摘要银行业操作风险管理实践表明，健全的内部控制体系是商业银行有效防范和控制操作风险的重要手段。着重分析了操作风险的定义，并从人员、系统、流程三个方面分析了如何通过内部控制加强操作风险管理。

关键词操作风险内部控制商业银行

中图分类号F830.33文献标识码A

内部控制是风险管理制度的核心内容。巴塞尔委员会在《关于操作风险管理的报告》中提到：“内部控制是操作风险管理的重要工具，绝大多数操作风险事件都是与内控漏洞或者与不符合内控程序有关的。”我国金融企业应该适应形势，转变观念，从内控的三大目标出发，检查是否建立了健全的内控制度，确保业务操作能根据决策层制定的政策、规定、内控程序等，以谨慎的方式进行，这是防范操作风险的重要手段。

1操作风险定义的发展

1.1广义定义

广义概念把操作风险定义为除信用风险和市场风险以外的所有风险。世界银行在1999年定义操作风险是，由于内部行为或外部事件引起的信息、交流、安全设置、业务连续性、监管、交易程序、清算系统和程序，以及执行法律、信托、指责出现故障，造成损失的风险。

1.2狭义定义

狭义的操作风险概念认为，只有金融机构中与运营部门有关的风险才是操作风险，即由于控制、系统及运营过程中的错误或疏忽而可能引致潜在损失的风险。其他的操作风险，如名誉、法律、人力资源则或者交给一个全面风险管理机构管理，或隶属于某个特殊部门。瑞银华宝在1998年12月将操作风险定义为：遭受由于人为的、系统的错误而引起的内部控制缺乏或信息系统信息不足所导致的不可预见的损失风险。该银行将操作风险细分为信贷与清算、市场、业务运营、筹资、法律事务、IT、税收、暴力与犯罪、制度执行等。根据这一定义，操作风险涉及的内容被定位在后台管理部门。在银行实践中，该定义方法的优点在于把每个后台部门的管理重点集中到他们所面临的主要风险上，缺点是没有将在以上分类以外的细分操作风险纳入管理。

1.3战略操作风险概念

介于广义和狭义之间的操作风险观念认为：这种界定首先区分了可控制事件和由于外部如监管机构、竞争对手的影响而难以控制的事件，将可控制事件的风险定义为操作风险，对应另一类事件的风险也就是“战略性风险”或“营销风险”。在众多定义中，巴塞尔新资本协议中的定义是比较权威的。巴塞尔银行监管委员会对操作风险的正式定义是：操作风险是指由于不完善或有问题的内部操作过程、人员、系统或外部事件而导致的直接或间接损失的风险，这一定义包含了法律风险，但是不包含策略性风险和声誉风险。这一概念基本上覆盖了商业银行的所有业务线，侧重于操作风险形成的原因，涵盖了银行内部很大范围的一部分风险。该定义率先将操作风险纳入风险管理框架，并且要求金融机构为操作风险配置相应的资本金水平。根据《巴塞尔新资本协议》，操作风险可以分为由人员、系统、流程和外部事件所引发的四类风险，并由此分为七种表现形式：内部欺诈，外部欺诈，聘用员工做法和工作场所安全性，客户、产品及业务操作，实物资产损坏，业务中断和系统失灵，交割及流程管理。

2我国商业银行操作风险的现状

20世纪90年代以来操作风险越来越突出，特别是近几年有加速暴露的态势。就已披露的案件看，大案要案令人触目惊心，如2003年发生的工行广东南海支行冯明昌74亿元骗贷案、2004年发生的交通银行锦州分行2.21亿元核销不良贷款作假案等。可以肯定的是这些案件只是银行业操作风险中的“冰山一角”，大量的损失金额较小的操作风险还没有充分暴露。据银监会披露，2003年银监会共查处违规经营机构1242家，直接或责令有关单位对

3251名违规人员进行了处分，其中在对国有商业银行开展的现场检查中处理违规机构242家，处理有关责任人员1928人；从2004年，银监会共派出现场检查组16700次，检查各类各级银行业金融机构74911个，提出整改意见58247项，处罚违规机构2202个，处分相关责任人4538人，取消高管人员任职资格244人，发现涉嫌案件274起，全年共检查出银行业金融机构违规金额5840亿元。我国银行业已经进入金融案件高发期，金融案件正在朝着“高职务、高科技、高案值；发案数量基层多、内外勾结作案多、作案手法多”的“三高三多”趋势发展，并呈现出“同类案件屡次发生”的特点。

从业务部门来看，操作风险损失事件主要集中在商业银行业务和零售银行业务，分别占到了74.65%和18.31%（见表1）；同时，由于商业银行业务单笔损失金额巨大，因此其总的损失金额在各部门中占比更高达97.6%。从损失事件类型来看，损失事件发生的类型主要为内部欺诈、外部欺诈，其频率分别为57.75%、21.13%（见表2）。

3建立完善的内部控制，进行有效的操作风险管理

3.1内部控制定义的比较

美国权威机构COSO委员会在其的《内部控制整体框架》中对内部控制提出：“内部控制是由企业董事会、管理当局亦及其他成员为达到财务报告的可靠性、经营活动的效率和效果、相关法规的遵循这三个目标而提供合理保证的过程。”巴塞尔委员会1998年制定的《银行机构内部控制制度框架》以COSO报告为基础，提出了新的银行内控制度的定义。它针对银行经营活动的特殊性，进一步把内控制度的三大目标分解为操作性目标、信息性目标和合规性目标；同时丰富和发展了内控制度五大要素的内涵，并增加了监管当局对内控的检查和评价，把它作为内控的不可忽视的内容。根据该框架，银行内控制度的内涵应该包括三大目标和六大要素。表3列出了《银行机构内部控制制度框架》对银行内控制度内涵的分析，并与COSO报告对内控制度的理解进行了比较。

3.2从内部控制的角度反思我国商业银行操作风险控制的不足

上述分析表明，我国商业银行的内部控制体系仍存在重大缺陷，例如：内控意识薄弱、内控优先理念缺乏；激励机制不合理、逆向激励问题严重；内控制度执行不力、形同虚设；内控措施不完善、有效措施缺乏；关键岗位及人员的监督约束机制缺乏；内控的电子化水平较低；信息交流渠道缺乏等。长期以来，我国银行监管体系将资本约束作为主要监管手段，导致国内银行业的发展观念中重规模、重速度，内控意识和风险理念却严重缺失，内部控制建设让位于业务发展，原有内部控制缺陷未得到改进，新形势又对内控突出更高要求。银行业务的快速发展与落后的内控之间的矛盾日益突出，进一步恶化了国内银行业原有的内控失灵的问题。

3.3通过内控改进加强对操作风险的管理

首先，内控对人员操作风险的控制。巴塞尔委员会颁布的《银行内部控制基本原则》中提到了内控的13条原则，其中涉及人员方面的有3条。银行加强人员内控应做到：加强人员专业技能培训，提高人员对业务风险的识别能力，弥补银行因流程缺陷而导致对操作风险控制力的不足；提高人员职业道德水平，增强人员遵纪守法的自觉性；建立良好的企业文化，树立理性经营、稳健经营、审慎经营、合规经营的理念。

其次，信息系统是银行进行日常交易的基础设施，也是操作风险高度集中的地方。通过内部控制来防范银行信息系统的操作风险，一般有三种途径：提高系统的技术性能，确保系统安全、稳定运行；建立系统的荣誉备份或多重控制，应付突发风险；规范日常操作管理，减少操作差错。

银行对人员和系统方面控制的标准和要求一般大体相同，但是流程方面却差异很大。引起流程差异的原因既有银行业务产品的差异，也有经营管理上的差异，还有风险偏好方面的差异。控制流程操作风险的基础是人员和系统的风险水平，银行人员技能水平和道德水平差异、信息系统性能高低，决定了银行应采取什么样的流程来组织日常经营管理活动，同时也决定了银行在业务流程方面实施内控的方法和特点。人员技能水平的高低对银行有效控制业务处理流程的操作风险有重要影响。对于一项并联结构的业务处理流程，如果人员技能水平和道德水平较低，则人员所在的业务操作环节的错误率较高。按照风险概率的计算方法，银行要降低该项业务的操作风险，需要通过增加人员和处理环节的方式来实现。降低单一业务环节的操作风险概率，有两种方法：①通过高价聘请更高素质人员或在人员培训方面加大投入，提高该岗位业务人员的专业技能和职业道德；②增加复核环节和复核人员。但这需要人力费用增加一倍，同时业务处理的效率也有所下降。

系统性能对流程操作风险的影响体现在：银行对信息系统的依赖性增强，大多手工操作风险集中到了信息系统，信息系统一旦发生故障，往往会影响到整个银行的业务处理；信息系统有更大的脆弱性，且易受到病毒等外部攻击；信息系统对于变化的业务和环境缺乏识别和应对能力。随着手工操作日益被信息技术取代，银行信息系统对于防止业务流程中的操作风险也就显得尤为重要。业务流程的操作风险不仅取决于流程中各环节人员和系统操作风险的大小，还与业务流程的整体结构密切相关，这在银行业务管理流程中表现得尤为突出。即使单个环节人员操作风险水平相同，而流程结构不同，则业务流程总体操作风险水平的差异也很大。因此通过优化流程设计，调整内部控制的结构，在人员操作风险水平不变的情况下，也能大幅降低业务流程总体操作风险的发生。

古人云：“防微杜渐”、“亡羊补牢”。“防微杜渐”就是要求银行在内控体系建设中通盘考虑，不放过任何细节并注重风险管理研究，对可能存在的问题早作准备，以确保内控体系的健全。“亡羊补牢”则要求银行对自己或他人发生的案件举一反三，有则改之无则加勉，以确保内控体系的有效性得到持续发展。商业银行内控体系的完善才能有效控制操作风险的发生。

参考文献

1成俊.银行操作风险控制及成本收益分析[M].北京：中国金融出版社，2007

2王宏冀.我国商业银行操作风险研究[D].中国优秀硕士论文全文数据库，2006(5)

3李志辉.中国银行业风险控制和资本充足性管制研究[M].北京：中国金融出版社，2006

4张吉光，梁晓.商业银行全面风险管理[M].上海：立信会计出版社，2006