操作風險

因信息系統缺陷導致損失的風險

操作風險是指由於信息系統或內部控制缺陷導致意外損失的風險。引起操作風險的原因包括: 人為錯誤、電腦系統故障、工作程序和內部控制不當,等等。

簡介


巴塞爾銀行監管委員會對操作風險的正式定義是:操作風險是指由於不完善或有問題的內部操作過程、人員、系統或外部事件而導致的直接或間接損失的風險。這一定義包含了法律風險,但是不包含策略性風險和聲譽風險。

定義


操作風險
操作風險
英國銀行家協會(British Banker Association,BBA,1997)最早給出了操作風險的定義,他們認為:操作風險與人為失誤、不完備的程序控制、欺詐和犯罪活動相聯繫,它是由技術缺陷和系統崩潰引起的。經過廣泛的討論和爭論,1998年5月,IBM(英國)公司發起設立了第一個行業先進思想管理論壇----操作風險論壇,在這個論壇上,將操作風險定義為:操作風險是遭受潛在損失的可能,是指由於客戶、設計不當的控制體系、控制系統失靈以及不可控事件導致的各類風險。損失可能來自於內部或外部事件、宏觀趨勢以及不能為公司決策機構和內部控制體系、信息系統、行政機構組織、道德準則或其他主要控制手段和標準所洞悉並組織的變動。它不包括已經存在的其他風險種類如市場風險信用風險決策風險。通過這次會議,上述結論性的定義開始為多數銀行所接受。巴塞爾委員會關於操作風險的定義也是建立在這個基礎之上的。
根據《巴塞爾新資本協議》,操作風險可以分為由人員、系統、流程和外部事件所引發的四類風險,並由此分為七種表現形式:內部欺詐,外部欺詐,聘用員工做法和工作場所安全性,客戶、產品及業務做法,實物資產損壞,業務中斷和系統失靈,交割流程管理
操作風險受到國際銀行業界的高度重視。這主要是因為,銀行機構越來越龐大,它們的產品越來越多樣化和複雜化,銀行業務對以計算機為代表的IT技術的高度依賴,還有金融業和金融市場的全球化的趨勢,使得一些“操作”上的失誤,可能帶來很大的甚至是極其嚴重的後果。過去一二十年裡,這方面已經有許多慘痛的教訓。巴林銀行的倒閉就是一個令人怵目驚心的例子。

風險概述


在不少金融機構中,操作風險導致的損失已經明顯大於市場風險和信用風險。因此,國際金融界和監管組織開始致力於操作風險管理技術、方法和組織框架的探索與構建,已取得了明顯的進展。但是,從國內銀行業情況來看,對操作風險的認識和管理還停留在比較膚淺的層次,監管當局關注的焦點一直定位在信用風險領域,監管資源過分傾斜於銀行不良資產的處置,以至於銀行操作風險近些年呈持續上升趨勢。
因此,關注操作風險已成為我國商業銀行不可迴避的話題,操作風險是當前銀行業風險管理的重中之重,銀行職員操作權歸屬不清是操作風險產生的根源,整合IT平台清晰界定操作權是國有商業銀行的當務之急。
一、操作風險
加大改革力度
1、建立完善的公司法人治理結構。我國商業銀行要建立規範的股東大會、董事會、監事會制度,設立獨立董事,構建以股東大會-董事會-監事會-行長經營層之間的權力劃分和權力制衡有效結構,通過高級管理層權力制衡,抑制“內部人”控制、“道德風險”的發生。
2、按照“機構扁平化、業務垂直化”的要求,推進管理架構和業務流程再造,從根本上解決操作風險的控制問題。
3、改革考核考評辦法。正確引導分支機構在調整結構和防範風險的基礎上提高經營效益,防止重規模輕效益。要合理確定任務指標,把風險及內控管理納入考核體系,切實加強和改善銀行審慎經營和管理,嚴防操作風險。不能制定容易引發偏離既定經營目標或違規經營的激勵機制
不斷完善內部控制制度
商業銀行在堅持過去行之有效的內部控制制度的同時,要把握形勢,緊貼業務,不斷研究新的操作風險控制點,完善內部控制制度,及時有效地評估並控制可能出現的操作風險,把各種安全隱患消除在萌芽狀態。
當前,重點要在以下七個方面完善內部控制制度:一是建立相應的授權體系,實行統一法人管理和法人授權;二是建立必要的職責分離,以及橫向與縱向相互監督制約關係的制度;三是明確關鍵崗位、特殊崗位、不相容崗位及其控制要求;四是對於重要活動應實施連續記錄和監督檢查;五是對於產品、組織結構、流程、計算機系統的設計過程,應建立有效的控制程序;六是建立信息安全管理體系,對硬體、操作系統和應用程序、數據和操作環境,以及設計、採購、安全和使用實施控制;七是建立並保持應急預案和程序,確保業務持續開展。
全面落實操作風險管理責任制
首先,要通過層層簽訂防範操作風險責任合同,使風險防範責任目標與員工個人利益直接掛鉤,形成各級行一把手負總責,分管領導直接負責,相關部門各司其職、各負其責,一線員工積極參與的大防範工作格局。其次,要真正落實問責制。要明確各級管理者及每位操作人員在防範操作風險中的權力與責任,並進行責任公示。今後銀行發生大案,既要有人及時問責,又要深入追查事件責任人。對出現大案、要案,或措施不得力的,要從嚴追究高管人員和直接責任人的責任,並相應追究檢查部門、審計部門及人員對檢查發現的問題隱瞞不報、上報虛假情況或檢查監督整改不力的責任。
切實改進操作風險管理方法
1、不斷摸索,逐步完善操作風險計量方法。雖然對操作風險的計量還沒有一個十分完善的方法,但是隨著商業銀行全面風險管理的深入開展,準確計量操作風險並計提準備金是一個必然的發展趨勢。
2、加強信息技術應用。在數據大集中的進程中,要加強業務系統操作平台建設,全面查找設計上的漏洞,完善系統軟體。
3、建立健全操作風險識別和評估體系。要借鑒國際先進經驗並運用現代科技手段,逐步建立覆蓋所有業務類別操作風險的監控、評價和預警系統,識別和評估所有當前和未來潛在的操作風險及其性質。
4、建立和完善內部信息交流制度。針對多發的管理人員帶頭實施違規,強迫命令下屬違規操作,形成案件和資金風險的問題,銀行要建立和完善員工舉報制度,依靠和發動一線員工,鼓勵檢舉違法違規問題,堅決遏制各類案件特別是大案要案的高發勢頭。
加強人員管理
一是要牢固樹立以人為本的經營思想,充分發動和依靠廣大員工抓好操作風險管理工作。
二是加強思想政治教育。要深入開展矛盾糾紛和不安定因素排查化解工作,多方面、多層次將矛盾糾紛和不安定因素化解在單位內部和萌芽狀態。
三是加強風險意識教育。要堅持不懈地進行安全形勢教育、典型案例教育、規章制度教育,提高全行員工安全防範意識和遵紀守法觀念。
四是要及時、深入了解重要崗位人員工作、生活情況,掌握思想和行為變化動態,對行為失范的員工要及時進行教育疏導和誡免談話,情節嚴重的,要嚴肅處理。
二、主要原因
1、公司治理結構不健全。一是所有者虛位,導致對代理人監督不夠。二是內部制衡機制不完善。董事會、監事會、經營管理層之間的制衡機制還未真正建立起來。三是存在“內部人”控制現象。由於國有商業銀行所有者虛位,很容易導致銀行高管人員利用政府產權上的弱控制而形成事實上的“內部人”控制,進行違法違紀活動。四是內部控制能力逐級衰減。國有商業銀行的“五級”直線式管理架構,由於內部管理鏈條過長,信息交流不對稱,按照“變壓器”原理,總行對分支機構的控制力層層衰減,管理漏洞比較多。
2、內控制度建設尚不完備。一是沒有形成系統的內部控制制度,控制不足與控制分散並存,業務開拓與內控制度建設缺乏同步性,特別是新業務的開展缺乏必要的制度保障,風險較大。二是內控制度的整體性不夠。對所屬分支機構控制不力,對決策管理層缺乏有效的監督。對業務人員監督得多,而對各級管理人員監督得較少、制約力不強。三是內控制度的權威性不強。審計資源配置效率低下,稽核審計職能和權威性沒有充分發揮,內部審計部門沒有完全起到查錯防漏、控制操作風險的作用。
3、風險管理方法落後,信息技術的運用嚴重滯后。
4、員工隊伍管理不到位。銀行管理人員在日常工作中重業務開拓,輕隊伍建設;重員工使用,輕員工管理,對員工思想動態掌握不夠,加之舉報機制不健全,使本來可以超前防範的操作風險不能及時發現和制止。
5、與風險控制有衝突的考核激勵政策容易誘導操作風險。
相關示意圖
相關示意圖
6、社會轉型及銀行變革容易引發操作風險。當前社會治安形勢仍然嚴峻,針對銀行的搶劫、詐騙、盜竊等犯罪時有發生。從銀行內部來看,國有銀行正在進行股改,伴隨機構撤併,也帶來了大量富餘人員消化問題,並導致各種矛盾的尖銳化。

類型特點


一、類型:
內部欺詐
有機構內部人員參與的詐騙、盜用資產、違犯法律以及公司的規章制度的行為。
外部欺詐
第三方的詐騙、盜用資產、違犯法律的行為。
風險事件
由於不履行合同,或者不符合勞動健康、安全法規所引起的賠償要求。
客戶、產品以及商業行為引起的事件
操作風險相關書籍
操作風險相關書籍
有意或無意造成的無法滿足某一顧客的特定需求,或者是由於產品的性質、設計問題造成的失誤。
有形資產的損失
由於災難性事件或其他事件引起的有形資產的損壞或損失。
經營中斷和系統出錯
例如,軟體或者硬體錯誤、通信問題以及設備老化。
涉及執行、交割以及交易過程的
例如,交易失敗、與合作夥伴的合作失敗、交易數據輸入錯誤、不完備的法律文件、未經批准訪問客戶賬戶,以及賣方糾紛等。
二、特點:
與信用風險、市場風險相比,操作風險具有以下特點:
(1)操作風險中的風險因素很大比例上來源於銀行的業務操作,屬於銀行可控範圍內的內生風險。單個操作風險因素與操作損失之間並不存在清晰的、可以界定的數量關係。
(2)從覆蓋範圍看,操作風險管理幾乎覆蓋了銀行經營管理所有方面的不同風險。既包括發生頻率高、但損失相對較低的日常業務流程處理上的小紕漏,也包括發生頻率低、但一旦發生就會造成極大損失,甚至危及到銀行存亡的自然災害、大規模舞弊等。因此,試圖用一種方法來覆蓋操作風險的所有領域幾乎是不可能的。
(3)對於信用風險和市場風險而言,風險與報酬存在一一映射關係,但這種關係並不一定適用於操作風險。
(4)業務規模大、交易量大、結構變化迅速的業務領域,受操作風險衝擊的可能性最大。
(5)操作風險是一個涉及面非常廣的範疇,操作風險管理幾乎涉及銀行內部的所有部門。因此,操作風險管理不僅僅是風險管理部門和內部審計部門的事情。
目前我國商業銀行操作風險主要特徵
國內有人對我國的操作風險進行了實證分析。根據研究結果,我國商業銀行操作風險的主要特徵大概可以總結為:
(1)損失事件主要集中在商業銀行業務和零售銀行業務,主要可以歸因於內部欺詐、外部欺詐,佔到損失事件比例最大的是商業銀行業務中的內部欺詐。
(2)單筆損失金額的均值相差很大,在度量操作風險時,應該分別考慮每個業務部門和每個風險事件組合下的損失分佈情況。
(3)損失事件的多少與銀行的總資產規模成正相關,但損失金額多少與總資產沒有明顯的相關性。
(4)從損失事件數目和損失金額的地區分佈看,操作風險不一定發生在經濟發達的分支機構,但是肯定會發生在管理薄弱、風險控制意識不強的地區。

圖書信息


基本信息

操作風險
操作風險
書名:操作風險
作者:(美國)安娜·徹諾拜(美國)法蘭克。法伯茲
出版時間:2010年01月
ISBN:9787811229004
開本:16開
定價:36.00元

內容簡介

《操作風險:新巴塞爾協議資本要求、模型與分析指南》內容簡介:儘管操作風險一直被視為“其他”風險中的一部分——在信用風險和市場風險領域之外——然而它已迅速佔領金融領域的最前沿。事實上,隨著新巴塞爾資本協議的逐步執行,諸多金融專家,以及準備步入該領域的其他人士現在起必須熟知有關操作風險建模與管理的諸多事項。
由安娜·徹諾拜、斯維特洛扎·維特夫以及法蘭克·法伯茲所組成的經驗團隊所著的《操作風險——新巴塞爾協議資本要求、模型與分析指南》將為您介紹與該協議有關的核心概念。該綜合性指南以具有深刻的洞察力、專業性建議以及革新性研究而著稱,它不僅呈現給讀者有關操作風險的大量信息,還提供諸多案例以加深對所討論問題的理解。
包括如下主題:
存在於操作風險建模領域的主要挑戰
用於構建操作風險模型的諸多方法
在險價值及其在操作風險量化和管理方面的作用
新巴塞爾資本協議的三支柱結構

作者簡介


安娜·徹諾拜
博士,美國紐約雪城大學馬丁·惠特曼管理學院金融學副教授。其研究重點正是操作風險管理。
斯維特洛扎·維特夫
博士,德國卡爾斯魯厄大學經濟與商業工程學院的講座教授,加州大學聖巴巴拉分校的榮譽教授以及FinAnalytica公司的首席科學家。
法蘭克·法伯茲
博士,·註冊金融分析師,耶魯大學管理學院講授金融實踐方向的教授以及《投資組合管理雜誌》主編。

圖書目錄


第1章操作風險不僅僅是“其他”風險
第2章操作風險:定義、分類及其在其他風險中的地位
第3章新巴塞爾資本協議
第4章操作風險建模中所面臨的主要挑戰
第5章頻率分佈
第6章損失分佈
第7章α-穩定分佈
第8章極值理論
第9章截尾分佈
第10章擬合優度檢驗
第11章在險價值
第12章穩健性建模
第13章模型相關性
後記
……