商業銀行基層行運營風險管控思考

丁自明

（寧夏銀行股份有限公司 財政部全國會計領軍人才）

商業銀行基層行運營風險管控思考

丁自明

（寧夏銀行股份有限公司 財政部全國會計領軍人才）

隨著我國銀行業各項改革的不斷深入，強化風險防范意識，防范和化解風險，已成為商業銀行基層行面臨的重要課題。商業銀行運營風險是商業銀行固有風險，且具有一定的隨機性，防控風險應伴隨商業銀行經營全過程。本文從運營風險的表現出發，結合基層行實踐，分析了識別風險的工具和方法，進而對風險防控提出建議。

商業銀行；操作風險；COSO框架；內部控制；舞弊三角理論；二八定律

商業銀行的經營風險包括信用風險、市場風險、流動性風險、操作風險、政治法律風險、聲譽風險、災害風險、監管風險、案件事故風險等，但對于基層銀行而言，經營風險則主要集中在信用風險、操作風險、案件風險、聲譽風險等方面。其中，信用風險主要是貸款產品違約風險；操作風險則是因違規操作導致的事故、案件遭受損失的風險；案件風險是外部搶劫、詐騙導致的風險；聲譽風險則是不良社會影響導致信任風險。除去授信業務中的信用風險之外，操作風險、案件風險、聲譽風險可以歸屬一類，與內部管理關系密切，是其中防控的重點。本文主要就基層行日常運營中操作風險的防范進行探討。

一、運營風險的特點及其表現

商業銀行的風險貫穿于經營的全過程，產生的因素是多方面的，因此商業銀行經營過程中的風險也存在多樣性，要防控風險，首先要識別風險，就目前基層行的業務和規模，主要存在以下風險：

一是業務操作規范化執行不足的風險。如：記賬串戶、金額錯誤、逆流程、錯入賬、服務投訴、收付反向、匯兌延時、長短款等。一般情況下，非主觀故意，可以稱之為錯誤或事故；如果主觀上故意，則為案件。

二是業務連續性中斷的風險。如因為核心賬務系統、網銀、POS、ATM、手機銀行、自助填單機、自助發卡機斷線的原因中斷業務，進而引發顧客投訴，或者不可預知群體事件。

三是突發事件引發的風險。如搶劫、詐騙、火災、水災、雷暴、哄搶、爆炸、地震、暴雨。突發事件雖然有不可預知性，但也有預防的必要。可以通過預案制定演練緩釋避免風險。

四是聲譽事件導致的風險。媒體暗訪、報道；網絡上惡意中傷、造謠；公眾謠言；政府或公眾批評。

二、強化風險防范意識

風險是客觀存在的，具有隨機性和固有性。可以規避與化解，但難以消除。墨菲定律告訴我們：你擔心什么，就有可能出現什么。最不可能發生風險的地方，就越可能發生風險，對于風險，最不能持有的態度就是過于自信和僥幸心理。

作為商業銀行基層行的風險管控主責人員，需要端正對待風險的態度。有什么樣的心態，就會有相應的行動，也就會有與之相應的結果。對待風險應該有的態度主要有：

對待風險的第一個態度是需要積極的行動。即管理風險，而不是害怕風險，躲避風險。積極的行動的要義包括：對單位或行業風險有個清醒的認識，對風險進行梳理列表，做到對風險種類、表現形式和頻度胸中有數。根據風險排序，貫徹要事優先原則，不拖延、不諉過，行動永遠放在首位，急事急辦，把風險隱患消弭于萌芽。

對待風險的第二個態度是防患于未然。平時要預警風險，要教育大家重視風險。當一個組織或企業有一段時間平安無事了，有可能孕育著巨大的風險，在對待風險上需要逆向思維。越是無事故，越要提高警惕。從上世紀90年代到今天，銀行間的風險案件不是沒有了，只是變換了一些形式。而且從近三十年來銀行案件來看，還有輪流發案的規律。案件在各行間顯得較為均衡。所以長時間不發生案件的銀行更要注意防范預警。

對待風險的第三個態度是風險防范是長期的。企業經營是長期的，所以風險管理伴隨企業經營各個時期。昨天的成績只能說明昨天的風險防范是有效的。風險管理必須始終落實在當下。

運營風險的防范，表象是履職是否到位，實質是責任心落實問題。

三、如何識別風險——識別風險是管理風險的前提

（一）學習掌握風險管理知識

學習美國COSO框架及我國內部控制規范。這是國內外目前采取的風險管理理論和實踐的依據。提出風險管控所依賴的內部控制基本含義和功能。其五項核心控制要素是：控制環境、風險評估、控制活動、信息與交流、監控。

財政部、審計署、證監會、銀監會、保監會聯合下發的《企業內控基本規范》，這是中國版的COSO框架。包括基本規范和應用指引。涉及組織架構、人力資源管理、企業文化、信息系統、擔保、工程管理、籌資、財務報告等，共18項應用指引。另外還包括《企業內部控制評價指引》和《企業內部控制審計指引》。形成了完整的內控規范體系。

此外還需要學習掌握銀監會發布的《商業銀行內部控制指引》（2014年發布）、《商業銀行全面風險管理指引》（2016年9月發布）、銀監會文件操作風險防控13條和防范柜面業務風險20條。各家銀行根據自身戰略管理需要細化形成了各自的內部《內控評價手冊》。如果能夠逐條掌握，對于操作風險的防范能夠把控了。其余業務管理辦法和操作規程也是需要學習掌握的。

（二）掌握風險識別技術

一是通過內部訪談與討論識別風險。主要運用訪談、問卷調查、頭腦風暴、自我評估及其他協調、SWOT分析等方法來識別風險點。

二是通過外部對比發現風險管理上的不足。主要運用與其他組織比較、與同行討論、標桿管理、風險顧問等方法對標自己風險管理上的薄弱環節。

三是通過工具、診斷和流程來定性定量風險。主要運用對照表、流程圖、情景分析、價值鏈分析、業務流程分析、系統工程、流程繪制等工具和方法進一步量化風險。

（三）對風險進行定量和定性分析

定性分析主要包括：風險識別、風險排序、確定風險的相關性。具體定性方法有：訪談、集體討論、專家咨詢、問卷調查以及標桿分析等。

定量分析主要包括：概率技術、確定風險收益。具體定量方法主要有：概率技術、情景分析、壓力測試、敏感性分析、計算機模擬等。

（四）風險排序及應對

通過運用風險識別技術識別出存在風險后，根據風險重要性，對存在的潛在風險進行排序。分別輕重緩急采取相應的風險管理策略。

四、以人為本防范與化解經營風險

（一）學好專業知識

制度的設計一是為了業務發展，再就是為了防范風險。要防范風險，前提就是識別風險（看出問題），要看出問題，就要熟知業務規范。運營崗位是流程化、規范性很強的崗位，涉及的業務知識很多。需要牢固、清晰掌握，知道得越多，越有利于管理風險。

盡管識別風險有一套專業的理論知識體系。但在實踐中經驗仍是不可代替的。優秀的運營經理是在不斷總結正反兩方面經驗教訓的基礎上煉成的。在運營中一定要善于吸取他人教訓，在忙碌中常常不要忘了停下來，審視存在什么不足，這些不足和缺陷有可能導致的風險。

（二）從風險舞弊三角理論入手做好員工心理分析

最為公認解釋導致某人進行職業欺詐的模型就是舞弊三角理論。舞弊三角模型包括三要素：壓力、機會和合理化。

該模型的隱含假設就是一個普通人實施欺詐時，必須同時具備三要素。壓力,如資金需求，就是實施欺詐的“動機”。導致欺詐行為發生的常見壓力包括：為維持投資者信心的預期收益需求，為實現勞動生產率和工作目標的需求，或簡單的無法滿足到期償債的需求。機會，或者說預期機會是指舞弊得以發生的方法。實施舞弊的人必須找到某種方法，即利用他（她）的職務之便，在不被輕易發現的情況下，解決財務問題。例如，實施舞弊（如偷錢）的個人發現內部控制的缺陷，并且相信沒有人會注意到資金被挪用或偷盜了，都是從偷很少金額的錢開始的。如果沒有人發現，偷盜的金額會慢慢增加。最后，合理化是指詐騙犯將他（她）實施的舞弊行為合理化，即用一種可接受或合理的方式來解釋他（她）的欺詐行為。個人常用的合理化理由包括：我到期還不了款；我的老板欺騙了我；這筆錢是我應得的；我只是暫借而已。

管理人員理解舞弊三角模型、模型要素、認識到可能導致潛在員工行為問題以及員工行為的變化，是非常重要的。還要認識到可能導致舞弊機會的任何內部控制缺陷。

（三）防范操作風險的基本公式法

經過多年經驗總結得出：防范人員操作風險=不給機會+了解（緩解）壓力+明確的是非教育。

沒有機會自然少了誘惑。有一個故事說明人性經不起考驗：有個人每天經過的窗臺上放著一塊名表，沒有人在旁邊。這個人每天都看到，時間長了內心開始斗爭，期初還能自制，后來開始自己給自己找借口：旁邊沒有人，拿了沒有人知道。而且自己需要一塊表。終于有一天，他順手拿了這塊無人看管的名表。防范運營風險，重要的一條是不要留有機會。當有機會，有動機時，人性多數時候是脆弱的，經不起考驗的。

當這些情況搞清后，教育讓人明辨是非，筑牢自身的防火墻。讓大家認識到違法違紀的危害，思想上不要心存僥幸。幫助大家樹立堂堂正正做人、清清白白掙錢的觀念。杜絕一時貪念的發生。

（四）構建完善簡明有效的各自內控體系

一是繪制崗位說明書，堅決做到不相容崗位分離。防止混崗操作，防止一手清，防止復查返原崗處理。四種類型的崗位職責應當分離：授權審批、記賬、資產保管和定期對賬。

二是制定制度、操作規程，并監督落實。可以允許犯錯誤，但堅決懲治違規操作，不守規矩。發現違規要區別對待，特別反對那些繞過程序的變通做法和所謂的聰明人。特別要重視人的自律。制度流程中把重點防控的關鍵環節，精煉成“十不準”等，可以與員工簽訂類似承諾書等，經常警示員工按流程制度操作。

三是把合適的人放到合適的崗位上。運營崗位需要一些嚴格遵守制度的員工，把制度的執行看得很重要。集體榮譽感強烈，對錯誤失誤要有自我反省意識。要有“不用揚鞭自奮蹄”的千里馬精神。

四是防止舞弊。要暢通反映問題的通道，問題處理堅持不返原崗處理回復。人員搭配要注意個性、行為的互補性。要特別關注周末，管理人員不在崗時的員工狀態。落實重大問題請示報告制度。

五是通過定期或不定期檢查驗證內控執行程度。檢查是內部一般監督，審計則是由審計部門按照審計準則進行的檢查監督。檢查的要點是：堅持隨機和定期結合，隨機的目的是讓柜員始終堅持制度執行，不存僥幸，定期檢查則按工作要求進行。堅持重點檢查，根據業務的重要性、風險大小確定檢查重點。堅持檢查和教育相結合，檢查出問題要舉一反三，使大家汲取教訓。堅持問責，有過必究，查出問題是處罰的依據。堅持防止燈下黑，身邊人因熟悉而不預檢查或檢查敷衍了事，流于形式。

六是加大獎罰。發現問題一定要了解事實，風險原因，找出癥結，對癥施策，輔之以獎罰。處罰就是為了警戒，類似的問題不再發生。如果不適用處罰，或處罰無效。那就考慮輪崗換人。在風險壓力下，切莫姑息遺患。

七是運用“二八定律”管理好關鍵。小的事情可以放手，但重要的事情、業務要做到胸中有數，要做到胸中有數，那就是有相應的措施確保。即：重要的業務要有合適盡職的人員經辦，有負責的人員監督，至少設立這兩道防線，必要時可以三道、四道。要有落實反饋機制。經辦進度、效果要及時反饋至管理人員，做到過程可控。重要風險防范一定要有預案，預案要職責明確，具有可操作性，還要測試有效。

最后是盡職盡責。所有的風險事故，除了不可抗力，大都有履職不到位因素。這是人性的弱點，人都想圖清閑、省事，心存僥幸，制度執行一時可以，很難做到長期堅持。海爾的張瑞敏就曾說過，簡單事情長期做得不走樣，就是不簡單。所有成功的公司和企業家，倡導狼性文化，嚴酷管理，就是和人性天生惰性做斗爭。我們在運營管理工作中，能否長期堅持從嚴管理，就在于運營經理的履職是否每天到位。能否確保長期的風險防控到位，就在于過程管理的理念和方法是否落實。

F832

責編：楊雪