中国银行操作风险管理

中国银行操作风险管理 3中国银行操作风险管理现状 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 3.1中国银行操作风险管理存在的主要问题及原因 3.1.1公司治理机制仍不完善 目前，中国银行通过股份制改革已在内部建立健全了公司治理机制，建立“三会 一层”(股东大会、董事会、监事会、高级管理层)，公司治理取得初步成效，但仍 有部分问题尚未完全解决: 3.1.1.1存在银行公司治理中的“内部人”控制问题 公司治理理论中的“内部人”控制，是指经理班子通过对公司经营管理权的控 制，追求自身利益而损害外部人利益现象。现在我们要分析的是，在中国银行公司 治理中，作为“内部人”的总行高管层，“非职业经理人”身份和干部管理体制决定了 他们的利益与委托人的利益是一致的，也决定了他们虽然控制着银行的经营管理 权，但绝不会轻易利用权力去追求自身的利益而损害委托人利益。但大量的事实证 明，银行的不良资产的较大比重集中在一线，而不良贷款的形成并非源于银行的风 险管理能力不足，而在于银行员工被利诱、拉拢和收买。银行案件多集中在基层机 构的事实，也似乎证明了“内部人”控制发生了“层级性位移”，同时，也说明大型银 行公司治理中多层级“内部人”控制问题是严重的。 3.1.1.2监事会尚未充分发挥监督作用 我国公司治理 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 属于平行式二元模式(不同于的传统的二元模式?)，董事会 与监事会均由股东大会产生，其法律地位平等，董事会只对股东大会负责无需对监 事会负责，而监事会只有监督权并无决策权，更不能任免董事会成员，或否决董事 会决策;另一方面，监事会成员都来自于股东和内部员工，而这些人在行政上受制 于董事会或管理层，其独立性不可避免地受到多种因素的制约，因而其对董事会和 管理层的监督职能难以真正实现。 3.1.1.3激励机制仍需进一步改进 科学激励机制的基础在于建立公正、公开的绩效评价 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 和程序。中国银行还 尚未建立有效地董事、监事绩效评价标准和程序。董事会和监事会尚未对其成员履 行职责的情况进行评价，并依据评价结果对其进行奖励或处罚，从而难以对董事和 监事起到激励和约束的作用。董事会也未普遍建立书面的、制度化的对高级经营层 成员绩效进行评价的标准和程序，仅对每年高级经营层确定的目标任务进行认定， 对高级经营层年度奖金的确定和发放也主要以任务完成情况为主，缺乏系统的立足 长远发展的考核。 3.1.2缺乏明确合理的操作风险容忍度 所谓操作风险的容忍度，是指银行依据本行的风险偏好确定的可接受的操作风 险敞口(暴露)。目前，银行在操作风险管理的风险容忍度方面存在两个问题: 3.1.2.1容忍度尚不明确 近年来，中国银行为了控制操作风险，普遍加强了操作风险管理、积极开展案 件治理工作，但各银行的操作风险容忍度还不够明确，己确定了“适中”的风险偏 好，但还未能依据此确定具体的风险容忍度，部分银行简单的把案件防控目标作为 操作风险的容忍度。 按照《巴塞尔新资本 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 》的要求，风险容忍度应由董事会确定，并在全行逐 级分解落实，容忍度应当逐步量化。容忍度不明晰的原因，一方面是操作风险的量 化工作正在起步，损失数据收集正在开展或不能据以形成合理的风险管理标准，但 主要原因是银行董事会对于此问题的重视和研究仍不够充分。 3.1.2.2容忍度过于严格 实践中，中国银行各级机构普遍执行了从严控制操作风险的态度，其原因主要 是由于全行没有明确的容忍度，各级管理者为了规避管理责任，防止责任追究，采 取了以牺牲管理成本换取管理绩效的做法。各级管理者从本位主义出发，不断增加 控制手段，最终导致控制的重叠、冗余，加重了基层机构的管理负担，不仅影响到 业务经营发展，甚至诱发新的操作风险。此外，部分管理者忽视了操作风险管理只 能为银行的经营发展提供合理保证而非绝对保证，操作风险管理不能防止类似“黑天 额事件，，@的发生也不能防止日常的操作失误的产生，类似“911”的重大的灾难性的事 件商业银行是难以有效控制的，业务差错率也不可能为零。合理的操作风险容忍 度，必须是银行在风险管理成本与收益平衡下的一种选择。 3.1.3制度流程的操作性、整合度不高 3.1.3.1制度流程操作性不强，设计不合理 国内银行普遍存在一个错误认识，认为制度流程越复杂、相互制约性越强越 好。因此，总行各个部门、机构从自己出发，每个环节层层加码，严格建章立制， 看似制度很完备、风险以控制，但制度流程的可操作性差，经营效率难以提高，风 险也难以得到有效控制。事实上，流程越简单越易于操作，流程越短越便于管理， 设计越合理越利于控制。这样才能适应变化，确保效率和风险管理。 3.1.3.2制度流程缺乏整合 在中国银行的制度流程存在的另一各主要问题就是“部门银行”的现象仍然存 在。由于部门林立，政出多门，一项业务往往有多个制度约束，并且制度间缺乏衔 接，因此员工很容易在操作时顾此失彼。 3.1.4传统风险管理手段控制效果低下 “屡查屡改屡犯”是银行操作风险管理中普遍面临的困境，也是个长期困扰检查 者与被检查者的难题。 3.1.4.1稽核检查的质量不高 稽核检查是银行传统的操作风险识别、监督手段，目前仍是商业银行风险控制 的重要途径，中国银行建立了专门的稽核检查队伍，通过现场或非现场的方式对各 级机构的操作风险情况进行不定期的排查，每年初各银行均会确定年度的检查计 划，对于检查的机构、检查内容、覆盖率和频率也有相应的要求。尽管检查的数 量、频度教高，但由于检查不够深入、方法和手段落后，发现的问题主要是操作性 的问题，发现的深层次问题不多，发现的风险不多，对以往检查发现问题的跟进不 够，对于引发违规操作的深层次原因(如制度流程的设计与可操作性、lT系统功 能、岗位制约机制、被检查机构的风险管理机制等)缺乏深入的分析，因此发现的 问题属于表象，被检查机构整改的也是表象，因此，虽然投入了大量的人力物力， 但操作风险状况并未因此得到根本改观。 3.1.4.2检查后的整改不到位 目前，对中国银行而言，及时深入的改正问题、消除风险比通过检查发现问题 更加重要和紧迫。检查发现问题的目的和价值在于推动被检查机关及时改正，如果 不能及时改正，所有的检查和发现都将是徒劳的。过去，银行在各种检查上耗费了 大量精力，但实际效果并不尽如人意，和重要的一点是整改工作的表面化、随意性 和监控不到位。整改工作中经常存在“头痛医头、脚痛医脚”的现象，甚至是仅就检 查发现的个案进行改正，而未触及问题的根源;此外，整改的流程不规范也是导致 整改效果不佳的原因，由于没有建立规范的整改流程，整改的计划、执行、时限、 记录、监督、考核、报告等问题，难以保证整改工作的效果，难以形成纠偏和纠错 的长效机制。 3.1.5IT系统风险不断增大 IT系统的”钢性”控制和防范是管理操作风险的有效途径，但由于对系统过多依 赖、信息数据高度集中，也给银行带来新的风险管理课题。银行的业务交易量越来 越大，一旦遇到IT系统故障，问题会被进一步放大。银行的外部服务渠道(网上银 行、手机银行、银企直联、POS等)呈几何级增长，内部应用系统数量和用户群也 在不断扩大，银行的IT风险不断增加。在满足银行改革与创新带来的新需求的同 时，这些业务需求也会带来新的rr风险。在银行业日新月异的竞争情况下，如何保 证IT能力与市场变化同步，已成为银行着重考虑的问题。lT风险己成为银行最大的 风险之一。 3.1.6基层机构风险相对突出 中国银行的业务运作大多数集中在基层机构，总部、中国银行苏州分行更偏重 于行使管理职能，由于基层机构众多，管理链条过长，基层机构的监管相对最弱， 违规操作发现也不够及时。此外，由于培训不足等原因，基层员工的业务素质参差 不齐，整体素质不高，风险观念淡薄，重视业务拓展，轻视业务的风险控制，有章 不循现象时有发生，操作风险发生的可能性相对较大。从己发生的许多案件看，许 多制度在基层机构形同虚设，如查库制度、授权制度流于形式;金库管理制度、现 金提取、现金调拨程序管理不严，导致工作人员利用职务之便截取库款、盗用现 金;网点管理不到位、重要空白凭证管理失控，工作人员私自开户购买支票挪用银 行资金等。部分员工业务学习滞后，对制度流程理解不深、不透，导致了许多风险 隐患。基层机构人力资源匿乏的现象较为严重，难以有效执行强制休假制度和重要 岗位的定期轮换制度。因此，中国银行操作风险主要集中在基层分支机构。 3.2中国银行苏州分行操作风险管理现状分析 3.2.1内部控制环境 按照中国银行总行内控体系建设要求，中国银行苏州分行不断完善内控组织架 构，2005年10月中国银行苏州分行成立了内控委员会，负责维护全行内部控制体 系的总体运行;2007年建立了以职能管理、合规控制、内部稽核为主要内容的内控 三道防线，按照规范化的要求稳步推进内控管理工作。通过积极的探索和不懈的努 力，中国银行苏州分行的内控环境总体良好，一道防线的自我管控能力有所提高， 员工的合规意识明显提升，二道防线逐步规范各项管控工作，并建立了内控考核与 问责机制，促进中国银行苏州分行整体绩效进步。但中国银行苏州分行内控工作总 体处于起步阶段，面对新的形势和要求，当前内部控制环境还存在较多不足，急需 加以改善，以支持并推进其他控制要素的整体良性发展: 1、内控委员会的决策作用有待发挥。目前中国银行苏州分行内控委员会更多履 行的是对经营活动过程中内控工作的了解以及侧重于具体问题的解决，对全行内部 控制体系建设和规划、评估内部控制体系及制度的有效性，识别内部控制体系的不 足和缺陷等方面尚显不足，不利于促进全行内控管理能力的提升和系统风险的防 范。 2、内控三道防线的组织架构、职责与分工有待进一步理顺。在业务架构与流程 整合前中国银行苏州分行内部只有二道防线的组织架构，第三道防线的职能由省行 稽核部履行。中国银行苏州分行的二道防线由中国银行苏州分行法规部、各职能部 门兼职内控合规员以及各支行兼职内控合规员组成，职责定位中法规部更多的承担 了检查及案件防控职能，在体系运行中存在:一是法规部内控、操作风险的牵头管理 职责不到位，更多的陷于具体的检查和防控工作中;二是二道防线其他部门及支行 因人员问题等，对一道防线的检查、辅导和监督的职责履行存在不足，专业化能力 有待提高;三是组织架构中牵头部门、职能部门及支行层面的内控职责分工不明 晰，导致协调运转机制的不畅，未形成合力，存在控制重复与效率不高等问题。 3、内控考核和问责的科学性和合理性有待完善。中国银行苏州分行在绩效考核 中设置了“内部控制与合规经营”的考核维度，对加强内控管理起到了重要作用，但 在考核体系中考核维度的设置、评价标准和评价手段还有较大局限，考核内容以 “点”为主，缺乏系统性和全面性，尚未建立起科学、全面的内控评价体系，无法充 分反映被考核机构内控管理的整体状况。在问责管理中，问责标准还不统一，缺乏 科学性和合理性，还未做到严格区分一般失误与故意违规的界限，保护员工发展业 务和创新的积极性。 4、内控理念不统一，内控定位与目标有待清晰。中国银行苏州分行现有各项内 控措施主要是为了防范各类案件的发生而逐步出台的，在这特殊背景下，外部监管 机构、部分管理层纷纷对操作风险管理采取“零容忍”的风险偏好，导致内控措施逐 级逐层加码，且不成体系，在一些领域存在过多、过严、重叠控制的弊端。但同 时，随着业务发展的不断加快，业务发展的压力不断加大，一些员工也把合规操作 要求当作业务发展的绊脚石，不能正确处理好业务发展和合规的关系，使内控工作 形同虚设，或者过多注重合规的形式，而不是合规的实质，不能正确理解合规的内 涵。如此种种现象，表明当前中国银行苏州分行各级员工的内控理念还不统一，内 控定位与目标还有待清晰。 3.2.2风险评估分析 风险评估是及时识别、系统分析经营活动中与实现内部控制目标相关的风险， 合理确立风险应对策略。相对于信用风险、市场风险的管理， 操作风险管理对中国银行苏州分行来说是一个崭新的领域与课题，由于总行相 关操作风险的评估工作在二级中国银行苏州分行没有全面推广，所以操作风险评估 是中国银行苏州分行目前内控管理中最薄弱的一项内容。目前中国银行苏州分行的 风险评估工作仅在一定范围内展开和尝试，未形成体系，如内部控制监测数据的收 集、对新产品的风险评审，管理成效还需不断提升。 l、内部控制监测数据的分析预警功能未发挥。中国银行苏州分行根据总行要求 建立了内部控制监测数据的收集工作，对人力资源、系统失灵、业务差错等十一大 类86项内控数据进行收集，由于数据收集时间较短，且采用各部门手工填报方式， 数据的准确性和完整性不能保证，其分析预警功能没有发挥，且总中国银行苏州分 行的关注指标的适用性有差异，未能有效实现对风险进行评估的功能。 2、操作风险评估工作尚未全面开展。目前在操作风险管理上各业务条线还未定 期、持续对各业务流程进行评估，明确各条线操作风险关键风险指标，也未建立分 产品、分业务的可供参考的量化的容忍度指标。现有下发的各种制度大多从案件防 控角度体现了从严控制操作风险的态度，而各级管理者从管理责任考虑，或多或少 也存在以牺牲管理成本换取管理绩效的倾向，不断增加控制手段，最终导致控制的 重叠、冗余，加重了管理负担。中国银行苏州分行受大环境的影响，部分业务也存 在控制过度的情况，通过对业务流程的风险评估，寻求合理的操作风险容忍度，是 中国银行苏州分行在风险管理成本与收益平衡下的一种必然选择。 3、对新产品、新业务、新管理范畴的风险识别、评估与监控仍需加强。在加大 业务创新和管理创新的同时，中国银行苏州分行也不断加强对新业务、新产品的制 度建设和管理规范，但相对而言，对新产品、新业务、新管理范畴的风险评估与监 控尚未形成规范要求，缺乏统一标准和评估方法，且后评价工作未有效开展。 3.2.3控制活动分析 中国银行苏州分行贯彻总行《规章制度 管理办法 关于高温津贴发放的管理办法稽核管理办法下载并购贷款管理办法下载商业信用卡管理办法下载处方管理办法word下载 》和《授权管理办法》要求， 建立了中国银行苏州分行的制度、授权管理框架，管理工作逐步规范化，2007年至 今，经过定期的清理评估，中国银行苏州分行目前自拟在用的规章制度有337个， 相关制度定期及时维护入总行规章制度库内，对指导全行业务操作起到了重要作 用。按照新的权限和架构，中国银行苏州分行正积极梳理授权管理体系，明确在三 年内构建完成中国银行苏州分行“主体明确、授权有限、权责对等、人岗匹配”的科 学授权决策体系。同时中国银行苏州分行也在不断优化业务流程，加强业务集中管 理、强化重点环节控制、深化信息科技支撑，来加强对各项业务的有效管控，但中 国银行苏州分行的内部控制活动比照国际最佳实践还有较大距离，内控政策和程序 的有效性函待提升: 1、规章制度的质量与可操作性有待进一步提高。前台操作部门对中国银行苏州 分行规章制度的质量与可操作性问题的反响长久以来都比较大。一是规章制度质量 不高。存在制度表述不清，使用者理解困难，产生歧异;原则性内容多，指导具体 操作的内容少，执行不一;制度的制定建立在管理部门免责的基础上，制度是完美 的，但实际操作难执行等问题。二是规章制度转化传导不尽职。一级中国银行苏州 分行是制度传导和转化为可操作指南的重要环节，但现有管理中仍存在满足于“收发 室”功能，照转照抄严重，导致基层员工陷于大量长篇累犊的制度汪洋，无力消化; 自上而下的传导渠道不畅，执行人员不能及时领会掌握，影响执行。三是制度缺失 问题。一些新业务、新产品、新管理范畴的领域内或多或少存在制度空白;总行新 增赋予中国银行苏州分行的管理权限还存在大量制度空白。四是制度评估工作未落 实。定期制度评估流于形式，存在只要有制度就行了、只要将就能用就行了、只要 没什么风险就行了的思想，缺乏让制度更适应客户需求、更适应前台操作的主动管 理意识。 2、授权管理基础薄弱。中国银行苏州分行的授权管理工作从去年起步，在工作 推进的过程中表现出基础薄弱的问题:一是受权主体和权限内容不够明确，各部门 牵头成立的决策机构还有待进一步梳理或调整;二是一些权限缺少制度支撑，一些 制度表述模糊无法确定权限内容和受权主体，同时，流程不清晰也是权限梳理工作 推进中的难点;三是职责和权限界定不清，上级行各条线部门把握的标准也不尽一 致，混淆严重;四是权限的种类、性质、概念尚无制度规范，操作中难以把握。 3、建立‘。以客户为中心”的流程银行还存在差距。中国银行苏州分行长期以来按 照“部门银行”模式设立和管理内部机构，难免存在业务条线划分过细、战略业务单 元松散、条块关系不清晰、双重或多重控制等问题。近年来，中国银行苏州分行也 在致力于流程优化工作，逐步建立“以客户为中心”的现代流程银行，但在实际操作 中仍或多或少存在本位主义、免责文化，缺乏全局意识和责任意识的现象，最终与 目标实现存在一定差距。 4、员工的合规意识、业务素养和执行力仍需不断提升。近两年中国银行苏州分 行多策并举重点抓员工合规教育，取得了良好的效果。但从今年检查和8月份刚结 束的综合业务大检查来看，业务一线新员工多，员工的合规意识、业务素养不高， 执行规章不力，仍然是当前影响业务健康发展的重要因素之一，表现在:一是制度 执行简单化、表面化。员工素质不高，学习制度不得要领，理解不深、不透，有的 机械执行、有的执行中扭曲变形，起不到应有的控制效果;二是基层行制度规定传 达不及时、政令不够畅通，影响制度执行力;三是个别机构仍存在抵触性执行、选 择性执行的现象。制度执行上有政策，下有对策;执行制度断章取义，为我所用， 随意性大等。内控合规教育这一永恒的主题，前路漫漫任重而道远。 3.2.4操作风险管理与合规管理的关系 合规管理与操作风险管理的异同也是银行面临的另一个困惑，其缘由与内控管 理和操作风险的关系存在类似之处，即监管部门对于合规管理也有独立于操作风险 管理的监管要求。 国际上，在吸取大量案件的教训后，合规问题日益引起监管者和银行业的高度 关注和重视，合规管理作为专门的银行风险管理技术也日益得到全球银行业的普遍 认同。2005年4月，巴塞尔委员会发布了《合规与银行内部合规部门》文件，提出了 合规管理十项原则，向各国银行业金融机构及监管当局推荐有效管理合规风险的最 佳做法，敦促并指导银行业金融机构建立有效的合规政策和程序，推进银行机构的 稳健经营。 国内方面，为加强银行合规管理，银监会在借鉴国外银行业和监管机构合规风 险管理的经验的基础上，于2006年发布了《商业银行合规风险管理指引》，明确了 合规是指使商业银行的经营活动与法律、规则和准则相一致。合规风险是指商业银 行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声 誉损失的风险。 所谓合规管理，就是通过建立一套机制，使公司能够有效识别、评估、监测合 规风险，主动避免违法违规行为发生，从而免受法律制裁或财务、声誉等方面的损 失，防范操作风险。实践中，银行员工执行的“规”有两个来源:第一是直接来源于 外部的“规”，主要是国家法律法规和行业自律规则，它是内部“规”的基础与源泉。 第二个来源于银行内部的“规”，主要是银行根据国家法法规，结合本行实际进一步 细化或制定的各类管理制度、规定，这个“规”应当是比外部的“规”更加严格、细致 的“规”。通常情况下，银行遵守了内部的“规”，同时就遵守了外的“规”，就可以实 现合规的目标。但由于制度建设的原因，内部的“规”不能完全覆盖外部的“规”，因 此合规强调的是遵守内部、外部两个规。 而银行操作风险的主要表现之一就是流程执行不到位(也可称为有章不循)， 就是员工没有严格执行银行的内部规章制度。以某大型银行为例，2008年内外部检 查发现的14万个问题中80%的问题属于有章不循，可见违规操作的现象仍较为普 遍。因此防范违规行为，倡导合规操作，是操作风险管理的重要内容。 上述分析表明，倡导按章操作，防范违规风险，既是合规管理的基本要求，也 是操作风险管理的重要内容。但合规管理除了强调倡导遵守银行内部的规章制度， 同时还要求遵守外部的法律、法规和监管要求，操作的合规性管理不同于合规管 理。而操作风险管理主要强调的是内部制度的执行，并且操作风险管理的范围除了 制度执行外，还涉及lT等风险的管理，操作风险管理也不仅限于操作的合规性管 理。因此合规管理与操作风险管理即存在交叉，但各有侧重。二者关系如图2所 不: 3.2.5信息与沟通分析 中国银行苏州分行目前存在较多形式的内部信息沟通渠道，主要是企业文化网 页、NOTES、支行部门网页、交流论坛、培训、召开不同层级的会议、发布各种月 刊或季刊等;建立了95566客服热线，加强与客户的沟通;同时也不断加强与当地 银监、人行等监管机构的沟通，及时掌握监管信息。中国银行苏州分行的内外部沟 通渠道是多样的，但也存在:一是未建立规范的信息管理机制，非重要信息拥堵缺 少整合，但有时重要信息传达不到位或传达效率低下;外部信息沟通未形成规范的 沟通机制。二是未建立重要信息的双向反馈机制。管理部门征求基层意见很多，但 几乎没有对意见的反馈机制，基层反映意见很多，能得到反馈的很少，影响基层行 主动沟通的积极性。 3.2.6检查与监督分析 中国银行苏州分行由法律合规部牵头检查工作的管理，目前延续省行的检查管 理要求和检查工作指引规范各条线部门、支行开展检查工作，审核制定全行检查计 划，同时依托检查整改管理系统督导、考核部门、支行检查工作的开展和整改工作 的落实。现行的检查形式一般以下查一级为主，逐级管理，条线部门主要检查支行 本部，支行主要负责对网点的检查，检查工作的开展对及时发现风险隐患起到了重 要作用，但现有检查工作的方式和成效仍存在相当不足，需予以完善。 1、检查的深度、广度以及检查人员的专业化能力需提升。一是检查专业化水平 不高，检查工作侧重于对表面合规性的检查，对实质性风险控制及业务关联性、逻 辑性是否合理的深层次检查不够，总体检查工作的质效不高。二是检查工作更多停 留在被动满足频率和覆盖面的要求，而未将检查作为职能部门对制度的制定、执行 和完善的内在管理需要，导致对检查工作的整体规划和执行效果重视不够。三是检 查工具、手段欠缺。各职能部门、支行检查大多停留在原始手工检查状态，科技运 用工具的开发和使用进展不快，检查技巧和方法掌握不够，难以有效揭示问题。四 是检查主体多元化，各条线部门分头检查加大了被检查机构特别是支行层面的受检 频率。 2、检查整改的力度和深度不足。一是忽视对检查情况的分析总结，揭示问题发 生的原因，查找问题的根源，未有效利用检查成果来完善制度、优化流程，使检查 工作的质效大打折扣。大部分整改工作就检查发现的现象进行整改，未对问题的本 质进行深入分析并采取措施纠正，以至于同样的问题在屡次检查中依然存在。二是 检查整改管理系统利用效果欠佳，存在信息反映不全、信息反映标准不统一，检查 信息与事实存在偏差的现象，使中国银行苏州分行的检查管理工作及内控执行状况 不能得到全面真实地反映，对中国银行苏州分行内控决策的准确判断带来影响。 4中国银行操作风险管理的对策 4.1中国银行系统操作风险管理对策 4.1.1改善内控环境 4.1.1.1完善公司治理结构 (l)按照权力制衡的原则完善公司治理的组织结构。中国银行要积极改革现有 的干部管理体制，提高董事、高级管理层的市场化选择的比例，改变通过行政手段 选派管理人员的做法，逐步实现高管人员的市场化选择，促使高管层真正为经营决 策的后果负责。要建立高管人员到任审计，离任审计，薪酬制度和其他的股权、期 权的激励相容制度，以及对高管人员的亲属，朋友，子女的关联贷款的自动回避等 制度，确立高管人员的良好行为准则。要加强监事会建设，充分发挥监事会的监督 职能，监事长和非职工监事必须由股东大会选举产生，监事长和监事会成员不应在 公司担任行政职务。要保证1/3的监事由职工代表大会选举产生，为职工负责，并 考虑聘请专业人士担任外部监事。 (2)建立有效的激励约束机制。建立股东大会对董事、监事绩效评价标准和程 序的制度，按照评价结果给予董事、监事相应的奖励或惩罚。要制定书面化、规范 化的对高管层成员绩效评价的标准和程序，以完善对高管层的薪酬激励机制。要实 现按岗定酬的分配方式，进一步完善对员工的考核机制，以真实反映员工的工作表 现，加大收入中与员工绩效挂钩的部分，以加强薪酬的激励作用。要拉开不同岗位 人员以及同一岗位不同表现人员工资收入的差距，充分发挥薪酬分配吸引人、激励 人和稳定人的作用。将操作风险管理与与个人的职业发展挂钩，将员工所在部门机 构的绩效与个人绩效相结合，将业务发展与风险管理的考核先集合，加大对违规行 为的惩处力度，提高违规成本，促进员工利益与银行的利益的统一。 (3)强化信息披露制度监督。信息披露是公司治理结构是否有效的重要因素之 一，同时也是防止银行“内部人控制”的有效手段。高管层作为公司的经营者，掌握 着公司的大量信息，如果缺乏透明度，股东、董事会和监事会将很难把握其行为， 就有可能出现高管层的“内部人控制”现象。因此，银行要尽快建立完善的重大事项 及重大操作风险的报告制度和信息沟通制度，及时准确地提供银行风险变化信息， 从而加强对高级管理层的监督。 4.1.1.2制定明确的操作风险管理战略并监督实施 (l)银行的董事会应根据本行的发展战略，制定本行的操作风险管理中远期战 略，明确操作风险管理的偏好和容忍度，旗帜鲜明地表明对操作风险的管理策略和 容忍度。实现对操作风险的有效防控和管理是银行的一项长期任务，董事会和高管 层必须全力支持和参与操作风险管理，推动全行将操作风险管理融入到经营战略中 去，实现业务发展与操作风险管理的有机融合。董事会应制定操作风险管理的基本 政策，对本行各类业务中的操作风险进行界定，列明本行操作风险的具体构成，明 确识别、评估、监测与控制操作风险所应依据的原则、政策和方法。 (2)银行的董事会应充分了解本行的主要操作风险所在，把它作为一种必须管 理的主要风险类别，努力促进这种公司文化的建立，并且提供充足的资源支持各职 能部门开展操作风险管理活动，还应把操作风险管理纳入到业绩评估程序中，把操 作风险管理作为银行经营中的关注重点。各银行的董事会应当加强对操作风险管理 战略执行情况的监督，定期听取管理层关于战略实施情况及全行操作风险体系建 设、风险状况、重大操作风险事件的报告，及时重审操作风险管理战略并与调整， 及时指导管理层开展操作风险管理活动。 4.1.1.3推进业务流程再造 从操作风险的定义不难看出，操作风险重要的原因就是因流程引起，一类是制 度流程设计不合理，二是制度流程执行不到位，其中制度流程执行不到位(有章不 循)的现象是商业银行主要操作风险之一，而导致制度执行不到位的重要原因之一 就是制度设计的不合理、操作性不强。因此，流程问题对于操作风险影响重大。抓 好流程设计是解决操作风险的基本方法。通过修补有缺陷的流程、规则，阻断操作 风险的其它诱因，可以达到事半功倍的管理效果。 国内商业银行长期以来按照“部门银行”模式设立和管理内部机构，难免存在重 复、冗余的管理控制环节，以及职能重叠、责任不清晰、双重或多重控制等问题。 近年来，部分商业银行(如工商银行、招商银行、民生银行)通过引进现代经营管 理理念，在发展战略中明确“以客户为中心”，并以此指导银行组织架构和业务流程 的优化，探索构建“流程银行”，着力提高集约化经营水平和风险管理水平。 中国银行应在开展‘似客户为中心”业务流程再造的同时实现风险管理流程的再 造，将操作风险控制机制嵌入到业务流程之中。一是建立相应的授权体系，实行统 一法人管理和法人授权;二是建立必要的职责分离，以及横向与纵向相互监督制约 关系的制度;三是明确关键岗位、特殊岗位、不相容岗位及其控制要求;四是建立 关键岗位定期或不定期的人员轮换和强制休假制度;五是对于可能导致偏离风险管 理政策、目标的运行情况，应建立并保持书面程序和要求，并在程序中规定操作和 控制标准;六是对于重要业务应实施连续记录和监督检查;七是对于产品、组织结 构、流程、计算机系统的设计过程，应建立有效的控制程序;八是建立信息安全管 理体系，对硬件、操作系统和应用程序、数据和操作环境，以及设计、采购、安全 和使用实施控制;九是建立并保持应急预案和程序，确保业务持续开展。制度流程 的再造应坚持以下原则: (l)科学性。科学性体现在既方便服务客户又易于强化风险管控。制度流程的 设计需围绕“以客户为中心”展开，建立统一标准，简化内部操作，既要便利客户， 又要控制风险。科学性还体现在制度制定过程的规范性、论证的充分性，制度的制 定应当由相关专家充分的参与，以此保证制度的专业化和不同部门间的相互衔接。 制度制定应后还需由专门的部门进行审核，以保证全行制度的统一性。新制度还需 由实际业务部门进行测试、修改、完善，反复多次直至制度可行才最终下发。 (2)前瞻性。面对激烈的市场竞争和产品创新步伐的加快，制度制定方面有一 定的前瞻性，新业务上开展前要组织有关人员研究、然后组织制度测试，经过内部 调整、磨合和准备，新产品方可推出。 (3)易操作性。风险管理也要树立‘以客户为中心’的理念，银行内部的一线部 门就是风险工作的客户，风险管理部门要根据掌握的经验、技术和信息为一线服 务，在流程中控制风险、创造价值。实践中，规章制度得不到落实的重要原因之一 就是，制度制定后没有采取有效的形式向员工传达、贯彻。银行的规章制度多，并 且不断更新，一线的员工一来不易全部掌握，二来由于对一项业务有多个制度约 束，员工很容易在操作时顾此失彼，因此制度制订者应将复杂的问题简单化，应当 将制度细化成员工手册或岗位手册，“操作指南”、表格化的方式进行列示，方便员 工掌握和执行。 (4)统一性。银行应避免过度强调分支机构的差异性，全行范围内的业务管 理、操作应尽可能统一化、标准化，提高管理的规范性和强制性，防止因管理、操 作的弹性和随意性诱发的风险。银行应在提高制度流程的科学性、易操作性的基础 上，强调制度的统一性、提高制度的强制力，尽可能减少管理与操作的差异化、个 性化实现全行业务操作的标准化、规范化。 4.1.1.4建立合理的组织架构 合理的组织架构对风险管理的效果也起着至关重要的作用。一个能够有效执行 操作风险管理框架要求的组织架构应明确界定各职能部门的责权关系、上下级报告 关系，清楚地规定操作风险事件的收集和汇报路线，也就是操作风险的事情发生 了，由谁向谁汇报。 国外商业银行经过多年发展，己经形成了日趋成熟的风险管理组织框架。《巴 塞尔新资本协议》以及《企业风险管理整合框架》中体现的现代风险管理理念对国 内银行风险管理组织框架的建设具有重要指导意义。国内银行应以风险控制为立足 点，以业务流程再造为突破口，加强风险垂直管理与部门间的横向制约机制，确立 合理的组织管理形式。横向上在合理分工、职责分明的基础上做到既相对独立又相 互牵制:纵向上做到减少管理层次，精简机构，加强对下级机构的控制。银行应当 建立包含以下内容的操作风险管理组织架构: (l)董事会应作为银行风险管理的最高决策机构，负责对风险管理进行整体战 略决策，建立操作风险管理的基本政策。董事会下可设立专门委员会(如风险管理 委员会)作为全行操作风险管理的最高协调及议事机构，依据董事会的风险管理战 略，推动风险管理体系建设。该委员会可由各个涉及操作风险的部门组成，负责对 全行性、跨部门的问题进行协调。 (2)高级管理层负责执行董事会批准的操作风险管理战略和政策框架，其主要 职责包括:根据董事会制定的操作风险管理战略和政策框架，负责制定、定期审查 和监督执行操作风险管理的政策、程序和具体的操作规程，并定期向董事会提交操 作风险总体情况的报告;全面掌握本行操作风险管理的总体状况，特别是各项重大 的操作风险事件或项目;确界定分支机构的操作风险管理职责以及操作风险报告的 路径、频率、内容，督促其切实履行操作风险管理职责，以确保操作风险管理框架 的正常运行;为操作风险管理配备适当的资源，如提供必要的经费、设置必要的岗 位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行 职务所必需的权限等;及时对操作风险管理制度流程进行检查和修订，以便有效地 应对内部程序、产品、业务活动、信息科技系统、员工及外部事件和其他因素发生 变化所造成的操作风险损失事件。 (3)在总部设置独立的风险管理部门负责对全行操作风险的集中管理和协调， 以制度形式明确和规范职责分工、管理方法、报告线路等具体运作机制，推进操作 风险管理的各项措施并向高管层进行定期报告。审计部门应负责对操作风险管理政 策、制度的实施情况进行独立评价与检验。 (4)分支机构层面应设置独立操作风险管理职能部门或专职岗位，逐级对上负 责，将风险管理部门、岗位与业务部门、岗位区别开来，以改变基层机构偏重业务 扩张而忽视风险控制、导致风险管理部门事实上无法从组织上制衡业务部门的弊 端。 (5)在设置风险经理的基础上设立首席风险官。国际先进银行业风险管理方面 通用的做法是设立风险官，目的是通过加强专业化管理，提高风险管理水平。国内 银行可在总、中国银行苏州分行两级设立首席风险官，负责本机构的风险管理。风 险经理保持相对独立性，对首席风险控制官负责，侧重于区域、行业、客户、产品 的风险分析与防范。 (6)建立独立的内部审计部门。银行要保证内部控制体系运转有效，必须对其 进行连续的监管。通过设立只对最高决策层负责的地位独立、监督权威的内部审计 部门，由内审部门独立行使综合性内部监督职能并对内控制度的有效性和符合性进 行评价。建立健全合理有序的内部审计检查制度和非现场审计制度，加大监督检查 的频率和力度，对银行内控制度的总体有效性进行连续性监管，推进银行内控体系 的建立与完善。 4.1.1.5建立操作风险三道防线 近年来，国际、国内银行在完善内部的操作风险管理机制进行了积极探索，并 在内部建立分工、制衡的风险管理机制，以提升对风险的识别、控制、监督、缓释 能力，许多银行提出了“内控三道防线”、“内控四道防线”等理念。有人认为三道防 线应如下构成:第一道防线—高管层及前台人员、第二道防线—风险管理职能 部门、第三道防线—内部审计;也有人认为第一道防线—前台人员、第二道防 线—风险管理职能部门、第三道防线—内部审计、高管层及董事会。尽管，国 内主要银行都建立了“内控三道防线”，但内涵也不尽相同。国内主要银行关于内控 三道防线的表述如表1所示: 操作风险三道防线是内部的风险管理的促进和制衡机制，有助于明确全行员工 的风险管理职责，推动操作风险管理工作的有序开展，但有效的三道防线应坚持以 下的功能定位: 操作风险管理第一道防线应体现操作风险管理的全员参与。操作风险无处不 在、无时不有的特点决定了操作风险管理必须全员参与。银行的各级业务经营机 构、业务管理部门和每个员工在承担业务发展任务的同时也应承担操作风险管理的 责任，既是业务的直接经办者，又是操作风险的所有人，是操作风险管理的第一道 防线。第一道防线应通过对风险的自我识别、评估、控制来履行风险管理职能，实 现“自己管自己”。银行应当以制度的形式明确全体员工的操作风险管理职责，特别 业务部门员工的职责，并将此理念不断的传导到每一员工，这是实现操作风险管理 关口前移、和实现全面风险管理的重要举措。 操作风险管理的第二道防线应当体现的是对操作风险的专业化管理。第二道防 线应包括各级机构的操作风险管理部门及操作风险管理人员。二道防线应通过制定 操作风险管理的制度、标准和要求，为一道防线提供操作风险管理的方法、工具、 流程，促进本行操作风险管理的一致性和有效性，评估和监控一道防线操作风险状 况，对其工作提供指导，确保一道防线内部控制的有效性。 内部审计是操作风险管理的第三道防线，内部审计部门应在人员、财务方面与 管理层相对独立，直接对董事会或董事会下设的内部审计委员会负责，内部审计部 门应通过系统化和规范化的方式，监督评价本行的经营活动、风险管理和公司治理 的适当性和有效性，以协助董事会和管理层履行职责，保证国家法律法规、方针政 策、监管部门规定的贯彻执行，改善组织运营效率、有效控制风险、增加银行价 值。 为促进三道防线的有效运转，三道防线间还需建立顺畅有效的协调机制，实现 信息及时共享和充分利用，提高风险管理资源利用的效率和有效性。 4.1.2改进风险识别与评估方法 4.1.2.1建立有效的操作风险管理模型 国际银行在风险管理中始终重视定量分析，擅于借助信息技术，通过数学分析 模型对风险做出定量判断。经过多年努力，国际银行的风险管理技术已能相对成 熟，特别是在信用风险与市场风险管理方面，如市场风险测量新方法一VAR(风险计 值法)、银行业绩衡量与资本配置方法一信托银行的“风险调整的资本收益率”系统; 测量信用风险的内部方法与模型，如摩根银行的“信用矩阵”系统。尽管，目前国际 上关于操作风险的计量方法并不算成熟，但许多银行、中介机构公司还是推出了一 些操作风险管理系统，如摩根大通的Horizon系统、Algo公司的OpVantage系统、 comit公司的op几skSuite系统、sAS公司的操作风险管理系统等。 目前，国内银行在信用风险、市场风险管理方面也建立或引进了数量模型，但 在操作风险管理与控制上仍采用经验主义的定性化分析模式，管理相对滞后，较多 注重事中、事后风险控制，而忽视了或者说难以有效开展事前的风险预警与防范。 因此，银行应积极开发操作风险量化模型，逐步实现操作风险管理模式由静态、滞 后控制向动态、实时管理的转变。银行在引进国外的管理模型时，要注意模型设计 是否符合本行自身的业务特点，考虑模型技术的权威性、可验证性以及可扩展性 等。另外，各银行也可通过外包或聘请咨询公司等方式，量身定做操作风险管理模 型。但无论采用何种方式，都需要充分考虑操作风险管理与市场风险管理、信用风 险管理之间的关系，注意各种风险管理系统的衔接整合。操作风险模型的建立是一 个长期过程，但对于提高银行操作风险管理精细化管理水平至关重要。 4.1.2.2建立操作风险与控制评估流程 巴塞尔委员会在((操作风险管理与监管的稳健做法》中就提出，银行应识别和 评估所有重要产品、活动、程序和系统中固有的操作风险。银行还应该确保在引进 或采取新产品、活动、程序和系统之前，对其中固有的操作风险己经经过了足够的 评估步骤。 银行应当积极开发和利用风险与控制评估流程(RASA)，通过定期评估各项 业务的风险和控制措施，使用标准化模板持续记录和报告评估结果。风险与控制评 估流程是对操作风险(影响、概率、原因)、风险控制情况(适当性、有效性)、 风险暴露的全面、持续的识别与评估，而不同于传统的检查监督手段，只是随机的 对当前的控制措施是否得以执行的评价。风险与控制的评估过程中应同时考虑与业 务有关的各种内部因素(例如组织结构、业务性质、人力资源、组织机构的变化、 员工的流动性)和外部因素(如行业的变化和技术的进步)。这些因素均有可能对 银行风险造成不利影响，从而导致原生风险的重大变化。在识别业务中绝大多数潜 在的不利风险的同时，银行还应该评估当前的控制状况，评估现有的控制措施是不 足、重叠等。基于上述评估，银行可以判断操作风险的暴露情况，各级管理者应当 结合风险的承受能力，决定是否增加、减少或者维持现有的控制。定期的实施风险 控制评估流程，银行可以及时、准确地掌握其风险状况和并有效地使用风险管理资 源。 4.1.2.3建立损失数据收集流程 所谓损失数据收集(LDC)是对操作风险损失事件的跟踪和记录，客观反映全 行操作风险的实际损失和分布的流程。《巴塞尔新资本协议》要求实施操作风险监 管资本的高级计量法需要至少3年的操作风险数据收集，但损失数据的收集不仅是 为了资本计量，更是为了实现对操作风险的量化管理，识别风险的分布、了解风险 的变化提供依据。尽管数据并非万能，但基于历史数据的量化管理较之目前的经验 判断、定性分析仍是一种进步，并且除了极少数外部事件原因引发的操作风险外， 大部分操作风险仍有规律可循，其发生过程仍有前因后果的连锁关系。因此，要查 找出其发生规律，通过技术手段切断引发操作风险的关键环节，并通过必要的管理 措施加以控制。虽然国内银行发生了数量众多的操作风险事件，但尚未建立起损失 事件数据库，更没有对这些事件进行累积，特别是那些低频高危的操作风险事件更 为缺乏。因此，各银行应及早启动损失数据收集工作，系统跟踪和记录每项操作风 险损失事件的频率、影响和其他相关信息，以此来评估操作风险的水平以及决定制 定何种风险缓释、控制的举措。目前，建设银行已走在了国内银行的前列，收集了 1998年以来的操作风险损失的各种数据，计量各条线各类型操作风险的损失率，为 未来开发资本计量模型、实施高级计量法打好数据基础。 4.1.2.4建立业务持续性管理流程 操作风险事件中最重要的是低危高频和高危低频两类。其中，低危高频事件可 以通过长期关注、数据积累发现规律，其风险可以识别并控制在银行可以接受的范 围内，但高危低频事件则难以准确预测。由于其影响范围广、后果严重，一旦发生 会影响到银行的经营生存。而高危低频事件的诱因往往蕴含在日常管理中，平常的 疏忽漏洞可能导致危机事件的爆发。因此银行操作风险管理既要控制好一般事件， 又要尽可能避免重大危机事件。 但近几年，国内银行仍爆出了全国性系统瘫痪等突发事件(如工商银行2007年 8月15日全行系统瘫痪近7小时，交通银行2007年3月21日全行系统瘫痪约3小 时)，给整个银行运行系统的安全有效带来威胁，并已引起了监管部门和社会公众 对银行紧急应对和危机处理能力的关注。其实，计算机系统故障问题只是银行经营 过程中面临的一类风险，其他诸如自然灾害事件(如台风、洪水、地震、海啸等) 和人为的灾难事件(如恐怖袭击，典型的如“911事件”、战争等)同样是影响银行安 全运营的重要因素。而银行在现代经济中的特殊地位决定了，一旦出现问题，就会 波及到整个经济的正常运行，牵动客户的切身利益(如存款、日常消费开支等)， 甚至影响到整个社会的稳定。因此，构建并完善业务持续性管理体系，提升其对突 发或危机事件的应对能力，是银行必须关注并着力推进的重大问题。 目前，银行在灾难备份方面已经成为行业的”领头羊”，国际银行业已普遍建立 了业务持续性管理流程(BCM)。国内银行对灾难备份与业务连续性管理的认识已 逐步深入，90年代末部分国内银行在实施数据大集中的同时，就己着手进行灾难备份 中心的建设，但发展仍然缓慢，部分银行的危机意识仍然不够，并且目前的业务持 续性管理主要集中于信息数据的备份，而非针对“业务经营“的持续性管理计划。 2008年四川省汉川大地震，已反映出了银行在突发事件的应急管理中仍准备不足。 银行应通过建立业务持续性经营管理制度，制定突发事件的应对预案，明确管理职 责，加强数据备份中心、灾备中心建设，配备必要的物资器材，加强日常的演练。 4.1.3建立规范的风险纠正机制 4.1.3.1建立规范的风险纠正机制 中国银行应通过建立规范风险纠正机制对日常监督检查识别的操作风险进行及 时控制，重点关注已发现风险的纠正过程和效果，通过制度形式规范风险纠正流 程，建立对操作风险纠正行为的持续改进和跟踪机制。风险纠正流程中应明确责任 人、计划的制定过程、信息的记录要求、完成纠正的标准、整改信息的报告流程， 建立整改效果的验证机制，以此提高风险纠正工作的效果。纠正工作应立足于风险 的控制，立足于避免类似事件的发生，而非纠正个别违规行为。应通过与员工、部 「〕、机构的绩效考核相结合，加强对纠正行为的约束。纠正工作应与日常的检查、 风险评估工作相结合。应在建立统一的分类标准的基础上，加强对风险纠正工作信 息的收集和分析，发现主要风险、研究风险变化的趋势，为风险控制指明重点，提 高风险管理的针对性和主动性。 4.1.3.2建立风险评价机制 中国银行要通过建立风险评价机制，对操作风险管理的过程和结果开展评价。 过程评价是对内部控制环境、风险识别与评估、内部控制措施等体系要素的评价。 结果评价是对内部控制主要目标实现程度的评价。内部控制评价工作应与监督检查 手段综合使用，有机配合。日常监督检查的重点是业务监管，其目的是对业务的合 规性和经营结果进行检查，是针对可能存在问题的“负面评价”，是针对“点”的监 控。而内控评价是对风险案管理体系的监督，是对业务过程的全面评价，是对银行 风险管理水平的“正面评价”，是针对“面”的监督。内部控制评价结论应作为日常监 督检查的基础和指导，银行应依据内部控制评价的结果确定日常监督检查的重点业 务区域，藉此提高操作风险管理的针对性。 4.1.4突出以人为本 要建立起一套以教育疏导为基础、道德感化和制度约束为内容的内控制度体 系，构建防范操作风险的制度化管理平台。 4.1.4.1建立专业化的操作风险管理人才队伍 在风险管理中，人是最核心、最基本的，员工的职业道德、业务素养起决定作 用。不论是操作风险管理，还是市场风险、信用风险管理，关键是要有一批专业人 员，一批有经验的风险管理专家。没有一批优秀的风险管理人才，那些风险很难得 到及时有效的识别和控制。随着国内外银行业竞争的日趋激烈，银行更应树立“人才 是核心竞争力”的思想，不断提高全体员工的风险管理意识和技能、优化专业人员配 置，加大风险管理人才的选拔和培养，通过建立有竞争力的薪酬制度吸引风险管理 专业人才，积极培养和建立高素质、复合型的风险管理队伍，提升对风险的识别、 评估和控制能力。 4.1.4.2注重对员工的道德感化和约束 在银行这个特殊的经营货币的行业里，对人的管理一直就是个严肃的课题。治 病要治本，要使员工不想违法违规、不愿违法违规，就要注重道德感化和约束，坚 持“以德立行”。要倡导柔性管理，注重人文关怀，关心员工、爱护员工、尊重员 工、理解员工、信任员工，不断激发出员工的工作积极性、创造性和团结协作精 神，逐步营造合规氛围。要因势利导，强化感恩教育，增加员工的企业归属感，把 职工个人努力、个人贡献和银行发展密切结合起来，力争达到企业文化与个人文化 的趋同与和谐，增强银行员工合规行为的主动性。良好的道德环境将有助于增加员 工的归属感和成就感以及对企业远景目标和管理规范的内在认同度，在行内普遍形 成烙守职业规范、严格岗位责任的职业道德约束，从道德层面培养员工遵章守纪的 自觉性，使全体员工对操作风险和内控管理工作有自觉的认同感。采取多种方式对 员工进行道德教育，既要培养员工积极向上的良好个人品质，同时要培育员工的社 会公德意识和家庭伦理道德意识，三者相互结合，形成关心员工、以情感人的和谐 氛围，以便形成人性化的内在制约力。道德感化和约束是一项需要持之以恒的工 作，也是银行持续发展的保证，只有一以贯之的长期实施，才能使每一位员工从内 心深处感受到它的魅力和威力。 4.1.43建立健全的激励约束机制 人员的激励方式包括行政激励、经济激励、心理激励等。目前行政激励在银行 激励制度中占主导地位，随着内部体制改革的推进，要逐步弱化行政激励，强化经 济激励、心理激励，要建立起科学有效的“正向激励机制”。对员工除了考核其业绩 指标外，还要重点考核其职业道德、业务合规等方面的指标。改变过去以业务规 模、数量为指标的考核体系，将员工的业务质量与工作效率作为衡量员工绩效的标 准。 4.1.4.4建立高管人员问责制度 应明确界定高管人员的权力与责任，权责明晰是问责制落实的关键，要建立责 任追究制度并严格落实。高管人员将不能停留于承担形式上的“领导责任”，要建立 起高管人员对职责范围内风险事件承担第一责任的问责机制，这对完善全行风险防 范体系、形成正气具有强大的驱动力。 4.1.4.5建立员工举报奖励保护制度 应倡导员工勇于抵制不良行为，制定举报制度，建立反映违规、违法行为的渠 道，举报查实的应给予举报人员奖励，并对其身份进行保密。对勇于坚持规章制 度、制止案件等重大风险发生的，应建立特别的激励机制。建立员工行为失范监察 制度，加强八小时内外的行为的关注，“紧盯”敏感、重要岗位人员八小时以外的活 动，及时发现行为异常并采取防范措施。 4.1.4.6建立持续的合规教育机制 在运用奖惩措施的同时，还要引进和完善市场戒律机制。按照全员参与的原 则，组织开发持续有效的操作风险培训和教育项目，加强员工合规教育和培训，深 化对风险政策、风险意识和风险管理职责等字面要求及其精神实质的理解，开展警 示教育，充分认识违规犯罪行为的代价，培育良好的企业文化氛围，真正让风险观 念和意识渗透到每个员工的血液中，实现全员参与风险管理、人人合规，有效控制 操作风险，确保银行的经营不偏离目标，实现商业银行经营价值的最大化。 4.1.5建立先进的管理信息系统 防范操作风险仅仅靠制度规定是不够的，随着金融业务的复杂化和技术发展， 在信息流动加速的今天，加强lT系统建设势在必行。银行应通过加强系统的建设规 划，推动系统整合和升级，降低银行的操作成本，减少操作风险并提高效率。要努 力实现业务的电子化、网络化，进一步加强信息安全建设。要在系统中对各种业务 流程设置操作风险控制点，以提高总行对分支机构的控制和管理。银行应着手建立 操作风险的监控和评价系统，以及时对风险进行预警、识别和报告。 每个业务传递环节都是操作风险的潜在触发点，人工处理的环节越多，潜在风 险越大。银行应借助现代信息技术和管理科学，尽可能减少业务流程环节，简化柜 面业务，通过lT系统尽可能减少业务流程中人的干预，利用计算机系统对业务操作 实行硬控制，减少“落地”，降低风险隐患。 要注重在风险管理中借助lT技术，将管理操作“软件化，，，运用现代技术堵截操 作风险的发生。工商银行等银行的实践证明，充分利用信息技术和现代管理理念、 方法进行流程再造，是避免操作风险最有效的手段。如工商银行1999年以后新增的 信贷资产到目前己达36000多亿元，但不良率不到2%，很大程度上得益于IT控 制。 当然，信息化和电子化也是一柄双刃剑，银行必须在规范的制度原则框架下， 建立安全责任制，界定职责权限及其利害归属，使应用流程管理、应用软件开发管 理、操作性管理、网络安全管理等的风险降至最低。 4.1.6积极培育风险管理文化 风险管理文化是风险管理的灵魂，积极培育成熟的风险管理文化对促进银行的 健康发展具有重要、深远的意义。有效的操作风险管理体系建设必须以先进风险管 理文化培育为先导，银行应通过持续宣传、培训、研讨，引导员工充分认识银行“经 营风险”的企业属性，树立“风险管理本身寓于发展”的正确观念，确立“业务增长与 风险控制相适应、风险成本与风险收入相匹配，，的风险管理基本原则。调动全体员工 的积极性，促进全行员工更新观念和认识，为建立科学风险管理体制和实现有效运 行做好思想和舆论准备。 要对理念和文化加以更新，引导员工正确理解强化风险管理与业务发展之间的 关系，把风险管理作为经营管理的第一要务，将良好的风险管理文化作为企业文化 的重要组成部分，使企业文化与银行经营管理达到最佳结合。应努力培育人人参与 风险管理的文化，做到人人对风险负责，明确控制和防范风险并不仅仅是风险管理 部门的任务，而应成为每个部门、每个员工的职责，真正做到人人严格按规章制度 办事。 增强员工对操作风险管理重要性、必要性、紧迫性的认识，提高合规经营理念 和防范操作风险的自觉性。依法经营、合规操作是银行一切工作的基本要求，是每 个员工应尽的基本职责，银行要把合规经营理念贯穿到员工的日常行为之中，使之 成为自觉的习惯，把操作风险管理的各项措施细化落实到每个环节、每个岗位、每 个节点。 建设合规文化、开展警示教育，在提高员工的道德素质和防腐抗变能力，构筑 道德防线上狠下功夫。银行业务健康发展的基础是依法合规，从国际经验看，业务 健康发展的除了“了解你的客户”、‘了解你的客户业务”，概要“了解你的部下”。要 加强对员工理想信念、思想道德教育，要引导员工树立正确的人生观、价值观和荣 辱观，教育员工珍惜生命、爱岗敬业、乐于奉献，自觉抵制各种诱惑，远离违法乱 纪;要加强职业道德教育，引导员工学法懂法，增强道德意识和法制意识;要加强 对有不良行为员工的转化教育，严防道德风险。 4.1.7关注基层机构的管控与服务 操作风险管理应突出以基层为本。目前，国内银行金字塔型的组织结构决定了 基层员工是银行业务经营与风险管理的主体，因此操作风险管理始终应以基层员工 为重点，既要关注基层机构的操作风险暴露，也要将操作风险管理的重点和管理效 果的检验放在基层。应加强对基层机构的调查研究，发现基层的实际风险状况。 此外，各银行内部制度多、更新快，但制度的制定部门没有采取有效的形式向 员工传达、贯彻，制度传导不到位，导致一线员工很难掌握全部的规章制度，容易 引发操作风险。因此制度制订者应考虑并解决这一问题，将复杂的问题简单化，使 制度易于操作和执行，通过制作员工手册、岗位手册、操作指南、表格化的方式进 行列示基本操作流程和主要风险点，方便员工掌握和执行。 4.2中国银行苏州分行操作风险管理具体措施 4.2.1完善组织架构体系，实现内控价值增值 以业务架构与流程整合为契机，进一步完善组织架构体系，实现内控价值增 值，有效服务于中国银行苏州分行的战略目标。中国银行苏州分行新的业务架构， 重新梳理界定了内控体系各层级的职责定位，建立了中国银行苏州分行特色的内控 管理模式，明确了三大板块及其他条线部门各自的业务辅导和检查职能，突出了法 规部对于全行整体风险管控和重点专项检查的职能，成立了稽核管理部，赋予其对 全行行政效率、决策机制、授权机制是否存在问题等方面的监督职能。新的组织架 构体系改善了原有内控体系中部分职能重复、部分职能缺失的状况，新体系的运行 将通过三道防线的有效分工与合作，对整体风险状况划分层级，并进行配套的监督 和控制，来保证全行风险管理和内控体系的有效性。 4.2.2完善内控考核，明确内控目标 完善内控考核和问责标准，明确全行内控定位和目标。改进内控考核方法，逐 步开展内控评价工作，通过板块、条线部门参与的全面内控评价体系，提升内控管 理能力。建立科学的问责机制，明确操作风险容忍度标准，统一规范问责工作，问 责工作既要坚持从严治行的方针，强化责任意识，也要坚持问责的科学性，严格区 分一般错误与违纪违法的界限。统一全行内控管理理念，内控工作的目标是确保中 国银行苏州分行发展战略和经营目标的全面实施和充分实现，通过内控管理活动要 进一步梳理明确组织架构、决策运营流程、合理界定管理与业务流程、科学评估控 制手段，通过内控组织活动降低运营管理成本、促进中国银行苏州分行运营机制的 顺畅、提高客户满意度，从而实现内控管理的价值增值。 4.2.3建立规章制度传导机制，提高规章制度的质量 建立有效的规章制度传导机制，加强规章制度的管理，提高规章制度的质量。 建立科学的问责机制，明确操作风险容忍度标准，统一规范问责工作，问责工作既 要坚持从严治行的方针，强化责任意识，也要坚持问责的科学性，严格区分一般错 误与违纪违法的界限。统一全行内控管理理念，内控工作的目标是确保中国银行苏 州分行发展战略和经营目标的全面实施和充分实现，通过内控管理活动要进一步梳 理明确组织架构、决策运营流程、合理界定管理与业务流程、科学评估控制手段， 通过内控组织活动降低运营管理成本、促进中国银行苏州分行运营机制的顺畅、提 高客户满意度，从而实现内控管理的价值增值。 4.2.4加强教育培训，提高合规意识 员工的素质是提高中国银行苏州分行内控管理水平的关键，首先要以提高管理 者的业务素质来带动全行执行力的提升，各级管理者要明确自己的职责，按照“逐级 管理，逐级负责”的原则，推动全行员工业务素质的提高。其次各级管理部门要针对 中国银行苏州分行员工业务素质不过硬、执行不力的现状，采取一系列有效手段，增 强员工行为的规范化、标准化和统一化;同时研究员工教育的方式方法，建立教育 培训的长效机制，落实激励约束机制，实施有奖有罚，以此促进员工学习规章制 度、遵守规章制度积极性，提升员工的岗位胜任能力。 4.2.5重检内控措施，有效整合内控资源 管理部门要按照‘。简便、可行、有效”的原则制定和完善内控制度措施，充分考 虑适度性和有效性，内控工作要向规范化、科学化转变，力求管理效率，使得我们 的内控措施不再是简单的串联关系，而是要成为有效的并联关系。管理部门要结合 业务流程优化工作，整合内控措施，扎扎实实做好对各项内控制度与措施的评估调 查工作，一方面要通过梳理业务流程，精简内控措施，解放一线生产力，真正实现 “以客户为中心”优化的目标，另一方面也要注意避免在整合过程中出现矫枉过正的 现象，事前考虑不充分，事后再层层打补钉的老问题。 4.2.6加强信息管理，建立反馈机制 加强对中国银行苏州分行各类信息的管理和规范，明确信息沟通渠道和要求， 保证重要信息传达效率与效果。建立内部信息反馈机制，明确信息反馈流程，为保 证基层反映信息得到及时有效的解决，建议可在企业文化设信息沟通平台，统一时 效要求，做到意见有记录，反馈有时间，同时建立监督考核机制，并接受全体员工 的监督，形成真正畅通的信息沟通机制。 4.2.7加强内控管理，有效落实整改 加强内控专业化管理，充分利用检查整改管理系统，汇总、梳理、分析好检查 发现问题，有效落实整改。加强内控专业化管理，充分利用检查整改管理系统，汇 总、梳理、分析好检查发现问题，有效落实整改。内控管理不等同于检查，检查不 是目的，持续改善才是目标。一是全行内控工作要本着兼顾管理效率和成本控制的 原则，将内控管理重点从内控检查转移至加强专业化管理上，研究、推广操作风险 管理流程和工具，梳理、整合和优化各项内控制度和措施，完善整改持续跟踪和日 常监控机制，提高内控和操作风险管理的质量和效果。二是培养专业化的内控管理 队伍，充分利用科技手段，持续关注整改工作。板块及部门要培养一支专业化的内 控管理人员队伍，充分利用科技手段，提升检查科技含量，发挥检查的价值;同时 加强对各级检查发现问题的汇总、梳理和分析，对本条线突出问题要进行持续跟 踪，督促被检查单位落实整改，必要时对整改情况进行现场检查，强化整改力度和 深度，确保整改效果;对各种检查整改信息要强化分析，提高检查工作监控分析报 告质量，有针对性的完善管理措施，及时纠正经营管理中出现的问题。