银行风险管控"四五六"新概念
- 来源:银行家
- 关键字:银行,风险,管控,概念
- 发布时间:2010-08-26 13:46
认识风险四特性
风险的共同特点就是不确定性,如发生的时间不确定、事件不确定、原因不确定、损失主体不确定、损失程度不确定。以“不确定性”为本质的风险是个动态演进、多维复杂的概念,其主要有如下四个特性:
线性特性
所谓“线性”就是事态的发展方向可控、可测、可知,其变量与函数值之间具有一一对应的关系。银行风险多数按指数曲线变化,即风险因素与风险值具有成倍增长的关系,指数越大,曲线越陡。当风险因素少的时候,风险值不明显,但当风险因素增加到一定量时,风险值发生巨大变化。指数曲线最典型的现象是函数值变化超越人的一般想象。曾经有许多智商不低的人接受调查,问一张普通的纸,如果足够大,对折30次后有多厚,大多数人回答大约有一本字典那么厚,答案其实是230张纸的厚度,厚度已超过一万米,比珠穆朗玛峰还高。所以说,指数曲线变化的戏剧性影响由此可鉴。线性特性也称为乘数法则,在现实生活中运用广泛,如社会总人口、生态环境中的用水总量、污染物总量、国民经济总产量、金融系统中的流通货币总量、信贷发放总量等。风险的线性特性意味着风险会发生裂变,一个风险要素能复制成另外一个或多个风险要素,在风险累积过程中会呈现乘数效应。线性特性的核心是:风险因素会成倍放大。
非线性特性
非线性是指有的风险事件发展没有规律可循,即输入与输出没有一一对应的关系,有时输入一个极小的变量,可能导致一个非常严重的后果。非线性理论起源于美国气象学专家洛仑兹的《混沌学传奇》,他认为:“一只蝴蝶在巴西轻拍翅膀,可以导致一个月后得克萨斯州的一场龙卷风。”这意味着事物发展的结果,对初始条件具有极为敏感的依赖性,初始条件的极小偏差,将会引起结果的极大差异。
2007年开始的全球金融危机就是蝴蝶效应的生动体现。始作俑者是伴随美联储提升利率引发的美国房屋次级贷款违约率上升,经过一体化金融市场错综复杂的网络连接,在输出端以信用违约互换等复杂金融衍生产品遭受巨大损失和市场流动性冻结为标志,引发全球金融风暴。所以说蝴蝶效应是一个以小博大,从量变到质变的过程,量变往往不引人注目,质变却惊心动魄。非线性特性的核心是:风险因素会一鸣惊人。
串联特性
大家都知道,在串联结构电路中,如果有十个灯泡串联在一起,一个灭了,其他九个也会熄灭,因为它们共处于一个链条上。从银行业务操作流程而言,即使诸如普通存贷款等一些简单的业务,其完整操作流程也会涉及多个步骤,任何一个环节出现问题都可能引发信用风险、市场风险、操作风险甚至声誉风险。为此监管者必须督促银行管理者构建“横向到边、纵向到底、全覆盖、无遗漏”的业务流程风险管控体系,实现任何环节出现问题都能及时应对。串联特性的核心是:风险因素能以一当十。
大概率特性
根据莫菲定律:“如果一件事有发生的可能性,那么这件事必定要发生。”讲的其实是一个概率问题,即:一件事如果有万分之一发生的可能性,那么,重复一万次后,这件事就必然发生。某一个风险因素导致风险事件的发生是小概率事件,但如果多个小概率事件堆积在一起,那发生风险事件的概率就大大增加了;一个风险因素在什么时间、什么地点引发风险事件是小概率事件,但对整个时空来说,是大概率事件(必然发生)。
这样的例子在日常生活中屡见不鲜,即看上去是小概率事件,由于没引起重视,日复一日,最终成为必然事件。如医学研究表明,人的脊柱是由多个椎体连接而成,最有利的状态是,要么与地面垂直,要么与地面平行,如果经常处于其他状态,脊柱损坏的可能性比较大。如果一次坐姿不好有十万分之一损坏脊柱的可能性,那么天天坐不好,脊柱损坏的可能性就是100%了。对于一次坐不好损坏脊柱的概率是小概率,但是不良习惯带来的损坏就是大概率事件。很多风险事件,都是小概率的积累,要么是同一种小概率事件多次重复,要么是多个小概率事件综合成因,看似小概率事件,其实是大概率事件。
作为银行来说,本身就是经营风险的行业,承担风险是天经地义的,但如何对待小概率风险却大有文章,如果没有强烈的防风险意识,对小概率事件熟视无睹,那么大风险必定来临。农业银行邯郸分行金库被盗案就是一个典型的例子,大家对守库员的行为都习以为常了,认为不会发生问题,短时间内不一定发生,但天天都这样麻痹,甚至麻木,惊天大案必然发生。大概率特性的核心是:风险因素会积小成灾。
管控风险五步曲
莫菲定律中提到,要让风险事件不发生,必须消除其可能性。但对银行来说,完全消除可能性是不现实的,除非不要开银行。那么如何管控银行风险呢?根据风险四特性,可以将大概率事件分解成若干个小概率事件,对小概率事件分别控制,就能实现风险防控的总体效果。具体来说按以下五个步骤管控风险,能获得良好效果。第一,分解风险源;第二,寻找关键因素;第三,减少风险点;第四,降低风险值;第五,防灾加备灾。
分解风险源
任何风险事件的发生都是由多种可能性的组合形成的,一般来说,风险事件主要由人、物、环境、气候等诸多因素造成。首先要从源头对这些风险进行分解,可以从最主要的风险源开始如剥笋般逐层分解,按直接原因和间接原因,逐级细分。
我们分析总结2007?2008年全球金融危机爆发的原因时,可以发现金融体系的几个组成部分都存在风险源,如在金融市场层面,缺乏信用衍生品等场外金融衍生品的中央结算系统,造成交易对手信用风险防控的最重要枢纽缺失。在金融机构层面,现有的公司治理结构无法有效解决道德风险问题,过度挂钩短期利润的薪酬激励结构鼓励金融机构管理人员和员工在“负赢不负亏”的问责机制下承受不必要的过量风险。在金融监管方面,长期关注个体机构安全的微观审慎监管缺乏整体宏观视野,无法有效防范系统性风险。通过以上方法可以找到许多与风险事件相关的风险源头。
寻找关键因素
任何一件事的发生及发展,可能存在多个风险因素,但总有一个是最主要的,找到了主要因素,就掌握了事件的本质。由于人们对客观事物的认识有一个过程,有时找不到或找不准主要因素,有时找到的是伪原因。
如某工厂的冲床车间,经常发生冲锤把工人的手指砸断事件。每发生一次事故,车间主任都要给厂长写一份检讨,主要内容不外乎安全意识淡薄、规章制度不落实、现场管理混乱、岗位职责不清、监督检查不力等,但事故还是经常发生。由于没有找到发生事故的真正原因,因此只能是事故、检查、整顿、再发生事故的悲剧周而复始地重演。找不到发生问题的真正原因,就不能从根本上解决问题。其实该车间发生砸手事件,并非工人安全观念淡薄,试想有谁不爱惜自己的手呢?关键问题是,人的反映速度没有电流快,而且人通常会出错,这是不以人的意志为转移的,要从根本上解决这一问题,必须解决人不出错的问题。根据莫菲定律,只要有出错的可能性,则事故必定要发生,若要类似事故不发生,必须消除其可能性。后来工厂技术人员通过技术革新解决了这一问题。他们把冲床的起动按钮改成双手控制,只有两只手同时按下按钮,冲锤才起作用,这样,工人再也不会因双手不协调而被砸手了。技术改造后,工厂不需为此搞教育了,车间不需张贴各种宣传标语了,车间主任也不需为此写检讨了。
减少风险点
风险分可控和不可控两大类,将可控风险因素尽可能减下来,就是对提高安全度的贡献。根据莫菲定律,要让风险事件不发生,必须消除其可能性。构成风险的主要因素找到后,就可以对这一因素的原因进一步进行细分,将导致这一风险因素的可能性减掉。
比如驾车风险,尽管原因很多,但最主要的威胁来自该刹车的时候刹不住车这一核心原因,所以要对这个风险因素予以根本解决。车刹不住的原因主要有两个:一是人没有做刹车的动作,二是刹车不灵。人没有刹车的原因可能是人没有刹车的意识,也可能是反应速度慢;刹车不灵的原因,可能是刹车系统故障,也可能是车速太快,使刹车效率下降。要解决以上问题,主要是解决人的问题和车的问题。
所以,要确保车辆不发生大的风险,必须坚持以下五种情况不开,即“酒后不开、心情不好不开、休息不好不开、身体不好不开、车况不好不开”。做到“五不开”,就相当于减少了行车的五个风险点。这一方法适用于任何形式的风险控制,只有消除了那些对风险有直接关联的风险点,整个风险程度才能降低。
降低风险值
有一类风险点虽然对整个系统安全影响大,但无法消除,如果消除了,意味着效益也消除了。这一类风险点,就要采取降值的方法,以减轻对整个系统的影响。如开车中的刹车效率问题,最安全的方法是永远刹住车不让车行走,但这样行车效率就为零,风险控制没有意义。为了降低风险,又要确保效益,必须采取“双降”的方式,即风险和效益同时下降。具体来说,对于行车中容易发生事故的地方,应该把车速降下来,以牺牲部分车速为代价,来降低风险值。另外,对提高效率没有帮助但对风险有较大影响的风险点,要坚决减掉。如开车中的“英雄车、赌气车、违章车、违纪车、无德车”等,对行车效益没有影响,要坚决杜绝。
银行经营中的信用风险、操作风险、声誉风险等,也可使用类似的方法,将不能消除但对整体风险有重大影响的重要节点,采取降值的方法,以减少风险发生的可能性,或者减轻损失程度。如银行通过控制部分时点的杠杆率,收紧部分行业的信贷、限制特定行业和地区的信贷投放规模等等,以降低风险敞口。
防灾加备灾
对于可控风险,经过以上四步努力,已将风险程度降到最低,但是,并不意味着风险完全消失。有的风险只是频率降低,但还会发生,有的风险只是损失程度降低,但仍然会有损失,有的风险是人们难以抗拒的。那么,对那些无法预测的风险,则要通过制定应急预案和灾备方案以及事件发生后的具体处置措施来尽可能地减少损失,使风险发生时做到“临危不惧”和“临危不乱”。
例如,为防止重大自然灾害和意外事故发生导致银行支付结算系统中断,监管部门督促各法人金融机构在总部注册地以及之外的异地建立数据备份中心,以维护支付系统的安全。无论是哪一个领域的风险控制,都必须做最坏的打算,在条件允许的前提下,做最极端的压力测试,以积极的态度面对风险,以充分的准备应对风险,让风险真正发生时,损失降到最低。灾备的核心原则是:“根据常识可以预见的灾难一定要预见到,预见到的灾难一定要做好充分的灾备。”
预防风险六措施
以上五步曲都是在面临风险或风险发生时如何应对和控制的方法,犹如两军作战,是如何打仗和如何打胜仗的问题。对军队来说,打胜仗固然重要,但不是最重要的。我国古代兵圣孙子说:“百战百胜,非善之善者也;不战而屈人之兵,善之善者也”。防范风险也是如此,风险来了,让风险程度降下来,把风险损失减下来,是我们追求的,但并非最高境界。最高境界是让风险不发生,或遏制在萌芽状态。对于金融系统来说,把风险防范关口前移是积极的和科学的态度。如何才能让风险尽可能地避免呢,以下六项措施是可供遵循的黄金法则:
治理与管理相结合,治理在先
治理与管理的区别在于:治理更侧重于体制、编制、架构、结构方面的调整,更具战略性、宏观性、永久性;管理侧重于制度规定方面的建设,更具战术性、微观性、即时性。治理与管理在风险控制中都占十分重要的地位,但就二者比较而言,应该把治理放在第一位,结构具有决定的作用。例如金刚石与石墨,都由碳原子构成,由于原子结构不同,呈现出完全不同的品质。治理包括公司总体架构、人员编成、职能分工、硬件设施建设总体规划等,需要长远眼光和科学构想,例如构建分工合理、职责明确、相互制衡、报告关系清晰的组织结构非常重要,战略决策一旦作出,就要坚决贯彻,长期坚持,不可朝令夕改。管理则是与日常工作紧密相联的,是最大量、最经常性的工作,对风险控制有着直接的影响,也不能忽视。
防灾与备灾相结合,备灾在先
防灾就是风险防范,是每时每刻都需要做的,但是,防灾不能替代备灾,因为有些风险不是以人的意志为逆转的,况且根据莫菲定律,只要存在发生风险的可能性,那么风险事件必定要发生。风险防不胜防,防无止境,只有平时做好了充分的准备,才能有备无患,使损失降到最低。但是,备灾也永远不能替代防灾,不能因为有了备灾就放松了防灾。
防天然与防人为相结合,防人在先
从各行各业发生的风险事件统计看,大约有20%来自自然因素,如地震、海啸、恶劣气候等引发,有80%来自人为因素,如人为破坏、渎职失职、意识不强、能力不足、操作失误、考虑不周等引发,可见人祸多于天灾,防人为因素应该成为风险防范的重点。银行信息科技风险管理,除了自然因素和设备固有因素带来风险外,人为因素是主要的,有设计环节、组装环节、运营环节、维护环节、使用环节、管理环节、外部侵入、人为破坏等几十个风险点,这一些都与人的因素直接相关。
防内部人与防外部人相结合,防外在先
能够对银行构成威胁的人群有内部人(包括领导层、业务员、技术人员、警卫人员、勤务人员等)、关联人(包括设备供应商、运营商、开发商、审计部门、竞争对手等)、外包人员(包括运营、工程外包)、客户(包括银行储户、贷款人、担保人、理财委托人等)、社会人(与银行无关的人)、黑客(包括攻击、侵入、盗窃银行的人)、敌人(包括仇视社会、恶意破坏、制造事端的人)。以上七类人群中,除了第一项是内部人外,其余六类都是银行以外的人,对这些人的防范难度更大,付出的成本也应更高。所以,在规划、预算和人员安排上,要把防外部作为重点,如网上银行和信用卡的安全,要把防黑客侵入,防外部欺诈、防窃取密码、防伪造变造信用卡等作为重中之重。
管物与管人相结合,管人在先
作为内部管理来说,管人和管物都很重要,但管人的难度更大,情况更复杂,因为人有思想,物是由人来操控的。人的因素很多,粗略地分有主观故意与非主观故意两大类,主观故意有三种情况比较常见:一是政治失信,如被敌对分子利用、拉拢、收买等,出卖信息、出卖尊严、出卖灵魂,成为对立面。二是道德失守,如经不起各种利益的诱惑,失去信用,主动伸手走上犯罪道路。三是心理失衡,包括仕途失意、情感失落、家庭失和、身体失调、社交失群、生活失望等引起的对社会、对领导、对同事的不满或仇视,做出危害公众利益的事情。非主观故意的情况更加复杂,如安全意识淡薄,认知水平欠缺,技术技能落后,习惯作风不良等,都能引起人为因素风险。
因此,在对人的管理上要把好七关:一是选人关,选有德、有才、有事业心、有责任感的人到重要岗位。二是用人关,人尽其才,才尽其用,用其所长,用当其时,用当其所。三是教育关,加强对全员的世界观、人生观、价值观、职业操守、企业文化方面的教育,增强责任感、使命感。四是培训关,加强对全员的理念、观念、意识、精神、技能、习惯等方面的培训,全面提升素质。五是管理关,制定严密的规章制度,并狠抓落实。六是控制关,建立科学、有效、合理的工作流程,使其相互制约、相互牵制。七是监督关,充分发挥好内部控制、内部审计、外部委托审计三道防线的作用。
技术防范与制度防范相结合,技术在先
再好的制度也要靠人去执行,而人的思想是变化的,具有不稳定性,因此,能借助技术手段防范的,一定要把技术手段用足用好。运用技术手段防范是最省力、最有效的,如前面所述的冲床改造,是技术防范的典型例子,又如电子计算机电源接口,最早的计算机容易将正负极接反,当时尽管想了许多办法,但接反烧机器的事件屡有发生,后来发明了梯形结构的插座,就再也不用担心正负极接反的问题了。
后金融危机时代,巴塞尔银行监管委员会高举“四把刀”对商业银行加强控制:一是提高资本充足率和资本水平及质量;二是严格执行杠杆率;三是严格的流动性控制;四是实施动态拨备。这些都是属于技术手段,在风险防控中能起到较好的作用。银行经营中建立完善的机制,从流程上严格控制每个环节的风险,也属于技术手段。总之,技术手段的严密和先进,在风险管控中能起到举足轻重的作用。
(作者系中国银监会培训中心副主任)
关注读览天下微信,
100万篇深度好文,
等你来看……