简述银行操作风险防范管理

[摘要]依据商业银行操作风险基本理论，通过设立假设条件，对哈尔滨市x、Y两家商业银行机构近三年操作风险事件情况进行调查研究，从中得到的启示和结论是，商业银行内部控制与操作风险高度呈正相关；操作风险事件中的绝大多数能够从内控薄弱中寻到根据；抓住操作风险管理的“牛鼻子”是加强内部控制建设的关键，加强内部控制在操作风险管理进程中永无止境。

[关键词]研究假设；相关性；操作风险；风险事件

商业银行操作风险产生的重要原因在于银行内部程序出了问题。建立起良好的内部程序，主要靠银行管理层的责任，因为管理层掌握着银行内部控制的设计和监控权力。本文要研究和探讨的问题是商业银行内部控制建设优劣与出现的操作风险事件情况之间的相关性，为管理层自觉重视和加强内部控制以防范和控制操作风险找到有力依据。

一、研究假设及理论依据

本论文的研究假设和理论依据包括：一是经过理论界和银行界漫长的研究和探讨，商业银行操作风险的定义是科学和完整的，对导致操作风险四大成因的表述是充分和有效的。所谓商业银行操作风险，即银行办理业务或内部管理出了差错，必须做出补偿或赔偿；法律文书有漏洞，被人钻了空子；内部人员监守自盗，外部人员欺诈得手；电子系统硬件软件发生故障，网络遭到黑客侵袭；通信、电力中断；地震、水灾、火灾、恐怖袭击等等造成的损失的可能性，概括地说，操作风险就是由于不完善或有问题的内部程序、人员、信息科技系统以及外部事件而导致的直接或间接损失的风险，这一定义包含了法律风险，但是不包含策略性风险和声誉风险。该定义对导致操作风险的成因表述为四方面：(1)内部程序；(2)员工；(3)信息科技系统；H）外部事件。二是所谓内部程序应当是企业长期发展中形成的一揽子规章制度、规范和文化等等，概括地说可以分成两大系统，即运行系统和监管系统，内部程序从对企业存续和发展的意义上与内部控制是一致的，但内部程序的概念与内部控制也有不同，因为有一些内部程序的形成的固化并不是来自企业管理层的力量，而是企业员工自发形成。基于内部程序与内部控制的关系，我们可以肯定地说，内部程序的好坏主要取决于内部控制的好坏，因为，管理层才是企业运行方向的主导者。三是所谓内部控制，是指一个单位为了实现其经营目标，保护资产的安全完整，保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。内部控制的特殊地位和作用使它的存在深刻影响着员工，并能为减少信息科技系统失灵提供很多保障，同时对外部事件导致的操作风险事件，好的内部控制能够保证企业迅速启动应急预案，来降低操作风险损失。

二、研究方法

本文基于商业银行操作风险与内部控制的基本知识、基本假设和基本理论，寻求从银行实务中找到更加充分和有力的证据，来验证加强内部控制建设对于加强操作风险管理是重要和富有实践意义的。（—一）方法概述由于本课题研究范围无法覆盖所有银行机构，因此。主要选取哈市某大型国有商业银行x、Y两家支行（以下称x支行、Y支行）作为研究范围。对x支行，我们采取的是访谈填表法，即由我们事先制定一个表格，持表格到x支行向其了解近三年操作风险事件发生的数量情况，并按发生操作风险事件所属业务环节进行细分，以及分别分析其具体表现、应采取的管理措施等等；对Y支行，我们采取的是比较分析法，对其所属8个分理处（用A、B、C、D、E、F、G、H来代替各该分理处）近三年操作风险事件发生情况按单位汇总和排序，同时，又对这8个分理处内部控制优劣情况（结合金融稽核情况及行里每年年终考核情况综合判定）进行排序，分析其相互联系。

（二）方法可行性与局限性

对X支行的访谈法，了解到的情况比较全面和具体，能够较充分说明问题；对Y支行的比较法，比较科学和高效，能够较直接反映出问题。但两种方法都有一定局限性，都会受被访谈者诚实守信情况及对课题组访谈的重视程度的影响。

三、实施过程与分析情况

(—)对x支行的实施情况

根据x支行有记载的资料，近三年该支行(2006年12月-2009年12月)累计发生操作风险事件171件，直接经济损失达46万元，其中列为行里重大操作风险事件12件，单笔损失金额最大为28万元。以下将具体说明：

1.171件操作风险事件的分布情况。(1)存款及柜台业务易发点共计41件。其中开立、变更、撤销账户、验印系统及印鉴卡的管理19件，大额存单签发、大额存款支取14件，重要空白凭证管理8件；(2)会计业务易发点共计14件。其中重要会计岗位5件，授权4件，对账5件；(3)信贷业务易发点38件。其中贷款三查18件，授信管理14件，其他6件；(4)资金业务易发点15件。资金的调入、调出7件，岗位分设4件，其他4件；(5)中间业务易发点42件。其中银行卡、贷记卡28件，业务6件，支付结算及其他8件；(6)信息系统易发点32件。其中网络系统管理12件，用户和密码管理7件，数据信息管理4件，病毒5件，其他4件。

2．操作风险事件较集中环节的薄弱点。存款及柜台业务、信贷业务、中间业务这几大环节操作风险事件较集中，这三个易发点操作风险事件总件数占全部易发点操作风险件数的71%。其中，存款及柜台业务中薄弱点具体体现在：开户串户、变更账户无登记、撤销账户手续不全；存单签发金额、户名错误，大额存款支取执行制度不严，造成资金损失；存折、票据等重要空白凭证丢失、损毁等。信贷业务中的薄弱点具体体现在：贷前调查不实，贷时审查不严，造成信用风险过于集中，存在骗贷现象；对集团客户授信额度过大，集体审查没执行，授信管理混乱，造成违规放贷。中间业务中的薄弱点具体体现在：存在多起银行卡盗用及利用贷记卡套取银行信用案件；支付结算业务制度执行不严，造成银行被动垫款；基金托管、保管箱业务存在客户投诉业务质量现象。

3．针对上述薄弱点的完善措施和建议。针对x支行上述薄弱点，我们可以发现形成薄弱点的原因主要包括有章不循和制度不健全两大方面，此外，还有人员素质、系统硬件的稳定性等方面的问题。根据现代企业内部控制理论，这些薄弱点绝大多数应为内部控制薄弱的表现，因此，最重要的完善和改进现状的措施必然是加强内部控制建设。从控制环境、风险评估、控制活动、信息与沟通、监控等五个要素方面研究不足，要按照银监会于2006年12月的《商业银行内部控制指引》和2007年5月的《商业银行操作风险管理指引》的要求，全力提升银行内部控制水平。

（二）对Y支行的实施情况

根据Y支行近三年检查通报和年终考核情况，我们对其所辖8个分理处内部控制优劣设置了很好、较好、一般、较差、很差五个等级，将全部分理处进行对号归类，同时，将近三年各分理处操作风险事件发生数据情况(2006年12月-2009年12月)列表，再将两个表格统一起来，从中努力发现：即使各分理处处于同一支行的管理，即管理的效果却呈现出较大的差异性。从上表汇总情况可以看出：Y支行所属8个分理处总体情况较好，有5家分理处近三年操作风险事件较少，均在16个以内，另外3家分理处操作风险事件相对较多；凡是内部控制评价较好的分理处，其近三年操作风险事件发生的数量也较较少，呈现同向变化关系，例如：内部控制最好的D分理处、H分理处三年累计发生操作风险事件仅为9件和6件。经过进一步了解，这183件操作风险事件中，按照银监会《商业银行操作风险管理指引》核定标准，属于重大操作风险事件的有18件，其中有13件发生于内部控制较薄弱的F分理处、B分理处、A分理处。这就更进一步说明，商业银行操作风险事件发生数量与内部控制好坏关系密切。导致操作风险事件的原因固然多样，但是决不能忽视每一桩操作风险事件背后的内控薄弱问题，从而也就不能忽视相关管理部门在内部控制建设方面的责任问题。

三、几点启示和推论

（一）商业银行内部控制与操作风险高度正相关。无论从对x支行，还是对Y支行的调查了解情况都表明，内部控制越好，越有利于减少操作风险事件，内部控制越薄弱，越容易导致操作风险事件的发生。

（二）操作风险事件中的绝大多数能够从内控薄弱中寻到根据。在对x支行的访谈了解中，我们发现几乎所有操作风险事件都能从内控方面不足对上号，都能从事件的背后找到加强内部控制建设方面的措施和办法，加强内部控制似乎成了加强操作风险管理的“万能钥匙”。

（三）抓住操作风险管理的“牛鼻子”，是加强内部控制建设的关键。即加强操作风险管理，首先要加强内部控制。

（四）加强内部控制在操作风险管理进程中无止境。商业银行只有不断研究操作风险事件的新情况、新特点，有针对性去加强内部控制建设，不断影响和改变员工的思想、素质条件，不断为信息科技系统的功能障碍保架护航，不断为外部突发事件提供更加完备的预案和启动机制，才能赢得操作风险管理的主动和先机。