国内银行为何操作风险大案频发

张吉光

2008年下半年,针对国内外经济金融环境的变化,监管机构前瞻性地向国内银行业提出预警,“要高度关注经济下滑可能带来的操作风险案件上升势头”。尽管如此,2009年上半年国内银行业仍发生多起操作风险大案。诚然,上半年操作风险形势的恶化与经济下滑导致的社会融资环境和信用环境的恶化不无关系,但外部环境只不过是诱发银行操作风险的“催化剂”,更深层次的原因仍在于银行内部因素,特别是操作风险管理体制机制的不完善。从这一角度来说,彻底改变国内商业银行操作风险案件屡禁不止、大案频发的状况,根本在于要尽快建立起完善的操作风险管理体系。

基于此,本文从风险理念、组织架构、管理体系和管理技术等方面全面、系统地分析了银行操作风险大案频发的深层原因。

风险理念上:思想认识存在偏差,“十重十轻”是根源

风险理念是银行风险管理的前提和根本。所谓风险理念就是人们对风险的认识,以及基于这一认识基础上形成的对风险管理工作的指导思想。对一家银行的风险理念进行考察和判断,不能局限于某个时点和较短时间,应置于更长一段时期加以观察分析。如果将2009年上半年国内银行业操作风险形势的恶化置于近五年甚至十年中国银行业的改革发展历程中,不难发现,在几近“翻天覆地”的银行业改革中,操作风险管理理念并未有较大改观。而操作风险再次集中爆发根源就在于此。概括来讲,当前国内商业银行在操作风险理念方面存在的问题集中表现为“十重十轻”。

重业务发展,轻风险管理和内部控制

追求发展是商业银行的本性使然,也是其实现最终经营目标的必然要求。随着国有银行股份制改造并上市,中国银行业实现了向真正意义上商业银行的转变。中国银行业对发展的追求比以往更为强烈,但银行业在追求并实现快速发展的同时,风险管理和内部控制却未能及时跟上。

对此的原因是多方面的,一是商业银行的改革具有渐进性特征,对商业银行本质的认识也有一个逐步深化的过程,在此过程中,长期计划体制下造成的“国有性”痕迹却仍未完全消除,银行对风险自我承担的责任和意识不强。二是长期的利率管制、不完善的银行业监管以及经济的持续快速发展,使银行对发展的追求有强烈的紧迫感,却对风险不敏感,资源大量投入业务条线,却对风险管理的投入相对较少。凡此种种,造成银行一方面是资产快速膨胀、规模不断扩大以及业务流程日益复杂,另一方面是使风险管理和内部控制的基础——制度、流程、体系、架构、系统和人力资源的改善和提升。当两者之间的差距越来越大,风险管理基础不足以支持业务的快速发展,风险的发生便在所难免。

进入2009年,为应对经济下滑和利差缩减对利润的影响,绝大多数银行采取了“以量补价”的策略,贷款在短期内出现超常增长,而基础性的支撑和管理却并未在短期内大幅提升,如此快速的发展和对增长速度的渴求,难免会使风险管理的原有漏洞暴露出来,案件的发生也就不难理解。

重信用风险,轻操作风险

截至目前,国内商业银行仍将信用风险作为最重要的第一大风险。基于这一认识,银行风险管理的体系设计、架构设置、政策制订、系统开发以及人员配备都围绕信用风险展开,很少甚至没有考虑操作风险。事实上,很长一段时期内我们所认为的信用风险严格来说,大多是信贷领域的操作风险。而历史上大量不良资产的形成也是由信贷领域的操作风险所造成。换句话说,信贷领域的信用风险与操作风险往往相互交织。此外,由于操作风险往往诱发因素多、涉及面广,几乎潜存于所有业务流程和环节,对操作风险的管理更为复杂和困难。这种过于重视信用风险的风险管理安排使得商业银行的操作风险管理水平低下,且缺乏完善的操作风险管理体系。更为重要的是,用管理信用风险的那一套理念和做法去管理操作风险,效果自然不理想。

重条线检查,轻全面管理

从风险诱因和风险事件来看,操作风险大多涉及多个业务(管理)条线和岗位。这就需要系统、全面地对操作风险进行管理,并建立一个超越各条线的管理架构和体系。而国内商业银行长期以来并没有将操作风险摆在应有位置,加之操作风险的复杂性,亦未将其作为独立的风险系统对待,而是通过各条线检查的方式完成操作风险的管理职能。事实表明,各条线管理部门仅从条线角度出发开展相应的检查,往往造成部分环节多头管理、重复检查,另一些环节则存在管理真空。因为在部门银行架构下,商业银行各条线之间并不能实现“无缝对接”。这或许是单个条线内操作性风险下降,而跨条线、跨岗位的操作风险案件仍呈多发态势的原因所在。这种状况也造成银行高层难以全面系统了解自家银行的操作风险整体状况,从而无法采取相应的应对举措。

重事后管理,轻事前防范

长期以来,中国银行业存在一个奇怪现象:一方面是制度越来越多、责任追究和处罚力度越来越大;另一方面则是操作风险案件仍频频发生、以身试法者接连不断。究其根源就在于国内商业银行在操作风险管理上存在的“重事后管理、轻事前防范”的错误理念。如前所述,大多数国内商业银行对操作风险的管理是通过审计、检查来实现和完成的。很显然,审计、检查针对的是已发生和存在的风险。在这一理念的支配下,银行试图通过对发现的问题采取严厉的处罚和责任追究来达到防控风险再次发生的目的。这种做法只能是“防君子不防小人”,其奏效的前提是银行员工个个都是君子。近年来,监管机构和商业银行采取了不少措施以改变这种状况,促使银行风险管理关口前移,合规部门的成立就是其中之一。值得注意的是,大多数银行的合规部门并未找准定位,多沦为法律事务部门。其中最关键的是通过合规性检查及制度和流程梳理以从事前促使银行各环节合规操作的职能并未有效发挥。而这恰恰是银行操作风险管理的重中之重。

重审计稽核,轻系统管理

基于将操作风险等同于操作性风险和案件的错误认识,以及割裂开来的分条线的检查管理,大多数商业银行存在以审计稽核替代或部分替代操作风险管理的情况。如前所述,这种状况造成的后果之一就是操作风险管理的滞后,事前防控水平较低。审计稽核的职能定位相对清晰,他们虽然承担了部分操作风险识别与控制的职能,但本身的职能定位决定了其不可能从构建操作风险管理体系的高度对操作风险进行管理。审计稽核必然是在已有管理架构和内控体系下开展本职工作,从而造成操作风险管理在架构、体系、制度、流程等基础设施建设方面的滞后和缺乏。

重政策制订,轻执行评价

防控操作风险非常重要的措施就是制度约束和流程控制。国内很多操作风险案件的发生即直接起因于制度执行不力或未按制度操作。造成制度执行不力的原因很多,既有基层机构的原因,也有制度本身的问题,更为重要的是国内银行大多存在“重政策制订,轻执行评价”的情况。在政策制订时,各相关部门都非常重视,积极参与。但政策制订完成并发布后,似乎工作就结束了。似乎政策只是为“出台”而制订,相应的宣讲机制和后评价机制缺乏。受多种因素的综合作用,制度执行不力的情况亦在情理之中。需要说明的是,合规部门的成立在一定程度上缓解了这一问题,但在机制建设方面仍不尽人意。

重柜面操作岗位管理,轻后台管理岗位管理

会计差错、操作失误等操作性风险虽然在银行所有类型的操作风险中数量占比最高,发生频率也远远高于其他类型操作风险,但其给银行造成的损失并不大。这就是操作风险独有的“高频低损、低频高损”特征。究其原因,后台管理岗位大多拥有一定资源、权利或话语权,其在操作风险形成过程中起着更为关键的作用,很多案件也正是在管理人员的授意下才发生。鉴于此,操作风险管理应更加强调对后台管理岗位特别是一些关键岗位的重点管理,对其施以更加严厉的监控措施。事实恰恰与此相反,在主要依靠审计稽核防控操作风险的情况下,审计的重点放在了操作岗位上。这既与银行对操作风险的认识有关,也跟各相关部门之间的职责划分有关。在这种“重柜面操作岗位管理,轻后台管理岗位管理”理念的指导下,对一些关键岗位的关键控制措施要么缺乏,要么未得到执行,从而影响操作风险管理的整体成效。

重阶段排查整改,轻长效机制建设

同类型案件重复发生、同类型问题屡查屡犯,说明国内商业银行操作风险管理的长效机制缺乏。这在某种程度上是银行“重阶段排查整改,轻长效机制建设”的认识和做法的结果。当案发或监管部门提出要求时,银行高度重视,并成立行领导亲自挂帅的案件治理或专项检查小组,配备强大的工作组。但当案件处理完毕或检查结束后,一切又都归于平静,小组要么自行解散,要么陷于事实上的停滞状态。这就难免出现走过场的问题。这种措施的效果只能管一时,无法管长久。长效机制的建立是建立在架构、体系、流程和资源配置等基础条件之上的。毫无疑问需要下大力气,动真功夫。首要的就是改变长期以来“重阶段排查整改,轻长效机制建设”的错误认识,真正做到思行合一。

重个案查处,轻系统总结

对以往操作风险案件的系统梳理、全面总结,有助于银行避免犯同样的错误。一旦发生操作风险案件,银行会高度重视,并严厉查处。这种做法虽然能起到一定的惩戒作用,但由于对案件缺乏系统、深入总结,特别是从体制、机制、制度、流程等方面进行针对性分析,从而使得案件查处只能是打补丁、堵窟隆,短期效果明显,长期作用不够。更为重要的是,由于操作风险诱发因素多、涉及面广,尤其需要系统应对。很多操作风险事件即使是不同类型、不同业务条线的,大多具有某种相似性,比如案发于某个细节。对以往操作风险事件的分析总结,既可以总结操作风险的规律性,又可以发现风险管理和内部控制存在的深层次问题,并为将来进行操作风险的量化管理积累数据。但深入开展这项工作的银行并不多。

总行重视,基层轻视

操作风险大多发生于基层分支机构。这既与银行的业务开展集中于基层密切相关,也跟基层重视程度不够不无关系。而案件专项治理或检查存在走过场现象,案件屡查屡犯,更是基层轻视操作风险管理的直接表现。于是,银行在操作风险管理上就会出现“上热下冷”现象,即总行高度重视,基层重视不足。造成这种状况的原因很多,关键的一条在于总行未能将自身的风险文化顺利传导至基层。这又跟总行对分支机构的绩效评价、管控模式密切相关。换言之,不科学的绩效评价使得基层没有动力和压力将风险管理摆在第一位,而有效管控模式的缺失则使得总行对分支行的控制力较弱。一方面是基层风险管理薄弱、重视程度不够;另一方面是总行对基层控制不力,案件的发生在所难免。

组织架构上:管理架构不健全,“三个缺失”是重点

完善的组织架构是商业银行风险管理的基础,而国内商业银行操作风险形势的恶化也正是不完善的操作风险管理架构受外部环境冲击的结果。国内商业银行操作风险管理架构方面存在的问题可概括为“三个缺失”,即管控模式缺失、职能部门缺失和协调机制缺失。

总行对分支机构的有效管控模式缺失

案例统计表明,国内商业银行发生的操作风险(尤其是大要案)绝大部分集中于基层分支机构,特别是那些相对偏远的分支机构。这既跟分支机构自身风险管理能力不强有关,更大程度上反映出总行对基层分支机构的管控能力较弱。从功能角度划分,总行定位于管理协调与服务支撑,分支机构定位于业务开拓和运行操作,要想确保分支机构按照总行的意图进行业务开展和操作,就需要对分支机构建立起一套完善、有力的控制体系。从国内的情况来看,无论是总分行架构下的城市分行,还是省分行模式,更多的是围绕业务开展和行政管理展开,隐藏其中的总行对分支机构的管控模式及举措并不清晰。分支机构作为业务和利润中心,自然有快速发展的冲动。如果有效管控不到位,发展过程中出现风险实在难以避免。对于分支机构遍布全国各地、层级较多的国有银行和刚刚迈出跨区域步伐、管理经验欠缺的城市商业银行而言,这一问题尤为突出。

专门负责操作风险管理的职能部门缺失

相比于信用风险,操作风险具有普遍性、复杂性和多因素性的特征,因此更需要专门的部门和岗位对之加以系统管理。从目前情况来看,国内商业银行在总行层面操作风险管理部门设置上存在四种情况:一是,少数做得较好的商业银行单独设立了操作风险管理部;二是,少数银行将操作风险纳入风险管理部职责,在该部门下设立二级部或科室;三是,个别银行将操作风险管理职责赋予合规部,但合规部仅起牵头协调的作用;四是,大多数银行既没有设立专门的部门,也未明确将操作风险管理职责赋予现有相关部门。

根据笔者了解的情况,绝大多数银行属于第四种情况。即使是那些已经设立了专门的操作风险管理部的银行,也未完全承担起操作风险管理涉及到的识别、计量、检测和控制等各项管理职能,更多的是从某些局部领域对部分类型操作风险进行管理。从分支行层面来看,这一问题就更为突出,很少有银行在分支行层面设立专门的操作风险管理部门或岗位,大多仍由合规、会计、审计、信贷等管理部门分别对相应领域进行管理。操作风险防控能力不强,长效机制缺乏,跟上述问题直接相关。

各部门间操作风险管理的协调机制缺失

由于操作风险往往涉及多个条线,操作风险管理必然要在涉及各职能部门间进行协调。这正是国内很多银行至今仍未最终决定设立独立的操作风险管理部门的重要原因。实践表明,操作风险的潜在领域几乎涵盖银行的所有部门,其中关系密切的包括风险管理部、会计部、审计部、合规部以及人力资源和安全保卫部。在没有专门的机构全面负责的情况下,由于上述部门大多平行设置,且分属不同的高管层负责,势必存在协调成本高、效率低和沟通不畅的问题。

在这些部门中,合规部、审计部与操作风险管理部门之间的协调尤为重要。首先,合规风险与操作风险本身存在重叠,如何处理好两者的职能定位,并充分发挥合规在事前防控风险方面的职能对大多数银行而言是个不小的考验。其次,审计部要准确定位,最关键的是内控建设与执行方面的评价监督角色,要避免现实中存在的既做“裁判”又做“运动员”的利益冲突问题。处理好这些问题,进而建立起高效的协调机制,对于提高操作风险管理效率和管控能力具有重要作用。

管理体系上:全面体系未形成,“三个没有”是关键

全面风险管理体系是商业银行风险管理的发展方向。全面风险管理体系不仅意味着对各类风险的全覆盖,同时也要对每一类风险实现全面管理,建立相应完善的体系。就此而言,国内商业银行远未达到全面风险管理的要求,操作风险管理体系离全面性的要求则更远。这集中表现为“三个没有”。

没有将操作风险真正纳入全面风险管理架构

全面风险管理的基本要求是实现对信用风险、市场风险、操作风险、流动性风险等各类风险的全覆盖,并且每一类风险都有对应的部门和岗位进行管理。国内商业银行虽然都设立了风险管理部,并由该部门推进全面风险管理体系建设,但绝大多数银行的风险管理部的主要精力仍集中于信用风险,很少甚至几乎不涉及操作风险。在这种情况下,商业银行的风险管理架构似乎基本满足了全面风险管理的要求,但基于该架构的运行机制并不涵盖操作风险管理。这显然不利于商业银行统筹全行资源协调管理各类风险。

没有将对人的管理真正纳入操作风险管理范畴

统计表明,绝大多数操作风险的发生都跟人的因素有关。因此,操作风险管理某种程度上就是对人的管理。令人遗憾的是,国内商业银行目前还没有将对人的管理真正纳入操作风险管理范畴。这可以从两个层面说明。

从人力资源角度而言。其核心职能在于引人、选人、育人和用人,但这一过程强调的是业务能力或行政管理能力,因此其对人的评价也主要围绕这两方面展开。人力资源部对人的管理职能主要体现在“时点性”的人才引进、人员考评及人员调配的操作,而“过程性”或称之为实质性的人员管理实际上是由各单位承担的。这就不可避免造成时点性考评结果与过程性表现相脱节的情况。面对一些容易出现操作风险的岗位,由于对人的准入关把控不严、考评关不够科学,更没有从操作风险防控角度进行特殊考察,很可能出现不合格的人进入并引发风险的情况。而“少数有前科的人居然进入管理岗位并最终引发更大案件”、“案件发生后主要涉案人居然已升迁”等极端情况充分说明了人力资源管理与操作风险管理的脱节及其危害性。

从操作风险管理角度来说。既然人的因素是最大的风险,对人的管理就成为重中之重,这就涉及到人员的准入把控、考评、监控以及惩处等内容,但这些职能在很大程度上并不能由操作风险管理部门或相关部门决定,这也使得操作风险管理只能从查问题角度处理人,而不能从风险管理角度管理人。如何将两者有效结合是国内商业银行有效提升操作风险防控水平的关键。

没有将流程管理真正纳入操作风险管理内容

流程不完善和流程执行不严是很多操作风险发生的直接原因。因此,流程控制是操作风险管理的重要手段和内容。流程控制包含两层含义。

一是使各项业务活动和管理活动的流程标准化、精细化。每项活动都有详细、完整的流程图,流程中的每个岗位都有明确的岗位职责要求;流程标准化可以确保操作的统一、规范,避免因流程不统一、存在多种操作而诱发风险;更为理想的状态是,银行从流程控制的角度制定覆盖全部岗位的统一的操作手册,并将其镶嵌入系统中,转化为系统控制。

二是针对各业务或管理流程的不同环节,明确操作风险点和控制措施。这样既可以提醒相应的岗位人员注意防控风险,又为日常操作风险管理及审计、合规管理等提供依据。

对照来看,大多数国内商业银行在操作风险的流程管理方面较为薄弱。体现在几个方面:一是流程的标准化、精细化不够,同一业务操作流程不同的现象时有发生;二是针对各岗位以流程分析为核心的操作手册缺乏,大多仍体现为业务管理办法或规定的形式,更加强调的是业务介绍,对流程及各环节的描述不够详尽,容易使实际操作出现偏差;三是覆盖各流程中各环节的操作风险点分析缺乏,相应的控制措施也就无从谈起。在这一问题上,相对较为落后的城市商业银行和农村金融机构较为突出。

管理技术上:管理手段较落后,“四个缺乏”是表现

相同类型操作风险的重复发生,特别是大要案屡禁不止,跟国内商业银行操作风险管理技术落后、手段单一有关。这集中表现在以下方面。

以人工控制为主,系统控制缺乏

从风险防控角度来说,无论是后督、复核,还是检查、授权,体现出国内商业银行在操作风险管理上隐含的逻辑是“人工控制、相互牵制”。某种程度上讲,这些制约措施是有效的。但正如前文所述,很多操作风险的发生都跟人的因素有关,在人工控制的情况下又会派生出新的风险,即串谋作案或有权限人员的道德风险。解决这些问题的办法是对操作风险实施系统(电子化)控制。系统控制的好处在于高效、客观、及时,可以事前防控、实时预警、不受外部因素干扰。但国内商业银行大多仍以人工控制为主,一些银行就连业务系统的风险控制功能也较为薄弱。电子化控制是操作风险管理的发展方向,国内商业银行要走的路还很漫长。

以审计检查为主,全面监控缺乏

同类型作案手法在同一家银行屡屡得手,跟银行对操作风险的全面管理和监控缺乏有着直接关系。这种分散管理的状态也使得银行没有相应的岗位和部门对操作风险进行实时的全面监控,风险反应能力不强。对操作风险进行全面监控的作用在于:一是实施风险预警,提升风险反应速度;二是实施事前预防,使风险关口前移,及时消除风险隐患;三是实施风险报告,使董事会和高管层能及时全面了解银行的操作风险状况,并采取措施;四是实施数据积累,为操作风险的量化打基础。商业银行实施操作风险全面监控的前提是有相应的部门或岗位负责该项工作,这正是当前国内商业银行亟待改进的地方。

以常规检查为主,突击检查缺乏

在目前情况下,常规性审计检查和条线检查是国内商业银行排摸风险隐患,防控操作风险的主要和常用手段。但频频发生的操作风险似乎说明这些常规检查的效果并不理想。笔者认为,造成这种状况的原因有二。一是,常规性检查大都具有一定的规律性。时间一长,何时检查、检查什么内容、如何检查等核心问题很容易被被检查人员掌握,检查效果因被检查人员具有了“反检查”能力而打折扣,甚至于失效。二是,很多检查都是先由被检查单位自查,然后检查小组在自查基础上进行复查,一些基层单位的自查往往走过场,查不出什么问题,建立在这一基础上的复查的效果也就可想而知。从这一意义上说,除完善常规性检查外,国内商业银行还应大力推广突击检查(即飞行检查),通过对真实状况下的经营活动进行检查从而发现问题。

目前国内商业银行存在的两方面问题制约了突击检查的开展及其效果:一是大多审计部门人员配备不足,从而造成该部门疲于应付常规性检查,没有人手再推行突击检查。二是国内商业银行大多存在“先礼后兵”的文化观念,不习惯于不打招呼就直接检查,而被检查单位与审计部门分属不同高管层管理的格局进一步加剧了审计部的担忧。显然,人力资源配备以及审计权威性的树立是审计部门走出上述困境的唯一出路。

以办法规定为主,操作手册缺乏

标准化的流程是有效防控操作风险的关键。而实现流程标准化就需要明确各项业务的流程环节并以文字的形式记录下来。这就是前文提到的岗位操作手册。这一手册与传统意义上的业务管理办法或规定不同,侧重于以流程图的形式描述某项业务的流程及包含的全部环节,并详细分析各环节潜在的风险点及应采取的防控措施。当然,操作手册的编制是一项基础性、系统性工程,涉及多个部门的协调问题,因此,这项工作的开展必须得到高管层的支持。

(作者单位:上海银行)