试论商业银行操作风险形成与防控

万旅章，李福源，欧阳紫云，徐中亚

(1.中国建设银行股份有限公司黄冈开发区支行，湖北黄冈438000;2.中国建设银行股份有限公司团风支行，湖北团风438000;3.中国建设银行股份有限公司 黄冈分行，湖北 黄冈438000;4.中德住房储蓄银行，天津300450)

试论商业银行操作风险形成与防控

万旅章1，李福源2，欧阳紫云3，徐中亚4

(1.中国建设银行股份有限公司黄冈开发区支行，湖北黄冈438000;2.中国建设银行股份有限公司团风支行，湖北团风438000;3.中国建设银行股份有限公司 黄冈分行，湖北 黄冈438000;4.中德住房储蓄银行，天津300450)

商业银行操作风险是商业银行在业务操作、执行、运行过程中因误差、欺诈、舞弊等使得交易或其他操作出现危害性后果的可能性。操作风险酿成案件事故，根本原因在于人力资源管理存在弊端。优化人力资源管理，提高员工业务素质和职业道德是防控操作风险最根本的措施。

商业银行;操作风险;防控;人力资源管理

一般认为，商业银行面临的风险主要有市场风险、信用风险和操作风险。市场风险和信用风险是传统理论讨论较多的问题，而操作风险是近几年讨论的热点。什么是操作风险?巴塞尔银行监管委员会对操作风险的正式定义是:操作风险是指由于不完善或有问题的内部操作过程、人员、系统或外部事件而导致的直接或间接损失的风险，这一定义包含了法律风险，但是不包含策略性风险和声誉风险。根据《巴塞尔新资本协议》，操作风险可以分为由人员、系统、流程和外部事件所引发的四类风险。[1]

笔者认为操作风险主要以三种形式出现:一是日常业务处理，因失误或故意所为形成纠纷或损失;二是制度或规程存在漏洞，且被人利用;三是因合约签订或履约行为造成的纠纷或诉讼。简而言之，以上四类风险可以概括为三大类别，即流程风险、制度风险、合同风险。具体而言，流程风险是业务处理流程中形成的风险，包括业务差错、执行偏差、欺诈和舞弊。制度风险是制度或规程不严密或存在空白，使得交易或事件的风险环节失去约束或规范;合同风险即合约双方对合同条款存在歧义，在合约期满时无法最终成交，形成纠纷或诉讼。

银行的行业性质决定了操作风险对银行最为敏感。本文主要探讨商业银行操作风险的成因及防控两个方面的问题。

一、商业银行操作风险的形成

根据笔者的工作经历，商业银行的操作风险的形成主要有以下几个因素:

(一)人力资源管理存在诸多弊端，未能最大限度发挥员工的职业优势 所谓风险，是未来结果的不确定性。[2]可见风险是针对未来状况而言，因此风险是无法消除的，只能采取控制和管理的办法。在除去市场、宏观政策、经营决策等外部影响力的情况下，风险是否可控，人的因素是关键。因为人的操作和执行是规制风险走向的主要动力。在一定意义上说，操作风险“来源”于人。因此，风险是否可控，关键在于人力资源管理。当前人力资源管理普遍存在以下弊端:

1.忽视员工职业生涯的拓展和员工职业压力的释放。部分银行员工一直从事一个工种，长年操作单调而重复的程序，会产生并积淀职业疲劳。在员工职业诉求或是职业愿望无法实现时，很容易产生懈怠或是抵触情绪。另外，银行业的敏感性，使得管理层不由自主地对员工的作业流程加强了控制和监管，客观上让员工产生不被认同的误感;同时，银行业的转型换代，使得员工的职业性质发生了巨大变化，他们不再是单纯的会计人员，更多的是充当服务员和营销员的角色，其报酬也直接与营销业绩挂钩，工作压力因而倍增。如果管理层不正视这些压力，不采取一定的措施拓宽员工职业空间，释放员工压力，员工的负面情绪和抵触情绪积压到一定地步，就会丧失职业敏感性和责任感，风险机会就会增大。

2.以简单的教训或惩罚代替员工教育，把正常业务差错与舞弊行为相提并论。不得不承认，目前部分管理层对正常的业务差错缺乏客观分析态度，在处理措施上习惯教训和惩罚，而不是疏导帮助，使员工承受巨大的精神压力，这种压力促使员工“坐视”或“漠视”风险事件，甚至有意“制造”风险。

3.在违规行为的处理上，对终端部位处理得多，对流程环节处理得少;对具体个人处理得多，对作业团队处理得少。实际上，外部知晓得最多的也都是个人违规行为，如携款潜逃、挪用客户存款等。而流程部位和管理层面出现风险事件后，对行为人的处理并不十分严厉，这可能与这类风险事件形式上吻合有关规范或标准，或是牵涉到了一定的管理层面有关。这种作法让人产生一种误感，操作风险主要发生在终端部位，或是控制程序和处理措施主要是对终端部位发生作用。基于这种误解，常规的风险识别和控制程序更多集中在终端部位，如对前台操作和凭证反复进行检查、稽核、监控等。近几年来，这种对终端部位反复实施控制程序的做法愈加严厉、频繁。这种错误的作法已使风险防控偏离了方向，使得风险敞口向上递延。

(二)制度、规范或流程存在漏洞或是不够科学合理，这是操作风险存在的客观基础 一方面，制度、规范制定具有滞后性，表现在业务的发展使得原来的制度或规范的约束力失去效用基础。另一方面，银行的控制流程存在控制过严或是控制过宽的弊端。很显然，控制过严增加了制度成本，控制过宽则放大了风险。对于银行来说，控制过严的现象较为普遍，主要表现为管理层片面追求制度或规范的完备性，试图对业务处理的每个环节都制定相应的标准，由此来判断交易行为是否完全合规。笔者认为，规范或标准的完备性与科学性是两个概念。如果规范或标准过于琐碎，员工会无所适从，导致员工仅仅追求形式上与标准的吻合，放松对交易实质内容的审核，有时甚至故意绕开控制环节，以规避监管。“政严则苦，法密则扰”说的就是这个道理。

(三)在业务处理中，流程控制执行不到位，表现为只关注流程是否符合既定标准，不注重交易背景的真实性和合法性 这些现象主要存在于信贷业务领域，表现为以审查授信材料的完备性取代调查信用客户的经营情况和财务状况;以走访客户代替市场调研;单纯以价格变化判断市场行情;简单以担保物价值对冲信贷风险等。这种蜻蜓点水式的作业方法必然导致信贷投放流程千疮百孔，风险的可控性大大减弱。北京农村商业银行被骗贷7.08亿元就是典型的信贷作业失控案例。

(四)系统或网络缺陷导致银行产品的安全性问题日益突出 这类缺陷可能提供舞弊或欺诈机会，如媒体披露的复制银行卡和网上银行存款被盗就是典型的银行产品缺陷所致。

操作风险诱发的案件事故具有强大的震动性，对银行业能够造成巨大的负面效应，使其面临形象和信誉危机。学界均对操作风险的形成和防控作出了大量的研究和讨论，业界也采取了一系列措施，付出了巨大努力，但是操作风险引发的案件事故仍处于高发态势，有时甚至引起行业危机，经济社会也随之波动。防控操作风险是商业银行及监管部门的当务之急。

二、商业银行操作风险的防控

根据以上对商业银行操作风险成因的分析，结合工作实践，笔者认为商业银行应在以下几个方面加强操作风险的防控:

(一)着实改善和优化人力资源管理，培养以人为本、促进人全面发展的从业环境 一是加强人员和工种的流动性，对员工的工种年限作出适当限制，让员工有机会从事多个工种，拓宽其职业生涯，丰富其工作技能，锻炼其业务素养，刺激其职业热情，增强其职业敏感性。这对消极负面情绪有一定的抑制作用，有利于防止“道德风险”向操作风险转化;

二是通过各种渠道释放员工职业压力，增强其职业成就感和荣誉感。这实际上是人文环境和企业文化建设的问题。管理层应该认识到，员工不仅是生产要素，更是企业的活力和灵魂所在。单纯地给员工施加压力可能在短时间内增加产能和效益，但是长期的施压极易使员工产生逆反心理，甚至消极怠工。因此，有必要给员工创造一个压力释放空间，尊重员工的岗位差异，容允员工正常的操作失误，同时，拓宽员工职业生涯，让员工分享企业成果，开辟员工与企业同步发展的途径;

三是在薪酬分配上要以激发员工创业激情为着力点，形成机会均等、体现岗位差异、区分工种性质的激励约束机制。必须承认，目前的薪酬体制主要以岗位和职位为基础，突出业绩贡献，但忽视了绝对劳动量。事实上，银行业务的正常运行是以大多数的基础岗位运转为支撑的，如前台营业、后台运行、系统维护、信息传输等。这些基础层面所承担的绝对工作量，在时间和数量上超过了其他管理和营销层面，是银行的业务平台。因此应该合理控制薪酬差距，消弭层面隔阂，减轻员工心理负担。

(二)优化制度规程和作业流程，对明显不合理的规范或标准作出修改，提高制度的前瞻性和可操作性 这是一个系统化的过程，需要付出大量的时间去梳理既定规范和标准，并对业务发展趋势作出合理判断，使得其约束力具有一定的生命力，能够适应未来的变化，具备效力空间。

科学合理的控制程序能够最大限度发挥控制效用，其基本作用点是依靠交易执行者本身的职业敏感性来把握交易风险量，并主动实施控制程序，同时又能方便管理层寻找监管线索，以查证控制是否发生作用，执行是否有偏差。

在制定控制程序时，必须考虑交易或事件的发展趋势，避免频繁修订或制订控制程序，造成控制程序之间相互矛盾。控制程序还应对未来效力预留作用空间，避免对新产品形成控制“真空”。

(三)优化风险识别手段，提高风险识别能力

传统的风险揭露和识别方法莫过于检查和审计。但是不得不承认，许多具有影响力的风险事件，并不是由检查和审计发现的，往往是形成案件事故后才识得“庐山真面目”。这并不是检查、审计手段或方法不足的问题，而是风险本身的隐蔽性所致。因此必须客观认识检查、审计的风险识别能力，在优化检查、审计方法、手段的同时，要总结既往风险事件的风险点，归纳损失形成路径，将风险识别时间前移到交易处理前、执行中，构建事前控制、事中审核、事后稽核的一揽子风险识别流程，注重并发挥交易执行者的风险识别功能，提前暴露风险点，削弱风险的隐蔽性。另外，挖掘计算机自动控制功能也具有一定的现实意义。

(四)科学定义各个业务领域、各个业务部位存在的、各种手段发现的风险事件的风险量，区别对待，有效控制 定义交易或事件的风险量，必须以行为人的动机为出发点，以违规性和危害性为着力点，区分风险发生的层面，考虑交易或事件的牵扯性，即违规行为引起的连锁反应，包括哪些流程存在失误或舞弊并形成风险，牵涉到哪些部门或岗位，风险释放后引起何种后果，其损失范围如何。

具体定义风险量时，要注意以下几个方面:(1)行为人的主观意愿是决定风险性的首要条件;(2)交易或事件发生的层面是定义风险量的重要因素，层面越高，风险量愈大，风险的可控度越小，层面越低，风险量愈小，越具有可控性;(3)不同手段识别或揭露的风险，风险量也有区别，内部检查、审计揭露或发现的风险，其后果较突发事件容易控制，突发事件的风险则难以估量。

根据风险量的大小，对相应部位的风险识别和控制程序应有所区别，对风险事件处理措施应该考虑其产生的部位或环节。

(五)建立同业信息共享平台，及时交流风险防控动态 银行应及时通报欺诈者和舞弊者名单及欺诈舞弊方式，提醒业内注意识别和防范;同时建立黑名单记录，将有欺诈和舞弊记录的客户和人员列为非合作对象。这样，就提高了违规成本，对欺诈和舞弊行为起到了威慑作用。

最后，加强员工培训，在提高其职业技能的同时，增强其职业责任感和敬业精神。

总之，银行操作风险是一个集流程风险、制度风险和合同风险的风险集成，其形成既有经营管理的因素，也有制度规范的因素，还有企业文化和人文环境的因素，是管理层经营理念和经营风格的直接体现。操作风险的识别和防控是一个系统工程，需要从改善人力资源管理、建立健康的企业文化和和谐的人文环境、提高员工业务素质和职业素养、优化流程控制、共建业内信息平台等方面多方着手，构建一个联动反应、相互作用的长效机制。

[1]http://baike.baidu.com/view/136636.htm 操作风险

[2]中国注册会计师协会.公司战略与风险管理[M].北京:经济科学出版社，2010.

F832.1

A

1003-8078(2011)04-0100-03

2011-05-06

10.3969/j.issn.1003－8078.2011.04.30

万旅章(1967－)，男，湖北黄冈人，中国建设银行黄冈开发区支行经济师;李福源(1974－)，男，湖北红安人，中国建设银行团风支行会计师;欧阳紫云(1968－)，女，湖北黄冈人，中国建设银行黄冈分行经济师;徐中亚(1975－)，男，湖北浠水人，中德住房储蓄银行会计师。

责任编辑 周觅