江南APP平台银行风险案例分析十篇目前,以其方便、快捷和安全已被人们广泛接受,许多人的日常生活已离不开。然而,在产业快速发展中逐步暴露出诸多问题,面临着巨大的挑战。尤其是各家银行对于挂失业务政策界定的不规范、不统一、不明确,形成了较大的法律政策风险。致使银行、柜员和持卡人在办理挂失业务前后发生的资金损失责任难以认定。
挂失业务是保障持卡人资金安全的一项重要措施,即当持卡人发现被盗或丢失时,为保障其资金安全而向发卡行提出冻结卡片和账户申请,以达到终止付款的目的唯一做法。但是,从目前的实际情况来看,挂失业务由于各种原因并未如银行及持卡人所期望的那样,可以避免一切资金风险。在现实生活中,被盗或丢失后发生资金损失现象屡屡发生,对发卡行和持卡人均产生了较大的影响。对此,笔者查阅了部分银行挂失业务相关法律规范条款,其暴露出政策缺陷各不相同。
工行:正式挂失前责任由客户承担。工商银行于2007年1月1日起施行的新版《电子银行章程》规定,正式挂失前的损失由客户自理。其在银行业首次提出,因客户未尽到风险防范义务而导致的损失,银行将不承担责任。
广发行:首创48小时失卡保障计划。丢失后带来的损失常常是发生在挂失前短短的一段时间内。那么,如果持卡人在挂失前,已被盗用,其经济损失由谁来埋单呢?笔者查阅资料,了解到广发银行2006年率先推出了国内首创的挂失前48小时失卡保障计划。客户在失卡后,只要及时向银行挂失并履行简单的手续,就可在一定范围内无须承担其挂失前48小时内所发生的被盗用的损失,保障金额最高为1万元。而如果持卡人的连续6个月未发生交易,将被自动取消失卡保障功能。
中行:推出挂失零风险措施。中国银行的信用卡必须通过电话挂失方能即时生效。但是长城电子借记卡等在挂失成功后24小时内的损失是由客户来承担的。而中国银行的中银信用卡、中银都市卡等则实行挂失零风险措施,信用卡遭遇丢失或被盗后,只需致电24小时客户服务热线或,办妥挂失后即无需承担挂失后的风险。
陕西信合:受理挂失前资金损失由持卡人承担。富秦卡遗失、被盗,持卡人必须凭本人有效身份证件到发卡网点申请办理书面挂失,并交纳挂失手续费。在特殊情况下,持卡人可以口头或电话向陕西省农村信用社任意联网营业机构申请口头挂失,但必须在5日内到发卡网点补办书面挂失申请手续,并缴纳挂失手续费。口头或电线日后自动取消挂失。如未在口头或电话挂失时限内办理书面挂失,由此造成的损失由持卡人承担。发卡网点受理挂失手续之前所造成的资金损失,由持卡人承担。
由此可见,我国各个银行对于挂失前后损失责任的划分是不同的。下面笔者通过某金融机构发生的一起客户被盗资金损失纠纷案例,针对目前挂失业务中因法律政策缺陷和操作不当等因素引起的持卡人与银行资金损失风险问题进行较为深入的分析,并提出一些防范措施。
储户张某装有某金融机构、身份证及部分现金的包不慎被歹徒意外抢走。案发后,储户张某立即向门报警,同时拿上存折和身份证复印件到发卡机构办理卡挂失。该机构柜员按照业务流程受理挂失业务,首先用存折进行了查询,发现卡存款余额为100000元。随即审核储户张某的身份证复印件(按规定储户必须出具相关证件原件),要求储户填写挂失申请,输入密码。在输入密码时储户张某由于紧张一时又记不清准确密码,耽误时间大约7-8分钟,待储户输入正确密码,办理完挂失手续时,发现储户张某现金余额还剩90000元,其中10000元在办理挂失业务过程中被犯罪嫌疑人在金融机构ATM机分5次取走。为此,持卡人张某与该网点柜员发生争执,要求银行赔偿被取现金10000元。
事件发生后,该银行网点上级业务主管部门高度重视,通过调阅监控录像、了解办理业务过程,查找相关法律规定和有关文件,咨询法律专家。为阻止事态进一步扩大,减少对银行的负面影响,采取了协商解决。最终达成和解,由该机构网点当事柜员赔偿持卡人张某现金4000元,张某自己承担6000元。
目前,这类被盗资金冒领纠纷在案件定性、举证、调解、判决等方面还没有形成统一规范的法律规定,在全国各地司法案例中出现了多种不同的处理结果。就本案调解处理结果而言还是比较合理的。下面从柜员、持卡挂失人、银行管理者、法律顾问四个不同层面陈述的理由及该案例暴露的风险点和防范措施等方面进行一些探讨。
(一)相关理由。柜员认为:客户要求办理柜台挂失业务,柜员严格遵照业务流程进行操作,中途拖延办理时间是持卡人不能及时准确输入密码造成,柜员办理挂失业务过程无过错。
持卡挂失人认为:《中国人民银行关于执行〈储蓄管理条例〉的若干规定》第三十七条规定,若存款在挂失前或挂失失效后已被他人支取,储蓄机构不负责任。《XX章程》第四章第二十条规定,发卡网点受理挂失手续之前所造成的资金损失,由持卡人承担。客户办理挂失业务在受理前卡余额为100000元,资金没有损失,而在办理挂失业务过程中出现的资金损失10000元应有银行承担。
XX银行管理者认为:从柜员办理卡挂失业务流程来说,柜员基本没有过错,但柜员有提醒客户先进行口头挂失或电话挂失的义务;从保证客户资金安全负责角度来说,柜员查询后应建议客户对立即进行止付。从客户来说,用身份证号码设置卡密码,在卡和身份证同时被抢劫后,密码破译,存款被支取,客户应负主要责任。从相关法律规定来看,人民银行颁布的《业务管理办法》第五十三条第四款明确规定,挂失手续办妥后,持卡人不再承担相应卡账户资金变动的责任。《XX章程》第五章第三条也明确规定,必须设置密码,持卡人对密码要严格保密,不得向他人透露,因持卡人泄露密码引起资金损失由持卡人负责。因此持卡人应承担主要责任。
法律顾问认为:这起客户资金在办理柜台卡挂失业务过程中被犯罪嫌疑人取走,从事实依据和法律规范来讲,持卡人责任应占80%,金融机构占20%。其理由:卡和身份证被抢劫是造成存款被支取的前提条件和主要原因,密码被破译是关键因素,办理挂失拖延时间是次要原因;从法律规范角度来讲,人民银行颁布的《业务管理办法》和XX银行的《XX章程》相关条款表述,在定性、举证、认定等方面确实存在一定分歧;从处理纠纷和法律判决的习惯来讲,持卡人为弱势群体,在调解或判决时较为有利。因此调解结果为该机构网点承担40%责任,持卡人承担60%责任。
(二)风险分析。通过该案例可以发现,目前金融机构营业网点办理柜台挂失业务存在三处较大的风险隐患。
法律法规风险。目前,办理挂失业务的法律依据主要是人民银行1999年颁布的《业务管理办法》(以下简称《办法》)以及各金融机构自行制定的《章程》(以下简称《章程》)和相关文件规定。就挂失,《办法》52条第5款规定:“发卡银行应当向持卡人提供挂失服务,应当设立24小时挂失服务电话,提供电话和书面两种挂失方式,书面挂失为正式挂失方式,并在章程或有关协议中明确发卡银行与持卡人之间的挂失责任”。根据《办法》这一规定,各金融机构在各自制定的章程或合同、协议中对挂失责任差异较大。笔者查阅了个别金融机构的章程或协议,归纳起来大概有三种表述。①发卡行办理挂失生效后24小时内造成的资金损失由持卡人承担。②发卡行受理挂失业务办妥前造成的资金损失由持卡人承担。③发卡网点受理挂失前造成的资金损失由持卡人承担。不同金融机构针对同一行为过程却有不同的法律规定,致使在司法举证、界定、判决中存在较大的不确定性,因而形成法律法规风险。
操作风险。从目前各金融机构网点挂失业务流程来看,存在三个风险环节。①对持卡人办理挂失业务的身份审核。一是出具身份证原件或相关证件原件,二是密码。而银行网点柜员在办理挂失业务时经常遇到持卡挂失人不能及时提供证件原件或正确密码。②止付、密码挂失、口头挂失、电话挂失和柜台挂失的使用顺序没有明确界定,致使柜员在操作中不能及时提醒客户在第一时间选择最有利的挂失方式。③硬件故障、通信系统占线或客户操作不当等也存在一定风险。如客户不能在第一时间到达发卡行办理挂失,而使用电话挂失遭遇占线或操作失误等。
道德风险。针对挂失业务现行法律规定及金融机构自行制定的相关规定和流程存在的漏洞与风险,一些道德低下的内部员工或社会上的不法分子完全可以利用来进行违法活动。如违法犯罪分子利用XX银行颁布的《章程》规定的“受理银行借记卡挂失前造成的损失由持卡人承担”,在银行网点受理后办理挂失业务的同时,在全国范围内金融机构自助终端、网上银行支取现金或进行转账,而后要求银行赔偿资金损失。
(一)修订、完善相关法律法规,统一相关规定。现行使用的挂失业务相关办法章程、合同、协议等基本上都是上世纪末制定颁布的。随着金融科技的飞速发展,电子银行、网上银行、电话银行、通存通兑等不断普及和推广,当时制定颁布出台的相关规定已暴露出很多漏洞和不适应。因此建议国家相关金融部门应尽快修订、完善挂失业务相关法律法规,制定统一规定,杜绝漏洞,防范风险。
(二)充分发挥科技优势,完善网上挂失、电话挂失业务环节,简化操作流程,实行挂失业务优先受理等,使储户丢失卡折后能以最快的速度通过网络或电话银行止付存款。
(三)突破存款挂失须到原开户行办理的传统做法,通过系统网络或内部电话为客户办理异地存款挂失手续,缩短失盗(存折)失控时间。
(四)银行要不断完善服务功能,加强业务操作灵活性。客户匆忙挂失,卡折要素及身份证件提供不全在所难免,银行可在确认挂失人存款真实性前提下灵活办理存款临时止付手续,不可因手续不全而延误止付时机。
(五)规范挂失业务流程,加强银行员工技能培训和职业道德教育。上级业务主管部门要通过实地调研,把风险防范放在首位,制定合理灵活的挂失业务流程,开展挂失业务演练,提高业务技能。在员工中经常开展职业道德教育、法制教育和案件防控教育活动,提高员工思想道德水平和风险防控能力。
(六)加强银行挂失业务的宣传力度。通过张贴墙报、印发资料和柜台讲解等形式宣传银行存款知识,、存折(单)、密码保管常识以及银行有关操作规程,提高持卡人风险防范意识和操作挂失业务的技能。
[1]丁一佳. “睡眠”引发问题的思考[J].知识经济,2011,(3):66-67。
[2]李正祥.浅析伪造犯罪猖獗的原因和对策[J].网络安全技术与应用,2011,(3):4-6。
[3]栾娟. “挂失”他人取款的行为定性[J].中国检察官,2011,(8):74-76。
目前国外对操作风险管理还处于发展阶段,但通过量化方式研究与管理已成为发展的方面。为解决数据问题,一些大型国际银行组织开始建立自己的损失数据库,此外还出现了一些官方性质或商业性质的数据库,如英国开始了一个由BBA推动建立的机密的中央数据库GOLD,巴塞尔银行委员会已经完成了第二次损失数据收集活动。此外,还出现了如OpVar、ORX等商业性的损失事件数据库。
国内对于操作风险的模型化研究尚不成熟,研究主要仍停留在理论介绍、经验判断层面,对操作风险量化模型的研究仍停留在方法讨论和理论假设上(如刘家鹏,2007),具体的模型构建及数据分析基本处于空白阶段。造成这一问题的主要原因之一就是数据问题,由于长期以来我国商业银行不大重视操作风险损失历史数据的积累,再加上我国商业银行信息披露制度不健全,银行具有隐藏风险事件的动机,使得我国商业银行操作风险历史数据较难收集(万杰,2005);还有学者商业银行操作风险外部数据的内生偏差(高丽君,2011)。在国内,有学者在研究中呼吁筹建我国商业银行操作风险损失数据库,并且尝试在各种媒体中收集操作风险的损失数据,并在此基础上进行了描述统计分析(樊欣、杨晓光,2003);有学者分析了贝叶斯网络和网络分析法应用于商业银行操作风险的基本思路及其建模步骤等(扈倩倩,2010);有学者以我国银行的一个典型业务――远期结售汇为例,研究了实践中建立和运用贝叶斯网络来估计操作风险发生频率的具体方法(刘睿、巴曙松、刘家鹏,2011)。
基于以上学者的研究和工作,本文依据北意数据库中的中国司法案例数据库2.0版中1990―2015年间的案例进行了分析,按照操作风险分类,从3568个与银行相关的案例中筛选出了310个与商业银行操作风险相关的案例进行分析。尽管数据不够全面,但与以前的研究相比在数据的客观性和追溯性上有所改进。从公开性和可获取性角度来看,这些数据基本上反映了我国商业操作风险的大致轮廓。以这些数据为基础构建我国商业银行操作风险的贝叶斯网络模型,对我国商业银行的操作风险状况做初步定量分析,以期能认识我国商业银行操作风险的各种属性。
贝叶斯网络(Bayesian Belief Network)为一个图形模型,用一组条件概率函数以及有向无环图对不确定性的因果推理关系建模,主要用于概率推理及决策,用它能有效的对风险进行建模并能清楚的表达风险之间的关系。其实,贝叶斯网络可以看做是Markov链的非线性扩展。这条特性的重要意义在于明确了贝叶斯网络可以方便计算联合概率分布。多变量非独立联合条件概率分布有如下求取公式:
运用贝叶斯网络管理操作风险,首先要识别导致风险发生的风险源,确定网络的节点和相应的因果关系,建立业务模型,并依据根据业务模型建立贝叶斯网络结构。然后利用已有的数据或模拟数据来训练模型,得到节点以及节点之间的条件概率分布。最后,根据风险控制、度量和管理的需要,进行情景分析,风险评估以及采取相应的风险控制措施等。
根据巴塞尔委员会对操作风险的分类,确定能反映风险程度的关键风险指标(key risk indicators)和引起风险的因素一般称作关键风险动因(key risk drivers),按照发生的频率和损失大小进行分类,从而通过控制关键风险动因来控制操作风险。见表1:
交易流程错误贝叶斯网络可以对关键风险指标设定预警水平,一旦风险超过这个水平,就必须采取相应的措施来对风险实施控制。由于所有节点都是随机变量,当把某个关键风险指标作为目标节点时,在给定情境下,运用贝叶斯网络可以估计出关键风险指标的概率分布,并计算出方差、标准差和上限百分比等。例如,可以设定一个可接受的标准差数值,如果估算出的标准差超过这个数值,就要采取相应的措施。在控制措施的选择上,可以通过情景分析,对各风险关键动因进行评估比较。
对数据的分析发现,310个操作风险事件本文搜集了310个案例,由于大部分操作风险事件的影响因素都不是单一的,与以前的研究(樊欣,2003;张新杨,2004)相比,本文做了改进,对各操作风险事件重点统计主要的两种影响因素,?y计结果显示共有99个操作风险事件是由至少两种因素造成的,因此在按事件类型划分的操作风险案例总数为409个。共涉及5种类型操作风险,其中有99个事件涉及两种类型操作风险,包括内部欺诈因素与外部欺诈因素的结合,外部欺诈因素与系统出错因素结合,外部欺诈因素与执行、交割及流程管理因素结合3种类型。从操作风险的来源看,内部欺诈、产品风险、交易管理可看作由内部因素引起的,外部欺诈、系统出错可看作是由外部因素引起的。从操作风险发生的类型来看,内部欺诈、外部欺诈导致的操作风险所占的比重最大。无论从事件发生的数量,还是从所涉及的金额来看,内部欺诈都排在第一位,其次是外部欺诈,交易管理居第三。从已经收集到的案例显示,141件内部欺诈案例中有48件明显地结合了外部欺诈因素,内外勾结事件数量占全部事件的34%。操作风险损失案例中,一旦发生内外勾结,往往损失数额比较大,上述34%的案例所涉及的金额却占到85.9%。结合上述数据分析将操作风险损失分为3大类,即由内部欺诈、外部欺诈因素作用形成的内部损失,产品风险、交易管理、系统出错形成的其他损失,外部欺诈、交易管理、系统出错形成的外部损失,3类损失最终汇总为操作风险损失。5种类型操作风险分为发生和未发生两种状态,各种类型损失分为小于100万元(0
对贝叶斯网络模型进行情景分析,通过设定一个阀值并改变各个因素的参数(即人为设定各个事件的发生状态,分析其对事件的影响进而找到诱因排序,从而采取相应手段排序中最重要的诱因来有效控制风险)。例如,理想状态是操作风险导致的损失最小化,即小于100万元,可以把操作风险损失(operational risk loss)小于100万元的概率设定为100%,其他两种状态的概率为0;同样也可以通过把大于1000万元的概率设定为100%来分析这些情景状态对其他因素的影响,运行结果结果如表3:
如果把操作风险损失控制在100万以下,则要求内部欺诈发生的概率由34.55%下降至33.88%,外部欺诈的概率由37.39%降至34.22%。如果大于1000万元的操作风险发生,内部欺诈发生的概率增至39.97%,外部风险发生的概率增至43.37%,这也进一步说明大额操作风险损失多是由银行内部人员和外部人员共同实施的,即防范我国商业银行操作风险的重点在于建立有效内部控制制度、防范内外勾结。此外,比较发生小于100万元损失时交易管理风险发生概率和发生大于1000万元损失时交易管理风险发生的概率由52.04%变到19.5%,可以看出由交易管理风险造成的损失与内外欺诈造成的损失相比较小,但其发生的可能性较大,交易管理风险也是我国商业银行操作风险管理的重点。
从上述涉及的关键风险点来看,内外部欺诈占主要部分,内部欺诈风险中人员因素居多。而内部员工在欺诈活动中有一定的优势,因其了解信息并熟识相关业务知识,知道如何规避系统监测。因此,内外勾结能造成更大的损失。然而,一些新的欺诈行为包括商业贿赂和收取回扣,更加复杂和隐蔽并难以发现和查处。与常见的欺诈不同,商业贿赂通常代价很大,涉及雇员和第三方之间的勾结,通常涉及接受回扣或?蚪穑?以此作为签订合同的回报。其最大隐患在于违规给存在极大信用风险的客户。这种类型的欺诈,尤其难以发现,因为回扣是从通过第三方中介机构洗钱而间接支付给商业银行员工,不在账簿中体现。行贿者以支付咨询费名义将本应由银行收取的利差转而支付给管理咨询公司,然后再通过种种方式洗钱并支付到银行客户经理家属的账户,最后用于购房、消费等大额支出。这种洗钱行为往往不易被察觉,除非其他员工或第三方(如公安、检察等外部反调查介入等)对此进行曝光。正因如此,预防措施对控制内外部欺诈风险至关重要。其基本模式如图2:图2内外部欺诈基本模式欺诈三要素,即:动机(压力/诱因);机会;借口(道德取向),三因素之间两两相互作用,形成舞弊三角形。动机是由于员工自身经济压力、生活方式改变或者感觉不公平,机会是员工的职位可以接触资源,借口是员工给自己寻找合理的借口(实质上是一种个人的道德价值判断)。当动机、机会和借口三个重要因素同时出现时,进行欺诈的倾向就会出现,缺少其中任何一项因素,都不会使一个人进行欺诈。针对上述三要素,可以分别采取有效措施加以防范。问题的关键就在于,如何建立合理的制度以防范员工实施内部欺诈。基于以上分析,构建防范员工实施内部欺诈的贝叶斯网络模型如图3:
动机、机会和借口都是导致最终损失的直接原因,而且动机和借口都属于内在因素,无法进行直接监管;而机会则是可以通过监管(案件或者异常行为排查)加以防范,进而通过对内部举报及时进行核查和反馈,进而进行相应措施调整,就像排雷一样事先把引信拆掉,尽可能降低操作风险发生的概率。虽然排查不能完全阻止风险发生,但通过排查能及时发现风险,提前堵漏补缺。此外,动机和借口可以通过内部举报,由商业银行采取恰当而合适的反应(比如谈话或者心理干预等方式),将可能导致员工实施内部欺诈的内在因素及时化解。
本文采用对某商业银行分支机构1999年―2015年134起案件(包括及时进行内部处理未造成直接经济损失)情况的分析,并将各因素细化分解,模拟运算结果如表4:
从表4可以看出,对于举报及时、有效的反馈对于防范内外部欺诈至关重要。计算结果表明:导致最终损失的三个直接原因―动机/诱因、机会和合理化的借口,其中动机/诱因的决定因素中依此排名分别为经济压力、生活方式改变和感觉不公(34.79%、17.72%和47.50%),其中感觉不公相较更容易导致损失;借口中自我合理化程度越高,也越容易造成损失(72.97%);机会的决定因素中依此排名分别为员工职位、资源支配和受监管程度(59.49%、24.27%和16.24%),则是商业银行可以通过监管加以防范,其决定因素中依此排名分别为加强管理、岗位改进和强制换岗(54.88%、28.45%和16.68%),进而通过核查及对于举报的反馈进行及时调整,最终避免损失。然而,通过数据分析可以发现,对于举报是否反馈对于损失的形成至关重要,尤其是经过内部审计或者专项审计后只有17.87%形成结论报告,而45.75%未有结论,甚至于36.39%由于不能公正处理或者说被举报人员反过来打击报复举报人员。最终,如果不能采取恰当而合适的作为(比如戒勉谈话或者心理干预等方式),而其发生的概率高达73.80%,将可能导致员工实施内部欺诈的内在因素不能够及时发现、核查、监管并进行化解,最终形成损失。
即:无论内部欺诈是否严重,明明知道员工已经实施内部欺诈而不采取恰当而合适的反应去制止其不当行为(不作为)要比有所作为都将加大内部欺诈发生概率;反之,则可以减小内部欺诈发生概率。严重后果极端情况下,完全不采取恰当而合适的反应将造成监管完全失效,导致无法通过反馈并采取相应措施进行调整,将最终造成损失的严重后果。这是因为如果举报者认为内部举报机制并不能很好的解决举报的问题,那么没有人会愿意在这上面浪费精力。举报者积极性受打击,甚至被打击报复的后果就是或者不再内部举报,或者寻求外部渠道解决问题。换言之,绝大多数欺诈或是违法行为,都是靠内部员工的举报而被发现的。内部举报机制的真正作用在于当员工还愿意反映其所发现的问题时,意味着问题还有机会在商业银行内部得到解决。如果内部举报机制无法让举报者信任,结果将使相关信息泄露给其他渠道,包括媒体和监管机构,届时问题就有可能发展成商业银行无法控制的局面。
通过模拟运算,还可以发现如果完全不采取恰当而合适的反应措施,将造成几乎相当于原来四倍的经济损失。由此可见,防范内部欺诈操作风险的关键点在于通过加强核查并对举报及时、有效反馈及予以调整,才能降低损失。
综上所述,我国商业银行操作风险主要来源于商业欺诈风险(内部欺诈与外部欺诈两方面结合)。因此,商业银行必须从加强内控建设、提高员工防范意识、职业素养以及加强内部审计等方面入手,还可以采取购买商业犯罪保险等措施对于操作风险实施有效管理。
一是加强有效信息交流来防范内外部欺诈。目前,我国既没有收集金融机构操作风险损失事件的公共数据库,也没有相关组织机构推动损失数据的交换。因而,建议由人民银行、银监会或银行业协会,负责收集我国银行业操作风险损失事件并建立数据库,推动实现商业银行间及行业内的信息交流、损失数据交流和互换。欺诈行为实施者可能针对不同的商业银行,同时或连续进行欺诈活动。因此,应该共享彼此关于欺诈的信息,并借助中国人民银行征信系统及时沟通信息来实现。其次,欺诈者也可能针对其他金融机构进行。因此,建议除了具体的欺诈信息交流,还应分享关于欺诈风险、趋势、制度方面、预防和识别等方面的认识和经验。
上市公司公告时间的选择对公告信息含量的影响——基于2001-2007年沪市上市公司年报公告的事件研究
经济下行惯性犹存 通胀压力有所缓解——2008年3季度山东省企业家、银行家和城镇居民储蓄问卷调查报告
中小企业是国民经济发展中的重要力量,但长期以来中小企业的发展面临着严峻的资金考验。由于信息不对称、无抵押资产、管理能力不足、盈利模式不清晰、抗风险能力低等问题,加之中小企业的融资途径主要是担保,而担保的成本很高,包含银行成本、担保成本及反担保成本,造成大多数中小企业仍然很难获得资金支持。
基于中小企业对国民经济发展的重要作用,国家日益重视中小企业的融资问题,提倡各种形式的融资创新,并给予一些奖励措施,激励地方政府促进中小企业融资。当然,作为融资主体的金融机构,需要充分评估中小企业的信贷风险,审慎开发中小企业市场。而供应链融资的低风险和低门槛,逐步成为适应中小企业的有效产品。
在中小企业的融资模式中,传统的融资模式割裂地看待供应链上下游的各个企业,分别授信、分别管理。然而上下游企业规模不大,授信难度和风险都很大。而供应链融资是依托核心企业,将供应链上下游看作一个整体,针对核心企业上下游长期合作的供应商、经销商提供融资服务的一种模式。其关键点在于,牢牢把握供应链的核心企业和上下游的商业业务模式,通过核心企业与其上下游合作伙伴的数据共享,来降低信息不对称的风险,提高银行风险控制的灵敏性。
首先,银行自身发展的需要。随着金融系统的不断改革和外资银行的加速进入,国内银行面临日益市场化的金融市场和日益同质化的金融产品,维系自己的核心客户和开拓新的客户,都需要银行不断创新,尤其是金融产品的创新。而过度地开发和引入新的金融产品,将很难控制风险,因此开发风险较低的金融产品是银行的必然选择。供应链金融产品依托核心企业,来开拓其上下游的中小企业。更重要的是,供应链金融产品针对的是中小企业市场,将获取大量的中小企业存款、代收代付等多种中间业务。
其次,中小企业发展的需要。随着中小企业不断发展,对资金的需求也在不断增加。在现有担保体系不够完善且融资成本较高的情况下,中小企业渴望金融机构能够开发一种产品,不需要太多的固定资产抵押,融资便捷且成本低,而供应链金融产品依托的是核心企业稳定的经营能力和良好的信誉,依托上下游合作伙伴的库存质押或应收账款质押,为合作伙伴提供融资,填补了目前金融产品的空白,预示着良好的发展前景。
再次,国内企业的发展壮大的需要。伴随着品牌打造、技术创新、兼并和重组,越来越多的国内优秀企业在世界级供应链的分工中成为核心企业。以他们为核心的供应链的成长是国内企业不断发展壮大的必要前提,而有效的金融支持将促进和加速这些供应链的成长。
最后,国内已经形成一批具有核心竞争力的大型企业江南APP官网,如it领域的联想、华为、中兴、方正、同方、浪潮、爱国者、烽火科技等,他们都是市场化经济中的佼佼者,遵从市场运行规则,重视商务谈判和合作,严格按照商务合同约定的付款方式执行。对于上游供应商,可以给予基于应收账款质押的融资产品。
基于以上的判断,供应链金融产品具有良好的市场前景。但由于供应链融资属于新兴领域,在带给中小企业客户融资便捷的同时,有必要对银行存在哪些风险、哪些可以控制、哪些不能控制进行研究。
选择层次分析法,原因在于层次分析法能够将一个复杂系统的所有影响因素建立起彼此相关的层次递阶系统结构,下一层因素受上一层次因素的支配,上一层因素受下一层因素影响,从而将问题剖析清楚。按照层次分析法,将供应链融资风险划分如图3所示。按照风险产生的主体划分,能够非常清晰准确地描述供应链融资的整体风险。
核心企业及合作伙伴的风险都来源于三个方面,行业风险、经营风险和信用风险。行业风险衡量企业所在行业周期性的繁荣和衰退,对金融机构产生的潜在风险;经营风险衡量企业内部的经营管理能力,体现企业的付款能力;信用风险则衡量企业的付款意愿。合作风险来源于合同本身缺陷带来的合同风险,及双方存在的利益分歧而带来的违约风险。
各个风险指标的评估值,可以采用传统方法进行测算,如企业的经营风险可以从企业基本素质、偿债能力、营运周转能力、盈利能力等方面进行综合评估。而各个指标的权重可以利用层次分析建立判断矩阵来获得,当cr<10%时,认为判断矩阵的一致性是可以接受的,否则应对判断矩阵作适当修正。通过问卷调查,供应链融资风险判断矩阵建立如表1所示。
从一致性检验的结果看,上述判断矩阵的构建是有效的。在专家问卷的信息基础上,利用层次分析法的计算方法,可以计算出供应商风险、核心企业风险和合作风险的权重,以及各子指标的权重。各个风险因素的权重乘以各个指标的风险评估值,最后得出一个整体风险值。根据经验设置一个参考值,在该参考值范围为风险可接受范围。
案例一:基于应收账款的供应链融资模型。是全球500强企业,运营稳健,对上游供应商有明确的付款期限且能按照合同执行,在全球有着数以万计的供应商。银行可以将作为核心企业,为其上游供应商设计供应链融资模型。结合历年的应付款项和合同期限,综合评估后给予供应商一个授信额度,该额度在偿还后可以循环使用。银行需要将支付给上游供应商的款项,支付给银行,由此完成一个封闭的资金链循环。该供应链融资模型能够缓解供应商的资金压力,同时促进银行获取更多的客户。其模型如图4所示。
的风险:是否会出现经营、税务、人事变动等风险,如果出现,是否能够仍然按照合同支付供应商货款。在贸易公司中,违约支付货款的现象非常普遍。此类风险一旦产生,将严重影响银行的安全性。
上游供应商的风险:主要表现在对的供货规模是否稳定,产品质量是否稳定,以及经营的规范性能否承受税务、工商、消防、卫生等政府部门的检查风险。由于上游供应商往往规模较小,经营的稳健性和规范性并不能保证,承受政府的风险往往较低。因此根据上游供应商和的交易数据,动态评估上游供应商的风险是必要的。
上游供应商和的合作风险:主要表现在上游供应商和的合作是否出现问题。其中,供货规模的波动能够反映很多问题,因此及时了解和供应商的交易数据是非常重要的。
案例二:基于库存的供应链融资模型。ups(united parcel service 联合包裹服务公司)是 1907 年成立于美国的一家快递公司, 如今已发展到拥有 360 亿美元资产的大公司。ups在2001年收购了美国第一国际银行,并将其改造为ups金融部门,推出开具信用证、兑付国际票据等国际金融业务。ups可以在沃尔玛和东南亚数以万计的中小供应商之间斡旋,ups在两周内将货款提前支付给供应商,前提是揽下其出口清关、货运等业务及一笔可观的手续费。出口商得到了及时的现金流,ups则和沃尔玛进行一对一的结算。
ups依托的是出口商的货物质押权,依据出口商、ups、沃尔玛之间的三方协议,明确货物质量、价格调整等问题的责任划分和相关规则。将风险分解到合作各方,谁能更有效地承担和消化风险,就应该由其承担该风险。其业务模型见图5。
出口商:产品质量出现问题造成沃尔玛不能及时支付江南APP官网,或者其他原因引起沃尔玛不愿意及时支付。由于ups不能代替沃尔玛履行验货的职能,因此提前支付出口商的款项,必然面临货物验收不通过所带来的风险。尽管可以通过经验来判断哪些产品出现质量的风险较小,或者简单通过“免检”证明来判断,但依然存在这样的风险。此类风险必须在三方协议中加以明确,并转嫁给出口商。或者约定在沃尔玛验收合格后支付出口商货款,以屏蔽货物质量问题。
以上两个案例是两类最为典型的供应链金融产品,案例一依托的是应收账款质押,案例二依托的是库存质押。通过上述两个案例的分析,可以清晰地看出供应链融资业务的风险来源于三个方面:核心企业风险、合作伙伴风险以及核心企业和合作伙伴的合作风险。
从供应链融资风险的层次分析中,可以看出影响供应链融资风险的主要因素是核心企业风险及其合作风险,而核心企业风险主要来源于其经营风险和信用风险,而合作风险最主要是来自于合同风险。因此,其风险控制策略如下:
持续动态评估核心企业的信用风险。信用风险的产生主要源于公司一贯的行为或者资金周转困难及重大项目的产生,当核心企业出现资金周转困难时,银行的信贷风险要转嫁到上游供应商或下游经销商,他们是信贷的第一承担人。
上下游合作伙伴和核心企业的合同风险。核心企业作为供应链的主体,与上下游合作伙伴的合同往往不够公平,但合同必须不存在争议,尤其在资金结算上。通过核心企业的数据共享,持续监控上下游合作伙伴的销售数据,了解核心上下游合作伙伴结构的变化,及时调整银行的信贷对象和信贷规模。
随着金融服务全球化时代的来临,金融技术不断发展,国家的金融监管制度也有所放松,在商业银行经营活动中控制和防范风险问题日益复杂化和多元化的今天增强识别风险、抵御风险的能力显得尤为重要。
银行是从事货币资金交易的场所,其风险的主体是无形的货币资金。商业银行是经营货币资金的特殊企业,是一种依靠存款和借入资金来开展经营的特殊企业,由于其并不直接从事产业活动,所以自有资金占总资产的比例远远低于一般企业。在不断变化的市场环境之中商业银行的风险管理必须是动态的,动态的管理是需要通过实时评估,不断地监督和检查工作效果,进行连续的再评价来完成。
商业银行风险管理广义上是通过研究风险发生的规律来预测风险、分析风险、回避、排除或转移经营中的风险,以达到控制风险、降低商业银行蒙受经济损失的可能性和保证经营资金的安全的目的。
银行面临的各种风险都直接表现为货币资金的损失,因此商业银行风险的最大特点是资金涉及面广、涉及金额大。从吸收存款到发放,以及后续的收回等一系列经营过程中银行都承担着风险。银行风险的分类方法有多种,与经济主体的行为目标、决策方式和经济环境相联系可以把商业银行的风险分为信用风险、市场风险、流动性风险、外汇风险、利率风险、操作风险和投资风险。不同类型的风险有其不同的风险管理策略,现今商业银行的风险管理已步入全面风险管理阶段。
项目的风险是指发卡银行或ATM网点在发行及受理业务,特约商户及持卡人在使用等环节上出现非正常情况而造成经济损失。通常情况下此类风险可以通过项目的风险管理来控制和避免。
商业银行中项目的风险管理具体包括风险识别、风险估计、风险评价、风险处理四个方面。风险管理的基本要求有三点:一是研究风险产生的可能性,正视风险存在的客观事实,从银行内部经营环境到外部纷杂的环境中识别风险因素,作为度量、分析风险的方向,初步确定风险评价的范围;二是根据不同业务风险发生的概率做系统的分析与归类,以决定业务的规模,适度地确定业务比例以保证银行的风险承受能力,做到有效地分散风险;三是对已有的风险找出引起这些风险的原因,加以控制、降低、转移与消除,最终优化结果使风险成为促进银行的盈利机遇。商业银行中项目的风险管理都需要在这几点基本要求下进行。
项目风险管理模式大体分为三种:一是客户经理负责开拓业务、撰写客户基本信息和业务情况,,并与风险经理共同管理客户风险,风险经理主要是对风险进行定量分析;二是客户经理全面负责银行的开拓业务和风险管理。风险经理从风险的角度出发分析风险事项,辅助客户经理的工作;三是客户经理只负责开拓业务、维护客户关系,不参与风险管理。
我国商业银行对于项目的风险管理通常采取第三种风险管理模式。具体风险管理模式的结构框架如图1所示江南APP官网。这种模式配合精细化管理理念对于授信业务的要求较高只有做到标准化、专业化、自动化和流程化才能在“客户细分”的基础上和“以客户为中心”业务理念下为目标客户提供高要求的项目风险管理增值服务。
由于我国商业银行风险管控起步晚、对于风险防范意识不强,导致对全面风险管理的认识不到位,银行风险管理战略与业务发展战略两者间常存在对立,例如因为风险管理不当阻碍业务发展,或是由于害怕承担风险而放弃好的业务发展机遇,导致银行的整体抗风险能力下降。现阶段我国商业银行对信用卡项目的风险管理中也存在着很多问题。为提高我国商业银行的国际竞争力,对于风险管理方面的具体问题和薄弱环节需要积极研究对策进行改善。
1.个人信用体系不够完善,导致持卡人信用风险高。根据之前商业银行中出现的信用卡欺诈申请现象分析,多数案例都是持卡人利用虚假资料申请办卡,利用信用卡可以透支功能欺诈消费或支取现金,造成银行风险损失。造成这种状况的内因很大程度上是由于金融机制不健全,银行缺乏信用评级体系,对于办卡人个人信用体系不完善。
2.风险管理人才缺乏,风险管理方法单一。国内商业银行在信用卡项目的风险管理方面,缺乏精通风险管理理论和计量技术的专业人才,现有风险管理人员经验尚浅导致项目风险管理难度大。在风险控制方法上主要采用风险规避,没有考虑多样化管理、通过迎接风险并研究风险管理与控制经营风险从中获利。
3.项目法律体系弱,地区间协作机制不健全。项目法律体系滞后是我国商业银行面对的无法争议的事实。由于法律体系弱导致发卡行、受理行、商家与持卡人之间的权利、义务与责任常有出现交叉和模糊现象,增加了风险管理的困难。当发生业务跨地区犯罪案件后,未实现地区间协作来减少、转移风险机制。
1.加强监管,建立客户信息档案库。完善的金融机制和信用评级体系。可以通过建立客户信息档案库来提升信用卡欺诈信息交换速度和效率,实现风险信息共享,实施风险事件联络人机制,进一步防范违法犯罪行为。
2.培养自己的职能风险专家,采用多样化管理方法。我国商业银行最大的难题是跨越机构改革和流程标准化阶段,细化业务岗位设置,避免岗位交叉,从多个环节加强风险防范。尽快培养专业化职能风险经理,引入国外先进的风险量化模型对不同类型项目采取差别化、针对性的风险管理。
除此以上所说之外,笔者认为商业银行对于项目的管理上应建立合理的成本预算体系,科学地设置组织架构和管理程序,加大对业务风险管理的资源投入和宣传,加强民众对风险的防范意识,以全面提高我国商业银行的整体素质,增强国际竞争力。
巴塞尔委员会对操作风险的定义是:由于不当或失败的内部程序、人员和系统或因外部事件导致损失的风险。操作风险贯穿于银行经营管理的全过程,存在于银行的每种业务中。因此,操作风险是银行所面临的主要风险之一,涵盖了商业银行的大部分风险。从商业银行管理的角度而言,对于操作风险的管理是很重要的问题。而操作风险中,内部欺诈是指由于机构内部人参与欺诈、盗窃资产或者违反规章、法律或者银行政策的行为带来的损失。由此可以看出高管的违法违规行为是典型的第一类操作风险。
案例:中国银行近年频频出现高管涉嫌违法的事件。首先是前中国银行董事长、行长,中国银行纽约分行总经理王雪冰因在纽约任职期间涉嫌洗黑钱和违规被依法判处12年有期徒刑。而后中国银行黑龙江省分行河松街支行主任高山05年初因东北高速失款案暴露,携巨款外逃加拿大。海南中行前副行长覃志新非法收受25个单位或个人贿赂,涉案金额折合人民币共约4000万元。2006年在中银香港不当批准向上海房地产开发商周正义发放巨额的丑闻中,刘金宝被革去总裁职务,柯文雅则提前退休。2007年公司主管人力资源的丁燕生和主管计划及财务的朱赤因涉嫌将银行资金挪作个人用途而被停职,原中银香港总裁办总经理、今年4月间被调回中行总行的张德宝,也在接受司法机关的调查。下面是一些中行上海方面涉案的高管。王政,2003年7月被“”后逮捕,此前任中国银行上海分行副行长,主管个人银行等业务。严庭富,2003年7月被“”后逮捕,此前担任中银香港特殊资产管理部总经理一职,曾任中行上海分行副行长。顾继东,2004年春节后被逮捕,此前担任中银香港总裁办主任助理,在刘金宝担任中行上海分行行长时任行长办公室副主任。薛章能,2003年被逮捕,此前为香港中银物业公司一部门负责人,在刘金宝担任中行上海分行行长时任瑞金大厦总经理。瑞金大厦曾是中行上海分行迁往陆家嘴中银大厦之前的机关办公所在地,亦是中行拥有的物业。张人模,2004年春节后被逮捕,后被取保候审,逮捕前任浦东中银大厦总经理。中银香港为浦东中银大厦的最大股东,中银集团以及中行上海分行亦是其股东。刘金宝曾长期担任中银大厦的董事长。
(一)薪酬激励问题。长期以来,我们对银行高管人员采取的是行政性的官本位手段,市场化的激励约束手段运用相当不足,导致高管人员具有很强的道德风险。国有银行的高管人员虽然身居高职,但是却无法获得与同级别的私有银行高管相当的年薪,心理上的不平衡是导致他们违反金融法规的重要原因。下面,我列举了一些上市银行的高管年薪数据:
(二)高管个人素质问题。从素质理论上来说,高管的职位应该是和他(她)的素质相当的。素质可以有以下几个划分——知识、技能属于表层的基准性素质,很容易发现;社会角色、自我概念、人格特质和动机/需要,属于深层的鉴别性素质;而深层特质是决定人们的行为和表现的关键因素。在现在的高管选拔制下,通常只是强调其表层素质,比如专业学历背景、从业年限以及管理经验等。这些都未能明确地鉴定高管的深层特质,故而造成了其上任后难以预测和防范的道德风险。
(三)监督及提醒机制问题。从这几个案例中都可以看出,这些人都是在犯案一段时间后才被外部审计部门发现的。这说明监督机制有一定的缺陷。商业银行内部有审计部门,但是通常审计人员都无法直接调查高层的情况,这就造成了很多高管在银行内部处于监督真空的状态。在银行内部,监事会和独立董事的提醒作用没能够充分发挥出来,造成了高管不能及时得到提醒而有了违法行为。
(四)金融环境及重大经济事件的影响。在上面的丑闻中,“中银香港”和中行上海分行的案件很特别,因为它们是一个高管集体落马的案件,而其他的都具有较强的个人因素。“中银香港”的高管问题主要是其2001年中银香港重组上市时,几位高管涉嫌挪用“小公帐”,并且毁其账本。分析“中银香港”的情况不难看出,中行在“小公帐”、“小金库”这类国内银行的通病上的疏忽,使得在“中银香港”上市的时候就给高管造就了经济犯罪的机会。国内银行确实要处理好像“小公帐”、“小金库”这类历史遗留问题,减少监管的灰色地带,降低高管道德风险的概率;在像银行重组上市这样的重要时期,应该要加强对负责相关事宜的高管的监督。
(五)信息管理系统建设问题。导致这些高管的道德风险事件发生还有一个很重要的原因就是银行内部的信息管理系统建设不够完善。中国银行黑龙江省分行河松街支行主任高山这样不是特别高位的管理人员可以席卷巨款,无疑跟中行的信息管理系统不完善有很大关系。
就前面对中国银行高管的违法犯罪情况的分析,我想提几点对中国银行的建议:我认为“”是必要的,只有将高管的阳光薪水和国际同行接轨才能有效控制高管的不平衡心理,从而降低其道德风险。加强信息管理系统和内部监督审计部门的建设,从而有效加强银行内部对高管的监管力度。集中力量解决银行体制过程中的历史遗留问题,强化关键时期对于高管的监督,将其作为专门处理的问题认真对待。
在操作风险管理中及时充分提取高管道德风险的拨备,有效减少其带来的损失和影响。加强企业文化的建设,从深层上提高的高管的道德水准。
2008年1月,法国兴业银行爆出该行业历史上最大规模的违规操作丑闻,该案是继1995年巴林银行丑闻、1996年日本三井住友银行和2005年中海油等一系列交易员欺诈案件后的又一起全球银行业欺诈案[1]。此次欺诈案件的损失金额为49亿欧元,是有史以来单笔涉案金额最大的交易员欺诈案件;同时,此次的损失额也远超过法国兴业银行在美国次贷危机中20.5亿欧元的损失。
法国兴业银行被业界公认为是内部控制一流的银行,为何会出现如此重大的漏洞?为什么会形成如此巨额的损失?要防范此类案件的再次发生,我们可以做些什么?
法国兴业银行是世界主要的银行集团之一,其业务包括传统商业银行的资金存储、借贷、拆借、交易商业务外,同时还从事投资银行的各项业务,在衍生金融工具投资中拥有良好的声誉,被认为是衍生金融工具投资的风向标。然而,就是在这样被认为风险控制制度完善、衍生金融工具投资经营丰富的银行中,悲剧却发生了。
2000年热罗姆?凯维埃尔进入法兴银行工作,在最初的五年,他在该行投行部多个不同的部门工作,负责产品风险评估、空头头寸对冲、管理工具开发等工作,因此对法兴银行投行部的业务流程、内部控制手段、风险控制程序和信息系统非常熟悉[2]。
2004年,热罗姆?凯维埃尔成为风险套利部门的一名交易员和做市商,主要负责处理欧洲股指期货交易活动。他正是利用了在投行部跨团队的工作经验,熟悉并掌握了投行部的业务流程和中后台的内部控制和风险管理流程,从而能够发现并利用内部控制系统的漏洞。再加上他在计算机上的天分,以及中后台管理人员在管理过程中的各种不规范操作和对风险的忽视,使他得以屡次绕过兴业银行的层层风险监控,进行违规交易,最终造成巨额亏损。
2004―2006年间,刚进入交易部门不久,热罗姆?凯维埃尔就利用其熟知银行衍生金融产品交易以及管理操作的优势,进行了小宗的违规操作,获得了更好的个人业绩。由于他的操作手段隐蔽,没有造成损失,因此并未引起银行衍生金融产品风险管理与控制部门的重视。
2007年凯维埃尔变得变本加厉,开始增大交易额度。他预期欧洲市场会下跌,将500亿欧元分别布置在不同的指数上,其中道琼斯欧洲50指数300亿欧元,德国法兰克福DAX指数180亿欧元,英国富时100(FTSE100)指数20亿欧元[3]。当年的市场走势与凯维埃尔所预期的一致,因此2007年底凯维埃尔所管理的账户盈利相当可观。这样一来就更助涨了他违规交易的胆量,让他对通过违规交易获得好的业绩充满信心。
2008年, 凯维埃尔预期股票市场会停止下跌反弹上扬,因此开始反手做多衍生金融工具市场,豪赌欧洲市场会出现上涨。然而这次幸运之神没有再次眷顾他,2008年初,欧洲股票市场并没有像他所预期的那样止跌反弹,他所交易的法国巴黎CAC-40指数开始出现大幅下跌[3]。2008年1月18日,德国法兰克福DAX指数下跌超过600个点,凯维埃尔操作的账户出现了近20亿欧元巨额亏损。发生亏损后,热罗姆・凯维埃尔并没有及时出售头寸进行平仓,反而想通过大量的资金投入影响市场走势,并通过编制虚假交易合约、进行虚假买卖隐藏其即将到期的头寸,以企图静待时机实现市场的好转。为掩盖自己的操作踪迹,凯维埃尔创设虚假的对冲头寸,不断以虚假买卖为即将到期的合约转仓。而这次由于次贷危机引发的资本市场颓势无法逆转,使得热罗姆?凯维埃尔的持仓额迅速上升,至案发前,其账户的交易头寸已高达730亿美元(2008年1月18日),远远超越他的交易权限,而此时市场的大跌之势已难以逆转,巨额的仓位也让凯维埃尔再也无力回天[4]。
法国兴业银行此次的欺诈丑闻所暴露出来的问题,正是由于内部控制系统在人为执行过程中所产生的疏漏所致。一名交易员给这个拥有144年历史并管理严密的银行带来如此大的灾难,究竟银行的内部控制方面出现了什么漏洞?本文运用内部控制五要素的基本原理和框架对法兴银行的欺诈案件进行分析。
“业绩至上”的企业文化是导致衍生金融产品投资失败的主要原因之一。对于交易员来说,其短期投资的获利情况往往决定了其未来的晋升及薪资水平,从而使得在银行内部交易员往往将获得高额利润做为其进行衍生金融品交易的主要目的,而在此过程中忽视了交易风险的存在。
虽然凯维埃尔从事的套利交易本身因为可以对冲而风险较小,但是从历次衍生交易失败的案例看,操作风险是风险评估中被忽视的一大隐患,而操作风险一旦跟市场风险结合起来,带来的必定是巨额亏损。同时风险评估应对的人为失误,使缜密的IT风险控制系统做了无用功,无法对交易人员的头寸风险和不当行为发出警告。
内部控制活动的不严密使热罗姆・凯维埃尔能够进行违规操作,最终为银行巨额亏损埋下了隐患。在法国兴业银行内部,作为一名低层的交易员,热罗姆?凯维埃尔可以动用上亿欧元的资金,这固然一方面是其故意为之,但也从另一个层面上说明,也是高层管理者由于其以往良好交易业绩的原因,而大开“绿灯”,在公司内部,授权体系未得到有效的执行,其内部控制系统存在漏洞。
法兴银行投行部的业务部门、监控部门和结算部门员工职责和内部控制程序没有充分的明晰,部门之间的内部控制缺乏有效交流和沟通,也缺乏完善的信息交流沟通制度,各个部门的信息根本没有整合到同一个平台,因此使异常的信号很难集中,不能引起管理层的重视并逐级报告到相关部门进行处理。
法国兴业银行的内部监控程序未能及时针对发现的问题,进行深入调查、分析,从而助涨了交易员的违规操作行为,内控监控措施的失效也是导致法国兴业银行衍生金融工具投资失败的一项重要原因。由此可见本身内部控制体系的不完善,缺乏必要的监控措施,是导致兴业银行衍生金融工具投资失败的一项重要原因,正是由于缺乏了必要的监控措施,才使得由市场风险导致的投资风险被无限扩大。
[1]耿军会,李巧莎,刘莉.从“巴林银行倒闭案”看商业银行的操作风险管理[J].中国乡镇企业会计,2008(6):82―83.
首先我们将对数据从定义、范围、来源以及可能导致数据差异的因素进行简要的说明,然后对全文分析的思路和用到的方法进行介绍。
(一)数据定义:本次调查的对象为操作风险损失事件。按照巴塞尔委员会导致损失发生的原因来划分操作风险类型为7类即实施、交付及流程管理,业务中断及系统失灵,客户关系、产品及业务操作,对物理资产的损害,雇佣关系,内部欺诈,外部欺诈。
(二)数据范围:本文选取厦门市辖区内工商银行、农业银行、中国银行、建设银行、交通银行、兴业银行、厦门商业银行、光大银行等8家主要中资商业银行的操作风险管理状况,并从类别、产品、年度、发生部位、映射环节等多个维度对1998年-2004年发生的总损失金额为3.99亿元的172个操作风险损失事件进行分析。
(三)分析方法介绍:本次数据的收集首先要求参与行提供包括操作风险损失的损失地点和日期,与之相关的业务线和事件类型,损失数额,若有保险补偿赔付数额是多少;其次要求参与者提供本机构业务线和事件类型与巴塞尔新资本协议定义的业务线和事件类型的对应关系,并基于自己定义的业务线和事件类型上报损失数据,上报的数据可以横跨不同的时间区间;最后要求参与者在可能的情况下提供业务线和事件类型的操作风险敞口估计值。
本部分将通过对厦门地区八家商业银行提供的不同类型损失事件的数目和损失金额的对比分析,找出7种操作风险类型中的重点类型对其进行深入的理论分析,并结合全国范围内发生的相关典型案例进行说明。
首先通过图1对不同类型操作风险损失事件数目以及图2其对应的损失金额的分布,我们可以看出,尽管案发数目并不多,但是内部欺诈造成的金额损失却占据总损失的半数以上,因此该环节值得银行监管部门引起高度重视,尤其近年来内部人员作案和内外勾结作案的情况尤为突出。
与此同时外部欺诈造成的风险损失1.16亿元占总损失金额的29.11%,这表明在健全内部控制制度的同时各商业银行还面临着很大的外部风险。实施、交付及流程管理,客户关系、产品及业务操作,业务中断及系统失灵这三种类型操作风险损失额占比为13.88%,但发生次数占73.26%。这表明有关商业银行内部程序仍不完善,人员培训、制度建设严重滞后于业务发展。同时随着手机银行业务、电话银行、网上银行等新金融业务的不断推出,针对这些新业务的犯罪手段不断出现,犯罪智能化水平不断提高。
损失事件在产品或活动中的分布显示,无论从损失数目还是从损失金额来看,公司部分都是应当给予高度重视的环节,其损失数目43次之多,而造成的损失金额也是高达四成以上,都说明对公授信应是各商业银行操作风险防范和管理的重中之重。至于帐外融资部分,由于辖内工商银行某任行长主导的一笔账外融资造成损失近1.76亿元,占七年间八家商业银行总损失额44.10%,这也是导致在此次分析中帐外融资导致损失额也占四成以上的主要原因所在,同时在表格最后一列的单笔平均损失金额分析中帐外融资更是高达2196.813万元,由此充分说明了一旦银行高管人员工作失控或者预期出现偏差,将导致严重的后果和巨大的损失。除此之外人民币结算所造成的损失也接近一成,如此看来此三者构成了最主要的操作风险损失来源。
公司在国内商业银行的主要业务中占据着举足轻重的比例,同时也是其实现利润的主要途径,由于该活动发生频率较高以及制度上的漏洞,导致该环节操作风险发生的概率和造成的损失如此之大足以引起我们的高度重视。
根据公司类操作风险损失在映射环节上的分布(见图3),可以判定公司在贷后管理环节上暴露的操作风险最为突出,审批、贷前调查也是操作风险较为集中的两个环节。其中,审批环节的操作风险均发生在2000年前,说明近年来商业银行信贷审批机制改革在风险控制上取得一定成效,但是出现了风险向两头延伸的现象,对贷后管理阶段的风险识别和控制亟需改进。
通过上述详细的数据和理论的分析,我们总结可以得到以下三点:(一)操作风险损失巨大。(二)操作风险管理滞后。(三)操作风险防范应突出重点。
归纳汇总,主要有以下几个方面:(一)关键岗位用人不当,缺乏必要的教育诫勉;(二)安全防范措施不落实;(三)内控不完善,责任不明确。
基于上述详细分析,下面我们将对如何提高当前商业银行对于操作风险的防范能力和防范意识提出几条可行性建议以供大家参考:
BCP计划的制定首先要明确本行面临的风险,包括自然风险、人为风险、硬件类型风险、应用类型风险;并对风险可能造成的损失进行评估,以指导后续应对计划的制定。
然后根据目标和指标,通过技术手段和管理手段,明确整个BCP计划贯彻涉及到的组织结构、职责分工、技术体系、演练和维护环节等,保证整个计划的可落实性、可管理性、可维护性。
据国际标准SHARE78的定义,灾难恢复解决方案可根据以下主要方面所达到的程度分为七级,即从低到高有七种不同层次的灾难恢复解决方案。
在本阶段,需要进行详细而量化的风险分析,以确定当前IT环境之中存在哪些无法接受的物理威胁或者可能发生的灾难,并对灾难发生的可能性、目前可能的防护措施的有效性和该灾难所威胁的资产价值进行分析,最终得到带有优先级别的需要防护的灾难列表,并制订可能的处理方法,如接受该灾难发生的风险而不进行防护、自行制订该灾难的防护方法或者采取购买保险等风险转嫁策略。
在本阶段,应该针对各种业务流程进行分析,通过走访各业务部门的相关人员,了解各种业务流程本身对该银行的重要程度。(例如在银行业里,储蓄和单据、网上支付、电话银行等业务就具有不同的优先等级。)同时根据一定的评判原则,得出在核心流程由于灾难的发生而无法正常进行时对银行本身的损失情况。这种损失可能是可以量化的,例如单据的丢失、计算的错误而导致的直接损失;也可以是无形的损失,例如客户满意度及竞争优势的丢失。通过对可量化和不可量化损失的综合考虑,得出各种核心业务流程由于灾难受损的可容忍程度及损失的决策依据。体现在IT系统上,是三个指标
数据恢复点目标(RECOVERY POINTOBJECTIVE):体现为该流程在灾难发生后,恢复运转时数据丢失的可容忍程度;
恢复时间目标(RECOVERY TIMEOBJECTIE):体现为该流程在灾难发生后,需要恢复的紧迫性也即多久能够得到恢复的问题;
网络恢复目标(NETWORK RECOV―ERY OBJECTIVE):即营业网点什么时候才能通过备份网络与数据中心重新恢复通信的指标;
本阶段主要针对业务冲击分析的结果,对目前的内部环境进行评估,得出与恢复目标之间的差距。分析的对象为业务流程需要的资源,如IT环境等。通过本阶段的工作,得出各业务流程所牵涉的银行资产及资源(人力资源、IT架构、技术储备、技术使用程度、网络环境等),并分析得出目前的业务环境对客灾需求、冗余程度、可能造成的数据损失是否能够支持等方面的报告。
在本阶段,结合以上各阶段的分析成果,以及银行本身在容灾上的投入能力,制订银行短期、长期范围内的容灾策略和目标,并有意识地将银行本身的人员组成和组织架构做出调整以适应策略要求。最重要的是制订出容灾实施步骤,优先解决最为重点的问题。
容灾方案可供选择的范围很大,但所有的容灾方案都必须考虑的因素包括恢复时间、实施与维护容灾策略所需的投入等。容灾恢复时间的需求越短,所需的实施成本就越大,实施难度也就越高。
有了IT系统的恢复方案,只能够保证在灾难环境下,IT系统的恢复能够保证业务冲击分析的目标,但是业务的连续性并不只是IT系统的恢复,还包括办公场地、办公设备、紧急流程、指挥架构、人员调度等等多方面、各部门的综合考虑。只有业务流程执行过程的每一个环节都达到容灾目标的要求,才能够认为业务冲击分析的目标得到了满足。一般来说,每个银行都应该设立一个由领导挂帅,各业务部门和IT部门联合组成的一个容灾指挥小组:由该小组指挥,IT部门和业务部门分别执行,IT恢复计划和业务连续性计划才能得到同步,从而达到容灾设计的目标。
任何制订的计划,都必须经过不断的测试和修正,才能满足银行不断发展的需求。同时,通过测试过程,也能够使银行内部各部门及人员熟悉自己在业务连续性计划中所扮演的角色,做到胸有成竹,才能够在灾难真正发生的时刻有条不紊地开展恢复的过程。
危险评估的主要目的是从IT管理者角度出发,对于本行可能遇到的危险进行评估和分类,并提出应对方向和原则。
失效损害定义:业务分析影响主要是针对各类危险进行综合评估,对我行功能影响进行评估,从而指导BCP目标的制定。
首先,需要定义基本功能表。此表对IT系统进行全面整理,区分系统内交易和系统外交易,并且对其失效后可能造成的损害做一个评估。评估可以按照交易发生频率、交易失效后人替代交易或者人工交易是否可行、是否是关联外系统的交易等等方面综合考评,并精确定义失效损害。
其中对于特殊业务的渠道要特别注意,例如电话银行业务,其中的挂失业务作为非营业时间紧急口头挂失的唯一途径,其失效性质是非常严重的。
允许失效的功能可以划分为以下两类:(1)非基本必须业务。例如柜面通等业务。(2)可替代业务。通过途径可以达到同样目的的业务。例如借记卡行内交易可以通过柜面完成、行内资金管理业务可以通过手工传单办理等。
2.3新客户业务。银行在遭受巨大灾难的时候,首要目标是保持现有客户的基本服务功能,对于新客户业务可以暂时不办理。
最大可承受/允许失效建义:进一步的在上述基础上定义最大可承受/允许失效的功能。超出这个定义范围之外的功能是必须保证的。这个定义规则和允许失效定义形成了两层隔离,以便于针对不同情况作出不同安排,并确定BCP计划承受的失效底线、步骤二:BCP目标制定
业务的恢复涉及到硬件资源、系统软件资源、应用软件资源、业务要素资源。我们针对每类必须恢复的业务分析其需要的上述备类资源,从而能明确在恢复时候的目标。
例如对于网上银行业务,其需要的硬件资源有网上银行WEB服务器、网银应用服务器、硬件防火墙、证书服务器、核心主机存储网络系统等;其需要软件资源有网上银行应用平台、证书服务软件、安全软件、系统软件等。这样就可以明确定义恢复时候的恢复序列及其操作步骤。
b)关键功能――如果这类功能被中断或失效,就会彻底危及银行的业务并造成严重损失。我们定义其恢复的时效为4小时。
银行可以继续运营,但这些功能的失效会在很大程度上限制银行的客户服务效率,我们定位其恢复失效为1天。
d)有利功能――这些功能对银行是有利的;它们的缺失不会影响银行的运营能力;对于运行效率有影响,我们定位其恢复失效为3天。
影响分析可以确定各类业务功能的优先顺序,换句话说,也就确定了各业务功能的优先恢复顺序。在一次灾难之后恢复业务运营时,首先恢复部分功能就足够了,比如说在24小时内先恢复日常业务的40%就够了。
除了确定恢复的时序、恢复最大允许的时间外,还需要精确定义每部恢复之间的相互依赖关系。例如核心应用的恢复依赖中心主机、中心存储、sAN网络、中心网络等IT基础的恢复。
(1)决策机构。明确具体的决策机构,根据决策依据下达业务恢复指令。决策依据需要需要详细描述灾难类型、灾难表现、启动恢复的标准。
(2)在具体实施的时候,要将全行各人力资源进行重组,划分为BCP领导小组、BCP管理小组、EDP执行组三个层次。每个层次按照其具体职责决定其在业务恢复中的角色和权利。
定义恢复时序表:在上述危险评估和定义、BCP目标制定的基础上,精确定义业务恢复的时序表。其基本原则IT基础为第一环节;关键功能为第二阶段;必要功能为第三阶段;有利功能为第四阶段。每个阶段内在详细划分为不同的子目标,井明确顺序、并发、交错等时序关系。
定义操作手册:针对恢复是续表中的每步恢复日标,定义恢复操作手册,明确具体的操作方法。主要包括技术操作说明书、业务管理说明书、风险防范措施等。
定义演练手册:BCP计划制定后,必须通过演练来使得全行各职能部门熟悉和掌握整个业务恢复的过程,同时检验各技术条件是否完备。否则只有计划而没有演练,将可能导致各种不可预料的后果。
演练计划的制定要充分考虑的是和现有真实生产的关系。对于IT部门要仔细考虑演练技术环境和生产技术环境的关系;对于业务部门要仔细考虑演练账务环境、管理手段和生产之间的差异。
风险描述:1.根据税法相关规定,只有正列举的银行风险资产可以计提损失准备金在税前扣除,银行可能扩大计提准备金资产的范围,对不属于税法规定的相关风险资产也计提准备金并在税前扣除,存在少缴企业所得税风险。2.银行针对涉农和中小企业按照“关注类、次级类、可疑类、损失类”各自对应计提比例计提损失准备金的同时,对“正常类”另外再比照一般按1%计提损失准备金并在税前扣除,存在少缴企业所得税风险。
政策依据:《财政部国家税务总局关于金融企业损失准备金企业所得税税前扣除有关政策的公告》(财政部税务总局公告2019年第86号);《财政部 国家税务总局关于金融企业涉农和中小企业损失准备金税前扣除有关政策的公告》(财政部 税务总局公告2019年第85号)。
典型案例:2016-2018年大企业管理司开展的千户集团税收风险分析应对工作中,该风险点入库税款1000万元以上的银行22家,入库税款76.55亿元,其中2017年,某银行股份有限公司因扩大税前提取准备金资产范围,补缴税款38.91亿元;某银行因涉农和中小企业损失准备金扣除问题,补缴税款3.1亿元。
分析指引:1.约谈询问银行总行负责税务工作人员,查阅银行的税务管理办法,了解该银行对于损失准备金的计提和调整方法。查看银行对于不承担风险资产是否计提损失准备,测试其对于上述损失准备是否进行税前扣除。2.约谈询问银行总行税务部门人员,查阅银行的税务管理办法,了解该银行损失准备金的计提和调整方法,掌握银行对涉农和中小企业计提损失准备金的具体比例。审核银行提供的年度各类余额、内控制度及财务核算办法,核对银行计提准备金的数额,与企业所得税前扣除准备金比对,核实其是否叠加享受涉农和中小企业损失准备金税前扣除政策与一般损失准备金税前扣除政策。
风险描述:客户可将凭证式国债在到期前向银行兑取,银行再持有到期实现兑付。客户持有国债期间的利息收入免税,银行在国债到期兑付时取得的利息收入(按照国债确定的完整期限计算),应减去银行持有前已经免税的利息收入,即仅对银行持有期间取得的利息收入免税。银行可能未按上述规定计算免税利息收入,少缴企业所得税。
政策依据:《中华人民共和国企业所得税法》第二十六条第一款;《国家税务总局关于企业国债投资业务企业所得税处理问题的公告》(国家税务总局公告2011年第36号)。