操作风险

银行办理业务或内部管理出了差错，必须做出补偿或赔偿；法律文书有漏洞，被人钻了空子；内部人员监守自盗，外部人员欺诈得手；电子系统硬件软件发生故障，网络遭到黑客侵袭；通信、电力中断；地震、水灾、火灾、恐怖袭击；等等，所有这些，都会给商业银行带来损失。这一类的银行风险，被统称为操作风险。巴塞尔银行监管委员会对操作风险的正式定义是：操作风险是指由于不完善或有问题的内部操作过程、人员、系统或外部事件而导致的直接或间接损失的风险，这一定义包含了法律风险，但是不包含策略性风险和声誉风险。

英国银行家协会(BritishBankerAssociation,BBA，1997)最早给出了操作风险的定义，他们认为：操作风险与人为失误、不完备的程序控制、欺诈和犯罪活动相联系，它是由技术缺陷和系统崩溃引起的。经过广泛的讨论和争论，1998年5月，IBM(英国)公司发起设立了第一个行业先进思想管理论坛----操作风险论坛，在这个论坛上，将操作风险定义为：操作风险是遭受潜在损失的可能，是指由于客户、设计不当的控制体系、控制系统失灵以及不可控事件导致的各类风险。损失可能来自于内部或外部事件、宏观趋势以及不能为公司决策机构和内部控制体系、信息系统、行政机构组织、道德准则或其他主要控制手段和标准所洞悉并组织的变动。它不包括已经存在的其他风险种类如市场风险、信用风险及决策风险。通过这次会议，上述结论性的定义开始为多数银行所接受。巴塞尔委员会关于操作风险的定义也是建立在这个基础之上的。

根据《巴塞尔新资本协议》，操作风险可以分为由人员、系统、流程和外部事件所引发的四类风险，并由此分为七种表现形式：内部欺诈，外部欺诈，聘用员工做法和工作场所安全性，客户、产品及业务做法，实物资产损坏，业务中断和系统失灵，交割及流程管理。现在，操作风险受到国际银行业界的高度重视。这主要是因为，银行机构越来越庞大，它们的产品越来越多样化和复杂化，银行业务对以计算机为代表的IT技术的高度依赖，还有金融业和金融市场的全球化的趋势，使得一些“操作”上的失误，可能带来很大的甚至是极其严重的后果。过去一二十年里，这方面已经有许多惨痛的教训。巴林银行的倒闭就是一个令人怵目惊心的例子。

 巴塞尔银行监管委员会对操作风险的正式定义是：由于内部程序、人员和系统的不完备或失效，或由于外部事件造成损失的风险。按照发生的频率和损失大小，巴塞尔委员会将操作风险分为七类：

（1）内部欺诈。有机构内部人员参与的诈骗、盗用资产、违犯法律以及公司的规章制度的行为。

（2）外部欺诈。第三方的诈骗、盗用资产、违犯法律的行为。

（3）雇用合同以及工作状况带来的风险事件。由于不履行合同，或者不符合劳动健康、安全法规所引起的赔偿要求。

（4）客户、产品以及商业行为引起的风险事件。有意或无意造成的无法满足某一顾客的特定需求,或者是由于产品的性质、设计问题造成的失误。

（5）有形资产的损失。由于灾难性事件或其他事件引起的有形资产的损坏或损失。

（6）经营中断和系统出错。例如，软件或者硬件错误、通信问题以及设备老化。

（7）涉及执行、交割以及交易过程管理的风险事件。例如，交易失败、与合作伙伴的合作失败、交易数据输入错误、不完备的法律文件、未经批准访问客户账户，以及卖方纠纷等。

与信用风险、市场风险相比，操作风险具有以下特点：

（1）操作风险中的风险因素很大比例上来源于银行的业务操作,属于银行可控范围内的内生风险。单个操作风险因素与操作损失之间并不存在清晰的、可以界定的数量关系。

（2）从覆盖范围看，操作风险管理几乎覆盖了银行经营管理所有方面的不同风险。既包括发生频率高、但损失相对较低的日常业务流程处理上的小纰漏，也包括发生频率低、但一旦发生就会造成极大损失，甚至危及到银行存亡的自然灾害、大规模舞弊等。因此，试图用一种方法来覆盖操作风险的所有领域几乎是不可能的。

（3）对于信用风险和市场风险而言，风险与报酬存在一一映射关系，但这种关系并不一定适用于操作风险。

（4）业务规模大、交易量大、结构变化迅速的业务领域，受操作风险冲击的可能性最大。

（5）操作风险是一个涉及面非常广的范畴，操作风险管理几乎涉及银行内部的所有部门。因此，操作风险管理不仅仅是风险管理部门和内部审计部门的事情。

近期，国内有人对中国的操作风险进行了实证分析。根据研究结果，中国商业银行操作风险的主要特征大概可以总结为：

（1）损失事件主要集中在商业银行业务和零售银行业务,主要可以归因于内部欺诈、外部欺诈,占到损失事件比例最大的是商业银行业务中的内部欺诈。

（2）单笔损失金额的均值相差很大，在度量操作风险时，应该分别考虑每个业务部门和每个风险事件组合下的损失分布情况。

（3）损失事件的多少与银行的总资产规模成正相关，但损失金额多少与总资产没有明显的相关性。

（4）从损失事件数目和损失金额的地区分布看，操作风险不一定发生在经济发达的分支机构,但是肯定会发生在管理薄弱、风险控制意识不强的地区。

中国商业银行当前操作风险主要原因

1、公司治理结构不健全。一是所有者虚位，导致对代理人监督不够。二是内部制衡机制不完善。董事会、监事会、经营管理层之间的制衡机制还未真正建立起来。三是存在“内部人”控制现象。由于国有商业银行所有者虚位，很容易导致银行高管人员利用政府产权上的弱控制而形成事实上的“内部人”控制，进行违法违纪活动。四是内部控制能力逐级衰减。国有商业银行的“五级”直线式管理架构，由于内部管理链条过长，信息交流不对称，按照“变压器”原理，总行对分支机构的控制力层层衰减，管理漏洞比较多。

2、内控制度建设尚不完备。一是没有形成系统的内部控制制度，控制不足与控制分散并存，业务开拓与内控制度建设缺乏同步性，特别是新业务的开展缺乏必要的制度保障，风险较大。二是内控制度的整体性不够。对所属分支机构控制不力，对决策管理层缺乏有效的监督。对业务人员监督得多，而对各级管理人员监督得较少、制约力不强。三是内控制度的权威性不强。审计资源配置效率低下，稽核审计职能和权威性没有充分发挥，内部审计部门没有完全起到查错防漏、控制操作风险的作用。

3、风险管理方法落后，信息技术的运用严重滞后。

4、员工队伍管理不到位。银行管理人员在日常工作中重业务开拓，轻队伍建设；重员工使用，轻员工管理，对员工思想动态掌握不够，加之举报机制不健全，使本来可以超前防范的操作风险不能及时发现和制止。

5、与风险控制有冲突的考核激励政策容易诱导操作风险。

6、社会转型及银行变革容易引发操作风险。社会治安形势仍然严峻，针对银行的抢劫、诈骗、盗窃等犯罪时有发生。从银行内部来看，国有银行正在进行股改，伴随机构撤并，也带来了大量富余人员消化问题，并导致各种矛盾的尖锐化。

（一）加大改革力度

1、建立完善的公司法人治理结构。中国商业银行要建立规范的股东大会、董事会、监事会制度，设立独立董事，构建以股东大会－董事会－监事会－行长经营层之间的权力划分和权力制衡有效结构，通过高级管理层权力制衡，抑制“内部人”控制、“道德风险”的发生。

2、按照“机构扁平化、业务垂直化”的要求，推进管理架构和业务流程再造，从根本上解决操作风险的控制问题。

3、改革考核考评办法。正确引导分支机构在调整结构和防范风险的基础上提高经营效益，防止重规模轻效益。要合理确定任务指标，把风险及内控管理纳入考核体系，切实加强和改善银行审慎经营和管理，严防操作风险。不能制定容易引发偏离既定经营目标或违规经营的激励机制。

（二）不断完善内部控制制度

商业银行在坚持过去行之有效的内部控制制度的同时，要把握形势，紧贴业务，不断研究新的操作风险控制点，完善内部控制制度，及时有效地评估并控制可能出现的操作风险，把各种安全隐患消除在萌芽状态。

当前，重点要在以下七个方面完善内部控制制度：一是建立相应的授权体系，实行统一法人管理和法人授权；二是建立必要的职责分离，以及横向与纵向相互监督制约关系的制度；三是明确关键岗位、特殊岗位、不相容岗位及其控制要求；四是对于重要活动应实施连续记录和监督检查；五是对于产品、组织结构、流程、计算机系统的设计过程，应建立有效的控制程序；六是建立信息安全管理体系，对硬件、操作系统和应用程序、数据和操作环境，以及设计、采购、安全和使用实施控制；七是建立并保持应急预案和程序，确保业务持续开展。

（三）全面落实操作风险管理责任制

首先，要通过层层签订防范操作风险责任合同，使风险防范责任目标与员工个人利益直接挂钩，形成各级行一把手负总责，分管领导直接负责，相关部门各司其职、各负其责，一线员工积极参与的大防范工作格局。其次，要真正落实问责制。要明确各级管理者及每位操作人员在防范操作风险中的权力与责任，并进行责任公示。今后银行发生大案，既要有人及时问责，又要深入追查事件责任人。对出现大案、要案，或措施不得力的，要从严追究高管人员和直接责任人的责任，并相应追究检查部门、审计部门及人员对检查发现的问题隐瞒不报、上报虚假情况或检查监督整改不力的责任。

（四）切实改进操作风险管理方法

1、不断摸索，逐步完善操作风险计量方法。虽然对操作风险的计量还没有一个十分完善的方法，但是随着商业银行全面风险管理的深入开展，准确计量操作风险并计提准备金是一个必然的发展趋势。

2、加强信息技术应用。在数据大集中的进程中，要加强业务系统操作平台建设，全面查找设计上的漏洞，完善系统软件。

3、建立健全操作风险识别和评估体系。要借鉴国际先进经验并运用现代科技手段，逐步建立覆盖所有业务类别操作风险的监控、评价和预警系统，识别和评估所有当前和未来潜在的操作风险及其性质。

4、建立和完善内部信息交流制度。针对20世纪的管理人员带头实施违规，强迫命令下属违规操作，形成案件和资金风险的问题，银行要建立和完善员工举报制度，依靠和发动一线员工，鼓励检举违法违规问题，坚决遏制各类案件特别是大案要案的高发势头。

（五）加强人员管理

一是要牢固树立以人为本的经营思想，充分发动和依靠广大员工抓好操作风险管理工作。

二是加强思想政治教育。要深入开展矛盾纠纷和不安定因素排查化解工作，多方面、多层次将矛盾纠纷和不安定因素化解在单位内部和萌芽状态。

三是加强风险意识教育。要坚持不懈地进行安全形势教育、典型案例教育、规章制度教育，提高全行员工安全防范意识和遵纪守法观念。

四是要及时、深入了解重要岗位人员工作、生活情况，掌握思想和行为变化动态，对行为失范的员工要及时进行教育疏导和诫免谈话，情节严重的，要严肃处理。 ^[1]