商业银行操作风险管理组织架构存在问题探讨

曲绍强 张启全

一、操作风险管理组织架构的重要性

系统理论认为，系统可以分为自然系统和人造系统，人造系统是为了达到人类所需要的目的，由人类设计和建造的系统。同时又认为管理系统是一种人造系统，即管理系统是由一定的制度、组织、程序和手续等构成，组织在系统中起着管理功能载体的作用。由此可以看出组织在管理系统中的重要性。“组织结构就是企业正式的配置机制、程序机制、监督和治理机制及授权和决策过程。在公司规模和生命周期等条件的影响下，组织结构反映了经理人在公司所选的战略下做什么、怎么做的决心。只有企业所选的结构与所制定的战略相适应时，战略竞争力才能持续下去。而为了使公司战略产生价值，企业必须以战略为导向来配置自身的组织结构。每当企业发展进步并改进其战略时，就需要一个全新的结构来配合整个战略的实施。反过来说，现有的结构也会对未来战略的选择产生影响。”

我国商业银行操作风险管理呈现为一种风险管理系统，操作风险的风险管理理念、策略和政策都需要通过具体的风险管理部门来实施，独立的操作风险管理组织架构是操作风险管理战略得以落实、政策得以实施、过程得以体现的保障。通过它，可以促进统一操作风险管理理念和方法的形成，提高银行整体操作风险管理水平，促进操作风险管理责任的进一步分解和落实，提高风险管理效率。

二、我国商业银行操作风险管理架构的现状

对商业银行而言，业务管理体系和风险管理体系是两个最重要的体系。围绕着“以客户为中心，以市场为导向”的经营理念，不同的商业银行可能选择不同的业务管理模式，但国际上成功的商业银行经验表明，商业银行业务管理模式无论如何变化，必须做到业务管理模式与风险管理架构的有机统一。

1）当前我国商业银行的业务组织架构

当前，我国商业银行基本上采用总分行制。

在纵向业务组织架构方面，各行的基本情况相似。如：一级分行实行的是与总行对口的管理体制，一级分行和直属分行在直接参入经营的同时，各有一套完整的业务和行政管理部门，并与总行对一级分行的管理模式基本相同；一级分行对二级分行采用与总行对口的管理体制，一些职能部门对二级分行对应部室进行直线式管理。一级分行行长直接对总行行长负责，在总行行长授权范围内进行经营管理，其民事责任由总行承担。总行则通过制定一级分行行长经营管理绩效考核指标，着重从资产质量、盈利水平等方面对一级分行行长进行考核。二级分行是全行服务客户和经办业务的主要机构，在经营中接受一级分行的管理。主要方式表现为二级分行接受一级分行下达的各项指导性或指令性的经营指标，接受一级分行对其执行情况进行的监督、检查、指导和考核，同时作为能够独立完成指标任务的功能完备、机构齐全的组织，在接受一级分行管理的同时，还负责管理辖属的基层网点，管理部室齐全，自成体系。

在横向业务组织架构方面，目前各行基本上都以市场和客户为中心，普遍成立批发业务部门和零售业务部门，同时各行着眼于建立以客户为中心的组织机构和业务营销模式，推行客户经理制度，并相继推出了一系列管理制度，体现了我国商业银行组织架构正在向以市场和客户为重心转变。

2）当前我国商业银行操作风险管理组织架构及其特点

有什么样的业务管理模式就有什么样的风险管理架构。我国商业银行业务管理模式“以客户为中心，以市场为导向”，其风险管理架构也同样按照这一原则进行设置，与业务管理架构相配套。

例如，中国工商银行在调整业务管理模式的同时，对操作风险管理也非常重视 。他们健全操作风险管理架构，成立操作风险管理委员会。初步建立操作风险监测指标体系，加强对风险易发部位的动态监控。建立操作风险管理报告制度，及时分析全行操作风险状况制定相应措施规避风险。研究建立防控操作风险应急工作机制。组织完成《操作风险管理手册》，明晰各项业务与管理的关键风险点及控制措施，有效控制操作风险。同时，他们还全面梳理、整合和完善内部控制制度。重新设计、优化公司和个人信贷等业务的运作流程，加强外汇资金交易中台风险控制，实行网点营业经理委派制，推进票据业务风险垂直管理。加强风险集中控制，推进财务、消费信贷业务和会计结算业务参数的集中管理和国际结算单证集中处理。强化操作刚性控制，运用IT技术，对信贷管理、票据交易、会计结算、个人金融等业务操作风险易发部位实行技术层面的刚性控制。建立全面内控评价制度，评价工作由基层行扩展到一级（直属）分行，评价结果成为行长绩效考核和经济资本管理的重要参数。

中国银行对操作风险的管理也非常重视。从2005年起，该行就稳步推进风险管理体系建设，完善风险管理长效机制，努力提高风险管理集中化、专业化水平。该行遵循适中型的风险偏好，并按照“理性、稳健、审慎”原则处理风险与收益的关系。其风险管理的目标是在满足监管部门、存款人和其他利益相关群体对银行稳健经营要求的前提下，在可接受的风险范围内，实现股东利益的最大化。

该行的风险管理遵循以下基本原则：依法合规；风险与收益匹配；实现及维持本行风险管理职能的独立性；对负责的雇员进行问责；协调风险管理与业务发展目标；提供适当披露。该行风险管理体系的建设目标是：把风险管理框架扩展至所有业务部门、分行及子公司；确保有效管理本行多元化产品线中的一切固有风险；建立广泛全面的风险管理文化；发展全面综合风险管理程序、政策和步骤；使用适当的风险管理工具确认、监控和量化本行风险水平。

该行着力提高操作风险管理水平，进一步完善操作风险管理架构和制度平台。2005年制订了《中国银行股份有限公司操作风险管理政策》，明确规定了操作风险的分类、管理组织架构、管理的运行机制和操作风险管理的环境建设；制订了《中国银行股份有限公司基层经营性分支机构业务操作风险控制指引》，向基层经营性分支机构提示了在业务操作中应当注意的主要风险点及控制要点，明确规定了这些风险点的风险级别和主要责任人。

三、我国商业银行操作风险管理组织架构存在的主要问题

中国工商银行和中国银行是我国主要的商业银行，他们在操作风险方面的管理具有一定的代表性，也具有一定的先进性。从上述陈述可以看出，他们在操作风险组织架构建设方面取得了一定的进步。但从他们在操作风险管理的具体实践来看，他们还处在起步与探讨阶段，远没有建立起有效健全的操作风险组织架构来实现操作风险的有效管理。笔者曾长期在我国商业银行工作，认为组织架构是操作风险管理体系的框架基础，是操作风险管理战略和政策得以有效贯彻的保障。目前，国内银行在操作风险组织架构方面的建设还不完善，有待进一步加强。为了更好地了解我国商业银行在操作风险管理组织架构方面存在问题，我们首先了解国际活跃银行在操作风险管理组织架构方面的实践，并进而发现我们存在的问题。

1）国际活跃银行操作风险管理组织架构的实践

国际活跃银行的操作风险管理是与业务管理模式相配套的，对于操作风险管理组织架构的设置，他们是将其置于全面风险管理组织架构之下，并得到了很好的贯彻。

例如，花旗银行在董事会下设风险窗口委员会，作为审议包括操作风险在内的整体风险承受能力与风险决策的最高机构，彻底检查和评价花旗银行的所有风险。该委员会由花旗银行的高级风险管理人员担任主席。委员会的工作包括三大部分：在全球范围内评估花旗银行所处的外部环境，评估包括操作风险在内的各类风险暴露，设定银行期望的风险暴露水平并随之对相应措施进行调整。

图1 花旗集团操作风险管理基础组织架构

汇丰银行为了进行有效的操作风险管理 ，他们一是在集团层面设立了由集团主席、首席信用官、首席财政官、内审主管、人力资源主管、IT主管等组成的操作风险管理小组，负责制定操作风险控制策略、确保操作风险管理框架涵盖了集团公司所有操作及职能部门并得到了统一管理、向业务部门提示目前主要的或潜在的操作风险、进行风险评估和损失数据的复审。二是在集团层面设立操作风险官，作为操作风险管理小组与业务部门的桥梁，主要负责向小组上报操作风险报告、指导集团操作风险数据库的使用、为集团公司提供风险评估、损失数据以及采取措施等的系统技术支持、向资产负债委员会、董事会、审计委员会提供报告等。三是在集团子公司的每一业务及职能部门设置兼职的操作风险业务官，负责向集团的操作风险官以及本产品线主管汇报风险评估结果以及采取的措施、根据需要组织召开本部门业务经理的操作风险集体讨论会、更新操作风险评级、提交操作风险损失情况报告等。四是在最基层则要求每一位业务经理负责管理操作风险，具体职责包括贯彻集团合规风险管理政策、参与操作风险的识别与自我评估；记录并报告损失事件；承担风险复查。这样，在汇丰就形成了自上而下层层负责而又责任明确的操作风险管理框架。

尽管对不同的银行，他们的操作风险管理组织架构可能有这样或那样的区别，但它们存在的目的都是为了有效地管理本银行的操作风险。根据英国银行家协会（BBA）1999年的调查报告，主要有三种操作风险管理组织架构在商业银行中运用，一是设立操作风险管理总部，统一协调整个商业银行的操作风险管理活动；二是设立专门的操作风险管理系统，但不设管理总部，对操作风险以各业务部门的分散管理为主；三是由内部稽核部门管理本银行内部的操作风险，不设独立的操作风险管理系统。各银行根据自己的业务规模、性质、风险管理文化及复杂程度等一系列因素，选择适合自己的组织架构模式。但从目前商业银行界的发展状况看，操作风险管理总部模式被日益广泛的接受，成为操作风险管理组织架构模式的趋势。

图2就是操作风险管理总部模式的体系结构。在此模式下，操作风险总负责人在整个操作风险管理体系中处于领导地位，并直接向首席风险官进行汇报。操作风险负责人下设操作风险管理总部，但操作风险管理总部一般规模较小，其他操作风险管理人员主要分布在各业务部门中，作为总部人员的补充，对业务中存在的操作风险进行管理。尽管这些操作风险管理人员有的隶属于银行业务部门，有的隶属于商业银行职能部门，但都是在统一的操作风险管理框架下协调运作。

图2 操作风险管理总部组织架构模式

应当注意的是，操作风险管理组织架构的有效运作离不开其它部门的良好配合。董事会负责对操作风险管理战略和一些重大问题进行监督检查；操作风险管理委员会负责提高整个商业银行的操作风险管理意识，并保证操作风险管理的资源优先配置；其它的相关部门，如人力资源部门、IT部门和法律部门等，负责对其特定领域的操作风险进行管理。

2）我国商业银行在操作风险管理组织架构存在的主要问题

根据笔者的长期观察，我国商业银行在操作风险管理组织架构设置方面还存在许多问题：

1、银行董事会在操作风险管理中的作用没有有效发挥出来

我们知道，国际活跃银行在公司治理结构形式和运行质量上已取得了骄人的成绩。而我国商业银行虽然在公司治理结构形式上非常接近国际活跃银行，但在公司治理运行质量上却不尽如人意。我国商业银行股东大会、董事会、监事会和高级管理层的各自权利和义务已在公司法或银行公司章程中进行了界定，但在实际运作中，如何按照规范的市场程序和标准选聘合格董事，如何增强独立董事的独立性，如何行使监事会的监督职责以及银行内部控制的等问题还有待深入探讨和实践。正是这些我国银行在公司治理规范性上与国际活跃银行存在的差距，使得我国银行董事会在操作风险管理中的作用没有有效发挥出来。其一，我国银行与国际活跃银行在董事会独立性上的差距必然导致在操作风险管理独立性上的差距。我国商业银行治理结构形式完备，但易出现董事会与高管层“一套人马，两块牌子”的现象，或董事会中高管人员占绝对优势的状况，呈现出资人和经营者身份在一定程度上的混淆，使得董事会对高管层在经营决策行为过程中产生的操作风险监控职能受到削弱。其二，我国银行与国际活跃银行在董事会运作效能上存在差距，结果是我国银行操作风险管理框架建设滞后于对银行操作风险管理的需要。国际活跃银行在制度设计上使董事会对高管层进行严格监督和控制，以避免银行高管层过度承担操作风险让银行受损而自身受益。鉴于股东利益与高管层利益存在一定的冲突，而银行操作风险管理框架的使命是控制银行在经营行为中产生的操作风险，所以要强调操作风险管理的独立性，以避免因风险管理框架建设资源保障不足使银行操作风险管理陷于不正常状态，这在我国显得尤为重要。其三，我国银行在操作风险管理规范和有效性上落后于国际活跃银行。我们知道，操作风险管理政策制度建设应由董事会与银行高管层按照层次差别分工制定和执行，如果董事会不能有效运转，高管层缺乏统一的操作风险管理战略指导，或风险管理战略指导不力，风险管理政策和程序在执行过程中就容易出现偏差，就容易出现操作风险管理的效率低下。其四，由于董事会在监督约束性上存在差距，使得我国银行在建立和运用科学操作风险评估系统上明显落后于国际活跃银行。风险管理要求对操作风险进行有效识别、评估和控制，这就要求高级管理层必须将风险定性分析和定量分析相结合，要求管理者具有较高的操作风险管理知识，具有配套的风险管理信息系统，但我国的商业银行目前却难以满足这样的要求。

2、银行缺乏专门的操作风险管理部门，操作风险管理职责分散

由操作风险定义可以看出，操作风险几乎涉及到银行的各个职能部室。国际活跃银行对此的处理一般是在操作风险管理框架上设置一个委员会，由各相关部门人员参加，而操作风险管理政策的具体执行和协调由操作风险管理部门和具体人员来负责。但在我国，许多商业银行没有专设的管理部门负责操作风险管理，对于出现的不同类型的操作风险由不同的部门负责。例如，内部稽核部门负责操作性风险，电脑和会计部门负责系统方面的操作风险，安全保卫部门负责保卫方面的操作风险等等。这种分散管理做法使得银行缺乏统一的操作风险管理战略和政策，高管层无法清楚了解银行面临的整体操作风险状况。同时，分散管理还会使得有些操作风险因无人管理而陷于真空状态。有的银行虽然设立了专门的管理部门，但总分行之间管理层次多，操作风险管理职责分散或不明确，对出现的操作风险信号反应慢，操作风险管理独立性差，这些对操作风险的有效管理都具有不良的影响。

3、银行基层分支机构操作风险管理职能缺失，无专职管理人员

从国外已有的操作风险研究看，操作风险的发生大多集中在银行的基层分支机构，这一点也在我国的相关研究中得到证实。因此，国际活跃银行一般都在基层分支机构设置操作风险经理一职，负责本银行操作风险管理政策在基层分支机构的贯彻落实，负责本基层机构的操作风险监督与管理，负责本基层机构与上级风险管理信息的交流沟通，进行一些其他与操作风险管理有关的工作，等等。但在我国的商业银行，由于各种原因，目前大多在基层机构没有操作风险经理一职设置，操作风险的管理基本上由基层机构的内部稽核部门负责，这就造成了基层分支机构操作风险管理职能的缺失。由于基层分支机构是操作风险的高发区，这就使得总行的操作风险管理职能部门不能对基层分支机构的操作风险进行实时监控，从而为操作风险的出现提供了机会。

4、银行内部稽核部门权威性较低

通常，国际活跃银行的内部稽核部门在做好内部稽核工作的同时，一般也承担部分操作风险的管理职能。由于他们直接向董事会负责，因而具有很强的独立性和权威性。容易进行相应操作风险的监督与管理。但是，目前我国许多商业银行对操作风险的认识程度较低，往往在分支机构将本机构的内部稽核部门作为操作风险管理的主要职能部门，而本机构的内部稽核部门一般并不直接隶属于银行董事会，而是与一般部室平行设置。因此，权威性较低，它们对本分支机构的操作风险进行监督管理还较容易，对上一级特别是总行层面的操作风险进行监督管理则难以开展。我们知道，许多操作风险是由高层次机构引起的，但表象体现于下一级机构。本机构的内部稽核部门工作权威性较低，就难于对此种操作风险的原因进行有效的查找，这势必会弱化银行操作风险的整体管理。

5、银行操作风险管理的传导机制落后

银行操作风险管理的传导机制通过传递操作风险管理战略和标准化的操作风险管理政策规定，提高整个商业银行操作风险管理信息的对称性，将操作风险降低到银行董事会设定的操作风险可接受的容忍度之内。但由于上述所述原因，我国银行在操作风险管理组织架构设置方面与国际先进水平有较大差距，这必然也体现在银行操作风险管理的传导机制也与国际先进水平有较大差距：其一，报告内容不统一。在传递的信息内容上具体包含哪些项目没有统一的规定，是应该只包括对财务造成影响的操作风险事件，还是应含有未对财务造成影响的操作风险事件，到目前为止还没有达成统一的共识。其二，涉及报告的人员和报告路线。国际活跃银行一般由相关人员实行垂直——横向——垂直的三个步骤的操作风险报告路线。即首先由分支机构垂直向上一级相应部门报告，层层上报至总行各相应部门，由总行各相应部门实施报告归集（垂直报告）；其次是总行各部门报告归集结果再报告给总行操作风险管理牵头部门，由该部门汇集报告结果（横向报告）；最后由总行操作风险管理牵头部门总结报告结果后，向董事会和高管层报告（垂直报告）。在这一点上，我国银行没有完全理顺。其三，问责制度。对于操作风险损失数据在规定的时限内隐瞒不报或由于监控不力、报告不及时导致拖延或漏报，我国许多银行还没有严格的责任追究制度和相关的制度进行问责。

四、结束语

“需要靠天才或超人去管理的机构是不可能幸存下来的，机构的组织形式必须是即使由常人组成的领导层带领也能继续经营下去。”为了实施有效的操作风险管理，我们必须对我国商业银行在操作风险管理组织架构方面存在的不足有充分的认识。认识不足是为了更好的改进，相信通过广大金融界的不懈努力，在操作风险管理方面一定能知不足而更上一层楼。

［1］麦克尔·A·希特、R·杜安·爱尔兰、罗伯特·E·霍斯基森：战略管理——竞争与全球化.机械工业出版社.2002.7.1.

［2］引自中国工商银行网站：http://www.icbc.com.cn/icbc/

［3］陈小宪：风险·资本·市值.中国金融出版社.2004.8.1

［4］杨丽玉：汇丰集团的操作风险管理实践，金融时报，2006年10月16日，第8版

［5］英国银行家协会 （BBA）：Operational Risk Management——The Next Frontier.1999.http://www.bba.org.uk

［6］（瑞士）汉斯·乌里希·德瑞克：金融服务运营风险管理手册.中信出版社.2004.6..1.P.78