银行操作风险管理[2020年最新]

第3章ⅩⅩ银行操作风险的现状分析

3．1商业银行操作风险现状分析

目前我国商业银行操作风险现状与国际活跃商业银行比较，具有如下特征(抽样统计)：

3．1．1贷款业务风险高从风险发生业务类别

u来看，国内贷款风险事件高于零售银行业务。据统计，

70％和18％，贷

90％以上12。而国际上，零售银行业务操作风险事

我国商业银行贷款业务风险事件和零售业务风险事件占比约为款风险事件损失金额占比更达业务占比重的特点决定的。3．1．2内部欺诈风险多

从损失事件类型来看，我国商业银行内部欺诈事件高于外部欺诈事件。在我国，归因于内部欺诈发生频率为险事件，损失占比分别为

50％，损失占比在

60％以上，外部欺诈发生

频率约20％。丽国际上，占比较高的是外部事件和执行、交割以及流程管理风

42．3904、35．07％；相比之下，内部欺诈事件则很低，

3．31％、7．23％。这充分说明我国商业银行的内控

发生频率和损失占比分别为有体系相对国际商监银行非常薄弱。3．1．3内部因素大

从操作风险魄成因来看，我国商业银行操作风险成因主要集中在银行内控制度不完善，内控管理存在漏漏、内部人员道德风险以及内部员工素质不高等内部因素上；而国际上，操作风险原因主要是外部事件影响及交易流程环节漏洞。

3．2ⅩⅩ银行操作风险分类与风险点

中国ⅩⅩ银行成立时间短，在业务能力和管理水平上都还不成熟，与其他先进商业银行存在一定的差距。因为是从邮政储汇局转型而来，ⅩⅩ银行面临的操作风险有具备自身独有的特点。一方面，业务种类相对较少，操作风险类型相对简单，另一方面，管理基础薄弱，复杂的管理体锚，ⅩⅩ银行又比其他商业银行多出一些操作风险。ⅩⅩ银行成立前，ⅩⅩ银行的主要业务为吸收存款，操作风险主要集中在现金管理、人员操作等方面。银行挂牌成立后，其业务范围不断扩大，从负债业务拓展到资产业务，从个人业务拓展到对公业务、资金业务，风险类型也有所增加，从ⅩⅩ银行的目前形势和发展趋势来看，ⅩⅩ银行的操作风险类别与其他商业银行操作风险类型大体相同，主要有：柜面业务、会计业务、信贷业务、资金业务、中间业务、操作系统风险等六大类。

3．2．1柜面业务操作风险

在ⅩⅩ银行，柜面业务交易仍占总体交易量在行重点关注点之一。

(一)账户管理风险

账户是商业银行客户资金变动的主要载体，人民银行要求，各商业银行必须严格遵守《人民银行帐户管理办法》要求，对账户的开立、变更、撤销严格把关，对个人账户严格执行实名制，坚决防范违规使用账户，利用账户洗钱等

80％以上，柜面业务是操作

风险的高发地带，特别是在现金、重要单证、印、押、证管理方面，是ⅩⅩ银

件发生的频率和损失占比较贷款业务高。这主要是我国商业银行中，贷款资产

行为。但复核授权机制在ⅩⅩ银行很多基层分支机梅没有形成，人员不到位、复核岗位缺失，柜员办理业务“一手清”现象非常普遍。同时，基层银行往往疏忽对账户异常变动的监控，没有及时发现账户异常变动的信号，未严格执行对账制度，导致风险事件已经发生而未被发现。(二)大额交易风险

银行应当对大额存取款、转账等交易实行分级授权和双签锚度。从很多历史案件中可以看出，频发、高发的案件往往作案手段惊人相似，他们往往是抓住管理漏洞，利用了银行对大额交易授权审批不严，制约不舞位的的机会，挪用客户资金、盗取金库现金等。如此办法挪用客户资金

39．8万元。

(三)对重要物品、重要单证的管理风险

重要单证、重要物品等是客户在银行支付结算的有效支付凭据。从各家商业银行的案例中可以看到，很多案犯都是通过伪造、变造票据、印鉴等内容进行做案得手的。如

2012年2月22日，

lO张，

某客户送交拟贴现银行承兑汇票

X省X县邮政局窑淮储蓄所支就利用用

ⅩⅩ银行郑州市分行票据中心成功堵截金额总计1080万元，这10张票据系烟台银行的被盗票据。烟台银行胜利路支行行长在(四)印、押、证三分管风险

印、押、证三分管是指使用和保管重要印章的人、押数机人员、单证管理人员俩俩不得兼任，印、押、证管理人员三者之间形成有效的制约和监督机制。印、押、证如果没有做到三分管的原则，则容易引发内部员工恶意套取空头支票的风险。(五)操作系统风险

操作系统风险主要是指作案人员利用系统漏洞进行盗取挪用资金的风险。如部分柜面人员利用系统的漏洞，进行空存支取套取现金并掩盖。(七)日终时的账务处理风险

银行柜面必须做到日清月结，账实相符，每日曰终时钱箱上解，及时勾挑对账，发现差错及时查找解决。但在日常操作过程中，柜面人员经常疏于对账复核，或流于形式，没有及时进行事后监督。而作案分子往往利用这一漏洞，隐瞒其盗取、挪用资金行为。3．2．2会计核算业务操作风险(一)重要会计岗位

b的管理

商业银行重要会计岗位包括会计主管、会计结算、出纳、单证管理员等岗位，商业银行会计、出纳岗位每目经手资金流量大，岗位之间制约机制及其重要，否则未经复核授权办理业务，缺乏有效监督，极易造成极大的资金损失隐患。同时，ⅩⅩ银行会计岗位人员还配备不足，容易造成会计出纳岗位不能充分发挥岗位制约作用。不按要求执行强制休假制度和定期轮换制度也是ⅩⅩ银行重要风险隐患之一。纳的监督作用。(二)授权

ⅩⅩ银行已经建立了分级授权审批制度，明确了各级会计部门、会计

2011年11月1日，某行西安市支行，出纳伪造现金缴款

单挪用现金一案被发现，其主要作案原因就是会计岗位未充分履职，发挥对出

2011年4月到2012年1月份共

盗取票据276次，总金额4．3亿元，金额非常巨大。

人员的权限。但是在执行过程中，存在因为系统不完善，人员不足，履职不到位等原因，授权审批髓度未真正落实到位的情况。如未经审批，擅自转账、划拨资金等。

(--)对账

根据《会计法》规定，账账、账据、账款、账实、账表和内外账六相符是重要的会计基本要求，是商业银行防范和发现风险的重要手段。很多案件的发生，直接原因是因为对账制度不健全，对账方法落后，对账执行不到位，对账不及时，或者对账时间和方法固化，造成监督不力。很多风险事件的发生，往往都是利用对账机制漏洞，或者内外勾结，规避对账制约作用所致。鄱阳湖亿元资金挪用案，也正是内外部人员勾结，未进行及时对账导致未发现此案。

3．2．3信贷业务操作风险

信贷业务是我国商业银行操作风险的集中高发地带，而且这类操作风险往往会给银行带来巨大的资金损失。对ⅩⅩ银行来说，因为经营贷款业务特别是公司贷款业务时间短，贷款风险控制经验少，因此更应注重贷款风险：(一)岗位分设

银监会要求，贷款办理应遵循审贷分离、贷放分离原则，否则容易造成内外勾结，虚假贷款套取资金。ⅩⅩ银行目前还存在信贷岗位设置不合理的情况，存在信贷员与审查岗，信贷岗与放款岗职责不清的存款，部分支行贷款发放都还在信贷业务部门处理，极易出现风险。(二)集体审查制度

ⅩⅩ银行信贷业务是通过审贷会进行审批的，这样可以解决权力集中，

领导“一支笔’’的问题，但是在审贷会过程中，审贷会成员责任意识不强，造成贷款审批时讨论不充分，或者有关风险因素未及时提示，不能有效防范风险。(三)集团客户授信

为获取贷款资金，有的公司特别是一些集团客户往往利用分公司、多头贷款和多头互保，而商业银行未尽到尽职调查的责任，

轻信客户，导致贷款到期不能及时收回。这种问题目前在银行业日益严重，是商业银行重点风险防范内容之一。(四)贷款三查

贷前调查、贷中审查、贷后检查是每笔贷款的必经流程。贷前调查阶段风险点包括：未双人实地调查、资料收集不详实、不完整，包庇客户、故意回避客户风险，未正确分析客户还款能力，调查报告不严谨完整等；贷中审查的风险点有：未、公正，严格审核资料的完整性，未全面揭示风险点；贷后检查的风险点有：未按规定频次和内容检查，发现问题不及时披露，未及时催收，档案管理凌乱等。三个环节中，贷前调查不认真、贷后检查流于形式往往会给银行带来严重的风险隐患。(五)授信管理办法

开办信贷业务的前提必须具备健全的信贷授信管理办法‘政干预等，必定会出现风险事件，造成资金损失。(六)借款用途的审查和监控

银监会规定，各家商业银行必须严格遵循“三个办法一个指引”规定，要求各

4，保证授信审批过

程完整、严格。如果在授信过程中，不认真执行分级授权制度，放松标准、行

2009年，ⅩⅩ银行南昌市分行“彭辉案件”就是典型

的内外勾结，未认真执行贷前调查，贷中审查不严格，贷后检查流于形式所致。

子公司名义进行多头开户、

2011年的5年都

家银行审核贷款用途和监控贷款资金流动和用途，对于大额贷款、固定资产贷款都应采取受托支付的办法。但是，目前仍然有很多客户将通过贷款、贴现、办理银行承兑汇票方式套取信贷资金，挪作他用，进入股市、房市等，很重要的原因就在于银行对借款用途审查和监控不严。3．2．4资金业务操作风险

ⅩⅩ银行于20]0年才开始开办资金业务，时闻不长，因为单笔交易资金量非常巨大，少则千万，多财数百亿元，因此要尤其注意资金业务风险。曾经轰动一时的巴林银行的倒闭，就是资金业务。(一)岗位分设

资金业务分为前台交易与后台结算，前台交易与后台结算是办理资金业务的重要原则之一。巴林银行倒闭的重要原因就是资金交易与结算职责合一，未发挥到前后台的互相至于作用所致。(二)资金的调入、调出

资金的调入、调出必须有真实的业务交易背景，没有真实背景的交易后面，往往隐藏着巨大的风险。一旦发生损失，后果不堪设想。(三)授信

授信也同样存在于资金业务的重要一环，是建立在充分了解你的对手基础上的。目前，ⅩⅩ银行的授信管理办法和规程还不完善，操作性不强。(四)交易头寸

头寸管理是商业银行流动性管理和风险管理的重要内容之一，保持适当的头寸过小，往往会产生流动性风险，引发挤兑，头寸过大往往会给银行带来一定的资金成本损失。(五)结算

后台结算部门必须严格依据有效结算凭证办理结算业务，这是资金业务的最后一环，保持其性是防范风险的必要前提，必须坚决强制干预后台结算人员违规办理付款交易。(六)极端情况的应对措施

市场突发快速变化等会引起极端事件产生，如流动性紧张，交易对手破产等，这样商业银行也容易遭受重创。3．2．5中间业务操作风险

ⅩⅩ银行中问鳖务风险类型主要包括以下几个方面：(一)支付结算业务

支付结算业务是商业银行基础业务之一，支付结算业务一般必须依据有效支付凭证办理。在实际操作过程中，往往遇到客户提交虚假票据或结算凭证要素不齐全、不真实，委托收、付款指令错误，超过有效付款期等情况，还有员工操作失误，员工故意篡改客户凭证虚假办理业务等。这些都容易造成风险事件，产生资金损失。而且，有的票面金额大，造成损失金额大。(二)代理业务

ⅩⅩ银行的代理业务主要包括：代理基金、理财、保险、代收付等业务。目前，ⅩⅩ银行代理业务还存在一定的风险隐患，主要表现在：系统不稳定，不完善，资金账户未严格实行专户管理，操作存在随意性，收付手续费不严格，对账制度执行不到位，影子银行风险加剧等。(三)贷记卡

近几年，各家商业银行贷记卡业务发展迅猛。但是一些银行为了追求发卡

量，放松了对申请人的资料审查准入，留下风险隐患。韩国的信用卡危机表明看似不起眼的贷记卡业务也足以让大型金融机构倒闭，甚至引发金融危机。贷记卡业务中的操作风险点主要包括：对申请人资料审查不严，不能有效揭示风险：持卡人恶意透支；持卡人套现、持卡人利用银行卡进行违法活动等等。(四)咨询顾】隧业务

咨询顾问虽为表外业务，但是也存在一定的操作风险。根据巴塞尔委员会关于操作风险的定义，银行在咨询业务中如果不能对客户履行应尽的业务职责或服务设计存在缺陷同样会面临损失。主要代价是客户流失、银行与客户纠纷或银行声誉受损。

3．2．6计算机信息系统的操作风险

随着信息技术的不断发展，计算机系统和软件已经成为各家商业银行竞争力的重要一面，决定客户服务质量和水平。ⅩⅩ银行在计算机系统管理的操作风险主要有：

(一)岗位设置

计算机系统的开发、维护等人员能够接触到大量的内部数据，如果岗位设置不合理，开发人员、管理人员与操作人员岗位责任不明确，互相兼职，则容易产生相关人员泄密或篡改数据库信息等风险。(二)系统开发

因为ⅩⅩ银行正不断增加新业务，相应也就有大量的系统正处于开发中或即将开发中。在系统开发过程中，往往会存在商业机密泄露，测试环境影响生产环境，系统开发不能满足业务需求等情况。而且，目前ⅩⅩ银行往往会因为时间问题，系统匆忙上线，造成交易失败或者交易重复而造成资金损失。(三)软硬件采购

ⅩⅩ银行软硬件采购的风险主要表现在：操作程序不合规定，未按招投标规定采购，未进行安全测试，合同签订存在漏洞等。(四)用户和密码管理

用户和密码是进入银行金融系统的开门钥匙。但是，目前ⅩⅩ目

前还未实行指纹授权，而银行内部员工风险意识不高，往往会不及时修改密码，密码交他人使用，离岗未及时签退等情况。(五)病毒入侵

黑客攻击、病毒入侵、钓鱼网站是目前商业银行计算机系统面临的重要操作风险之一，是典型的外部欺诈风险。(六)数据信息管理

数据信息管理的风险主要为，内部员工没有遵守为客户保密的原则，泄露客户信息，或者因管理不善，到时客户数据外泄，信息泄密等情况，给银行带来声誉风险。(七)应急系统

应急风险主要表现在系统突然出现中断或故障导致业务停运，但是邮政储蓄银行没有相应的应急措施导致数据丢失，资金风险损失的情况。3．3ⅩⅩ银行操作风险隐患原因分析3．3．1组织架构不完善

(一)组织框架不完善，基层操作风险管理机构的职能缺失

操作风险损失事件多发生在基层分支机构，并且数额很大、影响很坏，基层分支机构是操作风险的高危区。ⅩⅩ银行在二级分行

(市分行)机构都

设立了风险管理部门，但在县支行并未设立风险管理部门，对基层岗位上的操作风险问题管理不严，基层的操作风险管理机构管理权限较小，习惯性的遇到问题就上报，不能及时处理风险。

(二)内部审计体系不够和权威

ⅩⅩ银行设立了审计部门，但权限上却又与其他职能部门平行致使其性作用难以发挥，权威性不够，结果必然导致其实质的稽核监督工作难以进行。

(三)操作风险管理工作难以协调

操作风险主要因素包括人员、系统、流程和外部事件

15，这些因素几乎覆盖

了银行的所有经营活动和所有部门。在ⅩⅩ银行，各个部门负责与自己相关的操作风险，没有进行系统的分类，部门之间缺乏有效沟通和协调，缺乏统一的协调部门，使操作风险管理效果大打折扣。3．3．2管理不顺

网点属性复杂造成权责利不明晰。目前，ⅩⅩ将机构分为三类

16，第一

种为自营网点，这类网点可办理存贷款和中问业务，其业务和人员归ⅩⅩ银行所有；第二种为二类网点，这类网点可办理对公业务以及代理储汇和中间业务，网点支行长为ⅩⅩ银行派驻，固定资产和其他员工归属为邮政企业；第三种为代理网点，这类网点可代办邮政储汇和中间业务，人员和固定资产全部归属邮政企业所有。目前，ⅩⅩ银行自营的网点有政企业代理网点

400个，二类网点

339个，邮

655个。因为机构瞬点、人员归属的不统一，业务、人员相互

交叉，造成收入分配和工作责权利的不明晰，极易出现无序竞争。(一)ⅩⅩ银行整体竞争力和品牌形象难以形成

ⅩⅩ银行自营网点与代理网点虽然归属于两家企业，但是，对外形象和宣传上都是统一的。但因为代理两点的固定资产及代理网点硬件设施改造审批权归邮政局，造成ⅩⅩ银行没有网点装修改造的自主权，网点标准化建设难以开展，造成网点给客户的形象不佳，影响ⅩⅩ银行竞争力。(二)风险管理责任划分不明

目前邮政企业与储蓄银行的职责划分是：邮政企业负责金库、运钞以及邮政金融信息网络的安全管理；负责代理网点设施的安全；负责督促落实银行对二类及代理网点提出的闯题整改建议；ⅩⅩ银行的职责是：负责金融业务和所有ⅩⅩ网点的风险控锻、安全制度制定及检查；负责从业人员金融业务和风险防范的培训。这种职责的划分，容易导致发生案件互相扯皮，比如说金库资金发生盗取，会存在邮政安保不到位和银行管理不到位问题的扯皮情况。同时，ⅩⅩ银行对代理网点的检查，只能自邮政局提出处理建议，不能直接对责任人进行经济处罚、行政处分和岗位调整，不利于问题的整改。(三)内部利益冲突初步显现

ⅩⅩ银行的委托代理经营模式，使代理人与委托人之间容易产生逆向选择和道德风险

17。一方面，自营网点与代理网点之间形成恶心竞争，产生存款

“代而不理”，甚至与ⅩⅩ银行产生业务发展与

搬家。另一方面，中国银监会规定，ⅩⅩ银行为案件防控第一责任人，二类支行与代理网点则会怠于尽职、(四)存在操作系统风险隐操

尽管ⅩⅩ银行与邮政企业代理机构业务范围不同，但是共用一套金融操作系统，相关功能和权限对邮政和银行相关人员都是开放的。对内控机制不完善，风险管控的矛盾。如代理机构不按要求寄送凭证进行事后稽核等。

风险管理、内控制度、业务操作流程和岗位职责体系尚未完全建立的ⅩⅩ银行来说，极易产生业务操作风险。(五)信息传导不畅，管理纵横交错

目前，ⅩⅩ银行与邮政企业的分支机构分别隶属不同的上级法人管理，但是在业务管理过程中，存在上下、横向沟通，尽管ⅩⅩ银行与邮政企业定期有协调会议，信息沟通传导不顺畅问题仍然严重，各自为政，造成遇到问题很难沟通协调，影响ⅩⅩ银行风险管控职能的发挥，不利于风险的防范和控制。3．3．3管理存在漏洞(一)制度体系还不完善

ⅩⅩ银行成立时问不长，尚未形成完善的业务管理办法、业务操作规程及相关内控制度体系，有的管理办法又相对落后，没有与时俱进。(二)部分业务流程存在缺陷

ⅩⅩ银行全款交易后按揭贷款流程未设置的放款审核岗位或部门进行贷款资金支付审核管理，未对贷款用途做出明确约定，缺少贷后管理尽职要求；个人二手房贷款操作规程未要求调查、审核借款人家庭实有住房情况，不能确定借款人住房套数，只能凭借经验主观、机械地进行利率定价。(三)个别贷款产品存在瑕疵

ⅩⅩ银行二手房贷款产品未要求定期对借款人履行借款合同及信用、担保情况变化等跟踪检查和监控分析。全款交易后按揭贷款未按照审慎规则设定借款人房产支出与收入控制比。同时，贷款新规落实不严，面谈制度执行不到位，诚信申贷原则不贯彻，客户承诺及免责声明缺失。[171安宝柱．对ⅩⅩ银行二类支行改革的思考(四)执行交割流程管理不狲位

因部分前台柜员素质技能较低，导致“系统误操作”

，造成出纳长短款频繁

发生。个别柜员未经批准登录客户账户，未经授权违规修改客户信息，违规办理挂失冲正、密码重置等特殊交易。现金交易不按规定交割，违规保管客户现金、存折、绿卡等物品。守库押运、寄发对账单等外包风险边界不清晰，未严格履行强制报告职责，甚至蓄意隐瞒案件，使得同质同类问题难以彻底整改。(五)市场营销尽职不到位

ⅩⅩ银行部分代理保险、理财产品风险披露不充分，未履行“诚实告知”义务，甚至误导客户投保或投资，未按监管规定要求客户进行风险语句抄录问题普遍，易诱发客户投诉及争议缉纷。同时，部分市场营销人员在客户选择、业务发起及风险暴露方面，不按趣定审查借款人信用状况，对借款人还款意愿、担保及偿债能力评估不充分，为争余额、扩份额而放松授信条件，致使顶冒名贷款、贷款挪用、超过客户风险承受能力贷款问题广泛存在。(六)“内部欺诈”型交易比较普遍

“内部欺诈”型交易集中体现在“未经授权办理业务”方面，重点领域是存款及柜台业务，主要人员是二类支行及代理营业机构临柜柜员。突出表现：一是部分代理营业机构内部制度执行力不足，有章不循、违规操作问题较为普遍。如，存在空存空取、调剂现金等大额反交易，现金交接不在监控可视范围，营业终了不按规定核对账务。二是“流程银行”意识薄弱。在存款及柜台业务领域，二类支行和代理营业机构以习惯代替制度、以感觉代替规程，业务操作随意性较为突出。如，不按规定验视存单

(拆>、办理大额存取款，未经批准在非营业时间

进入系统办理业务。三是人员异常行为监控不到位。账户监控薄弱，异常行为

[J]．黑龙江金融．2011年5月

排查不彻底。如，利用从业人员个人账户过渡客户资金、ATM长款以及其他不

规范操作。

3．3．4人员素质不高

(一)从业人员操作风险意识较低

ⅩⅩ银行从业人员大部分是成立以前邮政从业人员转化而来，缺乏系统的、专业的、全面的金融基础和专业知识，整体素质不高，也缺乏从事金融专业应具备的风险意识，风险识别和防范能力严重不足。(二)部分机构从业人员数量不达标

银监会《中国ⅩⅩ银行代理营业机构管理暂行办法》(银监发(2009)

9号)规定“熟悉银行业务的人员不少于4人，其中50％以上的从业人员有

1年

以上银行业工作的经历……”。事实上，部分代理营业机构人员仍未达到最低要

求，要求从业人员具有

1年以上的银行业从业经历存在现实性困难。随着二类

支行改革进程加快，因ⅩⅩ银行成立时问短、人员新，大多数人员达不到高管任职的从业年限，导致一类支行高管缺失问题突出。由此，造成无法进行正常的一类支行高管人员交流、二类支行及代理机构前台柜员轮岗轮调、强制休假。(三)人才匮乏

商业银行操作风险量化管理工作对人才要求很高，需要对风险管理、金融、统计、精算学以及计算机和信息管理等很多方面的知识都有比较深的了解和研究。而ⅩⅩ银行这样的操作风险管理人才极度紧缺。3．3．5软硬件设备不达标(一)部分机构安防设旌不达标

现行下，ⅩⅩ银行的守库押运由邮政局负责，因邮政局安防投入不足，安防基础设施不达标，特别是银行业务库、安全门等行业要求与标准不断提高，邮政局未能及时升级更新换代，导致银行业务库、防护门、视频监控装置等安全防护能力级别“自然降低”，抗暴力侵害能力低下。

(二)ⅩⅩ银行计算机系统不完善

因ⅩⅩ银行是转型而来，转型之前建立的金融系统未覆盖银行的全面业务，拓展性不强，一项业务一个系统，因而给操作人员特别是前台操作人员，造成很大的压力，容易出错，也导致网点业务处理效率低。另外，姆储银行计算机系统存在漏洞，对操作风险的监控功能基本空白。3．3．6量化管理落后(一')意识淡薄

ⅩⅩ银行操作风险管理长期习惯于定性分析，量化管理采用的不多也没有意识到其重要性。(二)数据稀缺

我国操作风险量化管理起步晚加上意识淡薄，

造成不注意收集和积累操作风险损失数据，

而造成目前量化管理时数据的缺乏。而ⅩⅩ银行成立时间短，

尽管可以吸取别的商业银行经验，数据积累很不充分。巴塞尔新资本协议要求的至少5年以上的数据基础，因而ⅩⅩ银行即使采用模型进行量化管理，结果也未必准确。(三)工具缺少

巴塞尔新资本协议中推荐的三种操作风险计量方法都有一定的适用条件，其中基本指标法和标准法够条件却由于比较简单无法准确反映复杂的操作风

从

险，但是高级计量法又因自己条件达不到监管机构的要求而无法成行。

第5章ⅩⅩ银行操作风险管理应对策略

鉴于中国ⅩⅩ银行刚刚成立，对操作风险的认识和管理尚处于起步阶段，对操作风险的特征和现状尚缺乏清晰的认识，因此对ⅩⅩ银行来说，加快操作风险管理建设，在发展的过程中坚持“内控优先、规范操作、遵守制度、违规问责、综合治理、标本兼治”的原鲻，形成系统的操作风险管理体系迫在眉睫。ⅩⅩ银行操作风险管理应从组织架构、流程管理、损失覆盖、信息披露等多方面入手，多管齐下，才能跟上其他现代商业银行步伐。5．1构建操作风险管理组织结构

良好的组织结构是保证操作风险管理顺畅的保障，ⅩⅩ银行需要构建一个有效的操作风险管理组织结构。5．1．1完善操作风险管理组织机构设置(一)设置操作风险管理委员会和风险管理部门

成立的操作风险管理委员会和主要业务线的操作风险管理团队，操作风险管理委员会直接对行长负责，统筹管理全行操作风险；各业务线的操作风险管理团队要全面管理业务线上的操作风险，及时报告；基层行要设立风险经理岗，贯彻落实省行统一的操作风险管理战略框架、管理；上下级风险管理部门和风险经理要保持沟通顺畅，报告路径畅通。(二)明确各层级操作风险管理机构的职责并严格贯彻执行

操作风险管理委员会的职责是负责制定定本行的操作风险战略、管理、管理程序和内部控制流程，对相关高级管理人员和风险管理部门在风险管理方面的工作进行监督和评价。操作风险管理部门职责是负责银行经营活动和业务中的操作风险识别、损失事件的收集整理工作并上报委员会，负责各职能部门与操作风险管理部门之问协调沟通，避免操作风险管理过程中的真空状态。风险经理的职责是负责信息收集、研究支持、日常工作联络。5．1．2发挥审计条线作用

(一)确保内部审计部门的权威性和性

设置的内部审计委员会直接对行长负责，下辖的内部审计部门应直接对委员会报告，不应与其他职能部门平衡设置，形成的内部审计体系才能确保其发挥监管作用，保证审计的权威性。(二)引入外部审计并形成制度

外部审计有助于金融法规的实施，改善商业银行内部控制，提高操作风险控制水平，同时又具有较强的性，便于审计作用的发挥，是对内部审计和操作风险管理的有效补充，保证这些措旌有效的关键是各单位务必明确自己的职责并切实贯彻执行。否则，没有人执行或执行不力，制度即使再完善也是空话。

5．2完善操作风险管理流程

现阶段，ⅩⅩ银行对操作风险的管理主要依靠内部控制制度和内部审计程序进行管理。尽管目前中国ⅩⅩ银行的各项内部控制制度已经基本建立并在不断完善中，基本上保证了ⅩⅩ银行各项业务正常有序开展。但是随着新业务的不断推出和业务不断扩大，ⅩⅩ银行面临的操作风险压力将越来越大。因此，积极引入操作风险管理理念，建立一个有效的操作风险

管理流程有重大的现实意义。5．2．1风险分类和识别

ⅩⅩ银行应参照新资本协议并结合自身实际对各业务条线、各业务品

种的操作风险进行细分，可以将操作风险分类为：与柜面风险、会计业务风险、信贷业务风险、资金业务风险、中间业务风险、计算机管理风险六大类。对各类业务的风险点全面分析，有针对的提出(一)加强内控制度建设

1、风险管理，制度先行。ⅩⅩ银行，应根据本行实际情况建立

完整的内控制度体系，一方面是完善业务制度体系，特别是针对各项具体业务制定详细的管理办法、操作规程，明确各项业务操作、审批权限，等，提高约束力。

2、逐步实行流程银行管理，积极实施流程再造，提高标准化程度，明确

风险点，建立科学的、标准的的业务操作和管理流程，围绕“对应岗位、流程步骤、管理要素”三个关键环节实施，明确各项业务“谁来做、怎么做，关键事项”等，从而有效突破风险点，严防逆流程操作。(二)提高执行力

得不到执行的制度如同摆设。因此，ⅩⅩ银行必须提高执行力，保证各项制度落到实处。对于ⅩⅩ银行当前面临的各类风险，重点抓住风险点，充分发挥风险防范作用。根据本文对ⅩⅩ银行操作风险分类，应重点抓住以下方面风险点盼把控和执行：

1．充分发挥岗位制约作用。包括发挥会计与出纳，信贷员、审查员、审批员、放款员，前后台，业务经办、复核、授权的岗位制约作用。2．严格执行授权审批锚度。这涉及到ⅩⅩ银行所有业务，执行分级授权审批制度是落实责任，强化员工风险意识的有力手段。

3．加强对账制度执行。严格执行内外对账制度，保证账账、账实、账表、账证、账账、内外帐对账相符，及时发现和防控风险，保证资金安全。5．2．2风险评估

ⅩⅩ银行要充分运用操作风险自我评估这一管理工具，辅之于流程、情景模拟或调查问卷等方法，进行压力测试，对各项业务活动和作业流程中的操作风险进行评估。5．2．3风险预警(一)重视日常监督检查。

建立操作风险预警机制，选取合适预警指标，完善操作风险监测体系。增加对会计、出纳等重要岗位履职检查频次，加大对人员以及存单质贷款、银行承兑汇票、贴现等易发案件业务的日常检查力度，防患于未然。(二)充分发挥审计监督稽核职能。

过去，审计部门往往侧重于业务合规性的检查，检查铝

4度执行情况，忽视

或不重视风险性检查。审计部门要变合规性审计为主的审计方式向合规性与风险性审计并重方式转变转变，突出风险点的审计，及时有效监测评价各单位风险状况，及时提交审计报告。

(三)确立并及时监控关键操作风险指标。

关键风险指标是用来考察商业银行风险状况的统计数据或指标，是对操作风险评估和监测的重要工具，可以起到很好的预警作用。关键风险指标应具备

．另一方面是

完善业务发展保障制度体系，如内控检查办法、员工行为准则、应急管理办法

_应对策略。

的针对性、可测量性、准确性、可靠性以及时效性，如备付金指标、系统运行差错率等。5．2．4风险报告

操作风险报告主要包括四部分：操作风险自我评估报告、操作风险损失事件报告、操作风险管理部门定期向高级管理层报送整体报告以及审计部门定期向高级管理层报送操作风险管理审计报告等。巴塞尔新资本协议要求商业银行必须建立面向董事会、高级管理层和业务管理层的关于操作风险信息的日常报告机制。但是目前ⅩⅩ银行的风险报告还未形成统一和规范规定，造成高层无法及时获知发生的操作风险事件，从而无法及时采取有效的风险控制措施。我认为事件潜在或实际的严重程度决定了该事件报告的速度和层面，建议邮储银行应建立的风险报告详细流程说明如下图5．2．5应用信息管理系统

使用先进的技术和管理工具是操作风险管理的重要手段，ⅩⅩ银行要借助计算机功能，将操作风险管理流程转化为计算机系统功能，系统约束，中后台牵制前台的作用，使伺机作案分子不能做不敢做。ⅩⅩ银行应整合客户信息系统、人力资源管理系统、信贷管理系统、财务管理系统、资金管理系统等业务系统信息，深度挖掘和充分使用本行内部信息资源，开发操作风险管理信息系统，借助先进的

lT技术，建立操作风险历史数据库，从而为计量风险、

分配资本和设计模型提供基础。

总之，一个好的操作风险管理流程制度要具备以下几点：一要有可行性和可操作性，风险管理流程制度无论如何健全和完美，如果其中某些过程或环节不具有可操作性，毫无意义；二是全面性，操作风险管理流程在可行和可操作的前提下要尽可能覆盖所有风险点；三是要有有效性，能够真正起到风险控制和防范的作用；四是易执行，ⅩⅩ银行机构层级多，网点多，其操作风险管理流程要使银行最基础的工作人员都能够明白其流程模式和实旌进程：五是要有检验机制和反馈矫正机制。我认为，ⅩⅩ银行应设计管理流程如图5．2)所示：

操作风险量化管理可以提高操作风险管理流程的标准化程度，增强操作风险管理可操作性，掌握银行操作风险整体状况，预测操作风险变化趋势，为操

作风险分配经济资本，提高抗风险的能力。因此，ⅩⅩ银行应依据自身条件选择合适的操作风险量化工具和手段进行操作风险管理。5．3．1建立并完善损失数据库

操作风险损失数据库是操作风险进行量化管理的基础，ⅩⅩ银行因加快操作风险损失数据库建立和完善，包括内外部数据，同时要注意：(一)正确对待内外部数据

巴塞尔新资本协议要求采用高级计量法的银行要同时使用内部损失数据和外部损失数据。外部损失数据主要来自于专门的损失资料收集机构或的外部机构。内夕卜部数据积累过程中要求收集的信息内容略有不同用内外部损失数据计量操作风险的特点也有区别

(见表5-2)。

(详见表5．1)，应

(图

(图5．1)所示。

(二)制定合理的操作风险损失数据收集标准

操作风险损失数据收集需要根据量化分析以及管理要求和成本来确定。标准太高会造成收集不到足够的损失数据来反映操作风险损失特征，太低又会增加收集的成本。巴塞尔委员会风险管理小组在Qls2确定的底线是

10000欧元／

美元，而欧洲银行的一般标准是1000欧元24。根据ⅩⅩ银行的实际情况，目前数据收集的底线确定为人民币1000元较为合适。

5．3．2选取合适的度量方法

巴塞尔新资本协议中介绍了三种由简单到复杂的操作风险计量方法：基本指标法、标准法和高级计量法，同时对于不同方法对应的要求也做了详细说明，ⅩⅩ银行可以三者相结合，对于开办业务时间长的业务，如储蓄业务可以采取高级计量法，而其他开办业务时间短的业务，可以借鉴其他商业银行的管理方法进行计量管理。

5．4操作风险损失覆盖5．4．1计提拨备

高频低损事件风险是商业银行在日常操作中不可避免的失误，针对这一类风险的防范除了监管和内部控制外最重要的是拨各准备金，即新巴塞尔协议对资本充足率的要求。对这一部分风险酶计量也主要是测量在给定置信区间和持有期间上、在正常经营条件下银行资产可能遭受的最可能损失数额。计算方法即为计量期间内发生的损失的平均值与损失发生概率二者相乘。该乘积即为银行操作风险损失的期望损失值的度量。5．4．2选择合理的操作风险缓释工具(一)购买保险

对于发生概率低，损失大的业务，可以选择购买保险转移风险。如资金业务。但是缺陷是购买保险的保额和保费通常比较高，又可能会引发流动性风险和对手方信用风险。

(二)业务外包

ⅩⅩ银行可将一般性业务的辅助环节交由专门的商业外包服务机构去做，如现金押运、现金清点等，便于自身可以集中精力和资源关注核心业务，这样可降低成本，转移交易和部分操作风险。5．5操作风险管理信息披露

良好的信息披露有利于商业银行的操作风险管理水平的提高，提高银行的透明度，强化市场约束，进而促使商业银行完善内控制度。但是，目前邮储银行的信息披露整体水平较低，存在不充分，不及时，不具可比性的特点。完善信息披露，应从以下几个方面入手：5．5．1建立披露指弓

l

建立一个明确、详细、一致对应披露的信息内容，ⅩⅩ银行各机构所应披露的操作风险的信息应该基本相同。使其具有可比性，定性和定量的内容都要进行细致规定，使其具有可操作性，对信息披露的时间要规定，保证信息披露的及时性。

5．5．2发挥信息主体的作用

信息披露的耳的是通过一定的信息披露让利益相关者了解商业银行操作经营及风险情况，进而发挥市场约束机制，提高银行的操作风险管理水平。目前，中国邮政集团是ⅩⅩ银行唯一股东，公司治理结构不完善。因此，ⅩⅩ银行应改变唯一股东格局，弓行的监督。5．5．3加强教育

信息披露教育包括对管理层和一般员工的教育，提高他们对信息披露的认识和重视，主动披露相关经营与风险信息。管理层若对信息不重视，认识不够，必定会导致信息披露的不及时，信息披露质量不高。5．6提高软硬件水平

操作风险管理水平的提高离不开基础技术设施建设，ⅩⅩ银行要加大软硬件投入，提高软硬件水平，提升ⅩⅩ银行形象和市场竞争力。(一)增加硬件投入

1、增加计算机设备投入，特别是生产主机的投入，增加数据承载容量，提高数据处理速度，数防止系统堵塞，瘫痪等情况的发生。

2、增加清分机等出纳机具等设备投入，增强ⅩⅩ银行现金管理能力，加

I入其他股东，加快上市步伐，增强股东和客户对ⅩⅩ银

快资金回笼速度，提高资金效率，生产力。(二)加快系统开发和完善

1、加快各项业务系统功能的优化和开发。优化现有系统功能，既满足客户需求又达到风险控制的目的，整合系统资源，开发监督预警系统，从业务经办过程中杜绝错误产生。

2、加快操作风险管理系统的开发和完善。在操作风险管理信息系统的基础上，研究、开发易于量化、操作性强的操作风险控制方法和管理方法，探索建立出适合ⅩⅩ银行的操作风险计量模型：在优化操作风险管理流程的基础上，加强操作风险管理信息系统和计量系统之间的渗透，发挥操作风险监测的预警作用，提高ⅩⅩ银行全行的操作风险管理能力。

第6章ⅩⅩ银行操作风险管理的保障措施

6．1风险管理文化建设

美国曾有位银行家说过：“一个金融机构风险管理的失败，不是因为缺乏、程序，即使设置非常复杂的、程序、检查、报告等控制手段，如果缺少一个好的风险管理文化，所有这些都徒有形式。”针对ⅩⅩ银行操作风险

观念普遍淡薄，文化不深的现状，笔者认为应该做到以下几个方面：

6．1．1风险文化与防控体系敲合

首先，ⅩⅩ银行要完善内控制度，不仅要形成全面的各项业务管理制度、业务操作流程和规程，还要形成完善的考核制度体系以及风险管理文化制度、管理手册等，达到硬约束和软约束共同作用。再次，ⅩⅩ银行要形成三道防线体系，层层把控，防范操作风险，做到每个部门都是风险管理的第一线。业务部门作为第一道防线，是操作风险的直接承担者和管理者；风险管理部门作为第二道防线，负责协调、指导评估、监督各业务部门和后台保障部门的操作风险管理；内审、纪检监察部门作为第三道防线，负责对操作风险管理、控制、监督体系进行监督和责任追究。ⅩⅩ银行要筑牢“三道防线”，互相联动，在第

一道防线，业务人员要做到“人人合规，主动合规”

，严格执行各项业务管理办法和操作规定；第二道防线，要充分承担起第一、第三道防线之问的沟通、协调作用，指导、评估业务部门和后台保障部门的风险管理工作，第三道防线要充分发挥监督作用，起到堵漏作甩。6．1．2风险文化与管理技术融合

ⅩⅩ银行要学习借鉴其他商业银行的风险管理经验和技术，通过自身实践的不断积累，不断改进风险管理的工具和方法。健全风险管理基础设施，积极开发风险管理信息、计量模型和应用系统，做到每件工具都是风险管理的利器，达到每一件“工具”都围绕“风险精算”的使命，互为依托，逐级推进。6．1．3风险文化与队伍建设鼓合

风险管理要作为员工常规培训的重要内容之一，

做到每次培训都是文化理念的加油站。

对象要包括全行每一位员工，上至高管，下至柜员。通过内

部平台，宣传风险文化，发布风险报告、工作通报，共享风险专业分析，潜移默化，让风险管理文化深入人心。ⅩⅩ银行还要积极打造风险管理文化平台，以风险管理信息共享平台为核心，借助内网、内刊等不断扩展的风险文化宣传阵地，通过风险管理必读、信用风险报告、管理工作通报，及时分享专业风险分析信息和实战经验，进而全面提升全行员工的风险意识和防范技能。

培训

6．2员工素质提升6．2．1加强培训

(一)加强风险意识和文化培训

培育一种正确的操作风险管理理念所谓“耳熟能详”

，ⅩⅩ银行要时时

刻刻都向员工灌输和强调操作风险的内容及其重要性，正确认识操作风险的内涵，准确把握其特征，那么经过一定的时间，这种正确的风险观念会在不知不觉中植入员工的潜意识中，在全行下上营造一种操作风险管理氛围。只有ⅩⅩ银行上下每一位员工全都牢牢树立了风险意识，并自觉地付诸行动时，资金的安全性才会得强保障。(二)加强按章制度培训

规章制度是业务办理和操作的依据，是风险防范的基础。只有员工熟练掌握各项规章制度，才能做到，

‘有法必依，执法必严，违法必究”

，才‘能降低风险。

ⅩⅩ银行健全操作风险管理制度不仅要完善操作风险管理条线的各项规章制度，还要动员和组织各分支机构和各个业务部门建立相应条线制度规程、操作风险控制的标准和管理措施，并加强培训，构建系统的、上下横向联动的操作风险控制和管理镧度体系。(三)加强风险管理专业知识培训

操作风险的识掰、量化、防范、报告需要专业的风险管理知识和风险管理人员。因此，加强操作风险专业知识培训，才能提高ⅩⅩ银行各级行特别是基层银行的风险识尉、防范能力。6．2．2引进人才(一)引进业务人才

ⅩⅩ银行结构性缺员严重，员工整体素质不高，尽管成立以来，

ⅩⅩ银行从同业引进、高校招聘并在内部培养了不少高层次人才，但总量依然较小、占比偏低。因此，ⅩⅩ银行要采取感情留人、待遇留人、位置留人等多种方法吸引人才、留住人才，从而提高ⅩⅩ银行营销、管理、创新等能力，提高竞争力。(二)引进风控专业人才

风险管理人才既需要全面业务知识，又需要专长的专业素质，因此，ⅩⅩ银行更要加快风险专业人才培养、引进步伐，特别是具备风险识别、计量、监测等能力的高层次风险专业管理人员，这样才能满足当前邮政储蓄银行积极发展和风险管理的需要。6．3风险绩效考核机澍建设

激励是企业发展的重要动力之一。ⅩⅩ银行经营的操作风险管理责任主要集中在基层各分支机构中，但现实中这部分工作人员的收入水平却相对较低，风险责任与个人收入不匹配，激励机制缺失。因此造成因基层监管力度不够，违规作案的成本较低，基层员工往往产生逆向选择，伺机作案。但如果增加经营和风险管理相关的激励机制，提高基层人员收入时，作案机会成本加大，操作风险损失事件自然会减少。6．3．1建立绩效考核机智

(一)设置风险绩效指标

一要将操作风险管理纳入绩效考核体系，将内控制度建设、执行，操作风险组织架构建设、操作风险识别、防范能力建设等纳入指标体系。二要突出经济资本和经济增加值在绩效考核中的核心作用。

(二)采取合理考核方法

首先要确定系统全面的绩效考核内容和方法，评定各岗位操作风险系数，结合操作的差错率，提高考核的信度和效度，反映出被考核者的实际工作绩效。其次要日常考核与综合考核相结合，按月考核，每日跟踪，年终总结，克服“近因效应”影响，防止员工情绪不稳的情况出现。三要畅通反馈渠道，加强双向沟通，双向整改，对于常见常犯差错，要从完善优化系统的角度出发，降低差错，对于少数差错，赙要加强培训与教育。提高服务水平和技能的有利手段。6．3．2改进薪酬制度(一)改进管理层薪酬制度

将操作风险管理与管理层、高管绩效挂钩，提高管理层对风险的重视程度，强化风险意识，避免短视行为，贯彻适度风险、适度回报，稳健经营，从而提高银行长期的获利水平，保证全行健康可持续发展。

(二)改进普通员工薪酬制度

一个企业有没有活力，要看员工有没有积极性。要充分调动ⅩⅩ银行的员工积极性，应奖勤罚懒，做到公平公正，改变国有企业裙带关系、的恶习，做到收入与付出相匹配，职务与能力相匹配，给予每个员工合理的晋升通道，真正做到人人是才，人尽其才。

“大锅饭”

使绩效考核成为改进员工绩效，促进全行不断

首先，加强风险管理是ⅩⅩ银行当前的重要任务之一。ⅩⅩ银行

要大力改进风险管理技术，积极培育风险管理专业队伍，力争使风险管理有效渗透整个业务体系的各个环节，在不同平行部门和业务环节间形成有效制约，动态反映、跟踪和控制全行风险变化，创造风险管理新价值。要做到：与时俱进地更新风险管理的思想和理念；适应实际地改革风险管理的架构和流程；目的准确地改进风险管理的工具和方法。

其次，操作风险管理是一个过程，而不应该是一套僵化的制度流程。它应该随着ⅩⅩ银行面临的内外环境的变化不断地调整和改进。ⅩⅩ银行既要重视操作风险损失数据库的建立，也要注意收集和积累风险数据，依据这些真实可靠的数据选择合适计量方法来度量操作风险暴露水平以及所需的监管资本，但是又不能过分依赖定量管理，只能把它当做管理操作风险的一种手段，更重要的还是要加强事前防范。ⅩⅩ银行在加快研究、制定和完善操作风险管理制度、组织架构、体系建设的的同时，更要注意的是对已有制度和方法的执行和实旌。坚决贯彻执行才‘是硬道理。

第三，加快风险管理文化建设是江谣ⅩⅩ银行建立操作风险管理体系

的重要保障。合规不是一日之功，违规却是一念之差。文化是企业发展的沃土，在文化建设方面，ⅩⅩ银行一要实行人本管理，提高从业人员素质，增强员工风险意识，保持员工队伍稳定；二要形成凝聚力，增强员工团队合作意识，以一当十不是最好，以十当一才能更好，提升企业整体形象和竞争力。第四，增强科技力量是加强风险管理的有力支持。现代商业银行的快速发展离不开强大的计算机系统和软件的支撑。ⅩⅩ银行要树立科技兴行的观念，尽快完善现有系统的各项功链，既满足客户需求，又强化风险点的控制，真正实现制度管人，系统约束人，及时推出与风险管理信息系统，建立数据库，建立风险预警指标，充分发挥操作风险的监测作用。

最后，推行流程管理是风险防范的重要手段，重新架构运营和管理流程，保证流程运作质量，提高工作效率和提升风险防控能力，在事前、事中防范风险，事后及时发现风险。