淺議商業銀行操作風險控制

【摘要】進入20世紀90年代以后，國內外商業銀行操作風險發生概率越來越高，操作性風險損失明顯增長，對操作風險的研究與管理日益受到重視。借助“新巴塞爾協議”的實施，推動商業銀行操作風險管理能力的提高，是未來幾年銀行業亟待解決的重要問題，這也是本文研究意義所在。本文從分析我國商業銀行操作風險管理現狀出發，提出風險管理建議，對降低操作風險進行了有益的探討。

【關鍵詞】商業銀行 操作風險 控制

操作風險是指由不完善或有問題的內部程序、員工和信息科技系統，以及外部事件所造成損失的風險。本定義所指操作風險包括法律風險，但不包括策略風險和聲譽風險。操作風險市商業銀行的面臨的主要風險之一。近年來，因為操作風險引發的大案頻發，給商業銀行帶來重大損失和聲譽損害。本文從商業銀行目前的操作風險管理現狀出發，分析風險管理中存在的問題，提出改善措施，力圖為商業銀行風險管理寥盡綿薄之力。

一、加強商業銀行操作風險控制的意義

（一）銀行業發展的現實要求

20世紀90年代以來，全球迅速調整的法律和監管體系，新經濟模式(如網絡銀行、電子貿易等)的出現，更為復雜的交易工具和交易戰略，技術系統的可靠性，交易量的提高，監管要求的日趨嚴格等，都極大地增加了金融機構面臨的操作風險。國內外商業銀行操作風險發生概率越來越高，操作性風險損失明顯增長，對操作風險管理的關注日益增加，并成為銀行經營管理的核心內容之一。

20世紀90年代以前，我國銀行業的產品種類和業務結構比較單一，電子化程度較低，業務規模不大，同業競爭不太激烈，銀行操作風險問題不是很嚴重，操作風險損失較小。90年代以后，操作風險問題越來越突出，特別是近幾年有加速上升的趨勢。從已披露的案件看，大案要案觸目驚心。如2004年發生的交通銀行錦州分行221億元核銷不良貸款作假案、山西‘“7.28”系列詐騙案、2005年發生在光大銀行廣州越秀支行的近億元騙貸案、2006年發生在交通銀行沈陽分行2億元人民幣的巨額客戶資金詐騙案、2007年農行河北省邯鄲分行金庫管理員盜取金庫現金5100多萬元等等。此類案件，正是源自操作風險。

（二）新巴塞爾協議的要求

新巴塞爾協議將風險擴大到信用風險、市場風險、操作風險，并提出“三個支柱”:最低資本規定、監管當局的監督檢查和市場約束。巴塞爾強調“三個支柱”在現代監管體制中的作用，即第二支柱“監管當局監督檢查”和第三支柱“市場約束”作為對第一支柱“最低資本要求”的重要補充手段，對監管商業銀行面臨的信用風險、市場風險、操作風險至關重要，要求資本監管更為準確的反映銀行經營的風險狀況，進一步提高金融體系的安全性和穩健性，表明三大支柱互為一體、協調發展，才能達到提高商業銀行風險計量與管理水平的目的。

（三）我國銀行業監管部門的監管要求

中國銀監會于2005年初下發《關于加大防范操作風險工作力度的通知》，在做出13條具體要求的同時，明確提出要從重視操作風險管理角度切入遏制銀行案件高發。這一切都表明我國銀行業在提高其運作效率的同時，加強操作風險的計量、監控和管理刻不容緩。

中國銀監會明確表態，至少在以美國為代表的西方10國集團于2006年實施新資本協議的幾年后，中國仍將執行1988年的協議。這說明中國銀行業目前的風險管理水平與國際大銀行相比還有較大的差距。

二、我國商業銀行操作風險管理現狀

我國商業銀行操作風險主要體現在以下幾個方面：

（一）人員因素導致的操作風險

員工違法違規操作、工作疏忽、操作失誤或員工自身能力與崗位任職要求不符給商業銀行造成的損失。包括：

一是員工欺詐犯罪：內外勾結作案；參與洗錢；挪用客戶資金；蓄意破壞商業銀行聲譽；偷竊或利用工作之便盜用商業銀行實物資產；竊取、盜用或泄露商業銀行商業機密；泄露或出賣商業銀行重要客戶資料信息；以權謀私，挪用或侵吞公款；惡意損壞商業銀行資產；收受賄賂和回扣。二是員工越權或隱瞞行為：員工超越權限辦理業務或濫用授權；編造虛假財務信息；與未經授權的客戶進行業務往來。三是員工操作失誤：計算機系統操作失誤；遺漏、縮減和增加業務操作流程；會計記錄或交割發生失誤。四是違反勞動合同：勞動合同解除與終止出現糾紛；由于合同管理問題支付額外經濟補償；違反勞動約定造成賠償、經濟補償金、違約損失。五是人員配置：人員配備不足崗位編制；員工業務能力與崗位需求不一致；關鍵崗位人員流失。

（二）內部程序因素導致的操作風險

因業務流程、規章制度不健全完善，導致操作或執行困難，出現風險控制盲區，從而給商業銀行造成的損失。包括：

一是制度風險：規章制度缺乏有效性、充分性、合規性與適宜性，未及時進行制度修訂；規章制度滯后于新業務或新產品辦理。二是文件或合同標準文本風險：文件殘缺；合同標準文本條款殘缺或對商業銀行不利；合同標準文本中空白條款填寫不完善或不正確。三是內部或外部報告風險：會計記錄錯誤或數據缺乏；經營管理等各類報告內容不充分、不準確。四是產品風險：產品選擇不當；產品設計不當；未經銀監會批準向市場推出高風險產品。五是文件傳遞風險：規章制度或通知沒有及時傳達到基層員工。六是職責設定風險：人員編制設置與實際業務需求不匹配；崗位職責不清、分工不明確、關鍵崗位未實現職責分離。

（三）IT系統及技術因素導致的操作風險

由于IT技術或技術應用環境失靈造成系統中斷，或因系統數據風險影響業務正常運行，從而給商業銀行造成的損失。包括：

一是科技投資風險：某一業務的IT體系不適應商業銀行發展需要；IT系統的引入與業務需求的關系無法明確解釋或與現有系統不兼容；硬件老化；軟件更新不及時。二是系統開發和執行風險：程序設計錯誤；無法將現有系統進行整合；系統功能設置與業務需求不符；系統設計存在缺陷；業務操作流程和軟件開發流程不吻合。三是系統失效風險：系統功能及設計在風險控制方面存在缺陷；網絡失靈；系統控制、接口、硬件和軟件失效。四是系統安全風險：外部系統或內部系統安全性不夠；計算機病毒襲擊；黑客襲擊；非法用戶登陸；客戶資料泄密；對生產系統的變更缺乏完備的監督和審計功能。五是法律或公共責任風險：對IT的法律解釋產生誤解；IT人員未將IT相關程序引起的操作風險告知業務人員或制度修訂人員。六是風險管理模型風險：采用的風險管理模型未能有效識別風險；風險管理模型的結果誤導決策。

（四）外部事件因素導致的操作風險

直接來自外部的主觀或客觀因素給商業銀行造成的損失。包括：

一是外部欺詐等犯罪：偽造或編造票據欺詐；盜用賬戶欺詐；外部盜竊、搶劫和其他欺詐風險；恐怖襲擊；縱火。二是外部采購或供應商風險：供應商破產或違背其職責；合同制訂不當。三是外部開發風險、自然災難或基礎設施風險：外部開發過程中所面臨的第三方中斷必要資源的風險；火災；地震、洪水等自然災害；交通事故；能源不足；外部通訊不穩定或中斷；供水、供電中斷；建筑物等固定資產損壞。四是政策、經濟和國家風險：行業或國家宏觀經濟政策改變；經濟衰退；經濟危機；戰爭。

三、有效管理操作風險的對策

商業銀行風險管理部門要通過制定操作風險管理辦法，明確本行對操作風險的定義、分類、職責分工，制定操作風險識別與評估、監測、量化、控制、報告等管理流程，做好操作風險控制。

（一）做好操作風險識別與評估

風險管理部門應根據風險管理“事前管理”原則對業務流程、各類業務系統以及外部監管政策、宏觀經濟政策、產業政策及行業政策等外部環境（事件）進行持續的風險識別與評估，并對分支機構進行充分、及時的風險預警提示。

風險管理部門應加強基層分支機構調查研究，查找各業務條線的風險點或風險管理薄弱點，確定可能存在操作風險的環節。如目前部分房地產評估事務所、會計（審計）事務所等外部資產評估機構和審計機構隱藏一定道德風險，對商業銀行的信用風險和操作風險影響極大，風險管理部門應對其進行操作風險識別與評估。

（二）加強操作風險監測

操作風險監測主要就是選擇具有前瞻性的關鍵風險指標（Key?risk?indicators）來預測操作風險的變化趨勢，對操作風險實施動態管理。操作風險監測工作首先就是選擇有效的關鍵風險指標。從目前商業銀行經營管理實際來看，關鍵風險指標至少應包括關鍵崗位人員輪崗率、關鍵崗位人員強制休假率、持證上崗率、關鍵崗位人員流失率、企業對賬單有效回收率、客戶有效投訴率、內控問題整改率等。

確定關鍵風險指標后，不能只簡單給出計算公式，風險管理部門需向分支機構明確指標計算所需數據的來源，否則上報的關鍵風險指標就缺乏真實性，從而失去關鍵風險指標監測操作風險的管理意義。風險管理部門在一定時間內建立起某些關鍵風險指標波動的區間、中間值或門檻值，對關鍵風險指標進行定期趨勢分析，并將分析結果向高級管理層報告。對持續不滿意的關鍵風險指標，風險管理部門需要進行現場調查或對分支機構進行操作風險提示。

（三）實現操作風險量化管理

商業銀行操作風險量化管理的短期目標是實施基本指標法，為實施《巴塞爾新資本協議》基本指標法做好準備。隨著時機成熟，銀監會將要求商業銀行根據《巴塞爾新資本協議》基本指標法計算操作風險資本，即要求商業銀行為操作風險配置或分配經濟資本。因此，商業銀行風險管理部門可逐步積累操作風險損失事件歷史數據，按照業務環節、崗位、金額、時間等不同維度搜集并記錄本行以及其他商業銀行發生的操作風險損失事件（案件），形成操作風險數據庫，為將來的操作風險量化管理工作奠定數據基礎。

（四）落實操作風險控制措施

操作風險不同于信用風險和市場風險，接受或承擔一定的信用風險和市場風險可能獲得收益，但接受或承擔操作風險的結果不會獲得任何收益，甚至只能帶來損失，因此，對不可接受的操作風險提出管理建議或制定具體的風險控制措施。

1.根據上述操作風險分類及操作風險類型占比，操作風險管理的重點是加強人員管理。商業銀行合規部門應加強風險管理培訓，保證全行各級員工獲得操作風險管理方面足夠的知識和技能，提高各級員工操作風險管理的意識。要求分支機構建立持續培訓機制，定期對一線關鍵崗位員工業務技能和職業道德教育培訓。對違法違規行為，須對相關責任人進行經濟和行政上的責任追究，同時，對操作風險管理好的分支機構或個人也要給予獎勵和表揚。

2.健全完善規章制度是有效操作風險管理的前提。目前，商業銀行銷售的產品高度同質，不同的是銷售產品的管理模式和業務流程的設計能力。制度建設工作包括以下內容：一是定期評估現有規章制度的有效性；二是制度修訂過程中要進行大量調查研究，到分行了解實際情況，尊重實際，不能僅根據個人經驗和主觀判斷進行制度修訂；三是規章制度之間要相一致、相銜接，需要制度制定或修訂部門之間密切配合與有效溝通，防止部門本位主義。四是由于地區經濟發展不平衡、市場化程度發展不一，操作風險管理措施應考慮不同地區、經濟發展特征而進行適當的區別化、差異化的風險管理。五是總行專業管理部門應檢查評估分支機構制定的各項細則或操作規程的合規性與有效性。

3.不斷提高IT技術水平，控制操作風險。信息科技部門、風險管理部門應高度重視IT系統及技術因素導致的操作風險。制定IT系統應急方案，并對應急預案進行定期修訂、演練和壓力測試，保證在發生嚴重業務中斷事件情況下，執行應急方案，將影響和損失減到最低或將損失控制到最小程度。

4.根據近年商業銀行發生的案件特點，商業銀行風險管理部門、合規部門應對分支行操作風險易發點進行持續風險評估和合規檢查，建立案件防范長效機制。

參考文獻

[1]顧京圃.中國商業銀行操作風險管理.北京：中國金融出版社.2006年。

[2]范肇臻.中國國有商業銀行制度創新.北京：經濟科學出版社.2005年。

[3]顧旋、劉都、劉煒.中國商業銀行營銷管理.北京：社會科學文獻出版社.2000年。

[4]焦瑾璞.中國銀行業國際競爭力研究.北京：中國時代經濟出版社.2002年。

[5]宋安平.商業銀行核心競爭力研究.北京：中國金融出版社.2005年。

作者簡介：武繼源（1970-），男，經濟師，現供職于中國建設銀行股份有限公司山東聊城分行。