防范商業(yè)銀行操作風險的對策探討

羅南

隨著全球經(jīng)濟一體化，銀行業(yè)得以長足發(fā)展，逐步呈現(xiàn)混業(yè)化、巨型化、表外化、衍生化等特點，其經(jīng)營環(huán)境也變得更為復雜；美國次貸危機爆發(fā)，引發(fā)全球經(jīng)濟陷入困境，商業(yè)銀行在操作風險管理上也面臨新的挑戰(zhàn)。面對世界各國頻發(fā)的操作風險事故，金融界和監(jiān)管當局開始加倍關注操作風險，深入研究操作風險，提出防范對策成為商業(yè)銀行經(jīng)營管理的一項重大課題。

一、商業(yè)銀行操作風險表現(xiàn)形式

（一）內(nèi)部欺詐與外部欺詐

在我國商業(yè)銀行中，由于缺乏內(nèi)部控制或內(nèi)部控制失敗，內(nèi)部欺詐成為產(chǎn)生操作風險的主要原因，媒體報道的操作風險案件中，由內(nèi)部欺詐引起的占絕大多數(shù)；在國外，內(nèi)部欺詐也是產(chǎn)生操作風險的原因之一，但不是主要原因?？梢姡瑑?nèi)部欺詐在我國是產(chǎn)生操作風險的主要原因，應重點進行防范。在國內(nèi)，外部欺詐是僅次于內(nèi)部欺詐成為產(chǎn)生商業(yè)銀行操作風險的第二大原因，在國外也是產(chǎn)生操作風險的重要原因之一，也應重點進行防范。

（二）雇傭合同及工作狀況帶來風險事件

由于不履行合同、或者不符合勞動健康、安全法規(guī)所引起的賠償要求。例如，工人賠償要求、違反雇員的健康安全規(guī)定、有組織的罷工以及各種應對顧客負有的責任?；蛘呤钱a(chǎn)品特性或設計不合理、員工服務粗心大意、對特定客戶不能提供專業(yè)服務等原因而造成的銀行損失。包括產(chǎn)品功能不完善引發(fā)的損失，由于強行銷售產(chǎn)品、未對敏感問題進行披露、對客戶建議不當、職業(yè)疏忽大意、不恰當?shù)膹V告、不適當?shù)慕灰?、銷售歧視等導致與客戶信托關系破裂、合同關系破裂、客戶關系破裂而引發(fā)的損失。

（三）客戶、產(chǎn)品及商業(yè)行為引起風險事件

由于商業(yè)銀行的業(yè)務及管理人員，因違約、用客戶的秘密信息、進行錯誤的交易、參與洗錢以及銷售未授權的金融產(chǎn)品等，從而產(chǎn)生無法滿足某一顧客的特定需要、產(chǎn)品失效或失誤、商業(yè)行為出錯等現(xiàn)象，給銀行或用戶造成巨大的經(jīng)濟損失。因此，樹立客戶至上的觀念，規(guī)范金融產(chǎn)品以及商業(yè)行為，是控制操作風險的一條重要渠道。

（四）有形資產(chǎn)損失

主要指由于恐怖事件、地震、火災、洪災和電壓過大等不可抗拒的力量產(chǎn)生的商業(yè)銀行實體資產(chǎn)的損失。這種損失一般是由非人為原因造成的，當不可抗拒的意外事件發(fā)生時，如果管理有效，會減少所發(fā)生的風險，而管理失效會增加所產(chǎn)生的風險。在國內(nèi)，這部分原因所產(chǎn)生的操作風險不大，不是操作風險的主要原因；而在國外確實是產(chǎn)生操作風險的一個重要原因。

（五）經(jīng)營、系統(tǒng)在執(zhí)行、交割、交易過程中的失誤

在商業(yè)銀行的業(yè)務操作過程中，業(yè)務及管理人員由于交易數(shù)據(jù)輸入錯誤、管理失誤、不完備的法律文件、未經(jīng)批準訪問客戶賬戶、合作伙伴的不當操作、經(jīng)濟糾紛等所產(chǎn)生的交易失敗、過程管理出錯、合作失敗等狀況，最終導致商業(yè)銀行經(jīng)濟損失?；蛘哂捎谟嬎銠C硬件、軟件、通信或電力中斷而引發(fā)的損失。包括硬件癱瘓、軟件漏洞、設備故障、程序錯誤、計算機病毒、互聯(lián)網(wǎng)失靈等原因造成的損失。在國內(nèi)這是產(chǎn)生操作風險的一個原因，但不是主要原因，發(fā)生操作風險的案件占比為5%以內(nèi)，經(jīng)濟損失占比不到1%；國外的案件占比不到2%，但經(jīng)濟損失占比超過2%，這說明這類原因是預防操作風險值得注意的一個潛在原因，應引起充分的重視。

二、商業(yè)銀行操作風險產(chǎn)生原因

操作風險是銀行業(yè)面臨最古老的一種風險，隨著操作風險事故的發(fā)生不斷增加，對操作風險的研究近幾年才逐步拉開帷幕。目前，我國商業(yè)銀行操作風險管理遠遠滯后于形勢發(fā)展。在公司治理結構不健全、內(nèi)控制度建設尚不完備、認識不到位和風險管理手段落后等條件下，發(fā)生操作風險和造成事實損失的可能性必然增加。

（一）公司治理結構不健全

在我國， 商業(yè)銀行基層分支機構在組織架構中操作風險管理職責分散，缺乏負責統(tǒng)一協(xié)調(diào)的機構，未設立專門的操作風險管理職能部門，管理策略和政策不明確，尚未形成一整套系統(tǒng)的操作風險的定義、識別、監(jiān)控和風險緩釋等管理。

一是股東大會的權力體現(xiàn)不足。改善公司治理的動力來自股東，由于歷史原因，國有商業(yè)銀行和股份制商業(yè)銀行股東大會的權威性無從體現(xiàn)；改革商業(yè)銀行后，引進境外投資者，對提高公司治理水平有一定促進作用，但仍存在國有股、一股獨大的問題，股東大會的權力無法充分體現(xiàn)。

二是董事會缺位。商業(yè)銀行特別是國有商業(yè)銀行，董事會和高級管理層的設置名不符實，其人員組成往往是一套人馬，職能不分，缺乏一個產(chǎn)權明晰、權責分明的制度基礎，建立的董事會和管理層未能有效地防范內(nèi)部人控制問題。另外，官本位的影響短時還難根本消除，強調(diào)的是領導企業(yè)而不是代表企業(yè)，董事會在公司治理中的作用本應在于商議、討論、共同決定，但這一制度作用無法發(fā)揮，很多情況下常常是董事長一人說了算，董事會的獨立性和專業(yè)性及民主性得不到保障。

三是對經(jīng)理層缺乏監(jiān)督。目前，國有商業(yè)銀行采取的總行——省級分行——地市級分行——縣級支行——分理處層級管理模式，導致分支行行長權力過大，總行對高管的有效監(jiān)控減弱。而我國公司法也未明確經(jīng)理權責，賦予經(jīng)理諸多法定權限，且權限范圍明顯過大，經(jīng)理權力大而又缺乏監(jiān)督制約，直接加重了公司內(nèi)部人控制。 （二）內(nèi)控制度建設尚不完備

我國商業(yè)銀行實行一級法人下的多級經(jīng)營管理體制，各分行、支行有很大權力決定自己的組織機構設置、考核機制、管理制度以及業(yè)務流程。 由于分行、支行各自強調(diào)自己所處內(nèi)外部環(huán)境的特殊性， 導致分行甚至同一分行的支行經(jīng)營管理模式各不相同。 我國商業(yè)銀行在內(nèi)控方面的不足主要表現(xiàn)在以下幾方面：

一是內(nèi)控制度缺乏針對性和系統(tǒng)性。絕大多數(shù)銀行，沒有針對操作風險制定統(tǒng)一的政策標準，形成系統(tǒng)、完善的內(nèi)部控制制度，現(xiàn)在執(zhí)行的大部分制度辦法往往也不能涵蓋銀行業(yè)務經(jīng)營過程中對所有關鍵業(yè)務實施操作風險管理的標準和目標，不少制度只是原則性規(guī)定，操作性不強，未對資產(chǎn)業(yè)務流程進行基于風險管理的再造，形成一種內(nèi)部風險控制文化，使員工對自身操作風險的責任有明確的認識；此外，目前我國銀行業(yè)內(nèi)控制度建設嚴重滯后于銀行業(yè)務的開拓，使新業(yè)務的開展缺乏必要的制度保障，風險較大，造成基層員工在執(zhí)行過程中無所適從。

二是總分銀行體制使分支機構表現(xiàn)出較強的“內(nèi)部人”控制特征。由于所有者與經(jīng)營者利益的不一致，經(jīng)營者控制公司，權利過分集中于“內(nèi)部人”。國內(nèi)商業(yè)銀行普遍架構為多級總、分支機構，直線職能制模式大大削弱了內(nèi)控的力度，總行對分支行控制能力逐級下降，無法及時、準確、完整獲取信息，使得分支機構負責人橫向權利過大，而相對于一級分行，二級分行與支行又承擔了更多的實際業(yè)務操作職能，這正是我國操作風險事故發(fā)生較多領域，加之分行與支行的管理鏈條較長，物理網(wǎng)點分散，總行對其控制力更弱。

三是內(nèi)部監(jiān)督作用未得到有效發(fā)揮。當前基層機構沒有切實履行操作風險的管理職能，缺乏對高管人員權力行之有效的制衡機制，對關鍵崗位員工工作時間以外活動也沒有合理監(jiān)管機制；我國銀行業(yè)內(nèi)部審計部門并不直接隸屬于董事會，而是與其它部門平行，勢必會影響內(nèi)審監(jiān)察部門在全行的威嚴，導致對分支機構稽查監(jiān)督容易，對本部稽查監(jiān)督困難，難以滿足識別和管理操作風險需求。

（三）風險管理方法落后，信息技術的運用嚴重滯后

一是操作風險管理理念的偏差。當前，我國銀行業(yè)對操作風險一直處于被動管理狀態(tài)，因此管理理念存在一定的偏差。主要表現(xiàn)重業(yè)務經(jīng)營、輕內(nèi)部管理，重事后補漏、輕事前防范，重視案件風險、忽視信息資產(chǎn)安全和業(yè)務中斷風險，重案件查處、輕案件防范管理，重會計操作風險、輕授信和營銷操作風險管理。據(jù)統(tǒng)計中發(fā)現(xiàn)，我國大部分銀行出于自己聲譽、利益等各種考慮， 對大部分損失較小的操作風險事件采用“小事化了”的策略，對損失較大的風險上報時進行“精心加工”，信息披露不足，使得決策層難以真正了解操作風險的真實情況，結果失去了較早采取管理措施的機會。

二是管理方法落后，電子化手段缺乏。隨著信息技術的大規(guī)模應用，國外銀行界操作風險管理手段也日益完善，從定性管理到依賴風險分析模型工具開展定量評價，從手工操作到電子化管理相比，盡管在信息技術應用方面處于各行業(yè)領先地位，但數(shù)據(jù)處理處于一種嚴重分散化狀態(tài)，部門之間、同一家銀行分支機構之間各自為政，數(shù)據(jù)集中水平差，數(shù)據(jù)采集標準不統(tǒng)一，操作風險的電子化管理與國外銀行相比，差距仍然很大，幾乎全部依賴內(nèi)部審計部門的事后稽核，而這些部門往往人力薄弱，難擔重任，無法對操作風險進行實時監(jiān)控。

三是操作風險數(shù)據(jù)匾乏，數(shù)據(jù)庫的建立很不完善。由于產(chǎn)權和信息披露制度的原因，銀行不但沒有壓力披露操作風險事件，相反卻有主動隱藏風險事件的動機，因而造成了一方面操作風險內(nèi)部數(shù)據(jù)的收集缺乏，另一方面，操作風險外部數(shù)據(jù)也十分缺乏，特別是罕見的巨額操作風險損失數(shù)據(jù)匾乏，嚴重阻礙了操作風險防范意識的形成，影響了操作風險防范效率。由于各方面的因素，我國目前還沒有一家專門收集銀行風險數(shù)據(jù)信息的公司，所以操作風險外部數(shù)據(jù)的共享難以實現(xiàn)，完全依靠銀行自身努力，無法為商業(yè)銀行收集操作風險數(shù)據(jù)節(jié)約成本，致使我國商業(yè)銀行目前不可能采用巴塞爾新資本協(xié)議中提出的高級計量法進行操作風險資本計量，無法建立相應的操作風險計量模型，準確掌握風險缺口，從而直接影響到銀行經(jīng)營管理中決策的正確性。

（四）員工隊伍管理不到位

人員因素引起的操作風險主要是指，由于銀行內(nèi)部員工的行為不當，人員流失等原因給銀行帶來損失的情況，具體包括人員的違法行為、越權行為、操作失誤、勞動力中斷、關鍵人員流失或缺乏等。由于商業(yè)銀行正常運營對人員的依賴性，人員因素管理在銀行操作風險管理中應當處于核心地位。人員因素導致的操作風險具體有以下兩方面：

一是人力資源配置不當，基層員工隊伍整體素質(zhì)不高。目前商業(yè)銀行尤其是國有商業(yè)銀行普遍存在基層人員緊張，工作強度大的情況，員工不愿意留在基層工作，人員流失現(xiàn)象較嚴重，基層行的高學歷、有經(jīng)驗的人才配置不足，不能體現(xiàn)出基層機構作為操作風險防范一線屏障的基礎地位。其直接后果體現(xiàn)：一方面是員工的業(yè)務素質(zhì)和操作技能不高。銀行業(yè)務團隊中，由于缺乏思想教育和業(yè)務培訓，存在部分員工風險意識較為淡薄，責任心不強，對規(guī)章制度學習理解不夠，執(zhí)行隨意性較大，難免誘發(fā)操作風險，是員工必要的學習、培訓、輪崗、休假制度難以落實；另一方面員工思想素質(zhì)不高。這就是我們常說的“道德風險”。人性本是利己與利他的矛盾統(tǒng)一， 在條件具備的情況下， 人性的缺陷很容易暴露。從內(nèi)部管理上講，收入分配不公、高層貪污腐敗、管理查處不嚴都激發(fā)了銀行人員內(nèi)部作案的動機和沖動；從外部監(jiān)管而言，監(jiān)管力度弱、處罰輕， 犯罪成本低， 使得一些人懷著僥幸心理，以身試法、鋌而走險。容易引發(fā)操作風險。

二是對管理層的約束不夠。董事會和管理層人員作為銀行的公司治理結構，負責營造銀行操作風險控制文化，將有效的操作風險管理和穩(wěn)健的運營控制結合起來，應該是人員管理和整個銀行操作風險管理的核心。但目前，我國商業(yè)銀行體系對高級管理層約束機制還存在一些問題：一是高層問責機制執(zhí)行不力。我國金融機構的高層問責制相當不完善，具體執(zhí)行過程也存在高層人員尋找市場發(fā)展不成熟、法規(guī)不健全等借口充當理由；二是監(jiān)管部門作用難以有效發(fā)揮。我國商業(yè)銀行的審計部門無法完全獨立于董事會和高管層，加之舉報機制的不健全，使得監(jiān)督部門無法有效發(fā)揮作用。

（五）與風險控制沖突的考核激勵政策易誘導操作風險

建立健全激勵報酬機制，是確保銀行合法合規(guī)經(jīng)營的助推劑。

一是我國現(xiàn)行報酬激勵機制，對風險重視程度不夠，且沒有形成與績效聯(lián)動考核機制，業(yè)績考核過分強調(diào)規(guī)模擴張， 一味追求規(guī)模收益，忽視風險，形成短期行為，客觀上誘發(fā)了操作風險，多數(shù)商業(yè)銀行仍實行存款任務指標（或市場份額）與業(yè)績或收入掛鉤做法，在業(yè)績考核壓力機制下，銀行員工主動執(zhí)行監(jiān)督制度積極性受到影響，甚至為了爭奪和留住客戶而不惜進行違規(guī)操作，久而久之，容易滋生金融腐敗和內(nèi)外欺詐行為。

二是激勵和約束機制不匹配，削弱了銀行員工防范操作風險的主動性。激勵和約束機制不匹配主要體現(xiàn)在對中高層管理人員具有較強的正向激勵效應，對基層則激勵不足，例如，在收入分配上，中高層管理人員與基層員工收入差距大，且責任與收入不對稱，對中高層管理人員的激勵較多，責任較少，但對基層員工則是激勵較少，責任較大，這種風險責任下移，收入分配上移的激勵機制影響了員工執(zhí)行風險控制制度的積極性。此外，現(xiàn)行約束機制，對高級管理層約束不夠，高管人員往往為一己私欲而盲目追求高額報酬，絲毫不考慮銀行面臨的風險狀況，高比例分紅，超收入分配等關聯(lián)貸款的現(xiàn)象比比皆是，這種不計成本損失的盲目擴張，不光加劇了操作風險，還給社會造成了嚴重的影響。

三、商業(yè)銀行操作風險防范對策

（一）構建完善操作風險管理框架

一是加強操作風險防范環(huán)境建設。環(huán)境建設是組織文化的主要組成部分，操作風險控制環(huán)境的營造應從組織文化建設開始，是商業(yè)銀行的風險控制人員提高控制意識，統(tǒng)一控制觀念，使控制活動協(xié)調(diào)一致，控制人員的責、權、利關系明確，形成有效的自發(fā)控制機制。

二是設立專業(yè)化風險管理機構，培訓專業(yè)化風險管理人員。設立操作風險管理機構，按照國際先進商業(yè)銀行管理要求，培訓并引進專業(yè)管理人員，使風險管理程序設計、風險計算、網(wǎng)絡控制一體化運行、建立經(jīng)?；O(jiān)督檢查制度，實行現(xiàn)場檢查與非現(xiàn)場檢查、專業(yè)檢查與全面檢查、重點部位檢查與非重點檢查部位檢查相結合方式，定檢查深度，設整改時限，使操作風險無產(chǎn)生病源、無生存空間。

三是不斷增強風險管理制度的可操作性。商業(yè)銀行要盡快建立覆蓋全業(yè)務、全部門的信息管理系統(tǒng)，該系統(tǒng)不僅僅包括對已有的各種業(yè)務流程的再造和設置操作風險控制點，更有助于總行對其星羅棋布的分支機構進行垂直的、扁平化的管理，實行“管理與操作、銀行與客戶、程序設計與業(yè)務操作”三分離制度，防范道德風險。

（二）加強防范操作風險的環(huán)境建設，嚴防道德風險，加強隊伍管理。

員工道德風險是引發(fā)操作風險的重要誘因。銀行要加強員工的素質(zhì)教育，培養(yǎng)員工良好職業(yè)操守，從道德知識和業(yè)務技能等方面全面的提高員工素質(zhì)。

一是營造“誠信審慎”的風險控制文化。強化全員安全風險意識，引導全行員工樹立對風險管理認同感，加強職業(yè)道德教育，增強員工對職工道德的認識和理解能力，形成道德習慣，自覺履行自己的工作職責；把職業(yè)操守建設與文化知識教育以及業(yè)務技能培訓結合起來，通過獲取知識、應用知識來提高員工的職業(yè)操守，做到風險管理人人有責，讓每一位員工意識到自身崗位存在風險點，形成防范風險的第一道屏障。同時，提高業(yè)務及管理人員提出更高要求，建立風險管理職能部門間有效的分工和合作機制以及信息交流和溝通機制，縮短存在風險的匯報路徑，規(guī)避風險。

二是提高內(nèi)控文化的科技含量。由于商業(yè)銀行業(yè)務及網(wǎng)絡系統(tǒng)普遍使用，對防止計算機犯罪和網(wǎng)絡風險提出了更高的技術要求和人員要求，因此，提高業(yè)務及管理人員素質(zhì)是降低商業(yè)銀行操作風險的重要途徑。同時，商業(yè)銀行通過計算機程序編制、設立權限指令，控制超越授權的違規(guī)操作，避免因為個人的疏忽而導致的業(yè)務失誤，迅速改進科技信息系統(tǒng)，提高技術手段防范操作風險能力，加強信息技術運用自身風險防范管理。

（三）借助科技手段建立全面操作風險識別、評估體系 按照《巴塞爾新資本協(xié)議》框架需求，借鑒國際先進經(jīng)驗并運用現(xiàn)代科技手段，從操作風險分類定義、組織流程、操作風險計量模型、風險控制和評估、操作風險數(shù)據(jù)庫、操作風險管理、信息風險管理、信息系統(tǒng)等方面，建立科學的內(nèi)部評級法，逐步建立覆蓋所有業(yè)務操作風險的監(jiān)控和評價預警系統(tǒng)，并進行持續(xù)的監(jiān)控和定期評估，使各項決策和經(jīng)營活動建立在充分的信息支持的基礎上，各種信息及時調(diào)整業(yè)務經(jīng)營方針和發(fā)展策略，及時協(xié)調(diào)解決內(nèi)部控制中的問題，消除信息傳導失真，有效防范和控制操作風險。

（四）完整內(nèi)控信息反饋機制

針對當前我國內(nèi)控信息交流與反饋機制交往薄弱的現(xiàn)狀，商業(yè)銀行應確實地采取一些措施進行改善：一是完善各部門與分支機構之間信息共享系統(tǒng)，確保信息傳遞的及時性和有效性，從而最大程度的減少損失。二是加強銀行內(nèi)部橫向和縱向之間以及外部間的交流與溝通，幫助管理者及時掌握操作風險最新信息，對潛在的操作風險崗位和環(huán)節(jié)加以防范和控制。三是逐步完善信息、披露系統(tǒng)，開發(fā)銀行自己的內(nèi)部信息網(wǎng)站，給商業(yè)銀行、監(jiān)管部門和受益人之間提供一個信息交流平臺。

（五）采取風險補償機制和風險轉移的措施

商業(yè)銀行提取一定比例的經(jīng)濟資本作為補償機制，此法類似企業(yè)提取壞賬準備金，是一種最后保障機制。經(jīng)濟資本相對監(jiān)管資本而言，經(jīng)濟資本應占管理資本一定比例，各商業(yè)銀行可根據(jù)自身業(yè)務及管理程序特點，利用歷史數(shù)據(jù)，建立相關模型，計算操作風險所需比例經(jīng)濟資本來補償損失。同時，應利用保險產(chǎn)品作為分散操作風險損失的緩釋工具，以彌補商業(yè)銀行的操作風險損失，通過互換、對沖、保險、擔保、證券化等方式，或者提供更多的資本、降低債務水平、經(jīng)營分散化、自我保險等措施來轉移風險緩解商業(yè)銀行操作風險，建立存款保險制度，以保護存款人的利益和穩(wěn)定金融體系。商業(yè)銀行一方面通過強化內(nèi)部約束，提高資產(chǎn)質(zhì)量，加大不良資產(chǎn)處置力度，改善經(jīng)營狀況，增強自我積累能力，提足貸款損失準備，從內(nèi)部補充資本。