1.体制方面
体制方面的问题主要体现为:(1)组织架构不合理,造成管理资源分散;(2)政出多门,部门银行的痕迹较浓,造成制度的可操作性较差;(3)对操作风险管理的激励约束机制不健全。
从组织架构上看,管理资源分散,“三道防线”缺乏有机整合,边界模糊,定位不清,监督检查交叉重复,信息分散,内部协调成本高,管理合力难以形成;在业务部门尚未建立真正意义上的操作风险管理团队,主要通过配备业务检查人员开展合规检查来履行第一道防线的操作风险管理职责。
从制度体系上看,制度设计不是从流程的自身要求出发,而是按部门职责来设计,由于部门职责的确定具有很强的主观随意性和边界划分模糊的问题,造成制度政出多门,体系庞杂,制度冲突与制度空白并存;而且,制度缺乏系统性梳理,制度的更新往往是“补丁”式的,制度的执行性较差。
从操作风险管理的激励约束机制看,一方面,目前的考核指标体系主要是存款、贷款、中间业务等业务性指标,偏短期利益,对基础管理考核比重很小,容易造成基层行重业绩轻管理,甚至不惜违规操作;另一方面,不科学的问责又导致风险掩盖,破坏操作风险的治理环境。激励约束机制不健全是风险管理基础薄弱,最终形成多个风险控制环节连环失效的“瑞士奶酪”效应。
2.机制方面
机制方面的问题主要体现为:(1)尚未形成主动识别和持续改进的操作风险管理机制;(2)尚未建立操作风险信息传递、报告、响应机制;(3)“技防”能力差,主要依靠人工操作和人工监督来控制操作风险。
从操作风险的管理机制看,操作风险的识别仍处于被动状态,主要依靠各内外部的各项业务检查及审计监督识别风险;同时,操作风险的控制偏重事后补救,事前、事中风险控制不力,检查发现问题的整改治标重于治本,缺乏持续跟进的机制,屡查屡犯的现象难以从根本上消除。检查发现问题的整改工作基本上由被检查机构本身来完成,整改重心低,多是就事论事,不能抓住问题的关键成因,未能从制度上、流程上去梳理,从面上系统地解决问题,整改工作的督促力度也有待加强,缺乏整改效果的评价。
从操作风险的报告体系上看,操作风险信息比较零散,没有及时传递和整合,对条线和层级操作风险整体状况缺乏系统性分析与报告,不能使各级管理层及时掌握所需要的操作风险信息,难以为决策层确定和及时调整操作风险管理政策和风险偏好提供决策支持;而且,对风险信息中所反映出的制度、流程、系统方面的缺陷缺乏持续解决的流程安排,导致风险信息泥牛入海,问题久拖不决。
从“技防”的情况看,IT系统对可疑、异常交易活动的风险预警和实施监控能力比较有限,还无法从技术上阻止违规操作通过;科技支持业务运行和服务的能力还比较有限,不少风险集中的业务环节还主要依赖手工操作,而且业务监测、监督检查等业务的自动化程度都还不高,这不仅影响了业务处理的效率,还增加了风险环节。而且,系统需求缺乏有效整合,以部门为单位重复开发、IT系统分散,流程不衔接,跨部门、跨业务的信息共享能力差。这也造成了数据录入重复,基层行数据维护压力大。
上述问题从更深层次原因分析,是由于缺乏有效的操作风险管理流程,近几年来国内大型银行虽然开展了大量的操作风险管理工作,但管理效能不高,风险控制效果不佳。从国际活跃银行的管理实践来看,有效的流程需要在一个整合的操作风险治理框架下运行,银行所有人员、岗位都通过参与到流程的运转过程中逐步达成共同的行为准则和风险理念,最终形成适合的操作风险管理环境。
(三)操作风险管理体系与机制的改进建议
1.采取矩阵式的推进方式
国际先进银行一般采取综合操作风险管理的组织架构,即由业务部门,风险管理职能部门和纪检监察、审计部门构成“三道防线”,总行各业务部门和一级分行应同时制订操作风险管理政策实施意见,制度、流程、工具则以业务条线为主组织实施,岗位设置、人员配备、激励约束以层级机构为主组织实施。
2.完善组织体系
总行风险管理与内控委员会下设专门的操作风险管理委员会,以利于更高效地履行管理职责,切实解决矩阵式组织体系可能造成风险信息分而不合的问题;总行各主要业务部门应明确一名部门负责人,专门负责本业务条线操作风险管理,并配备专职的操作风险管理人员,以切实履行总行业务部门作为操作风险管理第一道防线的管理职责。一级分行在主要业务部门设置操作风险管理岗位,负责本业务条线操作风险的管理、监测和报告工作。风险管理部门设置操作风险管理岗位,向业务部门提供专业化协助、技术支持和培训服务;明确基层机构委派会计主管、纪检特派员和风险经理的职责定位。
3.以开展操作风险与内部控制自评估为突破口,初步运行新的操作风险管理流程
风险管理流程包括风险识别、风险评价与衡量、风险控制和报告等基本步骤。自评估由总行各业务条线采取自上而下的方式组织实施,以实现对基层机构自评估所反映出的制度、流程、系统缺陷的快速响应和持续解决。在自评估推进过程中,逐步摸索建立关键风险指标(KPI)和损失数据库,实现对操作风险关键风险环节和指标进行实时监测和动态管理。
4.优化激励约束机制
一是完善操作风险考评。通过设定细化的、风险敏感度高的评价指标,对各分支行的操作风险管理水平进行准确评价,加大操作风险管理指标在KPI考核中的权重;同时,充分发挥操作风险经济资本调节作用,引导分支机构强化风险内控基础管理,提高操作风险管理水平。
二是建立科学的问责制度。从单一的处罚式问责和案件一票否决式的非常规问责机制,转向建立对主动暴露风险免责和对违规肇事严惩相结合的长效问责机制。
概括来讲,整合型的操作风险治理框架一般包括:(1)在总行(集团)层面上制定战略、政策和程序;(2)业务部门作为第一道防线,制订符合业务特点的、能覆盖业务流程各环节的操作风险评估标准和关键风险指标,具体执行相关政策、程序、标准,并进行检查评估、监测、控制;(3)风险管理部门作为第二道防线,协助、指导业务经营部门正确执行相关政策、程序和标准,评估业务经营部门具体活动中实施操作风险管理的有效性;(4)内审部门作为第三道防线,对操作风险的管理过程和管理系统实施再监督。在操作风险整合治理框架下,三道防线遵循统一的操作风险管理战略和风险偏好,在统一的风险识别、评估、控制的操作风险管理流程中,履行不同职责,实施协同管理。
二、关于制度建设
银行是经营风险的企业,通过经营风险来获取的收益。从这个意义上讲,信用风险和市场风险由银行主动选择、承担,并以此作为收入的来源,对信用风险和市场风险的管理和控制既是管理问题,更是经营问题;但操作风险(不健全或失效的内部控制过程、人员和系统或外部事件而导致损失的可能性)和由此产生的案件却是银行不愿意看到并极力消除的。防范和控制操作风险和案件是银行面临的管理问题,而不是经营问题。
在防范和控制操作风险的过程中,风险文化很重要,制度也甚为重要。对一个小型企业而言,共同的价值观和文化会驱使各企业成员积极应对各类风险,可能不需要很多的制度、规章;但对一家大型银行而言,分工的专业化、管理层级的广泛、产品的多样化都迫使其必须有各种各样的规章、制度来规范和约束各层级、各条线、各岗位人员的行为,制度和文化缺一不可,因为在实际工作中,制度不可能覆盖所有可能的风险,对此,风险文化必须起到作用。
银行的制度大多是在多年积累的经验、教训基础上形成的,还有很多是在出现重大案件后形成的,打着血和泪的印记。严格地执行各类规章制度不能杜绝所有的风险,但至少可以避免再犯同样的错误,避免再次出现同样的重大案件,遵章守纪、合规经营、规范发展是银行从业人员必须遵守的底线。
在这里,重点讨论一个问题:是否每一个国内商业银行员工都了解各项制度赋予自己岗位的尽职要求?若不了解,应该怎么办?
让每一个员工都了解各项制度赋予自己岗位的尽职要求是制度得以有效执行的前提。巴塞尔委员会出台的《操作风险管理的稳健做法》要求“高级管理层应负责实施经董事会批准的操作风险战略,该战略应当在全行上下得到一致的贯彻执行,各级员工应当了解其与操作风险管理有关的职责”;《内部控制框架》要求“高级管理层应负责实施经董事会批准的操作风险战略,该战略应当在全行上下得到一致的贯彻执行,各级员工应当了解其与操作风险管理有关的职责”。
在国内的商业银行,内部有各种各样的制度汇编、业务手册、岗位手册;而且,按监管要求、管理操作风险的自身需求,各层级、各条线加强管理、防控风险的通知更是层出不穷,通过各类系统下发,频率高、数量大。当然,这些制度汇编、业务手册、岗位手册、通知都极其重要,都必须严格执行;而且,若及时有效地执行了,就可能防范、堵塞案件的发生。
但问题是,每个员工都能够及时地学习、贯彻这些要求吗?在实际工作中,我们很难得到肯定的答复。问题不在于各层级不重视,不在于学习、培训力度不够,问题在于制度建设的机制自身。我们的这些制度都是针对机构的、针对业务的,不是针对岗位的,不是针对人员的。这些制度大多要求应该做什么、应该怎么做,却很少告诉员工哪些岗位应该做什么、应该怎么做,都需要进行认真的学习、领会后,从文件中找出各层级、各岗位的职责和尽职要求。即便有少部分制度、通知在出台时告诉了员工各岗位的职责和尽职要求,但没也不可能涵盖各岗位到目前为止所有的职责和尽职要求,这需要每个岗位人员自己整理、积累(在实际工作中,这明显是不现实的)。因此,出现了这样的情况:部分人员是制度方面的“专家”,知道他的岗位和其他岗位的所有(或大部分)职责和尽职要求,而“专家”当然是少数。在安排各项检查时,我们要列出一系列的文件作为检查的制度依据;在新的员工到岗后,需要很长时间的传、帮、带;接到新的文件后,需要花费大量的时间组织相关人员学习、领会……我们需要的不是这样的制度。
什么样的制度建设能够让每一个员工都了解各项制度赋予自己岗位的尽职要求呢?笔者认为,要想制度有可操作性,就必须简单、直接,就必须减少中间环节。
首先,每一项制度应该是针对岗位、针对人员,而不是针对业务或层级的,都必须将具体的职责和尽职要求落实到具体的岗位,没有落实到岗位的制度是不实用的,无法操作或难以操作;
其次,应该通过《岗位说明书》的形式明确每个岗位的职责、尽职要求、禁止性规定等,让每一个员工都能够通过《岗位说明书》清楚地了解自己的岗位职责和尽职要求;
第三,要实现《岗位说明书》的自动更新,每一项新的政策、制度都应该通过自上而下的方式自动地补充和完善到《岗位说明书》中,通过表单的形式实现岗位职责和尽职要求的积累,而不是通过岗位人员自己的积累。
要实现上述精细化、可操作性的制度建设,银行需要从以下方面入手:
第一,要有专门的部门牵头负责制度建设。在总行,要设专门的部门;在一级分行,要有专门的岗位。该部门或岗位主要负责:(1)牵头对目前制度的梳理、分解,将制度中的职责和尽职要求落实到具体的岗位,在此基础上制作《岗位说明书》;(2)负责对各部门出台制度的审查,保证将所有的职责和尽职要求落实到具体的岗位,并实现对《岗位说明书》的更新(对存量制度的梳理、制作《岗位说明书》是一项系统工程,可以选择少数条线或层级试点推行)。
第二,要有制度建设专门的系统。由于制度更新比较频繁,以手工、纸质形式明显难以达到要求,必须实现《岗位说明书》的电脑化和管理及时更新。每个岗位人员每天早上通过系统能够清楚地了解自己的岗位职责、尽职要求有哪些变化、需要注意什么,等等,而不必花费大量的人力、物力学习文件、理解文件、细化文件,也不需要老员工对新员工的传、帮、带。
若我们能够实现制度建设的精细化和可操作性的有效管理,就可能保证各级员工清楚地了解自己的尽职要求,清楚地知道哪些“规”必须遵守,哪些“红线”坚决碰不得,操作风险管理和案件防控工作水平将会取得大幅的提升。与此同时,还可以触类旁通,将服务的要求也明确在《岗位说明书》中,实现服务的系统化、标准化,提升对客户的服务水平。
操作风险管理必须精细化,而精细化管理必须有操作性强的制度作为基础。
