（工商管理专业论文）我国商业银行的操作风险管理研究.pdf

中文摘要 中文摘要 商业银行在经营管理的过程中面临着纷繁复杂的风险，其中包括：市场风 险、信用风险和操作风险，是商业银行最主要的三大风险。在近几年的风险管 理中，操作风险及其管理成为国际银行业界的热门话题之一。银行业对操作风 险及其管理理念的认识还比较混乱，没有明确定义，与信用风险、市场风险界 限不清，历史数据比较模糊，计量模型复杂；缺乏统一的管理体制，风险管理 的职能分散在各个不同的管理部门，合规管理、内部审计与操作风险管理之间 没有明确的界线；有关操作风险管理的研究主要还是停留在理论的层面，实践 经验比较匮乏：招商银行作为一家国内优秀的股份制商业银行，长期以来比较 重视操作风险的管理，在操作风险管理的制度体系、管理流程、组织架构、风 险识别、风险评估、风险测量等方面进行了诸多的探索，积累了一些有益的经 验。当然，鉴于历史和环境等方面的约束，与国内其他商业银行一样，招商银 行尤其是在基层行目前的操作风险管理水平还相对较低，还不能满足巴塞尔 新资本协议的要求，也不能适应招商银行风险管理的战略要求。因此，根据 巴塞尔银行监管委员会关于操作风险管理的要求，深刻理解商业银行操作风险 管理的理论框架，积极借鉴国内外先进银行操作风险管理的模式和经验，深入 分析招商银行基层行操作风险管理中存在的问题，做好基层行操作风险管理， 具有十分重要的意义。本文从操作风险管理与内部控制、合规管理三者之间的 关系界定入手，分析了操作风险及其管理的本质。基于“制度高于技术”这一命 题，本文重点分析研究了操作风险管理体制的理论框架和几家国际先进银行的 现实管理体制模式，在此基础上，对招商银行基层行操作风险管理体制的建构 提出了若干建议。 关键词：操作风险、管理、制度、合规、方法 a b s t r a c t a b s t r a c t c o m m e r c i a lb a n ki sf a c i n gm a n yc o m p l i c a t e dr i s k si np r o c e s so fm a n a g i n g ， w h i c hi n c l u d i n g ：m a r k e tr i s k s ，c r e d i tr i s k sa n do p e r a t i o n a lr i s k s ，t h e s ea r et h et h r e e m a i nr i s k so fc o m m e r c i a lb a n k s d u r i n gt h er i s km a n a g e m e n ti nr e c e n ty e a r s ， o p e r a t i o n a lr i s ka n di t sm a n a g e m e n tb e c a m eo n eo ft h eh o tt o p i c so fi n t e r n a t i o n a l b a n k i n gs e c t o r y e tb a n k i n gs e c t o rh a su n c l e a ru n d e r s t a n d i n go no p t i o n a lr i s ka n d i t s m a n a g e m e n t ，h a v i n gn os p e c i f i cd e f i n i t i o n ，t h eb o u n d a r yw i t hc r e d i tr i s k ，m a r k e t r i s ki su n c l e a r , w h i l et h eh i s t o r i c a ld a t ai sc o m p a r a t i v e l yb l u r , a n dt h em o d e li s c o m p l e x ；w i t h o u tau n i f i e dm a n a g e m e n ts y s t e m ，f u n c t i o no fr i s km a n a g e m e n t s e p a r a t e di nd i f f e r e n tm a n a g e m e n td e p a r t m e n t ，c o m p l i a n c em a n a g e m e n t ，i n t e r n a l a u d i ta n do p e r a t i o n a lr i s km a n a g e m e n th a sn oc l e a rb o u n d a r y ；a n dt h es t u d i e so n o p e r a t i o n a lr i s km a n a g e m e n ts t i l ls t a y a tt h e o r e t i c a l l e v e l ，l a c k i n go fp r a c t i c a l e x p e r i e n c e c h i n am e r c h a n t sb a n k ，a sae x c e l l e n td o m e s t i cj o i n t s t o c kc o m m e r c i a l b a n k ，a t t a c h e sg r e a ti m p o r t a n c et oo p e r a t i o n a lr i s km a n a g e m e n t ，h a sd o n eal o to f r e s e a r c hw o r ki ns y s t e m ，m a n a g e m e n tp r o c e s s ，o r g a n i z a t i o n a ls t r u c t u r e ，r i s k i d e n t i f i c a t i o n ，r i s ke v a l u a t i o n ，r i s km e a s u r e m e n t ，g a t h e r e d s o m eb e n e f i c i a l e x p e r i e n c e o fc o u r s e ，b e c a u s eo fh i s t o r i c a la n de n v i r o n m e n t a lr e s t r i c t i o n s ，j u s ta s o t h e rd o m e s t i cc o m m e r c i a lb a n k ，o p e r a t i o n a lr i s km a n a g e m e n tl e v e lo fc h i n a m e r c h a n t sb a n ke s p e c i a l l yi nt h eb a s i cu n i t s ，i sc o m p a r a t i v e l yl o w , c a n n o tm e e tw i t h r e q u i r e m e n to f “t h en e w b a s e lc a p i t a la c c o r d ”，a sw e l la st h es t r a t e g i cr e q u e s to f c h i n ac o m m e r c i a lb a n ki nt h ea s p e c to fo p e r a t i o n a lr i s km a n a g e m e n t t h e r e f o r e ， a c c o r d i n gt ob a s l ec o m m i t t e eo nb a n k i n gs u p e r v i s i o n sr e q u i r e m e n ti no p e r a t i o n a l r i s km a n a g e m e n t ，p r o f o u n d l yu n d e r s t a n d i n gt h e o r e t i c a lf r a m e w o r ko fc o m m e r c i a l b a n ko p e r a t i o n a lr i s km a n a g e m e n t ；p o s i t i v e l yc o n s u l tt ot h eo p e r a t i o n a lr i s k m a n a g e m e n tm o d e la n de x p e r i e n c eo fd o m e s t i ca n d o v e r s e aa d v a n c e db a n k s ，d e e p a n a l y s i st h ep r o b l e m se x i s t e di nc h i n am e r c h a n t sb a n kb a s i cu n i t s h a v eag o o d o p e r a t i o n a lr i s km a n a g e m e n t i nb a s i cu n i t si so fi m p o r t a n c e t h i sa r t i c l eb e g i nw i t h d e f i n i t i o n a m o n yo p e r a t i o n a l r i s k m a n a g e m e n t a n di n t e r n a l m a n a g e m e n t ， i i c o m p l i a n c em a n a g e m e n ，a n a y l y z e d t h ec s s c n c co fo p e r a t i o n a lr i s ka n di t s m a n a g e m e n t b a s e do nt h ep r o p o s i t i o nt h a t “s y s t e ms u p e r i o rt ot e c h n i c a l ”t h i s a r t i c l ef o c u s e do na n a y l s i sa n ds t u d yi nt h e o r e t i c a lf r a m e w o r ko fo p e r a t i o n a lr i s k m a n a g e m e n ts y s t e ma n dp r a c i t c a lm a n a g e m e n ts y s t e mm o d e l o fs e v e r a li n t e r n a t i o n m a d v a i l c e db a n k s o nt h a tb a s i s ，m a d es o m ep r o p o s a lo nt h ec o n s t r u c t i o no fc h i n a m e r c h a n t sb a n ko p e r a t i o n a lr i s km a n a g e m e n ts y s t e mi nb a s i c u n i t s k e yw o r d s ：o p e r a t i o n a lr i s k 、m a n a g e m e n t 、i n s t i t u t i o n ，c o m p l i a n c e 、m e t h o d l 引言 引言 在经济全球化进程中，由于市场波动、信息有限和商业银行技术操作层面 的问题，商业银行在经营管理的过程中主要面临着市场、信用和操作三大风险。 操作风险是银行内部操作层面的问题，与市场风险和信用风险具有以下显著特 征：一是伴随着银行业的产生而产生，甚至会伴随银行的整个生命周期；二是 具有风险性，尽管发生概率小，但一旦发生，造成的损失巨大；三是由商业银 行内部因素造成，和商业银行的操作技术密切相关；四是现有的研究以定性分 析为主，缺乏有效的定量分析模型等等。 在商业银行产生以来的一个很长时间，由于对操作风险认知程度有限，即 使到了2 1 世纪的今天商业银行实践中和理论界依然尚未形成统一、清晰的操作 风险概念，甚至在某种程度上难以与市场、信用风险进行有效区别。尽管操作 风险近年来在全球商业银行界已引起很大重视，但由于缺乏对操作风险的全面 认识，商业银行本身未形成统一的风险管理职能部门体系，如合同、审计与风 险管理之间界线模糊；商业银行监管部门更多关注的是商业银行的整体运作， 对操作风险的监管难以起到明显作用；银行咨询机构由于缺乏对银行整个操作 过程的全面了解和全面的经验积累，能够对银行提供风险管理特别是操作风险 的防范指导作用受到限制。上述原因造成了难以形成有效的现代化商业银行风 险管理体系。由于目前还没有有效地的定量分析模型和数据能够对商业银行操 作风险进行量化研究，人们对操作风险的生成机制难以形成全面、清晰的认识， 因此，到目前为止，世界各国都未建立起一个标准统一的操作风险管理体系。 操作风险管理已成为各商业银行的痼疾。在经济全球化的今天商业银行面临着 更急复杂的内外部环境，建立健全商业银行风险管理体系，强化操作风险防范 技术和健全一个完善的操作风险管理模式和制度体系是现代商业银行操作风险 管理的核心内容，也是保障商业银行安全、健康运营的重大现实课题。 操作风险管理的具体性特征要求商业银行根据自身的外部环境和内部资源 来建立与自己战略目标相适应的风险管理模式。但是，无论模式如何不同，一 个完整全面的操作风险管理框架至少应该在理论上包括四个组成部分：风险管 理战略、风险管理流程、基础设施和风险管理环境。招商银行作为一家国内优 秀的股份制商业银行，长期以来比较重视操作风险的管理，在操作风险管理的 1 引 言 制度体系、管理流程、组织架构、风险识别、风险评估、风险测量等方面进行 了诸多的探索，积累了一些有益的经验。当然，鉴于历史和环境等方面的约束， 与国内其他商业银行一样，招商银行尤其是在基层行目前的操作风险管理水平 还相对较低，还不能满足巴塞尔新资本协议的要求，也不能适应招商银行 风险管理的战略要求。因此，根据巴塞尔银行监管委员会关于操作风险管理的 要求，深刻理解商业银行操作风险管理的理论框架，积极借鉴国内外先进银行 操作风险管理的模式和经验，深入分析招商银行基层行操作风险管理中存在的 问题，做好基层行操作风险管理，具有重要意义。 2 1 操作风险管理的内涵界定 1操作风险管理的内涵界定 1 1操作风险 1 1 1 操作风险的定义 英国银行家协会最早给出的操作风险的定义指出，操作风险与人为失误、 不完备的程序控制、欺诈和犯罪活动相联系，它是由技术缺陷和系统崩溃引起 的。经过广泛的讨论和争论，1 9 9 8 年5 月，i b m 公司发起设立了第一个行业先 进思想管理论坛操作风险论坛，在这个论坛上，将操作风险定义为：操作风 险是遭受潜在损失的可能，是指由于客户、设计不当的控制体系、控制系统失 灵以及不可控事件导致的各类风险的发生。损失可能来自于内部或外部事件、 宏观趋势以及不能为公司决策机构和内部控制体系、信息系统、行政机构组织、 道德准则或其他主要控制手段和标准所洞悉并组织的变动。操作风险不包括已 经存在的其他风险种类如市场风险、信用风险及决策风险。操作风险论坛的结 论性定义逐渐为多数商业银行所接受。巴塞尔委员会关于操作风险的定义也是 建立在这个基础之上的。巴塞尔银行监管委员会对操作风险的定义是：操作风 险是指由于不完善或有问题的内部操作过程、人员、系统或外部事件而导致的 直接或间接损失的风险，这一定义包含了法律风险，但是不包含策略风险和声 誉风险。巴塞尔委员会在对操作风险定义是曾指出，商业银行办理业务或内部 管理出了差错，必须做出补偿或赔偿；法律文书有漏洞，被人钻了空子；内部 人员监守自盗，外部人员欺诈得手；电子系统硬件软件发生故障，网络遭到黑 客侵袭；通信、电力中断；地震、水灾、火灾、恐怖袭击等等都会给商业银行 带来损失，这一类的风险统称为操作风险。根据巴塞尔新资本协议，商业 银行操作风险一般分为由人员、系统、流程和外部事件等引发的风险有以下表 现形式。一是商业银行内部欺诈风险。主要是银行内部员工参与欺骗、盗用银 行资产等行为给商业银行本身带来损失的可能性；二是劳动合同纠纷，如员工 不履行合同、对员工的赔偿难以满足员工要求、员工在工作期间的伤害引起的 赔偿要求等造成的损失可能性；三是商业银行在经营中出现的计算机软件、硬 件错误或者通信系统故障等造成损失的可能性；四是由于不可抗力事件或其他 原因造成的设备、场所的损坏的损失可能性；五是外部欺诈风险。不法分子对 3 l 操作风险管理的内涵界定 银行进行的非法骗取、盗用资产行为造成商业银行损失的可能性；六是经营性 风险。商业银行在经营过程中由于产品设计、交割失误等原因难以满足顾客的 需求造成的客户流失或者其他损失的可能性；七是其他风险问题，如交易、合 作失败，数据错误、法律文件不完善、卖方纠纷等引起的商业银行损失的可能 性。 经济全球化背景下，信息技术和互联网把世界各国有机联系在一起。在以 计算机为代表的i t 技术的有力支持下，商业银行规模更加庞大，商业银行的金 融产品日趋多样和复杂，在全球网络连接中一丁点的“操作”失误可能带来巨大 严重损失。本世纪巴林银行的倒闭就是一个操作风险发生的一个惨痛教训。因 此，操作风险防范日益受到全球各商业银行的高度重视。 1 1 2 操作风险的特点 由于监管部门、商业银行本身在经营中有比较成熟的技术多市场风险、信 用风险进行防范管理，因此，在某种程度上操作风险造成的损失可能高于上述 两种风险。我们必须对操作风险的特征进行了解以便于能够进行有效防范。首 先，商业银行操作风险是内生风险，具有可控性。风险因素主要来源于银行内 部员工业务操作，风险因素与损失的关系是随机、难以量化的；其次，操作风 险与市场风险不同，只有损失，不可能有收益；再次，操作风险往往在交易规 模大、业务繁琐且随环境变化快的领域；第四，商业银行操作风险覆盖范围大、 涉及面广，操作风险覆盖了商业银行所有的业务领域和流程，涉及到商业银行 的内部所有部门，对操作风险的管理必须坚持系统论思想。以巴林银行为例， 从违规到倒闭的时间是三年，1 9 9 5 年2 月英格兰银行宣布巴林银行不得继续从 事交易活动。巴林操作风险发生的主要原因在银行组织问题上的内生风险，如 组织文化多元过快导致的沟通失败，组织治理和管理实效包括雇员不当、职责 不清、违反政策、雇主判断失误，未经授权并隐匿期权和期货交易活动。巴林 银行倒闭的根本原因在于对操作风险的防范失误，一是未能将交易与清算业务 分开，例如允许首席交易员负责清算工作等存在制度上的缺陷，很容易出现隐 瞒交易风险或亏损资金等操作风险；二是巴林内部审计组织松散，监管不力， 给银行职员的操作风险的存在留下可能空间。巴林银行高层对资产负债表反映 出的损失5 0 0 0 万英镑的巨额资金的问题竟然视而不见，内部审计部门未能及时 核实账目。审计、监管不力导致了巴林银行操作风险的发生概率增加。 4 1 操作风险管理的内涵界定 1 1 3目前我国商业银行操作风险主要特征 由于我国市场体系还不完善，公司法人治理结构不健全，尚未形成有效的 董事会、监事会、经理层之间的制衡机制。商业银行内部存在着事实上的“内部 人”控制。因而，我国商业银行操作风险与西方发达国家相比还存在着以下特征： 一是商业银行操作风险主要集中在由于内部欺诈、外部欺诈容易发生的主营业 务和零售业务领域，其中商业银行业务中的内部欺诈是造成操作风险的罪魁祸 首；二是操作风险的发生和商业银行的发达程度相关性低，但和商业银行的管 理机制、风险防范意识高度相关；三是操作风险的度量难度大，每次操作风险 造成的损失值离差很大；四是商业银行的业务规模和资产规模与操作风险发生 的可能性高度相关。 招商银行深圳分行会计刘演恒挪用资金案：从2 0 0 5 年1 2 月至2 0 0 7 年7 月 间，刘演恒共挪用客户在我行的“二手楼资金托管专户”资金2 4 笔，累计1 0 9 3 万元。案发时挪用资金余额9 9 8 8 2 万元。经追缴，其家属代为偿还3 1 0 万元， 尚欠6 8 8 8 2 万元。 刘演恒采取私刻公章、模仿负责人签字、伪造“二手楼托管资金划转申请 审批书”。利用其身处会计经办岗及登记二手楼资金托管划款台账的职务之便， 私刻了“龙岗支行个人银行部”业务章，模仿龙岗支行个人理财中心负责人签字， 伪造了“二手楼资金托管划款申请审批书”，制作假付款凭证和收款凭证，骗过 复核人员，先后从“二手楼资金托管专户”中划转资金2 4 笔。 此外，他还通过盗用复核人员操作系统来达到作案的目的。2 0 0 7 年8 月2 2 日，龙岗支行个人理财中心要办理2 笔二手楼资金划转支取业务，刘演恒为了 掩盖“二手楼资金托管专户”资金几乎被挪光的真相，利用复核人员离开柜台复 印资料未签退其电脑操作界面的机会，盗用复核人员的操作系统，从“活期存 款”、“活期储蓄存款”科目账户转款补齐亏空。 刘演恒有时甚至在复核人员在场的情况下，硬把复核人员支开，直接在复 核人员的电脑上“复核”。而他的经理就坐在后面，看在眼里，也不去制止。 总、分行给予刘演恒开除处分，并将其移送公安机关。总行严肃追究了案 件相关人员的责任，分别给予了深圳分行行长等1 8 人相应的行政处分和经济处 罚。 5 1 操作风险管理的内涵界定 1 2内部控制 1 2 1 内部控制的定义 所谓商业银行内部控制，是指一个商业银行为了保护其经济资源的安全性 和完整性，确保经济、会计信息的准确性，从而实现其经营目标，各部门协调 经济行为，贯彻执行经营方针，利用单位内部分工而实现经营活动的协调性、 经济性和效益性，在银行内部采取的目标确定、约束机制建设、评价和偏差纠 正的一些列措施实施过程。商业银行操作风险内部控制流程图见图1 。 按照控制目的不同，商业银行内部控制可分为财务会计控制和管理过程控 制。财务会计控制针对银行物资财务及财务活动的安全性、流动性、合法性和 会计信息的真实性、完整性、有效性进行检查、纠偏的活动；管理控制和商业 银行的经营决策有关，因此也成为经营控制，是指对经营目标、规划、决策过 程、决策方案实施等一些列经营行为进行的控制活动。会计控制与管理控制是 保证商业银行决策科学、财务安全、资金流动科学的重要保障，二者相互联系、 相辅相成、甚至相互融合，有些控制措施既属于于会计控制，也属于管理控制。 图1 1商业银行操作风险内部控制流程图 1 2 2 内部控制的基本目标 6 l 操作风险管理的内涵界定 商业银行实施内部控制的基本目的是为了确保其业务经营活动的效率性、 效果性、经济性、安全性和信息的准确性、可靠性。一是经营目标的实现。商 业银行通过明确职责、手续流程、操作程序、检查监督等有效地对经营中出现 的偏差分析，纠正失误从而保证实现经营目标。内部控制活动渗透到了商业银 行经营活动的各个角落，以确保商业银行各部门能够按照经营决策方针活动， 从而实现经营目标；二是资产的安全性、完整性。内部控制活动通过对商业银 行的业务流程进行监控，尤其是对现金、存款和其他货币资金、股票、债券等 有价证券的全面有效监控，保证银行资产的安全性和完整性；三是信息真实性、 完整性。商业银行要实现其经营和决策目标，离开真实完整的经营信息和准确 可靠的会计财务信息是不可想象的，因此，必须通过各种形式对所掌握的资料 和信息，进行监控，以便于作出科学决策。 商业银行内部控制基本目标是经营目标的实现，基本经营目标的实现离不 开在日常控制活动中与之相关的目标包括资产的安全性、信息安全性、财务管 理的科学性和人员安全性的实现，而内部控制目标的实现是建立在商业银行建 立完善的组织管理决策系统的基础之上的。商业银行内部控制目标的示意图见 图2 。 图1 - 2 商业银行内部控制目标示意图 7 l 操作风险管理的内涵界定 1 2 3 内部控制的必要性 商业银行内部控制是通过对内部活动流程各个环节的检查监督和必要地纠 偏活动，保障经营活动在既定的规划范围之内活动从而实现决策目标的过程， 内部控制为管理控制与会计控制两大类。内部管理控制是指那些对决策活动、 方案实施和技术升级等的监控活动，例如人力资源配置、技术升级等属于管理 控制范畴；内部会计控制主要是针对财务信息、会计记录和报表的准确性、可 靠性有直接影响的监控活动，例如对无权管理现金、签发支票的第三者职员编 制每月银行存款调节表的监督检查就属于内部会计控制活动，其目的在于提高 现金交易的会计业务、记录和报表的准确性、可靠性。商业银行实施内部控制 的现实意义包括以下几个方面：一是有利于保障资金安全和经营活动的顺利进 行。加强商业银行的内部控制尤其是强化操作风险的防范机制是保护企业资产 安全、完整与有效，提高会计核算的准确性与可靠性，贯彻执行银行各项方针、 政策，评价商业银行经济效益，保障经营活动健康运行，提高经营管理水平的 必要手段措施；二是有利于提高商业银行管理效率和内部安全防范水平。随着 信息技术和互联网的技术的发展，以电算化为主的企业财务管理系统逐渐得以 普及，大大提高了内部管理的效率。但与此同时，计算机信息丢失、程序失控、 破坏情况也时有发生，由此造成的管理中的责任混乱、推卸责任现象等问题限 制了内部管理效率的提高。造成这种现象发生的其关键在问题于核算软件存在 密码牵制性缺乏，普通密码设置方法已不能适应会计电算化系统的快速发展， 加强内部控制水平的提升、积极提高电算化会计信息系统的保密等级以避免信 息泄漏或破坏对商业银行日常业务活动的顺利展开具有重要实践意义。内部控 制活动贯穿于商业银行经营活动全过程的的各个环节，离开内部控制，商业银 行的经营活动可能会是一盘散沙，经营目标的实现将无从谈起。 1 3 合规管理 1 3 1 依法合规的定义 随着我国市场经济体制和法律制度的逐步完善，在商业银行监督管理工作 中开始经常使用“依法合规”这个专业术语。什么叫“合规”? 根据巴塞尔银行监 管委员会对合规风险定义可以看出，商业银行的合规特指商业银行在经营活动 8 1 操作风险管理的内涵界定 过程中遵守法律、法规和监管标准的行为。商业银行合规风险管理引言也对 “合规”的含义进行了界定，认为合规是指商业银行的经营活动与法律、规则和 准则相一致的状况。这个“规”除了包括银行经营准则、反洗钱法、保护隐私制 度、数据保护制度、消费者信贷权益保护、合同约定以及对恐怖分子融资活动 的防范规定等之外，依据监管部门或银行自身监管模式，还可以涉及到劳动就业 保护、市场公约、诚信廉洁和公平交易准则等商业银行经营活动之外的法律、 法规、准则等具有法力效力的规范性文件。 1 3 2 合规风险的定义 根据新巴塞尔协议对“合规风险”定义的内涵，合规风险是指由于商业银行 未能有效遵守银行业务活动的法律法规、规则、监管部门的要求、自律性组织 相关准则、银行业务活动行为准则等，而可能受到相关部门的制裁、处罚或者 由此带来的声誉、财务等的损失风险。“合规风险”从其定义上看主要强调由于 商业银行的自身行为的违规性、违法性而对其带来的财务、声誉损失。对法律、 法规、制度的遵守和服从监管要求市商业银行防范“合规风险”的必要条件。 1 3 3 合规管理的意义 合规管理是商业银行针对可能产生的“合规风险”而采取的一项内部核心风 险的识别、分析、监控和防范的管理活动。根据对合规管理范围的不同，有广 义合规管理部门和狭义合规管理部门。广义合规管理部门是整个银行履行合规 管理职责部门的管理系统的统称；狭义合规管理部门是专门对银行可能存在的 合规风险进行识别、评估、监控并报告的银行职能部门。合规管理是一项系统 性很强的工作单独由某一个职能部门进行是难以取得成效的，必须有商业银行 管理系统统一实施行动进行监管。专门的合规管理职能部门的职责是根据商业 银行的业务特征和合规管理要求进行合规风险的识别、评估、分析、进而要求 及时向管理决策层报告，采取措施以便有效防范。合规与风险管理职能部门相 互协作关系，合规管理与银行内部审计职能是相互分离的，内部审计部门有权 定期对合规管理部门职责履行和商业银行各项经营活动的合规性情况进行独立 审查。对合规管理进行适当性和有效性审计评价的目的在于防范“合规风险”发 生。 9 l 操作风险管理的内涵界定 1 4 操作风险、内部控制和合规管理三者之间的关系 商业银行操作风险管理与内部控制、合规管理联系十分密切，三者分别从 不同角度采取措施保障商业银行经营目标的实现，内部控制措施与合规管理属 于操作风险防范的不同制度构成。市场风险、信用风险、操作风险是商业银行 的传统三大风险，而合规风险是商业银行三大风险的更基础风险。合规风险与 传统三大风险既有联系也有区蔓l j l - 从其联系上看，合规风险的存在和发展是操 作风险的诱因和表现，操作风险进一步加剧了合规风险复杂性，二者都可能给 商业银行带来财务或声誉损失。从其区别上看，合规风险反映的是商业银行自 身主导的业务活动违法违规带来的风险损失可能性，操作风险反映的是商业银 行内部员工故意或偶然的操作失误带来风险损失的可能性。尽管多数操作风险 和操作环节及操作者密切相关，操作风险的发生在操作环节和操作者的违规性 和违法性。但是，简单的把合规风险和操作风险等同化是不全面、不准确，也 是难以奏效的，一些商业银行过多关注的是在银行业务操作环节和操作者身上 实施风险防范，其结果是操作风险在银行内部依然大量存在。合规风险主要发 端于商业行的制度层面和各级决策管理人员身上，从本源上讲，合规风险是制 度缺失和高层违法违规的结果。因此，商业银行对违规风险的防范应着重于制 度决策管理上的合规风险发生，而操作风险则是更多的在于银行业务的操作流 程的各环节和操作人员技术及失误发生的可能性上。从这个意义上讲，对合规 风险有时造成的损失比操作风险要大的多，而且由于制度和决策管理层引起的 合规风险往往更容易引起操作风险的发生。 合规风险管理指商业银行主动采取积极识别、评估和防范的措施，有效避 免违规发生或者纠正己发生的违规事项，合规风险管理是对商业银行内部制度 和决策过程及方法不断修订的过程。有效的合规风险管理是构建商业银行有效 内部控制核心。文化管理是新时期企业管理的一个有效方式和方向，建设商业 银行“合规文化”的核心是通过完善合规机制、合规职能部门和行动来构建商业 银行的法治理念与合规意识。建设透彻和具有广泛影响力的商业银行“合规文 化”必须抛弃传统的粗放式管理思路和方法，在商业银行业务流程的各个环节和 各级管理层中积极形成以是否“合规”的标准判断业务活动和经营决策的科学 性，通过不断的积累和沉淀塑造商业银行的“合规文化”的灵魂。 综合以上分析，我们可以认为操作风险管理、内部控制和合规管理是现代 商业银行风险防范管理的三位管理体系。内部控制和合规管理涉及商业银行经 1 0 1 操作风险管理的内涵界定 营活动的全过程中的所有环节和风险，操作风险管理主要侧重于商业银行内部 业务流程、操作人员和管理系统造成的风险。内部控制侧重于商业银行内部风 险防范的机制建设和优化，是由一系列措施、方法、制度、程序动态活动、过 程构成的综合管理系统。合规管理主要侧重于管理人员行为合法性与合规性的 引导和约束。由此可见，内部控制在三者中的涵义范围最广，在某种程度上包 含了合规管理和操作风险管理的内容，合规管理和操作风险管理属于内部控制 的深化和细化。合规管理与操作风险管理的交集主要集中体现在人员方面。合 规管理一般有分散和集中两种管理模式。分散管理模式把商业银行合规管理的 内容分散到具体业务环节和条线中去，位于各营运业务条线的合规工作人员既 要向业务条线主管报告工作。集中管理模式一般在商业银行总行设立一个合规 职能部门，所有合规工作人员在在部门负责人的领导下开展合规工作，这种管 理模式一般适合规模小的商业银行。从管理专业化的角度看，内部控制通常是 审计、法律、纪检监察、财务等职能部门对业务流程的各环节负有内部检查、 监控的责任。操作风险管理模式也可分为分散和集中两种模式。分散模式一般 在商业银行决策层建立操作风险委员会，负责操作风险管理领导和协调功能工 作，把具体的操作风险管理细节活动分散到各业务条线、风险管理职能部门、 财务管理、内部审计、纪检监察、法律事务等部门分别进行相应管理。集中模 式一般是在商业银行内部建立操作风险管理部门，在各业务线条、财务管理、 风险管理、内部审计、法律事务和纪检监察等部门的协助下统管整个商业银行 内的操作j x l 险防范工作。 在具体操作中，商业银行不专门建立操作风险管理部门而是内部审计部门 承担相应工作的管理模式是不合理的，在信息和网络技术不断发展的过程中， 操作风险管理将进一步精细化，内部审计部门可以对操作风险管理系统运作情 况进行评估并提供重要信息，但无法替代专门的操作风险管理职能部门。审计 部门的作用在于对操作风险管理体系以及不同业务部门的具体执行情况进行评 估，测定其风险存在的可能性和程度大小。通过对商业银行经营过程中的事故 调查，实现对操作风险管理模型进行系统测试。积极运用内部审计部门对商业 银行操作环节的各项业务进行调查和评估是开展风险管理的一项有价值的方 式。有利于协调风险管理与业务部门的活动，实现沟通的畅通和有效。以日本 大和银行为例。二战后，日本颁布的证券和交易法为了保障银行存款人利 益免受证券市场大幅度波动的影响，严格禁止银行参与国内证券业经营。日本 l 操作风险管理的内涵界定 银行业为了摆脱与非银行金融机构在业务竞争中的不利地位和开拓新的利润来 源，一方面积极开展国际证券业务，另一方面通过国外渠道从事国内证券投资。 由于许多交易人员缺乏必要的操作风险防范技能和经验，同本商业银行对应的 交易机构未能建立有效地操作风险管理机制，以至于出现了以总部设在大阪的 日本大和银行为代表的许多商业银行蒙受了巨大损失。行长藤田彬1 9 9 5 年宣 布，该行从1 9 8 4 年开始从事买卖美国债券业务使该行蒙受了1 1 0 0 亿同元( 以 当时汇率算为1 1 亿美元) 的巨大损失。 1 2 2 招商银行操作风险及其管理情况 2 招商银行操作风险及其管理情况 2 1招商银行的风险管理战略 制定风险管理战略是有效实施操作风险管理的首要工作，风险管理战略确 定了商业银行操作风险管理的总目标以具体业务目标、风险偏好、风险防商业 银行实现既定发展目标，这是商业银行决策层必须周详考虑的问题。在商业银 行总体风险管理战略制定以后，还要将其合理分解到各业务条线和职能部门。 风险偏好是指商业银行的所能承受的风险水平和程度，确定商业银行的风 险偏好是风险管理战略制定的前提条件。商业银行发展战略目标决定了其面临 的风险种类和风险偏好程度。从商业银行发展的国际经验来看，商业银行的风 险偏好程度同其价值导向、发展目标和风险管理水平是紧密联系的。确定商业 银行的风险偏好需要将其设定在商业银行的风险管理水平所能允许的不影响银 行正常业务发展的程度之内，且与商业银行的风险文化管理特征保持一致，这 样才能够有效实施风险管理战略。 在操作风险管理方法上，商业银行传统的操作风险管理主要由业务条线来 进行。近年来，一种新型的风险管理治理模式正在形成，这种模式是商业银行 设首席操作风险官，各个业务部门设置操作j x l 险经理，操作风险经理统一向首 席操作风险官定期不定期报告。这种风险管理模式便于商业银行统一的风险管 理政策建立、管理工具的开发、风险分析和测试、协调工作、对风险状况系统 整合等。负责f 1 常的风险管理活动的业务条线处于业务经营一线需要向客户推 介新产品、按流程进行业务操作、处理外部风险、管理大多数员工等。人力资 源、信息、监保、法律合规和财务等职能部门承担着与其职责内容相关突发风 险监控、对各部门的风险管理建议职责。商业银行业务条线与银行责任的区别 在于银行的责任是考查不同业务条线的业务活动和风险标准，对各种不同业务 条线的风险进行分析和进行趋势预测、同业发展趋势及经验分析、外部信息借 鉴、核算资金收益率等。操作风险通常由商业银行内部风险管理委员会实施监 控。银行风险管理委员会负责识别和评估整个银行的风险状况、风险事宜、审 查资本金分配所包含的风险政策等，以便于能够确保银行资源配置优化。商业 银行风险管理委员会的治理模式要求明确银行内部各部门职能、权力与责任， 1 3 2 招商银行操作风险及其管理情况 配备合适人选担任相应的工作。 所谓风险管理政策是商业银行为了实现操作风险管理目标对负责操作风险 管理各相关职能部门负有的职责、采用技术、方法等的具体规定以及对操作风 险定义等。商业银行风险操作管理的目标包括通过提高员工风险意识、提高银 行服务质量、科学计算经济资本额等降低操作风险造成的损失可能性。风险管 理政策与银行治理模式及其作用、责任密切联系，包括各种委员会、操作风险 职能部门、各业务线等的职责和作用的规定。风险管理政策还要求能够报告银 行运营的预期成果和规定银行各业务部门定期不定期向决策层报告的具体内容 要求。 2 2 风险管理流程 操作风险管理流程就是在既定的风险管理战略框架之下的操作风险管理的 日常活动及决策，由操作风险管理的一系列程序和方法构成。一个完整有效的 操作风险管理流程一般应由风险的识别、评估、控制、测量和监测、报告五个 环节构成。 识别l j ) l评估l j ) i 控制l 一爿测量l j ) l 报告 内外部环境分 析、业务流程分 析、部门识别、 综合系统分析 记分卡评估法 检查表法 叙述法 工作间交流法 确定标准、衡 量实际绩效、 差异分析、采 取防范措施 风险诱冈、风险 指标、损失历史、 因果模型、资本 模型和绩效测评 业务条线报告、自 评报告、业务部门 报告、审计报告、 决策层研判治理 图2 1商业银行操作风险管理流程图 2 2 1 风险识别 风险识别揭示了商业银行的业务流程或职能部门的风险状况、风险程度， 是操作风险管理的起点。风险程度一般用频率和强度来表述，以高、中、低进 行分析。操作风险识别主要内容包括：一是商业银行的内外部环境分析，对所 有商业银行业务中可能存在操作风险的细节事件进行分类列出详细清单；二是 进行业务流程分析，包括相关职能部部门的业务流程；三是对业务流程各环节 1 4 2 招商银行操作风险及其管理情况 的风险观察；四是综合自我识别与银行风险管理部门识别；五是积极进行商业 银行金融新产品推向市场前的风险识别；六是分析不同风险的相关性；七是借 用外脑对操作风险综合系统分析。 2 2 2 风险评估 由于有些风险事件难以获得有效数据进行单独测算，银行通过评估可以对 操作风险的承受能力进行分析判断，了解对风险事件如何进行监测和控制，弄 清商业银行的潜在缺陷是什么及改善的思路。因此说风险评估是操作风险测算 的必要补充，其关键是明确各职能部门的责任及应对机制。风险评估能够使商 业银行的风险分析更加公开和明晰，有助于实现商业银行的跨部门、跨业务条 线的风险研究，实现风险管理的全面性和科学性。风险评估过程应对控制的“真 空地带”进行确认和针对不管来自何处的风险提出相应的监测方法。风险评估能 够整合形成一个改进的风险管理计划、责任和目标。 除了巴塞尔银行监管委员会明确采用的记分卡评估法之外，风险评估的方 法还有很多，如检查表法、叙述法和工作间交流法等也是经常被采用的风险评 估方法。最常见的方法是检查表法，这种方法通常将设计好的问卷分发到各业 务部门，帮助其确认风险水平和相应的控制措施；叙述法从业务部门目标和风 险的界定开始，各职能部门对所采取的控制措施进行答辩而不是主管部门对预 期控制进行检查；工作间交流法通过跨部门员工之间的交流讨论识别评估风险、 监控及相应改进之处，有助于员工对共同决策方案的认可。由于风险评估的结 果的客观性仅依赖于特定评估报告人，这就要求风险评估过程必须独立，商业 银行风险管理部门对评估结果进行审核、和质疑，协调相关评估责任人以客观 有效的方式反映实际情况。信息技术、人力资源、审计和财务等其它职能部门 也要从商业银行整体利益出发针对特定领域风险评估的结果进行验证。 2 2 3 风险控制 风险控制是指商业银行管理者为了有效进行风险防范，采取有效措施和方 法来降低或消灭风险事件发生概率，从而减少风险损失的管理活动过程。操作风 险控制是操作风险管理的核心环节，常用的主动管理方法包括管理洞察、行为 监控、信息处理、规定程序、培训、流程控制、绩效指标、责任分离等；常用 的被动控制方法和措施包括保险、资本准备和业务外包等。其中，保险是通过 1 5 2 招商银行操作风险及其管理情况 保险公司对操作风险的非预期损失采取的一种有限或然保障措施；外包是通过 将相关业务外包给具有比较优势的单位部门实现风险转移的一种方法：资本准 备是对无法预计的操作风险可能造成的损失进行补偿准备的风险控制措施。 2 2 4 风险的测量和监测。 操作风险的测量和监测是一种定量分析过程，即根据历史数据，利用一定 的技术和工具对风险事件的分布情况、频率和损失情况进行测算的过程。主要 包括风险诱因、风险指标、损失历史、因果模型、资本模型和绩效测评等六个 方面的内容：一是风险诱因。一些风险度量标准会引起商业银行的操作风险， 度量标准的变化意味着风险组合的相应变化。度量标准主要包括交易量、员工 素质水平、技能水平、客户满意度、市场变动、产品成熟度、产品复杂程度和 自动化水平、地区数量等，可以是定性的，也可以赋予数值。二是风险指标。 在风险管理框架中的风险指标是对业务活动和环境进行监测的标准。风险指标 的选择要求遵循以下原则：前瞻性，风险指标应可以反映潜在的操作风险；风 险敏感性，风险指标应能够深入分析损失变动情况；满意性，风险指标应能够 满足使用者的需要。三是损失事件。商业银行可以通过开发数据库来累积操作 风险损失记录，也可记录最近尚未解决的风险事件。搜集历史数据可以进行经 验分析，有助于指导正确的行动来改善控制环境，同时也为定量分析奠定基础。 四是因果模型。预测潜在损失并在其发生前及时采取措施予以消除是操作风险 管理的目的，建立在贝叶斯网络或排斥分析之上的因果模型可以有效确定哪些 是风险因素，为操作风险管理明确行动方向。五是资本模型。经济资本对于完