对提高商业银行 操作风险管理质效的思考

■中国农业银行审计局直属分局 张 洋

习近平总书记指出：“新时代新阶段的发展必须贯彻新发展理念，必须是高质量发展”。商业银行贯彻落实新发展理念，发挥操作风险管理的基础性作用尤为重要。银监会《商业银行操作风险管理指引》下发后，我国商业银行积极行动，努力加强操作风险管理，取得了较好成绩。但是，目前操作风险管理体系运行质量欠佳，风险隐患依然存在，操作风险管理中仍有不少问题需要解决。

一、商业银行操作风险管理体系运行现状及问题

（一）运行现状

1.操作风险管理体系运转正常。近年来，商业银行面对复杂多变的风险形势，积极推进操作风险防控管理，按照全面覆盖、全程管理等原则，实施公司治理体系和治理能力的现代化建设，将政策制度、风险偏好、管理流程工具等要素有机结合，努力识别、监测、控制经营风险，不断优化董事会科学决策、高级管理层执行和监事会监督的运行体系，基本保证了操作风险合规管理的正常运转。

2.操作风险管理机制逐步完善。商业银行通过制定完善的章程、规章制度以及管理要求，细化操作风险管理的办法和措施，明确操作风险的分类分级标准，加强考评管理，规范检查等，不断完善管理机制。如中国农业银行改进监督检查方式，由“大兵团作战”向精准打击、快速处置转变；由以现场检查为主向非现场与现场检查融合转变，特别是2020年，为适应疫情防控需求，开展以非现场为主的检查方式，缩短了时间，降低了成本，提升了检查质效。再如中国建设银行2019年开展操作风险评估、监测工作，及时完善制度、改进流程、优化系统、排除风险隐患，提高操作风险预警能力。

3.操作风险管理工作得到强化。商业银行内控合规和风险管理等部门承担着操作风险管理的第二道防线职责。一是开展内控评价。商业银行内控合规部门对照内控要素，通过制定预期性评价指标体系，发挥了内控评价的前瞻性导向作用。如中国农业银行优化内控评价方案，将反洗钱、员工行为管理等纳入评价重点，有效发挥了评价的引领作用。二是对标监管要求，系统分析形势和存在的不足，研究强化措施。国有大型商业银行和股份制银行加强了对境外机构及子公司操作风险的合规管理，对总部业务部门、境内境外分行、代表处和各子公司设置不同的考核指标，制定监督方案，基本做到了对集团各类机构的合规监管。

（二）目前存在的主要问题

1.被监管处罚增加。2020年银保监会共披露6963张罚单，罚款金额高达17.58亿元，较2019年2900多张罚单、8亿多元罚款相比，增速较快；处罚责任人员数量较2019年增长约30%。其中国有大型商业银行罚单819张，罚金3.96亿元；股份制银行罚单403张，罚金5.05亿元。国有大行和股份制银行合计罚金9.01亿元，占总罚金的51%。处罚事项大部分是“未按规定履行客户身份识别”“未按规定报送大额或可疑交易报告”等操作环节。2021年银保监会持续加强监管，仅5月份就对5家商业银行及相关责任人作出行政处罚，罚款3.66亿元①。处罚内容主要是理财产品信息披露不合格、出具的理财投资清单与事实不符、通过关联非银机构的内部交易违规降低理财产品销售门槛、投向“四证”不全的房地产项目、并表管理不到位等。

2.操作风险事件和风险隐患较多。在2020年商业银行发生的操作风险事件金额中，重大操作风险事件金额约占60%。从风险事件类型看，根据银监会《商业银行资本管理办法》关于操作风险事件的7种分类标准，执行、交割、流程管理事件数量最多、金额最大，分别占50%以上。2020年末商业银行从制度流程、系统运行、操作执行、员工行为、外部环境等对其操作风险进行了自评估，识别的风险隐患大都在上千个，有的行超过了两千个。

3.商业银行线上贷款、产品设计、信息科技、模型风险等管控不够。近年来，新技术和大数据技术发展迅速，商业银行线上业务发展较快，但线上贷款操作风险管理跟进缓慢。个别行的线上贷款客户管理不到位，线上贷款业务外部欺诈风险较大等。在信息科技风险方面，新技术的应用缺少成熟的操作风险管理经验，因系统开发缺陷、机器设施故障、外部网络攻击、非法窃取重要信息等网络安全风险的冲击影响操作风险管理的事件越来越多，管理难度越来越大。在模型风险方面，随着商业银行数字化转型，操作风险管理的有效性受到模型有效性的制约，模型假设失灵、应用错误等正在成为商业银行新的操作风险点。此外，还有产品设计瑕疵隐患等问题。

二、形成问题的原因分析

（一）操作风险管理的全面性不足

各商业银行的年度报告或者制度办法都提出了要全面风险管理、全覆盖原则等，但是实际工作中部分银行未严格执行。有的行缺少对境外机构的监督管理；有的行缺少对全流程的管理，部分印章管理人员未纳入重要岗位管理；有的行缺少对系统的更新；有的行缺少对操作风险事件的后续管理。有的行缺乏对操作风险自评估报告的全面管理：一是风险自评估未覆盖各业务条线；二是自评估报告的内容不全面；三是自评估报告的质量不高。

（二）三道防线之间协同机制不到位

1.缺乏有效协同手段，信息共享不足。主要是缺乏一个供三道防线部门统一使用的大数据库。目前，有的商业银行二道防线部门之间的数据信息缺乏协调，同一违规事件信息需要多个部门分别在各自系统中留存，重复录入；而且还会出现同一事件由于不同操作人员录入失误等原因导致数据信息错位的现象。多数商业银行总部的二道防线部门之间存在因操作风险引起的信用风险损失计量不一致、管理指标口径不一致等问题。

2.操作风险管理尽职不够，制度执行不到位。主要表现在一道防线部门执行制度不到位。有的商业银行存在迟报、漏报评估报告的现象；有的商业银行分行层面近一半业务部门未开展操作风险自评估。从监管行政处罚的罚单所涉及的违规情况看，在设计层面即上级行制度、系统、流程存在问题的占1.25%；执行层面即违反或未遵守制度规定等相关要求的占98.75%。

3.案件风险事件没有抄送（报）第三道防线。目前，部分商业银行存在操作风险事件报告的路径没有提及向第三道防线（内部审计）部门报告的现象。银监会《商业银行操作风险管理指引》第十一条规定，商业银行内审部门要“监督操作风险管理政策的执行情况”。出现了案件风险事件不向第三道防线报告事件发生情况及后续情况，内审部门很难知道，这对监督工作十分不利，既耽误了监督时效，又直接影响了监督质效。

4.对第三道防线重视不够。部分商业银行第一、二道防线部门风险合规文化、审计文化还没有完全形成，对内审查出的操作风险事件问题不够重视。有的被审行员工在审计期间甚至与内审人员产生“对抗”情绪，影响了第三道防线的工作效率。

（三）合规管理人员不足

部分商业银行操作风险管理岗位人员不足，有的分行层面操作风险管理岗位严重缺人。如在对某商业银行进行调查时发现，截止2020年末，该行一级分行层面有35%的分行内控合规部人员不足，实际人数占编20%；操作风险管理岗位86%的员工还兼其他工作。

（四）问题整改不到位

1.各商业银行对内外部审计、监管部门查出的操作风险问题整改不到位、责任人处理不到位。有些行的许多重大风险事件长期处于待处理、待审核的积压状态，尤其是在责任人处理方面对领导干部的处理不落实，责任追究工作存在虚化、泛化现象，处理下沉问题突出，违规成本过低，对违规责任人没有发挥出应有的警示教育作用，屡查屡犯。

2.操作风险压力测试不到位。监管要求商业银行要开展操作风险压力测试以判别潜在风险及脆弱环节，并及时制定应急预案。但是，有的行往往忽视对操作风险的压力测试；一些行还存在未对操作风险压力测试进行验证、测试文档管理不完整等问题。

（五）对新产品和新业务的合格审查及风险评估不到位

有的商业银行对新推出的产品未认真进行合规审查和风险评估，致使出现风险隐患。

三、提高操作风险管理质效的建议

商业银行要高质量发展，要进一步加强操作风险管理，牢固内控合规之基，提高操作风险管理的运行质效。

（一）加快推进巴塞尔协议Ⅲ实施，提升监管对接质效

商业银行要适应强监管、严监管的形势，切实做好监规的内化与执行，研究监管检查的相关制度，修订操作风险管理的基本规定，确保规定的一致性。对接银保监会、审计署等检查项目，掌握信息，积极沟通，尽可能提前化解风险；研究监管处罚情况、存在问题及应对措施，按季度形成监管处罚分析报告，针对处罚重点领域开展风险排查。

要加速实施巴塞尔协议Ⅲ，启动操作风险高级法。研究制定高级法项目建设模型技术方案，整理相关数据；建立健全模型风险管理机制。完善操作风险经济资本计量：一要制定计量调节政策，优化计量规则。对国计民生重点行业、国家重点支持产业核心优质客户和贸易融资业务，考虑风险分散和贸易自偿性等特征，适当调减经济资本；对存在高风险担保圈、潜在风险和交叉风险隐患较多的客户和区域，可调增经济资本。二要推进计量数字化转型。建设智能化风险控制平台，优化组合风控系统。三要深化经济资本应用。开展风险收益分析，运用风险调整资本回报率（RAROC）、经济附加值（EVA）等指标，客观评价业务的量、价、险平衡状况，为经营决策提供参考。

（二）加强沟通，创新三道防线协同推进机制

1.促使三道防线信息共享。商业银行要秉承普惠、开放、共享的新金融理论，积极探索内控大数据的实施路径，优化升级操作风险管理等信息系统，从制度建设、流程标准、工具技术等方面，建立前中后台、总分行、母子公司协同推进的工作机制，深入运用公司治理架构的思维与方法，创新操作风险管理、内部控制、合规管理、案件防控等体系协同机制建设。推进行内各类信息系统的互联互通，解决不同系统间数据分割、信息“孤岛”问题。

2.完善集团内控合规协同管理机制，形成统一的风险管理视图。一是研究制定适用于集团的境外机构和子公司且宽严适度的合规监督管理办法，健全重大风险报告监测机制，推进前瞻性研究，有效处理重大风险事件。完善定期非现场评价体系，建立灵活适度的现场评估机制和风险提示机制。二是强化关联交易和内部交易管理，建议关联交易控制委员会每季度至少召开一次会议，根据监管要求适时修订关联交易管理基本规范等相关制度，听取管理情况汇报，持续动态更新关联方名单，推进关联交易线上作业。三是探索研究建立国际监管合规管理和监管信息提示机制，实现监管关注事项在境外分支机构间共享，有效应对日益复杂的国际形势。四是规范权力运行。对境内分行强化分级分类授权，区分国别环境对境外机构适度授权，优化子公司授权管理模式。当前应对防疫重点客户调整授权，服务好金融抗疫；同时积极支持乡村振兴工作。内控风险部门应按季度梳理适用于境外机构和子公司的总部制度目录，区分直接适用、参照适用等情形，为境外机构和子公司提供参考。

3.建立内部监督力量整合机制，实施内审转型。第二、三道防线应该从事后监督向事前、事中监督或者全流程监督转型，要确保监督工作的连续性和有效性。在国家审计署修订下发的《审计署关于内部审计工作的规定》中，将内部审计的职能进行了拓展，从“监督、评价”扩至“建议、咨询”，这就要求内审从“事后监督”过渡到“事前提醒”及“建议咨询”上。所以，重大风险事件报告、风险分析报告等在上报业务条线上级部门和内控监督部门的同时，应该抄报内部审计部门，以利于审计监督或者“事前提醒、事中建议”。要建立一、二、三道防线定期会谈机制，关注二、三道防线检查审计发现的公司治理与内控操作缺陷。

4.加强集团上下、分支机构间共有客户的策略协同管理。商业银行集团内部分支机构为了发展各自业务，对一些好的法人客户在机构之间存在此进彼退、策略协调性不高的问题，上级行应制定共有大额法人客户风险信息共享和策略协同管理办法，设计共享及上下协同机制。

（三）优化规章制度，提升制度管理质效

商业银行应建立规章制度，从体系合理性等多维度组织开展制度梳理评估，统筹推进制度管理体系的改进优化，增强制度的实用性及可操作性。

1.加强操作风险管理制度优化。优化调整操作风险偏好陈述及量化指标设置，制定或完善操作风险评估管理办法，进一步规范和明确操作风险评估工作的方法、机制和流程。针对境外疫情扩散和市场波动对境外行的影响，研究制定一行一策管理措施。

2.健全新产品合规审查评估制度。一是建议对新产品、新业务、新制度在出台前进行风险审查，在商业银行总部建立或者完善制度审查机制。制定新产品风评实施细则，建立责任清晰、流程规范的产品创新风险评估流程，使风险评估审查嵌入到产品立项和投产审批环节。二是以风险为导向，以线索核查为重点，加大新产品政策跟踪检查力度。

3.完善线上贷款风控制度建设。一是完善线上贷款业务的风险管理策略。商业银行要针对线上贷款业务操作风险控制的总体思路，制定适应线上化模式的操作风险识别、计量和监控要求。制定线上贷款业务模型风险管理指引，明确模型投产、使用和验证的管理要求。开展线上贷款产品风险评估，查找风险隐患和管理短板，有针对性地加强管控。二是开展线上贷款业务模型的风险分析，探索将大数据分析技术深度应用于风险计量模型可行性。

4.上下协同健全整改完成时限和标准。一是推进责任追究线上作业。按照问题风险程度和涉及业务领域，分级分类细化整改标准，提高问题整改的针对性，强化根源性整改。通过系统权限制约，实现责任追究全过程线上留痕操作；全面推行违规积分处理与纪律处分并行，不断提升责任追究的精准度和有效性。二是把尽职免责与依规追责同时抓，探索量化机制。三是必须有限时办结要求。商业银行在整合修订完善责任追究相关制度时要明确办结时限，扎实做好问题相关责任人的处理工作。内控合规部门要对操作风险隐患整改情况进行督导评价，督促相关机构和部门提高整改效率。

5.依规做好操作风险的压力测试。商业银行要积极落实全球系统重要性银行监管要求，建议按季度开展操作风险压力测试并进行验证。对商业银行总部各职能部门、境内外分支机构、子公司以及村镇银行等开展压力测试验证，形成报告并提交董事会审议。

（四）认真监测、报告、评估操作风险，治理隐患

一要及时报告各类重大风险事项。建议商业银行按季度认真撰写全面风险分析报告，综合分析突出问题的风险情况，改进风险报告的分析技术和方法，分析内容应至少包含操作风险事件总体状况、主要变化和原因分析、操作风险潜在因素和存在问题、已经采取的措施和拟采取的整改措施等。要不断增强风险报告的全面性和针对性，建立向董事会、监事会以及内部审计部门同步报告的工作机制。二要认真开展风险评估，治理隐患。坚持前瞻性、重要性、准确性、及时性、持续性原则，评估内部程序、员工、信息科技、系统以及外部环境中存在的操作风险隐患。对集团金融市场、理财、线上信贷等主要业务，以及产品信息科技系统等领域风险进行全面摸排，形成自评估报告，针对风险点及时采取应对措施。制定再评估工作方案，督促弥补短板和漏洞。建议风险评估报告和自评估报告每半年开展一次并于该期后10日内报送，提高报告的质量和效率。

（五）加强操作风险管理的队伍建设，弘扬风险合规审计文化

商业银行要对合规管理岗位及其操作风险岗位充实选聘专业性较强的人员，要根据业务规模、地区风险状况等因素，合理设置部门和岗位，各分行操作风险管理岗位配备至少2名专职人员，并强化尽职管理。一要宣教合规文化。商业银行要组织形式多样的培训方式，增强员工合规意识，开展员工合规经营宣传教育活动，建议每个机构每半年至少进行一次合规宣讲、开展一次合规大讨论、组织一次学习测试。二是加强风险文化建设。培育员工尽职、主动、协作的风险文化，自觉贯彻操作风险偏好，实现人人防风险。三是弘扬审计文化。内部审计是为了维护银行业务经营的合规合法性，既是保护银行利益，也是保护员工切身利益，是经营管理的重要环节。第一、二道防线部门人员应理性并虚心接受内部审计提出的问题，积极落实问题整改，排除“对抗”心理。

（六）以防范操作风险为导向，加大对第二道防线审计的力度

商业银行内审部门要加大对内控制度建设与执行的监督审计。一要创新审计项目计划、审计重点把握、审计方式方法。要及时掌握与操作风险管理相关的信息，与第二道防线共同研究解决监督过程中出现的问题和困难，促进提高操作风险管理的质效。要围绕把握新发展阶段、贯彻新发展理念，履行好内部审计工作的职责使命，通过定制风险审计、后续审计、专项审计、非现场审计等工作计划，提高操作风险管理的审计质效。二要开展内控评价审计。建议内审部门每年对内控评价结果再抽取至少30%的样本进行核查，监督评价第二道防线的履职情况，形成内控合规改进建议书，为管理决策提供服务。

（七）深谋远略，拟订“十四五”操作风险管理和案件防控专题规划

“十四五”时期，我国经济社会发展规划和指导方针已经党的十九届五中全会明确通过，这为做好未来五年经济社会发展工作提供了思路、指明了方向。商业银行要认真领会贯彻，分析研判未来五年操作风险管理与案件防控的趋势，拟订管控的总体思路、目标和措施，制定规划，夯实基础，促进业务经营高质量发展。

注释

① 数据来源于银保监会官网。