戴 磊

(恒豐銀行股份有限公司，山東 濟南 250000)

一、引言

隨著我國的金融市場競爭日益激烈，為迎合人們豐富多樣的金融需求，我國商業(yè)銀行的業(yè)務領域不斷延伸，業(yè)務范圍不斷擴大，金融產(chǎn)品種類不斷豐富，操作風險的發(fā)生率也隨之提高，對銀行的聲譽和形象造成不可低估的影響，嚴重時還會造成銀行經(jīng)營效益的損失，對經(jīng)濟社會造成負面影響。目前，商業(yè)銀行操作風險防控已成為各家商業(yè)銀行重點關注的問題。我國商業(yè)銀行該如何有效地防范存在的操作風險，正是本文所要研究探討的。

二、操作風險定義、分類及主要特點

1.操作風險定義

國際銀行業(yè)的監(jiān)管機構(gòu)——巴塞爾銀行監(jiān)管委員會在2004年新《巴塞爾協(xié)議》中從監(jiān)管角度定義操作風險，即“由于內(nèi)部程序、人員、系統(tǒng)不充分或者運行失當，以及因為外部事件的沖擊等導致直接或間接損失的可能性”。我國銀行業(yè)監(jiān)管機構(gòu)——原銀監(jiān)會在2007年發(fā)布的《商業(yè)銀行操作風險管理指引》中定義操作風險是指“由不完善或有問題的內(nèi)部程序、員工和信息科技系統(tǒng)，以及外部事件所造成損失的風險。本定義所指操作風險包括法律風險，但不包括策略風險和聲譽風險”。該定義基本與巴塞爾銀行監(jiān)管委員會定義一致。

2.操作風險分類

從商業(yè)銀行的角度出發(fā)，操作風險是指商業(yè)銀行由于受到內(nèi)部程序或系統(tǒng)缺陷、內(nèi)部人員誤操作以及各種突發(fā)情況造成的銀行風險。通過對商業(yè)銀行近年來發(fā)生的操作風險案件進行研究，結(jié)合造成操作風險的原因，共分析出以下幾種類型。一是詐騙風險，包括內(nèi)部詐騙和外部詐騙。內(nèi)部詐騙是指內(nèi)部員工利用職位之便，違反法律法規(guī)，以權(quán)謀私，私自盜取銀行公共資產(chǎn)，或與外部其他人員勾結(jié)，故意泄露銀行機密要聞，謀取銀行公共資產(chǎn)；外部詐騙是指與銀行存在往來業(yè)務的第三方機構(gòu)，蓄意隱瞞實際情況、違法違規(guī)盜取銀行財務導致的風險。二是環(huán)境風險，是指員工進行工作活動的場所存在較為嚴重的安全隱患，造成的安全事故類風險。三是業(yè)務流程風險，包括內(nèi)部和外部風險。內(nèi)部風險是指客戶在業(yè)務管理過程中進行的有意、無意違規(guī)風險操作；外部風險是指操作人員誤操作或商業(yè)銀行業(yè)務自身流程缺陷所造成的損失風險。四是有形資產(chǎn)風險，是指因人為、自然等多種原因造成銀行內(nèi)部有形資產(chǎn)的折損折舊。五是系統(tǒng)風險，是指因系統(tǒng)突發(fā)癱瘓故障、系統(tǒng)出現(xiàn)漏洞被攻擊等造成的損失。六是文件傳遞風險，是指文件在保管、傳遞過程中，因流程漏洞或管理不當使文件泄露造成的損失。

3.主要特點

商業(yè)銀行操作風險主要存在以下特點。一是頻次高。商業(yè)銀行操作風險的種類多樣，主要的產(chǎn)生對象為銀行員工，產(chǎn)生對象數(shù)量眾多，且產(chǎn)生方式五花八門，故操作風險在商業(yè)銀行中發(fā)生的頻次極高，高于其他商業(yè)銀行風險。二是范圍廣。操作風險存在于商業(yè)銀行經(jīng)營管理、業(yè)務運行的各個環(huán)節(jié)、各個領域、各個部門，任何環(huán)節(jié)的疏漏都容易造成操作風險，故操作風險的發(fā)生范圍極廣。三是難發(fā)現(xiàn)。因商業(yè)銀行的業(yè)務經(jīng)營相較于其他行業(yè)對于信息的脫敏性較強，存儲的客戶信息等數(shù)據(jù)安全加密要求較高，部分操作風險發(fā)生后影響不是立刻顯現(xiàn)的，故操作風險有時很難被發(fā)現(xiàn)。四是影響可控。雖然操作風險極易發(fā)生且難以發(fā)現(xiàn)，但多數(shù)的操作風險影響較小，帶來的經(jīng)濟損失以及影響也具有可控性，通過有效的操作風險防控措施可以減少甚至于避免風險的發(fā)生。

三、商業(yè)銀行操作風險影響因素

1.人員因素

商業(yè)銀行操作風險的主要引發(fā)者為操作人員。原因主要有三。一是我國大部分商業(yè)銀行基層操作人員的學歷參差不齊，專業(yè)技能良莠不齊，在人員入職前也未設定統(tǒng)一的準入標準，導致柜面操作水平較差，很多基層人員甚至未進行基礎培訓就上崗操作，現(xiàn)學現(xiàn)用；同時，基層人員大多只專工于某一條線業(yè)務，對于大多數(shù)銀行業(yè)務不是很了解，極其缺乏復合型人才。二是基層人員長期接觸巨量貨幣，一旦缺乏職業(yè)素養(yǎng)，容易被欲望沖昏頭腦，被利益引誘，通過違法違規(guī)手段獲得不當收益，故意為之的操作風險。三是操作人員對操作風險認知的缺乏，缺少操作風險的識別意識和防范意識，在業(yè)務處理過程中難以識別出操作風險，極易引發(fā)由操作風險造成的損失。

2.組織結(jié)構(gòu)因素

因我國商業(yè)銀行的發(fā)展歷程較短，目前我國商業(yè)銀行還停留在更為重視信用市場風險的階段，對操作風險的整體監(jiān)管力度不夠，缺少專業(yè)獨立機構(gòu)對商業(yè)銀行操作風險進行監(jiān)管，故操作風險監(jiān)管尚未形成統(tǒng)一的監(jiān)管標準和監(jiān)管體系，沒有專業(yè)機構(gòu)可以對商業(yè)銀行的操作風險進行客戶評價或評級，在外部市場監(jiān)管上很難控制。此外，我國商業(yè)銀行大多為總、分、支的機構(gòu)設置，各個分行自行管理轄內(nèi)機構(gòu)，互不干涉?？傂械墓芾砣蝿针y以有效地覆蓋到所有分支機構(gòu)，執(zhí)行力較低，監(jiān)管力度較差，易造成操作風險。

3.內(nèi)控因素

我國商業(yè)銀行均設置有相應的內(nèi)控機制，風險事件突發(fā)時內(nèi)控管理部門會采取對應處理措施。但目前商業(yè)銀行多數(shù)業(yè)務的開展是在分支機構(gòu)，其中產(chǎn)生操作風險的概率也較大。一是部分分支機構(gòu)未成立獨立的內(nèi)控監(jiān)管部門，或部門內(nèi)部缺少專業(yè)內(nèi)控人才，內(nèi)控機制效果甚微；二是我國商業(yè)銀行操作風險監(jiān)管規(guī)章制度較為分散，未進行統(tǒng)一歸集，權(quán)威性較低，只針對于內(nèi)部監(jiān)管，范圍較?。蝗侨狈ν暾谋O(jiān)管統(tǒng)計數(shù)據(jù)和操作風險內(nèi)控監(jiān)管系統(tǒng)，難以加強監(jiān)管力度。

4.流程因素

業(yè)務流程過程也是操作風險容易發(fā)生的節(jié)點之一。隨著居民生活水平的不斷提高，對金融產(chǎn)品的需求也日益多樣化，促使我國商業(yè)銀行的金融產(chǎn)品和金融服務不斷創(chuàng)新，從而產(chǎn)生了更多新產(chǎn)品的業(yè)務流程。但我國商業(yè)銀行系統(tǒng)軟硬件等基礎設施發(fā)展較為落后，智能技術(shù)引進階段較晚，在新產(chǎn)品功能業(yè)務流程設計的初期，對業(yè)務流程操作風險的防范節(jié)點考慮不夠全面，系統(tǒng)控制不夠嚴密，新產(chǎn)品功能上線后易引發(fā)操作風險。此外，新業(yè)務上線后，審批流程會更為簡單、便捷，相關管理監(jiān)測流程未完善，制度流程也不夠詳細規(guī)范，易造成操作風險的發(fā)生。

四、商業(yè)銀行操作風險管理問題

1.操作風險管理體系不健全

目前大多數(shù)商業(yè)銀行都建立了操作風險管理體系，但是在商業(yè)銀行運營的實際風險管理中，很難實際運用與落實操作風險管理體系，操作風險管理體系并沒有起到實質(zhì)性的作用。這也與操作風險管理體系的不健全有較大關系，商業(yè)銀行的操作風險管理不僅僅是事前的稽核、審查等事前預防，還應同樣嚴格關注事中防范、事后監(jiān)測。同時，為適應商業(yè)銀行的轉(zhuǎn)型發(fā)展及業(yè)務范圍的擴大，操作風險管理體系不應較長時間停留在一個階段，不能只一味地對操作風險事件數(shù)據(jù)進行分析歸納總結(jié)，還應對銀行經(jīng)營的全流程進行全面的管理監(jiān)測，需要全行各部門的共同推進落實。

2.操作風險管理基礎較為薄弱

我國商業(yè)銀行操作風險管理體系的發(fā)展歷程較短，有關操作風險的管理經(jīng)驗、理論依據(jù)都較為欠缺，缺少較為雄厚的管理基礎和專業(yè)管理人才。對于銀行高層的管理能力要求較高，需要具有評定、監(jiān)督、辨別等推動作用，并將其作為重要的評判標準確定決策是否健全，同時準確的測定方式及合理的管理機制也是重要的基礎。薄弱的操作風險管理基礎使我國商業(yè)銀行的操作管理缺少完整、統(tǒng)一的操作風險管理策略機制。

3.操作風險數(shù)據(jù)獲取難度較大

我國商業(yè)銀行的操作風險研究還處于初級階段，對于操作風險的損失數(shù)據(jù)獲取難度較大，故缺少操作風險數(shù)據(jù)，難以通過目前所有的數(shù)據(jù)進行分析。同時，我國商業(yè)銀行多采用傳統(tǒng)的定性分析方法對操作風險進行計量。少量的數(shù)據(jù)及智能化較低的分析手段難以對此操作風險進行實時防范。

4.內(nèi)控制度不完善

我國大部分商業(yè)銀行的內(nèi)控制度不夠健全，給操作風險的發(fā)生帶來了隱患。一是隨著銀行資產(chǎn)負債規(guī)模的不斷擴大、業(yè)務種類的不斷豐富，對應的管理制度卻發(fā)展滯后，未進行及時調(diào)整更新，難以適應銀行經(jīng)營業(yè)務的發(fā)展，風險覆蓋率不高，使不軌之人打破心理防線，做出違規(guī)的舉動；二是對于較為完善的制度規(guī)則，因缺少推動力、執(zhí)行力，無人監(jiān)管實施，也對操作風險的發(fā)生提供了便利。

5.操作風險管理文化落后

在面對風險的過程中，操作風險管理文化落后。一是多依靠于人際關系的處理情況，未發(fā)揮管理制度的真正作用，管理制度形同擺設，導致員工難以形成防控意識，為風險事故的發(fā)生帶來了隱患。二是部分銀行的管理方式或采用嚴厲強硬的手段，沒有靈活的方式進行控制，難以進行事前防范，在事中控制、事后分析階段也較為困難。三是商業(yè)銀行管理者更注重于短期的利益，將重點放在業(yè)務拓展，風險防范工作多流于表面，認為只要不造成較大事故即可，而基層的合規(guī)意識也較為淺顯，以自身業(yè)績的快速提升為主，忽視了業(yè)務的合規(guī)性開展。

6.防范措施和技術(shù)水平落后

與國外大型銀行相比，我國商業(yè)銀行缺少合理的防范操作風險措施和方法，識別操作風險的手段較為單一，多采用歷史經(jīng)驗分析，識別風險、監(jiān)控風險的水平較為落后，識別、監(jiān)測工具較為單一，與大數(shù)據(jù)、人工智能、云平臺的技術(shù)結(jié)合度不夠，難以通過數(shù)據(jù)挖掘進行分析。

7.員工隊伍管理建設有待加強

對于銀行業(yè)務的多種多樣，對員工的要求也多樣復雜，對員工的工作要求有了更高的標準，也增加了員工的心理壓力。員工每日接受的事項也在逐漸增加，容易遭到各種事務吸引，很難集中注意力，易發(fā)生操作風險。多數(shù)銀行中存在的委托代理關系為員工的管理帶來了更大的困難，管理的不到位、不全面，使很多區(qū)域處于管理空白部分，易造成員工違規(guī)行為的發(fā)生。同時，很多銀行未對員工心理進行管理疏導，易造成員工因心理問題進行犯罪行為。

五、防范商業(yè)銀行操作風險措施

1.完善內(nèi)控體系建設

為追求更加完善的內(nèi)部控股體系，商業(yè)銀行可以通過以下途徑實現(xiàn)。一是根據(jù)銀行實際發(fā)展進程，實時更新補充目前的規(guī)章制度、操作流程，推進制度的不斷完善。二是完善各類業(yè)務的操作流程并分析其中的關鍵風險點，針對風險點制定操作風險應急管理預案，對頻次高的操作風險制定相應管理措施，對員工操作做到有效提示、防范風險；同時避免審核業(yè)務的冗雜流程，對流程進行精簡，降低風險發(fā)生的概率。三是加強規(guī)章制度的執(zhí)行力，提高員工對規(guī)章制度的重視程度。通過各機構(gòu)、各崗位、各員工相互監(jiān)督的作用推動制度的執(zhí)行，防止操作人員因不履行規(guī)章制度而造成操作風險，在執(zhí)行制度時需要時刻保證過程的嚴肅性、嚴厲性，一旦違規(guī)，應予以相應懲罰。四是完善行內(nèi)授權(quán)制度，明確各級行、銀行內(nèi)部的權(quán)力、職責、角色、權(quán)限，堅決抵制越權(quán)現(xiàn)象。五是通過現(xiàn)場檢查、視頻檢查、遠程檢查等多種方式，及時發(fā)現(xiàn)潛在的操作風險，并采取應對策略，有效防范風險發(fā)生。

2.加強人員管理

操作風險發(fā)生的關鍵因素之一就是人員問題，故人員管理也是防范操作風險的重要手段之一。具體的措施包括：一是科學配置人員，合理分配人員工作，保證一線員工的勞動量基本一致，避免出現(xiàn)因勞動量過大而導致操作風險發(fā)生的情況；二是加強員工思想教育及風險意識培訓，包括風險防控知識的學習、業(yè)務流程的風險提示，將風險防控意識貫穿在整個業(yè)務操作中，提高員工自身的防范意識和自我防護能力，提高責任心，增強道德意識；三是提高員工業(yè)務素質(zhì)，通過培訓、模擬操作等手段，加強員工業(yè)務專業(yè)水平，從根本上減少因失誤導致的操作風險；四是加強員工監(jiān)測管理，在日常工作中對員工進行行為、舉止等監(jiān)測，若發(fā)現(xiàn)行為異常員工，需及時采取私下談話等措施對問題進行了解并進一步防控風險；五是在員工中間營造操作風險管理文化，通過意識形態(tài)影響員工，使員工深入了解業(yè)務過程中的操作風險，保持對操作風險的敏感性和洞察力，結(jié)合行內(nèi)規(guī)章制度進行業(yè)務操作；六是優(yōu)化員工績效考核機制，把員工能的風險防控能力作為績效考核的標準之一，促進員工的合規(guī)行為。

3.推動信息系統(tǒng)建設及管理

通過開發(fā)操作風險管理信息系統(tǒng)，以機控的方式對操作風險進行控制，獲取操作風險損失數(shù)據(jù)，對數(shù)據(jù)進行分析處理，從而對操作風險進行預防控制，降低因人為原因造成的風險。對于系統(tǒng)的建設及管理，需要遵循以下幾點：一是系統(tǒng)開發(fā)目的是為了提高風險管理水平，需對整個業(yè)務流程包括事前、事中、事后進行分析預測，提高控制手段的執(zhí)行可行度，同時應將另一重點放在對內(nèi)控機制的考核和監(jiān)督上；二是實現(xiàn)動態(tài)化的系統(tǒng)管理模式，通過多元化的開發(fā)手段，強化其對數(shù)據(jù)的采集分析能力；三是在銀行經(jīng)營過程中，做好信息數(shù)據(jù)備份工作，防止系統(tǒng)的突發(fā)性癱瘓而造成的風險，同時做好突發(fā)性應急預案，在發(fā)生突發(fā)情況時采取有效措施，積極應對；四是在全面使用信息系統(tǒng)前需做好完備的測試工作，避免因上線時的較大疏漏造成的風險，在系統(tǒng)使用過程中，也要實時監(jiān)督，及時處理缺陷并優(yōu)化，彌補漏洞。

4.強化外界監(jiān)管

隨著銀行業(yè)務范圍的不斷擴大，業(yè)務類型逐漸豐富，對于操作人員的要求也有進一步提高，操作風險也日益增加。在這種必然的趨勢下，外部監(jiān)管機構(gòu)為適應外界的環(huán)境變化，應進行以下措施：一是主動通過指定、更新各種制度規(guī)則來引導金融機構(gòu)行為，保證銀行業(yè)的所有業(yè)務皆覆蓋于監(jiān)管之下，不留死角，做到“應檢盡檢”；二是對于新興業(yè)務或風險較大的業(yè)務應出具相關的操作說明指引或提示，規(guī)范銀行業(yè)的操作行為；三是對于違規(guī)行為，應加大處罰力度，嚴懲不貸，對于影響較小的風險，應予以預警或警告，促進金融機構(gòu)的合規(guī)經(jīng)營。

5.強化系統(tǒng)運維管理

增強對商業(yè)銀行操作系統(tǒng)的運維管理有利于避免因系統(tǒng)問題引發(fā)的操作風險，故應注意以下幾點。一是在系統(tǒng)開發(fā)新功能時做好測試工作。測試新流程各節(jié)點的流暢穩(wěn)定，確保新功能上線后系統(tǒng)的穩(wěn)定運行，并在系統(tǒng)運行工程中加強監(jiān)測，一旦發(fā)現(xiàn)系統(tǒng)存在異常情況，需及時進行維護。二是做好備用系統(tǒng)切換準備。為應對特大系統(tǒng)故障時啟用備用系統(tǒng)這類情況，應提前做好準備，進行多次切換系統(tǒng)的演練工作，制定相應應對措施和具體實施事項。

六、結(jié)語

操作風險與商業(yè)銀行的其他風險相比，存在覆蓋范圍廣、發(fā)生頻次高、隱蔽性強等特點，故對于操作風險的識別、監(jiān)控與防范的難度也日益加劇，但目前尚未有任何一個措施可以從源頭上對操作風險進行根除。如何最全面地規(guī)避防范操作風險也成為商業(yè)銀行風險管理的重要任務。