我國商業銀行操作風險分析

巴林銀行事件發生后，“Operational Risk”一詞在國際學術界和金融界開始被頻頻提及，金融界開始認識到在信用風險和市場風險之外，另一種風險也可以對銀行造成巨大的沖擊，甚至于破產，“Opera?鄄tional Risk”開始進入人們的視野。

一、我國商業銀行操作風險現狀分析

（一）商業銀行操作風險現狀的定性分析

1.沒有形成操作風險的管理意識

在實際管理中，不善于分析不同操作風險產生的根源，只注意操作風險事件的表面現象，就事論事。目前我國商業銀行對信用風險和市場風險管理相對較重視，但對操作風險則沒有配套的防范和控制措施，甚至沒有專門的部門和人員來對操作風險進行管理。

2.操作風險匯報線路和業務流程存在缺陷

我國商業銀行的管理層級多，又沒有良好的全流程監控，分支機構潛伏和暴露的問題往往令人防不勝防，又增加了操作風險管理的難度。首先，多級管理模式難以對操作風險特性、度量和控制達成共識。其次，多級管理模式給操作又增添了一系列風險隱患。實踐中，一些重要的操作風險管理制度缺乏總體的設計和協調，也未嚴格遵循內部控制要求的前后臺職能分離原則，風險管理職能大多由各個業務管理部門負責，存在管理職能交叉、業務流程不清晰的現象，且還有不少管理死角，導致潛在操作風險較大。

3.操作風險的管理方式失效

長期以來，我們對銀行高管人員采取的是行政性的官本位手段，市場化的激勵約束手段運用不足，高管人員具有很強的道德風險，缺乏在管理上的高度責任感和事業心，導致管理制度的系統化和長期化不足。這是近年來銀行業出現問題的關鍵。因而，在操作風險的識別、評估和控制等各環節上還不能做到定量分析，對風險的大小和危害只是定性估計和主觀感覺.對風險的管理大多是以事后補救為主的亡羊補牢式，缺乏有效的事前防范和事中控制，對易發生操作風險的環節崗位缺乏有效的防范措施。在發生操作風險事件后，只是突擊檢查、查找漏洞、進行整改、處理有關責任人。通常情況下，整改的結果就是加強防范，而防范的措施往往就是修改或增加現有的管理規定，增加一道防線，增加人員和環節。這種管理方式不僅效率低下，成本較高，而且只治標不治本，致使同樣的操作風險事件(主要是操作失誤和惡意欺詐)依然在各銀行中屢屢發生。

4.系統建設和監督尚欠有力

近年來，國內商業銀行在金融信息化、電子化方面的建設確實有了長足的改善，但系統建設的滯后使得總行難以對分支行進行準確到位的內部監控，也是造成案件頻發的重要原因。

（二）當前商業銀行操作風險現狀的定量分析

近期，國內有人對我國的操作風險進行了實證分析(樊欣、楊曉光，2003)。通過收集媒體公開報道的我國商業銀行71起操作風險損失事件，對我國商業銀行的操作風險狀況做一個定量的概括歸納，以期能初步認識我國商業銀行操作風險的各種屬性。他們的研究結論是:

1.損失事件主要集中在商業銀行業務和零售銀行業務，損失事件主要可以歸因于內部欺詐、外部欺詐

2.從業務部門和損失事件類型兩種因素的組合來看，占到損失事件比例最大的是商業銀行業務中的內部欺詐，其次是商業銀行業務中的外部欺詐行為

3.單筆損失金額的均值相差很大

按損失事件看，最高的是外部欺詐，其次是內部欺詐，其他依次是客戶、產品以及商業行為，執行、交割以及交易過程，最少的是經營中斷和系統出錯。這說明，在度量操作風險時，應該分別考慮每個業務部門和每個風險事件組合下的損失分布情況。

4.損失事件的多少與銀行的總資產規模成正相關，但損失金額多少與總資產沒有明顯的相關性

這說明，一個銀行操作風險的大小是由其內部控制是否嚴密決定的，而不是由總資產規模決定的。

二、我國商業銀行應對操作風險的政策建議

（一）建立和完善操作風險管理體系

１.梳理銀行的組織架構，設立專門的風險管理委員會總攬銀行風險控制，形成順暢有效的匯報路線

在風險管理委員會下設市場風險、信用風險、操作風險等專業管理委員會，在操作風險管理委員會領導下協調管理操作風險。操作風險管理委員會要加強部門之間的溝通協作，定期不定期召開操作風險管理聯席會議，分析內外部操作風險形勢，評估風險暴露程度，研究制訂防范措施。

２.專設操作風險管理崗位

一般來說，操作風險與日常業務經營密切相關，因此需要分散在不同業務部門進行控制和管理，需要在業務部門設立專職的操作風險經理崗位。它既要對本部門負責，又要向上一級操作風險管理部門負責，從而形成一個以操作風險管理委員會為中心，橫向拓展到相關部門，縱向延伸到基層營業網點的操作風險全面管理體系。扁平化改革成熟后，可實行操作風險經理派駐制或下管一級。操作風險經理的職責是：充分識別本部門所涉及的業務線操作風險損失類型，全面評估風險暴露程度，實時監測，及時預警。

3.“人”是操作風險管理的核心

要把以人為本的管理思想貫穿于操作風險防范全過程，將績效管理與風險控制結合，充分發動和依靠廣大員工抓好操作風險管理工作。從定義理解，操作性風險包括兩方面：一是人員因素引起的操作風險中的操作失誤、違法行為、越權行為；二是流程因素引起的操作風險中的流程執行不嚴格。相對于對流程、系統和外部事件的風險管理而言，操作風險管理的核心仍然是對人的管理。通過培育全員的風險管理文化，金融機構才能實現良性發展。

4.建立科學的決策機制

對商業銀行而言，應形成基于個人負責制基礎上的集體決策制。強調全面風險管理就必須意識到，一般員工或高管人員都必須基于個人對其行為負責的微觀基礎之上，風險管理框架本身，必須能夠甄別和獎勵善于應對風險獲得收益的高管和員工，懲罰那些過度冒險或者厭惡風險的人，惟其如此，金融機構內的風險文化才是良性的。

（二）全面加強內部控制建設

1.加強內部控制管理的文化建設

銀行內部控制管理要求員工具有一定行為規范和道德水準，內部控制管理文化建設就是通過調動每位員工的積極性、主動性和創造性，通過約束員工行為來達到業務發展與內部控制的目的。

２.建立健全內部控制制度

商業銀行結合已有的內部控制制度的同時，根據實際形勢的需要，不斷研究新的操作風險控制點，逐步完善內部控制制度。重點要在以下十個方面完善內部控制制度：一是建立相應的授權體系，實行統一法人管理和法人授權；二是建立必要的職責分離，以及橫向與縱向相互監督制約關系的制度；三是明確關鍵崗位、特殊崗位、不相容崗位及其控制要求；四是建立關鍵崗位定期或不定期的人員輪換和強制休假制度；五是對于可能導致偏離內部控制政策、目標的運行情況，應建立并保持書面程序和要求，并在程序中規定操作和控制標準；六是對于重要活動應實施連續記錄和監督檢查；七是在可能的情況下，應考慮運用計算機系統進行控制；八是對于產品、組織結構、流程、計算機系統的設計過程，應建立有效的控制程序；九是建立信息安全管理體系，對硬件、操作系統和應用程序、數據和操作環境，以及設計、采購、安全和使用實施控制；十是建立并保持應急預案和程序，確保業務持續開展。

３.依據銀監會頒布的《商業銀行內部控制評價試行辦法》，積極開展內部控制評價

商業銀行內部控制評價包括過程評價和結果評價。過程評價是對內部控制環境、風險識別與評估、內部控制措施等體系要素的評價。結果評價是對內部控制主要目標實現程度的評價。內部控制評價與監督檢查既相輔相成，又各有側重。日常監督檢查的重點是業務監管，其目的是對業務的合規性和經營結果進行檢查，是針對可能存在問題的“負面評價”，是針對“點”的監管。而內控評價是對內控體系的監管，是對業務過程的全面評價，是對商業銀行內部控制水平的“正面評價”，是針對“面”的監管。內部控制評價可以形成確定日常監督檢查的基礎，即依據內部控制評價的結果確定日常監督檢查的重點業務區域，使日常監督檢查更具有針對性。

（三）建立先進的管理信息系統防范和控制操作風險

在信息流動加速的今天，加強IT系統建設已經是勢在必行。努力實現業務的電子化、網絡化，進一步加強信息安全建設，對已有的各種業務流程的再造和設置操作風險控制點，更有助于總行對其星羅棋布的分支機構進行有效管理。銀行機構對監管數據進行科學的評價，建立起風險監測、監控和評價系統，將信貸風險、操作風險、市場風險、信譽風險等納入信息系統，進行科學的管理，及時有效地處置經營過程中產生的各種風險問題。

當然，信息化和電子化也是一柄雙刃劍。因此，必須在規范的制度原則框架下，建立安全責任制，界定職責權限及其利害歸屬，使應用流程管理、應用軟件開發管理、操作性管理、網絡安全管理等的風險降至最低。

（四）加強運用操作風險緩釋工具———保險

新巴塞爾資本協議對作為商業銀行操作風險管理工具的保險給予了相當的關注與闡釋。長期以來保險一直是商業銀行風險管理的重要工具，并且操作風險的本質特征符合保險的可保性要求。銀行也可以購買承保范圍比較廣的風險轉移產品，它們能夠較充分地反映出銀行操作風險的狀況。因此可以將操作風險，尤其低頻高危類風險納人商業保險的業務范圍。

(作者單位：中國銀行天津市分行會計結算部)