文/新浪财经专栏作家 德勤风险管理团队[微博]
事实上,银行内控管理与操作风险管理既存在重叠,也各有侧重,就像唇与齿,缺一不可。而内控与操作风险管理一体化从组织、流程、工具、信息系统等方面对两项工作进行整合,既避免了重复工作,节约了时间成本及人力资源,也减轻了基层业务人员内控与风险管理的压力。
操作风险是被“忽视”的风险
从1995年,英国的外汇交易员里森的违规操作导致巴林银行破产,到2008年,一名驻巴黎交易员在股指期货上的违规操作,导致法国兴业集团损失49亿欧元,再到2010年,中国齐鲁银行被外部人员诈骗,涉案金额高达101亿元人民币,银行日常的经营无时无刻不在面临着操作风险,而对其的重视程度也是近10年才显得愈加重要起来。
常见的操作风险的管理思路、方式、手段、工具以及与之配套的管理信息系统仍处于初级阶段,对其的计量更是不同于信用风险与市场风险,难以用风险概率分布方式进行量化。对于操作风险这样或那样的模糊认识,加之如何系统性地对其进行管理尚无经验可循,操作风险管理经常被管理者有意或无意地“忽视”着。
操作风险是什么
简单的讲,银行只要开门营业,就会面临各种由于人员、流程、系统以及外部环境冲击所带来的风险。例如,客户带来欺诈、伪造、纠纷等风险,内部人员发生越权、勾结、差错、盗窃的可能性,以及系统宕机、产品瑕疵、管理不当的风险。仅在2011年,全年银行业发案量达92件,涉案金额高达21亿元,而上述数据仅是进入银监会统计口径的数据,更多的操作风险事件几乎每天都在我们身边发生,提醒着我们操作风险不容小觑。
操作风险管理目的究竟是什么
做事情总是要考虑清楚了再动手,操作风险管理也是如此。要想清楚了风险管理的目的何在,然后再付诸于行动。我们可以把操作风险的管理目的用三种不同的层次或境界来阐述:
首先,从监管达标的角度来看,巴塞尔委员会编制的“巴塞尔新资本协议”明确提出了操作风险组织架构、政策、工具、流程和报告路线方面的监管要求。中国银监会也在2012年6月发布了《商业银行资本管理办法(试行)》,对这一监管要求做出了承接与细化,并要求在2018年前要达标。讲得直接点,操作风险管理最赤裸裸的目的是为了达银监会的标。我们称这是管理目的的第一层境界。
达标这第一层境界相对容易做到,那么达标之外,对银行有无实际效益呢?第二层境界就是从成本效益角度来讲,在可以承受的资源投入条件下,将操作风险可能造成的损失降低到管理者的风险容忍之内。简单的讲就是不干亏本的买卖,风险管理看到的效益一定要大于成本的投入。
最后的第三层境界,也是本文即将讨论的重点,即从管理提升的角度来分析。操作风险管理的目的不应仅仅在于孤立的风险管控,更要思考的是如何将管理的思路、方式、手段、工具与既有的内部控制体系相结合,形成一体化建设的整合模式,达到1+1>2的效果。
当然,其实操作风险管理的目的绝不仅仅是上面这三个层次这么简单,长远看来,甚至会有第四层、第五层、乃至第六层。例如,从风险资本计提的角度来说,在操作风险高级计量法的框架下,通过计量工具,有效降低操作风险计提资本,释放银行的业务发展动能。说穿了,就是通过精细量化操作风险,少计提点风险资本,节省下来的钱拿去发展业务;这些层次暂不在本文要讲述的范围内,也就不多提了。
如何管理操作风险
那么操作风险如何进行管理呢?新协议提供了“风险与控制自我评估”“关键风险指标风险”与“损失数据收集”三大操作风险管理工具,要求商业银行应当评估各业务条线的操作风险暴露金额与频率,并系统性地收集、跟踪和分析与操作风险相关的数据。
在此基础上建立操作风险评估机制,将风险评估整合入业务处理流程,引入操作风险和控制自我评估或其他评估工具。定期评估主要业务条线的操作风险,并将评估结果应用到风险考核、流程优化和风险报告中。与此同时,通过建立关键风险指标体系,及时监测相关指标,并明确指标突破阈值情况的处理流程,积极开展风险预警管控。
通过三大工具的建设和应用,帮助银行构建操作风险识别、评估、监控和预警处理的管理流程,可以确保管理层了解所面临的操作风险,并根据自身的承受能力和发展策略采取针对性的风险应对措施,以合理的成本达到预期的风险管理效果。
有了操作风险管理工具就能高枕无忧吗?
然而,上述操作风险管理工具若要在银行实际落地运用,并看到实质上的效果,就必须要与银行既有的内控体系结合起来。究其原因,银行在运营的过程中,对操作风险发挥最主要也是最实际的控制效果的就是内部控制体系。良好的内部控制建设,可以有效防范起因于内部管理流程、人员以及系统的操作风险。
在此基础上,我们再通过操作风险三大工具以及其配套的机制,建立操作风险识别与评估、监测与报告、控制与缓释的机制,便可让银行的操作风险管理智能化,依据自身的风险偏好与容忍度,及时监控各项业务的操作风险暴露对业务的影响,以及发掘风险管理薄弱的环节。
为什么要提内控、操作风险管理一体化建设?
事实上,内控管理工作与操作风险管理工作既存在重叠,也各有侧重,就像唇与齿,缺一不可,但是独立的开展这两项管理工作势必会给银行带来很高的管理成本。因此,银行业开始探索并应用能够兼顾内控管理和操作风险管理工作的一体化管理思路,从组织与职责、体系与流程、管理工具和信息系统等各个方面将内控管理与操作风险管理两项工作整合起来。
组织职责整合就是“两块牌子、一套人马”,由同一个部门和团队负责内控与操作风险管理,实现知识和人力资源的共享。
体系流程与工具整合就是以操作风险管理三大工具为核心,搭载内控和操作风险管理的流程,将内控梳理、损失数据收集、风险与控制评估程序、问题与缺陷整改、风险报告及考核体系有机整合,同时兼顾内控管理和操作风险管理的需要。
信息系统整合就是搭建同一的管理信息系统平台,同时收集内控与操作风险所需的数据,在统一的平台进行风险评估、监测预警、评估、学习和考核。
一体化的组织、流程、工具和信息系统管理避免了内控与操作风险管理中的重复工作,节约了时间成本与人力资源。以控制自我评估为例,它既是内控评价的重要组成部分,又是操作风险管理的重要工具,一体化的管理可以减轻基层业务人员内控与风险管理的压力。
与此同时,借鉴操作风险的监控指标、风险容忍度地图、风险监测仪表盘等监控和分析决策工具,可以使得银行采取的内控管理决策更加科学,以成本效益的角度采取适当的控制措施。例如,采取风险容忍度地图方法确定管理层对操作风险容忍的底线,确定“不可接受”区间,将日常风险评估的结果落在风险地图中,如果落在“不可接受”区间,则必须立即采取措施完善内部控制。
借助一体化管理信息系统绘制的风险监测仪表盘,将内控与风险管控现状、内控薄弱环节与风险暴露高发领域等评估结果进行图表与图形化展示,生成相关报告,供管理者决策,带来管理上的意义。
目前,内控与操作风险一体化管理体系已经在我国部分股份制商业银行与大型城市商业银行中开始运作,并已初见成效,各中小银行也渐渐开始思考采用这一方式。相信更多的金融机构会加入此行列,完善内部控制,提升操作风险管理能力。
(本文作者介绍:)
本文为作者独家授权新浪财经使用,请勿转载。所发表言论不代表本站观点。
