匦固圈Risk management and control 锁住保险柜中的 ——国内银行操作风险大案频发的深层原因分析 ●文/上海银行战略管理部总经理助理张吉光 2009年伊始,国内银行业发生多 越大、风险管理基础不足以支持业务 起操作风险大案,且案发势头之猛烈、 快速发展时,风险的发生在所难免。 风险形势之严峻以及案件在某些区域 2.重信用风险,轻操作风险。截 和银行的集中程度远远超过人们的预 至目前,国内商业银行仍将信用风险 料,令监管机构和银行业界为之震惊。 作为第一大风险和最重要的风险。基 特别是在经过监管机构多年的严格监 于这一认识,银行风险管理的体系设 管和整治,以及商业银行自身开展多 计、架构设置、政策制订、系统开发 轮案件大检查和整改的情况下,商业 以及人员配备都围绕信用风险展开, 银行再次爆出多起操作风险大案,更 很少甚至没有考虑操作风险。如果单 应引起人们的思考。基于此,本文从 纯从银行的风险资产主要是信贷资产 风险理念、组织架构、管理体系和管 这一现状来看,这样的认识和安排似 理技术等方面全面、系统分析了银行 有合理之处。事实上,很长一段时期 操作风险大案频发的深层原因。这些 内我们所认为的信用风险大多是信贷 方面也是今后国内商业银行完善操作 领域的操作风险。而历史上大量不良 风险管理的方向和重点。 资产的形成也是由信贷领域的操作风 险造成,信用风险与操作风险往往相 风险理念上:思想认识存偏 却未能及时跟上。原因是多方面的。 互交织。此外,由于操作风险诱发因 差。“10重10轻”是根源 一是长期计划体制下造成的“国有性” 素多、涉及面广,几乎潜存于所有业 痕迹仍未完全消除,银行对风险自我承 务流程和环节,对操作风险的管理更 如果将2009年国内银行业操作 担的责任和意识不强;二是长期的利 为复杂和困难。用管理信用风险的理 风险形势的恶化置于近5年甚至10年 率管制、不完善的银行业监管以及经 念和做法去管理操作风险,效果自然 中国银行业的改革发展历程中,不难 济的持续快速发展,使银行对发展的追 不理想。 发现,在几近“翻天覆地”的银行业 求有强烈紧迫感,而对风险却不敏感, 3.重条线检查,轻全面管理。从 改革中,操作风险管理理念并未有较 从而将资源大量投入业务条线,尤其 风险诱因和风险事件来看,操作风险 大改观。操作风险的再次集中爆发即 是营销条线,对风险管理的投入相对 大多涉及多个业务(管理)条线和岗 根源于此。概括来讲,当前国内商业 较少。凡此种种,造成银行一方面是 位。这就需要全面、系统地对操作风 银行在操作风险理念方面存在的问题 资产快速膨胀、规模不断扩大以及业 险进行管理,并建立一个超越各条线 集中表现为“l0重l0轻”。 务流程日益复杂,另一方面是风险管 的管理架构和体系。长期以来国内商 1.重业务发展,轻风险管理和内 理和内部控制的基础——制度、流程、 业银行没有将操作风险摆在应有位置, 部控制。中国银行业在追求并实现快 体系、架构、系统和人力资源的缓慢 加之操作风险的复杂性,亦未将其作 速发展的同时,风险管理和内部控制 改善和提升。当两者之间的差距越来 为独立的风险系统对待,而是通过各 76 I金 屯 2010 ̄3g Risk management and control函婴圈 条线检查的方式完成操作风险的管理 是在已有管理架构和内控体系下开展 位的重点管理,对其施以更加严厉的 职能。表面上看,这种条线检查方式 本职工作,从而造成操作风险管理在 监控措施。 8.重阶段排查整改,轻长效机制 适应了操作风险跨条线的特征。事实 架构、体系、制度、流程等基础设施 表明,各条线管理部门仅从条线角度 建设方面的滞后和缺乏。 出发开展相应的检查,往往造成部分 建设。同类型案件重复发生、同类型 6.重政策制订,轻执行评价。防 问题屡查屡犯,说明国内商业银行操 环节多头管理、重复检查,另一些环 控操作风险非常重要的措施就是制度 作风险管理缺乏长效机制。这在某种 节则存在管理真空。因为在部门银行 约束和流程控制。采取措施确保员工 架构下,商业银行各条线之间并不能 按照制度和流程要求合规操作,成为 实现“无缝对接”。 有效管理操作风险的关键。国内很多 4.重事后管理。轻事前防范。大 操作风险案件的发生即直接起因于制 多数国内商业银行对操作风险的管理 度执行不力或未按制度操作。造成制 是通过审计、检查来实现和完成的。 度执行不力的原因很多,既有基层机 审计、检查针对的是已发生和存在的 构的原因,也有制度本身的问题。更 风险。这种做法只能是“防君子不防 为重要的是国内银行大多存在“重政 小人”。形象的比喻,一幢装满金钱的 策制订,轻执行评价”的情况。在政 屋子,前门虚掩,没有上锁,惟一的 策制订时,上至高层、下至各相关部 防范措施就是在门后贴了一个“未经 门都非常重视,积极参与,或直接撰 允许进入者被发现后重罚”告示。显然, 写,或发表意见。但政策制定并发布后, 这一防范措施如同虚设,不怀好意的 似乎工作就结束了,政策的执行情况、 人可以轻易推门而人。近年来,监管 政策与新环境的适应情况等问题则很 机构和商业银行也采取了不少措施以 少有人关心。 改变这种状况,促使银行风险管理关 7.重柜面操作岗位管理,轻后台 口前移,合规部门的成立就是其中之 管理岗位管理。会计差错、操作失误 一。值得注意的是,大多数银行的合 等操作性风险虽然在银行所有类型的 规部门并未找准定位,多沦为法律事 风险中数量占比最高,发生频率也远 务部门。 高于其他类型风险,但给银行造成的 5.重审计稽核,轻系统管理。基 损失并不大。这就是操作风险独有的 于将操作风险等同于操作性风险和案 “高频低损、低频高损”特征。从另 件的错误认识,以及割裂开来的分条 一层面解释就是说,相对而言,柜面 线的检查管理,大多数商业银行存在 操作岗位出现操作风险的概率更大, 以审计稽核替代或部分替代操作风险 但造成的损失一般不大;后台管理岗 管理的情况。这种状况造成的后果之 位发生操作风险的概率较低,但给银 一就是操作风险管理滞后,事前防控 行造成的损失却更大。国内发生的很 水平较低。此外,以审计稽核等同于 多操作风险大案也印证了这一判断。 操作风险管理的做法也造成银行操作 究其原因,后台管理岗位大多拥有一 风险管理基础环境落后。审计稽核虽 定资源、权利或话语权,其在风险 然承担了部分操作风险识别与控制的 形成过程中起着更为关键的作用,很 职能,但本身的职能定位决定了其不 多案件也正是在管理人员授意下才发 可能从构建操作风险管理体系的高度 生。鉴于此,操作风险管理应更加强 对操作风险进行管理。审计稽核必然 调对后台管理岗位特别是一些关键岗 程度上是银行“重阶段排查整改,轻 长效机制建设”的结果。长效机制是 建立在架构、体系、流程和资源配置 等基础条件之上的。它需要下大力气, 动真功夫。首要的就是改变长期以来 轻视长效机制建设的错误认识,真正 做到思行合一。 9.重个案查处,轻系统总结。国 内很多操作风险案件往往是同类手法、 屡屡发生,这在某种程度上跟银行处 理案件时“重个案查处,轻系统总结” 的情况密切相关。一旦发生操作风险 案件,银行会高度重视,并严厉查处。 这种做法虽然能起到一定的惩戒作用, 但由于对案件缺乏系统、深入总结, 特别是从体制、机制、制度、流程等 方面进行针对性分析,使得案件查处 只能是打补丁、赌窟隆,短期效果明显, 长期作用不够。更为重要的是,由于 操作风险诱发因素多、涉及面广,尤 其需要系统应对。 10.总行重视,基层轻视。操作 风险大多发生于基层,这既与银行的 业务开展集中于基层密切相关,也跟 基层重视程度不够不无关系。而案件 专项治理或检查存在走过场现象。案 件屡查屡犯,更是基层轻视操作风险 管理的直接表现。于是,银行在操作 风险管理上就会出现“上热下冷”现 象,即总行高度重视,基层重视不足。 造成这种状况的原因很多,关键一条 在于总行未能将自身的风险文化顺利 传导至基层。这又跟总行对分支机构 的绩效评价、管控模式密切相关。 2010年3月金 屯 I 77 匦圈Risk management and control 组织架构上:管理架构不健 全,“三个缺失”是重点 种情况:一是少数做得较好的商业银 筹管理操作风险的重要原因。相比与 行单独设立了操作风险管理部;二是 已经设立独立的操作风险管理部门的 少数银行将操作风险纳入风险管理部 银行,那些未做此设置的银行在操作 国内商业银行操作风险管理架构 职责,在该部门下设立二级部或科室; 风险管理过程中存在的部门协调问题 方面存在的问题可概括为“三个缺失”, 三是个别银行将操作风险管理职责赋 更为严重。实践表明,操作风险的潜 作用;四是大多数银行既没有设立专 即管控模式缺失、职能部门缺失和协 予合规部,但合规部仅起牵头协调的 在领域几乎涵盖银行的所有部门,其 调机制缺失。 中关系密切的包括风险管理部、会计 1.总行对分支机构的有效管控模 门部门,也未明确将操作风险管理职 部、审计部、合规部以及人力资源和 式缺失。案例统计表明,国内银行发 责赋予现有相关部门。据笔者了解, 安全保卫部。在没有专门的机构全面 生的操作风险案件绝大部分集中于基 绝大多数银行属于第四种情况。既使 负责情况下,由于上述部门大多平行 层分支机构。这跟分支机构自身风险 是那些已经设立了专门操作风险管理 设置,且分属不同的高管层负责,势 管理能力不强有关,更大程度 上反映出总行对基层分支机构 管控能力较弱。从功能角度划 分,总行定位于管理协调与服 务支撑,分支机构定位于业务 开拓和运行操作,要想确保分 支机构按照总行的意图进行业 务开展和操作,就需要对分支 机构建立起一套完善、有力的 必存在协调成本高、效率低和 沟通不畅问题。这~方面造成 操作风险管理效率低下、反应 迟缓;另一方面也使得银行无 法从整体上了解自身的操作风 险情况。 控制体系。这既包括分支机构 与总行之间的组织架构和体制 机制对接,也包括总行对分支 机构的业务流程和制度控制, 以及总行对分支机构人、财、 管理体系上:全面体系 未形成,“三个没有” 是关键 全面风险管理体系不仅意 味着对各类风险的全覆盖,对 每一类风险也要实现全面管 理。就此而言,国内商业银行 远未达到全面风险管理的要 物等资源的配置。从国内情况 看,无论是总分行架构下的城 市分行,还是省分行模式,更 多的是围绕业务和行政管理展 求,操作风险管理体系离全面 性的要求贝 更远。这集中表现 开,隐藏其中的总行对分支行的管控 部的银行,也未完全承担起操作风险 为“三个没有”。模式及举措并不清晰。对于分支机构 管理涉及到的识别、计量、监测和控 和刚刚迈出跨区域步伐、管理经验欠 部领域对部分类型操作风险进行管理。缺的城市商业银行而言,这一问题尤 1.没有将操作风险真正纳入全面 遍布全国各地、层级较多的国有银行 制等各项管理职能,更多是从某些局 风险管理架构。国内商业银行虽然都 设立了风险管理部,并由该部门推进 3.各部门间操作风险管理的协调 全面风险管理体系建设。但绝大多数 机制缺失。操作风险往往涉及多个条 银行风险管理部的主要精力仍集中于 为突出。 2.专门负责操作风险管理的职能 线,对其进行管理不可避免涉及各职 信用风险,很少甚至几乎不涉及操作 部门缺失。与信用风险相比,操作风 能部门问的协调。这正是国内很多银 风险。在这种情况下,商业银行的风 险更需要专门的部门和岗位对之加以 行至今仍未最终决定设立独立的操作 险管理架构似乎基本满足了全面风险 系统管理。目前国内商业银行在总行 风险管理部门的重要原因,也是国外 管理的要求。但基于该架构的运行机 层面操作风险管理部门设置上存在4 银行通常设立操作风险管理委员会统 制并不涵盖操作风险管理,操作风险 78 l含 电 2o1o年3月 Risk management and control匦蚂圈 没有被真正纳入全面风险管理体系, 程控制的角度制定覆盖全部岗位的统 监控的作用在于:一是实施风险预警,仍处于一种割裂的、散乱状态。这显 一的操作手册,并将其镶嵌入系统中, 提升风险反应速度;二是实施事前预 然不利于商业银行统筹全行资源协调 转化为系统控制。二是针对各业务或 防,使风险关口前移,及时消除风险 管理各类风险。 管理流程的不同环节,明确操作风险 隐患;三是实施风险报告,使董事会 2.没有将对人的管理真正纳入操 点和控制措施,既可以提醒相应的岗 和高管层能及时全面了解银行的操作 作风险管理范畴。这可以从两个层面 位人员注意防控风险,又为日常操作 风险状况,并采取措施;四是实施数 说明。从人力资源角度而言,其核心 职能在于引人、选人、育人和用人, 这一过程强调的是业务能力或行政管 理能力,其对人的评价也主要围绕这 两方面展开。人力资源部对人的管理 职能主要体现在“时点性”的人才引进、 人员考评及人员调配的操作,而“过 程性”或称之为实质性的人员管理实 际上是由各单位承担的。这就不可避 免造成时点性考评结果与过程性表现 相脱节的情况。面对一些容易出现操 作风险的岗位,由于对准人关把控不 严、考评关不够科学,很可能出现不 合格的人进入并引发风险的情况。从 操作风险管理角度来说,人的因素是 最大的风险,对人的管理就成为重中 之重。这涉及到人员的准人把控、考评、 监控以及惩处等内容,但这些职能在 很大程度上并不能由操作风险管理部 门或相关部门决定,这也使得操作风 险管理只能从查问题角度处理人,而 不能从风险管理角度管理人。 3.没有将流程管理真正纳入操作 风险管理内容。流程不完善和流程执 行不严是很多操作风险发生的直接原 因。因此,流程控制是操作风险管理 的重要手段和内容。流程控制包含两 层含义:一是使各项业务活动和管理 活动的流程标准化、精细化,每项活 动都有详细、完整的流程图,流程中 每个岗位都有明确的职责要求;流程 标准化可以确保操作的统一、规范, 避免因流程不统一、多种操作而诱发 风险;更为理想的状态是,银行从流 风险管理及审计、合规管理等提供依 据积累,为操作风险的量化打基础。 据。目前大多数银行在操作风险的流 3.以常规检查为主,突击检查缺 程管理方面较为薄弱。 乏。常规性审计检查和条线检查是目 前国内商业银行排摸风险隐患、防控 管理技术上:管理手段较落 操作风险的主要手段。但频频发生的 后,“四个缺乏"是表现 操作风险似乎说明这些常规检查的效 果并不理想。笔者认为,造成这种状 相同类型操作风险的重复发生, 况的原因有二:一是常规性检查大都 特别是大要案屡禁不止,跟国内商业 具有一定的规律性,时间一长,何时 银行操作风险管理技术落后、手段单 检查、检查内容、如何检查等核心问 一有关。 题很容易被检查人员掌握,检查效果 1.以人工控制为主,系统控制缺 因被检查人员具有了“反检查”能力 乏。从风险防控角度来说,无论是后督、 而打折扣,甚至于失效;二是很多检 复核,还是检查、授权,体现出国内商 查都是先由被检查单位自查,然后检 业银行在操作风险管理上隐含的逻辑 查小组在自查基础上进行复查,一些 是“人工控制、相互牵制”。某种程度 基层单位的自查往往走过场,查不出 上讲,这些制约措施是有效的。但由于 问题,建立在这一基础上的复查效果 很多操作风险的发生都跟人的因素有 也就可想而知。从这一意义上说,除 关,而且往往涉及多个岗位。在人工控 完善常规性检查外。国内商业银行还 制的情况下又会派生出新的风险,即串 应大力推广突击检查(即飞行检查), 谋作案或有权限人员的道德风险。解决 通过对真实状况下的经营活动进行检 这些问题的办法只能是实施系统(电子 查从而发现问题。 化)控制。但国内商业银行大多仍以人 4.以办法规定为主,操作手册缺 工控制为主,系统控制明显缺乏。 乏。标准化的流程是有效防控操作风 2.以审计检查为主,全面监控缺 险的关键。而实现流程标准化就需要 乏。同类型作案手法在同一家银行屡 明确各项业务的流程环节并以文字的 屡得手,跟银行对操作风险的全面管 形式记录下来。这就是前文提到的岗 理和监控缺乏有着直接关系。在以传 位操作手册。这一手册与传统意义上 统的审计检查为主的情况下,银行侧 的业务管理办法或规定不同,侧重于 重的是对操作风险的事中和事后管理、 以流程图的形式描述某项业务的流程 事前预防不足。而这种分散管理的状 及包含的全部环节,并详细分析各环 态也使得银行没有相应的岗位和部门 节潜在的风险点及应采取的防控措施。 对操作风险进行实时的全面监控,风 当然,操作手册编制工作的开展必须 险反应能力不强。对操作风险进行全面 得到高管层的支持。囵 2010年3月金 屯; I 79
