结合新巴塞尔协议浅议我国商业银行操作风险的管理

[摘 要] 为了保持商业银行和我国经济的可持续发展，在新巴塞尔协议的框架下，实行全面、集中、量化的操作风险管理是所有商业银行风险管理的必经之路。文章结合新巴塞尔协议的管理框架和计算方法，提出树立新的资本配置观，建立内部风险控制文化等建议。

[关键词] 商业银行 操作风险 新巴塞尔协议

长期以来，商业银行的风险管理主要局限于信用风险和市场风险。随着银行业务品种的快速增加，业务流程的日趋复杂，以及对电脑设施和技术手段越来越多的依赖，大量的损失发生在信用风险、市场风险和流动性风险以外的领域。鉴于此，巴塞尔委员会早在1998年就提出了操作风险的概念，并在2001年的“新资本协议草案”中提出将其纳入到监管资本框架中。操作风险有广义和狭义的范畴，通常意义上所讲的操作风险都是指狭义的操作风险，衡量操作风险也是通过一些定性的方法。但随着世界银行业的不断发展和新巴塞尔协议在各国的逐步推行，采用量化的手段管理操作风险将是大势所趋。虽然新巴塞尔协议的制定，主要考虑的是十国集团成员国“国际活跃银行”(internationally active banks)的需要，并没有充分考虑发展中国家的国情。同发达国家相比，我国银行的风险管理水平和金融监管水平还存在较大的差距。如果实施新协议，不仅难度大，还可能给我国银行业的运行和监管带来一定的负面影响。但是实行全面、集中、量化的操作风险管理将是所有商业银行风险管理的必经之路。所以，如何将操作风险的度量和管理引入到商业银行目前的风险管理体系中，是绝大多数银行所面临的一个挑战。

一、操作风险的定义和分类

狭义的操作风险是指存在于“运营”部门的操作性风险，即由于控制、系统及运营过程的错误或疏忽而可能引致潜在损失的风险。其他的操作风险，如名誉、法律、人力资源则或者交于一个全面风险管理机构管理，或隶属某个特殊部门。广义的操作风险定义一般采用新巴塞尔协议中的定义，是指由于不完善或有问题的内部程序、人员及系统或外部事件所造成的损失的风险，这个定义包括法律风险，但不包括策略风险和声誉风险。

操作风险的损失可能来自于内部或外部事件、宏观趋势，以及不能为公司决策机构和内部控制体系、信息系统、行政机构组织、道德准则或其他主要控制手段和标准所洞悉并阻止的变动。新巴塞尔协议将操作风险纳入风险资本的计算和监管框架，引起了国际上对操作风险的广泛关注和讨论。

目前常见的操作风险分类方法将其划分为以下七种事件类型：（1）内部欺诈：故意欺骗、盗用财产或违反规则、法律、公司政策的行为。（2）外部欺诈：第三方故意欺骗、盗用财产或违反法律的行为。（3）雇员活动和工作场所安全：由个人伤害赔偿金支付或差别及歧视事件引起的违反雇员、健康或安全相关法律或协议的行为。（4）客户、产品和业务活动：无意或由于疏忽没能履行对特定客户的专业职责，或者由于产品的性质或设计产生类似结果。（5）实物资产的损坏：自然灾害或其他事件造成的实物资产损失或损坏。（6）业务中断和系统错误：业务的意外中断或系统出现错误。（7）行政、交付和过程管理：由于与交易对方的关系而产生的交易过程错误或过程管理不善。

二、新巴塞尔协议中操作风险的管理框架

1.操作风险管理组织结构

为了确保操作风险管理活动被很好地理解和执行，管理层应该为操作风险管理确定一个组织结构，设定个人在风险管理过程中的任务和责任，并使每个人清楚地了解自己的任务和责任。

在上述管理架构中，第一，关于高级管理层的任务。操作风险管理的最终责任应由高级管理层(董事会，或同等的机构)承担，这种责任要求高级管理对本银行的产品、业务过程和相关风险有全面的了解。第二，关于操作风险管理职能部门。操作风险管理职能部门，其任务是辅助高级管理层完成其操作风险管理责任。这一任务将通过两方面活动完成，一方面是评估、监控和报告银行整体的操作风险，另一方面是评定风险管理活动是否按照操作风险管理战略和政策执行了。

2.操作风险管理战略和政策

就操作风险管理战略而言，为了使操作风险管理框架有效运行，一家银行需要识别其利益相关人，并了解他们的要求和银行对他们的义务，这有助于在决定操作风险管理战略时识别关键业务的驱动者和相关目标。明确了这些目标后，银行应该考虑它在实现这些目标的过程中面临的战略挑战，以及不去实现这些目标的后果，从而建立起一套操作风险管理战略。至于制定操作风险管理战略，以及确保其与银行的整体业务目标相统一的责任，应该由高级管理层承担。

3.操作风险管理过程

（1）风险识别

操作风险识别过程应该以当前和未来潜在的操作风险两方面为重点。这个过程应该考虑到以下六方面的因素：①潜在操作风险的整体情况；②银行运行所处的内外部环境；③银行的战略目标； ④银行提供的产品和服务；⑤银行的独特环境因素；⑥内外部的变化，以及变化的速度。识别操作风险的过程中，应该考虑到风险的所有潜在原因，包括交易过程、销售活动、管理过程、人力资源、卖方、技术、外部环境、灾害、越权及非法行为等等。

（2）风险评估和量化

操作风险被识别出来后，就应该加以评估，决定哪些风险具有不可接受的性质，应该作为风险缓解的目标。风险评估和量化的作用在于，它使管理层得以将操作风险与风险管理战略和政策进行比较，识别银行不能接受或超出机构风险偏好的那些风险暴露，选择合适的缓解机制并对需要缓解的风险进行优先排序。

进行这一步骤时，通常需要通过考察一项操作风险的驱动者和原因，估计该项风险可能发生的概率；此外，还应在不考虑控制战略影响的情况下，评估一项操作风险可能的影响。这里对风险可能影响的评估，不仅要考虑经济上的直接影响，还应该更广泛地考虑风险对公司目标实现的影响。银行应该选择或开发适当的模型，以适应每一种风险的量化需要。

（3）风险管理和风险的缓释工具

银行应该设计并实施具有成本效益的风险缓释工具，使操作风险降低到能够接受的水平。在风险管理和缓释的步骤中，重要的一点是要将实施措施的责任明确地分配下去，并确保责任人有实施措施的动力。风险管理和内部控制程序应该由各个业务单元建立，但可能需要风险管理职能部门的指导。

尽管对每一家银行来说，适用的缓解措施的范围和性质可能有所不同，但适当的缓解措施都需要考虑以下领域：①外部责任(例如外部监管、法律或其他要求)；②变革管理；③新的交易对手和客户；④内部控制；⑤责任的界定；⑥协调；⑦信息系统管理；⑧对附属或参股的第三方提供服务；⑨专业人员和人力资源；⑩业务连续性规划；⑾内部审计和风险管理职能部门的责任； ⑿保险。在上述过程中，我们尤其想强调的是，应当将内部审计从以平级审计转向以自上而下的垂直审计为主，并且审计部门出具的结果应该直接向总行董事会汇报并落实相应的改进措施。

（4）风险监控

高级管理层应该建立一套操作风险监控程序，以实现以下目标：①对银行面临的所有类型操作风险的定性和定量评估进行监控；②评估缓解活动是否有效和适当，包括可识别的风险能在多大程度上被转移至银行外部； ③确保控制充分、风险管理系统正常运行。应该为操作风险建立风险衡量标准或“关键风险指标”(Key Risk Indicator，KRI)，以确保重大风险事件的相关信息被传递至适当的管理层级。在风险评估阶段建立KRI是最容易的。内部审计部门或其他有资格的部门应该实施定期的检查，分析控制环境、检测已实施的控制的有效性，从而确保业务运作在有效的控制下展开。

（5）风险报告

操作风险报告过程应该涵盖诸如银行面临的关键操作风险或潜在操作风险、风险事件，以及有意识的补救措施、已实施的措施的有效性、管理风险暴露的详细计划、操作风险即将明确发生的压力领域、为管理操作风险而采取步骤的状态等方面的信息。并且这些信息应该足以满足以下要求：①使高级管理层和经营者能够确定风险管理职责的委派是有效的，并且他们对操作风险管理的要求得到了满足；②使整体风险预测能够与银行的风险战略和偏好相比较，得到评定；③使关键风险指标得到监控，可以判断出采取措施的需要；④使业务单元能够确定对关键风险的控制成功地实施了，有关信息得到了传递； ⑤风险管理过程的重复。以上所述的风险管理过程是一个不断重复的过程。风险管理职能部门应该确保关键操作风险管理活动以适当的频率重复进行，例如每年或每半年一次。

三、新巴塞尔协议对操作风险最低资本要求的计算方法

新巴塞尔协议提供了三种计算操作风险资本金的方法：基本指标法(The Basic Indicator Approach)、标准法(The Standardized Approach)，以及高级计量法(Advanced Measurement Approach，AMA法)。这三种方法在复杂性和风险敏感度方面渐次加强。为此，委员会还制定了一套标准，用来衡量一家银行是否有资格使用某计算方法。

四、树立新的操作风险管理理念

中国人民银行于2002年9月并开始实施《商业银行内部控制指引》，对我国银行建立操作风险管理和控制框架提出了要求，但是到目前为止，我国商业银行的操作风险管理仍然存在很多问题，风险管理水平和金融监管水平与发达国家相比还存在较大的差距。商业银行操作风险的组织基础工作薄弱，银行内部控制制度建设滞后，相关的信息披露严重不足，缺乏操作风险的计量模型和损失数据等问题。基于巴塞尔新资本协议的要求和我国银行业操作风险管理的现状，要解决上述问题，建立起适应我国银行业发展要求的操作风险管理体系，还是从以下几个方面着手。

1.确立对风险足够敏感的资本配置观

资本充足率是新巴塞尔协议的第一支柱。不论是提出更加复杂也更加精确的内部计量方法，还是将操作风险纳入资本充足率计算，都反映了巴塞尔委员会对资本充足性一贯的关注。但对资本充足率的意义不能仅仅停留在如何满足巴塞尔协议的角度，而应该理解新巴塞尔协议所做的种种努力，都是试图使得银行对风险更为敏感而已。

总体而言，资本充足率偏低却是我国银行长期以来的现实情况。造成这种现状的原因是多方面的，一是近年来我国银行资产增长较快，银行处于快速扩张期，资本的动态配置不足；二是银行盈利空间有限，通过自身积累增加资本的能力不足；三是由于我国资本市场相对不发达，银行缺乏有效的外部注资渠道。就市场、信用和操作等诸多风险中，也许操作风险是仅次于银行官本位的第二大风险因素。仅仅将新巴塞尔协议视为监管要求是不够的，需要从司库、监管、风险管理和股东权益等多方面考虑资本配置的必要性，以及商业银行操作风险框架的确立问题，使得商业银行在监管资本、经济资本和权益资本等多视觉的考虑中求得平衡。

2.关于对操作风险的认识

操作风险包含的范围广泛，种类多样，涉及银行的各种业务领域，管理人员和基层业务人员都担负着控制操作风险的责任。因此必须加强银行全员对操作风险的认识，建立内部风险控制文化，以营造出良好的操作风险管理和控制环境。

建立风险控制文化需要从诸多方面着手，一是要着手增强人的能力，这是指全体员工在从事业务活动时遵守统一的行为规范，所有员工都清晰了解本行的操作风险管理政策，对风险的敏感程度、承受水平、控制手段有足够的理解和掌握。二是要着手完善计算机系统，对历史数据进行分析和利用。三是内控制度的建设，对资产业务的流程进行基于风险管理的再造，在内部风险控制文化的建设中，高级管理层应首先了解本行的主要操作风险所在，在日常的管理中积极倡导建立有力的风险控制文化，将本行的内部控制战略和政策准确无误地传达给各个层级的每一位管理者和员工，使操作风险控制成为全体员工日常工作中的一个目标。四是要对外部供应和自然灾难造成的银行失败有足够的预案准备。

3.关于操作风险管理框架

要解决内部控制建设滞后，部分制度不切合实际，部分制度针对性差，执行流于形式等问题，使我国银行拥有适应业务发展水平的有效操作风险管理框架，并能利用该框架实现操作风险的有效控制，应从以下几方面入手：①构建责权明晰的风险管理架构。其中董事会对银行风险管理负有最终责任；风险管理委员会隶属于董事会，向董事会提供独立支持；必要时设立首席风险管理官，使风险管理部门独立于业务部门，对董事会风险管理委员会负责；各部门业务主管和业务经理对所在的业务中的风险事件负责。②从现代商业银行管理和银行内部风险控制的要求出发配置人力资源，形成有效的横向制约机制。有效的横向制约机制对内部人员欺诈和操作疏忽带来的操作风险的控制非常重要。③人的因素在操作风险的产生方面占有很大的比重，员工的道德水平、有关风险的知识、业务熟练程度等方面的素质，对操作风险的预防和控制都有很大的影响。因此，从道德、知识和业务方面全面提高员工的素质，是构建有效的操作风险管理和控制框架过程中不可忽视的一项工作。

参考文献：

[1]薛敏．新巴塞尔协议对建立我国商业银行操作风险量化管理模型的启示[J]．西南金融，2007，（7）

[2]姜燕．新巴塞尔协议框架下中国商业银行操作风险的度量与管理[D]．对外经济贸易大学，2006

[3]张海鹏．《巴塞尔新资本协议》下的商业银行操作风险管理[J]．辽宁经济，2010，（3）

[4]娄眉卿．新巴塞尔协议条件下完善我国商业银行操作风险管理的思考[J]．商场现代化，2009（6）

[5]潘再见，陈振．商业银行操作风险管理：亚太经验及其对中国的启示[J]．国际金融研究，2010，（4）

[6]马宏泽．构建我国商业银行操作风险管理体系的思考[J]．上海金融学院学报，2009，（8）

[7] 李金迎，刘睿．我国商业银行操作风险管理体系建设问题研究――基于新资本协议实施的建议[J]．现代管理科学，2009，（10）

[8] 董红，邱菀华，林直友．商业银行操作风险管理的实践与探讨[J]．中国经济评论金融理论与实践，2009，（5）