中国银行浙江省分行运营部 翁宏奋副总经理
(浙江大学金融管理高级研修中国银行班学员)
摘要:基于我国商业银行在操作风险管理总体上较为薄弱的现状,本文重点分析了商业银行操作风险的特征及我国在此方面存在的问题、产生的原因,在此基础上建立了较为健全的操作风险管理机制并探讨了其配套措施的完善,以实现对操作风险的全面管理。
关键词:商业银行 操作风险 新巴塞尔资本协议 管理模式
一、我国商业银行操作风险的现状
(一)我国商业银行操作风险的主要表现
近期以来,我国商业银行的操作风险案件呈现出了快速增长的势头,具体表现为:银行操作人员假借客户之名为自己办理授信业务;化整为零,绕权办理授信业务;账外发放贷款;对明知没有真实贸易背景的客户办理银行承兑汇票和票据贴现业务;滚动循环为客户签开银行承兑汇票;票据查询留于形式;贷款的“三查制度”不落实;未执行抵押贷款的登记制度;无限放大对个人按揭贷款发放金额;假冒客户办理存单及密码挂失,冒领客户存款;上门收款不入客户账;空存存款;银企对账不及时;凭银行本、汇票的留存联制造假本、汇票;不严格执行印、押、证三分管制度等等。概括来讲,我国商业银行操作风险的主要表现形式有以下的特征:
1.风险金额巨大,风险损失巨大。近几年来,我国商业银行的操作风险损失总体数量、单比损失呈快速上升的趋势。2004年,我国工、农、中、建四家国有商业银行发生操作风险案件达到300多起,涉案金额4亿多元,同比上升25%。2005年,相继爆发了几起操作风险大案要案,如中国银行哈尔滨市河松街支行10亿元人民币存款诈骗案,以及涉及山西省太原市多家银行的10亿元人民币存款诈骗案等等,涉案金额多数无法追回,给国家和银行造成了巨大的资金损失。
2.银行内部人员作案占有较高比例。银行内部人员独立作案以及银行内部人员与外部人员勾结作案所占比例较高,甚至达到操作风险案件的80%以上。银行工作人员掌握着客户和银行大量的商业秘密,有比较便利的作案环境,只要有作案动机,铤而走险,成功的概率一般较高。
3.操作风险案件多集中在支行一级的营业机构。目前我国支行一级的营业机构几乎可以有权办理银行的所有业务品种,在缺乏现场实时有效监督的情况下,支行一级营业机构自然就成为了操作风险案件的多发地。
4.银行高级管理人员涉案的比例在增加。
5.操作风险的作案手段呈现出高科技化发展。这主要表现在利用计算机技术通过网上银行、自助银行作案的数量和数额逐年增加。如利用虚假银行网站窃取客户密码、账号,利用网上银行测试、摄像机偷拍、外接电子设备盗取客户密码等办理款项支取,其中涉及银行卡的案件、利用计算机系统虚增计息积数、盗用联行在途资金较多。
6.国有商业银行的操作风险案件居多。在频繁的操作风险案件中,国有商业银行要多于新兴股份制商业银行,这说明我国国有商业银行在体制、机制上存在着严重问题,国有商业银行的所有者与经营者之间关系模糊不清,责任不明,带有浓厚的机关作风。而新兴股份制商业银行重视对操作风险的防范,能够对操作风险进行有效的管理,产权明晰,责任明确。
(二)我国商业银行操作风险管理存在的问题
由于我国的大多数银行对风险的管理和控制机制还不完善,长期以来无论是银行管理层还是学术界,都一直将焦点和重心集中于银行的信用风险和市场风险的管理方面。对于操作风险,我国银行界尚未予以足够的关注,使得商业银行的操作风险管理无论是在理论知识还是在实践经验的积累上都处于较低的水平,绝大多数银行没有建立起有效的操作风险防范与管理机制。从总体上来说,我国商业银行对操作风险的管理比较薄弱,突出表现在:
1.操作风险管理职责分散,没有统一协调的、专门负责管理操作风险的部门,不同类型的操作风险由不同的部门负责。各职能部门既是制度的制订者,又是制度的执行者,部门之间缺乏良好的沟通,不但使得操作风险的管理缺乏整体性和协调性,还使得有些操作风险无人管理。
2.制度建设步伐滞后,执行不畅,缺乏约束力。我国银行业在风险管理方面往往先开展业务,后制订规章,由此而引发大量风险。制度执行不畅会使原先制订的制度形同虚设。
3.操作风险管理战略和政策不明确,标准不统一,风险偏好和容忍度不清晰,没有一整套操作风险定义、识别、监控、转移等管理系统。
4.缺乏内部信息沟通机制以及与外部的信息沟通机制。其表现是操作风险信息自下而上传递渠道不畅通,使得决策层难以了解真实情况;高级管理层关于操作风险的决策在自上而下的执行中大打折扣;商业银行与外部的信息沟通亦不畅通。
5.重事后管理,轻事前防范和事中控制。银行对已发生或已存在的风险很重视,试图对其实施严厉的处罚来遏制风险的出现,对事前的防范和事中的控制则关注很少。
6.重基层操作人员管理,轻高层领导人员管理。对高层管理人员仅有离任审计,没有日常稽核监督。
7.重视审计稽核,轻视全面管理。将操作风险管理职能赋予内部审计部门,而非风险管理部门,从而造成很多类型的操作风险(比如系统因素引起的操作风险)无人管理。
二、我国商业银行操作风险产生的原因
(一)企业产权与人力产权的不明晰
首先,如果商业银行的产权不清,就有可能发生违背商业银行利润最大化原则的事情。我国国有商业银行高管操作风险事件要高于股份制商业银行的主要原因是,国有商业银行产权还不清晰,所有者缺位的问题没有得到有效解决。
其次,与所有的产权一样,银行员工的人力产权,包括控制权和收益权。控制权包括职员换岗权和职员操作权,收益权对应的是职员收入权。经济学上有一个结论:控制权与收益权一一对应,即员工换岗权和员工操作权的状态,决定了职员收入权的质量。这意味着,在员工收入权不变的情况下,银行员工所承担的个人风险大小,源于员工的换岗权和员工操作权的状态。员工操作权的状态不佳,员工操作权边界不清均会导致操作风险发生。
(二)个人理性与集体理性的矛盾和冲突
银行员工与整个银行之间的关系实质上是一种个人理性与集体理性的关系。
对于职员个人来说,银行每一个职员的操作行为,都是职员投入人力资源,规避个人风险,实现个人价值的过程,这属于个人理性。在这个操作过程中,银行需要职员投入人力资源去规避银行风险,实现银行价值,即去实现集体理性。而银行职员自身却希望通过投入人力资源去规避个人风险,实现个人价值。由于个人价值与银行价值的要求不可能完全一样,还可能完全不一样,即员工的个人理性与银行的集体理性相冲突。这时,由于人力资源附着于职员个人身上,职员首先会去想方设法规避个人风险,实现个人价值。这时,银行的操作风险就发生了。换言之,职员操作失当将给银行带来操作风险。
(三)规章制度不健全以及内控制度执行不力
1.缺乏健全有效的内控体系。这主要表现在内控系统理论研究滞后,无法指导实践。在内控对象上是以补救型为主而不是预防型;在内控主体上是以突击审计为主而不是常规审计;在内控程序上是单一程序控制而不是复合程序控制;在内控制度建设方面是无效的权力制衡和非有效的制度执行与风险监控;在内控机制上是滞后的内控系统管理而非同步管理。
2.近年来,电子计算机在商业银行中得到广泛应用,使金融业务实现了一次革命性的转变,但是电子计算机处理信息也存在问题。例如,电子计算机更改记录与处理程序集中在一起,不留痕迹,因而容易出现问题,而且问题一旦出现极不易追查。此外,银行电子化建设主要集中在业务一线,内控部门未形成一套科学有效的内部电子监督、预警系统。稽核仍是看报表、翻传票、查漏洞的老一套,内控效率低,局限性大,时效慢,反应不够灵敏,内控信息不系统、不完整,系统支持和运作能力的复杂程序,与银行业务活动量的大小和复杂性不相协调,不能容纳所从事的各类越来越复杂的银行业务。这些缺陷和不足之处都是操作风险形成的原因之一。
3.内部约束不力、规章制度不够健全或执行不力。
(1)制度建设的滞后,前几年出现的盲目投资、炒作证券期货、办公司经商以及由此造成的巨大损失,很多都与没有现成明确的制度规定有关。
(2)规章制度的漏洞很多,许多制度多是从方便自己工作的角度考虑,而从方便客户和防范风险的角度考虑却很少。
(3)有章不循,各项规章制度在实践中也没有得到认真执行,有的甚至是上有政策,下有对策。近年来,有关银行多次对分支行会计科目的使用情况进行检查,发现普遍存在科目随意使用、账户核算混乱、会计统计信息严重失真的现象。
(四)银行管理人员的素质不高
银行内部的管理人员由于受传统专业银行体制的影响,部分管理人员对现代银行管理理论与方法缺乏系统的了解,对体现银行管理水平的内控系统认识不足,没有把内控这种自我调节、自我制约、自我控制的自律行为系统作为管理工作的重要组成部分,缺乏强化内控的自觉性和主动性。加之随着金融创新业务不断增多、服务领域不断拓展、银行内部队伍素质不高,有些操作人员的业务素质滞后于日益发展的银行业务,这已成为操作风险发生的原因之一。
(五)外部监管不力和稽核审计部门缺乏应有的权威性
1.外部监督机制不健全,中央银行监管不力。首先,我国中央银行独立性不高,货币政策主要是配合政府的宏观调控目标,而执行结果事实上是损害了国有银行的利益,使风险处于不断扩大之中。其次,中央银行监管不力,对违规违法行为查处不力,导致金融秩序混乱,必然形成银行风险。最后,中央银行监管手段落后,对新业务包括金融创新监管滞后,形成金融业务监管失控,每一次国有银行业务创新,必然会伴随着新的操作风险出现。
2.稽核审计部门缺乏应有的权威性、独立性、超脱性、制衡性和全面性。稽核部门对已发生的经营行为进行监督,是事后监督,没有渗入到经营管理的开始与过程中进行监督,稽核手段落后,工作效率低下,内部稽核人员数量不足,素质偏低,知识结构不合理,且得不到及时培训与更新,内部审计有时留于形式。查出来的问题也不一定得到应有的处理。监察系统对近年来银行各种案件的分析结果也表明,有章不循、检查监督不力是案件居高不下的重要原因。
三、对我国商业银行操作风险管理模式的探讨
(一)我国商业银行操作风险管理模式分析
我国商业银行操作风险管理模式,可借鉴国际经验,建立完整的操作风险管理体系。
这个体系应基本覆盖操作风险的识别、评估、检测、稀释、控制和报告等程序和环节,并在此基础上建立覆盖整个银行的操作风险管理战略和政策。具体可从以下三个方面展开:
1.操作风险管理组织结构。为了确保操作风险管理活动被很好地理解和执行,管理层应该为操作风险管理确定一个组织结构,设定个人在风险管理过程中的任务和责任,并使每个人清楚地了解自己的任务和责任。
在这个管理架构中,首先,关于高级管理层(董事会或同等的机构)的任务。操作风险管理的最终责任应由高级管理层承担,这种责任要求高级管理层对本银行的产品、业务过程和相关风险有全面的了解。实践表明,高级管理层应该设立一个委员会(或适当的机制),负责操作风险管理实施过程中的授权和日常决策工作,同时确保操作风险管理过程正常运行。此外,操作风险管理委员会要加强部门之间的沟通协作,定期不定期召开操作风险管理联席会议,分析内外部操作风险形势,评估风险暴露程度,研究制订防范措施。其次,关于操作风险管理职能部门。应建立独立的操作风险管理职能部门,其任务是辅助高级管理层完成其操作风险管理责任。这一任务将通过两方面完成,一方面是评估、监控和报告银行整体的操作风险,另一方面是评定风险管理是否按照操作风险管理战略和政策执行了。最后,设立操作风险经理岗。操作风险经理既对本部门负责,又要向上一级操作风险管理部门负责,从而形成一个以操作风险管理委员会为中心,横向拓展到相关部门,纵向延伸到基层营业网点的操作风险全面管理体系。扁平化改革成熟后,可实行操作风险经理派驻制或下管一级。
2.操作风险管理战略和政策。①就操作风险管理战略而言,为了使操作风险管理框架有效运行,一家银行需要识别其利益相关人,并了解他们的要求和银行对他们的义务,这有助于在决定操作风险管理战略时识别关键业务的驱动者和相关目标。明确了这些目标后,银行应该考虑它在实现这些目标的过程中面临的挑战,以及不去实现这些目标的后果,从而建立起一套操作风险管理战略。②就操作风险管理政策而言,操作风险管理政策是为所有关键业务及其支持过程制订操作风险管理标准和目标,操作风险管理的方法内含于这些政策之中。这些政策应该能够建立起一种机制,使得银行能识别、测量和监控所有重大的操作风险。
3.操作风险管理过程。
(1)风险识别。操作风险识别过程应该以当前和未来潜在的操作风险两方面为重点。这个过程应该考虑到以下六方面的因素:①潜在操作风险的整体情况;②银行运行所处的内外部环境;③银行的战略目标;④银行提供的产品和服务;⑤银行的独特环境因素;⑥内外部的变化以及变化的速度。识别操作风险的过程中,应该考虑到风险的所有潜在原因,包括交易过程、销售活动、管理过程、人力资源、卖方、技术、外部环境、灾害、越权/非法行为等等。
(2)风险评估和量化。操作风险被识别出来之后就应当加以评估,决定哪些风险具有不可接受的性质,哪些应该作为风险缓解的目标。风险评估和量化的作用在于,它使管理层可以将操作风险与风险管理战略和政策进行比较,识别银行不能接受或超出机构风险偏好的那些风险暴露点,选择合适的缓解机制并对需要缓解的风险进行优先排序。银行应该选择或开发适当的模型,以适应每一种风险的量化需要。
(3)风险管理和风险的缓解措施。银行应该设计并实施具有成本效益的风险缓解措施,使操作风险降低至能够接受的水平。在风险管理和缓解的步骤中,重要的一点是要将实施措施的责任明确地分配下去,并确保责任人有实施措施的动力。
风险管理和内部控制程序应该由各个业务单元建立,但可能需要风险管理职能部门的指导。
尽管对每一家银行来说,适用的缓解措施的范围和性质可能有所不同,但适当的缓解措施都需要考虑以下领域:外部责任(例如外部监管、法律或其他要求);变革管理;新的交易对手和客户;内部控制;责任的界定;协调;信息系统管理;为附属或参股的第三方提供服务;专业人员和人力资源;业务连续性规划;内部审计和风险管理职能部门的责任;保险。在上述过程中,尤其应强调的是,应当将内部审计从以平级审计转向以自上而下的垂直审计为主,并且审计部门出具的结果应该直接向总行董事会汇报并落实相应的改进措施。
(4)风险监控。高级管理层应该建立一套操作风险监控程序,以实现以下目标:①对银行面临的所有类型操作风险的定性和定量评估进行监控;②评估缓解活动是否有效和适当,包括可识别的风险能在多大程度上被转移至银行外部;③确保控制充分、风险管理系统正常运行。应该为操作风险建立风险衡量标准或“关键风险指标”,以确保重大风险事件的相关信息被传递至适当的管理层级。内部审计部门或其他有资格的部门应该实施定期的检查,分析控制环境、检测已实施的控制的有效性,从而确保业务运作在有效的控制下展开。
(5)风险报告。操作风险报告过程应该涵盖诸如银行面临的关键操作风险或潜在操作风险、风险事件以及有意识的补救措施、已实施措施的有效性、管理风险暴露的详细计划、操作风险即将明确发生的压力领域、为管理操作风险而采取步骤的状态等方面的信息。并且这些信息应该满足以下要求:①使高级管理层和经营者能够确定风险管理职责的委派是有效的,并且他们对操作风险管理的要求得到了满足;②使整体风险预测能够与银行的风险战略和偏好相比较,得到评定;③使关键风险指标得到监控,可以判断出采取措施的需要;④使业务单元能够确定对关键风险的控制已被成功地实施,有关信息也得到传递;⑤风险管理过程的重复。以上所述的风险管理过程是一个不断重复的过程。风险管理职能部门应该确保关键操作风险管理活动以适当的频率重复进行,例如每年、每半年甚至是每季度一次。
(二)完善内控制度建设,提高我国银行操作风险管理水平
2002年9月,中国人民银行就颁布了《商业银行内部控制指引》。2005年1月,中国银监会又颁布了《商业银行内部控制评价试行办法》,推出了商业银行内部控制的五级评价标准。这些措施旨在督促商业银行健全内控机制,为全面风险管理奠定基础;同时也反映了建立和完善内控制度对促进我国银行操作风险管理的必要性和紧迫性。对商业银行而言,内控制度建设对操作风险管理尤其重要。银行的理念或经营规则是否被遵循,风险是否被控制,问题不在于个人是否诚实,而是在于控制机制的建立和执行中,隐瞒失误或不能发现失误的情况是否可能存在。
内部控制是一个动态的、立体的系统。内部控制应当渗透到商业银行的各项业务过程和各个操作环节中,覆盖所有的部门和岗位,并由全体人员参与,任何决策或操作均应当有案可查。
一个完善的内部控制制度包括很多方面,包括合理的组织结构、完善的制度体系、健全的会计制度、独立的内部稽核部门、健全的人事制度、合规合法与欺诈控制、严格的计算机风险控制系统。内控制度的全面建设是有效防范和化解金融风险的关键。内控制度建设的目标是最大限度地利用银行内部资源,保证业务经营的健康快速发展。加强商业银行内控制度建设可从以下四个层面入手,需要处理好四个方面的关系。
1.制度设计上要确立分层定位的思想,完善制度系统。商业银行要对内部的各层次、岗位进行合理有效的分工,这是实施内部控制制度的基础。商业银行的内部控制体系要从决策层、管理层、操作层来分别设计,同时要适当考虑操作层面制度设计的弹性,确保制度执行的可操作性。①决策层面,要完善公司制的法人治理结构,通过银行股份制改革,建立起现代企业制度,加强对管理者的监督控制。②管理层面,要建立运作有序、反应迅速、调整及时、评价合理的内部控制组织体系。
③业务操作层,要建立能涵盖各业务岗位、业务品种的内部控制制度,要制订出切合实际的业务操作规程,明确各层次、各岗位在业务操作中的责权划分,按各自的工作性质、权限承担相应的工作责任。要在健全资本金制度、全面实行经济资本管理的基础上,对包括本、外币在内的资金交易、证券交易、衍生工具等表内表外业务,建立完善的内部监督与风险防范制度。在银行会计核算业务上,要按照授权分责、监督制约等安全谨慎原则建立严密的会计控制制度。会计主管实行委派制,不参与具体经营业务,保障财物、会计信息的完整性、准确性、客观性。在信贷业务上,要建立有效的内部控制制度,优化信贷资产结构,预防、降低信贷风险,坚持信贷资产的安全性、流动性和盈利性原则,提高信贷资产质量。建立全面风险监测及预警系统,科学设定便于操作的量化指标。
2.制度执行上要引入科技手段,保证内控效果。利用计算机模型建立商业银行动态的风险评估系统。完善信贷业务的风险评估程序,制订全行统一的信贷业务评估操作流程,实行信贷业务事前、事中和事后监督。重视新业务的风险评估,及时对不断变化的环境及条件作出反应。利用计算机技术,建立健全银行电子风险预警系统。加强电子化风险控制,通过利用现代信息处理和通讯技术手段,对银行庞大的数据库进行分析预警,提高银行对风险事件的反应速度。通过对历史案件的模拟分析建立风险预警模型,利用该模型对数据进行实时筛选,实时提供预警信息,对预警信息及时进行现场监管分析,及时查堵风险点和风险源,提高银行风险防范的针对性和实效性。提高会计信息的核算质量,加快会计信息的传递速度,增强会计信息的分析能力。
3.制度评价上要采用弹性模型,力求科学性。“没有执行的制度比没有制度更可怕”,要保证制度的执行力就必须建立科学合理的内部控制考核、评价、监督体系,同时要考虑地区经济差异采用合理的弹性模型。制度评价要采用合理的弹性模型。内控评价要尊重客观,正视差异,不能搞“一刀切”。对不同经济地区要通过设计适当的弹性系数来客观地评价其制度执行情况,否则必然会在制度评价的误导下弄虚作假,形成内控建设的负面影响。要根据内部控制的目标,建立健全内控组织体系。必须把一批思想素质好、业务能力强的优秀人才充实其中,并配备一套科学合理的执行、评价体系。利用现代化手段建立有效的内控监督体系。控制措施必须渗透到各个业务领域和各个操作环节,覆盖所有的部门和岗位,并真正做到相互制约。强调内控机构的独立性,要将内控监督部门和管理、执行部门适当分开,使其具备执行检查的权威性、震慑力。
4.要注重内控文化建设,建立长效机制。培育商业银行内控文化的核心是要培养全体员工的法制、规范意识,形成浓厚的制度执行氛围。培育内控管理文化,就是倡导和强化内部控制意识,使全行员工增强内控制度执行的自觉性。培育银行的内控文化,必须树立四种意识,即人本意识、责任意识、成本意识和创新意识。
在此基础上,加强商业银行内控制度建设必须处理好以下四个关系:
(1)要处理好内部控制与外部监管的关系。在强化银行内控制度建设的同时,要充分发挥外部监督功能。人民银行和银监会可以从整个银行业所面临的风险来指导各商业银行进一步强化内部风险控制,并及时发现整个行业可能发生的潜在风险,避免金融风险的进一步扩大。通过外部审计机构对银行业的审计,可以发现一些银行内部审计、检查所不能发现或忽视的问题,从而更好地规范经营。因此,银行内部审计要与外部审计有机结合起来,形成信息共享、共同监管的机制。
(2)要处理好内部控制与业务发展的关系。要在业务发展中加强内控,在内控中促进业务发展。在业务发展的过程中要保证内控措施的落实,使“内控优先”的理念能够贯彻到业务经营的各个层面。正确理解内控制度建设在商业银行业务发展中的基础性地位,辨证看待内控与发展的关系,确立科学的内控管理理念。
(3)要处理好内部控制与对外服务的关系。服务是银行业永恒的主题,加强银行内控建设须处理好与对外服务的关系。从本质上讲,银行的内控建设与对外服务是相辅相成的,不存在对立的关系。银行与客户的关系要建立在和谐、双赢的基础上。如将相关服务条款融入到内控建设体系中,形成规范的服务标准,则会带来内控和服务双赢的局面。鉴于当前银行业激烈的竞争态势,银行的对外服务主要体现在品牌和产品上,服务品牌的创建对人的素质有很高的要求,需要从制度上加以保证;而加强以理财为主要营销手段的增值服务,则更需要内控制度的保障。理财产品电子化程度较高,品种较新,如果相应的内控措施不能跟上,则易形成新的风险点,影响银行的整体形象。因此,在内控建设和对外服务上要做到用爱心服务客户,用制度控制风险。
(4)要处理好内部控制与改革发展的关系。强化内控管理是银行稳健经营和可持续发展的基础。改革是对不适合生产力发展的生产关系进行调整的过程,是保证生产力发展的必然要求。内控制度的建立和完善过程也是银行业改革的一个组成部分,同时强化内控管理也是保护改革发展成果的必要措施。在处理内控建设与改革发展的关系上,既不能用旧的内控制度来约束新的发展趋势,也不能易改革的名义放弃内控管理。当改革发展与现行内控制度发生矛盾的时候,要以法律为准绳,在充分确认风险可控的前提下进行操作,同时要及时修订完善相关的内控制度来适应改革形势的发展。