商业银行操作风险的防范对策

摘要：操作风险是商业银行目前普遍存在的风险种类，其引起的危害性不可小视。本文结合国际巴塞尔委员会对操作风险的相关定义、分类与特征入手，对商业银行操作风险进行了分析，并提出了加强操作风险管理的对策。

关键词：商业银行；操作风险；防范对策

经济和金融全球化的不断深入，信息技术的飞速发展以及近50年来金融理论与金融实践的突破创新，金融产品和金融市场得以蓬勃发展，商业银行面对的风险因素日趋显著，金融风险暴发所产生的危害性巨大。按诱发风险的原因，商业银行面临信用风、市场、操作、流动性、国家、声誉、法律、及战略类风险，本文主要是对商业银行目前普遍存在的操作风险进行简要的分析，并提出商业银行操作风险的防范对策。

一、操作风险的定义、分类及自身的特征简析

商业银行自诞生之初，风险就与之相伴，商业银行就是经营风险的金融机构，以经营风险为盈利的根本手段。商业银行以安全性、流动性、效益性为经营原则，实行自主经营，自担风险，自负盈亏，自我约束。国际上管理先进的商业银行已建立并逐步完善全面的金融风险管理体系，利用先进的风险管理技术和信息系统，最大限度的减少金融风险可能造成的损失。目前我国商业银行越来越深刻的认识到健全的风险管理体系在可持续的发展过程中的重要地位，而先进的风险管理能力和水平，则成为商业银行最重要的核心竞争力。

操作风险目前我国定义为是由于人为错误、技术缺限或不利的外部事件所造成损失的风险。巴塞尔委员会在《巴塞尔新资本协议》中关于操作风险具体定义为“操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险”。该定义突出强调了银行内部人员操作和业务系统因素所导致的操作风险，是操作风险形成的主要原因。

操作风险分类类型较多，比较常见的划分标准一是巴塞尔新资本协议标准。 巴塞尔新资本协议标准中的分类包括两个维度，一个维度是按照损失事件类型进行分类，可以分为由人员、系统、流程、和外部事件所引发的四类风险，并由此分为七种表现形式，内部欺诈、外部欺诈、聘用员工做法、和工作场所安全性，客户、产品及业务做法，实物资产损坏，业务中断和系统失灵，交易及流程管理。这七种损失事件还可进一步细化为具体业务活动和操作，使商业银行管理者能够从引起操作风险的具体因素着手，采取有效的管理措施。另一个维度是依据发生操作风险的业务部门或业务流程环节进行分类分为八类。分别国是公司财务、交易与销售、零售银行业务、商业银行业务、支付与清算、服务、资产管理、零售经纪。上述两个维度的分类还可共同构成操作风险分类的7×8矩阵。二是英国银行家协会分类标准。具体涉及四类：人员因素导致的操作风险、流程因素导致的操作风险、系统因素导致的操作风险、外部事件导致的操作风险。前三类为内部因素导致的操作风险，又称为操作性失误风险，第四种为外部因素导致的操作风险，又称为操作性杠杆风险。

操作风险相比其它种类的风险具有独特的特征。一是具有普遍性，普遍存在于商业银行业务和管理的各个方面。二是操作风险具有非盈利性，它并不能为商业银行带来盈利，商业银行之所以承担它是因为它不可避免，对它的管理策略和管理成本一定的情况下尽可能降低风险。三是操作风险还可能引发市场风险和信用风险等其它风险。例如交易过程中结算系统发生故障或结算失败，不但造成交易成本上升，而且还可能引发信用风险。四是按照《巴塞尔新资本协议》的规定，法律风险是一种特殊类型的操作风险。

二、操作风险形成的主要原因及加强操作风险管理新的要求

操作风险形成的原因具体可概括为人员因素，内部流程，系统缺限，和外部事件四个方面。人员因素主要是指商业银行员工发生内部欺诈，失职违规，以及员工知识/技能匮乏，核心员工流失，商业银行违反用工法等造成损失或不良影响而引起的风险。内部流程是指引起的操作风险是由于商业银行业务流程缺失、设计不完善，或没有被严格执行而造成的损失。主要包括财务/会计错误、文件/合同缺限、产品设计缺限、错误监控/报告、结算/支付错误、交易/定价错误等。系统缺限是指引发的操作风险是指由于信息科技部门或服务供应商提供的计算机系统或设备发生故障或其他原因，商业银行不能正常提供部分、全部服务或业务中断而造成的损失。包括系统设计不完善和系统维护不完善所产生的风险。具体表现为数据/信息质量风险，违反系统安全规定，系统设计/开发的战略风险，以及系统的稳定性、兼容性、适宜性存在的问题等方面。外部事件是指商业银行的经营是在一定的政治、经济和社会环境中发生的，经营环境的变化，外部突发事件等都会影响商业银行的正常经营活动，甚至发生损失。具体包括由于外部员工故意欺诈、骗取或盗用银行资金及违反法律而对商业银行的客户、员工、财务资源或声誉可能或者已经造成负面影响的事件。该类事件可能是内部控制失败或内部控制的薄弱环节，或是外部因素对商业银行运作或声誉造成的威胁。

2001年巴塞尔委员会制定的《巴塞尔新资本协议》（征求意见稿），率先将操作风险的衡量和管理纳入金融机构的风险管理框架中，并要求金融机构为操作风险配置相应的资本。这既是对近年来国际金融界日益注重操作风险管理实践的一个总结，又是对操作风险管理提出了新的要求。

三、银行操作风险的危害性

近年来，随着我国银行业务的快速发展，商业银行面临的运营风险不断增加，作为商业银行常见三大金融风险之一的操作风险更是频频凸显。据统计，仅2003年－2010年，通过媒体公开报道可以搜集到的操作风险案件就达200余件。2011年，中国银监会的《银监会2010年年报》指出，2010年中国银行业仍存在诸多风险挑战，其中之一便是“部分金融机构操作风险管理意识弱化”。该报告指出：“2010年底，部分银行业金融机构案件出现反弹。齐鲁银行数十亿元的票据诈骗案件等多数案件发生在基层网点和所谓低风险业务领域，且多为内部人员作案，这反映出部分银行内在风险管理机制存在缺陷。”比较典型案例如2005年6月17日，万事达卡国际组织宣布，由于一名黑客侵入“信用卡第三方支付系统”，包括万事达卡、维萨等机构在内的4000多万张信用卡用户的银行资料被盗。我国9000多名内地持卡人因在2004年8月1日至2005年5月27日在美国刷卡，账户信息也被盗取。商业银行外部人员通过网络侵入内部系统作案已经成为新型外部欺诈风险的重要关注点。因我国网络技术的不发达和客户通过网络支付的需求增大之间的差距，个别商业银行为了争揽业务，大力拓展网络支付和网上银行业务，在信息系统和网络建设方面忽视安全问题，造成信息泄密，乃至客户和商业银行的损失。

四、银行操作风险的相关对策

1、正确计量操作风险并合理配置经济资本。《巴塞尔新资本协议》中为商业银行提供的三种可供选择的操作风险经济资本的计量方法，分别是基本指标法、标准法和高级计量法，这三种计量方法是目前国外商业银行广泛使用的计量方法，在复杂性和风险敏感性上是逐渐增强的。随着监管部门对风险监管的加强，我国商业银行应根据自身情况，逐步选择使用这三种方法进行计量，对那些操作风险管理仍处于较低水平的、尚未达到量化阶段的商业银行可以选择较为简单的前二种方法，但最终要选择使用高级计量法，因为采用高级计量法更能反映商业银行操作风险的真实状况。所以商业银行应正确选择操作风险计量方法，才能更加准确计量操作风险并进而合理配置经济资本。

2、加强对商业银行的公司治理。公司治理是现代商业银行稳健运营和发展的核心，完善的公司治理结构是商业银行有效防范和控制风险的前提。必须明确董事会、监事会和高级管理层以及内部相关部门在防范和控制操作风险方面所承担的职责，按照各自的职责分工，做好操作风险防范和管理等相关工作。董事会应重点负责批准在全行范围内采用操作风险管理系统，并将操作风险作为主要风险进行管理。监事会负责对商业银遵守法规的情况以及董事会、高级管理层在操作风险防范中的履职情况进行监督。高级管理应做好经董事会批准的操作风险管理系统的执行。

3、加强内部控制。巴塞尔委员会认为，资本约束并不是控制操作风险的最好方法，对付操作风险的第一道防线是严格的内部控制。健全的内部控制体系是商业银行有效识别和防范操作风险的重要手段，加强内部控制建设是商业银行风险管理的基础。长期以来，商业银行的内部控制问题一直困扰我国甚至国际商业银行，内部控制失灵是造成商业银行案件频发的直接原因，而隐藏在内部控制失灵现象的背后是内部控制要素缺失和内部控制运行体系的紊乱。加强商业银行内部控制体系建设已经成为我国商业银行防范操作风险的迫切需要。

4、重视合规管理文化建设。经统计，违规、内部欺诈等损失事件在我国商业银行操作风险中占比超过80%，说明我国商业银行内部控制存在的最严重的问题是制度的遵循性，也是内部控制的符合性或者合规性问题。合规性问题是我国商业银行操作风险管理的核心问题，我国商业银行操作风险管理首先应从操作风险理念和培养入手，培养合规文化，增强风险意识，只有把先进的合规管理文化贯穿到商业银行的发展战略中根植于整个银行的运行中，内化为员工的职业习惯，才能构建起抵御风险的坚强防线，实现商业银行稳健经营和可持续发展。只有培育良好的合规文化，才能使风险机制有效发挥作用，才能让每位员发挥风险管理的能动作用。

5、加强信息系统建设。商业银行信息系统包括主要面向客户的业务处理系统和主要供内部管理使用的管理信息系统。在操作风险管理中，信息系统的主要作用在于支持风险评估，建立损失数据库、风险指标收集与报告、风险管理和建立资本模型；商业银行在信息系统方面的科技投入越多，越有助于控制操作风险。先进的业务处理系统能大幅度提高商业银行的经营管理水平，并降低操作出错的概率。商业银行应尽可能地利用信息系统的设定，防范各种操作风险和违法犯罪行为。

6、建立人力资本激励机制，从员工行为上降低操作风险。首先，应确保实现责权利明确且相匹配的人力资源制度安排。是指操作风险的责权界定要清晰，岗位职责与业务操作权限划分要具体到个人，并彻底消除责任多头承担的模糊现象，切实保障员工个人的人力资源效能的充分发挥。一是依据岗位工作的业务复杂程度和岗位职责的责任大小，合理确定岗位激励系数；二是注重实施不同岗位的不同收入差别限额制，将收入差距控制在合理范围。第二，构建科学合理的员工职业生涯设计体系和实践平台。对人力资本的激励应关注其长期的职业发展。具体到商业银行操作风险管理领域，应尤其注重做好分支行等基层业务人员的职业生涯设计。基层业务人员的职业起点较低，面对的发展和自我提高的机遇相对较少，因此更容易滋生懈怠、厌倦等不良工作情绪。因此，在对其进行职业生涯设计时，应首先消除基层业务人员即是单纯操作人员的传统观念，要积极创造基层员工参与银行风险管理和发展规划工作的机会，这样将有利于提升其风险防范意识。还可通过短期交流、定期培训、零风险示范岗建设等方式不断提升基层员工的职业生涯优化理念和对组织的忠诚度和认知度。第三、塑造精诚合作、执行高效的企业文化氛围。良好的企业文化氛围塑造有利于增强员工的归属感和对集体价值的认同感，有助于从内部形成推动操作风险管理内控制度有效执行的无形动力。从而确保银行操作风险内控制度的落实与执行的自觉性、主动性和高效性，真正实现全面有效的操作风险管理。

参考文献：

1、《巴塞尔新资本协议》

2、《风险管理》，中国金融出版社，2007.7

3、中国银行业监督管理委员会《银监会2010年年报》