丁自明
(宁夏银行股份有限公司 财政部全国会计领军人才)
商业银行基层行运营风险管控思考
丁自明
(宁夏银行股份有限公司 财政部全国会计领军人才)
随着我国银行业各项改革的不断深入,强化风险防范意识,防范和化解风险,已成为商业银行基层行面临的重要课题。商业银行运营风险是商业银行固有风险,且具有一定的随机性,防控风险应伴随商业银行经营全过程。本文从运营风险的表现出发,结合基层行实践,分析了识别风险的工具和方法,进而对风险防控提出建议。
商业银行;操作风险;COSO框架;内部控制;舞弊三角理论;二八定律
商业银行的经营风险包括信用风险、市场风险、流动性风险、操作风险、政治法律风险、声誉风险、灾害风险、监管风险、案件事故风险等,但对于基层银行而言,经营风险则主要集中在信用风险、操作风险、案件风险、声誉风险等方面。其中,信用风险主要是贷款产品违约风险;操作风险则是因违规操作导致的事故、案件遭受损失的风险;案件风险是外部抢劫、诈骗导致的风险;声誉风险则是不良社会影响导致信任风险。除去授信业务中的信用风险之外,操作风险、案件风险、声誉风险可以归属一类,与内部管理关系密切,是其中防控的重点。本文主要就基层行日常运营中操作风险的防范进行探讨。
商业银行的风险贯穿于经营的全过程,产生的因素是多方面的,因此商业银行经营过程中的风险也存在多样性,要防控风险,首先要识别风险,就目前基层行的业务和规模,主要存在以下风险:
一是业务操作规范化执行不足的风险。如:记账串户、金额错误、逆流程、错入账、服务投诉、收付反向、汇兑延时、长短款等。一般情况下,非主观故意,可以称之为错误或事故;如果主观上故意,则为案件。
二是业务连续性中断的风险。如因为核心账务系统、网银、POS、ATM、手机银行、自助填单机、自助发卡机断线的原因中断业务,进而引发顾客投诉,或者不可预知群体事件。
三是突发事件引发的风险。如抢劫、诈骗、火灾、水灾、雷暴、哄抢、爆炸、地震、暴雨。突发事件虽然有不可预知性,但也有预防的必要。可以通过预案制定演练缓释避免风险。
四是声誉事件导致的风险。媒体暗访、报道;网络上恶意中伤、造谣;公众谣言;政府或公众批评。
风险是客观存在的,具有随机性和固有性。可以规避与化解,但难以消除。墨菲定律告诉我们:你担心什么,就有可能出现什么。最不可能发生风险的地方,就越可能发生风险,对于风险,最不能持有的态度就是过于自信和侥幸心理。
作为商业银行基层行的风险管控主责人员,需要端正对待风险的态度。有什么样的心态,就会有相应的行动,也就会有与之相应的结果。对待风险应该有的态度主要有:
对待风险的第一个态度是需要积极的行动。即管理风险,而不是害怕风险,躲避风险。积极的行动的要义包括:对单位或行业风险有个清醒的认识,对风险进行梳理列表,做到对风险种类、表现形式和频度胸中有数。根据风险排序,贯彻要事优先原则,不拖延、不诿过,行动永远放在首位,急事急办,把风险隐患消弭于萌芽。
对待风险的第二个态度是防患于未然。平时要预警风险,要教育大家重视风险。当一个组织或企业有一段时间平安无事了,有可能孕育着巨大的风险,在对待风险上需要逆向思维。越是无事故,越要提高警惕。从上世纪90年代到今天,银行间的风险案件不是没有了,只是变换了一些形式。而且从近三十年来银行案件来看,还有轮流发案的规律。案件在各行间显得较为均衡。所以长时间不发生案件的银行更要注意防范预警。
对待风险的第三个态度是风险防范是长期的。企业经营是长期的,所以风险管理伴随企业经营各个时期。昨天的成绩只能说明昨天的风险防范是有效的。风险管理必须始终落实在当下。
运营风险的防范,表象是履职是否到位,实质是责任心落实问题。
(一)学习掌握风险管理知识
学习美国COSO框架及我国内部控制规范。这是国内外目前采取的风险管理理论和实践的依据。提出风险管控所依赖的内部控制基本含义和功能。其五项核心控制要素是:控制环境、风险评估、控制活动、信息与交流、监控。
财政部、审计署、证监会、银监会、保监会联合下发的《企业内控基本规范》,这是中国版的COSO框架。包括基本规范和应用指引。涉及组织架构、人力资源管理、企业文化、信息系统、担保、工程管理、筹资、财务报告等,共18项应用指引。另外还包括《企业内部控制评价指引》和《企业内部控制审计指引》。形成了完整的内控规范体系。
此外还需要学习掌握银监会发布的《商业银行内部控制指引》(2014年发布)、《商业银行全面风险管理指引》(2016年9月发布)、银监会文件操作风险防控13条和防范柜面业务风险20条。各家银行根据自身战略管理需要细化形成了各自的内部《内控评价手册》。如果能够逐条掌握,对于操作风险的防范能够把控了。其余业务管理办法和操作规程也是需要学习掌握的。
(二)掌握风险识别技术
一是通过内部访谈与讨论识别风险。主要运用访谈、问卷调查、头脑风暴、自我评估及其他协调、SWOT分析等方法来识别风险点。
二是通过外部对比发现风险管理上的不足。主要运用与其他组织比较、与同行讨论、标杆管理、风险顾问等方法对标自己风险管理上的薄弱环节。
三是通过工具、诊断和流程来定性定量风险。主要运用对照表、流程图、情景分析、价值链分析、业务流程分析、系统工程、流程绘制等工具和方法进一步量化风险。
(三)对风险进行定量和定性分析
定性分析主要包括:风险识别、风险排序、确定风险的相关性。具体定性方法有:访谈、集体讨论、专家咨询、问卷调查以及标杆分析等。
定量分析主要包括:概率技术、确定风险收益。具体定量方法主要有:概率技术、情景分析、压力测试、敏感性分析、计算机模拟等。
(四)风险排序及应对
通过运用风险识别技术识别出存在风险后,根据风险重要性,对存在的潜在风险进行排序。分别轻重缓急采取相应的风险管理策略。
(一)学好专业知识
制度的设计一是为了业务发展,再就是为了防范风险。要防范风险,前提就是识别风险(看出问题),要看出问题,就要熟知业务规范。运营岗位是流程化、规范性很强的岗位,涉及的业务知识很多。需要牢固、清晰掌握,知道得越多,越有利于管理风险。
尽管识别风险有一套专业的理论知识体系。但在实践中经验仍是不可代替的。优秀的运营经理是在不断总结正反两方面经验教训的基础上炼成的。在运营中一定要善于吸取他人教训,在忙碌中常常不要忘了停下来,审视存在什么不足,这些不足和缺陷有可能导致的风险。
(二)从风险舞弊三角理论入手做好员工心理分析
最为公认解释导致某人进行职业欺诈的模型就是舞弊三角理论。舞弊三角模型包括三要素:压力、机会和合理化。
该模型的隐含假设就是一个普通人实施欺诈时,必须同时具备三要素。压力,如资金需求,就是实施欺诈的“动机”。导致欺诈行为发生的常见压力包括:为维持投资者信心的预期收益需求,为实现劳动生产率和工作目标的需求,或简单的无法满足到期偿债的需求。机会,或者说预期机会是指舞弊得以发生的方法。实施舞弊的人必须找到某种方法,即利用他(她)的职务之便,在不被轻易发现的情况下,解决财务问题。例如,实施舞弊(如偷钱)的个人发现内部控制的缺陷,并且相信没有人会注意到资金被挪用或偷盗了,都是从偷很少金额的钱开始的。如果没有人发现,偷盗的金额会慢慢增加。最后,合理化是指诈骗犯将他(她)实施的舞弊行为合理化,即用一种可接受或合理的方式来解释他(她)的欺诈行为。个人常用的合理化理由包括:我到期还不了款;我的老板欺骗了我;这笔钱是我应得的;我只是暂借而已。
管理人员理解舞弊三角模型、模型要素、认识到可能导致潜在员工行为问题以及员工行为的变化,是非常重要的。还要认识到可能导致舞弊机会的任何内部控制缺陷。
(三)防范操作风险的基本公式法
经过多年经验总结得出:防范人员操作风险=不给机会+了解(缓解)压力+明确的是非教育。
没有机会自然少了诱惑。有一个故事说明人性经不起考验:有个人每天经过的窗台上放着一块名表,没有人在旁边。这个人每天都看到,时间长了内心开始斗争,期初还能自制,后来开始自己给自己找借口:旁边没有人,拿了没有人知道。而且自己需要一块表。终于有一天,他顺手拿了这块无人看管的名表。防范运营风险,重要的一条是不要留有机会。当有机会,有动机时,人性多数时候是脆弱的,经不起考验的。
当这些情况搞清后,教育让人明辨是非,筑牢自身的防火墙。让大家认识到违法违纪的危害,思想上不要心存侥幸。帮助大家树立堂堂正正做人、清清白白挣钱的观念。杜绝一时贪念的发生。
(四)构建完善简明有效的各自内控体系
一是绘制岗位说明书,坚决做到不相容岗位分离。防止混岗操作,防止一手清,防止复查返原岗处理。四种类型的岗位职责应当分离:授权审批、记账、资产保管和定期对账。
二是制定制度、操作规程,并监督落实。可以允许犯错误,但坚决惩治违规操作,不守规矩。发现违规要区别对待,特别反对那些绕过程序的变通做法和所谓的聪明人。特别要重视人的自律。制度流程中把重点防控的关键环节,精炼成“十不准”等,可以与员工签订类似承诺书等,经常警示员工按流程制度操作。
三是把合适的人放到合适的岗位上。运营岗位需要一些严格遵守制度的员工,把制度的执行看得很重要。集体荣誉感强烈,对错误失误要有自我反省意识。要有“不用扬鞭自奋蹄”的千里马精神。
四是防止舞弊。要畅通反映问题的通道,问题处理坚持不返原岗处理回复。人员搭配要注意个性、行为的互补性。要特别关注周末,管理人员不在岗时的员工状态。落实重大问题请示报告制度。
五是通过定期或不定期检查验证内控执行程度。检查是内部一般监督,审计则是由审计部门按照审计准则进行的检查监督。检查的要点是:坚持随机和定期结合,随机的目的是让柜员始终坚持制度执行,不存侥幸,定期检查则按工作要求进行。坚持重点检查,根据业务的重要性、风险大小确定检查重点。坚持检查和教育相结合,检查出问题要举一反三,使大家汲取教训。坚持问责,有过必究,查出问题是处罚的依据。坚持防止灯下黑,身边人因熟悉而不预检查或检查敷衍了事,流于形式。
六是加大奖罚。发现问题一定要了解事实,风险原因,找出症结,对症施策,辅之以奖罚。处罚就是为了警戒,类似的问题不再发生。如果不适用处罚,或处罚无效。那就考虑轮岗换人。在风险压力下,切莫姑息遗患。
七是运用“二八定律”管理好关键。小的事情可以放手,但重要的事情、业务要做到胸中有数,要做到胸中有数,那就是有相应的措施确保。即:重要的业务要有合适尽职的人员经办,有负责的人员监督,至少设立这两道防线,必要时可以三道、四道。要有落实反馈机制。经办进度、效果要及时反馈至管理人员,做到过程可控。重要风险防范一定要有预案,预案要职责明确,具有可操作性,还要测试有效。
最后是尽职尽责。所有的风险事故,除了不可抗力,大都有履职不到位因素。这是人性的弱点,人都想图清闲、省事,心存侥幸,制度执行一时可以,很难做到长期坚持。海尔的张瑞敏就曾说过,简单事情长期做得不走样,就是不简单。所有成功的公司和企业家,倡导狼性文化,严酷管理,就是和人性天生惰性做斗争。我们在运营管理工作中,能否长期坚持从严管理,就在于运营经理的履职是否每天到位。能否确保长期的风险防控到位,就在于过程管理的理念和方法是否落实。
F832
责编:杨雪