商业银行操作风险管理研究

2021-01-02戴磊

全国流通经济 2021年2期

戴磊

(恒丰银行股份有限公司，山东济南 250000)

一、引言

随着我国的金融市场竞争日益激烈，为迎合人们丰富多样的金融需求，我国商业银行的业务领域不断延伸，业务范围不断扩大，金融产品种类不断丰富，操作风险的发生率也随之提高，对银行的声誉和形象造成不可低估的影响，严重时还会造成银行经营效益的损失，对经济社会造成负面影响。目前，商业银行操作风险防控已成为各家商业银行重点关注的问题。我国商业银行该如何有效地防范存在的操作风险，正是本文所要研究探讨的。

二、操作风险定义、分类及主要特点

1.操作风险定义

国际银行业的监管机构——巴塞尔银行监管委员会在2004年新《巴塞尔协议》中从监管角度定义操作风险，即“由于内部程序、人员、系统不充分或者运行失当，以及因为外部事件的冲击等导致直接或间接损失的可能性”。我国银行业监管机构——原银监会在2007年发布的《商业银行操作风险管理指引》中定义操作风险是指“由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险”。该定义基本与巴塞尔银行监管委员会定义一致。

2.操作风险分类

从商业银行的角度出发，操作风险是指商业银行由于受到内部程序或系统缺陷、内部人员误操作以及各种突发情况造成的银行风险。通过对商业银行近年来发生的操作风险案件进行研究，结合造成操作风险的原因，共分析出以下几种类型。一是诈骗风险，包括内部诈骗和外部诈骗。内部诈骗是指内部员工利用职位之便，违反法律法规，以权谋私，私自盗取银行公共资产，或与外部其他人员勾结，故意泄露银行机密要闻，谋取银行公共资产；外部诈骗是指与银行存在往来业务的第三方机构，蓄意隐瞒实际情况、违法违规盗取银行财务导致的风险。二是环境风险，是指员工进行工作活动的场所存在较为严重的安全隐患，造成的安全事故类风险。三是业务流程风险，包括内部和外部风险。内部风险是指客户在业务管理过程中进行的有意、无意违规风险操作；外部风险是指操作人员误操作或商业银行业务自身流程缺陷所造成的损失风险。四是有形资产风险，是指因人为、自然等多种原因造成银行内部有形资产的折损折旧。五是系统风险，是指因系统突发瘫痪故障、系统出现漏洞被攻击等造成的损失。六是文件传递风险，是指文件在保管、传递过程中，因流程漏洞或管理不当使文件泄露造成的损失。

3.主要特点

商业银行操作风险主要存在以下特点。一是频次高。商业银行操作风险的种类多样，主要的产生对象为银行员工，产生对象数量众多，且产生方式五花八门，故操作风险在商业银行中发生的频次极高，高于其他商业银行风险。二是范围广。操作风险存在于商业银行经营管理、业务运行的各个环节、各个领域、各个部门，任何环节的疏漏都容易造成操作风险，故操作风险的发生范围极广。三是难发现。因商业银行的业务经营相较于其他行业对于信息的脱敏性较强，存储的客户信息等数据安全加密要求较高，部分操作风险发生后影响不是立刻显现的，故操作风险有时很难被发现。四是影响可控。虽然操作风险极易发生且难以发现，但多数的操作风险影响较小，带来的经济损失以及影响也具有可控性，通过有效的操作风险防控措施可以减少甚至于避免风险的发生。

三、商业银行操作风险影响因素

1.人员因素

商业银行操作风险的主要引发者为操作人员。原因主要有三。一是我国大部分商业银行基层操作人员的学历参差不齐，专业技能良莠不齐，在人员入职前也未设定统一的准入标准，导致柜面操作水平较差，很多基层人员甚至未进行基础培训就上岗操作，现学现用；同时，基层人员大多只专工于某一条线业务，对于大多数银行业务不是很了解，极其缺乏复合型人才。二是基层人员长期接触巨量货币，一旦缺乏职业素养，容易被欲望冲昏头脑，被利益引诱，通过违法违规手段获得不当收益，故意为之的操作风险。三是操作人员对操作风险认知的缺乏，缺少操作风险的识别意识和防范意识，在业务处理过程中难以识别出操作风险，极易引发由操作风险造成的损失。

2.组织结构因素

因我国商业银行的发展历程较短，目前我国商业银行还停留在更为重视信用市场风险的阶段，对操作风险的整体监管力度不够，缺少专业独立机构对商业银行操作风险进行监管，故操作风险监管尚未形成统一的监管标准和监管体系，没有专业机构可以对商业银行的操作风险进行客户评价或评级，在外部市场监管上很难控制。此外，我国商业银行大多为总、分、支的机构设置，各个分行自行管理辖内机构，互不干涉。总行的管理任务难以有效地覆盖到所有分支机构，执行力较低，监管力度较差，易造成操作风险。

3.内控因素

我国商业银行均设置有相应的内控机制，风险事件突发时内控管理部门会采取对应处理措施。但目前商业银行多数业务的开展是在分支机构，其中产生操作风险的概率也较大。一是部分分支机构未成立独立的内控监管部门，或部门内部缺少专业内控人才，内控机制效果甚微；二是我国商业银行操作风险监管规章制度较为分散，未进行统一归集，权威性较低，只针对于内部监管，范围较小；三是缺乏完整的监管统计数据和操作风险内控监管系统，难以加强监管力度。

4.流程因素

业务流程过程也是操作风险容易发生的节点之一。随着居民生活水平的不断提高，对金融产品的需求也日益多样化，促使我国商业银行的金融产品和金融服务不断创新，从而产生了更多新产品的业务流程。但我国商业银行系统软硬件等基础设施发展较为落后，智能技术引进阶段较晚，在新产品功能业务流程设计的初期，对业务流程操作风险的防范节点考虑不够全面，系统控制不够严密，新产品功能上线后易引发操作风险。此外，新业务上线后，审批流程会更为简单、便捷，相关管理监测流程未完善，制度流程也不够详细规范，易造成操作风险的发生。

四、商业银行操作风险管理问题

1.操作风险管理体系不健全

目前大多数商业银行都建立了操作风险管理体系，但是在商业银行运营的实际风险管理中，很难实际运用与落实操作风险管理体系，操作风险管理体系并没有起到实质性的作用。这也与操作风险管理体系的不健全有较大关系，商业银行的操作风险管理不仅仅是事前的稽核、审查等事前预防，还应同样严格关注事中防范、事后监测。同时，为适应商业银行的转型发展及业务范围的扩大，操作风险管理体系不应较长时间停留在一个阶段，不能只一味地对操作风险事件数据进行分析归纳总结，还应对银行经营的全流程进行全面的管理监测，需要全行各部门的共同推进落实。

2.操作风险管理基础较为薄弱

我国商业银行操作风险管理体系的发展历程较短，有关操作风险的管理经验、理论依据都较为欠缺，缺少较为雄厚的管理基础和专业管理人才。对于银行高层的管理能力要求较高，需要具有评定、监督、辨别等推动作用，并将其作为重要的评判标准确定决策是否健全，同时准确的测定方式及合理的管理机制也是重要的基础。薄弱的操作风险管理基础使我国商业银行的操作管理缺少完整、统一的操作风险管理策略机制。

3.操作风险数据获取难度较大

我国商业银行的操作风险研究还处于初级阶段，对于操作风险的损失数据获取难度较大，故缺少操作风险数据，难以通过目前所有的数据进行分析。同时，我国商业银行多采用传统的定性分析方法对操作风险进行计量。少量的数据及智能化较低的分析手段难以对此操作风险进行实时防范。

4.内控制度不完善

我国大部分商业银行的内控制度不够健全，给操作风险的发生带来了隐患。一是随着银行资产负债规模的不断扩大、业务种类的不断丰富，对应的管理制度却发展滞后，未进行及时调整更新，难以适应银行经营业务的发展，风险覆盖率不高，使不轨之人打破心理防线，做出违规的举动；二是对于较为完善的制度规则，因缺少推动力、执行力，无人监管实施，也对操作风险的发生提供了便利。

5.操作风险管理文化落后

在面对风险的过程中，操作风险管理文化落后。一是多依靠于人际关系的处理情况，未发挥管理制度的真正作用，管理制度形同摆设，导致员工难以形成防控意识，为风险事故的发生带来了隐患。二是部分银行的管理方式或采用严厉强硬的手段，没有灵活的方式进行控制，难以进行事前防范，在事中控制、事后分析阶段也较为困难。三是商业银行管理者更注重于短期的利益，将重点放在业务拓展，风险防范工作多流于表面，认为只要不造成较大事故即可，而基层的合规意识也较为浅显，以自身业绩的快速提升为主，忽视了业务的合规性开展。

6.防范措施和技术水平落后

与国外大型银行相比，我国商业银行缺少合理的防范操作风险措施和方法，识别操作风险的手段较为单一，多采用历史经验分析，识别风险、监控风险的水平较为落后，识别、监测工具较为单一，与大数据、人工智能、云平台的技术结合度不够，难以通过数据挖掘进行分析。

7.员工队伍管理建设有待加强

对于银行业务的多种多样，对员工的要求也多样复杂，对员工的工作要求有了更高的标准，也增加了员工的心理压力。员工每日接受的事项也在逐渐增加，容易遭到各种事务吸引，很难集中注意力，易发生操作风险。多数银行中存在的委托代理关系为员工的管理带来了更大的困难，管理的不到位、不全面，使很多区域处于管理空白部分，易造成员工违规行为的发生。同时，很多银行未对员工心理进行管理疏导，易造成员工因心理问题进行犯罪行为。

五、防范商业银行操作风险措施

1.完善内控体系建设

为追求更加完善的内部控股体系，商业银行可以通过以下途径实现。一是根据银行实际发展进程，实时更新补充目前的规章制度、操作流程，推进制度的不断完善。二是完善各类业务的操作流程并分析其中的关键风险点，针对风险点制定操作风险应急管理预案，对频次高的操作风险制定相应管理措施，对员工操作做到有效提示、防范风险；同时避免审核业务的冗杂流程，对流程进行精简，降低风险发生的概率。三是加强规章制度的执行力，提高员工对规章制度的重视程度。通过各机构、各岗位、各员工相互监督的作用推动制度的执行，防止操作人员因不履行规章制度而造成操作风险，在执行制度时需要时刻保证过程的严肃性、严厉性，一旦违规，应予以相应惩罚。四是完善行内授权制度，明确各级行、银行内部的权力、职责、角色、权限，坚决抵制越权现象。五是通过现场检查、视频检查、远程检查等多种方式，及时发现潜在的操作风险，并采取应对策略，有效防范风险发生。

2.加强人员管理

操作风险发生的关键因素之一就是人员问题，故人员管理也是防范操作风险的重要手段之一。具体的措施包括：一是科学配置人员，合理分配人员工作，保证一线员工的劳动量基本一致，避免出现因劳动量过大而导致操作风险发生的情况；二是加强员工思想教育及风险意识培训，包括风险防控知识的学习、业务流程的风险提示，将风险防控意识贯穿在整个业务操作中，提高员工自身的防范意识和自我防护能力，提高责任心，增强道德意识；三是提高员工业务素质，通过培训、模拟操作等手段，加强员工业务专业水平，从根本上减少因失误导致的操作风险；四是加强员工监测管理，在日常工作中对员工进行行为、举止等监测，若发现行为异常员工，需及时采取私下谈话等措施对问题进行了解并进一步防控风险；五是在员工中间营造操作风险管理文化，通过意识形态影响员工，使员工深入了解业务过程中的操作风险，保持对操作风险的敏感性和洞察力，结合行内规章制度进行业务操作；六是优化员工绩效考核机制，把员工能的风险防控能力作为绩效考核的标准之一，促进员工的合规行为。

3.推动信息系统建设及管理

通过开发操作风险管理信息系统，以机控的方式对操作风险进行控制，获取操作风险损失数据，对数据进行分析处理，从而对操作风险进行预防控制，降低因人为原因造成的风险。对于系统的建设及管理，需要遵循以下几点：一是系统开发目的是为了提高风险管理水平，需对整个业务流程包括事前、事中、事后进行分析预测，提高控制手段的执行可行度，同时应将另一重点放在对内控机制的考核和监督上；二是实现动态化的系统管理模式，通过多元化的开发手段，强化其对数据的采集分析能力；三是在银行经营过程中，做好信息数据备份工作，防止系统的突发性瘫痪而造成的风险，同时做好突发性应急预案，在发生突发情况时采取有效措施，积极应对；四是在全面使用信息系统前需做好完备的测试工作，避免因上线时的较大疏漏造成的风险，在系统使用过程中，也要实时监督，及时处理缺陷并优化，弥补漏洞。

4.强化外界监管

随着银行业务范围的不断扩大，业务类型逐渐丰富，对于操作人员的要求也有进一步提高，操作风险也日益增加。在这种必然的趋势下，外部监管机构为适应外界的环境变化，应进行以下措施：一是主动通过指定、更新各种制度规则来引导金融机构行为，保证银行业的所有业务皆覆盖于监管之下，不留死角，做到“应检尽检”；二是对于新兴业务或风险较大的业务应出具相关的操作说明指引或提示，规范银行业的操作行为；三是对于违规行为，应加大处罚力度，严惩不贷，对于影响较小的风险，应予以预警或警告，促进金融机构的合规经营。

5.强化系统运维管理

增强对商业银行操作系统的运维管理有利于避免因系统问题引发的操作风险，故应注意以下几点。一是在系统开发新功能时做好测试工作。测试新流程各节点的流畅稳定，确保新功能上线后系统的稳定运行，并在系统运行工程中加强监测，一旦发现系统存在异常情况，需及时进行维护。二是做好备用系统切换准备。为应对特大系统故障时启用备用系统这类情况，应提前做好准备，进行多次切换系统的演练工作，制定相应应对措施和具体实施事项。