操作风险管理和监管的稳健做法_第1页
操作风险管理和监管的稳健做法_第2页
操作风险管理和监管的稳健做法_第3页
操作风险管理和监管的稳健做法_第4页
操作风险管理和监管的稳健做法_第5页
免费预览已结束,剩余2页可下载查看

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、金融服务的管制放松和全球化,加上日益先进的金融技术,正在使银行业务及其 风险组合更为复杂。世界围显著操作损失事件不断发生,巴塞尔银行监管委员会 将之称为“操作风险”,并定义为“由于不当或失败的部程序、人员和系统或因 外部事件导致损失的风险”。虽然每家银行对操作风险管理的正确方法取决于一系列因素,包括其自身的规模和经验、业务的特性和复杂程度。但是,有一些因素,如董事会和高级管理 层的明确战略和监督、健康的操作风险文化和部控制文化、 有效的部报告和应急 方案,对规模和业务围不同的各类银行来说, 都是建立有效的操作风险管理框架 的关键方面。因此,巴塞尔银行监管委员会列出涉及有效管理与监管操作风险总

2、体框架的一套原则,银行及监管当局可依据这些原则评估操作风险管理政策及做 法。操作风险管理与监管的稳健做法巴塞尔银行监管委员会(2003年2月)(一)营造适宜的风险管理环境如果对操作风险不了解、欠管理(实际上存在于各种银行业务与经营活动 中),可能会导致部分风险不被识别而失控。 董事会与高级管理层都有责任营造 这样一种公司文化,即将有效的操作风险管理与坚持稳健的营运控制确立为重中 之重。当一家银行的文化以高标准的道德操守严格要求各级管理者时,操作风险的管理才会最为有效。董事会与高级管理层应通过各种活动和言语,努力促进这 种公司文化的建立,使全体员工在从事银行业务中遵守统一的行为规。原则1:董事会

3、应了解本行的主要操作风险所在,把它作为一种必须管理的 主要风险类别,核准并定期审核本行的操作风险管理系统。该系统应对存在于 本行各类业务中的操作风险进行界定,并制订识别、评估、监测与控制/缓释操作风险所应依据的原则。这里所称的管理结构包括董事会和高级管理层。关于董事会和高级管理层的 职能,各国的立法和管理框架存在重大差异。在某些国家,董事会主要(如果不 是全部)负责监督执行机构(高级管理层、一般管理层),以确保后者完成任务。 由于这个原因,在某些情况下,它被称为监事会,这就是说董事会没有行政职能。 在其他国家,董事会职权较广,负责制定银行管理层的整体工作框架。 由于这些 差异,本文中使用的术语

4、“董事会”和“高级管理层”,并不是去确定它们的法 律结构,而是把它们当作一家银行的两个决策职能机构。董事会应批准在全行围采用操作风险管理系统,并将操作风险作为一种主要 风险来管理,以确保银行的安全与稳健。董事会应为高级管理层就这些原则制订 明确的指引,并核准其拟订的相应政策。操作风险管理系统应建立在对操作风险的适当定义之上,该定义应列明本行 操作风险的具体构成。该系统应通过制订具体的风险管理政策、操作风险管理行 动的先后顺序(包括向银行外转嫁操作风险的程度和方法),以阐明本行对操作 风险的喜好和容忍度。该系统还应包括具体的政策规定,列明本行识别、评估、 监测和控制/缓释风险的方法。一家银行操作

5、风险管理系统的规与复杂程度应与 其风险状况相称。董事会应负责建立一个能够有效执行操作风险管理系统的管理架构。由于操作风险的管理在很大程度上依赖于控的完善与否,因此董事会应对管理层的职 责、权限与报告制度作出明确的规定,这一点至关重要。止匕外,操作风险控制、 业务操作和后台服务等部门间的职责与报告渠道也应分离,以避免出现利益冲 突。管理系统还应在关键程序上作出明确规定以便于操作风险的管理。董事会应对本行的操作风险管理系统进行定期检查,以应对由于外部市场变 化和其他环境因素导致的操作风险以及与新的产品、 业务、系统相关的操作风险。 检查的另一目的还在于,探寻适宜本行业务、系统和程序的操作风险管理的

6、最佳 业界做法。如有必要,董事会还可根据相关分析对本行的操作风险管理系统进行 修订,以便将主要操作风险纳入管理系统之中。原则2:董事会要确保本行的操作风险管理系统受到审部门全面、有效的监督。审部门必须拥有一支独立运作、训练有素、业务精良的审队伍。审部门不 应直接负责操作风险的管理。银行应有完善的审制度,以使本行的经营方针和各项规章制度得以有效实 施。董事会应(直接地或通过审计委员会间接地)确保审计的围和频度与本行的 风险状况相适应。审部门应定期检查本行的操作风险管理系统是否由上至下得到 有效贯彻。由于审部门负责对操作风险管理系统的监督,因此董事会必须确保审计部门 的独立性。如果审部门直接参与到

7、操作风险的管理过程中去,则其独立性就会大 打折扣。审部门可以向操作风险管理人员提供有价值的意见,但本身不应直接负 责操作风险的管理。委员会发现,在现实情况中,有些银行(特别是小银行)的 审部门可能会负责最初阶段的操作风险管理方案的制订。如有银行存在这种情 况,则应将操作风险的日常管理职能及时从审部门转移出去。原则3:高级管理层应负责执行经董事会批准的操作风险管理系统。该系统应在银行各部门得以持续的贯彻执行,并且各级员工也应了解自己在操作风险 管理中的责任。高级管理层还应负责制订相关政策、程序和步骤,以管理存在 于银行重要产品、活动、程序和系统中的操作风险。管理层应将董事会建立的操作风险管理系统

8、转化成为具体的政策、程序和步骤,以便于不同业务部门贯彻落实和对照检查。 虽然各级管理者要在各自的权限 负责相关政策、程序、步骤和监控的适宜性与有效性,高级管理层必须对各职能部门的责权关系和上下级报告关系作出明确的界定, 以使各部门对自身的权限与 职责始终保持清晰的认识,并调动足够的资源对操作风险进行有效的管理。 此外, 高级管理层在对风险监控程序的适用性进行评估时, 还应将各部门的业务政策本 身所固有的风险纳入到考虑围之。高级管理层应确保本行的业务经营是由一批拥有必要的经验、技能和资源的称职员工来承担,而且负责本行风险监控与合规性检查的员工必须拥有独立于其 所监控的部门的权力。管理层应确保所有

9、在存在重大操作风险的岗位工作的员工 都清晰了解本行的操作风险管理政策。高级管理层应确保负责操作风险管理的员工与负责信贷、市场和其他风险的 员工,以及本行诸如负责购买保险和联系外仓业务的人员进行有效的沟通。 否则 很可能会导致全行风险管理出现真空或职责重叠。高级管理层要确保银行的薪酬政策与其对风险的喜好相适应。鼓励员工偏离 既定政策(如超过规定的限额)的薪酬制度会弱化银行的风险管理过程。对文件控制质量和交易处理方式也需特别注意。有关政策、程序和步骤(特 别是与支持巨额交易量的先进技术相关的),必须形成书面文件并传达到所有相 关员工。(二)风险管理:识别、评估、监测和缓释 /控制原则4:银行应该识

10、别和评估所有重要产品、活动、程序和系统中固有的操 作风险。银行还应该确保在引进或采取新产品、活动、程序和系统之前,对其 中固有的操作风险已经经过了足够的评估步骤。风险识别对后续开发可行的操作风险监测和控制系统至关重要。 有效的风险 识别要同时考虑部因素(例如银行的结构、银行业务的性质、银行人力资源的素 质、组织机构的变化、员工的流动性)和外部因素(如行业的变化和技术的进步)。 这些因素可能对银行目标的实现造成重大不利影响。在识别绝大多数潜在的不利风险的同时, 银行还应该评估自身对这些风险的 承受能力。通过有效的风险评估,银行可以更好地掌握其风险状况和最有效地使 用风险管理资源。银行用于识别、评

11、估操作风险的工具可能包括:?自我或风险评估:银行对其经营和业务中一系列可能蒙受的潜在操作风险 进行评估。这一过程属于部驱动并且经常通过列出清单和 /或使用工作组的形式 来识别操作风险环境的优劣。例如,记分卡把定性评估转换成定量指标, 这样就 可以对不同的操作风险类别进行相对排序。某些分数对应的风险可能仅与某类特 别业务系列有关,而另一些分数可能对应许多类业务系列的风险。分数可能根据 固有风险来定,也可能根据缓释风险的控制措施来打分。另外,银行可以用记分卡,即根据各部门在管理和控制各类操作风险方面的业绩,来决定经济资本的分配。?风险对应关系:在这一过程中,各业务单位、机构职能部门或程序流程都 与

12、风险类别之间建立起对应关系。 这一行动可以暴露弱点所在,并且有助于突出 后续管理行动的重点。?风险指标:风险指标是指用来考察银行的风险状况的统计数据和 /或指标 (通常是财务方面的)。对这些指标要进行定期(逐月或逐季)审查,以提醒银 行有关风险可能的变化。这些指标可能包括失败交易的次数、员工流动比率、错 误和遗漏的频率和/或严重程度。?计量:一些公司已经开始使用许多方法来量化其操作风险程度。例如,银 行历史损失记录的数据可以用于帮助评估银行蒙受操作风险的程度以及开发缓 释/控制风险的政策。充分利用这些信息的有效方法之一是建立一种制度来系统 跟踪和记录每项损失事件的频率、严重性和其他相关信息。一

13、些公司还已合并使 用外部损失数据、方案分析和风险评估因素。原则5:银行应该制定一套程序来定期监测操作风险状况和重大损失风险。 对积极支持操作风险管理的高级管理层和董事会,应该定期报告有关信息。一套有效的监测程序对充分管理操作风险至关重要。定期监测行为有利于快 速发现并且纠正管理操作风险的政策、 程序和步骤中的缺陷。迅速发现和处理这 些缺陷可以大大减少损失事件的频率和/或严重程度。除监测操作损失事件外,银行应该明确适当的指标,以便为将来损失增大的 风险提供早期预警。这样的指标(通常被称为关键风险指标或早期预警指标)应 该具有前瞻性,并且可以反映操作风险潜在的原由,例如快速增长、推广新产品、 员工

14、流动、交易中断、系统检修等等。如果这些指标都设有门槛值,那么一套有 效的监测程序可以帮助明确识别各项重大风险,并且促使银行对这些风险采取适 当的行动。监测的频度应该反映所包含的风险以及操作环境变化的频率和性质。监测应该是银行业务活动的不可分割的一部分。 这些监测活动的结果应该写入定期的管 理层和董事会报告之中,就好比由部审计和/或风险管理职能部门进行合规性检 查一样。由(和/或及为)监管当局撰写的报告容应包括监测方面的情况,并且 如果适宜的话,应该部抄报给高级管理层和董事会。各业务单位、集团职能部门、操作风险管理办公室和部审计等相关机构应该 定期向高级管理层呈送报告。操作风险报告容应该包括部财

15、务、操作和合规性数 据以及有关决策的事件和情况的外部市场信息。 报告应该分发给相应的各级管理 层以及可能受到影响的银行有关单位。 报告应该充分反映所有识别出的问题, 并 且应该提议对突出的问题及时采取纠错行动。 为了确保这些风险和审计报告的有 效性和可靠性,管理层应该定期核实报告制度和部控制在总体上的及时性、准确性和相关性。管理层还应该使用外部人员(审计师、监管者)撰写的报告,以便 评估部报告的有效性和可靠性。对报告要进行分析,以便改善目前的风险管理业 绩以及开发新的风险管理政策、步骤和做法。一般说来,董事会应该收到足够的高层信息以便使他们了解银行的整个操作 风险状况并专注于重大和具有战略意义

16、的业务。原则6:银行应该制定控制和/或缓释重大操作风险的政策、程序和步骤。银行 应该定期检查其风险限度和控制战略,并且根据其全面的风险喜好和状况,通 过使用合适的战略,相应地调整其操作风险状况。控制行动针对的是银行已经识别出的操作风险。对于所有已经被识别的重大 操作风险,银行应该决定是采用合适的步骤来控制和 /或缓释风险,还是忍受风 险。对于那些不能控制的风险,银行应该决定是否接受这些风险, 减少相关业务 活动程度,或完全停做此类业务。银行应该制定控制程序和步骤,并且制定一套 书面的制度以确保遵循有关风险管理系统的部政策。原则要素可以包括如下: 高层审查银行朝着预定目标的进展情况; 检查遵守管

17、理控制措施的情况; 审查、处理和解决违规问题的有关政策、程序和步骤; 确保有一套相应管理层责任明确的成文的审批和授权制度。虽然一整套书面正式的政策和步骤很关键, 但是更需要一种强有力的促进稳 健风险管理的控制文化。董事会和高级管理层都有责任建立强有力的部控制文 化,因为控制措施是银行正常业务活动不可分割的一部分。控制措施与正常业务 活动的有机结合可以使银行对变化的情况作出快速反应,并且避免发生不必要的成本。一个有效的部控制系统还要求职责的适当分解,而且在划分责任时应避免利 益冲突。如果职责划分给某些个人或一个小团体时出现利益冲突,这些人就可能会隐藏损失、错误或不当行为。因此,潜在的利益冲突领域

18、应该被识别、减少, 并要经受独立的认真监测和审查。除了职责分解之外,银行还应该确保制定了其他部做法来适当控制操作风 险。这些做法的实例包括: 密切监测遵守指定风险限度或门槛的情况; 对接触和使用银行资产的记录进行安全防卫; 确保员工拥有适当的技能和培训;识别某些回报似乎与合理预期不符的业务系列或产品 (例如:某种低风险、 低收益的交易活动出现高回报,就要怀疑是否如此回报的取得源自部控制违规); 定期对交易和账户进行复核和对账。最近几年,因为没有执行此类做法已经导致某些银行发生了重大的操作风险 损失。操作风险更加明显的领域包括:银行从事新业务或开发新产品(特别是这些 业务活动或产品与银行的核心业

19、务战略不符)、进入不熟悉的市场、在远离总部 的地区从事的业务。在上述情况中,公司没有保证其风险管理控制基础设施跟上 业务活动的增长速度。近几年发生的几起金额最大、影响最广的损失事件或多或少地存在上述情形。因此,银行必须确保:如果此类情形存在,则要特别关注部 控制行为。一些重大操作风险发生的概率虽低, 但潜在的财务影响却非常大。而且,并 非所有的风险事件都能够被控制(例:自然灾害)。风险缓释工具或方案可以用 来减少此类事件的风险、频率和/或严重性。例如,对那些具有迅速并且明确的 支出特点的业务,保险单可以用来转嫁低频率、很严重的损失风险,而这种损失 风险可能是由于错误和遗漏、证券的有形损失、雇员

20、或第三方欺诈以及自然灾害 而引起的第三方索赔。然而,银行只能把风险缓释工具作为补充手段, 而不能代替全面的部操作风 险控制。建立快速识别和纠正合法操作风险错误的机制可以大减少风险。还应该认真考虑风险缓释工具(诸如保险)真正减少风险、把风险转嫁到其他业务或领 域甚至产生一种新风险(如法律风险或交易对手风险)的程度。对适当的处理技术和信息技术安全进行投资, 对于风险缓释也很重要。然而, 银行应该明白,自动化增加可以把高频率、低数额的损失转换为低频率、高数额 的损失。后者的原因可能是由部因素或超出银行直接控制的因素(如外部事件) 造成的损失或长时间的服务中断。 此类问题或许给银行造成严重困难,并且可

21、能 损害一家机构从事主要业务活动的能力。 正如下面原则7所讨论的,银行应该建 立灾难恢复和业务连续方案来应对这种风险。银行应该制定政策来管理与外仓行为有关的风险。 业务外仓可以减少机构的 风险状况,因为它可以把相关业务转给具有较高技能和规模的其他人来管理。然而,银行借助第三方的力量并不能减少董事会和管理层确保第三方的行为安全稳 健并且遵守相关法律的责任。业务外仓应该有严谨的合同和/或服务协议做基石, 以确保外部服务提供者和银行之问责任划分明确。而且,银行需要管理与外仓安 排有关的后续风险,包括服务中断。根据业务活动的规模和性质,银行应该了解任何潜在缺陷对其经营和客户的 潜在影响,这种缺陷是指供

22、应商和其他第三方或集团部服务供应者提供服务的缺 陷,包括营业中断和潜在的业务失败或外部合同方违约。董事会和管理层应该确保各方的期望和义务规定明确、理解无误并且具有可操作性。外部供应方的责任 限度以及因其错误、疏忽和其他操作失败而对银行进行财务补偿的能力应该被明 确地列入风险评估的一部分。银行应该进行初始尽职测试并且监测第三方供应商 的业务(特别是那些缺乏银行业规环境从业经验的),银行还应该定期审查这一 过程(包括尽职重估)。对于关键业务,银行可能需要考虑应急方案,包括外部 替代方的可行性以及可能在短期转换外部合同方所需要的资源和成本。在某些情况下,银行可以决定是否保留一定水平的操作风险或自我防

23、那种风 险,如果风险重大,那么保留或自我防风险的决定在机构应该是透明的,并且与银行的整体业务战略和对风险的喜好相吻合。原则7:银行应该制定应急和连续营业方案, 以确保在严重的业务中断事件 中连续经营并控制住损失。由于存在银行不可控制的因素,当银行的物资、电讯或信息技术基础设施严 重受损或不可用时,可能导致银行无力履行部分或全部业务职责, 结果给银行带 来重大经济损失,或通过诸如支付系统等渠道而造成更广的金融系统瘫痪。这种 可能性的存在要求银行建立灾难恢复和业务连续方案,即考虑银行可能遭受的各 种可能的情形,方案还应该与银行经营的规模和复杂性相适应。银行应该识别那些迅速对恢复服务至关重要的关键业务程序, 包括那些依赖 外部供应商或其他第三方的业务。 对于这些程序,银行应该明确在中断事件中恢 复服务的替代机制。应该特别关注恢复电子或物理记录功能,因为这是恢复业务 必备的。如果这样的记录是由非现场设施进行数据备份的话,或当银行的营业必须搬迁到一个新地点时,则要注意这些地点与受到影响的营业保持足够的距离, 以便减少主

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论