作者:陈胜、杨景逸
前言:操作风险管理指引时隔十六载迎来修订
国家金融监督管理总局(“金监总局”)修订发布的《银行保险机构操作风险管理办法》(以下称“《操作风险管理新规》”或“新规”)将于2024年7月1日起施行,2007年颁布的《商业银行操作风险管理指引》同日废止。《操作风险管理新规》是金监总局成立后首次对银行保险机构操作风险监管规则进行整合。[1]
商业银行操作风险引起的重大损失近些年时有发生,部分案件引发了全社会的广泛关注。我们认为《操作风险管理新规》的出台不仅是顺应国际银行业监管规则的变化[2],也是对于国内一系列操作风险事件案件的严肃回应,代表着今后金融机构操作风险管理工作完成重要优化升级。
一
操作风险在重大损失事件中进入国际银行业界的视野
国际银行业界对于操作风险(Operational Risk)的命名和初步定义完成于上世纪末。
商业银行作为经营货币的商业机构,从诞生之初首要关注的便是来自交易对手的信用风险(违约风险),随着商业银行投资活动的日益频繁,市场风险亦得到了业界的充分关注,而与商业银行经营活动如影随形的另一种风险迟迟未引起重视。
1995年,英国巴林银行的一名操作员违规擅自从事股指期权交易亏损近13亿美元,导致了有233年历史的巴林银行破产。同时期与之类似的还有一系列案件,这些案件造成的重大损失引起国际银行业界对于该种风险的关注。[3]
英国银行家协会最早展开对操作风险的理论研究,经过社会的广泛讨论形成了关于操作风险的共识,巴塞尔银行监管委员会吸纳了国际社会的共识,通过《巴塞尔协议II》定义操作风险为“因内部操作过程、人员、系统、外部事件等不完善或有问题导致的直接或间接损失的风险”,并将其纳入银行三大风险之一。
我国2007年颁布的《商业银行操作风险管理指引》基本参考了《巴塞尔协议II》对于操作风险的定义:由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。《操作风险管理新规》对定义语序作了细微调整:操作风险是指由于内部程序、员工、信息科技系统存在问题以及外部事件造成损失的风险。
根据定义操作风险分为由人员、系统、流程和外部事件所引发的四类风险,这四类风险又常常以内部欺诈,外部欺诈,客户、产品和业务活动事件等七种表现形式出现在各类事件案件中。(详见附表1)
二
操作风险在我国金融市场引发的重大案件
二十一世纪后,随着我国金融市场的进一步发展,操作风险引起的重大损失开始加速暴露在公众视野中,其中一些案件引起了社会公众的广泛关注。
(一)外部欺诈:某商业银行北京分行森豪公寓6.45亿元按揭贷款骗贷案
二十一世纪初,某房地产开发公司拟在北京开发“森豪公寓”房地产项目,但公司资金链吃紧,囿于项目土地出让金未完全缴纳,该公司无法自行办理抵押贷款。后该公司负责人以好处费诱使公司员工发动亲朋好友冒充“森豪公寓”项目购房者向银行办理按揭贷款。在找到二三百名假冒的购房者后,该公司伪造了大量按揭购房申请材料,并与假冒的购房者恶意串通以备银行业务及法律审查。
信贷员审查过程中发现部分申贷人资料存在疑点,但由于银行零售业务相关负责人收受贿赂,未严格执行信贷制度,加之外部律师出具的一百六十余份法律意见书均未能发现和揭示项目风险,致使该公司累计套取了近200笔贷款,涉案金额6.4亿余元,相应资金全部被该公司负责人挪用,“森豪公寓”项目成为烂尾工程。
案发后,2007年北京市第二中级人民法院对该公司负责人以合同诈骗罪等罪名判处无期徒刑,对该案件中涉及的银行职员以及外部律师分别以国有企业人员失职罪、出具证明文件重大失实罪判处有期徒刑。
森豪公寓骗贷案的发生反映出操作风险往往酝酿于重点岗位员工行为监督不力、重要岗位隔离工作失灵、审贷及委外制度漏洞、内控约束机制失效等隐患中。
(二)内部欺诈:某村镇银行董事长违规干预信贷业务发放贷款7.2亿元
山西省某地村镇银行在2012年11月6日发起成立,注册资本2000万元,发起行某城商行持股20%,其他自然人占股80%。2015年,时任该村镇银行董事长的刘某栋,指使时任该行行长的张某忠向其好友发放贷款。由于借款人不是当地人,在当地亦无产业,该笔贷款额度已超过行内注册资本10%并且没有可靠担保,行长张某忠对该笔业务疑虑重重,后董事长刘某栋威胁称:“资金我组织,我组织回来的资金我使用,都是短期贷款一个月,其他的你都不用管了,我跟行里股东都沟通了,你签字我审批往出放贷款就行了。贷款若不能办,赶紧滚蛋回家”。行长张某忠称其害怕丢工作便在贷款资料上签了字。
该村镇银行向借款人发放的贷款到期后未能及时收回,相关负责人员为掩盖问题,拆东补西多次倒贷。后来经过监管机构调查发现该村镇银行为掩盖问题累计倒贷23笔之多,贷款金额达7.2亿元,造成不良债权达1.2亿元。最终该村镇银行董事长刘某栋获刑八年,行长张某忠获刑六年。该案中的银行董事长违规插手信贷业务,以权代法,虚置审贷分离的内控制度,架空银行审贷委员会。业务部门相关人员放任违规行为,对贷款业务不作任何调查,甚至协助掩饰隐瞒风险问题,最终造成了重大损失。
从某村镇银行违规放贷案中可以发现公司治理结构的缺陷可能会导致内控约束机制失效、风险管理制度落空,进而诱发操作风险。
(三)客户、产品及业务操作风险:某商业银行“原油宝产品”事件
某行“原油宝产品”是某行面向个人客户发行的挂钩芝加哥商品交易所WTI原油期货合约的交易产品,某行作为做市商提供报价及风险管理服务。“原油宝产品”设计上不允许杠杆交易,个人客户需提交100%保证金。有业界人士认为,作为一款非杠杆交易产品,“原油宝”理论上亏损幅度至多是损失全部本金。
但随着2020年新冠疫情蔓延,全世界经济活动陷于停顿,原油价格剧烈波动,国际金融市场上首次出现负油价(原油交易还存在存储、环保等成本)。美国芝加哥商品交易所于2020年4月修改交易规则,允许期货合约期权负值交易结算。某行“原油宝产品”设计上缺乏前瞻性,规则欠缺合理性,负值结算的情况下未进行强行平仓,使得“原油宝产品”成为带杠杆的金融产品,投资者不仅损失全部本金,还倒欠银行巨额保证金。投资者声称购买产品时某行从未提及有“穿仓”的极端风险存在。产品收益和风险的剧烈失衡引发了社会的广泛关注,某行遭遇严重的声誉危机。事后某行因产品管理不规范(保证金条款不清晰、未开展压力测试)、风险管理不审慎(市场风险限额设置缺陷、市场风险限额调整和超限操作不规范、交易系统功能缺陷)、销售管理不合规等被监管机构处罚款合计5050万元并暂停了相关业务相关分支机构的准入事项。
某行“原油宝产品”事件是一起典型的操作风险事件,“原油宝产品”设计上存在缺陷,再加上原油期货出现负油价的极端外部事件,最终导致了投资者损失惨重。经协商沟通,某行对投资者们提出了多种和解方案,包括承担投资者因负油价情况出现产生的亏损等。同样开展类似“原油宝”业务的其他银行,因产品设计不同(移仓日更早),成功避开原油市场的极端情况。某行“原油宝”事件有产品设计及信息系统缺陷的原因,从其事后风险处置工作也可看出相关工作人员风险防范文化淡薄、金融消保理念落后,以至于酿成重大的声誉危机。
三
如影随形的操作风险
相较于信用风险和市场风险,操作风险大多属于银行的内生风险,具有形式多样,覆盖面广的特点。在我们近年来代理的多起金融借款合同纠纷案件中,可以发现商业银行业务过程中的操作风险无处不在。例如,在借款人评级过程中,虚报资料以提高信用等级。在借款人准入过程中,人为调整行业和规模类型以套用信贷优惠政策。在借款人授信过程中,降低标准,任意扩大额度,违规延长期限,资金用途不清,对于担保物位置权属状况不清。在签约及贷中管理过程中,提供协议、决议不规范,签署行为瑕疵,资金支用监管失灵。在贷后管理过程中,对项目监督检查不尽责,对风险苗头无法识别,直至发生违约事件。
在我们代理的某商业银行与某公司的金融借款合同纠纷案件中,借款人、保证人提供的股东会决议不规范,存在股东会决议记载股权比例错误、落款时间空白、关联股东未回避表决的情形,导致保证合同被人民法院判定无效。由于债务人查无可供执行财产,保证人连带保证责任的免除对该笔信贷业务造成了极大风险。
在我们代理的另一起某商业银行与某房地产开发公司的金融借款合同纠纷案件中,业务人员对资金支用的监管不到位,企业经营情况恶化后,该银行拟处置抵押的酒店、写字楼等商业房产。但由于贷款前的业务调查对于不动产限制交易的状态没了解清楚,未关注到当地土地政策要求酒店、写字楼与商业综合体必须整体处置,导致案涉抵押物在贷款逾期后无法单独变价。商业银行依法不能购买非自用不动产,亦无法顺利受让资产抵债,只能被迫将抵押物与其他非优质资产打包拍卖。适逢国内房地产市场低迷,经过多次流拍的资产包变价款无法足额清偿该银行债权,一项看似具备足额担保的贷款业务,因为押品调查不到位,最终无奈地发生了损失。
操作风险事件往往暴露出多方面的法律问题,包括公司治理结构缺陷、风险管理规则不完善、内控约束机制失灵、内外部监督机制不健全等,我们认为,不完善的操作风险管理机制、规则,不仅无法有效识别遏止风险萌芽,甚至会成为风险的诱发因素。
四
新规全面完善操作风险防控体系
《操作风险管理新规》结合国际监管规则变化,并吸收了近年来国内机构在操作风险管理方面的一些良好经验,针对实务中暴露出来的问题提出了更加全面和具体的要求。金监总局有关司局负责人就《操作风险管理新规》答记者问时指出,新规强调操作风险管理遵循审慎性、全面性、匹配性、有效性的基本原则。我们理解,《操作风险管理新规》主要从公司治理结构、风险管理制度、管理流程与工具、监督与内控等四个维度全面完善了操作风险管理机制。
(一)公司治理结构:完善高层责任、设立三道防线
《操作风险管理新规》延续了《商业银行操作风险管理指引》的基本设计,但在董事会、监事会与高管层管理责任方面做出了调整。董事会负责审批公司操作风险管理基本制度、操作风险偏好及其传导机制、审批操作风险信息披露制度,按年度审议操作风险管理报告。监事会将操作风险管理履职情况纳入监事会工作报告。高管层承担操作风险管理的实施责任,设置操作风险偏好及其传导机制,督促各部门尽职履责,并及时处理突破风险偏好及违反操作风险管理制度的情况。
《操作风险管理新规》要求各机构就操作风险防范工作形成三道防线,最前线是距离操作风险最近的金融机构各级业务部门和管理部门,第二道防线是金融机构各级操作风险管理和计量牵头部门,第三道防线是金融机构的各级内部审计部门。三线监督二线、一线的履职情况,二线指导一线工作,一线负责各自领域内的操作风险管理工作,三道防线责任明确,划分清晰,可操作性大为强化。
(二)风险管理制度:推进风险偏好量化管理、培育良好风险文化氛围
操作风险偏好指标设置与传导监控长期属于操作风险管理的难点,不少机构仅能够实现操作风险偏好的定性陈述,不太能够实现量化指标及其传导监控。[4]《操作风险管理新规》针对这一痛点提出应在整体风险偏好下制定定性、定量指标并重的操作风险偏好,每年开展重检。风险偏好指标应当包括监管部门对特定机构确定的操作风险类监测指标要求,其中可以包括案件风险率和操作风险损失率,这有助于金融机构更好推进操作风险偏好量化管理。
此外,新规提出在机构内部培育良好的风险管理文化。针对员工个人层面,新规强调需做好行为规范并明确职业道德要求。针对机构管理层面,新规强调应建立完善风险管理考核评价机制的,评价机制应兼顾操作风险管理过程及结果,评价结果有效纳入薪酬和激励约束机制。
(三)管理流程与工具:全面的操作风险管理工具体系
自我风险评估、关键风险指标监测是商业银行管理操作风险的常用工具。新规提出要进一步拓展管理工具,机构应当按统一标准汇总风险事件信息以建设操作风险损失数据库,可以选择运用事件管理、控制监测和保证框架、情景分析、基准比较分析等工具,并且鼓励机构开发风险管理工具。
风险损失数据库的内容收录范围可以按照需要金额从高到低,从内部损失事件延展至外部损失、几近损失事件。事件管理是对个案的操作风险事件进行分析评估,整改优化防止再次发生。情景分析是对假设情况的分析,适合于概率频率低,损失程度高的事件。基准比较分析是将风险评估结果与监督检查结果、同业评估结果对比互相验证用以监测工具有效性。
(四)监督内控:增加内控要求、设定报告机制
《操作风险管理新规》增加了五项重要的内部控制要求:第一,密切监测风险偏好及其传导机制的执行情况;第二,加强业务授权和系统权限管理工作;第三,建立重要财产的清查维护工作;第四、加强重要岗位隔离工作,建立履职回避、轮岗、离岗审计等制度。第五、强化对重点岗位员工的行为监管。
新规要求机构建立由前线至后方、由基层至高层的重大操作风险报告机制。一线向上级部门和本级操作风险管理部门报告,各级机构汇总本级和下级报告后向上级部门报告。机构总部每年向监管报告。各机构还应自行建立重大操作风险报告机制,及时向董事会、监事会、高级管理层和其他部门(内审等)报告重大风险事件。符合条件的重大事件要在发生后立即向监管报告:预计损失5000万元以上或资本净额5%(含)以上的事件、损失1000万元以上或资本净额1%的事件、严重侵犯公民个人信息及其他权益的事件、员工涉及非法集资类犯罪的事件等。
五
总结:防微杜渐,事成于细
历史不断告诉我们,诸多操作风险事件往往孕育于细微的隐患中,某项制度的缺位,执行工作的落空,监督约束的失效,信息技术的障碍,都可能在某些特殊的情况下,由偶然的因生出必然的果,继而引出山呼海啸的风险事件。这些事件不仅会给金融机构带来巨额财产损失、声誉损失,还危及整个金融市场的稳定。防范操作风险对金融机构及金融市场的健康持续发展具有重大意义。
风起于青萍之末,浪成于微澜之间。操作风险管理的首要原则即是审慎性原则,操作风险管理工作应当充分重视风险苗头和潜在隐患,有效识别风险,及时采取措施,下好风险防控的先手棋,努力把风险化解在萌芽状态。
附表一 操作风险的七种表现形式
[1]刘吕科 陈忠阳:《操作风险管理迈入新时代——评<银行保险机构操作风险管理办法(征求意见稿)>》,载《银行家杂志》,2023年9月4日。
[2]巴塞尔银行监管委员会于2017年12月发布《巴塞尔协议Ⅲ》,于2021年发布《操作风险稳健管理原则(修订稿)》及《运营韧性原则》,修订和完善了一系列操作风险稳健管理原则与标准,还明确了包括操作风险在内的加权资产计量与相关管理规则。
[3]1995年日本大和银行因其雇员在未经授权情况下买卖美国债券亏损了11亿美元;2002年爱尔兰联合银行的交易员为掩盖其期货交易巨额亏损的事实频繁进行虚假交易,致使该行损失7.5亿美元。
[4] 《新规新视界 | 银行保险机构操作风险管理新规视点:变化篇》,载安永EY微信公众号,2023年8月3日。
