浅议商业银行操作风险的识别与防范

一、操作风险概述

二、商业银行在操作风险管理方面存在的问题

三、操作风险的识别

四、有关商业银行操作风险的防范措施

摘要：商业银行所面临的风险包括信用风险、市场风险和操作风险。长期以来，信用风险和市场风险一直为人们所关注，而操作风险却往往处于被遗忘的角落。这种认识上的误区导致了商业银行对操作风险管理的不当。按照巴塞尔银行业委员会的估计，在银行业所有风险中，操作风险所造成的损失已经发展到仅次于信用风险的地步。因此操作风险是商业银行风险管理的重中之重。本文从操作风险的基本概念入手，分析了商业银行在操作风险管理方面所存在的问题，并对症下药，寻求防范操作风险的有效途径。

关键词：商业银行 操作风险 识别 防范

 

浅议商业银行操作风险的识别与防范

与所有的企业一样，商业银行的运作过程也是一个投资过程。商业银行的最高目标是创造价值，即在投资过程中追求企业价值最大化。根据“风险价值”理念，实现价值和规避风险是一一对应的，可以说商业银行的全部工作归根结底就是“风险管理”，即整合资源，规避风险。

就商业银行所面临的风险而言，主要包括以下三大类，即信用风险、市场风险和操作风险。长期以来，信用风险和市场风险一直为人们所关注，而操作风险却往往处于被遗忘的角落。这种认识上的误区导致了商业银行对操作风险管理的不当。按照巴塞尔银行业委员会的估计，在银行业所有风险中，操作风险所造成的损失已经发展到仅次于信用风险的地步。因此操作风险是当今中国银行业风险管理的重中之重，是当下乃至今后一段时间内商业银行必须高度重视，并着手狠抓的一项重要任务。本文从操作风险的基本概念入手，分析了商业银行在操作风险管理方面的识别和所存在的问题，并对症下药，寻求防范操作风险的有效途径。

第一部分 操作风险概述

巴塞尔银行委员会对操作风险的定义为：由于内部程序、人员、系统的不完善或失误，或外部事件造成直接或间接损失的风险。一般而言，目前对操作风险的分类有两种方法。第一种将操作风险简单的分为人员因素引起的操作风险、流程因素引起的操作风险、系统因素引起的操作风险和外部事件引起的操作风险四类。第二种分类方法将操作风险较详细的分为七类，包括内部欺诈；外部欺诈；雇员活动和工作场所的安全问题；客户、产品和业务活动的安全问题；银行维系经营的实物资产损坏；业务中断和系统错误；行政、交付和过程管理等。

第二部分 商业银行在操作风险管理方面存在的问题

从近年来银监局和各商业银行对银行业务的专业检查、内控调研，以及对经营管理状况的了解情况来看，我国商业银行对操作风险的管理尚不完善，还存在着较多的缺陷，主要表现在以下几个方面：

第一，我国商业银行内部对操作风险的意识比较薄弱，对操作风险的认识存在偏差，因此未能正确处理好风险管理与市场营销、市场开拓的关系。

由于风险是一种不确定性事件，它的出现和造成的损失不是确定的，即使发生风险，在时间上也是滞后的。因此，长期以来我们总是将其放在附属的位置上，全身心的投入到眼前“确定”的业务收益之中。即使经过了这些年的思想灌输、制度加强，监督检查，我国商业银行上下对操作风险仍缺乏统一的认识，基本上没有形成自觉自愿进行风险防范的氛围，风险防范的意识较弱化。即使某些商业银行认识到应该对操作风险进行防范，但认识上仍存在一定的偏差，尚未认识到操作风险的防范是一个全局的概念，是一个过程，需要全面认识，需要建立一个环环相扣、监督制约的动态机制。

第二，我国商业银行对操作风险的事前防范和预警机制尚未建立，防范的重心仍在事后，且操作风险管理工作较为分散，没有形成核心管理机构，缺乏统一性和协调性。

由于管理体系、技术条件和人员素质等方面的原因，我国商业银行事前风险控制工作显得较为薄弱，并没有相应的操作风险评估、衡量体系，无法量化风险，估计损失。对于操作风险的工作重心主要在事后管理上。如某商业银行在组织机构中设立了稽核处（内控办公室）、监察室、事后监督中心、贷后管理中心、检辅中心等风险管理部门。

第三，我国商业银行人力资源管理和配置方式不能适应风险防范的要求。

目前我国商业银行在人员数量、素质方面存在与业务发展不相适应的情况。以某国有商业银行为例，根据风险防范要求，不相容职责应该分离。但由于减员的要求，目前该行大部分分理处配置6名左右工作人员，储蓄所配置4至5名左右工作人员。随着网点经营业务品种的增加，网点机构风险控制点相应增加，因此一人多岗，一人多卡，主任混岗等“失控”现象频频发生，干部交流、员工轮岗以及强行休假制度得不到很好的落实，存在操作风险的隐患。

第四，我国商业银行计算机系统方面也存在着不少操作风险。计算机系统的不完善和失误所造成的问题影响面广，范围大，所引起的操作风险是不容忽视的。如某商业银行二级支行2004年3季度全行贷款计息出错就是一个例子，由于该行工作人员对计算机过于信赖，因此没有及时发现这一错误。更为严重的是部分人员在知道出错的情况下，也没有引起应有的重视，甚至向上反映也没有得到及时答复，最终造成该二级支行贷款计息错误一直拖了1个多月才予以更正。又如某商业银行业务处理系统对于手续费减免的监测和控制不严密，日常工作中难免出现手续费漏收或未经授权减免手续费的情况，影响了核算的规范化，存在一定的操作风险。

第五，商业银行内部制度建设缺乏规范性，部分内部控制制度僵化，制度传递不及时。

目前而言，我国商业银行内部各种规章制度名目繁多，发文管理欠规范。有些业务没有一个明确的规定，缺少指导性较强的文件；有些业务制度既存在着重复控制，又存在着控制盲点。如在新文件下发时，没有明确哪些文件要在该文件实施之日起废止，加大了实际操作的难度。有些相关规定又散落在各种不同的文件中，影响操作。

第六，商业银行内部的监督检查缺乏系统性，存在检查不到位，处罚力度不够的现象，不能有效的防范操作风险。

近些年，由于银行业金融案件不断发生，银监局和各商业银行内部都加大了对辖属网点的监督管理，因此各种类型的检查项目比较多，但并不是每一次检查都能切切实实达到效果。有些检查由于照顾情面，得过且过，检查质量、检查深度不尽人意，对被检查单位没有威慑力，起不到应有的警戒作用；有的检查由于时间紧，人员配备问题，匆忙上阵，检查深度和有效性不强；有的检查对发现的问题不及时处理，整改不落实。各类检查的严肃性不够，处罚力度不强，也影响了操作风险的有效防范。

第七，商业银行内部存在岗位职责不规范，激励机制不到位，权责不明，奖罚不利的现象，以至于对检查出的问题缺乏应有的重视，整改落实不到位。

在日常检查时，我们往往会遇到这样的事：操作人员表现得态度诚恳，并能及时整改，但其真正对待检查的态度却是不够积极，只是就事论事，查一点改一点，没有真正对该类问题进行全面改正，造成整改上的不到位。并且，在检查中经常会出现被查行的整改报告显示“已全部整改”，但复查中却未整改的现象。可见权责利不明确，奖罚不分明，就会出现问题屡查屡犯，整改之后又犯的现象，操作风险的发生就不可避免了。

第三部分 操作风险的识别

从人员因素、内部流程、系统缺陷和外部事件四个方面对操作风险形成的原因、损失种类及特征进行分析。

第一，人员因素:因商业银行员工发生内部欺诈、失职违规，以及因员工的知识\技能匮乏、核心员工流失、商业银行违反用工法等造成损失或者不良影响而引起的风险。内部欺诈:员工故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失。此类事件至少涉及内部人员一方，但不包括性别\种族歧视事件。我国商业银行员工违法行为导致的操作风险主要集中于内部人作案和内外勾结作案两种，属于多发风险。失职违规:商业银行内部员工因过没有按照雇佣合同、内部员工守则、相关业务及管理操作或者办理业务造成的风险，主要包括因过失、未经授权的业务或交易行为以及超越授权的活动。员工越权行为包括滥用职权、对客户交易进行误导或者支配超出其权限的资金额度，或者从事未经授权的交易等，致使商业银行发生损失的风险。商业银行应对员工越权行为导致的操作风险予以高度关注。知识技能\技能匮乏:商业银行员工由于知识\技能匮乏而给商业银行造成的风险，主要有一下三种行为模式：一在工作中，自己意识不到缺乏必要的知识，按照自己认为正确而实际错误的方式工作；意识到自己缺乏必要的知识，但是由于颜面或者其他原因而不向管理层提出或者声明其无法胜任某一工作或者不能处理面对的情况；二是意识到本身缺乏必要的知识，并进而利用这种缺陷。在前两种情况下，有关人员会按照他认为正确的方法工作，如果他们负责交易方面的工作，可能会给商业银行带来经济或者声誉方面的损失。最后一种情况属于欺诈。核心雇员流失:核心人员具备商业银行员工不普遍具备的知识，或者主要人员能够快速吸收商业银行的内部知识。核心人员掌握商业银行大量技术和关键信息，他们的流失将给商业银行带来不可估量的损失。核心雇员流失体现为对关键人员以来的风险，包括缺乏足够的后援\脐带人员，相关信息缺乏共享和文档记录，缺乏岗位轮换机制等。违反用工法:违法就业、健康或安全方面的法律或协议，包括劳动法、合同法等，造成个人工伤赔付或因性别\种族歧视事件导致的损失。

 第二，内部流程。内部流程引起的操作风险是指由于商业银行业务流程缺乏、设计不完善， 或者没有被严格执行而造成的损失，主要包括财务\会计错误、文件\合同缺乏、产品设计缺乏、错误监控/报告、结算/支付错误、交易/定价错误六个方面。财务/会计错误:商业银行内部在财务管理和会计账务处理方面存在流程错误，主要原因是财会制度不完善，管理流程不清晰，财会系统建设存在缺乏等。各商业银行从2007年开始根据新的会计准则进行财务制度的设计和相应管理流程的调整，有必要对相应操作风险予以关注，尤其是上市商业银行在不良贷款拨备方面的处理。文件/合同缺乏:也称文件/合同瑕疵，是指各类文件档案的制定、管理不善，包括不合适的或者不健全的文档结构，以及协议中出现错误或者缺乏协议等，主要表现为抵押权证、房产证丢失等。作为关键流程的有效控制与否的证据，文件/合同历来是各商业银行加强档案管理的重点。产品设计缺陷:商业银行为公司、个人、金融机构等客户提供的产品在业务管理框架、权利义务结构、风险管理要求等方面存在不完善、不健全等问题。产品的竞争是各商业银行市场竞争的主要体现。随着外资商业银行的进入，发达国家的先进金融工具会直接在我国转化并进入市场。为了满足客户要求，各商业银行会竞相模仿甚至在条件方面更优惠客户、流程更简单，但是内部流程的缺失、设计不合理或者执行得不到位，将造成更严重的风险。错误监控/报告:商业银行的错误监控/报告流程不明确、混乱，负责监控/报告的部门的职责不清晰，有关数据不全面、不及时、不准确，造成未履行必要的汇报义务或者对外部汇报不准确。银监会督促各商业银行加强公司治理机制，完善内部报告流程和信息披露工作。各银行在监控/报告的流程、频率和路线方面出现问题，造成决策层或者管理层不能及时发现并督促整改，形成的损失较难统计，但是应当形成有效的跟踪和反馈机制。结算/支付错误:商业银行计算支付系统失灵或延迟，如现金未及时送达网点以及对方商业银行等。国内外各商业银行均在大力推进运营与后台支持的集中化，在流程方面既加强对前台和中台的控制，又重视对商业银行总体管理的流程重整。交易/定价错误:在交易过程中，因未遵循操作规定、交易和定价产生错误。 

 第三，系统缺陷。由于信息科技部门或服务供应商提供的计算机系统或设备发生故障或其他原因，商业银行不能正常提供部分、全部服务或业务中断而造成的损失。包括系统设计不完善和系统维护不完善所产生的风险，具体表现为数据/信息质量风险、违反系统安全规定、系统设计/开发的战略风险，以及系统的稳定性、兼容性、适宜性方面存在问题等方面。

目前，各商业银行已经高度依赖信息系统，无论是对大客户的现金管理、对个人客户的网银服务，还是对商业银行内部进行风险管控，都要及时汇总对各项集中性风险的敞口，没有系统安全、及时的支持是无法解决的。在系统方面，最典型的风险是电脑“千年虫”的风险，世界各地的商业银行为此支付了巨额费用。而《巴塞尔新资本协议》的实施，对系统和数据需求又提出新的挑战。

 第四，外部事件。商业银行的经营是对在一定的政治、经济和社会环境中发生的，经营环境的变化，外部突发事件等都会影响商业银行的正常经营活动，甚至发生损失。具体包括，由于外部人员故意欺诈、骗取或盗用银行资产（资金）及违反法律而对商业银行的客户、员工、财务资源或声誉可能或者已经造成负面影响的事件。该类事件可能是内部控制失败或内部控制的薄弱环节，或是外部因素对商业银行运作或声誉造成的“威胁”。

商业银行对其面临的各项操作风险进行有效分类，是进行操作风险管理和报告的基础，是规范和同意全行操作风险管理“语言”，为建立操作风险重大事件报告制度、操作风险损失事件的数据收集、操作风险与控制评估流程等重要操作风险制度提供基础，为分析、解析操作风险数据提供基础定义。在具体方法上，主要对操作风险事件加以分类，同时也对操作风险事件的发生原因和影响进行分类，并通过确定影响评级、概率评级等方式评估风险的严重程度。（I）

第四部分 有关商业银行操作风险的防范措施

第一，商业银行全体干部员工必须更新风险防范理念，正确处理风险防范和业务拓展之间的关系。

从上级管理人员开始，改变传统的经营理念，加深对风险管理的理解，将操作风险的管理和防范纳入到整个银行风险防范的关注范围。通过教育、培训、目标管理等多种方式，切实提高全员，特别是领导层的风险意识和责任意识，深入理解风险和效益的关系。进一步了解风险的防范不是某一些人，某一些部门的责任，而是每一个部门、每一个员工的责任，需要全员共同参与风险管理。在业务拓展之时，必须坚持“内控先行”的原则，将“安全性”这一目标自觉融入到日常工作中，最终将风险意识贯穿到银行全体员工的自觉行动中去。

第二，加强对商业银行现有信息系统的管理，进一步重视系统数据的核对工作，加强内部信息资源共享和同业信息资源的利用。

我国商业银行现有业务系统大部分都已实现联网，信息管理能力正在不断较强。但由于系统升级、新业务上机、临时系统出错等原因，难免会出现机内数据不正确的情况，因此必须加强对计算机系统的数据检查，以及系统安全的管理。同时，应该明确落实各业务系统的管理部门，使操作人员遇到问题时可以及时询问，进行核查，从而有效防范操作风险。

另外，我国商业银行现有计算机网络正逐步强大，应进一步推广和加强行内行外信息资源的共享。如赋予风险管理委员会各种查询信息的权利，通过数据查询，及时掌握商业银行各项业务的开展情况，了解其中的风险隐患，为今后建立风险预警系统作准备。

第三，理顺各部门、组织的责任及其关系，改造商业银行现有的风险管理系统组织结构，建立有效的内部信息交流制度和报告制度。

改革现有的风险管理组织结构，建立以风险管理委员会（或内部控制部门）为核心，各业务部门相互协调、共同参与的风险管理组织体系。由风险管理委员会统一领导全行操作风险的管理和防范工作，由其统一指挥和协调，其他处室共同参与，切实落实对风险的全过程监督，避免各自为政，重复监督，重复检查的现状。

同时，必须关注风险管理委员会的职责问题，严格制定各成员及部门的责任，以免出现谁都参与风险管理，谁都不管的相互扯皮，无法落实责任的现象。

进一步建立有效的内部信息交流制度和报告制度。除了定期召开风险管理委员会例会外，还应要求各专业部门将检查的范围及所发现的问题及时报送风险管理委员会，以便统一领导全行的风险防范管理。

第四，严格内部控制制度，加强对文件的管理，提高文件的可行性、实用性。

不断规范和完善内部控制制度，规范对文件的管理。一是针对商业银行业已建立的内部控制制度，由各专业部门负责进行梳理，通过调研，广泛征集意见，区别两种情况，一种是与现实不相附，实务性不强，或是风险可控的环节，需要删去或修改的；一种是目前存在一定风险，但内部控制制度尚未包括在内的，需要增加的部分。可以鼓励银行内部操作层踊跃汇报反映制度中存在的缺陷，以便全面、及时的发现问题。若属本级行权力范围内的，由专业部门进行修改；若属于超出本级行权力范围的，应形成书面报告向上级反映，从而有效促进和规范内部控制制度的完善，促进上下级之间的信息交流，同时也有利于发挥广大员工的主观能动性，积极参与到商业银行的改革发展中来。另外，对于一时无法提供改进的制度，应及时向下级行（操作层）进行反馈，以便得到广大员工的理解和支持。信息的传递需要上下畅通，不仅要向上汇报时通畅及时，向下反馈也同样应该通畅及时，从而降低操作风险的发生。二是对发文进行规范管理，在新的文件下发之时，明确规定哪个文件将废止，同时各专业部门应该整理出本专业目前尚有效的所有文件，进行规范管理，避免文件过多过杂，或相关规定散落在不同文件中，影响执行。三是形成系统的风险控制制度和奖惩制度，让每一位员工认识到自身的工作岗位上可能存在的危险，时刻警觉，形成防范风险的第一道屏障。并通过明确的奖惩制度，鼓励好的行为，处罚坏的行为，体现内部控制制度的奖惩分明。通过对内部控制制度的规范和管理，使其具备灵活性，以适应市场不断变化的需要。

第五，进一步完善检查目的，改进检查方法，严肃检查结果，提高整改落实的效果。

我们知道，检查的最终目的不是查问题，而是通过对业务操作层的辅导，提高银行内部防范风险的能力，促进业务的不断发展。检查要善于抓住重点，对容易导致事故、案件和造成资产损失的薄弱环节、部门和岗位要进行重点监控。在检查过程中，标准应该严格，结果应分轻重，对于马上整改的问题应作为建议提出，提醒被检查部门提高重视，注意这一类问题的再次发生。同时不仅要检查出现存的问题，还要总结出现问题的环节是否属于一个风险点，并对风险进行区分，分析原因，在检查报告中予以列示。

第六，再造业务流程，减少操作风险。

商业银行内部各管理部门应该承担起业务流程再造的任务，深入研究本业务范围内的操作流程是否符合风险控制的要求，是否在有效防范风险的前提下，提高效率，促进业务发展。商业银行应为每项银行业务设计尽可能短的业务处理流程或程序，从客观上减少操作风险源，减少出现技术性风险的错误或事故机率，并尽量将业务流程中的高风险控制点纳入计算机的控制范围，通过在机内设置相应的要素，增加后台管理能力，减少人为的操作性风险。

第七，及时修订相应的高风险点管理控制要点，突出对业务高风险点的管理监控，重视基层机构的风险管理，抓好案件防范责任的落实。

业务高风险点是商业银行基础管理的薄弱环节，把高风险点控制与执行内控建设、内控综合评价结合起来，将对业务高风险点的管理作为各专业控制风险、防范案件的重点来抓，常抓不懈，不断完善内控方法，夯实管理基础，提高风险控制能力。

把基层机构的风险控制、预防、化解作为风险管理的重点，进一步完善基层机构风险管理的方法，切实控制基层机构风险。以某商业银行为例，该行检辅集中后，网点营业经理（总会计）处在基层机构风险管理的事中控制环节，因此该行十分重视发挥其在风险控制中的重要作用，同时不忘加强监督中心事后控制风险的作用。另外，通过加大检查监督，抓好基层管理人员的履职情况的落实，督促管理人员切实负起责任，提高工作责任心。检查中应克服查员工多、查负责人少的情况，防止对管理人员过分信任而梳于监督。

第八，明确岗位职责，加强对员工的管理，充分调动员工积极性，培养自觉学习的良好氛围。

有道是没有规矩不成方圆，只有每个员工都明确认识到自己该做什么，不该做什么，操作性的操作风险才能得到很好的防范。因此，必须具体落实每一个员工的职责，制定全面、规范、明确的岗位责任制，明确界定各岗位的操作权限，使人人认识到滥用职权是越权，“怠用”职权则是失职，每个银行职员都需要承担相应的责任。同时切实做好岗位职责的修改工作，及时根据文件和人员岗位的调整进行修改，做到人人有章可循。通过明确权、责、利，使好的岗位，职权大，相应的责任也大，只有具备相应能力的员工才敢去争这些岗位，从而有效的规避了操作风险的发生。建议可以建立内控扣分制度，对于高风险点的职责，应该是级别越高的相关人员，扣点和处罚的程度越高，以便加大管理层的责任，提高其对防范风险的重视度。

操作风险产生的一个主要原因还在于人的因素，因此提高全员按章办事的意识，不断学习业务技能，是防范操作风险的有效手段。通过充分调动员工的主观能动性，鼓励发现身边可能出现的操作性风险，加强事前防范能力。对每个员工赋予一定的目标，包括业绩和风险目标，充分调动员工的积极性。对员工制定的“业绩目标”不应超出员工个人能力所及的范围，也就是说“业绩目标”必须是可望而又可及的，能给人以动力和希望，但又不是可以坐享其成的。而风险目标应该是和业绩目标相辅相成的，使员工在开展业务的时候，关注该业务的风险。同时控制每个员工的工作量和业务量，使其有时间、有精力将风险防范纳入工作范围，不然即使制定了目标也会因为缺乏实际可行性而让人心寒。

进一步加大对人力资源管理的投入。一是进行人力资源再投资，提升员工的素质，减少道德风险所造成的操作风险。通过对员工进行调查，了解大家的实际要求，对培训方式的偏好，采取有针对性的方法，提高培训的效果，扩大培训面，促进全行形成一个良好的学习氛围，提高员工自身的素质和能力。二是有意识的培养专业风险管理人员，除在工作上要有意识地培养其专业技能外，还必须采用集中培训的方法，使风险管理人员能集中学习先进的风险管理知识，从而增强商业银行防范风险的能力。三是健全福利保障和用工制度，提升员工的基本保障水平，不会应过多担心生活问题而影响工作，引发操作风险和道德风险。

参考文献：

（1）刘平、戴硕、张铁。风险管理：中国金融出版社，2007。

（2）刘明彦。商业银行操作风险管理：中国经济出版社，2008。

（3）厉吉斌。商业银行操作风险管理：上海财经大学出版社,2008。