专业委员会
商业银行全面安全风险管理的思考和建议
近年来,外部经济与治安环境日趋错综复杂,银行业所面临的外部侵害风险形势和突出问题更为严峻。针对银行的金融诈骗和暴力犯罪事件高发,金融犯罪智能化、组织化、隐蔽性强的趋势明显,随着银行行业创新的发展步伐加快,外部侵害风险的复杂性和差异性也相应增加。如何应对新问题、新风险?工行前董事长姜建清强调过:“要将安全上升到文化的大视野中研究,发展公司安全文化战略,才有可能使安全管理工作取得广泛的群众基础,达到思想、策略和行动的统一”;现任工行董事长易会满也重点强调了“从严治行”的管理要求;工行王敬东副行长在四川调研时指出:“面对新常态,迎接新挑战,要努力构建工商银行全面安全风险管理的新格局”。工商银行的决策者明确地提出了全面安全风险管理的新理念,要求进一步完善安全运营管理模式,提高安全管理的效益和效率,最终构建全行共同参与的跨市场、跨区域、跨专业、跨监管环境的集团安全运营模式和治理架构,将全面安全风险管理作为工商银行经营发展的生命线。如何正确认识新形势下安全保卫工作面临的新任务与新挑战,我们有如下的困惑和认识,也有如下的思考和建议:
一、对当前安全保卫工作面临的新形势与新任务的认识
(一)外部社会治安环境复杂变化。从外部整体环境来看,随着国内改革进入深水期和攻坚期,社会稳定进入风险期,刑事犯罪依然呈高发态势,暴力恐怖活动的现实威胁明显上升,重大恶性案件特别是个人极端暴力案件频发,网络攻击层出不穷、经济金融欺诈愈演愈烈,给社会治安局势带来严峻挑战。银行安全保卫工作的压力日益凸显,特别是针对银行的金融诈骗以及高科技职能攻击等犯罪活动日益猖獗,犯罪分子对银行的攻击几乎涵盖了银行的所有业务领域,是全方位多渠道的觊觎,线上线下、传统领域和金融创新领域,无不隐藏着犯罪分子贪婪的目光,是从简单的侵害到专业能力的渗透。安全保卫工作已不仅仅是从前的防抢防盗防诈骗,也不是简单的看家护院,而是全方位、全天候、全渠道的主动防御。单靠传统领域的安全保卫专业条线已经无法应对全方位的外部侵害风险,银行各专业之间的配合、协动已经无法回避,实施各专业领域的区域安全负责制已经不可避免。全面安全风险管理,全行上下共同编制慎密的“防护网”和锻造牢固的“保护罩”已刻不容缓、日显重要。
(二)外部侵害风险的主要规律与特征。新常态下金融生态变化使银行面临的案件风险、欺诈风险、操作风险明显增多,要严密防范外部欺诈行为。从涉及领域来看,一方面运行管理、个人金融、银行卡等业务领域仍是外部欺诈事件多发领域;另一方面受经济环境变化影响,信贷融资类外部欺诈风险事件出现了数量和金额的双升,这种态势和苗头应予以警惕。从欺诈手法来看,克隆银行卡、伪冒证件等欺诈事件发生数量仍占居高位。其中针对或利用自助设备、第三方支付工具实施的盗取客户信息及密码、制作假卡套现的作案特点突出,一些地区还出现了跨境团伙作案,防范和打击难度较大。尤其值得警惕的是,在互联网和新媒体的放大、诱发效应作用下,一些外部欺诈风险事件还可能引发其他风险,特别是声誉风险。在这种情况下,我们认为作为专业能力更强的渠道管理部、运行管理部、个人金融业务部、电子银行部、银行卡部、信贷管理部等各专业条线已经无法独善其身,必须意识到肩负的专业领域安全责任,必须多专业主动协同,共同应对协调防御。当然对安全保卫专业也提出了新挑战,这就要求安全保卫专业必须进一步贴近业务经营,从风险管控的角度与相关专业一道共同加强事前风险预警与防控。
二、推动全面安全风险管理的难点与存在的困难
全面安全风险管理就是要尽最大努力将安全管理融入公司运营中,这需要创建一种新的职能,如同人事或财会、内控合规或纪检监察职能一样,这种职能将超越部门界限,深入到银行经营管理的每一个角落。从组织的角度来讲,安全保卫部门应该和其他部门和谐融合、彼此尊重、互为补充,在处理那些可能使我行利益受损的潜在风险时,各部门共同应对消除风险的目标是一致的。然而,现实中这种和谐协动的关系是很难实现的,尽管专业之间的合作至关重要,但这种关系总会受到文化、理念和阶段发展策略的制约,总会受到利益分配、资源配置以及担心部门职能丧失等思想的影响,受到避害避险意识的潜在支配。在现有安全管理机制下,我们认为构建全面安全风险管理新格局面临以下难点:
难点一:安全文化的建设。在部分行和一些管理者心目中,安全问题虽早已“内化于心”,但远没“外化于行”。讲的多做的少,嘴上重视却不见具体行动。这种不良安全文化具体表现在:对新常态下的安全保卫工作新的职能内涵认识不到位,甚至于对于上级行决策部署的安保重点改革工作,态度不积极,执行打折扣,甚至是选择性落实,全面安全风险管理的理念尚未在各级管理机构落地、根植。摒弃不良文化,建设有鲜明的商业银行特点的安全文化任重而道远。
难点二:资源的合理配置。资源配置不到位是有效实施全面安全风险管理的最大障碍。特别是在基层网点,重业务发展轻外部风险管控,安保的投入和管理普遍被弱化打折已经不再是什么秘密。以工商银行为例:在二级分行及以上安保专业人员中,50岁以上人员占比为53.4%,其中一级(直属)分行有18.3%的人员缺口。在多数机构、在部分基层,安全保卫领域的投入基本是靠臆断、拍脑袋。人财物的配置没有一套较为合理的量化测算,严重影响了人防、物防、技防的有效性。同样是省分行,有的配置十几人,有的仅仅四、五人,甚至有个别省分行居然撤销了安全保卫职能部门;同样是二级分行,有的设独立机构专业团队,有的却一人多岗;同样的县支行,有的专人专岗,有的却连兼职的都没有。无科学的测算,无量化的标准,无统一的规范,仅有各级机构主要负责人的风险偏好,资源配置(特别是人力资源的配置)的随意性埋下了引发系统安全风险的隐患。
难点三:考核的全面、准确、有效。在我国,大多数商业银行的总行层面没有设立首席安全官(CSO),对全辖安全保卫的考核也存在一定的局限。各商业银行的总行安全保卫部受现有的职能约束,所能进行的考核仅仅是对专业条线的考核,其代表总行对下一级单位的考核远没达到应有的作用、远没达到应有广度,更没达到应有深度。这样的考核体系,势必形成了全辖安保工作“围观者”众、“参与者”少的不利局面,安全保卫专业“独木难支”。没有相关专业共同参与的安全考核与问责,无法有效地推进商业银行全面安全风险管理,无法有效地应对潜在的全方位的外部侵害。
难点四:问责与追责的合理性。合理的问责是强化全面安全风险管理的基础。目前,只要一出安全风险事件或者外部侵害案件,大家不约而同想到的追责对象就是基层的安保从业人员,一撸到底,尽快地找出一只“替罪羊”让大家脱险。这其实是一个大大的误区,这样的问责只会将全面安全风险管理引入死胡同,只会对商业银行的稳健发展造成伤害。正确的问责,应该是从“安全生产人人有责”这句话开始,哪一个环节做的不到位就重点追究所在环节人员的责任。比如,有的二级分行仅仅配置一名安保工作人员,同时还兼职三个其他岗位(这种情况在基层并不鲜见)。这样的配置,不要说全面安全风险管理,仅仅看家护院的基本要求都无法达成。这样的分支机构,出了风险事件或者外部侵害案件,显然,首先应该对其行长或人力资源配置有权人追责。这就是典型的“问题在基层,根子在上面”。解决这样的问题,需要各商业银行的总行层面对全辖的安全职责重新进行全面的评估、细致的梳理。面对新形势、应对新常态,明确无误地重新划分各专业条线、各管理层级的安全职能,明确各自担负的安全职责。减少各部门、各专业条线之间的利益冲突,强化安全风险管控的合作。
难点五:专业素质与专业能力的匹配。安全保卫队伍结构失衡、专业人才匮乏等问题依然未能有效解决。现有队伍人员流动过快,年龄老化,专业素质和专业技能不支撑。安保岗位成了没有去处的员工、各专业冗余人员以及即将退休老同志的避风港。久而久之,安保岗位的吸引力愈发低下,新鲜血液无法补充。这样的队伍,面对新情况新问题,茫然无助。发现问题、分析问题、解决问题的能力严重不足。全面安全风险管理需要的懂业务、有技能的专业人才严重匮乏。
难点六:安全管理创新的动力与能力不足。世界在变、形势在变,面临的风险在变,银行全面安全风险管理必须跟着变。但是基层安全保卫工作改革创新的动力不足,能力不强的现象普遍存在。有的机构满足于过去的成绩,缺乏主动求变的勇气和行动,以致于在新的工作领域裹足不前,无所作为。相关专业在安全防范方面意识不强,在产物设计、渠道建设、网络保障、信息安全、技防手段等各个方面和领域,差距还很明显。以致于相关工作迟迟打不开局面。此外,在认清形势、找准问题的同时,各专业条线要进一步强化大局意识,增强合力,紧密围绕新常态下全行经营发展中心任务,准确把握安全保卫工作面临的新任务、新要求,推动全面安全风险管理的新突破。
三、对构建全面安全风险管理新格局的思考与建议
推动全面安全风险管理,必须要进一步强化大局意识、责任意识和创新意识。应该继续整合各专业条线安全管理的职责,落实各相关部室的职能。做到“五位一体”,即规划有统筹、落实有规范、协调有机制、风险有问责、信息有共享。特别是在统筹方面,必须做到“叁统一有”,即:统筹协调、统一规范、统享信息,达到有效覆盖。实施全面安全风险管理,我们认为要从以下五个方面进行有效的探索和尝试。
(一)创新意识,进一步夯实“大安全、强保卫、全覆盖”安全保卫工作的思想基础
一要强化创新意识。各行安全保卫部门应主动配合公司文化部门用实际行动强化安全文化建设,营造全行良好的安全文化氛围。各级行主要负责人和分管安保工作负责人要率先增强安全创新意识,切实站在经营发展一盘棋的高度,牢固树立“大安全、强保卫、全覆盖”的全面安全风险管理新理念,确保全面安全风险管理“横到边、纵到底、有重叠、有协动、不遗漏”,切实体现全面安全风险管理的“重要性、前瞻性、时效性”。各基层行要结合实际积极探索实践,推动安全保卫工作管理创新和制度创新,尤其要紧密结合各专业条线的业务需求,通过实实在在的创新成果,构建新常态下的全面安全风险管理新格局。
二要强化各层级相关部门的责任共担意识。安保部门要主动配合相关考核监督部门,落实辖内机构、人员全面落实安全风险管理的履职情况。全面安全风险管理离不开领导的重视和全行的参与,很大程度上更取决于各专业部门是否切实将安全管理真正作为自己的重要职责,积极作为。在遇到实际复杂情况,需要攻坚克难的时候,更是考量各专业部门负责人能否勇于担当,安全保卫部门是否主动作为。各层级安保部门、专业部门要牢记打铁还需自身硬的道理,切实增强责任意识,担当意识和进取意识,以积极的工作态度、扎实的工作举措,协同配合,全力保障一方平安。
三要强化全员履责意识。安保部门要配合宣传教育部门,利用多种形式和渠道组织安全宣传教育和培训,积极推广介绍安全保卫工作的新职能、新变化和新成效,有效引导各级机构、相关部门和广大员工感知安全保卫工作新内涵,更加主动地参与支持安全保卫工作,营造“安全生产、人人有责”的良好氛围,共同维护经营安全。
(二)创新管理,适应新形势下安保任务的要求,抓好全面安全风险管理的体制机制建设
一要全面梳理审视全行安全风险管理的新需求,落实新机制、形成新格局。建议参考国际惯例,在各商业银行总行层面建立首席安全官(CSO)制度,要将安全作为一个有机体融入到公司的管理架构中,首席安全官是一个相对有效的组织途径。首席安全官不能像过去一样,仅是技术领域的“安全专家”,而是对董事会负责,协助分管行领导对全辖的安全风险做全面的管理、协调、组织与问责。赋予首席安全官规划、指导、控制与问责的管理职能,彻底解决安保部门作为专业条线,对全辖全面安全风险管理有限的影响与制约。
二是重视安保队伍建设,优化队伍结构。建议各行人力资源部协同安全保卫部共同建立一套安保从业人员的量化考核配置模式,彻底解决基层安保从业人员配置“拍脑门”等五花八门的无序状态。从根本上消除这些潜在的“隐患”。对那些明显低配无法正常履职的基层机构,追究资源配置部门和安全保卫部门的相关责任。各级经营管理者必须看到当前安全保卫工作职能与内涵都发生了深刻变化,部分行现有安保从业人员配置不足、结构失衡等问题严重,已经对今后一个时期安全保卫工作的深入推进形成严重制约。不能再继续维持“围观者众、参与者少”的不利局面。对此,建议各家商业银行予以充分重视,把安保队伍梯队建设,切实摆上议事日程。
三要突出各业务条线的安防培训,培养核心人才。建议各级安保部门加大与各业务条线的配合,以“嵌入”的方式将安全风险管控融入到各专业的业务和技能培训中去。持续提高相关专业员工专业胜任能力。重点抓好基层网点负责人、新到岗员工的安全教育培训,同时抓好运行管理、个人金融、银行卡等业务领域外部侵害防控能力的培训,介绍信贷融资类外部欺诈风险事件的特征与防控,通过培训,提高一线员工对克隆银行卡、伪冒证件、利用第三方支付工具实施的盗取客户信息及密码、制作假卡套现等犯罪活动的识别与防范。
(三)创新方法,充分发挥专业监督职能,促进提升安全管理效能
一要突出监督检查的效能导向。安全保卫部门要加强与各专业部门的合作监督检查。特别是在内控合规专业的牵头组织下,努力协同相关专业对各专业领域的监督检查。在相关专业的共同参与下,监督检查才能更加有的放矢,才能确保每检查一项内容,就排除一个雷区。
二要丰富监督检查的方法手段。各专业的协同合作,能更好地突出全面安全风险管理的有效性。暗访、突击检查、交叉检查、专项检查等等方式,都是各专业之间强化配合的有效方法和手段。各专业的参与能确保四个“突出”,即突出可操作性、突出系统控制、突出管理效果、突出问责与考核。建议相关部门强化配合协调,就全面安全风险管理,就解决四个关键性问题共同研究探讨。即解决屡查屡犯和整改流于形式的问题,解决整改机制完善的问题,解决整改标准不统一的问题,解决整改工作无法可依的问题。要善于借助现代科技改进监督检查形式,丰富监督检查手段,促进监督检查效能的提升。充分利用科技技术及系统手段,能够在有限时间内对多个机构开展远程非现场检查,或者对历史录像进行回放复核,或者对异常现象进行大数据挖掘、分析和排查等。当然还有许多思路与方法,需要各行的共同探索实践。
三要注重监督检查的结果分析。安全保卫和各专业要定期对日常监督检查中发现的各类问题进行梳理分析,确定需要重点整治的领域,及时研究采取相应措施,有针对性地消除高发多发的风险隐患。
(四)创新考核,重视问责,究必到位,建立全面安全风险管理的长效机制
首先必须建立各专业条线职能清单,根据职责清单对出现的风险和检查出的问题进行问责。要重视对责任机构、直接责任人、相关责任人的分类惩教和区别警诫,切实做到有责必究、教育和警示并重。切忌在职责不清的情况下的简单问责。目前部分问责的准确性值得商榷,个别行个别单位只要在安全保卫方面出现风险和问题,不问原因、不分专业、不论部门,追责就一定是安保从业人员。对造成风险和问题的原因没有深究,甚至明显因为人员配置不到位带来的后果,居然也要问责仅有的安保岗位人员,而对应该负责的相关领导或者资源配置部门以及涉事的专业部门,均没有对应的、应有的问责追责。这样的考核管理机制只会带来负面的效果和影响,起不到警诫和惩教的作用,甚至会埋下风险的隐患。
鉴此,各商业银行有必要对行内各专业、各层级的管理者再次就安全风险管控进行职责区分和界定。明确安全保卫和相关专业各自的责任,逐步实施在首席安全官协调管理下的各专业领域区域安全负责制已经刻不容缓。在此基础上,对检查发现的问题和风险由保卫部门和被检查的专业机构共同进行补救和纠正,共同分析查找问题产生的原因追究责任人的责任,完善相关制度、流程和系统,落实整改措施,并做好相关信息的反馈和报告,由涉及的专业部门及时在所辖专业进行案例分析、通报教育以及警示提示,避免同类风险或问题的再次发生,尽可能地使问责追责做到准确、有益和有效。通过追责问责完善制度流程、弥补系统缺陷,通过强化执行力,改进管理方式和方法,完成安全风险控制和安全风险管理。通过纠正错误、改进工作健全机制,达到全面提升安全风险经营管理水平,构建新时期商业银行全面安全风险管理新格局的目的。
供稿单位:中国工商银行四川省分行
