商业银行操作风险传导载体研究

2011-08-15李晓蓓费伦苏

武汉理工大学学报(信息与管理工程版) 2011年6期

李晓蓓，费伦苏

(1.武汉理工大学管理学院，湖北武汉 430070;2.华夏银行总行，北京 100010)

关于商业银行操作风险的内涵和传导载体，国内外有很多学者对此进行了研究。BBA在对英国和澳大利亚银行的“操作风险调查”报告中指出，商业银行操作风险引发的高额损失主要来源于系统失误、犯罪活动、法律问题、大量的资金转移、业务中断和资产破坏;MICHEL对操作风险的类型、产生原因、测算步骤和整体操作风险管理等关键问题进行了详细分析[1];PHILIPPE对操作风险的定义、产生原因，以及运用损失分布法，具体计算操作风险所需的资本要求进行了简单分析，提出了通过建立操作风险基金来防范操作风险的管理对策[2];FAA的系统安全手册对操作风险的来源进行了分析，并提出了一些管理操作风险的具体方案，但没有将定量管理结合到操作风险管理中去[3];马克·洛尔和列夫·博罗多夫斯基认为操作风险的主要来源是人为因素[4];卡罗尔·亚历山大认为，操作风险与银行的结构、效率和控制能力密切相关。因此，管理操作风险的第一道防线是银行的系统设计与激励机制，第二道防线是资本金要求。他从操作风险的三大支柱入手，对操作风险的数量框架、风险计量、统计模型、风险缓释技术、管理架构和风险资本等进行了阐述，还对法律风险与欺诈、损失分布方法、记分卡法、贝叶斯网络法等问题进行了剖析[5];ROBERT研究了商业银行兼并过程中的操作风险问题[6];约翰·麦肯探讨了由电子商务引起的操作风险及相应的IT对策;彼得·思克菲尔德研究了声誉风险对商业银行的重要性;伯特·布鲁金克等提出了对操作风险纳入新协议框架的担忧，并对操作风险定量度量可行性进行了置疑[7]。

国内学者也对银行业的操作风险进行了大量研究。巴曙松讨论了当前国际银行界通用的操作风险衡量方法[8];钟伟认为相对于流程、系统和外部事件的风险管理而言，操作风险管理的核心是对人的管理，包括对人的道德、能力的评估与一个良好的激励相容框架的实施等[9];刘超从流程管理的角度提出了基于作业的操作风险管理框架，阐述了操作风险管理中所关心的主要问题，具有较好的有效性和可操作性[10]。

结合国内外学者的研究，笔者认为，依照操作风险产生的风险传导载体可将其分为信息载体、人员载体、技术载体和业务载体。通常情况下，商业银行操作风险传导载体在受到各种风险诱发因素的映射以后，会依照一定的传导模式对该风险进行传导，在这个过程中，操作风险强度会不断累积直至最终暴露。

1 操作风险传导的信息载体

商业银行虽然是经营货币的企业，但货币(尤其是电子货币)就是信息，正如花旗银行总裁威廉·罗兹所说，银行的本质不是经营金钱，银行经营的就是信息。由此可见，银行最核心、最本质的内容就是信息。银行的每个层面都需要利用信息来识别、评估和应对风险，利用信息来管理银行经营活动并实现其目标。银行操作风险的信息传导载体体现在如下几个方面:

(1)信息的可传递性导致操作风险。信息的获取依赖于信息的传递。商业银行信息的传递一般依赖语言、文字、电话等手段进行。但必须注意的是，商业银行信息在传递过程中存在的许多障碍可能导致信息失真，其中尤以对信息进行加工处理的人员因素为甚，包括职员之间的口音、语法等因素造成的表达失真和由于意见分歧使银行职员在沟通时具有选择性、过滤性产生的思想障碍等。信息在组织内部传递存在自然失真和人为失真。自然失真是由人们的可知觉范围、心智能力和接受信息时的环境、心理、生理状态决定的。与此不同，人为失真是由信息接收者的主观造成的，这可能缘于自我效用、部门效用、不同的价值观或不同的判断与预期等。

(2)信息的可处理性与可转换性导致操作风险。银行在信息加工处理过程中存在由于取材不全、分析方法不当、传递技术故障、推理错误等原因而导致从正确信息得出错误结论的情况。因此，信息的处理存在一定的风险性，如银行外汇交易过程中由于模型使用错误而导致操作风险。

信息可以压缩、扩充和叠加，也可以变换形态。如物质信息可以转换为语言、文字、图像等形式，也可转换为计算机代码、电讯信号等。但信息在传递、流通或转换过程中，有可能产生失真。银行最原始的信息通常产生于基层支行或分理处，经过逐级收集、加工后为分行或总行管理者所用，在该过程中信息处理的时间、空间和形态不断发生变化，这种时空的不一致性使得信息处理工作更加复杂化，从而可能产生操作风险。

(3)信息的时效性导致操作风险。信息具有滞后性的特点，各种信息只在特定的时间对特定的使用者有用，如果不是用户当前所需的及时信息，则对该用户来说其应用价值有限。商业银行如果使用与当前实际不符的信息进行业务决策就难免会产生操作风险。信息的时效性受信息传递技术和传达距离的影响，信息传达距离一定时，传统信息传递技术的速度越慢，信息的时效性就越差;信息传递技术一定时，信息的传达距离越短，信息的时效性就越强。

2 操作风险传导的人员载体

商业银行职员在信息处理时会受到环境与个体心理的影响，产生认知偏差并将这种误差和错误传递给其他信息获取者，从而产生风险传导现象。银行职员在这一过程中所充当的角色就是操作风险传导的载体。从媒体披露出来的许多关于操作风险的案件可以看出，人员因素已经成为商业银行操作风险产生的关键所在，也成为商业银行操作风险传导的主要载体之一。

(1)个体品质因素导致操作风险。从国内商业银行发生的诸多操作风险事件来看，少数银行职员利用职务之便从事违法违规操作的原因与其个体品质的好坏有着重要联系。银行职员个人品质败坏会对某一具体违法违规行为产生决定性影响。如银行个别信贷员不能正确认识和处理工作关系，把银企关系混同人情关系，将手中的权力同人际交往混淆在一起，最终感情超越原则，抵挡不住金钱的诱惑，以至成了客户企业的“内线”。更有甚者“同客户企业穿一条裤子”，帮助企业对付银行，恶意套取银行资金，并从中捞取好处。其表现:一是个别信贷员把正当的银企关系逐步演变成伙伴关系;二是由伙伴关系逐步蜕化成利害关系。在利益的驱动下，步入腐败的泥潭。

(2)个体心理因素导致操作风险。主要包括5个方面的内容:①贪欲。犯罪起因于贪欲。某些银行工作人员被物质、金钱迷住了心窍，私欲恶性膨胀，贪婪地追求个人需求，当自己有限的合法收入满足不了日益膨胀的贪欲时，就会利用职务之便，设法侵占银行资金;②意志薄弱、心理失衡的心理因素。外在社会环境的种种消极因素不断对某些银行职员产生影响，业务活动中种种不当利益又对其构成诱惑，使其意志日趋薄弱，心理日趋失衡，成为其实施违法违规行为的外在推力;而放松道德修养则会使其私欲恶性膨胀，违法犯罪心理日趋强化，最终步入犯罪的深渊;③侥幸心理因素。违法违规操作的银行职员往往主观臆断，以盲目的安全感代替其内心的恐惧感，这一心理因素巩固了银行有关人员违法违规行为的决意，增强了其认为可以逃避罪责的侥幸心。而打击不力对侥幸心理具有负面影响，实践中对银行职员违法违规行为的处罚普遍偏轻，更助长了一些人的侥幸心理，致使其一犯再犯，直至酿成大案、要案;④情感因素。一些银行职员在亲情、友情的支配下，置银行规章于不顾，只要亲朋好友提出要求，不能办的事也照办不误，哪怕违法违纪也在所不辞，最后致使银行蒙受巨大损失;⑤孤注一掷的赌徒心理。某些银行职员的贪污、挪用银行资金等行为刚开始只是小打小闹，但随着作案次数和涉案金额的不断增多，知道早晚要翻船，“有权时捞一把，逮住了自认倒霉”的赌徒心理逐渐代替理性，进而胆大妄为，顶风作案，结果赌注越下越大，越赌越输，银行资金被越吞越多。

(3)个体执行力因素导致操作风险。许多操作风险事件的发生与具体业务操作人员的业务执行力不无关系，因此银行职员个体执行力不强也是操作风险事件发生的重要原因之一。主要体现为专业知识技能匮乏、对新业务的学习滞后、对业务流程理解不深、不透，以及对各项规章制度的接受与理解能力欠佳等非主观因素造成的操作失误，如数字输入错误、忘记复核等。

(4)内部业绩考核与激励机制缺陷导致操作风险。当前，许多银行业绩考核仍然沿袭“存款立行”的指导思想，过分强调规模扩张，为争夺和留住客户而进行违规操作。当重要客户提出简化操作程序或是在执行银行制度与争取客户发生冲突时，许多客户经理会选择放弃对遵守规章制度的严格执行，甚至违规操作以帮助客户达到目的。任务考核已经成为违规操作的重要诱因，而正向激励缺失和反向约束不足则会弱化员工防范风险的主动性。一是目前商业银行在改革分配机制时，通常是“风险责任下移、收入分配上移”，这种不科学的激励机制影响了员工执行制度的积极性;二是收入分配差距过大加剧了对基层员工的反向激励。

3 操作风险传导的技术载体

银行技术风险是指银行软件、硬件技术与网络、通信技术等信息技术在使用过程中引发的银行经营的不确定性，是银行业在电子化、信息化、网络化业务的发展过程中缺乏科学、规范的管理而造成损失的可能性。银行对信息技术的应用一方面降低了成本，为银行金融产品创新提供了技术支持，使银行获得了相对竞争优势;但另一方面也扩大了银行的操作风险，如窃密手段越来越先进，储存、处理和传输环节及众多接口都可能成为泄密渠道。银行技术风险，一方面表现在银行信息系统安全性面临的挑战，对银行信息系统的安全性和可靠性提出了更高的要求;另一方面，由于银行信息系统中传输和存储的数据都与资金有关，使银行的计算机系统成为犯罪分子关注的焦点;另外，因系统运行失灵而导致的操作风险也在增加。随着网上银行业务的不断发展，银行越来越多地依赖于信息技术提供服务和处理业务，技术风险会导致银行面临财务与信誉损失，并潜在地威胁到整个国家金融的安全与稳定。银行技术风险具有突发性、快速传导性、跨越时空性、犯罪渠道的多元性，以及责任的难以区分性等。巴塞尔委员会及有关发达国家的银行监管当局普遍认为，引发银行风险的因素与技术联系在一起对银行的影响程度更大。具体而言，商业银行技术风险主要表现为以下几个方面:

(1)计算机软、硬件技术导致的操作风险。计算机系统由大量的硬件设备与软件共同构成，任何一部分出现问题均可能使整个系统陷入瘫痪。当计算机系统失灵时，银行向客户提供实时服务的障碍及其造成的损失会立即显现并迅速扩大，处理过程中的积压负担也会迅速增加。而受害最深的是电子资金传递和支付系统，尤其是那些保证提供当日结算服务的系统，因为有关交易银行可能要依赖该资金收入来进行支付。因此，一次严重的系统中断造成的损失可能会大大超过修复损坏的设备和更新数据的成本。

(2)网络技术导致的操作风险。网络作为一种构建在开放性技术协议基础上的信息流通渠道，它的防卫能力和抗攻击性较弱，服务对象、信息路由、访问渠道的不确定性使其易于遭受到内外攻击。如信息在网络上传输时，可能存在由于网络设备故障或未将内部网络与国际互联网进行物理隔断而遭受外界侵袭;在电子交易过程中，Web站点要与银行后台核心业务系统相连，该模式要求系统有完善的设计、合理的体系结构、良好的互操作性与可用性，网络技术系统设计与实施的不完善、对外部服务供应商的过分依赖都会给银行带来操作风险。因此，网络安全控制技术、客户身份认证与私密标准技术、数据保护技术和稽核跟踪技术等变得比以往更加重要。另外，网上银行的技术创新和客户服务变革速度的加快使银行新技术的推出周期大大缩短，也给银行增添了技术过时的风险变数。此外，认证系统使银行技术面临的操作风险也不容忽视，如错误地识别证书申请者、证书内容设置过于宽松、未能恰当保护申请者自身的签名能力等。

(3)通信技术导致的操作风险。通信技术故障或缺陷不仅影响到信息的传递，而且还可能导致信息泄露。通信线路越长，用户数量越多，通信链路的安全隐患越大。就有线信道(如电缆、光缆)而言，容易遭受人为与自然损害，还易遭到窃听，由于串音可能导致信噪比下降，误码增多，使传导的信息发生变异;而对于卫星信号、微波等无线信道，电磁信号和各种高脉冲电磁波也可能在传输的过程中产生信息泄露和被截取。

4 操作风险传导的业务载体

研究表明，业务操作过程中产生的风险是造成商业银行风险损失的主要原因之一，而由于内部业务流程管理不慎所导致的操作风险损失则是最大的，并已成为国际银行业关注的焦点。

(1)业务流程的层次递进性导致的操作风险。由于商业银行业务流程具有整体性、层次性以及递进性等特点，一项银行业务往往需要多个部门组成的业务流程链按一定时序关系逐渐协作递进展开。如果商业银行业务流程链上某一业务操作环节的执行存在缺陷或控制存在盲区产生的操作风险不能得到及时控制，则该业务所蕴含的操作风险就会按照价值链的形成路径与前进方向不断向前传导给其他业务环节，表现为操作风险的业务流程链传导。

(2)业务流程设计的缺陷性导致的操作风险。业务流程设计缺陷不仅会影响银行的经营效率，流程中的漏洞还有可能被不法分子利用，给银行带来风险。

(3)业务流程设计的部门割裂性导致的操作风险。国内商业银行现有的业务流程设计大多是“为组织而定”，而不是为了给客户提供最方便的服务，完整的业务流程常常被割离开来。不合理的银行业务流程设计，使业务活动信息被不同部门人为分割成一个个“信息孤岛”，这种状况既不利于临柜人员在业务执行过程的操作风险防范，也不利于业务操作的监督检查。