我国商业银行操作风险管理研究

XCLW123054 我国商业银行操作风险管理研究

一、操作风险概述

（一）、人为操作性的风险

（二）、非操作性的操作风险

二、现代商业银行在操作风险管理方面存在的问题

（一）、我国商业银行内部对操作风险的意识比较薄弱

（二）、我国商业银行对操作风险的事前防范和预警机制尚未建立

（三）、我国商业银行人里资源和配置方式不能适应风险防范的要求

（四）、我国商业银行计算机系统方面也存在着不少操作风险

（五）、商业银行内部制度建制制度僵化，设缺乏规范性，部分内部控制度传递不及时。

（六）、商业银行内部的监督检查缺乏系统性，存在检查不到位，处罚力度不够的现象，不能有效的防范操作风险

（七）、商业银行内部存在岗位职责不规范，激励机制不到位，权责不明，奖罚不利的现象，以至于对检查出的问题缺乏应有的重视，整改落实不到位

（八）、商业银行内部人员流动过大，部分员工学习自觉性不强，业务技能、知识水平不能满足要求，按章操作观念淡化，以至于有章不循、违章操作，带来操作风险。

三、有关现代商业银行操作风险的防范措施

内容摘要

商业银行所面临的风险包括信用风险、市场风险和操作风险。长期以来，信用风险和市场风险一直为人们所关注，而操作风险却往往处于被遗忘的角落。这种认识上的误区导致了现代商业银行对操作风险管理的不当。按照巴塞尔银行业委员会的估计，在银行业所有风险中，操作风险所造成的损失已经发展到仅次于信用风险的地步。因此操作风险是现代商业银行风险管理的重中之重。本文从操作风险的基本概念入手，分析了现代商业银行在操作风险管理方面所存在的问题，并对症下药，寻求防范操作风险的有效途径。

关键词：现代商业银行操作风险防范

我国商业银行操作风险管理研究

与所有的企业一样，现代商业银行的运作过程也是一个投资过程。现代商业银行的最高目标是创造价值，即在投资过程中追求企业价值最大化。根据“风险价值”理念，实现价值和规避风险是一一对应的，可以说现代商业银行的全部工作归根结底就是“风险管理”，即整合资源，规避风险。

就商业银行所面临的风险而言，主要包括以下三大类，即信用风险、市场风险和操作风险。长期以来，信用风险和市场风险一直为人们所关注，而操作风险却往往处于被遗忘的角落。这种认识上的误区导致了现代商业银行对操作风险管理的不当。按照巴塞尔银行业委员会的估计，在银行业所有风险中，操作风险所造成的损失已经发展到仅次于信用风险的地步。因此操作风险是当今中国银行业风险管理的重中之重，是当下乃至今后一段时间内现代商业银行必须高度重视，并着手狠抓的一项重要任务。本文从操作风险的基本概念入手，分析了现代商业银行在操作风险管理方面所存在的问题，并对症下药，寻求防范操作风险的有效途径。

一、操作风险概述

巴塞尔银行委员会对操作风险的定义为：由于内部程序、人员、系统的不完善或失误，或外部事件造成直接或间接损失的风险。一般而言，目前对操作风险的分类有两种方法。第一种将操作风险简单的分为人员因素引起的操作风险、流程因素引起的操作风险、系统因素引起的操作风险和外部事件引起的操作风险四类。第二种分类方法将操作风险较详细的分为七类，包括内部欺诈；外部欺诈；雇员活动和工作场所的安全问题；客户、产品和业务活动的安全问题；银行维系经营的实物资产损坏；业务中断和系统错误；行政、交付和过程管理等。

从操作风险的定义和分类方法中我们不难发现，操作风险的来源不外乎以下两个方面：一是人为、操作性的操作风险，二是非操作性的操作风险。从我国各商业银行在操作风险管理方面的现状来看，目前各商业银行对操作风险的管理尚不完善，在操作风险管理理念、管理框架、管理手段等方面都存在着很大的缺陷，即使部分商业银行对操作风险有所关注，也还只是停留在操作性的操作风险层面。

二、现代商业银行在操作风险管理方面存在的问题

从近年来银监局和各商业银行对银行业务的专业检查、内控调研，以及对经营管理状况的了解情况来看，我国商业银行对操作风险的管理尚不完善，还存在着较多的缺陷，主要表现在以下几个方面：

第一，我国商业银行内部对操作风险的意识比较薄弱，对操作风险的认识存在偏差，因此未能正确处理好风险管理与市场营销、市场开拓的关系。

由于风险是一种不确定性事件，它的出现和造成的损失不是确定的，即使发生风险，在时间上也是滞后的。因此，长期以来我们总是将其放在附属的位置上，全身心的投入到眼前“确定”的业务收益之中。即使经过了这些年的思想灌输、制度加强，监督检查，我国商业银行上下对操作风险仍缺乏统一的认识，基本上没有形成自觉自愿进行风险防范的氛围，风险防范的意识较弱化。即使某些商业银行认识到应该对操作风险进行防范，但认识上仍存在一定的偏差，尚未认识到操作风险的防范是一个全局的概念，是一个过程，需要全面认识，需要建立一个环环相扣、监督制约的动态机制。比如某些商业银行内部人员认为操作风险防范的方法主要在制订制度、事后监督，防范的对象主要在操作层，因而造成银行内部各种规章制度多而杂乱，对操作人员的检查名目繁多。

对操作风险认识上的误区导致了我国商业银行在处理风险管理与市场营销、市场开拓的关系中，往往处于“放松－过紧－放松”这样一个非良性循环中。也就是说前些年，商业银行往往把加强风险管理与拓展业务、实现效益对立起来，在业务拓展和风险防范的抉择中，侧重于抓规模、抓效益，忽略了对违规违章现象的防范。而这两年，在向现代商业银行转变的过程中，商业银行大多开始强调风险控制，这又导致部分行处出现了在市场拓展方面谨小慎微，在风险防范方面过多注重表面现象，造成银行业务在一定程度上有所萎缩。随之为完成指标，拓展业务，相关行处又产生急躁情绪，进而又会将风险控制的要求置于脑后。可见，

这样一种对风险管理和业务开拓关系处理不妥当的做法，将不利于现代商业银行的长期发展和稳定

第二，我国商业银行对操作风险的事前防范和预警机制尚未建立，防范的重心仍在事后，且操作风险管理工作较为分散，没有形成核心管理机构，缺乏统一性和协调性。

由于管理体系、技术条件和人员素质等方面的原因，我国商业银行事前风险控制工作显得较为薄弱，并没有相应的操作风险评估、衡量体系，无法量化风险，估计损失。对于操作风险的工作重心主要在事后管理上。如某商业银行在组织机构中设立了稽核处（内控办公室）、监察室、事后监督中心、贷后管理中心、检辅中心等风险管理部门。但这些部门都只起到了事后防范的作用，并没有系统的评估风险的过程，识别风险的能力较弱。

同时，我国商业银行尚未成立一个风险核心管理机构，有的商业银行虽成立了一定的风险管理机构，但从对风险的整体管理而言，尚未能总揽全部风险的管理工作，不是有效的风险核心管理机构。且工作中对风险管理缺乏统一协调和集中管理，未将具体责任落实到操作风险的所有相关部门。以某国有商业银行二级分行为例，该行从市分行到支行都设立了内控委员会，但一些支行的内控委工作在一定程度上流于形式，应付上级。且相关风险管理部门之间的协调和配合并不顺畅，某些职责的落实并不明确、清晰，对风险的管理不到位。各个业务部门各自为政、分头管理，缺乏应有的信息互通，偶尔还会出现检查依据不一致的情况，造成总体检查次数较多，重复检查的情况时有发生。

第三，我国商业银行人力资源管理和配置方式不能适应风险防范的要求。

目前我国商业银行在人员数量、素质方面存在与业务发展不相适应的情况。以某国有商业银行为例，根据风险防范要求，不相容职责应该分离。但由于减员的要求，目前该行大部分分理处配置6名左右工作人员，储蓄所配置4至5名左右工作人员。随着网点经营业务品种的增加，网点机构风险控制点相应增加，因此一人多岗，一人多卡，主任混岗等“失控”现象频频发生，干部交流、员工轮岗以及强行休假制度得不到很好的落实，存在操作风险的隐患。

银行内部业务管理人员的管理水平与业务管理的规范要求存在一定差距，影响、减弱内控实施的有效性。如部分商业银行总会计或营业经理业务水平不高，对不相容业务的风险认识不足；信贷员、审查员不胜任贷款管理，不能根据企业的基本情况、经营状况等信息，对企业进行全面、综合的风险分析和评估，无法满足贷款“安全性”的管理要求等。

第四，我国商业银行计算机系统方面也存在着不少操作风险。

计算机系统的不完善和失误所造成的问题影响面广，范围大，所引起的操作风险是不容忽视的。如某商业银行二级支行2004年3季度全行贷款计息出错就是一个例子，由于该行工作人员对计算机过于信赖，因此没有及时发现这一错误。更为严重的是部分人员在知道出错的情况下，也没有引起应有的重视，甚至向上反映也没有得到及时答复，最终造成该二级支行贷款计息错误一直拖了1个多月才予以更正。又如某商业银行业务处理系统对于手续费减免的监测和控制不严密，日常工作中难免出现手续费漏收或未经授权减免手续费的情况，影响了核算的规范化，存在一定的操作风险。

第五，商业银行内部制度建设缺乏规范性，部分内部控制制度僵化，制度传递不及时。

目前而言，我国商业银行内部各种规章制度名目繁多，发文管理欠规范。有些业务没有一个明确的规定，缺少指导性较强的文件；有些业务制度既存在着重复控制，又存在着控制盲点。如在新文件下发时，没有明确哪些文件要在该文件实施之日起废止，加大了实际操作的难度。有些相关规定又散落在各种不同的文件中，影响操作。在文件中类似“原则上”这样的规定较多，执行起来形同虚设。

还有一些制度管理部门在制订制度时，比较注重控制风险，没有考虑制度实施的可行性，使许多制度在基层营业网点难以完全执行，流于形式。另外某些上级行的文件传达不到基层，或在转发过程中存在时间滞后的现象，造成制度贯彻执行中的断层、盲点，是非标准难辨，造成内控制度贯彻落实不到位。

第六，商业银行内部的监督检查缺乏系统性，存在检查不到位，处罚力度不够的现象，不能有效的防范操作风险。

近些年，由于银行业金融案件不断发生，银监局和各商业银行内部都加大了对辖属网点的监督管理，因此各种类型的检查项目比较多，但并不是每一次检查都能切切实实达到效果。有些检查由于照顾情面，得过且过，检查质量、检查深度不尽人意，对被检查单位没有威慑力，起不到应有的警戒作用；有的检查由于时间紧，人员配备问题，匆忙上阵，检查深度和有效性不强；有的检查对发现的问题不及时处理，整改不落实。因此，检查工作的质量和效果受到影响，达不到应有的效果。

另外，商业银行对某些存在风险隐患的部位，内部各监督部门均未纳入检查范围，造成了检查上的真空、漏洞。此外，银行内部的各种检查监督力量各自为政，形不成合力，导致重复检查、低效率检查。而相对于基层行而言，就出现被查次数多，接待压力大，疲于应付，导致检查效果不明显的现象。

第七，商业银行内部存在岗位职责不规范，激励机制不到位，权责不明，奖罚不利的现象，以至于对检查出的问题缺乏应有的重视，整改落实不到位。

目前一些商业银行对员工的责、权、利的规定不明确，没有制定完善的岗位职责。在制度建设上，往往注重处罚机制，相应的奖励机制不健全。而在落实处罚时，往往又出现处罚依据可协商，处罚标准“就低不就高”的现象。在日常检查时，我们往往会遇到这样的事：操作人员表现得态度诚恳，并能及时整改，但其真正对待检查的态度却是不够积极，只是就事论事，查一点改一点，没有真正对该类问题进行全面改正，造成整改上的不到位。并且，在检查中经常会出现被查行的整改报告显示“已全部整改”，但复查中却未整改的现象。可见权责利不明确，奖罚不分明，就会出现问题屡查屡犯，整改之后又犯的现象，操作风险的发生就不可避免了

第八，商业银行内部人员流动过大，部分员工学习自觉性不强，业务技能、知识水平不能满足要求，按章操作观念淡化，以至于有章不循、违章操作，带来操作风险。

随着金融业竞争的加剧，对人才的需求也在不断加大，因此各商业银行内部人员的流动性加剧。但目前我国商业银行还没有建立一套真正科学、合理、有效的新员工培训机制，老员工后续教育机制。导致虽然有“师傅带徒弟”的培训办法，但师傅的操作也并不完全规范，徒弟的规范性便无从谈起，因此技术性风险错误或事故难以根绝，这也是我们在日常内部管理中出现频率最高的问题。以某国有商业银行为例，在改革的过程中，该行客户经理和临柜员工队伍变化过快，新老员工的频繁替换造成违规操作在新员工中不断出现。

另外，由于部分员工对规章制度的学习不够，存在“有章不知”的现象，责任意识、风险意识和自我保护意识的淡漠，因此带来风险隐患。如有的员工以感情代替内控制度，员工之间相互信任，排斥“认制度不认人”的法理性控制机制。一些员工认为只求自己不出问题，别人出问题与已无关，是部门领导和行长的事，从而放弃了应有的监控责任。

三、有关现代商业银行操作风险的防范措施

第一，现代商业银行全体干部员工必须更新风险防范理念，正确处理风险防范和业务拓展之间的关系。

从上级管理人员开始，改变传统的经营理念，加深对风险管理的理解，将操作风险的管理和防范纳入到整个银行风险防范的关注范围。通过教育、培训、目标管理等多种方式，切实提高全员，特别是领导层的风险意识和责任意识，深入

理解风险和效益的关系。进一步了解风险的防范不是某一些人，某一些部门的责任，而是每一个部门、每一个员工的责任，需要全员共同参与风险管理。

同时应从上到下全面认识业务拓展和风险管理的关系，两者必须相适应。在业务拓展之时，必须坚持“内控先行”的原则，将“安全性”这一目标自觉融入到日常工作中，最终将风险意识贯穿到银行全体员工的自觉行动中去。通过广泛的风险教育和提高对业务上风险的重视，使所有员工了解操作风险，培养对风险的敏感性。

第二，加强对商业银行现有信息系统的管理，进一步重视系统数据的核对工作，加强内部信息资源共享和同业信息资源的利用。

我国商业银行现有业务系统大部分都已实现联网，信息管理能力正在不断较强。但由于系统升级、新业务上机、临时系统出错等原因，难免会出现机内数据不正确的情况，因此必须加强对计算机系统的数据检查，以及系统安全的管理。同时，应该明确落实各业务系统的管理部门，使操作人员遇到问题时可以及时询问，进行核查，从而有效防范操作风险。

银行同业之间应及时互通各种信息资源，通过交流好的经验措施来更好的防范风险。

第三，理顺各部门、组织的责任及其关系，改造现代商业银行现有的风险管理系统组织结构，建立有效的内部信息交流制度和报告制度。

改革现有的风险管理组织结构，建立以风险管理委员会（或内部控制部门）为核心，各业务部门相互协调、共同参与的风险管理组织体系。由风险管理委员会统一领导全行操作风险的管理和防范工作，由其统一指挥和协调，其他处室共同参与，切实落实对风险的全过程监督，避免各自为政，重复监督，重复检查的现状。

同时，必须关注风险管理委员会的职责问题，严格制定各成员及部门的责任，以免出现谁都参与风险管理，谁都不管的相互扯皮，无法落实责任的现象。

进一步建立有效的内部信息交流制度和报告制度。除了定期召开风险管理委员会例会外，还应要求各专业部门将检查的范围及所发现的问题及时报送风险管理委员会，以便统一领导全行的风险防范管理。另外，应对信息交流和报告制度建立相应的规章制度，避免内部各管理部门从自身利益出发，隐瞒不报，或是对该项工作不加重视。

第四，严格内部控制制度，加强对文件的管理，提高文件的可行性、实用性。

防范操作风险的第一道防线应该是严格的内部控制制度和有效的风险管理。现代商业银行应制定行之有效的规章制度和各种操作规程，切实落实责任，形成系统的风险控制制度和奖惩制度。

不断规范和完善内部控制制度，规范对文件的管理。一是针对商业银行业已建立的内部控制制度，由各专业部门负责进行梳理，通过调研，广泛征集意见，区别两种情况，一种是与现实不相附，实务性不强，或是风险可控的环节，需要删去或修改的；一种是目前存在一定风险，但内部控制制度尚未包括在内的，需要增加的部分。可以鼓励银行内部操作层踊跃汇报反映制度中存在的缺陷，以便全面、及时的发现问题。若属本级行权力范围内的，由专业部门进行修改；若属于超出本级行权力范围的，应形成书面报告向上级反映，从而有效促进和规范内部控制制度的完善，促进上下级之间的信息交流，同时也有利于发挥广大员工的主观能动性，积极参与到商业银行的改革发展中来。另外，对于一时无法提供改

进的制度，应及时向下级行（操作层）进行反馈，以便得到广大员工的理解和支持。信息的传递需要上下畅通，不仅要向上汇报时通畅及时，向下反馈也同样应该通畅及时，从而降低操作风险的发生。二是对发文进行规范管理，在新的文件下发之时，明确规定哪个文件将废止，同时各专业部门应该整理出本专业目前尚有效的所有文件，进行规范管理，避免文件过多过杂，或相关规定散落在不同文件中，影响执行。三是形成系统的风险控制制度和奖惩制度，让每一位员工认识到自身的工作岗位上可能存在的危险，时刻警觉，形成防范风险的第一道屏障。并通过明确的奖惩制度，鼓励好的行为，处罚坏的行为，体现内部控制制度的奖惩分明。通过对内部控制制度的规范和管理，使其具备灵活性，以适应市场不断变化的需要。

第五，进一步完善检查目的，改进检查方法，严肃检查结果，提高整改落实的效果。

我们知道，检查的最终目的不是查问题，而是通过对业务操作层的辅导，提高银行内部防范风险的能力，促进业务的不断发展。检查要善于抓住重点，对容易导致事故、案件和造成资产损失的薄弱环节、部门和岗位要进行重点监控。在检查过程中，标准应该严格，结果应分轻重，对于马上整改的问题应作为建议提出，提醒被检查部门提高重视，注意这一类问题的再次发生。同时不仅要检查出现存的问题，还要总结出现问题的环节是否属于一个风险点，并对风险进行区分，分析原因，在检查报告中予以列示。

第六，再造业务流程，减少操作风险。

现代商业银行内部各管理部门应该承担起业务流程再造的任务，深入研究本业务范围内的操作流程是否符合风险控制的要求，是否在有效防范风险的前提下，提高效率，促进业务发展。商业银行应为每项银行业务设计尽可能短的业务处理流程或程序，从客观上减少操作风险源，减少出现技术性风险的错误或事故机率，并尽量将业务流程中的高风险控制点纳入计算机的控制范围，通过在机内设置相应的要素，增加后台管理能力，减少人为的操作性风险。

第七，及时修订相应的高风险点管理控制要点，突出对业务高风险点的管理监控，重视基层机构的风险管理，抓好案件防范责任的落实。

业务高风险点是商业银行基础管理的薄弱环节，把高风险点控制与执行内控建设、内控综合评价结合起来，将对业务高风险点的管理作为各专业控制风险、防范案件的重点来抓，常抓不懈，不断完善内控方法，夯实管理基础，提高风险控制能力。

把基层机构的风险控制、预防、化解作为风险管理的重点，进一步完善基层机构风险管理的方法，切实控制基层机构风险。以某商业银行为例，该行检辅集中后，网点营业经理（总会计）处在基层机构风险管理的事中控制环节，因此该行十分重视发挥其在风险控制中的重要作用，同时不忘加强监督中心事后控制风

险的作用。另外，通过加大检查监督，抓好基层管理人员的履职情况的落实，督促管理人员切实负起责任，提高工作责任心。检查中应克服查员工多、查负责人少的情况，防止对管理人员过分信任而梳于监督。

第八，明确岗位职责，加强对员工的管理，充分调动员工积极性，培养自觉学习的良好氛围。

有道是没有规矩不成方圆，只有每个员工都明确认识到自己该做什么，不该做什么，操作性的操作风险才能得到很好的防范。因此，必须具体落实每一个员工的职责，制定全面、规范、明确的岗位责任制，明确界定各岗位的操作权限，使人人认识到滥用职权是越权，“怠用”职权则是失职，每个银行职员都需要承担相应的责任。同时切实做好岗位职责的修改工作，及时根据文件和人员岗位的调整进行修改，做到人人有章可循。通过明确权、责、利，使好的岗位，职权大，相应的责任也大，只有具备相应能力的员工才敢去争这些岗位，从而有效的规避了操作风险的发生。建议可以建立内控扣分制度，对于高风险点的职责，应该是级别越高的相关人员，扣点和处罚的程度越高，以便加大管理层的责任，提高其对防范风险的重视度。

操作风险产生的一个主要原因还在于人的因素，因此提高全员按章办事的意识，不断学习业务技能，是防范操作风险的有效手段。通过充分调动员工的主观

能动性，鼓励发现身边可能出现的操作性风险，加强事前防范能力。同时控制每个员工的工作量和业务量，使其有时间、有精力将风险防范纳入工作范围，不然即使制定了目标也会因为缺乏实际可行性而让人心寒。

进一步加大对人力资源管理的投入。一是进行人力资源再投资，提升员工的素质，减少道德风险所造成的操作风险。通过对员工进行调查，了解大家的实际要求，对培训方式的偏好，采取有针对性的方法，提高培训的效果，扩大培训面，促进全行形成一个良好的学习氛围，提高员工自身的素质和能力。二是有意识的培养专业风险管理人员，除在工作上要有意识地培养其专业技能外，还必须采用集中培训的方法，使风险管理人员能集中学习先进的风险管理知识，从而增强商业银行防范风险的能力。三是健全福利保障和用工制度，提升员工的基本保障水平，不会应过多担心生活问题而影响工作，引发操作风险和道德风险。

参考文献

1.巴塞尔委员会.操作风险管理与监管的稳健做法,2006

2.巴塞尔委员会.巴塞尔新资本协议,2005 3.赵先信.银行内部模型和监管模型.上海人民出版社,2007 4.张吉光.商业银行操作风险识别与管理.中国人民大学出版 2005

5.招商银行.商业银行管理前沿.中信出版社,2006