摘要：當前國內商業(yè)銀行操作風險管理的治標之術層出，治本之策乏力。本文認為，商業(yè)銀行要做好操作風險管理，必須變傳統(tǒng)的操作風險管理“自上而下”模式為“自下而上”模式，借助科技之力，打造功能強大的操作風險管理平臺，實現(xiàn)操作風險的動態(tài)管理與自我完善，才是商業(yè)銀行操作風險的標本兼治之道。

關鍵詞：商業(yè)銀行；操作風險管理

Abstract：Currently，the solution to operational risk of domestic commercial banks just reach the surface but not into the inter core，the author of this article holds that commercial banks shall alter the traditional operation risk management way of “up-bottom mode”to“bottom-up mode”，and with using modern technology，create a powerful platform ofoperational risk management，achieve the goal of dynamic management and self-improvement of operational risk，that is the real solution to operational risk of commercial bank.

Key Words：commercial banks，operational risk management

中圖分類號：F830.33文獻標識碼：A文章編號：1674-2265（2011）03-0074-04

當前，國內商業(yè)銀行對操作風險的認識和管理依然停留在“案件防范”、“加強檢查監(jiān)督”的傳統(tǒng)的“自上而下”的管理模式，防控的范圍和重點依然定位于銀行內外部的“欺詐性”違法行為和案件，對于來自銀行內部的流程風險、系統(tǒng)風險、人員風險及銀行外部事件風險的關注還不充分。本文認為，商業(yè)銀行要做好操作風險管理，必須變傳統(tǒng)的“自上而下”模式為“自下而上”模式，直接向一線人員征集風險信息，主動追蹤、處理操作風險事件，借助科技之力，打造功能強大的操作風險管理平臺，實現(xiàn)商業(yè)銀行操作風險的動態(tài)管理與自我完善。

一、商業(yè)銀行操作風險定義及分類

商業(yè)銀行所面臨的風險主要可分為信用風險、市場風險、操作風險三類。巴塞爾監(jiān)管委員會在《巴塞爾新資本協(xié)議》中指出，操作風險是由不完善或有問題的內部程序、人員及系統(tǒng)或外部事件所造成損失的風險。其中：流程因素引起的操作風險，主要是指業(yè)務運管過程中由于管理體制和制度的缺失、以及制度漏洞所造成的操作風險；人員因素引起的操作風險，泛指在商業(yè)銀行內部所有由于人員方面的原因給業(yè)務操作帶來的風險。具體到業(yè)務運行工作當中，可以分為操作失誤風險、違法行為風險以及核心人員流失帶來的風險；系統(tǒng)因素引起的操作風險，主要是核心系統(tǒng)、周邊系統(tǒng)自身或系統(tǒng)之間，因設計缺陷或其他原因導致的直接或間接風險，分為系統(tǒng)漏洞風險和系統(tǒng)失靈風險這兩個方面；外部事件引起的操作風險，主要是指因外部欺詐、突發(fā)事件以及銀行經(jīng)營環(huán)境的不利變化等情況的沖擊，導致銀行發(fā)生直接或間接損失的風險。

巴塞爾委員會將典型的操作風險事件分為七大類：一是內部欺詐事件，指故意騙取、盜用財產(chǎn)或違反監(jiān)管規(guī)章、法律或公司政策導致的損失事件，此類事件至少涉及內部一方，但不包括歧視及差別待遇事件。二是外部欺詐事件，指第三方故意騙取、盜用、搶劫財產(chǎn)、偽造要件、攻擊商業(yè)銀行信息科技系統(tǒng)或逃避法律監(jiān)管導致的損失事件。三是就業(yè)制度和工作場所安全事件，指違反就業(yè)、健康或安全方面的法律或協(xié)議，個人工傷賠付或者因歧視及差別待遇導致的損失事件。四是客戶、產(chǎn)品和業(yè)務活動事件，指因未按有關規(guī)定造成未對特定客戶履行份內義務（如誠信責任和適當性要求）或產(chǎn)品性質或設計缺陷導致的損失事件。五是實物資產(chǎn)的損壞，指因自然災害或其他事件（如恐怖襲擊）導致實物資產(chǎn)丟失或毀壞的損失事件。六是信息科技系統(tǒng)事件，指因信息科技系統(tǒng)生產(chǎn)運行、應用開發(fā)、安全管理以及由于軟件產(chǎn)品、硬件設備、服務提供商等第三方因素，造成系統(tǒng)無法正常辦理業(yè)務或系統(tǒng)速度異常所導致的損失事件。七是執(zhí)行、交割和流程管理事件，指因交易處理或流程管理失敗，以及與交易對手方、外部供應商及銷售商發(fā)生糾紛導致的損失事件。

二、國內商業(yè)銀行操作風險管理存在的問題

目前，國內商業(yè)銀行對操作風險的認識和管理還停留在較為膚淺的層次，完整有效的操作風險管理體系框架尚未建立，即使是計劃實施新資本協(xié)議的商業(yè)銀行，其操作風險管理的思路亦不例外：識別（根據(jù)監(jiān)管分類列出操作風險事件類型）、評估（定期進行操作風險自我評估）、計量（損失數(shù)據(jù)收集）、控制（根據(jù)自我評估存在的問題并進行糾正）、監(jiān)測（審計部門持續(xù)監(jiān)測）。但是，按照上述思路進行操作風險管理，實際效果卻不盡理想，其主要原因在于：

一是操作風險識別“以點概面”。操作風險點無所不在、數(shù)量龐大、層出不窮，現(xiàn)有的分類其實只是滄海一粟。理論上說，操作風險點當然是可以動態(tài)擴張的，但由于局部私利、信息不對稱、操作風險隱蔽性等原因，不可能全部列出。商業(yè)銀行要管理好操作風險，應做到“實時報告蟻穴狀況，確保有及時足夠的沙袋堵住漏洞”。

二是操作風險控制“職責不清”、“執(zhí)行不力”。由于操作風險涉及面廣，風險類型復雜，專業(yè)能力要求較高，目前國內商業(yè)銀行操作風險模式實際上多為各職能部門分散管理，有些銀行雖聲稱將操作風險納入全面風險管理統(tǒng)一管理，實際上全面風險管理部門僅是進行形式上的牽頭管理，實際管理職責仍落相關職能部門。涉及人員的操作風險主要由人力資源部管理， 涉及系統(tǒng)的操作風險主要由科技部門管理， 涉及外部事件的操作風險主要由安全保衛(wèi)、后勤服務等部門管理， 涉及流程的操作風險由各所有業(yè)務及管理部門共同管理。各職能部門既是制度的制定者，又是制度的執(zhí)行者，導致政出多門、各自為政。

三是操作風險監(jiān)測“形同虛設”。國內商業(yè)銀行風險監(jiān)測工作主要由審計部門或是風險部門負責，風險監(jiān)測主要依靠各級風險監(jiān)測人員的經(jīng)驗和直覺，往往是發(fā)生案件后，才開始突擊檢查、查找漏洞、處理有關責任人，風險監(jiān)測人員主動發(fā)現(xiàn)風險的能力不強，被動式、運動式、臨時性的監(jiān)測活動占據(jù)主流。此外，由于考核激勵機制的原因，部分銀行分支機構對大量損失較小的操作風險采取“就地消化”的策略，對損失較大的操作風險采取“過濾加工”的策略，形成“隱瞞文化”，導致操作風險信息在銀行內部不能真實、全面、及時上傳，風險監(jiān)測形同虛設。

三、商業(yè)銀行操作風險體系的構建

操作風險實際上是一種全流程風險，只要有業(yè)務、有行動，就會存在人員誤操作或流程設計不當或系統(tǒng)出錯等風險，而且，操作風險還會隨著業(yè)務的發(fā)展而實時變化。操作風險的這種特性，決定了商業(yè)銀行過去的那種“自上而下”的管理，天然是一種“低效管理”。因此，商業(yè)銀行要做好操作風險管理，必須變傳統(tǒng)的“自上而下”管理為“自下而上”管理。真實的風險信息，最權威、最及時、最有效的來源途徑，一定是直接接觸業(yè)務、直接接觸客戶的人員，商業(yè)銀行應將操作風險管理扁平化，直接向商業(yè)銀行所有個體員工采集操作風險信息，主動追蹤、處理操作風險事件。商業(yè)銀行操作風險管理系統(tǒng)各個組成模塊具體要求如下：

（一）操作風險信息收集

商業(yè)銀行應打造功能強大的操作風險管理平臺，對全行所有人員開放，允許任何與工作相關的不滿意見或完善建議，直接在意見建議中心提交。這些意見建議經(jīng)過后續(xù)的篩選、處理、反饋、固化流程，為商業(yè)銀行自我完善提供源源不斷的動力。提交信息人員可自由選擇實名或匿名兩種方式，系統(tǒng)應默認匿名方式，以保護信息提交人員的人身安全，防止打擊報復。提交信息人員應填寫基本信息，必填項包括：姓名、銀行卡號。其中：商業(yè)銀行應確?！靶彰表椪鎸?，以防止惡意人身攻擊、無中生有的舉報等，但是，商業(yè)銀行應確保操作風險信息系統(tǒng)中的個人資料絕對保密。

（二）操作風險信息有效性判斷

商業(yè)銀行應在總行風險管理部設置操作風險管理崗對風險信息進行有效性判斷，過濾掉與工作無關的、已處理過的風險信息，將有價值信息轉入處理流程。操作風險管理系統(tǒng)應內置即時通訊工具，對信息提交者未表述明確的風險信息進行溝通明確?？傂酗L險管理部門設置操作風險崗應判斷風險信息職責所屬，交主辦部門或相關分支機構處理，并應將風險信息進行分類，為后續(xù)統(tǒng)計分析、風險評估作準備。

（三）操作風險事件處理

接受交辦的機構提出處理或整改意見，交具體經(jīng)辦處理；具體經(jīng)辦經(jīng)機構負責人同意后及時填寫處理結果。系統(tǒng)設置辦理時間提醒，具體經(jīng)辦人員每隔4小時/8小時/24小時/48小時收到辦理時間提醒，超過48小時收到催辦提醒。若接受交辦的機構對部門職責有異議，認為不應由其主辦的，應說明理由，并轉辦相關部門。若轉辦部門不明確或有爭議的，提交商業(yè)銀行機構職責管理部門裁定，若仍不明確或有爭議的，提交行領導裁定。

上述處理流程均應公開透明，借助公眾的監(jiān)督評價，可以切實提高相關處理人員及機構的重視程度，確保處理的效率及質量，杜絕敷衍了事、推諉拖沓的現(xiàn)象。

（四）操作風險處理情況跟蹤

主辦部門應根據(jù)處理情況，及時提交處理進度匯報；若在設定的時限內，主辦部門未反饋處理情況的，操作風險管理系統(tǒng)應自動發(fā)送催辦函件，若催辦后一定時限仍未得到反饋意見的，操作風險管理系統(tǒng)應定期生成未及時處理項目名單，由操作風險管理崗聯(lián)系主辦部門確認情況，有必要的，可提交上級領導反映情況。

商業(yè)銀行應為優(yōu)秀的建議意見設立專項資金，根據(jù)建議意見的質量，對意見提出者進行物質獎勵，只要是對商業(yè)銀行流程優(yōu)化、制度完善、增收減損有幫助的建議意見，均應得到物質獎勵；商業(yè)銀行操作風險系統(tǒng)應與網(wǎng)銀系統(tǒng)自動響應，操作風險系統(tǒng)應每日對得到物質獎勵的員工進行批量自動劃帳，并進行獎勵提示，以提高員工貢獻建議意見的積極性。

（五）操作風險處理情況評價

主辦機構處理結果在系統(tǒng)中實時展現(xiàn)，商業(yè)銀行所有人員均有評價權，但一名人員僅允許體現(xiàn)一個評價結果，評價結果可修改。處理情況評價：時效（快/中等/慢）、效果（好/一般/差）、滿意度（滿意/一般/不滿），系統(tǒng)自動計算時效、效果、滿意度比例。根據(jù)滿意度不同采取不同處理結果。例如滿意度達到80%的，作辦結處理，滿意度低于20%的，發(fā)回原主辦機構重辦；重辦后仍達不到辦結標準的，提交上級領導裁定。與部門考評掛鉤?？紤]到管理職責越多，被提出意見的可能性越大（例如：風險管理部門），管理職責少的部門，被提出意見的可能性較小（例如：機關工會）。因此，在進行部門考評時，應區(qū)分部門類型進行差別考核（例如:分類為前臺營銷部門、中臺管理部門、后臺支持部門），主要考核滿意度指標，同時，對業(yè)務量較大的機構適當給予加分。

（六）操作風險成果運用

商業(yè)銀行意見建議的主辦機構對意見建議的處理，不應就事論事、簡單整改了事，而應舉一反三，根據(jù)風險處理結果修正現(xiàn)有流程或制度，達到業(yè)務流程不斷優(yōu)化、政策制度適時調整、操作規(guī)范簡明展現(xiàn)的目的。因此，操作風險管理平臺應設置“操作規(guī)范中心”，該中心包括“制度系統(tǒng)”及“操作系統(tǒng)”，根據(jù)改進建議形成良性映射，不斷循環(huán)優(yōu)化。

操作規(guī)范中心應內嵌“制度系統(tǒng)”，提供制度查詢、制度制定及制度修訂功能，主辦機構對建議意見進行處理，形成處理方案后，需要以制度形式對管理要求進行固化的，可直接在制度系統(tǒng)中申請制度局部更替或是起草新的管理制度，經(jīng)有權人批準后，系統(tǒng)自動將新舊制度進行替換，確保制度查詢人員在系統(tǒng)中查詢到的是最新有效的制度及管理要求。

“制度系統(tǒng)”應配合“操作系統(tǒng)”使用，將零散、分割的制度轉化為流程化、完整的管理要求，每個崗位的工作人員僅需輸入崗位名稱，系統(tǒng)就自動提示崗位職責、操作規(guī)范、風控要點。主辦機構修訂或制定制度后，即應同步更新操作系統(tǒng)，確保系統(tǒng)展示的管理要求、操作規(guī)范實時有效。

（七）操作風險事件后臺分析處理

1. 操作風險事件庫管理。操作風險種類繁多，為實現(xiàn)操作風險的針對性管理，商業(yè)銀行可參考巴塞爾協(xié)議損失事件類型，對操作風險進行三級細分，確保所有風險信息對應的風險問題得到準確分類。由于操作風險事件繁雜、操作風險分類需要統(tǒng)一標準，分類專業(yè)性要求較高，因此，該項分類工作應由總行操作風險管理崗負責。商業(yè)銀行進行操作風險分類后，將能夠直觀展現(xiàn)商業(yè)銀行操作風險薄弱環(huán)節(jié)，為商業(yè)銀行針對性加強相關領域操作風險管理，提供明確指向。

2. 操作風險評估。商業(yè)銀行應定期評估銀行操作風險情況，提交總行決策管理層審議，為管理層采取操作風險控制措施、配置操作風險管理資源提供決策依據(jù)。具體做到：

（1）風險狀況評價：總行操作風險職能機構應定期評價商業(yè)銀行操作風險狀況，揭示銀行操作風險整體情況、主要風險源及風險的發(fā)展趨勢、值得關注的風險點等，使得總行決策管理層清楚知道銀行操作風險狀況及薄弱環(huán)節(jié)，為制定實施有效的操作風險的控制策略提供支持。

（2）修正情況報告：報告操作風險控制成效，包括：一段時間內收集操作風險信息數(shù)量及同比變化情況，操作風險事件整改數(shù)量及進程，挽回損失金額或優(yōu)化流程效果評價，操作風險事件整改相應調整商業(yè)銀行基礎制度、操作流程的數(shù)量及情況等。

（3）管理措施評價：分析風險事件所映射的流程環(huán)節(jié)及暴露的控制薄弱點、評價操作風險主辦機構操作風險控制措施的主動性、有效性、效率及效果、報告操作風險事件整改的員工滿意度及整改不力的原因分析與解決方案建議等。

3. 操作風險計量。商業(yè)銀行應根據(jù)銀監(jiān)會《商業(yè)銀行操作風險監(jiān)管資本計量指引》，建立全行性的操作風險關鍵監(jiān)測指標，例如：“內部欺詐事件數(shù)”、“外部違規(guī)事件發(fā)生率”、“操作風險損失率”和“綜合人均發(fā)案率”、“百萬元以上案件發(fā)案件數(shù)”，對操作風險事件進行分析跟蹤，一旦發(fā)現(xiàn)關鍵風險指標異動，應立即采取針對性的措施，追查異動深層次原因，加強相關領域操作風險的關注及防控。

為明確展現(xiàn)商業(yè)銀行操作風險造成的損失及挽回損失情況，商業(yè)銀行應對損失及損失挽回數(shù)據(jù)進行統(tǒng)計。應責成操作風險事件責任部門，按規(guī)范性要求統(tǒng)計風險損失金額及風險挽回金額，損失事件一經(jīng)發(fā)生，均需納入統(tǒng)計。

四、商業(yè)銀行操作風險管理展望

雖然操作風險事件紛繁復雜，但管理并非沒有規(guī)律可循，關鍵是要從業(yè)務和管理實際出發(fā)，透過現(xiàn)象看本質。無論是業(yè)務差錯、產(chǎn)品缺陷，還是違規(guī)操作、貪污受賄，都是操作風險事件的表現(xiàn)形式，核心問題都是業(yè)務流程或制度的完善。由于業(yè)務流程及制度滲透到銀行的方方面面，要真正完善好業(yè)務流程及制度，商業(yè)銀行應該鼓勵操作風險問題的暴露和糾正。實際上，任何個體都不會獨立存在，任何行動也都會與他人產(chǎn)生聯(lián)系，操作風險事件一般都會或多或少地被他人員獲知。如果這些風險苗頭、風險信息能夠及時傳導到操作風險管理機構，并在公眾的監(jiān)督下得到有效控制或整改，那么，勢必將消滅數(shù)量眾多的操作風險，大大減少商業(yè)銀行的操作風險損失。展望未來，若國內銀行業(yè)金融機構能夠打造高效實用的操作風險管理平臺，以“自下而上”思維管理操作風險，就一定能夠實現(xiàn)操作風險的動態(tài)管理，實現(xiàn)商業(yè)銀行操作風險的標本兼治。

參考文獻：

[1]巴塞爾銀行監(jiān)管委員會.巴塞爾銀行監(jiān)管委員會文獻匯編[M].北京：中國金融出版社，2002.

[2]宋懿，趙琳. 國有商業(yè)銀行操作風險成因及對策分析[J].齊魯珠壇， 2010，（3） .

[3]徐學鋒.商業(yè)銀行操作風險管理現(xiàn)狀及建議[J]. 武漢金融，2009，（2） .

（責任編輯 孫 軍）