商業銀行基層操作風險探析

許宜湛

摘要：操作風險在我國商業銀行系統中廣泛存在，給銀行帶來了巨大的損失，如何防范操作風險是商業銀行的迫切任務。本文從對操作風險概念的理解出發對操作風險的特征、表現形式和形成的原因作了細致的分析，以期能全面、準確地認識操作風險。

關鍵詞：商業銀行操作風險內部控制

隨著商業銀行業市場競爭的日益加劇，一方面社會對銀行的重大失誤越來越關注，另一方面銀行也越來越受到來自于內部事件的沖擊，銀行不僅面臨各種直接和間接的重大損失，其聲譽也會日益靠操作風險的管理水平來建立。各商業銀行基層行、基層網點是操作風險存在和發生的主要區域，要如何有效地防范商業銀行的基層操作風險，就必須細致分析操作風險。

一、對操作風險概念的理解

新巴塞爾資本協議將操作風險定義為：操作風險是指由不完善或有問題的內部程序、人員及系統或外部事件所造成損失的風險。出于對操作風險監管資本要求盡可能最小化的目的，以上定義包括法律風險，但不包括戰略風險和聲譽風險。

結合我國商業銀行基層行的實際情況，我們將操作風險理解為：是銀行內部出現的，與業務操作相連，并往往和內部管理密切相關，產生于制度、系統不完備或以不當、不足和故意的方式操作業務，而且在一定程度上受外部因素的影響，具體表現為出差錯、不當行為、經營混亂和造成損失。商業銀行一般重視后兩種表現——經營混亂和造成損失，同時也會重視造成經營混亂和損失的出差錯和不當行為。商業銀行基層行的操作風險是基礎性的風險，主要具有以下特征：

1、操作風險覆蓋范圍廣，涉及的業務環節多。商業銀行基層行點的操作風險幾乎覆蓋了業務活動的所有方面。既包括發生頻率高、潛在損失相對較低的日常業務流程，也包括發生頻率低但潛在損失極大甚至于危及銀行存亡的欺詐行為。有些操作風險與操作規程的制度建設缺陷有關，更多的操作風險則是由于人的失誤或蓄意違反規章制度而發生并造成直接的經濟損失。

2、操作風險難以監測和識別。由于操作風險覆蓋范圍廣，涉及的業務環節多，即便是工作人員的調動交接、過期空白憑證的銷毀等細小的工作環節在一定的條件和環境下都會成為引發操作風險的因素。而通常可以監測和識別的操作風險，與由此可能導致損失的規模、頻率之間不存在直接關系，往往帶有鮮明的個案特征。銀行的風險管理部門雖然可以結合實際制定操作風險管理不同時期的重點，但不易確定哪些因素對于操作風險管理來說是最重要的。

3、操作風險在新的業務領域或新的業務環境下出現的機會大。新的業務領域或環境往往具有逐漸成熟的特點，有許多操作漏洞在業務開展過程中顯現出來，需要補充和完善，而銀行員工又非常熟悉業務，熟知業務風險點，這樣，就更加容易出現由于員工的倦怠而引發的操作風險以及由于員工的蓄意利用操作漏洞而造成的操作風險。例如，1998年5月17日，中國銀行南海支行轄屬的丹灶鎮支行的兩名儲蓄員利用新系統上線的授權漏洞，憑空轉入12個活期存折合計2200萬元人民幣， 給當地中行造成一定的負面影響。

4、操作風險的發生具有一定的規律性。新業務的開展和電腦新系統的運用，初始時往往會頻發操作風險；而隨著新業務的逐步開展和新的電腦系統的運用走上正軌，內部控制也日臻完善，管理者的分析風險能力的提高和監督崗位工作的到位，操作風險出現的頻率降低；當經營環境發生變化，員工的操作經驗或者說工作技能逐步超過現有系統和內部控制的效力時，操作風險又會重新上升。

5、操作風險并不會對應風險收益。大部分風險都具有與收益一一對應的關系，但操作風險并不存在與其對應的收益。商業銀行的基層操作風險往往是相對獨立、分散的事件，操作風險的發生是隨機的，損失的多少不能確定和估計，但并不會因為有操作風險或已發生損失而開展業務會有回報，帶來收益。操作風險只是一種純粹的風險。

二、商業銀行基層操作風險的表現形式

在操作風險的表現形式上，巴塞爾委員會基于其所調查國家的情況，將操作風險事件劃分為內部欺詐、外部欺詐、用工制度和工作場所安全、顧客產品和業務操作、實物資產的損壞、營業中斷和系統癱瘓、執行傳遞和程序管理。結合我國商業銀行基層網點操作風險發生的情況，其表現主要是以下三種形式：

1、外部的欺詐與銀行內部工作人員的懈怠。外部人員通過搶劫、盜竊，偽造公司營業執照開立對公存款賬戶取得銀行支票，偽造支票、匯票和本票，以及黑客行為對計算機系統資料的侵襲，獲取銀行的資金，而此類外部欺詐行為的得逞與銀行相關工作人員的懈怠而沒有完全執行規章制度、操作流程直接相關。工作懈怠是員工個人通過降低自身工作強度來達到偷懶的目的，工作懈怠意味著沒有盡職盡責，乃至違規操作，直接導致銀行的細致分工的各崗位的職能沒有發揮，使得外部的欺詐行為有機會得逞。

2、銀行內部工作人員的欺詐行為。我國商業銀行基層網點設置的崗位總體上可分業務崗位和復核、監督崗，業務崗位主要是直接面對銀行客戶，是業務工序流程中的初始崗位和在授權關系中處于被授權的崗位，相應地，業務工序流程中的復核崗位和授權關系中處于授權的崗位均可視為監督崗位。這樣的崗位劃分是結合了銀行經營的實際特點，對業務的開展能起到一定的牽制作用，是內部控制的主要手段，對業務的開展具有一定的保駕護航的功能。

而銀行內部工作人員利用自身對業務工作的熟練和自身崗位工作的可能性，或個人，更多的是不同崗位（業務和監督崗位）的人員共同串謀，上述的崗位設置的牽制作用就形同虛設，風險的進行沒有任何柵欄。通過虛報頭寸、隱瞞存款資金、偷竊密碼、偽造簽名、不正常授權、用個人賬戶進行交易等方法詐取銀行資金。例如，建設銀行揭陽分行轄屬的某基層支行的尾箱現金長期超過上級行核定的庫存限額（限額為人民幣60萬元），尾箱現金一般為110萬元左右，該支行正、副行長擅自將尾箱中的50萬元現金用于賬外貸款，待上級行查庫時，貸款收不回，主要案犯只能潛逃。

3、銀行內部工作人員與外部人員相互勾結欺詐。由于銀行內部人員熟悉業務流程，與外部人員的配合實施欺詐、作案所能達到目的的可能性和危害性要比單獨的內部或外部的欺詐更高。一般來說，銀行內部人員的欺詐行為只有在外部人員的協助或者不知情、無意間的配合下更易得逞。上述的廣東南海丹灶鎮中行儲蓄人員利用電腦新系統授權漏洞憑空轉入12個存折2200萬元人民幣，拿到的只是存折，并沒有實際的現金，而這兩名儲蓄人員日前就聯系了若干當地炒賣外幣人士，稱將以銀行的存折（人民幣）換取外幣現金，得手后逃往泰國。

上述三種操作風險形式是商業銀行基層操作風險主要表現形式，即便是巴塞爾委員會所認定的表現形式諸如用工制度和工作場所安全、顧客產品和業務操作、實物資產的損壞、營業中斷和系統癱瘓執行傳遞和程序管理都最終表現為上述三種操作風險形式。

三、商業銀行基層操作風險的形成原因分析

1、商業銀行對基層員工的激勵與懲罰措施的不對稱是基層網點操作風險形成的主要原因。銀行為實現其經營目標（比如存款額、發卡量、推銷保險、基金等理財產品指標），對基層員工的行為和行為結果進行激勵和懲罰。

激勵和懲罰的方式包括物質和精神兩方面。物質激勵的措施主要有工資、獎金和額外補貼等，物質懲罰的措施主要是扣獎金；精神激勵的形式主要有職務升遷、通報表揚、授予榮譽稱號等，精神懲罰的措施主要是通報批評、沒有晉升機會等。從制度的制定者角度看，激勵和懲罰的措施在操作風險管理系統中屬于保障范疇，貫穿于銀行經營活動包括內部控制的許多環節，在對銀行員工的工作及結果進行評價的基礎上，根據上級行預定的目標的完成情況實施激勵與懲罰措施，以期下一個考核期員工能有更好的表現。

然而，銀行的激勵和懲罰措施在具體實行時，往往顯現與經營活動的開展不完全吻合——一方面，可能是由于銀行的激勵與懲罰制度的設計本身可能不完善或存在缺陷；另一方面，由于這些制度措施具有針對性的特點，而隨著實際經營環境的變化和經營活動的發展，激勵和懲罰制度變得不合時宜。這種不完全吻合性對基層行員工表現為激勵不足與懲罰失當，滋生和助長了員工利用業務謀取個人利益的動向。具體體現在上級行對基層網點下達了不切實際的各項任務，員工完成任務指標后所獲得的收益與付出不對稱，而沒有完成上級行下達的各項任務指標，不但沒有獎勵，更要受到諸如扣發獎金、喪失晉升機會等的處罰。一直以來，商業銀行對基層行的考核指標主要有存款增加額、新增單位帳戶、新開信用卡戶、新增特約商戶、推銷保險等，基層行員工往往為了完成考核指標和追求個人業績與個人效用的最大化而不計成本高息攬存，違規小額放貸以吸引存款。這樣勢必導致操作風險的出現。

2、內部控制制度執行不力是銀行基層網點操作風險出現的直接原因。內部控制是商業銀行內部的自我約束系統，目的是監督銀行內部的行為主體，促使個人的效用和目標不偏離或少偏離銀行實體目標。我國商業銀行內部控制系統的缺陷表現在以下四個方面：

（1）絕大部分內部控制制度對管理人員——基層支行的行長約束力不強。我國商業銀行的內部控制制度主要是針對業務部門、業務崗位和業務環節設定和施行的，而對基層行的主要管理人員的控制是由 上級行管理部門執行的，在日常業務中不能對他們的行為直接控制；而銀行員工的利益分配和考核晉升基本都掌握在基層行的主要管理人員手中，使其很難拒絕執行基層行的主要管理人員發布的錯誤、越權甚至違規的指令。

（2）內部審計的作用受到限制。我國的主要商業銀行在二級分行以上機構都設有內部審計部門，該部門工作人員的薪酬是由管轄行決定的，這種管理體制使內部審計部門獨立性不強，審計職能弱化，不利于發揮內部審計對管理層的控制和監督職能。

（3）內部控制制度執行不力。商業銀行的內部控制制度是一般由總行、一級分行制定，很多制定制度的工作人員沒有基層的工作經歷，這樣就導致有些內部控制制度不切合實際，不具有可執行性，以致無法全面施行；而有些規章制度流于形式，有章不循、長期不執行操作規程的現象大量存在。

（4）我國商業銀行長期以來實行準行政化管理，操作風險文化缺失。商業銀行的操作風險文化是在長期的經營活動過程中形成的，有關操作風險的價值觀、道德規范以及相應的規章制度的總和，它會體現、反映于日常控制制度的制定和執行中，而長期的準行政化管理使得銀行普通員工的“求官”意識和管理人員的官本位意識較強，在很大程度上排擠了關系銀行整體利益的操作風險文化，這樣，內部控制制度自然很難得到實行。

3、個人機會主義傾向和有限理性——現實人性是銀行基層網點操作風險出現的根本原因。現代經濟學認為，有限理性是指人具有有限的認知能力，在主觀上追求理性，但由于個人業務能力、知識結構和信息不對稱等原因，個人的理性只能是在這些約束條件下的理性，即行為主體很難做出最優的決策選擇。所謂機會主義則是欺騙性地追求一己之利，包括說謊、欺騙、盜竊等比較明顯的形式，也包括利用有目的的誤導、掩蓋、迷惑、工作懈怠、不完全的或扭曲的信息披露等相對隱藏的形式。個人在追求自身效用最大化過程中，常常會伴隨機會主義傾向，產生機會主義行為。

現實中，個人一方面具有有限理性，另一方面具有機會主義傾向，是個復合體。現實人性的這一特點可以說明我國商業銀行員工工作中的不同行為特征。有些員工在工作中一貫的表現是兢兢業業、恪盡職守、克己奉公，卻有嚴重違法違規案件發生在他們身上；有些員工工作中懈怠懶散、主觀能動性低、效率不高，卻會在銀行利益面前嚴格執行規章制度、敢于揭發不法行為。這些就是個人人性兼具有限理性和機會主義傾向的表現。

目前，我國商業銀行由于良好風險文化的缺失，有關風險防范的道德觀念不強，銀行員工自我約束力不夠，培訓機制不健全，用人機制不完善，物資和精神激勵措施的不足，懲罰措施過于嚴厲，以及銀行外部社會金錢觀念的膨脹，這些都會在一定程度上強化了機會主義傾向，進而在特定環境下，機會主義傾向、有限理性的復合就會導致銀行員工鋌而走險，工作中的操作風險就會出現。

四、結束語

商業銀行操作風險是最古老的風險之一，在信息技術快速發展、銀行的經營業務范圍急劇擴大的今天，操作風險呈上升趨勢，成功地進行操作風險管理對銀行的生存和發展至關重要。本文主要對操作風險的特征、表現形式和形成原因作了細致的剖析，以助于業內人士客觀全面地認識操作風險，能更好地加強操作風險管理。

參考文獻：

1、程修森，我國商業風險管理問題與對策，合作經濟與科技，2011.01；

2、王小寧，我國商業銀行操作風險管理探討，現代商業，2010.12；

3、韓超，我國商業銀行操作風險管理的研究，黑龍江對外經貿，2011.3；

4、巴曙松朱元倩，巴賽爾資本協議Ⅲ研究，中國金融出版社，2011.5；

5、陸小斌，巴賽爾委員會與銀行操作風險，金融時報，2003-06-12；