中国工商银行操作风险管理案例.doc

中国工商银行操作风险管理案例第二章中国工商银行操作风险管理实践第一节操作风险定义及特性巴塞尔委员会关于操作风险管理理论以及中国银监会关于操作风险管理要求，加之借鉴国内外同行的实践经验，中国工商银行开始建立自己的操作风险管理体系。什么样的风险认识决定了什么样的风险管理水平，中国工商银行的操作风险管理实践是从操作风险定义起步的。一、操作风险定义中国工商银行对于操作风险的定义是指由于不完善和失败的内部控制，以及人为和系统因素，或者外部事件所造成损失的风险（含直接损失和间接损失），其中包括法律风险，但不包括策略风险和声誉风险，该定义与巴塞尔委员会定义基本一致。13二、操作风险的特性相对于市场风险和信用风险而言，操作风险具有以下六个方面的特性：（一）异质性操作风险由于覆盖范围广泛，诱发因素多种多样，不同操作风险之间表现出明显的性质差异。如外部欺诈、计算机病毒引发的系统崩溃、地震以及恐怖袭击等尽管都同属于操作风险，但显然其诱发因素和性质的差异是巨大的。操作风险的异质性导致了操作风险的管理从量化到管理控制和监测等各个方面都具有很大的挑战性。（二）普遍性操作风险普遍存在于银行业务和管理的各个方面，包括前台、中24台和后台，总行、分支机构和子公司，结算业务、信贷业务和中间业务等。操作风险不仅存在于业务流程之中，也存在于风险管理本身的实施过程之中。（三）不对称性操作风险的损失分布具有不对称性。操作风险从发生频率和损失严重程度上看可以分为两类：一是可能经常发生，但发生后损失程度较低的操作风险；二是发生频率很低，但一旦发生后果却非常严重的操作风险。因此，操作风险在分布上呈现出肥尾的非对称特征。（四）特定性操作风险是由银行自身一系列特性所决定的，包括银行公司治理和内部控制状况、银行的管理文化、管理层的素质和风格等。因此，各银行操作风险的定义、分类、管理框架和流程都能反映该银行自身的特性。（五）非盈利性操作风险不能直接带来盈利，银行之所以承担操作风险是因为在业务开展和机构管理中不可避免，银行管理操作风险的基本策略是尽可能降低，然而这必然受到成本支出的约束，需要追求降低操作风险和增加管理成本之间的平衡。（六）可转化性在实践中，操作风险通常可以转化为市场风险和信用风险。例如巴林银行的内部控制缺陷和交易员里森的欺诈行为最终转化为该银行在日本金融市场上的巨大风险，而一系列银行信贷流程中的问题最终也转化为大量的信用风险。第二节操作风险管理原则及分类一、操作风险管理原则根据操作风险的特点，中国工商银行将操作风险管理原则确定为：“集中管理、分散控制；专线报告，统一监测；严格问责，落实25奖惩”。（一）集中管理，分散控制指对于操作风险的管理采取总行集中一个部门统一管理，即由内控合规部负责操作风险的统一计量、分析、监测、报告和检查，各专业管理部门、各级分支机构对各自领域内存在的操作风险按照统一的规定进行识别、评估、缓释和控制、报告。（二）专线报告，统一监测即在各专业（包括业务产品线部门和支持保障部门）内必须有专、兼职人员负责对各自领域操作风险进行管理，并按照统一的要求和专门的报告路线向上级行主管部门和本级内控合规部门报告；全行操作风险的整体变化情况由内控合规部实施统一监测。（三）严格问责，落实奖惩指对操作风险的管理和监督以及风险事件的处理，必须明确责任，落实奖惩，建立良好的激励约束机制。二、操作风险的分类（一）内部欺诈指故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失，此类事件至少涉及内部一方，但不包括性别/种族歧视事件。（二）外部欺诈指第三方故意骗取、盗用财产或逃避法律导致的损失。（三）就业政策和工作场所安全事件指违反就业、健康或安全方面的法律或协议，个人工伤赔付或者因性别/种族歧视事件导致的损失（四）客户，产品及业务操作事件指因疏忽未对特定客户履行份内义务（如信托责任和适当性要求）或产品性质或设计缺陷导致的损失（五）实体资产损坏指实体资产因自然灾害或其他事件丢失或毁坏导致的损失（六）it系统事件指因信息科技系统生产运行、应用开发、安全管理以及由于软件产品、硬件设备、服务提供商等第三方因素,造成系统无法正常办理业务或业务交易异常所导致的损失（七）执行，交割及流程管理事件指交易处理或流程管理失败和因交易对手方及外部销售商关系导致的损失。第三节操作风险管理实践一、操作风险组织架构在全面风险管理框架下，中国工商银行着手组建了自身的操作风险组织架构：（一）调整风险管理委员会架构，下设市场风险、信用风险、操作风险管理委员会，分别针对不同风险运作。（二）成立总行、一级分行以及二级分行三个层级的操作风险管理委员会，在总行操作风险管理委员的计划指导和工作指引下，各级操作风险管理委员会负责本级机构操作风险管理与防范。（三）着手构建合规管理体系和独立的内部审计体系，总行分别设置内部审计局和内控合规部，行使不同的操作风险管理职能，内部审计局对董事会负责，内控合规部对行领导负责。（四）逐步推行机构扁平化改革，清理整顿延伸网点，地市二级分行基本取消城区支行设置，直接管辖营业网点，撤并低效网点。目前中国工商银行操作风险组织架构见下图：27二、操作风险识别、度量、监测、报告体系初步建立2006年以来，中国工商银行采取各项举措建立操作风险识别、度量、监测、报告体系。（一）初步建立了操作风险监测体系，实施操作风险定期监测。（二）建立了操作风险损失数据收集机制。（三）实施了操作风险报告制度，由各级行定期报告本行操作风险情况。目前中国工商银行操作风险报告路线见下图：第三章中国工商银行操作风险案例研究第一节主要操作风险案例2006年中国工商银行成功实施股份制改造后，分别在上海、香港两地上市。与此同时，在公司治理层面初步建立起了操作风险管理体系。需要指出的是，操作风险的特点决定了管理的难度，其工作不可能一蹴而就。近年来出现的操作风险案例反映出中国工商银行操作风险管理仍然存在有待改进的地方。一、操作风险案例统计根据中国银监会披露信息统计14，中国工商银行近三年来因操作风险全国引致了5起百万元以上的大要案件，金额合计1802万元，包括涉及现金管理业务的盗窃库款案，涉案金额180万元；涉及电子银行业务的盗取客户资金案，涉案金额396万元；涉及代收代付业务的盗取客户资金案，涉案金额241万元；涉及理财业务的诈骗存款案，涉案金额406万元；涉及信贷业务的挪用客户贷款案，涉案金额579万元。上述案件涉及信贷管理、运行管理、个人金融、电子银行等多个专业的多个环节，再一次印证了操作风险的普遍性、异质性等特征，究其原因往往是由于内控缺失或人为因素未能有效防范操作风险，从而给予犯罪分子可乘之机，在给中国工商银行造成有形财产损失的同时，也带来了一定的声誉损失。二、具体案例分析以近期中国工商银行发生的案件为例，某分行网点发生一起临柜人员与外部人员相互勾结，通过盗用客户印鉴和空白支票，挪用客户30资金的案件。如果从操作风险管理角度具体进行分析，该起重大操作风险事件暴露出了诸多失控环节。（一）失控环节1、网点柜员基层网点临柜人员主要负责客户业务受理和具体核算，直接面对操作风险，本身能力和水平的高低直接决定了所经办业务的质量，同时是否具备履职尽责等职业素养也决定了操作风险防范中的自控、互控职能能否充分发挥，但从该起重大操作风险事件中反映出：（1）严重违规代客户办理业务由于与网点有业务往来的个别企业管理粗放甚至混乱，财经纪律松懈，为了贪图自身方便委托网点临柜人员代其办理业务。在此情况下，外部控制已经失灵，如果网点临柜人员没有拒绝企业的无理要求，其他临柜人员不去制止甚至主动配合，实际上造成了内部控制也已失效，从而潜藏了极大的操作风险，更给了个别怀有不良动机的临柜人员以可乘之机。（2）严重违反操作规程个别网点临柜人员业务处理技能单一，不熟悉对公业务处理方面管理规定、核算操作要求，对岗位分离和控制要求不清楚，特别是在空白重要凭证出售使用管理、支付密码单打印控制、现金、空白重要凭证密码单、满页账和其他会计凭证资料交接等环节，均没有严格审查业务发起的真实性，存在串岗、混岗办理业务的严重问题。（3）严重违背相互制衡的内控要求个别网点临柜人员盲目信任他人，以情感代替制度，以习惯进行操作，对业务处理中的违规现象熟视无睹，在实际操作中完全背离相互制约的内控原则，应直接面对客户的业务，交由他人办理，应自已保管的钱箱、凭证和密码，交由他人保管，事后还要签章确认，应与他人共同处理的业务，听之任之他人单独处理。2、网点负责人网点负责人应认真研究和安排本网点的劳动组合，实现重要环节的岗位分离，对本网点的运行秩序、核算质量、内部控制负责。但从31该起重大操作风险事件中反映出：（1）严重偏离了岗位职责要求个别网点负责人管理过于粗放，甚至不清楚自身的具体职责，认为自己的工作职责主要是营销客户，核算和内部管理应由营业经理负责，对历次内外部检查中发现的问题未引起足够的重视，也没有采取有效措施从根源上杜绝类似问题的再度发生。（2）缺乏对网点负责人的监督约束网点负责人是基层机构内控工作的具体组织实施者，对其履职情况加强监督、管理和约束至关重要，单纯通过营销业绩的考核并不能全面反映网点负责人的工作绩效，更不能简单的将应由上级行实施的检查工作交由网点负责人自行实施，实际上增加了网点负责人的操作风险。3、营业经理营业经理委派制是完善营业网点岗位设置、强化内部控制、有效防范操作风险的重要制度。营业经理应独立履行工作职责，加强会计核算有关事项的实时监督和定期检查，提高营业网点会计核算工作质量，对营业网点业务操作的合规性严格把关。但从该起操作风险事件中反映出：（1）缺乏履行自身职责的必要能力个别网点营业经理业务素质不高，无法胜任对综合业务的全面监督检查工作，对网点业务处理流程中的风险控制要点不清楚、自身保管使用的运行要素控制不严。（2）缺乏独立行使监督权利的职责意识个别网点营业经理不具备直面问题与困难的胆量和勇气，对柜员的违规操作行为既不进行制止，也不主动向网点负责人和业务管理部门报告和提示风险，而是简单的推断过去也是如此操作的，不会有什么问题，从而丧失了消除和化解操作风险的最佳时机。4、业务管理部门业务管理部门作为基层网点营运工作的设计者、指导者和推动者，应该为网点的建设和资源的配置提供有力的支撑和积极的引导，32但从两起重大操作风险事件中反映出：（1）未有效配置网点负责人和营业经理个别业务管理部门对网点负责人和营业经理的选拔和任用有所欠缺，没有将具有较高业务素质，较强管理能力的人员充实到重要的工作岗位上去，网点考核单纯从营销业绩和工作量去评价网点负责人和营业经理的能力和水平，对其履职质量却疏于监督和管理。（2）未能有效推动规章制度的执行和落实个别业务管理部门对员工的业务技能培训和思想素质教育仍然存在不足，造成基层员工对有关规章制章和操作流程不知道、不熟悉，决策信息层层衰减，也就不可能在日常工作中认真遵照执行。对业务流程中的风险识别和专业督导没有深入，停留在表面问题，不利于充分揭示操作风险。5、检查监督部门检查监督部门作为全面评估风险、纠正违规行为、严格进行问责的制度维护和安全保障部门，应该全力构建全行防范操作风险的最后一道防线。但从该起操作风险事件反映出：（1）检查监督手段过于落后个别检查监督部门按照固定模式开展检查监督，缺乏形式上的突击性和内容上的创新性，而被检查到的网点往往是做好了事前准备以应付检查，无法真实反映基层网点的日常内控状况，造成操作风险管理评价与实际严重脱节。（2）检查监督成果未充分运用个别检查监督部门对检查发现的问题没有深入分析和挖掘，就问题说问题，被表面现象所蒙蔽，不能及时发现风险和提出合理化建议，对有关责任人没有及时追究，仅要求发现问题进行整改，不能引起员工的重视，屡查屡犯行为得不到彻底纠正。（二）从中应汲取的经验和教训每一起重大操作风险事件的背后都折射出规章制度的重要性和严肃性，反言之，每一条制度规定银行所为之付出的代价都是沉重的，因此该起重大操作风险事件所带来的教训极其深刻,具体而言：331、必须坚持“风险为本，内控优先”的科学发展思路。事实证明，一旦业务发展与风险防控失衡、市场营销与基础管理错位，发生操作风险的概率将会增加。全行应秉承内部控制优先的原则自上而下传输内部控制注重过程、细节的理念，并在制度上重申和要求内控不符合要求的业务不能发展，内控不符合要求的员工不能上岗。2、基层营业网点仍然是操作风险集中和频发的部位。近年来，金融系统内发生在基层营业网点的重大操作风险事件占比较高，究其原因，基层营业网点既是具体业务经办单位，又处于规章制度等信息传递的末端，一旦信息失真，必然会造成操作风险。因此加强基层营业网点管理，合理配置资源，畅通信息渠道尤为重要。3、员工违规行为是导致操作风险的直接和主要的诱因。通过对重大操作风险事件的分析，绝大部分是由于员工违规操作造成，仅有少量是由于制度缺失，控制出现真空造成的。因此加强职业技能培训和思想素质教育，充分发挥检查监督职能，辅之以必要的惩戒措施，规范员工行为是防范操作风险的有效途径。三、重新认识操作风险管理的意义（一）加强操作风险防范，仍然是有效遏制大要案的重要手段从国内外银行业风险损失事件看，操作风险事件正是导致大要案发生的重要因素，近年来，中国工商银行采取各种有效措施加强操作风险防范，从一定程度上增强了全行员工的依法合规意识，提高了操作风险防范能力。但随着改革的纵深推进、业务流程的重组和新业务的不断推出，相应的一些不稳定因素也在不断出现，新的业务领域还极易诱发新的案件，这就需要不断加强操作风险防范力度，以应对新的案防形势。（二）加强操作风险防范，是全面风险管理的重要内容随着中国工商银行股份制改革的不断深入，对公司治理提出了更高的要求，重要任务之一就是要建立涵盖信用风险、市场风险、操作风险和流动性风险的全方位的全面风险控制体系。中国工商银行在信用风险、市场风险方面已经有了较为成熟的管理办法。但在操作风险管理方面还较为薄弱，因此必须切实落实操作风险的管理框架、管理机制和管理措施，才能保证全方位、全过程、全员的操作风险得到有效控制。（三）加强操作风险防范，是提升经营绩效的重要途径通过加强操作风险防范，不仅可以减少损失占用，而且可以直接体现为利润的增长。目前操作风险计量成果已经成为经济资本配置的重要参考依据，同时也将直接影响高级管理人员经营绩效考核。只有通过加强操作风险管理，减少操作风险的经济资本占用，提升经济增加值，最终获取更多的资源分配，这直接关系到各级行、每个员工的切身利益。同时，有效的减少或避免操作风险损失，也可以增加中国工商银行的声誉，赢得公众的信任，从而提高市值。（四）加强操作风险防范，是银行监管部门的重要要求银行发生大要案，不仅会给金融机构自身带来经济损失，同时还可能引起金融秩序混乱，甚至诱发社会动荡，因此，银行监管部门非常重视金融机构操作风险的防范工作。针对金融业案件高发形势，银监会先后下发了一系列制度文件，并多次组织商业银行开展案件专项治理工作，对因操作风险防范不力的机构和人员实行“双线问责”。因此必须认真抓好操作风险防范工作，切实做到依法合规经营，才能适应监管部门的监管要求。（五）加强操作风险防范，是维护个人良好职业生涯的重要措施近年来中国工商银行不断加大处罚问责力度，对发现的各类严重违规违制问题，均按照有关条例给予了责任人相应处罚。2004年11月11日，国家审计署公告15对中国工商银行审计情况，提及河南个别分支机构员工内外勾结、利用票据“包装”诈骗资金案，广东南海支行对华光装饰板材有限公司贷款风险问题，北京朝阳支行私设“小金库”问题，上海外高桥保税区支行违规发放个人住房贷款，中国工商银行共计处理责任人368名，其中开除42人，撤职18人，记过、记大过81人，解除劳动合同和辞退10人。因此，增强操作风险防范意识、加强操作风险防范力度也是对个人的一种保护措施，是实现个人良性发展的需要。（六）加强操作风险防范，是应对当前经济金融形势的重要选择2008年9月金融危机爆发以来，政府出台了一系列刺激经济的措施，各家银行立即跟进加大信贷投放力度。2009年一季度4.58万亿元的信贷增量，是2008年倾其一年完成的信贷增量，在全球金融危机的背景下，如此信贷增长速度亦令人瞠目。信贷激增无疑对银行风险控制提出了挑战，银监会主席刘明康在银行业一季度经济金融形势通报会上特别强调了要“把握信贷投放节奏”，直言贷款高速增长的同时，银行业金融机构在信贷业务快速扩张过程中所出现的种种管理弱化和不审慎行为在积聚新的风险16。因此，加强信贷领域的操作风险防范将是今后一段时期的主要风险管理任务。第二节操作风险管理缺失成因按照海恩法则，每一起飞行事故的背后都会有成百上千个大大小小的差错，因此要彻底扼止操作风险的发生，必须将日常工作中的业务差错降低至可以承受的范围之内。首要措施是针对各业务流程中的风险环节、控制措施和失控动因进行分析评价，具体可根据近年来各项内外部检查发现问题进行整理和归纳。一、临柜业务操作风险主要环节及风险分析（一）柜员风险意识淡漠疏于防范1、检查情况在一些网点的柜员中，风险防范意识淡漠，不按操作规定执行。有些柜员离岗时操作终端不签退，不锁闭现金、印章、会计凭证；有些柜员、授权柜员输入个人密码不遮挡，权限卡保管不善，甚至将权限卡交他人使用；有些柜员不妥善保管款箱钥匙，乱摆乱放等17。362、风险分析（1）在中国工商银行nova系统操作平台上进行业务操作，柜员号、权限卡和密码就是操作人员的个人身份标志，凭以进入操作系统办理业务，并对所办业务负责。在柜员进入操作系统后，柜员临时离岗其操作终端不签退，任何人可使用该操作终端办理业务（包括作案），其后果由该柜员承担。（2）柜员临时离岗不锁闭现金、印章、会计凭证，就给不法分子作案留下可乘之机，而柜员本人须对保管的现金、会计凭证（含空白重要凭证）的短少、丢失以及印章被偷盖的后果负责。（3）业务人员不按规定使用密码，不妥善保管权限卡甚至将权限卡交由他人使用，可能导致密码和权限卡被盗用，并承担由此产生的一切严重后果。（4）柜员不妥善保管款箱钥匙，乱摆乱放，一旦钥匙被人复制、盗用，必然发生款箱现金被盗案件。（二）未按规定进行银企对账1、检查情况某分行未配备专职对账人员，对帐员未与记账员、前台经办柜员、上门收款人员相分离。办公室某总务人员先后参与上门收款业务，在前台营业室代班，还经办了当年第三季度部分账户的银企对账工作；某行在对账工作中，未按规定对上门收款帐户坚持每月一次面对面对帐，在对账方式上，未按规定采取按月对发生额逐笔对账的方式，而是采用余额对账方式，且面对面对账由一人办理。2、风险分析(1)银企对账中存在的对帐员与记账员、前台经办柜员、上门收款人员相互兼职等现象，违反了总行和省分行关于对账人员必须为专职人员的规定，使得我们的岗位分离制度，内控制度难以发挥应有的作用，存在着巨大的风险隐患。(2)由于未坚持对上门收款客户按月对发生额逐笔对帐的制度，将难以发现当月每笔资金的流向是否正确，难以发现业务风险点。（三）未按规定进行atm加钞和业务交接1、检查情况某分行atm管理中心的atm管理人员在加钞时，未对钱箱内的原有现金进行清点，且未与机内结帐记录核对；atm管理中心的人员在办理交接时，未对atm机内的现金进行清点、未更换atm保险柜密码。2、风险分析atm加钞、交接时，对atm机内的库存现金不进行清点、核对，将导致atm长短款不能被及时发现与处理，导致一旦发现帐款不符的现象时，难以界定发生的时间和人员的责任；atm保险柜密码移交时未进行密码修改，将给不法分子留下作案的机会。（四）权限卡未按规定管理1、检查情况某分行领用空白权限卡时未填写“重要机具物品调拨单”，且由非人事部门人员领取空白权限卡；某分行对管库人员、上门收款人员、票据交换人员等签发有柜员权限卡，并存在一人持有多张权限卡的现象；部分网点柜员将权限卡交他人使用，经办柜员同时持有一张操作员卡和一张授权卡进行业务操作，某柜员签到后，让另一个柜员进入画面进行操作18。2、风险分析（1）权限卡领用方面。人事部门与会计结算部门按照职责分别行使管理职能，人事部门负责对持卡人的资格条件进行复审，重点应审核业务人员申请信息的真实性及岗位设置的合理性。空白权限卡做为空白重要凭证，在领用时应根据申请数量填制“重要机具物品调拨单”，作为向会计部门领取空白权限卡的依据。由非人事部门人员领取空白权限卡，再交由人事部门进行签发，在领用前将难以对权限卡的使用人员身份进行审核，而且空白权限卡在交接时缺乏手续，可能带来潜在风险。（2）权限卡签发方面。权限卡是实现事权划分的重要手段，各岗位各司其职，互相制约，部分岗位应实现岗位分离。上门收款人员与系统记账人员必须分离；负责库存现金实物的保管的管库员与负责现金、实物调拨账务处理的记账柜员应分离；票据交换员不得持有柜员权限卡。若对管库员、上门收款等人员签发有记帐权限的柜员卡，将违反岗位分离制度，对这些人员所在岗位业务的风险控制失效。（3）权限卡使用、保管方面。部分柜员风险意识淡薄，缺乏自我保护意识，将权限卡交他人使用，签到后让他人进入画面进行操作。日常使用保管不严可能为他人利用，创造作案机会，失去了事权划分防范内部风险的作用。（五）帐户管理不规范1、检查情况某分理处临时存款户3户未按规定上报人行审批，2户帐户更改户名未经支行审批，也未按规定上报人行批准；某支行营业部办理客户开立帐户时程序倒置，企业先在该行开户，后到人民银行办理“核准通知书”,而且受理客户申请和办理开户审核的同为会计主管。开立帐户后，未按规定登记“开销户登记薄”。之后某单位由其银行结算帐户向个人结算帐户支付款项单笔超过了5万元，只出具了付款的单位证明，而未附合同、协议或税务机关的缴税凭证等相关资料;某网点验资账户处理不合规,临时验资户的出资人缴存验资资金时，未按出资人名称分别缴存，而是共同一笔存入，同时也未按规定预留印鉴。2、风险分析（1）商业银行为单位开立结算帐户，必须事先通过人民银行批准，未经人民银行批准擅自开户，将承担法律风险。银行未按规定要求单位提供开户、转帐依据，一旦发生案件，银行将承担不可推卸的责任。（2）开立帐户后，不按照规定登记开销户登记簿，受理客户开户申请、办理开户审核与前台操作人员未实行三分离，内部管理薄弱，潜在内部风险。（六）未按规定办理大额支付报备1、检查情况某支行对单位存取大额现金漏登大额现金支付审批表；3月439日某公司支取现金58.31万元，未由支行现金管理人员签批；办理大额取款业务，经办人员未通过电话与付款人核实业务的真实性；3月1日某单位办理存取业务各3笔，借贷方金额均为50万元，在3月3日存取各2笔，借贷方金额均为75万元，未按反洗钱上报规定上报该帐户异动情况。2、风险分析（1）大额存取款业务未严格执行分级审批，忽略银行内部风险控制环节，对前台柜员操作风险的控制存在漏洞。（2）对于大额取款业务，经办人员应通过电话与付款人核实业务的真实性，而多数行办理大额支付业务未与付款人电话核实，未建立与开户单位电话核实的记录，在未确认交易真实性的情况下就为取款人办理的支付业务，加大客户大额资金支付的潜在风险。（3）大额支付业务存在漏登记、错登记情况，对帐户异动情况未及时上报备案，未严格执行大额支付业务登记备案制度，为不法分子洗钱留下可乘之机。（七）业务印章保管不规范1、检查情况某分行分发部分会计业务印章时未按规定在“印章保管使用登记薄”上登记，业务印章下发时未在登记簿上加盖印模；某支行营业室2号业务公章与“跨系统专用凭证”配套保管使用，票据交换员保管使用结算专用章；某行对停用的印章未及时办理停用手续，未及时上交上级会计结算部门，同时在登记簿上未注明停用日期、原因、上缴人和接收人；某分行会计结算部保管的作废业务印章692枚裸放未封存，且未入保险柜实行双人保管。2、风险分析会计业务印章是银行对内对外发生权责关系，具有法律效力的重要依据。印章保管、使用不严格按照规定执行，将引发潜在风险：（1）凭证加盖相应的会计专用印章后，即具有支付效力或法律效力，保管印章的同时又保管配套的凭证，内部制约机制失效，不能有效防范内部作案。40（2）分发、上缴印章不严格按照规定登记，若印章遗失，无法查找，也容易造成责任不清，引发道德风险。（八）综合评述上述内容仅是对临柜业务操作风险的简单梳理，实际上中国工商银行的各业务条线、管理层级都会面临不同程度的操作风险。需要着重指出的是包括中国工商银行在内的国内商业银行对员工违规操作屡禁不止的现象长期困扰，究其原因不能就违规问题本身寻找解决问题的最佳途径，必须从操作风险形成机理中获求根治办法。二、目前操作风险管理误区（一）操作风险只存在于基层机构、前台操作人员操作风险不能简单从字面理解操作的涵义，实际上称之为运营风险似乎更为贴近。因为操作风险的定义相当宽泛：纵向上涵盖了操作层、管理层、决策层，如管理者未执行规定的管理流程，决策者不遵守正常的决策程序就会产生操作风险；横向上涵盖了前台、中台、后台，如营业经理未加强事中控制，检查监督人员应该发现而未能发现甚至隐瞒舞弊线索也会产生操作风险，内容上涵盖了各类经营业务，包括前面例举的中国工商银行案例中所涉及的个金、运行管理、电子银行、信贷业务。2009年1月16日，银监会主席刘明康在银监会2009年第一次经济金融形势通报会上指示，银行业金融机构要继续严格坚守风险管理底线，一是要严格执行大额风险集中度单一客户10%和集团客户15%的授信高限，引导企业集团通过发债或采取银团贷款等方式融资；二是严禁叙做“打捆”贷款；三是严禁项目贷款借新还旧；四是对于生产性项目建设，在有关部门正式批准之前，银行不得提供任何形式的贷款支持；五是严禁开展不良资产证券化和无收益房屋信托；六是理财产品管理要严格遵守“三要求一加强”，即做到风险可控、成本可算、信息充分披露，加强售前、售中、售后全过程管理；七是认真落实国务院关于支持房地产市场健康发展的意见，严格执行对首套自住型普通住房和首套自住改善型普通住房的信贷优惠政策，严禁发放“加按揭”贷款19。由上不难看出，如果没有所涉及的各级人员包括管理人员、营销人员、操作人员的全面参与、认真履职，操作风险的有效管理无法实现（二）操作风险管理等同于案件防范按照操作风险的定义和特性，操作风险的内涵是大于案件的。从过程分析，日常工作的轻微差错并不一定导致案件的发生，但是近年中国工商银行案例反映出案件发生有其必然性，往往是作案人员的上下游环节出现控制缺失导致了从容的作案空间，因此每一起差错都应该纳入操作风险管理的范畴。从结果分析，重大操作风险事件的最终结果可能会形成案件，也可能直接体现为账面的损失，2008年上半年中国工商银行某分行操作风险损失统计情况反映11起操作风险损失事件无一起是案件，损失金额达2589万元，主要表现为败诉损失、监管罚没。此外，2008年9月以来的金融危机使得曾经拥有良好预期的多家银行理财产品跌破净值，销售过程中潜伏的操作风险得以暴露，渣打银行是国内代客外汇理财产品（qdii产品）品种最多、市场份额最大的外资银行，金融危机爆发以来外汇理财产品大幅缩水，渣打银行更是由于销售过程中风险测试未能遵守相关规定遭遇了大面积的投诉乃至诉讼，目前处理结果尚未明了20。从逻辑分析，操作风险损失金额一定是超过案件损失的，因为操作风险既包括了案件损失，也包括了败诉损失罚没支出、资产减值等。综上所述，操作风险管理的眼光不能局限于案件防范，而应着眼于各类操作风险损失的可能性和影响程度的分析判断，从而制定出真正科学和全面的操作风险管理策略。（三）操作风险与信用风险、市场风险没有必然联系表面上看，操作风险和信用风险、市场风险是相对独立的三大风险，但操作风险特点决定了操作风险会在特定条件下转化为信用风险、市场风险，如果信贷人员擅自降低门槛向不符合要求的企业发放贷款，最终因企业经营管理不善造成贷款损失，操作风险最终转化为信用风险。应该关注的是操作风险将导致信用风险、市场风险的放大，在法兴银行案例中交易员违规进行投机交易造成巨额损失，其实就是操作风险和市场风险的复合作用成倍数放大了财务损失，理论上此种放大倍数可以趋近于无限。国外金融机构中也有对新资本协议中将操作风险、信用风险和市场风险作为三种独立的风险类别执不同观点的，rabobank认为不承认各种风险之间的交叉和相互关系，势必会导致资本要求所具有的风险敏感度达不到应有的程度，资本充足率计算公式往往有真实和客观的外表，但实际上重复计算的可能性相当大。因此在其操作风险框架中将操作风险作为信用风险、市场风险以及其他风险的复合因子进行测算，最终得出偿付能力要求21。我认为此种思路值得中国工商银行研究和借鉴。三、目前操作风险驱动因素中国工商银行将操作风险的驱动因素定义为人员、流程、系统因素和外部事件影响，作者以为该定义基本参照了巴塞尔委员会关于操作风险的论述，仅仅停留在操作风险的表象分析。如果从中国工商银行近年来的操作风险管理实践出发，实际上操作风险存在的深层次原因是于差错成本、价值认同、管理能力和风险偏好。（一）差错成本当员工出错付出代价不足以冲抵员工侥幸心理的诱惑的话，那么操作风险事件必然会上升，道理很简单，控制会带来成本，成本意味着环节、手续的增加，甚至带来效率的降低。因此当员工希望通过简化环节、手续来减少自身成本付出，而相应的差错成本很低甚至没有，那么员工必然想方设法绕过程序的监控，尤其是在高压的销售策略下，从而形成违规现象。如何确定适当的差错成本，是一个不断发展的课题，其中关键在于对于风险的认识，如果风险程度高的业务，相应差错成本会很高，反之亦然。违规处理的制度设计应该秉承如此的思路，同时制度设计者的风险偏好也非常重要。（二）价值认同当企业内部的员工缺乏对本企业的价值观念和管理理念缺乏认同的话，操作风险也会出现。因为事实证明，采取行政推动的方式取得的治理成果是小于价值和理念认同背景下的政策执行。而得到全体员工遵从的风险管理文化、合规文化是企业文化建设中相当重要的组成部分，中国工商银行的文化建设任重而道远，决不是靠一项政策、一套制度就能够解决，各级管理人员带头践行是关键中的关键，不能为短期的业绩压力所左右。（三）管理能力国际银行业的风险管理实践表明，有什么样的风险认识，就会有什么样的风险管理水平。对操作风险进行准确、合理界定是建立完善、有效的操作风险管理体系的前提和基础，中国工商银行在此方面已经进行了有益的尝试，下一阶段应该集中在纠正操作风险管理误区，在业已建立的操作风险管理框架内精细化运作，进一步厘清各级人员的操作风险管理职责，逐步形成符合自身实际的风险管理文化22。（四）风险偏好一个管理者对于风险的接受程度，决定了操作风险出现的频率和影响程度。风险的实质是影响经营愿景的可能性，比如说内部检查人员向管理层报告了行内存在的违章、违法、差错、低效率、浪费、无效、利益冲突和控制系统的薄弱环节后，管理层的职责是对重大的检查业务和建议所应采取的适当改进措施作出决定，管理层可能决定考虑到成本费用和其他费因，他们将不采取报告中提出的整改措施，并承担由此引起的风险23。实际上在操作风险管理过程中，控制过度和控制不足是并存的，因此对各类业务操作风险全面进行梳理和评估，确定风险发生可能性和影响程度以及与之对应的管理成本，最终决策应采取措施是操作风险管理进程中非常必要的步骤，选择承担操作风险并非不是一种管理策略，但必须基于以上的前提。第四章中国工商银行操作风险管理改进方案第一节操作风险改进方向中国工商银行目前的操作风险管理体系基本上是依照巴塞尔委员会关于操作风险的管理理论和国外同行的管理实践以及中国银监会关于操作风险管理的具体要求建立起来的，从前几章内容不难看出，体系建设主要集中在纵向管理上，即从总行至一级分行、二级分行、支行，直至网点，明确了管理层级、报告途径、职责分工，而横向间即在各级分行层面的操作风险管理仍然存在企待解决的问题，主要表现在部门职责模糊、管理工具趋同、成本占用较大、激励不相兼容24。问题形成原因在上一章已作分析，在此不再赘述，具体改进的思路和方向如下图：一、完善操作风险管控体系根据风险管理的制约平衡与成本效益原则，结合操作风险的特点和管理要求，合理划分操作风险管理的前、中、后台。三台划分的基本标准是：前台负责业务营销和受理，直接面对客户和市场；中台业务负责审查、处理和系统控制，批准并处理前台发起的交易，控制风险；后台独立于业务流程之外，组织推动操作风险管控体系的建设，搭建操作风险管理统一框架、标准、流程和平台，推进目标和任务管理，对前台、中台部门实施客观的管理评价和检查监督，促进操作风险管理体系的有效运行。此外，由独立第三方进行包括信用风险、市场风险和操作风险在内的全面风险评估，使得最高决策层可以整体把握固有风险规模和控制有效程度，判断剩余风险是否可以接受，从而选择相应的管理战略。二、前、中、后台运用不同的管理工具前台以面对的客户群体划分，主要包括营业网点、公司业务部、个人金融业务部等营销部门，由于是各类业务的发起者、核算者，往往是操作风险集中体现的部位，因此加强日常管理和业务培训是控制操作风险源头的第一道防线。中台以处理的业务类型划分，主要包括授信审批、电子银行、国际业务等业务管理部门，由于直接掌握各类业务数据，兼之具有对前台业务的指导、审批和管理职能，使得风险监测、风险限额和自我评估成为可能。后台部门以拥有的检查监督资源划分，主要包括人力资源、内控合规、监察室等检查监督部门，相对独立于前、中台，不直接参加业务流程，同时又掌握问责手段，使得开展内控评价和进行违规处理具备优势条件。三、由独立第三方进行风险评估所谓独立第三方是指中国工商银行法人治理结构中，向董事会报告并负责的内部审计局。在操作风险管理体系中，内部审计局相对独立和超脱，可以脱离前、中、后台的职责束缚，由其通过对各级经营单位的固有风险评估以及控制有效性评估，判断剩余风险大小及改进措施供董事会决策参考。第二节前中后台操作风险管理工具按照中国工商银行全面风险管理框架，建立与业务性质、规模、复杂程度和风险特征相适应的操作风险管理流程，识别、度量、控制、监测和报告操作风险，将操作风险控制在本行可以承受的范围内25。一、日常管理日常管理是操作风险的第一道防线，通过日常管理中的职责分离、双重控制、授权委托、账务（实）核对、限额控制等举措将业务发起时的操作风险予以化解和规避。（一）职责分离职责分离是将不相容的职责分别分配给不同的职能部门和人员,以相互监督形成一个良性的制约机制。所谓不相容职责，是指那些如果由一个人担任，既可能弄虚作假，又能掩盖其作弊行为的相互矛盾的职责。实践证明，银行如果缺乏明确的责任分工，赋予同一个人相互矛盾的责任，就会使得这个人拥有了接近贵重资产或出于个人利益操作财务数据、掩盖亏损的能力，从而导致操作风险的发生。一般来说，银行内部必须进行分离的职责包括授权批准与执行，执行业务与监督审核；执行业务与会计记录；财产保管与会计记录；执行业务与财产保管相分离。（二）双重控制双重控制通常是指两个职员同时执行同一工作任务,即所谓的“四眼法则”。当岗位之间不存在有效的利益牵制关系时，职责分离措施就显得无能为力。此时，双重控制就可以作为减少操作风险的有效工具，如国外银行实务中常见的业务处理过程中的数据输入和复核操作、业务合同必须有两名授权职员签字才能使文件生效就是典型的双重控制实例。复核操作可以通过两种不同方式来实现：一种是在数据输入后，由复核员立即对数据的正确性进行验证；另一种是由复核47员再次输入所要求的数据，然后由系统与原始数据进行比较，如果匹配成功则接受交易。显而易见，第一种方法成本较低，第二种方法更加安全，在这两种方法中进行选择的时候银行通常要借助成本效益分析来进行仔细的权衡。（三）授权委托授权委托是一种对风险进行事前控制的方法，通常可以解释为对职员的授权控制，它通过对特定部门或职员赋予特定的权力实现对业务活动的控制。例如固定资产的拍卖大多数情况下只能由董事会来决定，其它部门无权处理，就可以较好地保证资产的安全。几乎所有的金融业务种类及其相应的金额都可以通过委托授权来进行限制，各级机构和职能部门及其人员只有获得批准和授权，才能在授权限度内办理业务。授权一般实行差别化授权，即根据各级机构、部门和人员的经营管理水平、风险管理能力、业务发展需要和从业资历及经验分别给予不同的授权权限。授权按其批准形式可分为一般授权和特别授权。一般授权是为办理常规业务所授予的权力，具有连续性，时效较长。一般授权通常采用岗位责任制、业务管理文件或对管理人员任命的方式予以反映。特别授权是为办理特定的业务而做的授权，授权时效较短，往往是一次性的，一旦此项业务完成，授权自行取消。（四）账务（实）核对财务核对包括银行内部的财务核对和银行、客户、交易对手等外部机构之间的账务核对。内部账务核对的关键是对具用相关关系的科目或项目进行详细的核对，从而保证交易处理的完整性与准确性。外部账务核对是达到银行账户与客户、交易对手等相关外部机构账务核对一致的过程，它也是将第三方引入银行内控流程的一种做法。外部账务核对由独立于账务经办人员的第三人单独完成，如果客户也设有独立对账的人员，对账单一般会送这些人员。如果对账单没有得到回复或对账出现差额，银行对账人员会及时查明事件的原因，必要时还会向内部审计人员寻求帮助，银行内部审计人员可以与客户的内审人员进行沟通，找出问题所在。48定期或不定期地检查账户余额与实际资产（如现金、票据、证券、金融机构在外的同业存款账户等）之间的配比关系，是保证银行资产安全与完整的重要手段。账实的核对通常由与相关资产管理无关的人员来执行，而且随机选择检查人员来保证核对人员不会由于受到干扰而粉饰掩盖真实的数字。在实施账实核对程序时，通常将往来科目余额变动与账实核对之间的时间差尽可能地缩小。实施核对程序后，由负责实物管理的人员及时通知会计部门，将余额调整到核对中清点到的数字，保证账实相符。（五）限额控制限额控制是指通过对不同层次的人员所进行的交易操作或资产的保有量设定一定的限制，以控制操作风险的方法。限额控制一般由计算机系统自动完成。它通常可以起到两方面作用：1、设定损失额度上限银行在考虑自己对风险的最大承受能力，以及各种风险因素的极端变动情况，尤其是人员因素的变动情况后，为不同人员设置不同的限额，在损失发生前将风险上限锁定在一定范围内。例如，如果对交易柜员保管的现金设定一个具体限额，那么现金失窃或柜员监守自盗的风险就可以锁定在此限额内，而不至于达到不能承受的程度。2、防止错误操作比如在计算机程序设计时，对不同层次输入人员所执行的会计信息输入过程，设置不同的金额或是交易类型的限制，这样当录入人员输入错误的信息时（如将账号当做金额输入），往往会由于突破了限额控制而被中止交易。二、业务培训员工业务培训是一项常态工作，培训质量直接关系到员工的行为规范是否合乎操作风险管理要求，业务培训的核心应该确定为针对业务操作指南的培训。国外银行实践证明，通过业务操作指南的推广应用，不断推进全流程银行建设，有利于提高各级员工制度执行力，全面提升内部控制和风险管理能力。（一）业务操作指南编制业务操作指南是指通过图形和文字相结合的方式，描述各类业务产品从受理到办结的主要处理程序、风险环节、风险点和控制措施，指导员工准确掌握业务操作流程，防控操作风险的规范性文件26。业务操作指南按照业务种类及产品进行分类，由业务流程图和风险控制描述两部分构成。业务流程图采用统一、标准的制图符号，描述各项业务的主要操作过程。业务流程图与风险控制描述部分的风险环节及风险点构成对应关系。风险控制描述由风险环节、风险点、控制措施及文件依据等要素构成。风险环节表明存在风险的业务处理环节。风险点揭示风险环节的主要风险类型。控制措施是指针对各业务环节的风险点，应采用的主要控制方法。文件依据是指与业务流程相互关联的各项业务制度类文件，包括基础文件和相关文件两类。模版如下图：（二）业务操作指南培训银行各级机构应根据岗位设置方案，按照“干什么学什么”的原则，组织开展形式多样的培训、学习，辅导员工准确理解业务操作规范，熟练掌握和运用业务操作指南。如个人客户经理的主要