邮储银行违规风险发现机制的构建

赖婧华

违规风险的控制是现代商业银行经营与管理过程中的重点。在现阶段，邮储银行的违规风险发现机制主要包括以下几种方式：行内业务条线、区域检查中心、外部监管单位的检查，包括现场检查、非现场检查和专项检查；会计核算稽核中心的事后稽核；定期召开风险委员会，由各个部门提出风险议题，统一组织讨论；不定期组织的，主题各异的，全行性开展的内控风险排查活动。

一、现行违规风险发现机制的弊端

现行的违规风险发现机制较为传统和简单，同时存在一定的弊端。

1.发现风险的被动性。风险固有而存在，但现行机制下对风险的发现往往以违规事实为依据，通过发现违规事实从而发现风险，总是提示已经造成一定负面效应的风险，而对还未产生负面效应的风险盲然不觉。换言之，风险的发现与解决存在着较大的被动性。

2.判断风险的标准性。目前在对风险的判断上，缺乏统一的标准。对于风险，不同的检查主体对业务的了解程度不同，对风险承受能力不一，导致在不同主体的判定下，对是否为风险的认定不一致，对风险影响程度的定性不统一。

3.报告风险的主动性。现行机制下，违规风险的报告者与发现者均为后台人员，作为直接接触违规风险的直接执行人员，反而缺乏直接发现与报告风险的动力和机制。

二、违规风险发现机制的完善与发展

（一）风险识别

1.风险识别的基本要求。（1）风险识别标准的统一性。在风险识别中，管理部门需要识别不确定性的存在，即不确定一项风险是否将会发生，何时发生，或它发生时的精确影响。管理部门首先应对一系统列的违规风险进行判断与定义，直接执行人员、主管部门、监管部门三者对风险的判断标准应趋于统一。（2）风险识别的联系性。构成风险的事件通常不是孤立发生的。一个事件会波及另一个事件，它们总是并存发生的。在风险事件的识别中，管理层应当明白一个事件怎样与另外的事件相关联。通过评估风险事件之间的关系，来决定管理者的着力点应着重于何处。同时，将潜在的风险事件归纳起来分类是必要而有用的。通过在行内至下而上地归集汇总风险事件，有助于逐步理解了风险事件之间的关系，获得用于风险评估的基础信息。通过对同类风险事件的归类，有助于管理部门更好地确定机遇和风险。（3）风险识别的双面性。某个事件的发生总是有消极的影响或积极的影响，或者二者兼而有之。产生消极影响的事件代表风险，风险的消极影响是指某个事件将要发生并对完成目标有不利影响。它要求管理部门做出评估并反馈。产生积极影响的事件代表机遇，或削弱风险的消极影响。机遇是指某个事件将要发生，并有可能对预定目标和创新价值产生积极作用。机遇事件能促进管理部门策略或目标实现的进程，因此管理行为应与机遇相适应。管理部门不应只识别消极影响的事件，而应同时对产生积极影响的事件产生回应。

2.风险识别的基本方法。（1）风险委员会的功能完善。明晰风险委员会的目标。提倡风险委员会以收集企业整体对事件清单的知识为目标，同时引入职能不同的部门代表作为讨论主体。会议的结果好坏通常取决于参加者的层次是否多样化，因为层次的多样化决定了会议中所能得到信息的广度，也在一定程度上决定了讨论的深度。在会议开始之前，会议组织者应促进各讨论主体对所讨论议题充分地进行内部沟通，并且使各讨论主体找出最有效的方式以表达本单位的想法；在研讨会的开始，建立讨论的基本规则；认可参加者不同的风格和人格类型，考虑怎么优化他们的贡献；确认要关注哪些目标，哪类目标，哪类事件；受邀请的会议参加者数量控制在15人之内；实际地确定预期结果，以确定讨论会所欲达到的目标。会议议程至少应包括以下几个环节：①介绍。解释会议背景和各个参加者被邀请的理由，解释基本规则。②解释会议流程。明确会议流程，对每个目标，将提示从以下因素讨论相关事件及他们的相互作用：外部、内部、经济、基础设施、自然环境、人员、政治、进程、社会、技术；解释会议流程制定的原因。③探索目标。确认会议讨论的目标事件，并确定目标事件的关联事件；确认对风险的评价标准，在此基础上，确认内部机构对风险容忍程度和公众舆论对风险的可接受程度；讨论影响目标事件的潜在内外部因素；确定哪些事件代表风险，哪些事件代表机会；考虑多个风险因素如何影响目标事件，以及各风险因素之间的相互关系。④下阶段和结束 。发布研讨会结果，要求所有参加者在48 小时之内明确下一步行动计划。（2）图表分析法。用图表来列示有代表性的业务流程，以使参与者更好地理解输入元素、参与者、输出和所负责任之间的内在关系。一旦发生风险事件，参与者就能迅速辨别风险并考虑问题处理的方式。在流程分析中，不仅应通过图表表示过程，还应明确描述过程中的各关键步骤及其潜在风险。（3）最重要事件指示器。 最重要事件显示器，也叫最重要风险显示器，是洞察潜在风险事件的一种定性或定量分析方法。由特定机构将重要的风险事件收集整理，优化排序，最重要风险显示器必须及时供给那些依靠信息的管理者， 可以是每日、每周、每月，甚至是随时。（4）损失事件数据追踪。持续监测已发生损失事件的相关数据，并对其进行运用，有助于预测将来可能发生的风险事件，并量化其伴生的损失。将所收集的数据整理成损失事件数据库，该数据库需包含标准的事件信息，并能及时将信息反馈给管理者。在建立损失事件数据库的基础上，结合对已发生事件的认识，结构性的知识，以及对损失事件相互关系的了解，有助于开发预测模型以辨认风险事件。数据追踪和预测模型的开发可考虑在签订合同的基础上外包至第三方服务提供者。

（二）风险评估

风险评估是风险识别的辅助与补充，通过风险评估，能更好地确认风险对企业的影响，并能更好地帮助企业的管理人员对风险做出反馈与处理。

1.同时关注内在风险与追加风险。风险包括内在的风险和追加的风险。内在风险对企业来说是某些行为缺失造成的风险，管理部门可以通过采取措施改变风险发生的可能性或影响；追加风险是管理部门对风险做出反馈之后又产生的风险。风险评估首先针对的是内在风险，一旦风险反馈已完成，管理部门就开始考虑追加风险。

2.关注风险的可能性与影响。风险评估包括两个方面：可能性和影响。可能性意味着事件发生的可能，而影响意味着它的后果。可能性和影响被普遍应用于各个方面，“可能性”意味着事件在性质方面发生的可能，比如高、低，或其他评判标准，“可能”意味着一种量上的标准，比如百分比、发生概率或其他数量上的尺度。

3.合理配置企业资源。如何确定与评估风险，并进行合理的企业资源分配是困难且富有挑战性的。低发生率和潜在影响小的风险通常不被更进一步的考虑；另一方面，具有高发生率和重要意义的潜在风险需要受到更多的关注；而介于这两个极端之间的情形的风险通常更加难以确认和评估，谨慎小心的分析是十分重要的。

（三）其他注意事项

1.在任何制度下发生，应伴随有唯一的违规风险判别标准。该判别标准不仅包括是否违规的风险判断，还应包括风险等级的判断。

2.在系统建设时，系统自身应有良好的逻辑判断，对一些关键参数应有系统设置与监控。良好的系统不仅应能帮助直接操作人员遵循规章制度进行操作，还应能及时向管理者与监控者反馈违规信息：哪些环节的差错冲击较多较频繁，从而使管理者能及时收集直接操作人员的行为偏好，并对直接操作人员的行为进行规范。

3.并非所有的违规风险都具有消极作用，部分违规风险的存在也能提示管理者与规章制定者，规章制度本身存在问题。管理者与规章制定者应及时通过风险识别与风险评估技术处理这些积极的信息，使规章制度本身更具规范性与可操作性。

（作者单位：中国邮政储蓄银行福建省分行）