王力强

摘 要：目前我国商业银行电子化水平仍处于较低水平，商业银行为客户提供产品与服务大多通过柜面予以完成，柜面依然是联结客户与银行的主要纽带。与此同时，柜面便成了商业银行风险存在的重要区域，而柜面操作风险则是商业银行操作风险问题集中之所在。鉴于此，如何从法律层面对此予以防范，系当亟待研究的重要议题。

关键词：商业银行；柜面；操作风险；法律防范

中图分类号：F83 文献标识码：A doi：10.19311/j.cnki.16723198.2017.27.049

2014年9月，中國银监会对《商业银行内部控制指引》作出了修订并予以发布，修订后的内容主要从内控评价、内控监督、监管约束以及监管引领四个方面引导商业银行强化内控管理。该指引鉴于时下银行风险日益复杂多样的现状而对该规制作出了完善，旨在督促商业银行从人员、信息管理等内在层面着手构建内在风险防范体系。为了进一步防范商业银行操作风险，银监会以柜面业务为切入点，于2015年6月发布了《关于加强银行业金融机构内控管理有效防范柜面业务操作风险的通知》（以下简称《通知》），该通知为商业银行制定了严守“三道防线”的要求，提出商业银行要“看好自己的门”、“管好自己的人”。尽管如此，商业银行柜面操作风险法律防范仍存在诸多不足，易造成巨大的金融风险。基于此，本文对此予以研究，以期寻得法律防范之良策。

1 商业银行柜面操作风险界定

我国乃至国际上对操作风险的定义并没有一个统一的界定。对此，国际上主要存在三种争论：

其一，该种观点认为宜从广义的角度对操作风险进行界定，即不仅要将市场风险与信用风险纳入操作风险的范畴，还要将银行所面临的其他所有风险纳入考量。尽管该种观点最大限度地拓宽了操作风险的覆盖面，但其可操作性差的问题无疑决定了该种观点不能很好地运用于实践。

其二，该种观点认为宜从狭义的角度对操作风险的概念予以明确，即仅仅将商业银行中与运营条线相关的风险作为操作风险的覆盖范围，而将运营条线之外的后勤、人力、审计等条线排除在了操作风险的范畴。对于运营条线，主要包括运行系统故障、操作人员的失误等等。显然，对比于上述广义的操作风险，该种观点可操作性较强，但覆盖面过于狭窄，不利于对操作风险的全面调整。

其三，该种观点从诱因角度着手对操作风险予以认定，认为首先宜将操作风险作出可控与不可控事件的区分，而后再予以分别界定。对于可控事件多为银行自身引起，而对于不可控事件则多由外界的客观影响。显然，较之上述两种观点，这种观点一方面避免了可操作性差的不足，另一方面也解决了涵盖范围的全面性问题。基于此种优点，此种观点多为域外与国内多家金融机构所采纳。

除了上述争论，巴塞尔银行监管委员会在《巴塞尔新资本协议》对操作风险作出了相应界定，其从内外两个层面着手，对人员、事件与流程的互动性作出了强调，具体定义为：基于业务人员、相应程序与系统的相应问题或不完善，亦或基于外部的不利事件引发直接或间接损失的风险。这一定义将法律风险归入了界定范畴，但将策略风险、声誉风险排除在了操作风险的范围。此外，我国银监会中对操作风险的定义也基本沿用了《巴塞尔新资本协议》的界定。

而柜面操作风险是为在柜面业务操作中产生的风险，由此我们可以看出，操作风险与柜面操作风险含义的差异也仅仅在于后者将发生部位明确于柜面而已，也就是说，如若依据发生部位的不同将操作风险予以分类，柜面操作风险是其分类中的一类。由此，对于商业银行柜面操作风险，本人认为宜作出如下界定：在柜面业务操作中，基于业务人员、相应程序与系统的相应问题或不完善，亦或基于外部的不利事件引发直接或间接损失的风险。

2 柜面操作风险防范立法的进步

我国新修订的《商业银行内部控制指引》及《通知》均对商业银行的内控管理作出了着重强调，即使对商业银行柜面操作风险的法律防范，也作出了要从内部控制着手的规定。

2.1 对员工的共同参与作出了强调

内部控制的有效实施显然离不开员工的积极配合与参与。一项规制商业银行内部的措施，如若商业银行内部业务人员不予重视，即使法规再好，管理人员再着重强调，该措施亦不能良好地发挥其功能。新修订的《商业银行内部控制指引》在商业银行董事会、监事会、高级管理层之外，就将员工的参与纳入到了考量范畴。这从其对内部控制的定义中即可看出，即制定义为“商业银行董事会、监事会、高级管理层和全体员工参与的，通过制定和实施系统化的制度、流程和方法，实现控制目标的动态过程和机制”。显然，此定义对2007年《商业银行操作风险管理指引》对内部控制的定义作出了修订，2007年《商业银行操作风险管理指引》将内部控制的界定为旧指引将内部控制定义为“对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。通过对比我们可以看出二者具有明显的不同。2007年《商业银行操作风险管理指引》对风险控制作出了着重强调，而新修订的《商业银行内部控制指引》则更注重治理、管理层与员工的共同参与。由此，其对员工的作用以规范的形式作出了明确。这一方面体现了法规制定者对商业银行内部操作人员的注重，另一方面也是对商业银行风险高发区域作出的明示，从而督促商业银行从内部着手加强对柜面操作风险的防范。此外，透过该定义，我们还发现，其对内部控制系统的内涵予以了拓展，也就是说，内部控制系统不再仅仅限制于对事前、事中与事后风险的防控上，还突出了对实现控制目标的强调。

2.2 着重突出了受托责任有效履行的理念

对受托责任有效履行理念的强调，笔者将会从以下方面着重予以分析：

首先，在内部控制目标上，2007年《商业银行操作风险管理指引》对其规制为“合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略”，显然这一目标设定并没有将受托责任有效履行纳入考量，而新修订的《商业银行内部控制指引》则着重突出了这一理念，这主要在信息真实完整的目标设定与风险管理有效性的强调中，前者将信息范围由会计、财务信息拓展至业务记录与其他管理信息，并要求其信息真实、准确、完整且及时，后者则对商业银行内部管理职能作出了“有效性”规制。显然，这些都是受托责任有效履行理念的体现。

其次，在内部控制原则上，新修订的《商业银行内部控制指引》提出了“全覆盖、制衡性、审慎性、相匹配”的原则。全覆盖原则是指商业银行在内部应进行全程性控制，包括决策、执行与监督的各个环节与流程，还要保证对人员、部门等的全面覆盖。制衡性原则要求在诸多方面形成彼此制约、监督的良好机制，这些方面包括理结构、机构设置及权责分配、业务流程等。审慎性原则是从理念视角着眼，注重对风险为本、审慎经营理念的坚持，并将内部控制置于优先考虑范围。相匹配原则要求对流程运作、管理方式、风险状况等方面的适应性，并要基于此，作出及时调整。显然，透过这些我们不难得出，内部控制的原则其实是受托责任关系在治理层面和业务层面的延伸。

最后，《通知》中的一系列要求也体现了受托责任有效履行的理念，诸如，其要求构建“三道防线”，即业务管理条线、风险合规条线与审计监督条线。业务管理条线是第一道防线，主要职责是对业务制度的制定、改进与执行等；风险合规条线是第二道防线，负责对风险的检测、监督等；审计监督条线是第三道防线主要负责对违规违纪问题提出整改意见等。三道防线的明确分工无疑是受托责任观的体现。此外，对客户信息安全加强管理对此亦有体现。

2.3 进一步健全了风险事件责任机制

《通知》对风险事件责任机制作出了完善，主要体现在以下方面：首先，对于已经发生的风险事件，要予以妥善处置，保证程序公平、方式合理、结果公正；其次，实行风险事件联动查处和双线整改问责，此处的双线是指涉事机构所在一级分行和总行业务条线，同时如若管理机构负责人不尽职、履职不到位，亦或业务条线管理人员失职，亦要严格认定责任并严肃问责；最后，要求建立内部举报核查制度，该制度对于调动员工监督的积极性无疑具有重要的意义。

3 我国商业银行柜面操作风险法律防范的缺陷

我国商业银行柜面操作风险法律防范取得了较大进步，尽管如此，其仍存在着诸多缺陷。

3.1 内控体系建设欠缺

新修订的《商业银行内部控制指引》在内控规范体系中定位模糊，这就导致其难以融入内控体系。通过各部位发布的相关规范，我们发现，其已经形成了“基本规范 + 配套指引+ 解释公告”的规范模式，但从新修订的《商业银行内部控制指引》的结构与内容层面考量，其并不能归入任一规范模式之中。应用指引、评价指引与审计指引构成了配套指引的分类，而内部环境类指引、控制活动类指引、控制手段类指引又构成了应用指引的基本框架。但显然， 新修订的《商业银行内部控制指引》并不能由三个基本框架中任一种所包含，由此可见，其难以归入我国的内控体系，这是亟待解决的问题。此外，《通知》也对我国加强内控体系建设提出了新的要求，但其仅仅从原则性视角作出了简要叙述，并未阐明构建内控体系的具体路径。

3.2 法律规范原则性导向严重

新修订的《商业银行内部控制指引》原则性导向过于严重，尽管其在征求意见稿中对此作出了明确，即新修订的《商业银行内部控制指引》居于原则性的高度对内部控制予以规制，并没有涉及业务的具体操作等，但不可否认的是，这样的规定会带来诸多问题。其一，新修订的《商业银行内部控制指引》并没有基于内部控制的特点而对其规制特有的规范，甚至对其特点也未予以充分体现，这就会使商业银行贯彻时不能对内部控制的特点予以清晰把握，从而做出有失偏颇的决议。其二，法律规范原则性导向严重，使得新修订的《商业银行内部控制指引》难以归入基本规范配套应用指引之中，也就是说新修订的《商业银行内部控制指引》的原则性规定构成了其难以融入内部控制体系的原因之一。其三，法律规范原则性导向严重会使得其指引作用下降，也就是说监管人员、业务操作人员等在进行工作时，无法寻得具体的执行或操作依据，从而不利于工作的有效开展。此外，这一问题在《通知》中也有体现，比如对于加强内控体系的建设层面，其只是提出了一个宏观性的框架，对于具体的实施路径并没有做出深入阐述。

3.3 不良资产责任认定程序规范性欠缺

透过近年来发生的银行大案，我们发现，造成这些损失的本因是操作风险，而银行在面对这些内部操作风险时，却往往较为乏力，这与相关监管规范的欠缺不无关系，尤其是在不良资产责任认定程序上，这一问题尤为凸显。银行的呆账、坏账是法律所允许的，基于此，我国建立了核销制度，但显然该制度仍有所欠缺，尤其是不良资产责任认定问题。不可否认，呆账、坏账所为银行带来的损失，不乏银行内部人为因素的存在。但依据《金融企业呆账核销宵理办法》的相关规定，最终的责任追究工作依然是由商业银行自身展开。显然，该规制问题之所在是造成银行损失的内部人员由银行内部监管人员予以追究，这就会导致对造成银行损失的内部人员处罚力度不够，无法起到震慑作用，从而导致该类案件发生愈发频繁。透过于此，我们发现，我国的监管制度及其执行力度有待规范和加强，相应问责机制也依然欠缺，这在不良资产责任认定程序规范上便可得到体现。

4 我国商业银行柜面操作风险法律防范的完善路径

4.1 加强内控体系建设

通过上文分析，银行内控体系存在着诸多漏洞，这就为银行埋下了隐忧，由此，加强内控体系建设已成时下重要课题，也是《通知》的基本要求。笔者认为，加强内控体系建设可以从以下几个方面进行：

其一，对内部管理制度予以规范。对此，笔者认为，要注重以下几個方面：一是要注重操作风险管理体系的全面性。这就要求商业银行在内部进行全程性控制，包括决策、执行与监督的各个环节与流程，同时，还要注重对人员、部门等监管的全面性。当然，这一要求与当下我国商业银行内部监管的过于分散性不无关系。二是要提升商业银行应对操作风险的前瞻性能力。新修订的《商业银行内部控制指引》较2007年《商业银行操作风险管理指引》在内部控制系统的内涵予以了拓展，其内部控制系统不再仅仅限制于对事前、事中与事后风险的防控上，还突出了对实现控制目标的强调，包括历史数据、经验、信息以及操作风险的预判与预测等内容。由此可见，新修订的《商业银行内部控制指引》对商业银行应对操作风险的前瞻性能力提出了要求。三是要提升商业银行应对操作风险的持续性能力。我国商业银行对于操作风险的管理往往缺乏相应的技术和方法，这与对操作风险缺乏系统性认知不无关系。由此可见，我国应对此方面予以着重加强。其二，加强评估反馈机制建设。对于评估反馈机制建设，要求有二：一是对流程与制度存在的问题予以反映，并作出相应的完善；二是针对柜面操作过程中的疏漏或者薄弱环节，制定相应的规章制度，以防范柜面操作风险。其三，注重各对岗位与业务的彼此制衡。这无疑是内部控制制衡性原则的要求，即要求在诸多方面形成彼此制约、监督的良好机制，这些方面包括理结构、机构设置及权责分配、业务流程等。这一规制有利于各部门明确职权，各司其职，从而有效提升内控管理的效率，同时，对于减少决策失误亦有重要的作用。其四，注重操作风险管理考评制度的建立与完善。操作风险管理考评制度对于内部控制管理具有重要的作用。一方面对于业务能力出众，表现优秀的操作人员而言，能够有效提升其积极性，另一方面，对于工作能力薄弱，态度不认真等的操作人员，能够起到督促的作用。对于作风险管理考评制度的建立与完善，可以利用经济与行政奖惩、业务权限调控、机构等级变化等手段与途径进行。同时，尤为需要注意的是，要对考评结果予以重视并应用，从而有效激励或督促工作人员积极开展各项工作，实现商业银行业务的有序运转。

4.2 完善商业银行操作风险法规

有关我国商业银行柜面操作风险防范的法律规范已作出了相应完善，尽管如此，其仍存在着法律规范原则性导向严重的问题，鉴于此，笔者认为，宜从以下方面对其予以完善：

其一，对于新修订的《商业银行内部控制指引》法规的名称，宜将“指引”改为“办法”、“章程”等。以词义的角度对“指引”予以解释，即指导、引导，显然，即使在法律名称的使用上，亦不能对其作出偏离基本词义的解释。由此可见，“指引”并不能体现和包含强制性的内涵及精神。但《商业银行内部控制指引》作为一项法规，显然是具有强制性的，基于此，笔者认为，宜将“指引”改为“办法”、“章程”等能够包含于体现强制性内容的用语。其二，宜细化相关商业银行操作风险法规。正如前文所述，商业银行操作风险诸多法规原则性导向严重，从而使其适用性不强。由此，笔者认为，宜从以下方面着手：一是要对商业银行操作风险管理部门的独立性予以细化规定。我国相关法规对其独立性仅仅规制为“该部门与其他部门应保持独立”，显然，仅仅是一个原则性的条款是远远不够的，对此，宜细化规定，比如作出总、分、支各级行机构均应设置独立的操作风险管理部门等。二是对管理方法予以细化。对此，笔者认为，可以将操作风险评估、监督检查、关键风险指标管理等方法纳入法规之中并予以推广。三是要对业银行损失数据收集整理作出细化规定。对于损失数据的收集整理是银行所不愿去做的事情，一方面其是基于人力、财力等因素的考虑，另一方面损失数据的收集整理涉及到信息披露的问题，银行往往较为排斥。但正是如此，对损失数据收集整理作出细化的强制性规范才具有重要的意义。

4.3 规范商业银行不良资产责任认定

对于商业银行不良资产责任认定问题，笔者认为，宜制定专门的相关法，可称之为“商业银行责任认定管理办法”，对商业银行责任认定的范围、主体、类型及其程序等均作出明确规制。对于商业银行责任认定主体，宜明确相应的审查部门，不能由银行对此独立认定。对于商业银行不良资产责任认定流程，宜依据情况的不同作出不同的规制，诸如依据银行损失金额的多少来对责任大小予以认定。对于带来巨大金额损失的情形宜将其公开化，并加大对不法分子的处罚力度，从而更好地起到警示作用。此外，对于已经造成损失的案件，要通过民事或刑事途径予以解决，并不应仅仅局限于内部罚款。

参考文献

[1]马秀东.山东省商业银行风险管理研究[J]. 农村经济与科技，2016，（11）.

[2]项云旗.浅析临柜业务风险控制与防范[J].经济师，2015，（12）.

[3]程晓谟.基于全面风险管理的我国中小商业银行风险管理策略研究[J]. 才智，2014，（31）.

[4]陈晓慧.商业银行操作风险管理状况综合評价及其应用研究[J]. 华东经济管理， 2014，（08）.

[5]沈咏竹.新形势下商业银行临柜业务操作风险及防范浅探[J]. 现代金融，2013，（10）.

[6]周玮.商业银行操作风险管理暨内部控制评价理论与方法[M]. 北京：中国金融出版社，2014.