风险管理之道—银行操作风险管理（北京站）
2014-12-08 16:00:30   评论：0 点击：

　　随着中国金融市场的快速发展，金融行业竞争形态的持续演化，以及监管力度的不断加强，IT咨询服务公司对金融企业的商业智能解决方案，也面临着不断的创新。

　　在主题为“乘数据之舟，达价值彼岸”的文思海辉商业智能解决方案研讨会上文思海辉事业群总监彭泽飞在风险管理之道分论坛分享了银行操作风险管理。

　　以下为演讲实录：

　　一是操作风险是什么，操作风险包括咨询和IT落地两部分的内容。既然包括咨询，说明逃犯风险还是有它的复杂度和一定的高度。我也不可能在这么短的时间内把高度和细节方面内容讲的很深入，但是我们至少知道操作风险基本的内容和宏观上是由哪些方面构成的。

　　另一方面是我们在操作风险实施过程中，从咨询和IT落地这两个方面，我们作为IT的银行科技部门负责人这个角度，我们会面临什么样的问题。即使我们现在不了解操作风险，但是随着认识的深度我们一定会面临两个问题，今天下午探讨一下这两个问题，有助于在以后项目实施过程中遇到这样问题的时候我们可以有一个思考的角度。

　　操作风险从07年开始到目前为止，应该说我们国内进行了两轮建设。第一轮是国内的四大行为主的国有银行他们开展操作风险建设，目前为止全部通过了验收。第二轮以股份制商业银行开始的操作风险的建设。另外城商、农商，从今年开始，甚至从去年开始，城商业农村商这两个体系进入了建设周期，这是目前的现状。

　　什么是操作风险？操作风险大家都知道银行从成立第一天开始就有操作风险。我们也有大量的管理办法从各个不同的层面管理操作风险。我们今天谈的是用一个新的方法，巴塞尔把它单拿出来，现在为什么还谈操作风险？是因为以前的管理办法都是在一个局部，在专家认为的一个点上解决操作风险的问题。而现在要谈的基于巴塞尔协议方法论的操作风险是一个完整的体系，是基于在所有管理办法，其他针对具体业务管理基础之上，更宏观的全面的去俯视、去得到我们所有的管理办法它们的好坏？操作风险管理目标是推动原有的体系制度的完善，这也是现在目前我们谈到操作风险为什么存在的理由。

　　现在新的操作风险体系建立完了以后能回答哪些问题？没有上这样的体系以前的问题是回答不了的。比如目前有哪些类型操作风险对银行威胁比较大？什么样的风险发生了董事长会睡不着觉？这是逃犯风险要解决的问题。银行采取这么多控制措施，哪些控制措施是有效的？哪些是无效的？这个我们给不出一个答案。风险暴露的哪些机构、哪些网点比较高？

　　操作风险三大工具，具体每一项内容的展开，今天这个时间不可能把这个话题解决。但是我们要能够通过今天知道，操作风险能够核心利用的方法论和工具就叫三大工具。其中一个是RCSA，是对风险及控制的自我评估，是对未来风险可能存在的一种形态的评估。这是对风险未来的观点。

　　关键风险指标是通过我们对现在经营数据的计算和分析得到一系列指标值，这是我们对风险当下的观点。另外损值数据，我们要收集银行曾经发生过的数据这是对风险历史的视角，是从未来和当小和历史三种视角管理操作风险。

　　三大工具我们怎么理解它？有历史的、过去的、现在的。把银行比做一个人的话，三大工具起到的作用，首先做操作风险要对全行所有业务流程进行梳理，找到它现有的措施，这样的过程对应着人体，就是我们整个进行全面的体检，找到人身上所有的不适之处，找到我们遗存的病因。然后开展对风险的评估，对人体进行健康检查，这是一个周期性的工作。所以说三大工具中最难的是风险控制的自我评估。这个开展的话在全行会涉及到所有部门、所有员工，这是一个周期性的工作，没有结束的时候。

　　关键风险指标相对于人体就是一些计量指，通过指标反应出当下我们的身体状况。还有就是历史的“发病”数据要进行分析。

　　我们作为银行，操作风险的职能部门是新成立的，我们以前也没有接触过操作风险这个方法。银行怎么开展、启动操作风险？这个过程中要规避什么问题？我们怎么去对这些问题有一个提前的认识。另外对于IT规划，因为在座都是IT五负责人，银行在对操作风险进行IT规划的时候，有一些问题是随着对操作风险认识越来越深入，我们不得不去思考的和不得不去面对的。如果我们不思考，没有准确哪一天行长会来问我们，所以说我们在IT规划中一定会面临着操作风险和内控的关系。我们新认识它的关系是什么，再看银行IT规划怎么来考虑？

　　操作风险建设之初做咨询的时候所有的内容，一开始做咨询一般是只有四大公司才能做。以前国内也有一些学者在研究，研究的不太深入，国外很多银行提前实践过所以国外咨询公司搬到国内来。但是经过几年的实践，已经探索出了适合国内银行前进的路线和方法论，和实践。目前为止，整个咨询内容包括四个部分：一是整个操作风险业务管理体系以前是一片空白，我们要建立起来。另外一个是三大工具管理体系和三大工具方法论的具体落地方法。然后就是IT建设。因为现在对各个银行操作风险建设来说，这三个方面应该说是越来越趋向于标准化。方法论不像前几年咨询公司引入国内的时候好像还挺神秘的。现在银行操作风险管理体系，三大反对论和工具落地是标准化的。各个银行操作风险建设过程中差异化最大的是我们进行全行业务梳理和全行操作风险的识别，以及针对于这些操作风险的具体的控制措施的识别这个过程会有差别。因为各个银行业务不同、流程不同，管理办法不同，这是银行比较大量的工作。

　　各条线主流程内控梳理，银行很难做一个全行业务梳理和风险识别的控制，我认为趁着操作风险建设过程，做了这样一件了不起的事情以后，也许好几年之内我们都不太可能有这样的机会进行全行业务梳理和风险控制的识别。这个工作的产出的成果对于银行来讲是非常有价值的市场。它既是我们进行全行操作风险管理的基础，另外这也是建立起全行标准的作业指导书的基础，也是推动全行进行持续业务流程优化的基础。很多年前有些银行在自己组织调整过程中启动过业务流程规划，但是那些事情都是一次性做完了，当时调整过来了挺好的，但是业务在发展，又不适用了，我们不可能每年启动这样的业务流程优化这样大的项目。操作风险业务体系完成以后就可以承载这样的职能。能够通过这样的体系运转实现持续的推动银行进行业务流程的优化这样的一个工作。

　　所以说IT老总们在对操作风险系统进行规划的时候，我们的思维和视角可以从这个角度进行思考，定位操作风险在全行业务开展过程中它的价值。

　　咨询过程中一个是整个咨询体系方法论的部分和落地的部分是标准化的，已经没有太神秘的东西了。

　　另外一个在全行业务流程梳理的时候，我们要从流程优化的角度和建立起全行标准体系的角度看待业务流程的梳理。一般咨询公司进行咨询的时候，一般只会完成两个业务条线。很多银行没有力量或者是没有能力去完成其他业务条线流程的梳理，很多银行导致操作风险建设搁浅。

　　最后要讨论的问题是全行的内控管理体系是一个完整的体系。操作风险只是全行内控管理体系当中的一个重要组成部分。我们下面看到的是，内控管理体系中，操作风险和内控的关系是什么？怎么处理这个关系？IT规划如何准备？这是全行风险管理的三大防线，第一是业务部门对风险的管理。第二防线是操作风险管理职能单位和合规风险管理职能部门和内控管理牵头职能单位，他们管理内容有差别，但是方法相似。这就是IT规划建设过程中，这是分开考虑还是合并考虑的问题。

　　从监管机构角度，银行作为一个国内大企业，受到这么多不同监管的约束，有财政部的有银监会的，有上交所的。从不同的角度我们怎么样满足所有的监管的要求？我们不可能每一个监管要求出一个系统，有一个体系。我们一定要纳入整体进行考虑。

　　首先要解决的问题就是合规和操作风险的关系。银行总行合规部门和操作风险一定是两个部门，职能部门是两个。但是，操作风险和合规风险有很多关系。首先操作风险和合规风险存在着互换性，有的风险既是操作风险也是合规风险。有的是重叠性，因为操作风险和合规风险都管的是全行，很多都需要业务部门的配合，合规风险监管可以先出，但是出的时候是参考巴塞尔协议的，所以操作风险和合规风险管理手段有时候是重合的。还有就是合规风险和操作风险数据共享。首先他们管理的都是全行的业务，业务库、风险库和流程库这是合规风险、操作风险的管理的基础。三大库产生的数据有风险识别数据这些也是共享的。所以管理方法个管理数据有很多一致性。

　　我们跟很多银行交交流了以后，很多银行也是基本采用这样的思考方式进行他们的IT规划。进行IT规划建设的时候首先要考虑如何应对COSO和巴塞尔两个方面的挑战。在整个实施过程中，得到的结论：以巴塞尔新资本协议实施为主，但不是全部。同时借鉴COSO国际内控的标准。逐步建立起具有各自不同银行自己特色的内控和逃犯风险管理框架。总体框架一定有很多相似标准的地方，但是我们把框架借鉴到银行内部的时候，有一般要根据本银行自己管理清晰度的不同做一些通过一个框架体系同时满足巴塞尔和COSO两个方面的要求。

　　操作风险和合规平台的整合逻辑：操作风险基层体系是操作风险点为核心的操作风险、合规风险的基础库与法律法规的关系。他们运用的三大工具都是一样的，三个数据的数据跟合规有关的给到合规管理部门使用，跟操作风险有关的给到操作风险管理部门使用。首先这样的方法数据统一了。对于一线员工来讲他们不用关心我做的工作是跟合规有关的还是跟操作风险有关的工作，他们就做一次。现在很多银行基本采用了这样的思路。

　　最后把我们的内控管理平台做一个介绍，我们实现的思路是有一个风险管理的基础平台，把我们整个跟第二道防线管理相关所有的基础要素管理起来。然后支持操作风险和合规风险的两个应用。以操作风险风险为主，同时合规涉及到的法律，通过一个平台管理职能支持合规风险和操作风险的应用。

　　分享一个案例：招商银行的案例，体现了我们讨论了三个方面问题的过程。招商银行咨询是做了两个阶段。第一个阶段是进行了法律制度和流程梳理，之后建立了一个合规系统。因为合规是要基于这个完成。第二期咨询进行了进一步流程梳理，很多工作是重叠的。在合规风险操作风险两大系统建设过程中，一开始咨询中心、我们、银行都没有认识到合规和操作风险之间有什么太大的关系，做了以后才发现这样下去有很大的问题，因为持续下去所有银行员工就只为我们服务呢，我们操作风险是后建，我们做操作风险的时候实现了操作风险和合规在底层数据在三大工具上的整合。

　　操作风险目前为止建设了三期。一期是完整操作风险管理平台，包括所有要素。二期重点工作是实现和合规风险的整合。同时根据银监会检查结果提出改进建议，进一步对系统进行完善。

　　目前为止招商银行这个系统上线了两年的时间，进行了两年的推广和使用，操作风险作为招商银行新成立的部门，一开始他们很忐忑。目前为止整个这个部门在全行的价值和地位得到了很大的提升，也是因为他们在操作风险领域取得了很大的成果。

　　这个成果包括在整个系统中，涵盖了全行20多个业务条线，200多个业务流程。涵盖了全行6000多个风险点和4万多个操作，管理非常细。目前为止每年进行三次滚动风险评估。已经有大量评估结果的数据，全行40多家分行，60多个二级分行全部参与进来。关键风险指标已经有200多个在使用，监控全行方方面面的业务。

　　有了这么多数据以后，现在已经有近200张报表在使用，提供给各个层面不同的管理者和业务使用者，来监控各自不同的风险状况。

　　在整个实施过程中银监会检查过三次，第一次是2010年4月份，当时系统正在需求设计过程中，检查看筹备是否充分。第二次检查是系统第一次上线之后，已经推广了银监会过来检查，对这个系统应用比较满意，提出了一些改进建议。希望对数据的应用、分析更加充分。后面我们进行第二期和第三期建设，银监会第三次检查是第二期上线以后，是去年11月份，银监会最终宣布招商银行通过了银监会的验收。