依据《商业银行操作风险管指引》规定,操作风险是由不完善或有问题的内部程序、员工、和信息科技系统,以及外部事件所造成损失的风险。业务部门是操作风险的第一道防线。因此,必须千方百计将风险控制在可接受的范围之内.
一、以人为本,加强会计队伍建设与管理,
从近年来国内外商业银行由操作风险引发的案件分析看出,人员因素是操作风险发生的主要因素,具体表现为操作失误、有章不循、服务意识不强、风险意识淡薄等。因而我支行一直将会计人员管理作支行管理工作的重点。严格控制操作风险,做到自我监督、相互监督和部门监督相结合,合规操作,尽量确保万无一失。
1、注重培训工作,使新员工操作风险发生机率大大降低
我支行会计队伍的特点是年轻员工比例大,社会经验和从业经验不足,防控风险的意识稍显薄弱。为此。一方面我们通过师父代徒弟的形式,传授业务知识和技能的同时,传授业务易发生的风险防范经验;另一方面我们通过案例分析达到警示的目的,来加强员工的风险防范意识。我们将分行会计处下发的风险提示、总分行下发的案例编印成册,组织员工进行深入的分析学习,并引导员工互相交流学习体会,强化员工的是非观念,让新员工明白这样做会产生的后果,以及相对应所带来的损失,以降低新员工发生操作风险的可能性。通过上述方式,保证我们新上岗员工在上岗前就具备了一定的业务技能和风险防范意识,表现在上岗后差错率低,柜员成长快,发生操作风险的机率低。
2、岗位设置与人员能力相匹配,潜在产生操作风险几率低.
一方面我支行从员工的业务能力、职业素养、从业经验几方面综合考量,按照新核心的岗位要求对各个岗位进行人员配置。另一方面我支行积极探索有效的业务培训形式,创新人员素质提升手段,针对新核心下新的操作模式对高柜岗、低柜岗、总会计等不同群体的业务知识和操作技能制定了培训考核,来不断提高会计人员的业务素质。目前来看,每个岗位的员工都能比较好的完成本岗位的职责,在自己的岗位上发挥自己的作用,降低了自身发生操作风险的可能。
3、坚持不懈抓员工思想建设工作,保持员工队伍相对稳定
员工为本,支行从工作、生活、后勤等方面,积极创造条件,为员工创造好的工作生活条件,保障员工权益,免除员工后顾之忧,使员工可以集中精力把好风险防控关口。同时,经常性观察员工思想动态,帮助员工正确面对精神压力,并通过谈心等方式给予适时的心理上的辅导,真诚的对员工的职业规划给予积极的建议,引导员工以阳光心态面对工作,防止职业倦怠现象出现。经过努力,打造出一支纪律严明、作风过去硬、能征善战的会计队伍。
目前,支行会计队伍相对稳定,员工能够自觉抵制社会上的不良现象,能够自觉抵御外界不良思想侵袭,从根本上消除了会计部位操作风险隐患。
二、推进内控建设,积极构建风险防控长效机制
1、实行不兼容职务分离控制,操作风险低
本行按照新核心的岗位设置要求,确定重要岗位和不相容岗位,强化岗位监督制约机制,落实岗位独立、相互制约的内控要求。本行严禁一人兼任非相容的岗位或独自完成会计全过程的业务操作等。
2、实行分级授权审批控制,操作风险低
落实分行分级授权办法,对所有业务进行梳理,实行分级授权,对于重大的业务和事项实行管理班子集体决策,任何个人不得单独进行决策。
3、突出总会计作用,有效降低了发生操作风险的可能.
我支行注重突出总会计作用,要求总会计实时复核高低柜员的业务,即使发现业务问题,疑问之处问清查明。这种实时而全面的业务监督至少可以在两个方面起到作用,首先对前台柜员形成强烈的被督促感,这能显著加强前台柜员的危机感,从而更加审慎的办理业务;其次,一旦发生业务风险,总会计的及时发现能带来事半功倍的效果,有效降低了发生操作风险的可能.
4、实行岗位间相互制约监督,有效控制主管操作风险发生
一方面营业经理和总会计在高风险业务和特殊业务授权办理上相互监督制约;一方面主管行长对营业经理和总会计在高风险业务和特殊业务授权办理上监督控制,很好的抑制了主管自身操作风险的发生.
三、优化内部流程管理,有效降低操作风险
1、完善标准作业流程,有效降低操作风险
近期根据分行近期下发的抵质押品出入库等十三项风险节点,对照本支行的相关业务操作流程,进行了全面了梳理,。对其中一些流程进行了相应的调整的同时,对13项业务的流程进行了进一步规范,提高了作业流程的标准化,更好的降低了了由操作流程所引发的操作风险。
2、落实高风险业务低柜集中处理以及高风险业务前后台分离制度,有效降低操作风险
操作风险产生于日常的操作与工作流程,当作业体制与外部环境之间出现矛盾时,操作风险产生的频率便会增加。近年来国内银行频繁爆发的临柜业务操作风险,主要原因之一,就是旧体制下的作业流程与金融市场的日新月异变化之间出现了矛盾,原有的内部控制适用性快速降低,操作风险顺势上升。近期分行下发的高风险业务集中由低柜处理,以及高风业务前后台分离制度,以客户为中心、以流程为视角,导入了风险管理理念,实施临柜业务流程再造,一方面实现了低柜人员对高风险业务的集中的作业,一方面大大减少营业机构临柜业务人员触发风险的机会。所以,我支行根据制度要求,很快转变了支行作业流程,有效提高全行临柜会计操作风险管理能力。
四、加强制度建设,夯实管理基础
不断健全完善管理制度,防范操作风险的发生。一方面提高人员的执行力。铁的制度与铁的执行力相适应,对上级行已有的制度包括行为排查、积分管理、风险例会、岗位交流、强制休假等制度必须不折不扣地抓好执行。另一方面完善工作机制。结合自身实际,不断补充和完善案件防控相关制度和激励约束机制建设,不断完善案件防控工作的考核评价机制,有奖有罚。诸如开展“万笔业务无差错”、“百日无差错”等易实施、易操作、易考核的活动,突出机制的正面激励作用,有效地调动各层面做好案件防控工作的积极性和主动性。
五、目前,引发操作风险的问题及对策
1、执行力不足问题
一是简单随意,理解上级政策不全面,执行有关操作规定不认真,甚至搞上有政策下有对策;二是机械照搬,说一办一,形式上执行坚决,实际上消极怠工;三是被动应付,缺乏积极性、主动性、创造性、预见性,不推不动;四是笼而统之,工作不具体、不深入、不扎实,浅尝辄止,只讲原则话,不求精细化;五是虎头蛇尾,开始抓得很紧,后期疲疲沓沓,缺乏后劲,不能持之以恒。
对策:在编制“操作流程”过程中,重点针对在执行制度办法中容易出现问题的薄弱环节,把操作流程与各岗位职责有机结合起来,对每项业务、每个环节需要哪些岗位、涉及哪些人员、执行哪些流程、履行哪些职责都作了细致明确的规定,初步实现了操作上有遵循、执行上有责任、管理上有依据。其次,把操作要求细化到流程中。为突出业务操作流程简便易行的实用特色,在设计流程时,对政策性业务和商业性业务流程进行分别编制和分类管理,同时引入了操作图表。凡是有具体流程的`,都有清晰的操作流程图以及所涉及到的各类业务文本,突出了指导性和直观性,使具体操作人员对整体业务流程有更加全面具体的认识和把握,便于各岗位人员学习和执行
2、员工缺乏归属感和责任心
员工由于队伍中80后居多,暴露出的问题是缺乏责任感,关注自己的业务较多,不是站在整个支行的角度考虑问题,环节上容易出现问题。比如交接的过程,只交接了业务本身,没有交代业务的风险环节点,存在潜在的操作风险。
对策:通过设置A、B岗,加强替代岗位的培训和锻炼,加强支行内部的轮岗,使替代B岗柜员能够更好的承担A岗位的工作;另外培养员工的责任心、团队精神,一项业务往往是大家都多关注一点,风险就可避免。一线本身工作节奏快、风险高、对员工综合素质要求高,作为管理者做法讲求方式方法,得到员工的认同,最大限度的听取员工的意见和建议,让员工有归属感。同时,要辅之于强有力的思想政治工作,关注员工,关爱员工,关心员工,营造家园氛围,增强他们的向心力和凝聚力。
3、员工对新业务掌握不熟练
鉴于产品种类和业务范围日趋多元化,员工对新业务掌握不熟练,因而在工作中出现不能准确把握操作风险点的现象。
对策:在这方面,管理者要针对新业务新流程进行扎实有效的培训,采取晨会、风险分析会抽问、抽测、实操等方式,灵活机动地对员工的学习效果进行检验,使新员工真正学有所进,学以致用。
4、应变能力不强,易将操作风险扩大
有的员工遇到操作问题,由于缺乏经验,往往手忙脚乱,这样就容易把操作风险扩大。
对策:定期开展应急演练,熟练掌握突发事件的处理方式和上报流程,遇突发事件要积极沟通能够,即使上报,控制事态的发展,缩小知情面。
5、系统风险上,存在职业倦怠苗头
一是系统需授权业务多,容易产生倦怠;二是新系统客观上,也存在操作风险。
对策:管理者应加强责任心,相互进行监督。同时,通过即使学习下发的风险提示,做业务时加强自身审核判断,逐步适应新系统,降低由系统原因所产生的操纵风险。
6、信息的交流与反馈不够
在信息社会,各个基层单位、岗位间的信息的交流与反馈不够畅通,相互交流少,反馈不及时。
对策:为了建立更加有效的风险反馈机制,我支行将实施双线反馈一是柜员-总会计-营业科长-主管行长传统直线的反馈方式;二是柜员或者总会计-将营业科长或者主管行长快速的垂直的反馈机制。建立双线的自下而上的操作风险报告机制,对操作风险事件进行汇总分析,实现操作风险识别评估监测控制的闭环管理,有助于即时发现和总结潜在的操作风险,形成操作风险的反馈改进机制。发现操作风险管理薄弱环节和风险隐患,进行风险提示,并提出管理意见,有效地促进操作风险识别分析水平的提高。
去年来,尽管我支行在营业柜台操作风险防范方面做了一些工作,但按照总行关于打造现代银行的要求和其他兄弟行的先进经验相比还有很大差距,下一步我们要按照总行关于有关工作要求继续努力工作,虚心学习兄弟行的好经验好做法,认真做好操作流程等机制的补充完善工作,并加大监督检查力度,增强风险管理制度的执行力,保证操作流程的贯彻落实,把风险防范推上一个新的台阶。
长期以来,社会各界对银行业的风险管理都聚焦于信用风险和市场风险,而对操作风险并未予以足够的重视,对其认识和管理都处于较低水平。然而,随着金融管制的放松、银行经营业务范围及产品的多样化和复杂化,操作风险的破坏力和影响力愈发显现,对其研究和管理也迫在眉睫。在此背景下,2004年的巴塞尔新资本协议规范了操作风险的定义①,并提出操作风险的最低资本要求,为各国银行业加强操作风险管理敲响警钟和提供指导;中国银监会于2007年6月发布了《商业银行操作风险管理指引》(以下简称《指引》),为加强银行业操作风险管理、推进完善银行业公司治理结构、提升风险管理能力提供指导。
一、我国银行业操作风险危机四伏
受旧体制等不利影响,我国银行业面临着严重的操作风险。表1列示了近年来部分银行操作风险事件。
通过综合分析我国银行业操作风险损失事件,其具有的特点主要有:
1.操作风险主要形式是欺诈①。欺诈包括内部员工的欺诈、外部人员的欺诈以及内外部勾结的欺诈,其中内部员工欺诈和内外部勾结的欺诈是我国当前存在的主要形式,并且这种类型的损失事件一旦发生,就具有单笔损失金额大和社会影响力大的特点。
2.操作风险大都发生在基层分支机构,且与上层机构的控制力负相关。我国银行的业务运作大多数集中在基层机构,总、分行则更偏重于行使管理职能,当分支机构距离较远、受到的监管较弱时,分支机构的一些违规操作就不易被发现,操作风险发生的可能性就更大。
二、我国银行业操作风险的影响因素
目前,我国银行业普遍存在内部控制制度不完善的问题,这是导致操作风险频发的最主要原因。我国银行业内部控制不健全性主要表现在:
1.操作风险管理意识薄弱。目前,我国银行业的主营业务仍以信贷为主,因此银行风险管理的焦点都集中于信用风险,而对于操作风险,从管理层到基层员工对其管理的意识都有待于提高。
2.操作风险专业化管理部门缺位。我国绝大多数银行均未设立独立的专业化的操作风险管理部门,对其管理主要是依靠非专业部门负责,以定性管理为主,主要依赖专家的主观判断,缺乏科学和专业的管理。此外,根据巴塞尔新资本协议,用于计算监管资本的内部操作风险计量法,必须建立在对内部损失数据至少5年的观察基础上,而我国由于缺乏数据,很少采用定量分析控制操作风险的`科学方法。
3.分行制的组织形式不利于监管。我国银行主要采用分行制,该体制下的直线管理职能削弱了内部控制的力度和有效性,各层次的负责人横向权利过大,为操作风险的孕育提供了空间。
4.管理体系不完善。我国银行业普遍存在管理层次多而繁杂,各层次权责不清,缺乏相互制衡、权责明晰和相互独立的管理体系,容易出现管理的真空地带和重复低效管理。
5.管理制度不健全。我国银行业风险管理所需的制度建设不健全,现有的制度大都流于形式,存在不切实际、难以执行的问题,此外,仍有部分正常经营所必备的规章制度缺位,导致管理盲点的存在。
三、完善我国银行业操作风险管理体系
由于我国银行业对操作风险的重视长期不足,导致银行对操作风险的管理长期处于低效率和不足的水平。因此,克服各种不利因素,及时建立完善的操作风险管理体系,具有重要的现实意义。银行操作风险管理和内部控制在内容、对象和范围上有着密切的联系,因此健全内部控制机制的形成有助于银行操作风险的高效管理。本文结合COSO委员会关于内部控制五要素的阐述和银监会发布的《指引》,设计一套适合我国银行业操作风险管理的体系。
COSO委员会所述的内部控制包括五要素:控制环境、风险评估、控制活动、信息与沟通和监控,以下分别从这五方面构建操作风险管理体系。
(一)控制环境
控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素。控制环境塑造企业风险管理文化,影响银行内部各成员的风险意识,关系着风险管理控制制度的贯彻和执行。
《指引》指出,操作风险管理需要创造一个良好的控制环境。首先,银行董事会应充分了解本行的主要操作风险所在,把它作为一种必须管理的主要风险类别,努力促进这种公司文化的建立,并且提供充足的资源支持在各职能部门实施操作风险管理,还应当把操作风险管理纳入到业绩评估程序中,强调风险管理为银行关注重点。其次,应建立一个能够有效执行操作风险管理框架要求的组织架构,该组织架构应明确界定各职能部门的责权关系、上下级报告关系,并且制定严格的监管审计制度。最后,应根据本行对操作风险的承受能力,制定规范的操作风险管理政策,该政策应对存在于本行各类业务中的操作风险进行界定,列明本行操作风险的具体构成,应明确识别、评估、监测与控制操作风险所应依据的原则、政策和方法。
(二)风险评估
风险评估是指操作风险管理部根据职能部门的信息,识别、量化和分析相关风险以实现既定目标,从而形成操作风险管理的核心内容。风险评估系统包括以下三个子系统:
1.风险识别子系统
风险识别子系统的作用是将操作风险进行定义和分类,它的主要部分是“知识库”。“知识库”是一种风险映射,将职能部门的业务与风险类别之间建立对应关系。具体来说,“知识库”将银行业务分为若干个风险档次,并将所有的业务归类到相应的风险档次之中,并存储在数据库的相应位置。
2.风险计量子系统
风险计量子系统由“模型库”和“预警库”组成。该系统在初步识别原始数据的基础上,利用“模型库”中的风险计量模型对风险进行量化,将定性的操作风险数字化。其中风险计量模型利用数理统计方法量化银行操作风险,“模型库”再将风险计量模型计算机程序化,即编写计算机软件以实现风险计量模型的功能。而“预警库”则是预先在系统内设定的不同职能部门的市场风险限额指标,在“模型库”计算出风险值之后,“预警库”就可以对实际风险承担与预先设定的风险限额自动比较,若发生超限额的情况,“预警库”会将该信息同时反馈到风险评价子系统中,实现实时风险监控的功能。
3.风险评价子系统
风险评价子系统主要提供风险汇总报告,并对各职能部门风险承担状况进行评价,为风险管理决策层提供支持。“报告库”针对经“模型库”风险计量子系统测量的风险结果,根据指定的报告模式进行综合汇总,为管理层提供银行风险的数据。“评价库”是对综合报告进行的深入分析,通过对具体风险的分析评价,提出风险改进意见。
总的说来,风险评估系统中,风险识别子系统归类操作风险,风险计量子系统量化操作风险,评价子系统评价并报告操作风险。这一系列活动的完成,关键在于设计出一整套计算机程序以实现上述几个子系统的功能。我国银行应当根据本行业务的特点,设计出自己的风险管理程序,或者直接从专业公司引进成熟又适合自身的风险管理系统。
(三)控制活动
控制活动是指那些有助于管理层决策顺利实施的政策和程序,主要包括明确银行各部门的职责、对各部门活动的控制和对偏离授权的行为进行调整。
首先,《指引》明确规定了各组织层次在操作风险管理系统中的职责,以便整个系统有条不紊的运作,各层次的职责具体为:银行高层负责制定操作风险管理的战略和总体政策;风险管理委员会建立风险管理的操作方法;各职能部门具体实施。
其次,对各职能部门活动的控制分为两个层次:第一个层次是各职能部门,应定期向负责操作风险管理的部门通报本部门操作风险管理的总体状况,及时通报重大操作风险事件;第二个层次是操作风险管理部门应当提供风险预警指标,将风险限额建立在各业务部门的不同的层面,然后为每个关键风险指标设定门槛值,一旦风险值超过门槛值则启动预警系统。
最后,操作风险部门应当对于超过门槛值的采取必要的整改措施,及时修正执行中的偏差。
(四)信息与沟通
各职能部门的信息沟通是整个操作风险系统的基础,系统的数据来源于各职能部门。只有将信息及时有效地传递给操作风险管理部,才能及时进行信息分类。《指引》规定,职能部门应当根据统一的操作风险管理评估方法,建立持续、有效的操作风险报告程序,从制度上建立有效的信息和沟通机制。此外,《指引》要求建立案件查处和相应的信息披露制度,通过对案件查处的信息披露有良好的警示作用,对案件的及时总结能有效地避免同类风险事件的发生。
(五)监控
监控的核心在于监控的制度性和监控的独立性。《指引》规定,监控的制度性建设要求风险管理委员会应当建立指向清晰的定期监控体系,清晰的监控系统可以明确监管者的责任范围,而定期监查行为有利于快速发现并且纠正操作风险。监控独立性依靠操作风险管理部与其他职能部门相对保持独立,不能存在从属关系,应当受董事会或其下属的审计委员会直接领导。
与此同时,银行还需要对其内部监管人员进行严格培训,使其对银行各项业务活动和岗位责任的执行情况依据相关制度标准进行监控,及时预见潜在风险并极力阻止其发生,实现银行操作风险的有效管理。
