业务运营风险分级管理应用探讨

中国工商银行江西省分行课题组

业务运营风险分级管理应用探讨

Hierarchical Management of Operational Risks

中国工商银行江西省分行课题组

编者按：最近，中国工商银行易会满副行长在监督体系改革座谈会上指出：去年部分分行发生的外部欺诈案件，被新监督体系多个模型有效识别。但是风险最终未能及时化解，主要原因是风险事件的核查、追踪、督促整改落实不到位，缺乏有效的外部核查手段，业务安全运营仍然缺乏足够的保障。

作为为数不多的新监督体系试点行，中国工商银行江西省分行实施“评定靠依据、发布讲时效、整改必到位、报告逐签批”的风险管理流程，促进了全行业务运营风险管理效能的提高。对进一步推行新监督体系试点与应用具有一定的借鉴意义。

业务运营风险是指与业务核算、网点柜面业务操作、后台集中处理直接相关的操作风险。业务运营风险已列为银行经营的三大风险之一，受到越来越多的关注。挖掘其特征进而防范风险成为各级行关注的重点。

随着中国工商银行新监督体系的投产运行，业务运营风险分级管理应运而生，原先单纯的风险堵截和案件防范，正在逐步转变为按级次明确责任主体的风险管理。目标是从机制上解决“风险在哪里，如何去管理”的难题。

一、实行业务营运风险分级管理的背景

长期以来，全行的业务运营风险管理体系经历了由分散监督到集中监督、事后监督中心到监控中心的发展历程。在保证核算质量、规范业务处理方面发挥了重要作用。但对风险事件不分级别、不管金额大小、不分性质轻重眉毛胡子一把抓，导致风险事件责任主体不明，风险导向性不强，屡查屡犯时有发生。已越来越难以适应现代商业银行公司治理和风险管理的要求。推进新监督体系以来，由于核查、追踪、督促落实不到位，风险未能及时化解。在新老体系更替的背景下，呈现出以下新的情况：

（一）难以满足业务运营风险防控的需要

综观历年发生的内外部案件，都是在看似“正常”的关键环节存在疏忽或漏洞。

中国工商银行易会满副行长在监督体系改革座谈会上指出，去年部分分行发生的外部欺诈案件，被新监督体系多个模型有效识别。但是风险最终未能及时化解，主要原因是风险事件的核查、追踪、督促整改落实不到位，缺乏有效的外部核查手段，业务安全运营仍然缺乏足够的保障。

（二）风险事件整改责任主体不明，效果不佳

传统模式对风险事件不分级，不管金额大小、性质严重与否、频率多少，同等对待，使得有针对性的风险管理难于有效实施，风险导向性不强，导致屡查屡犯时有发生。尤其是全行扁平化管理体制改革后，要求二级分行直接管理网点，面向网点，扩大管理范围，需要各级管理者更准确地把握网点的风险状况。但风险信息不共享、很难主动实施对网点和柜员有针对性、有目标的风险管理，导致运营风险管理效率低下、风险控制能力较弱。

为此，总行建立风险分级管理机制，以性质、金额、频率为标准，将风险事件划分为一类、二类和三类，按照不同风险等级分别确定了相应的核查级次、核查流程、核查方式、核查人员和报告路径，明确了各级机构负责人、运行管理、内控合规和相关业务部门的风险管理职责。其中，一类风险事件（对公业务500万元以上、个人业务100万元以上，以及部分频次高、性质特别严重的风险事件）需报送一级分行主管行长、行长。

（三）未能有效整合监控资源、形成部门合力齐抓共管业务运营风险

金融业的电子化、网络化、信息化进程为客户提供快速便捷服务的同时，也对业务运营安全管理带来新的挑战，外部欺诈呈现出手段智能化、渠道隐蔽化、方式多样化、转移快速化的新特征，要求我们增强主动识别、化解各种潜在风险的能力。

随着全行多样化、个性化金融产品服务的不断增加，网点办理的业务越来越复杂，要求具备更丰富的管理手段和更高的管理能力。业务运营分级管理系统投产前各级管理行普遍缺乏有效的“直通式”管理工具，操作风险的管理过分依赖基层网点、基层柜员，管理的规范性、执行力受到很大制约。

二、业务营运风险分级管理的原则

业务运营风险分级管理，是指依托业务运营风险管理系统，根据风险事件的性质、金额等确定风险等级，并进行分级核查、分级报告、分级负责和分级管理。分级管理遵循以下五项原则：

（一）定性准确原则

指依据风险性质、严重程度，综合考虑风险发生的行为性质、控制力度和后果影响，按统一确定的划分标准认定风险事件的类别和等级。

（二）重点突出原则

指在风险确认过程中，努力提高风险识别能力，注重把握风险实质，保证数量要合理、风险能暴露，为实行针对性、目标性管理提供可靠依据。

（三）责任关联原则

指对不同等级风险匹配相应的管理机构和管理人员，明确各个节点管理职责，把责任落实嵌入到整个风险管理过程，使各级管理者切实担负起风险管理责任。

（四）信息共享原则

指通过畅通信息渠道和使用先进管理工具，及时发布风险信息，做到发现即预警、整改必报告、原因详分析，并将相关信息传导到各级关联管理者。

（五）流程高效原则

指通过建立高效的“综合评定——预警发布——落实整改——反馈报告”管理流程，实现评定靠依据、发布讲时效，整改必到位，报告逐签批，提高风险事件处置速度与实效。

三、江西省分行业务运营风险分级管理实践与探索

江西省分行对业务运营风险实施分类控制和分级管理，落实业务运营风险关联管理者责任，实施“评定靠依据、发布讲时效、整改必到位、报告逐签批”的风险管理流程，促进了全行业务运营风险管理效能的提高。主要做法是：

（一）分层关联管理者，责任透明

从机制上入手，各行指定专人负责业务运营风险分级管理的日常工作及具体事宜，累计设定相关管理者用户1800个。一是成立各行的风险评估小组，客观分析风险事件成因，强化对其危害程度科学定性；二是落实关联管理者的管理责任，关联管理者包括省行主管行长、运行管理部总经理、运管内控岗以及个金部、电子银行部、银行卡部、公司业务部、国际业务部、内控合规部负责人；二级分行主管行长、运行管理部总经理，运管内控岗、内控合规部总经理；支行行长、主管行长、网点负责人，明确各级关联管理者“该做什么，怎么做、做好的标准”，突出质量管理和时间要求。

（二）细化风险等级划分，定性准确

依托业务运营风险管理系统，将已确认一类、二类、三类风险事件的基础上再等级细分，设置为一类（灾难、Ⅰ级、Ⅱ级、Ⅲ级）、二类（Ⅰ级、Ⅱ级、Ⅲ级）、三类（Ⅰ级、Ⅱ级、Ⅲ级）共十个等级，设定相关标准与等级划分对应关系，同时将等级纳入分层管理中，为风险事件的精细管理奠定基础。

（三）利用核准报备平台规范报告，信息共享

为了加强风险事件的管理及处理，利用总行投产重要事项核准报备平台，根据分级管理原则，由省行、二级分行及支行按照“综合评定——预警发布——落实整改——反馈提高”的管理流程进行操作，报考逐级签批，及时发布，既提高风险事件处置速度与实效，也提供学习及借鉴真实案例。系统风险分级管理功能投产后，运行风险监控中心对监测、质检发现的准风险事件，根据风险等级划分，按日通过系统分别发送查询查复书至网点、支行、二级分行。各级督查岗负责对查询查复书进行核查、落实，并督促整改。一类灾难、一类Ⅰ级由省行运行风险监控中心评定，指定专人预警发布至二级分行主管行长、运行管理部负责人、风险管理岗及内控合规部负责人；抄送省行主管行长、运行管理部负责人、风险管理岗、内控合规部负责人及相关专业部门负责人。二级分行运行管理部风险管理岗人员赴网点现场落实、督促整改。如涉及其他专业，专业部门应派员共同参与。一类Ⅱ级、Ⅲ级由省行运行风险监控中心评定小组综合评定。省行运行风险监控中心指定专人发送至二级分行主管行长、运行管理部负责人、风险管理岗及内控合规部负责人。二级分行运行管理部风险管理岗将核查任务分派给分行督查员或督导员赴网点现场落实、督促整改。如涉及其他专业，专业部门应派员共同参与。二类Ⅰ级由二级分行对账督查中心评定小组综合评定。二级分行对账督查中心指定专人发送至支行行长、主管行长、业务主管及风险管理岗；抄送二级分行主管行长、运行管理部负责人、风险管理岗、内控合规部负责人及相关专业部门负责人。支行风险管理岗人员赴网点现场落实、督促整改。二类Ⅱ级、Ⅲ级由二级分行对账督查中心评定小组综合评定。二级分行对账督查中心指定专人发送至支行行长、主管行长、业务主管及风险管理岗。网点督查岗负责现场落实、督促整改。三类Ⅰ级、Ⅱ级、Ⅲ级由支行综合评定。网点督查岗负责现场落实、督促整改。报告、签批时效网点、支行签批反馈报告时限不得超过2个工作日，二级分行、省行相关部门签批时限不得超过2个工作日，全过程最长控制在4个工作日之内。一类灾难及其他重大风险事件必须在4小时内报告省行。

（四）明确各级职责，落实整改

根据《江西省分行业务运营风险事件分级管理办法》，对风险事件的分级标准、核查流程，明确各级行领导、负责人和监管人员在业务运营风险分级管理的核查途径、分级报告对象和报告内容；明确了风险评定小组的人员组成；明确了各支行风险管理岗、运行督导、督查、现场管理在风险事件分类控制和分级管理职责；各级管理机构根据风险事件划分等级标准，按违规性质、严重程度评定风险等级，及时发布预警信息，督促行处在规定时间内进行落实整改和反馈报告，通过业务重要事项核准报备管理平台逐级签批上报。根据各等级风险报告签批关联管理者对照表，按照核准报备管理平台系统签批流程，将网点负责人、现场管理人、支行行长、主管行长、风险管理岗和二级分行主管行长、各相关部门负责等纳入整改报告签批关联管理者，进一步规范风险事件的整改程序。在规定时间内进行落实整改和反馈报告，通过业务重要事项核准报备管理平台逐级签批上报整改报告。

（五）建立风险联动机制，强化分级效果应用

业务运营分级管理应用效果体现在风险管理机制和体系更趋完善，而不是以完成业务运营分级管理系统的投产为终极目标。为进一步优化风险管理流程，深化业务运营分级管理，建立了三项配套机制。

1.建立网点评级制度。为发挥业务运营分级管理系统的风险收集功能，对识别的一、二、三类风险事件运用量化指标，对网点实行按季评分、分类控制、差别管理，滚动排名，末尾申饬等管理手段，建立分层次、分类别的风险管理流程。

2.落实现场管理制度。针对业务运营分级管理系统投产所带来的业务营运管理格局的重大变化和调整，及时确定了现场管理的相关规定，要求所有网点必须指定一名负责人履行现场管理职责，负责本网点业务运营分级管理系统查询、回复、整改、现场管理工作。

3.实行业务运营风险分级管理内部计价制度。建立与运行成本相关联的价值驱动指标体系和业务运行集约处理的成本分担机制，根据业务量、风险事件确认数量等指标计算作业成本，通过价格杠杆引导各行不断提高运行风险管理能力和水平，进一步提升运行监管的效率和效果。

四、业务运营风险分级管理的成效

（一）有效解决了相应级别的风险事件“谁负责处理”、“如何处理”的问题

业务运营风险分级管理是根据风险事件的性质、金额、频率等确定风险等级，并进行分级核查、分级报告、分级负责和分级管理。系统风险分级管理功能投产后，运行风险监控中心对监测、质检发现的准风险事件根据风险等级划分标准，按日分别发送查询查复书至各级机构、部门。从二级分行分管行长、支行行长、网点负责人三级都有相应的风险等级事件管理义务，明确作为相应的风险等级事件整改第一责任人，约束了网点对风险事件反馈。情景经过还原、成因分析要求，有利于二级分行把脉基层行管理盲点。同时，重大风险事件必须经各级行主管行长审批的规定，使银行的高级管理人员对本行的管理水平、风险形势有直接感触，“责任落在头上最有效”，推动了风险事件整改又快又彻底，确保运营风险管理层层推进，在全行形成了“风险管理人人有责”的共识，风险防范潜能充分激发，各监管人员职能履行得到了有效发挥。省行营业部将网点“零风险事件”作为奖励负责人评定的依据之一；新余分行将分级管理工作情况纳入运行督导的检查内容，都取得了积极成效。

（二）形成专业部门管理业务运营风险合力

各级机构负责人、运行管理部门和内控合规部门，以及个人金融、电子银行、银行卡、结算与现金管理、国际业务等相关业务主管部门，可通过系统第一时间内了解风险状况，及时采取有针对性的管理措施，消除风险隐患，形成风险管理合力。规范和加强业务运营风险管理，积极加强业务运营风险分级管理工作，通过明确各级运行管理部门及相关业务部门的权限和职责，依托业务运营风险管理系统，根据准风险事件和风险事件的性质、金额等确定风险等级，并进行分级核查、分级报告、分级负责和分级管理，进一步加强业务运营风险分级管理工作。

（三）提升了业务运营风险管理效率

分级管理制度实施以前，业务运营风险管理分散于部门，各自为营，管理渠道单一，管理者信息来源滞后，风险事件的分析定位标准粗线条。分级管理制度实施后，各级行运行管理部牵头组织各相关专业部门运用业务运营风险分级管理系统，通过数据共享，实现了信息互通，进一步规范了业务运营风险事件的核查和报告程序建立风险事件报告反馈机制，及时向上、下级机构和同级运行管理部门、相关专业部门报告风险事件状况，明确相关机构、部门协助核查及反馈职责，明确了各级管理者及二级分行、支行、网点的整改责任，形成“有查必复”、“有风险必整改”、“整改促成效”的良性循环，构建了“竖到底、横到边”的业务运营风险管理新格局，运营风险管理效率有效提升，推行风险事件分级管理三个月来反交易、错账冲正诱发系统直接确认的风险事件较分级前下降50%。

五、业务营运风险分级管理应注意的几个问题

（一）分级≠分离

风险分级是指依托业务运营风险管理系统，根据准风险事件和风险事件的性质、金额等确定风险等级，并进行分级核查、分级报告、分级负责和分级管理。业务运营风险分级管理系统明确了各级行、各岗位管理人员管理相应类别风险事件的职责。现在有一个认识误区：认为风险集中监控后，风险事件监控、核查、管理是上级行的事了，二级行、网点不需要去监测、分析、核查、管理风险了，包括分析、评估本行风险状况都依赖于上级行，依赖于风控中心。江西省分行强调分级不等于分离，更多的是要按照各自职责，上下联动、部门联动，共同防范风险事件，提高风险防范水平。风险分级管理后，一、二、三类风险事件经确认后，系统会自动发送各级行长、运管部总经理、督查岗，各级管理人员要按级别查询的要求进入系统查询，按报送流程及时向主管行长、运行管理部报告。管理中心对一类风险事件会及时收集、归类形成案例分析报告报送省行分管行长、运管部。各二级分行及时将二类风险事件报送主管行长，各支行行长负责三类风险事件的核查整改。各级行上下联动在全行形成对风险事件分级管理、分级负责、分级整改的良好局面，切实把风险监控成果转化为风险防控效果上来，推动全辖管理水平有更大的提高，更加准确、更高效率，更快速地查堵运营风险。

（二）风险事件≠差错≠损失≠案件

不能简单地将风险事件视为考核目标。业务运营系统按是否触动监督模型来展现准风险事件，监控人员则按照监督原则找出风险事件触动的监督模型，更好地防范风险。风险无处不在、风险无时不在。业务一经开办就存在风险，特别是资金异动类业务，很容易触动监督模型，形成风险事件。很多风险事件并不是员工自身违章造成的，而是业务、系统及制度等因素造成的，在我们确认的风险事件中，手工确认比例很低，大部分是大机自动确认。比如反交易，总行已在系统中设好参数，会自动确认为风险事件。在考核时要区别对待，对员工自身违章造成的风险事件加大处罚力度，对系统造成的风险事件则不予处罚，从正面引导网点柜员控降风险事件。

（三）监控≠控制

运行风险监控集中上收后，中心按照机构分组的原则，在实质上是服务与被服务的关系。风险监控不是控制业务发展，而是要怎么样把业务做好，提示前台防范风险，支持业务发展，为业务发展保驾护航。

课题组组长：江西省分行副行长 叶定金

成 员：胡小龙、熊建钢、肖永寿、汪志勇