【正文】 21 年，招商銀行著手零售業(yè)務組織架構的事業(yè)部制改革；浦發(fā)銀行兩個核心業(yè)務總部 —— 公司業(yè)務總部和零售銀行總部的組建完成，標志著在總行層面已經完成了組織架構的調整；民生銀行在2021 年初把所有支行變成零售業(yè)務終端；中信銀行也正在努力擺脫公司業(yè)務銀行的 形象，向零售銀行轉型。 以工商銀行、中國銀行和建設銀行為代表的國有銀行，以及以 招商銀行、民生銀行、浦發(fā)銀行、興業(yè)銀行、華夏銀行、光大銀行等 為代表的 股份制商業(yè)銀行紛紛提出戰(zhàn)略轉型的口號。然而隨著我國國有銀行股份制改革的基本完成以及金融業(yè)的對外開放，我國的銀行業(yè)市場正在發(fā)生著深刻的變化?？梢哉f，開展網上銀行業(yè)務，也是商業(yè)銀行進行業(yè)務戰(zhàn)略調整的需要。 17 第 二部分 商業(yè)銀行 發(fā)展 網上銀行 業(yè)務 的戰(zhàn)略意義分析 隨著商業(yè)銀行傳統(tǒng)業(yè)務的發(fā)展，傳統(tǒng)的商業(yè)銀行柜 臺業(yè)務的成本問題逐漸得到商業(yè)銀行的關注。通過保險方式緩釋操作風險的商業(yè)銀行應當制定相關的書面政策和程序，并且對操作風險管理的內部控制措施決不能因此而被忽視。 外包風險管理 16 銀監(jiān)會 認為商業(yè)銀行應制定與外包業(yè)務有關的風險管理政策，確保業(yè)務外包有嚴謹?shù)暮贤头諈f(xié)議、各方的責任義務規(guī)定明確。同時，商業(yè)銀行應該迅速改進科技信息系統(tǒng)，提高通過技術手段防范操作風險的能力，支持各類管理信息的適時、準確生成，為業(yè)務操作復核和稽核部門的稽查提供堅實基礎。 操作風險管理信息系統(tǒng) 為有效地識別、評估、監(jiān)測、控制和報告操作風險，銀監(jiān)會指出商業(yè)銀行應對建立并逐步完善操作風險管理信息系統(tǒng)。特別的，對于重 大操作風險事件，商業(yè)銀行應當根據(jù)本行操作風險管理政策的規(guī)定及時向董事會、高級管理層和相關管理人員報告。在風險監(jiān)測和報告時，銀監(jiān)會要求商業(yè) 15 銀行制定有效的程序定期監(jiān)測并報告操作風險狀況和重大損失情況。 在操作風險管理方法和程序方面，銀監(jiān)會認為商業(yè)銀行應當選擇適當?shù)姆椒▽Σ僮黠L險進行管理，比如評估操作風險和內部控制、損失事件的報告和數(shù)據(jù)收集、關鍵風險指標的監(jiān)測、新產品和新業(yè)務的風險評估、內部控制的測試和審查以及操作風險的報告。操作風險管理政策應當與銀行的業(yè)務性質、規(guī)模、復雜程度和風險特征相適應。 商業(yè)銀行的內審部門不直接負責或參與其他部門的操作風險管理，但應定期檢查評估本行的操作風險管理體系運作情況，監(jiān)督操作風險管理政策的執(zhí)行情況，對新出臺的操作風險管理政策、程序和具體的操作規(guī)程進行獨立評估，并直接向董事會報告對操作風險管理體系運行效果的評估情況。主要職責包括指定專人負責操作風險管理，其中包括遵守操作風險管理的政策、程序和具體的操作規(guī)程；根據(jù)本行統(tǒng)一的操作風險管理評估方法，識 別、評估本部門的操作風險，建立持續(xù)、有效的操作風險監(jiān)測、控制 /緩釋及報告程序，并組織實施；在制定本部門業(yè)務流程和相關業(yè)務政策時，充分考慮操作風險管理和內部控制的要求，保證各級操作風險管理人員參與各項重要的程序、控制措施和政策的審批，以確保與本行操作風險管理總體政策的一致性；監(jiān)測關鍵風險指標，定期向專門負責操作風險管理的部門通報本部門操作風險管理的總體狀況，并及時通報重大操作風險事件。主要職責包括擬定本行操作風險管理政策、程序和具體的操作規(guī)程，提交高級管理層和董事會審批；協(xié)助其他部門識別、評估、監(jiān)測、控制 /緩釋操作風險；建立并組織實施操作風險識別、評估、緩 釋和監(jiān)測方法以及全行的操作風險報告程序；建立適用全行的操作風險基本控制標準，并指導和協(xié)調全行范圍內的操作風險管理；為各部門提供操作風險管理方面的培訓，協(xié)助各部門提高操作風險管理水平、履行操作風險管理的各項職責；定期檢查并分析業(yè)務部門和其他部門操作風險的管理情況；定期向高級管理層提交操作風險報告；確保操作風險制度和措施得到遵守。主要職責包括根據(jù)董事會的操作風險管理戰(zhàn)略及總體政策，制定、定期審查和監(jiān)督執(zhí)行操作風險管理的政策、程序和具體的操作規(guī)程，并定期向董事會提交操作風險總體情況的報告；全面掌握本行操作風險管理的總體狀況，特別是各項重大的操作風險事件或項目；明確界定本行各部門的操作風險管理職責以及操作風險報告的路徑、頻率、內容，督促各部門切實履行操作風險管理職責，以確保操作風險管理體系的正常運行；為操作風險管理配備適當?shù)馁Y源，包括但不限于提供必要的經費、設置必要的崗位、配備合格的人員、為操作風險管理人員提供培訓 、賦予操作風險管理人員履行職務所必需的權限等；及時對操作風險管理體系進行檢查和修訂，以便有效地應對內部程序、產品、業(yè)務活動、信息科技系統(tǒng)、員工及外部事件和其他因素發(fā)生變化所造成的操作風險損失事件。主要職責包括制定與本行戰(zhàn)略目標相 一 致且適用于全行的操作風險管理戰(zhàn)略和總體政策；通過審批及檢查高級管理層有關操作風險的職責、 權限及報告制度，確保全行的操作風險管理決策體系的有效性，將本行操作風險控制在可以承受的范圍內；定期審閱操作風險報告，充分了解本行操作風險管理的總體情況、高級管理層處理重大操作風險事件的有效性以及監(jiān)控和評價日常操作風險管理的有效性；確保高級管理層采取必要的措施有效地識別、評估、監(jiān)測和控制 /緩釋操作風險；確保本行操作風險管理體系接受內審部門的有效審查與監(jiān)督；制定適當?shù)莫剳椭贫?，在全行范圍有效地推動操作風險管理體系地建設。 （ 一 ） 組織結構和職責界限 依照銀監(jiān)會在《商業(yè)銀行操作風險管理指引》中的規(guī)定，商業(yè)銀行操作風險管理體系的具體形式不要求統(tǒng)一，但至少應包括董事會的監(jiān)督控制、高級管理層的職責、適當?shù)慕M織架構、操作風險管理政策、方法和程序以及計提操作風險所 13 需資本的規(guī)定等五種基本要素。 2021 年，銀監(jiān)會印發(fā)《商業(yè)銀行操作風險監(jiān)管資本計量指引》，明確商業(yè)銀行在實施新資本協(xié)議下對操作風險計提監(jiān)管資本等要求，推動商業(yè)銀行改進操作風險監(jiān)管，實現(xiàn)穩(wěn)健經營。在操作風險管理指引中，銀監(jiān)會要求商業(yè)銀行建立與本行的業(yè)務性質、規(guī)模和復雜程度 相適應的操作風險管理體系，有效地識別、評估、監(jiān)測和控制 /緩釋操作風險。 2021 年 4 月銀監(jiān)會發(fā)布了《中國銀行業(yè)實施新資本協(xié)議指導意見》，明確提出我國銀行機構將以分類實施、分層推進、分步達標的原則，穩(wěn)步實施新資本協(xié)議，并表示表示將盡快公布符合我國商業(yè)銀行實際的操作風險資本計算方法。在 2021 年國內銀行業(yè)頻發(fā)大案的事實沖擊下，銀監(jiān)會在 2021 年 3 月發(fā)布了《關于加大防范操作風險工作力度的通知》，這才使操作風險管理正式進入議事日程。對監(jiān) 測中發(fā)現(xiàn)問題和操作風險狀況的報告，又需要銀行對新風險進行識別和評估，對已經識別和評估的風險依照新的風險偏好進行再次識別和評估 ， 如此循環(huán)往復。最后要充分管理操作風險，一套有效的監(jiān)測程序就顯得至關重要。對識別評估出的操作風險，銀行應制定控制和緩釋的政策、程序和步驟，即是說根據(jù)本行的風險偏好和狀況，通過使用合適的戰(zhàn)略調整其操作風險狀況。有效的風險識別要求銀行要同時考慮包括銀行的結構、銀行業(yè)務的性質、銀行人力資源的素質、組織機構的變化、員工的流動性等內部因素和行業(yè)的變化、技術的進步等外部因素，分析這些因素對銀行目標的實現(xiàn)造成多大不利影響。為達到這個目的，它們應該具有與風險和采取的行動相適應的范圍和尺度，并定期清楚地傳達給所有人員，以維持一定的風險意識水 平，同時確保它們被一貫地執(zhí)行。操作風險管理政策應該有助于業(yè)務活動及其支持過程的監(jiān)控、測量和管理，能夠反映業(yè)務活動發(fā)生的內外部環(huán)境并接受定期的檢查和更新。然后銀行應該考慮本行在實現(xiàn)這些目標的過程中面臨的戰(zhàn)略挑戰(zhàn)，以及不去實現(xiàn) 這些目標的后果，從而建立起一套操作風險管理戰(zhàn)略。內審部門必須擁有一支獨立運作、訓練有素、業(yè)務精良的內審隊伍，并且不應直接負責操作風險的管理。操作風險管理職能部門一方面要評估、監(jiān)控和報告銀行整體的操作 風險，另一方面要評定風險管理活動是否按照操作風險管理戰(zhàn)略和政策得以執(zhí)行。第二，銀行的高級管理層主要負責將董事會建立的操作風險管理系統(tǒng)轉化成為具體的政策、程序和步驟，以便于不同業(yè)務部門貫徹落實和對照檢查。 （ 三 ） 操作風險的管理框架 根據(jù)巴塞爾委員會在操作風險管理上發(fā)布的相關指導性文件，可以清晰的得出如下操作風險管理框架： 操作風險管理組織結構 為了確保操作風險管理活動被很好地理解和執(zhí)行，巴塞爾委員會指出銀行董事會應該為操作風險管理確定一個組織結構，設定相關人員在風險管理過程中的任務和 責任，并使每個人清楚地了解自己的任務和責任。戰(zhàn)略方面涉及業(yè)務目標、風險容忍度、管理模式以及與操作風險管理的相關政策，設定了操作風險管理的總基調和基本方法；流程方面主要涉及既定戰(zhàn)略框架下操作風險管理的日?；顒雍瓦^程；基礎設施方面主要涉及用于操作風險管理的系統(tǒng)和工具；環(huán)境方面主要涉及風險文化和相關的外部因素。 （ 二 ） 操作風險管理基本原則 鑒于 20 世紀九十年代以來全球銀行業(yè)操作風險事件的頻發(fā)和造成的巨 額損失，為引導商業(yè)銀行更好地管理操作風險，巴塞爾委員會在《操作風險管理和監(jiān)管的穩(wěn)健做法》中，從營造適宜的風險管理環(huán)境，風險識別、評估、監(jiān)測、緩釋、控制，監(jiān)管者的作用以及信息披露的作用四個方面確立了與建立操作風險管理框架有關的十條原則。 六是業(yè)務中斷和系統(tǒng)失敗類風險損失事件，顧名思義是指業(yè)務中斷 或系統(tǒng)失敗導致的損失，常見的有軟硬件系統(tǒng)的失敗、動力輸送中斷等。這種損失事件通常表現(xiàn)為因適當性、披露和信托責任引起的風險事件，不良的業(yè)務或市場行為，產品瑕疵，因客戶選擇和風險暴露而產生的風險事件，咨詢業(yè)務類風險事件等。此 類風險可進一步劃分為勞資關系、安全性環(huán)境、性別及種族歧視事件等三種形式。 二是外部欺詐，指第三方騙取、盜用財產或逃避法律導致的損失，可以分為盜竊和欺詐、系統(tǒng)安全性風險事件兩類。 一是內部欺詐，指故意騙取、盜用財產或違反監(jiān)管規(guī)章、法律或公司政策導致的損失，此類事件至少涉及內部一方，但不包括性別或種族歧視事件。在計算操作風險方法上，新資本協(xié)議為銀行提供了基本指標法、標準法和高級計量法，以促進銀行不斷提高操作風險管理水平。 2021 年，巴塞爾委員會頒布了新資本協(xié)議。巴塞爾委員會認為雖然每家銀行對操作風險管理的正確方法取決于一系列因素，但是無論銀行間規(guī)模和業(yè)務范圍如何不同，有一些相同因素是建立有效的操作風險管理框架的關 9 鍵方面，如董事會和高級管理層的明確戰(zhàn)略和監(jiān)督、健康的操作風險文化和內部控制文化、有效的內部報告和應急方案等。如火 災、地震、恐怖襲擊、外部搶劫、黑客攻擊等。如不法分子對銀行系統(tǒng)軟硬件的破壞、業(yè)務數(shù)據(jù)的不合適訪問、不嚴格的軟件變更管理、不足的數(shù)據(jù)備份等。如掌握了銀行關鍵作業(yè)技能的雇員辭職、雇員罷工、超時加班、雇員欺詐行為等。如流程 設計不明、產品流程有漏洞、沒有建立嚴格的執(zhí)行保證措施等。 （ 二 ） 操作風險產生 的 原因 從操作風險定義中，可以很清晰的看出操作風險主要源于業(yè)務流程、人力因素、信息科技系統(tǒng)及外部環(huán)境等方面的問題或不完善。 我國銀監(jiān)會 在《商業(yè)銀行操作風險管理指引》中將操作風險定義為由不完善或有問題的內部程序、員工和信息科技系統(tǒng)，以及外部事件所造成損失的風險，包括法律風險但不包括策略風險和聲譽風險。 8 英國銀行家協(xié)會 （ BBA） 的操作風險界定分為三級，首先是將操作風險產生主要來源界定為人、流程、系統(tǒng)和外部事件，然后對各類來源引起的操作風險進行了分類定義，共劃分了 24 種類型，接著對每一個類型的操作風險進行更詳細的舉例。從新資本協(xié)議的操作風險損失事件分類表中可以看出，巴塞爾委員會關于操作風險的定義基本上涵蓋了商業(yè)銀行的所有業(yè)務線，突出強調了銀行內部人員操作和業(yè)務 系統(tǒng)因素所導致的操作風險。第三種觀點則首先區(qū)分可控事件和由于外部實體 （ 如監(jiān)管機構、競爭對手 ） 的影響而難以控制的事件，然后將可控制事件的風險定義為操作風險，而另一類事件的風險則被稱為戰(zhàn)略性風險。 廣義的操作風險概念認為市場風險和信用風險以外的所有風險都視為操作風險。 近年來，信息技術在金融領域得到廣泛的應用， 金融產品極大豐富，金融服務也日趨多元化；同時金融全球化的迅速發(fā)展，電子銀行業(yè)務的產生和急速發(fā)展，跨國界金融交易和服務的頻繁發(fā)生，使銀行機構所面臨的各類操作風險不斷增加，于是銀行業(yè)對操作風險的管理就顯得愈加必要和迫切。巴塞爾委員會開始將操作風險納入重要關注領域，并最終在新資本協(xié)議中將操作風險納入風險資本的計算和監(jiān)管框架。 這些內容，可以作為商業(yè)銀行 風 險管理部門、 銀行卡業(yè)務部門、信用卡業(yè)務部門和 電子銀行 業(yè)務部門的信息決策參考。 因而，對于網上銀行操作風險進行研究，并且提出可行的風險管理措施，已經成為眾商業(yè)銀行的當務之急。 目前各界對傳統(tǒng) 銀行風險防范與控制問題研究較多，但是對于網上銀行風險及其防范的研究才剛剛開始。 然而網上銀行的發(fā)展也為商業(yè)銀行帶來了操作風險管理的壓力，網上銀行“三 A”式的服務在給商業(yè)銀行的客戶帶來便捷的同時，也使得銀行的系統(tǒng)更容易受到攻擊和外界的影響；網上銀行業(yè)務對專業(yè)化人員的需求加大了銀行由人力因素引起的風險；電子化的交易給銀行帶來了交易者身份確認、交易確認、數(shù)字傳輸?shù)臋C密性、完整性等問題；網上銀行業(yè)務的順利運營又依賴于銀行核心處理系統(tǒng)和網上銀行業(yè)務系統(tǒng)的連續(xù)正常運轉 。 通過網上銀行，客戶不用等到銀行營業(yè)時間內到銀行辦公場所、通過與銀行業(yè)務人員面對面的接觸、填制一系列紙質的申請表、業(yè)務憑證后才能獲取銀行服務，而是改為通過銀行的網上銀行用戶界面，借助客戶自用的個人電腦或其他可以接入互聯(lián)網的設備，通過填制電子表格、電子憑證等完成金融服務。 2021