操作风险管理合集12篇

时间：2022-01-28 19:25:16

操作风险管理

操作风险管理篇1

1.操作风险管理理念不强。风险管理作为一种管理职能基本上还未纳入保险企业管理，保险经营还处于财务型控制被动经营状态；总体经营比较粗放，直接开拓市场的各基层经营单位没有把风险管理作为常规的工作来抓，即使发现了风险事故，也未尽力处理，而是把风险责任上交。

2.关注显性风险管理，忽视隐性风险管理。第一，在业务发展导向上，由于注重规模和速度，强调业务增长数量，忽视质量。我国保险公司分支机构的设立主要以当地市场的保费量（市场份额）为依据，保险法规和监管要求对保费地位的过分强调在一定程度上导致保险公司把市场占比作为主要经营指标之一，这种没有兼顾质的基础上的量导致业务品质低下，风险因素增多。第二，保险公司的经营以抢占市场份额为主要目的，对产品风险的评估控制重视不足。第三，价格制定上以低价进行恶性竞争，盲目承保、劣质承保屡禁不止，由此引发财务风险和因信息不对称而带来的道德风险。第四，在发展的战略方针上，存在保险决策和经营的短期行为，对保险业及保险公司长远发展战略注重不够，这样势必导致对影响长远发展的风险因素考虑不周全。第五，在制度建设上，保险发展的制度环境和法律基础建设还很薄弱，一个有效的保险法律体系还未形成。

3.注重内生风险管理，忽视外生风险管理。一是保险公司一般都忽视对公众信用风险的管理，没有认真研究因恶性竞争而引起的欺诈、误导等严重缺乏公信力的行为对操作风险可能带来的严重后果；二是保险公司面对同业的恶性竞争，对如何发挥同业组织的作用来规范共同的市场行为，形成有序的竞争局面重视不够；三是对保险中介的风险管理严重失衡，部分公司无视保险中介的有关法律法规和同业组织的自律公约，不顾中介机构经营资格、职业道德状况等条件进行合作展业，忽视或不能对中介组织进行风险管控；四是缺乏对保险欺诈和误导进行风险管控的有效手段，保险欺诈造成的损失日趋加大，保险误导给展业带来的操作困难日益严重，由此对应的管控措施却尤为不力。

4.注重财务风险管理，忽视人力资本风险管理。保险业的快速发展凸现人才供应的脱节，由此引发同业挖角现象十分严重。在人才引进过程中，不考虑人才素质、业务品质、展业习惯和队伍结构，更不考虑竞争主体间队伍的相对稳定，导致保险公司间矛盾重重，也培养了一批专靠跳槽为生的业务员队伍，出现一批市场跳蚤。他们的行为表现在市场操作过程中本身就是风险源。

5.注重财务报表静态分析管理，忽视操作过程动态风险管控。当前保险公司一般所进行的月度经营分析、季度经营分析主要是事后静态地评价达标情况，对不达标机构和指标缺少预防硬措施，也没有月度的风险管理评价报告；由于有些风险管理指标无法量化，年初下达计划指标任务时也没有把风险管控作为关键指标；直接拓展业务的各级机构对应关键指标而制定的关键行动计划也主要是围绕关键指标的达成而进行。这些管理行为导致操作过程动态管控不力，如保费现金流的管理，应收管理人为的呆账、赖账现象时有发生。

6.没有建立健全风险管理组织机构。很多公司尤其是寿险公司没有单独设立风险管理部门及防灾防损管理部门，即使有这种机构的存在，其人力财力物力配备也严重不足。对于风险管理比较普遍的做法是成立稽核部门，而稽核的技术力量又相当薄弱，无法应对风险管理。

7.缺少针对分支机构的经营风险管理的专门政策。当前保险公司分支机构在经营过程中面临诸多风险，主要表现在如下方面：一是合规经营意识不强。一些基层保险公司违背市场规律，盲目或违规经营现象时有发生，同业非理性竞争手段更加隐蔽，主要通过合同外口头承诺、系统外违规操作等方式提供高保障范围来争取业务，导致保险公司经营风险积聚，特别是渗透经营中的商业贿赂问题耗蚀了行业利益，损害了保险业形象，加重了影响偿付能力的潜在风险。二是风险管控不严。如有的基层公司执行业务管理制度不严，有的营销员未在规定时间将投保资料和保费交公司，有的公司数据来源不规范，上下级机构之间销售和财务数据不一致等，这些现象导致和积累了经营风险。

二、操作风险产生的根本原因

1.经营主体自身潜在的道德风险导致习惯性的风险行为发生。保险公司为达到经营目标，违反市场规律和有关制度，为获得短期利益而对长期利益的损害是保险公司主要的道德风险，而导致这类道德风险的原因与保险公司实行的绩效考核办法有密切关系。因传统绩效考评办法中经营指标的份量大，会导致业绩冲动而潜在着道德风险。同时，行业非理性竞争必然让公司间的道德风险增加，这种看似个人行为导致的经营风险，其真正的症结却是保险公司内部风险抑制机制的缺位。我国保险公司面临的最大风险，就是这种层级过多、管控不力导致的操作风险和道德风险。

2.全面的风险管理环境没有形成。有效的风险管理受到很多环境因素或“软因素”，具体包括行业文化、管理风格等的影响，其中行业文化尤为突出。文化因子对于风险管理效能的影响呈倍数作用，先进的行业风险管理文化在风险管理过程中能起到事半功倍的作用，反之，滞后的风险管理文化对于风险管理效能的缩小作用也是呈倍数作用，如果从环境的角度去思考、去探索，往往能找到问题的答案。因此风险管理不仅需要从组织、流程、技术等方面去改进和完善，还需要从文化等环境因素方面去培育和经营。而当前整个行业都在急功近利地对市场进行

破坏性开采，没有进行行业的风险环境培育。

三、强化操作风险管理的对策

1.严格控制现金交易风险。保险公司应全面推行资金收付转账结算，严格遵守国家《现金管理条例》的有关规定，充分利用银行结算工具，尽可能减少使用现金，防范化解现金交易风险。一是要把禁止业务员经手客户现金的规定纳入公司内控制度和业务处理流程，向社会和客户进行宣传倡导，并在柜面建设、账户开立、POS机设置等方面创造便利条件，引导客户通过采取上门临柜、刷卡、柜员机转账、银行柜台交现或转账等多种方式与保险公司实现资金收付的直接结算。二是动员客户本人到营业柜台办理缴交、退保和赔款领取手续，或通过转账方式结算。

2.推广见费出单制度。见费出单是指先收费，后生成并出具保单。目前寿险公司普遍采用了见费出单制度，但产险公司一直通过应收来推动业务发展，导致人为操作风险的发生。各产险公司应对当前通行的先出单后收款的业务流程进行改造，尤其对于分散型业务应按下述基本流程进行处理：客户投保——预核保——生成投保及缴费信息提示书——客户凭信息提示书缴清保单——公司凭缴费凭据生成并出具保单及发票。

操作风险管理篇2

一、操作风险的定义及基本内容

操作风险的定义有广义和狭义之分，广义上的操作风险是指市场风险和信用风险以外的所有风险；而狭义上的操作风险则指与金融机构中运营部门相关的风险。1998年9月，巴塞尔银行监督委员会首次了《操作风险管理》文件，并将操作风险正式纳入新巴塞尔协议的三大风险之中。新协议沿用英国银行家协会(BBA)对操作风险的定义，把操作风险定义为：“操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。”这个定义包括法律风险，但不包括策略风险和信誉风险。事实上，银行操作风险不仅仅与银行的操作相关，与银行操作之外的其他领域也相关，如欺诈交易、报告和会计体系出现问题等。

根据新巴塞尔协议的定义，操作风险包含的内容很广，但由于对它的重要性才刚刚认识到，目前还没有一个对它统一标准的内容界定。对于商业银行操作风险包含的内容，目前有三个划分；

第一，是普遍认同的内容，几乎所有的机构都认为这些内容应当属于操作风险。包括银行清算损失、交易记录失误、火灾和洪灾等意外灾害。

第二，是部分认同的内容，只有部分金融机构认为这些内容应当属于操作风险。包括内部舞弊、外部舞弊、虚假交易、不适当的销售技术和战略决策错误等。

第三，是少数认同的观点，大多数金融机构不认为这些内容属于操作风险。包括市场逆转导致的损失和交易对手违约等。

本文沿用大多数金融机构的意见，认为操作风险主要包括第一和第二部分的内容，对操作风险的计量主要针对这些风险类型。

二、操作风险计量的基本框架

操作风险的计量是操作风险防范和监督的前提与基础，是确定资本充足水平的重要依据。目前对操作风险的计量方法远远不如对市场风险和信贷风险的计量方法完善。根据新巴塞尔协议的建议，对操作风险的计量主要有三种方法：基本指标法、标准法和高级计量法。其中高级计量法又可以分为内部衡量法、损失分布法和计分卡法，本文探讨的操作风险计量方法就是损失分布法的一种。

操作风险的特殊性决定了对其计量也不同于市场风险和信贷风险。首先是操作风险发生的突发性和不可预测性。对于市场风险，可以根据市场因素的变化对标的资产的价值变化进行预测；对于信贷风险，可以对目标企业的经营状况进行评估来对信贷资产的价值进行衡量。而操作风险通常是突发的，没有可以据以预测其发生的客观指标对其发生进行判断，就如同财产和灾害保险中的索赔事件的发生，因此具有更大程度的不可预测性。其次是操作风险损失的不可预测性。对于市场风险，可以根据市场因素变化的程度计算出标的资产相应的损失状况，而市场因素变化的范围通常是可以大致估计的；对于信贷风险，根据目标企业经营及资产状况，对信贷资金的回收状况可以有一个大致的评估。但操作风险发生造成的损失，不同的事件发生造成的损失是不一样的，即使同样的事件发生造成的损失也通常是不一样的，这样造成了操作风险损失上的不可预测性。第三是操作风险分布的不平衡性。对于市场风险，当市场因素变化时银行标的资产在不同部门、不同分支机构的损失状况是基本相同的。而操作风险在不同的部门、不同的分支机构中分布是不同的，在业务规模大、交易量大、结构变化迅速的业务领域操作风险的损失也较大。

由于操作风险的这些特性，对它直接进行计量具有很大的困难，因此在对操作风险计量的时候首先根据操作风险的内容将操作风险划分为两个部分：低频高冲击事件风险和高频低冲击事件风险。所谓高频低冲击事件风险是指发生概率比较高，发生时损失比较小，在经营过程中经常会发生的事件给银行带来的风险。对于这一类风险，可以建立比较准确的计量模型，并且对未来预期损失作出较为准确的估算。这一类风险主要是日常业务流程处理上的小错误，比如清算失误、交易记录错误等。所谓低频高冲击事件风险是指发生的概率比较小，很难对它准确预期，一旦发生就会对银行造成很大损失的事件发生给银行带来的风险。对于这一类风险，属于一种极端的情况，通常并不会发生，因此对它的测度要采用情景分析的方法。这类风险主要是导致损失较高的自然灾害、大规模舞弊等。对待不同特性的风险类型需要采用不同的计量方法对其计量，最后将风险资产的数额加总获得银行面临的全部操作风险的度量。这个过程如图1所示。

三、商业银行操作风险的损失分布法计量

根据前面论述的风险计量框架，本文分别对低频高冲击事件风险和高频低冲击事件风险进行计量，并在此基础上获得对整体操作风险的计量。

1．高频低冲击事件风险计量

高频低冲击事件风险是商业银行在日常操作中不可避免的程序性失误，对于这一类风险的防范除了监管和内部控制外最重要的是银行事先预备一定数量的准备金，采用风险承受的策略，也就是新巴塞尔协议对资本充足率的要求。同风险防范的策略相对应，对这一部分风险的计量也主要是测量在给定置信区间和持有期间上、在正常经营条件下银行资产可能遭受的最可能损失数额。为了叙述方便，本文引入以下符号：设分析区间为[0，T]，有n个离散点，分别为1，2，3，……，n；记银行某业务部门在该期间发生的高频低冲击事件损失为随机变量x，n个样本点的值分别为x1，x2，x3，……，xn。

(1)平均损失程度的度量

损失程度可以用最大损失量或平均损失量计量。由于最大损失量偶然性较大，使用平均损失量能够更好代表操作风险损失的大致水平，故本文采用平均损失量计量损失程度。

首先需要计量银行在计量期间内发生的损失序列的平均值与损失发生频率，二者的乘积构成银行操作风险损失的期望损失值的度量。用p2(p)表示损失序列均值，有：

式中：N1是在[0，T]区间上，xj>0的样本点数。式(2)中，计算的平均损失，是剔除了0值点后损失序列的平均值。

设损失序列中不为0的个数为N1，x的观测点数为n，则损失的概率p1(a)为：

平均损失程度计量指标R1是在计量期间内操作风险损失的期望值，是损失序列的损失程度p2(p)与损失概率p1(a)的乘积。

(2)考虑损失易变性的修正计量指标

平均损失程度计量指标R1仅反映出损失的平均水平，而无法反映出不同的操作事件导致的损失差异

的大小，因此还要在平均损失程度指标的基础上引人损失的易变性，以衡量时间序列数据的波动性。

根据损失易变性越大风险越大的基本观点，将损失序列的标准差引人计量指标，有：

式中：σ(x)——损失序列x的均方差，用于描述风险的易变性；

k>0——调整系数，反映易变性对银行操作风险的影响，也可以说是银行对操作风险的态度。

式(2)的基本含义是，风险随着损失序列均值和易变性的增加而增加，但它们对风险的贡献是不同的，E(x)的贡献是主要的，σ(x)的贡献是处于第二位的。式(2)中的“1”是指：当σ(x)=0时，风险的测度值为R1，这就是说，即使损失无变化，但只要存在损失，仍存在风险，这与Fishburn(1984)对风险的认识是相同的；当σ(x)>0时，损失变化的风险应大于具有同样损失均值但无损失变化的风险。因此，本文认为，σ(x)对风险的作用是在原有风险基础上进行的调整，而不是完全取代或简单地用σ(x)去加上R1，这样可以突出可能损失在风险中的作用。k的选取没有统一的规定，它取决于投资者在计量风险时对待损失易变性的重视程度。一般k越大，越突出损失易变性对风险的影响；反之，k越小，表明投资者对损失易变性看得越轻；当k=0时，投资者则不考虑损失的易变性。另一方面，kσ(x)指的是k个单位的标准差，很容易将选取的置信区间同风险计量联系起来，这样可以将低频高冲击事件风险和高频低冲击事件风险的计量统一到相同的置信区间计量。

尽管在计量操作风险负面性强度时，本文开始选用了平均损失，但R2将E(x)与σ(x)结合在一起，实质上间接考虑了最大损失的问题。

(3)考虑损失频率的修正计量指标

考虑到操作风险分布的不平衡性，仅仅考虑到损失的可能的程度是不够的，在不同时期业务量大小不一样带来的操作风险发生的可能性也会不同，因此在对高频低冲击事件风险的计量时还应当考虑到损失的频率。

设银行某业务部门单位时间内发生高频低冲击事件的次数为f，最大发生损失的次数为fm，则定义该业务部门高频低冲击事件风险的频度系数为：

fr=f／fm

式中，fm的数值规定与规定的时间单位有关，在单位时间确定后，fm为一常数。通常可以选择单位时间包含的天数作为最大损失次数。根据波动系数的计算，将操作风险计量公式再一次修正，可以有：

式中，k2≥0，为损失频率调整系数。它反应了损失频率对操作风险的影响程度。这个系数的数值通常是由银行自行选择的，如果认为损失频率对风险的影响程度大，可以将k2取大一些，当k2=0时，意为在计量风险的时候不考虑波动频率。

至此，本文建立了对高频低冲击事件风险的计量方法，该方法通过一个简单的公式将该类风险损失的可能性、损失的可能程度、损失的易变性以及损失的期间统一起来。

2．低频高冲击事件风险计量

低频高冲击事件风险具有更大的偶发性及损失程度的不确定性，并且每次发生造成的损失都是巨大的。对于这一类操作风险的防范，银行一次性提取某一固定比例的准备金会面临两个问题：第一，固定提取比例选择的问题。根据新巴塞尔协议有关操作风险计量的标准法，对于不同的业务类型规定不同的提取比例，但不同的商业银行会有不同的具体情况，同一商业银行不同分行、支行也会有不同的情况，很难用统一的提取比例对其进行规定。第二，即使确定一个固定的提取比例，银行一次性的提取大数额的资金作为风险准备金，但这部分损失发生的几率却是很小，而却要将相当一部分资产变成了不生息或是只产生微薄收入的准备金，不利于银行的经营效率的提高。因此对这一部分风险的计量本文采用不同于传统情景分析的方法，而是以一个类似于保险精算的模型解决上述两个问题。

(1)损失发生频率计量

低频高冲击事件的发生具有很大的偶然性，每一次事件的发生与其他事件的发生通常没有关联，可以认为是各自相互独立的。又由于风险事故发生的稀有性，因此可以假定损失次数过程N(t)具有如下特征：

首先，在时间起点，操作风险损失次数为0，即N(0)=0。

其次，在一个足够短的时间内，最多只能发生一次低频高冲击事件，且发生一次损失的概率与此时间的长度成正比，而发生两次或两次以上损失的概率是时间长度的高阶无穷小量，即：

最后，在两个不相交的时间区间内发生的损失次数相互独立，而且在每一时间区间内发生损失次数只与时间长度有关而与时间起点无关，也就是说，N(t)是一平衡独立增量过程，有：

可以证明，满足上述三个条件的随机过程为泊松过程，有：

不失一般性，假设时间长度为0，即令t=1，则上式简化为：

由此可见，在一个单位时间内，低频高冲击事件风险的损失次数服从参数为入的泊松分布。由基本的统计学知识可有期望损失发生次数为其均值，即参数入。

(2)损失程度计量

低频高冲击事件风险的损失是很难事先估计的，但仍然有一个大致的估量方法，当损失发生时，损失的程度不能大于该操作风险发生的部门或岗位能够动用的最高限额。用x表示损失的实际金额，S表示某一业务部门能够动用的，即能够损失的最高限额，有损失分布函数为：

该式说明，当损失金额小于最高限额时，即x

式中：p(x)——损失事件发生的概率。

(3)提取风险准备金的计量

银行提取的用于低频高冲击事件风险的准备金总额就应当等于期望的损失次数与期望的损失程度的乘积，结合公式(4)和公式(5)可以有：

单位时间提取的风险准备金数额为：

式中，R1——在第t期提取的有关低频高冲击事件操作风险准备金数额。

为了安全起见，银行需要留出一定程度的富余以防备可能出现的超出平均水平的损失，这主要是为了防止超出预期次数的损失出现。因此需要对期望损失次数做一下调整，通常是考虑在一定的置信水平下期望损失次数的变化幅度。这里介绍一种简化的方法对相关变量进行调整。在一定精确度的条件下计提风险准备金的单位时间数可以用一个简单的数学公式表示：

式中：N''''——在某精确程度下计提风险准备金的时间单位数。E——相对于预期损失次数而言实际损失变动的次数与总数的比率，表示所需要的精确度。S——实际损失与预期损失相差的标准差的个数，s值可以说明对所有获得的结果的置信程度。P——某一特定标的发生损失的概率。这样，考虑到一定置信水平下损失的波动性后每一个单位时期计提的全部有关低频高冲击事件操作风险准备金为：

3．整体操作风险计量

在高频低冲击事件风险和低频高冲击事件风险计量的基础上，可以获得在任意一个时期整体操作风险的计量。它就等于该年度计提的高频低冲击事件操作风险准备金的数额加上截至这一时期累计提取的低频高冲击事件操作风险准备金数额之和。

式中：n——截至计算期为止经过的单位时期的期数。

操作风险管理篇3

中图分类号：F840.2 文献标识码：A

文章编号：1004—4914（2012）06—038—03

近年来，随着我国移动互联网的纵深发展，特别是智能手机的普及与移动技术的成熟，各種基于移动设备的保险应用纷纷出现。从手机保险网站、短信投保到移动理赔系统，移动保险采用了多種多样的形式。本文所指的移动保险，指通过移动设备（包括智能手机、掌上电脑等）接入无线网络实现保险经营活动开展的一切形式。

在保险企业与IT企业的联合推动下，移动保险迅猛发展，但是移动保险涵盖的产品却只是电脑网站的简化版，险種也仅限于投保手续简单的险種。对移动保险安全性和有效性的疑虑，是许多顾客不选择移动终端投保的重要原因，指引性文件的空缺也使保险企业面临法律诉讼的风险，怯于推广复杂险種。在这样的背景下，保险企业应该如何从人员、业务流程、系统、外部因素四个方面进行有效操作风险管理，减少由移动保险带来的纷争，值得探讨。然而，目前操作风险管理研究仍然欠缺。本文意在借鉴移动电子商务风险管理以及保险企业操作风险管理研究的基础上，通过对移动保险操作风险的源头、特征、表现形式的初步探讨，为强化移动保险风险评估和改善风险源提出建议。本研究将移动保险操作风险定义为在开展移动保险过程中由于人员、系统、业务流程、外部事件引起损失的风险。

一、移动保险操作风险源

进行有效的操作风险控制手段之一就是控制或者改善风险源。因此，有必要找出移动保险操作风险的风险源。根据现代企业风险管理理论，风险源指可能促成不利结果出现的危险因素的来源，移动保险的危险因素源自下列环境：

1.自然环境。自然环境对移动保险的开展的影响主要表现在对移动终端、移动通讯与相关人员的影响。恶劣的天气、自然灾害可能影响移动保险工作人员的工作状态和安全状况进而影响移动定损查勘等工作的开展，可能导致移动终端的破坏与丢失、移动通讯的中断，进而导致保险信息的丢失。我们虽然无法控制自然环境，但是可以通过有效措施切断风险的传递。

2.认知环境。移动保险的认知环境主要体现为移动保险企业的企业文化，包括企业价值观、企业精神、企业道德、企业宗旨、企业使命和企业目标，对相关的工作人员起到导向、激励、约束作用，影响企业资源整合。目前，我国保险企业操作风险管理理念不强，风险管理作为一種管理职能基本上还未纳入保险企业管理，保险经营还处于财务型控制被动经营状态，这样的企业文化容易导致移动保险操作风险的产生。

3.运作环境。动保险的运作环境主要指保险企业的产权制度。目前，中国保险业形成了以大型国有控股企业为主导，多家股份制企业、中外合资企业和外国企业分企业并存的竞争格局，中国保险业的产权也演变为公有产权、私有产权并存的混合产权形式。移动保险企业中包含政府部门、保险企业管理层、移动保险开发商、移动保险合作方、保险企业员工及人、投保人和被保险人五个层次的委托关系，多层委托导致各级委托人信息不对称，可能出现内部人控制、逆向选择、道德风险，产生操作风险。

4.技术环境。移动保险的技术环境主要指移动技术、移动保险操作系统、移动终端的研究成果以及国家保险信息化投入情况。近几年学者纷纷开展移动保险主要技术（包括GPRS、WAP、J2ME、SMS等）的研究并指出各種技术的优劣势及改进方法，但是随着技术发展，技术风险也不断发展。值得注意的是，2011年中国保险行业信息化投入为65.5亿元，较2010年同比增长12%，IT投入进入持续增长期，有利减少移动保险的操作风险。

5.法律环境。移动保险相关法律的欠缺导致操作风险的产生。我国对保险企业操作风险的研究、立法起步较慢，至今尚未有移动保险的操作风险及其管理的立法。这样的情况下，解决移动保险带来纷争只能依据保险法，但是移动保险相关资料电子化、通过移动网络传递，保单的生效条件、投保人如实告知义务和保险说明义务的履行形式与传统保险应有所不同，保险法没有做出与移动保险相适应的修改，保险合同双方都面临法律风险。

二、移动保险操作风险的特征

移动保险的操作风险与传统保险具有共性：内生性、非盈利性、普遍性、可控性。同时，移动保险由于终端的移动性和接入网络的虚拟性，其操作风险相对传统保险操作风险有以下突出特征：

1.成长性。移动保险操作风险的成长性源于移动技术的发展、应用程序的开发。

移动技术的发展可能消除移动保险原有的操作风险，同时也催生新的操作风险。移动保险正处于不断变化阶段，从手机保险网站、短信投保、移动理赔到自助保险卡，每一種形式的移动保险操作风险都具有不同的表现形式。随着移动技术进步、移动保险形式更新，移动保险操作风险的表现形式、特征会不断变化，具有成长性。

2.隐蔽性。移动保险操作风险的隐蔽性源于其运用网络的虚拟性与保险信息的电子化。

移动保险的投保单、理赔资料等数据在移动终端中保存，通过无线网络传输，这些电子信息不为人们所见，泄露、丢失、被窃取或修改都不易被发现。另外，人为破坏造成的机器硬件和手机终端表面损坏很小，风险产生后较少留下破坏痕迹或者很容易消除表面痕迹，移动保险操作风险不易被发现。

3.高科技性。移动保险的部分操作风险具有高科技性，这是由其运用平台的高科技性决定的。

移动保险风险的有些制造者具有较高的科技知识背景与掌握较高的科技手段。黑客是其典型代表，他们利用自身的计算机技术知识和娴熟的操作技能，搜寻移动网络、移动终端系统的漏洞，伺机攻入移动保险的核心程序，通过更改程序、向计算机系统输入非法指令等手法，盗取、伪造投保人信息和理赔资料，给移动保险企业带来风险。

4.高传导性。移动保险终端的可移动特点以及其接入的网络虚拟的特点，使得移动保险操作风险可在地区间甚至全球的高速传导。移动终端可移动、终端的持有人可移动、网络信息的高速流动，三层流动决定了移动保险相关人员的失误行为、犯罪行为带来的后果可以高速传导。

移动保险操作风险隐蔽、高科技、高传导的特点决定了其后果的严重性。尽管移动保险风险复杂多变，但由于它是由于人员、系统、业务操作流程、外部因素经内部因素传导引起的，具有内生特点，仍然具有可控性，我们可以通过一定方法进行风险控制。

三、移动保险操作风险分析

（一）风险分类

为了对移动保险的操作风险有清晰的认识，奠定操作风险度量的基础，本节在借鉴巴塞尔协议与传统保险中操作风险分类的基础上，对移动保险的操作风险进行分类。如表1。本分类只是对现有移动保险操作风险进行初步探讨，随着移动保险的创新，其操作风险的表现形式和具体描述需不断改进。

（二）风险分析——以手机投保为例

目前国内具有代表性的手机保险网站有中国平安、泰康人寿与人保财险的手机网。三家公司手机投保流程相似，如图1所示，值得注意的有两个问题：

一是保险条款阅读仅作为选择环节，免责条款需要用电脑登录网站才能阅读，投保人在利用手机投保时只能获知保险保障金额与保障范围。这会导致两个方面的问题：投保人在不便于上网查看详细条款的情况下，出于紧急需要直接投保，后期容易出现理赔纠纷；保险人设置责任免除条款阅读的环节形同虚设，依据保险法该免责条款无效，保险企业面临法律诉讼的风险。

二是被保险人的名字、身份证号码对应的名字、信用卡持卡人姓名不一致仍然可以进行投保，产生利用他人的身份证号码没有经过被保险人同意就为非法定可为其投保人投保，进行骗保的可能。虽然保险企业可以以投保人没有充分证据证明经被保险人同意为由拒赔，但是这样就无法保护误填信息的保险消费者。

相关数据表明，外部欺诈和执行、交割以及流程管理的风险事件占我国保险企业操作风险损失事件的比例超过60%，手机投保流程导致的操作风险必须引起重视。

五、移动保险操作风险管理对策建议

（一）强化风险评估

1.运用模糊影响图分析移动保险风险要素关联情况。移动保险的操作风险产生的环境复杂，通过关联因素高速传导，一系列的风险事故或者多个风险事故组合到一起就会造成非常严重的后果，应对其相互关联的风险因素一起评估。模糊影响图是处理移动保险相关专家给出不够精确、完整的模糊信息的有效工具。

2.融合专家意见，决定移动保险操作风险因素等级。移动保险操作风险不断变化、隐蔽、高科技的特征，使得操作风险数据获取极其困难，无法定量分析损失发生的频率以及决定风险因素等级。因此，融合专家评价评估出风险因素等级就显得非常必要。通过征集与移动网络密切相关方面专家的意见，进行群决策，避免由于问题的模糊性、复杂性和专家对问题认识的局限性从而导致评估信息的不确定。

通过运用模糊影响图分析移动保险风险要素关联情况、融合专家意见决定移动保险操作风险因素等级，移动保险企业可以决定各类损失是否在自己的承受范围内，采取对应的措施。

（二）改善风险源

1.建立重视操作风险理念的企业文化氛围。认知环境是操作风险生长的土壤，移动保险的操作风险管理应该从建立重视操作风险管理的企业文化氛围开始。移动保险企业从三个角度着手改善企业文化氛围：第一，从保险企业的董事会到基层机构都明确各部门的风险管理目标，并且建立操作风险管理激励机制；第二，通过日常规章制度规范操作，同时，适时地组织学习应对恶劣天气、系统问题、意外事故等问题的技巧，从实践中树立重视操作风险管理的企业风险文化氛围；第三，吸引、招纳具备风险管理知识与经验的人才，让他们推动重视操作风险管理的企业风险文化氛围的建立。

2.完善移动保险业务操作流程。业务流程的不完善是移动保险操作风险产生的重要原因，保险企业加强与IT企业合作完善业务流程，是减少操作风险的重要措施。手机保险要进行推广得从这些方面完善流程：把保险条款中可能引起争议的条款做突出处理，对专业术语作详细说明；把免责条款的阅读作为投保的必要环节；减少数据传输可人为操作环节；建立精细有效的身份认证机制确保投保人的真实身份。

3.提高移动保险的安全性能。移动保险的安全性不高是阻碍其持续发展的最重要原因，改善技术环境既得有政府重视保险信息化投入，学者们技术研究，还需要保险企业重视操作风险管理，从物理层、网络层安全和系统层三个方面进行安全防范。物理安全防范应从设备、线路、系统所处环境进行；网络层可以通过防火墙安全技术、入侵检测安全技术等防止黑客、病毒入侵，保护移动支付安全。系统层安全防范需要关注移动系统研究最新成果、及时进行系统升级、数据备份。

操作风险管理篇4

保监会对操作风险的定义为：操作风险是由于相关操作流程不完善、人为过失以及系统故障等产生损失的可能性。从广义上来说操作风险是除了信用风险以及市场风险之外的其他风险，可以由内部因素或者是外部因素产生。其中内部因素包括企业内部人员操作、业务流程或者是技术失误，外部因素包括宏观经济环境、产业政策调整或者是意外事故等。狭义上认为只有在金融机构以及相关的运营部门产生的风险才是操作风险，狭义的界定范围比较小，有一些常规隐含的风险没有考虑在内，例如员工素质水平、政策法规的变化以及外部环境。

一、操作风险的特点

（一）操作风险具有内生性

内生性是操作风险最本质的特点，其他风险或多或少都与操作风险有关联。简单的说就是操作风险主要产生于公司内部经营，是一种无法进行分散的风险，风险产生的严重程度取决于公司内部的经营状况。操作风险的内生性与以下几个方面有较大的关系：公司组织架构、公司人员构成、公司内部控制制度以及风险管理体系等。当然也有少部分操作风险发生于公司的外部经营环境，例如自然灾害的发生产生的风险以及恐怖袭击事件造成的风险。

（二）操作风险与其他风险具有关联性

上一小节阐述了操作风险具有内生性，在整个业务操作过程中，操作风险与各项金融活动紧密相连，所以与其他的风险也具有关联性。举例说明，套利活动减少了市场风险的同时，却引起相关的操作风险；运用相关技术对信用风险以及市场风险进行化解的同时可能会将这些风险转换成为操作风险，这些操作风险包括抵押、对冲等证券化的操作风险。

（三）操作风险具有复杂多样性

从业务流程来看，整个业务流程是由多方面组成的，所以操作风险包括着中间业务以及后台业务等，除此之外还包括着数据模型以及信息流通等技术问题。从范围来看，操作风险的发生与内部员工文化素质、公司治理水平等当面息息相关，组织结构波动越大，人员组成波动越大越容易产生操作风险。从形成原因来看，不但有外部的因素还有内部员工的不可控因素，这些事件很难做到事前预警以及事后的准确计量。

（四）操作风险难以度量

由于操作风险的复杂多样性，风险的度量一直是个难以解决的问题。主要是由于两方面的原因造成操作风险难以进行度量：第一是操作风险的产生来自于公司经营的方方面面，不可能每个方面都进行细分；第二是操作风险的度量受到来自环境的影响，对于环境的依赖性以及对于系统模型的有效性较高。操作风险度量操作起来较为复杂的原因还在于很多时候与人的因素是紧密联系，企业以及员工出于自身利益的考虑，选择隐瞒真实情况，选择“大事化小，小事化了”的方式来解决问题，这样在很大程度上影响了相关数据的收集，并且由于添加了复杂情况，相关数据的真实性也值得深思。

二、操作风险的危害

首先是保险销售人员出于自身利益考虑，而在销售过程中出现夸大保险收益水平或者是发生误导消费者的现象，从而导致退保现象的产生。其次是保险公司虽然表面上都有着完善的内控制度，但是由于存在着领导的指令代表一切的现象，所以规章制度的权威性便受到挑战，在这种情况下容易出现员工的怠慢情绪，领导权利的膨胀现象使得上下级出现失信的现象，不利于工作的进一步展开。最后由于信息系统的故障以及人员操作失误而导致的公司资料丢失，经营数据受损，不利于公司的日常经营。

三、保险公司操作风险管理的对策

（一）培育良好的企业文化

企业文化是在企业的发展过程中逐渐发展形成的，不是管理层个人主观意愿的产物，而是多方共同综合作用的结果，包括有企业自身的形态、企业所经营的各类产品、企业所提供的各项服务等。保险公司可以从两方面来培育良好的企业文化，第一，加强对员工的道德约束力以及行为的规范。如果员工没有风险管理的意识，再好的风险管理制度都是无用功。第二，建立自律的风险管理文化，自律是人们按照基本的行为准则来对自己的行为进行自我约束的一种行为。随着社会经济的不断发展，这些外在的环境对保险公司员工的思想观念、行为准则等方面产生了巨大的影响，出于个人利益考虑，近些年经常出现保险公司内部等不良现象，所以培育良好的企业文化，加强员工的道德约束将会减少操作风险的发生。

（二）完善相关激励机制

完善相关的激励机制指的是，保险公司将各级以及各类人员的奖罚与其自身行为进行挂钩，良好的激励机制能够带动员工的工作积极性，从而实现保险公司风险管理目标。通过设计相关激励机制，采用一定的标准和方法对保险公司操作风险进行控制及指导，能够更好的实现保险公司的风险管理目标。公司应当满足优秀员工对于职位晋升的要求，创造一切条件来为优秀员工施展自己的才华，采用合理的激励方式为他们的努力工作创造条件。除此之外，保险公司还应当不断为员工提供培训的机会以及获取新知识的机会，帮助员工提升自身专业技能水平，从而为公司创造更大的利益，合理的激励机制能够很大程度上调动员工工作的积极性，减少保险公司的操作风险。

（三）健全内部控制制度

对于保险公司操作风险产生的外部因素而言，其具有不控性，所以不可规避；对于内部因素而言，健全内部控制制度能够对其有着较好的管理。完善内部控制制度包括如下几方面：完善业务流程、人事管理以及会计制度。内部控制制度只能作为保险公司操作风险管理的一部分，内部控制是化解保险业风险的第一道关卡，对于实现风险管理有着重要的意义。内部控制是对于常规风险进行防范，包括有五个方面的要素，简而言之就是如何正确的进行工作，操作风险管理简而言之就是如何选择正确的事并且使之能够顺利完成。

（四）规范信息技术操作流程

信息系统是保险业务操作过程中必不可缺的一部分，同时也是操作风险高发的部分。对于信息系统的操作风险的管理，首先需要做的便是进行合理的分工，设立操作岗位以及监控岗位，做好岗位分离，这样相互牵制以及相互监督能够较好规避员工的操作风险。其次需要建立必要的上机操作记录，不仅有利于加强相关工作人员责任意识的培养，还有利于管理人员对信息技术监督检查工作的顺利进行。最后是对员工信息技术知识进行培训完善，保险公司日常工作的顺利进行都是基于信息系统，所以员工的技术知识及时更新能够更好的控制操作风险的产生。

参考文献

[1]卓志.风险管理理论研究[M].中国金融出版社，2006.

[2]魏巧琴.保险企业风险管理[M].上海财经大学出版社，2002.

[3]刘明彦.商业银行操作风险管理[M].中国经济出版社，2008.

操作风险管理篇5

一、操作风险概述

巴塞尔监管委员会在新资本协议中给出的定义：“操作风险是指由不完善或失灵的内部程序、人员及系统或外部事件所造成损失的风险。”

基于中国国情的操作风险定义：“由于不完善的或失效的内部程序、人员、系统或外部事件导致直接或间接损失的风险。”①

本文认为与市场风险和信用风险相比，操作风险具有自己的特点：

（1）相对可控。市场风险和信用风险主要来源于银行外部因素，非银行所能控制。操作风险主要来源于银行内部，包括银行自身的安全设施、人员配备及内部控制制度。这些因素在一定程度上可以控制。大多数的操作风险都是由于银行本身或内部人员无意失误或故意实施造成的，人为因素是造成操作风险的重要因素。

（2）难以预测。金融系统历来都不乏操作风险，但是对其研究是从20世纪90年代才开始的。由于研究是近来才开始的，所以对操作风险数据的收集就存在很大的困难，而且操作风险的产生原因又难以分析，发现操作风险需要一个过程，因此要对操作风险进行预测统计是相当困难的。

（3）范围广泛。操作风险几乎涵盖了除市场风险和信用风险之外的所有风险，商业银行所有业务类型和所有经营部门都可能出现操作风险。商业银行风险管理程序出现任何遗漏，都可能引发操作风险。

（4）不易量化。单独对操作风险进行研究是近来才开始的，对操作风险数据的收集相对困难。同时，操作风险包括各类高频低损、低频高损事件，所以想要对操作风险损失进行准确的估计在目前是做不到的。②

《巴塞尔新资本协议》将操作风险事件分为七个类型：（1）内部欺诈；（2）外部欺诈；（3）就业政策和工作场所安全性；（4）客户、产品及业务操作；（5）实体资产损坏；（6）业务中断和系统失败；（7）执行、交割及流程管理。

我国银监会在2007年的《商业银行操作风险管理指引》中对操作风险事件按风险种类划分与巴塞尔新资本协议的划分要求一致。在2008年的《商业银行操作风险监管资本计量指引》中按业务线分类划分为：公司金融、交易和销售、零售银行、商业银行、支付和清算、服务、资产管理、零售经纪、其他业务条线。

二、国内外商业银行操作风险管理比较

（一）操作风险管理意识对比

国内管理意识较强的商业银行会尽量平衡业务营销和防范风险二者的关系，但不少银行对风险管理还存在认识误区。这些误区如不区分操作风险与“操作性风险”；将操作风险视同“金融犯罪”；认为操作风险难以预测，无法计量等。发达国家银行业十分重视操作风险管理，瑞典银行业就认为风险控制与利润创造同样重要。

（二）操作风险管理框架对比

目前我国缺乏专门对商业银行操作风险进行管理的部门，管理部门职能分散。发达国家先进的商业银行则建立了较为完善的操作风险管理框架。如渣打银行对操作风险实行矩阵式控制，集团总部设审计和风险管理委员会，主要业务部门均有独立的风险控制部门。

（三）基层分支机构操作风险管理职能对比

我国商业银行操作风险案例大多发生在分支机构。这主要是由于我国银行业“委托―”关系链过长，缺乏基层操作风险管理体系、流程、回报路线、沟通机制，基层管理者权限过大。如我国商业银行基层机构负责人有贷款审批权限，但国外商业银行基层机构负责人一般没有贷款审批权。

（四）操作风险管理手段对比

我国银行业较为缺乏操作风险管理手段，对内部审计部门依赖过大。内控部门的内部监督、预警系统不科学不完善，不能提供有效的操作风险管理战略决策信息。目前我国商业银行操作风险管理仍处于注重定性分析的初级阶段。从国外先进的管理经验来看，商业银行操作风险管理更多的依靠外部审计部门，更多的采用电子手段，运用定性和定量相结合的方法。如荷兰商业银行已经设置了一整套风险指标系统，共设置了60个指标项目，提供相应的“红绿灯”警戒线系统，设置风险容忍度，向管理层定期提交概要报告。

（五）信息披露对比

国外银行一般都会向外部详尽披露各种信息，积极争取外部市场及公众的监督。我国商业银行往往不会主动披露相关信息，信息披露制度还不够公开透明，给引入外部监督和研究分析造成了极大的不便。

三、加强操作风险管理的建议措施

（一）加强操作风险管理的意识和观念

金融机构在追求利润的过程中，风险的控制极为重要，尽管我国在市场化进程中商业银行的风险管理也在与时俱进，但是对于操作风险管理的认识和研究还刚刚起步，全国银行业对于操作风险管理的水平参差不齐。对此，商业银行应统一规划，逐步形成比较正确的操作风险管理意识。

（二）健全操作风险管理组织架构

完善的操作风险管理组织架构是实施操作风险管理的重要基础。由于各商业银行在操作风险管理方面起步较晚，没有形成统一完善的操作风险管理组织架构和体系。各商业银行应结合各自实际情况，尽快完善自身的操作风险管理体系。成立专门的操作风险管理部门和团队；明确各级操作风险管理机构的职责并严格执行；确保内部审计的权威性和独立性；加强操作风险管理部门与各职能部门的沟通协调；适时引入外部审计。

（三）完善操作风险管理流程

正确的观念和完善的操作风险管理组织架构为操作风险管理提供了前提保障，而操作风险管理的实行则是预防风险减少损失的最为关键的环节。商业银行应建立操作风险预警机制；加强操作风险监测；规范风险报告制度。

（四）重视操作风险量化管理

继续加强对操作风险管理的研究。建立操作风险数据库；形成成熟的操作风险量化模型。

（五）提高操作风险管理技术水平

加强管理信息系统建设，深度挖掘和充分使用内部信息资源，建立操作风险管理信息系统。为操作风险数据库的建立提供先进的技术支持，为测量风险、分配资本和设计模型提供基础。

注释：

①李懋.巴塞尔新资本协议下中国商业银行操作风险管理研究[J].

②韩华婷.商业银行操作风险管理：基于行为金融学视角[J].

参考文献：

[1]卡罗尔・亚历山大.商业银行操作风险[M].中国金融出版社，2005.

[2]张吉光.商业银行操作风险识别与管理[M].中国人民大学出版社，2005.

[3]刘明彦.商业银行操作风险管理[M].中国经济出版社，2008.

[4]温红梅.商业银行操作风险度量与控制[M].中国财政经济出版社，2008.

操作风险管理篇6

第一条为加强商业银行的操作风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他有关法律法规，制定本指引。

第二条在中华人民共和国境内设立的中资商业银行、外商独资银行和中外合资银行适用本指引。

第三条本指引所称操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险。

第四条中国银行业监督管理委员会（以下简称银监会）依法对商业银行的操作风险管理实施监督检查，评价商业银行操作风险管理的有效性。

第二章操作风险管理

第五条商业银行应当按照本指引要求，建立与本行的业务性质、规模和复杂程度相适应的操作风险管理体系，有效地识别、评估、监测和控制/缓释操作风险。操作风险管理体系的具体形式不要求统一，但至少应包括以下基本要素：

（一）董事会的监督控制；

（二）高级管理层的职责；

（三）适当的组织架构；

（四）操作风险管理政策、方法和程序；

（五）计提操作风险所需资本的规定。

第六条商业银行董事会应将操作风险作为商业银行面对的一项主要风险，并承担监控操作风险管理有效性的最终责任。主要职责包括：

（一）制定与本行战略目标相一致且适用于全行的操作风险管理战略和总体政策；

（二）通过审批及检查高级管理层有关操作风险的职责、权限及报告制度，确保全行的操作风险管理决策体系的有效性，并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内；

（三）定期审阅高级管理层提交的操作风险报告，充分了解本行操作风险管理的总体情况、高级管理层处理重大操作风险事件的有效性以及监控和评价日常操作风险管理的有效性；

（四）确保高级管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险；

（五）确保本行操作风险管理体系接受内审部门的有效审查与监督；

（六）制定适当的奖惩制度，在全行范围有效地推动操作风险管理体系地建设。

第七条商业银行的高级管理层负责执行董事会批准的操作风险管理战略、总体政策及体系。主要职责包括：

（一）在操作风险的日常管理方面，对董事会负最终责任；

（二）根据董事会制定的操作风险管理战略及总体政策，负责制定、定期审查和监督执行操作风险管理的政策、程序和具体的操作规程，并定期向董事会提交操作风险总体情况的报告；

（三）全面掌握本行操作风险管理的总体状况，特别是各项重大的操作风险事件或项目；

（四）明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容，督促各部门切实履行操作风险管理职责，以确保操作风险管理体系的正常运行；

（五）为操作风险管理配备适当的资源，包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需的权限等；

（六）及时对操作风险管理体系进行检查和修订，以便有效地应对内部程序、产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化所造成的操作风险损失事件。

第八条商业银行应指定部门专门负责全行操作风险管理体系的建立和实施。该部门与其他部门应保持独立，确保全行范围内操作风险管理的一致性和有效性。主要职责包括：

（一）拟定本行操作风险管理政策、程序和具体的操作规程，提交高级管理层和董事会审批；

（二）协助其他部门识别、评估、监测、控制及缓释操作风险；

（三）建立并组织实施操作风险识别、评估、缓释（包括内部控制措施）和监测方法以及全行的操作风险报告程序；

（四）建立适用全行的操作风险基本控制标准，并指导和协调全行范围内的操作风险管理；

（五）为各部门提供操作风险管理方面的培训，协助各部门提高操作风险管理水平、履行操作风险管理的各项职责；

（六）定期检查并分析业务部门和其他部门操作风险的管理情况；

（七）定期向高级管理层提交操作风险报告；

（八）确保操作风险制度和措施得到遵守。

第九条商业银行相关部门对操作风险的管理情况负直接责任。主要职责包括：

（一）指定专人负责操作风险管理，其中包括遵守操作风险管理的政策、程序和具体的操作规程；

（二）根据本行统一的操作风险管理评估方法，识别、评估本部门的操作风险，并建立持续、有效的操作风险监测、控制/缓释及报告程序，并组织实施；

（三）在制定本部门业务流程和相关业务政策时，充分考虑操作风险管理和内部控制的要求，应保证各级操作风险管理人员参与各项重要的程序、控制措施和政策的审批，以确保与操作风险管理总体政策的一致性；

（四）监测关键风险指标，定期向负责操作风险管理的部门或牵头部门通报本部门操作风险管理的总体状况，并及时通报重大操作风险事件。

第十条商业银行法律、合规、信息科技、安全保卫、人力资源等部门在管理好本部门操作风险的同时，应在涉及其职责分工及专业特长的范围内为其他部门管理操作风险提供相关资源和支持。

第十一条商业银行的内审部门不直接负责或参与其他部门的操作风险管理，但应定期检查评估本行的操作风险管理体系运作情况，监督操作风险管理政策的执行情况，对新出台的操作风险管理政策、程序和具体的操作规程进行独立评估，并向董事会报告操作风险管理体系运行效果的评估情况。

鼓励业务复杂程度较高和规模较大的商业银行委托社会中介机构对其操作风险管理体系定期进行审计和评价。

第十二条商业银行应当制定适用于全行的操作风险管理政策。操作风险管理政策应当与银行的业务性质、规模、复杂程度和风险特征相适应。主要内容包括：

（一）操作风险的定义；

（二）适当的操作风险管理组织架构、权限和责任；

（三）操作风险的识别、评估、监测和控制/缓释程序；

（四）操作风险报告程序，其中包括报告的责任、路径、频率，以及对各部门的其他具体要求；

（五）应针对现有的和新推出的重要产品、业务活动、业务程序、信息科技系统、人员管理、外部因素及其变动，及时评估操作风险的各项要求。

第十三条商业银行应当选择适当的方法对操作风险进行管理。

具体的方法可包括：评估操作风险和内部控制、损失事件的报告和数据收集、关键风险指标的监测、新产品和新业务的风险评估、内部控制的测试和审查以及操作风险的报告。

第十四条业务复杂及规模较大的商业银行，应采用更加先进的风险管理方法，如使用量化方法对各部门的操作风险进行评估，收集操作风险损失数据，并根据各业务线操作风险的特点有针对性地进行管理。

第十五条商业银行应当制定有效的程序，定期监测并报告操作风险状况和重大损失情况。应针对潜在损失不断增大的风险，建立早期的操作风险预警机制，以便及时采取措施控制、降低风险，降低损失事件的发生频率及损失程度。

第十六条重大操作风险事件应当根据本行操作风险管理政策的规定及时向董事会、高级管理层和相关管理人员报告。

第十七条商业银行应当将加强内部控制作为操作风险管理的有效手段，与此相关的内部措施至少应当包括：

（一）部门之间具有明确的职责分工以及相关职能的适当分离，以避免潜在的利益冲突；

（二）密切监测遵守指定风险限额或权限的情况；

（三）对接触和使用银行资产的记录进行安全监控；

（四）员工具有与其从事业务相适应的业务能力并接受相关培训；

（五）识别与合理预期收益不符及存在隐患的业务或产品；

（六）定期对交易和账户进行复核和对账；

（七）主管及关键岗位轮岗轮调、强制性休假制度和离岗审计制度；

（八）重要岗位或敏感环节员工八小时内外行为规范；

（九）建立基层员工署名揭发违法违规问题的激励和保护制度；

（十）查案、破案与处分适时、到位的双重考核制度；

（十一）案件查处和相应的信息披露制度；

（十二）对基层操作风险管控奖惩兼顾的激励约束机制。

第十八条为有效地识别、评估、监测、控制和报告操作风险，商业银行应当建立并逐步完善操作风险管理信息系统。管理信息系统至少应当记录和存储与操作风险损失相关的数据和操作风险事件信息，支持操作风险和控制措施的自我评估，监测关键风险指标，并可提供操作风险报告的有关内容。

第十九条商业银行应当制定与其业务规模和复杂性相适应的应急和业务连续方案，建立恢复服务和保证业务连续运行的备用机制，并应当定期检查、测试其灾难恢复和业务连续机制，确保在出现灾难和业务严重中断时这些方案和机制的正常执行。

第二十条商业银行应当制定与外包业务有关的风险管理政策，确保业务外包有严谨的合同和服务协议、各方的责任义务规定明确。

第二十一条商业银行可购买保险以及与第三方签订合同，并将其作为缓释操作风险的一种方法，但不应因此忽视控制措施的重要作用。

购买保险等方式缓释操作风险的商业银行，应当制定相关的书面政策和程序。

第二十二条商业银行应当按照银监会关于商业银行资本充足率管理的要求，为所承担的操作风险提取充足的资本。

第三章操作风险监管

第二十三条商业银行的操作风险管理政策和程序应报银监会备案。商业银行应按照规定向银监会或其派出机构报送与操作风险有关的报告。委托社会中介机构对其操作风险管理体系进行审计的，还应提交外部审计报告。

第二十四条商业银行应及时向银监会或其派出机构报告下列重大操作风险事件：

（一）抢劫商业银行或运钞车、盗窃银行业金融机构现金30万元以上的案件，诈骗商业银行或其他涉案金额1000万元以上的案件；

（二）造成商业银行重要数据、账册、重要空白凭证严重损毁、丢失，造成在涉及两个或两个以上省（自治区、直辖市）范围内中断业务3小时以上，在涉及一个省（自治区、直辖市）范围内中断业务6小时以上，严重影响正常工作开展的事件；

（三）盗窃、出卖、泄漏或丢失资料，可能影响金融稳定，造成经济秩序混乱的事件；

（四）高管人员严重违规；

（五）发生不可抗力导致严重损失，造成直接经济损失1000万元以上的事故、自然灾害；

（六）其他涉及损失金额可能超过商业银行资本净额1‰的操作风险事件；

操作风险管理篇7

在新巴塞尔资本协议征求意见阶段，操作风险曾被定义为“由于不完善或有问题的内部程序、人员、系统以及外部事件给银行造成直接或间接损失的风险”。这个定义意味着操作风险可能引发直接损失和间接损失。直接损失比较容易理解，是指某一操作风险事件发生后，按照银行适用的法律、法规反映在银行法定财务报表的损失，损失包括所有与该操作风险事件相联系的成本支出，但不包括为避免后续操作风险损失实施的相关成本支出。但对于如何界定操作风险引发的间接损失一直存在争议，有观点认为是其他类型的风险发生引发操作风险事件发生，或者操作风险事件发生后引发其他类型风险发生而造成的财务损失，但难以把握的是，间接损失数据是应当归入操作风险损失，还是归入其他类型风险的损失。后来，在新资本协议定稿之际，操作风险被定义为“由于不完善或有问题的内部程序、人员、系统以及外部事件给银行造成损失的风险”，事实上将间接损失排除在外。

参考新资本协议的定义,我国商业银行管理操作风险现阶段应遵循以下四项基本的原则：

（1）全面管理。未来我国商业银行的总部和国内外分支机构都必须建立完善的操作风险管理制度，控制操作风险损失。而操作风险管理具有高度分散化的特征，因此操作风险管理制度的控制力应该渗透到银行各项业务过程和各个操作环节，覆盖所有的部门、分支机构和岗位，并由全体员工执行。

（2）政策及时调整。由于目前我国银行业监管机构尚未对商业银行操作风险管理制订监管规则，我国商业银行经营战略、方针、政策也都处于变化当中，操作风险管理的政策制度应随着外部和内部环境的变化及时调整。

（3）成本与收益匹配。管理操作风险要付出一定的成本，商业银行的管理措施必须与具体业务的规模、复杂程度和特点相适应，通过付出合理的成本将操作风险损失控制在银行经营所能承受的范围内，不切实际地追求零操作风险并不可取。

（4）严格问责。目前我国商业银行正处于操作风险发生频率较高的阶段，应坚持严格问责的原则。银行内部操作流程的每一个环节都必须有明确的责任人，并严格按规定对违反制度的直接责任人和负有领导责任的管理人员进行问责。

操作风险的分类

新资本协议将操作风险损失事件分为内部欺诈，外部欺诈，就业政策和工作场所安全性，客户、产品及业务操作，实体资产损坏，业务中断和系统失败，执行、交割及流程管理七类，每一类还有相应的子类。但如何根据新协议对我国银行业面临的操作风险进行有效分类是实践中的一个难题。不少国内商业银行发生的操作风险事件带有典型的“中国特色”。因此，在新协议的指引下，结合我国商业银行的实际情况，对操作风险进行分类或许是当前一个比较合理的选择。

按照新协议中规定的操作风险的四类诱因，我国商业银行的操作风险类别大体可以分为：

（1）由于银行业务流程、制度管理存在不当或偏差而没有及时完善，导致操作或执行困难而产生的操作风险。比如，内部或对外流程不适当；责任分工不明确；文件残缺；合同标准文本条款残缺；合同标准文本条款对银行不利；文件记录内容不全面；合同标准文本中空白条款填写不完善或不正确；风险管理报告不充分；财务报表披露不充分；新业务或新产品已经在前台办理，相关的文件没有及时传达到前台；对前台相关业务的新规定没有及时传达到员工；对业务流程要求执行不力等。

（2）由于人员因素导致的操作风险。这类操作风险是当前我国银行业面临的主要操作风险。人员风险源于主观和客观因素，前者为银行员工不遵守职业道德，违章、违规或违法操作，单独或参与骗取、盗用银行资产和客户资产，或工作疏忽，其行为给银行造成直接经济损失；后者为员工的自身能力与岗位对人员素质要求不符给银行造成的直接经济损失。

（3）由于IT技术或技术应用环境失灵造成系统服务中断或造成错误的服务，或由于系统数据风险影响业务的正常运行而产生的操作风险。如科技投资风险；系统开发和执行风险；系统功能问题或系统失效风险；系统安全风险；法律或公共责任风险；风险管理模型风险等。

（4）来自外部的主观或客观因素产生的操作风险。如交易对手通过诉诸法律而使交易无效（并非主观故意或过失违反法律、法规、规章和规定）；内部的管理规章制度与外部法律、法规或监管要求发生冲突；反洗钱活动不力；业务操作违规；对客户的隐私和数据保护不力；外部采购或供应商风险；外部开发过程中所面临的第三方中断必要资源的风险；火灾、洪水、其他自然灾害等。

操作风险管理组织架构设计

随着我国商业银行公司治理机制的完善，未来完整的操作风险管理组织架构应由董事会、高级管理层、商业银行总部履行操作风险管理的牵头部门、总部其他部门、国内外各级分支机构等构成。

在这个管理层级体系中，董事会应是我国商业银行操作风险管理的最高决策机构，负责制定操作风险管理的发展蓝图和体系框架，审议并批准操作风险基本管理制度。评判操作风险状况，对高级管理层、职能部门、各级机构履行操作风险管理职责情况进行定期评估，并提出改进要求，确保整个银行机构能够识别、衡量、监督及控制操作风险。确定整个银行操作风险可以接受的水平，监控整体操作风险状况是否符合本行的操作风险偏好，对特殊情况进行审议，必要时向董事会报告特殊情况等。

高级管理层负责执行董事会批准的操作风险管理战略、管理政策、基本管理制度，评估操作风险管理制度的有效性，监控相关管理制度的具体实施情况，识别相关管理制度的不足和缺陷，决定为完善操作风险管理而采取的重要措施或行动方案。

商业银行总部是履行操作风险管理的牵头部门，负责拟订有关加强操作风险管理的基本制度和办法，以及操作风险识别、评估、监测、控制、缓释、计量等方面的具体管理制度和报告制度，并向高级管理层报告有关情况；就完善操作风险管理及拟采取改进措施和行动方案提出意见和建议；牵头协调、监控、督导总部其他部门及各一级分行开展操作风险管理工作和执行高级管理层的决定，并向高级管理层报告有关情况；负责定期向高级管理层报告操作风险状况及其占用的经济资本状况等。

商业银行总部其他部门的主要职责包括：结合本部门实际情况负责制定本部门的操作风险管理制度，报备牵头管理的部门。负责建立本部门操作风险控制程序，贯彻操作风险管理的各项要求。积极掌握和运用操作风险管理技术、模型和经验，识别本部门存在于产品、业务、流程方面及其他方面的操作风险，并确保在推出新的产品、业务、流程及IT系统前，对其内在操作风险做出充分的评估，采取适当措施防范和化解操作风险。对本部门操作风险控制情况进行检查、监督，对主要业务范围内的操作风险暴露及操作风险事件进行持续监控，完成本部门操作风险状况的汇总、归集和分析工作，按时报送牵头部门。

国内外各级分支机构负责本级机构的操作风险管理，其主要职责包括：实施辖内操作风险信息的汇集、操作风险的监控和管理工作，并按相关要求向上级机构报告本级机构操作风险状况，同时向本级机构负责人汇报。对辖内各部门及下级机构的操作风险管理情况进行政策执行督导和检查，汇集辖内操作风险信息状况。通过自我评估等方法识别对实现工作目标有负面影响的各类内在因素（如本机构业务的性质和复杂程度、人员的素质、组织的变化及人员流失率等）及外在因素（如经济状况的波动、产业技术的改变、政策形势的变化等），制订或完善相应的操作风险管理制度，采取适当措施防范和化解操作风险。

我国银行业操作风险管理运行机制

未来我国商业银行操作风险管理的运行机制应该由识别和确定、量化和评估、缓释、监控、规避、报告等环节组成。

从操作风险的识别来看，首先要通过确定不同部门、不同分支机构、不同业务的操作风险事件来识别操作风险。由于操作风险表现程度上的差异，在确定操作风险事件时应根据对操作风险的历史经验、未来操作风险预测、潜在损失金额、潜在损失频率等因素，将操作风险事件进行一定的分类，如一类操作风险事件、二类操作风险事件和三类操作风险事件等。

操作风险的度量是现阶段我国商业银行最难以做到的。根据国际活跃银行的经验，一般是通过量化方法，归集和分析银行在不同部门、不同分支机构、不同业务的各类操作风险，全面衡量银行总体操作风险承受能力。随着战略投资者进入我国商业银行，我国的商业银行应借助战略投资者的风险管理技术，引进关键风险指标、战略风险评估、自我评估问卷、操作损失分析等方法，建立完整的操作风险度量体系。

操作风险缓释实际是银行操作风险的“出口”。我国的商业银行应根据操作风险管理的成本效益和预期损失相匹配原则，以及各类风险缓释措施在应用中的可操作性，针对不同类型操作风险事件可以考虑采取接受风险、减少业务量、实施外包、购买保险、调整流程、计提准备金、加强人员培训等不同的操作风险缓释措施。

操作风险的监控是现阶段我国商业银行管理操作风险的另外一个难点。操作风险事件涉及的领域非常宽泛，没有IT手段的强力支持，有效地监控操作风险几乎是一句空话。我国的商业银行应充分利用IT手段建立操作风险的监控体系，操作风险的信息应纳入整个银行企业级数据仓库项目中。在风险缓释措施难以奏效，风险监控手段不到位的情况下，如果业务产生的盈利无法覆盖可能带来的损失，应果断限制开展具有高操作风险的业务。

现阶段我国的商业银行应考虑建立操作风险管理的报告制度。完整的操作风险报告制度应涵盖报告内容、报告人员、报告频率等要素。操作风险报告的内容应包括操作风险类型，所有因操作风险事件产生的相关数据和损失原因，关键风险指标KRI、战略风险评估结果、自我评估问卷结果、操作损失分析结果，对监管机构、董事会稽核委员会、内外部审计机构等在检查中发现问题进行整改的结果等；无论是商业银行总部的职能部门，还是国内外各级分支机构都应该设立本级机构操作风险的报告人，由报告人负责报告辖内的操作风险状况；应区分报告的内容，确定操作风险报告的频率，有临时性报告、月度报告、季度报告等，对于重大操作风险事故或案件，应采取特事特报的方式，不设时限规定，使董事会和高级管理层能在第一时间获得准确信息。

我国银行业操作风险管理的环境建设

现阶段我国商业银行内部应特别注意操作风险管理的环境建设。

首先，银行董事会和高级管理层必须对操作风险给予足够的重视，营造由全体员工共同参与的操作风险管理环境，建立科学、有效的激励约束机制，提高员工的操作风险管理意识和职业道德素质。

其次，根据银行企业级数据仓库项目建设的总体规划，对计划实施的流程进行操作风险识别，同时建立及时归集操作风险损失的数据采集系统和数据库，提升操作风险管理水平。现阶段就应着手收集操作风险损失数据，实现连续、实时地监控和评估整个银行总体操作风险，确保总体操作风险水平在董事会确定的可以接受的范围内，同时使董事会和高级管理层能根据操作风险数据对操作风险状况进行有效评估。

第三，银行内部应加强对操作风险管理手段和方法的培训，保证各级员工获得操作风险管理方面足够的知识和技能。尤其是对新入行员工，应在上岗前将岗位的操作职责及操作技能作为培训的必要内容。

操作风险管理篇8

一是全球衍生产品研究小组的定义，他们认为“操作风险是由于控制和系统的不完善、人为的错误或管理不当所导致的损失的风险。”这一定义从人员、系统和操作流程三个方面对操作风险进行了界定。

二是《新巴塞尔资本协议》（2003）给出的定义：“操作风险是指由于不正确的内部操作流程、人员、系统或外部事件所导致的直接或间接损失的风险。”这一定义侧重于从操作风险的成因包括法律方面的风险，但将策略风险和声誉风险排除在外。

除了以上两个定义之外，世界著名的瑞士信贷集团也给出了他们有关操作风险的定义：“操作风险是指由于以不当或不足的方式操作业务而对业务带来负面影响的风险，操作风险也可能是由外部因素造成的。

瑞士信贷集团认为操作风险可具体表现为经营混乱、失控、出差错、不当行为或外部事件，但都不外乎组织、政策/过程、技术、人员和外部5大类。①其中组织风险源于管理层的更替、项目组织管理，企业文化和沟通、责任以及持续经营计划；政策和过程风险源于操作过程中较为薄弱的环节，例如支付、结算、操作违反政策规定和产品方面的失败；技术风险源于计算机系统软件或硬件方面的不足，通信技术、信息技术安全方面的漏洞等；人员风险源于不适当的雇佣关系引发的利益冲突以及其他内部欺诈行为；外部风险源于外部欺诈或法律冲突。

这5个分类只是对操作风险最初步的分析辨别，很显然它们还需要进一步的细化，进行次级分类。例如组织风险可以细化为治理结构、文化、沟通、项目管理、持续经营等几个方面；技术风险可以细化为通信、软硬件和信息技术安全三个方面等等。

操作风险的性质决定了操作风险与其他风险相比有着较为明显的特点：

（1）市场风险和信用风险不同，操作风险的风险因素存在于银行的业务操作过程之中，且引起操作风险的因素与之导致的损失之间并不存在清晰的可以用数量关系衡量的联系。因此对于操作风险的管理需要整个银行的业务人员和部门共同努力防范。

（2）越是业务规模大、交易量大，结构调整迅速的领域，越是容易受到操作风险的冲击。

（3）由于前面提到的，可以观测识别的操作风险因素与其可能导致的损失的规模和频率之间不存在直接的数量关系，因此银行的风险管理部门很难确定什么因素对操作风险的管理最为重要。

（4）操作风险几乎覆盖银行经营管理的所有方面，既包括那些发生频率高、造成经济损失相对较小的日常业务处理中的小错误，也包括那些较少发生但能够导致较大损失的自然灾害和大规模舞弊行为等。因此试图用一种方法来测量和管理操作风险的所有领域几乎是不可能的。

2巴塞尔新资本协议对管理操作风险的建议

对于如此难以驾驭的操作风险，巴塞尔委员会在总结国际金融经验的基础上将商业银行对操作风险的管理工作归纳为四个部分：

①建立适当的风险管理环境；

②风险管理：识别、衡量、监督和控制；

③监管者的作用；

④信息披露的作用。

巴塞尔委员会认为，对银行来说首先应当建立适当的风险管理环境，要求董事会了解银行操作风险的主要方面，并对银行的操作风险战略进行定期审查。银行的操作风险战略应当能够反映银行的风险容忍程度及其对各种风险种类特征的理解。巴塞尔委员会同时认为银行组织内部的信息流程在建立和维持一个有效的操作风险管理框架方面能够发挥重要的作用。

其次银行应当建立识别、衡量、监督与控制操作风险的管理系统，找出衡量操作风险的有效方法和持续对操作风险敞口和重大损失事件进行监督。在这些措施的基础上，监管者应当对银行经营中与操作风险相关的战略、政策、程序和方法直接或间接地进行定期的独立评价，并保证银行具备一个有效的报告机制以便及时了解银行在相关方面的新进展。

此外，信息披露在操作风险管理和监督过程中也应当发挥重要作用。巴塞尔委员会要求银行应当向公众进行充分的信息披露，使市场参与者可以对银行的操作风险敞口和操作风险管理质量进行比较评估。

3操作风险管理的几个阶段

对任何风险的管理都应当是一个有序的管理过程，银行对操作风险的管理也不例外。通常来说，对操作风险的管理可以划分为四个阶段：识别、量化和追踪、计量以及整合管理。

3.1识别阶段

这一阶段的任务是进行风险识别，应当使用许多人力资源进行数据的收集，在根据整理后的数据划分出风险的优先次序。在这一阶段，需要银行的整个组织机构都有不同层次的参与，建立起操作风险管理的基础。

3.2量化和追踪阶段

这一阶段要求执行操作风险管理任务的团队不断试验以找出量化风险的方法，进行风险的跟踪观测；建立能够将识别阶段的数据收集和整理工作自动化的电子系统；并建立系统风险的汇报传达机制。

3．3计量阶段

这一阶段需要对在量化和追踪阶段是探索的操作风险量化模型和方法进行继续的开发和提升，建立相应的操作风险数据库并加大对相关技术的开发应用。该阶段的大部分工作应当由操作风险管理团队来完成，减少人力资源的投入。

3.4整合管理阶段

这一阶段应当建立起管理操作风险的软件程序，所需的技术和人力资源较前面几个阶段有所减少；该阶段需要做到能够将敞口性操作风险数据整合到管理过程之中，并能够运用保险等类似的避险方法对敞口性操作风险进行管理。

4操作风险的量化管理

从上面提到的操作风险管理的阶段分析可以看出，从操作风险管理的第二个阶段开始，风险的量化就作为整个管理过程的重要组成部分出现，是整个操作风险管理的决定性环节。对于这一关键环节，国外的商业银行在过去的数十年间做出过不少有益的尝试，除此之外，巴塞尔新资本协议当中对银行操作风险的量化方法也给出了较为明确的建议。

4.1国外商业银行操作风险的度量方法

首先是由上至下法。这种方法是根据传统的假定（资产或非利息收入越多，操作风险越大）以资产和非利息收入等财务指标为基础分派操作风险资本金。但是大多数国外银行并不采用这种方法管理操作风险，原因是该方法不能反映出操作风险管理的真实水平。在这种方法下，即使某种业务流程已经拥有很高的操作风险管理水平，但只要他的资产或者是非利息收入的财务指标没有降低，分配给这项业务的操作风险资本金就不会被减少，因而不利于激励管理人员加强操作风险管理。

其次是由下至上法。这种方法目前在国外有较多的研究和采用。很多管理者认为随着统计方法和信息技术的发展，操作风险是可以像其他风险那样被较为准确的度量的。

在这种方法之下，整个银行的业务被分割成若干个类别，然后对每个类别的业务的操作风险进行分别度量之后再加以汇总。这种方法可以直接测量各个业务类别的分线情况，从而能够促使操作风险管理水平的提高。

在一般情况下，银行根据统计度量法的结果向各个业务部门分派风险资本金，利用情景模拟分析法得到的结果进行资本金的补充，相互结合以提高操作风险的管理水平。另外，对于一些发生几率很低但可能造成巨大损失的事件，很多国外银行试图将极值理论运用到统计度量法之中来提高相关损失值的置信度。

4.2新巴塞尔资本协议中的操作风险度量方法

巴塞尔新资本协议不仅对如何管理操作风险给出了许多有用的建议，而且对操作风险的计量方法也进行了设计。为了适应不同金融机构的情况，巴塞尔委员会设计了三种由简到繁的操作风险计量方法：基本指标法、标准法和高级法。其中基本指标法和高级法到采用基本指标乘以固定比例的计量方法。固定比例由巴塞尔委员会研究确定。基本指标法用前三年包括经利息收入和非利息收入的平均总收入作为基本指标。而在标准法下商业银行的业务被划分为八个类别，每个类别需要配置的资本为该业务类别风险敞口与相应的固定比例的乘积。将这些乘积加和就得到总的资本要求。可以看出，基本指标法和标准法计量的资本要求不直接与数据相联系，也不能反映各个银行不同的操作风险损失特征，所计算出来的结果不能反映资本对风险的敏感度。

因此，巴塞尔委员会建议国际活跃银行采用高级法计量操作风险。

高级法包括内部法、损失分布法、极值模型法和其他一些新的操作风险计量方法。首先是内部法。内部法在标准法的基础上，对于每个业务类型的组合，银行应当根据自己的历史损失数据计算组合的期望损失值，而操作风险需配置的资本由操作风险的预期损失和非预期损失之间的关系来确定。影响预期损失与非预期损失相互的关系的因素很多，因此在绝大多数情况下，预期损失与非预期损失之间的关系并不是线性的。

5总结

可以说，在目前金融市场快速发展的背景之下，商业银行的管理者们正在不遗余力的对银行经营管理过程中所遇到的各种大大小小的风险进行跟踪监测并试图通过各种各样的数学模型建立起风险与损失之间较为明确的数量关系。对于曾经一度被认为是最难以进行量化的操作风险，现在也逐渐建立了量化的理论和模型。当然，无论是什么样的计量方法，其最终的目的就是使操作风险这一对于商业银行来说越来越重要的东西变得可测，从而有利于银行对其进行精细化的管理。

但从另一方面来说，商业银行对操作风险的管理并不能全部依赖于各种量化模型，毕竟操作风险的变幻十分难以捉摸；而且模型大都是根据历史上已发生的事件及其导致损失的数据估算得出的，无法主动的对未来的风险进行控制管理。

总之，操作风险的量化管理在商业银行进行操作风险管理起到极其重要的作用，是贯穿操作风险管理的各个阶段的不可或确的环节；但银行在实际的工作过程中并不能完全依赖于由计量模型所得出的数据，而是要根据商业银行各自所面临的风险的不同情形给操作风险以灵活的综合管理，以最优的管理水平将操作风险发生的几率降到最低，以最为合适的资本准备将操作风险所引致的损失减为最少。

注释:

①引自汉斯·乌里希·德瑞克.金融服务运营风险管理手册,P33。

参考文献：

[1]汉斯·乌里希·德瑞克.金融服务运营风险管理手册[M].中信出版社，2004:6.

[2]姜海军，惠晓峰，李雪松.巴塞尔新资本协议操作风险及其计量问题思考[J].金融与经济，2006:8.

操作风险管理篇9

【关键词】：商业银行、操作风险、巴塞尔新资本协议、操作风险管理框架

【正文】：

随着我国金融体制改革的逐步深化和商业银行股份制改造的稳步推进，金融市场竞争不断加剧，金融产品日新月异，与此同时，银行经营在必须控制和管理一些传统的风险如信用风险、市场风险、国家风险等之外，不得不面临着一类新的风险——“操作风险”的挑战。

操作风险是指由于银行内部程序、人员、系统不充足或者运行失当以及因为外部事件的冲击等导致直接或间接损失的可能性的风险。例如，1995年的巴林银行倒闭、1996年三井住友银行的巨额亏损以及2001年中国银行的开平案件，均可视为由操作风险所致。这类风险一旦发生，往往给银行带来巨大损失，严重时会直接导致银行的破产和倒闭，甚至还会对整个金融行业或国民经济运行都产生巨大的影响，因而越来越引起投资者、金融界、监管当局的重视。自然地，防范和控制操作风险也成为银行经营管理者的一个重要课题。

本文将首先介绍银行操作风险的内涵和实质，并揭示当前商业银行在操作风险管理方面的现状。之后，分析造成操作风险的主要原因，然后，在前面论述的基础上提出加强银行操作风险管理的方法和建议。

一、商业银行操作风险的实质、内涵和管理要求

巴塞尔新资本协议把操作风险定义为：操作风险是指由于银行内部程序、人员、系统不充足或者运行失当以及因为外部事件的冲击等导致直接或间接损失的可能性的风险。从操作风险的定义中不难看出操作风险包括内部程序、人员、系统三大方面的主要内容，也是认识操作风险的关键环节。

（一）全面认识操作风险的实质和内涵

认识事物是改造事物的前提和关键，对操作风险的认知程度越高，才能有效的提升操作风险管理的地位和管理的水准，有了正确的操作风险的认识，才能够上升到宏观的决策和微观的具体落实。张吉光认为：“商业银行在操作风险管理中，对操作风险的认识存在五大方面错误或偏差”。（注1）通过对操作风险管理理论的研究，笔者认为：解决操作风险管理认识上存在错误或偏差，成为提高操作风险管理水平的关键。具体而言，要全面认识和了解操作风险，需要消除以下几方面的误区。

1、操作风险不能等同于操作性风险和操作中的风险

根据巴塞尔新资本协议的定义，操作风险可以分为四类：人员因素引起的操作风险、流程因素引起的操作风险、系统因素引起的操作风险和外部事件引起的操作风险。人员因素引起的操作风险包括操作失误、违法行为（员工内部欺诈/内外勾结）、违反用工法、关键人员流失等情况。流程因素引起的操作风险又分为流程设计不合理和流程执行不严格两种情况。而系统因素引起的操作风险包括系统失灵和系统漏洞两种情况。外部事件引起的操作风险主要是指外部欺诈、突发事件以及银行经营环境的不利变化等情况。其中，属于操作性风险的仅包括人员因素引起的操作风险中的操作失误、违法行为、越权行为和流程因素引起的操作风险中的流程执行不严格的情况。显然，操作性风险不能等同于操作风险，尽管操作性风险是操作风险中发生频率最大、占比最高的风险类型。从笔者搜集整理的近几年来国内商业银行发生的近50起操作风险案例的数据显示，操作性风险占总数的比例为70%。将操作风险狭隘地定义为操作性风险的做法，往往会使得建立在这一认识基础上的操作风险管理体系不能覆盖所有的操作风险，从而使银行难以防范那些突发事件的冲击，如前一段时间工商银行北京市分行出现的系统瘫痪、美国发生的“911”恐怖袭击等。

2、操作风险不能等同于金融犯罪

金融犯罪仅是操作风险中的主要类型，并不能涵盖所有类型的操作风险。根据我国对金融犯罪的定义，金融犯罪是指在金融活动中，侵害金融管理制度、金融市场秩序以及其他社会经济关系，依照我国刑法规定，应当受到刑法处罚的行为。对比巴塞尔委员会关于操作风险的定义，金融犯罪显然不包括那些由于银行自身不完善的流程和系统漏洞以及外部事件等因素造成的操作风险。最简单的例子就是操作失误，比如银行员工误将取款操作成存款，或者数字录入错误等均属于操作风险的范畴，但并不构成犯罪。将操作风险等同于金融犯罪，往往会使商业银行无意识地缩小操作风险的管理范围，错误地将操作风险管理等同于金融犯罪管理，从而将操作风险管理职责不恰当地赋予内部审计或安全保卫部门。这恰恰是造成目前我国商业银行操作风险管理进展缓慢的原因所在。

3、操作风险是可以计量的，应该为操作风险配置资本

表面上看操作风险确实无规律可循。事实上，这只是人们观察问题的角度不正确造成的。如果我们就单个年份来看，一些操作风险事件是无规律的，一旦将这些操作风险事件放在很长一段时间和同类型的大量数据中来看，我们会发现，这些操作风险往往会以某种稳定的概率发生。这正是人们量化操作风险的基础。最早提出操作风险量化模型的是Duncan Wilson。他在1995年12月的《risk》杂志中发表了“操作Var”的文章。文章认为，操作风险可以使用“在险值（Var）”技术进行测度，银行可以建立来自于内部和外部的操作损失事件数据库，并从数据拟合操作损失的分布，通过设置一个置信区间，比如95%，银行就可以计算出操作风险的Var，也就可以为其分配资本了。为操作风险分配资本的最大好处就在于，当银行遭受某种灾难性损失的时候不至于瘫痪，甚至于倒闭。在不可量化思想的支配下，很难想象银行会致力于操作风险量化模型的开发。这或许是国内商业银行操作风险管理水平难以提升的重要原因之一。

4、操作风险事件之间是相互联系的而不是孤立的

从表面看，工作人员的操作失误、银行员工的欺诈以及关键人员的流失三者之间并无多大联系。而停电、诈骗以及“非典”之间更是风马牛不相及。由此，很多人得出“各种操作风险事件之间是孤立的、毫无联系的，从而操作风险是突发事件”的结论。这其实是忽略了隐藏在不同表面现象背后的共性本质，忽略了众多随机变量近似地服从正态分布的统计原理。以工作人员操作失误、银行员工欺诈和关键人员流失三类风险事件来看，它们的本质均是人的因素引起的操作风险，且在足够长期限和足够多数据的情况下可以近似地描绘出其概率分布。停电、诈骗与“非典”之间的关系与此相似，三者均属于外部因素造成的操作风险，且众多上述事件同样会近似地服从正态分布。只有看到各种操作风险事件之间的联系，才能准确地描述银行面临的操作风险，进而从整体上把握操作风险。这正是巴塞尔委员会关于操作风险定义的基础所在。那种以孤立的、隔离的眼光看待操作风险的做法只能将各个操作风险视作突发事件，也就无法从整体上把握银行面临的操作风险，更不用说对其进行科学有效的管理了。目前国内很多银行就存在这一问题，当面对“非典”冲击之时，当遭受系统瘫痪之时，银行并未从操作风险的角度对之进行系统分析和把握，只是将其看作突如其来的偶然事件，应付过去。如此一来，银行根本不会想到为其准备应急预案和分配经济资本。再次面对类似事件，银行只能是屡屡受损，甚至于出现灾难性的后果。

操作风险的认识还应注意到操作风险的管理不仅仅是稽核审计部门的事，应该是业务生产各环节的管理要求；管理者非常容易对市场风险和信用风险管理产生偏好，不应该因此而忽视操作风险的重要地位；操作风险应重视资源的投入，尤其是更多的人力（培养专业的操作风险管理人才，建设操作风险管理的团队）、财力（投入资金用于操作风险的模型和系统建设）、物力（配置更多的固定资产资源，为操作风险管理的实施提供环境和保障）等等方面的投入。只有对操作风险有了清醒认识、足够的重视，才能上升到如何落实和实施操作风险的管理过程及事后的评价。

（二）、巴塞尔委员会对管理操作风险提出的要求

巴曙松在《巴塞尔新资本协议研究》一书中曾经提到：“操作风险的管理需要强调风险管理环境、风险管理过程、监管者的作用和信息披露的作用”（注2）。巴塞尔委员会在总结国际金融界经验的基础上，将管理操作风险归纳为四部分的具体要求：

1、建立适当的风险管理环境

巴塞尔委员会认为，对银行来说，应当首先建立适当的风险管理环境，这要求董事会应当了解作为一个独特的、可以控制的风险种类-----银行操作风险的主要方面，应当批准和定期审查银行的操作风险战略。该战略应该能够反映银行的风险容忍程度及其对这种风险种类的特定特征的理解。巴塞尔委员会也承认，银行组织内部的信息流程在建立和维持一个有效的操作风险管理框架方面可以发挥重要作用。

2、风险管理过程：识别、衡量、监督和控制

巴塞尔委员会认为，银行应当建立识别操作风险的类别、衡量操作风险的方法、监督操作风险的手段和控制操作风险的机制等的电子化管理系统。对操作风险的整个过程进行跟踪，有效的管理操作风险的全过程。建立衡量操作风险的必要方法，实施可以持续监督操作风险暴露和重大业务损失的应用系统。

3、监管者的作用

在建立适当的风险环境和全程的风险管理过程的基础上，监管者应对银行与操作风险相关的战略、政策、程序和做法直接或间接地进行定期的独立评价，使之可以及时的修正错误的环节。并保证银行具备一个有效的报告机制，使他们可以及时了解银行操作风险管理执行过程是否按照计定的方针政策行事，使监管者亦可了解政策方针落实的进展情况。

4、信息披露的作用。

准确、及时、完整的信息披露是管理操作风险的重要环节之一，在操作风险管理和监管中发挥着重要的作用。巴塞尔委员会要求银行应向公众进行充分的信息披露，使市场参与者可以对银行的操作风险暴露及其操作风险管理质量进行评估，从而选择各自的风险偏好，由市场机制评价和吸纳操作风险带来的可能性风险。

二、商业银行操作风险管理的现状

商业银行的发展史已有三百多年。“操作风险”一个曾经不被人们重视而却与商业银行发展伴生的风险种类，越来越显示出它的重要性，由于商业银行对操作风险的管理重视不够、认识不清、手段单一、方法陈旧、人才匮乏，致使操作风险肆虐，使商业银行付出了沉重的代价。

（一）、商业银行忽视操作风险所带来的沉重代价

商业银行中流传这样一句话：“谁忽视了操作风险，谁将为之付出惨痛的代价。”事实也证明了

这一点。近十年，金融界的重量级案件频发，从95年巴林银行的李森事件到05年中国银行分理处主任高山的票据诈骗案等，短短十年间，一系列由操作风险而引发的案例给商业银行造成了数以亿计的巨大损失（参见附表）。

商业银行操作风险形成损失的典型案例统计表

涉案银行名称案件时间案情简述造成损失总结教训

巴林银行 1995年交易员李森私自开立“88888”账户隐瞒投机日经指数期货亏损。 14亿美元管理松懈，监督不利，有章不循。

大和银行 1995年交易员井口俊英从事3万笔未经授权的账外买卖美国联邦债券的交易形成损失。 11亿美元越权违规，缺乏制衡，授权无度。

三井住友银行 1996年交易员滨中泰男从事投机铜的期货交易造成亏损。 40亿美元违规操作，监控不利。忽视管理。

中国银行开平支行 2001年交易及管理人员余振东等人从事外汇买卖、账外贷款、盗用联行资金等方式造成银行损失。 4.8亿美元超权越权，违规违法，作假藏真，监控失灵。

中国银行河松街分理处 2005年分理处的负责人高山内外勾结，私自开出假票据，私自挪用客户的存款，使银行形成损失。 10亿人民币内外勾结，违规违法，监控失灵。

（数据来源：摘自中国经营报和国际金融报）

操作风险带来的黑洞使一些商业银行付出惨痛的代价。触目惊心的案件应该让监管者意识到监

管的乏力。

（二）、商业银行对操作风险管理存在诸多错误的认识

操作风险之所以越来越给商业银行的经营带来难以承受的风险压力，究其原因主要是因为对操

作风险的认识出现了偏差。归纳起来主要有以下几个方面：

1、认为操作风险就是操作性风险或操作中的风险。

如果仅从字面上去理解操作风险，很容易将其理解为操作中的风险。这实际上是大错特错，极大地缩小了操作风险所包含的范畴。

2、认为操作风险等同于金融犯罪。

国际上商业银行业风险管理的实践表明，人们对操作风险的认识是从金融犯罪开始的。百年老店巴林银行的倒闭正是交易员李森犯罪所致。人们对金融犯罪的熟悉程度远高于操作风险，所以容易误认为金融犯罪就是操作风险。

3、认为操作风险是无法计量的，不可以量化的。

长期以来，人们对操作风险的描述更多的是局限于定性内容，很少有定量内容。这是由操作风险的特点所决定的。

4、认为各种操作风险事件之间是孤立的、毫无联系的。

表面看来，工作人员的操作失误、银行员工的欺诈以及关键人员的流失三者之间是相对独立的事件，相互之间并无多大联系。

5、认为操作风险管理只是内部稽核审计部门的事情，与其他部门无关。

很多商业银行的管理者将操作风险等同于操作性风险或操作中的风险。这种认识误区往往会导致另外一种错误认识，即认为操作风险管理只是银行内部稽核审计部门的事情，与其他部门无关，进而将操作风险管理职责不恰当地赋予内部稽核审计部门。

6、认为决策层只重视信贷风险和市场风险，商业银行就可高枕无忧。

许多管理者认为：商业银行的信用风险和市场风险是最重要的，操作风险只是日常业务处理过程中的一般差错，并不会对银行的资本构成多大的威胁。

7、认为操作风险的控制手段可以简化，不需要浪费更多的人力、财力和物力。

大多数的商业银行操作风险的控制手段和方法还一直停留在简单的、手工的、事后检查的模式上。认为不需要对操作风险付出更多的人力、财力和物力成本。

商业银行暴露出的对操作风险的诸多错误认识，往往是导致操作风险管理失败的主要原因。有针对性的及时纠正错误的操作风险认识将有利于提高操作风险的管理能力。从这个意义上来讲，商业银行对于操作风险的错误认识应该是修正的时候了。

三、对加强商业银行操作风险管理的方法和建议

目前，国际范围内在操作风险管理方面水平相对较高的商业银行，通常都建立了强有力的操作风险管理流程和框架，并将操作风险与管理其他风险所采用的方法和框架有机整合起来，形成操作风险管理的体系，而且通过有效管理操作风险减少了收入的波动性，其中有些机构还改进了自身的外部评级水平。巴塞尔新资本协议的颁布及实施，就促使操作风险管理进一步向更多的商业银行扩展。陈四清曾经说过：“商业银行的操作风险管理是整个风险管理体系中的重要组成部分，同样需要考虑操作风险管理的范围、文化、方法、计量、监督等方面的内容”。（注3）

首先，要健全商业银行操作风险管理的体系，商业银行要逐步建立一套从决策层、执行层直到

监督层；从国内到海外；从总行到分支的全球化的操作风险管理体系，由风险管理委员会制定操作风险管理的大政方针、决策操作风险的风险资本配置、批准核销操作风险损失准备等等。执行层按照计定的操作风险策略具体执行和落实操作风险的管理内容。最终，由操作风险的监管层负责跟踪评价操作风险的管理过程。决策、执行与监督，层层到位，各司其职，才能有效的管理和控制操作风险。

其次，商业银行要界定操作风险管理的范围。根据巴塞尔新资本协议的要求操作风险的范围主要包括内部程序、人员、系统三部分，商业银行要针对内部程序制定操作规程，针对人员制定员工的行为规范，针对系统制定规章制度，对整个商业银行的运营制定应急方案，减少和降低因操作风险事故带来的损失，有了清晰的操作风险范围界定，事后评价操作风险和监督操作风险的政策执行情况才能有的放矢。

第三、需要培育商业银行操作风险管理的文化。商业银行的操作风险管理不是一时之需，追赶时髦，而是伴随商业银行发展的不朽主题。就像企业需要建立企业文化，操作风险的管理文化要深入人心。人人意识到操作风险，商业银行的各阶层都来重视操作风险。

第四、商业银行要制定操作风险管理的方法。如何确定和量化操作风险，还需要有科学的方法和计量手段。目前，国际上先进的软件、模型已开始被商业银行应用，商业银行的操作风险管理手段和方法也在不断的完善和进步。

第五、跟踪商业银行操作风险管理的过程。操作风险管理包括风险识别、风险评估、风险决策、风险防范、风险处理、风险监督和风险评价的多个步骤，具有环节多、领域广、隐蔽性、突发性等特点的繁杂过程，只有全过程的跟踪操作风险才能够总结经验教训，不断提高操作风险的防范能力。

立足于国际金融界的经验，商业银行在引入操作风险管理、建立操作风险管理框架和健全操作风险管理体系时，需要重点注意以下几个方面的问题：

（一）、健全操作风险管理框架模式

1、建立基本运作程序的同时，从容易衡量的领域着手。从具体的实施过程看，国际金融界的经验是，首先建立一套相对策略的、但是比较完整的操作风险管理体系、缓释、监控、报告等环节，在此基础上建立覆盖整个机构的操作风险管理战略和政策，从相对简略的领域出发，在实际运作中逐步完善，扩大其覆盖的操作风险的领域。

2、金融机构在着手管理操作风险时，重点要建立与信用风险和市场风险相一致的操作风险管理框架，确定不同职位的人员在操作风险管理中的责任，如业务管理人员，其中特别是零售业务部门的操作人员；中台人员；稽核人员；风险管理部门等。在此基础上，风险管理委员会等高层机构应当确定打算选用的风险管理方法和策略，业务部门应当据此采集关于操作风险的各种数据，向市场寻求专业的咨询和支持，逐步建立初步的操作风险管理体系。严格地说，整个金融机构范围内管理不同风险的基本原则和方法应当一致，这意味着新建立的操作风险管理框架必须要整合到与信用风险和市场风险管理相一致的框架中去，操作风险所运用的方法和原理也应当与整个商业银行在风险管理方面运用的方法和原理相协调。

3、风险管理部门并不是风险管理的惟一部门，具体的业务部门、法律部门、稽核部门都承担着进行操作风险管理的责任。如果说市场风险和信用风险的管理日趋强调集中化的话，那么，操作风险的管理必须强调分散化。严格地说，具体的业务部门在操作风险管理方面应承担第一位的责任。这是由操作风险的特征所决定的，当然关于操作风险管理的具体原则应当由风险管理部门提供。

（二）、建立操作风险的报告与考核机制

1、操作风险的报告体系。操作风险的报告系统应当独立于业务部门，并且应当能够敏感地反映操作风险的变动，主要数据自动生成，在整个机构采用的采集方法保持一致。

2、操作风险体系中的激励和考核机制。在具体的管理人员介入操作风险系统的运行时，就存在着其机会主义地运用这一系统的可能性，因此，建立完善的激励机制和绩效考核制度在操作风险管理中同样十分重要。同时，即使一个机构中建立了相当自动化的操作风险报告体系，但是如果高级管理人员不能动态地介入整个管理过程、不能将报告的结果与员工和部门的绩效考核有机的结合起来，这个系统的运作也会大打折扣。

3、操作风险的报告和考核都离不开操作风险的衡量方法和技术，谨慎选择适当的操作风险衡量方法和技术显得非常重要。在多种计算资本拨备方法中，一般的银行可以先采用单一指标法进行测试（即一定的风险系数×毛收入），向金融机构管理层提供参考数据，有条件的银行还可以考虑采用标准化方法的具体措施。按标准化方法，银行业务将分类，并以各类业务的毛收入去计算总操作风险资本金的配置要求。对于一些风险管理能力较强的银行来说，应当注意及时跟进监管机构及业界有关计提操作风险资本金配置要求的最新发展，着手积累各类操作风险损失的数据，并在此基础上考虑使用更精确的方法。

（三）、参与操作风险的管理者应各司其职

1、董事会和高级管理层在操作风险的管理中应当承担更大的责任，包括建立清晰的管理结构、明确的责任分工，并且保证操作风险的管理框架能够覆盖所有相关领域，还应当建立清晰的关于操作风险的管理和报告程序。所有的业务部门和支持性部门都应当整合在整个操作风险的管理框架中。

2、寻求合格的、充足的操作风险管理人员。从人员结构看，目前的一些国际金融机构中的操作风险管理人员主要有不同部门的管理经理、法律或者稽核人员、业务计划人员、信息安全人员等。较之信用风险和市场风险，操作风险管理方面有实际经验的人员相对较少，大部分需要金融机构结合自身的实际情况进行培训，还有一部分需要向外部招聘。

（四）、选择操作风险管理的主要类型

目前，全球范围内管理操作风险主要采取三种方法：总部集中管理型、总部集中管理与分散化支持型、稽核部门占据主导作用型。选择其中任何一种类型，主要取决于各自企业文化和董事会的风险偏好、自身的风险管理能力和风险管理水平等。针对性的选择操作风险管理的类型有利于操作风险管理框架的建立和实施。

四、结论

对操作风险管理有怎样的认识，就会映射出怎样的管理水平。所以重视操作风险的管理首先要从清醒的认识和了解操作风险入手。其次，要从战略的高度制订操作风险的管理策略。第三，要有与之配套的管理工具，主要指电子化的操作风险管理应用系统。第四，还要具备操作风险管理的具体方法，主要包括：操作风险的计量工具和管理模型。第五，要有高素质的操作风险管理人员和团队具体实施。第六，还需要建立起监督和后评价的机制。

总之，只有建立健全的操作风险管理流程、框架和体系，才能够使操作风险得到有效的管理和控制，才能使因操作风险带来的损失降到最低限度。商业银行的操作风险管理要求不是一时之需，而是伴随商业银行发展的长期任务，我国的商业银行如果要想保持现有的竞争优势，甚至在国际金融市场取得一定的地位，就必须不断提高自身的操作风险管理水平。

【引文注释】：

（注1）张吉光：国际金融报《商业银行操作风险认识的五大误区》2004年11月 5

（注2）巴曙松：《巴塞尔新资本协议研究》中国金融出版社 2003年6月第1版第34 页

（注3）陈四清：《试论商业银行风险管理》，《国际金融研究》2003年第7期第49页

【参考文献】：

1、陈忠阳：《金融机构风险分析与管理研究》人民大学出版社2001年版

2、张吉光：国际金融报《商业银行操作风险认识的五大误区》2004年11月

3、巴曙松：《巴塞尔新资本协议研究》中国金融出版社 2003年6月第1版

4、[英]艾迪.凯德著，王松奇等译：《银行风险管理》中国金融出版社2004年5月第1版

5、赵其宏：《商业银行风险管理》经济管理出版社2001年1月第一版

6、彭江平：《商业银行风险管理的理论与系统》西南财经大学出版社2001年9月第1版

7、陈四清：《试论商业银行风险管理》，《国际金融研究》2003年第7期

操作风险管理篇10

【关键词】:商业银行、操作风险、巴塞尔新资本协议、操作风险管理框架

【正文】:

随着我国金融体制改革的逐步深化和商业银行股份制改造的稳步推进,金融市场竞争不断加剧,金融产品日新月异,与此同时,银行经营在必须控制和管理一些传统的风险如信用风险、市场风险、国家风险等之外,不得不面临着一类新的风险——“操作风险”的挑战。

操作风险是指由于银行内部程序、人员、系统不充足或者运行失当以及因为外部事件的冲击等导致直接或间接损失的可能性的风险。例如,1995年的巴林银行倒闭、1996年三井住友银行的巨额亏损以及2001年中国银行的开平案件,均可视为由操作风险所致。这类风险一旦发生,往往给银行带来巨大损失,严重时会直接导致银行的破产和倒闭,甚至还会对整个金融行业或国民经济运行都产生巨大的影响,因而越来越引起投资者、金融界、监管当局的重视。自然地,防范和控制操作风险也成为银行经营管理者的一个重要课题。

本文将首先介绍银行操作风险的内涵和实质,并揭示当前商业银行在操作风险管理方面的现状。之后,分析造成操作风险的主要原因,然后,在前面论述的基础上提出加强银行操作风险管理的方法和建议。

一、商业银行操作风险的实质、内涵和管理要求

巴塞尔新资本协议把操作风险定义为:操作风险是指由于银行内部程序、人员、系统不充足或者运行失当以及因为外部事件的冲击等导致直接或间接损失的可能性的风险。从操作风险的定义中不难看出操作风险包括内部程序、人员、系统三大方面的主要内容,也是认识操作风险的关键环节。

(一)全面认识操作风险的实质和内涵

认识事物是改造事物的前提和关键,对操作风险的认知程度越高,才能有效的提升操作风险管理的地位和管理的水准,有了正确的操作风险的认识,才能够上升到宏观的决策和微观的具体落实。张吉光认为:“商业银行在操作风险管理中,对操作风险的认识存在五大方面错误或偏差”。 (注1)通过对操作风险管理理论的研究,笔者认为:解决操作风险管理认识上存在错误或偏差,成为提高操作风险管理水平的关键。具体而言,要全面认识和了解操作风险,需要消除以下几方面的误区。

1、操作风险不能等同于操作性风险和操作中的风险

根据巴塞尔新资本协议的定义,操作风险可以分为四类:人员因素引起的操作风险、流程因素引起的操作风险、系统因素引起的操作风险和外部事件引起的操作风险。人员因素引起的操作风险包括操作失误、违法行为(员工内部欺诈/内外勾结)、违反用工法、关键人员流失等情况。流程因素引起的操作风险又分为流程设计不合理和流程执行不严格两种情况。而系统因素引起的操作风险包括系统失灵和系统漏洞两种情况。外部事件引起的操作风险主要是指外部欺诈、突发事件以及银行经营环境的不利变化等情况。其中,属于操作性风险的仅包括人员因素引起的操作风险中的操作失误、违法行为、越权行为和流程因素引起的操作风险中的流程执行不严格的情况。显然,操作性风险不能等同于操作风险,尽管操作性风险是操作风险中发生频率最大、占比最高的风险类型。从笔者搜集整理的近几年来国内商业银行发生的近50起操作风险案例的数据显示,操作性风险占总数的比例为70%。将操作风险狭隘地定义为操作性风险的做法,往往会使得建立在这一认识基础上的操作风险管理体系不能覆盖所有的操作风险,从而使银行难以防范那些突发事件的冲击,如前一段时间工商银行北京市分行出现的系统瘫痪、美国发生的“911”恐怖袭击等。

2、操作风险不能等同于金融犯罪

金融犯罪仅是操作风险中的主要类型,并不能涵盖所有类型的操作风险。根据我国对金融犯罪的定义,金融犯罪是指在金融活动中,侵害金融管理制度、金融市场秩序以及其他社会经济关系,依照我国刑法规定,应当受到刑法处罚的行为。对比巴塞尔委员会关于操作风险的定义,金融犯罪显然不包括那些由于银行自身不完善的流程和系统漏洞以及外部事件等因素造成的操作风险。最简单的例子就是操作失误,比如银行员工误将取款操作成存款,或者数字录入错误等均属于操作风险的范畴,但并不构成犯罪。将操作风险等同于金融犯罪,往往会使商业银行无意识地缩小操作风险的管理范围,错误地将操作风险管理等同于金融犯罪管理,从而将操作风险管理职责不恰当地赋予内部审计或安全保卫部门。这恰恰是造成目前我国商业银行操作风险管理进展缓慢的原因所在。

3、操作风险是可以计量的,应该为操作风险配置资本

表面上看操作风险确实无规律可循。事实上,这只是人们观察问题的角度不正确造成的。如果我们就单个年份来看,一些操作风险事件是无规律的,一旦将这些操作风险事件放在很长一段时间和同类型的大量数据中来看,我们会发现,这些操作风险往往会以某种稳定的概率发生。这正是人们量化操作风险的基础。最早提出操作风险量化模型的是Duncan Wilson。他在1995年12月的《risk》杂志中发表了“操作Var”的文章。文章认为,操作风险可以使用“在险值(Var)”技术进行测度,银行可以建立来自于内部和外部的操作损失事件数据库,并从数据拟合操作损失的分布,通过设置一个置信区间,比如95%,银行就可以计算出操作风险的Var,也就可以为其分配资本了。为操作风险分配资本的最大好处就在于,当银行遭受某种灾难性损失的时候不至于瘫痪,甚至于倒闭。在不可量化思想的支配下,很难想象银行会致力于操作风险量化模型的开发。这或许是国内商业银行操作风险管理水平难以提升的重要原因之一。

4、操作风险事件之间是相互联系的而不是孤立的

从表面看,工作人员的操作失误、银行员工的欺诈以及关键人员的流失三者之间并无多大联系。而停电、诈骗以及“非典”之间更是风马牛不相及。由此,很多人得出“各种操作风险事件之间是孤立的、毫无联系的,从而操作风险是突发事件”的结论。这其实是忽略了隐藏在不同表面现象背后的共性本质,忽略了众多随机变量近似地服从正态分布的统计原理。以工作人员操作失误、银行员工欺诈和关键人员流失三类风险事件来看,它们的本质均是人的因素引起的操作风险,且在足够长期限和足够多数据的情况下可以近似地描绘出其概率分布。停电、诈骗与“非典”之间的关系与此相似,三者均属于外部因素造成的操作风险,且众多上述事件同样会近似地服从正态分布。只有看到各种操作风险事件之间的联系,才能准确地描述银行面临的操作风险,进而从整体上把握操作风险。这正是巴塞尔委员会关于操作风险定义的基础所在。那种以孤立的、隔离的眼光看待操作风险的做法只能将各个操作风险视作突发事件,也就无法从整体上把握银行面临的操作风险,更不用说对其进行科学有效的管理了。目前国内很多银行就存在这一问题,当面对“非典”冲击之时,当遭受系统瘫痪之时,银行并未从操作风险的角度对之进行系统分析和把握,只是将其看作突如其来的偶然事件,应付过去。如此一来,银行根本不会想到为其准备应急预案和分配经济资本。再次面对类似事件,银行只能是屡屡受损,甚至于出现灾难性的后果。

操作风险的认识还应注意到操作风险的管理不仅仅是稽核审计部门的事,应该是业务生产各环节的管理要求;管理者非常容易对市场风险和信用风险管理产生偏好,不应该因此而忽视操作风险的重要地位;操作风险应重视资源的投入,尤其是更多的人力(培养专业的操作风险管理人才,建设操作风险管理的团队)、财力(投入资金用于操作风险的模型和系统建设)、物力(配置更多的固定资产资源,为操作风险管理的实施提供环境和保障)等等方面的投入。只有对操作风险有了清醒认识、足够的重视,才能上升到如何落实和实施操作风险的管理过程及事后的评价。

(二)、巴塞尔委员会对管理操作风险提出的要求

巴曙松在《巴塞尔新资本协议研究》一书中曾经提到:“操作风险的管理需要强调风险管理环境、风险管理过程、监管者的作用和信息披露的作用”(注2)。巴塞尔委员会在总结国际金融界经验的基础上,将管理操作风险归纳为四部分的具体要求:

1、建立适当的风险管理环境

巴塞尔委员会认为,对银行来说,应当首先建立适当的风险管理环境,这要求董事会应当了解作为一个独特的、可以控制的风险种类-----银行操作风险的主要方面,应当批准和定期审查银行的操作风险战略。该战略应该能够反映银行的风险容忍程度及其对这种风险种类的特定特征的理解。巴塞尔委员会也承认,银行组织内部的信息流程在建立和维持一个有效的操作风险管理框架方面可以发挥重要作用。

2、风险管理过程:识别、衡量、监督和控制

巴塞尔委员会认为,银行应当建立识别操作风险的类别、衡量操作风险的方法、监督操作风险的手段和控制操作风险的机制等的电子化管理系统。对操作风险的整个过程进行跟踪,有效的管理操作风险的全过程。建立衡量操作风险的必要方法,实施可以持续监督操作风险暴露和重大业务损失的应用系统。

3、监管者的作用

在建立适当的风险环境和全程的风险管理过程的基础上,监管者应对银行与操作风险相关的战略、政策、程序和做法直接或间接地进行定期的独立评价,使之可以及时的修正错误的环节。并保证银行具备一个有效的报告机制,使他们可以及时了解银行操作风险管理执行过程是否按照计定的方针政策行事,使监管者亦可了解政策方针落实的进展情况。

4、信息披露的作用。

准确、及时、完整的信息披露是管理操作风险的重要环节之一,在操作风险管理和监管中发挥着重要的作用。巴塞尔委员会要求银行应向公众进行充分的信息披露,使市场参与者可以对银行的操作风险暴露及其操作风险管理质量进行评估,从而选择各自的风险偏好,由市场机制评价和吸纳操作风险带来的可能性风险。

二、商业银行操作风险管理的现状

商业银行的发展史已有三百多年。“操作风险”一个曾经不被人们重视而却与商业银行发展伴生的风险种类,越来越显示出它的重要性,由于商业银行对操作风险的管理重视不够、认识不清、手段单一、方法陈旧、人才匮乏,致使操作风险肆虐,使商业银行付出了沉重的代价。

(一)、商业银行忽视操作风险所带来的沉重代价

商业银行中流传这样一句话:“谁忽视了操作风险,谁将为之付出惨痛的代价。”事实也证明了

这一点。近十年,金融界的重量级案件频发,从95年巴林银行的李森事件到05年中国银行分理处主任高山的票据诈骗案等,短短十年间,一系列由操作风险而引发的案例给商业银行造成了数以亿计的巨大损失(参见附表)。

商业银行操作风险形成损失的典型案例统计表

涉案银行名称案件时间案情简述造成损失总结教训

巴林银行 1995年交易员李森私自开立“88888”账户隐瞒投机日经指数期货亏损。 14亿美元管理松懈,监督不利,有章不循。

大和银行 1995年交易员井口俊英从事3万笔未经授权的账外买卖美国联邦债券的交易形成损失。 11亿美元越权违规,缺乏制衡,授权无度。

三井住友银行 1996年交易员滨中泰男从事投机铜的期货交易造成亏损。 40亿美元违规操作,监控不利。忽视管理。

中国银行开平支行 2001年交易及管理人员余振东等人从事外汇买卖、账外贷款、盗用联行资金等方式造成银行损失。 4.8亿美元超权越权,违规违法,作假藏真,监控失灵。

中国银行河松街分理处 2005年分理处的负责人高山内外勾结,私自开出假票据,私自挪用客户的存款,使银行形成损失。 10亿人民币内外勾结,违规违法,监控失灵。

(数据来源:摘自中国经营报和国际金融报)

操作风险带来的黑洞使一些商业银行付出惨痛的代价。触目惊心的案件应该让监管者意识到监

管的乏力。

(二)、商业银行对操作风险管理存在诸多错误的认识

操作风险之所以越来越给商业银行的经营带来难以承受的风险压力,究其原因主要是因为对操

作风险的认识出现了偏差。归纳起来主要有以下几个方面:

1、认为操作风险就是操作性风险或操作中的风险。

如果仅从字面上去理解操作风险,很容易将其理解为操作中的风险。这实际上是大错特错,极大地缩小了操作风险所包含的范畴。

2、认为操作风险等同于金融犯罪。

国际上商业银行业风险管理的实践表明,人们对操作风险的认识是从金融犯罪开始的。百年老店巴林银行的倒闭正是交易员李森犯罪所致。人们对金融犯罪的熟悉程度远高于操作风险,所以容易误认为金融犯罪就是操作风险。

3、认为操作风险是无法计量的,不可以量化的。

长期以来,人们对操作风险的描述更多的是局限于定性内容,很少有定量内容。这是由操作风险的特点所决定的。

4、认为各种操作风险事件之间是孤立的、毫无联系的。

表面看来,工作人员的操作失误、银行员工的欺诈以及关键人员的流失三者之间是相对独立的事件,相互之间并无多大联系。

5、认为操作风险管理只是内部稽核审计部门的事情,与其他部门无关。

很多商业银行的管理者将操作风险等同于操作性风险或操作中的风险。这种认识误区往往会导致另外一种错误认识,即认为操作风险管理只是银行内部稽核审计部门的事情,与其他部门无关,进而将操作风险管理职责不恰当地赋予内部稽核审计部门。

6、认为决策层只重视信贷风险和市场风险,商业银行就可高枕无忧。

许多管理者认为:商业银行的信用风险和市场风险是最重要的,操作风险只是日常业务处理过程中的一般差错,并不会对银行的资本构成多大的威胁。

7、认为操作风险的控制手段可以简化,不需要浪费更多的人力、财力和物力。

商业银行暴露出的对操作风险的诸多错误认识,往往是导致操作风险管理失败的主要原因。有针对性的及时纠正错误的操作风险认识将有利于提高操作风险的管理能力。从这个意义上来讲,商业银行对于操作风险的错误认识应该是修正的时候了。

三、对加强商业银行操作风险管理的方法和建议

目前,国际范围内在操作风险管理方面水平相对较高的商业银行,通常都建立了强有力的操作风险管理流程和框架,并将操作风险与管理其他风险所采用的方法和框架有机整合起来,形成操作风险管理的体系,而且通过有效管理操作风险减少了收入的波动性,其中有些机构还改进了自身的外部评级水平。巴塞尔新资本协议的颁布及实施,就促使操作风险管理进一步向更多的商业银行扩展。陈四清曾经说过:“商业银行的操作风险管理是整个风险管理体系中的重要组成部分,同样需要考虑操作风险管理的范围、文化、方法、计量、监督等方面的内容”。(注3)

首先,要健全商业银行操作风险管理的体系,商业银行要逐步建立一套从决策层、执行层直到

监督层;从国内到海外;从总行到分支的全球化的操作风险管理体系,由风险管理委员会制定操作风险管理的大政方针、决策操作风险的风险资本配置、批准核销操作风险损失准备等等。执行层按照计定的操作风险策略具体执行和落实操作风险的管理内容。最终,由操作风险的监管层负责跟踪评价操作风险的管理过程。决策、执行与监督,层层到位,各司其职,才能有效的管理和控制操作风险。

其次,商业银行要界定操作风险管理的范围。根据巴塞尔新资本协议的要求操作风险的范围主要包括内部程序、人员、系统三部分,商业银行要针对内部程序制定操作规程,针对人员制定员工的行为规范,针对系统制定规章制度,对整个商业银行的运营制定应急方案,减少和降低因操作风险事故带来的损失,有了清晰的操作风险范围界定,事后评价操作风险和监督操作风险的政策执行情况才能有的放矢。

第三、需要培育商业银行操作风险管理的文化。商业银行的操作风险管理不是一时之需,追赶时髦,而是伴随商业银行发展的不朽主题。就像企业需要建立企业文化,操作风险的管理文化要深入人心。人人意识到操作风险,商业银行的各阶层都来重视操作风险。

第四、商业银行要制定操作风险管理的方法。如何确定和量化操作风险,还需要有科学的方法和计量手段。目前,国际上先进的软件、模型已开始被商业银行应用,商业银行的操作风险管理手段和方法也在不断的完善和进步。

第五、跟踪商业银行操作风险管理的过程。操作风险管理包括风险识别、风险评估、风险决策、风险防范、风险处理、风险监督和风险评价的多个步骤,具有环节多、领域广、隐蔽性、突发性等特点的繁杂过程,只有全过程的跟踪操作风险才能够总结经验教训,不断提高操作风险的防范能力。

立足于国际金融界的经验,商业银行在引入操作风险管理、建立操作风险管理框架和健全操作风险管理体系时,需要重点注意以下几个方面的问题:

(一)、健全操作风险管理框架模式

1、建立基本运作程序的同时,从容易衡量的领域着手。从具体的实施过程看,国际金融界的经验是,首先建立一套相对策略的、但是比较完整的操作风险管理体系、缓释、监控、报告等环节,在此基础上建立覆盖整个机构的操作风险管理战略和政策,从相对简略的领域出发,在实际运作中逐步完善,扩大其覆盖的操作风险的领域。

2、金融机构在着手管理操作风险时,重点要建立与信用风险和市场风险相一致的操作风险管理框架,确定不同职位的人员在操作风险管理中的责任,如业务管理人员,其别是零售业务部门的操作人员;人员;稽核人员;风险管理部门等。在此基础上,风险管理委员会等高层机构应当确定打算选用的风险管理方法和策略,业务部门应当据此采集关于操作风险的各种数据,向市场寻求专业的咨询和支持,逐步建立初步的操作风险管理体系。严格地说,整个金融机构范围内管理不同风险的基本原则和方法应当一致,这意味着新建立的操作风险管理框架必须要整合到与信用风险和市场风险管理相一致的框架中去,操作风险所运用的方法和原理也应当与整个商业银行在风险管理方面运用的方法和原理相协调。

3、风险管理部门并不是风险管理的惟一部门,具体的业务部门、法律部门、稽核部门都承担着进行操作风险管理的责任。如果说市场风险和信用风险的管理日趋强调集中化的话,那么,操作风险的管理必须强调分散化。严格地说,具体的业务部门在操作风险管理方面应承担第一位的责任。这是由操作风险的特征所决定的,当然关于操作风险管理的具体原则应当由风险管理部门提供。

(二)、建立操作风险的报告与考核机制

1、操作风险的报告体系。操作风险的报告系统应当独立于业务部门,并且应当能够敏感地反映操作风险的变动,主要数据自动生成,在整个机构采用的采集方法保持一致。

2、操作风险体系中的激励和考核机制。在具体的管理人员介入操作风险系统的运行时,就存在着其机会主义地运用这一系统的可能性,因此,建立完善的激励机制和绩效考核制度在操作风险管理中同样十分重要。同时,即使一个机构中建立了相当自动化的操作风险报告体系,但是如果高级管理人员不能动态地介入整个管理过程、不能将报告的结果与员工和部门的绩效考核有机的结合起来,这个系统的运作也会大打折扣。

3、操作风险的报告和考核都离不开操作风险的衡量方法和技术,谨慎选择适当的操作风险衡量方法和技术显得非常重要。在多种计算资本拨备方法中,一般的银行可以先采用单一指标法进行测试(即一定的风险系数×毛收入),向金融机构管理层提供参考数据,有条件的银行还可以考虑采用标准化方法的具体措施。按标准化方法,银行业务将分类,并以各类业务的毛收入去计算总操作风>:请记住我站域名/

(三)、参与操作风险的管理者应各司其职

1、董事会和高级管理层在操作风险的管理中应当承担更大的责任,包括建立清晰的管理结构、明确的责任分工,并且保证操作风险的管理框架能够覆盖所有相关领域,还应当建立清晰的关于操作风险的管理和报告程序。所有的业务部门和支持性部门都应当整合在整个操作风险的管理框架中。

2、寻求合格的、充足的操作风险管理人员。从人员结构看,目前的一些国际金融机构中的操作风险管理人员主要有不同部门的管理经理、法律或者稽核人员、业务计划人员、信息安全人员等。较之信用风险和市场风险,操作风险管理方面有实际经验的人员相对较少,大部分需要金融机构结合自身的实际情况进行培训,还有一部分需要向外部招聘。

(四)、选择操作风险管理的主要类型

目前,全球范围内管理操作风险主要采取三种方法:总部集中管理型、总部集中管理与分散化支持型、稽核部门占据主导作用型。选择其中任何一种类型,主要取决于各自企业文化和董事会的风险偏好、自身的风险管理能力和风险管理水平等。针对性的选择操作风险管理的类型有利于操作风险管理框架的建立和实施。

四、结论

对操作风险管理有怎样的认识,就会映射出怎样的管理水平。所以重视操作风险的管理首先要从清醒的认识和了解操作风险入手。其次,要从战略的高度制订操作风险的管理策略。第三,要有与之配套的管理工具,主要指电子化的操作风险管理应用系统。第四,还要具备操作风险管理的具体方法,主要包括:操作风险的计量工具和管理模型。第五,要有高素质的操作风险管理人员和团队具体实施。第六,还需要建立起监督和后评价的机制。

总之,只有建立健全的操作风险管理流程、框架和体系,才能够使操作风险得到有效的管理和控制,才能使因操作风险带来的损失降到最低限度。商业银行的操作风险管理要求不是一时之需,而是伴随商业银行发展的长期任务,我国的商业银行如果要想保持现有的竞争优势,甚至在国际金融市场取得一定的地位,就必须不断提高自身的操作风险管理水平。

【引文注释】:

(注1)张吉光:国际金融报《商业银行操作风险认识的五大误区》2004年11月 5

(注2)巴曙松:《巴塞尔新资本协议研究》中国金融出版社 2003年6月第1版第34 页

(注3)陈四清:《试论商业银行风险管理》,《国际金融研究》2003年第7期第49页

【参考文献】:

1、阳:《金融机构风险分析与管理研究》人民大学出版社2001年版

2、张吉光:国际金融报《商业银行操作风险认识的五大误区》2004年11月

3、巴曙松:《巴塞尔新资本协议研究》中国金融出版社 2003年6月第1版

4、[英]艾迪.凯德着,王松奇等译:《银行风险管理》中国金融出版社2004年5月第1版

5、赵其宏:《商业银行风险管理》经济管理出版社2001年1月第一版

6、彭江平:《商业银行风险管理的理论与系统》西南财经大学出版社2001年9月第1版

7、陈四清:《试论商业银行风险管理》,《国际金融研究》2003年第7期

操作风险管理篇11

长期以来，社会各界对银行业的风险管理都聚焦于信用风险和市场风险，而对操作风险并未予以足够的重视，对其认识和管理都处于较低水平。然而，随着金融管制的放松、银行经营业务范围及产品的多样化和复杂化，操作风险的破坏力和影响力愈发显现，对其研究和管理也迫在眉睫。在此背景下，2004年的巴塞尔新资本协议规范了操作风险的定义①，并提出操作风险的最低资本要求，为各国银行业加强操作风险管理敲响警钟和提供指导；中国银监会于2007年6月了《商业银行操作风险管理指引》（以下简称《指引》），为加强银行业操作风险管理、推进完善银行业公司治理结构、提升风险管理能力提供指导。

一、我国银行业操作风险危机四伏

受旧体制等不利影响，我国银行业面临着严重的操作风险。表1列示了近年来部分银行操作风险事件。

通过综合分析我国银行业操作风险损失事件，其具有的特点主要有：

1．操作风险主要形式是欺诈①。欺诈包括内部员工的欺诈、外部人员的欺诈以及内外部勾结的欺诈，其中内部员工欺诈和内外部勾结的欺诈是我国当前存在的主要形式，并且这种类型的损失事件一旦发生，就具有单笔损失金额大和社会影响力大的特点。

2．操作风险大都发生在基层分支机构，且与上层机构的控制力负相关。我国银行的业务运作大多数集中在基层机构，总、分行则更偏重于行使管理职能，当分支机构距离较远、受到的监管较弱时，分支机构的一些违规操作就不易被发现，操作风险发生的可能性就更大。

二、我国银行业操作风险的影响因素

目前，我国银行业普遍存在内部控制制度不完善的问题，这是导致操作风险频发的最主要原因。我国银行业内部控制不健全性主要表现在：

1．操作风险管理意识薄弱。目前，我国银行业的主营业务仍以信贷为主，因此银行风险管理的焦点都集中于信用风险，而对于操作风险，从管理层到基层员工对其管理的意识都有待于提高。

2．操作风险专业化管理部门缺位。我国绝大多数银行均未设立独立的专业化的操作风险管理部门，对其管理主要是依靠非专业部门负责，以定性管理为主，主要依赖专家的主观判断，缺乏科学和专业的管理。此外，根据巴塞尔新资本协议，用于计算监管资本的内部操作风险计量法，必须建立在对内部损失数据至少5年的观察基础上，而我国由于缺乏数据，很少采用定量分析控制操作风险的科学方法。

3．分行制的组织形式不利于监管。我国银行主要采用分行制，该体制下的直线管理职能削弱了内部控制的力度和有效性，各层次的负责人横向权利过大，为操作风险的孕育提供了空间。

4．管理体系不完善。我国银行业普遍存在管理层次多而繁杂，各层次权责不清，缺乏相互制衡、权责明晰和相互独立的管理体系，容易出现管理的真空地带和重复低效管理。

5．管理制度不健全。我国银行业风险管理所需的制度建设不健全，现有的制度大都流于形式，存在不切实际、难以执行的问题，此外，仍有部分正常经营所必备的规章制度缺位，导致管理盲点的存在。

三、完善我国银行业操作风险管理体系

由于我国银行业对操作风险的重视长期不足，导致银行对操作风险的管理长期处于低效率和不足的水平。因此，克服各种不利因素，及时建立完善的操作风险管理体系，具有重要的现实意义。银行操作风险管理和内部控制在内容、对象和范围上有着密切的联系，因此健全内部控制机制的形成有助于银行操作风险的高效管理。本文结合COSO委员会关于内部控制五要素的阐述和银监会的《指引》，设计一套适合我国银行业操作风险管理的体系。

COSO委员会所述的内部控制包括五要素：控制环境、风险评估、控制活动、信息与沟通和监控，以下分别从这五方面构建操作风险管理体系。

（一）控制环境

控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素。控制环境塑造企业风险管理文化，影响银行内部各成员的风险意识，关系着风险管理控制制度的贯彻和执行。

《指引》指出，操作风险管理需要创造一个良好的控制环境。首先，银行董事会应充分了解本行的主要操作风险所在，把它作为一种必须管理的主要风险类别，努力促进这种公司文化的建立，并且提供充足的资源支持在各职能部门实施操作风险管理，还应当把操作风险管理纳入到业绩评估程序中，强调风险管理为银行关注重点。其次，应建立一个能够有效执行操作风险管理框架要求的组织架构，该组织架构应明确界定各职能部门的责权关系、上下级报告关系，并且制定严格的监管审计制度。最后，应根据本行对操作风险的承受能力，制定规范的操作风险管理政策，该政策应对存在于本行各类业务中的操作风险进行界定，列明本行操作风险的具体构成，应明确识别、评估、监测与控制操作风险所应依据的原则、政策和方法。

（二）风险评估

风险评估是指操作风险管理部根据职能部门的信息，识别、量化和分析相关风险以实现既定目标，从而形成操作风险管理的核心内容。风险评估系统包括以下三个子系统

1．风险识别子系统

风险识别子系统的作用是将操作风险进行定义和分类，它的主要部分是“知识库”。“知识库”是一种风险映射，将职能部门的业务与风险类别之间建立对应关系。具体来说，“知识库”将银行业务分为若干个风险档次，并将所有的业务归类到相应的风险档次之中，并存储在数据库的相应位置。

2．风险计量子系统

风险计量子系统由“模型库”和“预警库”组成。该系统在初步识别原始数据的基础上，利用“模型库”中的风险计量模型对风险进行量化，将定性的操作风险数字化。其中风险计量模型利用数理统计方法量化银行操作风险，“模型库”再将风险计量模型计算机程序化，即编写计算机软件以实现风险计量模型的功能。而“预警库”则是预先在系统内设定的不同职能部门的市场风险限额指标，在“模型库”计算出风险值之后，“预警库”就可以对实际风险承担与预先设定的风险限额自动比较，若发生超限额的情况，“预警库”会将该信息同时反馈到风险评价子系统中，实现实时风险监控的功能。

3．风险评价子系统

风险评价子系统主要提供风险汇总报告，并对各职能部门风险承担状况进行评价，为风险管理决策层提供支持。“报告库”针对经“模型库”风险计量子系统测量的风险结果，根据指定的报告模式进行综合汇总，为管理层提供银行风险的数据。“评价库”是对综合报告进行的深入分析，通过对具体风险的分析评价，提出风险改进意见。

总的说来，风险评估系统中，风险识别子系统归类操作风险，风险计量子系统量化操作风险，评价子系统评价并报告操作风险。这一系列活动的完成，关键在于设计出一整套计算机程序以实现上述几个子系统的功能。我国银行应当根据本行业务的特点，设计出自己的风险管理程序，或者直接从专业公司引进成熟又适合自身的风险管理系统。

（三）控制活动

控制活动是指那些有助于管理层决策顺利实施的政策和程序，主要包括明确银行各部门的职责、对各部门活动的控制和对偏离授权的行为进行调整。

首先，《指引》明确规定了各组织层次在操作风险管理系统中的职责，以便整个系统有条不紊的运作，各层次的职责具体为：银行高层负责制定操作风险管理的战略和总体政策；风险管理委员会建立风险管理的操作方法；各职能部门具体实施。

其次，对各职能部门活动的控制分为两个层次：第一个层次是各职能部门，应定期向负责操作风险管理的部门通报本部门操作风险管理的总体状况，及时通报重大操作风险事件；第二个层次是操作风险管理部门应当提供风险预警指标，将风险限额建立在各业务部门的不同的层面，然后为每个关键风险指标设定门槛值，一旦风险值超过门槛值则启动预警系统。

最后，操作风险部门应当对于超过门槛值的采取必要的整改措施，及时修正执行中的偏差。

（四）信息与沟通

各职能部门的信息沟通是整个操作风险系统的基础，系统的数据来源于各职能部门。只有将信息及时有效地传递给操作风险管理部，才能及时进行信息分类。《指引》规定，职能部门应当根据统一的操作风险管理评估方法，建立持续、有效的操作风险报告程序，从制度上建立有效的信息和沟通机制。此外，《指引》要求建立案件查处和相应的信息披露制度，通过对案件查处的信息披露有良好的警示作用，对案件的及时总结能有效地避免同类风险事件的发生。

（五）监控

监控的核心在于监控的制度性和监控的独立性。《指引》规定，监控的制度性建设要求风险管理委员会应当建立指向清晰的定期监控体系，清晰的监控系统可以明确监管者的责任范围，而定期监查行为有利于快速发现并且纠正操作风险。监控独立性依靠操作风险管理部与其他职能部门相对保持独立，不能存在从属关系，应当受董事会或其下属的审计委员会直接领导。

与此同时，银行还需要对其内部监管人员进行严格培训，使其对银行各项业务活动和岗位责任的执行情况依据相关制度标准进行监控，及时预见潜在风险并极力阻止其发生，实现银行操作风险的有效管理。

参考文献：

[1]阎达五，宁建波．双元控制主体构架下现代企业会计控制的新思考[J]．会计研究，2000．

[2]钟伟．论跨国银行操作风险管理模型的新进展[J]．学术月刊，2004．

[3]钟伟．新巴塞尔协议和操作风险高级衡量法框架[J]．金融与经济，2005．

操作风险管理篇12

0引言

操作风险这一话题并不新鲜，伴随着银行的诞生，风险管理和操作风险管理就一直存在。随着世界经济和银行业的发展，人们对待操作风险的态度已由最初的忽视逐渐转变为目前的较为重视。通常不是主动产生的操作风险在较早的时候由于人们的认识不足，仅仅被称作除市场风险和信贷风险之外的其他风险；而现在，多种可供分析的操作风险管理方法正在逐渐的形成，商业银行多年来一直试图对它进行一定程度的控制，定性并尝试测量这一风险。目前银行家们已经达成了共识：好的操作风险管理能通过减少风险、改善服务质量和降低经营成本，从而形成一种竞争优势并在股东价值中得到相应体现。

1操作风险的定义、分类及其特点

关于操作风险的定义全世界的银行家们还仍然没有达成共识，但对操作风险的性质正在形成一致的看法：操作风险是一种引起损失的风险，是由不当的或者说失败的操作程序，工作人员或工作系统以及外部事件所造成的风险。目前被广泛采用的定义有两个：

操作风险的性质决定了操作风险与其他风险相比有着较为明显的特点：

（2）越是业务规模大、交易量大，结构调整迅速的领域，越是容易受到操作风险的冲击。

2巴塞尔新资本协议对管理操作风险的建议

对于如此难以驾驭的操作风险，巴塞尔委员会在总结国际金融经验的基础上将商业银行对操作风险的管理工作归纳为四个部分：

①建立适当的风险管理环境；

②风险管理：识别、衡量、监督和控制；

③监管者的作用；

④信息披露的作用。

3操作风险管理的几个阶段

3.1识别阶段

3.2量化和追踪阶段

3．3计量阶段

3.4整合管理阶段

4操作风险的量化管理

4.1国外商业银行操作风险的度量方法

4.2新巴塞尔资本协议中的操作风险度量方法

因此，巴塞尔委员会建议国际活跃银行采用高级法计量操作风险。

5总结

注释:

①引自汉斯·乌里希·德瑞克.金融服务运营风险管理手册,P33。

参考文献：

[1]汉斯·乌里希·德瑞克.金融服务运营风险管理手册[M].中信出版社，2004:6.