商業銀行操作風險管理問題研究

郭琳

（齊商銀行，山東 淄博 255000）

操作風險是商業銀行全面風險管理體系的重要組成部分，是商業銀行資本計量、商業銀行資本充足率監管要求和內部資本充足評估的重要內容，但是操作風險被認識和管理只有近二十幾年的時間，部分人員對操作風險的認識仍是網點柜面業務操作性的風險。近年來，各商業銀行愈來愈重視對操作風險的管理，但如何更好地對操作風險進行管理，和內部控制管理一樣，始終是商業銀行需要探討和研究的課題。

一、商業銀行操作風險概述

（一）商業銀行操作風險的定義

根據《商業銀行資本管理辦法（試行）》定義，操作風險是指由不完善或有問題的內部程序、員工和信息科技系統，以及外部事件所造成損失的風險，包括法律風險，但不包括策略風險和聲譽風險。在人們所熟知的案例中，違反監管法規所遭受的監管處罰、原本能夠通過抵押物追償但由于工作失職、失誤導致抵押物毀損無法追償、內部案件造成客戶資金損失的賠償、由于員工工作失誤所造成實物資產的直接毀壞、內外部欺詐導致的賬面資產減值損失等均屬于操作風險損失的范疇。

（二）商業銀行操作風險事件的分類

根據發生頻率和影響程度，商業銀行操作風險事件分為“大白兔”低頻低損的風險事件、“金絲猴”高頻低損的風險事件、“黑天鵝”低頻高損、不可預測的風險事件和“灰犀牛”高頻高損潛在的風險事件。

對于處在“大白兔”區域的風險點事件，采取正常風險控制措施和配置風險控制資源即可；對于處在“金絲猴”區域的風險點事件，一般對該區域內相關風險控制采取有效的監控和確認，可通過設置能夠量化的操作風險關鍵指標進行持續監測風險和控制的變化情況，以降低此類事件的發生；對于處在“黑天鵝”區域的風險點事件，一般會采取外包、保險的方式，用固定的小成本對沖低頻高損的風險，需要重點考慮風險的累計影響，并在此基礎上確認控制措施的有效性；對于處在“灰犀牛”區域的風險點事件，會盡量規避、回避，一般不會允許長期存在，需要通過大量改進和實施控制措施來降低風險，并制定行動計劃、增加風險控制資源配置，為目標實現提供合理保證。對于“灰犀牛”和“黑天鵝”區域是操作風險管理領域所關注的重中之重。

圖1

（三）商業銀行操作風險的特點

商業銀行操作風險主要存在的特點：一是內生性。商業銀行內部人員因素導致的操作風險占大多數，屬于通過加強內部控制管理可以降低的風險。二是隱蔽性。由于操作風險不易量化和緩釋，因此商業銀行各級管理人員較少關注這一風險，一旦發生有可能造成極大損失。三是分散性。分散在商業銀行不同的業務領域和管理領域，既包括高頻低損的業務和管理領域，也包括高頻高損的業務和管理領域。四是多樣性。引發操作風險的因素復雜多樣，既有法律、員工舞弊、勞動就業、營業場所，還有系統、自然災害等。五是風險與收益不匹配。對于信用風險和市場風險而言，借出或投放出風險類資金能夠按一定利率賺取一定收益，但是操作風險即便增加資金投入加強基礎管理，也無法保證員工舞弊等操作風險事件的發生，而且這種損失不僅是財務損失、資產損失，甚至帶來聲譽危機。而且根據“冰山原理”，間接損失是直接損失的6至53倍，也就是看不見的損失是看得見損失的6至53倍。

二、商業銀行內部控制與操作風險的共同點

（一）覆蓋范圍

商業銀行的內部控制是商業銀行內部的組織活動，通過制度、程序、指令和員工來完成；內部控制的管理貫穿于決策、執行和監督全過程，覆蓋商業銀行各項業務流程和管理活動，覆蓋各級部門、崗位和人員。商業銀行操作風險管理是對操作風險識別、評估、監測、控制/緩釋、計量和報告操作風險的過程；操作風險的管理要滲透到商業銀行各項經營活動和業務過程中各個操作環節，覆蓋商業銀行各級部門和各分支機構，由全體人員執行。

（二）目標及理念

商業銀行的內部控制管理和操作風險管理均以提升管理水平為目標。操作風險管理體系和內部控制管理體系從理論角度來看，兩者都是為了實現商業銀行穩健運行。從實際運作角度來看，兩者在日常工作中相互融合，可用完善的操作風險管理工具去反映日常工作中操作風險事項的發生，來達到控制人員、時間、財務成本、減少資產損失的內部控制目標，從而推動商業銀行內部控制架構不斷完善，防范商業銀行經營風險，實現商業銀行財務和運營信息的可靠性和完整性、運營和程序的效率和效果、資產的安全、對法律、法規、政策、流程及合同的遵循的內部控制經營目標。健全的內部控制機制是防范商業銀行操作風險的重要保障，對于提升內控管理水平和操作風險管理水平都具有十分重要的作用。

（三）實施方法

商業銀行的內部控制和操作風險管理均基于業務流程。內部控制管理中監管部門要求商業銀行的條線部門對各項業務活動和管理活動制定全面、系統、規范的業務制度和管理制度，并根據相應制度識別和梳理業務流程或管理流程中的風險點和控制點，執行標準統一的業務流程和管理流程。操作風險管理中操作風險與控制自我評估這一管理工具，也是以定期進行流程梳理為基礎的，基于通過動態更新流程中的流程步驟、風險信息和控制信息，在準確的梳理出風險信息和控制信息基礎上開展固有風險的評價、控制設計和執行有效性的評價及剩余風險的計量，以實現這一工具的有效運用。

（四）職責分工

商業銀行的內部控制管理和操作風險管理均需實施監督檢查。均由各級條線部門對流程中關鍵控制點的執行情況進行檢查，各級內部控制牽頭管理部門或操作風險管理牽頭管理部門、內部審計部門采取抽樣方法對流程中控制點即控制措施的設計和執行有效性進行復核檢查，匯總檢查結果向商業銀行董事會或高級管理層匯報。

（五）結果運用

操作風險與控制自我評估評估、操作風險關鍵風險指標、操作風險損失事件與數據收集是操作風險三大管理工具。內部控制的檢查成果、違法違規的監管處罰等事件是操作風險與控制自我評估評估的依據，內部控制中的案件部分屬于操作風險管理損失事件的內容，內部控制的控制結果、檢查成果、案防數據為制定操作風險關鍵風險指標閾值的提供了參考。因此內部控制結果與操作風險管理結果有著相互的應用關系。

三、商業銀行操作風險存在的問題

（一）對操作風險管理認識不夠

隨著商業銀行規模擴展和產品創新，操作風險導致的損失事件有趨多的趨勢，部分商業銀行對其認識和管理仍不夠深入。一方面，操作風險管理理念認知度較低。商業銀行操作風險被認識和管理是從20世紀90年代開始的，相較于信用風險、市場風險在時間上被人們了解和認知要晚得多，至今商業銀行員工認為操作風險是在網點柜面業務操作性的風險還大有人在。其次，對操作風險的認識存在偏差。長期以來，商業銀行對高頻低損的柜臺業務即時性、及時性的操作風險關注較多，對因違反內部程序和操作步驟辦理的可拖延、可事后補救手續的授信業務或財務、印章管理等中后臺業務關注較少，因而大部分員工對操作風險的認識仍是網點柜面業務操作性的風險，對操作風險的認識存在偏差。最后，員工缺乏主動學習和防范操作風險的意識。商業銀行部分員工不能主動學習專業知識，對業務流程和管理流程不夠熟練，僅憑“經驗”、約定俗成來辦理，缺乏足夠的操作風險防范意識，為發生操作風險事件留下了風險后患，一定程度上也影響著商業銀行內部控制的效果和效率。

（二）流程管理和執行不夠重視

流程管理作為操作風險管理的抓手，對基礎管理和落地執行不夠重視。一方面，內部程序制定不及時。隨著商業銀行業務規模不斷擴大，內部控制管理中各類制度應隨監管要求和經營管理情況及時進行更新和調整，商業銀行相關業務條線部門未能根據制度變化把內部程序流程步驟梳理作為日常基礎管理工作來持續維護，造成相應內部控制制度和內部程序流程步驟不一致，存在“各說各話”的現象。另一方面，內部程序執行不夠到位。由于商業銀行間競爭激烈，有時為了謀求完成當前任務目標，采取不按照制度執行、不按內部程序流程步驟操作、省略操作步驟，為發生操作風險事件留下了風險隱患。

（三）操作風險三大管理工具未充分應用

操作風險管理體系自始至終貫穿于商業銀行經營管理全過程，涉及全行、全經營過程、全體人員，由于認知中存在偏差，對于操作風險三大工具的很難在短時期內被各級管理人員所理解、掌握和應用。首先，商業銀行操作風險損失事件和數據不易收集、沒有數據積累。受“家丑不外揚”的傳統思想影響，有損失、有事件、有數據一般不反映、不上報，即不能反映真實風險狀況、也不能進行數量化分析。其次，關鍵風險指標數據收集困難。關鍵風險指標閾值對風險變化指標值和控制結果值的設定，商業銀行相關管理人員需要一個長期關注、采集、分析、積累的過程。最后，操作風險與控制自我評估結果不準確。沒有積累損失數據，內外部檢查結果不共享，受評估人員的閱歷、知識結構、工作經驗的限制，操作風險與控制自我評估工作嚴重依賴于評估人員的個人經驗、主觀判斷，評估結果存在不準確的現象。

四、完善商業銀行操作風險管理的對策

（一）加強操作風險管理體系建設，提高操作風險管理認知

操作風險管理體系建設是循序漸進的過程，商業銀行需通過不斷增強操作風險認知，持續優化管理基礎，合理保證各項業務活動和管理活動面臨的操作風險控制在可以承受的范圍內。首先，加強對操作風險管理概念及相關知識的傳導。商業銀行應營造操作風險管理須滲透全行經營活動的全過程、覆蓋各級條線部門、覆蓋全行人員，由全體人員執行的企業文化，加強操作風險文化的傳導，提高全員對操作風險的認識。其次，確立操作風險覆蓋全行經營過程的理念。商業銀行應灌輸操作風險覆蓋全行經營管理過程各環節的意識，糾正操作不僅存在于前臺柜面，而且覆蓋全行經營管理全過程各環節，推動全員主動防范操作風險，不發生操作風險損失事件就是創造價值等理念。再次，加強員工操作風險理論的培訓。傳導操作風險大多由人員操作引發，有章不循、制度執行不力，特別是信貸、類信貸業務不按制度執行、不按流程開展業務，留下風險隱患是目前操作風險損失發生的直接和關鍵原因。另外，需加強商業銀行人員操作風險知識和如何有效防范風險技巧的培訓，以增強風險意識和工具的有效使用。同時，操作風險主要防范的是內外部欺詐行為，這就需要強化員工行為管理，加強員工職業道德教育，在全行推行誠信與正直的職業操守價值觀念，提高全體員工的防范操作風險意識，努力營造“不敢違規、不能違規、不想違規”的工作氛圍，增強員工的責任意識，推動內部控制各項制度和流程步驟貫徹落實執行到位，有效提高防范操作風險能力。

（二）強化流程管理，及時變更流程信息

商業銀行無論是內部控制還是操作風險管理，無論是外部營銷還是內部運營，所有活動都是通過流程實現的，因此內部控制和薄弱環節和操作風險隱患都隱藏在流程之中。所以，商業銀行的內部控制管理和操作風險管理都應以風險識別為切入點和前提，以流程梳理為抓手，將制度分解到環節、流程梳理到環節、風險識別到環節、控制活動到環節、監督糾正到環節，并結合商業銀行的經營戰略、管理理念、外部經濟發展趨勢，持續、及時地進行流程信息的完善或更新，把責任目標具體落實到操作流程步驟的中，使流程管理更直觀、更清晰、更便于推廣和執行。通過流程能比較容易發現內部控制中的薄弱環節，持續加以整改，有利于執行標準統一的業務流程和管理流程的內部控制要求，更有利于推進商業銀行穩健高質量可持續發展。

（三）加強操作風險三大管理工具傳導和應用

不斷完善操作風險系統建設，保證操作風險三大管理工具的傳導和應用。建立與本行的業務性質、規模和產品復雜程度相適應的操作風險管理系統，系統性地收集、整理、跟蹤和各種問題相關數據并可以進行多維度分析，為操作風險管理運行奠定信息科技技術支持。首先，摒棄“家丑不外揚”的傳統思想，對操作風險損失事件和數據進行采集、匯總，定期對操作風險事件進行匯總分類、分析總結，對事件產生的原因，進行深刻剖析、舉一反三，起到以點帶面、相互借鑒的作用。其次，通過在系統中設置涵蓋商業銀行主要業務和管理流程、風險信息和控制信息的操作風險關鍵風險指標及其預警閾值，可以動態、持續地監測操作風險狀況及其控制措施實施的變化情況，實現風險的有效識別，及時為決策層做出決策提供數據支持，以便對顯現不良征兆的風險，快速采取相應的補救措施，從源頭上監控操作風險的發生。最后，逐步提高操作風險與控制自我評估評估結果的準確性。鼓勵商業銀行各級人員加入操作風險與控制評估工作中，促進多方面、不同知識結構管理人員積極參與，根據商業銀行自身現狀、基于內外部檢查結果、損失事件等歷史數據的分析，結合經濟形勢、業務發展等因素的變化做出綜合、全面的評估，以便如實反映評估部門風險管理現狀、內部控制措施設計和執行的有效性，從而提高評估結果的準確性。

五、結束語

內部控制管理是操作風險管理的基礎，操作風險的識別和管理工具運用是在商業銀行當前內部控制環境的基礎上進行的，其風險管理的組織、管理程序以及配套的績效考核制度都是嵌入在內部控制體系中運作。同時，通過操作風險管理三大工具的有效運作，并在系統中直觀地展現出來，易于發現控制薄弱環節，通過對薄弱環節的整改，對強化商業銀行內部控制管理有關鍵影響，能夠起到不斷持續提高內部控制管理水平作用。綜上，商業銀行的內部控制管理和操作風險管理能夠對商業銀行的經營管理起到相會推動，協同進步，共同提高的作用。