建立商业银行操作风险管理长效机制初探

国内商业银行操作风险管理现状　一、对操作风险尚未有一个全面、系统的认识。2001年巴塞尔委员会新资本协议将操作风险的衡量和管理纳入金融机构的风险管理框架中，列为与信用风险、市场风险并列的三大风险之一，并定义为是指由于内部程序、人员、系统不充足或者运行失当、以及因为外部事件的冲击等导致直接或间接损失的可能性风险。同信用风险、市场风险相比，目前国内银行操作风险的管理还处于起步阶段，对操作风险尚未有一个全面、系统的认识，以为操作风险就是前台柜面人员操作上的行为风险，或者只是直接面对各项业务操作的经营行的风险，还有的把系统故障、停电等现象排除在操作风险范围之外，认为各种风险操作事件之间是孤立的，无法对其计量等。这种认识上的局限性不但造成对操作风险理解上的误区，也制约了国内银行对操作风险的具体实践。　二、风险管理机制缺失。国外商业银行在风险管理机制方面已经形成了一整套完善的系统，其中包括风险甄别系统、风险报险系统、风险决策系统、风险避险系统、全程监控系统。健全有效的风险管理机制是国外商业银行经营运作的坚实基础，也是银行安全性原则的重要体现。这一点正是我国商业银行的薄弱环节。　三、操作风险内控机制不健全。如：对高管人员权力缺乏有效的监督制约机制；业务偏重事后监督，事前、事中风险控制不力，还未形成全过程、立体化有效防控体系；内部岗位、业务的制约、制衡机制亟需加强，如授权管理较为薄弱，一些相对重要业务仅靠柜员间授权审查易形成隐患，微机操作程序还不尽完善；新业务、新产品推广前风险评估不足；以及一些规章制度已不适应业务发展的需要、应急事件处理机制尚未真正建立等等。　四、风险防范意识亟需加强。国有商业银行普遍机构臃肿、人员素质参差不齐、文化层次较低、业务技能陈旧单一，风险管理人才严重匮乏，更重要的是创新能力和接受新事物的能力偏低，加上操作风险管理在国内银行中起步较晚，存在认识上的误区和实践上的滞后，员工风险防范意识较为薄弱，尤其柜面业务操作风险漏洞颇多，制度执行不力、有章不循、违规操作成为形成操作风险的直接和主要诱因。　五、操作风险监管不力。问题屡禁不止，案件时有发生，甚至在监管检查之后仍会发生责任事故，一个重要原因在于监管不得力，后续监督流于形式，监管制度不够刚性和量化。要实现合规监管向风险监管的转变、事后监督向事前、事中、事后全程监督管理的转变，以及定性管理向定量管理的转变等，还需一个渐进的、逐步完善和加强的过程。　建立操作风险管理长效机制的途径　一、建立有力的操作风险管理流程和框架。　（一）构筑操作风险管理组织架构。国际上通用的操作风险管理架构主要有总部集中管理类型、总部集中管理与分散化支持类型和稽核部门占主导作用的类型，国内商业银行应根据行情选择适合自身特点的方法，通过一系列操作风险管理流程和框架的再造，对操作风险进行全面识别、评估、监控、报告、改进，建立循环的、持续改进的管理过程，构筑较为完整的操作风险制度体系，同时建立操作风险管理责任制度，明确不同职位的人员在操作风险管理中应担负的责任。　（二）强化内控建设。从各类金融案件可以看出，其中暴露出来的问题多数是内部管理上存在漏洞，也是许多案件长期潜伏的重要原因，因此严格内部控制，强化内控机制约束是治理操作风险的有效手段。　一是整合、梳理现有内部管理制度。统一业务标准和操作要求，完善并强化其风险管理作用，务求覆盖所有业务环节和风险点，包括决策、执行、监督全过程。　二是查漏补缺。通过检查及基层反映的问题，对原有的制度和流程中存在的问题，不断加以补充、修改和完善；以金融领域发生的大案、要案为鉴，查找内控管理的漏洞，研究并落实对印章、印鉴、密押及重要空白凭证的细化管理；针对业务操作过程中容易出现问题的薄弱环节，有针对性地制订防范操作风险的规章制度。　三是规范内部控制。在内控制度层次上，改变将内部控制单纯视为对员工工作的一般要求的状况，将其上升为法律、法规、制度，建立严密完整的分级授权体系，对不同重要程度的业务进行不同层次的业务授权；在内控对象上，改变对员工控制制约较多，对管理层控制制约较少的现象，确保内控能够涵盖内部管理和经营活动的各个层次和各个方面；在内控岗位管理上，加强内部岗位责任制，力求岗位目标实施量化考核，重要岗位尽量单设，各岗位和部门相对独立，达到内控所需的双重控制和交叉检查，所有部门都应共同参与对操作风险的管理；对新业务、新产品推广前，要在充分研究、试点的基础上，事先制定较为完善的制度和操作规程，以有效评估和防范在新业务和新产品上形成的操作风险。　四是加强岗位和业务的制约、制衡。强化相互制约的经营管理及决策机制，加强授权、分权管理，规范决策程序，通过科学合理地分配责权利，在各级行、各部门之间实行权力制衡，减少决策失误，杜绝任何个人或部门独立完成某一业务而不受监督和制约情况的发生；推行管理决策信息化，实现风险管理由事后管理向全程管理、由定性管理向定量化管理的转变。　五是完善内部监督机制。建立科学有效、防患于未然的能覆盖所有业务和岗位的事前、事中、事后监督防范体系，既要对违章违规行为进行严肃处罚，也要进一步落实和强化监督岗位责任制；实行内部风险评级制度，对商业银行经营管理状况进行全面分析和判断，并以此作为银行内部和银行间在横向和纵向上比较的依据；健全独立有效的内部审计制度，逐步提高内部稽核工作的层次和效率。　（三）建立风险识别和评估系统。借鉴国际先进经验并运用现代科技手段，逐步建立覆盖所有业务风险的监控、评价和预警系统，提高对风险集中度的早期预警，实施重大违约情况登记报告和风险提示制度。加强对风险数据的收集，通过对风险的定性分析与定量测算，正确评价风险的状态与程度，为风险控制与监管提供基本依据。设计和制定操作系统的风险隔离设置方案和应急预案，制定对高风险岗位的监控办法，成立“紧急危机事件处置小组”，专门应对和处置各类突发生性事件风险。　（四）实施风险转移，缓释操作风险。对于操作风险而言，准确的衡量并不是根本目的，除了按照新协议要求配备相应的资本金外，银行应积极采取措施，转移和缓释操作风险。购买保险或将部分业务外包是缓释风险的常用手段，如针对会计电算化系统的外包，就可以将因系统原因引致的风险损失转移到系统开发商身上，从而达到降低银行会计操作风险的目的。　二、培育操作风险文化。　（一）由银行高级管理人员积极推动，建立起共同的风险管理价值观。操作风险文化的建立应贯穿于建设和完善风险管理体系的整个过程，结合实施的组织架构、业务流程以及信息系统，促进内部沟通，不断将操作风险管理新理念、原理、工具等传递给相关人员，让他们能够视为己任，主动地参与其中的改进和配合，发挥出自身的智慧。各层次管理人员要对构成操作风险的包括执行风险、信息风险、关系风险、法律风险、人员风险、系统事件风险等形成全面、足够的了解，并高度重视，带头防范，充分认识各类违法违规活动的严重性和危害性，真正从内心深处提高警惕，把防范措施落到实处，切实防患于未然。另外，由于银行主管人员的所处地位与履行的职责关系到银行的安全与发展，应对各级主管人员的能力、品行及其从业经验进行评估，建立相应的考核制度，考核其业绩状况，判定其业务控制能力，并决定其职位和岗位的调整。　（二）加强风险意识教育。注重员工思想道德的培育、法律意识的培养及工作技能的培训，使其自觉遵守各项规章制度和操作规程，杜绝麻痹大意的思想，不给任何犯罪分子留可乘之机；把学习教育同创建学习型银行、争做知识型员工紧密结合起来，通过制度、培训、交流相结合，不断提高员工的综合素质；抓好整肃行风行纪和各类案件的警示教育，有针对性地解决干部员工在思想作风、经营作风和工作作风方面存在的突出问题；落实对员工行为排查制度，对已发现的有经商办企业、从事第二职业、赌博、不正常交友等问题和现象的员工要予以密切关注，力求将各种隐患消灭在萌芽状态。　（三）发挥员工在操作风险管理上的主观能动性。努力培养员工与单位同呼吸、共命运的价值观，增强员工在风险管理上的主人翁意识，实现“人企合一”，尊重并听取员工在风险管理上的意见和建议；建构充满活力的机制，做到人尽其才，形成奋发向上的氛围；制定风险管理所要实现的目标和发展战略，让员工有一个明确和良好的预期，以振奋精神，凝聚人心；加强对风险管理专业人才的培养和使用，搞好人力资源的开发；建立全面、科学、可操作的风险管理激励约束机制，充分调动员工加强风险管理的积极性和主动性。　三、健全操作风险监控体系。　第一，重视日常监管检查。加强规章制度执行情况的监督检查，加大对储蓄、会计、出纳、信贷、保卫等重要部门、重要人员和存单质押贷款、银行承兑汇票、贴现等易发案件业务的监督检查力度；构筑自上而下的条线专业检查监督防线，上级行各职能部门根据所辖业务范围内各类经营风险的需要，定期或不定期组织开展专项检查；在支行范围内，强化日常自律监管，充分发挥其防范日常业务风险的主要防线作用。　第二，充分发挥稽核监督职能。一是强化内部审计挽回的损失事实上也是效益的观念，建立相对独立的内部审计部门，摆脱行政领导的干预，内部审计部门对董事会而非行政管理者负责，在没有管理层的干涉下执行委派任务，可以自由地报告审计发现和评价。二是加强银行审计的电子化步伐，大量采用非现场稽核手段，以计算机网络为技术条件，开发一套标准的审计软件系统，对银行业务实行再监督，解决对银行业电子化后新出现的问题控制不力的状况。三是大力借助外部审计手段，遇到有特殊要求或由于其他原因无法由现有内部审计人员完成的任务时，应利用外部审计专业人员来完成该项目。四是转变合规性审计向合规性审计与风险性审计并重，突出风险性审计。审计部门要及时监测、评价各分行及各业务部门、各支行、营业网点的风险状况，分析造成风险的因素，进行风险预警，提出控制风险的对策。五是改变重离任审计轻任中审计现象，对领导干部实行任期内定期审计制度，将监督关口前移，发现问题及时处理。　第三，建立循环的持续改进过程。检查监督是对是否符合要求进行发现，要建立和完善纠错机制，实施有效的纠正和预防措施，建立一个持续的、循环的操作风险改进过程。一是由责任单位或责任人对现有问题制定整改计划和措施，消灭现有风险管理不符合项；二是由责任单位或责任人针对问题产生的根源采取纠正措施和预防措施，杜绝类似问题再次发生，并举一反三，防患于未然，把可能发生的问题消除在萌芽状态；三是由监督部门对问题整改情况进行跟踪验证，对措施不落实、整改不彻底现象及时督促，并采取相应处罚措施，直至整改完毕。这个过程要求把各个环节都作为重要阶段，严格履行各岗位职责并落实处罚措施，确保每一个环节和过程得到有效实施，最终目标是消除风险。　四、开展运行效果评估。