作為特殊的金融企業，商業銀行的興衰存亡牽系著無數家庭、企業乃至國家的利益，直接或間接的滲透于每一個人的生活之中。在外部監管和自身發展雙重動力驅使下，商業銀行逐漸將操作風險的管理作為內部控制工作中的重要內容之一。

巴塞爾委員會將商業銀行面臨的風險分為:信用風險、市場風險、操作風險、法律風險、國家風險、流動性風險、聲譽風險、戰略風險，其中信用風險、市場風險、操作風險占最前列，并稱商業銀行風險“三巨頭”，操作風險以其較大的損失程度和較高的控制難度日漸引發界內人士重點關注。

一、操作風險的評估

（一）操作風險的內涵

操作風險，是指由不完善或有問題的內部程序、人員及系統或外部事件所造成損失的風險。根據巴塞爾委員會的規定，操作風險包括法律風險，但不包括聲譽風險和戰略風險。操作風險具體可分為人員因素、內部流程、系統缺陷和外部事件四個類別。

1.人員因素

操作風險的人員因素是指因商業銀行員工發生內部欺詐、失職違規，以及因員工的知識技能匱乏、核心雇員流失、違反用工法等造成損失或者不良影響而引起的風險。如內部員工故意騙取、盜用財產或違反監管規章、法律或公司政策導致損失，或員工因過失沒有按照雇傭合同、內部員工守則、相關業務及管理規定操作或者辦理業務造成的風險等。

2.內部流程

內部流程因素引起的操作風險是指由于商業銀行業務流程缺失、設計不完善，或者沒有被嚴格執行而造成的損失，主要包括財務/會計錯誤、文件/合同缺陷、產品設計缺陷、錯誤監控/報告、結算/支付錯誤、交易/定價錯誤六個方面。常見的情況有：財務制度不完善、未按規定審查客戶的信用等級、結算支付系統失靈或延遲等。

3.系統缺陷

系統缺陷引發的操作風險是指由于信息科技部門或服務供應商提供的計算機系統或設備發生故障或其他原因，導致商業銀行不能正常提供全部/部分服務或業務中斷而造成的損失。系統缺陷引發的風險包括系統設計不完善和系統維護不完善所產生的風險，具體表現為數據/信息質量、違反系統安全規定、系統設計/開發的戰略風險，以及系統的穩定性、兼容性、適宜性方面的問題。

4.外部事件

商業銀行是在一定的政治、經濟和社會環境中運營的，經營環境的變化、外部突發事件等都會影響其正常的經營活動甚至造成損失。外部事件可能是內部控制失敗或內部控制的薄弱環節，也可能是外部因素對商業銀行運作或聲譽造成的“威脅”。外部事件包括第三方故意騙取、監用財產或逃避法律的外部欺詐，由于戰爭、征用、罷工和政府行為、公共利益集團或極端分子活動而給商業銀行造成的損失的政治風險，火災、洪水、地震等自然災害。

（二）操作風險的評估方法

操作風險評估方法眾多，主要有自我評估法、損失分布法和風險地圖法等。其中，自我評估法運用最廣泛、成熟，廣為國際先進銀行采用，成為操作風險管理不可或缺的重要手段。操作風險自我評估大致分為以下幾項內容。

全員風險識別與報告，即發動全員積極識別崗位中的風險點，并提出相應的控制措施；流程分析、風險識別與評估，即成立自我評估管理部門，識別流程中對經營管理目標和操作風險控制目標產生明確負面影響的風險點，并做警示；控制措施的評估，即不斷重新檢測以往識別出的操作風險，逐一分析是否存在有效可行的控制措施，明確現有的措施能否滿足當下操作風險管理的要求；制定并實施風險控制優化方案，即根據以往對操作風險的風險點和控制措施的初步評估，制定并實施對上述操作風險的改進和控制優化方案；自我評估報告與日常監控，即各部門完成自我評估后，逐級匯總上報，以建立操作風險事件數據庫，并加強日常監測和管理。

二、郵儲銀行操作風險內部控制的完善

有關內部控制的定義眾說紛紜，但大同小異，引用較多的是 COSO 委員會給出的解釋：內部控制是由企業董事會、經理當局以及其他成員為達到財務報告的可靠性、經營活動的效率和效果、相關法律法規的遵循等三個目標而提供合理保證的過程。

隨著整個社會風險意識的逐漸增強，外部監管部門對商業銀行的監管力度不斷加大，各大商業銀行對自身的控制也日益深入，并取得初步成效，能否及時把控操作風險成為內部控制是否有效的關鍵因素。眾多銀行在操作風險管理上各有千秋，無特定標準，現以中國郵政儲蓄銀行（以下簡稱郵儲銀行）的內部控制為例，闡述操作風險管理在商業銀行內部控制過程中的重要性。

（一）郵儲銀行在內部控制過程中取得的成效

2007年3月6日，郵儲銀行在工商局注冊成功，注冊資本200億元人民幣。2007年3月20日，郵儲銀行在北京人民大會堂掛牌成立。成立后，郵儲銀行積極拓展業務范圍，吸收公眾存款、發放貸款、辦理結算業務、代理基金、國債等中間業務。伴隨著發展的步伐，郵儲銀行未曾忽略合規經營的方針，一度將內部控制工作放在首位，尤其是操作風險的管理，初步取得了一定成效。

1.人員管理

每個人都具有獨立的思考能力和行為能力，如果員工的消極思想作祟，會給商業銀行帶來直接或間接的不良影響。郵儲銀行在制定嚴格的職工守則同時，積極開展各種知識講座和法律大講堂，試圖從提升員工的個人素質出發，從根源上杜絕內部人作案或內外勾結作案。

2.內部流程管理

貸款業務是商業銀行的主營資產業務，也是商業銀行主營業務收入的重要來源，然而因為貸款合同、抵/質押合同的瑕疵而使借款人投機鉆空，導致銀行蒙受損失的案件屢見不鮮。郵儲銀行在防范因內部流程缺陷而導致操作風險的工作中采取雙管齊下的方式，外部聘請資深法律專家為其擔任法律顧問，內部設置專門的法律合規部門開張風險把控，最大限度地將風險扼殺在萌芽。

3.系統管理

作為發展中的商業銀行，郵儲銀行與四大銀行仍保持較大差距，但作為學習型組織，其在不斷研發和更新各種內部操作系統，意圖用較嚴密的計算機編程代替繁瑣的人工操作，節省人力物力，同時避免人為失誤導致操作風險。郵儲銀行各個層級都擁有長久合作的軟件開發公司或專業人士，便于在研發新系統時確定與已有系統更好地對接和兼容。

4.外部事件管理

商業銀行是大量現金的聚集地，因此易招致不法分子企圖實施盜搶、欺詐或洗錢等行為，郵儲銀行也據此制訂了多種應急預案，并定期開展防搶演習，讓職工在表演中掌握求生和保護公眾財產的技能。郵儲銀行要求每個現金庫存區域必須配置防盜、防火、防洪、防蟲等設備，有效保障公眾資金安全。

（二）郵儲銀行在內部控制過程中的不足

1.人員管理方面

目前郵儲銀行仍處于創業階段，雖然前臺網點人員基本可以滿足崗位專職，但中臺及后臺普遍崗多人少，多數員工身兼數職，無法落實精細化管理的方針，部分員工因無法長期承受高負荷腦力勞動而選擇跳槽。郵儲銀行員工的平均薪金與同業相比差距較懸殊，這也是核心雇員頻頻流失的一大原因。

2.內部流程管理方面

從全國范圍來看，郵儲銀行內部業務流程未能達成或無法嚴格執行統一標準，此類問題普遍發生在風險較大的前臺操作流程中，如辦理貸款業務未按照章程嚴格要求借款人出示相關證照的原件導致騙貸的風險。部分員工尚未能深刻認識自身行為存在的風險隱患，如部分需要逐級審批授權的業務，級別較高的員工將操作工號及密碼隨意告知基層員工，由其一人操辦多人的授權審批，一旦資金出現問題，各級人員都將負有重大責任。

3.系統管理方面

因成立時間較短，郵儲銀行的系統缺陷尚不明顯，但是潛在的風險不斷冒出：網上銀行交易出現擁堵時，短信驗證碼發送遲緩或界面跳轉緩慢；切換新系統旨在用計算機替代人工，但因設計不周全，導致資金時有不能及時到達收款單位和個人的現象；從客戶提出新的需求到系統研發，耗時較長、流程繁瑣，研發人員和行內人員未能做好及時充分的溝通。此類操作風險極易導致客戶失去繼續與其合作的耐心和信心，從而漸漸流失。

4.外部事件管理方面

較內部因素而言，外部事件的控制更具不確定性和隨機性，雖然郵儲銀行制定了大量的防范風險舉措和應急預案，但并未逐一跟蹤，實時落實，基層員工尚不知曉某些緊急情況發生后應如何應對，未曾對外部盜搶等事件提高警惕。因而，管理人員耗時耗力編制的多數預案并無用武之地，名存實亡。

（三）建議

1.人員管理方面

核心雇員大量流失促使郵儲銀行在人員管理與安撫上應更具人性化，豐富員工業余生活，適當提高員工薪金及福利。此外，可通過精神和物質激勵并用，最大限度激發員工愛崗敬業的精神。

2.內部流程管理方面

倘若能夠從總行層級建立統一的內部流程，個別地方特色業務由地方行建立明確的章程進行規范操作，使全行達到事事有章可循、制度執行到位的標準，可積極避免因流程缺漏導致的操作風險，從而致使內部控制更加可行有效。

3.系統管理方面

鑒于郵儲銀行在啟用新系統后曾多次出現意外，未能按照預期進行運轉，建議研發和使用新的操作系統前，盡量完善調研工作，全面掌握客戶的各項需求，將抽象的需求融合為一個具體的概念，并詳細將需求陳述給技術研發人員，動態跟蹤研發進展，隨時調整不足和缺漏。避免系統形成之后，在使用中帶來不便和資金風險。

4.外部事件管理方面

外部事件的不確定性和隨機性決定了指派專人負責外部事件的應急處理跟蹤極為必要，如妥善處理客戶投訴、對網點進行安全檢查、對現金及憑證庫房進行防火、防盜、防搶設備檢查等，對不符合要求的，責令立即整改并要求設施馬上到位。

三、總結

郵儲銀行作為正在飛速發展中的商業銀行，其內部控制的成效和不足在同類商業銀行中具有一定的代表性，并能折射出已經發展較成熟的商業銀行的現狀。金融監管當局對商業銀行的監管必不可少，但商業銀行內部控制工作，尤其是操作風險管理工作仍需一段漫長的過程。

參考文獻：
[1]中國銀行業從業人員資格認證辦公室．風險管理[M]．北京：中國金融出版社，2012．
[2]巴曙松．巴塞爾新資本協議研究[M]．北京：中國金融出社，2013．
[3]COSO.Enterprise Risk Management-Integrated Framework[R]．
[4]Nige1 J.Cutland, Internal Controls and RelaxedControls[J]．Journal of the London MathematicalSociety,2006\\(1\\):130-131．
[5]王留根．商業銀行內部控制評價綜合模型構建[J]．財會通訊，2010\\(5\\):111-113．
[6]李獻平．商業銀行風險控制水平測度研究[J]．財會通訊，2011\\(5\\):145-146．
[7]熊朝旭，祝維亮．我國銀行內部管理強化對策探討[J]．財會通訊，2013\\(1\\):78．
[8]虞偉?。诙繑祵W模型的商業銀行內部控制評價研究[J]．財會通訊，2011\\(1\\):18-20．
[9]蘭柏超，陳曉慧．風險導向的商業銀行內部控制模式研究[J]．中國注冊會計師，2011\\(6\\):74-76．
[10陸媛，張同?。畤猩虡I銀行內部控制與風險控制的相關性研究[J]．財會通訊，2011\\(1\\):31-32．
[11]蔣慧萍．建立我國商業銀行內部控制系統若干問題的思考[J]．金融經濟，2012\\(3\\):53-54．