1、構建我國商業銀行操作風險管理長效機制的若干思考 摘要：本文分析了操作風險所具有的特征，在研究目前我國商業銀行基層機構操作風險防控工作所面臨的突出問題的基礎上，借鑒巴塞爾新資本協議關于操作風險管理的原則，提出了建立良好的風險管理文化、健全操作風險管理組織架構、完善內部控制體系、優化操作風險管理流程、加快電子信息技術應用、推廣先進的操作風險資本計量方法等一系列構建我國商業銀行操作風險長效機制的策略。關鍵詞：商業銀行；操作風險；新巴塞爾協議 Suggestions on How to Establish a Constantly Efficient Mechanism of Operational

2、Risk Management for Commercial Banks in ChinaCui Chengbin（China Construction Bank,Haizhu Branch,Guangzhou 510220, China）Abstract: Characteristics of the operational risk are described. The strategies of establishing a constantly efficient mechanism of operational risk for the commercial banks in Chi

3、na are explored. The strategies come from the analysis of main challenges of the risk prevention and control in the root of the commercial banks in China, with the principles concerning risk management in New Basel Capital Agreement for reference. The strategies are as follows: creating a favorable

4、environment of risk management, streamline a risk management organization structure, refining the internal control system, optimizing the risk management procedure, speeding the application of electric information technology and popularizing the advanced risk capital measurement. Key Words: Commerci

5、al banks; Operational Risk; New Basel Capital Agreement 操作風險是商業銀行面臨的最古老的風險，是與商業銀行運行始終相伴的一種風險。近年來，我國商業銀行大案頻發，這些案件大多發生在基層分支機構，多屬于操作風險范疇，反映出我國商業銀行操作風險管理水平亟待提高。構建操作風險管理長效機制已經成為完善我國商業銀行風險管理體系的一個關鍵課題。本文從分析操作風險的特征入手，剖析當前銀行基層機構操作風險防控工作所面臨的突出問題，并借鑒新巴塞爾協議操作風險管理原則的要求，探討構建我國商業銀行操作風險管理長效機制的策略。一、操作風險的特征分析巴塞爾

6、銀行監管委員會于2004年6月26日公布的“新巴塞爾協議”第644條將操作風險定義為：由不完善或有問題的內部程序、人員及系統或外部事件所造成損失的風險，包括法律風險，但不包括策略風險和聲譽風險。新巴塞爾協議附錄7“損失事件分類詳表”把操作風險分為內部欺詐行為，外部欺詐行為，就業政策和工作場所安全性引起的風險事件，客戶、產品及商業行為失誤或低效，意外事件產生的有形資產損失，業務中斷和系統出錯，執行、交割及流程管理失誤等7種類型。操作風險與信用風險、市場風險并稱為商業銀行面臨的三大風險，相比較于其他兩類風險，操作風險主要具有以下明顯特征：（一） 操作風險的廣泛性與主要存在于授信業務的信用風險和主要

7、存在于交易類業務的市場風險不同，操作風險涉及到商業銀行業務和管理的每個環節，貫穿于商業銀行運營的始終。有的操作風險事件盡管發生概率較低，但是一旦發生就會造成極大的損失，甚至可能危及到銀行的生存，例如操作系統崩潰、重大違規交易等。（二）操作風險的內生性引發信用風險和市場風險的源頭主要來自于商業銀行外部，屬外生性風險。相反，除自然災害、恐怖襲擊等外部事件引起的操作風險損失外，操作風險主要是由商業銀行內部因素所引發的，例如業務流程不完善、內控失效、系統失靈、人員違規等，具有較強的內生性。（三） 操作風險的復雜性 與信用風險和市場風險相比，操作風險事件發生領域較為分散，誘發因素較為復雜，不同類別的操作

8、風險之間的性質差異較大，而且通常單個可以監測和識別的操作風險因素同由此可能導致的損失頻率、規模之間不存在清晰的、可以界定的數量關系，這在一定程度上增加了對操作風險進行度量和管理的難度。（四） 操作風險的可轉化性在商業銀行經營實踐中，操作風險有時可以轉化為信用風險和市場風險，并且能夠進一步放大信用風險和市場風險發生的頻率和損失。例如，法國興業銀行內部控制缺陷和交易員蓋維耶爾的欺詐行為最終轉化為該銀行在歐洲股指期貨交易市場上的巨大風險；轉軌時期我國國有商業銀行信貸流程的漏洞和信貸人員的違規放貸行為最終轉化為嚴重的信用風險，造成銀行體系形成巨額不良貸款。二、當前我國商業銀行基層機構操作風險防控工作所

9、面臨的突出問題（一） 對操作風險的認識和管理理念存在偏差1對操作風險管理認識不到位。基層行長期以來對操作風險管理缺乏足夠的重視，對操作風險的內涵和特征理解不深入，往往將操作風險理解為操作性風險和業務差錯，沒有把制度缺陷、流程缺陷、系統漏洞等因素所引發的操作風險考慮在內，例如，傾向于將信貸損失歸結于債務人違約和償債能力惡化等信用風險因素，而忽視信貸流程不合理、人情貸款、貸后管理不到位等操作風險因素。2把操作風險管理的責任全部歸于風險管理部門。基層行經營部門往往認為操作風險管理是風險管理部門的事，忽視了自身所應當承擔的操作風險管理“第一道防線”的職責，容易造成前臺風險防控“流于形式”，后臺風險管理

10、人員疲于復核、檢查的現象。3不能正確處理操作風險管理與業務發展的關系?；鶎有性趶娬{業務發展時，往往容易忽視操作風險管理；在強調操作風險管理時，往往又放松了業務發展，未能實現操作風險防范與業務發展的有機統一。（二） 操作風險管理組織體系不健全 1風險管理人員配備不足。以某大型國有股份制商業銀行為例，該行近年提出要在基層行搭建以委派會計主管、風險經理、紀檢監察特派員為主體的監督平臺，但在實踐中遇到人才短缺、知識結構不合理等問題，基層行風險管理人員配備不足，風險經理的職責仍然只能局限在信貸管理領域，對網點的關鍵風險點監控工作主要依靠會計主管承擔，而會計主管職責較多，不可能專注于網點關鍵風險點的監督，

11、使基層行操作風險管理受到一定影響。 2操作風險管理資源分散。業務部門、操作風險管理職能部門以及審計、紀檢監察等部門對操作風險管理都承擔一定的責任，但部門之間缺乏信息共享機制，內部協調成本高，監督檢查交叉重復，遇事容易相互推諉，未能形成管理合力。3. 業務部門沒有配備專職的操作風險管理團隊。業務部門作為防范操作風險的第一道防線，承擔操作風險管理職責的人員大多是兼職性質，主要通過事后的合規檢查來防控操作風險，缺乏對業務流程風險點的過程控制，操作風險的防控效果不盡理想。（三） 內控管理基礎比較薄弱 1規章制度的系統性差，業務流程標準化不足。在一定程度上存在規章制度龐雜、政出多門問題，往往以“補充通知

12、”的形式代替規章制度的更新和完善，部分規章制度對業務流程沒有作出標準化的指引，對關鍵風險點把握不準確，令基層員工無所適從，在一定程度上助長了憑經驗辦事和違規操作現象的發生。 2合規意識淡薄，制度執行力不強。部分基層行工作人員缺乏主動合規意識，存在以犧牲制度為代價盲目追求效率的偏好，為圖方便、圖省事而逆流程、減流程操作，以習慣、信任、感情代替制度，使得不相容崗位之間失去了應有的崗位制約。3操作風險管理方法和手段落后。目前，我國商業銀行操作風險管理主要以現場檢查為主，重事后監督，輕事前防范，管理比較粗放。檢查發現問題的整改工作多由基層行自身完成，“頭痛醫頭，腳痛醫腳”，違規行為屢查屢犯現象嚴重。操

13、作風險信息零散，傳遞渠道不暢，銀行內控體系缺陷往往得不到及時有效的糾正。許多關鍵風險點還主要依賴人工識別與防范，“技防”水平不高，IT系統分散開發，自成體系，流程不銜接，信息共享能力差，基層行往往要承擔多個信息系統的數據維護工作，辦理一筆業務必須分別在多個系統手工錄入數據。三、構建我國商業銀行操作風險管理長效機制的對策思考盡管我國商業銀行在短期內還不具備實施新巴塞爾協議的條件，但新巴塞爾協議的監管原則無疑對于改善我國商業銀行操作風險管理具有較強的指導意義。針對當前我國商業銀行基層機構操作風險防控存在的突出問題，筆者借鑒新巴塞爾協議有關原則，提出構建我國商業銀行操作風險管理長效機制的對策。（一）

14、建立良好的風險管理文化操作風險管理的環境和文化是新巴塞爾協議操作風險管理框架中最為基本的要素層面，它從根本上決定整個操作風險管理框架的有效性。操作風險的廣泛性、內生性、復雜性和可轉化性特征決定了商業銀行必須自上而下倡導全員、全過程、全方位的風險管理文化，使防范和控制操作風險成為全行的共識。我國商業銀行董事會和高管層應當牢固樹立“內控先行”的理念，把操作風險防控作為一項核心管理工作來推動，清晰厘定操作風險管理政策，統一全行的操作風險偏好。各級基層行高管人員應充分認識到操作風險管理是業務可持續發展的基礎，帶頭認真執行操作風險管理政策和規章制度，做操作風險管理文化的倡導者和示范者。應加大教育培訓力度

15、，使廣大員工牢固樹立“每個崗位、員工均是操作風險的直接管理者”的意識，并掌握有效識別、防范和化解本崗位操作風險的技能。還應當在銀行績效考評當中增加操作風險管理指標的權重，清晰傳導“內控先行”的價值理念，調動基層機構和員工主動識別和防范操作風險的積極性。（二） 健全操作風險管理組織架構新巴塞爾協議強調：“商業銀行操作風險管理體系應當在整個銀行組織結構中統一貫徹，而且所有層次的員工都應當明確自己在操作風險管理上的責任”。當前，我國商業銀行應著力完善基層機構的操作風險管理架構，夯實操作風險管理的組織基礎。首先，我國商業銀行應加快流程銀行建設，積極推進以“平行作業”和“垂直管理”為核心的風險管理體制改

16、革，使操作風險管理有機嵌入業務流程，前移風險控制關口，提高風險管理條線的獨立性和有效性；在各業務部門內部盡快設立專職操作風險管理崗位，按條線組建專業化操作風險管理團隊，并積極推進風險經理派駐基層機構制度，確保操作風險管理體系“橫向到邊，縱向到底”。其次，應有效發揮銀行各層級風險管理與內控委員會的操作風險管理平臺功能，著力完善基層行操作風險信息傳遞、溝通、匯報、整合與反饋機制，消除操作風險管理的“盲區”，定期對全轄操作風險和內控整體情況進行評估并持續加以改進，確保總行制定的操作風險管理政策得到有效貫徹。第三，應從推進全面風險管理的實際需要出發，采取內部選拔、崗位交流、后備人才培養、外部招聘等多種

17、方式充實我國商業銀行風險管理人員隊伍，并通過有效培訓提高風險管理人員的專業化水平。（三）完善內部控制體系新巴塞爾協議指出：“內部控制是操作風險管理的重要工具，絕大多數操作風險事件都是與內控漏洞或者與不符合內控程序有關?！蓖晟苾瓤伢w系是建立我國商業銀行操作風險管理長效機制的當務之急。首先，我國商業銀行應建立規范化的制度重檢機制，定期梳理并優化規章制度，提高制度的可操作性，使內控制度建設與業務發展同步；積極創新規章制度載體，編制標準化的體系文件，把制度規定和業務風險點防控要點融入流程圖中，使基層員工得以從業務操作流程實際出發直觀掌握規章制度要點。其次，應整合銀行監督資源，組建跨部門、跨條線聯合檢查

18、組，通過抓好監督檢查來不斷審視內控體系運作的有效性。對于檢查發現問題，要實施部門聯合會診，從業務流程、規章制度、資源配置等多個維度剖析原因，堅持標本兼治，上下聯動開展系統性整改，提升銀行內控水平。第三，應落實“以人為本”的管理理念，建立公平合理的選人用人機制，幫助員工科學規劃職業生涯發展，認真落實管理人員廉政談話、強制休假、離任審計、不相容崗位分離與制衡、關鍵崗位人員輪換與交流、員工行為動態排查等人員管理制度，提高員工對銀行的責任感和忠誠度，防范道德風險。（四）優化操作風險管理流程新巴塞爾協議鼓勵商業銀行建立完善的操作風險管理流程，這個流程包括操作風險識別、評估、控制/緩釋、監測、報告等環節。

19、當前，與國際先進銀行相比，我國的操作風險管理流程和手段還比較落后，需要從機制層面加以優化。1建立操作風險識別與評估機制。新巴塞爾協議強調：“銀行應當對所有具體產品，活動，流程和系統中的操作風險進行識別和評估，商業銀行應當確保在新的產品，活動，流程和系統推廣實施前，有關的操作風險已經得到適當的程序評估?！蔽覈虡I銀行應充分運用操作風險自我評估這一管理工具，采用流程分析法、情景模擬法、專家預測法、調查問卷法等定量與定性相結合的方法，對業務活動和作業流程中的風險點加以識別，并從發生概率和影響程度兩個維度來評估風險的大小，提高操作風險預測和主動防控能力。2建立操作風險控制/緩釋機制。新巴塞爾協議強調：

20、“銀行應當建立政策，方法和流程來控制/緩釋重大的操作風險。”根據操作風險識別與評估的結果，我國商業銀行可以將操作風險分成高頻高危、低頻高危、高頻低危、低頻低危四種性質，采取差別化的風險控制/緩釋策略。對于高頻高危的操作風險，宜采取風險規避策略，避免開展收益無法覆蓋操作風險損失的業務；對于高頻低危的操作風險，宜采取加強內部控制的策略降低風險，還可運用提取操作風險準備金實現風險補償的風險吸收策略；對于低頻低危的操作風險，可以通過風險吸收的策略來應對；對于低頻高危的操作風險，應作為風險防控重點，以實施嚴密的內部控制策略為主，并視具體情況不同輔以購買保險、業務外包等風險轉嫁策略以及提取經濟資本的吸收風

21、險策略。3建立操作風險監測機制。新巴塞爾協議強調：“銀行應當實施方法以定期監控操作風險輪廓和重大損失的可能性，并且應當對高層管理者和董事會定期報告與支持操作風險管理相關的信息?！蔽覈虡I銀行一方面應積極探索運用關鍵風險指標法（KRI）實施日常監測，通過開發關鍵風險指標體系，將操作風險指標嵌入每個業務部門的系統和操作流程，使得監測結果一旦超過預先設定的指標臨界值，系統就能自動發出預警提示，增強操作風險管理的前瞻性；另一方面應建設操作風險損失數據庫，按照新巴塞爾協議的操作風險定義對銀行內外部操作風險歷史損失事件和數據進行收集、整理和匯總，提高操作風險監測的量化水平。4建立操作風險報告機制。我國商業

22、銀行宜采用矩陣式風險報告路線，由各級分支機構業務部門向上級業務管理部門和本級風險管理部門雙線報告本部門操作風險管理情況；由各級風險管理部門匯總轄屬層級機構的操作風險報告，向本級風險管理與內控委員會和上級風險管理部門雙線匯報，確保操作風險信息能在銀行各層級得到及時、完備的傳遞，有效提高銀行應對操作風險的快速反應能力。（五）加快電子信息技術在操作風險管理領域的應用 首先，我國商業銀行應提高IT系統的自動化水平，將關鍵操作風險點控制嵌入到系統流程當中，通過“技防”手段減少有效降低人為簡化操作、逆程序操作、越權操作所引發的操作風險。其次，應從流程優化和操作風險防范需要出發對銀行現有IT系統進行整合，避免低水平重復開發，提高系統之間