中国大小银行在风险管理上已经开始了急行军,而在这其中,与IT界的再次深度合作成为现实可能
本刊记者|辛云勇
银行界一直有一句颇为流行的话:开银行除了拿到开业执照之外,最大的事情就是看
风险管理做得好不好。
从2004年6月新巴塞尔协议出台到2006年底不到两年时间里,全球银行业将面临一场新的行业标准大检验,其中关于银行风险管理的公约要求是一大关键。而对于中国银行业来说,这正是商业银行改革的关键时期,其中包括几大行的股改和海外上市进程,中国银行界将采用什么样的方式,将在怎样的时间表中来接受新巴塞尔协议已成为各大行管理层的案头重题。
与此同时,中国银行业过去几十年累积的问题已经层出不穷地摆在公众前面,高昂的不良资产率和频频发生的重大风险事件,与新巴塞尔协议的要求显得格格不入。有迹象表明,海外上市IPO背景下对商业银行内部审计和信息披露的严格要求,以及银监会对监管的加强,使得中国大小银行在风险管理上已经开始了急行军,而在这其中,与IT界的再次深度合作成为现实可能。
不得不过的门槛
相比1988年的巴塞尔协议,巴塞尔银行监管委员会在新协议中主要完善了关于资本充足率的内容,对银行业加强风险管理系统建设、提高成员国的银行监管水平等有着详尽的数字标准。
到目前为止,承诺在2006年底达到新协议要求的成员国不过10来家,银行总量也为数不多。而对于中国的商业银行来说,届时单在资本充足率上几乎没有哪家银行敢说能达到协议要求的8%(银行自有资本跟其他自有资本作为分子,与总体资本在风险加权后的整体资本作为分母相除之后不能低于8%)。
而在银行操作运行时内部监控的合规性要求方面,中国的商业银行要走的路同样漫长。
IBM商学研究院近期推出的《中国银行业的风险与管理》白皮书显示,中国商业银行在遵行新协议进行的改造方面还处于起步阶段。
该白皮书的作者之一,IBM业务咨询服务事业部合伙人陈文告诉记者,尽管近两三年银监会在内部监控上对商业银行的要求在加强,包括人员轮换、事后监督集合、内部举报、互相监督的机制以及一些突击性检查,不断地利用新的规章制度来要求银行进行自我评测反馈等等,但往往是某个突发案件出来后才会赶紧出规定,更像是事后诸葛。这种渐进追加式的防范模式系统化程度不高,基于事后的措施同时也缺乏前瞻性、主动式的辨识风险手段。这也直接反映在银行的风险管理模型上。
关于新协议对中国银行业的意义,陈文认为,在资本充足率上的达标等于是国际同业标准一致的评级指标,这些指标也恰如其分的反映了各个银行的金融生态,在提高信用级别的同时也提高了财务回报指标。尤其对于现在正谋求海外上市的几家国有商业银行来说,信用级别的高低在经营成本上将得到直接体现。
同时,新协议中的风险管理指标尽管苛刻,但对银行的经营管理具有前瞻性的推动作用,而这又是所有商业银行在具体经营时最为关键的环节。
对于启动遵守新协议的过程,陈文认为需要两到三年的时间,对于国内的商业银行来说,这一项目比以往不少改造历程还要复杂。从基本规划到人员配备,再到数据准备、流程定义,以及最后能够出来所需要的报表和过程中持续的项目管理都是相当繁杂的。
汇丰银行高层曾透露,实施新协议,汇丰将动员行业内1000人来参与,并预计2006年底完成。作为比汇丰还要大的几大国有商业银行,在数据条件仍很不完善的情况下来实施这一项目,挑战可想而知。
现在几大国有商业银行都在做自己的内部风险评级体系,在陈文看来,当前的这个体系更多的是依据过去计划经济体制下的经验操作,离现实的市场环境和客户需求有比较大的距离。在资本充足率上中国银行业应该遵从务实原则,按照新协议的要求来做,具备条件的大商业银行要开始采用新协议的监管要求,其他银行再逐步跟上。
全球主要国际金融市场到2007年1月时都将实施新巴塞尔协议,对于中国的商业银行来说,这两年更多是做基础准备工作,能有现成的经验可以借鉴,也是目前中国不少商业银行背负沉重历史账的情况下的务实选择。
而目前更为现实的是对银行风险管理的重新梳理。新协议的不少规则都是从风险管理出发,在这其中,包括信用风险、操作风险和市场风险在内的几大风险领域都是中国绝大多数商业银行过往所忽视的,尤其是信用风险和操作风险的管理,这是新协议能否实行成功的根本。
置后的风险控制
目前,中国的商业银行信用风险管理普遍采用传统的信用评分法,这一方法主要基于过去的财务数据,而不是对未来偿债能力的预测,同时,指标和权重的确定缺乏客观依据,同样缺乏的还有对现金流量的分析和预测。尽管简便易行,可操作性强,但很明显的存在致命缺陷。
中国工商银行在信用风险管理方面算是走到了国内同行前列。据工行内部人士介绍,其信息管理部管理的特别关注系统主要针对信用异常人群,在全行范围能够及时制止骗贷行为,但这仍采取了传统的评分法,更多的是处于防御性姿态。
在信用卡领域,尽管各家银行都将此作为未来重点发展的业务板块,但其持卡人大量且分散的特质所带来的高风险也是显而易见的。有关统计数据显示,国内目前真正有循环信用的信用卡不到400万张。其中某家股份制商业银行号称拥有500多万的持卡人,显然,其中有不少处于高风险状态,事实上,正是这家商业银行在信用风险管理上的不足,导致其信用卡尽管量大,但利润却出奇的薄。
而在操作风险上,直观的体现就是近年频频披露的金融大案。与国外先进银行相比,中国的商业银行对操作风险的管理流程仍有审批程序和逐级授权的痕迹,与业务部门独立的内部审计稽核机制同样仍未完善。
2005年初,某家国有商业银行黑龙江省肇东市一家储蓄所被指联手骗储,在这一案中,储蓄所的几个员工就是钻了当前银行业普遍存在的操作漏洞才得手的。对我国商业银行近期100亿元损失进行分析可发现,大部分是因为操作风险管理无效或缺失造成的。而在案发的大部分银行风险事件中,银行内部人士往往难逃干系。不正当的批贷往往导致贷款难以追回,迅速演变成信贷风险,形成呆坏账,目前中国不少商业银行顽疾难治的不良资产问题往往出在这里。
目前,前后台分离的业务模式已经在中国不少商业银行开始成型,关键岗位人员休假轮换也成为一个硬性制度,但与国际标准—精确地度量、监控、稀释和控制操作风险—还有较大距离。
同时,现在不少商业银行仍在实行关于贷款的领导问责制,要求主管贷款审批的领导对于贷款结果负担责任。在陈文看来,这实际上是在给管理者很大的压力,主管领导是否能够基于分析工具和体系作出正确判断,谁也无法预料。尽管初衷良好,但缺乏基础的操作模型本身就会带来巨大的操作风险。陈文认为,在银行操作风险的系统方法上,类似的问责制更应该属于辅助手段,但国内不少商业银行本末倒置了。
另外,对银行账户的管理要求改进银行的信息系统。很多银行大案往往发生在偏远的地方,就在于信息系统不集中使得银行账户变成了在账外或者体系外运行,不能及时拿到大集中的数据环境下,发现问题的时候损失已无法挽回。
操作风险往往来源于不充分或失败的内部程序,以及人员不当或蓄意违规操作和系统的设计性能问题。而信用风险除了债务人没有能力,或者是没有意愿归还以外还有一个很大的原因就是动态偿还贷款的能力,而这一动态信用风险目前在国内不少商业银行还未引起足够重视。
防范这一问题的根源在于银行内部风险评级体系的建立。在IBM对全球银行业的调查中,有63%的银行希望能够采用高级的内部风险评级方法,并期待在采纳巴塞尔新协议时带来效果。
数据为本
在新协议的实施过程中,所有问题最后都要归结到数据收集环节,陈文认为,这也是实施新协议的最大挑战。
过去几年来国内银行界风生水起的数据大集中运动,已经给实施新协议的过程打下了坚实基础,但在不少业内人士眼里,数据大集中更多是完成业务系统层面的整合,从各个业务部门收集损失数据,以及对数据进行分析评估并用于操作风险计算仍有很大瓶颈,而这也在事实上影响了众多银行推进全面风险管理的进度。
在陈文看来,建立全面、及时、统一的数据仓库,是中国商业银行在数据大集中过程中完成大集权之后的必然选择。
而建立银行的数据仓库还需依赖业务经验和IT工具对数据进行模式分析,抽取出特有的风险模型,再支持几个领域的风险管理。在这些风险模型下算出来的数字能够检验是否符合巴塞尔协议所需要披露的各种报表要求。
陈文认为,有了风险模型的基础之后,商业银行才有可能把事后的亡羊补牢变成未雨绸缪,有问题事前发现,提前预警。其中尤其对银行案中普遍存在的关联性比较强的欺诈模式特别有效。在这种欺诈模式中,欺诈方的链条往往多得防不胜防,“使得你一层层看不清楚,不知不觉就上当了”,而其中关键在于数据不能顺藤摸瓜地抓出来。强大的风险模型分析能力在于背后强大的数据挖掘能力,能够对欺诈等风险尽早辨识出来。
目前国内的商业银行仍没有哪家实行全行范围的数据仓库建设,但陈文表示,中国商业银行发展的趋势决定风险管理必然趋同新巴塞尔协议,而作为风险管理最为关键的部分,建立数据仓库系统以及风险模型只是早晚的事情。
|