建设银行湘潭市分行操作风险管理

《建设银行湘潭市分行操作风险管理》由会员分享，可在线阅读，更多相关《建设银行湘潭市分行操作风险管理（55页珍藏版）》请在装配图网上搜索。

1、建设银行湘潭市分行操作风险管理10第2章建设银行湘潭市分行操作风险管理现状2.1建设银行湘潭市分行概况中国建设银行股份有限公司成立于1954年10月1日,其前身是原中国建设银行。建设银行经历了三个职能转折时期。19541978年，建设银行只具备单纯的财政职能，办理基本建设拨款、结算和放款，管理基本建设支出预算和财务，进行财政监督。19791993年，建设银行进入了改革开放的探索时期，在拥有财政、银行双重职能下，开始试行贷款办法，即拨改贷。一方面建设银行继续履行财政职能，经办基本建设投资，审查工程预算和决算，管理基建单位和施工企业财务。另一方面，吸收存款、发放贷款，积极发展银行职能，支持地方经济

2、建设。1994年，建设银行抓住了国家支持专业银行建成为国有商业银行的机遇，进入向商业银行转轨时期。2004年，中国建设银行重组，中国建设银行股份有限公司承继了原中国建设银行的商业银行业务，相关资产与负债，以及相关权力和义务。2005年10月27日，中国建设银行股票在香港上市，中国建设银行成为一家大型的上市股份制银行。建设银行湘潭市分行是经中国建设银行股份有限公司授权经营人民币和外币业务的二级分行。截止2008年底，拥有营业网点29个，员工358人；全口径存款余额92.3亿元，其中企业存款余额41.44亿元，个人存款余额50.36亿元；各项贷款余额50.83亿元，其中公司类贷款44.9亿元，个人

3、类贷款5.9亿元；不良贷款余额6226万元，不良率为1.22；当年实现利润1.68亿元，其中中间业务收入6216万元。2007年开始，建设银行启动风险管理体制改革，目标是适应建设国际一流商业银行发展战略的需要，构建集中、垂直的风险管理体制，形成覆盖商业银行各种风险的全面风险管理体系，加强前、中、后台的整体联动和相互制约，建立有效平衡风险与回报的商业银行内控和运行机制，全面提高风险管理的有效性，增强风险判别的准确性和客观性，促进各项业务持续健康发展。此次风险管理体制改革的原则是：（一）全面风险管理原则。建立和完善全员参与的，对各种风险、各业务品种、各流程环节实施有效风险管理的体系。风险管理的内容

4、由过去以信用风险管理为主向信用、市场、操作风险全面管理转变。（二）垂直化管理原则。按照战略导向和客户导向调整风险管理组织架构，对风险管理组织机构实行垂直管理，建立独立的报告线路，以保持风险管理体系与业务经营体系的相对独立。实行全行整体层次上的集中风险管理，从整体上对全行11的风险管理政策、资产组合、风险标准、计量工具、信贷审批和风险监控等进行集中管理，增强风险管理有效性。（三）联动与制衡原则。风险管理融入业务流程，建立平行作业机制，加强前中后台的整体联动和有效制衡，以优化业务流程，提高工作效率，促进有效经营。（四）专业化管理原则。建立对信用、市场、操作风险的专业化管理模式，细化风险管理岗位设置

5、，建立专业化的风险管理队伍，运用精细化的风险计量技术和分析工具，提高风险管理工作质量。（五）权责利匹配原则。明晰各级风险管理机构和人员的权力和责任，清晰界定风险条线与相关部门和机构的工作关系，建立风险与回报管理相配套的风险管理机构和人员的激励约束机制。按照风险管理体制改革方案，总行设立首席风险官，湖南省分行设立风险总监由总行派遣，湘潭分行设立风险主管由省分行派遣。风险总监和风险主管独立开展工作并直接向上级风险负责人汇报工作。2.2建设银行湘潭市分行操作风险管理基本情况建设银行湘潭市分行操作风险管理一般包括3个方面：(1)总行业务部门对下属分支机构业务部门的检查；(2)总行审计部门对其下属机构的

6、定期全面检查与不定期抽查或专项检查；(3)银行内部日常检查及外聘审计、会计师进行检查。2.2.1建设银行湘潭市分行操作风险管理的相关法律规定商业银行信息披露暂行办法对操作风险做出了详细的定义：“操作风险状况。商业银行应披露由于内部程序、人员、系统的不完善或失误，或外部事件造成的风险，并对本行内部控制制度的完整性、合理性和有效性做出说明。”建设银行湘潭市分行的操作风险管理，必须在中国有关操作风险的法律框架下操作。商业银行内部控制指引中有关操作风险的部分规定如下：第十条：“商业银行应当设立履行风险管理职能的专门部门，制定并实施识别、计量、监测和管理风险的制度、程序和方法，以确保风险管理和经营目标的

7、实现。”第十一条：“商业银行应当建立涵盖各项业务、全行范围的风险管理系统，开发和运用风险量化评估的方法和模型，对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控。”第七十二条：“商业银行存款及柜台业务内部控制的重点是：对基层营业网点、要害部位和重点岗位实施有效监控，严格执行账户管理、会计核算制度和各项操作规程，防止内部操作风险和违规经营行为，防止内部挪用、贪污以及洗钱、金融诈骗、逃汇、骗汇等非法活动，确保商业银行和客户资金的安全。”第一百三十条：“商业银行应当尽可能利用计算机信息系统的系统设定，防范各种操作风险和违法犯罪行为。”2.2.2建设银行湘潭市分行操作风险管理基本框架(

8、1)建设银行湘潭市分行建立了关于操作风险的管理，但只是处于发展操作风险衡量以及监管框架的初期阶段。建设银行湘潭市分行还没有定期地对操作风险进行衡量并做出报告，只是在最近意识到把操作风险视为一个单独的风险类别。(2)建设银行湘潭市分行认为操作风险管理的重要工具是内部控制。建设银行湘潭市分行绝大多数操作风险事件都是与内控漏洞或者与不符合内控程序有关的。控制手段包括巴塞尔委员会在其发布的文件中所提及的各种控制行为，例如职责隔离、明晰管理报告界线和完善的操作程序等。(3)建设银行湘潭市分行把管理操作风险的基础责任交由营业管理人员承担，对能较好管理操作风险的营业经理们通常也给予鼓励。具体管理措施包括：将

9、操作风险衡量计入业绩评估过程，或者要求营业管理人员直接向银行最高管理层报告有关操作损失的详细情况以及纠正措施等。(4)操作风险与市场风险和信用风险不同，其影响因素大部分存在于银行内部，而且在单独的风险因素和发生操作损失的可能与损失大小之间并不存在一种明确的数学或统计学上的联系。缺少关于操作风险损失及其原因的历史资料，随着银行业日趋标准化的发展，建设银行湘潭市分行正在发展的风险模型指数趋于近似，诸如内部审计比率、内控自我评估以及类如营业额、误差率和收入弹性等操作指数。(5)电子网银的兴起导致操作风险增加。网上银行的问题其一就是安全隐患问题。对于“黑客”来说，尽管目前建设银行湘潭市分行网站均采取了

10、防火墙和网络检测等安全措施，但仍存在防不胜防的问题。网络银行面临着技术风险、操作风险，由于缺乏业务的广泛性和流程的规范性显得更加突出。这些风险的存在，使得客户对网络银行的安全性、可靠性及个人隐私权的保护持怀疑态度。2.2.3建设银行湘潭市分行操作风险现状的统计分析通过对建设银行湘潭市分行股份制改造（2005年）前3年来68件银行操作风险损失事件，从损失事件类型、业务部门、区域分布等维度进行了定量分析。见表2-1和表2-2.13通过以上数据汇总分析，可以总结出建设银行湘潭市分行操作风险的特征：1、建设银行湘潭市分行操作风险广泛存在，但各操作给银行带来损失差异较大。忽视操作风险将对建设银行湘潭市分

11、行收益甚至生存造成威胁。调查数据表明，操作风险已经成为建设银行湘潭市分行资产大量损失的重要因素，在给银行资产造成了直接损失，同时也给银行信誉等其他方面也产生了重大不利影响。2、建设银行湘潭市分行操作风险最突出的表现形式是操作失误和欺诈。操作失误是指员工在业务操作执行、传递和流程管理中，由于责任心不强、专业技能不过关及偶然失误等原因导致的操作风险事件。欺诈主要表现为内部欺诈、外部欺诈及内外部勾结欺诈。建设银行湘潭市分行因操作失误形成的损失事件占到了总数的30%以上，欺诈造成的损失额占比在80%以上。建设银行湘潭市分行的操作风险损失与国际银行操作风险损失事件以外部欺诈为主存在较大差异。表明目前14

12、建设银行湘潭市分行的风险管理制度不完善，或者说对于内部操作控制还不够严格，管理方面存在严重漏洞，尤其是在贷款管理方面存在诸多问题和风险。3、操作风险的业务风险主要集中在商业银行业务和零售银行业务。由于两个部位操作风险发生的频率高，一旦发生带来的损失也最大。在第一批实施股份制改造的国有银行中，建设银行在争取上市的进程重视操作风险，并对操作风险管理问题进行了大量的探索。从2003年开始，建设银行6家一级分行进行了风险管理平台建设工程试点，提出控制措施，详细排查风险，系统梳理各项业务和管理流程，标识出流程中的风险点和关键控制环节。建设银行湘潭市分行作为后续试点分行之一，经过一年的努力，完成了内控体系

13、文件的编写工作；2005年下半年起，对数千个可能产生操作风险的程序和环节提出了限制性的控制要求，同时对内控体系文件的升级维护。在共同的风险管理基础平台上，建立全部业务和管理活动的程序和标准，形成了一个包含原则、政策和程序相互结合的制度体系，实现了业务和管理流程的规范化、标准化和系统化，奠定了操作风险管理基础。为了更好促进建设银行股份有限公司的成立，中国建设银行严格按照巴塞尔新资本协议的定义和分类，启动了操作风险损失数据损失状况评估工作，在全行范围内对1998-2003年间发生的操作风险损失事件展开调查，对操作风险管理状况进行全面、系统的总结和检讨。主要存在以下问题：1、操作风险造成的损失巨大。

14、由于操作风险的原因，建设银行湘潭市分行每年直接财务损失至少在100万元人民币。2、轻视操作风险管理。银行仍将焦点集中在信用风险上，对操作风险管理还停留在片面和低层次的认识上。3、操作风险管理缺乏基础数据支持。根据新资本协议要求，银行实施高级计量法必须积累5年以上的历史数据，才能较为有效的进行计量，评估。但全行还没有收集、保留、报告操作风险相关数据的要求和机制，广大员工对操作风险没有足够的认识，缺乏数据报告的路径、方法和程序。4、操作风险的管理混乱。操作风险管理层次多，交叉管理，银行各部门之间没有明确的职责界定和报告路径，没有形成操作风险前期预防、识别，中期的评估、控制或减轻以及发生后的保护措施

15、没有统一结合，各部门各自为政。在付出一定得代价后，银行认识到这一点，2007年，建设银行湘潭市分行再一次对2005至2007年上半年间发生的操作风险损失数据组织调查，依据调查的结果，建立了操作风险评估体系，建立损失数据季度报告制度。因全行数据获取存在困难，现以建设银行湘潭市分行的数据为例，展开相关分析。建设银行湘潭市分行在调查规定的时间段内发生与操作风险有关的损失事件造及损失额所占比如表23，损失总金额为300万元。从建设银行湘潭市分行的调查统计结果可以推断出以下结论：1、管理制度的缺失是操作风险形成的首因。建设银行湘潭市分行因疏忽违约或产品缺陷的损失达到了总损失金额的85.13%，是湘潭市建

16、设银行操作风险产生的主要原因，而外部欺诈造成的损失金额仅占2.7%（见表2-3）。15在个人授信业务出现的问题，可以进一步说明风险原因。一般地，个人授信业务流程划分为贷款受理、贷前调查、审查审批、签约、落实担保和发放、贷后管理等五个主要环节。操作风险在贷款受理环节出现几率较高，客户提交虚假材料，主观上骗贷，或是经办客户经理审查疏忽或失误，导致客户提交的贷款材料不完整。在贷款调查环节，客户经理操作失误，导致调查结论背离实际是主要的操作风险。贷款审查、审批环节，专职审批人失职，导致不符合条件的借款人通过审查审批是主要的操作风险。从签约、落实担保和发放环节来看，主要的操作风险是合同要素填写错误，与最

17、终审批意见不符；或是前后台人员未进行有效沟通，导致贷款发放前提条件未落实就发放贷款，造成担保条件落空。贷后管理环节，贷后管理不及时，未及时发现客户的收入变化等影响贷款安全的信息，导致错过收贷的有利时机是主要的操作风险。16建设银行湘潭市分行曾经发生过这样一起贪污客户资金案件。2005年6月21日，在违法违规行为专项治理自查中，岳塘支行发现一起客户经理王某盗用客户承兑汇票2张，其中1张44.8万元的汇票贴现，另1张100万元的汇票转手后潜逃的案件。分析该案件的前因后果，可以清晰地看到相关业务环节的操作风险防范未到位，从而给罪犯有了可乘之机。方法和手段都如此简单的犯罪行为能轻易得逞，原因在于操作、

18、管理、领导等环节存在严重问题。(1)相关的双人送交及传递票据制度未严格有效的执行，票据保护意识缺乏。(2)对于员工的不良行为，没有得到及时有效的指出和规范，形成了陋习。（3）日常考勤制度不严格，员工纪律松散，劳动纪律不严。（4）人力资源管理落后，个人位置固定，业务管理漏洞百出，给罪犯以犯罪的便利。(5)员工风险防范意识不强，违规办理贴现业务。(6)会计人员工作松懈，对当日对送达代保管有价证券未按要求进行登记簿签收回执进行核对和保管。2、操作风险具有发生领域点多面广，偶发性强，防范难度大。操作风险损失存在于银行业务过程的各个环节，而操作风险损失事件相对独立，损失的产生带有很强的随机性、突发性，尤

19、其是一些内部欺诈、外部欺诈，事发前难以充分预期，防范难度较大。建设银行湘潭市分行银行2005年曾发生一起个贷客户经理利用经办或受理个人贷款业务的便利条件，私自收集相关客户资料和贷款申请审批资料，伪造材料和印鉴，主观骗贷75万元的案件。从银行方面来看，犯罪嫌疑人的还款记录良好，能够定期还贷，如果不是犯罪嫌疑人闻风而逃，这起案件很可能至今未能暴露。同时，由于银行的不断发展，由此衍生的业务品种繁多，机构也不断壮大，人员素质参差不齐，进一步加大了操作风险防范的难度。3、操作风险涉及范围虽广，但仍集中于信贷业务，尤其是公司类信贷业务。建设银行湘潭市分行信贷业务操作风险损失占总损失金额的88%，其中公司信

20、贷业务损失占81%。统计还显示，单笔损失金额在100万元以上的操作风险损失事件中，公司信贷业务占到了90%以上。4、操作风险多于信用风险、市场风险交叉，错综复杂，区分难度大。通过统计数据的分析，在全部操作风险损失事件中，完全由于操作风险导致的损失仅占6.85%，而有89.79%与信用风险有关，3.37%与市场风险有关。实际工作中，即使部分损失事件中存在不合规现象，也不能认定损失主要由操作风险造成，银行很难将操作风险从日常信用风险或市场风险中区分出来。5、随着银行内控制度的逐步完善，对于操作风险控制也不断加强。调查同样折射出建设银行在操作风险管理上存在的问题：一是操作风险管理体系建设处于起步阶段

21、，在操作风险控制责任的认识上存在误区，还停留在分离、局部的层次上，对操作风险的控制大多停留在亡羊补牢、17就事论事的较低、被动层次上，未能做到未雨绸缪、主动出击。二是操作风险激励约束机制尚不完善，各项经营指标仍是考核体系主要考核内容，营业机构违规操作程度、问题整改率等管理行为和结果在考核体系中的比重较小，各部门未对操作风险形成重视。三是银行尚未建立对操作风险监测制度。操作风险损失的日常的、快速的监测、反应机制和全面、系统的操作风险识别、评估、监测、报告制度还处于初期，缺乏科学有效的操作风险识别和缓释工具。统计数据不完全，只是对既往的风险损失进行了统计，对潜在风险因素的估计不够，不能完全覆盖银行

22、操作风险的各个时间阶段、各个业务领域和业务环节；未建立个案具体剖析、发布制度，影响了数据库的共享。通过今年来的数据分析，以及个案的全面解剖，建设银行湘潭市分行已经初步建立了较为全面的风险管理的框架和比较完备的政策制度、激励约束机制，风险管理意识逐步加强；风险管理平台工程奠定了操作风险管理的基础，风险管理的知识培训使全行员工初步了解了操作风险识别的基本程序，迈出了评估操作风险级别减轻操作风险严重后果的第一步。从操作风险管理理念的认同、政策框架的建设、组织结构的设计，到操作风险管理识别、评估、监测、报告、持续改进机制的建立，以及操作风险损失数据库的构建和操作风险资本计量分配模型的研究开发，都逐渐向

23、国际先进银行的操作风险控制学习和发展。集中体现为：全行员工对操作风险的认识初步统一，建立有效的政策制度指引和规范。同时，也应该看到识别、评估、控制操作风险的技术手段和操作流程尚不成熟；操作风险管理人员，尤其是关键控制岗位的高素质人才匮乏；内部损失数据积累不足。说明全面系统的操作风险管理体系建设还需要大量繁杂细致的工作。2.2.4建设银行湘潭市分行操作风险的主要表现形式（一）人员风险：人员风险是指由于银行管理、组织结构或其他人力资源管理失当导致银行员工行为失误、发生内部欺诈等行为造成损失的风险。培训不力、控制不到位、员工素质不高或其他因素都会加剧此类风险。基层行的人员风险更多地表现在以下几个方面

24、：1.道德风险:主要指银行内部人员缺乏职业道德造成损失的风险。主要表现在有章不循、有法不依、甚至知法犯法。道德风险按照性质不同可主要分为三类:一是失职风险。在商业银行基层营业机构，目前仍有许多员工违反规章制度和操作规程进行操作，他们不惜以牺牲制度与纪律为代价，用习惯代替制度，以信任代替纪律，使不法分子有机可乘、铤而走险。这种风险多发于业务第一线。二是谋私风险。是指员工利用工作或职务之便为小团体或个人谋取经济、人事等方面的私利造成的风险，多发于基层负责人或手中掌握一定实权的人员当中。三是违法风险。是指银行员工抵制不了金钱的诱惑,知法犯法，伙同或帮助犯罪分子大肆侵吞银行或客户资金。道德风险按照发生

25、的业务领域可分为四类:一是负债业务管理中的道德风险,主要表现在高息揽储、吸收存款不入账、出具虚假资金证明等;二是资产业务管理中的道德风险，主要表现在违规拆借、违规审批发放信贷业务、提前解除信贷担保手续等;三是会计结算过程中的道德风险,多发于现金结算和非现金结算过程中,主要表现为挪用、窃取客户资金,以及其他失职、违规操作造成损失的风险；四是其他业务管理中道德风险，主要表现在收受贿赂、贪污、挪用公款、非法占有或恶意毁损公司财产等。根据对某商业银行操作风险损失事件调查结果显示，道德风险因素是导致损失频发的最主要原因，不但发生频率较高，而且一旦发生，损失金额也相当大。2.能力风险。能力风险主要是指由于

26、银行员工本身素质原因导致操作不当或失误造成损失的风险。3.劳动用工风险。随着我国法律制度的不断健全和完善，银行和内部员工之间的劳资等法律纠纷、员工因意外伤害要求赔付的事件也呈逐年上升趋势。（二）制度风险制度风险主要是指由于内部程序的缺陷、不遵守内部制度或外部规定、产品缺陷、以及为客户提供服务中的不当行为造成损失的风险。目前各商业银行的制度建设正朝国际化、规范化、标准化方向发展。但在业务流程设计上仍存在缺陷，前瞻性、系统性不足，程序过分繁杂，制度规定不易理解和执行；制度综合协调性差，制度建设跟不上业务创新的需要，业务发展中易出现制度盲点，尤其是推出新产品的同时，相关的管理制度简陋，操作流程不够明

27、晰。此外，一些基层营业机构或员工对现有制度的执行不力，但缺乏相应的惩罚或惩罚不足以震慑后来者，也是一些操作风险损失频频发生的重要原因。（三）系统风险系统风险主要是由于软件、硬件、通讯设施、网络等出现故障，以及发生信息系统安全事故而给银行带来损失的风险。主要表现在以下几个方面：一是科技系统操作风险。包括系统安全、系统评估与升级、系统日常维护、应急计划和措施的实施等风险，此类风险的控制依赖于科技人员的合理配备。二是自助设备和出纳机具操作风险。如果自助设备和出纳机具的性能不过关，将给临柜人员造成误导，给客户或自己造成经济损失。三是通讯、电力方面的操作风险。在业务处理过程中，由于通讯故障或停电等原因，

28、可能出现存款重复入账、取款未下账等现象，如果被不法分子利用将钱取走，将给银行带来损失。（四）外部风险外部风险是指由于自然灾害、恐怖袭击或其他外部人为因素导致银行损失的19风险，包括以下三个方面：1.外部行为风险。外部行为风险主要是指社会不法分子故意骗取、盗用银行财产或逃避法律导致损失的风险，包括外部欺诈风险和计算机犯罪等。在社会生活当中，银行具有特殊的社会地位，银行经营的对象是具有社会一般等价物职能和作用的货币，是商业经济中使用最频繁、地位最特殊的商品，银行所提供的一切服务都与货币有着直接的关系。正是由于银行经营对象的特殊性，总有一些不法分子想方设法地从银行抢劫、诈骗资金。外部行为风险是仅次于

29、道德风险导致银行损失的最主要因素，而且，这种比例呈逐年上升趋势。2.政府行为风险。目前，部分地方政府财力紧张，但需要解决的问题比较多：城市的规划改造，道路交通条件的改善、下岗失业人员的安置、城市低保人员的生活保障等等都需要政府出资解决，此时，银行往往成了政府的“救助神”。地方政府的过度干预，加重了操作风险的发生频率和损失程度。从历史损失数据看，商业银行处理的大量不良贷款中行政或明或暗地干预银行发放的贷款占的比例是相当高的。随着社会信用环境的建设，以及银行内部激励约束机制的逐步完善，行政干预银行业务的情况已大大减少，但在少数地区此类现象并未绝迹。3.法律风险。法律风险包括但不限于因监管措施及私下

30、调解而支付罚金、罚款、处罚赔偿金等所导致的风险暴露。4.其他外部风险。其他外部风险包括外部行为与政府行为以外的其他外部事件带来的风险，包括战争、自然灾害、恐怖袭击等等。这些外部风险是客观存在的，不以商业银行的经营者的意志为转移，只能通过采取保险、业务连续性计划等各种措施把风险造成的损失降到最低程度。2.3建设银行湘潭市分行操作风险管理存在的问题建设银行湘潭市分行如果要适应快速发展要求，提高风险管理水平的现实问题成为首要任务，同时，认清自身差距，积极学习其他银行先进经验，有条不紊地推动银行综合化改革已成为当务之急。建设银行湘潭市分行操作风险的方式虽然合理，但执行能力差，效率低下让总体效力低下。其

31、中一个重要的原因是各方都未真正独立作业，都在各级行长、党委的领导下工作，都在一个复杂的人际关系网中工作。建设银行湘潭市分行操作风险管理存在以下几个主要问题。2.3.1缺乏健全的操作风险管理框架尽管各大国有银行进行了风险管理体制改革，组建了风险管理部，由于对不同类型的操作风险实行分割管理，缺乏沟通和配合，使得风险管理工作进展缓慢。这种分散管理的做法，导致银行内部缺乏统一的操作风险管理战略和政策，在影响银行管理的同时，也影响了银行高层管理者对操作风险状况的整体把握。20内控机制不健全、风险测量工作滞后、资产损失率偏高和抗风险能力弱化是当前国内银行经营管理中急需解决的首要问题。建设银行湘潭市分行建立

32、了风险管理的基本框架，但资产风险测算统计工作始终未能制度化，风险管理工作未能系统化。要达到新资本协议要求，不仅在信用风险测量方面存在工作量过大、成本过高、外部评级资料缺乏等现实挑战，对市场风险、操作风险的测量方面也存在不少困难。建设银行湘潭市分行风险管理制度完善进程迟缓，影响了2004年全面实施新资本协议的计划。当前迫切需要通过机构改革，强化信贷风险监控体系及信贷责任制，提高风险管理水平。具体内容为：一是进一步完善经营后理的规章制度，严格金融纪律，防范操作风险；二是强化信贷风险监控体系，进一步发挥信贷合账系统的功能，通过建立客户经理制、信贷责任制等措施不断提高资产质量；三是要强化研究及规划工作

33、，不断开拓新的盈利空间，积累风险储备金，提高防范市场风险的能力；四是要进一步完善风险管理制度，强化风险管理部门责任，对照新资本协议草案创新风险评级方法，更为准确地评估银行经营中的信用、市场及操作风险。2.3.2缺乏系统的内控机制组织系统不完善导致内控机制不健全，给别有用心者提供违章操作机会，还没有真正建立全面有效的内控体系。(1)风险评估手段相对落后，风险评估体系不完整，缺乏制度评估反馈与持续改进机制，没有完全建立操作风险事项报告制度和对内控制度执行情况的检查评价制度。(2)只注重建设，忽视落实和执行，对内控制度设计的合理性以及执行的效果往往缺乏有效的衡量、评价。(3)对管理者的权力制衡机制匮

34、乏，对关键岗位员工八小时以外的行为更是缺乏有效的管理手段；新业务开展前缺乏细致的规划和研究，没有做到内控先行；基层网点工作人员配置吃紧，无法满足风险控制制度要求，增大了操作风险发生的可能。(4)内控制度体系不健全，牵制乏力。一些内控制度不够严谨，没有经过充分论证就出台了，业务流程过于繁琐，缺乏针对性和可行性，有的制度办法之间甚至存在冲突，使基层在执行中无所适从；现有涉及到内控原则要求的规章制度数量庞大，分散，缺乏整合。通过金融当局的监督管理，提高银行风险管理水平，保障金融安全是新资本协议的重要要求。长期以来，在金融管制政策十分严格要求的背景下，中国监管当局一直将合规性审查作为监管重点，银行风险

35、测量、资本充足水平等关系银行稳定的方面一直从属于合规性监管，商业银行资本充足率要求弱化。按照新资本协议要求，监管当局必须在强化合规性监管的同时重视安全性监管，逐步硬化商业银行的资本充足率约束。21具体包括以下内容：一是加强对银行风险评估体系的合理性、准确性及信息披露的可信性进行监督，严格监管纪律，推动商业银行风险管理的科学化；二是要强化监管当局对银行安全性监管的独立性与权威性，自主决定对风险管理不合现银行的处罚措施，提高监管水平，确保金融安全。三是要按照新资本协议要求制定相应的规章，强化对商业银行及金融控股公司的风险管理及资本充足要求；四是要针对国有商业银行资本充足率偏低的问题制定综合配套政策

36、，使国有商业银行资本充足水平尽快达到巴塞尔协议要求；2.3.3操作风险管理方式和技术手段落后操作风险管理主要以管理方式及规范为主，风险规避技术手段为辅，才能进行有效的事前防范和事中控制。(1)大多数商业银行普遍缺乏规范、标准的操作风险识别和评估程序，对各类业务和管理活动中的操作风险缺乏主动识别和评估，更缺乏对操作风险损失数据的历史积累和统计，操作风险管理缺乏基础数据支持。这一点对于建设银行湘潭市分行来说更是如此。(2)风险管理人员专业素质有待提高。现代风险管理技术含量高，不仅以现代管理学、金融学、经济学、数理统计学等学科知识为基础，还引入了系统工程学、物理学等自然科学的研究方法，客观上对从事风

37、险管理的人员提出了很高的素质要求。在我国，由于社会背景及教育现状的限制，风险管理人员无论在数量还是质量上都与西方银行存在较大差距。(3)对易发生操作风险的环节和岗位缺乏有效的防范措施，发生操作风险事件后，只是时候弥补，处理有关责任人，治标不治本。前期对操作风险的疏于监督，导致时候的治理和补救效果不大，损失严重。(4)各行内部业务标准不统一，也影响了对操作风险信息的收集、分析和预警工作，没有形成一套制度化、规范化、科学化的操作风险管理流程，对操作风险识别、评估、控制等缺乏整体考虑。2.3.4人际关系错综复杂在中国特有的复杂社会关系网，是导致违规操作的现象屡禁不绝深层原因之一。在经济发展过程中，由

38、于社会制度的不完备，社会风气的败坏，人们观念行为的异化形成的道德风险，为了领导、朋友降低贷款要求，违规操作使社会风险转嫁为经济风险。中国经济体制中没有风险自动暴露机制，使风险普遍存在较长的潜伏期，逐渐地体现为银行的风险。传统的人际关系给建设银行湘潭市分行带来的操作风险主要表现为有的企业、个人要贷款，不是先向信贷部门提出申请，由信贷员进行信用分析，一级一级地审查上报批准，而是直接先找主管领导，由领导一级一级向下指派，具体经办人员在具体进行办理；有的人员进入金融机构，不是直接找人事部门申请，而是托关系、搞人情，先找领导，在由领导指令人事部门进行安排。这种操作上的“逆向”运作，使得经办人员不能够认真

39、履行自己的22职责，造成必要的审批和经办过程“走过场”，为徇私舞弊和假公济私创造了可乘之机，同时也是金融资产面临较大风险。2.4建设银行湘潭市分行操作风险的来源分析建设银行湘潭市分行操作风险隐患很多，也存在很多问题。能否识别操作风险的来源是解决它的前提。通过对建设银行湘潭市分行操作风险发生状况的统计分析，结合实际存在的问题，归纳出以下几条操作风险的主要来源。（一）商业银行操作风险管理理念未完全建立商业银行操作风险管理的理念刚刚形成，全行员工对操作风险的认识还不统一。一些基层营业机构员工严重缺乏操作风险意识，认为操作风险管理是属于操作风险管理部门和操作风险管理人员的事，于己无关，对操作风险管理抱

40、着一种“事不关己，高高挂起”的态度，更有甚者根本不知何为操作风险。（二）员工职业道德意识不强当今社会正处于转型过程中，拜金主义、享乐主义抬头，利益驱动下的各种诱惑层出不穷。个别员工意志不坚定，放松世界观、人生观和价值观的改造，放松政治学习和思想道德建设，放松对自己的约束。个别员工受外部不良环境的影响，生活中讲排场、比阔气，参与赌博等不良行为，以致无心本职工作，甚至利用手中的职权和岗位的便利条件为个人谋取私利，导致案件的发生。（三）制度执行不到位俗话说“十案九违规”。从我国银行业发生的案件来看，无论是由最主要因素道德风险引起，还是因第二大因素外部行为风险产生，无不与银行职员未严格执行制度有关。究

41、其原因，一是商业银行有的制度本身存在漏洞，部分制度缺失，不能对全部经营活动完全涵盖，有的制度滞后或超前，有的制度不够严谨，还有一些制度之间互相矛盾，导致无法执行。二是由于商业银行传统体制的原因，基层负责人权力过于集中，常常凌驾于制度之上，违规操作，而员工敢怒不敢言。三是一些基层负责人急于扩张业务和抢占市场份额，不能正确处理业务发展与风险防范的关系，为了开拓业务放弃制度、为了完成考核任务牺牲制度等现象时有发生。四是员工未严格按照制度规定和操作流程进行业务操作，上下级之间、部门之间、岗位之间相互制约不够，因而使制度本身失去了控制风险的作用。五是部分商业银行实行减员增效以后，未能及时调整人员配备结构

42、、未能及时以科技系统代替手工操作，导致部分基层行人员普遍比较紧张，混岗操作、授权流于形式等现象时有发生，极易诱发操作风险。（四）操作风险管理体系不完善、监管不到位目前各商业银行的操作风险管理架构还很不健全。一是操作风险管理职责分散，缺乏专门管理部门，难以掌握操作风险整体状况。二是基层营业机构操作风险管理职能缺失。国外银行一般在基层营业机构设置风险经理，负责风险管理政策的贯彻，对营业机构的监管及与上级行风险管理信息沟通，而国内银行尚无此设置。三是总行垂直领导的风险管理体制尚未建立，使风险管理部门对操作风险管理的权威性不强。四是各商业银行普遍缺乏操作风险历史数据的积累，尚未掌握强有力的操作风险管理

43、手段。操作风险管理架构的不健全，导致目前对基层营业机构操作风险的监管过分依赖稽核、审计等部门，而稽核、审计都是事后行为，事前防范和事中控制较少，缺乏过程监控。部分商业银行稽核检查工作还存在一些弊端：一是稽核监督不到位。稽核人员以事后的稽核检查代替日常经营管理，在对业务进行稽核时仅仅停留在账平表对、印章是否齐全的低层次上，没有深挖细究业务流向是否正常，对风险揭示的深度不够，监管质量欠佳。二是各类业务检查不到位。有的检查流于形式，只停留在表面现象上，对于业务操作程序和重要风险点、重要岗位很少从风险控制的角度进行深入检查，致使一些该查出的问题未被查出。三是对违规问题纠正不到位。一些业务管理部门在实施

44、业务监管时，即使发现了一些风险隐患，但纠正不彻底、不能追根溯源、查个水落石出，不能及时总结问题原因，从中吸取教训。在责任追究方面，当员工违反制度规定时，有的管理者不是从制度的遵循程度考虑，而是碍于人情关系，对违规行为处理不及时，对责任人的处理避重就轻，通常以经济处罚代替行政处理，罚款了事，责任追究不痛不痒，没有起到应有的警示教育作用。（五）考核激励不合理目前商业银行各级机构为完成上级部门下达的各项指标，纷纷加大了绩效考核的力度，并将指标的完成情况作为评定单位和个人业绩的主要依据。谁的指标完成的好，谁的业绩突出，所获得的实惠就多。一些基层营业机构为了完成任务不得不铤而走险，许多违规揽存、违规发放

45、贷款事件就是在这种情形下出现的。24第3章商业银行操作风险管理的国际经验引起操作风险的因素多种多样，并且对这些促成风险的因素有时很难进行有效的区分，同时这些因素各自又相互关联和渗透，这加大了降低操作风险的难度，由于商业银行所在国的政治、经济、法律和文化环境的不同，操作风险的表现类型和方式也有很大的不同。但是国际经验管理操作风险的思路和方法对于我国商业银行仍然具有积极的意义。3.1操作风险管理的一般经验银行管理层的认识是操作分析的重要保障，但是管理层的行为在很大程度上受银行现行管理体系的制约，因此建立一套行之有效的银行治理制度，在这样的制度框架下，分析操作风险在商业银行的表现类型、特征和潜在因素

46、，才能制定一系列有效的对策来预防操作风险27。通过研究表明，以下一些要素是实施银行操作风险的关键所在。(1)确定操作风险管理过程的总体方向，组织相关人员细致学习。只有明确方向，才可以保证为银行所有业务单位提供合适的操作风险测度。同时在指导方向下确定相关原则，有利于风险的规避。相关性原则是指风险报告的方式应使管理者易于采取应对措施；透明性原则是指要保证所有的实际操作风险的报告和评估方式应使风险对高级管理者是透明的；客观性原则指的是操作风险应该使用标准客观准则进行测度；一致性原则是指应该保证不同业务单位有类似的操作风险报告；整体性原则是指操作风险测度的设计应使结果能够在整个银行范围内进行汇总；最后

47、，完整性原则是指确保所有的实际操作风险都被识别和包括在内。(2)建立明确的操作风险制度。包括对操作风险的界定，分类标准，测度标准，并提出降低操作风险的措施。(3)将风险识别和处理标准化。操作风险种类很多，但是基本上可以分为几个大的类别。人的风险应包括配置技术人员时的失误，过程风险应该包括执行错误，技术风险应包括操作系统崩溃等等，实际上是对操作风险进行细化分类并标准化，有助于对操作风险的认识和理解。(4)对每一项业务建立业务流程图，规范业务开展的步骤。(5)建立易于理解的操作风险矩阵集。操作风险评估是一个复杂的过程，需要使用标准矩阵、以确定时间间隔并在整个银行范围进行。复杂的金融组织正试图建立操

48、作风险的客观测度，这种测度明显依赖于操作风险的数量化。(6)决定将如何管理操作风险敞口并采取合适的措施对风险进行套期保值。银25行应该解决对可以进行投保的操作风险进行保险的费用收益比等经济问题。(7)决定如何报告风险敞口。(8)发展风险分析的工具和使用方法。风险分析一般是作为新产品开发过程和定期业务检查的一部分，压力测试应该是风险分析过程的一个标准部分。风险评估的频率应该是当业务采用新的方法或业务环境发生变化时操作风险预期变化程度的函数。在出现新的操作风险后银行应该更新其风险评估模式，另外一旦操作风险特征显著的发生变化，则银行应对操作风险进行重估。(9)发展将操作风险计算转化为所需经济资本量的

49、技术。通过这种标准化的计算，确定相关责任人的责任和义务，严令执行，有利于将操作风险防患于未然。3.2新巴塞尔协议操作风险管理框架全球金融机构乃至整个银行业对操作风险的日益重视，使一些银行对自身滞后的操作风险管理方法产生焦虑并寻求改进。巴塞尔委员会在关于银行监管的报告中，对30家主要银行进行了调查，以便了解操作风险管理的关键。关于操作风险的测度报告指出：“很多银行都表示已经确定对于操作风险的测度十分必要的一些相关概念和数据需求。与市场风险和信用风险不同的是，影响操作风险的因素基本上是在银行内部，并且风险因素与发生的可能性和损失大小之间不存在清晰的联系。发生较大损失的经验和时间序列数据对于大多数银

50、行而言都是不足的，已经或正在建立模型的银行所使用的模型都基于一些非常相似的风险因素集合。这些风险因素包括内部审计报告、内部控制自我评价、操作指标(如数额、余额或错误机率)、损失经验以及收益的波动度等”32。3.2.1银行操作风险管理原则巴塞尔委员会总结了国际银行业关于风险管理的良好实践经验，于2001年12月提出了关于银行操作风险管理的4个方面的10条原则：(1)建立一个合适的风险管理环境原则1：董事会应当意识到操作风险的主要方面，并将其做清楚的分类以能够实施管理，并应当批准和定期地检查银行操作风险管理的框架。该框架应当提供覆盖整个银行的操作风险的定义，以及明确如何识别、衡量、跟踪和控制(减轻

51、)操作风险的原则。原则2：董事会应当确保银行的操作风险管理框架从属于由受过培训的能力的员工所独立进行的、有效的和全面的内部审计。内部审计的功能不应直接为操作风险管理负责。原则3：高级管理层应当负责董事会批准的操作风险管理框架的实施。这个实施在全行范围内应当是一致的，所有层面的员工都应该理解其相关的操作风险26管理的责任。管理管理层还有责任建立政策、步骤和程序来管理银行所有的产品、活动、流程和系统中的操作风险。(2)风险管理原则4：银行应当识别和估量在所有的产品、活动、过程和系统中固有的操作风险，并应确保在新的产品、活动、过程和系统在使用或推出之前，其固有的操作风险己经经过充分的估量。原则5：银

52、行应当采取措施定期地跟踪操作风险的组合及其实质性的损失敞口，应当有向高级管理层和董事会的定期报告。原则6：银行应当有政策、步骤和程序来控制和减少实质性的操作风险，应当定期地检查风险限额及控制策略，应当根据整个银行的风险偏好和组合，使用适当的策略调整操作风险的组合。原则7：银行应当有在偶然事件之下继续营业的计划，以确保在一个持续的基础上的运作和在严重的业务中断的事件发生时损失得以控制。(3)监管原则8：银行监管者应要求所有规模的银行，作为整体性风险管理的一部分，建立一个有效的框架来识别、估量、跟踪、控制/减轻实质性的操作风险。原则9：监管者应当直接或间接地、定期地对与银行与操作风险相关的政策、程

53、序和实践进行独立的评估。(4)披露原则10：银行应当进行足够的公开披露以使市场参与者能够对其操作风险的管理方法进行估量。3.2.2操作风险和银行全面风险管理银行操作风险的管理与对银行其他风险的管理存在显著区别，其根本原因在于操作风险的性质与其他风险的性质不同，它并不直接地与回报相关，却是天然地存在于银行的一切活动之中。操作风险的重要性已被国际金融界所熟知，而它已成为风险管理中的薄弱环节。英国银行家协会(BBA)和Coopers&Lybrand曾经在BBA成员中进行了一次调查，针对45个成员的报告显示，多于67%的银行认为操作风险与市场风险和信用风险同样(或更加)显著，24%的银行在过去3年中遭

54、受过大于100万英镑的损失。此外，在BBA，IS-DA，RMA所作的全球性调查中，发现己有84%的银行实行了操作风险管理，但金融机构对操作风险定量管理仍然持相当保守的态度，因此国际金融行业报告的操作风险损失仍达70亿美元之多。从当前情况来看，尽管没有任何一种操作风险计量方法被普遍接受，但是大多数机构都将其作为未来的选择，并试图将其纳入全面风险管理的框架中。全面风险管理(Enterprise wide Risk Management)，是指对整个金融机构内各个层次的业务单位，各个种类风险的通盘管理，这种管理要求将信用风险、市场风险、操作风险和其他各种风险以及包含这些风险的各种金融资产进行组合，并

55、将承担这些风险的各个业务单位纳入到统一的管理体系中，对各类风险再依据统一的标准进行测量并加总，依据全部业务的相关性对风险进行控制和管理。其特征可概括为全球的风险管理体系、全面的风险管理范围、全员的风险管理文化、全程的风险管理过程、全新的风险管理方法、全额的风险计量等33。全面风险管理不仅是银行业务多元化后银行机构本身产生的一种需求，也是当今国际监管机构对各大机构提出的一种要求，银行扩张发展的重要保证。目前，全面风险管理模式已成为国际化商业银行谋求持续发展和竞争优势的最重要的方式。新巴塞尔资本协议的主要内容是银行风险监管的3大支柱：资本充足率、监管当局的监督检查和市场纪律。在第一支柱中计算监管资

56、本的风险包括信用风险、市场风险和操作风险。通过第2支柱和第3支柱监管银行其它的风险，如流动性风险、战略风险、声誉风险及业务风险等。于是，可认为新资本协议的3大支柱涵盖了银行的各类风险。新协议中，银行除了要达到风险计量方面的要求，还要达到风险治理结构、组织流程、风险监控、数据和IT系统等方面的最低要求。因此，可以认为新资本协议已蕴含了全面风险管理的理念。虽然中国银监会发表声明表示近期不准备以新资本协议为标准，但以新巴塞尔资本协议全面风险管理的理念为指导，建立全面风险管理模式，对中国商业银行业增强国际竞争力具有十分重要的意义。3.2.3发展中的操作风险监管(1)巴塞尔委员会对操作风险监管的持续关注

57、风险管理操作已成为银行发展的基础，但是限制于发展的趋势和过程，目前对操作风险的定义和量化存在不少困难，但操作风险正式被纳入新巴塞尔协议资本充足率要求之前，对操作风险监管的讨论已得到相当重视。1998年9月，巴塞尔银行监管委员会首次发布了操作风险管理的咨询文件，着重强调了控制银行操作风险的重要性。1999年6月，新巴塞尔协议中将操作风险正式与信用风险、市场风险一起纳入到资本充足率的计算框架中。2001年，巴塞尔委员会公布了和新协议相关的操作风险背景文件。2001年1月和2001年9月，在巴塞尔银行监管委员会提出的关于操作风险衡量的咨询文件和最终文件中进一步指出，“银行应当披露更为详细的操作风险的

58、信息”，并提供了3种计算操作风险资本的方法。2003年2月，巴塞尔又公布了对操作风险进行管理的10条原则，供跨国银行进行讨论。(2)各国对操作风险监管的新近实践28在巴塞尔委员会的示范性作用之下，各国政府和金融机构也逐渐将操作风险监管提上议程。近年来各国在操作风险监管原则方面较为重要的实践包括以下内容。2002年7月英国金融服务管理局FSA在一系列咨询文件的基础上，发布了关于操作风险系统和控制的文件(简称CP142)，准备在综合各方意见后实施。在操作风险内容管理上，CP142采用SYSC(Senior Management Arrangements,Systems and Controls)的

59、方法来管理控制形成操作风险的因素，包括人的因素、过程和系统、外部事件及其他变化、外部采购和保险。在流程管理上，FSA建议使用PSB(Integrated Prudential Sourcebook)方法，主要包括风险识别、评估、监测、控制和记录。2003年7月，美国著名的职业监管机构COSO在1992年公布的内部控制统一框架基础上，公布完成了全面风险管理框架CERM框架)(草案)，并公开向业界征求意见。不仅如此，银行机构自身也逐渐将操作风险管理纳入到全面风险管理的框架中来，Rabobank在互联网上公开发表引入全面管理的操作风险框架。在Rabobank的框架中，所有的风险都被纳入处理框架，而且

60、最后各种风险均受到操作风险的影响34。可以认为，遵循操作风险监管原则，运用量化工具，将操作纳入全面风险管理已成为几乎难以逆转的趋势。在操作风险被日益重视和广泛讨论的基础之上，越来越多的风险管理专家认为，即使是使用高级衡量法得到的监管资本也存在一定缺陷，不能孤立地看待操作风险，在操作风险与信用风险、市场风险之间，以及各种操作风险相互之间，都存在着密切的联系。正因如此，巴塞尔银行监管委员会认为，银行监管者应该要求所有的银行(不管其大小)制定有效的制度来识别、评估、监测和控制/缓释低频高危类型的重大操作风险，并且与市场风险和信用风险一起，作为全面风险管理方法的一部分。3.3新巴塞尔协议操作风险管理框

61、架的启示新巴塞尔协议的制定，主要考虑的是10国集团成员国“国际活跃银行(Inter-national Active Banks)的需要，并没有把发展中国家银行考虑在内。同世界先进银行相比，中国银行的风险管理水平和金融监管水平还存在较大的差距。如果实施新协议，那么将影响银行的发展，甚至可能给中国银行业的运行和监管带来一定的负面影响。正是出于这样的考虑，中国银监会主席刘明康在2003年7月31日致巴塞尔委员会主席卡如纳先生的信中表示，至少在10国集团2006年实施新巴塞尔协议的几年后，中国仍将继续执行1998年的老协议。尽管和我国实际银行水平相冲突，新巴塞尔协议中包含的银行风险管理方面的先进理念，

62、以及国际上围绕新协议展开的讨论和研究，对如何加强中国银行业的操作风险管理，建立操作风险管理框架，仍然具有很强的启示作用和借鉴意义。(1)建立良好的操作风险管理环境和恰当的管理架构29目前，全球范围内管理操作风险主要采取3种方法：总部集中管理型，总部集中管理与分散化支持型，稽核部门占据主导作用型。选择何种类型，主要取决于各自的企业文化和董事会的风险偏好以及自身的风险管理能力等。为了确保操作风险管理活动被很好地理解和执行，商业银行首要的任务就是建立一个风险管理组织结构。高级管理层应承担风险管理的最终责任：这包括建立清晰的管理结构、明确的责任分工，并且保证操作风险的管理框架能够覆盖所有的相关领域，还应当建立清晰的关于操作风险的管理和报告程序。所有的业务部门和支持性部门都应当整合在整个操作风险的管理框架中。风险管理部门并不是操作风险管理的唯一部门，具体的业务部门、法律部门、稽核部门都承担着进行操作风险管理的责任。操作风险的管理则必须强调分散化，具体的业务部门在操作风险管理方面应承担第一位的责任。这是由操作风险的特征决定的，当然关于操作风险管理