張吉光

摘要:2009年上半年國內(nèi)商業(yè)銀行發(fā)生多起操作風險大案,操作風險形勢出現(xiàn)惡化趨勢。操作風險形勢的惡化跟經(jīng)濟下滑和信用環(huán)境下降不無關系,但根本原因還在于銀行內(nèi)部,特別是不完善的操作風險管理體制機制。從這一角度來說,要徹底改變國內(nèi)商業(yè)銀行操作風險案件屢屢發(fā)生、屢禁不止的情況,就必須對癥下藥,加快變革,盡快建立起完善的操作風險管理體制。

關鍵詞:操作風險,風險管理,對策

Abstract:Many big frauds of operational risk happened in domestic banks in 2009. The operational risk situation is becoming terrible. There are several different reasons which cause that. The macro-economic went down and the credit environment became worse may be one reason. But the real reason is the internal factors of domestic banks, especially the imperfect operational risk management system and mechanism. From this point of view, the root way that prevention of operational risk is establishing perfect operational risk management system as soon as possible and reforming existing management mechanism of domestic banks.

Key Words:operational risk,risk management,solution

中圖分類號:F830.33文獻標識碼:B文章編號:1674-2265(2009)11-0062-04

一、引言

2009年上半年國內(nèi)銀行業(yè)發(fā)生多起操作風險大案,操作風險形勢呈惡化趨勢。操作風險形勢的惡化與經(jīng)濟下滑導致的社會融資環(huán)境和信用環(huán)境的惡化不無關系,外部環(huán)境不過是誘發(fā)銀行操作風險的“催化劑”,更深層次的原因仍在于銀行內(nèi)部因素,特別是操作風險管理機制的不完善。從這一角度來說,徹底改變國內(nèi)商業(yè)銀行操作風險案件屢禁不止、大案頻發(fā)的狀況,根本在于從銀行內(nèi)部查漏補缺,對癥下藥,加快變革,盡快建立起完善的操作風險管理體系。

二、國內(nèi)銀行操作風險大案頻發(fā)的原因分析

(一)風險理念上:思想認識存偏差,“十重十輕”是根源

1. 重業(yè)務發(fā)展,輕風險管理和內(nèi)部控制。銀行業(yè)在追求并實現(xiàn)快速發(fā)展的同時,風險管理和內(nèi)部控制卻未能及時跟上。特別是長期的利率管制、不完善的銀行業(yè)監(jiān)管以及經(jīng)濟的持續(xù)快速發(fā)展,使銀行對發(fā)展的追求有強烈緊迫感,而對風險卻不敏感,從而將資源大量投入業(yè)務條線,對風險管理的投入相對較少。一方面是資產(chǎn)快速膨脹、規(guī)模不斷擴大以及業(yè)務流程日益復雜;另一方面是風險管理和內(nèi)部控制的基礎——制度、流程、體系、架構、系統(tǒng)和人力資源的緩慢改善和提升。當兩者之間的差距越來越大,風險管理基礎不足以支持業(yè)務的快速發(fā)展,風險的發(fā)生在所難免。

2. 重信用風險,輕操作風險。由于國內(nèi)商業(yè)銀行多將信用風險作為第一大風險和最重要的風險,所以在風險管理的體系設計、架構設置、政策制定等方面都圍繞信用風險展開,很少甚至沒有考慮操作風險。事實上,傳統(tǒng)意義上指的信用風險,大多是信貸領域的操作風險。而歷史上大量不良資產(chǎn)的形成也是由信貸領域的操作風險造成的。由于操作風險往往誘發(fā)因素多、涉及面廣,幾乎潛存于所有業(yè)務流程和環(huán)節(jié),對操作風險的管理更為復雜和困難。過于重視信用風險的風險管理安排使得商業(yè)銀行的操作風險管理水平低下,且缺乏完善的操作風險管理體系。更為重要的是,用管理信用風險的那一套理念和做法去管理操作風險,效果自然不理想。

3. 重條線檢查,輕全面管理。國內(nèi)商業(yè)銀行長期以來立足于信用風險和市場風險所設立的管理組織及其開展的檢查,往往造成部分環(huán)節(jié)多頭管理、重復檢查,而另一些環(huán)節(jié)則存在管理真空,不能實現(xiàn)“無縫對接”。這也是單個條線內(nèi)操作性風險下降,而跨條線、跨崗位的操作風險案件仍呈多發(fā)態(tài)勢的原因所在。

4. 重事后管理,輕事前防范。大多數(shù)銀行通過審計、檢查對已發(fā)生和存在的風險來實現(xiàn)和完成風險管理,而通過合規(guī)性檢查及制度和流程梳理以從事前監(jiān)督銀行各環(huán)節(jié)合規(guī)操作的職能并未有效發(fā)揮。

5. 重審計稽核,輕系統(tǒng)管理。大多數(shù)商業(yè)銀行存在以審計稽核替代或部分替代操作風險管理的情況,其后果是操作風險管理的滯后,事前防控水平較低。此外,以審計稽核等同于操作風險管理的做法也造成銀行操作風險管理基礎環(huán)境的落后。

6. 重政策制定,輕執(zhí)行評價。很多操作風險案件的發(fā)生起因于制度執(zhí)行不力或未按制度操作。造成制度執(zhí)行不力的原因很多,既有基層機構的原因,也有制度本身的問題,更為重要的是國內(nèi)銀行大多存在“重政策制定,輕執(zhí)行評價”的情況。

7. 重柜面操作崗位管理,輕后臺管理崗位管理。操作風險具有“高頻低損、低頻高損”的特征。因此,操作風險管理應更加強調(diào)對后臺管理崗位特別是一些關鍵崗位的重點管理,并對其施以更加嚴厲的監(jiān)控措施。事實恰恰與此相反,在主要依靠審計稽核防控操作風險的情況下,審計的重點放在了操作崗位上。在這種理念指導下,對一些關鍵崗位要么缺乏關鍵控制措施,要么未得到執(zhí)行,從而影響操作風險管理的整體成效。

8. 重階段排查整改,輕長效機制建設。同類型案件重復發(fā)生、同類型問題屢查屢犯,說明國內(nèi)商業(yè)銀行缺乏操作風險管理的長效機制。這在某種程度上是銀行“重階段排查整改,輕長效機制建設”的結果。當案發(fā)或監(jiān)管部門提出要求時,銀行高度重視,并成立行領導親自掛帥的案件治理或?qū)ｍ棛z查小組,配備強大的工作組。但當案件處理完畢或檢查結束后,小組要么自行解散,要么陷于事實上的停滯狀態(tài)。這種措施的效果只能管一時,無法管長久。

9. 重個案查處,輕系統(tǒng)總結。國內(nèi)很多操作風險案件往往是同類手法、屢屢發(fā)生,這在某種程度上跟銀行處理案件時“重個案查處,輕系統(tǒng)總結”的情況密切相關。一旦發(fā)生操作風險案件,銀行會高度重視,并嚴厲查處。這種做法雖然能起到一定的懲戒作用,但由于對案件缺乏系統(tǒng)、深入總結,特別是從體制、機制、制度、流程等方面進行針對性分析,從而使得案件查處只能是打補丁、賭窟隆,短期效果明顯,長期作用不夠。

10. 總行重視,基層輕視。銀行在操作風險管理上就會存在“上熱下冷”現(xiàn)象,即總行高度重視,基層重視不足。操作風險大多發(fā)生于基層分支機構。這既與銀行的業(yè)務操作集中于基層密切相關,也跟基層重視程度不夠不無關系。而案件專項治理或檢查存在走過場現(xiàn)象,案件屢查屢犯,更是基層輕視操作風險管理的直接表現(xiàn)。

(二)組織架構上:管理架構不健全,“三個缺失”是重點

國內(nèi)商業(yè)銀行操作風險管理架構方面存在的問題可概括為“三個缺失”,即管控模式缺失、職能部門缺失和協(xié)調(diào)機制缺失。

1. 總行對分支機構的有效管控模式缺失。統(tǒng)計表明,國內(nèi)商業(yè)銀行發(fā)生的操作風險(尤其是大要案)絕大部分集中于基層分支機構。這既跟分支機構自身風險管理能力不強有關,更大程度上反映出總行對基層分支機構的管控能力較弱。從功能角度劃分,總行定位于管理協(xié)調(diào)與服務支撐,分支機構定位于業(yè)務開拓和運行操作,要想確保分支機構按照總行的意圖進行業(yè)務開展和操作,就需要對分支機構建立起一套完善、有力的控制體系。這既包括分支機構與總行之間的組織架構和體制機制對接,也包括總行對分支機構的業(yè)務流程和制度控制,以及總行對分支機構的人、財、物等資源的配置。從國內(nèi)的情況來看,無論是總、分行架構下的城市分行,還是省分行模式,更多的是圍繞業(yè)務開展和行政管理展開,其中隱藏著總行對分支機構的管控模式及舉措的不清晰問題。

2. 專門負責操作風險管理的職能部門缺失。目前來看,國內(nèi)商業(yè)銀行在總行層面操作風險管理部門設置上存在四種情況:一是少數(shù)做得較好的商業(yè)銀行單獨設立了操作風險管理部;二是少數(shù)銀行將操作風險納入風險管理部職責,在該部門下設立二級部或科室;三是個別銀行將操作風險管理職責賦予合規(guī)部;四是大多數(shù)銀行既沒有設立專門的部門,也未明確將操作風險管理職責賦予現(xiàn)有相關部門。絕大多數(shù)銀行屬于第四種情況。即使是那些已經(jīng)設立了專門的操作風險管理部的銀行,也未完全承擔起操作風險管理涉及到的識別、計量、檢測和控制等各項管理職能,更多的是從某些局部領域?qū)Σ糠诸愋筒僮黠L險進行管理。從分支行層面來看,這一問題就更為突出,很少有銀行在分支行層面設立專門的操作風險管理部門或崗位,大多仍由合規(guī)、會計、審計、信貸等管理部門分別對相應領域進行管理。

3. 各部門間操作風險管理的協(xié)調(diào)機制缺失。由于操作風險往往涉及多個條線,操作風險管理不可避免涉及各職能部門間的協(xié)調(diào)。這正是國內(nèi)很多銀行至今仍未最終決定設立獨立的操作風險管理部門的重要原因。與已經(jīng)設立單獨操作風險管理部門的銀行相比,那些未做此設置的銀行在操作風險管理過程中存在的部門協(xié)調(diào)問題更為嚴重。實踐表明,操作風險的潛在領域幾乎涵蓋銀行的所有部門,其中關系密切的包括風險管理部、會計部、審計部、合規(guī)部以及人力資源和安全保衛(wèi)部。在沒有專門機構全面負責的情況下,由于上述部門大多平行設置,且分屬不同的高管層負責,勢必存在協(xié)調(diào)成本高、效率低和溝通不暢問題。

(三)管理體系上:全面體系未形成,“三個沒有”是關鍵

全面風險管理體系是商業(yè)銀行風險管理的發(fā)展方向,但國內(nèi)商業(yè)銀行的操作風險管理體系遠未達到全面性的要求。這集中表現(xiàn)為“三個沒有”。

1. 沒有將操作風險真正納入全面風險管理架構。全面風險管理的基本要求是實現(xiàn)對信用風險、市場風險、操作風險、流動性風險等各類風險的全覆蓋,并且每一類風險都有對應的部門和崗位進行管理。國內(nèi)商業(yè)銀行雖然都設立了風險管理部,并由該部門推進全面風險管理體系建設,但絕大多數(shù)銀行的風險管理部的主要精力仍集中于信用風險,很少甚至幾乎不涉及操作風險。

2. 沒有將對人的管理真正納入操作風險管理范疇。統(tǒng)計表明,絕大多數(shù)操作風險的發(fā)生都跟人的因素有關。因此,操作風險管理某種程度上就是對人的管理。令人遺憾的是,國內(nèi)商業(yè)銀行還沒有將對人的管理真正納入操作風險管理范疇。從人力資源角度而言,人力資源部對人的管理職能主要體現(xiàn)在“時點性”的人才引進、人員考評及人員調(diào)配的操作,而“過程性”或稱之為實質(zhì)性的人員管理實際上是由各單位承擔的;這就不可避免造成時點性考評結果與過程性表現(xiàn)相脫節(jié)的情況。面對一些容易出現(xiàn)操作風險的崗位,由于對人的準入關把控不嚴、考評關不夠科學,更沒有從操作風險防控角度進行特殊考察,很可能出現(xiàn)不合格的人進入并引發(fā)風險的情況。從操作風險管理角度來說,既然人的因素是最大的風險,對人的管理就成為重中之重,這就涉及到人員的準入把控、考評、監(jiān)控以及懲處等內(nèi)容,但這些職能在很大程度上并不能由操作風險管理部門或相關部門決定,這也使得操作風險管理只能從查問題角度處理人,而不能從風險管理角度管理人。

3. 沒有將流程管理真正納入操作風險管理內(nèi)容。流程控制是操作風險管理的重要手段和內(nèi)容。流程控制包含兩層含義:一是使各項業(yè)務活動和管理活動的流程標準化、精細化,每項活動都有詳細、完整的流程圖,流程中的每個崗位都有明確的崗位職責要求;從而可以確保操作的統(tǒng)一、規(guī)范,避免因流程不統(tǒng)一、存在多種操作而誘發(fā)風險;二是針對各業(yè)務或管理流程的不同環(huán)節(jié),明確操作風險點和控制措施,既可提醒相應的崗位注意防控風險,又為日常操作風險管理及審計、合規(guī)管理等提供依據(jù)。對照來看,大多數(shù)國內(nèi)商業(yè)銀行在操作風險的流程管理方面較為薄弱。表現(xiàn)在:一是流程的標準化、精細化不夠,同一業(yè)務操作流程不同的現(xiàn)象時有發(fā)生;二是針對各崗位的以流程分析為核心的操作手冊缺乏,大多仍體現(xiàn)為業(yè)務管理辦法或規(guī)定,更加強調(diào)的是業(yè)務介紹,對流程及各環(huán)節(jié)的描述不夠詳盡,容易使實際操作出現(xiàn)偏差;三是覆蓋各流程中各環(huán)節(jié)的操作風險點分析缺乏,相應的控制措施也就無從談起。

(四)管理技術上:管理手段較落后,“四個缺乏”是表現(xiàn)

1. 以人工控制為主,系統(tǒng)控制缺乏。從風險防控角度來說,無論是事后監(jiān)督、復核,還是檢查、授權,體現(xiàn)出國內(nèi)商業(yè)銀行在操作風險管理上隱含的邏輯是“人工控制、相互牽制”。某種程度上講,這些制約措施是有效的。但正如前文所述,很多操作風險的發(fā)生都跟人的因素有關,而且往往涉及多個崗位。在人工控制的情況下又會派生出新的風險,如合謀作案或有權限人員的道德風險。解決這些問題的辦法是對操作風險實施系統(tǒng)(電子化)控制。系統(tǒng)控制的好處在于高效、客觀、及時,可以事前防控、實時預警、不受外部因素干擾。但國內(nèi)商業(yè)銀行大多仍以人工控制為主,系統(tǒng)控制明顯缺乏。

2. 以審計檢查為主,全面監(jiān)控缺乏。同類型作案手法在同一家銀行屢屢得手,跟銀行缺乏對操作風險的全面管理和監(jiān)控有直接關系。在以傳統(tǒng)審計檢查為主的情況下,銀行側(cè)重的是對操作風險的事中和事后管理,事前預防不足。而這種分散管理的狀態(tài)也使得銀行沒有相應的崗位和部門對操作風險進行實時的全面監(jiān)控,風險反應能力不強。

3. 以常規(guī)檢查為主,突擊檢查缺乏。在目前情況下,常規(guī)性審計檢查和條線檢查是國內(nèi)商業(yè)銀行排查風險隱患、防控操作風險的主要和常用手段。但頻頻發(fā)生的操作風險似乎說明這些常規(guī)檢查的效果并不理想。造成這種狀況的原因有二:一是常規(guī)性檢查大都具有一定的規(guī)律性,何時檢查、檢查什么內(nèi)容、如何檢查等核心問題很容易讓被檢查人員掌握,檢查效果因被檢查人員具有了“反檢查”能力而打折扣,甚至于失效;二是很多檢查都是先由被檢查單位自查,然后檢查小組在自查基礎上進行復查,一些基層單位的自查往往走過場,查不出什么問題,建立在這一基礎上的復查效果也就可想而知。從這一意義上說,除完善常規(guī)性檢查外,國內(nèi)商業(yè)銀行還應大力推廣突擊檢查(即飛行檢查),通過對真實狀況下的經(jīng)營活動進行檢查從而發(fā)現(xiàn)問題。

4. 以辦法規(guī)定為主,操作手冊缺乏。實現(xiàn)流程標準化就需要明確各項業(yè)務的流程環(huán)節(jié)并以文字的形式記錄下來。這就是前文提到的崗位操作手冊。這一手冊與傳統(tǒng)意義上的業(yè)務管理辦法或規(guī)定不同,側(cè)重于以流程圖的形式描述某項業(yè)務的流程及包含的全部環(huán)節(jié),并詳細分析各環(huán)節(jié)潛在的風險點及應采取的防控措施。當然,操作手冊的編制既是一項基礎性工作,也是一項系統(tǒng)性工程,還涉及多個部門的協(xié)調(diào)問題,工作量大,費時費力,且見效慢。因此這項工作的開展必須得到高管層的支持。

三、完善操作風險管理的對策建議

針對前文分析的國內(nèi)商業(yè)銀行操作風險大案頻發(fā)的深層次原因以及操作風險管理方面的缺陷,國內(nèi)商業(yè)銀行應重點從以下幾方面改進操作風險管理,提高風險防控水平:

(一)培育正確的操作風險理念

正確認識操作風險的內(nèi)涵,準確把握其特征,將其擺到與信用風險同等重要的位置加以管理;樹立“內(nèi)控優(yōu)先、風險第一、操作風險人人有責”的操作風險文化,將其融入到日常的經(jīng)營管理活動中,納入對基層分支機構的績效評價和崗位考核中,綜合采取考核、后評價、審計監(jiān)督等多種手段,提升銀行的執(zhí)行力。

(二)健全操作風險管理架構

第一,根據(jù)銀行自身情況,成立專門的操作風險管理部門,承擔操作風險管理職能。大型銀行可以考慮在風險管理部下成立操作風險管理的二級部;中小銀行可以將操作風險管理的協(xié)調(diào)職能歸口風險管理部,日常的操作風險管理則由合規(guī)部負責。

第二,確定總行層面的操作風險管理架構后,在分支機構建立對應的架構和崗位;圍繞授權管理,下派風險經(jīng)理,績效考核,以及人、財、物等資源的配置等方面,建立起總行對分支機構的控制體系。

第三,建立各部門之間順暢的操作風險管理協(xié)調(diào)機制,尤其是處理好合規(guī)部、審計部與操作風險管理部門之間的關系;審計部定位于內(nèi)控建設與執(zhí)行方面的監(jiān)督角色,發(fā)揮其對操作風險管理查漏補缺的監(jiān)督促進作用;合規(guī)部定位于事前環(huán)節(jié),通過法規(guī)制度和流程梳理,發(fā)現(xiàn)操作風險點,提出改進建議;審計部與合規(guī)部應將審計報告和合規(guī)風險檢查報告提供操作風險管理部門,為操作風險管理提供支撐。

(三)建立全面操作風險管理體系

商業(yè)銀行制定自身的操作風險管理政策,明確操作風險的定義、內(nèi)容、操作風險管理的職責分工以及相關的組織架構等,將操作風險納入銀行的風險管理體系。對各項經(jīng)營管理活動的流程進行梳理,查找操作風險點,制作各項業(yè)務的操作風險流程圖。將對人的管理納入操作風險管理范疇,對操作風險易發(fā)崗位實行資格認證制度,由操作風險管理部門負責資格認證,并對取得資格的人員進行定期培訓和年檢。

(四)引入科技手段,改進操作風險管理技術

在對各業(yè)務流程進行梳理的基礎上,開發(fā)操作風險實時監(jiān)控和預警系統(tǒng),通過對關鍵風險指標(KRI)的實時監(jiān)控;制定覆蓋各項業(yè)務、各個崗位的操作風險管理手冊,明確各項業(yè)務中各環(huán)節(jié)、各崗位的操作風險點及防控要求,推進一線崗位的標準化建設;第三,改進審計檢查手段,引入“飛行檢查”和“神秘人”制度,提高內(nèi)部審計的權威性、獨立性和有效性。

(責任編輯 耿 欣)