业务操作风险监管

(三)业务操作风险监管

几乎所有金融机构交易及业务活动都存在业务操作风险。根据巴塞尔委员会发出适用于银行资本标准的修订架构(《巴塞尔资本协议二》)，业务操作风险的定义是：“因内部程序、人员及操作系统的不足之处或缺陷，或因外在事件而引致亏损的风险”。这个定义包括法律风险，但不包括策略及信誉风险。巴塞尔委员会于2003年2月发出一份文件，题为《业务操作风险管理与监管的稳健做法》，以供银行及监管当局用作评估业务操作风险管理政策及方法。巴塞尔委员会相信有关文件所列载的原则是建立稳健做法监管政策手册的基础，并适用于任何规模及业务范围的银行。因此，委员会建议采用《巴塞尔资本协议二》内任何一种计算业务操作风险的资本要求的方法的银行都应符合该有关文件所载的指引。巴塞尔委员会亦规定银行如采用较先进的计算方法，即标准(业务操作风险)计算法(“STO计算法”)及替代标准计算法(“ASA计算法”)或高级计算法(“AMA计算法”)，必须先符合指定的业务操作风险管理准则。

相对其他风险管理环节，业务操作风险作为一个独立项目仍然处于发展阶段。用于辨识、评估、监察及报告业务操作风险的各种技术和工具仍在演变过程中。因此，可以给出管理业务操作风险的“稳健做法”，而不是“法定规定”。认可机构所制定的业务操作风险管理架构应符合所提供的指引，并与其规模、业务复杂程度及风险状况相称。每家认可机构应制定及维持具成效及有效率的适当业务操作风险管理架构，以辨识、评估、监察及控制和减低业务操作风险。每家认可机构在制定其业务操作风险管理架构时，需要考虑其业务的复杂程度、产品及服务范围、组织结构及风险管理文化。透过现场审查、非现场审查及审慎监管会议持续监管认可机构的业务操作风险，目的是评估认可机构的业务操作风险承担及亏损的程度及趋向以及其业务操作风险管理架构是否足够及有效。

上海金融特区要建立业务操作风险管理制度，主要包括以下方面：

1. 适合的架构

无论认可机构的规模及业务复杂程度如何，每家认可机构都应制定适合的架构，以管理业务操作风险。业务操作风险管理架构的目的是确保能以一致及全面的方式辨识、评估、减低/控制、监察及报告业务操作风险。合适的业务操作风险管理架构应具备以下元素：组织结构(包括董事局的监察、高级管理人员的责任、业务单位管理层的职责以及一个业务操作风险管理职能和内部审核)；风险文化；策略及政策(业务操作风险管理策略、政策及程序)；业务操作风险管理程序(辨识、评估、减低/控制、监察及报告业务操作风险的程序)。认可机构的业务操作风险架构必须反映业务单位的业务范围及复杂程度以及其公司组织结构。每家认可机构的业务操作风险状况都是独特的，需要特别定出适合其规模及所面对的风险程度与严重性的风险管理方法。不同机构需要不同的方法，没有一套特定的架构可配合每家机构的需要。

管理业务操作风险，需要组织架构中的不同组成部分的关注及参与，而每部分都需负起不同的责任。组织架构中的每个组成部分都必须清楚理解本身在机构的组织及风险管理架构中的职能、权限及问责关系。所有业务单位及支持部门都应该是整体业务操作风险管理架构中不可或缺的部分。成立独立的风险管理机构，可协助董事局及高级管理人员履行他们需了解及管理业务操作风险的责任。此外，虽然该机构会就业务操作风险指定专责人员，但该机构的所有人员都有责任辨识及管理业务操作风险。

2. 业务操作风险管理策略与程序

业务操作风险管理的第一步是制定机构的整体策略与目标。一经制定，机构便可辨识与其策略、目标有关的固有风险，从而制定业务操作风险管理策略。董事局有责任明确业务操作风险管理策略，并确保有关策略与整体业务目标相称。董事局应就认可机构承受风险的能力或程度提供清晰指引，即认可机构为达到其业务目标而愿意承受哪些风险及不能接受哪些风险。认可机构应以书面记录其管理业务操作风险的政策，并列明其对所有主要相关业务及支持程序的业务操作风险的管理策略与目标以及为达到有关目标而打算采用的程序。认可机构应以书面记录其公司业务操作风险政策，并由董事局(或其属下委员会)批准，及清楚传达给各级员工。

认可机构应具有程序及工具以定期辨识、评估、监察及控制其主要产品、活动、程序及操作系统的固有业务操作风险。它们应采取合理措施，以确保所制定用作辨识、评估、监察及控制业务操作风险的风险管理系统足以达到有关目的。为能更深入了解其业务操作风险状况及有效调配风险管理资源，认可机构应尽可能辨识所承受的业务操作风险类别，并评估机构受这些风险影响的可能性及程度。认可机构应根据本身对业务操作风险的定义及分类，辨识及评估所有现有或新的主要产品、活动、程序及操作系统的固有业务操作风险。有效的风险辨识及评估程序是其后制定可行的业务操作风险监察及管控制度的关键。

认可机构在辨识业务操作风险时，应考虑可能影响认可机构达到其目标的内部及外来因素，例如，认可机构的管理结构、风险文化、人力资源管理做法、组织架构变动及雇员流失率；认可机构的客户、产品及活动的性质，包括业务来源、分销机制以及交易的复杂程度及交易额；认可机构的产品及活动在运作周期中所用的程序及操作系统的设计、推行及运作；外围经营环境及业内趋势，包括政治、法律、技术及经济因素、竞争环境及市场结构。认可机构在辨识风险后，需要阐明评估每项已辨识风险的适当方法，透过考虑风险的成因以估计已辨识风险真正发生的可能性，从对实现公司目标的潜在影响角度来评估这些风险。