《商业银行基层行运营风险管控思考》由会员分享,可在线阅读,更多相关《商业银行基层行运营风险管控思考(5页珍藏版)》请在金锄头文库上搜索。
1、商业银行基层行运营风险管控思考 丁自明 宁夏银行股份有限公司 财政部 摘 要: 随着我国银行业各项改革的不断深入, 强化风险防范意识, 防范和化解风险, 已成为商业银行基层行面临的重要课题。商业银行运营风险是商业银行固有风险, 且具有一定的随机性, 防控风险应伴随商业银行经营全过程。本文从运营风险的表现出发, 结合基层行实践, 分析了识别风险的工具和方法, 进而对风险防控提出建议。关键词: 商业银行; 操作风险; COSO 框架; 内部控制; 舞弊三角理论; 二八定律; 商业银行的经营风险包括信用风险、市场风险、流动性风险、操作风险、政治法律风险、声誉风险、灾害风险、监管风险、案件事故风险等,
2、 但对于基层银行而言, 经营风险则主要集中在信用风险、操作风险、案件风险、声誉风险等方面。其中, 信用风险主要是贷款产品违约风险;操作风险则是因违规操作导致的事故、案件遭受损失的风险;案件风险是外部抢劫、诈骗导致的风险;声誉风险则是不良社会影响导致信任风险。除去授信业务中的信用风险之外, 操作风险、案件风险、声誉风险可以归属一类, 与内部管理关系密切, 是其中防控的重点。本文主要就基层行日常运营中操作风险的防范进行探讨。一、运营风险的特点及其表现商业银行的风险贯穿于经营的全过程, 产生的因素是多方面的, 因此商业银行经营过程中的风险也存在多样性, 要防控风险, 首先要识别风险, 就目前基层行的
3、业务和规模, 主要存在以下风险:一是业务操作规范化执行不足的风险。如:记账串户、金额错误、逆流程、错入账、服务投诉、收付反向、汇兑延时、长短款等。一般情况下, 非主观故意, 可以称之为错误或事故;如果主观上故意, 则为案件。二是业务连续性中断的风险。如因为核心账务系统、网银、POS、ATM、手机银行、自助填单机、自助发卡机断线的原因中断业务, 进而引发顾客投诉, 或者不可预知群体事件。三是突发事件引发的风险。如抢劫、诈骗、火灾、水灾、雷暴、哄抢、爆炸、地震、暴雨。突发事件虽然有不可预知性, 但也有预防的必要。可以通过预案制定演练缓释避免风险。四是声誉事件导致的风险。媒体暗访、报道;网络上恶意中
4、伤、造谣;公众谣言;政府或公众批评。二、强化风险防范意识风险是客观存在的, 具有随机性和固有性。可以规避与化解, 但难以消除。墨菲定律告诉我们:你担心什么, 就有可能出现什么。最不可能发生风险的地方, 就越可能发生风险, 对于风险, 最不能持有的态度就是过于自信和侥幸心理。作为商业银行基层行的风险管控主责人员, 需要端正对待风险的态度。有什么样的心态, 就会有相应的行动, 也就会有与之相应的结果。对待风险应该有的态度主要有:对待风险的第一个态度是需要积极的行动。即管理风险, 而不是害怕风险, 躲避风险。积极的行动的要义包括:对单位或行业风险有个清醒的认识, 对风险进行梳理列表, 做到对风险种类
5、、表现形式和频度胸中有数。根据风险排序, 贯彻要事优先原则, 不拖延、不诿过, 行动永远放在首位, 急事急办, 把风险隐患消弭于萌芽。对待风险的第二个态度是防患于未然。平时要预警风险, 要教育大家重视风险。当一个组织或企业有一段时间平安无事了, 有可能孕育着巨大的风险, 在对待风险上需要逆向思维。越是无事故, 越要提高警惕。从上世纪 90 年代到今天, 银行间的风险案件不是没有了, 只是变换了一些形式。而且从近三十年来银行案件来看, 还有轮流发案的规律。案件在各行间显得较为均衡。所以长时间不发生案件的银行更要注意防范预警。对待风险的第三个态度是风险防范是长期的。企业经营是长期的, 所以风险管理
6、伴随企业经营各个时期。昨天的成绩只能说明昨天的风险防范是有效的。风险管理必须始终落实在当下。运营风险的防范, 表象是履职是否到位, 实质是责任心落实问题。三、如何识别风险识别风险是管理风险的前提(一) 学习掌握风险管理知识学习美国 COSO 框架及我国内部控制规范。这是国内外目前采取的风险管理理论和实践的依据。提出风险管控所依赖的内部控制基本含义和功能。其五项核心控制要素是:控制环境、风险评估、控制活动、信息与交流、监控。财政部、审计署、证监会、银监会、保监会联合下发的企业内控基本规范, 这是中国版的 COSO 框架。包括基本规范和应用指引。涉及组织架构、人力资源管理、企业文化、信息系统、担保
7、、工程管理、筹资、财务报告等, 共 18 项应用指引。另外还包括企业内部控制评价指引和企业内部控制审计指引。形成了完整的内控规范体系。此外还需要学习掌握银监会发布的商业银行内部控制指引 (2014 年发布) 、商业银行全面风险管理指引 (2016 年 9 月发布) 、银监会文件操作风险防控 13 条和防范柜面业务风险 20 条。各家银行根据自身战略管理需要细化形成了各自的内部内控评价手册。如果能够逐条掌握, 对于操作风险的防范能够把控了。其余业务管理办法和操作规程也是需要学习掌握的。(二) 掌握风险识别技术一是通过内部访谈与讨论识别风险。主要运用访谈、问卷调查、头脑风暴、自我评估及其他协调、S
8、WOT 分析等方法来识别风险点。二是通过外部对比发现风险管理上的不足。主要运用与其他组织比较、与同行讨论、标杆管理、风险顾问等方法对标自己风险管理上的薄弱环节。三是通过工具、诊断和流程来定性定量风险。主要运用对照表、流程图、情景分析、价值链分析、业务流程分析、系统工程、流程绘制等工具和方法进一步量化风险。(三) 对风险进行定量和定性分析定性分析主要包括:风险识别、风险排序、确定风险的相关性。具体定性方法有:访谈、集体讨论、专家咨询、问卷调查以及标杆分析等。定量分析主要包括:概率技术、确定风险收益。具体定量方法主要有:概率技术、情景分析、压力测试、敏感性分析、计算机模拟等。(四) 风险排序及应对
9、通过运用风险识别技术识别出存在风险后, 根据风险重要性, 对存在的潜在风险进行排序。分别轻重缓急采取相应的风险管理策略。四、以人为本防范与化解经营风险(一) 学好专业知识制度的设计一是为了业务发展, 再就是为了防范风险。要防范风险, 前提就是识别风险 (看出问题) , 要看出问题, 就要熟知业务规范。运营岗位是流程化、规范性很强的岗位, 涉及的业务知识很多。需要牢固、清晰掌握, 知道得越多, 越有利于管理风险。尽管识别风险有一套专业的理论知识体系。但在实践中经验仍是不可代替的。优秀的运营经理是在不断总结正反两方面经验教训的基础上炼成的。在运营中一定要善于吸取他人教训, 在忙碌中常常不要忘了停下
10、来, 审视存在什么不足, 这些不足和缺陷有可能导致的风险。(二) 从风险舞弊三角理论入手做好员工心理分析最为公认解释导致某人进行职业欺诈的模型就是舞弊三角理论。舞弊三角模型包括三要素:压力、机会和合理化。该模型的隐含假设就是一个普通人实施欺诈时, 必须同时具备三要素。压力, 如资金需求, 就是实施欺诈的“动机”。导致欺诈行为发生的常见压力包括:为维持投资者信心的预期收益需求, 为实现劳动生产率和工作目标的需求, 或简单的无法满足到期偿债的需求。机会, 或者说预期机会是指舞弊得以发生的方法。实施舞弊的人必须找到某种方法, 即利用他 (她) 的职务之便, 在不被轻易发现的情况下, 解决财务问题。例
11、如, 实施舞弊 (如偷钱) 的个人发现内部控制的缺陷, 并且相信没有人会注意到资金被挪用或偷盗了, 都是从偷很少金额的钱开始的。如果没有人发现, 偷盗的金额会慢慢增加。最后, 合理化是指诈骗犯将他 (她) 实施的舞弊行为合理化, 即用一种可接受或合理的方式来解释他 (她) 的欺诈行为。个人常用的合理化理由包括:我到期还不了款;我的老板欺骗了我;这笔钱是我应得的;我只是暂借而已。管理人员理解舞弊三角模型、模型要素、认识到可能导致潜在员工行为问题以及员工行为的变化, 是非常重要的。还要认识到可能导致舞弊机会的任何内部控制缺陷。(三) 防范操作风险的基本公式法经过多年经验总结得出:防范人员操作风险=
12、不给机会+了解 (缓解) 压力+明确的是非教育。没有机会自然少了诱惑。有一个故事说明人性经不起考验:有个人每天经过的窗台上放着一块名表, 没有人在旁边。这个人每天都看到, 时间长了内心开始斗争, 期初还能自制, 后来开始自己给自己找借口:旁边没有人, 拿了没有人知道。而且自己需要一块表。终于有一天, 他顺手拿了这块无人看管的名表。防范运营风险, 重要的一条是不要留有机会。当有机会, 有动机时, 人性多数时候是脆弱的, 经不起考验的。当这些情况搞清后, 教育让人明辨是非, 筑牢自身的防火墙。让大家认识到违法违纪的危害, 思想上不要心存侥幸。帮助大家树立堂堂正正做人、清清白白挣钱的观念。杜绝一时贪
13、念的发生。(四) 构建完善简明有效的各自内控体系一是绘制岗位说明书, 坚决做到不相容岗位分离。防止混岗操作, 防止一手清, 防止复查返原岗处理。四种类型的岗位职责应当分离:授权审批、记账、资产保管和定期对账。二是制定制度、操作规程, 并监督落实。可以允许犯错误, 但坚决惩治违规操作, 不守规矩。发现违规要区别对待, 特别反对那些绕过程序的变通做法和所谓的聪明人。特别要重视人的自律。制度流程中把重点防控的关键环节, 精炼成“十不准”等, 可以与员工签订类似承诺书等, 经常警示员工按流程制度操作。三是把合适的人放到合适的岗位上。运营岗位需要一些严格遵守制度的员工, 把制度的执行看得很重要。集体荣誉
14、感强烈, 对错误失误要有自我反省意识。要有“不用扬鞭自奋蹄”的千里马精神。四是防止舞弊。要畅通反映问题的通道, 问题处理坚持不返原岗处理回复。人员搭配要注意个性、行为的互补性。要特别关注周末, 管理人员不在岗时的员工状态。落实重大问题请示报告制度。五是通过定期或不定期检查验证内控执行程度。检查是内部一般监督, 审计则是由审计部门按照审计准则进行的检查监督。检查的要点是:坚持随机和定期结合, 随机的目的是让柜员始终坚持制度执行, 不存侥幸, 定期检查则按工作要求进行。坚持重点检查, 根据业务的重要性、风险大小确定检查重点。坚持检查和教育相结合, 检查出问题要举一反三, 使大家汲取教训。坚持问责,
15、 有过必究, 查出问题是处罚的依据。坚持防止灯下黑, 身边人因熟悉而不预检查或检查敷衍了事, 流于形式。六是加大奖罚。发现问题一定要了解事实, 风险原因, 找出症结, 对症施策, 辅之以奖罚。处罚就是为了警戒, 类似的问题不再发生。如果不适用处罚, 或处罚无效。那就考虑轮岗换人。在风险压力下, 切莫姑息遗患。七是运用“二八定律”管理好关键。小的事情可以放手, 但重要的事情、业务要做到胸中有数, 要做到胸中有数, 那就是有相应的措施确保。即:重要的业务要有合适尽职的人员经办, 有负责的人员监督, 至少设立这两道防线, 必要时可以三道、四道。要有落实反馈机制。经办进度、效果要及时反馈至管理人员, 做到过程可控。重要风险防范一定要有预案, 预案要职责明确, 具有可操作性, 还要测试有效。最后是尽职尽责。所有的风险事故, 除了不可抗力, 大都有履职不到位因素。这是人性的弱点, 人都想图清闲、省事, 心存侥幸, 制度执行一时可以, 很难做到长期坚持。海尔的张瑞敏就曾说过, 简单事情长期做得不走样, 就是不简单。所有成功的公司和企业家, 倡导狼性文化, 严酷管理, 就是和人性天生惰性做斗争。我们在运营管理工作中, 能否长期坚持从严管理, 就在于运营经理的履职是否每天到位。能否确保长期的风险防控到位, 就在于过程管理的理念和方法是否落实。
