论商业银行操作风险的特征成因及其控制

一、导论……………………………………………………………………………3

二、商业银行操作风险的类别及特征……………………………………………4

三、商业银行操作风险的主要成因………………………………………………7

四、商业银行操作风险管控体系的改进建议……………………………………11

内 容 摘 要

 商业银行操作风险的主要形式是欺诈,具有反控制、容易被“能人”所做、“营销”所为以及“指标”所驱的外包装所掩盖等特征；商业银行操作风险的成因包括内控的过程管理流于形式，对操作风险的认识不足，传统的管理观念和习惯影响组织执行力的发挥，对操作风险的管控缺乏历史数据支持和经验累积，对风险管理控制工作的职责认识存在偏差，业务创新加大操作风险概率等。商业银行为了改进操作风险管控体系必须加强内部控制制度建设，提高内控部门在防范银行操作风险中的监督作用，完善银行的公司治理结构，构建内控发展系统的整体框架。

 关键词：商业银行；巴塞尔新资本协议；风险管控体系

商业银行操作风险的特征、成因及控制

导论

近年来，伴随金融业的快速发展，商业银行运营风险不断增加，相对而言，银行部门的风险监控显得难以应对。2008年4月，国际货币基金组织在其公布的《金融稳定报告》中指出，私人部门的风险管理以及金融部门的监管，相对于快速的金融创新以及商业模式的变化而言，都显得过于滞后。当银行风险积聚到一定程度时，银行危机在所难免。面对银行运营的不稳定性，商业银行的内部风险管控显得尤为重要。完善的内部风险管控是有效银行监管体系的根基。我们知道，尽管商业银行在运营过程中所面临的风险种类较多，但总体而言，可大体分为三类：一是信用风险；二是市场风险；三是操作风险。信用风险主要是指借款方不履约、信用等级下降，或者不能履行支付合同载明的债务等情形；市场风险是指由于银行资产和负债价格在市场上的变动而引起的风险，包括外汇交易风险、利率风险、商品和股票价格风险、抵押性贷款及存款选择性风险等。长期以来，商业银行的风险管理也主要集中于这两类风险，并且均已形成较为完善的风险管理体系。但随着银行业务的发展和业务流程的日益复杂，操作风险也开始引起国际银行业的广泛关注。

2004年6月，《巴塞尔新资本协议》全面引入操作风险概念，银行第一次被要求为操作风险单独提取规范准备金，其风险管理将面临专门而严格的监督，还要求披露操作风险所对应的资本以及所运用的测量技术。2005年3月27日，中国银行业监督管理委员会发布了《关于加大防范操作风险工作力度的通知》提出了操作风险的概念，并认为经过20多年的改革和发展，我国银行业的外部环境和内部机制都有了很大的变化，但是，对风险的识别与控制能力还不能适应业务发展的需要，与国际活跃银行在操作风险管理实践方面还有一定的差距。2007年5月14日。中国银监会颁布了《商业银行操作风险管理指引》明确指出操作风险是由不完善或有问题的内部程序、员工和信息科技系统以及外部事件所造成损失的风险。从近年来我国的实际情况看，商业银行的操作风险呈现不断上升之势，银行业因操作风险而引起的案件不断发生，其造成的负面影响非常严重，表明无论从理论还是从实践来看，我国操作风险管理还很不完善。本文首先分析商业银行操作风险的类别及特征，然后研究商业银行操作风险的主要成因、最后提出商业银行操作风险管控体系的改进建议。

二、商业银行操作风险的类别及特征

从世界范围的发展趋势看，金融服务全球化的发展，迅速调整的法律和监管体系、新经济模式（如网络银行、电子贸易等）的出现、更为复杂的交易工具、金融技术与信息技术的广泛和深入应用、银行利用风险缓释技术、外包业务的增加、加入清算及结算系统等，在减少了一些风险的同时又增加其他风险，包括在不同程度上增大银行业面临的操作风险、使得银行管理操作风险的难度提高。

操作风险造成的损失多种多样，从实物资产遭受破坏，到费用支出超过预算、各种欺诈行为，再到流程缺陷和未经授权交易的亏损等，这类风险从总体上可被划分为以下8类（巴特尔、廉桂萍，2007）：（1）内部欺诈风险，即银行人员受贿、贪污、挪用银行和客户资金等行为；（2）外部欺诈风险，即外部人员诈骗、偷盗、黑客操纵计算机等形成的银行损失；（3）客户、产品与经营行为风险，即由于银行产品设计不合理、服务合同不完善、单方面修改合同、擅自提高服务价格、服务质量不规范引发的诉讼而导致的银行损失；（4）实物资产的破坏风险，即由于洪水、地震、火灾等自然因素而造成的物理资产损失；（5）计算机系统失误风险，即由于硬件及软件瘫痪、设备及通信故障、程序错误、计算机病毒等原因造成交易不成功而形成的客户或银行资金损失；（6）执行交割和流程管理风险，即由于业务记账错误、未被授权的账户录入、未经客户允许的交易、抵押品管理失误等原因造成的损失；（7）雇员活动和工作场所的安全问题，即因银行员工在合同管理、福利保障方面违反相关规定形成的诉讼而造成银行资金损失；（8）系统参数的管理引起的风险。

基于对上诉诸多类型操作风险和银监会对银行操作风险案例的通报情况，可知商业银行操作风险的特征主要表现在：

1、操作风险在国内银行的主要形式是欺诈。欺诈包括内部员工、外部人员以及内外部勾结等形式的欺诈，其中内外勾结的欺诈是当前存在的主要形式，这种类型的损失事件一旦发生，其单笔损失金额和社会影响力非常大。例如：中国银行“高山案”涉案金额达10亿元人民币；中国银行广东开平支行资金挪用案涉案金额4.82亿美元；农业银行邯郸分行金库盗窃案涉案金额达5000万人民币，，还有农业银行天津分行挪用内部资金案等，这些均为典型的内、外部结构的欺诈案件。

2、操作风险大都发生在基层。由基层网点而引发的操作风险案例屡有发生。2001年2月至2004年8月，某支行分理处某柜员利用职务之便，采用定期存款业务反交易、要求客户重复输入存折密码等手段，先后作案93次，挪用和盗取客户存款数百万元。2004年10月28日至2005年4月16日，某柜员在骗取客户存入存款时采取正常办理业务操作流程，将打印好的存单递交客户，然后骗取授权，用反交易冲销原账务，再以原存款人或其他人姓名开立定期存单，或者存入已提前开立的活期账户，相应存单，存折自己保管控制。次日或数天后，又用自己持有的定期存单进行提前支取转入相关活期账户或直接拿走现金数十万元。另外，再如某日下班前，某支行的储蓄柜员盗用本所柜员主办卡和密码，以虚存手段，分别往另外3个不同户名中的牡丹灵通卡里3次虚存数十万元，共计数百万元。由于银行业务运作大多数集中在基层机构，且与上级行的控制力负相关，总行、分行更偏重于行使管理职能，当分支机构距离较远、受到的监管较弱时，分支机构的一些违规操作就不易被发现，操作风险发生的可能性就更大。

3、操作风险具有反控制特征。通过对以上案例的分析，我们不难发现，操作风险大多发生在客户经理、柜员和基层网点负责人身上。这些人对业务前、中、后台流程较为熟悉，具有反控制能力。虽然商业银行有整套的制度、流程控制，但百密总有一疏，道高一尺魔高一丈，这些人会利用流程和制度的漏洞避开控制，违规操作，使违法、违纪、违规行为更为隐蔽。

4、操作风险容易被“能人”所做、“营销”所为以及“指标”所驱的外包装所掩盖。当银行基层负责人、营业经理肩负着业务操作流程的第一道防线的把关任务时，往往因其不作为而形成巨大的风险隐患。

三、商业银行操作风险的主要成因

近年来，按照巴塞尔新资本协议和中国银监会的要求，我国各商业银行不断完善操作风险管控系统建设，取得了一定的成效。但是一系列触目惊心的金融大案要案的发生说明我国银行业风险管理体系尚不完善，对商业银行构成潜在的风险。我国商业银行操作风险的成因主要集中在以下几个方面：

1、对操作风险的认识不足。对现存操作风险的认识不到位，片面地认为一些操作风险引发的只是偶然事件，忽视其必然性。事实上，前面所提到的中国银行内外联手欺诈盗挪客户资金案例和2009年天津农业银行内部欺诈、挪用内部资金的案例并不是偶发事件，因为银行操作流程设计的缺陷诱发银行内部欺诈风险的发生具有一定程度的必然性：（1）网点负责发放回单和对账单，没有实现集中后台发放，，或通过系统技术支持实现客户与系统无缝联系，以满足内控所要求的双线制约，控制前台人员的操作风险。（2）暂收账户没有坚持每日后台对账监控，后台监督只是将前台前天的业务再重复审核，监控的重点不突出，后台审核不如后台集中专业化操作对控制操作风险更为经济有效。（3）流程设计的漏洞容易引发人的犯罪欲念，而操作设计的细节缺陷也是内部欺诈风险发生的诱因，设计的细节缺陷则源于对操作风险认识不足。

2、传统的管理观念和习惯音响组织执行力的发挥。内部控制在不同的组织体系下有不同的内涵。传统的经营管理方式忽视对风险的识别和分析，而满足于执行指令。问题表现为：一部分人习惯于甚至满足于传统的经营管理方式，认为只要能够规范化操作就可以，不必考虑是否先进；另一部分人片面强调改革组织结构的重要性，忽视了控制方式的跟进喝强化；还有一部分人不习惯新组织形式下的合作分工，部门利益高于一切，延长了组织转型的时间，加大了成本，影响银行竞争力水平的提高。这些都使组织和流程的改革同微观治理机制相脱离、都已经被实践证明是有害的。这类问题给国有企业在转轨过程中带来了巨大的损失。随着我国银行组织体系和操作流程改革的深入推进，这种问题不解决将会影响组织执行力的发挥。前述中行、农行的案例发生时间相隔多年，银监会和各商业银行董事会及高级管理层已经从不同层面对银行的内控工作和操作风险的管理有过要求和提示，但直到2009年部分银行的操作管理流程和内控工作仍没有得到改变，这说明受传统管理观念的影响、组织执行力出现了问题。

 3、内控的过程管理流于形式。根据巴塞尔委员会的定义，操作风险几乎涉及银行的各个职能部门。而目前负责操作风险监控的人员知识更新慢于前台业务部门，过去的业务经验已不能满足现实的风险控制分析的需要。风险监控人员素质问题以及内控文化建设方面的欠缺，使内控工作所要求的“全员、全过程、全方位”的三全目标还难以实现，无法让高层管理者了解银行经营中的操作风险的整体情况。目前虽然已建立起较为完善的操作风险管理架构，但内控部门对业务部门的过程管理在分行层面收到传统中庸文化的影响，很难发挥内控人员应有的作用，使内控的过程管理流于形式。在总行层面负责操作系统设计的人员缺乏对内控风险的评估、计量的考虑和经验，为控制操作风险而片面加大操作的难度和成本，加之基层操作人员认识风险的能力不高，加剧了基层操作人员对风险内控的抵制情绪。以保险箱的操作流程设计为例，此项业务过多地考虑了保护客户信息的私密性和银行操作的安全责任，而限制了代办代缴租金的做法，这样既忽视了客户的需求，也加大了银行操作成本，进而影响银行收益实现。如果在该项业务的操作设计上注意以“疏”的方式满足客户代扣代缴租金的服务需求，代替指纹控制代缴的“堵”的形式，注重操作设计的合理性而不流于形式，这样可能对控制操作风险更加有益。

 4、对操作风险的管控缺乏历史数据支持和经验积累。银行管理还不具备将风险定义、数据收集、风险评估和管理、资本配置和管理机制完全统一起来的能力。国际银行业已经采用的操作风险有效识别、计量、监测、控制的数据模型在我国银行业还未建立，在制度安排方面存在滞后性，在内控管理方面存在漏洞，使银行治理操作风险缺乏及时性、主动性、有效性、和目的性。对操作风险的根源和形成机制认识不足，有效的操作风险管控文化和正确的操作风险管理理念尚未真正培育和建立，这导致银行在操作风险管理上普遍存在重事后管理、轻事前防范，重个案查处、轻全面分析、重专项审计、轻全程管理的现象。由于内控薄弱，一些制度不合实际，执行力不强，更主要的是与信用风险、市场风险相比，操作风险往往被认为简单而容易被忽视。即使有巴林银行这样的前车之鉴，我国的银行管理更倾向于从衍生产品交易的市场风险中汲取教训，而忽略了问题的关键，即操作风险的管控。

 5、对风险管理控制工作的职责认识存在偏差。操作风险管理通常集中于实际损失或事件，而不是防患于未来损失，即重历史损失、轻风险防范。工作中一些中层管理者对业务管理部门即风险管理第一责任人的内控要求认识不请、将日常业务的检查管理推给内审和内控部。风险控制体系建设在国内商业银行已运转一段时间，而现在专业部门还经常将所应承担的日常检查和业务风险管理控制的第一责任推给内控和内审部门。对风险管控工作认识上的偏差导致银行的业务发展与风险控制不能“两手硬”。

 6、业务创新加大操作风险概率。操作风险对新业务领域的冲击较大，任何一家银行新的业务开展活新系统上线时，由于规章制度不完善、员工操作经验不足、管理上的漏洞等，都会增加操作风险发生的概率。

四、商业银行操作风险管控体系的改进建议

新巴塞尔协议中包含了银行风险管理方面的先进理念，基于这一理念以及中国的实际情况，本文认为，加强中国商业银行业的操作风险管理，建立操作风险管理框架，必须重点加强以下几个方面的工作：

1、加强内控制的建设。巴塞尔委员会发布的《关于操作风险管理的报告》指出：“内部控制是操作风险管理的重要工具，绝大多数操作风险事件都是与内控漏洞或者与不符合内控程序有关的。”所以，建立健全内控制度是防范操作风险的重要手段。

2、提高内控部门的监督作用。要注重对新业务和新金融工具的监管，注重对表外业务的检查，注重对操作风险隐患进行整改，完善非现场监管，及时提示告诫。各金融机构的内控部门应成为银行操作风险的信息中心，通过检查、上报等途径获取操作风险案件，通过内部风险通报方式，就银行面临的现时操作风险提示、告诫各级管理人员，避免同一类操作风险蔓延或长时间得不到有效控制。

3、完善银行的公司治理结构。良好的公司治理结构可以保证内控机制的实现，将各项操作和管理规则落到实处、有助于建立相互制约、相互协调的内部授权审批制和岗位职责、操作流程和指南、内控评级制度，辅之以告诫提示和违规积分处罚，从而建立起一整套控制操作风险的实施方案。

4、构建内控发展系统的整体框架。在我国银行股份制改制的第一个三年规划中，银行的内控合规工作重点在合规方面，在公司治理结构、内部组织结构和激励约束机制和内控文化建设等方面取得了不小的成绩，各行虽建立起了较为完善的操作风险管理体系，但分析对比COSO（The committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting,美国国家反欺诈性财务报告委员会）关于内部控制五要素（控制环境、风险评估、控制活动、信息与沟通、监控）和银监会发布的《指引》等的管理要求来看，我国银行的操作风险内控工作还存在一定的差距，特别是操作风险管理的前中后台管控框架还不十分清晰，操作风险管理的平衡制约机制也不十分健全。COSO对内控的定义是：内控是一个受某单位不同层次的人影响的过程，而设计这一过程是为实现三大目标提供合理的保证：一是操作性目标，即各种经营活动的效果和效率；二是信息性目标，即财务和管理目标的可靠性、完整性和及时性；三是遵从性目标，即遵从现行法律和规章制度。这三大目标既满足不同的需要，又相互交叉。内控是保证各项业务发展的，而不是妨碍其发展；内控受人的影响，而不只是政策、守则或表格；只能期待内控为管理层提供合理的保证，而不是绝对的保证。三大目标和五要素构造了内控系统的整体框架。

5、客观地评价与应对操作风险。银行可以通过市场价格的调节来获取与信用风险和市场风险对等的收益。信用风险来源于客户信用状况的变化，市场风险来源于市场价格波动，这两种风险均是外生性风险。操作风险主要来源于非经济周期因素，如技术失败、系统不完善、内控制度不健全、人员素质等，因而受经济周期影响较小。操作风险意味着给银行带来纯粹损失。但是由于大部分操作风险具有可控性特点，银行可以通过加大管理力度（增加管理成本）来缓释喝降低风险水平。操作风险来源于内部的人员、系统、程序方面的因素以及外部事件的冲击，其中内部因素是根本来源，外部因素归根结底也是要通过内部因素而发生作用，因而操作风险总体上属于内生性风险。银行可以选择接受或规避外生风险，但无力改变它，用户承担外生风险必须获得风险补偿，这可以通过金融产品和服务定价实现。然而操作风险是银行经营中不可避免的风险，而且随着银行管理信用风险、市场风险所运用的衍生工具越多、越复杂，操作风险可能会越容易发生。但操作风险不能通过定价来获得风险补偿，因为它不像信用风险和市场风险分别对应银行账户和交易账户，它对应的是银行的所有经营活动。对于外生风险。资本覆盖是可行的，对于内生风险，管理才是最有效的抵御方式。贷款的集中度控制、证券投资的有效组合、衍生工具的创新与运用、内外欺诈的防范等，这些都是依赖于银行的管理水平，对于应对操作风险，提升银行风险管理水平应该比较提高资本充足率更为重要。风险分类的意义在于使银行了解造成损失的原因，可以对症下药，采取积极措施控制降低风险，而不仅仅靠资本被动地抵御风险。数据表明，超过70%以上的操作风险与银行不完善或失败的内部程序、系统有关，这意味着银行管理水平左右着操作风险的高低，使客观准确定价变得困难。因此，操作风险的研究风格可能不同于传统风险定量研究，定型的管理措施的作用更不可忽视。成功的操作风险管理关键是“过程而不是结果”。业务部门负责操作风险的日常管理活动。操作风险管理组织机构并不是操作风险管理的惟一部门，具体的业务部门、法律部门等都承担着操作风险管理的责任，并且具体的业务部门在操作风险管理上承担着第一位的责任。操作风险管理的过程特性决定了它本身并不完备，需要建立一个纠错机制，来对操作风险管理中可能存在的问题进行及时的评价和纠正，以保证操作风险管理体系的顺畅运行。

 6.加强企业风险文化建设。风险文化是一种全员参与、覆盖全部业务范围的全面风险管理文化，是银行实施操作风险管理的内部环境动因。要从根本上防范操作风险，一方面需要从制度根源入手，健全和完善产权制度、公司治理‘组织结构和内部控制等制度安排，另一方面需要从人性根源出发，加强企业风险文化建设，从客观上扭转和改变代理人的机会主义倾向。强化激励与约束制度可以在短期内缓解和抑制操作风险，但从长期看，并不能消除操作风险的形成根源。

7.结合本行业务特点设定风险管理程序，或从专业公司引进风险管理系统（邵冰、徐越，2008）。首先，操作风险的管理应从权制内部政策、管理办法和操作流程的权利人入手，从业务设计的源头入手，将产品的销售环节是否可操作、操作流程设计是否专业化集约化。以往基层的博弈不仅内部管理成本高，而且会形成“会哭的孩子有奶吃”的局面，操作流程在基层行无法统一，甚至影响到操作风险管理所要求的部门与岗位分离、双线制约的基础底线，而加大了内部操作风险。其次，商业银行应在总行层面统一设计各类岗位的职责、操作指引和奖惩考核办法，特别是要被涉及客服服务面最广的网点的岗位设计与操作流程设计相结合，每类岗位人员的岗位职责、操作范围指引、考核奖惩等全部纳入岗位设计中，并随业务的发展将这种分析纳入日常岗位工作指引中。在岗位操作指引的梳理中及时发现操作流程存在的风险和高成本的问题，并加以及时的修正。这样将使权力层更加贴近组织的管理细节，提高工作效率，统一管理，降低成本和风险。

 随着金融全球化的不断深入、金融创新的不断加速以及新技术的革新和运用，银行业将面临日益复杂的来自于内部和外部的操作风险。成功的进行操作风险管理，对银行的生存和发展至关重要，这就需要加大对银行操作风险的研究，有效提高商业银行管控水平。

参考文献

[1]巴特尔 廉桂蒲，《论我国商业银行操作风险的防范》，《北方经济》2007年第16期

[2]邵冰 徐超，《论我国银行操作风险管理体系的完善》，《经济

研究导刊》2008年第4期

[3]陈西清 《全球金融危机下中国商业银行竞争策略的若干选择》，《国际金融研究》2009年第6期

[4]邱胜利 《内部控制与操作风险管理》中国金融出版社2006年7月

[5]梁力军等《我国商业银行操作风险管理能力影响因素及管理状况分析》《管理评论》2010年第5期 

[6]吕香茹《商业银行全面风险管理》中国金融出版社2009年3月

[7]《商业银行操作风险识别与管理》人民大学出版社2005年9月

[8]唐爱民《商业银行操作风险管理的基本框架》，《济南经济》2005年第6期

[9]许文 徐明圣《商业银行风险管理--理论与实践》经济管理出版社2009年6月

[10]张静 马力《商业银行操作风险度量与管理》，《管理现代化》

2003年第5期