商业银行操作风险预警指标设计研究(1)(2)

　　(二)关于流程因素的风险预警指标设计

　　流程因素是指由于商业银行业务流程设计不合理或流程没有被严格执行而造成损失的风险。流程因素风险分为业务流程设计不合理产生的风险和流程没有严格执行产生的风险(包括操作程序遗漏或忽略、自行增加不必要的程序等)。业务流程设计不合理不仅会影响银行业务的执行效率，其中的漏洞还可能被不法分子利用，给银行带来风险隐患。

　　笔者认为，对新产品业务流程而言，顾客的反馈意见是十分重要的。银行对于不理想的反馈意见与投诉应该高度重视，采取必要措施予以改进。而对老业务也不能掉以轻心，要格外关注产品或业务流程存在的瑕疵，可以用“近一个月业务执行失误次数”与“近一个月业务执行中断次数”来考查。对各项业务线营业额增幅降低或业绩下滑的情况要进行跟踪式监控，以便于随时发现并解决问题。要注意对业务执行失误与中断的管理，对银行与客户间的诉讼应分析原因，注意是否由于流程因素所致。

　　(三)关于系统因素的风险预警指标设计

　　银行业的良好运转越来越依赖于信息系统(包括通讯)的正常运转，因此，系统因素给银行带来的风险不容忽视。系统因素引起操作风险的情况可以分为程序存在系统失灵、系统安全漏洞、系统完备性不够、通讯中断等问题。系统因素造成的风险对商业银行经营的影响难以估量，如中国工商银行由于系统升级在2004与2005年曾出现过大范围的多次系统失灵甚至瘫痪的情况，给企业声誉带来了很大的负面影响。

　　当前，利用计算机及网络实施犯罪已经成为妨碍我国银行业资金安全问题。据有关资料显示，近几年计算机网络犯罪以每年30%的速度递增，其中金融行业发案比例占到61%，每年造成的直接经济损失近亿元。银行要及时总结计算机与网络作案的手段与特点，制定详细的预警防范措施。对于系统失灵，笔者设计了“近一次信息系统失灵的时间长度”与“近一次信息系统瘫痪的时间长度”两个指标进行预警；对于系统的完备性，主要考虑硬件处理技术不能满足业务量增长的要求以及系统老化不能适应新业务需求两个方面，分别设计了“近一个月服务器的点击次数与服务器最大点击承受能力之比”、“最近一个月服务器数据的吞吐量与服务器最大数据吞吐量之比”和“系统使用年限与设计使用寿命之比”与“系统的可持续升级次数”四个指标来监控。对于系统安全漏洞，笔者根据当前计算机及网络犯罪的一些特点，设计出了“近一周信息系统遭受黑客攻击次数”、“近一周信息系统病毒发作次数”、“信息系统遭受黑客攻击以及病毒发作泄露的客户信息数量”、“信息系统遭受黑客攻击与病毒发作丢失数据造成的损失金额”、“信息系统遭受黑客攻击及病毒发作导致的损失金额”、“国家计算机病毒应急中心发布警告的病毒发作时间与次数”以及由于客户不当操作导致信息泄密造成的“近一个月未经授权外部交易导致的财务损失”等指标来监控；至于通讯系统，其重要性不言而喻，设计了“近一次内部与外部通讯中断的时间长度”与“近一年内部与外部通讯中断的次数”来对其运行状况进行预警。对于那些可能导致系统失灵的情况，如系统升级等，要制定应急预案，在日常经营过程中要对重要数据进行备份。

　　(四)关于外部事件的风险预警指标设计

　　银行的经营都是处于一定的政治、社会、经济环境中的，经营环境的变化、外部突发事件都会影响到银行的经营活动，甚至会产生损失。外部事件引起银行损失的范围非常广泛，包括外部欺诈、外部突发事件与外部经营环境的不利变化。

　　外部人员的蓄意欺诈行为是近年来给银行造成损失最大、发生频率最高的操作风险之一，而内外勾结作案更是令商业银行防不胜防。值得注意的是，如果一段时间内银行成功堵截诈骗的事件增多，往往预示着一个外部诈骗高峰的到来，银行人员必须加倍警惕。外部欺诈还包括抢劫、偷盗、爆炸等风险因素。尤其值得注意的是，一些银行对经营场所的安全性重视不够，甚至出现客户在经营场所遭受意外伤害的事故，造成许多不必要的损失。

　　外部突发不可抗事件风险包括遭受台风、地震等自然灾害以及恐怖袭击、火灾等给商业银行带来的损失。对于一些不可抗力因素，银行需要制定详细的风险应急预案，而对于火灾等可以预防的事件，应加强责任管理与追究，以减少和防止不必要的损失发生。特别需要指出的是，从现实情况看，电力设施的过度老化不但可能导致电力供应中断，而且还是造成商业银行火灾发生的主要诱因。因此，笔者设计了“近一年电力供应中断的次数”、“近一次电力供应中断的时间长度”与“电力设施已使用年限与最长使用寿命之比”三个指标来对电力系统进行监控。

　　外部经营环境的不利变化引起的操作风险是指由于受宏观经济环境、银行监管法规、政府政策或银行的合作者、相关资源供应商的突然变化使银行发生损失的风险。宏观经济环境的不利变化会给商业银行带来意想不到的损失，如2004年国家的宏观经济调控就使许多银行的不良资产大幅增加。而银行对政府政策与监管法规的违背，则可能招致行政警告与罚款。如上海浦东发展银行陆家嘴支行在二手房按揭贷款中存在违规操作问题，被上海银监局处以sot元的罚款就是一个典型的例子。

　　研究报告显示，全球每年进入银行系统的黑钱高达1万亿美元，而我国每年官员腐败收入的黑钱超过500亿元人民币。2005年，人民银行对3351个银行类金融机构进行了反洗钱检查，查出存在问题的账户占被查账户的2.21%，漏报大额交易占被查交易的0.12%，漏报可疑交易占被查交易的1.08%。查出保存资料不合格账户占被查账户的0.58%。人民银行对600个金融机构违反反洗钱规定的行为依法给予了行政处罚。随着《反洗钱法》的正式实施，金融机构存在未按规定履行客户身份识别义务等行为致使洗钱后果发生的，将处50万元以上500万元以下罚款，并对直接负责的董事、高级管理人员和其他直接责任人员处5万元以上50万元以下罚款，情节特别严重的，将责令停业整顿或吊销经营许可证。因此，我国商业银行加强对洗钱活动的预警，减少这方面操作风险的产生十分必要。一般可以从可疑支付交易额度、外汇大额及可疑支付交易额度进行监测。

　　对于服务供应商风险，笔者主要从服务供应商不提供预期服务的角度考虑“服务供应商不提供预期服务导致系统与数据的可靠性缺陷的潜在损失”。

　　四、对使用商业银行操作风险预警指标的几点说明

　　(一)关于商业银行操作风险预警指标的加权问题

　　通常的风险评估是将各种风险预警指标分别赋予一定的权重，在此基础上将各种分指标加权汇总得出总风险指数。但必须指出的是，由于商业银行操作风险具有“低频高危”的特点，某一项操作业务蕴含的风险就有可能导致银行巨大损失的发生，从这个意义上讲，商业银行操作风险预警指标要更加注重单个指标的状况，而不能一味追求所谓的整体风险指标的计算。传统的根据分指标加权计算总指标的做法在这里显然不适用。

　　(二)关于商业银行操作风险的预警阈值

　　在指标的设计过程中，笔者尽量使用量化方法，对于一些无法用量化指标说明的问题则运用相应的定性指标予以说明。但在量化指标中，由于实践数据的缺乏，很难准确地找到一个比较适合的预警阈值，或称为预警边界(一旦相应的预警指标变化超过阈值范围即发出预警信号)，如“近一周信息系统病毒发作的次数”，究竟达到多少次才发出风险预警信号可能要视病毒的危害程度而定。商业银行操作风险预警边界问题的还有赖于在风险管理预警实践中逐步摸索和经验数据的积累。必须指出的是，各商业银行并不一定需要自己亲身去体验每一个操作风险事件的教训，它们可以从他人的负面教训获益。当然，这有赖于商业银行信息披露机制的进一步完善。

　　(三)关于商业银行操作风险预警警级的判断

　　为了对商业银行操作风险预警的实施有效管理，可以将商业银行操作风险预警警级实行分级管理，不同预警级别采用不同管理对策。可以根据预警严重程度将商业银行操作风险分为无警、轻警、中警、重警、巨警五个等级，也可以对不同警级设置对应的颜色，如最高的为红色，较高的为橙色，中等为绿色，良好为黑色，最好为蓝色等。预警警级的设置要把握好尺度，过松可能会导致漏报的情形，而过严又有可能产生虚警。

　　商业银行操作风险管理部门可根据各部门报告的相关数据与信息，以及现场调查获取的有关预警指标的状态和水平实行有针对性的质询或检查并进行综合分析，判断预警指标数据有无异常并确认一定的预警级别。对警情等级很高或较高的，应立即启动风险管理应急预案，努力将各种风险与危机消灭在萌芽状态。

　　参考文献：

　　[1]刘晶晶，《操作风险不可小视》[j]《科技智囊》，2005.11，P77—79

　　[2]黑格·纳尔班蒂安、安妮·绍斯塔克，李士兴译，商业评论[J]，2004，7，P30

　　[3]张瑛、韩君，《浅议电算化会计系统中计算机舞弊手段的类型及防范》，《科学与管理》，2001，Vol.21，No.6，P.55—56。

　　[4]中国人民银行(http：//www.pbc.gov.cn／detail.asp?col=1530&ID=69)，《加大反洗钱监管力度，依法行政能力得到提高》，2006.5.23

　　[5]罗伯特·胡伯纳等，管理操作风险，金融机构操作风险新论，Robert H·bner等著，李雪莲，万志宏译，南开大学出版社，2005，P24

共2页: 2