（工商管理专业论文）我国商业银行的网上银行业务操作风险管理研究.pdf

摘要 2 0 世纪九十年代以来，网上银行的产生与发展为全球金融业带 来了新的机遇，也对银行业风险管理提出了更高的要求。本文从我国 商业银行目前网上银行业务发展情况出发，结合监管部门对商业银行 操作风险管理的要求，对现阶段我国网上银行业务风险管理的重点之 一操作风险进行研究，以期增强我国网上银行风险管理水平。 本文分为四个部分。其中，绪论部分综述了我国网上银行业务发 展情况，限定了本文研究的网上银行的概念，概述了网上银行业务的 特点，简单分析了网上银行业务带来的风险，并列出两个网上银行业 务案件，引出了本文对网上银行业务操作风险管理的研究。 鉴于网上银行业务操作风险管理应纳入商业银行操作风险管理 框架中，本文在第一章分析了我国商业银行操作风险管理的概况，结 合巴塞尔委员会对操作风险管理的相关文档和我国银监会颁布的商 业银行操作风险管理指引等文件，从操作风险的含义、巴塞尔委员 会对操作风险的管理规定、我国商业银行操作风险管理体系的组织结 构、职责界限、管理政策、方法、程序和主要管理措施等方面进行分 析总结，搭建了操作风险管理基本框架。 本文第二章对我国网上银行操作风险管理情况进行研究，明确了 我国网上银行业务操作风险的含义，依照巴塞尔委员会对操作风险的 分类，列举了五类操作风险在网上银行业务的主要表现形式，此五类 包括内部欺诈、外部欺诈、客户产品及业务操作、业务中断和系统失 败、执行交割及流程管理。为了强化对网上银行业务的操作风险管理， 考虑到银行全面风险管理原则对操作风险管理的适用性，本文在第二 章概括了网上银行业务操作风险管理原则，说明了网上银行业务操作 风险管理流程，从安全技术、内部控制、外包控制、信息披露、应急 处理、客户教育和业务风险事件处理七个方面，分析了网上银行业务 操作风险管理的主要措施。同时，本文在第二章还提出了目前我国网 上银行业务操作风险管理的问题，就专业化人才队伍培养和网上银行 业务操作风险评估体系建设给出了对策建议。 最后，为了进一步分析商业银行加强网上银行业务风险管理的方 法，本文在最后一章研究了一家国内大型商业银行的网上银行业务操 作风险管理案例，对该行网上银行业务发展状况、网上银行业务操作 风险管理框架结构和主要管理措施进行了介绍，对该行优化网上银行 业务风险管理流程和加强安全风险管理提出了建议。 本文旨在结合监管机构对操作风险管理的要求，从商业银行加强 管理角度分析我国网上银行业务操作风险管理的对策，期望商业银行 的网上银行业务能够实现健康快速发展。由于理论水平和工作经验有 限，文中定有不足之处，欢迎批评指正，本人将继续研究和学习。 关键字：操作风险，网上银行，风险管理 a b s t r a e 丁 r e c e n ty e a r s ，t h ei n n o v a t i o no fi n t e r n e tb a n k i n ga n di t sd e v e l o p m e n t h a v eb r o u g h tb a n k i n gs y s t e mm a n yo p p o r t u n i t i e s ，a n dh a v er e q u i r e da h i g h e rs t a n d a r do nt h er i s km a n a g e m e n to fb a n k i n ga l lo v e rt h ew o r l d t h i st h e s i sd e e p l ys t u d i e dt h eo p e r a t i o n a lr i s ko ni n t e r n e tb a n k i n g ，w h i c h i m p a c t si n t e r n e tb a n k i n gs y s t e mi nc h i n at h em o s ta tp r e s e n t ，h o p i n gt o i m p r o v et h er i s km a n a g e m e n to fi n t e r n e tb a n k i n gi nc h i n a t h i st h e s i si sd i v i d e di n t of o u rp a r t s i nt h ee x o r d i u mp a r t ，t h et h e s i s s u m m a r i z e st h e d e v e l o p m e n to f c h i n a 。si n t e r n e t b a n k i n g ，g i v e st h e c o n c e p t i o no f i n t e r n e tb a n k i n g d i s c u s s e di nt h i st h e s i s ，l i s t st w oc a s e s o fi n t e r n e tb a n k i n g ，a n dd r a w so u tt h e k e yp o i n t s o fo p e r a t i o n a lr i s k m a n a g e m e n to fi n t e r n e tb a n k i n g i nc h a p t e r1 ，t h et h e s i sd i s c u s s e st h es i t u a t i o no fo p e r a t i o n a lr i s k m a n a g e m e n t o fc h i n a sc o m m e r c i a l b a n k s ，a st h em a n a g e m e n to f o p e r a t i o n a l r i s ks h o u l db eu n d e rt h ef r a m e w o r ko f b a n k i n g r i s k m a n a g e m e n t t h em e a n i n go fo p e r a t i o n a lr i s k ，t h er e g u l a t i o n s o n o p e r a t i o n a lr i s km a n a g e m e n to fb c b s ，t h ef r a m e w o r ka n ds t r u c t u r e ，t h e p r i n c i p l e sa n dt h ep o l i c i e s ，t h ep r o c e s sa n ds o u n da c t i v i t i e so fo p e r a t i o n a l r i s km a n a g e m e n ti nc h i n aa r ed i s c u s s e di nt h i sp a r t c h a p t e r2i sf o c u s e do nw o r k i n go no p e r a t i o n a lr i s km a n a g e m e n to f i n t e r n e tb a n k i n gi nc h i n a i nt h i sp a r tt h et h e s i sf i r s t l yg i v e st h em e a n i n g o fo p e r a t i o n a lr i s ko ni n t e r n e tb a n k i n g ，a n dc i t e st h ee x a m p l e sf o rf i v e l o s se v e n tt y p e sc l a s s i f i e d b yb c b s t h e nt h e t h e s i sd i s c u s s e st h e p r i n c i p l e s ，p r o c e s s e s a n ds o u n d p r a c t i c e s f o ri n t e r n e t b a n k i n g s o p e r a t i o n a lr i s km a n a g e m e n t ，a n df i n a l l ys u m m a r i z e st h ep r o b l e m sa n d p r o p o s e ss o l u t i o n st ot h er i s km a n a g e m e n ts i t u a t i o n t h el a s tp a r to ft h e t h e s i sa n a l y z e sac a s eo fr i s km a n a g e m e n to n 1 i n t e r n e t b a n k i n g o fad o m e s t i cc o m m e r c i a l s u g g e s t i o n sa r em a d ef o rr i s ki d e n t i f i c a t i o na n d w e l la st h es e c u r i t yr i s km a n a g e m e n t b a n ki nc h i n a s o m e a s s e s s m e n tp r o c e s s e sa s a b o v ea l l ，u n d e rt h er e q u i r e m e n to ft h eb a n kr e g u l a t o r ya u t h o r i t i e s a n df r o mt h e p e r s p e c t i v eo fs e l fr e g u l a t o r y , t h i st h e s i sg i v e ss o m e s u g g e s t i o n s f o r o p e r a t i o n a lr i s km a n a g e m e n to fi n t e r n e tb a n k i n gt o c h i n a sc o m m e r c i a lb a n k s ，a st om a k et h e i ri n t e r n e tb a n k i n gg r o w s w i f t l y a n dh e a l t h i l y t h e r ea r ep r o b a b l ys e v e r a lm i s t a k e si n i t ，a st h ea u t h o r s o m e h o wl a c k sf o r t h ew o r k i n ge x p e r i e n c ea n da c a d e m i ck n o w l e d g e i ti s a p p r e c i a t e dt h a tt h e yc a nb ec o r r e c t e db yy o u ra d v i c e s k e y w o r d s ：o p e r a t i o n a lr i s k , i n t e r n e tb a n k i n g ，r i s km a n a g e m e n t 2 西南财经大学工商管理硕士( m b a ) 毕业报告( 学位论文) 原创性及知识产权声明 本人郑重声明：所呈交的毕业报告( 学位论文) ，是本人独立进 行调查和研究工作所取得的成果。毕业报告( 学位论文) 中除正文对 于直接引用的文字、数据或事实资料已经加以注释外，本毕业报告( 学 位论文) 不包含他人已经发表或撰写过的研究成果，也不包含他人为 获得西南财经大学或其他教育机构等的学位证书而使用过的材料。对 本毕业报告( 学位论文) 做出重要贡献的单位、团体、企业和个人， 均已在文中以明确方式表明。因本毕业报告( 学位论文) 引起的知识 产权纠纷概由本人负责，并承担由此引起的法律后果。 本毕业报告( 学位论文) 成果归西南财经大学所有。 特此申明 毕业报告( 学位论文) 作者签名： 年月日 绪论 1 9 9 5 年1 0 月，美国三家银行联手推出全球第一家网上银行，即 安全第一网上银行，由此揭开全球网上银行的发展序幕，国际各大商 业银行相继推出网上银行。1 9 9 7 年招商银行的网上银行“一网通 ， 开创了我国网上银行的先河，国内商业银行陆续进入网上银行服务领 域，我国网上银行业务迅速发展。据统计，2 0 0 7 年我国个人网上银 行和企业网上银行交易额规模达2 4 5 8 万亿元，环比增幅高达1 6 3 1 。 广义的网上银行指一切依靠计算机网络技术和通信技术办理银 行业务并进行银行内部管理的银行。狭义的网上银行是指通过互联网 ( i n t e m e t ) 进行银行业务处理，提供金融信息，并为各种通过i n t e r n e t 进行电子商务活动的客户提供电子支付和电子结算的银行。我国银监 会在2 0 0 6 年颁布实施的电子银行业务管理办法中认为网上银行 是商业银行等银行业金融机构利用计算机和互联网向客户提供的银 行服务。为控制研究范围，并结合我国网上银行的发展现状，本文所 研究的网上银行是我国实体的商业银行通过计算机和互联网提供的 金融服务，这些金融服务包括传统银行业务和因信息技术应用而带来 的新兴业务。 通过网上银行，客户不用等到银行营业时间内到银行办公场所、 通过与银行业务人员面对面的接触、填制一系列纸质的申请表、业务 凭证后才能获取银行服务，而是改为通过银行的网上银行用户界面， 借助客户自用的个人电脑或其他可以接入互联网的设备，通过填制电 子表格、电子凭证等完成金融服务。那么，网上银行服务就具有通常 所说的“三a 的服务特征，即网上银行是全天候运营的银行 ( a n y t i m e ) 、开放的银行( a n y w h e r e ) 、服务方式多样化的银行 ( a n y h o w ) 。 然而网上银行的发展也为商业银行带来了操作风险管理的压力， 1 艾瑞咨询集团：( 2 0 0 7 2 0 0 8 年中国网上银行行业发展简版报告，h t t p ：w w w i r e s e a r c h c o r n c n ，2 0 0 8 3 1 网上银行“三a ”式的服务在给商业银行的客户带来便捷的同时，也 使得银行的系统更容易受到攻击和外界的影响；网上银行业务对专业 化人员的需求加大了银行由人力因素引起的风险；电子化的交易给银 行带来了交易者身份确认、交易确认、数字传输的机密性、完整性等 问题；网上银行业务的顺利运营又依赖于银行核心处理系统和网上银 行业务系统的连续正常运转不难看出网上银行业务实际上给银 行带来了巨大的风险，特别对本不够成熟的商业银行操作风险管理提 出了更高的要求。 目前各界对传统银行风险防范与控制问题研究较多，但是对于网 上银行风险及其防范的研究才刚刚开始。近年来屡屡爆出的网上银行 案件更为商业银行网上银行风险管理敲响了警钟。仅以近年两个有代 表性的网上银行案例展开对我国商业银行的网上银行业务操作风险 管理的研究： 案例一：a 银行个人客户蔡先生是上海一家美资软件公司总经 理，经常通过网上银行购物、缴费、转账。2 0 0 7 年3 月1 0 目中午， 他上网查看自己银证通账户情况时发现自己银证通账户内显示资金 余额只有3 6 6 2 元，而该账户本该有1 6 万余元。蔡先生赶紧登录a 银行网上银行，却连续出错，无法查询。最终通过a 银行客服电话， 蔡先生确认自己的2 张银行卡被人通过网上银行分1 1 次转出共计1 6 万3 千余元。当天，蔡先生向当地公安机关报了案，警方经过侦查在 云南昆明捕获了犯罪嫌疑人。据犯罪嫌疑人交代，他们经事先预谋， 在网上利用发送照片之际，将携带木马程序的病毒植入被害人的电 脑，进而获取了被害人的银行账号、密码，同时修改了被害人的密码， 通过网上银行转账功能盗取被害人银行账户内资金。2 案例二：买地人存进银行的5 0 0 0 万元保证金，两小时不到，1 5 0 0 万元在他们不知情的状况下，被卖地人悄悄从网上银行划走了。这宗 蹊跷的巨款失踪案2 0 0 6 年8 月在深圳开庭审理，检方控z 银行某支 行副行长内外勾结，帮助卖地人操作将1 5 0 0 万元从网上转走。检方 陈述，被告人许某为z 银行某支行副行长，周某为一无业人士，林某 2 新华网：网上帐户1 6 万不翼而飞嫌犯精通编程昆明落网，h t t p ：w w w x i n h u a n e t e o m ，2 0 0 7 4 2 为一公司负责人，三人预谋骗取某项目启动资金。2 0 0 5 年7 月周某 以一地皮转让为饵欺骗x 公司到z 行开户存入5 0 0 0 万元后，复印并 伪造的a 公司资料，由许某配合为a 公司开通该行网上银行业务， 遂又通过网上银行将其1 5 0 0 万存款转移到林某控制的b 公司。不料 a 公司无意间发现1 5 0 0 万元被转走，立即到警方报案。接到报案后， 警方迅速展开调查，从银行监控录像里显示许某复印a 公司资料， 并让一名工作人员凭借复印的资料为a 公司开通了网上银行。犯罪 嫌疑人很快落网，被骗金额已依法全部返还到a 公司账户。3 3 人民网：副行长网上卷走1 5 0 0 万深发展行客户被骗案开审，h t t p ：w w w p e o p l e c o m c r l ，2 0 0 6 8 3 第一章我国商业银行操作风险管理概述 2 0 世纪末巴林银行的破产倒闭事件让全球金融机构恍然意识到 操作风险正成为金融机构面临的最大威胁之一，全球金融界才重新关 注这一最古老却又是最陌生的风险。巴塞尔委员会开始将操作风险纳 入重要关注领域，并最终在新资本协议中将操作风险纳入风险资本的 计算和监管框架。操作风险已引起监管机构的重视，并将其与信用风 险和市场风险并列为金融机构面临的三大主要风险。 近年来，信息技术在金融领域得到广泛的应用，金融产品极大丰 富，金融服务也日趋多元化；同时金融全球化的迅速发展，电子银行 业务的产生和急速发展，跨国界金融交易和服务的频繁发生，使银行 机构所面临的各类操作风险不断增加，于是银行业对操作风险的管理 就显得愈加必要和迫切。 一、操作风险管理概述 ( 一) 操作风险含义 目前，国际上关于操作风险的界定可归纳为三种观点，即广义概 念、狭义概念和介于两者之间的概念( 又称为战略操作风险概念) 4 。 广义的操作风险概念认为市场风险和信用风险以外的所有风险 都视为操作风险。狭义的操作风险概念认为只有金融机构中运营部门 有关的风险才是操作风险，即是说由于控制、系统及运营过程中的错 误或疏忽而可能引起的潜在损失的风险。第三种观点则首先区分可控 事件和由于外部实体( 如监管机构、竞争对手) 的影响而难以控制的 事件，然后将可控制事件的风险定义为操作风险，而另一类事件的风 险则被称为战略性风险。 巴塞尔委员会在新资本协议中指出，操作风险是指由于不完善或 4 张吉光著：商业银行操作风险识别与管理，7 页，北京，中国人民大学出版社，2 0 0 5 9 4 失灵的内部程序、人员和系统或外部事件导致损失的风险。从新资本 协议的操作风险损失事件分类表中可以看出，巴塞尔委员会关于操作 风险的定义基本上涵盖了商业银行的所有业务线，突出强调了银行内 部人员操作和业务系统因素所导致的操作风险。巴塞尔委员会对操作 风险的定义可能是业界认同程度最高的一种，因为目前越来越多的国 家采用巴塞尔委员会的监管标准，我国银监会也在2 0 0 7 年明确表示 将逐步实施新协议s 。 英国银行家协会( b b a ) 的操作风险界定分为三级，首先是将操 作风险产生主要来源界定为人、流程、系统和外部事件，然后对各类 来源引起的操作风险进行了分类定义，共划分了2 4 种类型，接着对 每一个类型的操作风险进行更详细的举例。从某种程度上将这一对操 作风险的界定更为系统、直观，容易掌握，便于分析汇报。 我国银监会在商业银行操作风险管理指引中将操作风险定义 为由不完善或有问题的内部程序、员工和信息科技系统，以及外部事 件所造成损失的风险，包括法律风险但不包括策略风险和声誉风险6 。 我们可以看出这一定义基本使用了巴塞尔委员会新资本协议的操作 风险定义，结合我国实际情况进行了修正，本文所述操作风险依照此 定义。 ( 二) 操作风险产生原因 从操作风险定义中，我们可以很清晰的看出操作风险主要源于业 务流程、人力因素、信息科技系统及外部环境等方面的问题或不完善。 业务流程因素是指由于内部流程设计不合理和流程执行不严格 带来损失的可能性。如流程设计不明、产品流程有漏洞、没有建立严 格的执行保证措施等。 人力因素是指由于员工的违法不合规行为、公司违反用工法、关 键人员流失等情况给银行带来损失的可能性。如掌握了银行关键作业 技能的雇员辞职、雇员罢工、超时加班、雇员欺诈行为等。 5 中国银行业监督管理委员会：关于印发 的通知，2 0 0 7 2 6 中国银行业监督管理委员会：关于印发 的通知，2 0 0 7 5 5 信息科技系统因素是指系统失灵、软硬件故障和业务系统漏洞给 银行带来损失的可能性。如不法分子对银行系统软硬件的破坏、业务 数据的不合适访问、不严格的软件变更管理、不足的数据备份等。 外部环境的因素主要是指由于自然灾难、外部欺诈、突发事件以 及银行经营环境的不利变化给银行带来损失的可能性。如火灾、地震、 恐怖袭击、外部抢劫、黑客攻击等。 二、巴塞尔委员会关于操作风险管理的规定 2 0 0 3 年，巴塞尔银行监管委员会颁布了操作风险管理与监管 的稳健做法7 可以说这标志着全球银行业对操作风险关注和管理 的正式登场。巴塞尔委员会认为虽然每家银行对操作风险管理的正确 方法取决于一系列因素，但是无论银行间规模和业务范围如何不同， 有一些相同因素是建立有效的操作风险管理框架的关键方面，如董事 会和高级管理层的明确战略和监督、健康的操作风险文化和内部控制 文化、有效的内部报告和应急方案等。巴塞尔委员会还在此文件中列 出了涉及有效管理与监管操作风险总体框架的一套原则，即著名的十 条原则。 2 0 0 4 年，巴塞尔委员会颁布了新资本协议。新资本协议明确提 出将操作风险纳入资本监管的范畴，要求银行为其分配风险资本。在 计算操作风险方法上，新资本协议为银行提供了基本指标法、标准法 和高级计量法，以促进银行不断提高操作风险管理水平。 鉴于巴塞尔委员会一系列操作风险管理规定对全球银行业管理 操作风险的重要意义，本文对巴塞尔委员会的操作风险管理主要规定 归纳总结如下： ( 一) 操作风险损失事件分类 巴塞尔委员会在新资本协议中按照操作风险产生的因素，将操作 风险事件划分为七大类型，并通过操作风险损失事件分类表对七类风 7 即s o u n dp r a c t i c e sf o rt h em a n a g e m e n ta n d s u p e r v i s i o no fo p e r a t i o n a lr i s k 。 6 险间进一步细分和业务举例。 一是内部欺诈，指故意骗取、盗用财产或违反监管规章、法律或 公司政策导致的损失，此类事件至少涉及内部一方，但不包括性别或 种族歧视事件。内部欺诈还可进一步划分为未经授权的活动、盗窃及 欺诈两种风险损失事件。 二是外部欺诈，指第三方骗取、盗用财产或逃避法律导致的损失， 可以分为盗窃和欺诈、系统安全性风险事件两类。 三是就业政策和工作场所安全性风险事件，指违反就业、健康或 安全方面的法律或协议，个人工伤赔付或者因性别及种族歧视事件导 致的损失。此类风险可进一步划分为劳资关系、安全性环境、性别及 种族歧视事件等三种形式。 四是客户、产品及业务操作类损失事件，指因疏忽未对特定客户 履行分内义务或产品性质或设计缺陷导致的损失。这种损失事件通常 表现为因适当性、披露和信托责任引起的风险事件，不良的业务或市 场行为，产品瑕疵，因客户选择和风险暴露而产生的风险事件，咨询 业务类风险事件等。 五是实体资产损坏型风险损失事件，指实体资产因自然灾害或其 他事件丢失或损坏导致的损失，比如自然灾害，恐怖袭击造成人员伤 亡等。 六是业务中断和系统失败类风险损失事件，顾名思义是指业务中 断或系统失败导致的损失，常见的有软硬件系统的失败、动力输送中 断等。 七是执行、交割及流程管理类操作风险损失事件，指交易处理或 流程管理失败和因交易对手及外部销售商关系导致的损失，进一步追 究产生损失的原因，可以划分为因交易认定、执行和维持问题产生的 损失，因监控和报告问题产生的损失，因招揽客户和文件记录不完备 造成损失，因个人或企业客户账户管理失误而损失，由于交易对手方 因素产生损失，在外部销售商和供应商问题中发生风险损失事件。 ( 二) 操作风险管理基本原则 鉴于2 0 世纪九十年代以来全球银行业操作风险事件的频发和造 成的巨额损失，为引导商业银行更好地管理操作风险，巴塞尔委员会 在操作风险管理和监管的稳健做法中，从营造适宜的风险管理环 境，风险识别、评估、监测、缓释、控制，监管者的作用以及信息披 露的作用四个方面确立了与建立操作风险管理框架有关的十条原则。 从内容上看，巴塞尔委员会的十条原则分别从战略、流程、基础 设施和环境等四个层次建立了操作风险的管理原则。战略方面涉及业 务目标、风险容忍度、管理模式以及与操作风险管理的相关政策，设 定了操作风险管理的总基调和基本方法；流程方面主要涉及既定战略 框架下操作风险管理的日常活动和过程；基础设施方面主要涉及用于 操作风险管理的系统和工具；环境方面主要涉及风险文化和相关的外 部因素。巴塞尔委员会也指出对于操作风险防范，一套较为完整的风 险管理目录，有助于银行对业务流程进行组织并在银行内部形成共同 的操作风险价值观和语言。 ( 三) 操作风险的管理框架 根据巴塞尔委员会在操作风险管理上发布的相关指导性文件，可 以清晰的得出如下操作风险管理框架： 操作风险管理组织结构。为了确保操作风险管理活动被很好地理 解和执行，巴塞尔委员会指出银行董事会应该为操作风险管理确定一 个组织结构，设定相关人员在风险管理过程中的任务和责任，并使每 个人清楚地了解自己的任务和责任。首先，操作风险管理的最终责任 由董事会承担，这种责任要求董事会对本行的产品、业务过程和相关 风险有全面的了解，负责核准并定期审核本行的操作风险管理系统， 对管理层的职责、权限与报告制度做出明确的规定。第二，银行的高 级管理层主要负责将董事会建立的操作风险管理系统转化成为具体 的政策、程序和步骤，以便于不同业务部门贯彻落实和对照检查。第 三，银行应该建立独立的操作风险管理职能部门，以辅助高级管理层 完成其操作风险管理责任。操作风险管理职能部门一方面要评估、监 控和报告银行整体的操作风险，另一方面要评定风险管理活动是否按 照操作风险管理战略和政策得以执行。第四，银行的操作风险管理系 统应该受到其内审部门全面、有效的监督。内审部门必须拥有一支独 立运作、训练有素、业务精良的内审队伍，并且不应直接负责操作风 险的管理。 操作风险管理战略和政策。就操作风险管理战略而言，巴塞尔委 员会指出，为使操作风险管理框架有效运行，银行首先需要识别其利 益相关人并了解他们的要求和银行对他们的义务，从中分析识别出本 行的关键业务驱动因素和相关目标。然后银行应该考虑本行在实现这 些目标的过程中面临的战略挑战，以及不去实现这些目标的后果，从 而建立起一套操作风险管理战略。就操作风险管理政策而言，巴塞尔 委员会认为银行要为所有关键业务及其支持过程制定操作风险管理 标准和目标，并且操作风险管理的方法也应包含于这些政策之中。操 作风险管理政策应该有助于业务活动及其支持过程的监控、测量和管 理，能够反映业务活动发生的内外部环境并接受定期的检查和更新。 这些政策还应该能够建立起一种机制，使银行能识别、测量和监控所 有重大的操作风险。为达到这个目的，它们应该具有与风险和采取的 行动相适应的范围和尺度，并定期清楚地传达给所有人员，以维持一 定的风险意识水平，同时确保它们被一贯地执行。 操作风险管理的流程。巴塞尔委员会指出银行的操作风险管理至 少应该包括识别、评估、监测、缓释控制和报告等步骤。有效的风 险识别要求银行要同时考虑包括银行的结构、银行业务的性质、银行 人力资源的素质、组织机构的变化、员工的流动性等内部因素和行业 的变化、技术的进步等外部因素，分析这些因素对银行目标的实现造 成多大不利影响。而在识别绝大多数潜在的不利风险的同时，银行应 该评估自身对这些风险的承受能力，这种风险评估可以通过自我评 估、第三方评估等方式，目的在于更好地掌握本行的风险状况和最有 效地使用风险管理资源。对识别评估出的操作风险，银行应制定控制 和缓释的政策、程序和步骤，即是说根据本行的风险偏好和状况，通 过使用合适的战略调整其操作风险状况。是缓释、控制还是接受风险， 如何控制和缓释风险，这要求银行从内部控制、加大计算机技术应用、 制定应急和连续运营方案等多个角度去考虑。最后要充分管理操作风 险，一套有效的监测程序就显得至关重要。除了定期监测操作风险状 况和监测操作损失事件外，银行还应该明确适当的指标，以便为将来 损失增大的风险提供早期预警，而有效的监测往往和健全的报告制度 及通畅的报告途径紧密联系。对监测中发现问题和操作风险状况的报 告，又需要银行对新风险进行识别和评估，对已经识别和评估的风险 依照新的风险偏好进行再次识别和评估如此循环往复。 三、我国商业银行操作风险管理体系 国际社会对操作风险管理的探索晚于对信用风险和市场风险的 研究，而我国银行业对操作风险的关注则更晚。在2 0 0 5 年国内银行 业频发大案的事实冲击下，银监会在3 月发布了关于加大防范操作 风险工作力度的通知，这才使操作风险管理正式进入议事日程。在 这一通知中，银监会提出了操作风险概念和十三条工作要求，强调各 银行机构必须有效防范和控制操作风险，要求各银监局抓好对操作风 险的基层监管。2 0 0 7 年4 月银监会发布了中国银行业实施新资本 协议指导意见，明确提出我国银行机构将以分类实施、分层推进、 分步达标的原则，稳步实施新资本协议，并表示表示将尽快公布符合 我国商业银行实际的操作风险资本计算方法。 2 0 0 7 年6 月银监会发布了商业银行操作风险管理指引，这是 继出台商业银行市场风险管理指引和商业银行合规风险管理指 引等一系列的监管文件之后，银监会发布的又一重要风险管理指引。 在操作风险管理指引中，银监会要求商业银行建立与本行的业务性 质、规模和复杂程度相适应的操作风险管理体系，有效地识别、评估、 监测和控制缓释操作风险。从操作风险管理的认识、制度建设、组 织结构的设计，到操作风险管理识别、评估、监测、报告、持续经营 机制的建立，再到操作风险损失数据库的构建和操作风险资本计量分 配模型的研究开发等方面，银监会在该指引中予以了进一步明确。 ( 一) 组织结构和职责界限 依照银监会在商业银行操作风险管理指引中的规定，商业银 行操作风险管理体系的具体形式不要求统一，但至少应包括董事会的 监督控制、高级管理层的职责、适当的组织架构、操作风险管理政策、 方法和程序以及计提操作风险所需资本的规定等五种基本要素。其中 我国商业银行操作风险管理组织结构及具体职责划分如下： 商业银行董事会承担监控操作风险管理有效性的最终责任。主要 职责包括制定与本行战略目标相致且适用于全行的操作风险管理 战略和总体政策；通过审批及检查高级管理层有关操作风险的职责、 权限及报告制度，确保全行的操作风险管理决策体系的有效性，将本 行操作风险控制在可以承受的范围内；定期审阅操作风险报告，充分 了解本行操作风险管理的总体情况、高级管理层处理重大操作风险事 件的有效性以及监控和评价日常操作风险管理的有效性；确保高级管 理层采取必要的措施有效地识别、评估、监测和控制缓释操作风险； 确保本行操作风险管理体系接受内审部门的有效审查与监督；制定适 当的奖惩制度，在全行范围有效地推动操作风险管理体系地建设。 商业银行高级管理层负责执行董事会批准的操作风险管理战略、 总体政策及体系，就操作风险的日常管理对董事会负最终责任。主要 职责包括根据董事会的操作风险管理战略及总体政策，制定、定期审 查和监督执行操作风险管理的政策、程序和具体的操作规程，并定期 向董事会提交操作风险总体情况的报告；全面掌握本行操作风险管理 的总体状况，特别是各项重大的操作风险事件或项目；明确界定本行 各部门的操作风险管理职责以及操作风险报告的路径、频率、内容， 督促各部门切实履行操作风险管理职责，以确保操作风险管理体系的 正常运行；为操作风险管理配备适当的资源，包括但不限于提供必要 的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提 供培训、赋予操作风险管理人员履行职务所必需的权限等；及时对操 作风险管理体系进行检查和修订，以便有效地应对内部程序、产品、 业务活动、信息科技系统、员工及外部事件和其他因素发生变化所造 成的操作风险损失事件。 操作风险专门负责部门是商业银行指定的与其他部门独立的、专 门负责全行操作风险管理体系的建立和实施、确保全行操作风险管理 的一致性和有效性的部门。主要职责包括拟定本行操作风险管理政 策、程序和具体的操作规程，提交高级管理层和董事会审批；协助其 他部门识别、评估、监测、控制缓释操作风险；建立并组织实施操 作风险识别、评估、缓释和监测方法以及全行的操作风险报告程序； 建立适用全行的操作风险基本控制标准，并指导和协调全行范围内的 操作风险管理；为各部门提供操作风险管理方面的培训，协助各部门 提高操作风险管理水平、履行操作风险管理的各项职责；定期检查并 分析业务部门和其他部门操作风险的管理情况；定期向高级管理层提 交操作风险报告；确保操作风险制度和措施得到遵守。 商业银行相关部门对本行操作风险的管理情况负直接责任。主要 职责包括指定专人负责操作风险管理，其中包括遵守操作风险管理的 政策、程序和具体的操作规程；根据本行统一的操作风险管理评估方 法，识别、评估本部门的操作风险，建立持续、有效的操作风险监测、 控制缓释及报告程序，并组织实施；在制定本部门业务流程和相关 业务政策时，充分考虑操作风险管理和内部控制的要求，保证各级操 作风险管理人员参与各项重要的程序、控制措施和政策的审批，以确 保与本行操作风险管理总体政策的一致性；监测关键风险指标，定期 向专门负责操作风险管理的部门通报本部门操作风险管理的总体状 况，并及时通报重大操作风险事件。 商业银行法律、合规、信息科技、安全保卫、人力资源等部门在 管理好本部门操作风险的同时，应在涉及其职责分工及专业特长的范 围内为其他部门管理操作风险提供相关资源和支持。 商业银行的内审部门不直接负责或参与其他部门的操作风险管 理，但应定期检查评估本行的操作风险管理体系运作情况，监督操作 风险管理政策的执行情况，对新出台的操作风险管理政策、程序和具 体的操作规程进行独立评估，并直接向董事会报告对操作风险管理体 系运行效果的评估情况。 ( 二) 操作风险管理政策、方法和程序 我国银监会要求商业银行制定适用于全行的操作风险管理政策。 操作风险管理政策应当与银行的业务性质、规模、复杂程度和风险特 征相适应。主要内容包括：操作风险的定义；适当的操作风险管理组 织架构、权限和责任；操作风险的识别、评估、监测和控n 缓释程 序；操作风险报告程序，其中包括报告的责任、路径、频率，以及对 各部门的其他具体要求；针对现有的和新推出的重要产品、业务活动、 业务程序、信息科技系统、人员管理、外部因素及其变动，及时评估 操作风险的各项要求。 在操作风险管理方法和程序方面，银监会认为商业银行应当选择 适当的方法对操作风险进行管理，比如评估操作风险和内部控制、损 失事件的报告和数据收集、关键风险指标的监测、新产品和新业务的 风险评估、内部控制的测试和审查以及操作风险的报告。对业务复杂 及规模较大的商业银行，银监会一方面鼓励其委托社会中介机构对其 操作风险管理体系定期进行审计和评价，以建立更合理有效的操作风 险管理体系，另一方面建议其采用更加先进的风险管理方法，如使用 量化方法对各部门的操作风险进行评估，收集操作风险损失数据，并 根据各业务线操作风险的特点有针对性地进行管理。在风险监测和报 告时，银监会要求商业银行制定有效的程序定期监测并报告操作风险 状况和重大损失情况。商业银行应针对潜在损失不断增大的风险，建 立早期的操作风险预警机制，以便及时采取措施控制、降低风险，降 低损失事件的发生频率及损失程度。特别的，对于重大操作风险事件， 商业银行应当根据本行操作风险管理政策的规定及时向董事会、高级 管理层和相关管理人员报告。 ( 三) 主要管理措施 银监会要求商业银行管理操作风险的措施至少包括如下方面： 一是内部控制。银监会认为商业银行应当将加强内部控制作为操 作风险管理的有效手段，相关措施至少应当包括：部门之间具有明确 的职责分工以及相关职能的适当分离，以避免潜在的利益冲突；密切 监测遵守指定风险限额或权限的情况；对接触和使用银行资产的记录 进行安全监控；员工具有与其从事业务相适应的业务能力并接受相关 培训；识别与合理预期收益不符及存在隐患的业务或产品；定期对交 易和账户进行复核和对账；主管及关键岗位轮岗轮调、强制性休假制 度和离岗审计制度；重要岗位或敏感环节员工八小时内外行为规范； 建立基层员工署名揭发违法违规问题的激励和保护制度；查案、破案 与处分适时、到位的双重考核制度；案件查处和相应的信息披露制度； 对基层操作风险管控奖惩兼顾的激励约束机制。 二是操作风险管理信息系统。为有效地识别、评估、监测、控制 和报告操作风险，银监会指出商业银行应对建立并逐步完善操作风险 管理信息系统。管理信息系统至少应当记录和存储与操作风险损失相 关的数据和操作风险事件信息，支持操作风险和控制措施的自我评 估，监测关键风险指标，并可提供操作风险报告的有关内容。同时， 商业银行应该迅速改进科技信息系统，提高通过技术手段防范操作风 险的能力，支持各类管理信息的适时、准确生成，为业务操作复核和 稽核部门的稽查提供坚实基础。 三是应急和业务连续方案。银监会指出商业银行应当制定与其业 务规模和复杂性相适应的应急和业务连续方案，建立恢复服务和保证 业务连续运行的备用机制，定期检查、测试其灾难恢复和业务连续机 制，确保在出现灾难和业务严重中断时这些方案和机制的正常执行。 四是外包风险管理。银监会认为商业银行应制定与外包业务有关 的风险管理政策，确保业务外包有严谨的合同和服务协议、各方的责 任义务规定明确。 五是保险。银监会指出商业银行可购买保险以及与第三方签订合 同来缓释操作风险。通过保险方式缓释操作风险的商业银行应当制定 相关的书面政策和程序，并且对操作风险管理的内部控制措施决不能 因此而被忽视。 六是计提风险资本。银监会要求商业银行按照其关于商业银行资 本充足率管理的要求，为所承担的操作风险提取充足的资本。 第二章我国网上银行业务操作风险管理 笔者认为，为有效防范和控制网上银行的风险，商业银行必须在 传统风险管理的基础上，深入探索管理网上银行风险的方法与途径。 从我国目前网上银行发展情况而言，商业银行是网上银行业务产生和 发展的母体与基础，那么商业银行的经营目标、风险偏好、风险管理 体系和机制在很大程度上决定和制约了该行网上银行业务的操作风 险管理状况。因此，研究和规划网上银行业务的操作风险管理要在商 业银行风险管理的整体框架下进行，结合网上银行业务特点持续不间 断地开展。 一、网上银行业务操作风险含义 对商业银行而言，一般认为其风险主要包括信用风险、国家和转 移风险、市场风险、利率风险、流动性风险、操作风险、法律风险和 声誉风险等类型。国际银行业普遍的观点认为互联网技术在金融领域 的应用并没有给银行业带来太多从未见识过的风险类型，更多的是使 传统意义上的风险有了新的表现形式，银行并没有面临风险失控的局 面。从这个意义上讲银行的风险管理架构无须因产品或服务的传递渠 道或媒介的变化而变化，网上银行业务也同样因为不完善或有问题的 内部程序、员工和信息科技系统，以及外部事件等原因造成操作风险。 但是目前我国的网上银行业务是商业银行开办的，因此不可避免的受 传统商业银行风险的影响。同时考虑到网上银行新技术的应用，使网 上银行服务在变得便捷的同时，也导致了技术上的脆弱性和依赖性， 因此银行还需要重点关注网上银行业务技术性的风险。 那么，将网上银行业务的操作风险按照起源来划分，我们可以得 到以下两大类别。 第一类是通过网上银行平台和渠道办理的银行业务本身的风险。 这类风险是指传统性的银行风险。就我国网上银行目前的发展阶段， 其主要扮演的还是交易平台和交易渠道的角色，银行业务本身面临的 操作风险是不会因为交易渠道的改变而消失的，那么传统银行业务的 各类操作风险会在一定程度上移植到其网上银行业务中。 还有一类是网上银行本身的风险。与传统的银行业务相比，开放 性是网上银行业务的基本特征之一。网上银行业务的开放性特征可以 从以下三个方面得以印证：一是网络社会化，网上银行的互联网是社 会化网络；二是终端社会化，进行网上银行业务操作的计算机绝大多 数都不是银行的终端；三是客户自助操作，网上银行业务是由客户自 己进行操作的，而不是由银行柜员进行操作的。这种开放性的特征和 计算机网络技术的应用使网上银行安全性成为备受关注的问题，对网 上银行业务操作风险管理提出了新的挑战。商业银行往往需要加强内 部控制、运用计算机系统安全技术、优化产品和流程设计、加强对客 户安全操作教育等多个方面来防范网上银行的操作风险。 二、网上银行业务操作风险主要表现形式 操作风险是现阶段我国网上银行运营过程中面对的主要风险，防 范、化解和缓解操作风险是商业银行网上银行业务风险管理的主要工 作内容。正如本文第一章所分析的，操作风险一般有七个主要类型， 网上银行操作风险也具有上述类型。但是，结合到计算机技术和互联 网技术的运用，网上银行业务的操作风险更突出的在内部欺诈，外部 欺诈，客户、产品及业务操作，业务中断和系统失败，执行、交割及 流程管理等五个方面表现出来。 ( 一) 内部欺诈 银行业操作风险中的内部欺诈风险主要涉及内部盗窃和欺诈、故 意的非授权活动以及内部信