联系我们
如您对参会报名、网站使用、内容发布有任何疑问或改进意见,请随时与我们进行沟通!
客服企业微信
期待您的宝贵意见
李林 中国农业银行总行内控合规监督部副总经理
风险点库建设是商业银行内控操作风险管理一体化的最基础的工作,统筹推进内控操作风险管理一体化建设,是商业银行建立全面风险管理体系的一项重要工作,不少银行在这方面也是进行了积极探索,但实际效果或不尽如人意。风险管理和内控合规管理在银行业相互割裂的情况还存在,所以,加强操作风险管理和内控合规管理一体化,对于商业银行未来的全面风险管理来说,具有很重要意义。
目前商业银行风险管理和内控管理都面临着不同监管部门的要求。比如说银保监会对商业银行有明确的操作风险管理指引,同时也颁布了商业银行内部控制指引。财政部等五部委也对商业银行有所要求。不同的监管部门甚至同一监管部门,对操作风险管理和内部控制都提出了不同要求。
商业银行作为一个行业的被监管者,在实践活动当中必然要落实监管要求,建立相应的落实体系,这样虽然满足了监管要求,但在整个实践过程当中,不仅导致了重复建设,而且存在着三个方面的影响:
1.认识上存在误区
有一段时期我国商业银行过于强调风险管理的计量和控制,对于最基础的过程控制——行为管理和过程控制,相对考虑得少一些,银行内部控制体系相对比较弱。资本管理实际上是基于一些预测模型,预测模型是基于概率分布来算的,而对于黑天鹅事件,概率分布不明确,模型不一定合适,所以,一些风险计量对黑天鹅事件或重大操作风险事件冲击的敏感性不太足。
传统上的资本管理主要是基于风险吸收的角度,更多体现事后管理,虽然一些创新的风险管理理念也在逐步把风险管理从事后向事前推进,但不管怎么样,对于内部控制这些基础工作,还是没有办法有效地实施。
另外,资本管理更多是讲资源分配,如果强调事前,可能导致商业银行长期追逐扩张资本,通过资本来进一步扩大业务,从而造成逆向选择的结果。资本管理不仅不能成为风险管理的有效手段,反而有可能成为银行资产负债表扩张的一个助推器。
2.管理上存在盲区
由于有不同的监管要求,商业银行分别建立不同的管理体系,内控与风险管理工作分别开展,这个也体现在银行的组织部门架构上。管理割裂的问题比较突出,协作联动存在不足,工作成果也无法共享复用,特别是对一些大的银行来说,这个问题比较突出。
3.落实上存在痛点
内部控制与风险管理都需要落实到业务条线和基层,只有到了基层才能够真正见效。但是越到基层机构,人手越少,越是缺少工作抓手,相关的检查评估等工作都无法穿透,风险监测也难以有效触及到最终风险点,导致一些风控措施或者内部控制措施难以落实到位。所以,银行也有必要把操作风险管理和内部控制统筹起来。
这一点主要基于监管的角度。银保监会的《商业银行内部控制指引》明确提出“商业银行内部控制的目标是保证商业银行风险管理的有效性”,实际上就把内部控制和风险管理连接在一起。《商业银行操作风险管理指引》也提出“商业银行应当将加强内部控制作为操作风险管理的有效手段”。巴塞尔监管委员会今年最新修订的《操作风险稳健管理原则》也提出“强有力的内部控制是操作风险管理的关键方面”,还更具体地提到,“完善的内部控制程序由风险管理流程中不可缺少的4个部分组成:评估、控制活动、信息和沟通以及监测活动”。
上述文件实际上把内部控制、风险管理以及一些监督和监测从流程或者要素方面统一了起来。所以在理论上来说,这两项工作可以统筹起来开展。
随着大数据技术、人工智能的广泛运用,商业银行业务运营模式逐步由线下向线上化移动化转变,由网点柜面服务向非接触式场景化、生态化转变。那么金融风险的形态、路径和安全边界也发生了重大变化,数据安全、网络安全、信息保护、新产品及业务的流程创新有一个新的挑战。
在这种背景下,一体化建设的内容会发生重要变化,管理架构需要从分散化向集中化、集团化转变,管理的重点也需要从事后监督向事前预防、事中监测并重转变。另外,依托企业及业务架构建设,也能够有效地利用人工智能、大数据技术,促进系统的互联互通、数据的共享服务,进而提高商业银行的一体化建设的水平。
按照银保监会《金融机构全面风险管理指引》,内控、操作风险管理一体化建设应坚持按照“管理制度化、制度和流程化、流程信息化”的基本思路,以制度流程梳理为基础,以风险点库建设为抓手,以信息科技为支撑,统筹推进内部控制、操作风险管理工作。
通过风险点库的建设,发挥风险点的纽带作用,沟通商业银行目前工作中的操作风险点、法律风险点、检查违规点、违规处理点、行政处罚点、内控评价点等各方面要素,促进数据共享服务、工作协同联动。在沟通连接的基础上,既要发挥内部控制的基础作用,围绕管人、管机制、管流程的特点,设计好、运行好本行的内控体系,做好风险的全流程管理,又要发挥资本管理风险防控的最终手段作用,通过资本约束推动商业银行主动提升风险管理水平。
在具体的目标上有4个转变:一是由分散化管理向集中化管理转变,就是由总行统筹顶层设计,统一业务分类和评估的标准,统一管理机制和工作流程,促进风险防控由分散化向集中化管理转变;二是由线下管理向线上管理转变,统一数据标准执行,优化管理信息系统,打通工具间的交叉应用,实现端到端的数字化流程整合;三是由事后管理向事前管理转变,要解决科技和人力资源供给的结构性矛盾,节约人力投入,提高数据的获取能力分析能力,实现事前预防、事中监测、事后监督的全流程管理;四是由静态管理向动态管理转变,完善全集团跨境、跨业务板块的风控长效机制建设,促进风险防控由静态管理向动态管理转变。
如下图,框架把合规管理、内控管理、操作风险管理以及案防管理这四大板块整合在一起。
合规管理源于外规内化,即把外部的监管制度内化为银行的制度体系,然后以制度体系为基础,开展合规审查工作。此外还有其他的合规管理,包括反洗钱和制裁合规;内控管理包括内控体系的建设、内外部的检查、内控评价;操作风险管理包括一些操作风险评估、关键指标监测、操作风险事件的收集。案防管理包括员工违规行为管理、网格化管理、案件复盘分析管理。把这些结合起来,要基于模型监测与大数据分析,实现内控、合规、操作风险和案防整体一体化的化解与整改、责任认定与追究以及相对应的积分档案管理、绩效考核,最后形成一个报告。
在整合框架下,还有一些基础工作,包括违规点库的建设、风险点库的建设、评价点库的建设、案件库的建设,这需要以风险点库的建设为基础,把其他所有都包括进来,形成一个共同的风险点库,在此基础之上做出相对应的流程图以及流程分析、风险控制措施评估,形成相关的检查评价方案。
一体化的系统架构,也是需要按照一体化建设业务框架来进行大数据分析,基于一个企业业务架构来进行统筹规划。包括操作风险管理系统、合规管理模块、内控管理模块、案防管理模块,以及风险识别评估监测控制缓释等。如下图所示。
风险点库一般从制度流程梳理入手,在具体的实践过程当中,大多基于现有的规章制度或者业务产品开展,虽然便于操作,但由于缺少顶层设计和统一标准,各业务流程梳理是独立开展,对内在逻辑的关注不够,因而很难从整体上去把握整个流程的框架体系。特别是有些银行有不同的业务条线、不同的管理部门,如要形成一个统一的流程,需打破部门壁垒。为了解决这个问题,银行必须要以实现企业战略为目标,建设企业级的业务架构,把它作为技术方面实现业务流程梳理的基本方法。
企业级的业务架构,一般可以分为五级流程:第一级的模型针对业务领域,分为客户营销、产品运营、业务支持、风险管理、报告和决策这五个板块;第二级针对业务阶段,在业务条线下明确机构、部门、岗位和产品活动;第三级针对流程活动,进一步地区分为产品线和管理线,前者专门给客户提供不同的产品,后者更多的是银行内部的经营管理活动;第四级针对流程任务,进入到了一些具体的操作环节;第五级针对流程步骤。需把这些流程按照不同的架构进行清晰的梳理和分类。有的银行已经做出了非常好的实践,并且取得了很好的效果。
银行业有那么多的规章制度,如果把每一条管理要求都作为一个风险点,风险点几十万条可能都不够,但是如果按照产品或者管理环节分,风险点又太少,达不到识别和控制风险的作用,所以风险点过粗或过细都不利于后期的使用。这个问题没有统一的标准,只能考虑是否适合管理工作的需要。
从前期来看,风险点一般是聚焦到业务的环节或者是业务的步骤。在风险点梳理过程当中,要突出重要性,对经常出现问题的环节,风险点可以细化一些。另外,要在保留个性风险点的基础上,整合一些通用的风险点,特别是针对一些业务流程,比如信贷业务,从信贷审查到放款、贷后管理、不良资产处置,根据流程整合通用风险点,会更加适合风险点的控制。
总体而言,如果能够把风险点提炼到3000个左右,并且能够覆盖全行的主要产品和主要经营管理活动,那么应该能够满足日常风险管理和内部控制需要。
风险点和操作风险点、内控评价点、法律风险点、违规处理点、行政处罚点需要一一建立对应关系,需对风险点进行全面梳理、分级分类,建立一个标准化的属性库。
比如从业务属性、管理属性、技术属性这几个方面,对风险点的相关要素进行定义。业务属性方面包括风险点的名称、表现、性质、成因、类别、等级、后果、内外部的制度依据、相关控制措施评价要求等;管理属性包括风险点的状态、有效期、版本号、适用范围以及对应的机构岗位等;技术属性包括风险点的格式、度量单位范围、精度、数据来源等。
每一个风险点都要对应控制点和控制措施,进而能够识别并且控制风险,也能够把操作风险管理和内部控制的关系对应起来,通过风险点的梳理和控制点的对应,实现操作风险和内部控制的有机结合。
风险点库建设是一项费时费力的基础性工作,短时看不出明显效果,相当于万里长征的第一步。风险点库的持续更新优化,才是真正的困难所在。
从以往的实践经验来看,风险点库建设必须要配套一个常态化的管理机制,一般就是包括两个渠道。一是总分行的业务部门在制定新的规章制度时,应同步提交制度设计的风险点列表及相对应的控制措施。二是全行员工在检查监督操作风险事件报告等日常风险合规管理工作中,发现有风险点库无法满足工作需要的,可以申请增加临时风险点,再由维护部门组织专家定期开展风险点的全面评估,及时调整不适用的风险点,这样才能够保证风险点库、监管要求以及银行风险管理实践有机结合。
因为风险点的生命力在于运用,要是不用,也就达不到应有效果。如果应用不广泛,也达不到全行全面风险管理要求。所以只有广泛应用风险点,才能确保风险点库建设进入良性循环,发挥它的价值作用。
在这个过程当中,一定要把风险点库列入本行的重点工程,获得高层支持,推动各条线深度参与,配备充足的人员和力量。基本上有三个步骤,第一是制定梳理方案,明确有关任务分工、工作方法、计划安排以及时限要求;第二是制定风险点库的评估标准,设计标准化的梳理表格,统一梳理标准和风险语言,保证风险点的梳理质量,核心是要对风险点库每个要素的含义有清晰的标准,保证整个风险点库最后形成一个统一标准,应用到全行,而不只是用到某一个或者某几个部门;第三是明确推广安排,提出风险点库信息化建设要求,风险推广应用的渠道,健全常态化管理机制,确保风险点库持续优化更新。
目前很多银行的中后台等各式各样的系统非常多。有内控合规系统、法律事务系统、风险管理系统、运营系统、资金交易系统、客户投诉系统等,所有的系统实际上都构成操作风险管理的基础数据来源。
在这个过程中,需要把各类系统通过标准化的方式实现数据共享。比如说依托风险点这个桥梁,最大限度统筹散见于三道防线各业务系统、管理系统的风险合规的数据,将案件监管处罚、客户投诉、诚信举报以及内部检查成果关联起来,实现风险合规的数据共享。同时这些数据又能整合到一起,形成一个统一的数据库,反馈到银行的三道防线,实现共享共用。
通过风险点库建设,统筹内控合规、操作风险管理预防体系建设,避免重复投入,提高建设成效。
一是促进制度建设,将风险点涉及的内外规关联起来,依托风险点下的丰富数据,为第一道防线外规内化、制度起草、修订、评价提供重要参考,同时为第二道防线开展合规审核提供支持。审核制度时,要重点关注比较特殊的风险点,或是重要的风险点,这样才能够做到合规审核有的放矢。
二是落实控制措施,风险点是基于业务流程编排的,并且明确了相关的控制措施,原则上业务系统的研发优化,应体现风险点控制措施,最大限度实现系统的控制。同时要依托丰富的风险合规数据,随时重检系统的运行情况,持续优化系统的控制。
三是改进内控评价,实现风险点与评价点的关联,为年度的内控评价、专项评价提供数据支撑。同时,通过内控评价对风险点及控制措施进行重检,最大限度完善控制措施,提升内部控制的有效性。
操作风险一共有四大工具。
一是要完善损失数据收集。通过风险点实现风险合规数据共享,提高操作风险事件的报告质量。
二是强化风险控制的自我评估。以风险点为基础,开展操作风险的自评估,可明确评估的重点领域,提高评估的针对性,进而促进控制措施改进完善。
三是优化关键风险指标。根据风险库项下的数据,总结提炼相关领域的操作风险关键指标,部署到相应的业务交易系统或者相关的管理系统,实现风险的实时监测、实时预警、有效处置。
第四个方面是个人提出来的,要研发风险监测模型。利用大数据和人工智能相关技术,对业务数据和管理数据建立分析和监测的模型。通过风险点可以最大限度地收集整理各类预警信息,分类管理各种风险表现,为案防合规领域监测模型研发优化提供有力支撑,也进一步提升整个银行的合规风险监测的精准度。
第一,统筹检查监督。通过风险点将内控评价、合规风险评估、操作风险自评估、案防工作自评估等各项评估工作统筹起来,实现检查一次,多维度全方位利用。
第二,控制检查监督质量。在内部监督工作当中,如果经常开展评价检查,在出具底稿或者管理建议书时,应该关联好相对应的风险点。一般而言,底稿反映的问题性质应该与风险的等级保持一致,不一致时,应提请上一级的审核,把检查的结果实现全行标准化的统计和分析。
第三,推进问题的整改管理,通过风险点,将检查监督和问题整改进行管理,确保及时发现问题、及时整改问题,实现质量控制的良性循环。
第四,促进责任追究。应将违规类风险点与违规处理点对应起来,明确风险点的处理标准,形成管理闭环。将违规处理结果与风险点关联起来,也有助于开展决策分析,为管理层决策提供相关的数据支持。
(责任编辑:郭舒琪)
来源:TGES 2021高级研讨会:内控合规审计和操作风险管理(9月)
