罗南

随着全球经济一体化，银行业得以长足发展，逐步呈现混业化、巨型化、表外化、衍生化等特点，其经营环境也变得更为复杂；美国次贷危机爆发，引发全球经济陷入困境，商业银行在操作风险管理上也面临新的挑战。面对世界各国频发的操作风险事故，金融界和监管当局开始加倍关注操作风险，深入研究操作风险，提出防范对策成为商业银行经营管理的一项重大课题。

一、商业银行操作风险表现形式

（一）内部欺诈与外部欺诈

在我国商业银行中，由于缺乏内部控制或内部控制失败，内部欺诈成为产生操作风险的主要原因，媒体报道的操作风险案件中，由内部欺诈引起的占绝大多数；在国外，内部欺诈也是产生操作风险的原因之一，但不是主要原因。可见，内部欺诈在我国是产生操作风险的主要原因，应重点进行防范。在国内，外部欺诈是仅次于内部欺诈成为产生商业银行操作风险的第二大原因，在国外也是产生操作风险的重要原因之一，也应重点进行防范。

（二）雇佣合同及工作状况带来风险事件

由于不履行合同、或者不符合劳动健康、安全法规所引起的赔偿要求。例如，工人赔偿要求、违反雇员的健康安全规定、有组织的罢工以及各种应对顾客负有的责任。或者是产品特性或设计不合理、员工服务粗心大意、对特定客户不能提供专业服务等原因而造成的银行损失。包括产品功能不完善引发的损失，由于强行销售产品、未对敏感问题进行披露、对客户建议不当、职业疏忽大意、不恰当的广告、不适当的交易、销售歧视等导致与客户信托关系破裂、合同关系破裂、客户关系破裂而引发的损失。

（三）客户、产品及商业行为引起风险事件

由于商业银行的业务及管理人员，因违约、用客户的秘密信息、进行错误的交易、参与洗钱以及销售未授权的金融产品等，从而产生无法满足某一顾客的特定需要、产品失效或失误、商业行为出错等现象，给银行或用户造成巨大的经济损失。因此，树立客户至上的观念，规范金融产品以及商业行为，是控制操作风险的一条重要渠道。

（四）有形资产损失

主要指由于恐怖事件、地震、火灾、洪灾和电压过大等不可抗拒的力量产生的商业银行实体资产的损失。这种损失一般是由非人为原因造成的，当不可抗拒的意外事件发生时，如果管理有效，会减少所发生的风险，而管理失效会增加所产生的风险。在国内，这部分原因所产生的操作风险不大，不是操作风险的主要原因；而在国外确实是产生操作风险的一个重要原因。

（五）经营、系统在执行、交割、交易过程中的失误

在商业银行的业务操作过程中，业务及管理人员由于交易数据输入错误、管理失误、不完备的法律文件、未经批准访问客户账户、合作伙伴的不当操作、经济纠纷等所产生的交易失败、过程管理出错、合作失败等状况，最终导致商业银行经济损失。或者由于计算机硬件、软件、通信或电力中断而引发的损失。包括硬件瘫痪、软件漏洞、设备故障、程序错误、计算机病毒、互联网失灵等原因造成的损失。在国内这是产生操作风险的一个原因，但不是主要原因，发生操作风险的案件占比为5%以内，经济损失占比不到1%；国外的案件占比不到2%，但经济损失占比超过2%，这说明这类原因是预防操作风险值得注意的一个潜在原因，应引起充分的重视。

二、商业银行操作风险产生原因

操作风险是银行业面临最古老的一种风险，随着操作风险事故的发生不断增加，对操作风险的研究近几年才逐步拉开帷幕。目前，我国商业银行操作风险管理远远滞后于形势发展。在公司治理结构不健全、内控制度建设尚不完备、认识不到位和风险管理手段落后等条件下，发生操作风险和造成事实损失的可能性必然增加。

（一）公司治理结构不健全

在我国， 商业银行基层分支机构在组织架构中操作风险管理职责分散，缺乏负责统一协调的机构，未设立专门的操作风险管理职能部门，管理策略和政策不明确，尚未形成一整套系统的操作风险的定义、识别、监控和风险缓释等管理。

一是股东大会的权力体现不足。改善公司治理的动力来自股东，由于历史原因，国有商业银行和股份制商业银行股东大会的权威性无从体现；改革商业银行后，引进境外投资者，对提高公司治理水平有一定促进作用，但仍存在国有股、一股独大的问题，股东大会的权力无法充分体现。

二是董事会缺位。商业银行特别是国有商业银行，董事会和高级管理层的设置名不符实，其人员组成往往是一套人马，职能不分，缺乏一个产权明晰、权责分明的制度基础，建立的董事会和管理层未能有效地防范内部人控制问题。另外，官本位的影响短时还难根本消除，强调的是领导企业而不是代表企业，董事会在公司治理中的作用本应在于商议、讨论、共同决定，但这一制度作用无法发挥，很多情况下常常是董事长一人说了算，董事会的独立性和专业性及民主性得不到保障。

三是对经理层缺乏监督。目前，国有商业银行采取的总行——省级分行——地市级分行——县级支行——分理处层级管理模式，导致分支行行长权力过大，总行对高管的有效监控减弱。而我国公司法也未明确经理权责，赋予经理诸多法定权限，且权限范围明显过大，经理权力大而又缺乏监督制约，直接加重了公司内部人控制。 （二）内控制度建设尚不完备

我国商业银行实行一级法人下的多级经营管理体制，各分行、支行有很大权力决定自己的组织机构设置、考核机制、管理制度以及业务流程。 由于分行、支行各自强调自己所处内外部环境的特殊性， 导致分行甚至同一分行的支行经营管理模式各不相同。 我国商业银行在内控方面的不足主要表现在以下几方面：

一是内控制度缺乏针对性和系统性。绝大多数银行，没有针对操作风险制定统一的政策标准，形成系统、完善的内部控制制度，现在执行的大部分制度办法往往也不能涵盖银行业务经营过程中对所有关键业务实施操作风险管理的标准和目标，不少制度只是原则性规定，操作性不强，未对资产业务流程进行基于风险管理的再造，形成一种内部风险控制文化，使员工对自身操作风险的责任有明确的认识；此外，目前我国银行业内控制度建设严重滞后于银行业务的开拓，使新业务的开展缺乏必要的制度保障，风险较大，造成基层员工在执行过程中无所适从。

二是总分银行体制使分支机构表现出较强的“内部人”控制特征。由于所有者与经营者利益的不一致，经营者控制公司，权利过分集中于“内部人”。国内商业银行普遍架构为多级总、分支机构，直线职能制模式大大削弱了内控的力度，总行对分支行控制能力逐级下降，无法及时、准确、完整获取信息，使得分支机构负责人横向权利过大，而相对于一级分行，二级分行与支行又承担了更多的实际业务操作职能，这正是我国操作风险事故发生较多领域，加之分行与支行的管理链条较长，物理网点分散，总行对其控制力更弱。

三是内部监督作用未得到有效发挥。当前基层机构没有切实履行操作风险的管理职能，缺乏对高管人员权力行之有效的制衡机制，对关键岗位员工工作时间以外活动也没有合理监管机制；我国银行业内部审计部门并不直接隶属于董事会，而是与其它部门平行，势必会影响内审监察部门在全行的威严，导致对分支机构稽查监督容易，对本部稽查监督困难，难以满足识别和管理操作风险需求。

（三）风险管理方法落后，信息技术的运用严重滞后

一是操作风险管理理念的偏差。当前，我国银行业对操作风险一直处于被动管理状态，因此管理理念存在一定的偏差。主要表现重业务经营、轻内部管理，重事后补漏、轻事前防范，重视案件风险、忽视信息资产安全和业务中断风险，重案件查处、轻案件防范管理，重会计操作风险、轻授信和营销操作风险管理。据统计中发现，我国大部分银行出于自己声誉、利益等各种考虑， 对大部分损失较小的操作风险事件采用“小事化了”的策略，对损失较大的风险上报时进行“精心加工”，信息披露不足，使得决策层难以真正了解操作风险的真实情况，结果失去了较早采取管理措施的机会。

二是管理方法落后，电子化手段缺乏。随着信息技术的大规模应用，国外银行界操作风险管理手段也日益完善，从定性管理到依赖风险分析模型工具开展定量评价，从手工操作到电子化管理相比，尽管在信息技术应用方面处于各行业领先地位，但数据处理处于一种严重分散化状态，部门之间、同一家银行分支机构之间各自为政，数据集中水平差，数据采集标准不统一，操作风险的电子化管理与国外银行相比，差距仍然很大，几乎全部依赖内部审计部门的事后稽核，而这些部门往往人力薄弱，难担重任，无法对操作风险进行实时监控。

三是操作风险数据匾乏，数据库的建立很不完善。由于产权和信息披露制度的原因，银行不但没有压力披露操作风险事件，相反却有主动隐藏风险事件的动机，因而造成了一方面操作风险内部数据的收集缺乏，另一方面，操作风险外部数据也十分缺乏，特别是罕见的巨额操作风险损失数据匾乏，严重阻碍了操作风险防范意识的形成，影响了操作风险防范效率。由于各方面的因素，我国目前还没有一家专门收集银行风险数据信息的公司，所以操作风险外部数据的共享难以实现，完全依靠银行自身努力，无法为商业银行收集操作风险数据节约成本，致使我国商业银行目前不可能采用巴塞尔新资本协议中提出的高级计量法进行操作风险资本计量，无法建立相应的操作风险计量模型，准确掌握风险缺口，从而直接影响到银行经营管理中决策的正确性。

（四）员工队伍管理不到位

人员因素引起的操作风险主要是指，由于银行内部员工的行为不当，人员流失等原因给银行带来损失的情况，具体包括人员的违法行为、越权行为、操作失误、劳动力中断、关键人员流失或缺乏等。由于商业银行正常运营对人员的依赖性，人员因素管理在银行操作风险管理中应当处于核心地位。人员因素导致的操作风险具体有以下两方面：

一是人力资源配置不当，基层员工队伍整体素质不高。目前商业银行尤其是国有商业银行普遍存在基层人员紧张，工作强度大的情况，员工不愿意留在基层工作，人员流失现象较严重，基层行的高学历、有经验的人才配置不足，不能体现出基层机构作为操作风险防范一线屏障的基础地位。其直接后果体现：一方面是员工的业务素质和操作技能不高。银行业务团队中，由于缺乏思想教育和业务培训，存在部分员工风险意识较为淡薄，责任心不强，对规章制度学习理解不够，执行随意性较大，难免诱发操作风险，是员工必要的学习、培训、轮岗、休假制度难以落实；另一方面员工思想素质不高。这就是我们常说的“道德风险”。人性本是利己与利他的矛盾统一， 在条件具备的情况下， 人性的缺陷很容易暴露。从内部管理上讲，收入分配不公、高层贪污腐败、管理查处不严都激发了银行人员内部作案的动机和冲动；从外部监管而言，监管力度弱、处罚轻， 犯罪成本低， 使得一些人怀着侥幸心理，以身试法、铤而走险。容易引发操作风险。

二是对管理层的约束不够。董事会和管理层人员作为银行的公司治理结构，负责营造银行操作风险控制文化，将有效的操作风险管理和稳健的运营控制结合起来，应该是人员管理和整个银行操作风险管理的核心。但目前，我国商业银行体系对高级管理层约束机制还存在一些问题：一是高层问责机制执行不力。我国金融机构的高层问责制相当不完善，具体执行过程也存在高层人员寻找市场发展不成熟、法规不健全等借口充当理由；二是监管部门作用难以有效发挥。我国商业银行的审计部门无法完全独立于董事会和高管层，加之举报机制的不健全，使得监督部门无法有效发挥作用。

（五）与风险控制冲突的考核激励政策易诱导操作风险

建立健全激励报酬机制，是确保银行合法合规经营的助推剂。

一是我国现行报酬激励机制，对风险重视程度不够，且没有形成与绩效联动考核机制，业绩考核过分强调规模扩张， 一味追求规模收益，忽视风险，形成短期行为，客观上诱发了操作风险，多数商业银行仍实行存款任务指标（或市场份额）与业绩或收入挂钩做法，在业绩考核压力机制下，银行员工主动执行监督制度积极性受到影响，甚至为了争夺和留住客户而不惜进行违规操作，久而久之，容易滋生金融腐败和内外欺诈行为。

二是激励和约束机制不匹配，削弱了银行员工防范操作风险的主动性。激励和约束机制不匹配主要体现在对中高层管理人员具有较强的正向激励效应，对基层则激励不足，例如，在收入分配上，中高层管理人员与基层员工收入差距大，且责任与收入不对称，对中高层管理人员的激励较多，责任较少，但对基层员工则是激励较少，责任较大，这种风险责任下移，收入分配上移的激励机制影响了员工执行风险控制制度的积极性。此外，现行约束机制，对高级管理层约束不够，高管人员往往为一己私欲而盲目追求高额报酬，丝毫不考虑银行面临的风险状况，高比例分红，超收入分配等关联贷款的现象比比皆是，这种不计成本损失的盲目扩张，不光加剧了操作风险，还给社会造成了严重的影响。

三、商业银行操作风险防范对策

（一）构建完善操作风险管理框架

一是加强操作风险防范环境建设。环境建设是组织文化的主要组成部分，操作风险控制环境的营造应从组织文化建设开始，是商业银行的风险控制人员提高控制意识，统一控制观念，使控制活动协调一致，控制人员的责、权、利关系明确，形成有效的自发控制机制。

二是设立专业化风险管理机构，培训专业化风险管理人员。设立操作风险管理机构，按照国际先进商业银行管理要求，培训并引进专业管理人员，使风险管理程序设计、风险计算、网络控制一体化运行、建立经常化监督检查制度，实行现场检查与非现场检查、专业检查与全面检查、重点部位检查与非重点检查部位检查相结合方式，定检查深度，设整改时限，使操作风险无产生病源、无生存空间。

三是不断增强风险管理制度的可操作性。商业银行要尽快建立覆盖全业务、全部门的信息管理系统，该系统不仅仅包括对已有的各种业务流程的再造和设置操作风险控制点，更有助于总行对其星罗棋布的分支机构进行垂直的、扁平化的管理，实行“管理与操作、银行与客户、程序设计与业务操作”三分离制度，防范道德风险。

（二）加强防范操作风险的环境建设，严防道德风险，加强队伍管理。

员工道德风险是引发操作风险的重要诱因。银行要加强员工的素质教育，培养员工良好职业操守，从道德知识和业务技能等方面全面的提高员工素质。

一是营造“诚信审慎”的风险控制文化。强化全员安全风险意识，引导全行员工树立对风险管理认同感，加强职业道德教育，增强员工对职工道德的认识和理解能力，形成道德习惯，自觉履行自己的工作职责；把职业操守建设与文化知识教育以及业务技能培训结合起来，通过获取知识、应用知识来提高员工的职业操守，做到风险管理人人有责，让每一位员工意识到自身岗位存在风险点，形成防范风险的第一道屏障。同时，提高业务及管理人员提出更高要求，建立风险管理职能部门间有效的分工和合作机制以及信息交流和沟通机制，缩短存在风险的汇报路径，规避风险。

二是提高内控文化的科技含量。由于商业银行业务及网络系统普遍使用，对防止计算机犯罪和网络风险提出了更高的技术要求和人员要求，因此，提高业务及管理人员素质是降低商业银行操作风险的重要途径。同时，商业银行通过计算机程序编制、设立权限指令，控制超越授权的违规操作，避免因为个人的疏忽而导致的业务失误，迅速改进科技信息系统，提高技术手段防范操作风险能力，加强信息技术运用自身风险防范管理。

（三）借助科技手段建立全面操作风险识别、评估体系 按照《巴塞尔新资本协议》框架需求，借鉴国际先进经验并运用现代科技手段，从操作风险分类定义、组织流程、操作风险计量模型、风险控制和评估、操作风险数据库、操作风险管理、信息风险管理、信息系统等方面，建立科学的内部评级法，逐步建立覆盖所有业务操作风险的监控和评价预警系统，并进行持续的监控和定期评估，使各项决策和经营活动建立在充分的信息支持的基础上，各种信息及时调整业务经营方针和发展策略，及时协调解决内部控制中的问题，消除信息传导失真，有效防范和控制操作风险。

（四）完整内控信息反馈机制

针对当前我国内控信息交流与反馈机制交往薄弱的现状，商业银行应确实地采取一些措施进行改善：一是完善各部门与分支机构之间信息共享系统，确保信息传递的及时性和有效性，从而最大程度的减少损失。二是加强银行内部横向和纵向之间以及外部间的交流与沟通，帮助管理者及时掌握操作风险最新信息，对潜在的操作风险岗位和环节加以防范和控制。三是逐步完善信息、披露系统，开发银行自己的内部信息网站，给商业银行、监管部门和受益人之间提供一个信息交流平台。

（五）采取风险补偿机制和风险转移的措施

商业银行提取一定比例的经济资本作为补偿机制，此法类似企业提取坏账准备金，是一种最后保障机制。经济资本相对监管资本而言，经济资本应占管理资本一定比例，各商业银行可根据自身业务及管理程序特点，利用历史数据，建立相关模型，计算操作风险所需比例经济资本来补偿损失。同时，应利用保险产品作为分散操作风险损失的缓释工具，以弥补商业银行的操作风险损失，通过互换、对冲、保险、担保、证券化等方式，或者提供更多的资本、降低债务水平、经营分散化、自我保险等措施来转移风险缓解商业银行操作风险，建立存款保险制度，以保护存款人的利益和稳定金融体系。商业银行一方面通过强化内部约束，提高资产质量，加大不良资产处置力度，改善经营状况，增强自我积累能力，提足贷款损失准备，从内部补充资本。