企业培训师观点：对商业银行操作风险管理的一点认识

近年来，因操作风险导致的重大案件时有发生，给商业银行造成一定资产损失和声誉影响。监管机构也在逐步加大对商业银行操作风险管理的监管力度。商业银行应建立有效的操作风险管理体系和机制，全面提升操作风险管理能力。下面，笔者对商业银行操作风险管理原则、分类、面临的操作风险、职责分工、有效管理谈谈看法。

　　操作风险管理的原则

　　操作风险是由于不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。操作风险管理遵循的主要原则应包括：一是全面性原则。操作风险管理涉及全行所有部门和岗位人员。操作风险管理理念、政策体系、制度规范以及监控目标传达到各级员工。二是预防性原则。风险管理的重要原则之一是事前管理。根据自身或其他商业银行已发生的各类操作风险或案件，防范相同或类似的操作风险再次发生。三是独立性原则。风险管理部门与其他部门之间职责清晰、分工明确，能够及时、准确获得相关风险事件与各类检查结果。四是专业性原则。操作风险管理人员应具备相关的专业知识和技能，充分了解和掌握本行承担的各类操作风险，排查操作风险管理重点。五是成本与收益匹配原则。操作风险管理措施应与本行业务规模、复杂程度和特点相适应，以合理的成本实现操作风险管理目标。六是责任追究原则。严格按照制度规定对违法违规的责任人进行问责。

　　操作风险分类

　　（一）人员因素导致的操作风险

　　员工违法违规操作、工作疏忽、操作失误或员工自身能力与岗位任职要求不符给商业银行造成的损失。包括：

　　一是员工欺诈犯罪：内外勾结作案；参与洗钱；挪用客户资金；蓄意破坏商业银行声誉；偷窃或利用工作之便盗用商业银行实物资产；窃取、盗用或泄露商业银行商业机密；泄露或出卖商业银行重要客户资料信息；以权谋私，挪用或侵吞公款；恶意损坏商业银行资产；收受贿赂和回扣。二是员工越权或隐瞒行为：员工超越权限办理业务或滥用授权；编造虚假财务信息；与未经授权的客户进行业务往来。三是员工操作失误：计算机系统操作失误；遗漏、缩减和增加业务操作流程；会计记录或交割发生失误。四是违反劳动合同：劳动合同解除与终止出现纠纷；由于合同管理问题支付额外经济补偿；违反劳动约定造成赔偿、经济补偿金、违约损失。五是人员配置：人员配备不足岗位编制；员工业务能力与岗位需求不一致；关键岗位人员流失。

　　（二）内部程序因素导致的操作风险

　　因业务流程、规章制度不健全完善，导致操作或执行困难，出现风险控制盲区，从而给商业银行造成的损失。包括：

　　一是制度风险：规章制度缺乏有效性、充分性、合规性与适宜性，未及时进行制度修订；规章制度滞后于新业务或新产品办理。二是文件或合同标准文本风险：文件残缺；合同标准文本条款残缺或对商业银行不利；合同标准文本中空白条款填写不完善或不正确。三是内部或外部报告风险：会计记录错误或数据缺乏；经营管理等各类报告内容不充分、不准确。四是产品风险：产品选择不当；产品设计不当；未经银监会批准向市场推出高风险产品。五是文件传递风险：规章制度或通知没有及时传达到基层员工。六是职责设定风险：人员编制设置与实际业务需求不匹配；岗位职责不清、分工不明确、关键岗位未实现职责分离。

　　（三）IT系统及技术因素导致的操作风险

　　由于IT技术或技术应用环境失灵造成系统中断，或因系统数据操作风险管理影响业务正常运行，从而给商业银行造成的损失。包括：

　　一是科技投资风险：某一业务的IT体系不适应商业银行发展需要；IT系统的引入与业务需求的关系无法明确解释或与现有系统不兼容；硬件老化；软件更新不及时。二是系统开发和执行风险：程序设计错误；无法将现有系统进行整合；系统功能设置与业务需求不符；系统设计存在缺陷；业务操作流程和软件开发流程不吻合。三是系统失效风险：系统功能及设计在风险控制方面存在缺陷；网络失灵；系统控制、接口、硬件和软件失效。四是系统安全风险：外部系统或内部系统安全性不够；计算机病毒袭击；黑客袭击；非法用户登陆；客户资料泄密；对生产系统的变更缺乏完备的监督和审计功能。五是法律或公共责任风险：对IT的法律解释产生误解；IT人员未将IT相关程序引起的操作风险告知业务人员或制度修订人员。六是风险管理模型风险：采用的风险管理模型未能有效识别风险；风险管理模型的结果误导决策。

　　（四）外部事件因素导致的操作风险

　　直接来自外部的主观或客观因素给商业银行造成的损失。包括：

　　一是外部欺诈等犯罪：伪造或编造票据欺诈；盗用账户欺诈；外部盗窃、抢劫和其它欺诈风险；恐怖袭击；纵火。二是外部采购或供应商风险：供应商破产或违背其职责；合同制订不当。三是外部开发风险、自然灾难或基础设施风险：外部开发过程中所面临的第三方中断必要资源的风险；火灾；地震、洪水等自然灾害；交通事故；能源不足；外部通讯不稳定或中断；供水、供电中断；建筑物等固定资产损坏。四是政策、经济和国家风险：行业或国家宏观经济政策改变；经济衰退；经济危机；战争。
商业银行面临的主要操作风险管理

　　商业银行无时无刻不面临操作风险。据统计，除内部程序、IT系统及技术、外部事件引起的操作风险外，人员因素中的人员不按章操作、违法违规或操作失误导致的操作性风险是商业银行发生频率最高、占比例最高的操作风险类型，约占70%左右。事实上，商业银行以往内部稽核和外部监管检查的结果表明，近70%的操作风险都表现为人员不按章操作、违法违规或操作失误。引起这类操作风险的主要原因包括：员工风险意识淡薄、部分岗位职责不清、岗位人员配备不足、不良操作习惯、合规风险、规章制度（业务流程）存在缺陷、监督检查与业务培训薄弱、外部人员恶意欺诈等等。约20%的操作风险是规章制度存在缺陷，即由规章制度缺乏健全性与有效性导致的操作风险。如不同规章制度规定不一致、同一规章制度之间条款前后矛盾、业务流程设计不符合实际业务需求、业务操作缺乏风险控制等。如某商业银行未对抵押登记规定风险控制程序，导致虚假抵押登记事件发生。这类规章制度问题引起的操作风险逐渐呈上升趋势。引起这类操作风险的主要原因是：规章制度制定与修订滞后、制度建设与评估能力较弱等。从另一种意义上说，如果规章制度本身存在问题，人员“按章操作”将难以实现。

　　目前，商业银行经营管理IT技术水平不断提升，根据IT系统及技术因素引发操作风险的U型理论，在各类业务系统运行初期，可能会面临一定的IT系统及技术因素导致的操作风险。对低频率、高损失的不利外部事件操作风险的防范更不容忽视，应具备危机意识，制定应急预案进行演练或进行压力测试。

　　操作风险管理职责分工

　　与信用风险和市场风险管理趋于集中化不同，操作风险散布于全行所有岗位人员的行为当中，需要全行所有部门、所有人员共同参与管理。1、风险管理部门负责牵头管理操作风险。制定识别、评估、监测和控制操作风险的具体程序；指导分支行操作风险管理工作并评估全行操作风险管理状况；向高级管理层或董事会（风险管理委员会）汇报操作风险管理工作；对新开办的业务或新制定的规章制度进行操作风险评估；开发相应的操作风险管理技术。2、业务管理部门是本专业操作风险管理的主管部门，应充分了解本系统可能存在的操作风险。制定本部门操作风险管理制度和操作风险控制程序，贯彻操作风险管理的各项要求。3、合规部门负责合规风险管理。4、稽核部门负责操作风险管理情况的监督评价，并提出改进意见。5、监察部门负责根据有关规章制度规定对违法违规或发生重大操作风险的机构责任人进行处理。上述部门均须与风险管理部门密切沟通，及时将操作风险管理信息报告风险管理部门。
如何有效操作风险管理

　　商业银行风险管理部门首要应制定操作风险管理办法，明确本行对操作风险的定义、分类、职责分工，制定操作风险识别与评估、监测、量化、控制、报告等管理流程。

　　（一）操作风险识别与评估

　　风险管理部门应根据风险管理“事前管理”原则对规章制度（业务流程）、各类业务系统以及外部监管政策、宏观经济政策、产业政策及行业政策等外部环境（事件）进行持续的风险识别与评估，并对分支机构进行充分、及时的风险预警提示。如目前各商业银行普遍加强行业分析，提升对市场行业分析的水平，将风险防范前移到准入阶段；或者建立强力的风险预警信息管理系统。

　　风险管理部门应加强基层分支机构调查研究，查找各业务条线的风险点或风险管理薄弱点3，即确定可能存在操作风险的环节。如目前部分房地产评估事务所、会计（审计）事务所等外部资产评估机构和审计机构隐藏一定道德风险，对商业银行的信用风险和操作风险影响极大，风险管理部门应对其进行操作风险识别与评估。

　　在操作风险识别与评估的具体方法上，可采取记分卡法、检查表法、叙述法及工作间交流法等方法开展操作风险识别评估。如商业银行风险管理部门可通过下发操作风险点识别表或自我评估问卷（Selfassessmentquestionnaires）的方式，督促分支行员工对照《操作风险点识别表》或《自我评估问卷》进行自我操作风险评估，定期自行查找最可能发生操作风险的环节，增强分支行各级员工的风险意识和合规操作意识。风险管理部门还可定期牵头召开不同部门关键岗位员工座谈会（WORKSHOP），对各业务线操作风险易发点进行讨论，开展操作风险识别与评估。相关部门应按照上述操作风险分类和具体方法定期识别与评估操作风险，并将结果报风险管理部门。

　　（二）操作风险监测

　　操作风险监测主要就是选择具有前瞻性的关键风险指标（Keyriskindicators）来预测操作风险的变化趋势，对操作风险实施动态管理。操作风险监测工作首先就是选择有效的关键风险指标。从目前商业银行经营管理实际来看，关键风险指标至少应包括关键岗位人员轮岗率、关键岗位人员强制休假率、持证上岗率、关键岗位人员流失率、企业对账单有效回收率、客户有效投诉率、内控问题整改率等。确定关键风险指标后，不能只简单给出计算公式，风险管理部门需向分支机构明确指标计算所需数据的来源，否则上报的关键风险指标就缺乏真实性，从而失去关键风险指标监测操作风险的管理意义。根据关键风险指标的属性按月度、季度和年度方式上报。在关键风险指标上报方式上，应发挥专业管理优势，采取“垂直报送”方式，即分行专业部门上报总行对口专业部门，然后总行专业部门报总行风险管理部门汇总。总行风险管理部门在一定时间内建立起某些关键风险指标波动的区间、中间值或门槛值，对关键风险指标进行定期趋势分析，并将分析结果向高级管理层报告。对持续不满意的关键风险指标，风险管理部门需要进行现场调查或对分支机构进行操作风险提示。

　　（三）操作风险量化

　　商业银行操作风险量化管理的短期目标是实施基本指标法。从即将下发的《商业银行核心监管指标》提出操作风险损失率指标计算要求来看4，银监会将逐步要求部分商业银行开始初步测算操作风险损失率，为实施《巴塞尔新资本协议》基本指标法做好准备。随着时机成熟，银监会将要求商业银行根据《巴塞尔新资本协议》基本指标法计算操作风险资本，即要求商业银行为操作风险配置或分配经济资本。将来实施《巴塞尔新资本协议》高级计量法测算操作风险资本金，商业银行至少要有3年至5年的历史基础数据。因此，商业银行风险管理部门可逐步积累操作风险损失事件历史数据，按照业务环节、岗位、金额、时间等不同维度搜集并记录本行以及其他商业银行发生的操作风险损失事件（案件），形成操作风险数据库，为将来的操作风险量化管理工作奠定数据基础。
（四）操作风险控制

　　操作风险不同于信用风险和市场风险，接受或承担一定的信用风险和市场风险可能获得收益，但接受或承担操作风险的结果不会获得任何收益，甚至只能带来损失，因此，对不可接受的操作风险提出管理建议或制定具体的风险控制措施。

　　1、根据上述操作风险分类及操作风险类型占比，操作风险管理的重点是加强人员管理。商业银行合规部门应加强风险管理培训，保证全行各级员工获得操作风险管理方面足够的知识和技能，提升各级员工操作风险管理的意识。要求分支机构建立持续培训机制，定期对一线关键岗位员工业务技能和职业道德教育培训。目前，绝大部分商业银行都建立培训中心，有的商业银行还在总行部门增加培训主管职位。对违法违规行为，须对相关责任人进行经济和行政上的责任追究，同时，对操作风险管理好的分支机构或个人也要给予奖励和表扬。

　　2、健全完善规章制度是有效操作风险管理的前提。目前，商业银行销售的产品高度同质，不同的是销售产品的管理模式和业务流程的设计能力。制度建设工作包括以下内容：一是定期评估现有规章制度的有效性，对规章制度已不适应业务发展及管理需要的，必须及时进行修订；二是“没有调查就没有发言权”。制度修订过程中要进行大量调查研究，到分行了解实际情况，尊重实际，不能仅根据个人经验和主观判断进行制度修订；三是规章制度之间要相一致、相衔接，需要制度制定或修订部门之间密切配合与有效沟通，防止部门本位主义。四是由于地区经济发展不平衡、市场化程度发展不一，操作风险管理措施应考虑不同地区、经济发展特征而进行适当的区别化、差异化的风险管理。五是分支机构制定管理办法或操作规程，必须及时向总行专业管理部门备案。即总行专业管理部门应检查评估分支机构制定的各项细则或操作规程的合规性与有效性。

　　3、不断提升IT技术水平，控制操作风险。目前，商业银行普遍研发和上线核心业务系统等各类系统，正在或已经实现数据大集中，经营管理IT化程度和水平越来越高，商业银行面临的IT技术操作风险也在逐步加大。信息科技部门、风险管理部门应高度重视IT系统及技术因素导致的操作风险。制定IT系统应急方案，并对应急预案进行定期修订、演练和压力测试，保证在发生严重业务中断事件情况下，执行应急方案，将影响和损失减到最低或将损失控制到最小程度。如最近某商业银行开始建立系统异地灾备中心。

　　4、根据近年商业银行发生的案件，商业银行风险管理部门、合规部门应对分支行操作风险易发点进行持续风险评估和合规检查，建立案件防范长效机制。重点包括但不限于：按照内部控制岗位职责分离要求设置岗位、配齐人员，严禁混岗操作和“一手清”；关键岗位要定期进行轮岗轮换和强制性休假；关注关键岗位员工工作8小时外生活；严格公章、私人名章、业务操作流程密码、授权卡、柜员卡等印鉴密押管理；严格印章、密押、凭证三分管及销毁制度；严格银行内外账户管理和对账、票据审验、查询查复；严格关键岗位稽核管理；严格电子银行和IT系统管理和服务；严格对枪支、金库尾箱和库房的管理等。

　　（五）操作风险报告

　　操作风险管理报告涉及报告路线、报告事项、报告对象等内容。

　　一是在报告路线上，对分支行发生的重大操作风险事件，相关责任人应按照规定的报告时限同时报告上级风险管理部门和本级机构负责人。

　　二是操作风险报告事项包括操作风险识别与评估的结果、损失事件（如有）、风险诱因、关键操作风险指标监测及自我评估问卷结果等。如操作风险事件的经过、导致事件发生的原因、目前的状况、是否还存在类似事件、已经或准备采取什么措施防止此类事件再次发生等内容。

　　三是建立年度操作风险管理报告制度。风险管理部门每年向董事会或高级管理层报告全行操作风险管理情况（也可纳入统一的风险管理报告中），为董事会或高级管理层制定操作风险管理政策提供依据。向董事会或高级管理层汇报的操作风险管理报告内容不仅包括全年操作风险管理工作，还要对全行操作风险状况进行评估及对操作风险管理薄弱环节采取的风险控制措施。