操作风险缓释是在量化分析风险点分布、发生概率和损失程度的基础上,采用适当的缓释工具,限制、降低或分散操作风险。目前,主要的操作风险风险缓释手段有业务连续性管理计划、商业保险和业务外包等。
1.业务连续性管理计划
当商业银行的营业场所、电力、通讯、技术设备等因不可抗力事件而严重受损或无法使用时,商业银行可能因无力履行部分或全部业务职责遭受重大经济损失,甚至个别金融机构的业务中断可能造成更广泛的系统性瘫痪。面临此类低频高损事件的威胁,商业银行应当建立完备的灾难应急恢复和业务连续性管理应急计划,涵盖可能遭受的各种意外冲击,明确那些对迅速恢复服务至关重要的关键业务程序,包括依赖外包商服务,明确在中断事件中恢复服务的备用机制。
巴塞尔委员会2006年发布了《业务连续性业务原则》,要求商业银行董事会和高管层共同承担银行业务连续性管理职责;各金融机构虚对可能发生的重大业务中断有清晰的思考和计划,并将其包括在业务连续性管理中;金融机构应建立明确的恢复目标;金融机构应对业务连续性计划进行测试,评价有效性,进行更新。《商业银行操作风险管理指引》中也指出:“商业银行应当制定与其业务规模和复杂性相适应的应急和业务连续方案……”
业务连续性计划(Business Continuity Planning,BCP)是指为实现业务连续性而制订的各类规划及实施的各项流程。业务连续性计划应当是一个全面的计划,与商业银行经营的规模和复杂性相适应,强调操作风险识别、缓释、恢复以及持续计划,具体包括:业务和技术风险评估、面对灾难时的风险缓释措施、常年持续性/经营性的恢复程序和计划、恰当的治理结构、危机和事故管理、持续经营意识培训等方面。
商业银行应定期检查灾难恢复和业务连续性管理方案,保证其与目前的经营和业务战略吻合,并对这些方案进行定期测试,确保商业银行发生业务中断时,能够迅速执行既定方案。
2.商业保险
购买商业保险作为操作风险缓释的有效手段,一直是商业银行管理操作风险的重要工具。在商业银行投保前,不论是商业银行还是保险机构都要充分评估商业银行操作风险的状况、风险管理能力及财务承受能力,最终确定商业银行自担风险还是保险机构承保。国内商业银行在利用保险进行操作风险缓释方面还处于探索阶段。
应当清醒地认识到,购买保险只是操作风险缓释的一种措施。预防和减少操作风险事件的发生,根本上还是要靠商业银行不断提高自身的风险管理水平。