歷史總是驚人相似。十年前的2006年，以中國銀行四馬路支行9億元票據大案為代表，國內銀行業先后發生多起票據大案，中國銀監會為此專門下發《關于票據業務風險提示的緊急通知》，在通報案件情況、分析案發原因的同時，提出監管意見。十年后的2016年，農業銀行39億元票據大案又一次拉開票據案件多發期的序幕，中信銀行、天津銀行相繼爆出票據案件，中國人民銀行、銀監會聯合緊急下發《關于加強票據業務監管，促進票據市場健康發展的通知》，再次對票據業務的發展提出監管意見。對比十年前后的案件，雖然業務操作形式略有不同，但發案領域依然是被認為低風險的傳統票據業務，同樣是內外勾結和制度執行不力，就連監管部門發出的兩份通知所重申的監管意見，在一些條款上也幾無二致。

　　經過十年的改革發展，國內銀行無論是國有銀行、股份制商業銀行、城市商業銀行，還是農村金融機構，不管是規模實力，還是盈利能力，抑或是經營管理水平都已不可同日而語。有相當一部分銀行邁入全球銀行業1000強之列。但最近接連發生的算不上高級的票據案件告訴我們，國內商業銀行的操作風險管理狀況似無太大改觀，管理能力的提升難言樂觀。隨著金融深化程度的不斷加深，經濟進入新常態，商業銀行所處經營環境的不確定性與日俱增，風險管理尤其是操作風險管理能力將成為影響甚至決定商業銀行持續健康發展的關鍵因素。在此背景下，通過案例分析，深入剖析商業銀行操作風險管理漏洞和缺陷，總結經驗教訓，無論是對監管機構，還是商業銀行而言，都是極為重要的。

　　 缺陷一：操作風險認識錯誤和理念缺乏依然存在

　　對操作風險的認識錯誤和理念缺乏是導致國內商業銀行大案頻發的深層原因。認識上的錯誤往往導致行動上的錯誤和被動，理念的缺乏通常導致管理上的偏差和失效。首先，從認識來看，自英國銀行家協會最早給出相對規范的操作風險定義至今，已有近二十年時間，但國內銀行業仍普遍存在錯誤認識，簡單將操作 風險等同于操作性風險，認為操作風險主要存在于柜面業務和會計操作領域，從而采取的措施也主要集中于這些業務的操作性環節，忽視了其他操作風險領域的管理，導致據此建立的管理職責和管理體系殘缺不全，管控效果大打折扣。其次，認為操作風險的發生隨機性強，難以甚至不可主動管理，因而更多采取以事后處罰和總結教訓為主的防御性管理策略，造成被動應對，事前管理缺乏，難以及時識別操作風險隱患。最后，認為合規風險與操作風險嚴格隔離，沒有交集，在管理上無法有效銜接；本質上合規風險屬于操作風險的一部分，在管理上需要相關部門形成協同，但這種認識錯誤導致現實中兩類風險分別由兩個部門獨立負責，缺乏有效溝通，一方面導致合規管理部門因繞開操作風險管理領域，職能弱化為法律文本的審核和有關制度的解讀，另一方面操作風險管理喪失了事前管理的有效手段，最終效果差強人意。

　　操作風險理念的缺乏集中體現為“三重三輕”，即“重發展，輕風管”、“重信用風險管理，輕操作風險管理”、“重高風險業務，輕低風險業務”。經過十多年的改革發展，尤其是股份制改革和上市，以發展為主線和追求利潤最大化的發展理念已深入人心，但在過于強調發展以及宏觀經濟持續保持快速增長的情況下，商業銀行對風險管理的重視程度明顯弱化，在風險管理方面采取的措施和投入的資源因此受到影響，風險管理的改善和能力提升與發展速度出現偏離，當發展到一定階段，同時外部經營環境惡化時，風險暴露在所難免。更重要的是，長期以來國內商業銀行的風險管理主要是對信用風險的管理，較少涉及其他風險，尤其是操作風險。這跟風險管理部門大多由原來的信貸管理部演變而來有很大關系。近年來，在監管的推動下，商業銀行風險管理職責有很大拓展，從形式上覆蓋了信用風險、市場風險和操作風險，但在傳統理念的主導下，日常工作仍較多圍繞信用風險展開，對操作風險的管理仍較薄弱。在日常風險管理中，商業銀行更關注高風險業務，對低風險業務則給予較大風險容忍度。這種理念和做法仍然是信用風險管理思維的結果，操作風險的高低與信用風險有很大不同，以不時爆出操作風險大案的票據業務為例，就信用風險而言，票據業務是低風險業務，但就操作風險來說，則是發生概率較大且損失較大（即高頻高損）的業務領域。如果把票據業務作為低風險、高收益的業務大力推廣，在紙質票據大量依靠手工操作的情況下，隨著規模的增大，必然帶來巨大操作風險隱患。

　 　 缺陷二：制度執行不力仍較普遍

　　有章不循、制度執行不力是操作風險大案屢屢發生的直接和關鍵原因。十年前的中國銀行四馬路支行9億元票據大案之所以發生，很關鍵的一點在于支行未嚴格執行票據作廢銷毀制度，截流空白匯票，流入不法分子之手；十年后的農業銀行39億元票據大案得以發生，原因在于當事分行未嚴格執行票據保管制度，開展票據買入返售業務時沒有對票據實物進行認真清點交接，出入庫制度形同虛設，也沒有定期查賬、查庫，導致票據被挪用。兩個案件發生的業務環節雖然不同，但皆起因于有章不循。由于沒有按制度開展業務，留下風險隱患，讓作案人員有機可乘，長期有章不循又使得制度約束失效，導致案件難以被及時發現。從國內情況來看，商業銀行仍有大量業務，以及大量業務環節需要人工操作完成，如果缺乏完善的制度和流程，差錯和風險案件的發生在所難免。制定各項制度的核心就在于通過崗位制約、流程控制促使員工實現各業務環節的規范有序操作，防止風險發生。正因為此，針對票據案件頻發的現狀，無論是十年前，還是十年后，監管部門首先推出的是重申票據業務的各項制度要求。

　　經過長期的實踐積累，國內商業銀行已經建立起相對較完善的制度體系，尤其是針對存款、貸款、票據等傳統業務領域。但大案頻發的現狀說明這些制度的執行情況并不樂觀。深入分析制度執行不力的原因，可歸納為三方面：

　　第一，理念上將風險讓位于發展，把追求業務發展、實現利潤最大化作為首要目標。在此目標主導下，總行設計的考核體系大多以業務發展為主，為了完成考核指標，實現考核利潤，經營單位必然想法設法拓展業務，在風險理念缺乏的情況下，打擦邊球、繞開制度規定甚至不執行制度的情況隨之產生。特別是在經濟下滑，企業因市場不景氣而出現現金流緊張，迫切需要資金支持，同時銀行業務競爭激烈，發展面臨較大壓力，或者股市、期市快速上漲，存在投機炒作空間時期，內外部壓力和利益沖動會進一步加劇有章不循現象。

　　第二，人員不足使得制度難以執行。在當前銀行利潤增長快速下滑而考核越來越精細化，更多關注人均利潤、人均存款以及成本收入比等效率指標的情況下，經營單位對人員總數的控制日益嚴格，使得崗位制約、雙人復核、收支分離、強制輪崗等關鍵制度要求的執行遇到困難，制度設計初衷最終落空。

　　第三，事后監督檢查和責任追究不力。制度執行的動力一方面來自正向激勵，另一方面來自負向約束，即監督檢查和責任追究，負向約束通常發揮更大作用。但現實中對基層制度執行情況的監督檢查，要么頻率過低，難以及時識別風險隱患和內控缺陷，要么檢查走過場，起不到應有作用。責任追究的情況就更不樂觀，業績為王的理念仍占主導地位，除非發生案件和風險給銀行帶來實際損失，那些有章不循的行為，只要帶來業績，就不會得到處罰，或者處罰較輕，起不到懲戒作用。相同性質的操作風險案件屢有發生跟此情況密不可分。

　　 缺陷三：操作風險管理手段傳統單一

　　操作風險大案頻發反映出國內銀行操作風險管理手段的缺乏。從實踐來看，一套有效的操作風險管理手段至少包括三方面：首先是有效的約束手段，使相關人員不能作案；然后是及時的風險識別手段，使相關人員不敢作案；最后是有力的懲戒手段，使相關人員不想作案，以此形成覆蓋事前、事中、事后各環節的有效管理機制。除去系統和外部突發事件外，操作風險大多跟人的因素有關，由人員操作引發。因而將操作風險管理融入業務系統，實現電子化控制，是最有效的管理手段。以年初以來發生的三起票據大案為例，共同之處在于涉案業務都涉及對實物票據的多個手工操作環節，反映出實物票據在交易過程中，由于需要人工驗票、交付、查庫，往往容易發生截流票據、假票詐騙、多次質押等操作風險。解決的根本途徑在于推廣電票交易，實現票據業務的電子化操作。

　　操作風險管理的系統化管控包括兩方面，一方面是實現銀行業務的系統化處理，盡量減少手工操作，并將操作風險管理要求內嵌入系統中；另一方面是開發操作風險預警識別系統，根據歷史經驗，設定監控指標和閥值，實時從業務系統中抓取數據和交易記錄，通過與監控目標值對比，及時發現異常情況，起到防控操作風險的目的?？傮w來看，國內商業銀行操作風險管理手段的改進不明顯，尤其是系統化控制方面尚未廣泛運用，仍主要依賴人工檢查。造成這種狀況的原因，一是國內銀行的操作風險管理工作起步較晚，且重視程度不夠，整體資源投入不足，尤其是人才缺乏；二是大量業務仍在很大程度上依賴手工操作，難以實現系統化管控，尤其是近年來商業銀行業務創新步伐加快，新推出的諸多同業業務無法得到現有系統的支持，只能手工處理、手工記賬，對這些業務的操作風險管控只能依賴人工檢查。此外，成本約束意識不強也導致商業銀行缺乏足夠動力開發操作風險管理系統以取代人工檢查。隨著商業銀行利潤增長的快速下滑，成本的約束將越來越強，從而促使商業銀行從形成規模效益、降低成本角度逐步提高操作風險的系統化管控程度。

　　 缺陷四：操作風險管理架構還不健全

　　十年來，國內商業銀行操作風險大案時有發生，同類低級案件屢禁不止，反映出操作風險管理效果不佳，很重要的體制方面的原因在于操作風險管理架構不健全。概括起來，目前國內商業銀行的操作風險管理架構有三種形式：第一種，對包括操作風險在內的各類風險實行歸口管理，大多由風險管理部負責，下設專門的操作風險管理團隊或者操作風險管理二級部；第二種，由法律合規部門承擔操作風險管理職責，風險管理部僅負責信用風險和市場風險的管理；第三種，未明確專門的部門負責操作風險管理，相關職能分散在信貸管理、會計結算、審計、合規管理等部門。大多數中小銀行屬于第三種情況。這種分散管理模式，由于缺乏統籌安排，往往管理真空和管理過度的情況并存，且無法從整體上對全行操作風險狀況進行評估和協同管理。而第二種情況，受制于目前各銀行對合規管理部門資源投入不足，操作風險管理職能最終未能有效落地，更多停留在制度完善、法律文本審查等合規管理領域。

　　即使是做得相對比較好的第一種模式，也存在兩大突出問題：其一，風險管理部下設的操作風險管理團隊受多種因素制約，職能主要集中在制度制定、工具引入和對各條線部門操作風險監測情況的匯總，還沒有能力開展直接管理；一旦發生操作風險案件，通常情況下由所屬業務條線管理部門進行查處、整改，責任追究和處罰則由監察部門和人力資源部門負責，操作風險管理部門在其中的職責定位還不清晰。這導致的結果是操作風險管理整體上缺乏頂層設計，案件查而不止、屢禁屢犯。其二，雖然明確了風險管理部門的操作風險牽頭管理職能，但該職能在業務條線和基層經營單位缺乏對應的部門對接落地，使得總行操作風險管理缺乏向下延伸的觸角。對國內外銀行業操作風險發生情況進行總結分析，可以得出一個結論，商業銀行的操作風險管理有一個輻射半徑，決定半徑長度的是總行操作風險管理部門的能力以及操作風險管理架構在條線和基層的延伸。之所以國內一些操作風險案件發生在層級較低、較偏遠的基層網點，就是因為這些網點超出了該銀行的操作風險管理輻射半徑。解決該問題的關鍵是盡快在分行層面完善操作風險管理架構，以充分傳導總行管理意圖，落實管理措施，實現操作風險管理輻射半徑的向下延伸。

　 　 缺陷五：對分支機構的有效管控尚未形成

　　國內商業銀行操作風險案件大都發生在分支機構，且越到基層情況越嚴重，很重要的原因在于總行對分支機構缺乏有效管控，并且總行對分行、分行對支行、支行對網點的管控力層層遞減。如果分析過去幾年操作風險案件在不同類型銀行的分布，則更能說明這一問題。十年前，操作風險案件主要發生于大型銀行的支行，尤其是一些相對較偏遠的支行，很重要的原因在于大型銀行管理層級多，對底層的管控力較弱。彼時，中小銀行由于在單一地區開展業務，實行總支行管理模式，對支行的管控力尚能與業務發展匹配。而股份制銀行尚未大量開設網點，總行整體管控水平尚可。近幾年的情況有所改變，大型銀行經過股份制改革，管理架構逐步完善，對分支機構的管控能力明顯提升，基層操作風險案件，尤其是大案要案明顯減少。而股份制銀行和中小銀行由于快速擴張，總行管控能力沒有及時跟上，分支機構發生操作風險案件的情況相對增多。這一變化也反映出商業銀行對分支機構建立有效管控模式的重要性。

　　目前國內商業銀行對分支機構的管控總體較傳統，主要依賴對人的管理，尤其是對一把手的管理，因而分支機構的獨立性相對較大。一些中小銀行的情況更加突出，其分支機構在某種程度上帶有加盟店的性質，還談不上管控模式，很容易失控。近年來，逐步建立健全了對分支機構的財務和信貸授權管理，有的銀行還實行了審計和風險經理垂直管理。但總體上沒有形成規范有效的管控模式，在日常經營管理中，主要依靠分支機構的自覺性以及自身能力，分行對支行的管理尤其如此。顯然在操作風險系統管控程度較低的情況下，總行很難防范分支機構出現操作風險，尤其是內部關鍵人員作案的情況。從統一法人和整體協同的角度來看，國內商業銀行應探索建立覆蓋事前、事中、事后各環節、全方位的分支機構管控模式。事前，主要審批分支機構的戰略和年度經營計劃，確保與總行發展方向一致；事中，主要通過授權，確保分支機構的財務、人員以及風險管理規范有序，并通過考核和評估確保分支機構按照既定計劃開展經營，符合總行管理意圖，同時定期向總行相關部門進行匯報；事后，主要通過監督檢查、審計等手段，及時發現分支機構經營管理中存在的問題，尤其是總行管理體系中存在的漏洞，進而持續整改提高。

　　十年時間，無論是對一個人，還是對一家銀行來說，都不算短。十年過后，相似案件再次頻繁發生，不能不讓人擔憂國內銀行的操作風險管理狀況和管理能力。這一境地也應引起包括監管機構在內的各有關方面的警醒：是時候高度關注，并下決心解決操作風險管理問題了。

　?。? 來源：銀行家 作者 張吉光單位：上海銀行總行計劃財務部）