商业银行操作风险管理与案件防控

摘要：近年来，商业银行的操作风险造成商业银行金融案件时有发生且涉及金额较大，从而引起业界人士重视。如何有效实现操作风险防范和管控，提升商业银行内控工作综合能力，已是商业银行重要的关注点。本文就商业银行操作风险进行分析，提出商业银行操作风险管理与案件防控方面的几点措施，在改善风险管理模式的同时，促使内控运行更为有效，从而降低与防范因操作风险引起的案件发生。

关键词：商业银行；操作风险；管理；案件防控

商业银行操作风险概述

随着信息化技术应用的深入，经营规模进一步扩大，商业银行操作潜在风险不断暴露，主要体现在操作风险监管机制不完善、监管工作不到位等方面。正如包商银行，由于内部违规操作不断蚕食银行资金，最终成为我国第一起经由司法程序完成市场退出的商业银行案例。巴塞尔银行监管委员会对操作风险的正式定义是：操作风险是指由于不完善或有问题的内部操作过程、人员、系统或外部事件而导致的直接或间接损失的风险。操作风险目前已成为制约商业银行有效发展的风险之一，而引发风险的成因主要有银行工作人员的职业道德风险、业务专业知识不足等方面。

商业银行操作风险管理现状分析

商业银行操作风险主要表现在人员风险、内控风险、监管风险和信息科技风险这四个方面，具体体现出的问题如下：1.人员风险关于商业银行人员风险主要体现在以下四点：第一，工作人员挪用资金风险，利用职务上的便利，贪污、挪用、侵占银行或者客户资金。例如：利用客户对银行的信任欺瞒客户虚假操作业务流程，私自占取客户资金。第二，工作人员参与外部借贷、将其外部借贷风险转移至银行中。例如：银行工作人员假借银行名义出具借条及担保书，甚至制作虚假存单交于出借人。第三，银行内部理财保险的销售存在违规行为，如夸大实际效益忽视风险、私自销售未经批准的产品等。第四，银行员工违规参与资金中介。在客户贷款借新还旧过程中，信贷人员为高利资金中介提供便利以从中牟利或直接作为资金媒介牟利。2.内控风险该风险主要是商业银行内部控制制度制定、实施不到位导致的。近年来，商业银行内部制定的业务操作流程对业务办理具有很好操作指导意义，但往往缺少操作流程背后风险点的详述以及风险提示。加上商业银行缺少对风险防范培训及合规意识教育活动的跟踪与评估，导致仅在思想层面推行空中楼阁般的“风险文化”，银行内部或风险部门提出的风控意见、建议及风险点排摸等工作很难得到工作人员的主动响应。这对银行日常业务活动的运行管理会造成一定的风险。随着商业银行各类电子渠道设备及应用APP的普及推广使用，内部工作人员除了做好本职工作外还要承担各项新业务、新产品考核，面对新业务、新产品也需要一个熟悉过程，在此过程中，极易出现操作不当、业务审核不严谨等情况，导致无法保证内控制度实施到位。3.监管风险在实际工作中，部分商业银行针对现行各项规章制度、具体流程缺乏相应健全、严谨、可行性的核查、评价标准，检查工作无法深层次切中风险要点。对于监管核查中发现的问题存在“按制度执行加以整改”这种简单的处理方式，忽略了规章制度、具体流程自身的缺陷和不足，从而导致商业银行监管工作“形式化”，不易及时识别规章制度存在的漏洞及潜在风险，为故意犯罪行为留下机会。此外，一些商业银行内部责任追究机制存在执行不到位的现象。部分商业银行在惩处违规行为时，惩处力度不足。处理银行日常案件过程中，讲究“人情”从轻处置。而在处理大型案件过程中，即使深入调查研究后，也会忽视对自身不利的内容、甚至缩减涉及范畴，降低处罚力度，客观削弱了监管的严谨性和警示性，为银行内部违规行为的发生增加便捷。4.信息科技风险信息科技风险主要有信息安全风险和业务连续性风险两个方面。商业银行的运转离不开信息科技的支撑。在信息系统的开发初期，系统安全性往往让位与系统开发进度。新技术、新业务在应用推广的同时，商业银行科技监管如果无法跟上安全保障的需求及时做好配套升级措施，新系统缺陷与漏洞会逐渐显现，并威胁信息系统安全。系统在运行期间可能由于设计缺陷、后台操作人员误操作、黑客攻击、网络波动等原因出现故障，导致业务中断无法正常办理。业务办理的不连续性，对柜面、网上银行、手机银行等都产生不利影响，不仅会造成客户投诉，甚至会影响银行声誉产生较大经济损失，这样的风险需要我们认真对待。

商业银行操作风险管理与案件防控措施

1.防范商业银行内部欺诈行为商业银行内部欺诈行为主要可以分为两类：一是流程不规范带来的欺诈。例如银行柜面挪用、违规借贷行为等，而针对这一形式风险防范的关键点是加强人防、技防管控，进一步优化系统、完善制度。二是行为不规范带来的欺诈。例如：贪污行为、工作人员参与民间借贷等，防范此类风险的方式则是增加惩处力度，只要发现不当行为则严格按照相关机制惩处，从思想层面树立较强意识。此外，大数据风控技术可以结合银行内部信息（行内员工大额资金往来、贷款资金流向情况、客户经理外出走访记录等）、政府公开信息（失信联合惩戒信息、诚信档案）等多维信息，利用大数据分析模型进行分析，既降低人工审查的成本支出，又提高银行内部风险防范效果。为此，商业银行应建立日常的大数据评估机制，对行内员工大额资金往来等重点防范项目进行长期监测。建立重大风险处理机制，赋予风控部门管理权限，直接对接大数据分析模型，将大数据分析结果脱敏后，反馈给业务部门和科技部门，打破信息孤岛，实现风险信息共享。2.完善银行内控制度完善内部控制制度需要全面梳理各项业务流程。针对银行内部每项业务流程，应当清晰表明所涉及到的流程范畴，一般情况下采取流程矩阵图的方式，详细描绘出核心流程中所涵盖的业务流程以及相应机构的权限，并且对风险点作出扼要论述。如果需要进一步了解掌握进阶内容，其编制的内控制度还需整合该流程识别风险关键点及相应具体机制条例内容，同时附上机制清单，并定期更新优化内容，使其更加符合商业银行的发展导向。3.重点防范外部欺诈行为基于当前互联网金融背景下，重点在于有效防范网络途径的违规违法行为导致的风险。其防范措施需要进一步提高相关系统的安全性及工作人员职业敏感性，对于异常交易能够在事前给予阻止，在系统中设置外部欺诈行业特征标签库，将符合标签的交易行为通过系统自动拒绝或提醒工作人员加以重点关注。4.有效防范流程类风险关于商业银行流程类风险，一是由于流程设计缺乏合理性，进而需要有效开展相应风险评估工作，不断完善优化流程。二是流程实施评估缺乏量化机制，从而需要强化监管工作，确保规定动作最大程度做到位或将规定动作稳固于相应系统当中。一旦发生此类风险，就需要深入追究，增加惩处力度，有效保障相关制度的执行效果。5.构建严谨的分级授权体系、职位制约制度商业银行内部实行综合柜员机制，即在所包含权限范围内由一人处理业务活动，因为是一人临柜的工作模式，不需要换人对其工作进行审核，一旦操作不当则会出现差错。这需要商业银行建立严密、规范的授权体系，实现静态授权体系与动态授权体系高度融合的内部监管制度。其中静态授权交易是指交易提交时均需进行授权的业务，比如授权按系统设定的需相应授权级别的人员授权；而动态授权交易是指交易提交时触发相应授权条件需进行授权的业务，比如授权条件为交易额度是否大于设定的机构或柜员交易额度。只有这样，才能有效规避防范商业银行操作风险的发生。其中事后监督职位与业务办理职位需实行分设、印章与凭证职位需做到分管分用模式，而记账与对账职位设置需谨遵分离原则，从而在商业银行内部构建职位制约制度。此外，商业银行在办理各业务活动时，应根据业务所需配备相应的专职操作人员，严禁出现一人担任多职位的现象。还可借助远程集中授权体系，将银行柜面业务活动集中后台进行授权，通过这样的方式，将办理工作人员与授权人员相互分离，实现授权业务标准的统一性，有利于防范风险。6.建设健壮的银行信息科技体系信息科技体系的建设是一个系统工程，要立足商业银行实际，从资源分配、设计层面、业务层面等多方入手，构建分布式、可升级、配置化的健壮体系。资源分配方面，由于银行内部系统众多，数据交互格式繁杂，数据量庞大，业务形式多样，监管要求严格，故必须加大资金投入高标准建设。同时，系统建设既需要银行领导高度重视，又需要科技、管理、业务等部门通力配合，才能使系统建设达到预期效果。设计层面方面，在构建信息科技系统时，设计是首要因素。其不仅要保证正常业务的开展，也需要考虑操作风险的防范。设计需要从软硬件两方面入手，如利用“异地容灾”保障物理安全，利用安全、高并发框架来保障软件安全等。业务层面方面，为防范操作风险，我们必须让业务与业务系统紧密结合，形成系统控制流程，防范人为干预而导致的风险。综上所述，商业银行实施内部控制主要是构建风险防范、控制风险、事后调节的体系制度，其目的在于有效实现风险防控，尤其是对于其中操作风险管理而言。一方面，商业银行为了建立健全的操作风险管理系统，人员管理、流程创新、完善相关系统是必然的；另一方面，进一步完善商业银行操作风险管理体系，不仅能够有效减少风险引发几率，而且有助于控制操作风险的影响范畴，减少风险造成的损失。

参考文献：

[1].郝伟华.农村商业银行如何加强柜面操作风险管理与防控[J].时代金融，2018(15):53-54.

[2].陈晓宇.我国商业银行操作风险管理——以微商管理为例[J].商场现代化，2018(18):139-140.

[3].梁荣平.商业银行内部控制与操作风险控制分析[J].财会学习，2020(15):239-240.

[4].金海珠，石怀旺.大数据环境下商业银行内部审计风险控制与应对[J].营销界，2019(33):73+78.

作者：张薇 单位：浙江台州黄岩农村商业银行股份有限公司