商业银行操作风险防范机制的研究

一、商业银行操作风险概述 

二、我国商业银行操作风险现状分析 

三、商业银行操作风险防范机制的研究

内 容 摘 要

健全的风险控制制度是评价商业银行治理机制完善与否的基本标准之一，其中科学有效的操作风险控制，更是直接从事经营活动的商业银行所面临的最广泛、最直接的基础性风险控制管理工作。在我国现阶段，由于金融机构内控制度和金融监管部门监管制度的不完善，操作风险已经成为我国金融机构所面临的主要金融风险之一。近年来发生的种种有关操作风险的案件，都暴露了当前商业银行内部操作风险防范上的一系列问题。本文试图从商业银行操作风险的认识，我国商业银行操作风险现状分析入手，谈谈商业银行操作风险的防范机制。

商业银行操作风险防范机制的研究

2005年是中国银行业的“多事之秋”，金融业大案、要案频发且不断升级。先是年初中国银行黑龙江河松街支行行长高山卷款10亿元潜逃案；同年2月22日，建设银行吉林分行3.2亿元金融诈骗案又浮出水面；3月24日，银监会又查出农行包头分行重大违法经营案件，涉案金额1.15亿元；仅8天之隔，4月2日中国银行北京分行6.4亿烂尾楼骗贷大案曝光。建行上市冲刺阶段，又发生了原行长张恩照突然“辞职”事件。此类案件，中国社科院金融所所长李扬称之为“细节中的魔鬼”，正是巴塞尔新资本协议谓之的“操作风险”。换句话说，中国银行业面临的操作风险正在逐渐显现，且严重程度令人担忧。           很久以来，商业银行对市场风险和信用风险的重视程度远远超过了操作风险。而实际上操作风险管理可能是治理结构不善的银行最应关注和最可能取得风险管理成效的领域。          一、商业银行操作风险概述          1、操作风险的界定          随着商业银行操作风险影响的不断增大，国际银行界将巴塞尔委员会的定义作为标准化的界定：“操作风险就是指由于内部程序、人员、系统设计不完善或者运行失当以及因为外部事件的冲击造成直接或者间接损失的可能性的风险。”巴塞尔委员会同时指出，这一界定包含了法律风险，但是并不包括策略性风险和声誉风险。          当前，操作风险已经成为全球银行业风险管理日趋重要的领域之一。实际上，操作风险并不仅仅与银行的“操作”（如后线支持、信息系统出现故障、业务流程上的问题等）相关，而且也与银行业务操作之外的领域相关，如欺诈交易、报告和会计体系出现问题等。          2、操作风险的产生及划分          从广义上说，操作风险可以划分为操作性杠杆风险和操作性失误风险。          操作性杠杆风险主要是指外部因素引起的操作风险，如因为外部冲击导致金融机构收益的减少，这些外部冲击包括税制和政治方面的变动、监管和法律环境的调整、竞争者的行为和特性的变化等，通常衡量这个操作风险的方法是运用情景分析。          操作性失误风险主要是指因为金融机构的内部因素引起的操作风险，这些内部因素包括处理流程、信息系统、人事等方面的失误。总体来看，操作性失误风险在整个操作风险中所占据的比重近年来有明显上升。          如果对操作性失误风险作进一步的细分，我们还可以划分为：         （1）执行风险，即执行人员不能正确理解管理人员的意图或者有意错误操作等；         （2）信息风险，即信息在机构内部或者机构内外之间的产生、接收、处理、储存、转移等环节出现故障；         （3）关系风险，即因为产品和服务、管理等方面的问题影响到客户与银行之间的关系；         （4）法律风险，即金融机构的经营管理活动不符合所在地的法律和监管要求所导致的风险；         （5）人员风险，即缺乏足够合格的员工、缺乏对员工表现的恰当评估和考核等导致的风险；        （6）系统事件风险，即电脑系统等出现故障可能导致的风险。         除此以外，根据不同商业银行的实际情况，还可以提出更为详细的操作风险的细分。          3、操作风险的特点          操作风险具有以下特点：         （1）与市场风险和信用风险不同的是，操作风险中的风险因素是内在于银行的业务操作层面的，而且单个的操作风险因素与操作性损失之间并不存在清晰的、可以定量界定的数量关系。因此，对于操作风险的管理，具体的业务部门应当承担第一位的作用。         （2）在业务规模大、交易量大、结构变化迅速的业务领域，受到操作风险冲击的可能性最大。         （3）从覆盖范围来看，操作风险管理实际上几乎覆盖了银行管理所有方面的不同风险。一方面，操作风险既包括那些发生频率高，但是可能造成的损失相对较低的日常业务流程处理上的小错误；另一方面，操作风险也包括那些发生频率低，但是可能导致的损失相对较大的自然灾害、大规模舞弊等。因此，试图用一种方法来覆盖操作风险的所有领域几乎是不可能的。          二、我国商业银行操作风险现状分析         （一）我国商业银行操作风险存在的认识误区          1、操作风险就是操作性风险或操作中的风险。          从字面上理解操作风险，很容易将其理解为操作中的风险，极大地缩小了操作风险所包含的范畴。实际上操作风险包括：人员因素引起的、流程因素引起的、系统因素引起的和外部事件引起的操作风险。而操作性风险仅包括人员因素引起的操作风险中的操作失误、违法行为、越权行为和流程因素引起的操作风险中的流程执行不严格的情况。显然，操作性风险不能等同于操作风险。统计显示，近几年来国内银行业发生的近200起操作风险案例中，操作性风险占总数的70%。           2、将操作风险等同于金融犯罪。          尽管工行、中行、建行、交行已经分别于上海、香港成功上市，但我国银行业信息披露仍不尽规范，银行业信息透明度也相对较低，在此情况下，将操作风险等同于金融犯罪在所难免。但严格来讲，金融犯罪仅是操作风险中的主要类型，并不能涵盖所有类型的操作风险。根据我国法律，金融犯罪是指在金融活动中，侵害金融管理制度、金融市场秩序以及其他社会经济关系，依照我国刑法规定应当受到刑法处罚的行为。对比巴塞尔委员会关于操作风险的定义，金融犯罪显然不包括那些由于银行自身不完善的流程和系统漏洞以及外部事件等因素造成的操作风险。将操作风险等同于金融犯罪，会缩小操作风险的管理范围，这恰恰是造成目前我国银行业操作风险管理进展缓慢的原因所在。          3、认为各种操作风险事件之间是孤立的、毫无联系的，从而缺乏对操作风险的整体认识和把握。          表面看来，工作人员的操作失误、银行员工的欺诈以及关键人员的流失三者之间并无多大联系。很多人认为各种操作风险事件之间是孤立的、毫无联系的，从而认为操作风险是突发事件。其实，这是由于忽略了隐藏在不同表面现象背后的共性本质，忽略了众多随机变量近似地服从正态分布的统计原理。就拿工作人员操作失误、银行员工欺诈和关键人员流失三类风险事件为例，它们的本质均是人的因素引起的操作风险，且在足够长期限和足够多数据的情况下可以近似地描绘出其概率分布。只有看到各种操作风险事件之间的联系，才能准确地描述银行面临的操作风险，进而从整体上把握操作风险。          4、认为操作风险管理只是内部审计部门的事情，与其他部门无关。          很多人有一种错误认识，即认为操作风险管理是银行内部审计部门（或称为稽核监督部门）的事情，与其他部门无关，进而将操作风险管理职责不恰当地赋予内部审计部门，这种情况在国内银行业中绝非少数。首先，从银行内部控制体系的构成来看，内部审计部门属于内部控制机制中的评价与监督环节。也就是说，该部门的职责是对银行的风险管理进行监督，并对其有效性进行评价，而不是直接参与风险管理。如果将操作风险管理职责赋予内部审计部门，就会造成该部门职责上的冲突，形成既做“裁判”又做“运动员”的情况，导致风险管理事实上的失效。其次，国外的风险管理实践表明，有效的风险管理既需要一个独立的管理部门，也离不开各业务部门的支持。只有这样才能确保风险管理的独立性和专业性的有机结合。将操作风险管理单独赋予内部审计部门，并认为与其他部门无关，从而将其他部门排除在外，只能导致操作风险管理专业性的低下，很多专业行的风险隐患极有可能因此而无法被发现。操作风险管理涉及业务部门、保卫部门、科技部门等许多部门，这就难免出现部门之间需要协调的情况，显然仅靠内部审计一个部门是不够的。因此认为“操作风险管理只是内部审计部门的事情，与其他部门无关”的错误认识是非常危险的。         （二）目前商业银行操作风险管理存在的问题          从现实情况来看，虽然国内银行在防范操作风险方面作了大量的工作，但由于受认识上的误区，发展滞后等因素的影响，目前国内银行在操作风险的控制上仍存在一定的缺陷，直接制约着操作风险管理机制的建立和完善。           1、错误的操作风险管理理念。          一是“重事后管理，轻事前防范”，看重对已发生或已存在的风险采取事后的管理处罚措施，试图以严厉的处罚遏制风险的出现。而对事前的防范和事中的控制措施关注较少。二是“重个案查处，轻全面分析”，从而造成同类性质案件屡次发生，相同的诈骗手法屡次得逞。关联企业骗贷频频发生就是很好的例证。三是“重基层操作人员管理，轻高层领导人员管理”，银行内部审计部门主要精力集中在基层操作人员，而对高层管理人员仅有离任审计，没有日常稽核监督。近年很多银行高官纷纷落马与这种错误风险理念的指导是分不开的。四是“重审计稽核，轻全面管理”，国内很多银行往往将操作风险视同操作性风险。在此理念的支配下，银行往往将操作风险管理职能赋予内部审计部门，而非风险管理部门，从而造成很多类型的操作风险（比如系统因素引起的操作风险）无人管理。          2、操作风险管理框架还不健全。          一是风险管理职责分散。操作风险是由人员、系统、流程和外部事件等四类因素引起，几乎涉及到银行的各个职能部室。但从我国的情况来看，不同类型的操作风险由不同的部门负责，缺乏一个真正意义上的协调部门。这种分散管理的做法，使得银行系统缺乏统一的操作风险管理战略和政策，高层管理者更是无法清楚了解银行面临的操作风险整体状况。同时，分散管理还使得有些操作风险处在管理“盲区”，无人过问。二是基层分支机构操作风险管理职能缺失。国外银行一般会在基层分支机构设置风险管理一职，负责总行风险管理政策在基层的贯彻落实，对基层分支机构进行监督管理，并保持与总行风险管理信息的沟通。我国银行大多没有这一设置，操作风险管理基本上由内部审计部门负责，在基层机构没有分支。三是内部审计部门权威性不强。我国很多银行几乎都将内部审计部门作为操作风险管理的职能部门，但在权限上又与其他部室平行设置。其权威性的不足致使对总行、分行层面的稽核监督难以开展。           3、操作风险管理手段执行度不高。          一是内部稽核形式化问题严重，问责制没有威慑力。二是电子化手段缺乏，内控人员素质有待提高。三是操作风险的数据积累不足。由于产权和信息披露制度的原因，有些银行不但没有压力披露操作风险事件，相反却有主动隐藏风险事件的动机。           三、商业银行操作风险防范机制的研究         （一）营造以“诚信审慎”为核心的风险控制文化          风险控制文化是指全体员工在从事业务活动是遵守统一的行为规范，所有存在重大操作风险的单位员工都清晰了解本行的操作风险管理政策，对风险的敏感程度、承受水平、控制手段有足够的理解和掌握。商业银行操作风险的发生，原因主要有两个方面：一是银行没有一套具有执行力的、严密的政策和程序。二是银行员工因缺乏诚信与审慎的道德标准而不愿或没有严格执行制度。据统计，近年国内外公布的银行案件中，后者占90％以上。为此，商业银行营造的风险控制文化应是一种融合现代商业银行经营思想、管理理念、风险控制行为、风险道德标准与风险管理环境要素于一体的企业文化。           1、商业银行要倡导和强化全员风险意识，引导全行员工树立对风险管理的认同感，真正意识到风险管理绝不仅仅是风险部门和风险管理人员的事情，风险管理人人有责，使风险意识突破传统的部门界限真正融入全行各个部门、每位员工的行为规范和工作习惯之中，让每一位员工认识到自身岗位上存在的风险点，形成防范风险的第一道屏障。           2、商业银行要确立鼓励主动发现和报告风险的基调，通过机制完善，建立各风险管理职能部门间有效的分工和合作机制，以及信息交流和沟通机制，缩短操作风险的汇报路径，以便银行高层能及时获取风险信息，采取相应的制度安排和机制建设，规避风险或者使案件的发生概率降低到最低程度。           3、商业银行要提高内控文化的科技含量。各银行在基层一线普遍推行的单人临柜、综合柜员制，都需要电子化科学技术来加强操作风险的控制。通过计算机程序编制、设定权限指令，控制超越授权的违规操作，避免因为个人的疏忽而导致的业务失误，有效防范风险；通过计算机系统强化对业务操作运行的实时监控管理，构建全面覆盖内控关键环节的风险预警和监控系统；借助计算机系统收集、加工、反馈风险信息数据，为决策提供充分信息支持；同时，加强信息技术运用自身风险防范管理。          （二）建立和完善系统缜密、操作性强的制度规范机制           在一定程度上，防范操作风险最有效的办法就是制定尽可能详尽的业务规章制度和操作流程，使内控制度建设与业务发展同步，并提高制度执行力。          首先，要根据情况变化和形势发展，不断增加管理制度对风险点的覆盖密度。对那些与现实不相适应的规章制度要及时修改、废止，并总结重大风险事件的经验教训，及时发现并弥补制度设计和执行上的缺陷，不断完善风险管理制度体系。          其次，商业银行应构建防范操作风险的组织架构，不断完善对操作风险的识别、评估、监测、咨询和报告机制，并建立与银行内部法律部门、其他分专业风险管理部门的合作机制，协助银行高层有效防范操作风险。另外，风险管理部门还应针对不同岗位分别制定罗列式的、简明的操作风险管理手册，涵盖相应岗位全部现行的业务流程，风险点等，使员工能根据手册速查，了解某项业务的具体办理方法、依据，以及发生某种操作风险后，应该如何处理和向上汇报。          再次，不断增强风险管理制度的可操作性。商业银行应当建立覆盖全业务、全部门的信息管理系统，该系统不仅仅包括对已有的各种业务流程的再造和设置操作风险控制点，更有助于总行对其星罗棋布的分支机构进行垂直的、扁平化的管理。          最后，在进一步完善制度的同时，改变业务硬约束、人员软约束的状况，实行三分离制度，防范道德风险：（1）管理与操作的分离，即管理人员、特别是高级管理人员不能从事具体业务的操作，要办业务必须经过必需的业务流程；（2）银行与客户分离，银行为方便客户，可以在防范风险的前提下，尽量简化手续，但客户经理不能代客户办理；（3）程序设计与业务操作分离。即程序设计人员不能从事业务操作。当然，随着员工素质的提高，复合型人才的增多，由此可能引发的一些行为风险应引起高度重视。          （三）切实强化风险责任的追究机制，加大对责任人员的查处力度           1、通过补充、修改完善有关问责制度，加大对各级领导人员管理责任的追究力度，特别是加大对由于失职造成风险损失的各级领导人员的责任追究力度，让那些信奉“上有政策，下有对策”的人付出沉重代价；       2、适应强化内控、规范管理的需要，对有关规章制度做进一步补充与细化，明确责任追究的重点和要求；       3、加大对责任认定人员的行为约束和责任追究，确保责任认定工作得到落实；       4、通过对处理程序的调整、完善，明确处理程序中应贯彻的原则、责任认定部门、责任认定的监察部门、责任认定程序与处理程序的对接等。       通过内部监管和外部监管的协调配合，强化风险责任的追究机制，坚决遏制有令不行、有禁不止的违法违规行为。          （四）注重技术创新，积极推进操作风险管理工具的开发和运用          从巴塞尔委员会的建议和国际银行业风险管理方面的实践看，银行用于识别、评估操作风险的工具和方法主要包括监测指标、外部参考指标、统计分析、计分卡方法、体现风险及其影响的因果关系的模型、风险对应关系、历史损失数据库等等。一方面，从风险控制来说，除了通过加强内控外，银行还应积极运用保险、外包协议等方法降低和转移风险。另一方面，要运用先进的现代技术，建立操作风险计量、预报和信息发布制度，学习和借鉴科学的操作风险计量技术，建立适合于我国商业银行的操作风险计量模型，定期对操作风险进行度量和预测。         （五）以人为本，强化教育，提高商业银行员工综合素质           操作风险的防范关键是对行为人的控制。一方面，要将以人为本作为管理的出发点和落脚点，实行人本管理，增强管理的亲和力和透明度。要在尊重人、爱护人、理解人、关心人的前提下加强员工政治思想教育、职业道德教育、遵纪守法教育、行业作风教育和风险防范教育，帮助职工树立正确的人生观、世界观和价值观，提高职工道德水准和法纪意识，建立一个综合的教育网络，并保证教育的连续性、系统性和针对性。使全体员工熟悉自身岗位工作职责要求，理解和掌握业务的整体流程和关键风险点，同时加强员工理想信念、职业道德和法纪观念等在内的综合性教育，培养员工高尚的职业道德情操，做到无论在什么情况下，都不做损害国家和银行利益的事。另一方面，商业银行要建立公正、合理、高效的人力资源管理体制，增强员工的归属感和责任感。要根据每位员工的品德和业务能力，结合不同年龄、学历和工作经验，分配适合的岗位；同时把好“进门关”，对重要部门、要害岗位的员工，要进行严格挑选，并适时进行岗位轮换，防范操作风险。         （六）加强外部监管，充分发挥信息披露作用          银行监管部门应要求不同规模的银行建立符合自身情况的操作风险管理框架，采取有效的策略来识别、评估、监测、控制和降低实质性的操作风险，直接或间接地指导银行定期审查和评估其操作风险管理系统，同时应要求商业银行适时并有规律地向公众披露相关信息，以加强市场约束，进而使操作风险的管理更加有效。

参 考 文 献

1、黄宪、赵征、代军勋，《银行管理学》， 武汉大学出版社，2001    2、 段红涛等，《中国商业银行风险防范问题研究》，湖北人民出版社，2001．     3、 王卫东，《现代银行全面风险管理》，中国经济出版社，20O1     4、 张改之.，《银行业操作风险防范长效机制的构建》     5、 互联网， 《当前银行操作风险防范机制建设谈》  6、 互联网，《 浅谈商业银行如何防范操作风险》