淺論商業銀行操作風險

郭衛國

一、商業銀行操作風險的基本特征

巴塞爾銀行監管委員會對操作風險的正式定義是，由于不正確的內部操作流程、人員、系統或外部事件導致的直接或間接損失的風險。通俗地講，就是銀行因辦理業務或內部管理出了差錯，需要對客戶做出補償或賠償；以及由于內部人員監守自盜，外部人員欺詐得手；電子系統硬件軟件發生故障，網絡遭到黑客侵襲；通信、電力中斷；地震、恐怖襲擊等原因導致損失的銀行風險，被統稱為操作風險。通過對國內銀行業所發生的操作風險案例的統計分析，不難發現，操作風險具有以下11個特征。

一是操作風險具有很強的不可預測性。一些案例告訴我們，操作風險的發生往往是由于銀行存在制度不健全、流程有瑕疵、監督管理不到位等漏洞。因此，加強管理，完善制度體系，健全業務流程，特別是加強內部稽核監督力度對于減少操作風險是十分有效的。

二是對于操作風險事件，發生頻率較高的，損失額往往較小；發生額率較低的，損失額往往較大。這是一個很有趣的特征。那些如操作失誤之類的操作風險發生頻率非常高，但單筆損失金額往往較小；而那些違法行為、外部欺詐之類的操作風險發生頻率相對較低，但單筆損失金額往往很高。

三是在各種類型的操作風險中，人的因素引起的操作風險占了大多數。圖1顯示，人的因素引起的操作風險占比達44%，即操作失誤10%﹢違法行為31%﹢越權行為2%﹢違反用工法1%。但這里指的人僅指銀行員工，不包括銀行外部人給銀行造成操作風險的情況。如果考慮到外部人的因素，這一比例將高達66%，即44%﹢外部欺詐22%。

資料來源：根據《商業銀行操作風險識別與管理》（張吉光著，中國人民大學出版社，2005年9月第1版）第52頁圖繪制

四是從商業銀行的業務條線來看，操作風險主要集中在公司金融和個人金融兩條線。根據我國銀行業的一般情況，商業銀行的業務大致可劃分為公司金融業務、個人金融業務、國際（或外幣）業務、資金業務、信用卡業務以及中間業務6大類。統計顯示，操作風險在上述6大業務條線的分布為：公司金融56%、個人金融32%、信用卡70%、資金2%、國際業務2%和中間業務1%。其中，公司金融條線和個人金融條線合計占88%，占操作風險案例的絕大部分。一個很重要的原因在于，目前國內商業銀行的業務主要集中于公司金融和個人金融，而其他業務，無論是交易量，還是交易金額都相對較小。

資料來源：根據《商業銀行操作風險識別與管理》（張吉光著，中國人民大學出版社，2005年9月第1版）第54頁圖繪制

五是總體上看，商業銀行操作風險的單筆損失額呈逐年上升趨勢。操作風險給商業銀行帶來的損失日益嚴重，對于這一特征，人們似乎可以從身邊發生的案例上有所察覺，進入2005年以來，僅媒體公開報道的商業銀行操作風險案例有近十起之多，涉案金額大多在億元以上，有些甚至于超過10億，以至于造成“億元以下案件已不能引起人們重視”的現象。而在此之前，上千萬元的案件已是人們少見的大案要案。

六是在所有類型的操作風險中，無論是單筆損失金額，還是損失總金額，排在第一位的均為公司金融業務發生的操作風險。

資料來源：根據《商業銀行操作風險識別與管理》（張吉光著，中國人民大學出版社，2005年9月第1版）第54頁圖繪制

從圖3可以看出，在這些操作風險案例中，商業銀行業務（公司金融業務）遠高于零售銀行業務等其他類型的操作風險。這主要是由目前國內商業銀行的業務特點所決定的：一是國內商業銀行業務主要集中在公司金融方面；二是相比較于其他業務品種，公司金融業務的單筆金額往往更大。這也提醒那些操作風險管理人員應特別關注公司金融業務領域的操作風險。

七是操作風險涉及的部門非常廣泛，幾乎囊括銀行的所有部門。人們通常認為，操作風險就是操作中的風險，故只存在于操作部門，如公司金融、個人金融。但現實統計結果令人大吃一驚。我們將所收集到的168起操作風險案例按照部門羅例名單，不難發現，操作風險不僅僅存在于操作部門，而且存在于銀行的所有部門。就連不被人關注的事務部、宣傳部門居然都出現在名單中（如圖4）。這再次給人們敲響警鐘，操作風險極為復雜，幾乎存在于商業銀行的每個角落。哪怕是風險管理部門出現的非常小的疏忽也會把相當數量的操作風險遺漏在管理框架之外。

資料來源：根據《商業銀行操作風險識別與管理》（張吉光著，中國人民大學出版社，2005年9月第1版）第56頁圖繪制

八是國內商業銀行面臨的操作風險形勢日益嚴峻。或者說，隨著銀行規模的擴大、業務品種的增加以及操作技術的日益復雜，操作風險發生的頻率逐漸上升。操作風險頻率隨著銀行規模地擴大、業務品種地增加以及操作技術地日益復雜而上升。這是因為，銀行規模越小、業務品種越單一，操作就越簡單，發生操作風險的可能性就越低。隨著銀行規模地擴大，業務品種日益多樣，操作的流程更加復雜，每項業務經過的環節也因銀行組織結構的增加而增加，在這過程中發生操作風險的可能性自然會上升。

九是國內商業銀行操作風險涉案人員的職務日漸升高。前幾年，操作風險的涉案人員大多為基層信貸員、會計員以及儲蓄柜臺人員，但這兩年出現的操作風險則多為分理處主任、支行行長甚至于總行有關管理者引起。造成這一現象的原因有兩個：1.隨著商業銀行改革步伐的加快，各商業銀行紛紛加大治理整頓的力度，原來隱藏在銀行內的“內鬼”逐漸被揪出。2.國內商業銀行普遍存在對管理人員監督約束不力的問題。有關管理人員（如支行行長、總行部門總經理）權力過大，時間一長難免出現內部人控制以及由此引發的各類違規違法行為。

十是涉及高科技的操作風險數量增加。隨著電子技術和網絡技術的飛速發展，操作風險呈現出由傳統作案向高科技作案轉變的特征。傳統作案手法技術含量低，主要借助于傳統金融工具如票據、擔保等實現作案目的。而高科技作案則通過諸如信用卡、網上銀行等新型金融工具達到作案目的。這種手法技術含量更高，具有很強的專業性和針對性，更加難以防范。這也從某種意義上說明了科技商業銀行的重要性。

十一是操作風險大多集中于基層分支機構。違規操作往往發生在分行或偏遠的分支機構，總行層面相對較少。據統計，發生在基層分支機構的操作風險數量在所有操作風險中的比例達到90%左右。原因在于，一是基層分支機構離部行較遠，總行對他們的控制力較弱；二是商業銀行的業務運作大多集中在基層分支機構，總行層面則偏重于管理。加強對基層分支機構的控制能力是商業銀行降低操作風險發生頻率的有效手段。

從上述操作風險的11個特征，可以得出如下值得國內商業銀行重視的結論：

1.員工違法行為和外部欺詐是商業銀行經常發生的操作風險，所占比例非常高，且危害性極大。特別是當銀行內部員工參與作案時，犯案得逞率較高，且潛伏期長，難以發現，往往給銀行造成巨大損失。因此，關注內部人引起的操作風險尤為重要。加強內部控制和稽核監督是解決這一問題的有效手段，同時加強與員工尤其是關鍵崗位人員的溝通交流及強制休假，常會收到意想不到的效果。

2.從操作風險發生的業務條線來看，商業銀行應該密切關注公司金融業務和個人金融業務。這兩個業務條線操作風險發生頻率高，且帶來的損失也最大。

3.操作風險不僅僅存在于運營部門或操作部門，就連管理部門和后勤保障部門也不能幸免。因此，成立一個操作風險管理委員會要比某個部門單獨承擔操作風險管理職責更為有效。因為牽涉部門越多，溝通就越困難，往往難以達成一致行動。

4.操作風險的危害程度絕不亞于信用風險和市場風險，那種將風險管理等同于信用風險甚至于信貸風險管理的傳統理念是錯誤的。即使是將操作風險同信用風險和市場風險放在同等重要的地位也是不夠的。因為，一方面，操作風險更為復雜，更難以把握和管理；另一方面，突如其來的操作風險可以將銀行置于死地，所以，將操作風險擺在風險管理的第一位是作者在本文中一直倡導的理念。

5.基層人員可以引發操作風險，高層管理人員同樣會發生操作風險，而且危害性更大。我們必須糾正過去那種“重視對基層人員的管理，輕視對高層管理人員監督”的傳統風險管理做法。

6.操作風險中的高科技因素日漸增多。我們估計，高科技方面的操作風險將會更多地發生。因為在未來幾年內，國內商業銀行將加快業務系統升級改造步伐，產品創新將層出不窮，這其中均蘊含的操作風險隱患也將更多更復雜。

二、防范操作風險的幾點對策建議

1.加強操作風險管理文化建設。操作風險存在于商業銀行的各項業務活動之中，是商業銀行每天必須應對的問題。為此，商業銀行要精心打造自身的操作風險管理文化。這就要求商業銀行的所有員工都應當充分認識到防范操作風險的重要性，尤其是高層管理人員要對操作風險有一個全面清楚的認識，認真履行操作風險管理的責任，以身作則，帶動各級工作人員加強風險防范。各業務部門的工作人員要對本業務部門存在的操作風險有足夠的認識，并對其時刻保持警惕。通過思想道德教育和合規性教育，培養員工良好的職業道德。

2.建立健全操作風險管理的組織架構和相關制度。一個完整高效的操作風險管理組織架構必須包括以下內容：恰當的的操作風險管理組織結構應將所有相關部門和要員涵蓋在內；在操作風險管理的各個部分設一名操作風險經理，這些風險經理統一向首席風險官報告；將操作風險管理職責賦予一個委員會（操作風險管理委員會）通常要比單個部門管理風險更有效；明確規定銀行內部的作用、權限及責任。商業銀行要確保完成操作風險管理的整體目標，就必須建立健全一套完整的操作風險管理制度。這一套制度應包括以下內容：銀行高層對銀行風險目標執行情況的定期審查制度；風險管理部門對風險管理控制措施遵守情況的檢查制度；審查、處理和解決違規問題的相關政策、程序和步驟；確保有一套操作風險各管理層責任明確的成文的審批和授權制度； 建立一套完善的操作風險管理人才的引進和培養制度。

3.加強對權力的制約和監督。對于管理高層：一是實行職權的分解，避免形成大權獨攬和越權、專權；建立和完善決策機制，對重要干部的任免、重要業務的決策和大額資金的運用要通過科學的論證、集體決策；二是健全民主監督制度，明確同級監督的權利和程序，建立健全民主評議、職工參與管理的民主監督機制；三是實行權力的公開，提高權力運行的透明度，使權力在行使的過程中得到廣泛的監督。對基層管理者：一是嚴把選拔關，二是按照規定進行交流、輪換，預防違紀違法行為和團體欺騙行為的發生。

4.控制系統因素引起的操作風險。銀行業是一個高度依賴電子化系統的行業，系統的良好運轉是保證銀行正常運營與發展的基本條件，因此系統因素給銀行帶來的風險不容忽視。系統因素引起操作風險的情況可以分為系統失靈或癱瘓、系統本身的漏洞以及客戶信息安全。銀行系統穩定與否不僅關系到銀行的正常運營，而且關系到客戶利益的維護。因此，對于那些可能導致系統失靈的情況，如系統升級、系統癱瘓等，要建立應急應對措施。在日常經營過程中要對重要數據進行備份，制定應急預案。商業銀行在新業務推出時，需要對新業務的交易系統進行全面而深入地檢測、試驗，以及時發現系統中存在的問題，避免損失和糾紛的發生。同時，要對新的、不成熟的交易系統進行跟蹤式監控，以便于隨時發現并解決問題。此外，提高系統維護、監控人員的技術水平，也是防范此類問題的有效措施。

5.控制突發事件因素引起的操作風險。外部突發事件可能導致銀行的突然中斷，并因此引起損失。這類事件包括自然災害、外部人員犯罪行為，如頻繁發生的恐怖襲擊、我國2002年底爆發的“非典”等都造成了很大的社會經濟損失。由于這類事件的不可預測性，在商業銀行行的日常經營活動中應建立應急預案，以保持業務經營的連續性。如突發事件應急預案、防自然災害應急預案、營業網點防火災處置預案、IT應急處置預案、自助設備突發事件處置流程、營業網點防暴力搶劫應急處置預案、防盜竊處置預案、防詐騙處置預案及金庫突發事件應急處置預案等。

參考文獻：

［1］ 張吉光：《商業銀行操作風險識別與管理》，中國人民大學出版社，2005年9月第1版

［2］ 巴塞爾銀行監管委員會，《巴塞爾銀行監管委員會文獻匯編》，中國金融出版社

［3］ 吳焰、謝曉雪，《從法國興業銀行欺詐案看銀行操作風險管理》，現代商業銀行導刊，2008年第9期

［4］ 孔令雄，《淺論基層銀行業風險管控》，經濟師，2008年第7期

［5］ 中國銀行業監督管理委員會，《商業銀行操作風險管理指引》，2007年5月

［6］ 樂友華，《淺論我國商業銀行操作風險管理》，企業經濟，2008年第7期

［7］ 陳小憲，《風險資本市值》，北京：中國金融出版社，2004.

（作者單位：長沙銀行后勤服務部）