工商银行E分行操作风险控制研究

　　一、研究目的

　　在金融行业飞速发展的今天，由于内部控制环境、管理手段、运营流程等多方面的制约和限制，目前我国商业银行的操作风险控制能力与国际现代商业银行相比，仍存在着较大的差距，对操作风险管理和内部控制仍存在错误或片面的认识。本文的目的是通过测定和评价中国工商银行的操作风险程度，分析类似中国工商银行这样的国有控股商业银行产生操作风险的类型，揭示导致这些风险的深层次原因，并按照新巴塞尔协议框架和结合中国金融市场环境，提出有效控制操作风险的对策和建议。

　　二、研究意义

　　商业银行操作风险管理的研究，对于我国商业银行操作风险管理完善和发展有着积极的意义：

　　首先，一个完整且健全的操作风险防范与内部控制体系是商业银行正常经营的必要保障，操作风险防范与控制可以最大限度地实现成本、操作风险及不利后果三者之间的平衡，实现效益的最大化。

　　其次，操作风险防控理论可以准确分析风险的驱动因素。操作风险除做好防范及控制外，还可以对潜在风险有科学的预测分析，对商业银行在正常经营时潜在的各类风险加以规避、预防，可做好事前操作风险防制，避免出现真实风险事件带来的各种损失。

　　再次，商业银行天然潜在操作风险，我国商业银行按对于操作风险的控制与管理的重要性未形成深刻的认识，操作风险控制处于初级研究与操作阶段，对操作风险的防控只限于日常经营的柜面业务、操作流程等细小环节上。而本文以《巴塞尔新资本协议》作为参考，以工商银行E分行的实际操作风险防控为切入点，用于分析操作风险控制所需理论、控制手段及现有不足之处、完善措施，既有助于增强对商业银行操作风险的认识，又可以推动操作风险防控理论的发展。

　　一、研究内容

　　工商银行在内部控制和操作风险管理方面一直走在国内银行业的前列，自成立以来不断吸收和借鉴国外商业银行业操作风险管理的先进经验，结合国内实际情况，构建了以监测预警机制为手段，多层级、多维度、多渠道共同监督内部控制制度与监督检查工作体系，希望对全行各业务流程面临的风险可能性做到事前预警、事中控制、事后监督。但一直以来，全行各个条线内部和外部风险事件仍然频发，对工商银行造成的很大的经济与声誉损失。本人以工商银行E分行为研究对象，就中国工商银行的各项操作风险管理现状状况进行一定的调查研究，发现了一些存在问题，就相关的问题，结合操作风险管理与内部控制，提出优化管理建议。希望在金融行业不断飞速创新发展的今天，能够使包括工商银行在内的我国商业银行加强对自身操作风险管控的重视，通过内部控制的建设，进一步降低操作风险，从而增强自身的市场竞争力，为我国金融行业的稳定做出一份贡献。

　　二、研究方法

　　考虑到操作风险管理是一个复杂的问题，本文用多个研究方法相结合来深入研究这个问题。

　　（1）文献综述法。通过阅读现有的商业银行操作风险管理的相关文献，对现有的文献进行整理分析。通过阅读文献，发现以往学者研究现状。在此基础上，分析未来的我国商业银行操作风险管理的发展方向。

　　（2）定性分析与定量分析结合法。依照工商银行E分行实际的信息、资料及数据进行定量分析，同时通过运用定性分析形成的操作风险理论来指导定量分析的该行风险管理现状及对其做出评价。

　　（3）案例分析法。针对本文商业银行操作风险管理与商业银行内部控制理论相结合的方法，结合工商银行E分行的实际背景进行了案例分析，找出现在工商银行E分行在操作风险管理方面存在的不足，并分析出对应的解决方法。

　　一、国外研究现状及文献评述

　　世界上对商业银行操作风险的研究和管理经历了一个逐渐深入研究的过程。在二十世纪九十年代，国际银行业开始正确分辨和识别银行所面临的操作风险，当时对于操作风险还没有统一定义，没有普遍认同的衡量方法，没有可以公开获取的数据库，没有成熟的技术和软件。提出银行应对操作风险进行定量分析以后，操作风险才开始受到重视。2002年，国际清算银行下的常设监督机构巴塞尔委员会提出操作风险管理的十条原则，使得各国银行业操作风险管理有了基本准则。巴塞尔新资本协议指出：银行应开发出一个管理操作风险的框架，并通过该框架评价资本充足率。框架应根据管理操作风险的政策规定，覆盖银行对操作风险的偏好和承受能力，包括操作风险向银行外部转移的程度和方式，框架还应制定银行识别、评估、监测和控制这类风险方法的政策。

　　自《巴塞尔协议》颁布以来，对操作风险的研究有了飞快的发展。德意志银行的Robert(2003)与数十位风险管理研究学者和商业银行高层管理人员编写出版了《AdvancesinOperationalRisk：wideIssuesforFinancialInstitutions》，该文集重点关注了操作风险管理、风险分类等。

　　2003年7月，X著名的职业监管机构：X反虚假财务报告委员会下属的发起人委员会（COSO）对外公布完成了《企业风险管理框架》（草案）并公开向业界征求意见。2004年4月XCOSO委员会在《内部控制整体框架》的基础上，结合《萨班斯一奥克斯法案》（Sarbanes-OxleyAct）在报告方面的要求，同时吸收各方面风险管理研究成果，颁布了《企业风险管理框架》（EnterpriseRiskManagementFramework）旨在为各国的企业风险管理提供一个统一概念、定义和完整体系。普华永道公司开发了软件支持产品OpVaR，便于银行和其他金融机构用来测算操作风险。Jack．LKing(2003)提出了Delta–EvT模型，从此可以用Delta因子来测算出操作风险事件的损失率、以及如何运用数值理论计算，为现在银行业精确测算操作风险资本要求提供了比较科学的方法。JohnJordan则采用XOpRiskAnalytics和OpVantage两家数据公司收集的风险事件数据，运用极值理论法对大型国际银行所需提取的“操作风险资本金”进行了模拟测算、数额与X现今大型商业银行采用的实际操作风险准备金接近、对商业银行的操作风险量化管理有很大的参考价值。DrMarkLawrence分析了在内部数据充足和不足的情况下如何选择基于损失分布法的各种高级测量方法来从事操作风险资本要求的测算、为银行业根据自己的实际情况科学地测算其所需操作风险资本提供了好的思路。

　　二、国内研究现状及文献评述

　　我国学者关注商业银行操作风险比较晚，直到新巴塞尔协议出台之后，国内学术界和商业银行管理层才开始较多地关注操作风险，出现了一些相关文献，本文针对不同的研究角度和研究贡献对其进行了简单的梳理。

　　见下图：

　

　　一、早期的操作风险概念

　　英国银行家协会(BritishBankerAssociation,BBA，1997)最早给出了操作风险的定义，他们认为：操作风险与人为失误、不完备的程序控制、欺诈和犯罪活动相联系，它是由技术缺陷和系统崩溃引起的。经过广泛的讨论和争论，1998年5月，IBM(英国)公司发起设立了第一个行业先进思想管理论坛—-操作风险论坛，在这个论坛上，将操作风险定义为：操作风险是遭受潜在损失的可能，是指由于客户、设计不当的控制体系、控制系统失灵以及不可控事件导致的各类风险。损失可能来自于内部或外部事件、宏观趋势以及不能为公司决策机构和内部控制体系、信息系统、行政机构组织、道德准则或其他主要控制手段和标准所洞悉并组织的

　　二、巴塞尔银行监管委员会的正式定义

　　操作风险是指由于不完善或有问题的内部操作过程、人员、系统或外部事件而导致的直接或间接损失的风险。包括控制性风险、流程风险、人力资源风险、安全性。这一定义包含了法律风险，但是不包含策略性风险和声誉风险。

　　根据《巴塞尔新资本协议》，操作风险可以分为由人员、系统、流程和外部事件所引发的四类风险，并由此分为七种表现形式：内部欺诈，外部欺诈，聘用员工做法和工作场所安全性，客户、产品及业务做法，实物资产损坏，业务中断和系统失灵，交割及流程管理。法律风险作为特殊的操作风险，主要表现形式为合规风险。

　

　　因操作风险具有明显的内源性特点。有很大部门来源于银行内部，包括银行工作人员在操作过程中出现的意外事故，以及利用职权违规操作所致、业务流程不完善、技术系统失灵或不配套等因素等，这些与内部控制有着密切联系。内部控制是商业银行防范操作风险的主要措施，也是现代银行管理的重要组成部分。因此，有必要从内部控制的角度研究操作风险管理。

　　一、商业银行内部控制定义

　　所谓内部控制，是指一个单位为了实现其经营目标，保护资产的安全完整，保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。

　　根据中国人民银行2002年4月颁布的《商业银行内部控制指引》的定义，商业银行内部控制是：商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。

　　2004年COSO委员会发布《企业风险管理——整合框架》。其中认为“企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。”该框架拓展了内部控制，更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。风险管理框架包括了八大要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。

　　2007我国银监会下发《商业银行内部控制指引》，其中内部控制被定义为“为保证银行的经营目标的实现，制定并且实施相关制度、政策和流程，可以做到事前防范、事中控制、事后监督并修正风险的动态过程和机制，”。《指引》确切规定了资金业务、存款和柜台业务授信业务等业务的具体内部控制要求。

　　2016年COSO委员会颁布最新的《全面风险管理框架》的修订版。定义为：“全面风险管理-组织为创造、保持和实现价值的过程中赖以管理，并与战略制定和实施整合的文化、能力和实践。”COSO新的风险管理框架五要素为：风险治理结构和文化、风险战略和目标设定、执行风险、风险信息沟通和报告、监测全面风险管理的绩效表现。

　　二、商业银行操作风险管理与内部控制的关系

　　操作风险管理和内部控制是相互成就的。商业银行内部控制的目标是促进商业银行提高风险管理水平，保证其发展战略的实现。内部控制是操作风险管理过程中必不可少的一个环节，通过保证合法经营，保障商业银行操作风险管理目标的顺利实现；反之，管理操作风险，可以帮助实现商业银行内部控制目标。

　　1、内部控制是操作风险管理的基础

　　内部控制与风险管理的实质都是控制风险，理想目标均是以最小成本实现业务运行最大安全保障。内部控制通过设计科学合规的制度来保障银行在不断扩大业务的同时，资产安全，提供的银行会计报表真实可靠。脱离了内部控制去谈风险管理是毫无意义的。操作风险的起因分为内部原因和外部原因。内部原因主要是人为因素、系统和技术。残缺的内部控制体系必然引起商业银行内生性操作风险的发生。

　　2、内部控制是提升操作风险管理的主要途径

　　巴塞尔委员会认为全面风险管理是减少操作风险最有效的方法。全面风险管理的框架很全面，包括很多内容。其中内部控制环境、风险评估、控制活动、信息与沟通、监督五要素都包含在其中。巴塞尔委员会在《有效银行监管的核心原则》中提到：“内部控制体系没有很好的运行及公司治理机制的不健全是最大的操作风险”，由此可见防范操作风险的主要途径就是不断完善商业银行的内部控制体系。

　　三、内部控制对商业银行操作风险管理的影响

　　1、风险评估对商业银行操作风险管理的影响

　　商业银行在日常经营过程中会遇到各种流动性风险和非流动性风险。这些风险不仅使银行的资产受损，还会对银行的声誉带来负面影响。风险评估即判断风险的大小，提前预测风险造成的损失额。任何一个银行的风险管理都离不开风险评估。通过风险评估，银行管理层能够根据操作风险的分布情况，迅速发现操作风险的“高发地段”，制定相应的措施控制操作风险。此外，对操作风险评估可以避免控制资源的浪费。根据风险评估的结果，管理层将更多的控制资源放在主要风险环节。通过风险评估可以减少因操作风险的变化给风险管理措施带来的负面影响。操作风险的分布情况会随着银行内外部环境的变化而变化。操作风险的种类也会随着银行战略目标的改变而改变。操作风险评估可以帮助识别风险管理中新生的操作风险，预测其造成的损失大小，及时对风险管理计划作出相应的调整。

　　2、内部控制制度的执行对商业银行操作风险管理的影响

　　内部控制制度存在缺陷或者未有效执行内部控制，都会滋生操作风险。即使完善了内部控制制度，但是未有效执行，也无法减少操作风险的发生率。大型操作风险事件的不断曝光使得管理当局意识到防范操作风险迫在眉睫，很多商业银行已经对本行的内部控制制度进行了完善，并制定了针对性的措施。但是内部控制制度执行不力，主要表现在基层员工在办理业务时未遵循一定的规章制度。从商业银行操作风险案发情况看，多数是由于内部控制制度执行不当导致的。我国商业银行现行的操作风险管理体系并不健全，存在很多缺陷。在执行内部控制制度的过程中，可以发现操作风险管理中的不足之处，并及时加以修正。况且，随着商业银行内外部环境的变化，不断会有新型操作风险出现，这也说明关于操作风险控制的制度体系不是一成不变的，是需要不断调整的。完善操作风险控制制度是一个循序渐进的过程，从某种程度上说，制度的执行是制度不断完善的基础。

　　商业银行发展史已有300多年。“操作风险”一个曾经不被人们重视而却与商业银行发展伴生的风险种类，越来越显示出它的重要性，由于商业银行对操作风险的管理重视不够、认识不清、手段单一、方法陈旧、人才匮乏，致使操作风险肆虐，使商业银行付出沉重的代价。

　　一、事件经过

　　1995年2月26日，一条消息震惊了整个世界金融市场。具有230多年历史，在世界1000家大银行中按核心资本排名第489位的英国巴林银行，因进行巨额金融期货投机交易，造成9.16亿英镑的巨额亏损，在经过国家中央银行英格兰银行先前一个周末的拯救失败之后，被迫宣布破产。后经英格兰银行的斡旋，3月5日，荷兰国际集团(lNG)以1美元的象征价格，宣布完全收购巴林银行。

　　二、事件原因分析

　　巴林银行的破产值得英国银行业乃至全世界的银行业深思，其直接原因是尼克里森本人错误地判断了日本股市的走向，但究其更深层的原因恐怕是巴林银行的内部控制机制失效：

　　首先，“前台”“后台”权责不清。案例中，交易和清算稽核职能被尼克里森一人独揽，使得“前后台”职能无法各自独立运行。当“前台”的期货交易出现巨额亏损时，尼克里森出于饶幸心理选择了逃避监管，而使得“后台”的监管职能无从履行，最终铸成大错。

　　其次，内部审计不到位。巴林银行兼营多种业务，理应建立强大的内部审计机构，从而保证一旦出现重大问题可以及时发现并告知管理机构。而事实上，巴林银行在倒闭前几个月前虽然设置了审计机构对其日常业务分别进行监管，但由于其信息流通和传递不流畅，内部审计和外部审计之间不能形成有效的互补，监管成了“监而不管”。结果是巴林银行的资产负债表上每天都有明显的记录，但审计人员却未能发现高管所犯的严重错误。

　　再次，管理层严重失误。正如尼克里森后来在狱中所说“对于没有人来制止我这件事，我难以置信。伦敦的人应该知道我的数字都是假造的，这些人都应该知道我每天向伦敦总部要现金是不对的，但他们却仍旧支付这些钱”。巴林银行的高层未能及时制止尼克里森的违规交易也是其倒闭的重要原因。

　　最后，滥用金融衍生品。金融衍生品在交易中具有杠杆效应，保证金越低，杠杆效应越大，但随着而来的风险也就越大。在尼克里森的整个交易过程中，特别是后期遭受重大损失时，完全陷入赌徒心理，对交易过程中的潜在巨大风险却完全不顾，最终招致万劫不复的损失。

　　三、事件对我国商业银行操作风险管理的启示

　　巴林银行破产事件发生后，英国监管部门进行了深入全面的调查研究，发布了研究报告《巴林银行倒闭的教训》（Lessons Arising From the Collapse of Barings），对改善跨国银行的内部控制，提高其风险防范能力提出了具体的建议和要求。

　　银行应制定可行的操作风险管理体系。体系应包括银行操作风险管理的战略、目标以及达到目标的具体流程。银行应采取恰当的措施保证操作风险管理系统实现它的目标。银行还应将其识别出的风险暴露、评估与监测的结果、操作风险监测头寸限制以及风险控制工具的效果评估等操作风险管理资料进行记录和保管，作为历史记录以备查。

　　具体对工商银行的启示有三：

　　(一)机构设置应事先权责分离

　　各个金融机构内部虽然没有设置统一的模式，但必须高效简洁，明确各机构的职责权限，确保各种信息传达通常，防止权力制衡分立的部门实际上由一个人或者一个利益团体独占，那机构的设置权责分离就失去了意义。

　　(二)应设立内部审计制度

　　审计机构是独立展开工作，不受其他部门的制约的，尤其不能与其他部门存在利益关系才能真正发挥出审计的作用，发现审计出的内部的问题就要立即叫停整改，防止问题进一步恶化，造成实质风险，无法补救。

　　(三)金融机构要建立正确的考核体系

　　巴林银行内部从高层到底层员工对一个期货交易经理空前的信任，是因为里森之前几年给巴林银行带来的效益让他得到了银行高层的完全信任，银行高层对利益的追逐让他们选择失去理性，铤而走险继续相信员工，一定是银行没有一个合理向上的考核制度，只重效益，忽略了潜在风险会对银行造成的损失，是效益所弥补不了的。

　　一、事件经过

　　2008年9月15日，时为X第四大投资银行的雷曼兄弟控股公司向法院申请破产保护。在消息举国震惊的同时，又发生了意外。在雷曼兄弟控股公司申请破产保护的10分钟后，德国国家发展银行通过电子自动支付系统，向雷曼兄弟马上就要冻结的银行账户转入了整整3亿欧元。在账户冻结后，这3亿欧元无法追回，德国国家发展银行只能认下这笔巨额损失。

　　二、事件原因分析

　　早在雷曼兄弟破产之前，德国国家发展银行和雷曼兄弟签订了3亿欧元的外汇掉期业务，约定由德国国家发展银行在2008年7月14号使用指定货币换入约3亿欧元，并在2个月后，即2008年9月15号用约3亿欧元换回约定货币。这2笔外汇掉期业务操作被合法在电脑备案，由银行系统自动执行。

　　在雷曼兄弟的经营状况恶化后，德国国家发展银行相关部门在2008年9月12日召开了会议，讨论和雷曼兄弟业务风险问题。但会议讨论中这笔风险状态是正常的自动清算交易被忽视了。

　　随后，雷曼兄弟情况的不断恶化，但德国国家发展银行的相关负责人没有对雷曼兄弟进行监控，也没有对相关交易进行人工干预。到了2008年9月15日，德国国家发展银行的雷曼兄弟问题跟踪晨会预定在上午9点30分召开。但是，但是这笔的付款交易已经在早上8点37分，自动完成了。

　　三、事件对我国商业银行操作风险管理的启示

　　本事件可以看到德国国家发展银行的操作风险管理水平非常落后，才导致了这笔操作风险事件的发生，本事件对我国商业银行操作风险管理的启示有三：

　　1、要树立起商业银行从上到下员工的操作风险意识。德国国家发展银行从基层员工到高层操作风险意识都十分淡薄，他们本该早早的就对雷曼兄弟破产事件有所了解，并做好预案，但事与愿违；

　　2、要明确每一笔业务的责任部门和责任人，避免出现沟通不畅，互相推诿的情况。在后续调查得知，德国国家发展银行与这笔业务有关的所有工作人员都清楚雷曼兄弟破产消息的重要性和严重性，但大家在没有进行相互有效的沟通条件下，单方面认为其他部门会有所作为，导致的结果是最后没有一个人处理，也没有部门或人员为此事负责。

　　3、要建立完善的银行业务应急预案制度。在这起事件中，德国国家发展银行的每一个相关部门都发现有问题，但并不清楚具体应急事件的处理流程，大大增加了出现紧急情况时所有部门联动解决问题的时间，流程时间过长就会出现把准风险事件拖成风险事件的现象，给银行造成实质的损失。

　　工商银行E分行作为中国工商银行股份有限公司统一法人体制下的分支机构，30个分支机构，员工近1万人。自1985年成立以来，经过30多年的不懈努力，逐渐形成了包括公司金融、个人金融、机构金融、银行卡、网络金融、国际业务、投资银行、资产管理、贵金属等若干类3000多种产品的业务体系；构建了集物理渠道、电子渠道、自助渠道、手机银行渠道以及互联网金融等线上线下互为一体的多维服务格局，在推动本地经济社会发展、满足居民金融服务需求、维护客户金融资产和资金安全等方面发挥了重要作用。

　　一、工商银行E分行现有的操作风险管理体系

　　工商银行E分行操作风险管控共有三道防线。第一道防线：业务营销部门；第二道防线：内控合规部等中后台管理部门；第三道防线：内部审计–内部审计局。其中业务营销部门负责业务的受理和初审，内控合规部作为业务营销部门的操作风险管理部门，对日常业务的操作风险进行管控，内部审计局审计结果直接对董事会进行定期报告，评价并改善工行风险管理、控制和治理过程的效果、帮助组织实现其目标。

　　二、工行E分行2018年操作风险管理情况

　　据工行E分行2018风险年报显示，2018年工行E分行受监管处罚3笔，较同期减少2笔，被处罚金额8.6万元，较同期减少141万元，监管处罚在同业及全省保持较低水平。千人发率控制在0.1%以内，操作风险损失金额为83．62万元，较同期减少135.25万元，同比下降62％，全年操作风险损失为0.012%,在工行核定范围之内。

　　2018年，在全辖范国内持续开展了员工异常行为排查，相继开展了员工违规投资经商办企业、参与民间融资、违规担保、与中介机构资金往来、网业务等排查工作，共计排查员工15314人次通过排查、核查、甄別，发现26名员工存在参与民间借货、经商办企业、违规担保、利用中介公司P0S机刷卡套现等违规违纪情况，在严格整改的前提下对违规违纪人员进行了问责处理。

　　全年各机构及相关专业部门共防堵外部欺诈风险事件782起，全额2038万元，其中，堵截电信诈骗23起，全额238万元；堵截假国债1起，全额1800万元；堵截信用卡非法买卖514起；堵截冒用他人身份证办理借记卡168起；堵截冒用他人身份证办理贷记卡13起；堵截冒用他人身份证领取贷记卡12起；堵截借记卡非法买卖30起；堵截假身份证件14起：堵截非法安装克隆卡设备7起；向省行提供电信诈骗卡号2797张。

　　三、工行E分行常见操作风险表现形式

　　目前工商银行E分行目前面临的操作风险具体来说包括但不限于以下五大类。

　　1、内部人员引发的操作风险。在工商银行的正常运营过程中，对外提供金融服务均是依靠工作人员来完成的。在实际操作中，由于各种因素的影响，工作人员的操作失误情况很难避免，例如，将账户应取误存或应存误取；存取款金额位数错位（比如应存10万存成100万）等，会有对客户和银行经济损失的风险。

　　2、流程因素引发的操作风险。工商银行各项业务的办理一定会按照行内设计好的业务流程操作，但在流程设计的过程中很可能存在考虑不周的情况。例如，在业务办理流程中并不需要合适客户身份，但非本人客户不一定能完全代表客户本人意愿，造成后续相关风险。

　　3、系统因素引发的操作风险。工商银行电子银行业务使用客户众多、业务办理全面，在自助渠道很大程度减轻了前台工作人员的工作压力，但客户如果出现操作不当，导致银行卡被冻结、转账错误等情况时，也会影响工行电子银行的声誉以及客户对银行的信任感，造成风险。

　　4、外部因素引发的操作风险。在经济下行的近些年，工行E分行外部因素导致的操作风险一直在增加，比如冒名办卡、电信诈骗等，都是典型的外部因素引发的操作风险。

　　5、法律因素引发的操作风险，具体体现在合规风险上。比如工行员工在不违反行内制度的情况下按流程办理业务，但业务流程E地区银监局法律法规相违背，这往往会集中在反洗钱监管不利、虚假授信、虚假交易等。往往会被开具的巨额罚单，对银行造成经济损失并影响未来业务的发展。

　　根据笔者对工商银行E分行的各项操作的接触和走访，并对工商银行E分行2018年风险年报进行分析，查询比较国外银行优秀银行操作风险管理做法，笔者发现本银行在风险管理理念和管理流程等方面还有待于进一步提高。经过总结，工商银行E分行目前在操作风险管理和内部控制中存在的问题主要有如下几个方面：

　　一、风险管理体系不完善引发流程操作风险

　　工商银行E分行现行操作风险在中后台监察发面会有负责部门不清晰的问题，全行缺乏全面、统一的针对操作风险的政策规范，风险标准不统一。比如电子银行业务中的电子银行开立业务，同样的一笔业务每季度内部控制、运管、电子银行、个金等部门都会来检查，这样造成了大量的资源浪费和对一线营销、操作人员不断应对检查的负担。

　　对于工行E分行来说，不断研发金融创新产品是其经营的一项重要业务，通过创新金融产品来实现自身的发展，从而将银行的各项资源实现优化配置并降低风险发生的可能，建立起一套具有自身特色的银行品牌，提升社会形象，增强综合竞争力。近年来，工商银行E分行为了提升自身的竞争力，也实施了一系列的金融产品创新工作（如代理城市公交绿城通卡、社保卡、本地专属理财产品等），并取得了不小的成效，尤其是对当地经济和金融市场发展起到了不小的促进作用。但与此同时，工商银行E分行对这些新兴业务的风险管理并没有配套完备，创新产品的管理问题上存在着一定的混乱情况。比如对有金融功能的社保卡业务并没有下发统一流程，也没有要求客户识别，后期没有任何部门进行监管，非常容易形成实质操作风险。

　　二、管理架构不完善引发合规操作风险

　　工商银行E分行操作风险管理方面，没有专门的部门负责银监局等上级监管部门下发的最新金融新规的传达落实，这样就很容易形成合规风险。

　　比如2018年2月13日，河南银监局公开了对中国工商银行河南省分行及其负责人的9张行政处罚信息公开表，该行因违规办理理财业务被罚合计640万元。在工行河南省分行的违规办理理财业务事件中，除了工行被罚合计640万元之外，相关负责人也受到不同程度的处罚，其中7人被警告处分，4人被处10万元罚款，1人被处5万元罚款，1人被禁止5年内从事银行业工作。

　　工行河南省分行此次涉事的是同业对公理财业务，存在问题中包括一定程度的越权行为，事件总体涉及金额在十几亿级别。而根据《商业银行授权、授信管理暂行办法》（银发〔1996〕403号）第二条，商业银行业务职能部门和分支机构以及关键业务岗位应在授予的权限范围内开展业务活动，严禁越权从事业务活动。

　　三、管理手段落后引发人员操作风险

　　工商银行E分行对于操作风险管理仍然主要是靠人力进行管理，并没有建立系统自动的防范体系。银行一线柜员权限过大。对于电子银行等业务、人行备案业务等操作风险管理在监管中仍然以事后风险提示和管理为主，存在时滞性，容易发生风险和差错，且在事后处理中由于人工操作容易隐瞒问题而导致信息传递失真。在贷款发放、解保留等业务的处理上，尤其是审核仍然主要是采用人工处理的方式，不仅工作效率低，也使管理存在漏洞，无形地增加了本行的人员因素操作风险。

　　同时，本行为规避风险设置的人员轮岗制度（关键岗位不得连续工作年限、强制休假等），没有部门进行后续监管，领导不重视，在实际实施方面非常不到位，容易导致员工因疲惫造成的非主观意识的操作风险事件，同时也容易滋生网点小利益团体，协同作案的有主观意识的人员因素操作风险。比如经常有E分行所属支行下，员工轮岗只是建立轮岗台账，但人员并未真正轮换，或整个支行不执行分行的休假制度，强制员工上六休一等现象。非常容易造成相关操作风险

　　四、风险管理理念落后引发各类操作风险

　　在当今，各商业银行之间的竞争越来越激烈，工商银行E分行对于自身效益的发展十分重视，然而在目前风险因素不断复杂化的情况下，却并未真正从思想上重视起来，在实际操作中，主管领导仍以业务发展为重点方向，而疏忽了内部管理和风险防范，对风险和风险管理的理念认识还有待于提高。认为信用风险和市场风险是最重要的，操作风险只是日常业务处理过程中的一般差错，并不会对银行的资本构成多大的威胁。

　　具体来说，主要有以下2个方面：一是缺乏事前和事中的防范和控制，只重视事后管理。工商银行E分行对于已经发现的操作风险通常都给予非常严厉的事后管理处罚和制裁，缺较少有关于对于事前的预防和适中的控制，缺乏健全有效的防范机制。二是“重个案查处，轻全面分析”。工商银行E分行一般是对于已经发现的操作风险个案给予严厉处理之外，并没有从根源上查找原因，只是对于同类风险的防范在一时间变得重视，进行一次专项整治，而与之相关的风险因素却未能展开彻底的剖析和清查，以致存的在隐患没有真正解决，类似的损失事件仍有发生的较大可能性。

　　一、完善操作风险管理体系

　　对于工商银行E分行不同的业务种类，这一体系在引入新产品、活动和系统之前，要根据其自身特点（如银行的结构、银行业务的性质等）量身定做出操作风险管理流程和框架，从而对相应的操作风险进行识别、评估、监测、缓释，并提供事故调查、危机处理等相应的管理和保障措施；对操作风险应事先做足够的评估步骤。

　　要充分利用现代技术的成果，全面实现分行业务操作和管理的技术化。通过建立风控系统，实现对计算机操作系统的硬控制，并对分行的各操作环节进行全方位、多角度的风险分析，减少操作风险的发生。

　　还应该联合内部控制管理部和人力资源部，建立起一套规章制度，对系统模型自动检测提取出的事件进行风险认定，使得风险管理流程的制定可以具备数据上和技术上的支持。从基层业务人员到最高决策层的各项业务操作，都可以计算出各机构、各员工的风险度、风险率和风险暴露水平，减少在一些重要环节的人工干预，保证每项业务的,公开性和合法性。

　　二、完善内部控制管理架构和沟通机制

　　对于工商银行E分行不同的业务种类，这一体系在引入新产品、活动和系统之前，要根据其自身特点（如银行的结构、银行业务的性质等）量身定做出操作风险管理流程和框架，从而对相应的操作风险进行识别、评估、监测、缓释，并提供事故调查、危机处理等相应的管理和保障措施；对操作风险应事先做足够的评估步骤。

　　进一步加强工商银行E分行的内部控制机制建设，在各个岗位、各个部门、各个环节上按决策系统、执行系统、监督反馈系统相互制衡的原则建立严格而具体的内部管理制度。

　　具体来说，应当做到以下几点：

　　一是要强化后台监管职能，再造前台、中台和后台架构。要想真正的控制内部风险，首先要严格分离工商银行E分行前台职位和后台职位，赋予各岗位相应的职责和职权，从而防范欺诈、防止未授权交易。此外，还必须对工商银行E分行重要岗位（如部门总经理、监察、支行行长、副行长等）的权力和责任范围做出严格的限定，各个工作环节相对独立，合理的职能分工和责任分离以防止互相推诿和权力过于集中。

　　二要不断地改进自身的业务流程，规范岗位职责和承担风险责任，比如原有的内控部、运行管理部、反洗钱部、个人金融部、结算与现金部在一些业务上存在交叉，因此工商银行E分行应当根据实际需要调整部门责任分工，这样可以不但可以节约时间成本、也能减少工作差错，改善风险责任冲突、岗位职责混乱的情况，防止不必要的风险。

　　三、提升人员管理手段，建立宽严相济的内控政策

　　在操作风险中最关键的因素是人员因素，因此，在互联网时代银行业务处理的过程中尽量减少人工处理是一种非常有效的方式。因此，工行E分行应当进一步加快信息化建设，持续减少人工处理的业务比重。减少工作人员主观因素对办理银行业务的影响，采用逻辑缜密的业务模型，代替人工处理以及判断，进一步控制银行的操作风险。降低前台操作人员权限，将业务向集中处理、远程授权等新的处理业务模式发展。信息化建设可以释放更多的劳动力，让工作人员从繁重的事务性工作中解放出来，从而进一步避免由于倦怠、疲劳导致操作不当的问题。

　　银行内部控制制度处罚有章可循，宽严相济。如果控制过严，势必影响业务的营销与开展；如果控制过松，操作风险隐患势必增大。内部控制制度的宽严程度应根据市场、客户、员工、银行容忍度等情况综合考虑确定，找到各方都能接受的平衡点。同时，当市场及客户等实际情况发生改变时，内部控制制度制定部门要根据反馈意见及时调整宽严度，保证与实际状况相符。

　　四、提高认识，提高风险管理理念

　　一方面，对于工商银行A分行的高层管理人员来说，必须要强化对操作风险管理的认识，端正态度，对其进行正确定位。切不可为了片面的追求经济利益、盲目扩大经营规模，而对存在的操作风险管理视而不见，忽视、漠视操作风险管理。工商银行A分行各级领导干部必须要切实把操作风险作为整个风险管理系统的关键一环加以重视。并将这种理念贯穿到银行的实践中去，通过各种形式的典型案例剖析、合规性操作的反复强调和示范、各种有关操作风险知识和技能的培训等方式，在全行范围内广泛宣传操作风险管理文化，培养员工的操作风险意识，使在岗的每一位员工增强操作风险意识，提高员工规避操作风险的能力。

　　另一方面，除了在正面对各层级员工进行教育以外，也要将操作风险管理纳入到实际的银行日常管理中来。工商银行A分行可以将能否落实操作风险管理作为各级员工通用的一项考核标准，举例来说，目前工商银行A分行的科技信息部等技术部门员工由于其工作性质，采用的考核方式是KPI法，通过寻找与各层级员工相关的技术指标，制定考核内容，银行建立平衡计分卡，由部门分解公司战略主题，从部门职能补充指标，再将指标分解到员工，并从职位说明书补充指标。在实践中，工商银行A分行可以根据操作风险的各项要素进行分类和落实，并将其作为技术部门员工的考核标准。又如后勤部门，由于与操作风险关系不大，可以继续采用关键事件法来进行考核。通过这一改变，对于积极落实操作风险管理的领导干部、积极推进操作风险系统建设的技术人员、积极发现问题并提出改进建议的一线员工都要进行奖励和表彰，反之，对于那些缺乏责任心、工作失误乃至故意违规、有章不循的员工要给予适当警告与惩戒。这种措施也要成为一种长效机制，贯穿于人员晋升、干部选拔、奖金评级的一系列与员工自身切实相关的工作中。并使这些制度能够切实执行，最终在整个银行内部，都能形成良好的企业执行文化，将风险真正的控制在萌芽状态。

　　现阶段依照世界上先进商业银行的操作风险管理的主流思想，商业银行在操作风险管理应朝自动化、体系化发展，将操作风险进行量化分析，根据其自身特点量身定做出相应操作风险监督管理体系，这样才可以优化操作风险管理流程，将人为影响的因素降到最低，减少因风险监控人员疏忽而导致的操作风险情况发生。

　　一、发展业务系统自动化，对银行业务处理的操作风险实行硬控制

　　要充分利用现代技术的成果，全面实现分行业务操作和管理的技术化。通过建立风控系统，实现对计算机操作系统的硬控制，并对分行的各操作环节进行全方位、多角度的风险分析，减少操作风险的发生。

　　联合内部控制管理部和人力资源部，建立起一套规章制度，对系统模型自动检测提取出的事件进行风险认定，使得风险管理流程的制定可以具备数据上和技术上的支持。从基层业务人员到最高决策层的各项业务操作，减少在一些重要环节的人工干预，保证每项业务的,公开性和合法性。

　　二、实行从上而下的多维度监测，全面管控风险

　　设立监测、质检、履职、风险评估等自动监测方法，全面监测和评估出E分行下属任一家支行的风险程度。其中平台自动监测是通过数据分析的方式，利用风险模型识别、确认、收集、管风险事件。质检是依据风险评估的结果，对风险程度高的柜员和特定对象的日常业务进行审核。履职是网点现场管理人依据系统智能分配任务和实际履职情况，准确、全面地收集履职过程中发现的风险事件。风险评估是根据系统提供的风险信息，综合运用风险评估指标体系，对特定对象面临的风险状况及其变化趋势等进行分析，多角度揭示业务运营风险特征及发行概率，为有效管理业务运营风险提供决策依据。

　　监测、质检、履职三种方式既相互独立又互为补充，以风险评估功能为组带，履职结果为监测和质检提供指导，质检结果为履职和监测提供依据，监测结果为质检和履职提供支持，各功能实现信息共享，通过相互之间的作用与反作用，形成监督有效果、质检有方向、履职有重点的良性循环。

　　三、建立督导补充制度，实现对操作风险的全面管控

　　现在工商银行的业务发展速度越来越快，一味的事后监督并不能起到很高的风险防控效果，分行风险管理部门应定期对全行各部门和下属各支行进行业务督导，实现对风险的全面管控。

　　运用专家经验，由分行根据外部监管要求和风险形势变化，将智能定位未覆盖的环节和内容，在系统检查模块中进行补充。督导检查可采用现场检查和非现场检查。应充分利用视频监控、会计档案影像、电子登记簿等数据资料，将非现场检查与现场检查相结合，针对不同的检查内容，差异化选取科学、合理、高效的检查手段，有效提升检查工作效率质督导检查工作应保证一定时期内对辖属机构的有效覆盖。

　　综上所述，商业银行操作风险管理绝不是一项简单易做的事情,增强风险管理能力、提升风险管理水平、完善商业银行操作风险管理体系也不是一蹴而就的事,是一项长期重大的意义深远的艰巨任务。本文主要通过工商银行E分行风险管理进行分析研究。首先对本文研究背景和研究意义及研究方法进行了介绍，然后阐述了操作风险管理相关理论知识，并对国内外研究进行综述，再然后对工商银行E分行的基本情况、操作风险管理现状和存在问题进行解析，最后在此基础上提出完善工商银行E分行风险管理的相关策略。从工商银行E分行来说：内部控制建设对于商业银行的操作风险防控具有十分积极的影响，应当通过完善制度制定、严格制度落实、加快科技建设、强化人员培训、完善操作风险管理体系等方式，进一步夯实风险防控的基础条件，做好操作风险防控工作。

　　参考文献

　　[1]巴曙松.巴塞尔新资本协议研究[M].第1版.2003.

　　[2]休伯纳(英)著;李雪莲,万志宏译.金融机构操作风险新论[M].2007.

　　[3]卡罗尔.亚历山大著;陈林龙等译.商业银行操作风险[M].2008.

　　[4]张吉光.商业银行操作风险识别与管理[M].2009.

　　[5]成俊.银行操作风险控制及成本收益分析[M].2007.

　　[6]杜倩倩.浅析我国商业银行操作风险管理问题及改进[J].金卡工程,2010,(11).

　　[7]盛军.商业银行操作风险事件的实证研究与国际比较[J].南方金融,2008，(03).

　　[8]王丹媛.国内外商业银行操作风险管理比较金融管理与研究[J].财经论坛,2008,(01).

　　[9]陈姌,刘海啸.我国商业银行操作风险度量方法的选择[J].经济论坛,2007,(07).

　　[10]孙涛.商业银行操作风险的成因及对策研究改革探索[D].西南财经大学,2008.

　　[11]袁德磊,赵定涛.基于媒体报道的国内银行业操作风险损失分布研究国际金融研究[J].经济论坛,2007.

　　[12]商业银行操作风险管理价值:理论及应用[J].求索,2010(12).

　　[13]赵朴.国有商业银行内部控制环境分析与优化策略[J].现代金融，2006,(06).

　　[14]袁新文.加强商业银行内部控制评价[J].

　　[15]廖有明,戴细毛.对国有商业银行内部控制体系建设的研究[J].金融参考,2001.

　　[16].石汉祥.完善国有商业银行内部控制管理[J].金融时报,2002,(04).

　　[17]刘振亚,姚文雄.现代商业银行的监督与稽核[J].2008.

　　[18]中国银行业监督管理委员会.巴塞尔新资本协议[M]．2004.

　　[19]汪建峰.商业银行操作风险管理实务[M]，2005．(10).

　　[20]陈四清.商业银行风险管理通论[M]．

　　[21]中国银监会.商业银行操作风险管理指引[J],2007

　　[22]王晋忠，我国商业银行操作风险管理中的问题与对策[M].西南金融，2008,（03）.

　　[23赵其宏.商业银行风险管理[M]．2001．

　　[24]张吉光.商业银行操作风险识别与管理[M]．2005

　　[25]魏国雄.如何有效管理商业银行操作风险[M]，银行家．2005，

　　[26]中国工商银行总行内部控制合规部.中国工商银行操作风险管理手册[J].2006

　　[27]唐黎炜.国有商业银行操作风险管理——以中国工商银行为例[J].2008

　　[28]林东俤.工商银行操作风险管理研究[J]．福建金融，2010，（11）

　　[29]齐雪梅.关于我国商业银行操作风险防范问题研究[J]．今日财富（金融发展与监管）.2011，（11）

　　[30]孙小珺.对我国商业银行加强操作风险防范的思考[J]．时代金融，2011（33）.

　　[31]王廷科.商业银行引入操作风险管理的意义与策略分析[J].中国金融,2003,（13）[32]董卉娜，朱志雄.上市银行内部控制缺陷认定研究[J]，证券市场导报，2014，（06）.

　　[33]韦巍.商业银行内部自我控智能评价研究[M]，财会通讯，2015,(29).

　　[34]林坤.当前形势下的银行内部控制机制研究[M]，商情，2015,(34).

　　[35]马玮.完善我国商业银行内部控制机制的对策[M]，经济研究参考2015,(30).

　　[36]刘承义.银行内部控制与风险管理浅谈[M]，财经界，2015,(30).

　　[37]刘辉.市场利率化背景下深化地方商业银行内部控制体系的思考[J]，2015,(29).

　　[38]冯洁，试论互联网金融快速发展背景下商业银行内部控制策略[J]，2015,(28).

　　[39]瞿旭,李明,杨丹,叶建明.上市银行内部控制实质性漏洞披露现状研究——基于民生银行的案例分析[J]会计研究,2009,(04).

　　[40]杨军,陈朝豹.国有商业银行内部控制系统探析[J]审计研究,2003,(03).

　　[41]潘秀红.完善我国商业银行内部控制的思考[J]经济师,2005,(02).

　　[42]姜建清.加快构建严密高效的内部控制体系为建设现代金融企业提供坚强保障[J]中国城市金融,2005,(04).

　　[43]党玺.论我国商业银行内部控制的弊端及其对策[J].广西政法管理干部学院学报,2007,

　　[44]陈毓圭.对风险导向审计方法的由来及其发展的认识[J]会计研究，2004,(02)

　　[45]吴蔚.银行内部控制缺失与信贷风险[J].合作经济与科技，2006,(08).

　　[46]李宝宝.内部控制视角下商业银行操作风险管理研究[J]内部控制理论，2016,（02）.