隨著中國金融市場的快速發(fā)展，金融行業(yè)競爭形態(tài)的持續(xù)演化，以及監(jiān)管力度的不斷加強，IT咨詢服務公司對金融企業(yè)的商業(yè)智能解決方案，也面臨著不斷的創(chuàng)新。

　　在主題為“乘數(shù)據(jù)之舟，達價值彼岸”的文思海輝商業(yè)智能解決方案研討會上文思海輝事業(yè)群總監(jiān)彭澤飛在風險管理之道分論壇分享了銀行操作風險管理。

　　以下為演講實錄：

　　一是操作風險是什么，操作風險包括咨詢和IT落地兩部分的內容。既然包括咨詢，說明逃犯風險還是有它的復雜度和一定的高度。我也不可能在這么短的時間內把高度和細節(jié)方面內容講的很深入，但是我們至少知道操作風險基本的內容和宏觀上是由哪些方面構成的。

　　另一方面是我們在操作風險實施過程中，從咨詢和IT落地這兩個方面，我們作為IT的銀行科技部門負責人這個角度，我們會面臨什么樣的問題。即使我們現(xiàn)在不了解操作風險，但是隨著認識的深度我們一定會面臨兩個問題，今天下午探討一下這兩個問題，有助于在以后項目實施過程中遇到這樣問題的時候我們可以有一個思考的角度。

　　操作風險從07年開始到目前為止，應該說我們國內進行了兩輪建設。第一輪是國內的四大行為主的國有銀行他們開展操作風險建設，目前為止全部通過了驗收。第二輪以股份制商業(yè)銀行開始的操作風險的建設。另外城商、農商，從今年開始，甚至從去年開始，城商業(yè)農村商這兩個體系進入了建設周期，這是目前的現(xiàn)狀。

　　什么是操作風險？操作風險大家都知道銀行從成立第一天開始就有操作風險。我們也有大量的管理辦法從各個不同的層面管理操作風險。我們今天談的是用一個新的方法，巴塞爾把它單拿出來，現(xiàn)在為什么還談操作風險？是因為以前的管理辦法都是在一個局部，在專家認為的一個點上解決操作風險的問題。而現(xiàn)在要談的基于巴塞爾協(xié)議方法論的操作風險是一個完整的體系，是基于在所有管理辦法，其他針對具體業(yè)務管理基礎之上，更宏觀的全面的去俯視、去得到我們所有的管理辦法它們的好壞？操作風險管理目標是推動原有的體系制度的完善，這也是現(xiàn)在目前我們談到操作風險為什么存在的理由。

　　現(xiàn)在新的操作風險體系建立完了以后能回答哪些問題？沒有上這樣的體系以前的問題是回答不了的。比如目前有哪些類型操作風險對銀行威脅比較大？什么樣的風險發(fā)生了董事長會睡不著覺？這是逃犯風險要解決的問題。銀行采取這么多控制措施，哪些控制措施是有效的？哪些是無效的？這個我們給不出一個答案。風險暴露的哪些機構、哪些網點比較高？

　　操作風險三大工具，具體每一項內容的展開，今天這個時間不可能把這個話題解決。但是我們要能夠通過今天知道，操作風險能夠核心利用的方法論和工具就叫三大工具。其中一個是RCSA，是對風險及控制的自我評估，是對未來風險可能存在的一種形態(tài)的評估。這是對風險未來的觀點。

　　關鍵風險指標是通過我們對現(xiàn)在經營數(shù)據(jù)的計算和分析得到一系列指標值，這是我們對風險當下的觀點。另外損值數(shù)據(jù)，我們要收集銀行曾經發(fā)生過的數(shù)據(jù)這是對風險歷史的視角，是從未來和當小和歷史三種視角管理操作風險。

　　三大工具我們怎么理解它？有歷史的、過去的、現(xiàn)在的。把銀行比做一個人的話，三大工具起到的作用，首先做操作風險要對全行所有業(yè)務流程進行梳理，找到它現(xiàn)有的措施，這樣的過程對應著人體，就是我們整個進行全面的體檢，找到人身上所有的不適之處，找到我們遺存的病因。然后開展對風險的評估，對人體進行健康檢查，這是一個周期性的工作。所以說三大工具中最難的是風險控制的自我評估。這個開展的話在全行會涉及到所有部門、所有員工，這是一個周期性的工作，沒有結束的時候。

　　關鍵風險指標相對于人體就是一些計量指，通過指標反應出當下我們的身體狀況。還有就是歷史的“發(fā)病”數(shù)據(jù)要進行分析。

　　我們作為銀行，操作風險的職能部門是新成立的，我們以前也沒有接觸過操作風險這個方法。銀行怎么開展、啟動操作風險？這個過程中要規(guī)避什么問題？我們怎么去對這些問題有一個提前的認識。另外對于IT規(guī)劃，因為在座都是IT五負責人，銀行在對操作風險進行IT規(guī)劃的時候，有一些問題是隨著對操作風險認識越來越深入，我們不得不去思考的和不得不去面對的。如果我們不思考，沒有準確哪一天行長會來問我們，所以說我們在IT規(guī)劃中一定會面臨著操作風險和內控的關系。我們新認識它的關系是什么，再看銀行IT規(guī)劃怎么來考慮？

　　操作風險建設之初做咨詢的時候所有的內容，一開始做咨詢一般是只有四大公司才能做。以前國內也有一些學者在研究，研究的不太深入，國外很多銀行提前實踐過所以國外咨詢公司搬到國內來。但是經過幾年的實踐，已經探索出了適合國內銀行前進的路線和方法論，和實踐。目前為止，整個咨詢內容包括四個部分：一是整個操作風險業(yè)務管理體系以前是一片空白，我們要建立起來。另外一個是三大工具管理體系和三大工具方法論的具體落地方法。然后就是IT建設。因為現(xiàn)在對各個銀行操作風險建設來說，這三個方面應該說是越來越趨向于標準化。方法論不像前幾年咨詢公司引入國內的時候好像還挺神秘的�，F(xiàn)在銀行操作風險管理體系，三大反對論和工具落地是標準化的。各個銀行操作風險建設過程中差異化最大的是我們進行全行業(yè)務梳理和全行操作風險的識別，以及針對于這些操作風險的具體的控制措施的識別這個過程會有差別。因為各個銀行業(yè)務不同、流程不同，管理辦法不同，這是銀行比較大量的工作。

　　各條線主流程內控梳理，銀行很難做一個全行業(yè)務梳理和風險識別的控制，我認為趁著操作風險建設過程，做了這樣一件了不起的事情以后，也許好幾年之內我們都不太可能有這樣的機會進行全行業(yè)務梳理和風險控制的識別。這個工作的產出的成果對于銀行來講是非常有價值的市場。它既是我們進行全行操作風險管理的基礎，另外這也是建立起全行標準的作業(yè)指導書的基礎，也是推動全行進行持續(xù)業(yè)務流程優(yōu)化的基礎。很多年前有些銀行在自己組織調整過程中啟動過業(yè)務流程規(guī)劃，但是那些事情都是一次性做完了，當時調整過來了挺好的，但是業(yè)務在發(fā)展，又不適用了，我們不可能每年啟動這樣的業(yè)務流程優(yōu)化這樣大的項目。操作風險業(yè)務體系完成以后就可以承載這樣的職能。能夠通過這樣的體系運轉實現(xiàn)持續(xù)的推動銀行進行業(yè)務流程的優(yōu)化這樣的一個工作。

　　所以說IT老總們在對操作風險系統(tǒng)進行規(guī)劃的時候，我們的思維和視角可以從這個角度進行思考，定位操作風險在全行業(yè)務開展過程中它的價值。

　　咨詢過程中一個是整個咨詢體系方法論的部分和落地的部分是標準化的，已經沒有太神秘的東西了。

　　另外一個在全行業(yè)務流程梳理的時候，我們要從流程優(yōu)化的角度和建立起全行標準體系的角度看待業(yè)務流程的梳理。一般咨詢公司進行咨詢的時候，一般只會完成兩個業(yè)務條線。很多銀行沒有力量或者是沒有能力去完成其他業(yè)務條線流程的梳理，很多銀行導致操作風險建設擱淺。

　　最后要討論的問題是全行的內控管理體系是一個完整的體系。操作風險只是全行內控管理體系當中的一個重要組成部分。我們下面看到的是，內控管理體系中，操作風險和內控的關系是什么？怎么處理這個關系？IT規(guī)劃如何準備？這是全行風險管理的三大防線，第一是業(yè)務部門對風險的管理。第二防線是操作風險管理職能單位和合規(guī)風險管理職能部門和內控管理牽頭職能單位，他們管理內容有差別，但是方法相似。這就是IT規(guī)劃建設過程中，這是分開考慮還是合并考慮的問題。

　　從監(jiān)管機構角度，銀行作為一個國內大企業(yè)，受到這么多不同監(jiān)管的約束，有財政部的有銀監(jiān)會的，有上交所的。從不同的角度我們怎么樣滿足所有的監(jiān)管的要求？我們不可能每一個監(jiān)管要求出一個系統(tǒng)，有一個體系。我們一定要納入整體進行考慮。

　　首先要解決的問題就是合規(guī)和操作風險的關系。銀行總行合規(guī)部門和操作風險一定是兩個部門，職能部門是兩個。但是，操作風險和合規(guī)風險有很多關系。首先操作風險和合規(guī)風險存在著互換性，有的風險既是操作風險也是合規(guī)風險。有的是重疊性，因為操作風險和合規(guī)風險都管的是全行，很多都需要業(yè)務部門的配合，合規(guī)風險監(jiān)管可以先出，但是出的時候是參考巴塞爾協(xié)議的，所以操作風險和合規(guī)風險管理手段有時候是重合的。還有就是合規(guī)風險和操作風險數(shù)據(jù)共享。首先他們管理的都是全行的業(yè)務，業(yè)務庫、風險庫和流程庫這是合規(guī)風險、操作風險的管理的基礎。三大庫產生的數(shù)據(jù)有風險識別數(shù)據(jù)這些也是共享的。所以管理方法個管理數(shù)據(jù)有很多一致性。

　　我們跟很多銀行交交流了以后，很多銀行也是基本采用這樣的思考方式進行他們的IT規(guī)劃。進行IT規(guī)劃建設的時候首先要考慮如何應對COSO和巴塞爾兩個方面的挑戰(zhàn)。在整個實施過程中，得到的結論：以巴塞爾新資本協(xié)議實施為主，但不是全部。同時借鑒COSO國際內控的標準。逐步建立起具有各自不同銀行自己特色的內控和逃犯風險管理框架。總體框架一定有很多相似標準的地方，但是我們把框架借鑒到銀行內部的時候，有一般要根據(jù)本銀行自己管理清晰度的不同做一些通過一個框架體系同時滿足巴塞爾和COSO兩個方面的要求。

　　操作風險和合規(guī)平臺的整合邏輯：操作風險基層體系是操作風險點為核心的操作風險、合規(guī)風險的基礎庫與法律法規(guī)的關系。他們運用的三大工具都是一樣的，三個數(shù)據(jù)的數(shù)據(jù)跟合規(guī)有關的給到合規(guī)管理部門使用，跟操作風險有關的給到操作風險管理部門使用。首先這樣的方法數(shù)據(jù)統(tǒng)一了。對于一線員工來講他們不用關心我做的工作是跟合規(guī)有關的還是跟操作風險有關的工作，他們就做一次�，F(xiàn)在很多銀行基本采用了這樣的思路。

　　最后把我們的內控管理平臺做一個介紹，我們實現(xiàn)的思路是有一個風險管理的基礎平臺，把我們整個跟第二道防線管理相關所有的基礎要素管理起來。然后支持操作風險和合規(guī)風險的兩個應用。以操作風險風險為主，同時合規(guī)涉及到的法律，通過一個平臺管理職能支持合規(guī)風險和操作風險的應用。

　　分享一個案例：招商銀行的案例，體現(xiàn)了我們討論了三個方面問題的過程。招商銀行咨詢是做了兩個階段。第一個階段是進行了法律制度和流程梳理，之后建立了一個合規(guī)系統(tǒng)。因為合規(guī)是要基于這個完成。第二期咨詢進行了進一步流程梳理，很多工作是重疊的。在合規(guī)風險操作風險兩大系統(tǒng)建設過程中，一開始咨詢中心、我們、銀行都沒有認識到合規(guī)和操作風險之間有什么太大的關系，做了以后才發(fā)現(xiàn)這樣下去有很大的問題，因為持續(xù)下去所有銀行員工就只為我們服務呢，我們操作風險是后建，我們做操作風險的時候實現(xiàn)了操作風險和合規(guī)在底層數(shù)據(jù)在三大工具上的整合。

　　操作風險目前為止建設了三期。一期是完整操作風險管理平臺，包括所有要素。二期重點工作是實現(xiàn)和合規(guī)風險的整合。同時根據(jù)銀監(jiān)會檢查結果提出改進建議，進一步對系統(tǒng)進行完善。

　　目前為止招商銀行這個系統(tǒng)上線了兩年的時間，進行了兩年的推廣和使用，操作風險作為招商銀行新成立的部門，一開始他們很忐忑。目前為止整個這個部門在全行的價值和地位得到了很大的提升，也是因為他們在操作風險領域取得了很大的成果。

　　這個成果包括在整個系統(tǒng)中，涵蓋了全行20多個業(yè)務條線，200多個業(yè)務流程。涵蓋了全行6000多個風險點和4萬多個操作，管理非常細。目前為止每年進行三次滾動風險評估。已經有大量評估結果的數(shù)據(jù)，全行40多家分行，60多個二級分行全部參與進來。關鍵風險指標已經有200多個在使用，監(jiān)控全行方方面面的業(yè)務。

　　有了這么多數(shù)據(jù)以后，現(xiàn)在已經有近200張報表在使用，提供給各個層面不同的管理者和業(yè)務使用者，來監(jiān)控各自不同的風險狀況。

　　在整個實施過程中銀監(jiān)會檢查過三次，第一次是2010年4月份，當時系統(tǒng)正在需求設計過程中，檢查看籌備是否充分。第二次檢查是系統(tǒng)第一次上線之后，已經推廣了銀監(jiān)會過來檢查，對這個系統(tǒng)應用比較滿意，提出了一些改進建議。希望對數(shù)據(jù)的應用、分析更加充分。后面我們進行第二期和第三期建設，銀監(jiān)會第三次檢查是第二期上線以后，是去年11月份，銀監(jiān)會最終宣布招商銀行通過了銀監(jiān)會的驗收。