随着行业、国家、国际的监管要求不断上升,顾客的期望日益增加,以及由于全球化和恐怖主义带来新的不确定因素,金融操作风险涉及的范围不但越来越广泛,而且各因素的相互关联性也不断增强。在2005年金融风险管理国际论坛中,围绕操作风险管理这个论题,来自实践界和学术界的发言嘉宾提出了“金融服务业整合风险管理”的概念。就这个概念的理解,我们和嘉宾举行了进一步的对话。
Ansell:汇丰银行总行前风险管理总监、永续经营管理总监。BSI全球认证专家委员会(CAC)主席,标准政策和战略委员会(SPSC)成员。
Baring:美国金融学会亚洲区董事、全球风险标准管理委员会主席。澳大利亚莫纳什大学的风险研究执行董事。
主持人:蔡方方(BSI中国区金融行业经理)
主持人:
Ansell先生,您在本次论坛的演讲中提到上世纪的90年代汇丰银行遭受的各种灾难,包括1992年James Capel总部被毁,1993年24层的伦敦汇丰办公楼被毁,1996年12层高的保卫培训大楼被毁,2001年Ealing 分行被毁等,听众都觉得有点不可思议,这些情况真的发生过吗?
Ansell:
这些确实是真实的情况。大多数的人没有听说过汇丰银行曾经发生过这些灾难,是因为汇丰银行在永续经营管理方面做得非常不错,而且幸运的是这些事故都发生在非工作时间,没有造成我们的人员伤亡,到了工作时间,我们的应急系统都已经启用了,所以顾客没有感觉到太大的异常。当然,在首次发生比较严重的事故之前,人们对紧急情况的考虑也是不足够的。有个很重要的教训就是,我们的员工以前习惯于把文件放在办公桌上,结果当1992年爱尔兰恐怖分子袭击导致爆炸时,这些文件都飞到窗外去了,不但无法资料寻回,而且也导致了我们客户的机密泄漏。而且当事故发生时,大家都急于冲来帮忙,结果导致了更加混乱的场面。由此我们学到了很多教训,例如我们现在的政策是“清空办公桌”和电子化异地备份。
9.11事件之后,永续经营管理更加受到重视。后来我们接触到了PAS56《永续经营指南》,发现它是个很好的框架。于是,汇丰建立了CEO作为主席的危机管理委员会、主要事故团队以及营运恢复的重要性清单、时间要求、关键成员的行动列表等。当时我带领着团队,建立了主要事故手册,识别诸如资金转移、计算机中心、通讯网络等关键活动和关键资源,并建立了适宜的危机管理、灾难恢复、应变计划等,包括专设的应急场地,双用设施,非办公时间的沟通网络,资料异地保存等。根据这个指南的要求,我们所有营运单元都进行年度评估。为了避免过于自负,我们也进行了外部认证和试运行来确认计划保持最新。所以在汇丰银行的风险列表里面,这方面的影响已经被控制了。
主持人:
您谈到汇丰银行的风险列表,这个词在您的“金融服务业整合风险管理”的演讲中也多次被提到,您能与我们再谈谈汇丰在整合风险管理方面的经验吗?
Ansell:
我在金融业服务了30年,目睹了整个行业的操作风险从相对单一到越来越复杂的整个趋势。由于金融机构的独特性,汇丰银行认为,我们对社会最重要的义务,就是必须能够长期地稳定地存续经营。要做到这一点,就必须有一套整合的方法对所有的风险进行防范。基本的步骤就是,识别主要风险、评估并进行重要性排序;根据优先顺序寻找风险缓释的办法;并保证即使发生最坏的情况也可以持续经营。同时我们必须激励员工、监测绩效,真实地收集损失/错误的数据,并加以独立的评审,不断地予以改进。
主持人:
新巴塞尔协议把操作风险的成因分成人、流程、系统和外部因素四大类。汇丰银行的风险列表是否也是按照这种思路来对风险进行分类和管理?
Ansell:
从某种意义上来说,我们确实也按照这种方法来进行分类。而且我们发现前面两类因素导致的损失事件是最频繁的,所以经过一定时期的研究和数据积累后,我们主要把风险分为三种类型:第一类是发生频次高,但是影响较小的事件,通常表现为一些日常的疏忽、差错,例如错帐损失、项目风险、违反规定等。这些风险我们称为预期风险,它们在汇丰大约占有90%的数量和约1/3的损失价值。另外第二类风险是发生的频次较低,例如一年可能发生10-20次左右,而且其影响比较难以预测的,表现为欺诈、偷窃、抢劫、火灾、系统故障等事件,在汇丰占有大约9%的数量和约1/3的价值。第三类事件发生的频次更小,象汇丰这样的全球性机构,可能每年有1-2次,小公司就可能很多年都不会发生一次。虽然这类损失只占有约1%的数量,但是损失的价值仍然可以达到1/3的份额。它们包括海啸、恐怖袭击、地震等。可以想象,这类事件的发生可能直接导致公司无法经营。
从管理的角度,我们把前两者定义为次要损失,主要通过过程和质量管理来减轻,并且结合保险和其他手段进行转移。经过一定年限的管理,汇丰银行预期风险已经达到了可接受的水平,我们为此预留了相应的损失预算,已经作为我们经营成本的一个部分。后一类我们定义为重要灾难,主要通过引入“永续经营管理”的方法来减轻其影响。
主持人:
那么学术界对于“整合风险管理”的概念又是怎样理解的呢?
Baring:
虽然学术界很多主流的理论认为组织唯一的任务就是使得股东价值最大化,但是作为风险管理者,我们会看重很多方面的平衡,因为这些方面将直接或间接影响股东价值的实现。各个相关方的利益必须被考虑,比如顾客、政府、社会、环境、合作方、员工等,而他们各自关注的焦点又不一样。所以在整合风险管理中,我们把风险分成四个大类,分别是财务和市场、社会和政治、操作和运营、以及法律风险。当然,我们更多地把前两者统称商业风险,而把后两者统称为机会风险。在各个分类中有又很多的子集。
无论在何种情况下,管理的原则都是识别风险、决定策略。在对组织进行风险诊断时,我们通常采用所谓7S的方法,围绕风险策略、组织架构、系统建筑、经营风格、职员结构、技能基础和共同价值这七个方面,提出各种问题,进行相关性调查。
主持人:
汇丰银行在实践中又是怎样识别风险的呢?
Ansell:
我们的典型程序是这样的:首先使用“头脑风暴”的方法来列出我们可能会遇到的风险。刚才提到的关于“人员、程序、系统和外部事件”的分类,可以作为头脑风暴的一些思考指引。识别风险以后,就需要对它们进行评分。在评分时,我们首先考虑风险绝对值,也就是剔除其预防性措施的影响的值。接着需要考虑风险发生的可能性,或者称为频率,由低到高分为很少发生、不太可能发生、有可能发生、很可能发生和经常发生5个级别。对于各个级别,汇丰有着详细的定义,例如每年发生的频次如何才能称之为“可能发生”或者“很可能发生”。当然,即使针对于同一特定风险,在不同的营运单元其频率和重要性也是不一样的。接着我们就必须考虑各种风险事件发生的影响。这些影响的级别又从低到高分为不重要、微小、中等、重要和巨大。对于这些影响,汇丰当然也是有着非常详细的定义。定义的内容最直接表现的当然是潜在的金钱损失,但是也包括这些事件可能带来的危险,例如对其他营运单元的威胁、对人员生命财产的损害、对公众的影响、对环境的影响等。我们考虑的范围也延伸到一些并非立竿见影的财务损失。例如公众形象和声誉破坏将在长期影响银行的收入和利润,但是并非那么容易衡量其金钱利益。
频率和影响相乘就得到风险的水平。例如某风险事件得到的影响水平评分是3(中等),得到的频率水平评分是2(不太可能),那么事件的综合风险水平就是10。
这些风险的识别和评分都是由各个单元独立进行的,然后在上层总结综合。需要指出的是,我们识别出来的风险事件可能有非常的多的数量,如果我们同时管理所有识别出来的风险,结果就是由于精力分散而无法达到良好的效果。所以进行评分之后,我们只会选择其中综合风险水平最高的15-20个风险事件来进行管理。
接着我们开始考虑风险事件的暴露值。假设我们有着某项发生频率很高、影响很大的风险,但是我们有着很有效的应急方案,一旦事件发生就启动备份系统,那么这项风险事件的暴露值就被减少了。当然这样的定义也是由详尽的资料数据作为基础的。
我们把风险绝对值和风险暴露值放置在一个矩阵内。通过这个矩阵,我们可以发现那些风险绝对值和风险暴露值都很大的事件,也可以发现那些风险绝对值很小,但是被设定了大量的应急预防措施的事件。这些都表明我们在风险管理的资源配置上存在问题。
因为风险不断地发展、出现,当最重要的风险被管理而且被有效控制以后,其他的风险又排到了优先的位置。所以每年必须由高层进行评审回顾。在这个时候,为了避免思考的局限性,外部专家的意见和帮助也是很重要的。
主持人:
您刚才提到,汇丰银行在操作风险的影响、发生频率、风险暴露等方面都有着详细的定义和资料数据库,但是我们国内的银行对于这些方面数据的积累才刚刚开始,有的银行对于积累的方法也没有太多的经验。在这个方面您有什么建议?
Ansell:
要有效、全面地收集风险的数据,必须依靠完善的系统。在90年度初期我们的经验就是如此。在一开始的时候,我们收集到的风险数据可能比较吓人,但是我们必须真实地对待数据,并定期评估收集方法的有效性。我们的评估机制应该鼓励充分报告损失事件,特别是在一开始的时候,要避免打击人们报告真实数据的信心。如果某系统或部门单位没有任何损失事件报告,那么这个收集系统反而可能不是有效的。必须指出的是,“未遂事件”也必须记录。这是非常有价值的信息,因为我们的系统已经监测到了风险发生的频率,只是由于系统的有效性,他们的最终被阻止了。对于这些事件,人们也更愿意去报告。
所有超过预定限额的损失和虚惊事件都应该被报告,一般我们可以使用红黄绿预警系统来进行管理。红色是大型非预期损失;黄色是中型的原因已知的损失;绿色是小型常见的损失。当红色事件发生时,应立即进行调查,但是牢记我们的重心是识别教训从中学习,而并非惩戒。对于黄色和绿色的层次则运用持续改善工具和流程改造来把数量降低。
改善关键的方法就是优秀的过程管理,例如ISO9000的管理体系。汇丰银行在90年代初首次实施这个体系并证明非常有效。我们开始选择一个单位试运行,大约用了6个月完成初次审核,然后向其他38个单位推广。 现在汇丰银行实施ISO9000的单元已经超过了100个。在汇丰银行实施ISO9000非常有效地降低了错误和成本。例如在我们全球的票据处理中心,退票率降低到大约0.5%,是行业平均水平的一半。当然,由于银行体系的相互依赖,汇丰银行操作错误的降低,也间接带动了其他银行效率的提高。
主持人:
汇丰银行是一家百年银行,内部的规章制度应该已经非常健全,为什么仍然认为实施ISO9000的过程管理能够受益呢?
Ansell:
汇丰银行内部确实有着非常多的规章制度,但是我们发现使用这些规章制度的效率并不高。因为很多这些文件已经存在了很多年,不仅非常庞杂,而且还有不少是过时的,没有进行更新,或者相互之间矛盾,经常让读者感到困惑,不得不依据自己的判断、而不是制度的规定去行事。我们实施ISO9000的一个宗旨就是减少程序文件和规章制度,虽然这个宗旨可能BSI不太赞同(笑)。
我们强烈建议避免选择那些喜欢写程序的人去推行体系,因为这样的话我们最终就会得到一大堆无比庞杂,没有人愿意去读完的文件,对提高效率毫无帮助。当时我们挑了一些最不喜欢写文件的人去写文件,以便文件的内容能够精简到最短的篇幅。同时,我们把一些复杂的流程简化成简单步骤,再进行流程重组。事实上,你可能不相信,但当我们全面运行这个体系的时候,我们成功地把文件的数量减少了30%。
为了确保这些程序是最有效的,我们还给员工发放纸条,让他们每月记录是什么导致了他们出错或者效率低下,然后把这些数据交由管理者进行改进。例如,我们在对支票处理损失进行分析后发现,支票诈骗占了总损失金额的30%,内部诈骗和挪用占了10%,结算和处理过程的录入错误占了17%。我们后来采取的措施包括使用水溶性油墨,全息图像,紫外线印记等加强支票安全,保证职员在监控下操作,收集短款情况的比较性信息,以突显异常情况等。如果差错的根源在其他的银行,那么我们也把这些信息反馈给他们,要求他们去采取纠正措施。这样做令我们的竞争者也进步了。
当然,收集数据很费时间,当我们的差错降低到一定的限度时,我们就停止了这样的数据统计,因为它们带来的效益已经很低了。但是持续地通过第三方独立的评审,我们可以确认知道我们做得怎么样,而不是孤芳自赏,自以为是。
主持人:
在谈到实施ISO9000带来的收益时您专门提到了员工满意度的提高,例如病假率和旷工率下降了一半,流动性也减少了等等。这个似乎和质量体系要求没有很直接的关联。您能谈谈这方面的心得吗?
Ansell:
银行要提高效率,必须依靠高效率的员工。但是员工的效率如果没有得到适当的监测和反馈,他们就没有积极性去关注效率问题。实施了ISO9000后,我们非常注重收集效率方面的信息,并及时地在员工中分享,结果是压低了差错率,并提高生产力。同时我们注意到,在后台操作的员工,是很少机会得到赞扬的。相反,他们只会在出错的时候遭到抱怨。实施一系列的管理体系以后,通过独立的评审,他们的绩效得到了肯定。这样员工的情绪就受到激励。
当然,并非所有营运的单位都适用ISO9000,虽然BSI会希望我这样推荐(笑),但是因为银行的各个单元经常相互联系,所以这样的基础的方法和文化应该被广泛使用。
汇丰银行树立的是高价值服务的形象,而以不是低廉的价格取胜,这种意识被通过各种途径在整个企业中灌输。例如顾客服务的理念,除了定期进行服务满意度监测以外,我们接受到的任何投诉都会在3日内给出回应并在一周内得到解决。不仅如此,所有被解决后的投诉记录会被送往总裁办公室,由总裁每周随机选择5-6份亲自回复,以此来提高员工对顾客投诉的重视。而对于服务优秀、或者提出良好改善建议的员工,我们每年都进行表彰。以此来培养优秀和高效的企业文化。我们还经常把不同部门,但是涉及同一过程的员工放在一起培训,加深他们之间的沟通理解,从而提高过程的效率,并可以充分识别和减轻过程的风险。
主持人:
关注员工是确实是风险管理的一个关键。这也是Baring先生刚才提到的7S风险诊断方案中的一个重要部分。现在大部分的金融机构都认识到,组织要达到良好的风险管理,全员都必须有好的的道德操守;而要全员具有好的道德操守,企业的风险必须得到良好的管理。当然除了道德水平以外,专业技能和风险管理也是相辅相成的。当然,认识到问题的重要性是一个方面,但能够有效执行又是另外一个方面。
Baring:
你说得很实际。根据我们为金融机构进行诊断和咨询的经验,企业员工的意识架构通常有明显的三个层次。高层风险管理者的资历通常都非常高;中层的管理者通常也是比较胜任的,但是仍有改进的空间;基层管理者风险的意识就比较薄弱。由于存在这三个层次,我们经常发现,高层管理者优秀的决策在层层下达的过程中得不到有效的执行,或者偏离了原来的目的,而且高中层管理者也缺乏必要的时间、工具和技巧来培训下级人员的风险管理技能。
针对这种情况,我们给予金融机构的协助是:对于中高层管理者,我们重点开拓其视野和创新概念,同时教导他们如何培训下属,或者我们称为“教练式的管理者”技能。根据经验,“教练式的培训”比“教育式的培训”有效性能提高80%,因为这提高了下属风险管理的自主性,而并非纯粹被动地执行某项政策。对于中基层人员,我们提供各种风险管理工具的应用训练以及意识的灌输,并对于合格者给予注册资格作为认可。
主持人:
据我所知,美国金融学会提供很多方面的注册资质,包括CRA(注册风险分析师)、CFM(注册金融经理人)、CWM(注册财富管理师)等等。要拿到这些资质都必须通过相应的考试,拥有最低限度的工作经验,并且每年还必须接受持续教育。
Baring:
是的。初级的资格比较容易获得,但是高级的资格要求很严格。我们提供不同专业水准的金融类证书,也是适应美国劳动部和就业市场需求的做法。
当然针对不同资质我们也提供相应的培训系列,但是这些培训课程只是针对该资格要求来设计的,不可能适应所有人的特殊需要。所以美国金融学会也为金融机构度身定做培训方案。例如,我在澳大利亚就为St. George银行,Commonwealth银行和澳大利亚国民银行做过很不少咨询项目。我们的亚洲区主席Brett King先生为花旗银行和汇丰银行也做过不少非常成功顾问和培训项目。如果Brett King先生今天在场话,应该和Ansell先生也可以叙叙旧(笑)。现在我们的项目延伸到了亚太地区,最近我们帮助孟加拉的所有大银行建立内部控制制度,这个在东南亚造成很大的反响。希望在不久的将来,我们也能够为中国的金融机构提供他们需要的服务。
嘉宾及主持人简介
Tony Ansell
汇丰银行总行前风险管理总监、永续经营管理总监。 BSI全球认证专家委员会(CAC)主席,标准政策和战略委员会(SPSC)成员。曾主导建立汇丰银行现时在全球范围内使用的操作风险架构,并根据新《巴塞尔协议》的要求,负责欧洲操作风险系统的管理。在9.11事件后,负责汇丰总部及全球永续经营管理。Ansell先生还领导合规管理团队进行流程改造,并主导汇丰银行总部管理体系的建立和认证。其他参与过的大型项目有:欧元货币体系的引入和过渡;千禧年营运过渡;全球集中处理中心的筹建和营运;欧洲地区银行间数据交换电子系统以及票据清算和现金处理系统的建设和管理等。著作有:《金融服务业质量管理》
蔡方方
BSI中国区金融行业经理,IRCA注册ISO 9001:2000 主任审核员,BSI中国华南区CMSAS 86:2000产品经理。澳大利亚新南威尔士大学 国际会计硕士,澳大利亚注册会计师。
具有较丰富的企业管理咨询、管理体系审核和培训经验。先后审核和培训了几十家知名企业和服务机构,包括华融资产、花旗银行、招商银行、上海浦东发展银行、中国建设银行、中国交通银行、中国农业银行、深圳金融结算中心、工商银行票据服务中心、太平洋财产保险公司、平安人寿保险公司、新华人寿保险公司、中国人寿保险公司、泰康人寿保险公司、贵阳国税局、重庆帝威会计师事务所等。
美国金融管理学会
American Academy of Financial Management,简称AAFM,是由美国知名专家、学者和金融业资深执业人士组织发起的,致力于在全球范围内提供高水准的金融职业资格证书教育的非营利性组织。成立于1995年,总部位于路易斯安那州。目前美国金融学会在全球70多个国家和地区拥有5万多名会员,在亚洲地区的香港、新加坡、北京、新德里设有办事机构。
AAFM所颁发的证书和资格以风险管理、投资规划、财富管理为核心,自上世纪九十年代以来,成为美国最受欢迎的金融从业人员资质认证机构,并得到NASD(全美证券交易商协会,www.nasd.com)和AACSB(全球商学院质量认证协会) 的认可。鉴于美国金融管理学会提供一系列具有专业水准的金融类证书,它已被美国劳动部列入“推荐财富分析师认证机构”。与AAFM同时列入其中的只有特许金融分析师CFA协会,美国学院(拥有ChFC特许金融顾问证书)和CFP标准委员会(注册金融理财师)。
