1、操作风险
操作风险在传统上更多的表现为未严格遵守内部程序导致出现风险,比如在贷后管理中没有严格按照制度去执行,最终主要体现为信用风险事件。但其实从最近几年来看,因人员、系统和外部事件造成的操作风险的不断增多成为了新表现。这也是国内商业银行认识不断加深的一个过程。因为操作风险本身的定义就是上述四种来源,以前大家都认为内部程序问题导致的信用风险事件是最主要的;但目前来看,人员、系统和外部事件也愈发重要,其主要表现为业务连续性管理、信息科技风险、个人信息泄露风险等。随着监管的重视,这几种风险慢慢地从操作风险中的一个方面,逐步上升成为一个相对独立的风险类别。如银保监会对信息科技风险就制定了专门的管理指引。
对于业务连续性管理,早期认识是信息系统中断后,如何在短时间内恢复和保障业务的正常运营。随后也意识到自然灾害会造成整个经营的中断,比如在遭受台风和洪水后,部分网点可能无法正常营业。在这种情况下如何保持银行的正常营运,特别是不对金融消费者造成不利的影响,也被提到了议事日程上。之后,恐怖袭击事件也逐渐纳入进了银行的业务连续性管理。到最后认知到,所有的外部事件都有可能对银行经营的连续性造成影响。因此从银行的声誉角度和正常经营的角度,都需要有相应的预案。2020年初的“新冠”疫情是对银行业务连续性管理的一个考验。针对这类传染病疫情,为了在保证员工身体健康的前提下正常提供服务,金融机构普遍采取了设立“AB岗”的方式,就是对业务连续性管理认识的提升。
对于信息科技风险,有几个常见的问题。第一个问题是系统升级后没有经过严格的生产性测试,如果在这种情况下直接投产,就会经常发生比较恶性的系统崩溃或数据丢失、错误的问题。第二个问题是系统的软件存在重大的失误,由于生产性测试的情景设置不完整,导致在生产性测试中没有测试出来,系统在实际投入运行后就会出现严重的后果。第三个问题是在系统升级的过程中,应急预案考虑不周全。应急预案要保证升级过程不对外部客户造成不利影响,因此预案要对包括系统停止对外服务的时间、停止服务之前的通知以及系统升级完成后恢复服务的通知等考虑周全。第四个问题是在升级系统的时候要有一个回退的机制。这是与前面潜在的问题是相关联的,即如果出现了系统软件的重大失误或bug,在系统升级后无法正常运行,必须要有一个应急地切回原来的系统的预案,至少能保证原有的业务或功能能够实现。英国TSB银行系统升级失败就是一个信息科技风险的典型案例。英国 TSB 银行是一家拥有540万用户的国际性银行,2018年在进行系统迁移的过程中,出现了 2000多个bug,在迁移后运行的第一天就有13亿条账户记录出现问题,造成银行系统迁移的重大事故。这一事故导致该银行最终损失人民币约9.2亿元,CEO引咎辞职。因此事件,其经营也陷入困境,在英国的86家分行被迫关闭。可见信息科技风险的防控在现在银行国际化程度越来越高的情况下也是愈发重要。
对于个人信息泄露风险,在银保监会发布了对个人信息保护的相关指引后,此类风险也成为了银行比较容易受到处罚的点。个人信息泄露风险有多种途径,比如外部犯罪分子入侵银行信息系统盗取个人信息、银行员工盗取个人信息、银行员工不遵守征信查询制度要求未经授权获取个人信息,以及银行员工因不遵守制度导致外部人员盗取信息等。这里也有多个案例,比如2018年,某银行员工陈某利用职务查询客户信息并泄露给外部人员,导致银行被罚款20万元,陈某被禁止从事银行业;2020年3月,江苏警方破获特大贩卖公民个人信息案,嫌疑人正是银行的员工。
2、合规风险
合规风险在原来没有被当作一个单独的风险点,但现在因为合规风险被处罚的事例也越来越多,合规风险已经成为银行进行风险警示的必谈话题。根据银保监会公布的数据,合规风险监管处罚的重点领域包括信贷业务、票据业务和房地产业务(违背宏观调控政策)等。近几年监管处罚的一个特点是“双罚”越来越多,不仅对机构进行经济处罚,也同时对个人进行处罚。2019年银保监会公示处罚罚单共计3,418张,处罚机构共计1,726家;处罚相关人员2,055人,共计处罚2,457人次,其中134人被取消任职资格,195人被禁止从事银行业工作。所以从处罚的程度可以看到,合规风险也正在成为一个越来越重大的风险领域。
3、声誉风险
在传统模式下,信息是通过传统媒体自上而下发布的,渠道单一,且主要是线性传播,对银行的反应时间要求不高,所以声誉风险是比较好控制的。在现在的自媒体时代,负面信息相反是自下而上爆发的,即从一个点发起,早期的时候可能不太明显,但一旦达到某个临界点,可能就会快速爆发式地传播,导致在网络上形成很明显的热点话题。所以这要求银行有更前瞻性的目光,在达到爆发的临界点之前进行快速地处置。
在2020年有几个典型的实例。一是 “原油宝”穿仓事件在舆情上引发了较大影响。该事件发生后,5天内有关信息被自媒体传播发酵,成为新闻热点,连续一周登上微博热搜,点击量超过3000万,新浪字条搜索达到2000多条。二是某银行几年前推广某理财平台App,该平台陆续出现大规模逾期后被立案,自媒体至今仍在追踪事件进展,百度新闻评论超过7000条,排名靠前的负面新闻浏览量达1.4亿。可以看到,在互联网金融的时代,所有人都可以成为负面信息发布的源头,因此很难对此进行控制。所以,如何进行舆情监测是未来一个较大的挑战,如何进行正面信息的引导也是未来银行的一个艰巨的任务。