张又文

摘 要：近年来因操作风险导致的基层商业银行网点金融案件频发、涉案金额巨大，引起了社会各界的广泛关注。如何有效管理操作风险，使基层内控案防工作落到实处，是商业银行一直以来的聚焦点。本文提出双优双借双整合的模式，旨在改善操作风险管理模式，使之更有效助力基层内控，防范因操作风险管理不善导致案件发生的情况。

关键词：内部案防  操作风险  操作风险管理

近年来与操作风险防范相关的银行信息系统、内审体系、文化建设以及相关制度建设的不完善，导致商业银行因操作风险管理不善而发生案件的情况频出。透视这些曝光的操作风险案件，内部员工盗取客户或本行资金、违反“行为规范”的现象最为频繁，且发案重点屡屡表现在基层机构和员工身上。此类案件共同点在于案发前员工行为异常、轮岗流于形式、人控代替机控、各级检查不到位等。不得不说，在商業银行操作风险管理日趋成熟的同时，尚存不足之处，尤其是在基层内控案防领域。在此提出双优双借双整合模式，借以交流探讨。

一、双优：优化操作风险管理信息系统，优化RACA评估

（一）优化操作风险管理信息系统

建立并持续优化操作风险管理信息系统，完善员工异常行为监控，增加柜员轮岗有效性监控，提升基层自查纠错积极性。

针对员工异常行为监控滞后情况，通过增加融入违规行为新特点的自设模型，将员工反馈的个人征信报告信息导入，同时开发接口力求对接案件查控平台、中国执行信息公开网、企查查等内外部信息，及时识别员工异常行为，缩短风险隐患的潜伏期。

针对轮岗流于形式的情况，可开发柜员经办数据后台自助分析模型。如对轮岗前后业务相似度进行分析，达到一定比例的，进行重点排查，避免非实质性轮岗行为的出现。

针对基层机构因为“怕处罚，怕入档”而自我暴露问题不充分的现状，可优化系统以区分不同情况。如：事先区分不同因素做好高、中、低和极低风险的分类，对自查录入系统的问题，可自主选择是否计入员工个人合规档案。由系统控制对于中、高风险必须计入，低和极低风险可选择不计入，且对于自查发现风险等级为中风险以下的，免于经济处罚。此举旨在提升基层自查发现问题的积极性。同时，只有当自查问题达到一定数量后，依据操作风险管理信息系统对问题性质等进行分析判断，才能更好地为重点关注领域提供决策依据。

（二）优化RACA评估

操作风险三大工具中，KRI和LDC分别站在当前视角和历史视角考虑，只有RACA是站在未来视角进行评估改进，避免后知后觉，故RACA显得尤为重要。

1、做实有效评估

准备阶段，进行充分的基层调研，可结合前期已发生案件筛选调研条件，设置匿名有效问卷，开发行内小程序推送并匿名收集;评估阶段，在前中后台有效串联的基础上，成立多部门联控评估小组，避免重复无效的单一评估，定期召开评估例会，寻找业务中的盲、难点，对重点客户、产品、基层行、基层岗位重点评估;报告阶段，有效整合，可采用模板导入形式，缩减编写工作量的同时最大限度突出重点，便于评估结果应用于战略研究。

2、实时应对新型风险

伴着运营方式的改变，新的风险随之而来。针对新型操作风险， 对RACA进行实时、动态调整。把主动防范化解新型风险放在更加重要的位置，充分使用触发式评估，同时实时完善定期评估。

二、双借：借助高科技信息化手段，借鉴海内外同业先进经验

（一）借助高科技信息化手段

AI不仅可以应用于服务客户领域，同样适用于内控案防。依托高科技监控手段，如联合开发智能电子眼装置，安放于网点，将员工异常行为实时传递至监督检查部门;通过人机交互，识别员工异常心理;借助持续性人脸识别，对内控在线培训和考试系统进行“替考行为监控”;依靠最前沿信息技术，建立有效的操作风险管理框架，优化KRI模型，LDC自动测算等。最终实现使机控逐步完全取代人控，避免以信任代替制度，形成员工违规“不能为”的态势。

（二）借鉴海内外同业先进经验

除了借助信息技术经验，更重要的是借鉴优秀的风控管理理念和企业文化构建，并应用于基层。目前在风控文化建设上形式多创新少，未能有效适应新员工新科技的变化。可通过借鉴先进经验，优化奖惩措施和绩效考核体系，改善操作风险管理文化，杜绝擦边球，杜绝侥幸心理，杜绝高风险业务。疏堵结合，筑牢基层风控合规文化基石形成员工违规“不敢为”的态势。

三、双整合：整合全系统大数据，整合三道防线合力

（一）整合全系统大数据

依托同一平台，整合多个操作审批系统，统一使用指纹或人脸识别登录，不仅解决目前系统数量多且重复的弊端，更能杜绝冒用他人柜员行为。重要登记取消纸质形式，采用线上登记模式，避免登记流于形式。

依托同一平台，整合各条线最新最全制度文件，设立制度库并设置强大搜索功能，实现学习数据共享，避免以口传、经验代替制度。

依托同一平台，整合内控信息数据库。通过研发特色预警模型对员工异常交易开展大数据提炼和集中分析，将员工违规行为的表现特征转化为预警模型的数据特征，根据违规行为新特点持续优化逻辑参数，同时实现各级监督检查部门数据分层级共享，提高数据利用率，为风控提供精准数据支持，便于基层分析、排除案件隐患。

（二）整合三道防线合力

商业银行内部控制的三道防线是由内控体系的设计监督、操作执行和防范评价三类保证活动和人员组成的全行内控体系。第一道防线强调过程实时控制和自我评估，作为第一责任人对业务经营过程中的风险主动进行识别、评估和控制;第二道防线强调各职能部门对一线进行设计、管理、检查和监督;第三道防线强调内部稽核部门对一线及二线进行再监督和评价。第二、三道防线应加强对第一道防线的政策指导与培训，及时传导内部控制工作要求，提高第一道防线的风险防控意识和水平。

整合三道防线合力，要建立内控案防常态化监控体系。三道防线共享风险监控系统，减少重复投入，在不影响案件查处和符合保密要求的前提下，及时相互通告共享信息，相互抄送检查报告。打造操作风险管理信息系统、飞行检查、常态化监控体系三驾马车并驾齐驱的全天候、全方位、立体式内控案防工作机制。建立业务部门和第二、三道防线人员横向双向交流机制，设置年度双向流动人数占第二、三道防线人员总数的最低比例;建立分行二、三道防线人员到一级行，一级行到总行的纵向交流机制，以干代训，提升基层数据分析和案件风险识别能力。

建立操作风险管理长效机制，是银行防范和化解风险的永恒主题。操作风险管理不再是单纯的保驾护航，而是核心竞争力的体现。结合基层实际，落实商业银行发展战略，将操作风险管理与内控案防有效结合，势必推动基层机构高质量健康发展。

参考文献

[1]王廷科.商业银行引入操作风险管理的意义与策略分析[J].中国金融，2003.

[2]陈晓慧.商业银行操作风险管理状况综合评价及其应用研究[J].华东经济管理，2014.

[3]郭薇.基于内控制度的商业银行操作风险管理[J].中外企业家，2014.