四、银行业操作风险管理的政策建议
操作风险是银行系统风险的一部分,为了有效管理,有必要进行系统思考。
(一)加强操作风险管理基础建设
我国银行业在整体风险管理方面与国际大银行尚存在不小差距,主要表现在董事会的独立性及运作效能。风险管理规范性、专业性及有效性等方面,因此在借鉴国际经验的过程中,有必要从基础管理抓起,一是加强制度建设;二是加强风险管理环境建设。
1、操作风险管理制度是提高管理水平之本
(1)确立行业操作风险管理目标。目前应以合规性为基本目标,逐步向全面规范过渡。把操作风险管理与不良贷款“双降”指标、案件专项治理和整体风险防范能力相结合,将操作风险管理与内控建设相结合。
(2)应在《商业银行合规风险管理指引》和“十三条”的基础上,制定操作风险管理指引。
(3)建立操作风险管理流程。其基本内容是定义操作风险、建立评估标准和方法、基本管控措施及评价体系。
(4)研究国际银行操作风险管理制度,与我国实际相结合。一是健全操作风险管理组织,设立独立的操作风险管理部门,风险管理委员会中应有操作风险管理部门;二是集中化管理操作风险,在总行设立独立风险控制和稽核手段管理操作风险;三是确定适合我国实际的风险管理方法和工具。就自我风险评估、损失事件登记和关键风险指标等方法而言,自上而下的监控与管理更为有效,关键指标法易行。目前实行自我风险评估法的条件尚不成熟。我国近代山西钱庄实际上积累了丰富的管理操作风险的经验,如通过藏头诗作为汇款密码,注重对员工人品考察等,我们应研究之,可能更具有价值。
2、操作风险管理环境建设刻不容缓
要在改革中提高我国银行业的稳定性,发挥“上市”的最大作用,操作风险管理的环境建设必不可少。
(1)加强操作风险管理研究。建议组建专门的操作风险研究机构,可分两个层面:一是银行内部或协会内部的;二是社会的,包括学校、企业等社会力量。除了研究操作风险本身,还应研究社会和心理因素对操作风险及管理的影响。风险研究是培育风险管理文化和提高风险管理能力的重要基础。
(2)培育和发展风险管理文化。要从思想上重视操作风险的管理,就要从高层做起,建立有效的激励约束机制,完善基于诚信的内部控制文化,提高全员的操作风险意识和职业操守。
(3)加强操作风险管理的培训。将操作风险的理念、基本知识和技能、政策体系、制度规范及监控指标传达到各级员工。
(4)制定明确的操作风险管理政策,便于理解和正确执行。政策制定既要切合实际,也要与全员进行充分沟通。如果只是职能部门清楚,而其他部门和员工不知,不利于风险的管理。
(5)所有岗位职责应明确操作风险管理的内容及每个岗位承担的责任和义务,并纳入绩效考核。
(6)建设与操作风险管理配套的信息系统。逐步收集操作风险数据,实现连续、实时地监控和评估银行总体操作风险,确保总体风险水平在董事会确定的可接受的范围内,便于董事会、监事会和高管层有效评估全行的操作风险。
(7)建立操作风险管理应急预案。成立领导小组,根据操作风险的不同性质和严重程度,制定相应处理紧急事故的程序,配置可支配的资源,做好应急演练工作,用危机管理的理念和方法将影响和损失降至最低。分类管理和分级指导是完善预案之法。可将操作风险分为高度关注、中度关注和一般关注等不同级别,采取不同的措施。
(8)关注、积极参与全球化时代操作风险管理的多边合作与国际合作交流活动。风险无国界,需要国际化的治理。通过参与,一方面可构建完整的管理体系,另一方而,可借鉴国际银行界研究和管理操作风险的理论、方法和实践,同时可以建立和实施国际操作风险信息共享系统,为识别和管理操作风险奠定数理基础。
(9)风险管理立法,包括操作风险。《关于加大防范操作风险工作力度的通知》和《商业银行合规风险管理指引》不足以更加有效、规范和系统地管理操作风险,通过立法,确保操作风险治理的综合性、计划性、制度化和法制化。
(二)银行操作风险的保险化管理
鉴于操作风险的特殊性和复杂性,单凭银行自身的管理不足以解决所有问题,需要利用人类在长期风险管理中积累的财富——保险制度,并与非保险管理手段相结合。这种管理需要监管层的推动,并从政策上给予支持,如操作风险保险产品的开发需要银行、保险经纪公司的共同努力等。
1、保险化管理的基本含义
操作风险的保险化管理是指用保险的理念和方法来系统地管理风险,将风险分为可保风险和不可保风险,适用不同的但又相互联系的减轻、转移和自留等方法,并实行动态管理。
传统保险是市场经济的产物,但今天,更需要用干预的手段来促进银行与保险的结合。它不是由政府提供保险,而是像《巴塞尔协议》一样,提出明确的要求。资本协议的目的是要保护消费者的利益和社会的安全,通过强制要求以坚定人们对金融制度的信心。既有经济意义,更有政治意义。因此,操作风险的保险化管理,不是从保险公司的保费利益或者银行的中间收入出发,单纯地增加保险规模;不是简单地通过与保险公司合作或者利用保险产品来解决问题,而是在管理操作风险的过程中,内化保险思想。其内涵是:操作风险需要管理、需要分类管理、需要内外结合地管理;保险是一种研究和管理操作风险的机制和手段,作为防范操作风险的第三支柱,而不是一种支出或者中间收入。
因此,银行操作风险保险化管理的内容足树立保险思想,识别可保风险、积累保险风险数据、创新操作风险保险产品、设计操作风险保险合同、构造保险管理模式和加强风险管控,最终与银行自身管理系统相融合。
2、操作风险的保险管理模式
(1)应确定保险化管理操作风险的基本内容。
①保险地位:保险是操作风险管理的一部分,其与非保险管理的关系见图2。确定保险的地位,实际上是对操作风险管理理念和组织架构的改革和调整。
从图2可见,保险的理念和方法已经融人操作风险的管理流程中。由于保险是为别人承担风险的,因此对风险的认知往往趋于保守,特别是数据不足或者赔付率较高时。这种理念对操作风险是恰当的。要科学地承担风险,就需要运用大数法则,需要从行业的角度,开始积累风险和损失数据。为了管理风险,还需要对风险进行评估和分类(图中将操作风险分为可规避的、可降低的、可转移的和须承担的),辩证处理,综合治理。这实际上是保险的风险评估、分类管理和综合治理等方法的运用。这样保险流程可分为六个步骤:第一,确定可转移的操作风险、保险利益和保险成本;第二,风险评估和风险交流,让双方更清楚地了解要保的风险;第三,设计保险方案和选择、创新保险产品;第叫,保险采购;第五,保险合约管理;第六,索赔管理。
②保险策略:对操作风险,可采取不同的手段,如自留、自保、保险、证券化等。其基本原则是根据损失程度的大小和频率高低确定不同的测量,如表6所示。
③主动保险:面对复杂的操作风险,是简单的向保险市场购买保险,还是进行主动的策划和设计,创造适合自身的保险产品。
(2)创新保险产品要渐进而行。国外保险市场可为操作风险提供责任保险、雇员忠诚保险、未经授权交易保险和计算机犯罪保险等。根据瑞士再保险公司提供的资料,可汇总如表7所示。其中雇员忠诚保险(Blanket Bonds)涵盖了欺诈行为、暴力犯罪和难以解释的失踪等风险,还包括伪造或调换支票、票据、债券、印制假钞等操作风险。未经授权交易和计算机犯罪保险则对电子和电脑犯罪等新型欺诈风险提供保障,如通过银行的电脑、欺诈性数据输入或损毁或调换电脑软件进行不正当转移资金和财产、输入病毒干扰银行的电子通讯和传输、修改银行在央行的电子账户、通过声讯系统发出欺诈性指令等风险,还保障未经授权的内部员工以银行名义进行交易所造成的损失。
目前难以用“银行操作风险保险”来一揽子转移所有的或者部分的操作风险,它需要一定的数理基础、对风险内在关联性的认知及保险公司承保能力的增强等条件的支持。这种保险不是几个险种的组合或排列,而是从银行操作风险出发,能够综合地界定责任和定价。因此,操作风险的保险应分步骤地进行,先进行风险和保险的分类,如财产险、计算机和网络保险、责任保险等;再逐步地融合,如将财产险与计算机和网络保险先融合,后加上营业中断险等,最终实现险种“一统化”。
未来操作风险的保险产品结构仍然会遵循传统做法,可能分九部分:保险责任;除外责任;特别约定;保证;信息披露和告知;义务;再保险和共保;赔偿约定;风险管控等。其中信息披露与《巴塞尔协议》中对操作风险披露要求一致。再保险和共保是因为操作风险不全是传统的财产风险或责任风险,需要创新产品,需要再保支持或通过共保分散风险和弥补数据不足的缺陷。以往的赔偿处理是保险公司对银行的要求或规定,现代保险应体现双方的意志,需要对赔偿标准、方式进行事先的约定,以减少争议和冲突。
表7 操作风险保险产品一览
从产品创新主体而言,保险经纪公司和再保险公司会成为重要的力量。无论是国外的实践,还是经纪人对银行需求的更好了解,都会推动产品的创新。如前文提及的AON、瑞士再保险公司等为银行操作风险设计的保险产品。
3、保险化管理的必要性
(1)防范系统性危机的需要。美国著名经济学家凡勃伦在《商业周期理论》和《所有者缺位》中首次提出了金融体系的内在不稳定性假说。由于信用本身和贷款人的内在特性,往往使银行这个金融中介不由自主地跟随着经济周期的波动而波动,陷入“囚徒困境”。无论是挤兑行为带来的银行本身的内在脆弱性,还是在信息不对称下的银行资产质量的趋降性,或者资产价格的波动性和银行的系统传染性,都使银行本身存在着系统性的危机。虽然在政府的干预和调节下,这种系统危机不易发生,但问题没有解决,实际代价是有的。对系统性危机的管理,要建立系统管理银行风险的理论,包括保险的方法。
(2)《新巴塞尔协议》的需要。《新巴塞尔协议》对操作风险的管理促使人们达成这样的共识:保险有助于减轻银行操作风险资本的压力。监管当局鼓励银行谨慎地通过保险来转移部分操作风险。单纯的银行业的操作风险管理具有一定的局限性。
①银行操作风险的驱动因素。在信息技术、全球化、竞争加剧和混业经营的“多核”驱动下,操作风险变化具有动态性和复杂性。其驱动因素可能包括新产品、产品的复杂性、新销售渠道、新市场、新技术、复杂性(信息技术、交互依存和数据结构)、电子商务、新法规、全球化、股东压力、监管压力、并购、员工流动、员工和客户文化差异、技术诀窍的加速老化、保险公司和资本市场等。管理先要弄清楚风险因素,如果风险的因素在不断变化,则管理也要动态地调整。
②银行操作风险管理的挑战。最大的挑战莫过于操作风险认识不对、不当和数据的不全、不真。
对银行操作风险的认识,是伴随着银行业的损失案例和《巴塞尔协议》的要求逐步加深的。我国由于历史、文化和体制原因,对操作风险的认知存在许多话区和缺陷,要转变这种认识,不能仅从损失发生后的教训中获得,需要外部的协助。
在风险数据方面,无论是方法论还是数据使用上均存在不少问题,如数据的可获性、许多风险无法量化、数据质量和时问上的连续性、相关性、完整性、不同风险的诱因不同、数据的透明度、数据语言的一致性、数据的采集和维护成本高、数据与判断的结合等。
③银行操作风险管理方法局限性。操作风险管理的模型化,本身就有风险和局限性。加之许多风险难以量化,无论分析模型还是管理模型均受到一定的限制。《巴塞尔协议》要求为操作风险提取资本,且规定采用标准法计算操作风险资本必须达到一定的标准,但不是所有的银行都可以这样做,因为标准化具有一定的风险敏感度,不同国家和不同银行之间的差别较大。巴塞尔银行监管委员会所作的量化冲击研究表明,十国集团国家银行采用简单法(基本指标法和标准法)计算操作风险所需要的资本大体符合占现行最低监管资本12%的目标,但是总收入和贷款利息收入所产生的信用风险之间的联系,有风险重复计算的现象。
(三)银行操作风险的系统管理
操作风险管理有其独立性,如有专门的队伍、训练有素的人员和一套流程,包括建模、监测和报告等。但对其管理,决不应看作是一个部门的事,而是银行上上下下的事,所有部门的事,是每一天、每一件工作都离不开的事。要不然,就不是操作风险了,因为它本身就是系统的产物。
1、跨行业沟通机制
操作风险可以部分地通过保险解决,保险业和银行业的沟通就非常重要。集合产学研和政府的力量,系统地认知和解决操作风险,使“后发’’可转化为优势,提高解决风险的效率。跨行业沟通作为一种机制,需要确定共同的目标,确定相菇的部门,设计一系列的沟通活动(包括会谈、研讨等,应成系列,不能半途而废;要准备充分,先研究,再讨论,不应仓促上阵,为研讨而研讨),作为监管、经营和教育的。种日常上作,必要时,与国外同行进行充分的交流。
2、操作风险管理制度创新
从大学的课程设置到银行的管理框架和制度,均应体现操作风险管理,应鼓励开发操作风险的保险产品,允许保险经纪公司参与开发甚至主导开发,以提高管理操作风险的实践水平和研发能力,发挥制度安排的力量。我们研究国外银行的实践,体会到这样一个事实:银行是管理操作风险的主力军,制度是管理操作风险的保障,实践是创新制度的源泉。
3、加强例外操作风险管理
银行在管理其操作风险的时候,应对风险进行分类,如名义风险、常态风险和例外风险,三者不同。
名义风险属于全面质量管理的领域,在制造业和金融业更为成熟。可理解为重复性风险,及损失平均每周发生一次或更频繁,如结算风险、小的外部欺诈(国外统计表明每隔8秒就有一张信用卡丢失)以及交易中人为失误等。在优化操作风险管理方面,名义风险要考虑,但其损失是微不足道的,或者从保险角度看,是完全可以白留的。但对银行业而言,这种体现质量管理的风险观,是非常重要的。
常态操作风险是指发生频率较低(每周一次或较长时间一次),损失较大但无严重后果之虞。
例外操作风险是指发生可能性较小、但会对银行产生致命威胁的风险。表8的案例可以归于此类风险。
表8 例外风险示例
例外风险的一个例子是电子银行和网络银行所面临的黑客、病毒和克隆风险。研究遭受病毒攻击的概率、攻击的净现值等量化指标,有利于通过保险进行转移。
江泰保险经纪有限公司
|
