防范商業銀行操作風險的對策探討

羅南

隨著全球經濟一體化，銀行業得以長足發展，逐步呈現混業化、巨型化、表外化、衍生化等特點，其經營環境也變得更為復雜；美國次貸危機爆發，引發全球經濟陷入困境，商業銀行在操作風險管理上也面臨新的挑戰。面對世界各國頻發的操作風險事故，金融界和監管當局開始加倍關注操作風險，深入研究操作風險，提出防范對策成為商業銀行經營管理的一項重大課題。

一、商業銀行操作風險表現形式

（一）內部欺詐與外部欺詐

在我國商業銀行中，由于缺乏內部控制或內部控制失敗，內部欺詐成為產生操作風險的主要原因，媒體報道的操作風險案件中，由內部欺詐引起的占絕大多數；在國外，內部欺詐也是產生操作風險的原因之一，但不是主要原因。可見，內部欺詐在我國是產生操作風險的主要原因，應重點進行防范。在國內，外部欺詐是僅次于內部欺詐成為產生商業銀行操作風險的第二大原因，在國外也是產生操作風險的重要原因之一，也應重點進行防范。

（二）雇傭合同及工作狀況帶來風險事件

由于不履行合同、或者不符合勞動健康、安全法規所引起的賠償要求。例如，工人賠償要求、違反雇員的健康安全規定、有組織的罷工以及各種應對顧客負有的責任。或者是產品特性或設計不合理、員工服務粗心大意、對特定客戶不能提供專業服務等原因而造成的銀行損失。包括產品功能不完善引發的損失，由于強行銷售產品、未對敏感問題進行披露、對客戶建議不當、職業疏忽大意、不恰當的廣告、不適當的交易、銷售歧視等導致與客戶信托關系破裂、合同關系破裂、客戶關系破裂而引發的損失。

（三）客戶、產品及商業行為引起風險事件

由于商業銀行的業務及管理人員，因違約、用客戶的秘密信息、進行錯誤的交易、參與洗錢以及銷售未授權的金融產品等，從而產生無法滿足某一顧客的特定需要、產品失效或失誤、商業行為出錯等現象，給銀行或用戶造成巨大的經濟損失。因此，樹立客戶至上的觀念，規范金融產品以及商業行為，是控制操作風險的一條重要渠道。

（四）有形資產損失

主要指由于恐怖事件、地震、火災、洪災和電壓過大等不可抗拒的力量產生的商業銀行實體資產的損失。這種損失一般是由非人為原因造成的，當不可抗拒的意外事件發生時，如果管理有效，會減少所發生的風險，而管理失效會增加所產生的風險。在國內，這部分原因所產生的操作風險不大，不是操作風險的主要原因；而在國外確實是產生操作風險的一個重要原因。

（五）經營、系統在執行、交割、交易過程中的失誤

在商業銀行的業務操作過程中，業務及管理人員由于交易數據輸入錯誤、管理失誤、不完備的法律文件、未經批準訪問客戶賬戶、合作伙伴的不當操作、經濟糾紛等所產生的交易失敗、過程管理出錯、合作失敗等狀況，最終導致商業銀行經濟損失?；蛘哂捎谟嬎銠C硬件、軟件、通信或電力中斷而引發的損失。包括硬件癱瘓、軟件漏洞、設備故障、程序錯誤、計算機病毒、互聯網失靈等原因造成的損失。在國內這是產生操作風險的一個原因，但不是主要原因，發生操作風險的案件占比為5%以內，經濟損失占比不到1%；國外的案件占比不到2%，但經濟損失占比超過2%，這說明這類原因是預防操作風險值得注意的一個潛在原因，應引起充分的重視。

二、商業銀行操作風險產生原因

操作風險是銀行業面臨最古老的一種風險，隨著操作風險事故的發生不斷增加，對操作風險的研究近幾年才逐步拉開帷幕。目前，我國商業銀行操作風險管理遠遠滯后于形勢發展。在公司治理結構不健全、內控制度建設尚不完備、認識不到位和風險管理手段落后等條件下，發生操作風險和造成事實損失的可能性必然增加。

（一）公司治理結構不健全

在我國， 商業銀行基層分支機構在組織架構中操作風險管理職責分散，缺乏負責統一協調的機構，未設立專門的操作風險管理職能部門，管理策略和政策不明確，尚未形成一整套系統的操作風險的定義、識別、監控和風險緩釋等管理。

一是股東大會的權力體現不足。改善公司治理的動力來自股東，由于歷史原因，國有商業銀行和股份制商業銀行股東大會的權威性無從體現；改革商業銀行后，引進境外投資者，對提高公司治理水平有一定促進作用，但仍存在國有股、一股獨大的問題，股東大會的權力無法充分體現。

二是董事會缺位。商業銀行特別是國有商業銀行，董事會和高級管理層的設置名不符實，其人員組成往往是一套人馬，職能不分，缺乏一個產權明晰、權責分明的制度基礎，建立的董事會和管理層未能有效地防范內部人控制問題。另外，官本位的影響短時還難根本消除，強調的是領導企業而不是代表企業，董事會在公司治理中的作用本應在于商議、討論、共同決定，但這一制度作用無法發揮，很多情況下常常是董事長一人說了算，董事會的獨立性和專業性及民主性得不到保障。

三是對經理層缺乏監督。目前，國有商業銀行采取的總行——省級分行——地市級分行——縣級支行——分理處層級管理模式，導致分支行行長權力過大，總行對高管的有效監控減弱。而我國公司法也未明確經理權責，賦予經理諸多法定權限，且權限范圍明顯過大，經理權力大而又缺乏監督制約，直接加重了公司內部人控制。 （二）內控制度建設尚不完備

我國商業銀行實行一級法人下的多級經營管理體制，各分行、支行有很大權力決定自己的組織機構設置、考核機制、管理制度以及業務流程。 由于分行、支行各自強調自己所處內外部環境的特殊性， 導致分行甚至同一分行的支行經營管理模式各不相同。 我國商業銀行在內控方面的不足主要表現在以下幾方面：

一是內控制度缺乏針對性和系統性。絕大多數銀行，沒有針對操作風險制定統一的政策標準，形成系統、完善的內部控制制度，現在執行的大部分制度辦法往往也不能涵蓋銀行業務經營過程中對所有關鍵業務實施操作風險管理的標準和目標，不少制度只是原則性規定，操作性不強，未對資產業務流程進行基于風險管理的再造，形成一種內部風險控制文化，使員工對自身操作風險的責任有明確的認識；此外，目前我國銀行業內控制度建設嚴重滯后于銀行業務的開拓，使新業務的開展缺乏必要的制度保障，風險較大，造成基層員工在執行過程中無所適從。

二是總分銀行體制使分支機構表現出較強的“內部人”控制特征。由于所有者與經營者利益的不一致，經營者控制公司，權利過分集中于“內部人”。國內商業銀行普遍架構為多級總、分支機構，直線職能制模式大大削弱了內控的力度，總行對分支行控制能力逐級下降，無法及時、準確、完整獲取信息，使得分支機構負責人橫向權利過大，而相對于一級分行，二級分行與支行又承擔了更多的實際業務操作職能，這正是我國操作風險事故發生較多領域，加之分行與支行的管理鏈條較長，物理網點分散，總行對其控制力更弱。

三是內部監督作用未得到有效發揮。當前基層機構沒有切實履行操作風險的管理職能，缺乏對高管人員權力行之有效的制衡機制，對關鍵崗位員工工作時間以外活動也沒有合理監管機制；我國銀行業內部審計部門并不直接隸屬于董事會，而是與其它部門平行，勢必會影響內審監察部門在全行的威嚴，導致對分支機構稽查監督容易，對本部稽查監督困難，難以滿足識別和管理操作風險需求。

（三）風險管理方法落后，信息技術的運用嚴重滯后

一是操作風險管理理念的偏差。當前，我國銀行業對操作風險一直處于被動管理狀態，因此管理理念存在一定的偏差。主要表現重業務經營、輕內部管理，重事后補漏、輕事前防范，重視案件風險、忽視信息資產安全和業務中斷風險，重案件查處、輕案件防范管理，重會計操作風險、輕授信和營銷操作風險管理。據統計中發現，我國大部分銀行出于自己聲譽、利益等各種考慮， 對大部分損失較小的操作風險事件采用“小事化了”的策略，對損失較大的風險上報時進行“精心加工”，信息披露不足，使得決策層難以真正了解操作風險的真實情況，結果失去了較早采取管理措施的機會。

二是管理方法落后，電子化手段缺乏。隨著信息技術的大規模應用，國外銀行界操作風險管理手段也日益完善，從定性管理到依賴風險分析模型工具開展定量評價，從手工操作到電子化管理相比，盡管在信息技術應用方面處于各行業領先地位，但數據處理處于一種嚴重分散化狀態，部門之間、同一家銀行分支機構之間各自為政，數據集中水平差，數據采集標準不統一，操作風險的電子化管理與國外銀行相比，差距仍然很大，幾乎全部依賴內部審計部門的事后稽核，而這些部門往往人力薄弱，難擔重任，無法對操作風險進行實時監控。

三是操作風險數據匾乏，數據庫的建立很不完善。由于產權和信息披露制度的原因，銀行不但沒有壓力披露操作風險事件，相反卻有主動隱藏風險事件的動機，因而造成了一方面操作風險內部數據的收集缺乏，另一方面，操作風險外部數據也十分缺乏，特別是罕見的巨額操作風險損失數據匾乏，嚴重阻礙了操作風險防范意識的形成，影響了操作風險防范效率。由于各方面的因素，我國目前還沒有一家專門收集銀行風險數據信息的公司，所以操作風險外部數據的共享難以實現，完全依靠銀行自身努力，無法為商業銀行收集操作風險數據節約成本，致使我國商業銀行目前不可能采用巴塞爾新資本協議中提出的高級計量法進行操作風險資本計量，無法建立相應的操作風險計量模型，準確掌握風險缺口，從而直接影響到銀行經營管理中決策的正確性。

（四）員工隊伍管理不到位

人員因素引起的操作風險主要是指，由于銀行內部員工的行為不當，人員流失等原因給銀行帶來損失的情況，具體包括人員的違法行為、越權行為、操作失誤、勞動力中斷、關鍵人員流失或缺乏等。由于商業銀行正常運營對人員的依賴性，人員因素管理在銀行操作風險管理中應當處于核心地位。人員因素導致的操作風險具體有以下兩方面：

一是人力資源配置不當，基層員工隊伍整體素質不高。目前商業銀行尤其是國有商業銀行普遍存在基層人員緊張，工作強度大的情況，員工不愿意留在基層工作，人員流失現象較嚴重，基層行的高學歷、有經驗的人才配置不足，不能體現出基層機構作為操作風險防范一線屏障的基礎地位。其直接后果體現：一方面是員工的業務素質和操作技能不高。銀行業務團隊中，由于缺乏思想教育和業務培訓，存在部分員工風險意識較為淡薄，責任心不強，對規章制度學習理解不夠，執行隨意性較大，難免誘發操作風險，是員工必要的學習、培訓、輪崗、休假制度難以落實；另一方面員工思想素質不高。這就是我們常說的“道德風險”。人性本是利己與利他的矛盾統一， 在條件具備的情況下， 人性的缺陷很容易暴露。從內部管理上講，收入分配不公、高層貪污腐敗、管理查處不嚴都激發了銀行人員內部作案的動機和沖動；從外部監管而言，監管力度弱、處罰輕， 犯罪成本低， 使得一些人懷著僥幸心理，以身試法、鋌而走險。容易引發操作風險。

二是對管理層的約束不夠。董事會和管理層人員作為銀行的公司治理結構，負責營造銀行操作風險控制文化，將有效的操作風險管理和穩健的運營控制結合起來，應該是人員管理和整個銀行操作風險管理的核心。但目前，我國商業銀行體系對高級管理層約束機制還存在一些問題：一是高層問責機制執行不力。我國金融機構的高層問責制相當不完善，具體執行過程也存在高層人員尋找市場發展不成熟、法規不健全等借口充當理由；二是監管部門作用難以有效發揮。我國商業銀行的審計部門無法完全獨立于董事會和高管層，加之舉報機制的不健全，使得監督部門無法有效發揮作用。

（五）與風險控制沖突的考核激勵政策易誘導操作風險

建立健全激勵報酬機制，是確保銀行合法合規經營的助推劑。

一是我國現行報酬激勵機制，對風險重視程度不夠，且沒有形成與績效聯動考核機制，業績考核過分強調規模擴張， 一味追求規模收益，忽視風險，形成短期行為，客觀上誘發了操作風險，多數商業銀行仍實行存款任務指標（或市場份額）與業績或收入掛鉤做法，在業績考核壓力機制下，銀行員工主動執行監督制度積極性受到影響，甚至為了爭奪和留住客戶而不惜進行違規操作，久而久之，容易滋生金融腐敗和內外欺詐行為。

二是激勵和約束機制不匹配，削弱了銀行員工防范操作風險的主動性。激勵和約束機制不匹配主要體現在對中高層管理人員具有較強的正向激勵效應，對基層則激勵不足，例如，在收入分配上，中高層管理人員與基層員工收入差距大，且責任與收入不對稱，對中高層管理人員的激勵較多，責任較少，但對基層員工則是激勵較少，責任較大，這種風險責任下移，收入分配上移的激勵機制影響了員工執行風險控制制度的積極性。此外，現行約束機制，對高級管理層約束不夠，高管人員往往為一己私欲而盲目追求高額報酬，絲毫不考慮銀行面臨的風險狀況，高比例分紅，超收入分配等關聯貸款的現象比比皆是，這種不計成本損失的盲目擴張，不光加劇了操作風險，還給社會造成了嚴重的影響。

三、商業銀行操作風險防范對策

（一）構建完善操作風險管理框架

一是加強操作風險防范環境建設。環境建設是組織文化的主要組成部分，操作風險控制環境的營造應從組織文化建設開始，是商業銀行的風險控制人員提高控制意識，統一控制觀念，使控制活動協調一致，控制人員的責、權、利關系明確，形成有效的自發控制機制。

二是設立專業化風險管理機構，培訓專業化風險管理人員。設立操作風險管理機構，按照國際先進商業銀行管理要求，培訓并引進專業管理人員，使風險管理程序設計、風險計算、網絡控制一體化運行、建立經?；O督檢查制度，實行現場檢查與非現場檢查、專業檢查與全面檢查、重點部位檢查與非重點檢查部位檢查相結合方式，定檢查深度，設整改時限，使操作風險無產生病源、無生存空間。

三是不斷增強風險管理制度的可操作性。商業銀行要盡快建立覆蓋全業務、全部門的信息管理系統，該系統不僅僅包括對已有的各種業務流程的再造和設置操作風險控制點，更有助于總行對其星羅棋布的分支機構進行垂直的、扁平化的管理，實行“管理與操作、銀行與客戶、程序設計與業務操作”三分離制度，防范道德風險。

（二）加強防范操作風險的環境建設，嚴防道德風險，加強隊伍管理。

員工道德風險是引發操作風險的重要誘因。銀行要加強員工的素質教育，培養員工良好職業操守，從道德知識和業務技能等方面全面的提高員工素質。

一是營造“誠信審慎”的風險控制文化。強化全員安全風險意識，引導全行員工樹立對風險管理認同感，加強職業道德教育，增強員工對職工道德的認識和理解能力，形成道德習慣，自覺履行自己的工作職責；把職業操守建設與文化知識教育以及業務技能培訓結合起來，通過獲取知識、應用知識來提高員工的職業操守，做到風險管理人人有責，讓每一位員工意識到自身崗位存在風險點，形成防范風險的第一道屏障。同時，提高業務及管理人員提出更高要求，建立風險管理職能部門間有效的分工和合作機制以及信息交流和溝通機制，縮短存在風險的匯報路徑，規避風險。

二是提高內控文化的科技含量。由于商業銀行業務及網絡系統普遍使用，對防止計算機犯罪和網絡風險提出了更高的技術要求和人員要求，因此，提高業務及管理人員素質是降低商業銀行操作風險的重要途徑。同時，商業銀行通過計算機程序編制、設立權限指令，控制超越授權的違規操作，避免因為個人的疏忽而導致的業務失誤，迅速改進科技信息系統，提高技術手段防范操作風險能力，加強信息技術運用自身風險防范管理。

（三）借助科技手段建立全面操作風險識別、評估體系 按照《巴塞爾新資本協議》框架需求，借鑒國際先進經驗并運用現代科技手段，從操作風險分類定義、組織流程、操作風險計量模型、風險控制和評估、操作風險數據庫、操作風險管理、信息風險管理、信息系統等方面，建立科學的內部評級法，逐步建立覆蓋所有業務操作風險的監控和評價預警系統，并進行持續的監控和定期評估，使各項決策和經營活動建立在充分的信息支持的基礎上，各種信息及時調整業務經營方針和發展策略，及時協調解決內部控制中的問題，消除信息傳導失真，有效防范和控制操作風險。

（四）完整內控信息反饋機制

針對當前我國內控信息交流與反饋機制交往薄弱的現狀，商業銀行應確實地采取一些措施進行改善：一是完善各部門與分支機構之間信息共享系統，確保信息傳遞的及時性和有效性，從而最大程度的減少損失。二是加強銀行內部橫向和縱向之間以及外部間的交流與溝通，幫助管理者及時掌握操作風險最新信息，對潛在的操作風險崗位和環節加以防范和控制。三是逐步完善信息、披露系統，開發銀行自己的內部信息網站，給商業銀行、監管部門和受益人之間提供一個信息交流平臺。

（五）采取風險補償機制和風險轉移的措施

商業銀行提取一定比例的經濟資本作為補償機制，此法類似企業提取壞賬準備金，是一種最后保障機制。經濟資本相對監管資本而言，經濟資本應占管理資本一定比例，各商業銀行可根據自身業務及管理程序特點，利用歷史數據，建立相關模型，計算操作風險所需比例經濟資本來補償損失。同時，應利用保險產品作為分散操作風險損失的緩釋工具，以彌補商業銀行的操作風險損失，通過互換、對沖、保險、擔保、證券化等方式，或者提供更多的資本、降低債務水平、經營分散化、自我保險等措施來轉移風險緩解商業銀行操作風險，建立存款保險制度，以保護存款人的利益和穩定金融體系。商業銀行一方面通過強化內部約束，提高資產質量，加大不良資產處置力度，改善經營狀況，增強自我積累能力，提足貸款損失準備，從內部補充資本。