吴文茹 

    操作风险管理的目的是通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制，确保商业银行各项规章制度有效贯彻执行，确保商业银行发展战略和经营目标的全面实施和充分实现，确保将风险损失控制在可以承受的合理范围内。

    目标是管理的方向。《COSO内部控制统一框架》首先强调的是内部控制目标。也就是说，没有预定的目标，谈控制就没有任何意义。对于操作风险管理而言，除了要有明确的目标，正确的方向，还要有一个重要的理念“管理结果不如管理过程”。

    操作风险管理是一系列对风险进行识别、评估、控制、监测和改进的动态过程和机制的集合。使过程处于“受控状态”，旨在解决风险管理基础薄弱问题；以制度作为准则，对每个流程、每个环节、每个重点“精梳细理”地衡量，在应变中不断修正，进而“点铺成面”，从流程上系统地规范操作，控制风险。

    一、问题及原因

    商业银行风险是指商业银行在经营过程中由于不确定性因素的影响，而蒙受损失的可能性。通俗而狭义地说，商业银行操作风险表现为员工违规操作的可能性。

    对于外部，被人民银行、保监会、法院、税务等相关监管部门罚款是由于违反法律、法规和监管规定造成；对于内部，由于未严格执行相关制度规章占操作风险成因的90%以上。商业银行在内外部审计、监管、检查中发现的较为突出的问题是规章制度执行不力。主要表现在：

    1.虽然建立了一系列规章制度，但“有章不循，违章操作”，没有按照规章制度要求规范操作，没有按规定留下记录（证据、档案）。规章制度的遵循性较差，且多数属于“减程序”或“逆程序”操作。

    2.虽然对制度的执行有了监督检查，但“屡查屡犯”、“此伏彼起”，同一问题在同一机构或不同机构重复发生的现象较为普遍；在多个环节、多个部位同时、连续、长期违规的操作风险损失事件较为突出。高频和共性问题，多数属于浅显而简单的、不良习惯类的低级错误。

    3.虽然对检查发现的问题有严格整改要求，但多是“就事论事”，缺乏“举一反三”主动、持续的改进机制，缺乏严格的跟踪、问责机制，“违规成本”较低。管理疲劳，惩戒乏力，是对“屡纠不改”行为的姑息。

    可见，商业银行操作风险暴露出的主要问题是内控制度的健全性、制度的执行力以及员工职业操守的培养等。究其主要原因：

    一是内控制度存在缺陷。例如：部分制度没有进行应有的整合和衔接，缺乏可操作性；部分制度不够精细化，对某些关键风险点的控制规定存在缺项；部分制度未能与业务发展、技术进步和产品创新保持同步，未能及时更新完善，在实际执行中发生脱节；部分制度传递渠道不畅通。包括从上往下制度传递渠道和由下而上的信息反馈通道，渠道阻滞狭窄，信息传递不全或走样，存在问题得不到及时处理和解决，不畅通的渠道影响了执行力。

    二是制度执行力不强。制度是员工行为准则和业务操作规范，一切活动都要严格按照制度的规定执行。“有章不循，违章操作”的根源在于，一是员工缺乏遵守制度的观念和风险防范意识；二是组织结构不合理，员工操作权责归属不清；三是人员未得到必要的培训，履岗能力不适应岗位职责要求；四是“学非所用、用非所长”，没有合适的人做合适的事情，导致分工不合作；五是“眉毛胡子一把抓”，没有关键和重点以及先后顺序和轻重缓急，没有根据风险程度进行差别化监控。

    三是内控机制不够严谨。执行的前提是目标和方向，基础是具体标准和数量指标。没有清晰而专注的内控战略，今年换一个平台，明年换一种体系，战略和目标的传递没有一定的连贯性和持续性，导致执行层面不了解所要执行的命令。内控机制不严谨是执行力大打折扣的重要原因。同时，“不管过程，只要结果”的错误观点依然存在。对在执行过程中遇到的问题跟踪不到位，持续改进机制的缺乏，使得内控管理的闭环无法向上、向前运行。

    二、对策及愿景

    操作风险管理要从文化约束、制度制约、监管制约等方面，构建完善的内部控制体系，对体系每个阶段都要有明确的控制目标，保证每个步骤工作的质量，控制住每个过程，才能保证阶段性成果和最终目标的实现。

    内部控制体系的五个要素中，内部控制环境是基础，风险识别与评估是前提，风险控制措施是核心和中枢神经，信息交流与反馈是血液系统，监督评价与纠正是防范风险的最后屏障。笔者尝试从这几方面，探究操作风险管理工作思路与对策：

    一是构建全员参与的操作风险管理文化。风险管理大致分为战略、执行、操作三个层次。在操作层面上，每个风险管理岗位都有明确的业务权限和制约机制。风险管理责任存在于每个部门、每个岗位和每个工作环节，每个员工都是风险的承担者，也是有效地识别、计量、监测和控制风险的执行者。因此，全体员工都要有风险管理意识，每个人在做每项业务时都必须考虑风险因素，形成全员的风险管理文化。要把内控要求传导、渗透到到商业银行的各个机构、各个环节，强化过程控制，使每个机构、每个员工都承担起风险管理的职责，使遵守规章制度成为一种文化。

    二是启动全面风险识别与评估程序。风险管理覆盖银行业务流程的每个环节，难以与经营活动相割舍。因此，要依据损失事件类型分类表、操作风险损失事件历史数据、专项治理检查报告、业务检查报告、内外部审计、监督报告等，采用流程分析法、经验数据法等方法，对操作风险进行全面识别与评估，从复杂的流程中选定自己的目标环节，在众多风险点中寻找关键控制点；要重点关注业务操作规程和管理流程存在的缺陷，因主、客观原因难以执行、实际控制失效的制度规定，实际操作过程中易发生误操作或差错频繁发生的环节等。要从从流程外补丁式管理，向流程内量化控制转变。

    三是实施精细化流程管理。操作风险最直接有效的控制措施是规范操作，每位员工要熟悉经办业务中的每条规范，对流程中的每个环节都要按规定动作去做。应集中梳理、精简提炼、完善各项规章制度，消除制度盲点和管理盲区，使员工对本职岗位相关的规章制度熟记于心，并应用于实际工作当中，增强案件防范的针对性；应将制度执行目标层层分解，并制定每个岗位的考核标准，使执行者有一个参照系和对照标准。从业务流程的角度对所做的工作进行管理，根据流程理顺结构，明确角色及职责，使流程中没有空白地带或重叠区域，使业务有序高效运转。

    四是疏通垂直的风险报告路径。风险存在于每个独立的活动中，作为风险收益平衡的重要前提，每个员工都应承诺以开放和直接的方式揭露和报告所涉及的各类风险；公开所有已知的事实和信息，以坦诚公开、基于事实的作风探讨风险。因此，操作风险及时、公开、逐级地报告，必须使垂直的风险报告路径成为“绿色通道”，确保政令畅通，信息交流顺畅。比如，当前操作风险监管方面的几项具体工作，一是操作风险损失数据库是操作风险量化管理的重要基础；对关键风险指标进行动态监测；开展内部控制与操作风险自评估。二是监控检查基层机构关键风险点，开展案件风险排查等，是对各业务条线现有检查工作的有益补充，是操作风险管理的有效手段。这些工作，分别从事前和事后，摸清风险源的分布，测量风险度的大小，并针对一项或数项业务，把可能涉及的风险点归结到一个篮子里，进行“一篮子管理”。

    五是加强对各类问题的查处和整改。管理必须严格。要对检查结果进行分类汇总，看是流程缺陷还是操作漏洞？对检查出的各类问题进行深入的梳理、分析；应针对存在的薄弱环节和风险点，解剖原因，研究制定整改方案和措施，与专项治理检查、积分管理办法、案件防查工作结合起来，监督落实整改情况，并通报考核整改结果；应区别一次违规与二次违规及多次违规给予不同的处罚，对“屡查屡犯”者应加大处罚力度；后续跟进时，应将整改情况纳入抽查和复查范围，使整改成为一项重要的、日常的基础管理工作；应进一步加强对整改落实情况、整改效果、整改存在问题的跟踪审查，加强对整改不力情况的责任追究，加强系统性整改工作的信息反馈和监督指导。同时，应建立自我评估机制，让每个员工评估自己的执行力和控制效果，实施控制措施，确保相关程序的不断完善和持续改进。

    风险管理是一个过程。再优秀的体系也需要人去维护，再优秀的流程也需要人来操作。但对流程和业务的管理，不是直接对人的管理。管理的注意力要放在遵循流程的规范和标准要求上，从对人负责转变为对事负责，使“人治”转向“法治”。流程的操作者不折不扣的执行制度，管理者以制度约束、衡量操作者，使流程中的每个人具有共同目标，使经验和知识得到积累和继承。

    “审慎的风险偏好，面对问题要有愧疚和用于纠错的情怀，鼓励暴露和传播风险事件的员工，培养风险管理人员敏锐的特质，善于及时发现风险点”，以及“统一、均衡、边界、独立、坦诚、宽容、暴露、审慎、无例外、真实、愧悔和零容忍等等，这一系列用语和关键词，是建设银行对风险管理文化全新的阐述，是继承和创新的产物。对这些良好文化观念的弘扬倡导，有利于提升业务管理规则和流程设计的整体水平。

    风险管理必须体现为全体员工的意识和行为，每个岗位、每个员工在做每项业务时都应体现统一明确的风险政策、标准和偏好。佛陀说：“无论你读了多少神圣的文字，说了多少神圣的话…如果你不依照那些话来约束行为，那么，会一些神圣的文字、话语对你又有什么好处呢？”通过对操作风险管理问题的梳理和思考，我们知道有一种力叫“执行”：对应知应会的内容不折不扣地去掌握、去做，踏踏实实地履行好岗位职责，使职业素质成为员工的文化素养。

    “普遍认同”和“自觉行动”是文化生成的两大核心要素。曾经有人这样形容管理的“文化程度”：“人管人累死人，制度管人糊弄人，文化管人管住魂”。笔者以为，操作风险管理既不是简单、烦人的“人管人”，也