国内银行操作风险大案频发的原因及对策分析

张吉光

摘要:2009年上半年国内商业银行发生多起操作风险大案,操作风险形势出现恶化趋势。操作风险形势的恶化跟经济下滑和信用环境下降不无关系,但根本原因还在于银行内部,特别是不完善的操作风险管理体制机制。从这一角度来说,要彻底改变国内商业银行操作风险案件屡屡发生、屡禁不止的情况,就必须对症下药,加快变革,尽快建立起完善的操作风险管理体制。

关键词:操作风险,风险管理,对策

Abstract:Many big frauds of operational risk happened in domestic banks in 2009. The operational risk situation is becoming terrible. There are several different reasons which cause that. The macro-economic went down and the credit environment became worse may be one reason. But the real reason is the internal factors of domestic banks, especially the imperfect operational risk management system and mechanism. From this point of view, the root way that prevention of operational risk is establishing perfect operational risk management system as soon as possible and reforming existing management mechanism of domestic banks.

Key Words:operational risk,risk management,solution

中图分类号:F830.33文献标识码:B文章编号:1674-2265(2009)11-0062-04

一、引言

2009年上半年国内银行业发生多起操作风险大案,操作风险形势呈恶化趋势。操作风险形势的恶化与经济下滑导致的社会融资环境和信用环境的恶化不无关系,外部环境不过是诱发银行操作风险的“催化剂”,更深层次的原因仍在于银行内部因素,特别是操作风险管理机制的不完善。从这一角度来说,彻底改变国内商业银行操作风险案件屡禁不止、大案频发的状况,根本在于从银行内部查漏补缺,对症下药,加快变革,尽快建立起完善的操作风险管理体系。

二、国内银行操作风险大案频发的原因分析

(一)风险理念上:思想认识存偏差,“十重十轻”是根源

1. 重业务发展,轻风险管理和内部控制。银行业在追求并实现快速发展的同时,风险管理和内部控制却未能及时跟上。特别是长期的利率管制、不完善的银行业监管以及经济的持续快速发展,使银行对发展的追求有强烈紧迫感,而对风险却不敏感,从而将资源大量投入业务条线,对风险管理的投入相对较少。一方面是资产快速膨胀、规模不断扩大以及业务流程日益复杂;另一方面是风险管理和内部控制的基础——制度、流程、体系、架构、系统和人力资源的缓慢改善和提升。当两者之间的差距越来越大,风险管理基础不足以支持业务的快速发展,风险的发生在所难免。

2. 重信用风险,轻操作风险。由于国内商业银行多将信用风险作为第一大风险和最重要的风险,所以在风险管理的体系设计、架构设置、政策制定等方面都围绕信用风险展开,很少甚至没有考虑操作风险。事实上,传统意义上指的信用风险,大多是信贷领域的操作风险。而历史上大量不良资产的形成也是由信贷领域的操作风险造成的。由于操作风险往往诱发因素多、涉及面广,几乎潜存于所有业务流程和环节,对操作风险的管理更为复杂和困难。过于重视信用风险的风险管理安排使得商业银行的操作风险管理水平低下,且缺乏完善的操作风险管理体系。更为重要的是,用管理信用风险的那一套理念和做法去管理操作风险,效果自然不理想。

3. 重条线检查,轻全面管理。国内商业银行长期以来立足于信用风险和市场风险所设立的管理组织及其开展的检查,往往造成部分环节多头管理、重复检查,而另一些环节则存在管理真空,不能实现“无缝对接”。这也是单个条线内操作性风险下降,而跨条线、跨岗位的操作风险案件仍呈多发态势的原因所在。

4. 重事后管理,轻事前防范。大多数银行通过审计、检查对已发生和存在的风险来实现和完成风险管理,而通过合规性检查及制度和流程梳理以从事前监督银行各环节合规操作的职能并未有效发挥。

5. 重审计稽核,轻系统管理。大多数商业银行存在以审计稽核替代或部分替代操作风险管理的情况,其后果是操作风险管理的滞后,事前防控水平较低。此外,以审计稽核等同于操作风险管理的做法也造成银行操作风险管理基础环境的落后。

6. 重政策制定,轻执行评价。很多操作风险案件的发生起因于制度执行不力或未按制度操作。造成制度执行不力的原因很多,既有基层机构的原因,也有制度本身的问题,更为重要的是国内银行大多存在“重政策制定,轻执行评价”的情况。

7. 重柜面操作岗位管理,轻后台管理岗位管理。操作风险具有“高频低损、低频高损”的特征。因此,操作风险管理应更加强调对后台管理岗位特别是一些关键岗位的重点管理,并对其施以更加严厉的监控措施。事实恰恰与此相反,在主要依靠审计稽核防控操作风险的情况下,审计的重点放在了操作岗位上。在这种理念指导下,对一些关键岗位要么缺乏关键控制措施,要么未得到执行,从而影响操作风险管理的整体成效。

8. 重阶段排查整改,轻长效机制建设。同类型案件重复发生、同类型问题屡查屡犯,说明国内商业银行缺乏操作风险管理的长效机制。这在某种程度上是银行“重阶段排查整改,轻长效机制建设”的结果。当案发或监管部门提出要求时,银行高度重视,并成立行领导亲自挂帅的案件治理或专项检查小组,配备强大的工作组。但当案件处理完毕或检查结束后,小组要么自行解散,要么陷于事实上的停滞状态。这种措施的效果只能管一时,无法管长久。

9. 重个案查处,轻系统总结。国内很多操作风险案件往往是同类手法、屡屡发生,这在某种程度上跟银行处理案件时“重个案查处,轻系统总结”的情况密切相关。一旦发生操作风险案件,银行会高度重视,并严厉查处。这种做法虽然能起到一定的惩戒作用,但由于对案件缺乏系统、深入总结,特别是从体制、机制、制度、流程等方面进行针对性分析,从而使得案件查处只能是打补丁、赌窟隆,短期效果明显,长期作用不够。

10. 总行重视,基层轻视。银行在操作风险管理上就会存在“上热下冷”现象,即总行高度重视,基层重视不足。操作风险大多发生于基层分支机构。这既与银行的业务操作集中于基层密切相关,也跟基层重视程度不够不无关系。而案件专项治理或检查存在走过场现象,案件屡查屡犯,更是基层轻视操作风险管理的直接表现。

(二)组织架构上:管理架构不健全,“三个缺失”是重点

国内商业银行操作风险管理架构方面存在的问题可概括为“三个缺失”,即管控模式缺失、职能部门缺失和协调机制缺失。

1. 总行对分支机构的有效管控模式缺失。统计表明,国内商业银行发生的操作风险(尤其是大要案)绝大部分集中于基层分支机构。这既跟分支机构自身风险管理能力不强有关,更大程度上反映出总行对基层分支机构的管控能力较弱。从功能角度划分,总行定位于管理协调与服务支撑,分支机构定位于业务开拓和运行操作,要想确保分支机构按照总行的意图进行业务开展和操作,就需要对分支机构建立起一套完善、有力的控制体系。这既包括分支机构与总行之间的组织架构和体制机制对接,也包括总行对分支机构的业务流程和制度控制,以及总行对分支机构的人、财、物等资源的配置。从国内的情况来看,无论是总、分行架构下的城市分行,还是省分行模式,更多的是围绕业务开展和行政管理展开,其中隐藏着总行对分支机构的管控模式及举措的不清晰问题。

2. 专门负责操作风险管理的职能部门缺失。目前来看,国内商业银行在总行层面操作风险管理部门设置上存在四种情况:一是少数做得较好的商业银行单独设立了操作风险管理部;二是少数银行将操作风险纳入风险管理部职责,在该部门下设立二级部或科室;三是个别银行将操作风险管理职责赋予合规部;四是大多数银行既没有设立专门的部门,也未明确将操作风险管理职责赋予现有相关部门。绝大多数银行属于第四种情况。即使是那些已经设立了专门的操作风险管理部的银行,也未完全承担起操作风险管理涉及到的识别、计量、检测和控制等各项管理职能,更多的是从某些局部领域对部分类型操作风险进行管理。从分支行层面来看,这一问题就更为突出,很少有银行在分支行层面设立专门的操作风险管理部门或岗位,大多仍由合规、会计、审计、信贷等管理部门分别对相应领域进行管理。

3. 各部门间操作风险管理的协调机制缺失。由于操作风险往往涉及多个条线,操作风险管理不可避免涉及各职能部门间的协调。这正是国内很多银行至今仍未最终决定设立独立的操作风险管理部门的重要原因。与已经设立单独操作风险管理部门的银行相比,那些未做此设置的银行在操作风险管理过程中存在的部门协调问题更为严重。实践表明,操作风险的潜在领域几乎涵盖银行的所有部门,其中关系密切的包括风险管理部、会计部、审计部、合规部以及人力资源和安全保卫部。在没有专门机构全面负责的情况下,由于上述部门大多平行设置,且分属不同的高管层负责,势必存在协调成本高、效率低和沟通不畅问题。

(三)管理体系上:全面体系未形成,“三个没有”是关键

全面风险管理体系是商业银行风险管理的发展方向,但国内商业银行的操作风险管理体系远未达到全面性的要求。这集中表现为“三个没有”。

1. 没有将操作风险真正纳入全面风险管理架构。全面风险管理的基本要求是实现对信用风险、市场风险、操作风险、流动性风险等各类风险的全覆盖,并且每一类风险都有对应的部门和岗位进行管理。国内商业银行虽然都设立了风险管理部,并由该部门推进全面风险管理体系建设,但绝大多数银行的风险管理部的主要精力仍集中于信用风险,很少甚至几乎不涉及操作风险。

2. 没有将对人的管理真正纳入操作风险管理范畴。统计表明,绝大多数操作风险的发生都跟人的因素有关。因此,操作风险管理某种程度上就是对人的管理。令人遗憾的是,国内商业银行还没有将对人的管理真正纳入操作风险管理范畴。从人力资源角度而言,人力资源部对人的管理职能主要体现在“时点性”的人才引进、人员考评及人员调配的操作,而“过程性”或称之为实质性的人员管理实际上是由各单位承担的;这就不可避免造成时点性考评结果与过程性表现相脱节的情况。面对一些容易出现操作风险的岗位,由于对人的准入关把控不严、考评关不够科学,更没有从操作风险防控角度进行特殊考察,很可能出现不合格的人进入并引发风险的情况。从操作风险管理角度来说,既然人的因素是最大的风险,对人的管理就成为重中之重,这就涉及到人员的准入把控、考评、监控以及惩处等内容,但这些职能在很大程度上并不能由操作风险管理部门或相关部门决定,这也使得操作风险管理只能从查问题角度处理人,而不能从风险管理角度管理人。

3. 没有将流程管理真正纳入操作风险管理内容。流程控制是操作风险管理的重要手段和内容。流程控制包含两层含义:一是使各项业务活动和管理活动的流程标准化、精细化,每项活动都有详细、完整的流程图,流程中的每个岗位都有明确的岗位职责要求;从而可以确保操作的统一、规范,避免因流程不统一、存在多种操作而诱发风险;二是针对各业务或管理流程的不同环节,明确操作风险点和控制措施,既可提醒相应的岗位注意防控风险,又为日常操作风险管理及审计、合规管理等提供依据。对照来看,大多数国内商业银行在操作风险的流程管理方面较为薄弱。表现在:一是流程的标准化、精细化不够,同一业务操作流程不同的现象时有发生;二是针对各岗位的以流程分析为核心的操作手册缺乏,大多仍体现为业务管理办法或规定,更加强调的是业务介绍,对流程及各环节的描述不够详尽,容易使实际操作出现偏差;三是覆盖各流程中各环节的操作风险点分析缺乏,相应的控制措施也就无从谈起。

(四)管理技术上:管理手段较落后,“四个缺乏”是表现

1. 以人工控制为主,系统控制缺乏。从风险防控角度来说,无论是事后监督、复核,还是检查、授权,体现出国内商业银行在操作风险管理上隐含的逻辑是“人工控制、相互牵制”。某种程度上讲,这些制约措施是有效的。但正如前文所述,很多操作风险的发生都跟人的因素有关,而且往往涉及多个岗位。在人工控制的情况下又会派生出新的风险,如合谋作案或有权限人员的道德风险。解决这些问题的办法是对操作风险实施系统(电子化)控制。系统控制的好处在于高效、客观、及时,可以事前防控、实时预警、不受外部因素干扰。但国内商业银行大多仍以人工控制为主,系统控制明显缺乏。

2. 以审计检查为主,全面监控缺乏。同类型作案手法在同一家银行屡屡得手,跟银行缺乏对操作风险的全面管理和监控有直接关系。在以传统审计检查为主的情况下,银行侧重的是对操作风险的事中和事后管理,事前预防不足。而这种分散管理的状态也使得银行没有相应的岗位和部门对操作风险进行实时的全面监控,风险反应能力不强。

3. 以常规检查为主,突击检查缺乏。在目前情况下,常规性审计检查和条线检查是国内商业银行排查风险隐患、防控操作风险的主要和常用手段。但频频发生的操作风险似乎说明这些常规检查的效果并不理想。造成这种状况的原因有二:一是常规性检查大都具有一定的规律性,何时检查、检查什么内容、如何检查等核心问题很容易让被检查人员掌握,检查效果因被检查人员具有了“反检查”能力而打折扣,甚至于失效;二是很多检查都是先由被检查单位自查,然后检查小组在自查基础上进行复查,一些基层单位的自查往往走过场,查不出什么问题,建立在这一基础上的复查效果也就可想而知。从这一意义上说,除完善常规性检查外,国内商业银行还应大力推广突击检查(即飞行检查),通过对真实状况下的经营活动进行检查从而发现问题。

4. 以办法规定为主,操作手册缺乏。实现流程标准化就需要明确各项业务的流程环节并以文字的形式记录下来。这就是前文提到的岗位操作手册。这一手册与传统意义上的业务管理办法或规定不同,侧重于以流程图的形式描述某项业务的流程及包含的全部环节,并详细分析各环节潜在的风险点及应采取的防控措施。当然,操作手册的编制既是一项基础性工作,也是一项系统性工程,还涉及多个部门的协调问题,工作量大,费时费力,且见效慢。因此这项工作的开展必须得到高管层的支持。

三、完善操作风险管理的对策建议

针对前文分析的国内商业银行操作风险大案频发的深层次原因以及操作风险管理方面的缺陷,国内商业银行应重点从以下几方面改进操作风险管理,提高风险防控水平:

(一)培育正确的操作风险理念

正确认识操作风险的内涵,准确把握其特征,将其摆到与信用风险同等重要的位置加以管理;树立“内控优先、风险第一、操作风险人人有责”的操作风险文化,将其融入到日常的经营管理活动中,纳入对基层分支机构的绩效评价和岗位考核中,综合采取考核、后评价、审计监督等多种手段,提升银行的执行力。

(二)健全操作风险管理架构

第一,根据银行自身情况,成立专门的操作风险管理部门,承担操作风险管理职能。大型银行可以考虑在风险管理部下成立操作风险管理的二级部;中小银行可以将操作风险管理的协调职能归口风险管理部,日常的操作风险管理则由合规部负责。

第二,确定总行层面的操作风险管理架构后,在分支机构建立对应的架构和岗位;围绕授权管理,下派风险经理,绩效考核,以及人、财、物等资源的配置等方面,建立起总行对分支机构的控制体系。

第三,建立各部门之间顺畅的操作风险管理协调机制,尤其是处理好合规部、审计部与操作风险管理部门之间的关系;审计部定位于内控建设与执行方面的监督角色,发挥其对操作风险管理查漏补缺的监督促进作用;合规部定位于事前环节,通过法规制度和流程梳理,发现操作风险点,提出改进建议;审计部与合规部应将审计报告和合规风险检查报告提供操作风险管理部门,为操作风险管理提供支撑。

(三)建立全面操作风险管理体系

商业银行制定自身的操作风险管理政策,明确操作风险的定义、内容、操作风险管理的职责分工以及相关的组织架构等,将操作风险纳入银行的风险管理体系。对各项经营管理活动的流程进行梳理,查找操作风险点,制作各项业务的操作风险流程图。将对人的管理纳入操作风险管理范畴,对操作风险易发岗位实行资格认证制度,由操作风险管理部门负责资格认证,并对取得资格的人员进行定期培训和年检。

(四)引入科技手段,改进操作风险管理技术

在对各业务流程进行梳理的基础上,开发操作风险实时监控和预警系统,通过对关键风险指标(KRI)的实时监控;制定覆盖各项业务、各个岗位的操作风险管理手册,明确各项业务中各环节、各岗位的操作风险点及防控要求,推进一线岗位的标准化建设;第三,改进审计检查手段,引入“飞行检查”和“神秘人”制度,提高内部审计的权威性、独立性和有效性。

(责任编辑 耿 欣)