基层商业银行操作风险与案件防控对策研究

杨蔡明

（中国农业银行广安分行 四川广安 638099）

随着我国经济的高速发展，作为实体经济媒介的银行业也得到了快速的发展和提升，但与此同时，商业银行特别是基层商业银行因忽视对操作风险的控制而引发的案件也层出不穷。近年来商业银行发生的大案、要案均有违规操作的影子，特别是基层商业银行对操作风险防控不重视、管理责任不落实、日常监管不到位、风险线索处置不果断、自律监管不深入等，导致各项制度、规定、流程、控制形同虚设，致使案件频发。这些案件在带来巨大经济损失的同时也给商业银行带来了巨大的声誉风险。因此，如何加强基层商业银行操作风险的精细化控制、完善现有的操作风险管理体系、提高整体的操作风险管理水平成为了现阶段各商业银行面临的难题。

一、操作风险的相关概念及理论研究

（一）操作风险的定义及特点

操作风险、市场风险与信用风险是银行业的三大基本风险。在银行业发展的初期，操作风险仅仅被诠释为信用和市场风险之外的其他风险，直到2004年6月，《巴塞尔新资本协议》首次对操作风险进行了明确的定义：操作风险是指由于内部程序、人员和系统的不完备或失效，或由于外部事件造成损失的风险。在我国，中国银监会于2007年颁布的《商业银行操作风险管理指引》中对操作风险的定义进行了明确：操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。该定义强调操作风险由银行内部流程、人员和系统等因素而产生，被我国金融机构所普遍认可。

从国内外对操作风险的定义来看，操作风险主要的特点有：一是内生性。大多数操作风险是由内部制度或程序不完善、内部员工操作不当或失误等因素产生的。二是范围广。一方面操作风险涉及的业务领域广，不管是简单的存取钱业务还是风险较大的贷款业务都会产生操作风险；另一方面操作风险涉及面广，在业务办理的全流程中，每个环节都可能会产生操作风险。三是人为性。操作风险大多是因为人为操作不当引发，上至商业银行高级管理层，下至商业银行一般员工，无论业务水平能力高低，都可能产生操作风险。

（二）操作风险的相关理论研究

一是针对操作风险计量的研究。国内外学术界对操作风险计量的相关研究主要集中在计量方法上。日本学者Junji Hiwatashi（2002）将操作风险度量技术在日本的最新发展情况进行了介绍，并总结了日本银行业在操作风险管理中采取的一些好的措施及办法，值得我国银行业界借鉴及学习。我国学者全登华（2002）从极值理论的角度分析计量了银行的操作风险；薄纯林和王宗军（2008）结合实例分析证实了贝叶斯网络在银行操作风险研究方面建模与运用的可行性；樊欣、杨晓光（2003）以定量分析的方式揭示了我国商业银行的因操作风险带来的损失频率及幅度；陈学华（2003）将POT模型应用在了商业银行操作风险度量中，并对度量结果进行了详细的分析；田玲、黄斌（2003）详细探讨了商业银行如何利用保险产品缓冲操作风险、提高操作风险控制水平。

二是针对操作风险管理的研究。在国际上，巴塞尔银行监管委员会和美国COSO委员会（美国全国反欺诈性财务报告委员会管理组织）对商业银行操作风险的管控进行了较为深入的研究。1992年，COSO委员会公布了《内部控制——综合框架》报告，指出企业内部要采取不同的措施来控制由于内部环境、信息沟通等造成的操作风险，这对于商业银行建立事前防范、事中控制、事后监督和纠正的操作风险防控体系具有重要的借鉴意义。巴塞尔银行监管委员会于1998年9月发布《操作风险管理》，从六个方面指出了商业银行进行操作风险管理的基本框架，强调了控制银行操作风险的重要性；2003年发布《操作风险管理和监管的稳健做法》，提出了操作风险的8项分类以及管理操作风险的10项基本原则；2004年发布《统一资本计量和资本标准的国际协议：修订框架》，对商业银行操作风险的管理提出了纲领性的内容，并对10项基本原则进行了补充说明。

我国银行业对操作风险管理的研究长期停留在对国外商业银行先进管理经验的借鉴以及对巴塞尔银行监管委员会等国际著名机构的学习总结中。董军（2005）对我国商业银行人为因素型操作风险形成机理进行了研究，并从人的风险行为角度揭示了与人有关的操作风险的本质；汪建峰（2005）将我国商业银行操作风险按照类型划分七个类别，按照八条不同的业务线进行了详细列示；张吉光（2005）将操作风险分为四个不同的层面，并分别对四个不同层面的成因进行了详细的界定；阎庆民（2011）、刘明彦（2008）全面梳理了我国商业银行操作风险的管理研究发展现状，为我国商业银行探索具有中国特色的操作风险管控厘清了方向。

通过对国内外有关商业银行操作风险研究成果的综述，不难发现，这些理论研究尚未发展成一套完整的操作风险管理体系，也没有形成实用基层商业银行操作风险的管理办法。

二、基层商业银行操作风险案件现状分析

（一）基层商业银行案件现状分析

1.基层商业银行案件占比高，覆盖面广。一是基层商业银行案件数量和涉案金额占比高。根据迪博（DIB）数据统计分析，县级支行及营业网点（含城区科级支行及营业网点）是银行案件发生的主要区域，三年来发生案件占案件总数的84%，涉案金额占总金额的80.16%①数据来源于DIB内部控制与风险管理数据库的统计分析。，案件总数占比和涉案金额占比都非常高（见图1）。可见，目前商业银行操作风险案件的发生主要集中于基层商业银行。

图1 帕累托图（案件纵向层级分布）

二是涉案渠道覆盖面广。根据迪博（DIB）数据统计分析，涉案渠道基本覆盖现有商业银行的各个渠道。其中：柜面服务渠道操作风险问题最为突出，案件占比高达70.6%；其次是对公、对私营销服务渠道，占比分别达到16.3%和7.8%；再次是ATM等自助银行渠道和网上银行等电子银行渠道，占比为3.2%，但近年来有明显的上升趋势（见图2）。

图2 帕累托图（案件渠道分布）

三是涉案人员范围较广。在涉案人员岗位方面，根据迪博（DIB）数据统计分析，经办柜面业务的前台柜员（38%）、基层机构和营业网点负责人（25%）、对公客户经理（10%）、会计主管（6%）等是内控失效的高风险岗位，累计占比达79%（见图3）。

图3 帕累托图（案件岗位分布）

2.基层商业银行大案要案频发，手段多样。近年来，银行内部人员盗取客户账户资金、挪用内部核算账户资金、盗取客户信息后外卖等案件不断发生，银行内部人员借助指导客户办理自助业务盗取密码和网银介质从而控制客户账户作案等事件也不断出现。2016年底，网上曝光某商业银行一加钞员盗用自助设备加钞款数百万元，就是该银行加钞人员利用职务之便，以取客户被吞没银行卡为由骗取管理人员钞箱钥匙，盗取钞箱现金侵吞加钞款，前后作案时间长达半年，侵占资金达740万元。简单的作案手段成功绕过银行的内控制度，可见重要岗位人员的相互监督制约形同虚设，值得深思。

3.商业银行案件整治力度空前，追责严厉。一是在国家宏观政策层面，由于部分案件影响恶劣，已引起中央高度重视，2017年7月14～15日召开的全国金融工作会议新设立国务院金融稳定发展委员会，将金融稳定上升到国家安全层面，重视程度空前。二是在监管层面，近两年以来金融监管机构连续发文重拳治理商业银行不规范行为，陆续开展“三违反”“三套利”“四不当”三个专项治理和“整治十大金融乱象”等治理活动，整治力度前所未有。三是在金融机构层面，一方面强化问责，实行“一案三问”“一险三问”、上追两级、双线问责、机构及人员“黑名单”等强力问责方式，遏制案件多发、频发态势；另一方面上收案件追责权限，部分商业银行加大了对员工违反规章制度的处罚力度，上收了基层商业银行的直接处理权限，对案件当事人按内部制度规定处理或直接移送司法机关。

（二）新形势下基层商业银行操作风险引发案件的主要类型

在经济发展新形势下，特别是在供给侧结构性改革大背景下，商业银行由于其经营性质的特殊性，更容易因操作风险而引发案件。通过对基层商业银行操作风险管理的调查研究，笔者将基层商业银行操作风险引发的案件划分为以下五类：

一是外部诈骗类。当前正处于国内经济转型期，各种诈骗案件呈高发态势，针对银行客户的诈骗手段层出不穷；而基层商业银行涉及的业务和客户较多，管理水平较为薄弱，更容易成为外部诈骗的对象。据统计，2013年全国发生电信诈骗案30余万起，群众损失100亿元；2014年全国共发生电信诈骗案40余万起，群众损失107亿元，比2013年分别增加了33%和7%；2015年，全国共发生电信诈骗案件59万起，同比上升32.5%，造成群众损失200多亿元。从案件发生的实际情况来看，90%以上的电信诈骗是通过银行柜面转账、ATM转账、网银转账、银行卡盗刷等方式发生的。

二是内部作案类。基层商业银行内部个别工作人员因思想懈怠误入歧途，参与赌博、吸毒、民间借贷等违规违法活动，不惜通过经商办企业、过桥贷款或短期融资、保证金等方式直接谋取利益；或利用职务之便放宽贷款审批权限、伪开资信证明、提供银行场所间接获利。2014年爆出震惊业界的泸州老窖1.5亿存款失踪案件的发生就是因为长沙某银行支行行长郑某利用自身对银行内部业务、制度的熟悉，以获取不法收入为目的，全程参与、配合，为不法分子成功诈骗创造了条件。

三是内外勾结作案类。银行内部员工利用员工身份、场所、履职过程等，躲避制度监管和流程控制，与外部人员设局联合作案。其特点是精心布局、环环紧扣、利益诱导，采取各种造假、掉包、交接不清、偷盖印章、偷换密码等手段，割裂联系、规避控制，让内部各环节人员不知全局而忽略风险，被动配合从而达到作案目的。2015年初在浙江宣判的一起案件中，某商业银行“内鬼”和外人勾结，通过违规办理网银等方式，一共转走了储户7亿多元人民币。根据法院判决书，银行的内应是一名普通柜员，他用身份证号码等信息直接在银行帮助外部诈骗犯开设被骗账户网银，后者顺利地将钱转出，而该名工作人员一共获利400万元人民币。

四是利用管理漏洞作案类。不法分子专门研究银行管理和制度上的漏洞，以时间换空间，故意拉长发生时间，采取外聘律师“耗”、无理上访“缠”、声誉风险“压”、营业场所“闹”等手段，主张巨额索赔，利用银行息事宁人的想法和自我举证难从而达到骗财目的。近年来频发的基层金融机构代理保险纠纷案件就是由于部分产品期满兑付收益达不到同期定期利率水平，无理要求银行按同期定期利息兑付，采取上访、投诉、围堵网点等粗暴方式，威逼银行与保险公司补齐损失。为减小影响、防范声誉风险，商业银行不得不妥协，帮助客户与保险公司协调，最大限度地补齐收益。

五是其他类。因营业场所管理不当、系统运行差错、设施设备损坏等引发的操作风险，统一划归到除上述四种类别外的其他类别。

（三）新形势下基层商业银行案件呈现的新特点

当前基层商业银行案件已呈现出由门柜作案向大堂作案转移、由传统业务向新兴业务转移、由个人作案向团伙作案转移等新特点，主要表现在以下三个方面：

一是由门柜作案向大堂作案转移。近年来，各大商业银行加大了智能银行的建设力度。各种智能设备、自助机具的普及应用，极大地分流了柜台业务，大堂工作人员能直接接触客户资金和账户，导致部分操作风险向大堂转移。如大堂人员不坚持实名制开卡，利用工作便利盗取客户密码或支付工具作案，代客办理业务并控制其账户，利用撤销业务交易功能盗取客户资金，利用假印鉴盗取对公账户资金，利用异地或长期不动账户临时激活洗钱，拼接假冒签字逃避远程授权，从而使大堂成为案件高发地带。

二是由传统业务向新兴业务转移。随着电子银行等新兴业务的不断发展，网上银行和手机银行以其方便快捷、安全高效的特点，越来越多地被人们所接受，但这也给了不法分子可乘之机。如部分作案人员通过虚开网上银行和掌上银行，利用客户大意，偷换网银介质、关闭动账通知达到窃取客户资金的目的；利用移动式智能银行虚假开立账户、虚假办理信用卡等方式作案。

三是由个人作案向团伙作案转移。随着银行内部监管机制不断健全、业务流程不断完善，犯罪分子个别作案很难成功，因此往往内外勾结，结成团伙作案。如2016年爆出山东某银行个人征信报告买卖案，就是一银行网点多名员工相互勾结，利用职务便利，非法查询和出售公民征信记录谋取暴利，给银行和客户带来巨大的损失。

三、基层商业银行操作风险防范存在的问题

（一）组织架构方面

一是未设立操作风险基层管理岗。商业银行操作风险防范往往采用委员会制，大多基层商业银行内部并没有设立专门的操作风险管理岗位，部分小型商业银行顶层设计也未完全引入风险管理官制度，导致在操作风险防范中各种决策部署落地不实，不能明确履职尽责主体，风险防控政策、制度执行难度大。二是正向激励不够。操作风险在基层商业银行综合绩效考评占比较低，各基层商业银行未完全将操作风险防控纳入到具体操作人员与管理人员的绩效考评体系之中，对基层员工的激励力度不够。目前基层商业银行“重发展，轻管理”的思想仍然普遍存在，在业务发展和风险防控的辩证关系中，风险监督管理职能被淡化，风险评价指标与业务结合不紧密。三是未建立有效的操作风险评价制度。国内基层商业银行对风险评价大多从市场风险和信用风险两个方面开展，没有坚持定期风险分析制度，形成的风险分析报告质量不高，对操作风险尚未形成较为完整的评价制度，特别是对一些高分散性、高频发的风险缺少科学的分析。

（二）制度操作方面

一是制度操作缺位现象严重。随着社会不断发展、市场需求变化，商业银行往往会不断推出新的业务和产品，而与之相匹配的风险防控制度却存在滞后性，不能及时推出。同时，现有的风险防控制度多是通过文件下发和会议要求传达，基层操作人员往往不能掌握防范要求，导致在制度执行方面缺位。二是制度操作缺乏系统性。一方面制度覆盖范围较为局限，目前商业银行对操作风险的防控大多在一线业务人员，而对管理层的覆盖较少；另一方面，银行内部规章制度“政出多门”，且频繁修改，导致业务执行标准不尽一致，增加了操作风险爆发的可能性。三是制度执行不到位。各种内部防控制度不执行使案防工作流于形式，责任不落实、履职不到位。

（三）岗位控制方面

一是岗位准入不严。在人员选拔过程中，未严格执行岗位准入制度，以人选岗现象严重，部分从事风险岗位的员工并不具备任职条件。二是岗位制约不力。主要表现在信任代替制度、习惯代替规程、关系代替监督、安排代替落实，内部设计的各岗位之间相互制约作用未充分发挥，案件防控未做到常抓不懈。三是轮岗执行流于形式。在部分基层商业银行，某些重要岗位人员往往在该岗位上从事工作长达十年甚至更久，轮岗政策不执行或打折扣执行，为案件发生埋下了隐患。四是培训机制不健全。银行产品和制度日新月异，而相对滞后的培训机制难以满足当前业务发展的需要，特别是近几年商业银行员工流动性较大，岗位和角色变换较快，在实践经验不足和对规章制度理解不到位的情况下仓促上岗，增加了操作风险爆发的可能性。

（四）流程设计方面

一是重要业务未坚持双人。“一手清”现象突出；授权业务马虎大意，失去现场把关作用；监管未突出重点，避重就轻，以点概面。二是流程设计制约功能欠缺。目前银行业务流程设计强调部门和岗位制约，而忽视了系统本身制约功能的设计。如光大银行“乌龙指”事件就是由系统功能漏洞引发的，给光大银行带了巨大的损失。三是流程设计过于繁琐和复杂。操作风险与业务繁琐程度成正比，目前银行部门众多，职责分工不明确，导致流程设计过于繁琐和复杂，增加了操作风险爆发的可能性。

四、基层商业银行操作风险案件防控措施建议

（一）健全操作风险管理架构体系

着力完善基层商业银行操作风险组织架构。一是设立专门的操作风险管理委员会和操作风险管理岗，充分发挥其独立性、专业性和制衡性的特点，实现操作风险的有效识别、评估、监测和管控。二是建立有效的操作风险评价制度。对风险管控实施动态管理，通过建立季度、年度风险评价制度，实现全面动态管理；同时，依据风险评价等级动态调整评价单位的业务准入、高管准入和转授权。三是强化考核评价力度。在制定的综合绩效考核方案中加大风险控制、合规管理所占比重，风险控制水平应与对单位的综合评价、个人薪酬、职位晋升、评优评先等挂钩。四是加强专业队伍建设。建立一支与实际业务量相匹配的操作风险管控队伍，补充高学历、年轻化的监管人员，形成全行范围内的操作风险管理文化准则和理念。

（二）完善操作风险制度体系建设

对于基层商业银行而言，大部分的操作风险都是由第一线操作人员引发。良好又完善的内部控制制度是操作风险防控的第一道防线，也是最重要的一道防线。因此，对于基层商业银行来说，建立严格的内部控制制度是有效防范操作风险的关键。一是要加强内部制度梳理，对重复存在的、与现实不符和不适用的内控制度要及时删减，对控制盲点要进行弥补。二是提高产品制度风险防控的时效性，对新推出的产品和业务要及时制定风险防控措施和操作准则，规范员工的操作行为，确保操作风险防控及时有效落实。三是强化操作风险管理制度的执行力，正确认识操作风险的重要性，提高操作风险在全面风险管控中的地位，将操作风险管控根植于业务操作的全流程中。

（三）增强全员操作风险控制意识

基层商业银行从上至下要坚持“安全就是效益”的经营理念，各层级管理者须认真履职，严格落实责任，做到业务发展与风险控制同步。一是严格银行员工岗位准入制度。严格落实岗位责任制度，定期对管理人员、从业人员的业务素质和履职情况进行检查和考核，避免出现因业务技能掌握不牢、对制度不熟或履职不到位等情况引发操作风险。二是形成良好的操作风险管理文化。着力基层商业银行内部操作风险文化氛围建设，加强思想、职业道德和法纪观念的教育力度，引导员工树立正确的人生观和价值观，主动提高对操作风险的控制意识。同时，通过在基层员工中开展经常性的警示教育和业务技能培训，营造合规的文化氛围。三是坚持轮岗制度。将各层级领导干部、客户经理、财务人员、管库人员等关键岗位人员均纳入重要岗位人员管理，由人事部门统一建立台账，集中管理，对在同一职位、同一单位连续任职超过规定期限的，坚决轮岗或强制休假，增强岗位相互监督制约的有效性。四是加强员工培训力度。加强教育学习培训，坚持开展内部合规宣讲与业务培训相结合，提高员工的专业素质和合规意识，降低操作出错的几率。

（四）规范业务流程，加强风险控制

一是优化业务办理流程。定期开展流程梳理，减少不必要的业务流程，精简业务办理人员和部门，缩短业务办理环节，减少人为出错的可能性。同时，对复杂的业务和流程，可采用特殊事项办理，在流程办理时辅以实时监控，将监管工具设置于业务处理和管理信息系统中，确保操作风险实时监控。二是优化业务系统。定期开展业务系统的校对和评估，防止因系统漏洞而产生不必要的操作风险。三是加强综合管理。运用案防提示、岗位轮换、授权管理、监督机制、组织措施、加强分支行领导行为管控、抓好党风廉政建设等方式综合管理，彻底解决基层管理者不想抓、不敢抓、不会抓的问题，抓实、抓牢、抓细操作风险管理，将基层商业银行由操作风险诱发的案件发生率降至最低。

参考文献：

[1]全登华.利用极值理论计量银行操作风险[J].统计与决策，2002（3）.

[2]薄纯林，王宗军.基于贝叶斯网络的商业银行操作风险管理[J].金融理论与实践，2008（1）.

[3]樊欣，杨晓光.从媒体报道看我国商业银行业操作风险状况[J].管理评论，2003（11）.

[4]陈学华，杨辉耀，黄向阳.POT模型在商业银行操作风险度量中的应用[J].管理科学，2003（1）.

[5]田玲，黄斌.保险在商业银行操作风险管理中的应用[J].科技进步与对策，2003（16）.

[6]美国COSO委员会.内部控制——综合框架[Z],1992.

[7]The Basel Committee on Banking Supervision.Framework for the evaluation of internal control systems[Z].Basle:Bank for international settlements，1998.

[8]The Basel Committee on Banking Supervision.Sound practices for the management and supervision of operational risk-final document[Z].Basle:Bank for international settlements，2003.

[9]The Basel Committee on Banking Supervision .Basel II:international convergence of capital measurement and capital standards:a revised framework[Z].Basle:Bank for international settlements,2004.

[10]董军.人因主导型操作风险生成机理与防范策略[J].上海金融，2005（8）.

[11]张吉光.防范商业银行操作风险探析[J].金融发展研究，2005（7）.

[12]阎庆民.借鉴国际先行经验 强化银行业机构操作风险管理[J].新金融，2011（8）.

[13]刘明彦.商业银行操作风险管理[M].北京:中国经济出版社，2008.

[14]巴曙松，王思奇，金玲玲.巴塞尔Ⅲ下的银行操作风险计量及监管框架[J].大连理工大学学报：社会科学版，2017（1）.