银行操作风险管理论文

一、商业银行操作风险及特点

风险就是未来结果的不确定性。不确定性越高，风险就越大。由于分析角度不同，对银行风险分类的标准也不一。一般可分为市场风险(利率、汇率和资产价格)、信用风险、流动性风险、操作风险、法律风险、道德风险和国家风险。一般业界所说的三大风险是指信用风险、市场风险和操作风险。这是国际上巴塞尔委员会要求提取资本金的三类风险，是国际银行业和银行监管机构重点关注的三类风险。

对我国商业银行来说，操作风险是个新概念，但这并不表明我国商业银行中没有操作风险管理活动。事实上，各商业银行一直都有自己的操作风险管理实践，但一般使用“内部控制”一类的表述，而且，在多年内控管理过程中，各商业银行都程度不一地建立和制定了相关的管理框架、制度和措施。不过，相对于信用风险、市场风险管理而言，操作风险管理还缺乏识别标准、管理模式、数据积累等。

操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。操作风险包括法律风险，但不包括策略风险和声誉风险。具体表现就是商业银行因办理业务或内部管理出了差错；由于内部人员监守自盗，外部人员欺诈得手；电子系统硬件软件发生故障，网络遭到黑客侵袭；通信、电力中断；自然灾害、恐怖袭击等原因导致损失的银行风险，这些都属于操作风险。可见，操作风险不仅仅包括操作中的风险，还包括内部程序、信息科技系统和外部事件所带来的损失。

与信用风险和市场风险相比，操作风险主要有几个特点。第一，具有内生性，除自然灾害等外部事件引起的操作风险损失外，操作风险大多是在银行可控范围内的内生风险，信用风险和市场风险则为外生风险。第二，广泛性，操作风险的覆盖的范围相当广泛，与市场风险主要存在于交易类业务和信用风险主要存在于授信业务不同，操作风险普遍存在于商业银行的业务和管理中。此外，对于信用风险和市场风险来说，风险越高，收益越高，存在风险与收益的对应关系，而操作风险和收益没有太多联系。

二、操作风险识别和管理

操作风险主要表现为以下几种类型，商业银行在经营中需加以识别和管理。

(一)人为因素。主要为内部欺诈、主观违规、操作失误。主观违规有超授权授信行为、逆程序、过度信任造成管理缺位、岗位设置不合理造成监督空位、不良爱好(如涉毒、涉赌、涉黄)引发的违法违规。操作失误是由于员工技能水平不高、态度不认真在业务过程中的失误造成的，如数字输入错误、将取款记作存款等。由银行员工操作失误引起的操作风险一般具有损失小(当然不排除特殊情况)、发生频率高、难以事先预测的特征，因而非常难以防范。人员因素引发的操作风险，有的是作为，如主观违规，有的是不作为，如业务不熟出错，疏忽大意。

(二)流程因素。包括操作程序遗漏或忽略、产品设计缺陷、业务流程设计不合理等。过去认为流程越复杂、相互制约性越强越好。事实上，流程越简单越易于操作，流程越短越便于管理，设计越合理越利于控制。这样才能适应变化，确保效率和风险管理，流程设计不合理，有瑕疵，往往容易出现风险隐患。

(三)系统因素。系统是现代商业银行赖以生存的命脉。无论是业务发展如网上银行、现金管理还是风险监控，都离不开信息系统紧密支持。但是，商业银行高度依赖信息系统，信息数据高度集中也给银行带来新的风险管理难题，如系统安全稳定、IT技术风险防范、数据和信息质量，系统设计和开发战略风险，等等。系统出现如故障、瘫痪，系统不安全、通讯中断以及系统兼容性、稳定性、适宜性方面的操作风险很容易给银行带来巨大的经济损失和无法估量的信誉损失。此外，从操作风险发生的部位来看，当前与系统有关的操作风险日益增加。由于系统原因和流程问题导致犯罪分子利用系统漏洞实施金融诈骗已经成为妨碍我国银行业资金安全重大问题。

(四)外部因素。银行经营都是处于一定的政治、社会、经济环境中的，经营环境的变化、外部突发事件都会影响到银行的经营活动，甚至会产生损失。外部事件引起银行损失的范围非常广泛，包括外部欺诈、外部突发事件与外部经营环境的不利变化。外部人员的蓄意欺诈行为是近年来给银行造成损失最大、发生频率最高的操作风险之一，而内外勾结作案更是令商业银行防不胜防。外部欺诈包括骗贷、抢劫、偷盗、爆炸等风险因素。外部突发风险包括遭受冰冻雨雪、地震等自然灾害以及恐怖袭击、火灾等给商业银行带来的损失。外部经营环境的不利变化引起的操作风险是由于受宏观经济环境、银行监管法规变化使银行发生损失的风险。宏观经济环境的不利变化会给商业银行带来意想不到的损失。

三、商业银行操作风险管理的现状

目前，我国操作风险管理与监管尚处在一个较为初期的发展阶段。由银行监管部门以规范性文件关于操作风险监测方法或者具体操作模式还为时尚早。监管机构主要把重点放在提高操作风险(或内部控制)管理质量上，并且要求银行提高对操作风险的重视。

(一)商业银行操作风险的监管要求。2004年6月，巴塞尔委员会了新的资本协议，对银行操作风险提出了新的资本要求。据巴塞尔委员会估计，在银行业所有风险中，操作风险所造成的损失已经仅次于信用风险。2006年10月巴塞尔委员会的新版《有效银行监管核心原则》中，专门为“操作风险的监管”新增一条原则，制定了评估该原则执行情况的标准，提出了商业银行操作风险管理的最佳做法和监管指引。

目前，实施新资本协议的国家都按照新协议要求，明确将操作风险纳入资本监管范畴，国际上已形成了对操作风险加强监管的共识，已经形成了相关制度和监管标准。巴塞尔新资本协议对操作风险的有关规定是近年来国际金融界日益注重操作风险管理的制度体现，也是加强全面风险管理方面的新要求。

在未来几年内，我国银行界按照新资本协议的要求实施操作风险管理已是大势所趋。根据中国银监会《商业银行操作风险指引》要求，操作风险监管机构是中国银监会和派出机构。商业银行要履行报告义务，提交有关方面的审议报告，对有关政策和程序要报备。银监会定期要进行检查评估。对于高管严重违规、重大抢劫银行等操作风险事件商业银行必须报告银监会和其派出机构。另外，《商业银行操作风险指引》要求商业银行要根据自身实际操作风险管理的政策、选择适当的方法进行管理，采取一定的措施控制、降低操作风险。

(二)操作风险机制建设。国际上巴塞尔协议将人们的视线更多地集中于操作风险的监管资本要求上。但实际上，一个银行的资本量多少并不是管理成功与否的关键，加强操作风险管理最关键是加强商业银行操作风险的机制建设。

1.关于操作风险管理体系建设。关于操作风险管理的组织体系，各银行间存在着重大差异。各商业银行主要依据银监会《商业银行操作风险管理指引》要求逐步建立和探索适应本行的操作风险管理体系。该体系主要包括董事会的监督控制；高级管理层的职责；适当的组织架构；操作风险管理政策、方法和程序；计提操作风险所需资本等基本要素。董事会从总体上履行操作风险管理的职责。如制定总体战略、政策、定期审批报告等。高级管理层在操作风险管理中职责主要为执行董事会的有关决议，定期向董事会报告。各商业银行一般以与自身的风险管理战略和组织结构相匹配成立管理操作风险的部门。具体执行中操作风险人员可能被放在一个部门——操作风险管理部门，主要拟定本行操作风险管理政策、程序和具体的操作规程；建立并组织实施操作风险识别、评估、缓释(包括内部控制措施)和监测方法；定期检查操作风险的管理情况。有些银行在总行层面上建立了首席风险官，在各营运业务条线设置风险经理，对主要业务的关键、高发风险点进行实时监测。有些银行在专业领域内如法规部门、审计监察部门设立单独的风险监管部门，在管理好本部门的操作风险的基础上，为其他部门管理操作风险提供相关资源和支持。

2.商业银行操作风险管理有关政策。各商业银行正积极探索制定有效管理操作风险的政策和方法。首先，在操作风险政策制定方面，部分商业银行已经制定《操作风险管理政策框架》、《操作风险管理政策》，进一步明确了各行各级机构和部门在操作风险中的管理职责。针对操作风险的执行，制定具体执行措施，如详细的《案件防控及整改方案》、《基层机构关键风险点监控检查内容与操作指引》，同时，将操作风险控制基本要求植入业务流程改造和IT蓝图建设中。其次，为衡量分析操作风险建立操作风险管理技术标准。各商业银行正在积极研发风险控制与评估、关键风险指标、重大事件报告制度、损失数据收集和业务持续经营计划等工具。再次，识别操作风险，制定有关制度措施。根据银行风险的特点，加大对操作风险的识别，并针对性地制定制度措施，如对系统风险、外部等操作风险，有关行制定了详细的风险应急预案，增加应急措施；建立与新产品、新业务发展相对应的制度规定；修改更新产品和流程，塑造流程银行，按流程操作；增加制度执行建设，强化日常检查的频率，加强员工行为排查，等等。

四、对商业银行操作风险管理的几点启示

(一)引入全面风险管理。全面风险管理体系(Enterprise

wideRiskManagement简称ERM)是西方商业银行比较成熟的风险控制理念和技术。全面风险是风险管理的最终目标，全面风险管理，主要体现在它的全面性、全程性、全员性和系统性。操作风险与市场风险、信用风险有高度的相关性，操作风险与其他风险结合将导致风险更加复杂、更加分散，风险损失更加显著，将数倍、数十倍地被放大。因此，在风险管理中应将操作风险与市场风险、信用风险等各种风险联系起来进行全面的风险管理，保证风险管理政策统一、工作协调。同时，操作风险遍布商业银行内部各业务环节、产品线和不同的管理层面，不仅仅是依赖于一两个专门的部门监管，应该从本行、本部门、个人操作抓起。各商业银行应及时上升层次，逐步建立全面风险管理委员会下辖操作风险、信用风险和市场风险等风险管理委员会，制定全面风险管理政策，形成总体规划，发挥资本在风险覆盖、部门配置方面的作用。

(二)操作风险的缓释。操作风险是客观存在的，只要有人群、行为和活动，就一定存在操作风险，应尽量降低其发生的频率和所造成的损失。从操作风险的规避角度分析，操作风险可以分为可规避的操作风险、可降低的操作风险、可缓释的操作风险。除极少数应承担的操作风险外，大部分操作风险都有规律可循，其发生过程类似多米诺骨牌，有前因后果的连锁关系。因此，要查找出其发生规律，通过技术手段切断引发操作风险的关键环节，并通过必要的管理措施加以缓释。

1.商业银行一揽子保险和打包保险。火灾、自然灾害等引起的商业银行财产损失，商业银行的内外部欺诈，对高级管理层和员工的责任险等都可以通过保险公司一揽子保险和打包保险承保予以缓释，通过承保转移给保险公司。然而，目前国内保险公司尚未开发更多的针对商业银行操作风险的保险产品，保险方式、有关保险业务品种还有待保险公司创新。另外，保险公司对银行风险管理能力和财务承受能力还不能准确精算评估，各保险公司保费收取也存在重大分歧。如对于内外部欺诈引发的操作风险，各保险公司普遍收费高，无疑增加了银行的成本管理，也直接约束了操作风险的缓释。不过，相信随着金融市场的逐步开放，这一局面将逐步得到改善。

2.业务外包。除保险外，商业银行可以通过业务外包来缓释操作风险。将技术含量高、专业性强的有关业务交由专业机构管理，增加操作风险管理的效益性。如有关法律风险可聘请具有符合条件的外聘律师诉讼和仲裁；对于风险性高的守护、保卫、押运可聘请符合资质条件的保安公司管理；对于产品评估、网络维护、系统开发也可招标专业公司。当然，选择外包公司，不可能一包了事，也需加强双方之间的沟通，通过签订合同，明确双方权利和义务，合理转移风险。事实上基于双方的委托关系，最终的权利和义务应由商业银行承担。

(三)建立健全制度管理，狠抓制度落实。总结有关操作风险损失案例，其中大部分为有法不依，有章不循，制度落实不到位，管理缺位造成的风险损失。因此，要建立健全制度管理，狠抓制度落实，才能够使操作风险得到有效管理和控制，才能使因操作风险损失降到最低限度。一是做到制度到位，及时立、改、废有关制度，形成制度数据库，并根据实际情况将有关规章制度分解到各个部门、各个环节、各个岗位，形成操作指南和岗位流程；二是责任到人，处理到人。要及时跟踪检查执行，增加检查的频率和有效性，加大违规处罚力度，把隐患消灭在萌芽状态。

(四)加强合规管理与合规文化教育。商业银行要倡导和强化全员合规文化，引导全行员工树立对风险管理的责任意识，使风险意识突破传统的部门界限，真正融入全行各个部门、每位员工的行为规范和工作习惯之中，让员工认识到自身岗位关键风险点，形成防范风险的有效屏障。

总之，我国商业银行的操作风险管理要求不是一时之需，而是伴随商业银行发展的长期任务，如果要想保持现有的竞争优势，甚至在国际金融市场取得一定的地位，就必须不断提高自身的操作风险管理水平，全面加强风险管理。

参考文献：

[1]陈余化，赵榄.警惕商业银行操作风险监管走向误区[J].经济论坛，2006，(13).

[2]姜燕.新巴塞尔协议框架下中国商业银行操作风险的度量与管理[D].北京：对外经济贸易大学，2006.

[3]曾向阳.对商业银行操作风险管理的几点思考[J].广西金融研究，2005，(8).

[4]杨满沧.企业银行博弈与共赢[M].北京：中央编译出版社，2007.

[5]刘毅.商业银行经营管理学[M].北京：机械工业出版社，2006.

[摘要]2008年1月法国兴业银行“交易员事件”再次将全球金融界目光聚焦在操作风险上。相比信用风险和市场风险，操作风险的内涵更为广泛，操作风险事件更为复杂。主要有人为、流程、系统因素和外部事件所造成的风险事故。本文论述了商业银行操作风险及其特点，探讨了操作风险的管理现状，提出了预防和控制商业银行操作风险的对策和措施。

[关键词]风险管理；操作风险；发展趋势