日前,中國銀監會發佈了《商業銀行操作風險管理指引》(以下簡稱《指引》),銀監會有關部門負責人就《指引》有關問題回答了記者的提問。
問:銀監會為什麼要制定《商業銀行操作風險管理指引》?
答:銀監會制定《指引》主要基於以下三個方面的考慮:
一是操作風險是商業銀行面臨的主要風險之一。近年來,由於金融管制放鬆、業務全球化、金融創新步伐加快以及信息技術的迅猛發展,商業銀行的操作風險有增大的趨勢。國際銀行業和監管當局都日益重視操作風險的管理和監管。巴塞爾委員會于2003年公佈了《操作風險管理和監管穩健原則》,在2004年《新資本協議》中將操作風險納入資本監管的範疇,並把操作風險明確定義為“由不完善或有問題的內部程序、員工、信息科技系統或外部事件所造成損失的風險” 。中國銀監會在成立之初就提出,要在加強合規性監管的基礎上,把監管著力點放在風險監控上,做到在監管資源的分配上以風險為基礎,高風險高密度監管,低風險低密度監管。目前,我國商業銀行經營過程中不斷暴露操作風險,客觀上要求從規制和實踐中加強監管。
二是我國銀行業經過20多年的改革和發展,外部環境和內部機制都有了很大變化。尤其是通過近年來的股份制改革,商業銀行在資産質量、資本充足率、公司治理結構、人才儲備以及風險管理等方面都有顯著提高,一些商業銀行已經開始逐步完善操作風險的管理架構,根據監管部門的要求制定了一些規章制度,並指定了專門的部門或崗位負責操作風險管理;還有的商業銀行也開始比照新資本協議要求,探索為操作風險計提資本。在此過程中,許多商業銀行希望監管部門在現有的關於內部控制、合規等指引的基礎上,儘快出臺操作風險管理指引,明確操作風險管理方面的監管指導意見,提高風險管理水平。
第三,針對我國銀行機構對操作風險的識別與控制能力不能適應業務發展的突出問題,2005年銀監會出臺了《關於加大防範操作風險工作力度的通知》。從強化內部控制入手,提出了操作風險管理的13條要求,為商業銀行提高操作風險的管理水平提供了有效的指導。但也應看到,在操作風險管理的認識、制度建設、組織結構的設計,到操作風險管理識別、評估、監測、報告、持續經營機制的建立,操作風險損失數據庫的構建和操作風險資本計量分配模型的研究開發等方面,我國商業銀行與國際化大銀行操作風險管理實踐還有不小的差距,與加強操作風險管理的要求仍有較大的距離。為此,從與時俱進,進一步完善對操作風險的監管要求考慮,在相繼出臺有關內部控制、合規等指引之後,銀監會決定制定該《指引》。
問:請進一步談一談發佈《指引》的意義和作用?
答:銀監會成立後,在認真借鑒國際監管成功經驗、結合我國實際的基礎上,通過大力推進實施貸款五級分類等相關制度,強化了銀行業機構信用風險的監管,通過制訂和發佈《商業銀行市場風險管理指引》加強了銀行業機構市場風險的監管。而本《指引》的發佈,又進一步對銀行業機構的操作風險提出了更加全面的監管指引。由此,銀監會就對商業銀行面臨的三大風險:信用風險、市場風險和操作風險的監管有了一套較完整的法規。相信《指引》的發佈,將有助於進一步完善銀行業審慎監管的規章體系,提高監管的有效性,推進我國銀行業監管標準與國際銀行監管標準接軌。從操作層面上看,《指引》的出臺有助於銀行業機構提高識別、控制操作風險的能力和風險管理水平,有助於進一步防範銀行業大案、要案的發生,促進銀行業的穩健運行,切實維護廣大存款人的利益,提升銀行業的整體國際競爭力。
問:國際上是如何看待操作風險監管的?
答:近年來,國際銀行業和銀行監管機構在關注銀行業的信用風險和市場風險的同時,越來越重視操作風險管理。2004年6月,巴塞爾銀行監管委員會發佈了新資本協議,繼信用風險、市場風險之後,對銀行的操作風險提出了資本要求。據巴塞爾銀行業委員會估計,在銀行業所有風險中,操作風險所造成的損失已經僅次於信用風險。所以,如何加強操作風險管理,是當前銀行業風險管理面臨的一項重要挑戰。
目前,國際上實施新資本協議的國家都按照新協議的要求,明確將操作風險納入資本監管的範疇,同時還提出了商業銀行操作風險管理的最佳做法或監管指引。另外,在巴塞爾委員會2006年10月最終發佈的新版《有效銀行監管核心原則》中,專門為“操作風險的監管”新增一條原則(原則15),該條原則概括了《操作風險管理和監管穩健做法》的主要內容,提出:“銀行監管當局必須滿意地看到,銀行具備與其規模及複雜程度相匹配的識別、評價、監測和緩解操作風險的風險管理政策和程序。”同時,巴塞爾委員會還制定了評估該條原則執行情況的8條必要標準和1條附加標準。由此可見,國際上已形成了對操作風險加強監管的共識。
問:可否請就操作風險作一些解釋?
答:國際上對操作風險的定義一直存有爭議,大體上可歸納為二種,一是廣義操作風險概念,它把信用風險和市場風險之外的所有風險都視為操作風險;二是狹義操作風險概念,認為只有與業務運營部門有關的風險才是操作風險。迄今為止,雖然銀行考慮自身經營管理的需要對操作風險的界定有些不同,但監管部門對操作風險的定義基本一致。參照新資本協議,《指引》將操作風險定義為:由不完善或有問題的內部程序、員工和信息科技系統,以及外部事件所造成損失的風險。本定義所指操作風險包括法律風險,但不包括策略風險和聲譽風險。
通俗地解釋,操作風險是銀行業金融機構面臨的諸多風險中的一類,與信用風險、市場風險等並列。操作風險在於銀行內部控制及公司治理機制的失效,這種失效狀態可能因為失誤、欺詐,未能及時做出反應而導致銀行財務損失,或使銀行的利益在其他方面受到損失,如銀行交易員、信貸員、其他工作人員越權或從事職業道德不允許的或風險過高的業務。操作風險的其他方面還包括信息技術系統的重大失效或諸如火災等災難事件。在我國,商業銀行操作風險的表現形式主要有:員工方面表現為內部欺詐、失職違規、違反用工法律等;內部流程方面表現為內部流程不健全、流程執行失敗、控制和報告不力、文件或合同缺陷、擔保品管理不當、産品服務缺陷、泄密、與客戶糾紛等;系統方面表現為信息科技系統和一般配套設備不完善;外部事件方面表現為外部欺詐、自然災害、交通事故、外包商不履責等。
問:與信用風險和市場風險相比,操作風險有哪些特點?
答:與信用風險和市場風險相比,操作風險存在明顯的特點:一是風險的內生性。除自然災害、恐怖襲擊等外部事件引起的操作風險損失外,操作風險大多是在銀行可控範圍內的內生風險;而信用風險和市場風險則不同,它們更多的是一種外生風險。二是風險與收益的對應關係不同。對於信用風險和市場風險來説,一般原則是風險高收益高,風險低收益低,存在風險與收益的對應關係;但操作風險不同,銀行不能保證因承擔操作風險而獲得收益,而且在大多情況下操作風險損失與收益的産生沒有必然的聯絡。三是操作風險的多樣性。操作風險主要來源於內部程序、員工、科技信息系統和外部事件,而信用風險主要來源於客戶和交易對手方,市場風險主要來源於市場上的各種價格波動。
問:《指引》的主要內容是什麼?
答:《指引》共有四章三十一條。第一章總則,闡述了《指引》制定的目的和適用範圍,操作風險的概念。第二章操作風險管理,強調商業銀行應從組織架構建設來明確職責,通過制定完善的操作風險管理政策、方法和程序來管理風險,通過適情計提操作風險所需資本來抵禦風險,建立符合各商業銀行自身業務性質、規模和複雜程度相適應的操作風險管理體系。第三章操作風險監管,主要強調商業銀行應建立操作風險事件的報告制度,銀監會要加強對操作風險的監管力度。第四章附則,明確政策性銀行和非銀行金融機構參照本《指引》執行,並對有關名詞概念詳細説明。
問:《指引》的主要特點是什麼?
答:《指引》 從我國銀行風險管理現狀出發,主要參考了國際上操作風險的監管文獻、吸收了我會《關於加大防範操作風險工作力度的通知》和《銀監會關於重大突發事件報告制度的通知》等文件的有關內容。總體來説,《指引》有以下幾個特點:
一是將操作風險作為單獨一類重要的風險進行管理,要求商業銀行建立與本行的業務性質、規模和複雜程度相適應的操作風險管理體系,有效地識別、評估、監測和控制/緩釋操作風險。但從我國商業銀行風險管理及內設機構的實際情況出發,要求商業銀行指定相關部門或牽頭部門專門負責全行操作風險管理體系的建立和實施,但在現階段不一定要單獨成立操作風險管理部。
二是分別描述董事會、高管層、操作風險管理部門、和其他部門的操作風險管理職責。董事會承擔監控操作風險管理有效性的最終責任,高級管理層負責操作風險的管理最終責任,操作風險管理部門要負責全行操作風險管理體系的建立和實施,其他部門對本部門的操作風險管理情況負直接責任,內審部門不直接負責或參與其他部門的操作風險管理。
三是重點強調加強內部控制對降低操作風險的重要作用及具體內容。商業銀行應當將加強內部控製作為操作風險管理的有效手段,包括對員工、業務流程、銀行賬戶、案件查處等管理措施。事實也證明,加強內控對於降低操作風險能夠發揮決定性作用。
四是《指引》結合中國國情,明確了商業銀行應當按照銀監會關於商業銀行資本充足率管理的要求為所承擔的操作風險計提資本。根據《中國銀行業實施新資本協議指導意見》,銀監會正在進行操作風險資本監管的研究和規制工作,將另行公佈符合我國商業銀行實際的操作風險資本計算方法。
問:《指引》與2005年銀監會下發的《關於加大防範操作風險工作力度的通知》(簡稱“十三條”)是什麼關係?
答:針對一些銀行業金融機構相關制度不健全,或者對制度執行情況缺乏有效監督,對不執行制度規定者查處不力,風險管理和內部控制薄弱,導致大案、要案屢有發生,給銀行業金融機構造成大量資金損失這一情況,2005年2月18日,銀監會主席劉明康在股份制商業銀行座談會上提出了防範操作風險的13條要求。之後,銀監會下發了《關於加大防範操作風險工作力度的通知》(簡稱“十三條”)。
“十三條”主要是抓住了商業銀行內控方面的薄弱環節,從進一步加強內部控制方面,對銀行業機構、銀行員工及銀行賬戶管理提出了內部控制要求,具有很強的針對性和可操作性,是《指引》出臺前銀監會指導各商業銀行加強操作風險管理的主要文件,也是制定《指引》的基礎。
《指引》不僅充分吸收了“十三條”的具體內容,而且更全面地反映了“十三條”所強調的加大防範操作風險管理的精神實質,進一步豐富了“十三條”的內容。
