| 张智敏:1个多月前,成立于1864年的法国兴业银行因为操作风险控制不力,导致出现巨额损失。在全球金融业为法国兴业银行事件(以下简称法兴事件)震惊与错讹之余,确有很多值得我们认真反思的问题。在操作风险控制层面,法国兴业银行(以下简称法兴银行)存在着哪些缺失?
季景玉:首先是法兴银行在期货交易结算与对账管理方面存在重大疏漏。正常情况下,银行的交易系统应与结算系统实时连接,交易员在交易系统中录入了交易,结算系统就会实时、自动进行头寸结算,应该可以发现盖耶维尔“真买假卖”的违规行为。
二是监测指标存在缺陷。银行只是对投资组合对冲后的净头寸进行监测,而没有对单个组合的名义头寸进行监测。指标体系的不完善直接使银行的风险识别、控制能力下降。盖耶维尔并不是一开始就建立了500亿欧元的头寸,而是逐步操作,越来越频繁,规模越来越大。银行如果对交易员交易频率、规模的异常上升进行有效的监控,也许可以提前发现问题。
三是法兴银行的IT系统管理存在问题。一般来说,对能直接进行交易的前台系统,要进行严格的密码控制,定义复杂的密码规则,并由系统强制用户定期更换密码。盖耶维尔能在一段较长时间内,盗用多个操作员的用户名与密码进行交易,说明法兴银行的IT系统安全管理存在疏漏。
四是风险监控的敏感度不够。1月27日,法兴银行发表的一份声明中承认,监管人员曾数次对盖耶维尔的交易起了疑心,但都被盖耶维尔搪塞过去。盖耶维尔用其他交易员的账户进行交易撤销操作,却长期没有被发现,说明法兴银行对操作员的工作记录也存在问题。
赵先信:在调入前台之前,盖耶维尔有结算部门工作的经历,熟悉交易结算的程序。作为一名套期交易员,他的交易本应该按双线平行进行:同时买入和卖出相似的资产,以获取市场出现的微小价差。但他为了获取巨额交易利润,在相信欧洲股市上涨的前提下,单向积累了巨额头寸进行赌博。为了造成所有这些交易都是套期交易的假象,他又侵入交易清算系统伪造了反方向上的对冲交易。此外,他还频繁地进行超授权或未授权交易。欧洲衍生品交易和清算所(Eurex)曾经对法兴银行的期货交易产生了质疑,但交易所发给法兴银行的询问函,还是没有得到法兴银行的重视。与此同时,法兴银行的交易系统也发现了违规交易行为,发出了24次警报,也未引起有关部门的重视。
从这些现象看,法兴银行事件完全是由一些低级错误所引起的:不审慎的人员调动,不安全的交易系统,对风险警示视若无睹。可以说法兴银行的内控程序是失效的。最严重的是,在交易所已经提出质疑的情况下,法兴银行内部未能作出任何反应,说明该银行内控环节存在严重的失误。内部人员虽然也发现了一些问题,但是并未能反映到更高的管理层,致使法兴银行没有人看清楚企业面临的巨大风险。
钟伟:在法兴事件中我们看到了很多不正常的现象。比如盖耶维尔盗用多个账户进行交易的时间长达一年,期间没有其他交易员对此提出过疑问,盖耶维尔长期不休假,以及法兴银行没有对交易所的质询予以重视等。
从这些现象看,法兴事件还不单纯是操作风险的问题,而是违背了银行风险管理的基本原则,令人对法兴银行整个的内控风险管理制度产生根本性的动摇,因为它所犯的错误太低级。其产品设计和交易头寸有问题,交易清算制度也有问题,交易员之间的交易和勾结有问题。法兴银行目前采取的处理方法不仅无助于其信誉的维护,反而更让人瞧不起。
赵先信:如果说盖维耶尔的行径令人震惊的话,法兴银行随后对危机的处理同样令人感到诧异。从上周五发现问题,到下周一开始的持续3天的强制性平仓,法兴银行的反应不可谓不快。但遗憾的是,银行的这些努力相当于在一个错误的时间做正确的事情,结果只能是越弄越糟。
众所周知,由于受次贷危机的拖累,当时的股票市场正在积累越来越大的下行压力。出于对金融危机的担心,投资者正在改变资产配置模式,越来越多的资金开始撤出股票市场,转投债券市场。由此导致欧美股市持续下跌。毫无疑问,法兴银行选择在这个时候强行平仓,注定要遭受巨额损失。
反之,只要法兴银行能够稍微假以时日,情况或许有可能出现变化,最起码,损失规模会小一些。事实上,在接下来的时间内,股票市场的确发生了逆转。美联储持续、坚决的降息措施表明,在防范金融危机和通货膨胀之间,前者处于一个更加优先的位置。联储的信号导致了对资产的新一轮重新配置。越来越多的资金开始从债市转向股市,股市的行情出现了明显逆转。这就验证了我们在前面的判断,立即平仓可能并不是一个很好的选择。
高达飞:一般来说,很少有公司因为单一的市场风险或信用风险事件倒闭,而很多公司却是因为一个操作风险事件破产或倒闭,所以说操作风险是非常严重的风险隐患。
我认为,中国银行业操作风险管理工作才刚刚开始,很多管理人员对操作风险的全面认识还很欠缺。就现阶段而言,中国的银行业还没有建立一个全面的风险管理体系。国外很多银行的操作风险管理已经达到较高水平,拥有成熟的管理工具、流程和治理架构。但这种情况下,一些银行还是发生了非常严重操作风险案件,我认为这是正常的现象。为什么这么说呢?因为操作风险一个很重要的假设条件是你的环境里面会发生风险,有了这个假设你才能准备好工具、治理架构、流程和方法等来管理这些风险。其实,法兴银行暴露该案件之前就已经发生过这种事,但没有人去解决或者解释得太随便。我们感觉发生这种问题的原因是,业务经营与监控、审计在分工上没有独立化。如果真是这样,即使你有很好的工具、流程和管理方法,也不会太有效。
赵先信:我认为这还是一个IT系统风险的典型案例。盖耶维尔的老鼠仓曾经出现过盈利10多亿欧元,也曾亏损5亿欧元,面对一名套期交易员,交易系统居然能够容忍这样非理性的交易存在,简直滑天下之大稽!盖耶维尔累计了500亿欧元的巨额单项交易,交易系统允许,这就是交易系统的严重缺陷了。此外,交易员能够轻松地盗用其他交易员账号,也是一个严重的系统缺陷。金融机构完全可以利用现代IT技术,建立一套更安全的身份识别机制,比如利用指纹等生物识别技术,就可以避免交易账户被他人盗用。
法兴事件给我们提了一个醒,单靠银行自己的IT系统,还不能有效防范操作风险的漏洞,必须依靠外界的力量共同防范。比如银行内部的IT系统与交易所的IT系统实现共享,建立一个自动的交易约束机制,终止未经授权的单向交易。即使银行内部人员可以通过篡改交易记录的方式欺骗管理层,但无法更改交易所的交易记录,这样也可以有效阻止违规交易。
张智敏:以信用卡业务为例,人民银行审批信用卡业务时,标准之一就是发卡行的信用卡系统中必须有风险控制模块。但是监管部门在审计商业银行信息系统时,没有手段能够对风险控制模块实行评估,判断标准仅仅停留在有与没有的状态。此外,商业银行所使用的风险控制模块多是采用外资银行的模块,是否符合国情,能否符合我国监管部门的要求,无从评估。这也是安全风险控制中的一个薄弱环节。
赵先信:总体而言,国内商业银行对IT风险还没有足够的重视。风险管理一半归由风险管理部负责,而IT系统由信息技术部门负责,这中间就会出现结合得不是很紧密的地方。法兴事件就暴露了这一环节的漏洞,IT系统的漏洞没有人去审计,也没有人出具详细的报告。
季景玉:目前,国内银行业都在致力于金融产品的不断创新。但在创新的同时,我们也必须高度重视操作风险管理体系的建设。
一是打破过去按风险类别割裂、按部门分散管理的模式,建立和完善全面风险管理体系,对金融产品进行系统化、全员、全过程的全面风险管理。
二是实施严格的新产品风险管理和风险限额管理制度,在业务推出前就对可能面临的风险进行分析,并有针对性地采取措施。业务开展过程中,还应该设置风险限额并密切监测和控制,严格控制业务风险敞口,防止单一业务、产品的风险变为大额、系统性风险。
三是加强制度建设,坚持业务发展、制度先行,提前为新业务制订配套管理制度,不留制度空白。
四是强化IT系统控制。人为介入多的领域就容易发生操作风险,应当尽可能减少业务操作中的人工环节,实现业务的信息化、自动化处理。这也是控制操作风险的核心手段之一。
高达飞:对于操作风险,我们认为银行需要设置好3道防线,即业务部门防线、风险管理防线和审计防线。事实上,如果银行把操作风险管理的体系设置和实施好,这3道防线应该可以控制大部分的风险。在3道防线中,流程是风险管理部要对业务部门进行定期的监控,同时审计部要对风险管理部的工作进行定期审核和调查。风险管理部只做3件事情:一是提供风险管理的政策体系;二是提供一些风险计量工具的标准或者目标要求;三是定期监控并报告风险管理工作。
张智敏:业界有一种观点称,当操作风险事件发生时,风险管理部就需要承担间接责任。如果不承担间接责任,那么就没有必要设置专门的风险管理部。几位嘉宾是否认同这样的观点?
高达飞:虽然规定风险管理部与其他业务部门应保持分工独立,且其他部门对本部门的操作风险管理负直接责任。但当操作风险事件发生时,就存在风险管理部是否需要承担间接责任、责任多大、由谁评估的问题。这也与银行的文化有关,如果有操作风险发生了,人们的第一想法就是找风险管理部吧,他们应该负责的。这样的想法和文化是非常不利于操作风险的管理,因为操作风险的日常管理和责任都在一线。因此,操作风险管理的责任和成绩如何在风险管理部和其他部门之间分配显得非常关键。
钟伟:银行设置风险管理部是必要的。但需要提出的是,国内银行风险管理部的运作体制不适合,需要着手进行事业部改制。只有这样才能明确对风险管理部的职责划分和绩效的有效评估。而且在这种情况下,风险管理部与其他业务部门之间的职责和成绩分配才比较容易界定。目前,民生银行和招商银行已经按照事业部的体制进行运作了。
张智敏:在操作风险管理方面,监管机构、银行及其内部职能部门,应当如何扮演称职的角色?
季景玉:银监会在银行操作风险防范方面已经做了许多卓有成效的工作,比如2007年5月发布了《商业银行操作风险管理指引》,对提升国内银行的操作风险管理水平发挥了重要作用。银行应按照银监会要求,高度重视操作风险防范工作。
一是要在全行加强防控工作。操作风险涉及银行各类业务、各个部门,各部门都要树立操作风险防控意识,将操作风险防控嵌入到业务运作的全过程中去,落实到所有员工的行动上来。
二是要强化信息系统控制。通过IT系统对操作风险易发环节进行硬控制,减少人为因素。
三是要注重机制建设。对那些低频高危的操作风险事件,在职能风险管理部门之外要有另外的监督报告制度,通过完善机制提高风险控制的稳健性和有效性;对那些高频低危的操作风险事件,强化责任追究制度,通过加强人员管理防止屡查屡犯。
赵先信:监管部门应当将操作风险作为重要的研究课题,组织专门的专家进行深入的研究。在操作风险管理中,最主要的是必须能够看到风险点在哪里,然后才能将风险进行量化,监管部门再将这些风险点和风险值提示给各银行。此外,监管部门还需要为风险的释放寻找适应的政策环境。
张智敏:法兴事件对我国开放金融衍生产品市场是否会产生影响?
钟伟:会有一定的负面影响。但问题是如果我们始终不推出衍生产品,我们就永远不知道风险点出在哪里。比如说我要去游泳,但前提是不下水、不呛水,那是不可能的。金融衍生品越往后推出,金融企业抗风险的能力就越弱。前期可以先推出交易量少的衍生品,学一点经验。
我们有几个有利条件:一是资本市场没有完全放开,二是外汇市场还受到管制。在这种与国际金融市场相对割裂的环境下推出金融衍生品,对我们自身的风险控制经验积累有一定的好处。更何况,现在金融衍生品还没有到完全不可控的地步。我们现在推金融衍生品主要是中资金融机构在国内市场的交易,随着时间的延伸,中资机构很可能是在开放的境外市场与外资金融机构进行交易,或者是中资机构与外资金融机构在境内进行竞争,无论是哪一种往后顺延都是不利的。
赵先信:金融机构内部的从业人员形成了一种不良“惯性”,一些操作虽然违规,但由于没有出现事故,因此这些操作就被管理者或职能部门默许。这是一种非常致命的风险管理文化。
法兴案对我国监管机构也提出了要求,在开放衍生产品市场的进程中,一定会非常慎重。我想中国银监会一方面会花更多时的时间对开放金融衍生产品市场进行评估,另一方面也会对参与衍生金融产品业的银行进行全面且严格的风险管理审查。
季景玉:我想银监会在开放金融衍生产品业务时可能会更审慎。法兴银行事件属操作风险,而非市场风险。金融衍生产品的确存在很高的市场风险,但它也是市场深化的产物,有助于对冲金融机构所承担的市场风险,提高市场效率。此次事件后,国内监管机构会加大金融衍生产品业务的监督力度,但我想不会影响金融衍生产品业务市场开放的大局。
该事件有助于提高金融机构操作风险管理水平。从巴林银行事件到法兴银行事件,都说明金融衍生产品是一把双刃剑。我国金融机构应当从中汲取教训,紧绷“操作风险防范”这根弦,认真查找本行操作风险管理中的漏洞和薄弱环节,持续改进和完善相关业务流程和制度办法。 |
