对构筑商业银行操作风险防控体系的思考

1对构筑商业银行操作风险防控体系的思考对构筑商业银行操作风险防控体系的思考对构筑商业银行操作风险防控体系的思考对构筑商业银行操作风险防控体系的思考刘忠宝一、商业银行操作风险管理现状（（（（一一一一））））操作风险控制已经成为现代商业银行所面临的一项紧迫而关键的课题操作风险控制已经成为现代商业银行所面临的一项紧迫而关键的课题操作风险控制已经成为现代商业银行所面临的一项紧迫而关键的课题操作风险控制已经成为现代商业银行所面临的一项紧迫而关键的课题。。。。现代银行风险可以分为信用风险、市场风险及操作风险。信用风险是指债务人未来不能按期还本付息的可能性；而市场风险就是因为利率、汇率等市场要素波动而引起的，金融产品价值或收益具有不确定性的风险，通常包括流动性风险、利率风险、汇率风险和交易风险等；操作风险与市场风险等其它风险有所不同，它是指因操作流程不完善、人为过失、系统故障或失误及外部事件造成损失的风险。它包括了内部欺诈、外部欺诈、就业政策和工作场所安全性、业务操作、业务中断或系统失败、内部流程管理等多种银行业所面临的风险。《巴塞尔新资本协议》征求意见稿(以下简称新协议)把操作风险、信用风险和市场风险——并纳入对金融机构的监管框架，既是近年来国际金融界日益注重操作风险管理的制度体现，同时也是从全面风险管理和保持银行体系稳定的角度对操作风险管理的新要求。近年来，随着经济社会的发展，商业银行操作性风险也呈现高发态势，操作性风险损失也明显增长。常见的操作风险包括系统或流程缺陷，交易错误，结算延迟，业务连续性故障，内外部欺诈，信息安全性、完整性和机密性受到侵犯，执行、传递和程序管理失误，实物资产损坏等。实践证明，操作风险比信用风险和市场风险更为广泛地分布于银行经营管理的方方面面，并给银行经营造成了越来越多的损失，商业银行在操作风险控制上正面临着前所未有的压力和挑战。2006年，银行业金融机构累计发生各类案件1085件，其中百万以上大案273件，导致的风险金额31.2亿元，从最近的一些大案、要案情况分析，酿成案件的根本原因在于“有章不循、违规操作”，信任代替监督的情况时有发生，内控制度的执行缺少技术手段的保障。已有的研究表明，从银行的业务线来看，交易和销售、零售银行业务、商业银行业务是造成操作风险损失的主要业务线，三者合计比重达到73%以上。特别是零售银行业务则是发生操作风险事件最多的业务线，其比重达到60%以上。从操作风险类型来看，外部欺诈是发生数目最多的操作风险类型，而内部流程管理不慎所导致的损失则是最大的。加强内部管理，完善监控机制，是防范操作风险、构建全面风险管理体系的重要环节。提高商业银行管理的电子化水平和监督穿透力，监测营业机构实际经营情况，保护经营安全。2（（（（二二二二））））当前商业银行在操作风险控制上还处于探索阶段当前商业银行在操作风险控制上还处于探索阶段当前商业银行在操作风险控制上还处于探索阶段当前商业银行在操作风险控制上还处于探索阶段第一，我国商业银行内部对操作风险的意识比较薄弱，对操作风险的认识存在偏差，因此未能正确处理好风险管理与市场营销、市场开拓的关系。由于风险是一种不确定性事件，它的出现和造成的损失不是确定的，即使发生风险，在时间上也是滞后的。因此，长期以来我们总是将其放在附属的位置上，全身心的投入到眼前“确定”的业务收益之中。即使经过了这些年的思想灌输、制度加强，监督检查，我国商业银行上下对操作风险仍缺乏统一的认识，基本上没有形成自觉自愿进行风险防范的氛围，风险防范的意识较弱化。即使某些商业银行认识到应该对操作风险进行防范，但认识上仍存在一定的偏差，尚未认识到操作风险的防范是一个全局的概念，是一个过程，需要全面认识，需要建立一个环环相扣、监督制约的动态机制。比如某些商业银行内部人员认为操作风险防范的方法主要在制订制度、事后监督，防范的对象主要在操作层，因而造成银行内部各种规章制度多而杂乱，对操作人员的检查名目繁多。对操作风险认识上的误区导致了我国商业银行在处理风险管理与市场营销、市场开拓的关系中，往往处于“放松－过紧－放松”这样一个非良性循环中。也就是说，商业银行往往把加强风险管理与拓展业务、实现效益对立起来，在业务拓展和风险防范的抉择中，有的银行侧重于抓规模、抓效益，忽略了对违规违章现象的防范；而有的商业银行强调风险控制过多，导致在市场拓展方面谨小慎微，畏首畏尾，造成业务在一定程度上有所萎缩。可见，这样一种对风险管理和业务开拓关系处理不妥当的做法，将不利于现代商业银行的长期发展和稳定。目前，在某些商业银行的领导层仍存在这样的思想，认为抓业务开拓与发展最能体现一个行的工作业绩，是硬道理；抓内部管理、风险控制是软指标，只要不出现大的差错事故就可以了，对风险防范工作只做表面文章。相应的，在部分员工中也存在类似思想，以业务开拓为主，对业务开展中的风险防范不加重视，得过且过，只注重眼前利益，忽视长远利益。第二，我国商业银行对操作风险的事前防范和预警机制尚未建立，防范的重心仍在事后，且操作风险管理工作较为分散，没有形成核心管理机构，缺乏统一性和协调性。由于管理体系、技术条件和人员素质等方面的原因，我国商业银行事前风险控制工作显得较为薄弱，并没有相应的操作风险评估、衡量体系，无法量化风险，估计损失。对于操作风险的工作重心主要在事后管理上。如某商业银行在组织机构中设立了稽核处（内控办公室）、监察室、事后监督中心、贷后管理中心、检辅中心等风险管理部门。但这些部门都只3起到了事后防范的作用，并没有系统的评估风险的过程，识别风险的能力较弱。同时，我国商业银行尚未成立一个风险核心管理机构，有的商业银行虽成立了一定的风险管理机构，但从对风险的整体管理而言，尚未能总揽全部风险的管理工作，不是有效的风险核心管理机构。且工作中对风险管理缺乏统一协调和集中管理，未将具体责任落实到操作风险的所有相关部门。以某国有商业银行二级分行为例，该行从市分行到支行都设立了内控委员会，但一些支行的内控委工作在一定程度上流于形式，应付上级。且相关风险管理部门之间的协调和配合并不顺畅，某些职责的落实并不明确、清晰，对风险的管理不到位。各个业务部门各自为政、分头管理，缺乏应有的信息互通，偶尔还会出现检查依据不一致的情况，造成总体检查次数较多，重复检查的情况时有发生。二、对构建商业银行操作风险控制体系的设想（（（（一一一一））））商业银行操作风险控制体系的基本框架商业银行操作风险控制体系的基本框架商业银行操作风险控制体系的基本框架商业银行操作风险控制体系的基本框架风险防控体系系系系应当是一个对账数据信息准确、业务操作规范连续、风险预警措施得当、监控管理全面到位的管理分析平台。通过该平台有助于实现商业银行操作风险管理的制度创新和手段创新；有助于实现对账客户的差异化管理；有助于化解风险，健全管理体制。1.1风险风险风险风险防防防防控体系控体系控体系控体系的总体目标的总体目标的总体目标的总体目标依据内控管理各项制度规定，并依托商业银行现有的交易系统、会计稽核系统等，开发相应风险监控管理系统，对操作风险的各个环节实现事前控制、过程控制与监督、事后监督与管理以及全面序时评价和持续纠改，并通过对各级行风险管理水平的评价考核及相应的奖惩制度和正向激励机制，全面提高内控管理水平和防范操作风险的能力。1.2系统设计的总体思路系统设计的总体思路系统设计的总体思路系统设计的总体思路风险防控体系系统建立了违规问题识别模型、综合评价模型和违规问题处理流程，记录商业银行管理制度执行和工作人员履职过程，采集业务系统的数据并加工分析，从中识别违规问题，并对违规问题的检查和纠改过程进行规范和监督，通过积分和综合评价模型，实现了内控管理工作由定性到定量的转变，促进了商业银行内控管理工作各项管理措施的落实，增强了执行力。整个系统围绕违规问题和风险隐患的发现和处理这一主线展开。1、实现系统、全面的风险防控体系。纵向上实现各级行对辖内内控管理的需求，即上级行对下级行监督、管理、评价、考核；横向上实现对内控管理的各个方面、环节涉及的所有人员进行监督控制和评价，体现操作风险监控的全面性。42、实现风险防控管理统一性、规范性。即依据统一的内控管理制度规定，实施统一的控制、评价范围、标准。3、突出内控管理重点和制度执行的制约性。对重要内控环节和人员实施重点控制与管理，如对营业机构负责人、会计主管、监管及监督人员等进行监控管理。4、实现序时连续监督控制。对防控体系内的各环节连续系统监控、定期评价和持续纠改。可以分月、季、半年、年度汇总、累计内控制度执行情况，便于评价与考核。1.3风险防控风险防控风险防控风险防控管理系统的总体框架管理系统的总体框架管理系统的总体框架管理系统的总体框架系统划分为六个子系统：
系统管理系统管理系统管理系统管理：：：：描述商业银行内部规章制度，进行静态数据管理，建立违规问题识别模型和综合评价模型，作为识别违规问题和积分的基础．
制度执行制度执行制度执行制度执行：：：：记录并分析员工履行职责的情况
业务风险监控业务风险监控业务风险监控业务风险监控：：：：从相关业务系统采集数据并加工分析
检查监督系统检查监督系统检查监督系统检查监督系统：：：：建立问题纠改流程，检查组检查流程化管理、对违规问题按规范流程处理，并给予积分。
内控评价内控评价内控评价内控评价：：：：依据综合评价模型，加工分析管理控制、操作控制、监督控制等模块的相关数据，以积分为最终依据，对各级行进行全面评价，并形成报告。
报表反馈报表反馈报表反馈报表反馈：：：：通过各种登记簿和报表,揭示考核结果、奖惩、得分、扣分情况，员工个人积分情况前4个子系统实现事前控制、过程控制及事后监督控制和纠改，内控评价系统实现对各级行内控管理情况的总体评价，统计查询子系统实现对相关问题的统计、查询、分析以及对风险风险风险风险防控防控防控防控平台平台平台平台系统管理业务操作检查监督内内内内控控控控评评评评价价价价统计查询制度执行5员工、机构的考核奖惩。（（（（二二二二））））商业银行操作风险防控体系的工作流程商业银行操作风险防控体系的工作流程商业银行操作风险防控体系的工作流程商业银行操作风险防控体系的工作流程风险防控平台与现在商业银行运行的会计稽核系统最大的区别就是风险监控平台能做到实时化和自动化。风险防控平台就是从现在运行的各类系统数据中筛选出可疑数据，进行详细地跟踪与分析，发现其中的风险，迅速向相关管理部门和领导报告，达到及时发现风险，规避风险的目的。鉴于业务系统返还的数据的特点以及监控目的，风险防控平台应该是一个开放式的应用系统，即能够添加或调整监控的对象以及监控依据，对监控内容可以补充和调整，监控的范围可以按要求设定；数据源主要是业务系统的实时交易数据，同时还可以查询收集人力资源系统、经费系统（ERP）、信贷审批流程系统（CLPM）、中间业务平台等系统平台的数据；数据的分析可以多样，对交易的时点数据、历史数据、分户帐信息、明细帐务信息、总账、登记簿等的各类信息数据；数据的输出格式可以是文本、电子表格、打印机、图表等。系统应包括如下功能：数据采集、标准数据维护、分析模块维护、分析查询、数据分析、数据输出、风险落实；功能模块的详细划分如下图所示：风险防控平台采用实时预警和T+1分析相结合的方式。对于风险程度高、要求响应速度快的风险点，在最短时间内给出预警，并结合短信通讯平台，必要时给出短信告警；对于数据采集数据分析数据输出风险落实责任人落实情况负责人确认查询分析总账、明细、帐卡、客户资料、操作员信息。。。风险指标、风险阀值。。。文本、电子表格、打印机、短信。。。情况说明、风险结论、落实情况、处理情况。。。6总帐信息等每日批量执行后才能获得的数据，采用T+1分析方式，通过事后追查、责任落实来规避风险。风险防控平台每日定时由数据装载主控程序装载外部数据，并对数据进行整理、分析，得出疑似风险点，并根据风险点级别、类型的配置，进行后续操作（如责任落实、责任认定、处理结论等）。对于实时性要求比较高的风险监控点，平台通过实时连接业务数据库，定时（按照