法律风险事前防范的重要工作包括:(1)建立法律风险评估及预警工作机制。建立法律风险事件数据库,对曾经发生法律风险的业务、岗位、人员及发生情况进行对应归类,并由法律部门长期跟踪重要的风险点,对可能发生法律风险的事件进行独立评估,并及时做出评估报告和向业务、管理部门发出预警;开展重大项目、重大案件法律风险进行定期评估,总结可能的法律风险点及其变化情况,并为业务部门提出相应的法律风险防控指引;对外部法律环境的定期评估,分析外部法律环境变化对现有经营结构、业务种类、操作项目的影响,做出相应的法律风险防控指引。(2)做好法律尽职调查。在银行发展新业务、新产品、新客户时,法律部门应集中优势力量全面跟踪参与,对其中可能存在的法律风险进行尽职调查,同时提供法律咨询、谈判、协议起草等多方面的法律服务。法律尽职调查应涵盖新产品的研制、开发、投入市场的前期风险观察;新业务的签约、履约和争议处理阶段;新客户的资质说明文件、商业信誉和资金实力;对遭遇或可能遭遇的突发事件或变化进行谨慎地评估,作出合理的判断,使法律风险降至最低。上述法律尽职调查报告必须经首席法律顾问签字确认并提交给业务、管理部门乃至董事会,作为决策的依据。(3)做好法律合规咨询。在业务部门、管理部门面临法律合规问题时,应当咨询法律合规部门的意见,尤其对于某些重大事项,应当取得法律合规部门的书面咨询意见,这对于法律风险的事前防范将很有帮助。银行员工在业务操作工程中遇到法律合规问题的,应当通过“法律咨询热线”随时咨询法律合规部门的意见。此外,有必要对于特定岗位的特定事项建立强制性咨询制度,对应当咨询却没有咨询的予以诫勉,对因没有咨询导致损失的予以处罚。
三是完善事中控制机制。银行法律合规工作人员以控制法律风险为前提推动业务发展,在动态的过程中对法律风险进行防控,包括对与业务开展过程中的合同协议文本法律风险的全程管理,以及整合外部法律资源,发挥外聘律师优势对银行经营过程中的法律风险进行防控。
关于合同全程管理。合同管理制度又分为合同文件管理、签约管理、合同备案管理、履约管理和索赔管理。所有合同的正本及复印件都由专门的合同管理员负责保管,任何人调阅都要履行手续;签约实行洽谈与签字分离制度,重要合同要由首席法律顾问签字确认,法律合规部门必须参加谈判和签字的全过程;签约之后,负责该项目的法律顾问要申请召开合同交底例会,业务部门负责人应参加,该法律顾问在会上要将重要合同条款的履行注意事项以及违约产生的风险进行详细讲述,力争做到防范在先;对履约过程,法律合规部门要进行全程跟踪,所有往来法律文件都要由其把关,防止留下于己方不利的证据;关于索赔,法律合规部门要做好一切准备工作,与业务人员密切合作,注意搜集索赔证据。
关于整合外部法律资源。外部律师与内部法律顾问在对公司的法律决策中扮演着不同的角色。内部法律工作人员能够专业地、准确地从银行的角度向外部法律专家提出银行所需要解决的问题,外部法律专家则在自身熟悉的法律专业领域中提供成熟和经得起推敲的专家意见。一个由内部自成体系的、全能式的运转机制与开放式的、有效的对外部法律资源进行管理整合的运转机制的有效匹配,有助于促进银行法律风险防控工作。
四是做好法律风险的事后化解。法律专职人员以最大限度地消除法律风险带来的不良影响为目标采取的法律风险事后化解措施。其方式主要包括:利用诉讼、仲裁手段最大限度地维护银行的利益,或者用和解等方式化解法律冲突;根据相关法律法规的披露要求,对相关重大事项进行披露,避免造成信誉及合法性危机。
关于诉讼仲裁管理。主要包括诉讼预案的制定、诉讼目标的论证,以及起诉、应诉及参与审理等工作,也包括对诉讼结果及其体现的法律风险的分析,不但承担救火队的作用,还要将精力转向对诉讼仲裁案件的分析、对业务的警示和预警工作,等等。
关于参与审核信息披露。什么样的事件和信息必须披露、如何披露、何时披露、披露前和披露后要做好何种准备工作、披露的文件如何起草、如何获得董事会的谅解同时尽量打消投资人的顾虑和敌意等,诸多问题都需要专业人员在技术上予以把关。
五、案例分析
业务持续性计划是银行应对“低频率、高损失”事件的管理机制和手段,业务持续性计划的有效性直接反应银行应对重大事件、危机的能力和水平。
让我们回到本章开头的案例中,德国国家发展银行向雷曼兄弟公司即将冻结的银行账户转入了三亿欧元是操作风险,反映出其应对危机管理的不力;而日本在在应对地震时的冷静、有序,反映出日本整个国家应对重大危机中的管理效率,反映出其业务持续性计划的有效性。
而在银行信贷员伪造房产证骗贷1600余万元的案件中,虽体现的是信用风险,但实质上是操作风险。在该案例中,银行信贷员伙同他人伪造房产证,然后拿到自己所在的银行去抵押贷款,经办人也是自己,凭一纸假房产证就顺利从银行里贷款七次,共贷出了1600多万元。这反映出银行操作风险管理的基础、内控制度存在着重大缺陷。而就其原因,银行内部存贷款考核指标的压力可能是内控失效的一个催化剂。
第三节操作风险管理相关问题的进一步探讨
一、对大型商业银行操作风险管理的进一步思考
近年来,通过开展案件专项治理和贯彻银监会操作风险13条措施等工作,国内大型商业银行操作风险管理能力有所增强。但是,外部监管部门和内部审计的检查仍发现和暴露出各行操作风险管理中仍存在着管理手段落实、管理基础薄弱等问题,操作风险损失乃至案件发生的根源仍未能得到根本性整治,操作风险管理能力有待进一步提高。
(一)对银行操作风险及操作风险管理的基本认识
操作风险与信用风险、市场风险一起被称为商业银行面临的三大风险。与信用风险和市场风险不同,操作风险存在着明显的特点:
1.风险的内生性
信用风险、市场风险是一种外生风险;而除自然灾害、恐怖袭击等外部事件引起的操作风险损失外,操作风险大多是银行可控范围内的内生风险。某银行对1998年以来操作风险损失数据的统计分析发现,疏忽违约、违规操作事件和内部欺诈事件造成的损失占全部操作风险损失的82.31%,因内部人员失职、疏忽和违规操作导致的外部欺诈造成的损失占7.96%,操作风险呈现典型的内生性特征。从这个意义上讲,操作风险的管理更依赖于业务操作的流程、制度、系统,更为考验商业银行的内部管理水平。
2.风险与收益的对应关系不同
对于信用风险和市场风险来说,一般原则是风险高收益高,风险低收益低,存在风险与收益的对应关系;而操作风险则不同,银行不能保证因承担操作风险而获得收益;而且,在大多数情况下操作风险损失与收益的产生没有必然的联系。也就是说,对信用风险和市场风险而言,风险是个中性概念,既包括潜在的损失,也意味着潜在的盈利机会,商业银行必须通过承担风险获取收益;而操作风险纯粹意味着损失,是一种管理成本,而非利润来源。
3.操作风险的多样性
信用风险主要来源于客户和交易对手方,市场风险主要来源于市场上的各种价格波动;而操作风险主要来源于内部程序、员工、科技信息系统和外部事件,可以说,操作风险几乎覆盖了银行经营管理所有方面的不同风险。操作风险损失广泛分布在公司金融、个人金融、支付结算、中间业务和资金业务等各业务条线,既包括高频低损的日常业务流程处理差错,也包括低频高损的重大损失事件。对信用风险和市场风险而言,银行可以借助业务产品组合的多样化效果降低整体风险,改善风险回报分布。但多样化不仅不能降低操作风险,反而会放大整体风险。因为业务越复杂,操作难度越大,发生损失的可能性就越大;同时,也意味着操作风险管理涉及商业银行的方方面面,是一个复杂的系统工程,不可能由某一个部门来实施集中管理,需要更具系统性,在整体机构层次上形成多部门、全方位、多层次的合力管理。
如果说,由于信用环境和市场环境的不同,国际领先银行先进的风险管理实践在国内商业银行可能会水土不服,那么,从操作风险的特征来看,操作风险管理属于内部管理的范畴,国际领先银行先进的操作风险管理对国内商业银行的借鉴意义更为重大。
2003年2月,巴塞尔银行监管委员会出台了《操作风险管理和监管的稳健作法》,提出了操作风险管理的10项稳健原则:创造合适的风险管理环境(原则1—3);建立操作风险的管理流程,包括识别、评估、监测和控制/缓释(原则4—6);应急计划(原则7);监管者的角色(原则8—9);信息披露的作用(原则10)。
2007年5月,中国银监会印发了《商业银行操作风险管理指引》,强调商业银行应从组织架构建设来明确职责,通过制定完善的操作风险管理政策、方法和程序来管理风险,通过适情计提操作风险所需资本来抵御风险,建立符合各商业银行自身业务性质、规模和复杂程度相适应的操作风险管理体系。
巴塞尔银行监管委员会、中国银监会关于操作风险管理的监管指引,以及国际活跃银行的良好实践表明,有效的操作风险管理是通过构建适宜的风险管理环境并实施流程控制来实现的。
适宜的风险管理环境包括董事会的高度重视并建立行之有效的管理体系、独立的内审队伍全面有效的监督检查,以及高级管理层对管理体系的有效执行。适宜的风险管理环境除了董事会和高管层的承诺外,至少还应包括以下几个要素:
一是政策,包括操作风险管理政策以及具体的政策、程序和步骤,便于不同的业务部门贯彻落实和对照检查;
二是组织架构,通过完善的组织架构界定各职能部门的责权关系和报告线路,以使各职能部门对自己的权限与职责始终保持清晰的认识,并调动足够的资源对操作风险进行有效的管理;
三是员工,要确保业务经营由一批拥有必要的经验、技能和资源的称职员工来担任,并确保风险监控和合规性检查人员的独立性;
四是激励约束机制,必须建立与风险喜好相适应的激励约束机制。操作风险的管理流程包括识别、评估、监测和控制/缓释。
(二)国内大型商业银行操作风险管理体系和机制存在的主要问题
从媒体披露的近年来操作风险损失事件和案件分析发现,有以下几个特点:(1)从层级看,操作风险发生的主要层级在二级分行及以下分支机构。二级分行及以下机构直接面对市场和客户,处于商业竞争的最前沿、利润创造的最前端,因此也是风险,尤其是操作风险最集中的区域。(2)从岗位看,前台柜员、客户经理、基层机构及网点负责人等岗位人员涉案情况最为突出。(3)从反映的问题看,主要是一些有章不循、违规操作、制度执行不力的问题。其中,不少案件不只是一个部位、岗位或环节违规操作,而且是多个部位、岗位、环节连续或同时不严格执行制度。(4)从监督管理环节看,内控体系中的主要监督管理环节和措施均不同程度地存在失效问题。
虽然操作风险的主要成因表现为基层机构内部控制薄弱,制度执行不力,内部人员违规,部分制度流程不健全等问题。若结合上述基层机构监督力量的调查情况,进行深入剖析,可以发现这些问题源自于深层次的操作风险管理体制、机制因素。