【摘要】：

從商業銀行的發展歷程看，有很多商業銀行在經營銀行業務過程中更多的是把風險管理的重點和精力放在了市場風險和信用風險的管理上，從而忽視或弱化了被稱為商業銀行“三大風險”之一的操作風險管理。本文依據“巴塞爾新資本協議”的要求和近幾年商業銀行管理的先進經驗，重點對商業銀行面臨的操作風險進行分析，并對操作風險的控制和管理思路進行探討，從而達到從理論和實踐相結合的角度來闡述操作風險管理在商業銀行管理中的重要意義。本文借鑒國際先進的經驗和結合我國的實際情況，針對我國加強商業銀行的操作風險管理提出了具體建議。本文主要論述正確的認識是操作風險管理的關鍵所在，建立健全的流程、框架和體系是操作風險管理的保障，最終才能實現對操作風險有效的管理和控制，使因操作風險給商業銀行帶來的損失降到最低限度。

【關鍵詞】：商業銀行、操作風險、巴塞爾新資本協議、操作風險管理框架

【正文】：

隨著我國金融體制改革的逐步深化和商業銀行股份制改造的穩步推進，金融市場競爭不斷加劇，金融產品日新月異，與此同時，銀行經營在必須控制和管理一些傳統的風險如信用風險、市場風險、國家風險等之外，不得不面臨著一類新的風險——“操作風險”的挑戰。

操作風險是指由于銀行內部程序、人員、系統不充足或者運行失當以及因為外部事件的沖擊等導致直接或間接損失的可能性的風險。例如，1995年的巴林銀行倒閉、1996年三井住友銀行的巨額虧損以及2001年中國銀行的開平案件，均可視為由操作風險所致。這類風險一旦發生，往往給銀行帶來巨大損失，嚴重時會直接導致銀行的破產和倒閉，甚至還會對整個金融行業或國民經濟運行都產生巨大的影響，因而越來越引起投資者、金融界、監管當局的重視。自然地，防范和控制操作風險也成為銀行經營管理者的一個重要課題。

本文將首先介紹銀行操作風險的內涵和實質，并揭示當前商業銀行在操作風險管理方面的現狀。之后，分析造成操作風險的主要原因，然后，在前面論述的基礎上提出加強銀行操作風險管理的方法和建議。

一、商業銀行操作風險的實質、內涵和管理要求

巴塞爾新資本協議把操作風險定義為：操作風險是指由于銀行內部程序、人員、系統不充足或者運行失當以及因為外部事件的沖擊等導致直接或間接損失的可能性的風險。從操作風險的定義中不難看出操作風險包括內部程序、人員、系統三大方面的主要內容，也是認識操作風險的關鍵環節。

（一）全面認識操作風險的實質和內涵

認識事物是改造事物的前提和關鍵，對操作風險的認知程度越高，才能有效的提升操作風險管理的地位和管理的水準，有了正確的操作風險的認識，才能夠上升到宏觀的決策和微觀的具體落實。張吉光認為：“商業銀行在操作風險管理中，對操作風險的認識存在五大方面錯誤或偏差”。 （注1）通過對操作風險管理理論的研究，筆者認為：解決操作風險管理認識上存在錯誤或偏差，成為提高操作風險管理水平的關鍵。具體而言，要全面認識和了解操作風險，需要消除以下幾方面的誤區。

1、操作風險不能等同于操作性風險和操作中的風險

根據巴塞爾新資本協議的定義，操作風險可以分為四類：人員因素引起的操作風險、流程因素引起的操作風險、系統因素引起的操作風險和外部事件引起的操作風險。人員因素引起的操作風險包括操作失誤、違法行為（員工內部欺詐/內外勾結）、違反用工法、關鍵人員流失等情況。流程因素引起的操作風險又分為流程設計不合理和流程執行不嚴格兩種情況。而系統因素引起的操作風險包括系統失靈和系統漏洞兩種情況。外部事件引起的操作風險主要是指外部欺詐、突發事件以及銀行經營環境的不利變化等情況。其中，屬于操作性風險的僅包括人員因素引起的操作風險中的操作失誤、違法行為、越權行為和流程因素引起的操作風險中的流程執行不嚴格的情況。顯然，操作性風險不能等同于操作風險，盡管操作性風險是操作風險中發生頻率最大、占比最高的風險類型。從筆者搜集整理的近幾年來國內商業銀行發生的近50起操作風險案例的數據顯示，操作性風險占總數的比例為70%。將操作風險狹隘地定義為操作性風險的做法，往往會使得建立在這一認識基礎上的操作風險管理體系不能覆蓋所有的操作風險，從而使銀行難以防范那些突發事件的沖擊，如前一段時間工商銀行北京市分行出現的系統癱瘓、美國發生的“911”恐怖襲擊等。

2、操作風險不能等同于金融犯罪

金融犯罪僅是操作風險中的主要類型，并不能涵蓋所有類型的操作風險。根據我國對金融犯罪的定義，金融犯罪是指在金融活動中，侵害金融管理制度、金融市場秩序以及其他社會經濟關系，依照我國刑法規定，應當受到刑法處罰的行為。對比巴塞爾委員會關于操作風險的定義，金融犯罪顯然不包括那些由于銀行自身不完善的流程和系統漏洞以及外部事件等因素造成的操作風險。最簡單的例子就是操作失誤，比如銀行員工誤將取款操作成存款，或者數字錄入錯誤等均屬于操作風險的范疇，但并不構成犯罪。將操作風險等同于金融犯罪，往往會使商業銀行無意識地縮小操作風險的管理范圍，錯誤地將操作風險管理等同于金融犯罪管理，從而將操作風險管理職責不恰當地賦予內部審計或安全保衛部門。這恰恰是造成目前我國商業銀行操作風險管理進展緩慢的原因所在。

3、操作風險是可以計量的，應該為操作風險配置資本

表面上看操作風險確實無規律可循。事實上，這只是人們觀察問題的角度不正確造成的。如果我們就單個年份來看，一些操作風險事件是無規律的，一旦將這些操作風險事件放在很長一段時間和同類型的大量數據中來看，我們會發現，這些操作風險往往會以某種穩定的概率發生。這正是人們量化操作風險的基礎。最早提出操作風險量化模型的是Duncan Wilson。他在1995年12月的《risk》雜志中發表了“操作Var”的文章。文章認為，操作風險可以使用“在險值（Var）”技術進行測度，銀行可以建立來自于內部和外部的操作損失事件數據庫，并從數據擬合操作損失的分布，通過設置一個置信區間，比如95%，銀行就可以計算出操作風險的Var，也就可以為其分配資本了。為操作風險分配資本的最大好處就在于，當銀行遭受某種災難性損失的時候不至于癱瘓，甚至于倒閉。在不可量化思想的支配下，很難想象銀行會致力于操作風險量化模型的開發。這或許是國內商業銀行操作風險管理水平難以提升的重要原因之一。 4、操作風險事件之間是相互聯系的而不是孤立的

從表面看，工作人員的操作失誤、銀行員工的欺詐以及關鍵人員的流失三者之間并無多大聯系。而停電、詐騙以及“非典”之間更是風馬牛不相及。由此，很多人得出“各種操作風險事件之間是孤立的、毫無聯系的，從而操作風險是突發事件”的結論。這其實是忽略了隱藏在不同表面現象背后的共性本質，忽略了眾多隨機變量近似地服從正態分布的統計原理。以工作人員操作失誤、銀行員工欺詐和關鍵人員流失三類風險事件來看，它們的本質均是人的因素引起的操作風險，且在足夠長期限和足夠多數據的情況下可以近似地描繪出其概率分布。停電、詐騙與“非典”之間的關系與此相似，三者均屬于外部因素造成的操作風險，且眾多上述事件同樣會近似地服從正態分布。只有看到各種操作風險事件之間的聯系，才能準確地描述銀行面臨的操作風險，進而從整體上把握操作風險。這正是巴塞爾委員會關于操作風險定義的基礎所在。那種以孤立的、隔離的眼光看待操作風險的做法只能將各個操作風險視作突發事件，也就無法從整體上把握銀行面臨的操作風險，更不用說對其進行科學有效的管理了。目前國內很多銀行就存在這一問題，當面對“非典”沖擊之時，當遭受系統癱瘓之時，銀行并未從操作風險的角度對之進行系統分析和把握，只是將其看作突如其來的偶然事件，應付過去。如此一來，銀行根本不會想到為其準備應急預案和分配經濟資本。再次面對類似事件，銀行只能是屢屢受損，甚至于出現災難性的后果。

操作風險的認識還應注意到操作風險的管理不僅僅是稽核審計部門的事，應該是業務生產各環節的管理要求；管理者非常容易對市場風險和信用風險管理產生偏好，不應該因此而忽視操作風險的重要地位；操作風險應重視資源的投入，尤其是更多的人力（培養專業的操作風險管理人才，建設操作風險管理的團隊）、財力（投入資金用于操作風險的模型和系統建設）、物力（配置更多的固定資產資源，為操作風險管理的實施提供環境和保障）等等方面的投入。只有對操作風險有了清醒認識、足夠的重視，才能上升到如何落實和實施操作風險的管理過程及事后的評價。

（二）、巴塞爾委員會對管理操作風險提出的要求

巴曙松在《巴塞爾新資本協議研究》一書中曾經提到：“操作風險的管理需要強調風險管理環境、風險管理過程、監管者的作用和信息披露的作用”（注2）。巴塞爾委員會在總結國際金融界經驗的基礎上，將管理操作風險歸納為四部分的具體要求：

1、建立適當的風險管理環境

巴塞爾委員會認為，對銀行來說，應當首先建立適當的風險管理環境，這要求董事會應當了解作為一個獨特的、可以控制的風險種類-----銀行操作風險的主要方面，應當批準和定期審查銀行的操作風險戰略。該戰略應該能夠反映銀行的風險容忍程度及其對這種風險種類的特定特征的理解。巴塞爾委員會也承認，銀行組織內部的信息流程在建立和維持一個有效的操作風險管理框架方面可以發揮重要作用。

2、風險管理過程：識別、衡量、監督和控制

巴塞爾委員會認為，銀行應當建立識別操作風險的類別、衡量操作風險的方法、監督操作風險的手段和控制操作風險的機制等的電子化管理系統。對操作風險的整個過程進行跟蹤，有效的管理操作風險的全過程。建立衡量操作風險的必要方法，實施可以持續監督操作風險暴露和重大業務損失的應用系統。

3、監管者的作用

在建立適當的風險環境和全程的風險管理過程的基礎上，監管者應對銀行與操作風險相關的戰略、政策、程序和做法直接或間接地進行定期的獨立評價，使之可以及時的修正錯誤的環節。并保證銀行具備一個有效的報告機制，使他們可以及時了解銀行操作風險管理執行過程是否按照計定的方針政策行事，使監管者亦可了解政策方針落實的進展情況。

4、信息披露的作用。

準確、及時、完整的信息披露是管理操作風險的重要環節之一，在操作風險管理和監管中發揮著重要的作用。巴塞爾委員會要求銀行應向公眾進行充分的信息披露，使市場參與者可以對銀行的操作風險暴露及其操作風險管理質量進行評估，從而選擇各自的風險偏好，由市場機制評價和吸納操作風險帶來的可能性風險。

二、商業銀行操作風險管理的現狀

商業銀行的發展史已有三百多年?！安僮黠L險”一個曾經不被人們重視而卻與商業銀行發展伴生的風險種類，越來越顯示出它的重要性，由于商業銀行對操作風險的管理重視不夠、認識不清、手段單一、方法陳舊、人才匱乏，致使操作風險肆虐，使商業銀行付出了沉重的代價。

（一）、商業銀行忽視操作風險所帶來的沉重代價

商業銀行中流傳這樣一句話：“誰忽視了操作風險，誰將為之付出慘痛的代價?！笔聦嵰沧C明了

這一點。近十年，金融界的重量級案件頻發，從95年巴林銀行的李森事件到05年中國銀行分理處主任高山的票據詐騙案等，短短十年間，一系列由操作風險而引發的案例給商業銀行造成了數以億計的巨大損失（參見附表）。

商業銀行操作風險形成損失的典型案例統計表

涉案銀行名稱 案件時間 案情簡述 造成損失 總結教訓

巴林銀行 1995年 交易員李森私自開立“88888”賬戶隱瞞投機日經指數期貨虧損。 14億美元 管理松懈，監督不利，有章不循。

大和銀行 1995年 交易員井口俊英從事3萬筆未經授權的賬外買賣美國聯邦債券的交易形成損失。 11億美元 越權違規，缺乏制衡，授權無度。

三井住友銀行 1996年 交易員濱中泰男從事投機銅的期貨交易造成虧損。 40億美元 違規操作，監控不利。忽視管理。 中國銀行開平支行 2001年 交易及管理人員余振東等人從事外匯買賣、賬外貸款、盜用聯行資金等方式造成銀行損失。 4.8億美元 超權越權，違規違法，作假藏真，監控失靈。

中國銀行河松街分理處 2005年 分理處的負責人高山內外勾結，私自開出假票據，私自挪用客戶的存款，使銀行形成損失。 10億人民幣 內外勾結，違規違法，監控失靈。

（數據來源：摘自中國經營報和國際金融報）

操作風險帶來的黑洞使一些商業銀行付出慘痛的代價。 觸目驚心的案件應該讓監管者意識到監

管的乏力。

（二）、商業銀行對操作風險管理存在諸多錯誤的認識

操作風險之所以越來越給商業銀行的經營帶來難以承受的風險壓力，究其原因主要是因為對操

作風險的認識出現了偏差。歸納起來主要有以下幾個方面：

1、認為操作風險就是操作性風險或操作中的風險。

如果僅從字面上去理解操作風險，很容易將其理解為操作中的風險。這實際上是大錯特錯，極大地縮小了操作風險所包含的范疇。

2、認為操作風險等同于金融犯罪。

國際上商業銀行業風險管理的實踐表明，人們對操作風險的認識是從金融犯罪開始的。百年老店巴林銀行的倒閉正是交易員李森犯罪所致。人們對金融犯罪的熟悉程度遠高于操作風險，所以容易誤認為金融犯罪就是操作風險。

3、認為操作風險是無法計量的，不可以量化的。

長期以來，人們對操作風險的描述更多的是局限于定性內容，很少有定量內容。這是由操作風險的特點所決定的。

4、認為各種操作風險事件之間是孤立的、毫無聯系的。

表面看來，工作人員的操作失誤、銀行員工的欺詐以及關鍵人員的流失三者之間是相對獨立的事件，相互之間并無多大聯系。

5、認為操作風險管理只是內部稽核審計部門的事情，與其他部門無關。

很多商業銀行的管理者將操作風險等同于操作性風險或操作中的風險。這種認識誤區往往會導致另外一種錯誤認識，即認為操作風險管理只是銀行內部稽核審計部門的事情，與其他部門無關，進而將操作風險管理職責不恰當地賦予內部稽核審計部門。

6、認為決策層只重視信貸風險和市場風險，商業銀行就可高枕無憂。

許多管理者認為：商業銀行的信用風險和市場風險是最重要的，操作風險只是日常業務處理過程中的一般差錯，并不會對銀行的資本構成多大的威脅。

7、認為操作風險的控制手段可以簡化，不需要浪費更多的人力、財力和物力。

大多數的商業銀行操作風險的控制手段和方法還一直停留在簡單的、手工的、事后檢查的模式上。認為不需要對操作風險付出更多的人力、財力和物力成本。

商業銀行暴露出的對操作風險的諸多錯誤認識，往往是導致操作風險管理失敗的主要原因。有針對性的及時糾正錯誤的操作風險認識將有利于提高操作風險的管理能力。從這個意義上來講，商業銀行對于操作風險的錯誤認識應該是修正的時候了。

三、對加強商業銀行操作風險管理的方法和建議

目前，國際范圍內在操作風險管理方面水平相對較高的商業銀行，通常都建立了強有力的操作風險管理流程和框架，并將操作風險與管理其他風險所采用的方法和框架有機整合起來，形成操作風險管理的體系，而且通過有效管理操作風險減少了收入的波動性，其中有些機構還改進了自身的外部評級水平。巴塞爾新資本協議的頒布及實施，就促使操作風險管理進一步向更多的商業銀行擴展。陳四清曾經說過：“商業銀行的操作風險管理是整個風險管理體系中的重要組成部分，同樣需要考慮操作風險管理的范圍、文化、方法、計量、監督等方面的內容”。（注3）

首先，要健全商業銀行操作風險管理的體系，商業銀行要逐步建立一套從決策層、執行層直到

監督層；從國內到海外；從總行到分支的全球化的操作風險管理體系，由風險管理委員會制定操作風險管理的大政方針、決策操作風險的風險資本配置、批準核銷操作風險損失準備等等。執行層按照計定的操作風險策略具體執行和落實操作風險的管理內容。最終，由操作風險的監管層負責跟蹤評價操作風險的管理過程。決策、執行與監督，層層到位，各司其職，才能有效的管理和控制操作風險。

其次，商業銀行要界定操作風險管理的范圍。根據巴塞爾新資本協議的要求操作風險的范圍主要包括內部程序、人員、系統三部分，商業銀行要針對內部程序制定操作規程，針對人員制定員工的行為規范，針對系統制定規章制度，對整個商業銀行的運營制定應急方案，減少和降低因操作風險事故帶來的損失，有了清晰的操作風險范圍界定，事后評價操作風險和監督操作風險的政策執行情況才能有的放矢。

第三、需要培育商業銀行操作風險管理的文化。商業銀行的操作風險管理不是一時之需，追趕時髦，而是伴隨商業銀行發展的不朽主題。就像企業需要建立企業文化，操作風險的管理文化要深入人心。人人意識到操作風險，商業銀行的各階層都來重視操作風險。

第四、商業銀行要制定操作風險管理的方法。如何確定和量化操作風險，還需要有科學的方法和計量手段。目前，國際上先進的軟件、模型已開始被商業銀行應用，商業銀行的操作風險管理手段和方法也在不斷的完善和進步。

第五、跟蹤商業銀行操作風險管理的過程。操作風險管理包括風險識別、風險評估、風險決策、風險防范、風險處理、風險監督和風險評價的多個步驟，具有環節多、領域廣、隱蔽性、突發性等特點的繁雜過程，只有全過程的跟蹤操作風險才能夠總結經驗教訓，不斷提高操作風險的防范能力。 立足于國際金融界的經驗，商業銀行在引入操作風險管理、建立操作風險管理框架和健全操作風險管理體系時，需要重點注意以下幾個方面的問題：

（一）、健全操作風險管理框架模式

1、建立基本運作程序的同時，從容易衡量的領域著手。從具體的實施過程看，國際金融界的經驗是，首先建立一套相對策略的、但是比較完整的操作風險管理體系、緩釋、監控、報告等環節，在此基礎上建立覆蓋整個機構的操作風險管理戰略和政策，從相對簡略的領域出發，在實際運作中逐步完善，擴大其覆蓋的操作風險的領域。

2、金融機構在著手管理操作風險時，重點要建立與信用風險和市場風險相一致的操作風險管理框架，確定不同職位的人員在操作風險管理中的責任，如業務管理人員，其中特別是零售業務部門的操作人員；中臺人員；稽核人員；風險管理部門等。在此基礎上，風險管理委員會等高層機構應當確定打算選用的風險管理方法和策略，業務部門應當據此采集關于操作風險的各種數據，向市場尋求專業的咨詢和支持，逐步建立初步的操作風險管理體系。嚴格地說，整個金融機構范圍內管理不同風險的基本原則和方法應當一致，這意味著新建立的操作風險管理框架必須要整合到與信用風險和市場風險管理相一致的框架中去，操作風險所運用的方法和原理也應當與整個商業銀行在風險管理方面運用的方法和原理相協調。

3、風險管理部門并不是風險管理的惟一部門，具體的業務部門、法律部門、稽核部門都承擔著進行操作風險管理的責任。如果說市場風險和信用風險的管理日趨強調集中化的話，那么，操作風險的管理必須強調分散化。嚴格地說，具體的業務部門在操作風險管理方面應承擔第一位的責任。這是由操作風險的特征所決定的，當然關于操作風險管理的具體原則應當由風險管理部門提供。

（二）、建立操作風險的報告與考核機制

1、操作風險的報告體系。操作風險的報告系統應當獨立于業務部門，并且應當能夠敏感地反映操作風險的變動，主要數據自動生成，在整個機構采用的采集方法保持一致。

2、操作風險體系中的激勵和考核機制。在具體的管理人員介入操作風險系統的運行時，就存在著其機會主義地運用這一系統的可能性，因此，建立完善的激勵機制和績效考核制度在操作風險管理中同樣十分重要。同時，即使一個機構中建立了相當自動化的操作風險報告體系，但是如果高級管理人員不能動態地介入整個管理過程、不能將報告的結果與員工和部門的績效考核有機的結合起來，這個系統的運作也會大打折扣。

3、操作風險的報告和考核都離不開操作風險的衡量方法和技術，謹慎選擇適當的操作風險衡量方法和技術顯得非常重要。在多種計算資本撥備方法中，一般的銀行可以先采用單一指標法進行測試（即一定的風險系數×毛收入），向金融機構管理層提供參考數據，有條件的銀行還可以考慮采用標準化方法的具體措施。按標準化方法，銀行業務將分類，并以各類業務的毛收入去計算總操作風險資本金的配置要求。對于一些風險管理能力較強的銀行來說，應當注意及時跟進監管機構及業界有關計提操作風險資本金配置要求的最新發展，著手積累各類操作風險損失的數據，并在此基礎上考慮使用更精確的方法。

（三）、參與操作風險的管理者應各司其職

1、董事會和高級管理層在操作風險的管理中應當承擔更大的責任，包括建立清晰的管理結構、明確的責任分工，并且保證操作風險的管理框架能夠覆蓋所有相關領域，還應當建立清晰的關于操作風險的管理和報告程序。所有的業務部門和支持性部門 都應當整合在整個操作風險的管理框架中。

2、尋求合格的、充足的操作風險管理人員。從人員結構看，目前的一些國際金融機構中的操作風險管理人員主要有不同部門的管理經理、法律或者稽核人員、業務計劃人員、信息安全人員等。較之信用風險和市場風險，操作風險管理方面有實際經驗的人員相對較少，大部分需要金融機構結合自身的實際情況進行培訓，還有一部分需要向外部招聘。

（四）、選擇操作風險管理的主要類型

目前，全球范圍內管理操作風險主要采取三種方法：總部集中管理型、總部集中管理與分散化支持型、稽核部門占據主導作用型。選擇其中任何一種類型，主要取決于各自企業文化和董事會的風險偏好、自身的風險管理能力和風險管理水平等。針對性的選擇操作風險管理的類型有利于操作風險管理框架的建立和實施。

四、結論

對操作風險管理有怎樣的認識，就會映射出怎樣的管理水平。所以重視操作風險的管理首先要從清醒的認識和了解操作風險入手。其次，要從戰略的高度制訂操作風險的管理策略。第三，要有與之配套的管理工具，主要指電子化的操作風險管理應用系統。第四，還要具備操作風險管理的具體方法，主要包括：操作風險的計量工具和管理模型。第五，要有高素質的操作風險管理人員和團隊具體實施。第六，還需要建立起監督和后評價的機制。

總之，只有建立健全的操作風險管理流程、框架和體系，才能夠使操作風險得到有效的管理和控制，才能使因操作風險帶來的損失降到最低限度。商業銀行的操作風險管理要求不是一時之需，而是伴隨商業銀行發展的長期任務，我國的商業銀行如果要想保持現有的競爭優勢，甚至在國際金融市場取得一定的地位，就必須不斷提高自身的操作風險管理水平。 【引文注釋】：

（注1）張吉光：國際金融報《商業銀行操作風險認識的五大誤區》2004年11月 5 （注2）巴曙松：《巴塞爾新資本協議研究》中國金融出版社 2003年6月第1版 第34 頁 （注3）陳四清：《試論商業銀行風險管理》，《國際金融研究》2003年第7期 第49頁 【參考文獻】： 1、陳忠陽：《金融機構風險分析與管理研究》人民大學出版社2001年版 2、張吉光：國際金融報《商業銀行操作風險認識的五大誤區》2004年11月 3、巴曙松：《巴塞爾新資本協議研究》中國金融出版社 2003年6月第1版 4、[英]艾迪.凱德著，王松奇等譯：《銀行風險管理》中國金融出版社2004年5月第1版 5、趙其宏：《商業銀行風險管理》經濟管理出版社2001年1月第一版 6、彭江平：《商業銀行風險管理的理論與系統》西南財經大學出版社2001年9月第1版 7、陳四清：《試論商業銀行風險管理》，《國際金融研究》2003年第7期 8、肖剛：《中國金融家》2004年第7期；《銀行家》2004年第6期 9、中國金融網：《我國金融機構風險管理存在的問題及對策》2004年8月31日 10、趙志宏：《全方位強化商業銀行風險風險管理能力》《銀行家》2004年第6期