对话嘉宾：
蔡忆莲（中国人民银行反洗钱局副局长）
许成军（国家开发银行营运中心原副主任）
陈  进（对外经济贸易大学信息学院院长）

    4月14日，河北省邯郸市发生震惊全国的金库盗窃案。由此大案所引发了国内银行业对操作风险防范的一系列思考。
    现代风险管理理论认为，银行业面临的风险主要有信用风险、市场风险、操作风险。
    与市场风险、信用风险相比，商业银行对操作风险的理解、认识和管理都处于较低水平。20世纪80年代以来，全球金融机构因操作风险已经损失了2000多亿美元。巴塞尔委员会在2002年举行过一次全球操作性风险调查，被调查银行共计报告47269起损失金额超过1万欧元的操作性风险事件，平均每家银行发生操作风险事件528起。操作风险频繁引爆，破坏力量之大令人震惊，建立和完善操作风险管理体系已经成为现代商业银行急需解决的重大课题。
    为推进我国银行业对操作风险的理论研究与实践研究，本刊将围绕操作风险这一话题，邀请国内资深学者、银行业高管，从理论框架、监管策略、技术防范和风险模型研究的多维角度，共同探讨我国操作风险体系的建立。

    蔡忆莲（以下简称蔡）：邯郸农行金库被盗案给银行业敲响了警钟。不了解被盗金库情况的人或许会认为银行缺乏安全保卫技术手段，但实际不是这样。据了解，邯郸农行金库有工作状态良好的监控和报警装置，犯罪分子实施盗窃时，报警装置发出过警报。但金库保安人员接到公安部门的询问时，未作检查便以“报警设备异常”敷衍了事，致使犯罪行为得逞。总结教训，违规操作是导致这起案件发生的主要原因。虽说这是银行业内的极端个例，但类似的操作风险防范问题必须引起全行业的高度重视。

    陈进（以下简称陈）：在三大风险（信用风险、操作风险、市场风险）中，由于操作风险的定义不像信用风险和市场风险那样容易，因而争论最多的是操作风险。新巴塞尔协议虽然对操作风险有相关阐述，但不够详细。就我目前的理解，是要求银行控制操作风险，并达到一定水平。但到底控制在什么水平，巴塞尔委员会没有制定一个完整的指标体系，完全根据银行自己的评估，而不是像银行不良资产率那样，划定了共同的标准。

    许成军（以下简称许）：操作风险是银行业面临的主要风险之一。操作风险的发生，有的与操作不当有关，而这些操作不当往往与IT系统密切相关，比如核心业务系统如果存在BUG，就难免系统不宕机。

链接

巴林银行事件

    巴林银行曾经是金融市场上的一座耀眼辉煌的金字塔，有着233年历史的老店，却于1995年宣布倒闭。原因是，当时担任巴林银行新加坡期货公司执行经理的里森，同时一人身兼首席交易员和清算主管两职。有一次，他手下的一个交易员，因操作失误亏损了6万英镑，当里森知道后，却因为害怕事情暴露影响他的前程，便决定动用88888“错误账户”。而所谓的“错误账户”，是指银行对代理客户交易过程中可能发生的经纪业务错误进行核算的账户（作备用）。以后，他为了私利一再动用“错误账户”，创造银行账户上显示的均是赢利交易。随着时间的推移，备用账户使用后的恶性循环使公司的损失越来越大。此时的里森为了挽回损失，竟不惜最后一博。由此造成在日本神户大地震中，多头建仓，最后造成损失超过10亿美元。这笔数字，可以称是巴林银行全部资本及储备金的1.2倍。巴林银行宣布倒闭，最后被荷兰某集团以一英镑象征性地收购了。

    6月1日，中国银监会出台了《商业银行操作风险管理指引》（以下简称《指引》），旨在加强商业银行的操作风险管理，推动商业银行进一步完善公司治理结构。但指引并没有强调如何进行IT系统风险的管理。我国银行业开始信息化至今，已历时30年，信息系统覆盖了金融管理、业务等方方面面，很多操作风险的产生与IT有关，甚至以IT风险为主。因此IT风险管理重要性凸显。近年来，国内银行业的IT系统发生过多起事故，很多处理方式、过程和结果都令人不甚满意。之所以导致这样的结果，与我们的认识和管理不到位有关，因此，有必要推进风险管理尽快完善。

    蔡：操作风险管理，最重要的就是操作权限控制，而且要绝对禁止越权操作，否则将酿成大祸。巴林银行事件就是前车之鉴。中国银行高山案、农行邯郸分行金库案都是操作风险控制不力所致。

    陈：目前，银行还有不少管理细节落实的问题，这都会影像操作风险的有效控制。要有监督体制，检查、评估体制，而且是一个持续不断的过程，不能搞“一阵风”。随着技术手段越来越先进，可以从一定程度上防范操作风险，但是，贵在落实。我进行过银行卡有关问题的调研，发现，在银行的柜台里，本来收卡、制卡和发卡三个环节的人员应该分开的，却由一个人都干了。值班人离开柜员终端就应该退出操作界面，但是，这个细节常常被忽略，机器操作界面没有退出，人却离开座位吃饭去了；对权限的问题不仅要制定规范的办法，还要有监督的办法。比如数据库的写入、操作和修改，真正操作起来应该由三个人完成，一个人开动机器，一个人输入密码，业务一个人输入，成交一个人操作，但是一些银行简化成一个人做了。密码、卡号等信息都能被一个人掌握，这就存下很大的隐患。

    许：现在技术上可以解决这个问题，可以设定柜员一定过多起事故，很多处理方式、过程和结果都令人不甚满意。之所以导致这样的结果，与我们的认识和管理不到位有关，因此，有必要推进风险管理尽快完善。

蔡：操作风险管理，最重要的就是操作权限控制，而且要绝对禁止越权操作，否则将酿成大祸。巴林银行事件就是前车之鉴。中国银行高山案、农行邯郸分行金库案都是操作风险控制不力所致。

    陈：目前，银行还有不少管理细节落实的问题，这都会影像操作风险的有效控制。要有监督体制，检查、评估体制，而且是一个持续不断的过程，不能搞“一阵风”。随着技术手段越来越先进，可以从一定程度上防范操作风险，但是，贵在落实。我进行过银行卡有关问题的调研，发现，在银行的柜台里，本来收卡、制卡和发卡三个环节的人员应该分开的，却由一个人都干了。值班人离开柜员终端就应该退出操作界面，但是，这个细节常常被忽略，机器操作界面没有退出，人却离开座位吃饭去了；对权限的问题不仅要制定规范的办法，还要有监督的办法。比如数据库的写入、操作和修改，真正操作起来应该由三个人完成，一个人开动机器，一个人输入密码，业务一个人输入，成交一个人操作，但是一些银行简化成一个人做了。密码、卡号等信息都能被一个人掌握，这就存下很大的隐患。

    许：现在技术上可以解决这个问题，可以设定柜员一定时间没有操作就自动锁死键盘。这就是我们强调的通过技术手段，充分防范由于人员不能正确操作而导致的风险发生。

    蔡：为加强人民银行发行库的安全管理，1998～1999年，人民银行对所有金库实施改造。如实施内部区域物理隔离、内功工作人员权限管理（通过指纹识别系统）、安装视频监控设备等。并且随着安全监控技术的不断发展，有的分支行已经对监控系统进行了多次更新，技术上日益先进。我们的体会是，必须运用多种技术手段，防止有可能发生的犯罪行为。比如发行库内部的物理隔离措施，使不同操作流程的工作人员不能接触，这就非常有效地防止了内部人员联手作案的发生。5年来，人民银行的发行库未发生任何内盗、外盗案件。这与我们大量采用技术手段并规范管理，有直接关系。这几年，人民银行加大了这方面的技术投入，年投入近亿元。

    陈：风险控制是有成本的。操作风险的控制不等于建设一个灾备中心。真正要控制操作风险是要花费成本的。表面看起来，这些成本投入很大，增加了很多管理内容，执行起来也繁琐。但是，操作风险看似平常小事、细节问题，但如果出问题都是大问题。

    许：目前最迫切的，是需要对操作风险有一个全面的认识。这个认识应该多维度的。
    在是理论层面，需要明确操作风险在银行风险体系中的定位？此外，IT系统风险也需要明确定位。我的体会是，IT系统风险已经突破了操作层面的风险。在实践层面，需要建立操作风险模型，以及在这个模型下确立管理的指标体系。在这个体系下，各银行对自己的风险进行评估。
    就目前我们所耳闻目濡的事故，可以说操作失误＋系统故障所占比例，高达99％。金融业这几年发生的事故都是源于系统故障。许多时候，我们的风险认识存在一个误区，认为信息系统风险与信息安全是一回事。比如，提到安全管理就认为是密码管理，提到业务可持续性就认为是灾难备份等。灾难备份是必要的。但反观这些年所发生的事故，有多少与灾难备份有关？更多的事故是由于人为操作失误和系统故障所致，最致命的灾难是应用系统发生故障。数据可以通过备份加以保存，但应用系统如何备份？做不到。如果总结其中的教训，我认为一是重视不够、准备不够，二是缺乏高素质的人才，发生故障后不能快速判断和解决，小故障酿成大事故，造成重大损失。

    陈：在管理层面，目前需要完善的是监督、检查、评估体制。监督体制要强调持续性，而非“一阵风”。在技术层面，我们目前已经可以通过技术手段实现控制，比如网上交易安全，有很好的技术手段（如数字证书）作为保障。权限控制需要制订相关规范，还要有监督办法。
国内目前没有一个权威的评估体系，因为没有一套行之有效的评估操作风险的标准。这样各银行对自己存在哪些操作风险心中没数。

    许：风险评估指标体系的缺乏，使我们对自己所面临的风险认识不清。虽然很多咨询公司都可以提供IT系统的风险咨询，但由于没有统一的标准，无法确定其结论的正确性和准确性。此外，对于成熟的指标体系，包含有不同周期、不同时间段的安全评估指标。我们现在的差距非常大。

    陈：操作风险防范需要有牵头机构。企业和个人征信系统建设正是有人民银行牵头推进得很迅速。为提高我国银行业操作风险整体防范水平，应当建立共享的金融风险信息系统。这一系统应当是面对全国银行业的，如同企业和个人征信系统一样。
    在加快理论研究的同时，我们需要尽快建立自己的风险评估指标体系。很多国家都建立了相当完整的风险评估指标体系，各项指标非常细致。金融机构发生风险后，需要按照规定的指标向主管部门详细报告。

    许：去年银监会发布《中国银行业IT系统风险管理指引》的时候，曾经有人提出，应该把IT系统风险作为第四大风险进行研究。因为，IT系统风险管理其复杂性在贯穿了信用风险、市场风险和操作风险。尤其是各商业银行数据中心大集中后，IT系统风险更加需要关注，影响面也从局部的变成全国性的。IT几乎成为银行各业务和管理部门的基础平台，但是又涵盖不了操作风险的全流程。ITEL可以算是对信息系统管理的一套理论体系，国内一些银行正在进行这方面的尝试。但是，这套体系源自英国，是否适合中国国情？不清楚。

链接

金库被窃细节 暴露操作风险

    4月14日，邯郸市农业银行金库发生一起特大盗窃案，被盗现金人民币近5100万元。任晓峰、马向景有重大作案嫌疑。案发后，潜逃。马向景于4月18日在北京被抓获，任晓峰于4月19日在江苏连云港被抓获。
河北警方透露了此案的一些细节：4月14日，任晓峰在本银行一楼营业大厅，分15笔、每笔40万元，共向河北省体彩中心打款600万元用于购买彩票；自去年以来，任晓峰多次用大量现金向邯郸市两个“体彩”投注站购买过大量彩票，曾一天投入现金上千万元。
    邯郸市农业银行员工、原金库管理员张强曾在任晓峰的多次劝说和引诱下，张强同时任金库管理员的赵学楠曾两次从金库盗取现金20万元给任晓峰购买彩票，后任晓峰还给张强18万元。张强害怕事情败露，自掏2万元入库平账。
    另据了解，经公安机关初步排查，任晓峰、马向景作案都是先切断电源，使异地监控无法实施后，再盗取库款。据保安押运公司监控值班人员记载，4月13日晚11时45分监控显示屏不显示；4月14日12时12分左右再次不显示，且自动向110报警。110迅即查问保安押运公司守库室，守库员电话询问任晓峰，任回答：“未通知撤防导致误报。”恰恰在此时间段，任晓峰等人疯狂作案。
    据办案人员透露，任、马二人既掌握金库钥匙，又掌握相关密码，缺少制约环节，加上检查监督不力，客观上容易形成安全隐患。