（工商管理专业论文）中国工商银行衡阳分行信用卡业务操作风险管理研究.pdf

摘要 随着近年国内商业银行信用卡业务的快速发展，信用卡业务在给 银行带来可观的经济利益的同时，其产生的潜在操作风险也日益显 现，给银行带来的损失也越来越大，直接制约了信用卡业务的健康持 续发展。因此，对信用卡业务操作风险的度量和控制的研究在我国有 着重要的现实意义。 论文首先阐述了研究背景、研究目的以及所采用的研究分析方 法，对国内外学者关于操作风险管理的理论进行了阐述。论文介绍了 工行衡阳分行信用卡发卡机构的基本概况，重点剖析了该机构目前在 信用卡业务操作风险管理中存在的问题及产生的原因，对该机构的信 用卡业务的操作风险依照管理流程的五个环节：识别、量化、控制、 监测、报告依次进行分析和研究，找出其目前信用卡业务中存在的 5 6 个操作风险关键点和风险主要来源是人员和程序两个因素，了解其 操作风险管理状况的评价是处于可控制程度，利用自上而下的收入模 型，对该机构的信用卡业务操作风险资本进行了计量，并针对目前存 在的问题提出了进一步改进信用卡业务操作风险管理的建议和措施。 关键词信用卡，操作风险，管理流程，收入模型 a b s t r a c t t h er a p i dd e v e l o p m e n to fc r e d i tc a r db u s i n e s sh a sb r o u g h ta b o u t c o n s i d e r a b l ep r o f i t st od o m e s t i cc o m m e r c i a lb a n k s a tt h es a m et i m e ， p o t e n t i a lr i s ka r o s ea n di n c r e a s i n g l yc a u s e dd a m a g et ot h eb a n k s ，w h i c h m a d ear e s t r i c t i o no nt h ee x p a n s i o no fc r e d i tc a r db u s i n e s s s oi ti sv e r y i m p o r t a n ta n ds i g n i f i c a n tt om a k eas t u d yo nh o w t om e a s u r ea n dc o n t r o l o fc r e d i tc a r ds e r v i c eo p e r a t i o nr i s ki nc h i n a f i r s t ，t h ep a p e re x p a t i a t e so nt h eb a c k g r o u n do fw h yt h i st o p i ci s c h o s e n ，w h e r et h er e s e a r c hp u r p o s el i e sa n dw h a ta n a l y z i n gw a y sa r e u s e d t h e nf o l l o wt h e o r i e so fe x p e r t sf r o mh o m ea n da b r o a dr e l a t e dt o t h eo p e r a t i o nr i s km a n a g e m e n t t h e n ，t h ep a p e ri n t r o d u c e st h eb a s i c s i t u a t i o no ft h i sb a n k ，w i t ht h es t r e s so nt h i so r g a n i z a t i o n se x i s t e n t p r o b l e m sa n dt h er e a s o n so fo p e r a t i o nr i s km a n a g e m e n t a f t e ra n a l y z i n g t h i s o r g a n i z a t i o n s c r e d i tc a r ds e r v i c eo p e r a t i o nr i s km a n a g e m e n t a c c o r d i n gt o f i v el i n k so ft h eo p e r a t i o n a lr i s km a n a g e m e n tf l o w ： r e c o g n i t i o n ；a s s e s s m e n t ；c o n t r o l ；m o n i t o ra n dr e p o r t ，t h ep a p e rf o u n do u t 56o p e r a t i o n sr i s kk e yp o i n t si nt h ep r o c e s so fc r e d i tb u s i n e s s ，a n d d i s c o v e r e dt w om a jo rr e a s o nf o r o p e r a t i o n a lr i s k ：p e r s o n n e l a n d p r o c e d u r e ，a n d a s s e s s e dt h e o p e r a t i o n a l r i s k m a n a g e m e n to f t h i s o r g a n i z a t i o na tac o n t r o l l e dd e g r e e f i n a l l y , b yt h ei n c o m em o d e lo f t o p d o w n ，t h i st h e s i sm e a s u r e di t so p e r a t i o nr i s kc a p i t a la n da d v a n c e d s u g g e s t i o n s t of u r t h e r i m p r o v e c r e d i tc a r ds e r v i c e o p e r a t i o n r i s k m a n a g e m e n tf o ri t se x i s t i n gp r o b l e m s k e yw o r d sc r e d i t c a r d ，o p e r a t i o nr i s k ，m a n a g e m e n tf l o w , i n c o m em o d e l 1 1 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我 共同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。 作者签名： 日期：丛净旦月丛日 关于学位论文使用授权说明 本人了解中南大学有关保留、使用学位论文的规定，即：学校 有权保留学位论文，允许学位论文被查阅和借阅；学校可以公布学位 论文的全部或部分内容，可以采用复印、缩印或其它手段保存学位论 文；学校可根据国家或湖南省有关部门规定送交学位论文。 作者签名： 导师签名型萎墨日期：上丑年旦月丝日 硕士学位论文 第1 章导论 1 1 研究背景及目的 第l 章导论 从1 9 5 1 年世界上第一张信用卡问世，经过半个世纪的发展，信用卡已经 成为集存款、取款、转账、信贷、理财等功能于一体的新型支付工具。信用卡 业务由于其具备“大数法则”的经营特点，因而，具有较高的风险分散优势，使得 银行发卡机构不必耗费大量成本和控制手段去估价每一个持卡人的风险，而是 把注意力转向对持卡人总体的平均风险的把握。同时，信用卡业务的高赢利性， ( 透支利率年息高达1 8 以上) ，也使信用卡业务成为许多国际大银行的主要业 务和主要利润来源。花旗银行、美国运通公司、中国工商银行、工行衡阳分行 信用卡业务收入占总利润的比例分别为3 3 3 3 、7 0 、6 6 3 、2 3 4 。如下图 l 一1 所示。在香港，信用卡业务为香港各发卡银行创造的年收入总额达7 0 多亿 港元。目前，信用卡业务已成为国外商业银行最有价值的产品线之一，同时也受到 国内商业银行的普遍重视，并把信用卡业务作为未来零售银行业务的突破口。 图1 12 0 0 6 年信用卡业务收入占总利润比率 但由于信用卡业务的无担保循环信贷的产品特性和贷款实际发生的非计划 性，无固定场所、市场主体多元化、单笔金额小等特点，又决定了信用卡业务 是一项涉及面广、风险种类多样、危害性大、风险较高的业务。其主要涉及到 持卡人信用风险、特约商户交易风险、银行自身的操作风险。并具有隐蔽性、 硕士学位论文第1 章导论 滞后性、扩散性等特征。近几年来国内外商业银行信用卡业务的操作风险事件 接连发生( 实例见表l 一1 ) 。因此如何有效控制和管理信用卡业务操作风险， 已成为商业银行信用卡业务发展面临的一个重要课题。 表1 1金融机构风险损失事件的实例 年份事件的概 要 2 0 0 3韩国发生信用卡危机致使众多银行宣告该业务破产。 2 0 0 3 美国信用卡风险损失共6 9 亿美元。 2 0 0 4 英国信用卡行业的欺诈总损失达到5 0 5 亿英磅( 约9 亿美元) 。 美国发生了4 0 0 0 万户信用卡客户资料泄密事件，国内大约有8 0 0 0 户信用卡客 2 0 0 5 户受到了此事件的影响。 国内因信用卡诈骗立案就达1 8 3 5 起，涉案金额6 6 9 7 万元，造成的损失估计超 2 0 0 5 过5 0 0 0 万元。 工商银行某省分行近几年因信用卡违规套现和恶意透支等造成的呆账损失就高 2 0 0 1 2 0 0 5 达3 0 0 0 多万元，并被工商银行总行黄牌警告。 工行衡阳分行因信用卡违规套现和恶意透支等核销金额就达3 0 0 多万元。并被 2 0 0 2 2 0 0 5 上收信用卡的发卡审批权。 本人长期从事银行个人金融业务工作，特别是从2 0 0 0 年底至2 0 0 6 年6 月 在中国工商银行衡阳市分行信用卡部( 发卡机构) 先后从事信用卡业务的市场 营销和风险管理等工作，亲眼目睹了该行前几年由于片面强调业务发展，忽视 风险防范和管理所造成的严重损失，2 0 0 2 年至2 0 0 5 年因信用卡业务违规套现和 恶意透支损失就达3 0 0 多万元，信用卡业务的不良透支率曾一度高达2 0 ，在 总卡量不足4 0 0 0 张情况下透支余额却达到3 8 0 0 万元，卡均透支接近l 万元远 远高于经济发达地区如北京、上海的卡均不足2 0 0 0 元，受到总行的通报和业务 警告，并被上收信用卡的发卡审批权，操作风险事件也频繁发生，严重阻碍了 信用卡业务的发展。作为一名中层管理人员和一名m b a 学员，我感到自己有一 种责任和义务对信用卡业务的操作风险管理的相关问题进行研究。 论文的研究目的主要有： ( 1 ) 对工行衡阳分行信用卡业务操作风险管理的现状进行诊断，找出其信 用卡业务操作风险管理存在的问题和成因，对信用卡业务的操作风险关键点进 行识别，提高对信用卡业务操作风险的全面认识。 2 硕士学位论文第1 章导论 ( 2 ) 对工行衡阳分行信用卡业务操作风险进行评估和量化，了解其信用卡 业务中操作风险的主要来源和风险管理状况；通过建立量化模型，测算该机构 的信用卡业务操作风险资本，为我国商业银行的信用卡业务操作风险计量提供 参考，推动操作风险量化技术的应用和发展。 ( 3 ) 对工行衡阳分行信用卡业务操作风险管理流程进行分析与研究，并针 对目前存在的问题提出了进一步改进信用卡业务操作风险管理的建议和措施， 提高其对信用卡业务操作风险的管理水平。 1 。2 国内外研究现状及水平 1 2 1 国外商业银行操作风险管理和研究现状 最早提出操作风险( o p e r a t i o n 硒s k ) 形式的被认为( m i c h a e lp o w e r , 2 0 0 3 ) 是出现在c o s 0 1 9 9 2 年发表的内部控制：一个整体框架之中嘲，但显然该术 语在当时并没有像“内部控制”那样引起人们广泛的注意。1 9 9 8 年，巴塞尔银行 监管委员会对全球3 0 家主要银行进行了调查，提出了“操作风险管理”的调查报 告，指出“对于操作风险还没有广泛统一的定义。”同年，英国银行家协会等国际 著名金融组织对全球5 5 家金融机构发起了联合调查，于1 9 9 9 年提出了名为“操 作风险管理下一个前沿”的调查报告，首次对操作风险提出了“共同的核心定 义”，即“由不足够的或有问题的内部流程、人员和系统或外部事件所造成损失的 风险”。这一业界定义在2 0 0 1 年发布的“巴塞尔新资本协议”第二份征求意见稿及 2 0 0 4 年6 月发布的正式稿中都得到了采用。新协议还明确指出，该定义包含了 法律风险，但出于计量最低监管操作风险资本要求的原因，战略风险和声誉风 险不包含在内。因为战略风险和声誉风险是银行董事会对银行的重大发展方向 和目标的决策失误导致银行损失的风险，属于决策性质的风险而不属于操作性 质的风险。 2 0 0 3 年巴塞尔委员会发布的操作风险管理和监管的稳健做法还进一步 明确了操作风险的四种类型和七种表现形式，目前该分类体系已经成为全球范 围内金融机构管理操作风险的重要参考。 2 0 0 6 年1 0 月巴塞尔委员会在最终发布的新版有效银行监管核心原则中， 还专门为“操作风险的监管”新增一条原则( 原则1 5 ) ，这条原则概括了操作风 险管理和监管稳健做法的主要内容，指出“银行监管当局必须满意地看到，银 行具备与其规模及复杂程度相匹配的识别、评价、监测和缓解操作风险的风险 管理政策和程序。”同时，巴塞尔委员会还制定了评估该条原则执行情况的8 条 3 硕士学位论文第1 章导论 必要标准和l 条附加标准。 最早对操作风险提出量化模型的是邓肯威尔逊( d u n c a nw i l s o n ) ，他在1 9 9 5 年1 2 月的风险杂志上发表了“操作v a r ( v a l u e a t 融s k ) ”的文章乜】，将投资 控制领域的“v a r ，理论应用到操作风险控制当中，提出银行可以建立来自内部、 外部的操作损失事件的数据库，并从数据中模拟操作损失的分布。按照数理统 计的理念，设置不同的置信区间( 如9 5 、8 5 等) ，银行就可以算出自身操作 风险的v a r 。基于此，银行可以整体把握面临的操作风险，准备紧急预案以及为 其分配经济资本。 近年来，随着越来越多成熟的统计方法和模拟计算技术的介入，以及损失 事件历史数据的日益丰富，出现了一些用来度量操作风险的数量模型，但这些 模型真正的度量效果还没有定论还有待检验。如使用财务指标和收益波动性作 为衡量风险的变量的自上而下模型：如收入模型、财务指标法、波动率模型等： 以金融企业各个业务部门的经营状况以及各种操作风险损失事件为基础建立的 自下而上模型：如统计度量模型、因素分析模型、因果关系网络模型等。同时， 巴塞尔新资本协议也对操作风险的资本量化提供了三种计量方法：基本指标法、 标准法、高级衡量法。其中高级衡量法主要有四种：内部衡量法、损失分布法、 计分卡法和极值理论。 互换和衍生产品国际协会( i n t e r n a t i o n a ls w a pa n dd e r i v a t i y e sa s s o c i a t i o n , i s d a ) 在2 0 0 0 年总结业界操作风险管理的领先做法，将操作风险管理流程分为 循环往复的五个环节和步骤，即风险识别、风险评估和量化、风险控制与缓释、 风险监测和风险报告。指出了在既定的风险管理环境中，在给定的风险管理战 略和政策下，金融机构开展日常操作风险管理工作的业务程序和环节口1 。 从全球范围看，国际银行业及监管部门对操作风险管理的研究可分为四个 阶段： ( 1 ) 识别阶段( 2 0 世纪9 0 年代后期) ：9 0 年代初期，国际上对于操作风 险还没有统一的定义，也没有普通认同的衡量方法，既没有可以公开获的数据 库，也没有成熟的技术和软件。直到1 9 9 9 年6 月巴塞尔委员会颁布的新资本协 议框架，提出银行应对操作风险进行定量分析以后，操作风险才开始受到重视。 ( 2 ) 监测阶段( j a2 0 0 0 年起至今) ：国际银行界基本处于这一阶段，此阶 段主要表现为进一步关注和研究操作风险，能够运用简单的方法对操作风险进 行初步量化，并简单预测主要操作风险的发展趋势。 ( 3 ) 量化阶段：此阶段银行应能对自身所面临的操作风险进行准确的计量， 并对公开披露，2 0 0 4 年6 月巴塞尔委员会发布的新资本协议中提出了三种计量 4 硕士学位论文第1 章导论 操作风险资本的方法，即基本指标法、标准法和高级计量法。其中高级计量法 将于2 0 0 7 年底实施。届时将标志国际先进银行对于操作风险的管理进入了一个 更高的阶段。 ( 4 ) 整合阶段：此阶段银行将能结合自身所面临的操作风险运用多种方法 进行管理，以最大限度地降低操作风险所带来的损失。目前国际上大多数银行 对操作风险的研究和管理还处于第一或第二阶段，仅有少数国际先进银行进入 第三阶段。 1 2 2 国内商业银行操作风险管理和研究现状 国内银行业对操作风险的关注是近两年才开始的，真正意义上的标志性事 件应该是2 0 0 5 年3 月7 日中国银监会发布的关于加大防范操作风险工作力度 的通知，在这个通知中，银监会明确提出了操作风险概念，首次将操作风险与 信用风险和市场风险并列为银行面临的三大风险。 2 0 0 7 年3 月1 2 日银监会发布中国银行业实施新资本协议指导意见，明 确要求商业银行应对操作风险计提资本，并且在2 0 0 7 年底前公布符合我国商业 银行实际的操作风险资本计量方法。并要求大型商业银行应从2 0 1 0 年底开始实 施新资本协议，最迟也不能迟于2 0 1 3 年底。 2 0 0 7 年5 月1 4 日，中国银监会又发布了商业银行操作风险管理指引， 对商业银行的操作风险管理再次提出了更高要求。明确指出银行董事会承担监 控操作风险管理有效性的最终责任，高级管理层负责操作风险的管理最终责任， 操作风险管理部门要负责全行操作风险管理体系的建立和实施，其他部门对本 部门的操作风险管理情况负直接责任，内审部门不直接负责或参与其他部门的 操作风险管理。要求将操作风险作为单独一类重要的风险进行管理，建立与本 行的业务性质、规模和复杂程度相适应的操作风险管理体系，有效地识别、评 估、监测和控n 缓释操作风险。并按照银监会关于商业银行资本充足率管理的 要求为所承担的操作风险计提资本。同时重点强调了加强内部控制对降低操作 风险的重要作用及具体内容。要求商业银行应当将加强内部控制作为操作风险 管理的有效手段，包括对员工、业务流程、银行账户、案件查处等管理措施。 目前国内商业银行对操作风险研究还局限于定性分析，很少有定量分析， 对操作风险资本计量大多数银行是采取自上而下模型。由于尚未建立起至少3 年的内部损失数据库，所以无法采用自下而上模型的高级衡量法计量操作风险 资本。对操作风险管理基本上都处于操作风险的识别阶段，仅少数银行进入监 测阶段，落后于国际先进银行一至二个阶段。 北京师范大学的钟伟、王元在2 0 0 4 年的略论新巴塞尔协议的操作风险管 硕士学位论文第1 章导论 理框架一文和黄海声2 0 0 5 年的新巴塞尔协议与商业银行操作风险管理的 文章中，都针对巴塞尔新资本协议的主要内容和新协议对我国银行业的影响进 行了全面分析，为我国银行业提高操作风险管理水平指明了努力方向，具有很 强的启示作用和参考价值。 卡罗尔亚历山大编著的商业银行操作风险，汇集了国外操作风险管理专 家和学者的成功经验和做法，从操作风险的三大支柱入手，对操作风险的数量 框架、风险测量、统计模型、风险缓释技术，管理构架和风险资本等进行了独 到、精辟的分析和阐述，该书将理论与实践相结合，具有较好的研究信度和效 度。 中国人民大学的陈忠阳在金融机构现代风险管理基本框架一书中，对 操作风险的概念起源、性质和分类以及操作风险管理的传统特征和现代趋势进 行了全面分析，特别是对操作风险管理的基本框架及基本要素：操作风险管理 的环境和文化、战略和政策以及管理流程和技术方法进行系统深入的分析，并 对操作风险管理的策略和方法及作用都作了具体分析，具有一定的理论创新性 和实践指导意义。 张吉光的商业银行操作风险识别与管理，围绕商业银行操作风险管理中 的核心问题，“什么是操作风险? ”、“谁来管理操作风险? ”以及“如何管理操作 风险? ”展开论述，并紧跟国际金融界关于操作风险管理和研究的最新进展，对 操作风险的量化技术及巴塞尔新资本协议提供的三种操作风险资本分配方法进 行了详细分析。通过大量的案例对国内操作风险的管理现状进行了深刻的剖析， 具有一定的参考价值。 深圳发展银行信用卡中心的田卓雅、徐戎2 0 0 6 年在信用卡运行环节中的 风险点分析一文，中国工商银行牡丹卡中心的崔素芳2 0 0 6 年在加强内控合 规管理，防范信用卡操作风险文章中以及朱中南2 0 0 5 年在信用卡业务操作 风险的管理与控制的文章中，都从信用卡业务的操作流程出发，按照操作风 险的识别流程和方法，对可能发生的操作风险点进行分析，并找出控制和防范 操作风险点的办法和措施。 袁笑冬的信用卡风险的主要特征与成因分析一文，汪建峰编著的商 业银行操作风险管理实务一书中，都对信用卡业务操作风险的特点和操作风 险成因进行了深入分析，提出目前银行间的恶性竞争，个人征信体系不健全、 制度不健全，执行不力、客户服务不到位、科技手段和风险控制技术落后等是 导致信用卡操作风险频发的重要原因。 张学陶、童晶2 0 0 6 年在商业银行操作风险的实证分析与风险资本计量 6 硕士学位论文第1 章导论 中，采取自上而下模型中的收入模型对银行操作风险进行度量，从宏观视角建 立商业银行净利润与经济增长及银行不良资产间的对应关系，对国内两家商业 银行的操作风险状况进行实证分析，并在此基础上得出对操作风险资本的计量， 研究发现：收入模型可以在某种程度上反映操作风险的大小。对我国目前银行 业普遍缺乏巴塞尔新资本协议中要求的3 至5 年的损失数据库的情况下，该办 法对操作风险的资本计量具有一定的参考价值。 郭从秀、杨剑锷2 0 0 5 年在信用卡业务风险与防范措施一文，刘文章、 李兴继2 0 0 5 年在信用卡业务的风险及其防范的文章中，都从信用卡业务的 风险特点和成因出发，对防范信用卡操作风险的对策作了较为全面的探讨，提 出改进我国银行信用卡业务操作风险管理的建议，具有较好的现实指导意义。 1 3 研究内容及研究方法 1 3 1 研究的主要内容 本论文以工行衡阳分行信用卡业务的操作风险管理为研究对象，依据国外 先进的操作风险管理理论，从操作风险管理流程入手，根据巴塞尔新资本协议 中操作风险的定义和分类，全面系统地分析了信用卡业务中存在的操作风险关 键点、风险主要来源类别、风险监测方法和风险报告的处理；评估其操作风险 管理状况；利用自上而下的收入模型进行实证分析，得出其操作风险资本的计 量；并提出了进一步控制和缓释信用卡业务操作风险的建议和措施。 1 3 2 研究方法 本研究采用的方法是：个案研究；文献资料研究；问卷调查：计 算机软件应用( 社会科学统计软件s p s s l l 5 版) ；数据分析( 定量分析、定性 分析) 。本论文的研究思路和基本框架如图1 2 所示。 7 硕士学位论文第l 章导论 工行衡阳分行信用卡业务操作风险管理现状 上 i 工行衡阳分行信用卡业务操作风险关键点识别 图1 - 2 研究思路和基本框架 8 硕士学位论文第2 章商业银行操作风险管理理论简介 第2 章商业银行操作风险管理理论简介 2 1 商业银行操作风险的定义、分类及特点 2 1 1 商业银行操作风险的定义 巴塞尔委员会2 0 0 4 年6 月发布了巴塞尔新资本协议将商业银行操作风 险定义为：由不完善或有问题的内部程序、人员及系统或外部事件所造成损失 的风险。这一定义包括法律风险，但不包括战略风险和声誉风险。巴塞尔新资 本协议对操作风险的定义采取列举风险发生根源的方式来界定，主要考虑操 作风险监管资本计量和经济资本分配的可行性。该定义只考虑风险的直接影响， 将间接的影响排除在外。另外，该定义是从监管者角度出发的，主要考虑监管 需要，不能完全满足商业银行风险管理的实际，各国际性商业银行一般会在巴 塞尔新资本协议操作风险定义的基础上，结合自身情况定义本行的操作风险。 2 1 2 商业银行操作风险的分类 为了更好地满足管理的需要，方便对操作风险的识别、评估和对风险损失 的量化管理，并在银行内部和银行之间形成统一的纵向和横向比较标准，2 0 0 3 年巴塞尔委员会发布的操作风险管理和监管的良好做法进一步将商业银行 操作风险的四种类型：人力、业务流程、系统和外部事件划分为七种表现形式， 分别是：内部欺诈，外部欺诈，劳动合同以及工作场所带来的风险事件，客户 和产品以及业务操作引起的风险事件，实体资产损坏，业务中断和系统崩溃， 执行、交割及流程管理的风险事件等。表2 1 是对这七种风险事件的进一步细分 和业务举例。 9 硕+ 学位论文 第2 章商业银行操作风险管理理论简介 表2 1 操作风险损失事件分类表 事件类型 ( 1 级目录) 定义2 级目录 业务举例( 3 级目录) 交易不报告( 故意) 未经授权的活动交易品种未经授权( 存在资金损失) 头寸计价错误( 故意) 故意骗取、盗用财产 欺诈，信贷欺诈假存款 或违反监管规章、法 盗窃勒索挪用公款抢劫 第l 类 律或公司政策导致 盗用资产 的损失，此类事件至 恶意损毁资产 内部欺诈 伪造 少涉及内部一方，但 不包括性别种族歧 盗窃和欺诈 多户头支票欺诈 走私 视事件 窃取账户资金假冒开户人等 违规纳税逃脱( 故意) 贿赂回扣 内幕交易( 不用企业的账户) 盗窃抢劫 第2 类 第三方故意骗取、盗盗窃和欺诈伪造 用财产或逃避法律多户头支票诈 外部欺诈 导致的损失 黑客攻击损失 系统安全性 盗窃信息( 存在资金损失) 薪酬、福利、雇佣合同终止后的安排 违反就业，健康或安 劳资关系 有组织的劳工行动 第3 类全方面的法律或协一般责任( 滑倒和坠落等) 违反员工 劳蝴i 煅议，个人工伤赔付或 安全性环境健康及安全规定事件工人的劳保开 工作场所者因性别种族歧视支 事件导致的损失 性别及种族歧视 所有涉及歧视的事件 事件 违背信托责任违反规章制度 因疏忽未对特定客适当性臌露问题( 了解你的客户等) 第4 类 户履行分内义务( 如 违规披露零售客户信息 客户、产品及 信托责任和适当性适当性，披露和泄露私密 要求) 或产品性质或信托责任冒险销售 业务操作 设计缺陷导致的损为多收手续费反复操作客户账户 失 保密信息使用不当 贷款人责任( 1 e n d e rl i a b i l i t y ) 反垄断 不良交易不良市场行为 不良的业务或市操纵市场 场行为内幕交易( 不用企业的账户) 未经当局批准的业务活动 洗钱 产品缺陷( 未经授权等) 产品瑕疵 模型误差 l o 硕士学位论文 第2 章商业银行操作风险管理理论简介 客户选择、业务 未按规定审查客户 提起和风险暴露 超过客户的风险限额 咨询业务 咨询业务产生的纠纷 第5 类实体资产因自然灾 自然灾害损失 实体资产害或其他事件丢失灾害和其他事件 外部原因( 恐怖袭击、故意破坏) 造 损坏 或毁坏导致的损失 成的人员伤亡 第6 类 硬件 业务中断和 业务中断或系统失 系统 软件 败导致的损失 电信 系统失败 动力输送损耗中断 错误传达信息 数据录入、维护或登载错误 超过最后期限或未履行义务 交易认定、执行 模型系统误操作 会计错误交易方认定记录错误 和维持 其他任务履行失误 交割失败 担保品管理失败 第7 类 交易处理或流程管 交易相关数据维护 执行、交割及 理失败和因交易对监控和报告 未履行强制报告职责 手方及外部销售商 外部报告失准( 导致损失) 流程管理 招揽客户和文件 客户许可免责声明缺失 关系导致的损失 记录 法律文件缺失不完备 未经批准登录账户 个人企业客户 客户记录错误( 导致损失) 账户管理( 客户资产因疏忽导致的损失或毁 坏) 非客户对手方的失误 交易对手方 与非客户对手方的纠纷 外部销售商和供外包 应商 与外部销售商的纠纷 资料来源：b a s e lc o m m i t t e e ，o p e r a t i o n a lr i s kr u l e sl a n g u a g e ，a n n e x 2 ，w w w b i s o r g 2 1 3 商业银行操作风险的特点 ( 1 ) 操作风险与信用风险和市场风险的区别 与信用风险和市场风险相比，操作风险具有显著不同之处，主要表现在： 风险的内生性。除了风暴等自然灾害以及一些不可预测的意外事件外， 操作风险则是银行与生俱来的，由内部因素造成的，且大多是银行可控范围内 的内生风险，而信用风险和市场风险则不然，它们更多是种银行无法控制的 外生风险。 与报酬非一一对应。信用风险和市场风险存在风险与收益的对应关系， 硕士学位论文第2 章商业银行操作风险管理理论简介 风险越大，收益也越大。可这一关系不一定适用于操作风险。银行无时无刻不 在承担着操作风险，可这无法保证银行能够长时间，持续的获得收益，而且操 作风险损失在大多数情况下也与收益的产生没有必然的联系。 风险的多样性。信用风险和市场风险发生的环节仅限于与之相关的业务 环节，一般不会涉及到后勤保障部门。然而对于操作风险来说，它发生的可能 性几乎遍布银行的所有业务环节，从产品的推出、新技术的应用、人员的流动、 人员的欺诈行为、规章制度的建设到会计系统的稳定等，银行内任何一个环节 都可能引发操作风险。操作风险的多样性不仅体现在涵盖的部门上，而且反映 在它的内涵上，它包括了银行内部很大的一部分风险，如控制风险、欺诈风险、 信息技术风险以及法律风险等，随着银行的发展将来还会有许多新的风险不断 被归入其中。 ( 2 ) 操作风险与信用风险和市场风险的联系 操作风险与信用风险和市场风险虽然各自有其特殊的产生原因、表现形式 和特点，但它们又共同作用于商业银行的各项业务中，相互联系密切，主要表 现在： 操作风险的隐蔽性强。操作风险由于产生于组织内部的习惯性操作和人 为的主观故意，具有较强的隐蔽性，在操作风险事件发生的早期，通常表现为 市场风险和信用风险，而实际上是因为内部的操作风险事件造成的。 操作风险对信用风险和市场风险的放大作用。银行信用风险或市场风险 的损失可能因为内部管理的缺陷而被放大。如借款人的违约风险就会被银行的 流程缺陷风险而放大。 操作风险与信用风险、市场风险之间相互转化。如化解信用风险和市场 风险的复杂技术有可能将这些风险转变为抵押、对冲、信贷资产证券化等操作 风险。而且日益复杂的套利交易活动，在减少了市场风险的同时，也都大幅增 加了操作风险。 2 2 商业银行操作风险的管理流程 商业银行操作风险管理流程是指在既定的风险管理环境中，在给定的风险 管理战略和政策下，商业银行开展日常操作风险管理工作的业务程序和环节。 互换和衍生产品国际协会( i n t e r n a t i o n a ls w a pa n dd e r i v a t i v e sa s s o c i a t i o n ，i s d a ) 2 0 0 0 年总结业界操作风险管理的领先做法，将商业银行操作风险管理流程分为 循环往复的五个环节和步骤，即风险识别、风险评估和量化。风险控制缓释、 1 2 硕士学位论文 第2 章商业银行操作风险管理理论简介 风险监测和风险报告，见图2 1 所示。 上述五个环节形成了一个完整的风险管理循环，但风险管理不会就此停止， 而是接着进入第二个循环。而且，五个环节的次序也不是固定不变的，比如， 通过监测指标发现了某个异常情况。就需要再次进入识别程序，重新开始一个 循环过程。由此形成了一个复杂的循环往复的过程。 2 2 1 商业银行操作风险识别 风险识别是指通过一定的标准和手段，鉴别分析业务活动中一切可能导致 操作风险的因素和产生风险的环节点，确定风险的性质和种类以及风险产生的 原因与影响的过程。风险识别对开发操作风险监测和控制系统至关重要。可以 对风险控制或缓释机制的建立、保证管理当局了解操作风险事件起到重要作用。 ( 1 ) 风险识别的依据 从国外银行商业银行操作风险管理的实线来看，准确的操作风险识别基于 两点：明确的操作风险定义。科学的操作风险事件分类体系，目前，国外 大多数银行都认可巴塞尔新资本协议提出的操作风险基本定义和操作风险 事件分类体系，但也对其进行了延伸，设置了详细的操作风险目录。 ( 2 ) 风险的识别的方法 硕士学位论文 第2 章商业银行操作风险管理理论简介 一般可分为三种，分别沿着三条主线展开： 第一条主线是操作风险产生的原因，称为风险因素识别，主要依据巴塞 尔新资本协议操作风险定义中风险产生的四种原因，即内部程序、人员、技 术系统、外部事件。 第二条主线是操作风险事件的类型，称为风险事件识别，主要依据巴塞尔 委员会关于操作风险事件的分类，即内部欺诈、外部欺诈等七类事件。 第三条主线是操作风险造成的后果，称为风险影响识别。将操作风险产生 的影响分为财务影响和非财务影响，然后再继续向下挖掘分析，最终确定风险 的所在和事件产生的原因。 ( 3 ) 风险识别的常用工具 风险识别的常用工具主要有以下四种： 流程图，流程图分析是指通过分析银行每项产品和活动所经过的流程和 使用的系统，来识别操作风险暴露的方法。流程图通常以产品线为单位设计。 银行首先将自己的业务按产品类型分为储蓄、贷款、信用卡、保险等多种产品 线；然后将每个产品线按操作流程先后顺序分为设计，营销、控制等若干个工 序，形成产品线流程矩阵。每个工序又划分为关键程序和支持程序，详细列明 每个程序的职责、目标、使用的系统和责任人等事项。在此基础上，通过深入 分析每个工序、每个程序的人员、系统、程序等风险因素来识别每个产品线所 蕴涵的操作风险。 内部损失事件数据库。几乎所有的银行都已经采用或计划采用此方法。 它是在标准化的操作风险事件分类基础上，对银行内部已发生的风险事件进行 确认和记录，并采用结构化的方式进行存储所形成的数据集。数据库应收录导 致财务损失的事件和其他由操作失败引发的事件；每条数据至少包括事件的类 型、发生时间、损失金额、产生原因、重要细节描述等主要属性。数据库主要 用来识别不同类型的操作风险和风险热点，识别内部控制失败，还可作为数据 输入建立操作风险的量化管理模型，作为风险量化及经济资本计算的基础，作 为管理报告所使用的基础信息，自我评估整体风险状况等方面。数据库可以使 银行的操作风险损失与管理更加透明。 外部损失事件数据库。外部损失事件数据库和内部损失事件数据库的作 用相似。通过对其他银行操作风险事件的分析，来识别和控制自身的操作风险 暴露，尤其是那些影响大但发生概率小的事件。大多数银行会在其他银行发生 重大的风险事件时，检查内部控制的有效性：还有的银行会积极地监测外部事 件。外部数据来源的主要有两种：一种是同行协会，如花旗、摩根、德意志、 1 4 硕士学位论文第2 章商业银行操作风险管理理论简介 美洲等1 2 家金融机构在苏黎世发起成立的非营利性组织操作风险数据互换 协会( o i ) ；另一种是新闻媒体或专职的代理商，银行自己搜索媒体信息或者 从公共数据库( s a s ) 得到信息。 情景分析。情景分析是指通过广泛深入地考虑重大风险事件对银行的影 响和潜在风险，来识别、评估和控制风险暴露。商业银行操作风险分析人员通 过设计各种不同的情景，包括政治、经济、军事和自然灾害在内的各项外部环 境，可以是以往发生的，也可以是假设性的仿其情景，然后分析这些情景会影 响哪些业务，发生的概率及影响的大小。一旦出现新的金融业务、新的金融产 品、新的技术、就运用情景分析评价随之而来的风险。进行情景分析的关键是 在于对情景的合理设定，对设定情景进行深入细致的分析，以及由此对事态在 给定时间内可能发生的严重程度及因此可能遭受的损失进行合理的预测，最后 得出情景分析报告。情景分析也有不足之处，它需要进行过多的假设，而且数 据需求量太大。 2 2 2 商业银行操作风险与控制评估 在识别出潜在风险的基础上，通过有效的风险评估，银行可以更好的掌握 其操作风险状况，并通过将商业银行操作风险与风险管理战略和政策进行比较， 判断风险管理政策的效用，并识别那些超出银行风险偏好的操作风险，进而实 现最有效地使用风险管理资源，确定自身对这些风险的应对策略与措旄。这个 评估过程一般是由风险管理部门和业务管理部门来完成的自我评估；而监管部 门、外部审计等组织的独立评估会对自我评估过程起到很好的参考和推动作用。 ( 1 ) 风险与控制自我评估 根据1 9 9 9 年英国银行家协会对操作风险管理进行调查的结果，自我评估法 是银行业中应用最广泛的操作风险衡量方法。自我评估法是指商业银行各个部 门依据相关的内部控制制度、操作规程和政策，自主进行风险评估，以找出本 部门在内部控制和操作风险管理方面存在的缺陷，并评估这些缺陷对自身的经 营和业务活动可能产生的影响，进而为完善和提高商业银行操作风险管理水平 提供指导。 评估内容和范围 风险与控制自我评估的内容主要包括固有风险、控制风险、剩余风险三部 分。在这里，固有风险是指银行机构缺乏任何用来改变风险的可能性或影响的 措施时面临的风险；控制风险是指对操作风险没有良好的内部控制，或内部控 制无效，致使经营活动中的操作风险不能被及时发现而造成损失；剩余风险是 指在管理层对风险采取了应对措施之后剩余的风险。如果剩余风险暴露被认为 硕士学位论文第2 章商业银行操作风险管理理论简介 是不可接受的，银行将对风险根源进行识别并采取相应的行动。上述三者的关 系是：固有风险一控制风险= 剩余风险，剩余风险是银行操作风险管理的重点。 自我评估涵盖所有的业务部门，通常在产品线层次上进行，评估的范围应包括 每个产品线的每个流程。 评估方法 风险与控制自我评估的方法主要有检查表法、叙述法、工作间交流法等。 2 2 3 商业银行操作风险控制与缓释 在完成风险识别和评估之后，银行需要针对不同性质的操作风险进行不同 的处理，这就是风险控制与缓释过程。一般来说，在管理操作风险方面银行可 以采取四种策略：避免、缓释、转移和承担。何时应用这四种策略取决于银行 的风险偏好和风险容忍度，以及银行对操作风险控n 缓释措施的成本收益分析。 风险偏好和风险容忍度一般在银行操作风险管理战略中明确说明。风险偏好是 指银行对待操作风险的态度，应说明是否愿意承担风险，愿意承担何种类型的 风险。风险容忍是指银行对风险的接受程度，通常表示为一定的金额。成本收 益分析是指对拟采取措施的成本进行评估，并将其与控制风险所减少的损失或 降低的风险暴露水平进行对比，评价措施是否具有经济性。操作风险特征与管 理策略如表2 2 所示： 频 率 表2 2 商业银行操作风险特征与管理策略 风险特征：发生频率高，损失程度低 管理策略：缓释 管理的重点 风险特征：发生频率高，损失程度高 管理策略：回避 风险特征：发生频率低，损失程度低 管理策略：承担 风险特征：发生频率低，损失程度高 管理策略：转移 管理的难点 损失严重程反 2 2 4 商业银行操作风险监测 一套科学的风险监测系统能够帮助银行及时发现并及时纠正操作风险管理 的政策、程序和步骤中的缺陷，从而有效降低商业银行操作风险损失事件的频 率和严重程度。 风险监测的方法主要是风险监测指标法。风险监测指标法是指银行在对操 作风险点进行准确识别的基础上，通过设定一些可度量的变量来反映特定风险 的暴露情况，这些变量往往与该风险的产生有直接的联系，变量值的变化反映 风险水平的变化。通过预先设定好每个风险监测指标的临界值或门槛值，即表 1 6 硕士学位论文第2 章商业银行操作风险管理理论简介 示指标的变化限度或容忍限度，一旦监测结果达到或超过了该临界值或门槛值， 银行就会引起警觉，从而达到帮助银行明确识别各项重大风险，促使银行对这 些风险采取适当行动的目的。因此，它通常被用于银行的日常监控，识别并监 督潜在的风险“热点”，实现动态化的操作风险管理，而且监测的结果还会写入定 期向管理层和董事会提供的报告之中。 在选择和构建整体风险监测指标体系时主要遵循以下四个原则：1 、重要性 原则。指标的选择要覆盖当前整体范围内的操作风险重点环节，可能不是面面 俱到，但必须抓住操作风险易发的区域或者风险严重的区域。2 、开放性原则。 随着银行业务的发展和风险偏好的转移，指标的选择也应不断地做出相应的调 整和完善。3 、事前预警和事后计量相结合的原则。指标体系中的部分指标要对 操作风险有预先警示的作用，部分指标要在事后对操作风险事件的损失情况有 所计量，从而为银行达到高级计量法要求不断积累操作风险损失数据。4 、风险 容忍原则。指标体系的建立并非要覆盖银行业务线的所有操作风险点。根据成 本效益原则，对部分操作风险可以不进行监测，但其损失必须进行计量。 2 2 5 商业银行操作风险报告 风险报告的目的在于向高级管理层揭示以下信息：银行的主要风险源及整 体风险状况、风险的发展趋势、将来值得关注的地方。商业银行操作风险报告 流程( 见图2 2 所示) 。 业务部门操作风险报告高级管理层 图2 - 2 商业银行操作风险报告流程 1 7 硕士学位论文第2 章商业银行操作风险管理理论简介 根据巴塞尔委员会的有关规定及银行业的实际做法。风险报告大致包括风 险评估结果、损失事件、风险诱因、关键监测指标以及资本金水平5 个部分。 以达到以下四个方面的效果，首先董事会和管理层能够确认机构风险管理责任 的授权委托是有效的，他们对操作风险管理的要求得到了满足；其次金融机构 可以根据风险管理战略和风险容忍度来评估其所面临的全部风险：再次，“关键 风险监