操作风险控制
一、操作风险控制环境
商业银行的整体风险控制环境包括公司治理、内部控制、合规文化及信息系统四项要素,对有效管理与控制操作风险至关重要。
(一)公司治理
完善的公司治理结构是现代商业银行控制操作风险的基石。最高管理层和相关部门在控制操作风险方面承担了重要职责。
(1)操作风险管理委员会及操作风险管理部门,负责商业银行操作风险管理体系的建立和实施,确保全行范围内操作风险管理的一致性和有效性。
(2)业务部门对操作风险的管理情况负直接责任,应指定专人负责操作风险管理。根据商业银行操作风险管理体系的要求,建立本部门持续有效的操作风险识别、评估、控制/缓释、监测及报告程序。
(3)内部审计部门负责定期检查评估商业银行操作风险管理体系的运作情况,监督操作风险管理政策的执行情况,对新出台的操作风险管理方案进行独立评估,直接向董事会报告操作风险管理体系运行效果的评估情况。
(二)内部控制
健全的内部控制体系是有效识别和防范操作风险的重要手段。
(三)合规文化
内部控制体系和合规文化是操作风险管理的基础。
违规操作、内部欺诈等行为所导致的操作风险损失时间占我国商业银行操作风险损失的80%以上。
(四)信息系统
商业银行信息系统包括主要面向客户的业务信息系统和主要供内部管理使用的管理信息系统。先进的业务信息系统能够大幅提高商业银行的经营效率和管理水平,显著降低操作失误/差错率。
二、操作风险缓释
可规避的操作风险
商业银行可以通过调整业务规模、改变市场定位、放弃某些产品等措施,让其不再出现。
可降低的操作风险
交易差错、记账差错等操作风险可以通过采取更为有力的内部控制措施(如轮岗、强制休假、差错率考核等)来降低风险发生频率。
可缓释的操作风险
火灾、抢劫、高管欺诈等操作风险商业银行往往很难规避和降低,甚至有些无能为力,但可以通过制订应急和连续营业方案、购买保险、业务外包等方式将风险转移或缓释。
应承担的操作风险
商业银行不管采取多好的控制措施、购买再多的保险,总会有些操作风险发生,如因员工知识/技能匮乏所造成的损失,这些是商业银行应承担的风险,需要为其计提损失准备或风险资本金。
(一)连续营业方案:完备的灾难应急恢复和连续营业方案
(二)商业保险:操作风险缓释的有效手段
商业银行在计量操作风险监管资本时,可以将保险理赔收入作为操作风险的缓释因素,但保险的缓释最高不得超过操作风险监管资本要求的20%
(三)业务外包
商业银行可以将某些业务外包给具有较高技能和规模的其他机构来管理,用以转移操作风险。同时,外包非核心业务有助于商业银行将重点放在核心业务上,从而提有效率、降低成本。
从本质上说,业务操作或服务虽然可以外包,但其最终责任并未被“包”出去。外包并不能减少或免除董事会和高级管理层确保第三方行为的安全稳健以及遵守相关法律的责任。商业银行必须对外包业务的风险进行管理,一些关键过程和核心业务,如账务系统、资金交易业务等不应外包出去,因为过多的外包也会产生额外的操作风险或其他隐患。
商业银行仍然是外程中出现的操作风险的最终责任人,对客户和监管者承担着保证服务质量、安全、透明度和管理汇报的责任。