银行的风险管理传统上是指信贷风险或市场风险,事实上这两种风险管理在大部分银行中已经十分成熟,但在操作风险管理(ORM,Operation RiskManagement)方面,由于很多银行对其认识程度不够,因此,银行在 ORM 方面的投资很小,而且没有与成本资金的分配挂钩,操作风险管理的发展仍然较为落后。摩根大通银行自1993年开始在操作风险控制管理方面做了不断的探索,形成了一套较为完善的操作风险管理体系,值得我行借鉴。
一、 摩根大通银行操作风险管理
操作风险管理是摩根大通银行风险监控管理的重要组成部分,全行风险业务经理们通过全面的内控系统对操作风险进行有效管理,操作部门制定长期计划,开发新的、综合性的管理体系,不断提高对操作风险的管理和分析水平。
(一)摩根大通银行操作风险管理措施的主要内容1.建立监控管理体制摩根大通银行为了对操作风险进行有效管理,在1996 年,其管理阶层就针对其内部薄弱环节制定了一个“控制方案”,这个方案中的其中一项措施就是推行一个操作控制自我评估程序(简称CSA)。不同部门的负责人组成有关的项目管理小组,由管理高层组成的监管委员会负责监控项目实施的情况,监管委员会负责制定监管政策、监管条款、审批CSA架构、评估操作风险及监督操作控制自我评估程序开展情况。CSA是摩根大通银行在操作风险管理方面取得成功的“最佳方案”。2.自我风险评估体制按照巴塞尔协议要求,自我风险评估是操作风险控制的一个重要程序,各银行应根据业务状况实行自我评估,并着重根据业务特点分析主要风险及管理办法。摩根大通银行为将自我风险评估工作有效推广,公司高级管理层对整个公司说明 CSA 的重要性以及在操作风险控制方面的有效性,并成立专门小组对公司全体员工实施 CSA 培训计划、推行电子化解决方案、确定需要对董事会及不同管理层提供的报告、图表及评估工作种类。经过几年制度化、规范化的实施CSA 计划,操作风险管理已初见成效。3.风险警报系统除使用Horizon自动风险评估系统对操作风险进行管理外,摩根大通银行还在业务处理环节设立风险点,如:未经授权的交易、洗钱、内部和外部欺诈等等和操作错误或系统故障方面,使用风险警报系统对内部数据信息进行收集与分析,并与可收集到的外部数据信息进行比较分析,及时发现风险点,避免因为不完善或失效的程序或系统、人为因素及外部原因而导致损失的风险。4.遵循银行内部审计体制摩根大通银行在操作风险管理方面不但注重制度执行者及业务操作者的自我评估、系统风险预警等方面,还不断完善内部审计体制,定期不定期地由稽核监督部门对业务部门操作风险控制情况,制度执行情况,自我评估程序的有效性进行检查。稽核部门主要依据Horizon中的评估设定,决定其需稽核内容。由此形成一个事先风险评估、事后稽核监督、共同执行同一风险控制指标体系的风险管理框架的三角形方针,三角形方针把三个独立的操作风险程序合一,成为一个周密的风险管理架构。
(二)摩根大通银行资金分配方法摩根大通银行使用Horizon风险管理工具,按照风险评估指标,根据损失事件自我评估及稽核的综合数据,为每个业务部门提供“操作风险评分”,判断被评估机构风险程度,并以金融同业为参考,自上而下结合操作风险和业务风险分配成本资金。对风险较大的机构,收回部分资本金,储备上级行,并收取储备费用。
(三)关于HorizonHorizon是摩根大通银行操作风险管理工作中一个重要工具,它基于网络提供风险管理解决方案,它透过一个创新的方针使操作风险管理具有较强的计划性及系统性。它为管理层提供所需的工具及信息,协助他们了解企业管理风险工作的效率,强化风险管理的技巧。
(四)Horizon所具有的功能1. 自我评估功能模块(S e l f -Assessment)——量化操作流程。在Horizon中摩根大通银行依照规范的业务操作流程及制度规定,按照业务种类,将操作流程及制度进行分解、量化,设定成各项风险指标。机构进行操作风险自我评估后,系统将记录过去及现在的业务风险点,并将信息传输给在全球任何位置的企业管理者。——方便自我评估。该系统可显示各项业务处理的操作风险、操作流程、控制过程,使自我评估过程公开化,帮助风险经理辨别需要从何处规范操作流程、提高生产力、制定改革传统流程的计划。——可作为培训资料。该系统不但能进行操作风险自我评估,还可作为各项业务流程及制度的培训材料,使业务人员在自评中不但规范了行为、完成自评,还学习到了规范的业务流程。——稽核功能。稽核人员使用该功能对机构进行稽核,并通过机构的自我评估数据及稽核情况得到一个认可的稽核结果,提供该机构完整的风险全貌。稽核模块较接近于自我评估模块,因此较容易完成稽核工作。——记录风险损失事件功能。在该模块中可将历史上因操作而导致的风险事件逐笔记录在案,便于掌握风险、分析风险。2.报告模块该系统对自我评估或稽核的数据进行加工处理,产生自我评估、稽核或两者综合之后的报告及图表,提供给各级使用者,特别是能使董事会及时了解风险情况。系统能迅速提供许多有价值的信息。3.管理模块该系统提供对自我评估标准全面管理功能,可以由有权人对其操作,将评估标准进行升级、替换,可根据使用者的需要进行个性化的调整,方便管理。4.提供高效的监控及清晰的责任承担Horizon还提供了完善的监控功能。自我评估者在评估中,如果一个控制程序不被全面遵从,他将采取制定行动计划或者接受风险,Horizon为这个处理提供改进行动计划的拥有权和风险管理,监控程序会将有关信息通过电子邮件发送行动计划负责人或风险接受人,监督其行动计划的实施或风险的存在警示。
(五)Horizon对操作风险管理的贡献1.规范操作行为。Horizon通过自我评估,将操作风险的控制提到了事前,在风险发生前,先规范操作行为,同时加上事后的稽核功能,为银行防范操作风险提供了一道严密的屏障。2.及时掌握风险。通过自我评估,系统将其评估结果提交到上一级部门,使上一级部门能掌握下一级部门风险控制情况。3.全面展现风险。Horizon系统设计的重点在于企业各项交易,以及它们与风险、次级风险、加权控制程序及评估等级的关系,提供这些重点来判断一个企业面对风险程度,全面展现企业的风险。4.监督风险行动。Horizon通过电子邮件、备忘通知及进度提供工作流程,使用户追踪行动计划的进程。各级管理部门利用这一工具可以监督下一级部门改正行动的进度直至规范管理为止,或者将事件、评估及接受风险报表提交管理阶层。5.培训效果较好。Horizon不但是一个自我评估及稽核的系统,还是一个全员培训的系统,风险管理委员会定期在系统中追加新的业务处理流程,全球用户能够及时进行学习培训,降低了培训费用。6.稽核效率提高。由于在事前不断使用Horizon进行有效的自我评估,其上级管理部门对其存在问题不断地跟踪改进,规范了各行操作行为。加之Horizon系统储备了被稽核部门各阶段风险点档案,因此,稽核部门在各行工作时间大大缩短。
二、对我行操作风险控制管理的启示
(一)建立操作风险管理委员会操作风险管理是当今银行业风险管理的重要组成部分,我行应按照巴塞尔委员会的建议,由各级高层管理人员组成操作风险管理委员会,制定操作风险管理政策,负责审定 ORM 目标计划及定期研究 ORM 的策略,组织 ORM计划实施,推崇风险管理文化,建立自我评估、风险评判及稽核体系,对全行操作风险进行有效管理。在各级网点设立风险经理,负责网点操作风险控制的具体管理,进行网点风险自我评估,组织网点对评估中或内、外部检查中发现的问题进行纠正。
(二)推崇风险管理文化在以往的管理当中,我们推崇的是“避免出错文化”,认为错误是可以免除的,任何程度的错误都是不可接受的,而风险管理文化则重点强调的是风险管理、而非消除风险。也就是说,只要是有业务处理,就会有错误发生,对于错误所引发的风险我们应正视,应对其进行认真分析,并将风险管理制度化,将该项工作进行规范管理,并允许业务处理部门有一个合理水平的错误。
(三)建立操作风险管理架构根据我行的实际情况,为保证操作风险的有效管理,应建立事前自我风险评估、事后稽核监督、共同执行同一风险控制指标体系的风险管理框架。监管作用能否有效地、科学地发挥,很大程度上还要依赖于业务部门与监控部门之间的协作关系。——建立风险自我评估体系自我评估计划的主要目标是鼓励各级机构承担责任及主动对操作风险进行管理。其主要策略是改变企业文化,把风险管理纳入那些具备判断控制能力员工的业务体系内,制定与业务策略目标配套的评估机制,将制度的被动执行转变为主动查错与纠错,建立良好的操作风险管理氛围,确保自我评估的准确性及一致性,确保有关程序的持续性及高效率性,在企业追求盈利时取得恰到好处的平衡点。——设立全行统一的主要风险指标为实现风险自我评估,建立主要风险指标是关键。风险管理委员会应分别各业务类型,将操作流程及制度办法转换为风险指标,建立全行统一的风险指标体系。该风险指标体系由风险管理委员会统一维护、定期更新,全行的员工均能实时读阅、学习、不断进行操作流程正确与否,是否违反制度的自我评估。——建立稽核监督机制操作风险的管理不但要强调执行制度主体的主动性,还需不断完善内部审计体制,定期不定期的由稽核监督部门对业务部门操作风险控制情况,制度执行情况,自我评估程序的有效性进行检查。稽核部门应主要依据全行统一的风险指标,决定其需稽核内容。
(四)确保操作风险管理的有效性——提高风险评估的透明度风险管理文化强调的是正视风险,在推行操作风险管理的过程中应倡导建立高透明度的沟通环境,使柜员、上级主管部门、行领导、稽核部门都有较好的交流渠道。而对自我评估出的问题,应分析是操作流程错误,还是业务处理过程中的疏忽,对有疑问的问题,可以定期组织讨论,直至解决为止。在这个过程中应建立有关规章制度,鼓励风险披露,惩罚企图掩盖风险的行为。对主动暴露问题的机构应采取肯定的态度,而对隐瞒问题的机构,若事后稽核发现后,将采取严厉的惩罚措施。现代科学技术为风险评估的透明度提供了技术手段,我行可以在内部网络上开展自我评估行动。——采取追踪行动计划存在问题暴露之后,风险管理委员会应制定跟踪计划,积极了解问题纠正情况,在存在问题的机构纠错前,不断地通过邮件或系统向其发送“纠错报告”,强迫要求尽快改正,错误未纠正一天,“纠错报告”将发送到规范行为为止。追踪行动计划是确保操作风险管理有效进行的一个主要方面,也是风险管理委员会的一项主要工作职责。——实行风险成本资金分配办法在风险评估指标体系中事先设定的风险指标,是衡量各机构风险程度的标准,依据指标、自我评估报告及稽核报告,将综合产生一个网点风险的高、中、低程度报告,同时可生成“受风险影响资本”报表。有了这一数据,我们就可将操作风险与成本资金挂钩,实行依照不同的风险管理表现分配不同的资金作为成本。这一办法不但可减少操作风险资金损失,还可提高各级机构负责人对操作风险资本的认识,提高对操作风险的管理水平。
5.使用Horizon系统进行操作风险管理Horizon系统在全球摩根大通银行已拥有 8000 名用户,每年进行 12000个自我评估,1000 个项目的稽核,其客户还有全球包括世界银行、美国联邦储备银行、香港金融监管局和众多商业银行、投资公司、保险公司及能源公司,并通过摩根大通银行及安永公司分销。我行可使用其核心软件,建立工商银行的操作风险管理系统,在全行对操作风险开展制度化、规范化的管理,搭建工商银行严密的操作风险管理构架。Horizon可帮助我们解决以下问题:(1)建立风险评估标准体系。将我行的操作流程进行量化,建立全行统一的操作风险评估标准体系,供各业务部门及稽核部门共同使用。(2)建立自我评估系统。按照风险评估标准,建立风险自我评估系统,在全行进行定期的操作风险自我评估,规范操作行为,将操作风险控制在事前。(3)建立稽核监督系统。基于风险自我评估系统,按照统一的风险评估标准,建立稽核监督系统,供稽核部门不定期的对各机构进行稽核监督。(4)建立行动监督系统。设置电子邮件功能,把解决风险行动计划提示发送给行动计划负责人,或者把事件、评估及风险接受报表提交给管理阶层。