操作风险 在过去几年,美联储不断提高对操作风险的重视。对于在非金融机构工作的人,相对信用风险和利率风险的而言,企业最大的风险可能就是操作风险。银行从这些实践中学习到很多经验。现在,操作风险对银行家越来越重要,主要因为他们可以通过买卖贷款、利用金融衍生品、以及有效的模型来规避和管理利率和信用风险。此外,增长最快的收入越来越多地来源于交易处理、服务账户和买卖复杂的金融产品。为成功完成交易,银行必须具有复杂的系统。
银行还应运用先进的模型来估计和管理信用风险和市场风险暴露。随着越来越多地运用复杂的模型,银行需要更强的全面风险管理。模型的操作设计和数据真实性方面的缺陷可能给银行带来重大损失。那么,有效的全面风险管理要求金融机构使用更加专业化的员工来识别系统需求、监控系统的有效性以及恰当地解释模型分析的结果。
从对银行的检查中,我们掌握很多操作风险的知识。比如,在对操作风险的日常检查中,我们审查银行政策、流程和内控制度的充分性,包括对风险较高业务的日常控制的测试。经验告诉我们,操作控制方面存在的普遍问题值得关注。
在电汇和类似业务中,如果不能有效降低操作风险,银行可能因未经授权而进行的资金调拨而遭受重大的财务和声誉损失。我们常常建议银行(
(1)针对电子交易,建立合理的批准和授权要求,保证相应的管理层知道交易情况,并培养更强的责任感;
(2)针对客户电子转帐要求,建立电话回访程序、密码、资金交易协议和其他确认交易的控制程序;
(3)增强对交易真实性的控制,因为这个领域也特别容易受到外部欺诈的影响。
贷款管理是银行可能遭受重大财务损失的另一个领域,由于不当的责任分离或缺乏双重控制。银行还可能因为没有有效减少操作风险因素而遭受声誉损失。在这类检查中通常做以下建议,也适用于一般企业(1)确保信贷人员不做贷款的会计记账和管理工作;(2)限制员工进入与其职责无关的信贷系统电脑设备;(3)为业务员工提供一致的指引,以政策和流程的形式,指导如何识别和处理非正常交易。
重新报送财务报表引发的操作风险
有时会迅速出现意外的风险。比如,各行业的财务报表质量的变化。2005年,有大约1200家上市公司的财务报表重新报送,比2004年多出一倍。GAAP会计准则较复杂,审计师和监管机构(主要是证券和交易委员会)对会计准则的解释更严格,是导致重新报送的两大主要因素。
重大的重新报送内容包括美国金融会计标准委员会衍生会计准则下对套期和租赁会计的问题。重新报送套期会计一般是由于银行错误使用"快捷"法。有问题银行没有达到使用"快捷"法的所有标准,而"快捷"法允许采用套期会计法处理。
至于租赁会计法的问题,大多数公司只是没有遵守长期存在的会计标准,涉及收入确认、准备金、利息收入、或有费用和剩余资产帐。他们认为重新报送前的会计报告是正确的。事实上,这些公司以前使用的审计师事务所现在都向上市公司会计监督委员会(PCAOB)登记。PCAOB的检查,包括对登记的事务所进行详细审查,可能是导致重新报送数量上升的一个原因。
在2002年萨宾斯-奥克斯利法案第404条要求每家上市公司的年报包括管理层报告,说明对财务报告的内部控制。银行在重新审计之后,2004年报告期内的内控重大缺陷的数量从最初的37个上升到52个,这表明会计处理过程中存在大量的操作风险。
通常,检查人员按照萨班斯-奥克斯利法案第404条规定的程序,判断银行是否完全理解审计委员会、管理层、内部审计、外部审计的作用,是否实施了有效方案以达到第 404条规定的目标和要求,是否针对重大缺陷和不足制定有效的跟进策略。在可能的情况下,检查人员可在全面评估银行的全面风险管理和控制程序,以及界定有效监管的风险范围时,利用第404条检查的结果。
信息安全 几乎每周的新闻头条都有非公开的客户信息受到网络攻击和安全破坏的消息。金融机构为此遭受了上亿美元的直接损失,声誉也受到严重影响。盗取身份给客户带来的损失也相当可观。随着银行越来越多地利用互联网与客户、商业伙伴和服务商进行互动,把互联网作为交流和支付的渠道,对于这方面的关注也越来越多,要求银行使用更加复杂的控制系统,比如全面防火墙防护系统、多重认证系统、虚拟私人网络连接系统等。
许多众所周知的信息安全漏洞,导致银行外部的人士接触到客户信息,与此同时,机构还面临内部人士违规或滥用信息而产生的风险。我们在检查中发现,内控不严造成经营损失,追根求源是因为对内部人士进入与电子资金调拨网络连接的信息科技系统的控制不严造成的。进一步的调查发现,内部人士接触到会计和相关系统直接决定了欺诈及损失的持续程度和大小。
我们可以得出几个教训:第一,银行应严格控制人员登陆资金调拨系统,并确保系统登陆的设置能强化职责分离、双人控制和管理层最后把关。第二,应限制高级管理人员经常进入业务系统,特别是资金调拨系统。当这类限制手段不可行时,必须有效进行其它控制。最后,有效的信息安全全面风险管理,即使只集中在一个部门,要求全面评价相关风险。
共同基金 众所周知,共同基金公司的延迟交易和择时交易行为以及相关调查,已经波及许多行业,包括银行、证券和保险公司。这类内控违规招致处罚、财务损失及对公司声誉和特许权价值的不利影响。
下面强调几点从共同基金内控违规案件调查中得到的经验。其中,最显而易见的一点,就是要严格地评估需要进行特殊处理的非正常客户关系。如果对某单一客户的赔偿占总赔偿额的较高比例,必须立即引起警惕。银行还应建立一套程序,在开始建立客户关系时,审查和批准个别产品、客户和服务。此外,最好对历史上被认为是"低风险"的领域进行验证。某项业务较少发生损失,但在评估风险时,不能作为唯一的考虑因素。
最后,如果激励员工销售的薪酬制度不包括对员工内控违规的足够监控,则可能造成员工利益和公司利益的矛盾。当公司逐渐从固定工资制度转向以激励为基础的制度,把人事部门纳入有效的整体全面风险管理体系是很重要的,要考虑薪酬变化给公司风险带来的影响。
信用衍生品 银行用全面风险管理的观念来设计和建立新业务是很重要的。去年监管当局和信用衍生品交易商进行了一场对话,目的在于鼓励业界努力解决信用违约交换协议的操作方面的问题。虽然我们认为这些新金融工具能有效改变和减小信用风险,但业界进行的一项研究(《交易对手全面风险管理政策小组报告》)发现,对这些金融工具进行销售和风险监控的支持系统存在重大缺陷。该报告提出了47个建议,美国和其他国家的监管当局则重点关注两个重要缺陷。
一个重大缺陷关系到产品是否成功。
交易量增长迅速,以至于代理交易人无法用现有系统记录交易,导致大量的信用衍生品场外交易得不到及时确认。有关交易数量、条件和交易对手的信息能否全部输入全面风险管理系统。在压力环境下,需要迅速调整头寸以降低风险时,这个问题将更加严重。
另一个缺陷有关缺乏强制执行合同条款的原则。
在进行场外交易时了解交易对手是相当重要的。因为交易双方不是通过交易所,而是直接向对方支付款项,完成合同条款。市场惯例是通过抵押物或定价来降低对方违约的风险。最近,业界的研究还发现,由于竞争压力太大,经纪人不再坚持履行标准的信用违约交换协议,且允许交易对手在不告知经纪人的情况下把交易转给第三方。很明显,这将大大改变一笔交易的风险状况,还很难保证及时进行清算。
最近,一些主要商业银行重申将努力提高基础设施,支持信用衍生品市场的承诺。他们将制定并实施一套可以在业界广泛使用的指引,包括把各市场参与者的交易确认问题降低到一定程度,保证强制履行合同条款。除此之外,这14家市场参与者将合作建立一个电子化市场,所有交易均可在一个行业统一的平台上进行,为那些不能通过电子手段确认的交易设立一套新的处理标准,以及建立新的清算流程。
总的来说,我们对业界自查问题并做出改善市场的承诺感到满意。但信用违约互换交易的问题使风险经理面临更大的挑战,市场压力迫使银行的各级管理人员不愿对其主管的业务进行适当的控制。对于新业务,有时全面风险管理必须与企业外的竞争者配合,共同支持公用系统的发展和标准,以降低风险。
全面风险管理总结
美联储认为所有的银行都需要良好的全面风险管理,有助于设定整体目标、灌输企业文化、保证对主要的业务和风险经常进行监控。高级管理层必须参与全面风险管理,因为他们决定银行承受风险的水平和类型,以及采取哪些控制和降低风险的办法把风险暴露维持在既定的水平。
最近更新