商业银行操作风险管理研究

    【摘要】：

    从商业银行的发展历程看，有很多商业银行在经营银行业务过程中更多的是把风险管理的重点和精力放在了市场风险和信用风险的管理上，从而忽视或弱化了被称为商业银行“三大风险”之一的操作风险管理。本文依据“巴塞尔新资本协议”的要求和近几年商业银行管理的先进经验，重点对商业银行面临的操作风险进行分析，并对操作风险的控制和管理思路进行探讨，从而达到从理论和实践相结合的角度来阐述操作风险管理在商业银行管理中的重要意义。本文借鉴国际先进的经验和结合我国的实际情况，针对我国加强商业银行的操作风险管理提出了具体建议。本文主要论述正确的认识是操作风险管理的关键所在，建立健全的流程、框架和体系是操作风险管理的保障，最终才能实现对操作风险有效的管理和控制，使因操作风险给商业银行带来的损失降到最低限度。

    【关键词】：商业银行、操作风险、巴塞尔新资本协议、操作风险管理框架

    【正文】：

    随着我国金融体制改革的逐步深化和商业银行股份制改造的稳步推进，金融市场竞争不断加剧，金融产品日新月异，与此同时，银行经营在必须控制和管理一些传统的风险如信用风险、市场风险、国家风险等之外，不得不面临着一类新的风险——“操作风险”的挑战。

    操作风险是指由于银行内部程序、人员、系统不充足或者运行失当以及因为外部事件的冲击等导致直接或间接损失的可能性的风险。例如，1995年的巴林银行倒闭、1996年三井住友银行的巨额亏损以及2001年中国银行的开平案件，均可视为由操作风险所致。这类风险一旦发生，往往给银行带来巨大损失，严重时会直接导致银行的破产和倒闭，甚至还会对整个金融行业或国民经济运行都产生巨大的影响，因而越来越引起投资者、金融界、监管当局的重视。自然地，防范和控制操作风险也成为银行经营管理者的一个重要课题。

    本文将首先介绍银行操作风险的内涵和实质，并揭示当前商业银行在操作风险管理方面的现状。之后，分析造成操作风险的主要原因，然后，在前面论述的基础上提出加强银行操作风险管理的方法和建议。

    一、商业银行操作风险的实质、内涵和管理要求

    巴塞尔新资本协议把操作风险定义为：操作风险是指由于银行内部程序、人员、系统不充足或者运行失当以及因为外部事件的冲击等导致直接或间接损失的可能性的风险。从操作风险的定义中不难看出操作风险包括内部程序、人员、系统三大方面的主要内容，也是认识操作风险的关键环节。

    （一）全面认识操作风险的实质和内涵

    认识事物是改造事物的前提和关键，对操作风险的认知程度越高，才能有效的提升操作风险管理的地位和管理的水准，有了正确的操作风险的认识，才能够上升到宏观的决策和微观的具体落实。张吉光认为：“商业银行在操作风险管理中，对操作风险的认识存在五大方面错误或偏差”。 （注1）通过对操作风险管理理论的研究，笔者认为：解决操作风险管理认识上存在错误或偏差，成为提高操作风险管理水平的关键。具体而言，要全面认识和了解操作风险，需要消除以下几方面的误区。

    1、操作风险不能等同于操作性风险和操作中的风险

    根据巴塞尔新资本协议的定义，操作风险可以分为四类：人员因素引起的操作风险、流程因素引起的操作风险、系统因素引起的操作风险和外部事件引起的操作风险。人员因素引起的操作风险包括操作失误、违法行为（员工内部欺诈/内外勾结）、违反用工法、关键人员流失等情况。流程因素引起的操作风险又分为流程设计不合理和流程执行不严格两种情况。而系统因素引起的操作风险包括系统失灵和系统漏洞两种情况。外部事件引起的操作风险主要是指外部欺诈、突发事件以及银行经营环境的不利变化等情况。其中，属于操作性风险的仅包括人员因素引起的操作风险中的操作失误、违法行为、越权行为和流程因素引起的操作风险中的流程执行不严格的情况。显然，操作性风险不能等同于操作风险，尽管操作性风险是操作风险中发生频率最大、占比最高的风险类型。从笔者搜集整理的近几年来国内商业银行发生的近50起操作风险案例的数据显示，操作性风险占总数的比例为70%。将操作风险狭隘地定义为操作性风险的做法，往往会使得建立在这一认识基础上的操作风险管理体系不能覆盖所有的操作风险，从而使银行难以防范那些突发事件的冲击，如前一段时间工商银行北京市分行出现的系统瘫痪、美国发生的“911”恐怖袭击等。

    2、操作风险不能等同于金融犯罪

    金融犯罪仅是操作风险中的主要类型，并不能涵盖所有类型的操作风险。根据我国对金融犯罪的定义，金融犯罪是指在金融活动中，侵害金融管理制度、金融市场秩序以及其他社会经济关系，依照我国刑法规定，应当受到刑法处罚的行为。对比巴塞尔委员会关于操作风险的定义，金融犯罪显然不包括那些由于银行自身不完善的流程和系统漏洞以及外部事件等因素造成的操作风险。最简单的例子就是操作失误，比如银行员工误将取款操作成存款，或者数字录入错误等均属于操作风险的范畴，但并不构成犯罪。将操作风险等同于金融犯罪，往往会使商业银行无意识地缩小操作风险的管理范围，错误地将操作风险管理等同于金融犯罪管理，从而将操作风险管理职责不恰当地赋予内部审计或安全保卫部门。这恰恰是造成目前我国商业银行操作风险管理进展缓慢的原因所在。

    3、操作风险是可以计量的，应该为操作风险配置资本

    表面上看操作风险确实无规律可循。事实上，这只是人们观察问题的角度不正确造成的。如果我们就单个年份来看，一些操作风险事件是无规律的，一旦将这些操作风险事件放在很长一段时间和同类型的大量数据中来看，我们会发现，这些操作风险往往会以某种稳定的概率发生。这正是人们量化操作风险的基础。最早提出操作风险量化模型的是Duncan Wilson。他在1995年12月的《risk》杂志中发表了“操作Var”的文章。文章认为，操作风险可以使用“在险值（Var）”技术进行测度，银行可以建立来自于内部和外部的操作损失事件数据库，并从数据拟合操作损失的分布，通过设置一个置信区间，比如95%，银行就可以计算出操作风险的Var，也就可以为其分配资本了。为操作风险分配资本的最大好处就在于，当银行遭受某种灾难性损失的时候不至于瘫痪，甚至于倒闭。在不可量化思想的支配下，很难想象银行会致力于操作风险量化模型的开发。这或许是国内商业银行操作风险管理水平难以提升的重要原因之一。
     4、操作风险事件之间是相互联系的而不是孤立的

    从表面看，工作人员的操作失误、银行员工的欺诈以及关键人员的流失三者之间并无多大联系。而停电、诈骗以及“非典”之间更是风马牛不相及。由此，很多人得出“各种操作风险事件之间是孤立的、毫无联系的，从而操作风险是突发事件”的结论。这其实是忽略了隐藏在不同表面现象背后的共性本质，忽略了众多随机变量近似地服从正态分布的统计原理。以工作人员操作失误、银行员工欺诈和关键人员流失三类风险事件来看，它们的本质均是人的因素引起的操作风险，且在足够长期限和足够多数据的情况下可以近似地描绘出其概率分布。停电、诈骗与“非典”之间的关系与此相似，三者均属于外部因素造成的操作风险，且众多上述事件同样会近似地服从正态分布。只有看到各种操作风险事件之间的联系，才能准确地描述银行面临的操作风险，进而从整体上把握操作风险。这正是巴塞尔委员会关于操作风险定义的基础所在。那种以孤立的、隔离的眼光看待操作风险的做法只能将各个操作风险视作突发事件，也就无法从整体上把握银行面临的操作风险，更不用说对其进行科学有效的管理了。目前国内很多银行就存在这一问题，当面对“非典”冲击之时，当遭受系统瘫痪之时，银行并未从操作风险的角度对之进行系统分析和把握，只是将其看作突如其来的偶然事件，应付过去。如此一来，银行根本不会想到为其准备应急预案和分配经济资本。再次面对类似事件，银行只能是屡屡受损，甚至于出现灾难性的后果。

    操作风险的认识还应注意到操作风险的管理不仅仅是稽核审计部门的事，应该是业务生产各环节的管理要求；管理者非常容易对市场风险和信用风险管理产生偏好，不应该因此而忽视操作风险的重要地位；操作风险应重视资源的投入，尤其是更多的人力（培养专业的操作风险管理人才，建设操作风险管理的团队）、财力（投入资金用于操作风险的模型和系统建设）、物力（配置更多的固定资产资源，为操作风险管理的实施提供环境和保障）等等方面的投入。只有对操作风险有了清醒认识、足够的重视，才能上升到如何落实和实施操作风险的管理过程及事后的评价。

    （二）、巴塞尔委员会对管理操作风险提出的要求

    巴曙松在《巴塞尔新资本协议研究》一书中曾经提到：“操作风险的管理需要强调风险管理环境、风险管理过程、监管者的作用和信息披露的作用”（注2）。巴塞尔委员会在总结国际金融界经验的基础上，将管理操作风险归纳为四部分的具体要求：

    1、建立适当的风险管理环境

    巴塞尔委员会认为，对银行来说，应当首先建立适当的风险管理环境，这要求董事会应当了解作为一个独特的、可以控制的风险种类-----银行操作风险的主要方面，应当批准和定期审查银行的操作风险战略。该战略应该能够反映银行的风险容忍程度及其对这种风险种类的特定特征的理解。巴塞尔委员会也承认，银行组织内部的信息流程在建立和维持一个有效的操作风险管理框架方面可以发挥重要作用。

    2、风险管理过程：识别、衡量、监督和控制

    巴塞尔委员会认为，银行应当建立识别操作风险的类别、衡量操作风险的方法、监督操作风险的手段和控制操作风险的机制等的电子化管理系统。对操作风险的整个过程进行跟踪，有效的管理操作风险的全过程。建立衡量操作风险的必要方法，实施可以持续监督操作风险暴露和重大业务损失的应用系统。

    3、监管者的作用

    在建立适当的风险环境和全程的风险管理过程的基础上，监管者应对银行与操作风险相关的战略、政策、程序和做法直接或间接地进行定期的独立评价，使之可以及时的修正错误的环节。并保证银行具备一个有效的报告机制，使他们可以及时了解银行操作风险管理执行过程是否按照计定的方针政策行事，使监管者亦可了解政策方针落实的进展情况。

    4、信息披露的作用。

    准确、及时、完整的信息披露是管理操作风险的重要环节之一，在操作风险管理和监管中发挥着重要的作用。巴塞尔委员会要求银行应向公众进行充分的信息披露，使市场参与者可以对银行的操作风险暴露及其操作风险管理质量进行评估，从而选择各自的风险偏好，由市场机制评价和吸纳操作风险带来的可能性风险。

    二、商业银行操作风险管理的现状

    商业银行的发展史已有三百多年。“操作风险”一个曾经不被人们重视而却与商业银行发展伴生的风险种类，越来越显示出它的重要性，由于商业银行对操作风险的管理重视不够、认识不清、手段单一、方法陈旧、人才匮乏，致使操作风险肆虐，使商业银行付出了沉重的代价。

    （一）、商业银行忽视操作风险所带来的沉重代价

    商业银行中流传这样一句话：“谁忽视了操作风险，谁将为之付出惨痛的代价。”事实也证明了

    这一点。近十年，金融界的重量级案件频发，从95年巴林银行的李森事件到05年中国银行分理处主任高山的票据诈骗案等，短短十年间，一系列由操作风险而引发的案例给商业银行造成了数以亿计的巨大损失（参见附表）。

     商业银行操作风险形成损失的典型案例统计表

    涉案银行名称 案件时间 案情简述 造成损失 总结教训

    巴林银行 1995年 交易员李森私自开立“88888”账户隐瞒投机日经指数期货亏损。 14亿美元 管理松懈，监督不利，有章不循。

    大和银行 1995年 交易员井口俊英从事3万笔未经授权的账外买卖美国联邦债券的交易形成损失。 11亿美元 越权违规，缺乏制衡，授权无度。

    三井住友银行 1996年 交易员滨中泰男从事投机铜的期货交易造成亏损。 40亿美元 违规操作，监控不利。忽视管理。
    中国银行开平支行 2001年 交易及管理人员余振东等人从事外汇买卖、账外贷款、盗用联行资金等方式造成银行损失。 4.8亿美元 超权越权，违规违法，作假藏真，监控失灵。

    中国银行河松街分理处 2005年 分理处的负责人高山内外勾结，私自开出假票据，私自挪用客户的存款，使银行形成损失。 10亿人民币 内外勾结，违规违法，监控失灵。

    （数据来源：摘自中国经营报和国际金融报）

    操作风险带来的黑洞使一些商业银行付出惨痛的代价。 触目惊心的案件应该让监管者意识到监

    管的乏力。

    （二）、商业银行对操作风险管理存在诸多错误的认识

    操作风险之所以越来越给商业银行的经营带来难以承受的风险压力，究其原因主要是因为对操

    作风险的认识出现了偏差。归纳起来主要有以下几个方面：

    1、认为操作风险就是操作性风险或操作中的风险。

    如果仅从字面上去理解操作风险，很容易将其理解为操作中的风险。这实际上是大错特错，极大地缩小了操作风险所包含的范畴。

    2、认为操作风险等同于金融犯罪。

    国际上商业银行业风险管理的实践表明，人们对操作风险的认识是从金融犯罪开始的。百年老店巴林银行的倒闭正是交易员李森犯罪所致。人们对金融犯罪的熟悉程度远高于操作风险，所以容易误认为金融犯罪就是操作风险。