“最近一年没有发生过重大损失,是侥幸,还必然?”
面对这个问题,不知道有多少银行的行长能真正很有把握地回答。
行长们的困惑
银行的经营就是与风险博弈,而一次重大风险的发生极可能吞噬好几年苦心经营的利润。重大风险一旦发生,银行的管理者---行长也将承担无法推卸的责任。在一次访谈中,有一次行长曾经非常担忧地向我们说,银行的规律是每隔四五年就会发生一起案件,现在他已经平安在位五年了,危机可能正在临近……不幸一语成齑,一年后该行长因为一起重大风险而被黯然调离了岗位。
国内操作风险的管理现状令人焦虑。2005年,银监会查出重大违规案件1272起,金额达到7671亿元,处罚违规金融机构1205个,违规人员6826人,几乎所有的数字都比2004年都有大幅度的攀升,其中银行高级管理人员325人因此下马。为了强调风险控制,现在不少银行还推出“追溯多级连带责任”的规定,即一旦发生重大损失或者案件,上面数级的管理人员全部被牵连,这使得银行行长们如坐针毡:一方面市场要开拓,业绩要争夺;另一方面不断在大会小会上抓内控,一刻不能松。然而令行长们困惑的是,下面各级管理和作业人员层层叠叠,操作风险似乎无处不在,内部控制的要求虽然越来越多,但同样的问题仍然是屡查屡犯……
自身机构风险管理的能力到底如何?风险控制到底还需制投入多少?瓶颈和弱项到底在哪些方面?银行的高管们已经不能再满足于下属各部门雄心勃勃的表态,或者就现有问题作繁杂的罗列,行长们正在寻找更科学的解决方案……
质量管理体系孕育新突破
自上世纪90年代初汇丰银行开始,使用质量管理体系控制操作风险已成为很多银行的选择。通过实施这种基于“过程管理”原则的体系,使得银行各级的操作流程、规章制度得到了极大梳理,岗位职责得到了根本明晰,员工对很多操作方面的把握实现了从口授相传(人治)到查阅现行文件(法治)的转变,某些管理人员开始掌握了“持续改进”的概念和工具,因而操作风险管理进一步向规范化,尤其是在体系实施开始的1-2年,效果最为明显。
然而随着时间的推移,新的困惑又产生了:质量管理体系的边际效用会递减吗?突破口在哪里?
在探讨这些困惑之前,让我们先看看国内金融机构管理体系的现状。作为金融机构体系认证
的首选机构,BSI在国内已经为大大小小的银行类金融机构颁发了近30张管理体系证书。如果以过程管理的符合、有效性和效率来评价这些银行的管理体系的发展,我们认为大致呈现三个阶段,其特征如下:
| 体系发展阶段 |
符合性 |
有效性和改进行动 |
效率和绩效 |
第一阶段:证书导向
以获取证书作为目的,质量管理与日常工作整合,体系对风险防范和服务质量提高没有真正起到应有的作用,而似乎是仅由项目小组进行的额外工作 |
勉强符合体系管理要求,各个环节的执行力较弱,虽未出现严重失效,但外审发现大量一般性不符合问题。 |
风险管理存在较多的策划空白、制度重叠或操作性不强的问题存在;对待风险或差错仍然采用就事论事的方法解决,基本未体现“纠正预防”的精神,因此问题是屡查屡犯。 |
未考虑体系绩效或效率的问题。 |
第二阶段:体系融合较好
整合体系维护与日常工作的要求,质量意识开始扩展到运营的各个层面,尤其强调标准化操作对风险防范的作用。 |
规范化和符合性程序进一步提高,外审中仅发现少量执行性偏差。 |
对体系有效管理风险的能力开始提出关注,对风险或差错的响应采用“纠正预防”的精神,但基本是反应式的方法进行(等待问题出现才去管理) |
开始考虑体系绩效的问题,但未有系统的方法进行评估和改进。 |
第三阶段:持续改进体系
运行比较成熟,质量管理的PDCA循环逐渐渗入到风险管理活动的各个层面,并努力寻求改进的方向 |
执行力较强,外审中基本没有操作性不符合事项提出,仅偶尔发现零星的人为失误。 |
风险控制的各个环节基本得到良好策划,仅偶尔发现有策划不当的问题。开始使用系统的方法言主动提升目标,持续改进体系,并呈现良好趋势。 |
在某些方面导入提升效率的行动,但似乎仍缺乏系统的方法决定改进的顺序和资源的优化配置。
|
客观的说,国内大部分银行质量管理体系是处于第一和第二阶段的,只有个别能上升到第三阶段。BSI称体系处于第二和第三阶段的银行为“向体系要价值”的客户,或者“价值型客户”。价值型客户通常会对体系有着类似的疑问:质量管理体系能够持续地为风险管理带来收益吗?每年内审和外审发现的若干不符合事项,在多大程度上指明了体系的真正管理能力和水平?改进的方向和顺序到是什么?
在与客户一起就这些问题进行探讨的过程中,基于对全球300个金融机构的审核经验,以及国际管理标准发展趋势的理解,BSI逐渐形成了循序渐进的做法,这分别体现在首次评审、跟踪评审和绩效评审三个阶段。
首次评审时,BSI主要验证被审核银行的管理体系的符合性。关注的焦点是:体系和建立和实施是否达到质量管理体系的最低要求?过程方法是否得到充分使用?操作中各种参数变异造成的风险是否通过标准化的作业手段和监控方法进行控制?:在这个阶段,审核的依据主要是质量手册和各级体系文件。例如,某银行策划结束营业时双人清点尾箱,而抽查发现该制度并非完全得到实施,即会判定为不符合。但是只要没有重大不符合{造成某体系环节的失效},现场审核仍然可以通过。
跟踪评审的角度稍有变化。在符合性的基础上,跟踪评审将进一步验证体系的有效性,即达到目标以及自我改进的能力。关注的焦点包括:进行某项活动的目的是什么?策划的安排是否合理?是否得到执行并达到目的?是否可以验证?持续改进的精神体现在什么地方?在这个阶段,审核员可能部分抛开本体系文件和制度制定,转而根据活动的目的性来进行提问。如果沿用上述例子,某银行结束营业时尾箱虽然进行了双人清点,但是抽查发清点完毕柜员自行又打开尾箱进行整理,规范性不明确,而主管上级对此进行验证的方式和频次也未明确,那么即使没有违反任何文件规定,审核员都会基于策划或监控的有效性不足而判定为不符合。
绩效评审突破了符合性审核和有效性审核的能力限制,除了强调达到目标的能力,还关注是否以最有效率的方式达到目标的问题。换而言之,这种审核的视角已经从运营层面提升到企业效益的层面。从绩效目标设定和展开的合理性,到各个流程之间的配合度,甚至关键流程本身的评估和改进方法等,都得到全面的验证。仍旧沿用上述的例子,某银行营业终了所有工作都按照制度规定进行,符合性和有效性都没有问题,而银行结束营业的时间是5:00,但是抽查发现员工往往在7:00才真正能够离开网点,原因是清点现金和进行各种日结工作。如果审核员经过事实对比发现,其他银行日结工作长度是1小进左右,就会提出质疑,如:造成工作拖沓的原因?由此引发风险的机会?员工劳累和不满导致的问题?附加成本的损失?与其他过程的相互影响?进而通过分流程的瓶颈和改进的可能性,最终提出建议。
符合性、有效性和绩效评审可以单独进行,也可以整合起来同时进行。
从上述的举例可以看到,虽然体系的外审和内审都是检查同样的业务、发现同样的风险或问题,但是外审往往流程为依据,更关注过程重要参数的策划和监控,通过发现“问题点”,带动“流程线”,而通过分析“流程线”和对关键数据的把握,总结“管理面”-系统地、高效地达成目标的能力。如果体系的实施主要是由于风险管理,那么绩效评审将评价体系达到风险管理目标的能力和效率。
评估风险管理的绩效
风险管理的绩效目标到底是什么?当问到银行的体系管理人员时,大部分人的回答是“不出事”。在风险管理体系的理论当中,不出事唯一的办法就是“不做事”或“投入无限大进行控制”。然而这两种情况对于银行都是不可能的。业绩总是要提升,而资源永远都是有限。所以“价值型的风险管理体系”倡导的绩效目标浊“在一定的业务量、收益、成本的情况下,风险控制在某种可以授受的水平”。
怎样定义风险可以接受的水平呢?我们首先想到的是:重大损失不能发生。那么如何保证重大事件不发生?
我们先来看一组数据。美国安全事故工程师在调查了55万起工伤事件后为保险公司提供了一个模型:在1个死亡或重伤事件背后,起码曾经发生了29起轻伤事件;而在29起轻伤事件背后,起码曾经发生了300起虚惊事件……以及存在大量的不安全行为和状态。这个模型为我们思考银行的操作风险的管理提供了思路:当某种轻微事件的发生频率积累到一定程度时,重大风险事件必然产生。可以说,在1起案件或重大损失的背后,可能曾经发生了N起轻微差错和损失;而在N起轻微损失背后,可能发生了M起虽然违规操作但未发生损失的“未遂事件”……以及存在大量的不规范行为和状态。
因此控制重大事件,必然需要为轻微和未遂事件进行设限监控。所谓设限监控,也就是监控各级风险(包括未遂)事件发生的“频率”。正如去年BSI全球标准化委员主席、汇丰银行前风险管理监事Ansell先生与我们分享经验时所说,质量管理体系对风险控制的价值,就在于其运用标准化的框架,对大量的损失和未遂事件进行收集、分析、控制和管理,而最终达到切实降低风险值。在运用体系持续管理操作风险方面,Ansell先生还列举了汇丰银行多年的心得和数据。 同时,汇丰银行为,风险损失是一种成本,而实施的风险管理活动也是一种成本。科学地对风险暴露值(包括事件影响、发生的频率以及已经采取的控制措施)进行分析,对风险管理的投入产生进行衡量,解决风险在某些方面过度管理、而某些方面管理不足的问题,是汇丰银行优化资源配置的途径。
相对而言,国内银行的困惑在于:自身的质量管理体系在对风险事件的限值确定、数据收集、分析和监控方面的能力较弱,对质量成本的理解和衡量基本缺乏,而体系维护者对怎样切实进行改进也没有太多的思路。不少的金融机构为了实施持续改进,在内部控制制度建设、人员培训、系统改造、机械调整、流程改进等方面下了很大工夫,有些还开始考虑引进6西格玛项目。这些项目是最适合我们的吗?我们的投入是合理的吗?我们对其收益是定性的理解,还是基于事实的科学评介?过度管理和管理不足的问题是否同样存在?总体风险的控制能力到达了什么水平?如果缺乏有效的评审手段同,恐怕这些问题仍然会继续困惑银行的管理人员。只有进行基于事实的绩效评审,才能突破现各种定性思维的框架。
“过去1年没有重大损失,是侥幸,还是必然?”绩效评审(BenchMarkTM)将致力于帮助行长们寻找答案。
链接:BenchMarkTM
BenchMarkTM是BSI近年在全球推行的价值型战略评审工具,中文经常翻译成“绩效标杆”
或者“绩效评审”。BenchMarkTM在传统的体系审核上更进一步,不再是认证通过与否的简单结论,也不仅停留在对于体系提出若干不符合事项,进而强调价值、效率和绩效。BenchMarkTM通过其量化的评分工具和模型,对整个体系达成目标的能力和效率作出评估,并在体系成熟度地图上作出标识。通过其量化分析的模型,管理中的最薄弱的环节将被识别出来,这些环节薄弱的原因以及可能给组织带来的经营风险也同时得到评估。
BenchMarkTM评审有多个版本,包括质量管理体系版、风险管理体系版、整合管理体系以及各种行业版(如金融服务业版)。由于各种组织的体系所定义的绩效目标不一,BenchMarkTM的评审往往需要根据评审的具体情况进行专案策划,以最大限度满足组织的需要。
在分直机构众多的管理体系溃(例如银行、保险公司),由于评估的口径一致,BenchMarkTM比传统审核更能支持不同分支机构之间的横向对比。通过内部对比,确定同一组织内的最佳实践并在整个组织内进行分享,也可能是最务实、快捷而成本投入最少的改进方法之一。
BenchMarkTM评审比较灵活,一般是与传统审核整合进行,但是也可以单独进行。
