商业银行基层行运营风险管控思考

丁自明

（宁夏银行股份有限公司 财政部全国会计领军人才）

商业银行基层行运营风险管控思考

丁自明

（宁夏银行股份有限公司 财政部全国会计领军人才）

随着我国银行业各项改革的不断深入，强化风险防范意识，防范和化解风险，已成为商业银行基层行面临的重要课题。商业银行运营风险是商业银行固有风险，且具有一定的随机性，防控风险应伴随商业银行经营全过程。本文从运营风险的表现出发，结合基层行实践，分析了识别风险的工具和方法，进而对风险防控提出建议。

商业银行；操作风险；COSO框架；内部控制；舞弊三角理论；二八定律

商业银行的经营风险包括信用风险、市场风险、流动性风险、操作风险、政治法律风险、声誉风险、灾害风险、监管风险、案件事故风险等，但对于基层银行而言，经营风险则主要集中在信用风险、操作风险、案件风险、声誉风险等方面。其中，信用风险主要是贷款产品违约风险；操作风险则是因违规操作导致的事故、案件遭受损失的风险；案件风险是外部抢劫、诈骗导致的风险；声誉风险则是不良社会影响导致信任风险。除去授信业务中的信用风险之外，操作风险、案件风险、声誉风险可以归属一类，与内部管理关系密切，是其中防控的重点。本文主要就基层行日常运营中操作风险的防范进行探讨。

一、运营风险的特点及其表现

商业银行的风险贯穿于经营的全过程，产生的因素是多方面的，因此商业银行经营过程中的风险也存在多样性，要防控风险，首先要识别风险，就目前基层行的业务和规模，主要存在以下风险：

一是业务操作规范化执行不足的风险。如：记账串户、金额错误、逆流程、错入账、服务投诉、收付反向、汇兑延时、长短款等。一般情况下，非主观故意，可以称之为错误或事故；如果主观上故意，则为案件。

二是业务连续性中断的风险。如因为核心账务系统、网银、POS、ATM、手机银行、自助填单机、自助发卡机断线的原因中断业务，进而引发顾客投诉，或者不可预知群体事件。

三是突发事件引发的风险。如抢劫、诈骗、火灾、水灾、雷暴、哄抢、爆炸、地震、暴雨。突发事件虽然有不可预知性，但也有预防的必要。可以通过预案制定演练缓释避免风险。

四是声誉事件导致的风险。媒体暗访、报道；网络上恶意中伤、造谣；公众谣言；政府或公众批评。

二、强化风险防范意识

风险是客观存在的，具有随机性和固有性。可以规避与化解，但难以消除。墨菲定律告诉我们：你担心什么，就有可能出现什么。最不可能发生风险的地方，就越可能发生风险，对于风险，最不能持有的态度就是过于自信和侥幸心理。

作为商业银行基层行的风险管控主责人员，需要端正对待风险的态度。有什么样的心态，就会有相应的行动，也就会有与之相应的结果。对待风险应该有的态度主要有：

对待风险的第一个态度是需要积极的行动。即管理风险，而不是害怕风险，躲避风险。积极的行动的要义包括：对单位或行业风险有个清醒的认识，对风险进行梳理列表，做到对风险种类、表现形式和频度胸中有数。根据风险排序，贯彻要事优先原则，不拖延、不诿过，行动永远放在首位，急事急办，把风险隐患消弭于萌芽。

对待风险的第二个态度是防患于未然。平时要预警风险，要教育大家重视风险。当一个组织或企业有一段时间平安无事了，有可能孕育着巨大的风险，在对待风险上需要逆向思维。越是无事故，越要提高警惕。从上世纪90年代到今天，银行间的风险案件不是没有了，只是变换了一些形式。而且从近三十年来银行案件来看，还有轮流发案的规律。案件在各行间显得较为均衡。所以长时间不发生案件的银行更要注意防范预警。

对待风险的第三个态度是风险防范是长期的。企业经营是长期的，所以风险管理伴随企业经营各个时期。昨天的成绩只能说明昨天的风险防范是有效的。风险管理必须始终落实在当下。

运营风险的防范，表象是履职是否到位，实质是责任心落实问题。

三、如何识别风险——识别风险是管理风险的前提

（一）学习掌握风险管理知识

学习美国COSO框架及我国内部控制规范。这是国内外目前采取的风险管理理论和实践的依据。提出风险管控所依赖的内部控制基本含义和功能。其五项核心控制要素是：控制环境、风险评估、控制活动、信息与交流、监控。

财政部、审计署、证监会、银监会、保监会联合下发的《企业内控基本规范》，这是中国版的COSO框架。包括基本规范和应用指引。涉及组织架构、人力资源管理、企业文化、信息系统、担保、工程管理、筹资、财务报告等，共18项应用指引。另外还包括《企业内部控制评价指引》和《企业内部控制审计指引》。形成了完整的内控规范体系。

此外还需要学习掌握银监会发布的《商业银行内部控制指引》（2014年发布）、《商业银行全面风险管理指引》（2016年9月发布）、银监会文件操作风险防控13条和防范柜面业务风险20条。各家银行根据自身战略管理需要细化形成了各自的内部《内控评价手册》。如果能够逐条掌握，对于操作风险的防范能够把控了。其余业务管理办法和操作规程也是需要学习掌握的。

（二）掌握风险识别技术

一是通过内部访谈与讨论识别风险。主要运用访谈、问卷调查、头脑风暴、自我评估及其他协调、SWOT分析等方法来识别风险点。

二是通过外部对比发现风险管理上的不足。主要运用与其他组织比较、与同行讨论、标杆管理、风险顾问等方法对标自己风险管理上的薄弱环节。

三是通过工具、诊断和流程来定性定量风险。主要运用对照表、流程图、情景分析、价值链分析、业务流程分析、系统工程、流程绘制等工具和方法进一步量化风险。

（三）对风险进行定量和定性分析

定性分析主要包括：风险识别、风险排序、确定风险的相关性。具体定性方法有：访谈、集体讨论、专家咨询、问卷调查以及标杆分析等。

定量分析主要包括：概率技术、确定风险收益。具体定量方法主要有：概率技术、情景分析、压力测试、敏感性分析、计算机模拟等。

（四）风险排序及应对

通过运用风险识别技术识别出存在风险后，根据风险重要性，对存在的潜在风险进行排序。分别轻重缓急采取相应的风险管理策略。

四、以人为本防范与化解经营风险

（一）学好专业知识

制度的设计一是为了业务发展，再就是为了防范风险。要防范风险，前提就是识别风险（看出问题），要看出问题，就要熟知业务规范。运营岗位是流程化、规范性很强的岗位，涉及的业务知识很多。需要牢固、清晰掌握，知道得越多，越有利于管理风险。

尽管识别风险有一套专业的理论知识体系。但在实践中经验仍是不可代替的。优秀的运营经理是在不断总结正反两方面经验教训的基础上炼成的。在运营中一定要善于吸取他人教训，在忙碌中常常不要忘了停下来，审视存在什么不足，这些不足和缺陷有可能导致的风险。

（二）从风险舞弊三角理论入手做好员工心理分析

最为公认解释导致某人进行职业欺诈的模型就是舞弊三角理论。舞弊三角模型包括三要素：压力、机会和合理化。

该模型的隐含假设就是一个普通人实施欺诈时，必须同时具备三要素。压力,如资金需求，就是实施欺诈的“动机”。导致欺诈行为发生的常见压力包括：为维持投资者信心的预期收益需求，为实现劳动生产率和工作目标的需求，或简单的无法满足到期偿债的需求。机会，或者说预期机会是指舞弊得以发生的方法。实施舞弊的人必须找到某种方法，即利用他（她）的职务之便，在不被轻易发现的情况下，解决财务问题。例如，实施舞弊（如偷钱）的个人发现内部控制的缺陷，并且相信没有人会注意到资金被挪用或偷盗了，都是从偷很少金额的钱开始的。如果没有人发现，偷盗的金额会慢慢增加。最后，合理化是指诈骗犯将他（她）实施的舞弊行为合理化，即用一种可接受或合理的方式来解释他（她）的欺诈行为。个人常用的合理化理由包括：我到期还不了款；我的老板欺骗了我；这笔钱是我应得的；我只是暂借而已。

管理人员理解舞弊三角模型、模型要素、认识到可能导致潜在员工行为问题以及员工行为的变化，是非常重要的。还要认识到可能导致舞弊机会的任何内部控制缺陷。

（三）防范操作风险的基本公式法

经过多年经验总结得出：防范人员操作风险=不给机会+了解（缓解）压力+明确的是非教育。

没有机会自然少了诱惑。有一个故事说明人性经不起考验：有个人每天经过的窗台上放着一块名表，没有人在旁边。这个人每天都看到，时间长了内心开始斗争，期初还能自制，后来开始自己给自己找借口：旁边没有人，拿了没有人知道。而且自己需要一块表。终于有一天，他顺手拿了这块无人看管的名表。防范运营风险，重要的一条是不要留有机会。当有机会，有动机时，人性多数时候是脆弱的，经不起考验的。

当这些情况搞清后，教育让人明辨是非，筑牢自身的防火墙。让大家认识到违法违纪的危害，思想上不要心存侥幸。帮助大家树立堂堂正正做人、清清白白挣钱的观念。杜绝一时贪念的发生。

（四）构建完善简明有效的各自内控体系

一是绘制岗位说明书，坚决做到不相容岗位分离。防止混岗操作，防止一手清，防止复查返原岗处理。四种类型的岗位职责应当分离：授权审批、记账、资产保管和定期对账。

二是制定制度、操作规程，并监督落实。可以允许犯错误，但坚决惩治违规操作，不守规矩。发现违规要区别对待，特别反对那些绕过程序的变通做法和所谓的聪明人。特别要重视人的自律。制度流程中把重点防控的关键环节，精炼成“十不准”等，可以与员工签订类似承诺书等，经常警示员工按流程制度操作。

三是把合适的人放到合适的岗位上。运营岗位需要一些严格遵守制度的员工，把制度的执行看得很重要。集体荣誉感强烈，对错误失误要有自我反省意识。要有“不用扬鞭自奋蹄”的千里马精神。

四是防止舞弊。要畅通反映问题的通道，问题处理坚持不返原岗处理回复。人员搭配要注意个性、行为的互补性。要特别关注周末，管理人员不在岗时的员工状态。落实重大问题请示报告制度。

五是通过定期或不定期检查验证内控执行程度。检查是内部一般监督，审计则是由审计部门按照审计准则进行的检查监督。检查的要点是：坚持随机和定期结合，随机的目的是让柜员始终坚持制度执行，不存侥幸，定期检查则按工作要求进行。坚持重点检查，根据业务的重要性、风险大小确定检查重点。坚持检查和教育相结合，检查出问题要举一反三，使大家汲取教训。坚持问责，有过必究，查出问题是处罚的依据。坚持防止灯下黑，身边人因熟悉而不预检查或检查敷衍了事，流于形式。

六是加大奖罚。发现问题一定要了解事实，风险原因，找出症结，对症施策，辅之以奖罚。处罚就是为了警戒，类似的问题不再发生。如果不适用处罚，或处罚无效。那就考虑轮岗换人。在风险压力下，切莫姑息遗患。

七是运用“二八定律”管理好关键。小的事情可以放手，但重要的事情、业务要做到胸中有数，要做到胸中有数，那就是有相应的措施确保。即：重要的业务要有合适尽职的人员经办，有负责的人员监督，至少设立这两道防线，必要时可以三道、四道。要有落实反馈机制。经办进度、效果要及时反馈至管理人员，做到过程可控。重要风险防范一定要有预案，预案要职责明确，具有可操作性，还要测试有效。

最后是尽职尽责。所有的风险事故，除了不可抗力，大都有履职不到位因素。这是人性的弱点，人都想图清闲、省事，心存侥幸，制度执行一时可以，很难做到长期坚持。海尔的张瑞敏就曾说过，简单事情长期做得不走样，就是不简单。所有成功的公司和企业家，倡导狼性文化，严酷管理，就是和人性天生惰性做斗争。我们在运营管理工作中，能否长期坚持从严管理，就在于运营经理的履职是否每天到位。能否确保长期的风险防控到位，就在于过程管理的理念和方法是否落实。

F832

责编：杨雪