一、前言

操作风险是商业银行面临的主要风险之一，是由内部程序的不完善或失灵、人员和系统或外部事件导致损失的风险。银行业金融机构经营规模迅速扩大，业务快速发展、产品不断创新、机构与员工数量持续增长，在此背景下，积聚的操作风险问题随之增加。近年来，操作风险引发的各类案件不断增加，而内部控制作为企业自身的一项管理活动，其运作的有效性与操作风险的控制与管理息息相关。本文试图结合COSO《内部控制整体框架》，从商业银行的内部环境、风险评估、控制活动、信息与沟通、内部监督五大要素出发，对商业银行操作风险管理中存在的问题进行研究与分析。

二、内控视角下商业银行操作风险管理所存在的问题

（一）内部控制环境。从内部控制环境来看，商业银行的内控环境存在的问题主要在于公司治理、机构设置、企业文化等方面。例如商业银行的“两会一层”是否有效建立并各自履职尽责，内部控制治理架构是否健全完善，内部控制制度建设和流程建设的是否完备，内部控制是否具有动态完善机制。从公司治理结构来看，“两会一层”的缺失必然导致职责混同、“一言堂”等内控失效的局面发生。以某银行为例，该行为12家全国性股份制银行之一，在2003年改制完成后的长达10年时间里该行仅有董事长没有行长。从内部控制架构来看，某些商业银行在内部机构设置上不重视审计部门，审计人员数量远低于《商业银行内部控制指引》员工总数的1%的要求，导致内部监督力量薄弱，此外某些商业银行的合规部门与审计部门职责混同，审计的独立性不足，不利于发挥内部审计的积极作用，不利于长期稳健经营。此外，从制度与流程的完备性来看，未能实现制度流程全覆盖也为操作风险的孳生创造了环境。

（二）内部控制风险评估。与其他风险不同，操作风险呈现出广泛性的特征，遍布商业银行的各个业务、管理环节。

目前，各大商业银行主流仍然是应用巴塞尔协议中操作风险的三大工具对操作风险进行识别与评估，包括自我风险评估（RCSA）、关键风险指标（KRI）、损失数据收集（LDC）。但其中也存在一些问题，例如风险评估未能与业务流程、关键环节相关联，损失数据收集不够全面且高度依赖人为报送、关键风险指标未能定期重检与更新、操作风险损失等级评估失真、剩余风险与控制措施评估流于形式等。

（三）内部控制活动。内部控制活动是内部控制的基本要素，是实现内部控制目标的关键要素。一般而言，商业银行的内控控制的措施包括授权控制、岗位控制、流程控制、实物控制、科技系统控制、双人作业控制等。目前商业银行的各类控制活动不到位，会极大的造成操作风险失控，一是授权控制不到位，超授权办理信贷业务或柜面操作；二是岗位设置不合理，不相容岗位未实施分离，存在一人身兼数岗或是套取他人岗位权限，业务办理上单人一手清，形成内控漏洞；三是流程控制不到位，如进出口银行李昌军一案，利用分行行长身份，绕开信贷审批流程私刻公章提供对外担保造成损失逾10亿元；四是实物控制不到位，如2016年农行40亿票据大案中理应入库保管的票据被偷换成报纸，再如银行公章、重要空白凭证等要件未能双人保管监控覆盖而被盗用，甚至办公场所管理的缺位也为操作风险带来可趁之机；五是业务依赖的科技系统存在漏洞，未能在流程上实现单向管理及硬约束；六是双人作业控制不到位，双人控制流于形式等情况高发于信贷尽职调查、开户及柜面业务办理等环节；七是重要岗位的风险管控不足，未能执行轮岗强休等基本人力制度。

（四）内部控制监督。内部监督是企业对内部控制及管理与实施情况进行监督检查，评价内部控制有效性，发现内部控制缺陷并及时改进的过程。在该方面存在的问题包括内部监督的覆盖有效性不足，不能贯彻到商业经营活动、产品管理、业务操作的各个层面；内部监督的独立性不足，受到其他人为或非人为因素干扰，难以客观履职；内部监督的地位较弱，难以形成相互制约、相互监督的良性局面。

三、商业银行操作风险管理的对策

（一）完善内部控制环境。在强监管态势下，商业银行应该要苦练基本功，重视内控环境的建立与打造，是操作风险管理最基础的一环。一是完善“两会一层”的治理结构，确保董事会、监事会、高管层各尽其职，董事会确保建立充分有效的内部控制体系，监事会按规定监督各级履行内部控制职责，高管层制定系统化的制度流程，建立健全内部组织架构，采取适当的风险评估措施和内部控制活动。二是健全与完善内部控制治理架构，指定专门部门作为内控管理职能部门，对内部控制体系进行统筹规划与组织落实，建立强有力的内部审计部门并确保其履职的独立性，根据分支机构的经营能力、管理水平、风险状况和业务发展需求建立相应的业务授权体系，明确职责。

（二）完善操作风险的风险评估机制与风险控制措施。完善操作风险的识别与评估并采取适当的风险控制措施，是操作风险管理最为关键的一环。一是完善以操作风险三大工具为核心的操作风险识别、评估、预警管理手段；二是持续完善操作风险的围绕操作风险各个问题环节建立负面清单或风险指标，持续监测；三是以科技手段为依托，建立会计集中作业中心、信贷管理流程系统、客户关系管理系统等，强调系统硬约束，杜绝人情化管理，杜绝逆流程管理；四是持续深入的开展内部控制评价，以发挥内控评价的激励约束作用。

（三）加强员工异常行为管理与打造知法守规的软环境。严重的操作风险事件的发生必然存在人为因素，对员工异常行为进行管理能够遏制极端的操作风险发生或是减少负面影响。因此，一是建议建立员工“从入职到离职”的全流程管理体系；二是借助科技赋能，提升监测预警能力，对员工个人行为、大额资金运转进行监控与预警；三是一级带以及、层层履职，以部门为为单位的各级管理人员应该掌握员工，特别是重要岗位员工的思想活动、社会交际、生活状况情况，并建立定期和不定期的异常行为排查机制；四是加强员工职业操作与职业操守教育，提升员工思想品德与业务技能，引导员工积极向上、合规经营、依法经营；五是将违规行为与员工个人绩效挂钩，与员工的个人职业晋升挂钩，从利益角度规范员工行为；六是完善内部的员工违规行为的处罚办法，从经济处罚、纪律处分等方面约束员工不越红线。

(四）建立健全内部监督体系，构筑三道防线。构建以监事会监督为核心，以职能部门尽职监督、内控合规部门检查和内部审计部门审计组成的内控监督体系。监事会履行对董事会和高管层的监督职责；各职能部门积极开展自查自纠，强化条线内部控制；内控合规部门统筹现场检查，实现检查的计划管理，整合优化检查资源，提升监督效果；审计部门开展审计再监督，相对独立的对全行经营管理和经营绩效进行审计，充分发挥审计监督和促进作用。

四、结语

与商业银行面临的其他风险相比，操作风险具备广泛性、隐蔽性特征，因此在操作风险管控相较于其他风险难度更大，如何更好的控制操作风险，防范小的操作风险向大的操作风险甚至是恶性案件衍生在当今的商业银行管理中显得尤为重要。从内控视角看待商业银行操作风险，可以看出内部控制与操作风险管理相辅相成，其根本目标一致，措施与手段趋同，因此改进内部控制也是商业银行操作风险管理的重要途径与手段。