运营风险领域的信息技术应用

胡明国

运营风险领域的信息技术应用

Application of IT in Operational Risk Management

胡明国

如何运用信息技术来控制业务运营风险？如何挖掘业务运营风险特征进而防范风险？如何建立集风险识别、计量、评估、控制等为一体的业务运营操作风险管理体系？如何实现操作风险的目标管理？……本文从事前、事中、事后的风险防范与控制实际，探讨信息技术在运营风险管理领域的运用，并以构建操作风险管理体系为重点，结合当今世界最先进的质量管理方法——六西格玛进行深入研究，探索运营风险管理新途径。

一、系统硬控制是防范风险的最佳选择

综观世界先进商业银行的流程体系建设和业务管理，其产品论证周期长于研发周期、模块化核算由系统定义、后台风险管理人员相对较少的特征固然与其市场环境、风险管理文化等相关，但关键是这些先进商业银行已经充分发挥科技在系统设计中的作用与优势，在流程设计中有效地控制业务风险、产品风险，故其核算灵活、风险控制得力。而中国工商银行（以下简称“我行”）在这方面的管理与先进商业银行还有一定距离，未能将产品的风险控制有效融入到流程设计中，既增加了风险管理成本，又影响了风险控制效果，甚至还因为流程设计不完善影响客户服务。

目前，我行在流程中控制业务运营风险的主要途径包括两个方面，一方面是通过技术手段将风险控制固化到程序中；另一方面是通过参数手段将风险控制融入流程中，根据参数阈值和参数关联关系控制风险。

首先，参数是指在计算机系统中，对系统运行及业务处理均具有确定操作条件及核心控制作用的数据元素，是信息科技快速发展的产物，是计算机程序开发从元素固化的设计理念到参数配置化、模块组合化的重要转变，是我行实现系统硬控制业务运营风险最佳途径，更是风险管理创新。如业务集中改革的“业务受理、通用补录、专业处理”流程以及远程授权改革“业务操作与授权分离”流程都体现了信息技术硬控制风险的逻辑。

其次，将制度参数化融入流程管理，实现系统硬控制业务运行风险。如新修订的《事权划分管理办法》，基本覆盖了全行主要业务环节，如果仅凭制度“软”管理，很难将风险控制到每个环节、每个柜员，而通过交易表、岗位编号表、岗位权限表、柜员额度控制表等参数表的阈值、关联关系很容易将《事权划分管理办法》内容融入流程，对柜员、主管的业务操作或授权额度、操作或授权权限实现参数控制，进而有效硬控制运营风险。从发展的趋势看，未来业务制度应该越来越少，参数控制风险的制度应越来越多，既可贯彻上级行的管理意图，又能有效控制风险，达到事半功倍的效果。

再次，随着科技进步和流程银行建设的深入，每个业务数据元素的参数化管理和模块化组合将成为现实，进而可实现银行产品设计的灵活性、产品风险与流程风险控制的有效性，也必将助推商业银行风险管理体系的建设与发展。

二、运营风险特征

挖掘业务运营风险的共同特征，通过科技手段实现数据的归一，进而制定有效措施防范风险。监督体系改革在这方面进行了有益探索并取得明显成效。

通过对日常风险数据分析，主要包括风险机构（包括分行、网点）、风险环节、风险柜员、风险事件笔数、风险性质、风险驱动因素、业务日期等数据项。

要寻找这些数据项的共同特征，首先我们应以先进的信息技术为依托，通过参数方式将目前已掌握的业务运营风险按照新巴塞尔协议或相应指标体系进行分类，并对风险性质进行量化管理；其次通过系统对业务运营风险的数据进行量化采集，并对不同业务条线、不同环节、不同机构、不同柜员的业务风险性质进行倍值管理，测算某笔（类）及某个特定对象的风险率、风险度、风险暴露水平等；再次将数据汇总后利用科技手段进行挖掘分析，寻找业务运营风险特征（如高风险机构、高风险柜员、高风险环节、高风险账户等），并对各个特征下的风险笔数和风险度进行量化分析，为风险管理决策提供支持；同时，以收集到的风险数据为基础，辅以各时期风险分布的特征，测算出未来风险趋势走向。

随着信息技术发展和广泛运用，数据分析工具越发先进，如我行的企业级数据仓库（EDW）、SAS_EG系统等等；数据分析方法也在传统图表基础上有新的突破，如象限分析（散点图）、多维分析（雷达图）、聚类分析、波动幅度分析、置换率分析等。

三、建立风险管理体系之我见

操作风险已列为银行经营的三大风险之一，并受到越来越多的关注，而银行所面临的操作风险主要来源于银行员工违反操作规范、违背职业操守以及有意识地违背规章制度等，对操作风险的防范难度非常大、不易量化。如何建立集风险识别、计量、评估、控制为一体的业务运营操作风险管理体系，是当前各家银行共同面临的难题。现结合六西格玛理论和我行业务运营风险特点略谈个人见解。

六西格玛是一套系统的业务改进方法体系，是旨在持续改进企业业务流程，实现客户满意的管理方法；通过采用质量改进流程，实现无缺陷的过程设计，并对现有过程进行过程定义(Define)、测量(Mea-sure)、分析(Analyze)、改进(Improve)、控制(Control)，简称DMAIC流程，消除过程缺陷和无价值作业，从而提高质量和服务、降低成本、缩短运转周期，达到客户完全满意，增强企业竞争力。我行构建的操作风险管理体系流程（包括识别、计量、评估、控制）与DMAIC流程十分相似，具体剖析如下：

（一）界定（Define）

项目界定是六西格玛项目成功与否的关键，主要工作内容包括改进机会的确定、绘制SIPOC1确定顾客的需求和关键质量特性、绘制详细流程等。

操作风险管理体系的构建首要工作就是风险识别，要以历史数据为基础，结合当前风险管理情况及将来风险发展趋势，有重点的明确管理的风险对象，构建风险模型，确定风险点的关键事项（如风险级别、风险性质等），搭建好操作风险管理体系的基础。

（二）测量

测量阶段在于首先要明确测量的对象、方法和指标，定义测量过程，确定过程输出指标和CTQ2之间的关系、过程输出指标和输入指标、过程指标之间的关系，进行测量系统分析。

再好的风险管理理念和风险模型如果不能准确计量永远都不能付诸实施，永远都不能为管理者提供科学依据，而对操作风险的有效计量就显得尤为重要。因此风险计量的根本目的就是要保证风险模型及其对应数据能够采用正确的方法测算与计量、计量结果的变异尽可能小，保证后续分析阶段使用的数据准确可靠；同时还要反映出风险管理机构或人员的管理意图、设计架构，并能准确反映出机构、人员及产品的风险特征，只有如此才能深入推动操作风险管理体系的建设和发展。

（三）分析

分析阶段是综合采用各种统计方法和管理技术，进行数据的统计分析、比较试验、缺陷分析、关键因素分析、相关分析和回归分析等，进而找出影响业绩指标的关键的、潜在的原因。改进阶段是基于分析阶段所找到的根本原因，大胆地提出问题解决方案；改进方案要进行评价和筛选，可以采用一些综合评价技术进行方案的选择。

（四）控制

控制的目的在于保持项目的成效，在控制阶段，要在质量管理体系中及时更新流程改进后的程序文件或作业指导书，建立过程控制系统和失控行动方案，采用统计过程控制的技术对过程进行实时监控。

构建操作风险管理体系的根本目的是有效防控风险，把握风险防范的主动性，提升风险管理水平，风险控制是操作风险管理体系流程的最终结果；同时根据各业务环节风险特征数据分析，推动流程或产品的改进和持续完善，并将产品风险有效融入到系统设计和流程控制中，实现风险的系统硬控制。

操作风险管理体系是一套非常复杂的系统，涉及每个业务环节、每个机构、每个柜员，要构建大量的风险模型和风险类别（点），并要有周密的流程架构设计和完善的统计方法，监督体系改革是成功将六西格玛理论运用于我行的操作风险管理范例。构建操作风险管理体系最终目的是要建立不断识别、评估、监测、控制风险事件的循环机制，找出形成风险事件的关键因素，从信息流（包括流程、系统、业务）、人员流等方面持续改进，既能减少风险事件、降低风险损失事件的数量，又能持续提高业务运行效率和客户服务水平，提升市场竞争能力。

注：1 SIPOC是指“供方——输入——过程——输出——顾客”的过程（Supplier——Input——Prcess——Output——Customer）。

2 CTQ：关键质量特性，（Critical to Quality）。