商業銀行操作風險的防范對策

摘要：操作風險是商業銀行目前普遍存在的風險種類，其引起的危害性不可小視。本文結合國際巴塞爾委員會對操作風險的相關定義、分類與特征入手，對商業銀行操作風險進行了分析，并提出了加強操作風險管理的對策。

關鍵詞：商業銀行；操作風險；防范對策

經濟和金融全球化的不斷深入，信息技術的飛速發展以及近50年來金融理論與金融實踐的突破創新，金融產品和金融市場得以蓬勃發展，商業銀行面對的風險因素日趨顯著，金融風險暴發所產生的危害性巨大。按誘發風險的原因，商業銀行面臨信用風、市場、操作、流動性、國家、聲譽、法律、及戰略八大類風險，本文主要是對商業銀行目前普遍存在的操作風險進行簡要的分析，并提出商業銀行操作風險的防范對策。

一、操作風險的定義、分類及自身的特征簡析

商業銀行自誕生之初，風險就與之相伴，商業銀行就是經營風險的金融機構，以經營風險為盈利的根本手段。商業銀行以安全性、流動性、效益性為經營原則，實行自主經營，自擔風險，自負盈虧，自我約束。國際上管理先進的商業銀行已建立并逐步完善全面的金融風險管理體系，利用先進的風險管理技術和信息系統，最大限度的減少金融風險可能造成的損失。目前我國商業銀行越來越深刻的認識到健全的風險管理體系在可持續的發展過程中的重要地位，而先進的風險管理能力和水平，則成為商業銀行最重要的核心競爭力。

操作風險目前我國定義為是由于人為錯誤、技術缺限或不利的外部事件所造成損失的風險。巴塞爾委員會在《巴塞爾新資本協議》中關于操作風險具體定義為“操作風險是指由不完善或有問題的內部程序、人員及系統或外部事件所造成損失的風險”。該定義突出強調了銀行內部人員操作和業務系統因素所導致的操作風險，是操作風險形成的主要原因。

操作風險分類類型較多，比較常見的劃分標準一是巴塞爾新資本協議標準。 巴塞爾新資本協議標準中的分類包括兩個維度，一個維度是按照損失事件類型進行分類，可以分為由人員、系統、流程、和外部事件所引發的四類風險，并由此分為七種表現形式，內部欺詐、外部欺詐、聘用員工做法、和工作場所安全性，客戶、產品及業務做法，實物資產損壞，業務中斷和系統失靈，交易及流程管理。這七種損失事件還可進一步細化為具體業務活動和操作，使商業銀行管理者能夠從引起操作風險的具體因素著手，采取有效的管理措施。另一個維度是依據發生操作風險的業務部門或業務流程環節進行分類分為八類。分別國是公司財務、交易與銷售、零售銀行業務、商業銀行業務、支付與清算、代理服務、資產管理、零售經紀。上述兩個維度的分類還可共同構成操作風險分類的7×8矩陣。二是英國銀行家協會分類標準。具體涉及四類：人員因素導致的操作風險、流程因素導致的操作風險、系統因素導致的操作風險、外部事件導致的操作風險。前三類為內部因素導致的操作風險，又稱為操作性失誤風險，第四種為外部因素導致的操作風險，又稱為操作性杠桿風險。

操作風險相比其它種類的風險具有獨特的特征。一是具有普遍性，普遍存在于商業銀行業務和管理的各個方面。二是操作風險具有非盈利性，它并不能為商業銀行帶來盈利，商業銀行之所以承擔它是因為它不可避免，對它的管理策略和管理成本一定的情況下盡可能降低風險。三是操作風險還可能引發市場風險和信用風險等其它風險。例如交易過程中結算系統發生故障或結算失敗，不但造成交易成本上升，而且還可能引發信用風險。四是按照《巴塞爾新資本協議》的規定，法律風險是一種特殊類型的操作風險。

二、操作風險形成的主要原因及加強操作風險管理新的要求

操作風險形成的原因具體可概括為人員因素，內部流程，系統缺限，和外部事件四個方面。人員因素主要是指商業銀行員工發生內部欺詐，失職違規，以及員工知識/技能匱乏，核心員工流失，商業銀行違反用工法等造成損失或不良影響而引起的風險。內部流程是指引起的操作風險是由于商業銀行業務流程缺失、設計不完善，或沒有被嚴格執行而造成的損失。主要包括財務/會計錯誤、文件/合同缺限、產品設計缺限、錯誤監控/報告、結算/支付錯誤、交易/定價錯誤等。系統缺限是指引發的操作風險是指由于信息科技部門或服務供應商提供的計算機系統或設備發生故障或其他原因，商業銀行不能正常提供部分、全部服務或業務中斷而造成的損失。包括系統設計不完善和系統維護不完善所產生的風險。具體表現為數據/信息質量風險，違反系統安全規定，系統設計/開發的戰略風險，以及系統的穩定性、兼容性、適宜性存在的問題等方面。外部事件是指商業銀行的經營是在一定的政治、經濟和社會環境中發生的，經營環境的變化，外部突發事件等都會影響商業銀行的正常經營活動，甚至發生損失。具體包括由于外部員工故意欺詐、騙取或盜用銀行資金及違反法律而對商業銀行的客戶、員工、財務資源或聲譽可能或者已經造成負面影響的事件。該類事件可能是內部控制失敗或內部控制的薄弱環節，或是外部因素對商業銀行運作或聲譽造成的威脅。

2001年巴塞爾委員會制定的《巴塞爾新資本協議》（征求意見稿），率先將操作風險的衡量和管理納入金融機構的風險管理框架中，并要求金融機構為操作風險配置相應的資本。這既是對近年來國際金融界日益注重操作風險管理實踐的一個總結，又是對操作風險管理提出了新的要求。

三、銀行操作風險的危害性

近年來，隨著我國銀行業務的快速發展，商業銀行面臨的運營風險不斷增加，作為商業銀行常見三大金融風險之一的操作風險更是頻頻凸顯。據統計，僅2003年－2010年，通過媒體公開報道可以搜集到的操作風險案件就達200余件。2011年，中國銀監會發布的《銀監會2010年年報》指出，2010年中國銀行業仍存在諸多風險挑戰，其中之一便是“部分金融機構操作風險管理意識弱化”。該報告指出：“2010年底，部分銀行業金融機構案件出現反彈。齊魯銀行數十億元的票據詐騙案件等多數案件發生在基層網點和所謂低風險業務領域，且多為內部人員作案，這反映出部分銀行內在風險管理機制存在缺陷。”比較典型案例如2005年6月17日，萬事達卡國際組織宣布，由于一名黑客侵入“信用卡第三方支付系統”，包括萬事達卡、維薩等機構在內的4000多萬張信用卡用戶的銀行資料被盜。我國9000多名內地持卡人因在2004年8月1日至2005年5月27日在美國刷卡，賬戶信息也被盜取。商業銀行外部人員通過網絡侵入內部系統作案已經成為新型外部欺詐風險的重要關注點。因我國網絡技術的不發達和客戶通過網絡支付的需求增大之間的差距，個別商業銀行為了爭攬業務，大力拓展網絡支付和網上銀行業務，在信息系統和網絡建設方面忽視安全問題，造成信息泄密，乃至客戶和商業銀行的損失。

四、銀行操作風險的相關對策

1、正確計量操作風險并合理配置經濟資本。《巴塞爾新資本協議》中為商業銀行提供的三種可供選擇的操作風險經濟資本的計量方法，分別是基本指標法、標準法和高級計量法，這三種計量方法是目前國外商業銀行廣泛使用的計量方法，在復雜性和風險敏感性上是逐漸增強的。隨著監管部門對風險監管的加強，我國商業銀行應根據自身情況，逐步選擇使用這三種方法進行計量，對那些操作風險管理仍處于較低水平的、尚未達到量化階段的商業銀行可以選擇較為簡單的前二種方法，但最終要選擇使用高級計量法，因為采用高級計量法更能反映商業銀行操作風險的真實狀況。所以商業銀行應正確選擇操作風險計量方法，才能更加準確計量操作風險并進而合理配置經濟資本。

2、加強對商業銀行的公司治理。公司治理是現代商業銀行穩健運營和發展的核心，完善的公司治理結構是商業銀行有效防范和控制風險的前提。必須明確董事會、監事會和高級管理層以及內部相關部門在防范和控制操作風險方面所承擔的職責，按照各自的職責分工，做好操作風險防范和管理等相關工作。董事會應重點負責批準在全行范圍內采用操作風險管理系統，并將操作風險作為主要風險進行管理。監事會負責對商業銀遵守法規的情況以及董事會、高級管理層在操作風險防范中的履職情況進行監督。高級管理應做好經董事會批準的操作風險管理系統的執行。

3、加強內部控制。巴塞爾委員會認為，資本約束并不是控制操作風險的最好方法，對付操作風險的第一道防線是嚴格的內部控制。健全的內部控制體系是商業銀行有效識別和防范操作風險的重要手段，加強內部控制建設是商業銀行風險管理的基礎。長期以來，商業銀行的內部控制問題一直困擾我國甚至國際商業銀行，內部控制失靈是造成商業銀行案件頻發的直接原因，而隱藏在內部控制失靈現象的背后是內部控制要素缺失和內部控制運行體系的紊亂。加強商業銀行內部控制體系建設已經成為我國商業銀行防范操作風險的迫切需要。

4、重視合規管理文化建設。經統計，違規、內部欺詐等損失事件在我國商業銀行操作風險中占比超過80%，說明我國商業銀行內部控制存在的最嚴重的問題是制度的遵循性，也是內部控制的符合性或者合規性問題。合規性問題是我國商業銀行操作風險管理的核心問題，我國商業銀行操作風險管理首先應從操作風險理念和培養入手，培養合規文化，增強風險意識，只有把先進的合規管理文化貫穿到商業銀行的發展戰略中根植于整個銀行的運行中，內化為員工的職業習慣，才能構建起抵御風險的堅強防線，實現商業銀行穩健經營和可持續發展。只有培育良好的合規文化，才能使風險機制有效發揮作用，才能讓每位員發揮風險管理的能動作用。

5、加強信息系統建設。商業銀行信息系統包括主要面向客戶的業務處理系統和主要供內部管理使用的管理信息系統。在操作風險管理中，信息系統的主要作用在于支持風險評估，建立損失數據庫、風險指標收集與報告、風險管理和建立資本模型；商業銀行在信息系統方面的科技投入越多，越有助于控制操作風險。先進的業務處理系統能大幅度提高商業銀行的經營管理水平，并降低操作出錯的概率。商業銀行應盡可能地利用信息系統的設定，防范各種操作風險和違法犯罪行為。

6、建立人力資本激勵機制，從員工行為上降低操作風險。首先，應確保實現責權利明確且相匹配的人力資源制度安排。是指操作風險的責權界定要清晰，崗位職責與業務操作權限劃分要具體到個人，并徹底消除責任多頭承擔的模糊現象，切實保障員工個人的人力資源效能的充分發揮。一是依據崗位工作的業務復雜程度和崗位職責的責任大小，合理確定崗位激勵系數；二是注重實施不同崗位的不同收入差別限額制，將收入差距控制在合理范圍。第二，構建科學合理的員工職業生涯設計體系和實踐平臺。對人力資本的激勵應關注其長期的職業發展。具體到商業銀行操作風險管理領域，應尤其注重做好分支行等基層業務人員的職業生涯設計。基層業務人員的職業起點較低，面對的發展和自我提高的機遇相對較少，因此更容易滋生懈怠、厭倦等不良工作情緒。因此，在對其進行職業生涯設計時，應首先消除基層業務人員即是單純操作人員的傳統觀念，要積極創造基層員工參與銀行風險管理和發展規劃工作的機會，這樣將有利于提升其風險防范意識。還可通過短期交流、定期培訓、零風險示范崗建設等方式不斷提升基層員工的職業生涯優化理念和對組織的忠誠度和認知度。第三、塑造精誠合作、執行高效的企業文化氛圍。良好的企業文化氛圍塑造有利于增強員工的歸屬感和對集體價值的認同感，有助于從內部形成推動操作風險管理內控制度有效執行的無形動力。從而確保銀行操作風險內控制度的落實與執行的自覺性、主動性和高效性，真正實現全面有效的操作風險管理。

參考文獻：

1、《巴塞爾新資本協議》

2、《風險管理》，中國金融出版社，2007.7

3、中國銀行業監督管理委員會《銀監會2010年年報》