國內銀行為何操作風險大案頻發

2008年下半年，針對國內外經濟金融環境的變化，監管機構前瞻性地向國內銀行業提出預警，“要高度關注經濟下滑可能帶來的操作風險案件上升勢頭”。盡管如此，2009年上半年國內銀行業仍發生多起操作風險大案。誠然，上半年操作風險形勢的惡化與經濟下滑導致的社會融資環境和信用環境的惡化不無關系，但外部環境只不過是誘發銀行操作風險的“催化劑”，更深層次的原因仍在于銀行內部因素，特別是操作風險管理體制機制的不完善。從這一角度來說，徹底改變國內商業銀行操作風險案件屢禁不止、大案頻發的狀況，根本在于要盡快建立起完善的操作風險管理體系。

基于此，本文從風險理念、組織架構、管理體系和管理技術等方面全面、系統地分析了銀行操作風險大案頻發的深層原因。

風險理念上:思想認識存在偏差，“十重十輕”是根源

風險理念是銀行風險管理的前提和根本。所謂風險理念就是人們對風險的認識，以及基于這一認識基礎上形成的對風險管理工作的指導思想。對一家銀行的風險理念進行考察和判斷，不能局限于某個時點和較短時間，應置于更長一段時期加以觀察分析。如果將2009年上半年國內銀行業操作風險形勢的惡化置于近五年甚至十年中國銀行業的改革發展歷程中，不難發現，在幾近“翻天覆地”的銀行業改革中，操作風險管理理念并未有較大改觀。而操作風險再次集中爆發根源就在于此。概括來講，當前國內商業銀行在操作風險理念方面存在的問題集中表現為“十重十輕”。

重業務發展，輕風險管理和內部控制

追求發展是商業銀行的本性使然，也是其實現最終經營目標的必然要求。隨著國有銀行股份制改造并上市，中國銀行業實現了向真正意義上商業銀行的轉變。中國銀行業對發展的追求比以往更為強烈，但銀行業在追求并實現快速發展的同時，風險管理和內部控制卻未能及時跟上。

對此的原因是多方面的，一是商業銀行的改革具有漸進性特征，對商業銀行本質的認識也有一個逐步深化的過程，在此過程中，長期計劃體制下造成的“國有性”痕跡卻仍未完全消除，銀行對風險自我承擔的責任和意識不強。二是長期的利率管制、不完善的銀行業監管以及經濟的持續快速發展，使銀行對發展的追求有強烈的緊迫感，卻對風險不敏感，資源大量投入業務條線，卻對風險管理的投入相對較少。凡此種種，造成銀行一方面是資產快速膨脹、規模不斷擴大以及業務流程日益復雜，另一方面是使風險管理和內部控制的基礎——制度、流程、體系、架構、系統和人力資源的改善和提升。當兩者之間的差距越來越大，風險管理基礎不足以支持業務的快速發展，風險的發生便在所難免。

進入2009年，為應對經濟下滑和利差縮減對利潤的影響，絕大多數銀行采取了“以量補價”的策略，貸款在短期內出現超常增長，而基礎性的支撐和管理卻并未在短期內大幅提升，如此快速的發展和對增長速度的渴求，難免會使風險管理的原有漏洞暴露出來，案件的發生也就不難理解。

重信用風險，輕操作風險

截至目前，國內商業銀行仍將信用風險作為最重要的第一大風險。基于這一認識，銀行風險管理的體系設計、架構設置、政策制訂、系統開發以及人員配備都圍繞信用風險展開，很少甚至沒有考慮操作風險。事實上，很長一段時期內我們所認為的信用風險嚴格來說，大多是信貸領域的操作風險。而歷史上大量不良資產的形成也是由信貸領域的操作風險所造成。換句話說，信貸領域的信用風險與操作風險往往相互交織。此外，由于操作風險往往誘發因素多、涉及面廣，幾乎潛存于所有業務流程和環節，對操作風險的管理更為復雜和困難。這種過于重視信用風險的風險管理安排使得商業銀行的操作風險管理水平低下，且缺乏完善的操作風險管理體系。更為重要的是，用管理信用風險的那一套理念和做法去管理操作風險，效果自然不理想。

重條線檢查，輕全面管理

從風險誘因和風險事件來看，操作風險大多涉及多個業務(管理)條線和崗位。這就需要系統、全面地對操作風險進行管理，并建立一個超越各條線的管理架構和體系。而國內商業銀行長期以來并沒有將操作風險擺在應有位置，加之操作風險的復雜性，亦未將其作為獨立的風險系統對待，而是通過各條線檢查的方式完成操作風險的管理職能。事實表明，各條線管理部門僅從條線角度出發開展相應的檢查，往往造成部分環節多頭管理、重復檢查，另一些環節則存在管理真空。因為在部門銀行架構下，商業銀行各條線之間并不能實現“無縫對接”。這或許是單個條線內操作性風險下降，而跨條線、跨崗位的操作風險案件仍呈多發態勢的原因所在。這種狀況也造成銀行高層難以全面系統了解自家銀行的操作風險整體狀況，從而無法采取相應的應對舉措。

重事后管理，輕事前防范

長期以來，中國銀行業存在一個奇怪現象:一方面是制度越來越多、責任追究和處罰力度越來越大;另一方面則是操作風險案件仍頻頻發生、以身試法者接連不斷。究其根源就在于國內商業銀行在操作風險管理上存在的“重事后管理、輕事前防范”的錯誤理念。如前所述，大多數國內商業銀行對操作風險的管理是通過審計、檢查來實現和完成的。很顯然，審計、檢查針對的是已發生和存在的風險。在這一理念的支配下，銀行試圖通過對發現的問題采取嚴厲的處罰和責任追究來達到防控風險再次發生的目的。這種做法只能是“防君子不防小人”，其奏效的前提是銀行員工個個都是君子。近年來，監管機構和商業銀行采取了不少措施以改變這種狀況，促使銀行風險管理關口前移，合規部門的成立就是其中之一。值得注意的是，大多數銀行的合規部門并未找準定位，多淪為法律事務部門。其中最關鍵的是通過合規性檢查及制度和流程梳理以從事前促使銀行各環節合規操作的職能并未有效發揮。而這恰恰是銀行操作風險管理的重中之重。

重審計稽核，輕系統管理

基于將操作風險等同于操作性風險和案件的錯誤認識，以及割裂開來的分條線的檢查管理，大多數商業銀行存在以審計稽核替代或部分替代操作風險管理的情況。如前所述，這種狀況造成的后果之一就是操作風險管理的滯后，事前防控水平較低。審計稽核的職能定位相對清晰，他們雖然承擔了部分操作風險識別與控制的職能，但本身的職能定位決定了其不可能從構建操作風險管理體系的高度對操作風險進行管理。審計稽核必然是在已有管理架構和內控體系下開展本職工作，從而造成操作風險管理在架構、體系、制度、流程等基礎設施建設方面的滯后和缺乏。

重政策制訂，輕執行評價

防控操作風險非常重要的措施就是制度約束和流程控制。國內很多操作風險案件的發生即直接起因于制度執行不力或未按制度操作。造成制度執行不力的原因很多，既有基層機構的原因，也有制度本身的問題，更為重要的是國內銀行大多存在“重政策制訂，輕執行評價”的情況。在政策制訂時，各相關部門都非常重視，積極參與。但政策制訂完成并發布后，似乎工作就結束了。似乎政策只是為“出臺”而制訂，相應的宣講機制和后評價機制缺乏。受多種因素的綜合作用，制度執行不力的情況亦在情理之中。需要說明的是，合規部門的成立在一定程度上緩解了這一問題，但在機制建設方面仍不盡人意。

重柜面操作崗位管理，輕后臺管理崗位管理

會計差錯、操作失誤等操作性風險雖然在銀行所有類型的操作風險中數量占比最高，發生頻率也遠遠高于其他類型操作風險，但其給銀行造成的損失并不大。這就是操作風險獨有的“高頻低損、低頻高損”特征。究其原因，后臺管理崗位大多擁有一定資源、權利或話語權，其在操作風險形成過程中起著更為關鍵的作用，很多案件也正是在管理人員的授意下才發生。鑒于此，操作風險管理應更加強調對后臺管理崗位特別是一些關鍵崗位的重點管理，對其施以更加嚴厲的監控措施。事實恰恰與此相反，在主要依靠審計稽核防控操作風險的情況下，審計的重點放在了操作崗位上。這既與銀行對操作風險的認識有關，也跟各相關部門之間的職責劃分有關。在這種“重柜面操作崗位管理，輕后臺管理崗位管理”理念的指導下，對一些關鍵崗位的關鍵控制措施要么缺乏，要么未得到執行，從而影響操作風險管理的整體成效。

重階段排查整改，輕長效機制建設

同類型案件重復發生、同類型問題屢查屢犯，說明國內商業銀行操作風險管理的長效機制缺乏。這在某種程度上是銀行“重階段排查整改，輕長效機制建設”的認識和做法的結果。當案發或監管部門提出要求時，銀行高度重視，并成立行領導親自掛帥的案件治理或專項檢查小組，配備強大的工作組。但當案件處理完畢或檢查結束后，一切又都歸于平靜，小組要么自行解散，要么陷于事實上的停滯狀態。這就難免出現走過場的問題。這種措施的效果只能管一時，無法管長久。長效機制的建立是建立在架構、體系、流程和資源配置等基礎條件之上的。毫無疑問需要下大力氣，動真功夫。首要的就是改變長期以來“重階段排查整改，輕長效機制建設”的錯誤認識，真正做到思行合一。

重個案查處，輕系統總結

對以往操作風險案件的系統梳理、全面總結，有助于銀行避免犯同樣的錯誤。一旦發生操作風險案件，銀行會高度重視，并嚴厲查處。這種做法雖然能起到一定的懲戒作用，但由于對案件缺乏系統、深入總結，特別是從體制、機制、制度、流程等方面進行針對性分析，從而使得案件查處只能是打補丁、堵窟隆，短期效果明顯，長期作用不夠。更為重要的是，由于操作風險誘發因素多、涉及面廣，尤其需要系統應對。很多操作風險事件即使是不同類型、不同業務條線的，大多具有某種相似性，比如案發于某個細節。對以往操作風險事件的分析總結，既可以總結操作風險的規律性，又可以發現風險管理和內部控制存在的深層次問題，并為將來進行操作風險的量化管理積累數據。但深入開展這項工作的銀行并不多。

總行重視，基層輕視

操作風險大多發生于基層分支機構。這既與銀行的業務開展集中于基層密切相關，也跟基層重視程度不夠不無關系。而案件專項治理或檢查存在走過場現象，案件屢查屢犯，更是基層輕視操作風險管理的直接表現。于是，銀行在操作風險管理上就會出現“上熱下冷”現象，即總行高度重視，基層重視不足。造成這種狀況的原因很多，關鍵的一條在于總行未能將自身的風險文化順利傳導至基層。這又跟總行對分支機構的績效評價、管控模式密切相關。換言之，不科學的績效評價使得基層沒有動力和壓力將風險管理擺在第一位，而有效管控模式的缺失則使得總行對分支行的控制力較弱。一方面是基層風險管理薄弱、重視程度不夠;另一方面是總行對基層控制不力，案件的發生在所難免。

組織架構上:管理架構不健全，“三個缺失”是重點

完善的組織架構是商業銀行風險管理的基礎，而國內商業銀行操作風險形勢的惡化也正是不完善的操作風險管理架構受外部環境沖擊的結果。國內商業銀行操作風險管理架構方面存在的問題可概括為“三個缺失”，即管控模式缺失、職能部門缺失和協調機制缺失。

總行對分支機構的有效管控模式缺失

案例統計表明，國內商業銀行發生的操作風險(尤其是大要案)絕大部分集中于基層分支機構，特別是那些相對偏遠的分支機構。這既跟分支機構自身風險管理能力不強有關，更大程度上反映出總行對基層分支機構的管控能力較弱。從功能角度劃分，總行定位于管理協調與服務支撐，分支機構定位于業務開拓和運行操作，要想確保分支機構按照總行的意圖進行業務開展和操作，就需要對分支機構建立起一套完善、有力的控制體系。從國內的情況來看，無論是總分行架構下的城市分行，還是省分行模式，更多的是圍繞業務開展和行政管理展開，隱藏其中的總行對分支機構的管控模式及舉措并不清晰。分支機構作為業務和利潤中心，自然有快速發展的沖動。如果有效管控不到位，發展過程中出現風險實在難以避免。對于分支機構遍布全國各地、層級較多的國有銀行和剛剛邁出跨區域步伐、管理經驗欠缺的城市商業銀行而言，這一問題尤為突出。

專門負責操作風險管理的職能部門缺失

相比于信用風險，操作風險具有普遍性、復雜性和多因素性的特征，因此更需要專門的部門和崗位對之加以系統管理。從目前情況來看，國內商業銀行在總行層面操作風險管理部門設置上存在四種情況:一是，少數做得較好的商業銀行單獨設立了操作風險管理部;二是，少數銀行將操作風險納入風險管理部職責，在該部門下設立二級部或科室;三是，個別銀行將操作風險管理職責賦予合規部，但合規部僅起牽頭協調的作用;四是，大多數銀行既沒有設立專門的部門，也未明確將操作風險管理職責賦予現有相關部門。

根據筆者了解的情況，絕大多數銀行屬于第四種情況。即使是那些已經設立了專門的操作風險管理部的銀行，也未完全承擔起操作風險管理涉及到的識別、計量、檢測和控制等各項管理職能，更多的是從某些局部領域對部分類型操作風險進行管理。從分支行層面來看，這一問題就更為突出，很少有銀行在分支行層面設立專門的操作風險管理部門或崗位，大多仍由合規、會計、審計、信貸等管理部門分別對相應領域進行管理。操作風險防控能力不強，長效機制缺乏，跟上述問題直接相關。

各部門間操作風險管理的協調機制缺失

由于操作風險往往涉及多個條線，操作風險管理必然要在涉及各職能部門間進行協調。這正是國內很多銀行至今仍未最終決定設立獨立的操作風險管理部門的重要原因。實踐表明，操作風險的潛在領域幾乎涵蓋銀行的所有部門，其中關系密切的包括風險管理部、會計部、審計部、合規部以及人力資源和安全保衛部。在沒有專門的機構全面負責的情況下，由于上述部門大多平行設置，且分屬不同的高管層負責，勢必存在協調成本高、效率低和溝通不暢的問題。

在這些部門中，合規部、審計部與操作風險管理部門之間的協調尤為重要。首先，合規風險與操作風險本身存在重疊，如何處理好兩者的職能定位，并充分發揮合規在事前防控風險方面的職能對大多數銀行而言是個不小的考驗。其次，審計部要準確定位，最關鍵的是內控建設與執行方面的評價監督角色，要避免現實中存在的既做“裁判”又做“運動員”的利益沖突問題。處理好這些問題，進而建立起高效的協調機制，對于提高操作風險管理效率和管控能力具有重要作用。

管理體系上:全面體系未形成，“三個沒有”是關鍵

全面風險管理體系是商業銀行風險管理的發展方向。全面風險管理體系不僅意味著對各類風險的全覆蓋，同時也要對每一類風險實現全面管理，建立相應完善的體系。就此而言，國內商業銀行遠未達到全面風險管理的要求，操作風險管理體系離全面性的要求則更遠。這集中表現為“三個沒有”。

沒有將操作風險真正納入全面風險管理架構

全面風險管理的基本要求是實現對信用風險、市場風險、操作風險、流動性風險等各類風險的全覆蓋，并且每一類風險都有對應的部門和崗位進行管理。國內商業銀行雖然都設立了風險管理部，并由該部門推進全面風險管理體系建設，但絕大多數銀行的風險管理部的主要精力仍集中于信用風險，很少甚至幾乎不涉及操作風險。在這種情況下，商業銀行的風險管理架構似乎基本滿足了全面風險管理的要求，但基于該架構的運行機制并不涵蓋操作風險管理。這顯然不利于商業銀行統籌全行資源協調管理各類風險。

沒有將對人的管理真正納入操作風險管理范疇

統計表明，絕大多數操作風險的發生都跟人的因素有關。因此，操作風險管理某種程度上就是對人的管理。令人遺憾的是，國內商業銀行目前還沒有將對人的管理真正納入操作風險管理范疇。這可以從兩個層面說明。

從人力資源角度而言。其核心職能在于引人、選人、育人和用人，但這一過程強調的是業務能力或行政管理能力，因此其對人的評價也主要圍繞這兩方面展開。人力資源部對人的管理職能主要體現在“時點性”的人才引進、人員考評及人員調配的操作，而“過程性”或稱之為實質性的人員管理實際上是由各單位承擔的。這就不可避免造成時點性考評結果與過程性表現相脫節的情況。面對一些容易出現操作風險的崗位，由于對人的準入關把控不嚴、考評關不夠科學，更沒有從操作風險防控角度進行特殊考察，很可能出現不合格的人進入并引發風險的情況。而“少數有前科的人居然進入管理崗位并最終引發更大案件”、“案件發生后主要涉案人居然已升遷”等極端情況充分說明了人力資源管理與操作風險管理的脫節及其危害性。

從操作風險管理角度來說。既然人的因素是最大的風險，對人的管理就成為重中之重，這就涉及到人員的準入把控、考評、監控以及懲處等內容，但這些職能在很大程度上并不能由操作風險管理部門或相關部門決定，這也使得操作風險管理只能從查問題角度處理人，而不能從風險管理角度管理人。如何將兩者有效結合是國內商業銀行有效提升操作風險防控水平的關鍵。

沒有將流程管理真正納入操作風險管理內容

流程不完善和流程執行不嚴是很多操作風險發生的直接原因。因此，流程控制是操作風險管理的重要手段和內容。流程控制包含兩層含義。

一是使各項業務活動和管理活動的流程標準化、精細化。每項活動都有詳細、完整的流程圖，流程中的每個崗位都有明確的崗位職責要求;流程標準化可以確保操作的統一、規范，避免因流程不統一、存在多種操作而誘發風險;更為理想的狀態是，銀行從流程控制的角度制定覆蓋全部崗位的統一的操作手冊，并將其鑲嵌入系統中，轉化為系統控制。

二是針對各業務或管理流程的不同環節，明確操作風險點和控制措施。這樣既可以提醒相應的崗位人員注意防控風險，又為日常操作風險管理及審計、合規管理等提供依據。

對照來看，大多數國內商業銀行在操作風險的流程管理方面較為薄弱。體現在幾個方面:一是流程的標準化、精細化不夠，同一業務操作流程不同的現象時有發生;二是針對各崗位以流程分析為核心的操作手冊缺乏，大多仍體現為業務管理辦法或規定的形式，更加強調的是業務介紹，對流程及各環節的描述不夠詳盡，容易使實際操作出現偏差;三是覆蓋各流程中各環節的操作風險點分析缺乏，相應的控制措施也就無從談起。在這一問題上，相對較為落后的城市商業銀行和農村金融機構較為突出。

管理技術上:管理手段較落后，“四個缺乏”是表現

相同類型操作風險的重復發生，特別是大要案屢禁不止，跟國內商業銀行操作風險管理技術落后、手段單一有關。這集中表現在以下方面。

以人工控制為主，系統控制缺乏

從風險防控角度來說，無論是后督、復核，還是檢查、授權，體現出國內商業銀行在操作風險管理上隱含的邏輯是“人工控制、相互牽制”。某種程度上講，這些制約措施是有效的。但正如前文所述，很多操作風險的發生都跟人的因素有關，在人工控制的情況下又會派生出新的風險，即串謀作案或有權限人員的道德風險。解決這些問題的辦法是對操作風險實施系統(電子化)控制。系統控制的好處在于高效、客觀、及時，可以事前防控、實時預警、不受外部因素干擾。但國內商業銀行大多仍以人工控制為主，一些銀行就連業務系統的風險控制功能也較為薄弱。電子化控制是操作風險管理的發展方向，國內商業銀行要走的路還很漫長。

以審計檢查為主，全面監控缺乏

同類型作案手法在同一家銀行屢屢得手，跟銀行對操作風險的全面管理和監控缺乏有著直接關系。這種分散管理的狀態也使得銀行沒有相應的崗位和部門對操作風險進行實時的全面監控，風險反應能力不強。對操作風險進行全面監控的作用在于:一是實施風險預警，提升風險反應速度;二是實施事前預防，使風險關口前移，及時消除風險隱患;三是實施風險報告，使董事會和高管層能及時全面了解銀行的操作風險狀況，并采取措施;四是實施數據積累，為操作風險的量化打基礎。商業銀行實施操作風險全面監控的前提是有相應的部門或崗位負責該項工作，這正是當前國內商業銀行亟待改進的地方。

以常規檢查為主，突擊檢查缺乏

在目前情況下，常規性審計檢查和條線檢查是國內商業銀行排摸風險隱患，防控操作風險的主要和常用手段。但頻頻發生的操作風險似乎說明這些常規檢查的效果并不理想。筆者認為，造成這種狀況的原因有二。一是，常規性檢查大都具有一定的規律性。時間一長，何時檢查、檢查什么內容、如何檢查等核心問題很容易被被檢查人員掌握，檢查效果因被檢查人員具有了“反檢查”能力而打折扣，甚至于失效。二是，很多檢查都是先由被檢查單位自查，然后檢查小組在自查基礎上進行復查，一些基層單位的自查往往走過場，查不出什么問題，建立在這一基礎上的復查的效果也就可想而知。從這一意義上說，除完善常規性檢查外，國內商業銀行還應大力推廣突擊檢查(即飛行檢查)，通過對真實狀況下的經營活動進行檢查從而發現問題。

目前國內商業銀行存在的兩方面問題制約了突擊檢查的開展及其效果:一是大多審計部門人員配備不足，從而造成該部門疲于應付常規性檢查，沒有人手再推行突擊檢查。二是國內商業銀行大多存在“先禮后兵”的文化觀念，不習慣于不打招呼就直接檢查，而被檢查單位與審計部門分屬不同高管層管理的格局進一步加劇了審計部的擔憂。顯然，人力資源配備以及審計權威性的樹立是審計部門走出上述困境的唯一出路。

以辦法規定為主，操作手冊缺乏

標準化的流程是有效防控操作風險的關鍵。而實現流程標準化就需要明確各項業務的流程環節并以文字的形式記錄下來。這就是前文提到的崗位操作手冊。這一手冊與傳統意義上的業務管理辦法或規定不同，側重于以流程圖的形式描述某項業務的流程及包含的全部環節，并詳細分析各環節潛在的風險點及應采取的防控措施。當然，操作手冊的編制是一項基礎性、系統性工程，涉及多個部門的協調問題，因此，這項工作的開展必須得到高管層的支持。

(作者單位:上海銀行)