银行业的健康发展是社会进步和经济繁荣的基本保障,而能否有效地对银行的各种风险进行科学的管理和防范直接关系到银行的健康发展。随着银行业的产品日趋多元化、业务流程日趋复杂化、人文环境不断变化,操作风险管理日益受到关注。
自巴塞尔委员会在2003年公布了《操作风险管理和监管稳健原则》(SoundPracticefortheManagementandSupervisionofOperationalRisk),并于2004年将操作风险纳入《新资本协议》资本监管的范畴后不久,因国内银行发生了一些属于操作风险的违规事件,中国银监会正式要求国内银行将操作风险管理“提升”至与信用风险和市场风险管理同等的地位来予以重视。
早前听说,某大银行的高层“强烈要求”银行内部尽快提升操作风险管理水平,以达到《新资本协议》中操作风险管理“高级法”(AdvanceMethodologyApproach,“AMA”)的标准。笔者认为,如果能够把有关的达标要求视之为“只是一个最低的基本要求”(MinimumRequirement),而不是一个要“拼命攀附”才能达到的层次,那么到了这个时候,中国的银行全数达至国际级的操作风险管理水平,便指日可待了。
操作风险管理变革积极但步伐不一
回顾过去的几年,国内银行对操作风险管理的变革是积极的,但步伐不一。对此,笔者认为,总的来说,问题在于“对操作风险管理文化接受的预备程度”、“对规划部署的全盘考虑与适当的把握”和“实施起来的有效性和效率”等三个方面。
首先,在风险文化与识别方面,国内银行普遍未形成对操作风险管理比较统一的认知。例如,操作风险管理与内控的区别在哪?从事操作风险管理人员的工作与内部审计人员的工作之间如何划分边界?这样一些基本的管理问题仍未弄清楚。有些银行在认识上甚至仍停留在“操作风险管理的关注重点是在道德风险的阶段”——只要员工老实,所负的操作风险便会较低(此“道德风险”乃国内的用语,意为“干不道德(违规)的事情所产生的风险”,跟传统经济学上的“道德风险”(MoralHazard)所指不一样)。另外,一些由操作风险所引致的信贷损失到现在仍被归类为“信用风险”的范畴。这都导致许多银行不能很好地展开操作风险管理。
其次,即使一些银行的管理层非常明智,果断地决定把操作风险管理作为行内的首要任务,也制订了明确的时间表,但往往在实施的过程中遇到重重困难,又由于对遇到的问题没有从正确的角度去及时、有效地处理,以致效果不理想,最终没法跟上预设的步伐。
再次,正如一句俗话“万事起头难”,对于操作风险而言尤是如此。有别于市场风险与信用风险的实施所涉及的组织只是某些特定的部门,操作风险管理需要覆盖全行所有的业务部门和功能部门,而有关实施同时贯穿前、中、后台。因此,银行在规划阶段就已大费周章,对如何有效实施操作风险管理亦往往举棋不定,这样就会大大落后于同业。
六大要领
其一,切勿在操作风险管理工具的设计上做得过于精细。
我们需要清楚,在操作风险管理的问题上,其精神在于“管理”工作而不是“找碴”工作。我们希望透过有关操作风险管理的手段提升银行整体的操作风险管理水平,使员工通过参与,具备专业能力,去理解他们日常操作上所涉及的风险和有关管理手段,利用管理工具分析,让管理层得悉行内操作风险的风险暴露领域,从而采取行动,令监管机构可从资本要求上为金融体系做出维持稳定的保障。
“找碴”主要是内控和审计的工作。例如,笔者看到有些银行在风险点的设置上,做得非常“精细”,在一个流程上就找出了上百个风险点,那便很有可能反而影响了分析的重点,产生偏倚的分析结果。同理,若风险自查清单(RiskControlSelf-Assessment,“RCSA”)太长,或是关键风险指标(KeyRiskIndicator,“KRI”)太多,也是不适当的。
其二,必须具备相应操作风险管理的绩效考核指标。
对于一些不太涉及风险管理的中、后台功能的岗位,如前台人员,尤其是市场或销售的前线人员或管理人员,若没有将相应操作风险管理的绩效考核指标加诸于其销售、营业额等业务为主的绩效考核指标,进而作全面的工作考核,单靠他们的自发性或领导的训示,是无法对他们进行有效管理和激励的,最终只可能落得徒劳无功。
其三,不要否定领先实践在国内银行操作风险管理应用的可操作性。
有颇多的国内银行普遍存在着这样的想法:由于国内银行与国外银行在业务操作上的不同,且国外银行的工具普遍设计得太高,层次不够细化,因此认为国外实践的一些工具并不适合国内银行使用,或不可操作。过去20多年,笔者曾在多家不同国家的商业银行从事有关操作风险管理的工作,在操作风险管理实践中所看到的是,很多银行“故意”地把一些工具简化,从而在整体银行的操作风险管理上得出通用(Generic)的可比性进行分析。正是凭借这个“通用”的层次,国内银行便能具备可操作性。
其四,不要在职责分工不清楚之前推行操作风险管理。
“职责分工不清楚”,依笔者的观察,这是国内银行最常遇到的问题,也是最核心需要解决的问题。某些银行除了推行《新资本协议》定义下的操作风险管理,同时还推行多个涉及操作风险管理的“方法论”(如COSO,C-SOX和6-SIGMA等),因此,明晰的职责分工尤为关键,否则很容易让员工无所适从。
其五,在项目实施过程中,出现操作风险管理问题的时候,看问题的角度应着重于未来高效的动态管理流程的设计,而非一个个当下完美的静态项目产出。
笔者前述在项目实施的过程中会遇到重重困难,而解决问题的时间、角度和深度的把握最能影响实施的效果。
举个例子,在试点推广时,若遇到了所设计风险点的定义,与有关试点当地的业务习惯的定义不完全匹配时,我们解决此问题的重点应放在拼命研究如何把定义尽快修改好,还是考虑是否已有一个高效的流程和机制让当地的业务部门提出并作出修改呢?笔者的答案是后者。因为有关定义不匹配的问题,在日后必然会再发生,可以说是常见的问题。
所以,着眼点应放在处理有关问题的流程与机制是否到位,而决非花大量的时间在一些修订文字的工作上。因为,将来能否持续、有效地管理才应该是我们所关注的。
其六,别花过多的精力构建一个“完美的”操作风险管理规划。
“规划”本身不会帮助银行管好操作风险,管好操作风险依赖于有效地实施。而在长期的实施过程当中,必然存在很多变数,不要妄想一时的规划能预测未来。这并非说规划的工作不重要,相反,一个部署缜密的规划非常重要,它可以使项目经理和实施团队对以后的工作有所把握。但是,管理人员也必须小心,不要本末倒置,过分投入过多的资源以务求做出一个“完美的规划”。根本没有规划能谈得上“完美”,而实施过程中的“应变管理”更为重要。笔者看见有些银行花大量时间对操作风险规划一改再改,过了很久仍原地踏步(这当然也归咎于高级管理层普遍地举棋不定)。资源应着重投放在实施和推广。
总之,风险与价值,都是相对于资源投入而言。成本是耗费的价值,收益是实现的价值。经济学有一个结论,风险与收益一一对应。也就是说,规避风险和实现价值一一对应。全面提升操作风险管理已经成为整个金融行业的关注焦点和工作重心,无论是监管层、投资者,还是金融机构本身,都对全面风险管理提出了明确的目标和更高的要求。