《银监局操作风险小组研究报告:在银行业金融机构操作风险管理现状分析与监管建议.doc》由会员分享,可在线阅读,更多相关《银监局操作风险小组研究报告:在银行业金融机构操作风险管理现状分析与监管建议.doc(17页珍藏版)》请在三一办公上搜索。
1、银监局操作风险小组研究报告在银行业金融机构操作风险管理现状分析与监管建议一、在金融机构操作风险管理现状分析(一)单个机构操作风险管理水平的横向比较分析自从银监会2005年关于加大防范操作风险工作力度的通知、2007年商业银行操作风险管理指引、2008年商业银行操作风险监管资本计量指引等文件发布后,国内银行业金融机构逐渐将操作风险的管理提上了重要的议事日程,纷纷在原来内控管理的基础上对操作风险的管理进行整合。由于中外资银行业金融机构在地域(母行所在地)、理念、经营规模和复杂程度、管理模式、成立时间等方面的不同,其操作风险管理所处的阶段和水平差异很大。从中资金融机构来看,大型银行的操作风险管理起步
2、最早,全国性股份制银行随后跟进,而城商行基本上刚刚启动,有的在个别领域进行了探索,非银行金融机构基本没有启动。外资银行由于受到境外母行的影响,一些较知名的大型外资银行在机构基本建立了较完整的操作风险管理体系,但大部分外资行尚处在体系逐步建设过程中。在中资法人银行:包括交行、浦发、银行和农商行。交行已建立比较完整的操作风险管理组织架构,董事会下设立了操作风险与反洗钱管理委员会,总行风险管理部下设置了操作风险管理二级部,各业务部门和营运机构设立了操作风险管理岗位,操作风险三道防线齐备,并开发和使用了操作风险管理系统,按照标准法进行操作风险资本计量。浦发基本搭建起了操作风险管理组织架构,风险管理总部
3、下设置了操作风险与信息科技风险管理二级部,建立了操作风险的三道防线,并运用三大工具(指收集损失数据库LDC、风险与控制自我评估RCSA、关键控制指标KRI,下同)进行操作风险的管理,按标准法进行操作风险资本计量。银行和农商行也基本建立了操作风险管理组织架构,农商行已基本建立起三大工具的管理体系,并采用基本指标法进行操作风险资本计量,银行正在积极探索建立操作风险管理的三大工具和操作风险资本的计量办法。在外资法人银行:包括汇丰中国等20家银行。第一类:已构建较完整操作风险管理体系,建立了操作风险管理三道防线,报告路线明确,管理职责清晰,操作风险识别、评估、控制和缓释、监测、报告等方面均已建立较为完
4、备的制度和流程,并已开发和使用操作风险管理系统,典型的有汇丰中国、渣打中国和花旗中国等银行。第二类:已构建覆盖全行的操作风险管理体系,建立了操作风险识别、评估、控制、监测和报告的制度和流程,但尚未建立操作风险管理系统,或已建立部分管理系统,但未建立全面的操作风险管理指标监测体系,这部分主要是规模较小或者成立较晚的法人银行。大型银行在分行:目前5家大型银行在分行根据总行的统一安排,都已建立起比较完整的操作风险管理体系,构建了比较完备的操作风险管理框架,建立了操作风险管理的三道防线,实行全面的操作风险识别、评估、控制和缓释、监测和报告的流程管理,并都已开发和使用了操作风险管理系统,其中农行的管理系
5、统还与部分核心系统进行了对接,其总行基本上都已采用标准法来进行操作风险资本计量。政策性银行和邮储银行在分行:4家在分行均将操作风险纳入到风险管理范畴,在分行层面均设立了风险管理委员会,将操作风险管理作为风险管理的一个重要方面。操作风险管理的牵头部门为风险管理部(邮储银行为风险合规部)。目前,国开行和进出口银行均建有独立的操作风险管理系统,其中:国开行有独立的操作风险软件,已经建立了操作风险关键指标监测体系。中小银行在分行:包括招行、民生、北京、泰隆等23家在分行。23家分行的操作风险管理处于不同阶段,管理模式多样。其中,光大、招商、渤海三家银行总行按照巴III有关要求,建立了独立的操作风险管理
6、系统,并开始在分行全面运行。其他分行针对操作风险管理的识别、评估、控制和缓释、监测和报告环节,在一个或多个方面进行了探索和实践,建立了一项或多项良好的管理措施和管理工具。个别新设城商行分行操作风险管理体系建设尚未起步,操作风险管理停留在传统的内控管理阶段,操作风险管理制度零散分布于现有内控管理制度文件中。外资银行在分行:外资分行由于其母行分布于不同的地域,分属不同的国家,各行操作风险管理体系的建设情况差异较大。总体上说,大部分外资分行已初步形成了操作风险管理的框架,但操作风险管理体系还不完整。一些母行比较大的分行已建立操作风险管理系统,一部分外资分行的操作风险管理系统功能比较齐全,如富国银行分
7、行。但大部分外资分行还没有建立起完整的操作风险管理系统。在非银行金融机构:包括资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司等33家公司,其中29家为法人机构,4家为非法人机构,这些机构基本上尚未开始操作风险管理体系建设,操作风险管理理念仍停留在传统的内控管理阶段。根据其操作风险管理体系建设进度和现阶段采用的模式,可分为两种类型:第一类:已着手建立操作风险管理架构,或者已实施一、两项操作风险管理流程。第二类:操作风险管理体系建设完全未起步,操作风险管理停留在传统的内控管理阶段,缺乏正规的操作风险管理架构,操作风险管理制度零散分布于现有内控管理制度中。大部分非银行金融机构属于第二类
8、型。(二)操作风险管理体系各主要环节现状分析操作风险管理的各主要环节在不同的机构间进行比较:1、操作风险管理政策和制度一般来说,操作风险管理政策或策略由总行负责操作风险管理的相关委员会制定,总行操作风险管理的牵头部门负责在政策框架下制定操作风险的相关管理办法和规定,各个业务部门和分行按照政策和制度进行具体的落实和细化,制订条线和区域内的实施细则或管理规定。从各机构情况看,已经在总行层面制定操作风险管理政策或策略的,主要有5家大型银行、7家全国性股份制银行、3家城商行、农商行以及部分大中型的外资银行,相当一部分银行还未制定总行层面的操作风险管理政策或策略。目前,大部分银行都已着手建立不同层面或不
9、同领域的操作风险管理办法等规章制度,但相对来说,已建立操作风险管理政策的银行其操作风险管理制度比较齐全,其他机构有的在部分领域或部分条线建立了制度,少量城商行、非银行金融机构还未建立有关操作风险的管理制度。2、操作风险管理架构操作风险管理的四个层级。操作风险管理一般应有四个层级,分别为决策机构、牵头管理部门、直接责任部门和独立的监督检查部门。各家机构采用的模式不同,架构建设进度也不同:(1)最高决策机构。4家中资法人银行和20家外资法人银行多数明确由董事会对操作风险管理政策和体系的制定与修订负最终责任。4家中资法人银行中,交行成立操作风险与反洗钱管理委员会,其他3家成立风险管理委员会或类似的管
10、理委员会,负责操作风险管理的决策。20家外资法人银行中,5家成立专门的操作风险管理委员会,15家成立风险管理委员会或类似的管理委员会。大型银行、政策性银行和邮储银行在分行层面都成立相应的管理委员会,其中工行和农行成立专门的操作风险管理委员会;全国性股份制银行、城商行有14家在分行层面成立了风险管理委员会或类似的委员会,其中民生和深发展设有操作风险管理委员会,还有9家尚未成立分行层面的管理委员会。外资分行少部分成立了操作风险管理委员会,大部分由其他管理委员会或高级管理层作为决策机构;非银行金融机构有21家成立了风险管理委员会或相关管理委员会。(2)操作风险管理牵头部门。在银行业金融机构基本上明确
11、了操作风险管理的牵头部门,大部分为风险管理或法律合规部门。中资法人银行中,交行在风险管理部下设置操作风险管理二级部,浦发在风险管理总部下设置操作风险与信息科技风险管理部;外资法人银行中,10家银行成立操作风险管理部;异地中小银行在分行和非银行金融机构除个别机构外基本不单独设立操作风险管理部,由风险管理或法律合规等部门作为牵头部门。(3)业务部门和营运机构。目前中外资法人银行、大型银行在分行、一部分全国性股份制银行在分行在业务部门和营运机构设风险管理岗或联系人管理操作风险,一部分全国性股份制银行和外资银行在分行、大部分城商行在分行以及非银行金融机构还没有在业务部门和营运机构中设立专门的岗位和人员
12、进行操作风险的管理。(4)审计、监察部门。除个别(3家)非银行金融机构外,其他在银行业金融机构都设有内审、监察或稽核部门,由这些部门负责对业务部门和营运机构进行审计、监察,这些审计、监察部门对操作风险管理体系的运行有效性进行独立评估和监督问责。但由于内审的人力资源配置、内审频率和覆盖面的不同,导致不同机构内审监督的作用和效果存在差异。操作风险管理的三道防线。随着监管部门加强监管和机构董事会以及高级管理层对操作风险管理的重视,在银行业金融机构在三道防线上都逐步加强了建设,但差异较大。从银行机构来看,名义上三道防线都基本已经建立,但部分城商行和中小外资行的在分行三道防线比较薄弱,主要表现在作为第一
13、道防线的业务部门和营运机构,未设操作风险的管理岗和专人,在日常的管理和监测控制上明显有缺失,有的实际上处于空缺状态;作为第二道防线的操作风险管理牵头部门,也有相当一部分银行不设操作风险专岗和专人,由于牵头部门管理的职责过于宽泛,没有专岗专人的银行在操作风险管理上很难做到全面尽职;虽然各行都设立了内审或监察部门作为操作风险管理的第三道防线,但种种原因导致此防线的职能弱化。如一些分行是由总行派驻审计的部门和人员,总行对分行的审计频率和覆盖面有限,一些分行监察人员配备不足,监察工作深度和广度不够,无法充分发挥独立的评估和监督作用。从非银行金融机构来看,三道防线基本上还没完全建立。由于绝大多数机构在业
14、务部门和营运机构没有设立风险管理的专岗或专人,牵头管理部门也基本上不设操作风险专岗或专人,还有3家机构没有设立内审部门,构建三道防线还任重道远。3、操作风险管理系统分为四种情形:(1)已建立较完备的操作风险管理系统。已经建立和使用比较完备的操作风险管理系统进行全面的操作风险管理,风险管理层级和三道防线齐备,报告路线明确,管理职责清晰,使用三大工具对操作风险进行电子化、系统化的日常管理,这部分银行主要包括交总行、汇丰、渣打、花旗、大型银行和国开行在分行。(2)已开发或正在开发操作风险管理系统。这些银行原有的内控和合规管理体系建设比较完备,覆盖了操作风险的识别、评估、控制和缓释、监测和报告程序,基
15、本能满足操作风险的管理要求。其中部分银行已经开发了独立的操作风险管理系统,但系统仍在不断优化,有的银行正在开发建设中。这部分银行包括浦发总行、进出口银行、招行、光大、渤海、华夏、泰隆等在分行、大部分中型外资法人行和一部分在外资分行。(3)在部分业务条线或领域实施了操作风险管理。总行和分行尚未建立全面、完整的操作风险管理体系,但建立了部分业务条线或部分领域的操作风险管理系统。这类银行包括全国性股份制银行的大部分在分行、部分城商行和外资银行分行。(4)操作风险管理刚刚起步。部分机构由于规模较小、人财物等条件比较薄弱,操作风险管理系统建设仍未启动或尚在规划中。少部分城商行在分行以及大部分非银行金融机
16、构属于这一类型。4、操作风险的报告路线随着各行对操作风险管理认识的提高和管理框架的建设,大部分机构对操作风险的报告路线采用双线原则,即各基层经营网点发生的操作风险损失事件及操作风险管理工作在向上一级机构业务条线汇报的同时,还将情况报告上一级机构的操作风险管理牵头部门。设立操作风险(内控)管理委员会的分行,操作风险管理牵头部门在向分行管理委员会报告的同时,向总行操作风险管理牵头部门报告;没有设操作风险(内控)管理委员会的分行,操作风险管理牵头部门在向分行行领导报告的同时,向总行牵头部门报告。5、操作风险的管理流程操作风险管理流程包括操作风险的识别、评估、控制和缓释、监测、报告。建立独立的操作风险
17、管理系统的机构,运用系统全面进行操作风险的流程管理,部分未建立操作风险管理系统的机构,也通过手工方法进行操作风险的流程管理。(1)操作风险识别和评估流程操作风险识别是根据产品或业务特点,从业务流程和操作岗位两方面入手绘制产品、业务流程图,识别操作风险点,对操作风险点进行全面描述,并不断维护更新。操作风险评估是对识别出的操作风险点进行全面衡量分析,对风险点的固有风险、控制措施和剩余风险进行评估,并按照风险的频率和损失影响程度评估其风险等级。操作风险的识别和评估主要是采用风险与控制自我评估(RCSA)工具进行,这两项流程自下而上进行,最终应在总行层面进行完成确认,形成全行统一的操作风险点清单或图表
18、。目前中外资法人银行、大型银行、国开行和进出口行、全国性股份制银行以及约半数的城商行在分行、一部分外资银行在分行已经建立较为全面的操作风险点描述,并已建立起比较完整的操作风险评估体系或评估制度。尤其是大型银行在分行已建立起完整的操作风险评估体系,对操作风险点的固有风险、控制措施和剩余风险进行全面评估,对剩余风险进行量化和分级并进行可接受度的评估和衡量。几乎所有的非银行金融机构、约半数的城商行在分行、农发行和邮储银行在分行以及一部分外资中小银行在分行未建立起完整的操作风险评估系统或评估制度,有的仅对部分业务或产品进行操作风险点的描述,对部分操作风险点进行评估。(2)操作风险的控制和缓释流程操作风
19、险控制和缓释是指通过操作风险识别评估体系或制度,对各个操作风险点的控制措施进行全面分析和确定,通过采取流程控制、制度规定、行为监控、电子化系统、保险等一系列控制和缓释方法,规避操作风险或将操作风险调整到可接受的水平。一般来说,全行各个操作风险点的风险控制和缓释措施最终是由总行作出确定和决策,并由总行修订相应业务操作流程和各项检查监测制度,或在系统中设置必要的硬控制程序,采用外包、保险等方式规避和缓释风险。分行层面操作风险控制和缓释工作有:通过操作风险管理架构的建设、三道防线的建立和改进,以及通过检查、问责、整改监督等手段确保各项操作风险防控制度执行到位,对操作风险防控措施落实情况和防控效果进行
20、跟踪监测和评价,并向总行提出改进操作风险控制措施的建议。目前已经建立操作风险识别和评估系统或制度的机构,其控制和缓释的措施覆盖面比较广,还没有建立或正在建立识别和评估系统或制度的机构(包括非银行金融机构),或多或少也有部分操作风险控制和缓释的措施,只是零散或部分存在于各业务和产品操作流程中。对于外部事件或突发事件引起的操作风险,各银行业金融机构都采用建立紧急事件处置机制、制定系列紧急事件处理预案进行防控和应对,最大限度地降低和减少这类操作风险带来的损失和影响。(3)操作风险的监测流程操作风险监测是指通过对各类风险指标的日常监测,对操作风险状况及其控制和缓释措施的质量实施动态、持续的监测。操作风
21、险监测的主要工具是采用操作风险关键风险指标(KRI),设定各项指标的计算方法、监测频率、标准和预警值以及指标的管理部门。关键风险指标一般由总行统一制定下发,由总分行分级实施监测。目前已建立操作风险管理系统的机构都运用关键风险指标(KRI)工具建立比较全面的风险指标监控体系,没有建立操作风险管理系统的机构也有部分已建立了一定的风险监控指标体系。比如异地中小银行在23家分行,建立操作风险管理系统的有4家,但建立操作风险关键指标体系的有12家。大部分城商行在分行、非银行金融机构目前基本上还没有较完整的风险监测指标体系,有些机构有一部分监测指标(如5家财务公司),这些指标只是一些零散的、存在于部分业务
22、制度中的指标,如客户投诉次数、业务差错率、系统事故次数等。(4)操作风险损失事件和数据的收集操作风险损失数据的收集主要是采用损失数据收集(LDC)工具,根据各家银行已经发生的操作风险损失事件进行收集,建立损失数据库,用于操作风险的识别和评估、建立关键风险指标和监控措施、进行操作风险资本计量等。目前,已经建立起操作风险管理系统的机构,都已开始收集操作风险数据或事件;没有建立或正在建立操作风险管理系统的机构采用手工方法,也在逐步收集和建立损失数据库。这方面做得比较好的机构主要是5家大型银行、国开行以及汇丰、渣打、花旗等几家比较大的外资法人银行;其他银行中有的也已建立操作风险损失数据库,但基本上处在
23、起步阶段,数据库的内容比较少。(5)操作风险的报告流程操作风险报告指在操作风险识别、评估、监测、控制和缓释等管理流程中,形成文档化材料或电子材料,按照相关程序报送相关部门或负责人,使得相关部门或负责人可以及时有效地对操作风险状况进行了解和控制管理。目前基层机构的操作风险报告有定期和不定期两种,定期的有操作风险管理报告,分月报、季报、半年报和年报;不定期报告主要有重大操作风险事件报告、操作风险提示预警报告等。从调研情况看,绝大部分银行业金融机构都有定期的操作风险管理报告,报告频率大部分为月度和季度,大型银行和全国性股份制银行在分行(除深发展)基本上采用季度报告方式,城商行在分行和外资银行大部分也
24、采用季度报告方式,但也有部分采用月度报告方式,个别的为半年度报告。非银行金融机构各种情况都有,有的没有报告,有的为月度报告,也有季度报告和半年度报告。对于解决经营机构不愿报告操作风险事件,大部分银行都没有实质性的正面激励措施,主要还是从减轻惩罚的程度来反向激励经营机构主动上报风险事件。(6)操作风险资本计量在法人银行中,交行、浦发操作风险资本计量采用标准法,农商行采用基本指标法计量风险资本,银行还未计量风险资本。外资法人银行在资本计量方面存在各种情况,花旗中国、东京三菱中国、南洋商业中国、瑞穗中国、法国巴黎中国还未开始实行操作风险资本计量;汇丰中国、恒生中国使用基本指标法进行计量;渣打中国使用
25、标准法进行计量;而三井住友中国由母行用高级计量法来统一计量。二、操作风险管理中存在的问题和不足从上面操作风险的纵横向比较分析看,当前在金融机构操作风险管理的水平参差不齐,差异较大,大机构、法人机构相对强些,小机构相对弱些。总体上看,仍存在如下问题:(一)操作风险管理的认识和理念仍有待提高目前大部分银行管理人员及员工对操作风险尚未有全面、系统的认识,即使操作风险管理走在前列的大型银行、大型外资法人银行基层员工也同样存在认识上的问题:一是将操作风险视同操作性风险或操作中的风险;二是认为如内外部欺诈、自然灾害和外部事件是比较偶然或客观发生的,很难与操作风险事件挂钩并进行预防;三是认为操作风险管理只是
26、内控管理部门和管理人员的事情。操作风险管理理念上还存在“重事后管理,轻事前防范”、“重个案查处、轻全面分析”、“重基层操作人员管理、轻高层领导人员管理”的现象,多数机构在构建操作风险管理体系时生硬照搬总行书面文件或传统的内控管理体系,尚未建立系统性的操作风险管理理念。大部分机构对会计运营条线的操作风险管理较为重视,其它业务条线操作风险管理相对弱化。(二)操作风险的管理架构不健全目前银行董事会设立专门的操作风险管理委员会的很少,设有独立操作风险管理部门的更少,相当部分银行业务部门和营运机构中没有设置专岗和专人。操作风险管理架构多数在大风险管理的框架下运作,架构设置的不完整和缺失大大削弱了操作风险
27、管理效能。(三)操作风险管理人员严重不足由于操作风险管理起步比较晚,尤其是中资银行业金融机构对操作风险管理的认识不够,其管理人员的培养和发展跟不上需要,银行业操作风险管理人员短缺成为普遍现象。中小银行和非银行金融机构尤为突出。操作风险管理人员的不足反映在两个方面,一是从事操作风险管理的人员不足,相当部分的业务部门和基层营运机构都没有操作风险管理的专业人员;二是已经从事操作风险管理的人员其专业素养和管理水平不够,有的仅仅是接受了短期培训后赶鸭子上架。各银行的基层营运机构、成立时间不长的城商行以及非银行金融机构几乎没有操作风险管理的专业人员。(四)操作风险管理的政策和制度不健全目前大部分中小银行和
28、非银行金融机构还未制定总行(总公司)层面的操作风险政策或策略。大部分银行已着手建立操作风险管理办法等规章制度,但非银行金融机构和部分银行仅在部分领域或部分业务条线建有制度,有的机构甚至未建立任何有关操作风险的管理制度。(五)大部分机构还未建立操作风险管理系统大部分中小银行和非银行金融机构还未建立操作风险管理系统,已建立管理系统的银行基本上也未将其与核心业务系统对接,大部分机构在系统建设上还刚刚起步或还在观望。没有建立操作风险管理系统的机构只能依靠手工方式进行三大工具管理,效率低、效能差。 三、监管建议(一)提高从业人员操作风险管理认知水平,更新理念在银行业金融机构要加强对全体员工进行操作风险管
29、理的宣传和培训,采用各种办法尽快提高全体员工对操作风险管理的认识,更新操作风险管理的理念,尤其要对业务部门和基层营运机构加强宣传和培训。全员宣传和培训工作必须做到横向到边,竖向到底,形成操作风险管理的全行文化氛围。提高全体员工对操作风险管理的认识,是从根本上强化操作风险管理的第一道防线。操作风险小组建议各机构参考中国银行的操作风险管理宣传手册,编撰本机构的宣传手册,对分支机构的全体人员进行操作风险管理的宣传教育,提高全体人员的操作风险管理认识和理解水平。也建议同业公会组织力量,编撰统一的易学易懂的普及型宣传手册或读本,并在金融机构中广为宣传。(二)构建健全的操作风险管理组织架构在金融机构应加强
30、操作风险管理的相关委员会和牵头管理部门的建设,有条件的在机构可以建立操作风险管理委员会,由其他管理委员会兼管的机构也要明确管理职责;其他三个层面也要加强力度,在操作风险管理的牵头部门设立专门的操作风险管理岗位或操作风险管理团队,各业务部门和营运机构要设立专岗专人进行操作风险的管理和控制,监督审计部门要独立行使检查职能,形成完整的操作风险管理组织架构。(三)培养操作风险管理人才要培养和缔造一支规模化、专业化的操作风险管理人员队伍。这支队伍包括三道防线上面的所有操作风险管理人员。只有建立起一支专业人员队伍,才能提高银行业金融机构的操作风险管理水平。建议各机构从法人层面加强对分支机构的操作风险管理人
31、员的培训,提升管控的技术技能,有效开展操作风险管理。(四)全面建立操作风险管理政策和管理制度体系监管部门要对在银行业金融机构进行分类监督和指导,一是要督促金融机构建立一套比较完整的操作风险管理政策和制度,对已有制度要进行持续维护,对各个业务流程、各个操作环节进行全覆盖,并进行全流程控制和监测;二是可以组织辖内机构进行同业交流,建立交流平台,由操作风险管理较好、有不同特色的机构在业内进行介绍,相互学习良好做法和经验,促进整体管理水平提高。(五)建立以IT系统为重要手段的操作风险管理体系监管部门要督促有条件的金融机构尽早建立操作风险管理系统,已建立管理系统的机构,要持续维护和改进;对目前已经初步运用三大工具进行管理,但管理系统正在开发或还没开发的机构,要督促其尽快开发独立的操作风险管理系统;对部分小银行和非银行金融机构,首先要督促这些机构建立起比较完整的操作风险管理制度和健全操作风险管理的三道防线,积极运用操作风险管理的三大工具,对操作风险实行全流程的控制和管理;其次,积极创造条件开发操作风险管理系统,通过逐步到位的方法达到监管部门对操作风险管理的要求。
