外资银行风险管理与内控建设的启示
2018-07-07李泽楠
李泽楠
摘要:某外资银行是世界较大的银行财团之一,曾于十年前经历过内控失效事件,造成巨大的损失。文章根据风险管理与内部控制的基本理论,以某外资银行为例,重点分析了其内控失效的主要原因,总结其风险管控与内部控制制度重新构建中的主要措施和办法,为我国商业银行风险管理与内控建设提供有益的启示和参考。
关键词:外资银行;风险管理;内部控制;启示
某外资银行(以下简称A银行)是世界较大的银行财团之一,曾于十年前经历过内控失效事件,造成了巨大的损失。在危机发生后,A银行痛定思痛,对原有风险管理和内部控制制度重新梳理与建构,找到发生危机的原因,进一步的完善和改进了操作风险的管控制度,从而获得了新的更大的发展,其风险管理和内控建设对我国商业银行风险控制体系内部控制制度的建构具有重要的启示作用。
一、银行风险管理及内部控制建设的重要性
内部控制的基本框架源于美国COSO法案,COSO法案的内部控制要素分为五个方面,即控制环境、风险识别、控制活动、内部监督和信息沟通。从控制内容来看,该法案已从银行对财务会计方面的控制,逐步扩展为全面风险控制。内部控制建设要求越来越全面和具体,银行业的发展同更加需要内部控制,而银行业的内部控制又与普通企业有所不同。对于银行业来说,风险管理则是内部控制建设的重要方面,我国商业银行业的风险管理主要包含三个方面的内容,即信用风险,市场风险和操作风险。操作风险则更多地与内部控制有着密切的联系。银行业的稳定与发展除了信用及市场风险之外,操作风险也会引发巨大的损失,如交易人员操作失误,系统流程不健全,资金监管不到位等,都会对商业银行业产生较大影响。因此,银行风险管理及内部控制建设至关重要。
二、A银行内控失效的主要原因分析
在中国开展业务的外资银行并不是很多,受到的管控也较大,我国银监会对于银行业合规性要求非常高。外资银行一方面在开展个人信贷业务方面受到制约,其主要的盈利点在于投资,近年来由于中国经济增速放缓和银行业利润普遍下滑,导致银行业更加注重内部风险控制的建构,防范可能出现的风险,只能更多地向内部管理要效益。A银行的主要管理部门多是把控和防范风险的部门,其合规部负责法律合规的风险把控,营运风险管理部负责把控营运中的风险,信息安全部门负责企业的信息安全和技术风险的管理。A银行在内控制度方面是做得比较完善的,监督体系建设也很到位。例如永久监督制度、业务连续性制度、信息安全设置等,各独立监督部门开展多道防线的控制。同时,还有不定期的相互监督检查、建立材料存档证据、每月损失统计等等,都是A银行重视风险管理与内控建设的重要性的主要体现。我们知道,健全而有效的内部控制对企业操作风险具有“防止”、“发现”和“纠正”的三大功能,因此以下从这三个方面分析A银行内控制失效的主要原因。
(一)从“防止”的角度看,交易人员越权操作是引发事件的导火线
在内控制失效事件暴发前的三个时间里,股指期货操作人员的直接领导——上市产品部的负责人开始纵容操作员的越权行为,并在主管经理辞职离开后的一段时间出现了监管间断,在随后两个半月中,A银行投行交易部没有及时找到替代人选,上市产品部的监管处于“真空”状态:期货监管工具、现金流量表等风险监控机制形同虚设。至危机暴发前,操作员的直属领导每天只对净头寸风险限额进行检查,却没有按照规定使用头寸监管工具和交易数据库(ELIOT)监控交易人员的活动。由于放任自流加上存在监管的真空,风险发生在所难免,交易人员确越权操作成为引发事件的直接导火线。
(二)从“发现”的角度看,相关部门的监督管理形同虚设
巨大的头寸欺诈、频繁的虚假交易曾引发一系列风险信号,并不断反馈到投行交易部的上级领导和相关支持部门。如操作人员不成比例的收入水平、异乎寻常的现金流、财务数据异常、高额经纪费用、不断突破的风险上限、以及针对操作员的各种交易拉响了几十次警报。这些警报分别出自包括运营、资产衍生品、柜台交易、中央系统管理等二十多个部门的风险控制系统,涉及经纪、交易、流量、传输、授权、收益数据分析、市场风险等各个流程和环节。而有关部门却没有发现这些警报,反映出A银行的有关部门在这一事件中未对风险信号进行深入细致地分析,同时由于部门间缺乏有效沟通,监管工作不系统、控制措施不健全也未能有效查处操作人员的欺诈交易,这说明A银行的风险管理和内控制度是没有得到真正落实到位的。
(三)从“纠正”角度看,对违规交易行为未采取实质性的处罚措施
A银行曾于事件发生后不久对外公布了注册会计师审计和建议的报告,对此次风险事件进行了深刻检讨。在资产部门交易量快速增长的背景下,资源在支持控制部门与前台交易活动中的分配是极度失衡的;同时由于缺乏相应的地位,后台与中端部门的工作效率低下。信息系统建设也没有跟上日趋复杂的交易环境和流程交易,当时大量依赖手工操作,操作人员的高负荷工作使得现有的监控系统无法有效运转,且对违规交易行为未采取实质性的处罚措施,导致内部控制实施执行不到位,这说明事件发生的根源在于A银行内部控制系统建设的不完善和实施执行的不到位。
三、A银行风险管理与内控制度的重新构建
在内控失效事件发生后,A银行对其内控制度采取了一系列的调整措施,进一步完善銀行内部控制体系建设,主要做法是,在其董事会层面直接下设风险管理委员会,并增设运营风险管理部门,专门负责对银行营运操作风险的管控。同时,该部门独立于其他部门,发挥了监督的职能,也就减少了监督形同虚设的可能性。在重建的具体操作中,首先是风险识别,A银行建立了主要有新产品管理制度,在新产品开发过程中首先确认是否可能存在风险。其次是进行风险评估,评估这些风险的发生程度如何,主要有五个方面的量度:相关财务风险、法务风险、声誉风险、合规风险、信息安全风险。再次是看这项业务的重要性水平如何,如果重要,造成的损失会更大,则需要更多的监督。A银行就建立起了重要业务评估的一套流程,关键风险指标的设立,从而使风险评估更加清晰。最后是加强平时控制,建立了永久监督制度、外包管理制度和重要员工强制休假制度。风险虽然不可能完全消除,但是也有必要建立风险应急措施来保证一些关键业务在发生风险时,将损失降低到到最小的程度。
(一)重视营运风险防范,改变风险管控流程
A银行营运风险管理部门主要有以下责任:GPS(小组永久监督)、3RC(定期监督报告)、KRI(关键风险指标评估)、NPC(新产品开发监督)、MAM(敏感员工强制休假)、OEC(外包监督管理)等。针对营运风险的防范,A银行在事件发生后更加注重营运风险的管理流程重构。如新产品开发制度,在推进新产品研发之前,需要确保产品已经纳入后台的监管框架中,避免出现监管真空。同时营运风险还增加了员工强制休假的制度,针对有敏感权限的员工,需要强制其休假,以便及早发现问题。同时,在对平时常用的监督的系统进行修改或变更删除时,需要由经营运风险管理部门讨论后再提交技术团队进行评估才能更改,避免了操作人员随意修改的情况出现。此外,当控制的质量无法达到相应的标准时,则会引发系统警报,并逐级上传,避免了上级部门不能及时了解危机事件可能发生的情况出现。
(二)不断改良并升级监督控制系统
A银行现有的监控系统一直都在不断升级之中,其设计逻辑更为严密。系统触发的警报不只上报上级主管部门,也同时向总部传输,这也使得监管工作更加完善。同时对于强制员工休假也更为严格,当敏感员工在一定时间内未能按照规定进行休假时,系统将自动关闭员工权限,阻止其进行工作,进一步减少了人为监督造成的不足。系统还会对各部门进行的控制活动进行自动打分,当工作质量无法满足风险控制的基本要求时,系统会自动予以提醒,并将质量考核结果与绩效工资直接挂钩。
(三)进一步拓展风险控制企业文化建设
A银行在新的内部控制系统重建后,更加注重拓展风险控制企业文化的建设。首先,对新员工强制要求进行安全风险意识的培训并进行测试,以保证其具有安全风险管理的意识。其次,要求营运风险部门定期召开营运风险控制的会议,不断提醒员工注意其可能存在的违规行为。再次,在银行内部各公共场所都贴有相关的风险提示文字或提示语,提醒员工时刻注意安全风险的防范。A银行总部还会不定期地发送“钓鱼”邮件,以测试员工是否真正具有风险防范的意识。最后,A银行还制定了应急演练措施并不定期地开展应急演练,从而保证A银行在发生危机时,能够真正做到及时止损或将损失降低到最小程度。
四、对我国商业银行风险管理与内控制度建设的启示
A银行在经历了内部控制失效的事件后,通过重构风险管理体系和内部控制制度,并进一步加以完善,操作风险的防范制度和相应措施更趋于完备,这给我国商业银行带来了一些有益的启示。
(一)重视内控文化建设,进一步加强员工培训
内控文化及风险文化是银行业需要进一步加以重视的,只有对风险管理和内部控制予以充分重视,将控制质量与绩效挂钩,才能够使各中后台部门顺利完成其监督的相关职责工作任务。同时,对于重构建和改进的新系统需要及时召集员工进行相应培训,重视对员工开展风险防范和内控建设的文化素质培养,使银行上下对于风险管理和内控建设都有着深刻的认识和自觉的行动。
(二)完善监控体系及系统建设,进一步实现系统自动化控制
操作风险的控制是银行业风险防范和内控管理的重点。要做好操作风险的防范工作,除了需要增强员工的日常自我防范意识和真正落实单位内控制度之外,更需要逐步建立和完善信息系统的监控和监督,即进行系统的自动化控制是更为重要的方面,也是非常重要的一种控制方法。同时,建设一套自动化程度较高的单位内部控制体系也至关重要,当人为控制得到相应减少时,银行的系统控制的有效性就能进一步得到提高。
(三)建立各由部门人员组成的风险控制小组,减少沟通成本
一起事故或者操作风险带来损失后,有时并不能直接判断责任的归属部门。如果各部门之间无法有效交流和沟通,即难以及时找到责任部门和责任人员,那么应对危机的速度就会减慢,严重影响下一步工作的开展。这就需要建立起由各部门人员组成的联合风险控制小组,在危机发生时,负责部门监督的人员应当及时与监督部门联络,检查各自部门的实际情况,判断原因问题和责任的归属,及时明确责任并处理问题,从而降低沟通成本,提高工作效率。
五、结束语
A銀行作为经历内控失效事件并能重建内部控制的“经验”银行之一,其教训及改善都值得我国商业银行进行借鉴和学习,内部控制及风险管理的重要性也需要在整个行业高度重视的监管环境下不断加以完善,从而保证我国金融企业的持续稳定与健康发展。
参考文献:
[1]田宇.法兴银行哈尔滨分行风险管理研究[D].哈尔滨理工大学,2016.
[2]于泳波,等.我国上市商业银行内部控制及其要素关联性评价[J].财会月刊,2017(12).
[3]刘瑞文,等.国有商业银行内部控制在风险防范上的比较性研究[J].大庆师范学院学报,2018(1).
(作者单位:中国人民大学商学院)
