时,可以对每个业务流程活动和类型进行基于损失数据的风险评估和分析,做到每一个流程活动的流程管理和风险管理。
三、流程视角下的银行内部控制框架
自1992年美国COSO委员会《内部控制框架》(简称COSO报告)以来,该内部控制框架已经被世界上许多银行所采用,但理论界和实务界纷纷对内部控制框架提出一些改进建议,强调内部控制框架的建立应与银行的风险管理尤其是操作风险相结合。新的全面风险管理框架就是在1992年的研究成果--《内部控制框架》报告的基础上,结合《萨班斯一奥克斯法案》(Sarbanes-OxleyAct)在报告方面的要求,进行扩展研究得到的。《萨班斯-奥克斯法案》是安然、世通等财务欺诈事件发生后,美国证监会于2002年7月30日颁布并实施的强制所有在美国上市的公司在2006年财年结束前执行的一项内部控制法案,被美国总统布什称为“自罗斯福总统以来美国商业界影响最为深远的改革法案”。该法案要求组织机构使用文档化的财务政策和流程来改善可审计性,并更快地拿出财务报告。要求银行针对产生财务交易的所有流程活动,都做到透明度、控制、通讯、风险管理和诈欺防治,并且这些流程必须详加记录到可追查交易源头的地步。
在传统的劳动分工原则下,职能部门把银行的流程割裂成一个个独立的环节,关注的是单个任务或工作,其结果就是忽视内部控制的动态性、系统性。从流程的视角出发,就需要从顾客需求出发,对银行流程进行系统性的思考分析,或通过对银行流程构成要素的重新分解、组合,以此实现银行流程彻底的改造和重新设计,从而获得银行绩效的持续改进。它不再强调单个工作或任务自身是什么,而是这些工作是如何有效执行的,因为银行的一切经营活动就是一系列富有逻辑关系的流程的有序集成,因而契合于银行整个业务流程的内部控制活动和程序,也将表现出如同流程再造那样必须根据外界需求变化不断检视和调整的系统动态过程,这个过程也体现了银行抵御外部影响而导致操作风险的柔性能力。
进一步看,流程实际上又是由一系列流程活动的集成,也即银行就是一个为满足履行要素使用权交易合约需求而设计的一系列流程活动的集合体。流程活动是通过组织、单位或成员按照一定的流程、活动的要求来完成。为此,内部控制的功能不仅在于通过流程活动的分析,剔除非增值流程活动,实现流程的最优化,而且还要保证最优化的流程有效地运行,并在此基础上根据客户的不断变化的需求产生最优的流程。此时,内部控制实际上进一步彰显其过程化的行为,成为银行最优化、间接和理性的流程活动标准,并按照控制的循环步骤,实现内部控制的目标。其具体过程如下图3所示。
显然,传统的内部控制强调权利与职责的分配、岗位相互之间的牵制等基本理念将受到严重挑战,原有“要素化”的控制方式将会被流程化、系统化的控制机制所取代,也就是说职能控制、岗位控制将被流程控制所替代,从上到下的分权控制将被各个流程活动之间的控制、各个任务之间的控制所替代。在流程视角下,信息流、资金流成为银行经营活动的基本组成要素。为迎合银行业务流程管理和操作风险控制的需要,内部控制实际上将演变成一种最优化、简洁和理性(合乎逻辑)的流程活动方式或流程活动标准,实现资金流和信息流的高度合一,达到控制和规避操作风险的目的。
四、基于流程活动的操作风险度量
巴塞尔新资本协议中将银行业务分为8个产品线,19个二级目录及50多个业务群组,但这种划分只是停留在流程层面,并没有深入到流程活动层面。正确划分银行流程活动,应从银行本身的规模、战略、业务特性和管理特点出发。对流程活动分解的越细,就越容易找到具体的风险驱动因素,从而越能对操作风险进行准确衡量与管理,因此,合乎逻辑的做法是将银行业务划分为产品线,再细分为流程,最后细分到流程活动。
定义、衡量和控制操作风险,不可能对所有的银行流程活动都同样关注,而应该重点关注银行的核心流程活动,对银行的增长和收益没有贡献的非核心的流程及流程活动不应予以考虑。
巴塞尔委员会将操作风险因素划分为7个类型,在此基础上进一步细分为20种、71个具体风险因素。Doerig(2004)将操作风险类型分为5大类,即组织,政策/过程,技术,人员和外部,细分因素有20种;英国银行服务局(FSA,2002)在其关于操作风险系统和控制的咨询文件(CP142)中将形成操作风险的因素归结为人的因素、过程和系统、外部事件、外部采购和保险等5个方面。尽管细分的风险因素中可能包含几十种,但具体到不同的流程活动,很可能只有几种因素在起作用。
银行业务可以划分为若干个产品线,每个产品线由一组流程组成,而每个流程又由一组关键流程活动ai构成,每个流程活动都有潜在的fj种风险因素可能导致操作风险。图4所示的流程活动和风险因素的组合显示了基于流程活动的操作风险度量原理。
图4中,横坐标为关键流程活动,纵坐标为风险因素。图中取1的为关键流程活动与风险因素的有效组合,取0表示该组合无效。例如组合(a2,f1)表示在流程活动a2中,风险因素f1不起作用。对于有效组合,可以进行衡量或评估以确定该组合下的风险损失Rij。如果确认了银行业务中的所有关键流程活动ai和风险因素fj,那么就可以得到一个关键流程活动/风险因素组合有效性矩阵,在该矩阵中,有效组合取值为1,无效组合取值为0。
一般地,操作风险度量有两大类方法,即自上而下法和自下而上法。自上而下法基于宏观数据来度量操作风险,不去识别具体的损失事件和原因。自下而上法则是利用具体的事件来决定操作风险的来源并进行度量,属于风险敏感方法。巴塞尔新资本协议中的前两种方法属于自上而下法,第三种方法即高级衡量法属于自下而上法。委员会鼓励银行提高风险管理的复杂程度并采用更加精确的计量方法。基于流程活动的操作风险度量方法将银行业务细分为流程活动,识别每一流程活动中潜在的具体风险因素,在此基础上衡量风险损失,因而属于风险敏感的自下而上方法。
该方法首先确认流程活动和风险因素将银行操作风险暴露分解,EI(i,j)表示第i个流程活动在j类风险因素下的风险暴露;PE(i,j)表示流程活动i在风险因素j下操作风险发生的概率;LGE(i,j)表示流程活动i在风险因素j下的预期损失程度,那么,组合(ai,fj)的操作风险预期损失为:
如果数据是够充分,模型还可以估算出不同风险损失之间的相关系数,从而使计算结果更加准确。基于流程活动的操作风险度量深入到微观的活动层面,对流程活动的各个要素和风险驱动因素进行分析,为银行控制和缓释操作风险提供了依据。
该方法将操作风险度量与管理有机地结合起来。将操作风险度量和管理建立在对银行关键流程活动及潜在风险因素的清晰理解基础之上,它考虑到了每个流程活动/风险因素组合(ai,fj)的损失分布,考虑到了流程活动之间的衔接同样是操作风险的重要来源,考虑到了流程活动与流程活动之间、风险因素与风险因素之间的相关关系,从而保证了衡量的准确性。
关键词:银行;柜面;风险管理;思考
一、抓风险管理机制
稳健有效的基础是防控案件风险的一道坚实屏障。纵观近几年金融机构发生的案件,管理不到位、履职不到位、监管缺失是形成案件的根本原因。应着眼于建立成熟完善的风险防控制度和有效的考核激励约束制度,构筑立体的风险防控机制。目前,建设银行已经初步形成了风险防控的系列机制,如稽核系统、柜面监测系统、现场非现场检查、操作风险控制评价等,但操作风险管理的考核激励机制还不甚完善,完善操作考核激励制度势在必行。在机构考核方面,应将全面基础管理水平与关键风险控制能力考核相结合;在人员考核方面,应覆盖管理层、委派主管、前台柜员等各层级人员;在考核期限上,应长、中、短期相结合,形成环环相扣的链式管理。并以之为抓手,引导管理方向,约束管理行为,查找管理的缺失和不足,准确传导政策制度,将各项防控措施落实到最基层的每个机构、每名操作柜员,达到有效控制风险的目的。
二、抓全行整体联动
任何一个环节控制不到位,都会出现案件风险,除造成资金损失、损害建设银行的社会形象外,还会牵扯上上下下的大量精力,影响业务发展。因此,防控案件风险,不是哪一个条线、哪一个部门的事,而是全行的大事,从各级领导到每一个员工,都必须重视风险防范工作,结合本职岗位履职尽责。全行上下要达成共识,各条线部门齐抓共管,业务交叉部位风险管理无空白;职能部门严格执法,违规违纪行为责任落实追究到位;机构负责人保一方平安,委派主管和纪检监察特派员强化过程管理,共同为业务健康快速发展创造良好的运营环境。
三、抓管理人员履职
各级管理人员对防范风险工作重视与否起着至关重要的作用。俗话说,针尖大的窟窿能漏斗大的风,管理人员不尽职,操作层面可能就会无视制度的存在,从而引发案件风险。各级管理人员要把案件风险看作悬在头顶的达摩克利斯之剑,时时警惕,处处小心,不以事小而疏忽,不因久安而懈怠。通过加强履职管理,提高履职质量,促进风险防控能力提升。各级行长、主管行长首先要履行自身职责,按规定频率和要求完成金库、重空库的检查任务,作出表率。其次,要抓好本行各级管理人员的履职,包括主管部门的履职、机构负责人的履职、委派主管的履职,并设立量化指标对其风险控制水平进行考核。通过前、中、后台管理,事前、事中、事后控制,形成多层面,多角度的精细化管理体系,使风险管理无缺漏、无盲点。
四、抓案件防控重点
案件防控工作点多面广,既涉及机构又涉及人员,既涉及前台又涉及后台,既涉及管理层又涉及操作层。在这种形势下,必须抓住主要矛盾进行重点管理和控制。
(一)抓重点机构
防控案件风险,关键是抓短板。应根据操作风险控制评价结果,以及各级管理人员掌握的情况,重点关注四类机构:一是会计基础管理薄弱、风险控制能力差的机构;二是业务发展与基础管理水平不匹配的机构;三是高风险业务集中的机构;四是管理半径长的偏远机构。对重点机构,要重点进行帮扶,在管理资源上重点倾斜,逐个排除“地雷”、“炸弹”,对长期在低水平徘徊的机构,可以考虑采取一些激进措施进行干预,改变其落后局面,补足管理短板。
(二)抓关键风险点
关键风险点是案件多发区和重灾区,对其管理不到位,可能直接引发内部案件,或形成外部欺诈,给银行资金、银行信誉造成不可挽回的损失。为加强事前防范,各行都应组织对关键风险点进行梳理,拿出切实可行的措施,严防死守,确保不出问题。重点关注以下12个关键风险点。
1.现金。尾箱、金库、上门收款业务直接接触现金和客户账,是内部作案频发部位。封箱锁库、调拨等操作不规范,岗位制约、轮换制度执行不到位,账务核对不及时,业务处理一手清,检查流于形式,都会直接导致案件发生。
2.柜员岗位权限和授权管理。重要岗位人员不按规定轮岗、不兼容岗位混岗操作、操作权限过大、业务授权流于形式,是案件发生的重要原因。只有从源头上防范操作风险、确保柜员在职责范围内行使职权、防范“一手清”现象,才能有效控制案件发生。
3.重要空白凭证和会计印章。银行重要空白凭证、印章被盗用,或超范围使用,对外出具资金证明、伪造银行入账凭证、伪造存款凭证、结算票据等违法违规行为,都会给银行带来直接或间接损失。在管理上,要做到“谁保管、谁使用、谁负责”,防止产生严重后果。
4.柜面操作违规。柜面业务操作中的不良习惯和误操作,弱化了内部监督制衡机制,为案件和重大违规事件埋下了风险隐患。更严重的是,这种风险可以随着客户来账资金数额的增加而被放大。对违规操作行为要采取零容忍态度,严肃问责;对屡查屡犯,要加重处罚。同时加强员工岗位规范操作培训,特别是要研究制定提高新员工岗前培训效果的有效措施,培养员工规范操作的习惯。
5.司法协助和挂失业务。最主要的风险是外部欺诈和纠纷。对外,要警惕犯罪分子使用伪造的证件,盗取、诈骗客户和银行资金。对内,要遵纪守法,不得协助转移客户资金;严密司法协助通知书回执回复,避免银行担责、垫款。同时还要防范内部员工通过挂失手段盗取客户资金。
6.单位和个人结算账户。结算账户是犯罪分子作案的重要载体,除结算账户相关资料的合规性外,还要规范管理与结算账户相关的协议、印鉴卡等,防止出现通过虚假资料、证件开立各类结算账户,盗换单位预留印鉴,从而形成盗取客户资金案件的风险。此外,还要防范洗钱、恐怖融资等违法行为。
7.票据业务。票据业务风险最主要的是票据以及交易背景的真实性,要通过配备必要的鉴别仪器,提高柜员识假反假能力,防范克隆票据、变造票据、假票据给企业和银行造成的巨大资金风险。
8.内部账户。内部账户种类繁多,发生业务频繁,如缺乏监督清理机制,发生利用内部账违规垫付资金、盗取资金案件,因其隐蔽性较强,不能及时发现。对此问题,关键是要加强内部审核和监管,严格签字授权制度,专人核对,重点检查。
9.代办、自办业务。这类问题已列入员工禁止行为,必须坚决杜绝,对违规人员进行严肃处理。审计检查已发现个别员工利用本人或本人控制的银行账户进行代客户套现、代客理财、工资、过渡营销费用、虚增存款和库存现金、调剂库款等违规行为,潜在案件隐患极大。
10.工资业务。与业务相关的协议不健全,客户提供非加密数据(可被增、删、改),违规在网点安装批量代工客户端,违规代客户操作,都是引发内部道德风险和外部商业纠纷的风险点。
11.自助设备。自助设备作为柜面业务的主要分流工具,近年设备数量与业务量剧增,以自助设备为对象的案件也呈增长趋势,需引起高度警惕。对自助设备管理存在的问题需相关部门齐抓共管,严禁混岗操作,规范密码、钥匙的使用与保管,确保钱款安全。
12.后台核算中心。核算中心机构号下挂靠部门多、业务员分属不同部门,因此在不相容岗位设置、柜员岗位权限、重要单证及印章、加强内部对账等方面要严格管理,将责任落实到人。核算中心作为头寸机构,具有资金出入量大、系统操作维护权限大的特点,必须严把审核关、操作关、授权关,才能有效控制风险,不出案件。
关键字: 流程;操作风险;商业银行
中图分类号:F830.49文献标识码:B文章编号:1006-1770(2006)09-053-03
一、引言
随着银行服务的全球化、技术系统的更新、交易量的提高、日趋复杂的交易工具和交易策略等,都增大了银行机构面临的操作风险。对整个银行业和国际监管机构引起巨大震撼的“巴林银行”事件,从表面上来说是由于“关东大地震”所导致的日经指数期货暴跌,日本政府债券却一路上扬,里森不幸在这两个品种上都持有错误方向的筹码。这种突然来临的市场风险直接导致了里森的,及巴林银行的清盘倒闭。但本质上,却是由于巴林银行混乱的内部控制与风险管理体系所导致的,彻头彻尾是由于操作风险而招致的灭顶之灾。巴林事件之所以能发生,关键在于:交易与清算之间应有的制度执行缺失,业务流程应履行的监督失灵所导致。
操作风险源自于内部程序不完善、人为失误、系统故障和外部事件的影响,而银行业务流程是操作风险发生的主要载体,规范、科学、运行良好的业务流程,能从根本上起到规避和减少操作风险的作用。因此,从流程角度来研究操作风险管理是从商业银行操作风险管理和流程管理理论的内在耦合性出发,对银行操作风险管理所做的有益尝试。
二、流程与操作风险
操作风险的核心概念是操作(operations),其本意是“运营或发挥功能的活动或流程(the act or process of operating or functioning,美国传统辞典)”,中心词是活动或流程(act或process)。实际上,商业银行本身就是一个为最终满足顾客需求、实现投资者价值最大化而运行的一系列有密切联系的业务流程和活动的集合体。2005年中国银监会主席刘明康就指出“流程银行”是商业银行变革的方向之一,凸显了“流程”在现代商业银行中的重要地位。银行提品或服务的过程,即是承担风险、消耗资源使得价值从一个业务流程或活动转移到下一个业务流程或活动的过程,最终商品或劳务既是全部业务流程的集合,也是全部资源、全部风险的集合。国内外许多学者在这方面进行了研究,从国内的研究看,主要集中在操作风险的管理框架、度量方法及风险值衡量、基于工作流的操作风险控制及基于流程管理的银行信息化等方面。从国外看,Ebnother et al. (2002 )认为操作风险的衡量和管理一定是基于定义良好的流程,它们是操作风险管理的“精微平台(microscopic level)”,该文献中也提到了流程活动的概念,但它们只是作为流程的附属存在。Leippold et al. (2003) 提出并应用价值链的概念来模型化操作风险,而价值链实质就是基于流程展开的。这些研究虽然涉及到流程和操作风险之间的关系,但较为全面论述二者关系的文章还没有见到,特别是将流程理论和操作风险紧密结合起来,重新审视操作风险管理。因此本文从流程出发,以流程的视角分析操作风险管理的两个重要内容:内部控制和风险度量,为银行操作风险管理提供一个新的思路。
所谓流程,普适的定义是指为特定客户和市场提品和服务而实施的一系列精心设计的有逻辑相关性的活动(Davenport & Short, 1991)。流程进一步细分为活动(或称为流程活动,activity ) ,流程活动是流程的最基本要素。一个流程活动是接收某一种类型的输入,并在某种规则控制下,利用某些资源,经过特定变换转化为输出的过程,即:
流程活动={输入,处理规则,资源,输出}
其中,资源是指流程活动执行者在执行这一流程活动时所依赖的方法或凭借的手段。一个流程中的基本流程活动是不可再分的流程活动,其特征包括:明确的结果;清楚的边界;独立于其他流程活动。
银行业务流程就是银行实现自身价值所进行的一系列的业务活动,它是银行的核心价值活动,也是隐含风险,造成损失的重要载体。
我国商业银行现有的业务流程可以分为直接创造价值的前台客户服务流程和为直接创造价值活动服务的后台支持流程,这两个流程按照J・佩帕德和P・罗兰的划分分别属于银行的经营流程和保障流程。对我国的商业银行而言,前台后台的业务流程类型如图1所示:
从流程的角度来考察操作风险,也可以从操作风险的定义中反映出来。巴塞尔委员会的定义是:“由于不当或失败的内部程序、人员和系统或外部事件导致损失的风险”,这一定义包含四类因素,即人员,程序,系统和外部事件,但都通过业务流程发生作用。瑞士信贷集团的定义是“由于以不当或失败的方式操作流程活动而对业务带来负面影响的风险,操作风险也可能是由外部因素造成的”。全球衍生产品研究小组曾经给操作风险下过这样一个定义:“操作风险是指由于控制和系统的不完善、人为的错误或管理不当所导致的损失的风险。”它是从人员、系统和操作流程三个方面对操作风险进行了界定,并且把管理作为防止操作风险的决定性因素。银行操作风险涉及组织的各个方面,主要发生在银行服务的各种流程活动之中,流程中的人、系统和操作程序就成为操作风险管理的重点。因而操作风险管理的重要内容是规范、监视和分析组织内部的各种流程,同时将人和系统的因素考虑到流程之中。
由图2可以看出,风险管理流程作为一项支持性的经常活动,对其它流程有着监督的作用,因而可以将风险管理流程和普通业务流程作为整体来考虑,即对流程的数据、知识和规则建模时,可以对每个业务流程活动和类型进行基于损失数据的风险评估和分析,做到每一个流程活动的流程管理和风险管理。
三、流程视角下的银行内部控制框架
自1992年美国COSO委员会《内部控制框架》(简称COSO报告)以来,该内部控制框架已经被世界上许多银行所采用,但理论界和实务界纷纷对内部控制框架提出一些改进建议,强调内部控制框架的建立应与银行的风险管理尤其是操作风险相结合。新的全面风险管理框架就是在1992年的研究成果--《内部控制框架》报告的基础上,结合《萨班斯一奥克斯法案》(Sarbanes-OxleyAct)在报告方面的要求,进行扩展研究得到的。《萨班斯-奥克斯法案》是安然、世通等财务欺诈事件发生后,美国证监会于2002年7月30日颁布并实施的强制所有在美国上市的公司在2006年财年结束前执行的一项内部控制法案,被美国总统布什称为“自罗斯福总统以来美国商业界影响最为深远的改革法案”。该法案要求组织机构使用文档化的财务政策和流程来改善可审计性,并更快地拿出财务报告。要求银行针对产生财务交易的所有流程活动,都做到透明度、控制、通讯、风险管理和诈欺防治,并且这些流程必须详加记录到可追查交易源头的地步。
在传统的劳动分工原则下,职能部门把银行的流程割裂成一个个独立的环节,关注的是单个任务或工作,其结果就是忽视内部控制的动态性、系统性。从流程的视角出发,就需要从顾客需求出发,对银行流程进行系统性的思考分析,或通过对银行流程构成要素的重新分解、组合,以此实现银行流程彻底的改造和重新设计,从而获得银行绩效的持续改进。它不再强调单个工作或任务自身是什么,而是这些工作是如何有效执行的,因为银行的一切经营活动就是一系列富有逻辑关系的流程的有序集成,因而契合于银行整个业务流程的内部控制活动和程序,也将表现出如同流程再造那样必须根据外界需求变化不断检视和调整的系统动态过程,这个过程也体现了银行抵御外部影响而导致操作风险的柔性能力。
进一步看,流程实际上又是由一系列流程活动的集成,也即银行就是一个为满足履行要素使用权交易合约需求而设计的一系列流程活动的集合体。流程活动是通过组织、单位或成员按照一定的流程、活动的要求来完成。为此,内部控制的功能不仅在于通过流程活动的分析,剔除非增值流程活动,实现流程的最优化,而且还要保证最优化的流程有效地运行,并在此基础上根据客户的不断变化的需求产生最优的流程。此时,内部控制实际上进一步彰显其过程化的行为,成为银行最优化、间接和理性的流程活动标准,并按照控制的循环步骤,实现内部控制的目标。其具体过程如下图3所示。
显然,传统的内部控制强调权利与职责的分配、岗位相互之间的牵制等基本理念将受到严重挑战,原有“要素化”的控制方式将会被流程化、系统化的控制机制所取代,也就是说职能控制、岗位控制将被流程控制所替代,从上到下的分权控制将被各个流程活动之间的控制、各个任务之间的控制所替代。在流程视角下,信息流、资金流成为银行经营活动的基本组成要素。为迎合银行业务流程管理和操作风险控制的需要,内部控制实际上将演变成一种最优化、简洁和理性(合乎逻辑)的流程活动方式或流程活动标准,实现资金流和信息流的高度合一,达到控制和规避操作风险的目的。
四、基于流程活动的操作风险度量
巴塞尔新资本协议中将银行业务分为8个产品线,19个二级目录及50多个业务群组,但这种划分只是停留在流程层面,并没有深入到流程活动层面。正确划分银行流程活动,应从银行本身的规模、战略、业务特性和管理特点出发。对流程活动分解的越细,就越容易找到具体的风险驱动因素,从而越能对操作风险进行准确衡量与管理,因此,合乎逻辑的做法是将银行业务划分为产品线,再细分为流程,最后细分到流程活动。
定义、衡量和控制操作风险,不可能对所有的银行流程活动都同样关注,而应该重点关注银行的核心流程活动,对银行的增长和收益没有贡献的非核心的流程及流程活动不应予以考虑。
巴塞尔委员会将操作风险因素划分为7个类型,在此基础上进一步细分为20种、71个具体风险因素。Doerig(2004)将操作风险类型分为5大类,即组织,政策/过程,技术,人员和外部,细分因素有20种;英国银行服务局(FSA , 2002)在其关于操作风险系统和控制的咨询文件(CP142)中将形成操作风险的因素归结为人的因素、过程和系统、外部事件、外部采购和保险等5个方面。尽管细分的风险因素中可能包含几十种,但具体到不同的流程活动,很可能只有几种因素在起作用。
银行业务可以划分为若干个产品线,每个产品线由一组流程组成,而每个流程又由一组关键流程活动ai构成,每个流程活动都有潜在的fj 种风险因素可能导致操作风险。图4所示的流程活动和风险因素的组合显示了基于流程活动的操作风险度量原理。
图4中,横坐标为关键流程活动,纵坐标为风险因素。图中取1的为关键流程活动与风险因素的有效组合,取0表示该组合无效。例如组合(a2, f1)表示在流程活动a2中,风险因素f1不起作用。对于有效组合,可以进行衡量或评估以确定该组合下的风险损失Rij。如果确认了银行业务中的所有关键流程活动ai和风险因素fj,那么就可以得到一个关键流程活动/风险因素组合有效性矩阵,在该矩阵中,有效组合取值为1,无效组合取值为0。
一般地,操作风险度量有两大类方法,即自上而下法和自下而上法。自上而下法基于宏观数据来度量操作风险,不去识别具体的损失事件和原因。自下而上法则是利用具体的事件来决定操作风险的来源并进行度量,属于风险敏感方法。巴塞尔新资本协议中的前两种方法属于自上而下法,第三种方法即高级衡量法属于自下而上法。委员会鼓励银行提高风险管理的复杂程度并采用更加精确的计量方法。基于流程活动的操作风险度量方法将银行业务细分为流程活动,识别每一流程活动中潜在的具体风险因素,在此基础上衡量风险损失,因而属于风险敏感的自下而上方法。
该方法首先确认流程活动和风险因素将银行操作风险暴露分解,EI(i,j)表示第i个流程活动在j类风险因素下的风险暴露;PE(i,j)表示流程活动i在风险因素j下操作风险发生的概率;LGE(i,j)表示流程活动i在风险因素j下的预期损失程度,那么,组合(ai, fj)的操作风险预期损失为:
如果数据是够充分,模型还可以估算出不同风险损失之间的相关系数,从而使计算结果更加准确。基于流程活动的操作风险度量深入到微观的活动层面,对流程活动的各个要素和风险驱动因素进行分析,为银行控制和缓释操作风险提供了依据。
该方法将操作风险度量与管理有机地结合起来。将操作风险度量和管理建立在对银行关键流程活动及潜在风险因素的清晰理解基础之上,它考虑到了每个流程活动/风险因素组合(ai, fj)的损失分布,考虑到了流程活动之间的衔接同样是操作风险的重要来源,考虑到了流程活动与流程活动之间、风险因素与风险因素之间的相关关系,从而保证了衡量的准确性。
五、结论
操作风险的基本定义表明,操作风险主要载体是业务流程,本文研究了流程视角下的操作风险管理,阐述了基于流程的商业银行内部控制和操作风险度量,为进一步“流程银行”的操作风险管理模式研究打下了理论基础。
作者简介:
胡衍强 同济大学经济与管理学院博士生
[关键词]巴塞尔新资本协议;操作风险管 ;IS027001;信息资产
[中图分类号]F831 [文献标识码]A [文章编号]1006-5024(2009)04-0167-04
[作者简介]董红,北京航空航天大学经济管理学院博士生,研究方向为风险管理与决策;(北京100083)
邱菀华,中国光大银行总行风险管理部教授,博士生导师,研究方向为决策、风险与项目管理;
林直友,中国光大银行总行风险管理部业务经理、硕士,研究方向为金融风险管理。(北京100045)
金融业的全面开放和金融服务的管制放松,以及高端化的信息技术,使银行的业务、产品日益多元化,这直接导致其面临的风险更为复杂和多样。国内外银行业重大违规事件及美国金融海啸影响的迅速扩大,迫切需要国内外金融监管部门和从业机构反思对操作风险的管理和防范,加强合规管理。2004年的巴塞尔新资本协议,将操作风险正式纳入资本监管范围,并进一步提出了明确的监管资本要求。2007年我国银监会再次对其进行解读和说明。然而,由于操作风险情况复杂,与银行自身的规模、经验、业务特征等密切相关,具有和动态变化等特点。因此,探索适合银行不同类别操作风险特点的管理和计量方法,是一项十分重要而紧迫的课题。
一、操作风险管理的困惑与问题
到目前为止,有关操作风险的定义、管理及计量问题一直困扰着各家商业银行和监管机构,国内外银行也未对它形成统一的认识。本文采用至今已被大多数银行所接受的巴塞尔银行监管委员会有关操作风险的定义,即由于不完善或有问题的内部程序、人员和系统或因外部事件导致损失的风险。新资本协议从风险监管的角度将操作风险事件划分为七种类型,包括内部欺诈,外部欺诈,雇员活动和工作场所的安全问题,客户、产品和业务活动的安全问题,银行维系经营的实物资产损坏,业务中断和系统故障,执行、交付和过程管理等。就其风险成因可分为人员、流程、系统和外部事件四大类。此外,按产品线将商业银行的业务划分为公司金融、交易和销售、零售银行业务、商业银行业务、支付和结算、业务、资产管理和零售经纪类,并对每一类产品分别规定不同的操作风险资本要求系数,籍以用标准法计算操作风险总体资本要求。
巴塞尔委员会给出了管理操作风险的十大原则,但这些原则都是从宏观角度要求商业银行应该建立什么
样的组织、制度和流程,并未给出管理操作风险的详细方法和手段。实际工作中,我们发现信息资产是商业银行极其重要的一类资产,在信息时代,一个机构要利用其拥有的资产,特别是信息资产来完成其使命,因此,对信息资产的管理关系到该机构能否完成其使命的大事。然而,由于信息资产对IT系统的依赖性很强,绝大部分具有无形化、易变化、易传播的特点,且风险存在于其产生、传递、使用和销毁等各个环节,与一般银行产品相比,具有很大的独特性。所以,我们建议将此类资产作为商业银行一类独特的产品线来进行管理。在实践中,我们发现ISO27001为有效管理组织的信息资产、确保信息安全提出了一整套要求和最佳实践指南。它从11个方面对信息资产的安全管理提出要求,其管理思想完全符合操作风险的管理原则,并且是在其原则基础上的细化,如高层管理的支持和承诺、资源管理、风险评估、内部审核、信息的沟通、有效性测量和改进,等等。可见,ISO27001不仅适用于多数IT软硬件开发等企业,同时也适用于银行、保险等信息化程度较高的金融行业。
因此,我们希望能够使用ISO27001的管理标准来细化商业银行信息资产类产品的风险管理,进而按照操作风险管理的总体原则与其他类产品进行融合,最终实现在总体框架要求下对信息资产类操作风险的细化管理。
二、ISO27001简介
ISO/IEC27001源自英国标准协会制定的BS7799,包括两部分内容:BS7799―1信息安全管理实施细则和BS7799-2信息安全管理体系规范。其中,BS7799-1被ISO组织吸纳为ISO/IEC17799,BS7799-2升版并转换为国际标准ISO/IEC2700I,它是建立信息安全管理体系ISMS(Information se-curity Management systems)的一套需求规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,指出组织应遵循的风险评估标准。
信息是一种资产,就像其他重要的业务资产一样,对组织是不可或缺的,需要妥善保护。根据ISO/IEC27001的定义,资产是对组织有价值的任何东西。它能以多种形式存在,如有形资产(硬件、软件、数据文件、人员等)、无形资产(声誉、品牌、客户关系等)、辅助资产(信息资产的制造、存储、传输、处理、销毁等)。信息安全就是指保持这些资产的机密性、完整性和可用性。另外,也可包括诸如真实性、可核查性、不可否认性和可靠性等。
1 机密性――信息具有不能被未授权的个人、实体或者过程利用或知悉的特性。
2 完整性――保护资产的准确和完整的特性。
3 可用性――根据授权实体的要求可访问和利用的特性。
企业的业务战略以企业的资产来得以体现,但资产自身不可避免地带有漏洞,我们称之为资产的脆弱性。外界的威胁则利用资产的脆弱性,给企业带来风险。信息安全就是要保护信息资产免受威胁的影响,从而确保业务的连续性,缩减业务风险,最大化投资收益并充分把握业务机会。构建信息安全管理体系,就是通过对组织信息资产的风险评估,确定重要信息资产清单以及风险等级,从而采取相应的控制措施来实现信息资产的安全性。信息安全管理的核心是风险管理,其对象是组织的信息资产。我们将其作为操作风险管理产品线之外的第九类特殊产品线,评估其价值和风险,确定相应的安全需求,并制定安全措施来降低和控制资产的风险。
可见,信息安全风险,是指由于系统存在的脆弱性、人为或自然的威胁导致安全事件发生的可能性及其造成的影响,包括由于IT流程缺陷、系统的业务需求/流程控制缺陷、信息系统脆弱性、操作人员无意/蓄意失误、外部事件等因素直接导致业务操作风险并间接导致信用、市场、声誉等风险。它不仅存在于应用系统及IT基础设施等信息资产中,而且存在于业务流程及管理流程中。ISMS是通过实施一整套适当的控
制措施来实现目标的,包括策略、过程、程序、组织结构和软硬件功能,他们可以是行政、技术、管理、法律等方面的。IS017799包含了11个管理要项,既有偏重管理的信息安全方针、安全组织、资产管理、人员安全、物理和环境安全、事故管理、业务连续性管理、法律符合性等方面,也有偏重于技术的通信和操作管理、访问控制、系统开发和维护等内容,每一部分都针对不同的主体或范围,在这11个管理要项中,它又细分为39个控制目标和133个控制措施。可以说,ISO/IEC27001是目前国际上关于信息安全管理要求最全面、最完整的体系,可有效防范信息资产风险,从而进一步巩固操作风险的驾驭能力,保证组织核心业务的持续运行。
三、基于风险的信息安全管理体系的构建
信息安全管理体系是基于业务风险方法建立、实施、运行、监视、评审、保持和改进信息安全,提出了基于戴明环的Plan-Do-Check-Act(PDCA)风险模型,强调全过程和动态的控制,如图所示。它的设计思路充分体现了“过程方法”的特点,以过程为控制对象,在业务和风险管理过程中控制风险,实现持续改进,并达到监管方要求实现的事前、事中、事后全程控制。
(一)策划并建立信息安全管理体系
1 确定安全方针和范围
信息安全管理体系可覆盖组织的全部或部分,组织需根据业务特征、地理位置、资产和技术等明确界定体系的范围,并使之文件化。另外,要制定ISMS方针和策略,它是指导如何对组织信息资产进行管理的规则,是构建信息安全管理体系的宗旨。它表明了管理层的承诺,提出组织管理信息安全的方法,为组织的信息安全管理提供方向和支持。
2 资产的识别和评价
资产管理是实施有效ISMS的基础,也是风险评估的核心内容。资产管理的优劣直接影响评估的效率和质量以及保持循环评估的连续性,而且有助于预见这些数据在之后风险分析中的重要作用。
资产识别A:为保证资产识别的合理性,建议组织从业务流程角度(纵向比较)和信息活动(横向比较)两个角度进行。在清晰识别资产后,组织应根据资产的重要性形成文件,建立资产清单,包含资产类型、格式、位置、责任人、备份信息和业务价值。
资产评价的目的是确保资产受到相应等级的保护,以保障在处理信息时指明保护的需求、优先级和期望程度。企业的所有资产都处在业务流程和相应的支持过程中,资产的重要程度,应根据其所处业务流程的位置,且与其它资产的比较中界定。通过分析资产的机密性、完整性、可用性及其它需求进行评估。对资产赋值时,一方面要考虑资产购买成本,另一方面也要考虑当这种资产的机密性、完整性和可用性受到损害时,对业务运营的负面影响程度。
3 风险评估
资产管理和风险评估是相辅相成,紧密相连的。在实际操作过程中,资产管理数据可为风险评估提供支持;而每次风险评估正是对资产管理数据进行修正和维护的过程。因此,定义全面合理的信息安全风险评估方法及风险可接受准则是十分关键的。评估方法要和组织既定的体系范围、安全需求、法律法规相适应。另外,组织应建立风险评估文件,解释和说明所选择的风险评估方法,介绍所采用的技术和工具。
(1)威胁识别T:威胁是对组织及其资产构成潜在破坏的可能性因素或事件。评估者应根据经验和有关统计数据判断威胁发生的频率或概率。
(2)脆弱性识别V:弱点是资产本身存在的,若被威胁利用将引起资产或目标的损害。我们将针对每一项要保护的信息资产,找出每一种威胁所能利用的脆弱性,并对其严重程度进行评估,为其赋值。
(3)对已有安全控制措施进行确认。
(4)建立风险测量的方法及风险等级评价原则,结合资产本身的价值、威胁发生的概率、威胁利用弱点的影响程度和已有控制等来确定风险的大小与等级R。即R=f(A,v,T)=f[Ia,L(Va,T)],其中Ia表示资产的重要程度;Va表示某资产本身的脆弱性,L表示威胁利用脆弱性对资产造成安全事件的可能性。
(5)识别并评价风险处理的方法,包括接受风险、降低风险、规避风险、转移风险等。组织应加以分析,区别对待所识别的信息安全风险。若风险满足组织可接受的风险准则,将接受风险。否则,考虑规避风险或转移风险。若无法规避或转移的风险,应采取适当的控制措施,将它降低到可接受水平。
(6)选择控制目标和措施
选择并建立文件化的控制目标和措施,制定风险处置计划。ISO27001系列强调在风险处理方式及控制措施的选择上,组织应考虑发展战略、组织文化、人员素质,并特别关注成本与风险的平衡,以满足法律法规及相关方的要求。另外,实施控制措施后仍会有残余风险存在,我们需要密切监视这些风险,防止它诱发新的风险事件。
(7)获得最高管理者的授权批准
风险识别和评估对后续可行的风险监测和控制至关重要。有效的风险识别要同时考虑内部因素(如企业结构、性质、文化以及人员的素质和流动性等)和外部因素(如环境的变化和技术的发展),他们可能对组织目标的实现造成重大不利影响。在识别绝大多数潜在的不利风险的同时,组织还应该评估自身对这些风险的承受能力。通过有效的风险评估,组织可以更好地掌握其风险状况和最有效地使用风险管理资源。
(二)实施并运行信息安全管理体系
阐明并实施风险处置计划。在此过程中,组织应指明和分配适当的管理措施、资源(人员、时间和资金)、职责和优先级。针对不同的管理层次、岗位和职责制订不同的培训计划,记录并考核培训的效果。通过提高全员的信息安全意识,塑造企业的风险文化,保证意识和控制活动的同步,确保体系的持续有效性和实时性。同时,组织应搜集证据、记录信息安全管理活动,为将来的评审、检查做准备。
(三)监视并评审信息安全管理体系
监控、评审阶段主要用来加强、修订及改进已识别的控制措施和解决方案。对不合理、不充分的控制措施应及时采取纠正和预防。组织可通过多种方式检查和监视信息安全管理体系的运行状况,如收集安全审核的结果、事故、以及所有相关方的建议和反馈;定期评审残余风险和可接受风险的等级;通过内部审核和管理评审检查信息安全管理体系的有效性、符合性等。此外,组织应做好记录,并报告影响信息安全管理体系有效性或业绩的所有活动、事件。
(四)改进信息安全管理体系
基于评审结果或其他相关信息,采取纠正和预防措施,以持续改进信息安全管理体系,开始新一轮的PDCA循环。改进活动和措施必须获得所有相关方的认可,并确保达到预期目的。
四、信息资产类操作风险管理的实施建议
ISO27001是文件化的体系,它把传统的银行信息安全与IT治理、风险审计和风险评估结合在一起,产生了一个新的管理维度和应用维度。在国际标准化的大潮流下,将基于风险评估的ISO27001体系要求引入业务流程和风险体系,规范现有业务运作,全面提升员工的风险意识和责任,从而有效地降低内部欺诈等各类风险发生的几率,做到从源头防范风险,保护客户信息。