近年来,因操作风险导致的重大案件时有发生,给商业银行造成一定资产损失和声誉影响。监管机构也在逐步加大对商业银行操作风险管理的监管力度。商业银行应建立有效的操作风险管理体系和机制,全面提高操作风险管理能力。下面,笔者对商业银行操作风险管理原则、分类、面临的操作风险、职责分工、有效管理谈谈看法。
操作风险管理的原则 操作风险是由于不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。操作风险管理遵循的主要原则应包括:一是全面性原则。操作风险管理涉及全行所有部门和岗位人员。操作风险管理理念、政策体系、制度规范以及监控目标传达到各级员工。二是预防性原则。风险管理的重要原则之一是事前管理。根据自身或其他商业银行已发生的各类操作风险或案件,防范相同或类似的操作风险再次发生。三是独立性原则。风险管理部门与其他部门之间职责清晰、分工明确,能够及时、准确获得相关风险事件与各类检查结果。四是专业性原则。操作风险管理人员应具备相关的专业知识和技能,充分了解和掌握本行承担的各类操作风险,排查操作风险管理重点。五是成本与收益匹配原则。操作风险管理措施应与本行业务规模、复杂程度和特点相适应,以合理的成本实现操作风险管理目标。六是责任追究原则。严格按照制度规定对违法违规的责任人进行问责。
操作风险分类 (一)人员因素导致的操作风险
员工违法违规操作、工作疏忽、操作失误或员工自身能力与岗位任职要求不符给商业银行造成的损失。包括:
一是员工欺诈犯罪:内外勾结作案;参与洗钱;挪用客户资金;蓄意破坏商业银行声誉;偷窃或利用工作之便盗用商业银行实物资产;窃取、盗用或泄露商业银行商业机密;泄露或出卖商业银行重要客户资料信息;以权谋私,挪用或侵吞公款;恶意损坏商业银行资产;收受贿赂和回扣。二是员工越权或隐瞒行为:员工超越权限办理业务或滥用授权;编造虚假财务信息;与未经授权的客户进行业务往来。三是员工操作失误:计算机系统操作失误;遗漏、缩减和增加业务操作流程;会计记录或交割发生失误。四是违反劳动合同:劳动合同解除与终止出现纠纷;由于合同管理问题支付额外经济补偿;违反劳动约定造成赔偿、经济补偿金、违约损失。五是人员配置:人员配备不足岗位编制;员工业务能力与岗位需求不一致;关键岗位人员流失。
(二)内部程序因素导致的操作风险
因业务流程、规章制度不健全完善,导致操作或执行困难,出现风险控制盲区,从而给商业银行造成的损失。包括:
一是制度风险:规章制度缺乏有效性、充分性、合规性与适宜性,未及时进行制度修订;规章制度滞后于新业务或新产品办理。二是文件或合同标准文本风险:文件残缺;合同标准文本条款残缺或对商业银行不利;合同标准文本中空白条款填写不完善或不正确。三是内部或外部报告风险:会计记录错误或数据缺乏;经营管理等各类报告内容不充分、不准确。四是产品风险:产品选择不当;产品设计不当;未经银监会批准向市场推出高风险产品。五是文件传递风险:规章制度或通知没有及时传达到基层员工。六是职责设定风险:人员编制设置与实际业务需求不匹配;岗位职责不清、分工不明确、关键岗位未实现职责分离。
(三)IT系统及技术因素导致的操作风险
由于IT技术或技术应用环境失灵造成系统中断,或因系统数据操作风险管理(风控网)影响业务正常运行,从而给商业银行造成的损失。包括:
一是科技投资风险:某一业务的IT体系不适应商业银行发展需要;IT系统的引入与业务需求的关系无法明确解释或与现有系统不兼容;硬件老化;软件更新不及时。二是系统开发和执行风险:程序设计错误;无法将现有系统进行整合;系统功能设置与业务需求不符;系统设计存在缺陷;业务操作流程和软件开发流程不吻合。三是系统失效风险:系统功能及设计在风险控制方面存在缺陷;网络失灵;系统控制、接口、硬件和软件失效。四是系统安全风险:外部系统或内部系统安全性不够;计算机病毒袭击;黑客袭击;非法用户登陆;客户资料泄密;对生产系统的变更缺乏完备的监督和审计功能。五是法律或公共责任风险:对IT的法律解释产生误解;IT人员未将IT相关程序引起的操作风险告知业务人员或制度修订人员。六是风险管理模型风险:采用的风险管理模型未能有效识别风险;风险管理模型的结果误导决策。
(四)外部事件因素导致的操作风险
直接来自外部的主观或客观因素给商业银行造成的损失。包括:
一是外部欺诈等犯罪:伪造或编造票据欺诈;盗用账户欺诈;外部盗窃、抢劫和其它欺诈风险;恐怖袭击;纵火。二是外部采购或供应商风险:供应商破产或违背其职责;合同制订不当。三是外部开发风险、自然灾难或基础设施风险:外部开发过程中所面临的第三方中断必要资源的风险;火灾;地震、洪水等自然灾害;交通事故;能源不足;外部通讯不稳定或中断;供水、供电中断;建筑物等固定资产损坏。四是政策、经济和国家风险:行业或国家宏观经济政策改变;经济衰退;经济危机;战争。
最近更新