（工商管理专业论文）商业银行操作风险管理研究.pdf

摘要 近年来，操作j x l 险事件频发，给商业银行带来了巨大损失，并且由于操作风 险涵盖了商业银行的所有资产和大部分业务线，一旦发生操作j x l 险事件，将给商 业银行造成巨大影响，由此引起了国际银行业及监管当局的高度重视。但是业界 对于操作风险管理的研究起步较晚，是目前商业银行风险管理中最为薄弱的一 环。巴塞尔银行监管委员会在新资本协议中明确将操作风险列为继信用风险和市 场风险之后的商业银行第三大风险，有关操作风险的理论研究和实践总结仍然较 为滞后。国内监管当局和国内商业银行对于操作风险管理的研究起步更晚，没有 相应的体系。 针对此种情况，本文探讨了操作风险、操作风险管理以及操作风险资本计量， 介绍了近年来关于操作风险管理的基础理论，综述了发达国家银行的操作j x l 险管 理框架和流程，并以法兴银行为例，分析其操作风险管理状况，和其2 0 0 8 年1 月所公布的操作风险案例及从中得到的启示。再通过分析国内监管当局对操作风 险管理的措施和国内商业银行操作风险管理现状，探讨建立适合国内商业银行情 况的操作风险管理体系。 在以上理论分析的基础上，结合国内商业银行的业务特点，具体分析并提出 了国内商业银行面对的内、外部操作风险点及控制措施，强调了同常业务、信息 系统及各类外部风险防范的重要性，并且也指出各业务和系统设置应急预案的重 要性，使得银行能够在发生风险时，仍然能够稳健运行。本文认为，可以利用保 险和外包缓释操作风险，但是更需要注意并防范因为保险和外包而带来新的风 险。本文提出了搭建适合国内商业银行自身的操作风险管理架构和全面风险管理 体系，建立同常监督机制，并加强监管约束和市场约束，以此提高国内商业银行 的操作j x l 险管理水平，及早的防范和控制操作风险，减少银行的损失。 关键词：操作风险管理，商业银行，监管 a b s t r a c t r e c e n t l y , m a n yo p e r a t i o n a lr i s ke v e n t si nb a n k st o o kp l a c ea n dc a u s e dg r e a tl o s s e s i n t e r n a t i o n a lb a n k sa n dt h e i rm a n a g e m e n ta r ep a y i n gm o r ea t t e n t i o nt ot h e s ei s s u e s ， a n dt h e ya r et r y i n gt o p e r f e c tt h e i ro p e r a t i o n a lr i s km a n a g e m e n ts y s t e m s b a s e li i i n d i c a t e st h ei m p o r t a n c eo fo p e r a t i o n a lr i s km a n a g e m e n t c h i n e s eb a n k ss of a rh a v e n t c o m p l e t e dt h e i ro p e r a t i o n a lr i s km a n a g e m e n ts y s t e m s t h i sa r t i c l ef i r s td i s c u s s e so p e r a t i o n a lr i s k s ，o p e r a t i o n a lr i s km a n a g e m e n to fb a n k sa n d o p e r a t i o n a lc a p i t a lm e a s u r e m e n tt h e o r i e s ，t h e ni ts u m m a r i z e si n t e r n a t i o n a lb a n k s o p e r a t i o n a lr i s km a n a g e m e n tf r a m e w o r ka n dp r o c e s s t h i sp a p e ra l s oi n t r o d u c e s o p e r a t i o n a lr i s km a n a g e m e n ts t a t u sa n dt h ef r a u dt r a n s a c t i o nc a s eo fs o c i e t eg e n e r a l e i nj a n ，2 0 0 8 t h r o u g ha n a l y s i so nt h er e g u l a t i o no fc h i n e s eb a n ks u p e r v i s i o nb o d i e sa n dt h e o p e r a t i o n a lr i s km a n a g e m e n ts t a t u so fc h i n e s eb a n k s ，t h i sp a p e rc a nh e l pc h i n e s e b a n k sf i n dm e t h o d st oc r e a t et h ea p p r o p r i a t eo p e r a t i o n a lr i s km a n a g e m e n ts y s t e m s t h i sa r t i c l es t u d i e sc h i n e s eb a n k s i n t e r n a la n de x t e r n a lo p e r a t i o n a lr i s kc l a s s i f i c a t i o n a n dc o n t r o l ，e m p h a s i z e st h ei m p o r t a n c eo fb u s i n e s sc o n t r o l ，i n f o r m a t i o ns y s t e ma n d e x t e m a lr i s k s i tp o i n t so u tt h a tb a n k sc a nm i t i g a t eo p e r a t i o n a lr i s k st h r o u g hi n s u r a n c e a n do u t s o u r c i n g t h ea r t i c l eg i v e sc h i n e s eb a n k ss u g g e s t i o n sa sh o w t oc o n s t i t u t et h e a p p r o p r i a t eo p e r a t i o n a lr i s k m a n a g e m e n tf r a m e w o r ka n de n t e r p r i s e w i d e r i s k m a n a g e m e n ts y s t e m s k e y w o r d s ：o p e r a t i o n a lr i s km a n a g e m e n t ，c o m m e r c i a lb a n k s ，s u p e r v i s i o n 2 学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研 究工作所取得的成果。除文中已经注明引用的内容外，本论文不含任何其他个 人或集体已经发表或撰写过的作品成果。对本文所涉及的研究工作做出重要贡 献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律 责任由本人承担。 特此声明 学位论文作者签名： 量夺 矽年5 - 月乒同 学位论文版权使用授权书 本人完全了解对外经济贸易大学关于收集、保存、使用学位论文的规定， 同意如下各项内容：按照学校要求提交学位论文的印刷本和电子版本；学校有 权保存学位论文的印刷本和电子版，并采用影印、缩印、扫描、数字化或其它 手段保存论文；学校有权提供目录检索以及提供本学位论文全文或部分的阅览 服务；学校有权按照有关规定向国家有关部门或者机构送交论文；在以不以赢 利为目的的自仃提下，学校可以适当复制论文的部分或全部内容用于学术活动。 保密的学位论文在解密后遵守此规定。 学位论文作者签名： 导师签名： 善承 僚收 删? 年；只| t q 矗1 每j 一手。f 1 1 选题背景及意义 第1 章绪论 2 0 世纪未，当巴塞尔银行监管委员会1 和大多数银行仍然在关注信用j x l 险和 市场风险之时，国际金融界发生的一起倒闭案( 1 9 9 5 年巴林银行倒闭案) 引起了 他们的震惊，并且在很大程度上改变了他们原有的认识和做法。这一事件给全球 金融机构都敲响了警钟操作j x l 险正在成为会融机构的最大威胁之一。至此， 人们力丌始重新关注这一最古老的风险。而巴塞尔委员会也丌始将操作风险纳入 到其新资本协议风险资本的计算和监管框架内。 操作风险是一种古老的风险，自商业银行诞生起就伴随其左右。但是很长时 间以来，商业银行却忽视了对操作风险的防范和管理。也就是最近几年的时间， 随着操作风险事件的频繁发生和损失数额的不断上升，商业银行才丌始重视对操 作风险的管理。从我国的情况来看，操作风险也是一直没有得到足够的重视。在 很多情况下，商业银行意识到了风险的存在，也采取了一定的措施，但并没有从 整个操作风险的角度进行考虑，只能是“头痛医头，脚痛医脚 。在这种情况下， 银行就不能从整体上把握其面临的操作风险，也就不可能准确对其进行计量。而 巴塞尔新资本协议明确提出，将操作风险纳入管理框架，并要求商业银行对其分 配资本。对于各家商业银行来说，加强对操作风险问题的研究是极为必要的。 2 0 0 4 年6 月公布的巴塞尔i i 国际统一资本衡量与资本标准协议：修改框 架将于2 0 0 6 年底率先在西方1 0 国集团实施，不久将被大多数国家银行监管当 局接受。在巴塞尔新资本协议中，明确了操作风险资本要求。中国银行监管当局 当年决定暂时不采用巴塞尔新资本协议进行监管，但是金融全球化浪潮，以及中 国商业银行的高速发展，使得中国银行业不能置身于国际最先进的风险管理规范 之外。但是由于操作风险对于发达国家银行都还是个研究较少的课题，中国对于 操作风险的理论研究就更是缺乏。国内需要大力研究操作风险，形成适合中国商 1 巴采尔银行：临管委员会足1 9 7 5 年由l 国集团的中央银行行长设移的。委员会由比利时、力拿人、法困、 德国、意人利、l | 本、卢森堡、荷兰、两班牙、瑞典、瑞i - 、英困和爻围银行j 侥管当局和中央银行的。岛级代 表组成。委负会秘书处设柏i 巴采尔固际清算银行，并通常神：此召开会议。 业银行的一套操作风险管理体系和理论，来有效防范和控制国内商业银行的操作 风险。 1 2 论文结构和内容 本文共分为六章，围绕着操作风险管理问题，研究了操作j x l 险管理的国际经 验，并结合国内商业银行情况，分析国内商业银行操作风险管理体系的构建。 第一章，绪论。介绍了对操作风险管理研究的背景和意义，介绍论文结构。 第二章，商业银行操作风险概述。介绍了操作风险的基本概念，包括定义、 分类和特征，也介绍了操作风险的三大支柱。 第三章，商业银行操作风险管理。包括商业银行操作风险管理战略，操作风 险管理架构，操作风险管理与内部控制，操作风险缓释。 第四章，商业银行操作风险量化与资本金要求。阐述了操作风险三类计量方 法，包括采用其中一些计量方法的要求。 第五章，发达国家银行操作风险管理。分析了发达国家银行的操作风险管理 框架和流程，并以法兴银行为例，分析了其操作风险管理状况，和2 0 0 8 年1 月 公布的欺诈交易案以及从中得到的启示。 第六章，国内商业银行操作风险管理。通过分析国内商业银行监管措施和国 内商业银行操作风险管理现状，笔者提出搭建国内商业银行操作风险管理体系， 加强监管约束和市场约束，并结合国内商业银行的业务特点，具体分析了国内商 业银行面对的内、外部操作j x l 险点及控制措施，强调了风险防范的重要性，也可 利用保险和外包缓释操作风险，并且也指出各业务和系统的应急预案的重要性，。 使得银行能够稳健运行。 本文希望通过对操作风险管理的探讨，能够引起业界对于操作风险的更多关 注并研究适合国内商业银行的操作风险管理体系，建立同常监督机制，提高国内 商业银行的操作风险管理水平，及早的防范并控制操作风险。 2 第2 章商业银行操作风险概述 2 1 操作风险的基本概念 银行业在绝大多数国家的国民经济中占有重要的地位，而稳健的银行体系也 是维持全球金融稳定的一个必不可少的因素。需要承担风险是银行业的一个内在 特征，但过度的、管理不善的风险可能会导致损失，进而危及到银行的安全。 总体来看，商业银行的风险管理大致分为三个领域：信用风险管理、市场风 险管理和操作风险管理。与其他风险管理相比，商业银行操作风险管理还处于起 步阶段，但是操作风险实际上早已存在。2 0 世纪9 0 年代以来，随着银行机构规 模扩大、交易数量增加和业务复杂程度加剧，各种各样的金融创新层出不穷，导 致一系列严重的操作风险损失事件，这些事件给全球金融机构敲响了警钟操 作风险f 在成为金融机构面临的最大威胁之一。这些事件表明，商业银行要想稳 健有序长足的发展，必须强化对商业银行操作风险的控制力度，否则商业银行可 能由于操作风险而造成无法挽回的损失、甚至导致破产倒闭。世界各国政府和金 融监管机构丌始重视操作风险的监管，积极将其纳入重要关注领域，并且将其纳 入风险资本的计算和监管框架。 2 1 1 操作风险的定义 国际银行业的风险管理实践表明，有什么样的风险认识，就会有什么样的风 险管理水平。因此，对操作风险进行准确、合理界定是建立完善、有效的操作风 险管理体系的前提和基础。 但是操作风险的界定相对信用风险、市场风险而言，要复杂的多。因为信用 风险是指商业银行银行账户( b a n k i n gb o o k ) 资产因对手未能履行合约义务而造 成经济损失的风险，通过对方违约时重置现金流的成本来衡量；市场风险是指商 业银行交易账户( t r a d i n gb o o k ) 资产因会融市场价格变动而遭受损失的风险，而 操作风险涵盖了商业银行的所有资产，甚至可以包括声誉，而且操作风险损失的 计量仍存在争议。 3 2 1 1 1 传统上对操作风险的定义 传统上，西方国家银行大多数是沿用对信用风险和市场风险的认定方法和管 理模式，在对风险作进一步细分的基础上，来对操作风险进行定义的。细分的操 作风险种类一般有控制性风险、流程风险、名誉风险、人力资源风险、法律风险、 收购风险、营销风险、系统失效、技术老化、税收变更、监管变更、营运能力、 项目风险、安全性风险、供应商管理风险、自然灾害风险、人为灾害风险等。 根据对操作风险细分类别的不同组合，对操作风险的界定可以归纳为以下三 种观点，即广义定义、狭义定义和介于二者之间的搁置法定义( 见表2 1 ) 。 表2 1 操作风险细分式定义观点比较表 操作风险子目广义定义观点狭义定义观点 搁置法观点 控制性风险 t 流样风险-0 名誉风险 人力资源风险 法律风险 t 收购风险 0 营销风险 系统火效 0 技术老化 0 _ 税收变更 _ 监管变化 营返能力 _ 项目风险 t0 安全性风险0 供应商风险 0_ l e vb o r o d o v s l y ( 1 ) 广义定义。这个定义的外延非常广泛，将市场风险和信用j x l 险以外的 所有风险均视为操作风险。其初衷是希望掌握在已经计量的市场风险和信用风险 损失以外所有潜在损失对利润和成本的影响，即涵盖了除市场风险和信用风险以 外的所有剩余风险，这f 是其最大优势所在。但同时也使得对操作风险的管理和 计量变得更加困难。 ( 2 ) 狭义定义。认为只有会融机构中运营部门有关的j x l 险才是操作j x l 险， 4 即由于控制、系统及运营过程中的错误或疏忽而可能引致的潜在损失的风险。根 据这一定义，操作j x l 险涉及的内容大多被定位于后台管理部门。优点在于将每个 后台部门的管理重点集中到他们所面临的主要风险上，缺点是没有将分类以外的 细分操作风险纳入管理，进而遭受一些不可预见的损失。 ( 3 ) 介于广义定义和狭义定义之间的搁置法定义。这种定义首先区分为可 控制事件和由于外部实体如监督机构、竞争对手的影响而难以控制的事件，进而 将可控制事件的风险定义为操作风险，对应另一类事件的j x l 险也就是一些研究机 构所称的“战略性风险”或“营销风险”，因不可控而在进行操作风险定义时予 以搁置。这种观点所涵盖的内容比狭义操作风险定义广泛而比广义操作风险定义 狭窄，因而可操作性更强。 2 1 1 2 英国银行家协会对操作风险的定义 1 9 9 7 年，英国银行家协议( t l l eb r i t i s hb a n k e r s a s s o c i a t i o n ，b b a ) 对商业银 行的操作风险进行了定义，认为操作风险与人为失误、不完备的程序和控制、欺 诈和犯罪活动相联系，它由技术缺陷和系统崩溃引起。 1 9 9 9 年，b b a 对5 5 家银行做了一项有关操作风险的调查，这5 5 家银行对 操作风险各有不同的定义和理解。b b a 对这些调查结果进行了总结，根据大多数 银行对操作风险性质趋于一致的认识，提出了操作风险的定义。此后，b b a 又对 操作风险的定义进行了进一步的探讨，并将操作风险重新定义为：操作风险是由 不完善或有问题的内部程序、人员及系统或外部事件所导致的直接或间接损失的 风险2 。从某种程度上讲，b b a 关于操作风险的界定更为系统、直观，容易掌握， 便于分析汇报，因而操作性更强，值得国内银行借鉴。此定义也为巴塞尔委员会 在修订资本协议时所采用。 2 1 1 3 巴塞尔银行监管委员会对操作风险的定义 巴塞尔委员会非常重视对操作风险的定义，在其发布的一系列文件中，从无 到有、从简单到合理，逐步完善和丰富了操作风险的定义。 1 9 9 7 年，巴塞尔委员会在有效银行监管的核心原则中对操作风险进行了 简单的定义：操作风险是指银行在r 常经营中因各种人为的失误、欺诈及自然灾 害、意外事故引起的风险。 随后几年中，巴塞尔委员会对于操作风险的定义进行了几次修订。最终，在 2 0 0 4 年6 月公布的新资本协议正式文件中，确认了操作风险的定义：即操作风险 2 历古斌，商业银行操作风险管理，l ：海财经人学：1 1 版 l ：，2 0 0 8 年1 月第一版 是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。 本定义包括法律风险，但不包括策略风险和声誉风险。 2 1 1 4 国内的操作风险定义 对比以上三种观点，不难看出三种对于操作风险界定方式的核心内容是一致 的，即都是围绕人员因素、流程因素、系统因素、事件因素来展丌的，但三者又 有所不同。 国内对于操作风险的研究起步较晚，且在监管方面跟多的借鉴于国际监管机 构。中国银行业监督管理委员会在2 0 0 7 年5 月公布的文件中，确定了操作风险 的定义：即操作风险是指由不完善或有问题的内部程序、员工和信息科技系统， 以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险，但不包括 策略风险和声誉风险4 。 由此可以看出国内监管机构对于操作风险的定义，是采用了巴塞尔银行监管 委员会新资本协议中的定义。 通过上面的分析，对操作风险的定义基本有了一个较为全面的了解。但面对 如此多的定义，有些银行的管理人员会产生疑惑，不知究竟该选择哪种定义。其 实这些定义，包括巴塞尔银行监管委员会给出的定义也只不过是适用于所有银行 的最低标准，并不是一个唯一标准。不同银行的业务、所在地区及规模都大不相 同，所以要想制定一个所有银行都能通用的定义是非常困难的。不同银行可以参 照上面所述的经典定义，结合自身的实际情况，分析并制定出适合自身的定义。 2 1 2 操作风险的分类 由于操作j x l 险难以界定和其自身的特点，对操作风险采用统一标准进行分类 和管理也是不现实的。因此按照不同的标准，可以将操作风险分为不同的类别。 2 1 2 1 巴塞尔新资本协议对操作风险的分类 巴塞尔银行监管委员会在新资本协议( 2 0 0 4 年6 月) 中对操作风险提出了两 种分类方式：按按业务类型进行分类和事件类型进行分类。 ( 1 ) 按业务类型的分类 巴塞尔银行监管委员会在新资本协议中，按业务性质把操作风险划分为8 条 3 巴采尔银行舱管委员会2 0 0 4 年6 月发布，中罔银行业舱督管理委员会翻译，巴采尔新资奉协 义统一资 奉计量和资奉标准的国际协议：修订框架，中国余触版 i ：，2 0 0 4 年9 ，丁第一版，第1 i 0 负 4 中国银行业临督管理委员会，商业银行操作风险管理指0 l ，2 0 0 7 年5 月，第三条 6 业务线( 见表2 2 5 ) 。 表2 2 产品线对应表( m a p p i n go f b u s i n e s sl i n e s ) 1 级目录2 级目录业务群组 公司金融 市政政府金融 兼并与收购，承销、私有化，证券化，研究，债券( 政 公司金融 商人银行 府、高收益) ，股本，银团，首次公开发行上市，配股 咨询服务 销售 交易和销 做市州定收入，股权，外汇，商品，信贷，融资，白营证券 售 臼营头寸 头寸，贷款昂l 同购，经纪，债务，经纪人业务 资金业务 零售银行业务零售贷款和存款，银行服务，信托和不动产 零售银行 私人银行业务私人贷款汞l 存款，银行服务，信托雨l 不动产，投资咨询 业务 商户商业公司砖，零售店品牌( p r i v a t el a b e l s ) 和 银行 服务 零售业务 商业银行 商业银行业务 项目融资，不动产，山口融资，贸易融资，保理，租赁， 业务贷款，担保，汇票 支付和结 外部客户 支付和托收，资金转账，清算和结算 算( 注) 托管 第二方账户托管，存托凭证，证券贷出( 消费者) ，公 代理服务 司行为( c o r p o r a t ea c t i o n s ) 公司代理发行和支付代理 公司信托 可支配基金管理集合，分散，零售，机构，封i = j = f 式，开放式，私募基金 资产管理 1 卜可支配基金管理 集合，分散，零售，机构，封c i i 】式，开放式 零售经纪 零售经纪业务执行指令等全套服务 注：与银行白营业务有关的支付和结算损火反映剑受影响的产i i ! i 线的损火记录当中。 ( 2 ) 按事件类型的分类 巴塞尔银行监管委员会确认了可能导致重大损失的操作风险事件的类型，并 按风险事件类型将操作风险划分为7 类( 见表2 3 6 ) 。 5 巴采尔银行舱管委员会2 0 0 4 年6 月发布， 奉计量和资奉标准的困酗；协议：修框架， 6 巴采尔银行 瞒管委员会2 0 0 4 年6 月发布， 奉计量和资奉标准的困际协议：修订框架， 中困银行业l 瓶督管理委员会翻译，巴采尔新资奉协泌- 统一资 中困会融版 l ：，2 0 0 4 年9i - 笫一版，笫1 7 7 页 中固银行业临督管理委员会翻译，巴粜尔新资奉协议统一资 中国会融f i ：版礼，2 0 0 4 年9 月第一版，第1 7 9 1 8 0 负 7 表2 3 事件分类详表 事件类型定义2 级目录业务举例( 3 级目录) 交易不报告( 故意) 未经授权的活动交易品种朱经授权( 存在资金损火) 头寸计价错误( 故意) 故意骗取、孺州财 欺诈信贷欺诈假存款 产或违反监管规 盗窃勒索挪州公款抢劫 章、法律或公司政 洛川资产 策导致的损火，此恶意损毁资产 内部欺诈 类事 i ，i ：至少涉及内伪造 部一方，但不包括洛窃和欺诈多户头支票欺诈 性别种族歧视事走私 什 窃取账户资金假冒开户人等等 违规纳税逃税( 故意) 贿赂同扣 内幕交易( 不川企业的账户) 谘窃抢劫 第二方故意骗取、盗窃禾i 欺诈伪造 外部欺诈洛川财产或逃避法 多户头支票欺诈 律导致的损火， 黑客攻击损火 系统安全性 谘窃信息( 存在资金损火) 违背信托责任违反规章制度 适当性披露问题( 了解你的客户等) 违规披露零售客户信息 适当性，披露和诚信责泄露隐私 任 冒险销售 为多收手续费反复操作客户账户 冈疏忽朱对特定客 保密信息使h j 不当 户履行份内义务 贷款人责任( 1 e n d e rl i a b i l i t y ) 客户、产晶及( 如信托责任和适 反垄断 业务操作当性要求) 或产品 不良交易市场行为 性质或设计缺陷导 不良的业务或市场行操纵市场 为 内幕交易( 不川企业的账户) 致的损火 未经当局批准的业务活动 洗钱 产品缺陷( 朱经授权等) 产晶瑕疵 模型误著 客户选择，业务提起和朱按规定审查客户 风险暴露超过客户的风险限额 咨询业务咨洵业务产生的纠纷 8 续表2 3 事件类型定义2 级目录业务举例( 3 级目录) 违反就业、健康或安劳资关系 薪酬，福利，雇佣合同终i 卜后的安排 就业政策和i ： 全方面的法律或协 有组织的，i ，1 - i ：行动 议，个人ji ：伤赔付或 一般性责任( 滑倒和龄落，等等) 作场所安全性环境安全性违反员i ：健康及安全规定事什 者l 灭l 性别种族歧视 事件导致的损火 ：i ：人的劳保开支 性别及种族歧视事什所有涉及歧视的事什 实物资产损实体资产冈白然灾 灾害和其他事件 自然灾害损火 崩： 害或其他事件丢火 外部原冈( 恐怖袋击、故意破坏) 造成 便1 ：， ： 业务中断和业务中断或系统火 系统 软仆 系统火败败导致的损火 电信 动力输送损耗中断 错误传达信息 数据录入、维护或登载错误 超过最后期限或朱履行义务 模型系统误操作 交易认定，执行利维持会计错误交易方认定记录错误 其他任务履行火误 交割火败 担保品管理火败 交易相关数据维护 交易处理或流科管 术履行强制报告职责 执行、交割雨理火败和冈交易对 监控和报告 外部报告火准( 导致损火) 流科管理 手方及外部销售商 关系导致的损火 其他 客户许可免则卢明缺火 招揽客户和文件记录 法律文什缺火不完备 个人企业客户账户管 未经批准登录账户 客户信息记录错误( 导致损火) 理 ( 客户资产冈疏忽导致的损久或毁坏) 1 卜客户对手方的火误 交易对手方 与1 卜客户对手方的纠纷 外包 外部销售商和供应商 与外部销售商的纠纷 ( 3 ) 组合分类 在巴塞尔银行监管委员会以上两种分类的基础上，通过把8 条业务线和操作 风险7 类损失事件进行组合，就可得到进一步细分的5 6 个类型的组合( 见表2 4 ) ， 9 这样的细分，为以后的监测、评估、缓冲或控制操作风险创造了条件。 表2 4 产品线与损失事件分类表 内部外部 就业政策客户、产 实体资 业务中执行、交 禾i i ：作场品及业断雨i 系割及流 欺诈欺诈产损坏 所安全性务操作统火败科管理 公司金融 交易和销售 零售银行业务 商业银行业务 支付结算 代理服务和保管 资产管理 零售经纪 2 1 2 2 其他的分类 其他比较典型的分类主要有： 英国银行家协议( b b a ) 将操作风险总体上划分为两类：一是操作性失误风 险( o p e r a t i o n a lf a i l u r er i s k ) ，是指由银行内部因素导致的操作风险，包括人员因 素、流程因素和系统因素导致的操作风险；二是操作性杠杆风险( o p e r a t i o n a l l e v e r a g er i s k ) ，是指由银行外部因素导致的操作风险。 杰克帕同( 2 0 0 4 ) 根据操作损失事件发生的频率，将操作风险分为三种类型： 名义风险、常念风险和例外风险。名义风险( n o m i n a lr i s k ) 亦称为重复性风险， 是指损失平均每周发生一次或更频繁的风险，与银行的同常活动有关。常念风险 ( o r d i n a r yr i s k ) 是指操作风险发生的概率可能小于一周一次，有的甚至几年才 发生一次，发生频率较低，损失较大，但对银行没有破产之虞的威胁。例外风险 ( e x c e p t i o n a lr i s k ) 是指操作损失事件的发生非常罕见，比如每年发生概率为2 或更小，但一旦发生会对金融机构有致命威胁的风险。其中，名义风险属于全面 管理的领域，常态风险和例外风险的分析是通过案例实现，可以从中吸取教训。 2 1 3 操作风险的特征 作为一个涵盖多种风险的集合概念，操作风险具有与信用风险和市场风险不 同的特征，是商业银行的基础性风险。 1 0 2 131 内生性和可控性 操作风险从其引发因素来看，主要是内部因素引发，包括人员因素、制度因 素、技术因素等，除自然灾害及军事等外部冲击导致的一些不可预测的意外事件， 大部分的操作风险都是内生性风险。其中人员因素包括工作人员在操作过程中出 现的意外事故、以及利用职权进行职业道德不允许的业务或挪用侵占银行财产 等；制度因素主要是指商业银行的内控制度不健全、不完善；技术因素则是指由 于内部程序、硬件、软件和通讯系统等发生故障以及一些技术模型的选择错误， 导致银行的风险。 这些操作风险，很大比例都在银行的可控范围之内，因此具有可控性。银行 可以采取相应的管理措施，比如加强内部控制、改造系统和流程、培训提高员工 素质、适当的业务外包和保险的运用等，可有效地降低这些内生性操作风险水平。 2 1 3 2 广泛性和普遍性 市场风险和信用风险的发生仅限于与之相关的商业银行部分业务环节，如业 务发展部门和业务管理部门等，一般不会在后勤保障部门出现。但操作风险则不 同，操作风险几乎覆盖了银行经营活动的所有方面，所涉及的每一方面、每一环 节都可能产生失败。 2 1 3 3 难以度量性 对于市场风险和信用风险，国际金融实务界和学术界都给与了相当的关注， 且研发出较为成熟的风险管理技术，在一定程度上可以准确度量和预测。 相对而言，操作风险的研究和管理较为滞后。由于引起操作风险的因素分散 于银行各项业务中，涵盖业务的广泛性、风险发生的可能性、损失大小的不确定 性、形成原因的复杂性等，诸多因素综合作用使操作风险很难测量和预测。近年 来一些发达国家银行积累了一定的操作风险历史数据，国际会融界操作风险测量 技术也有了一定的发展，但是对于操作风险的计量还是主要依赖管理人员的主观 经验，历史数据远远不够，使得对操作风险的度量很难实现。 2 2 操作风险的三大支柱 为了更加全面、有效的反映和管理商业银行操作风险，巴塞尔委员会提出了 操作风险的三大支柱，分别是最低资本会要求、监管部门的监督检查和市场约束。 各国监管当局应充分考虑本国银行业的发展情况，制定监管措施。各国的商业银 行应根据本国监管当局的要求，按自身发展水平的不同，制定有效的制度。 2 2 1 最低资本要求 第一支柱是指巴塞尔新资本协议中的最低监管资本要求。商业银行要界 定资本金的分配范围并计算监管资本。商业银行的监管资本包括信用风险、市场 风险和操作风险总的最低资本要求。资本充足率的计算方式是采用监管资本除以 j x l 险加权资产，总的资本比率不得低于8 。 在巴塞尔新资本协议推出之前，操作风险的资本要求并没有被积极地纳 入测量风险和配置资本金范围之中。在早期，巴塞尔委员会把它消极地定义为“其 他风险”除了信用、市场和利率风险以外的风险。但这样做并不能为测量风 险和分配资本提供好的基础7 。国际金融界也不存在一个能够被广泛认可的模型。 针对这个状况，巴塞尔委员会着手丌发了一系列更具风险敏感性、更为复杂、 更为精确的方法来解决这些问题，并为开发高级方法敞开了大门。在巴塞尔新 资本协议中规定了三种方式计算商业银行操作风险，即基本指标法、标准法和 高级计量法。这三种方法在敏感程度和复杂性上是逐渐加强的。巴塞尔委员会鼓 励银行采取更加精确的计量方法，但必须符合新资本协议框架的资本要求。关于 操作风险资本的三种计算方法，在第四章中将详细介绍。 2 2 2 监督检查 第二支柱是对商业银行进行外部监管。监管部门对商业银行操作风险的监管 评估是建立在四个基本原则之上，即商业银行应该有评估j x l 险( 资本充足率) 的 体制；监管部门应该评估商业银行的内部资本充足率；监管部门应该要求商业银 行操作风险资本水平应满足最低监管资本之上；商业银行资本遭受损失时监管部 门应及时采取补救措施。 在操作风险同益受到重视的基础上，很多风险管理专家认为即使是操作风险 高级计量法也存在缺陷，所以不能把操作风险孤立起来，应该将操作风险与信用 j x l 险、市场风险综合考虑，建立全面的风险管理机制。因此认为各国监管部门应 该要求商业银行制定严格的程序，有董事会和高级管理层的监督，有健全的资本 评估方法，有全面评估风险体系，有效地监测和报告系统，有内部控制的检查等， 以此来进行全面监管。 新框架的监督检查程序的目的，不仅是要保证商业银行有充足的资本应对业 7 卡罗尔编著，陈林龙等详，商业银行操作风险，中国会_ 融! ；l ；版社，2 0 0 5 年1 月第一版，第2 负 1 2 务中的所有风险，而且还鼓励商业银行开发并使用更好的风险管理技术来监测和 管理风险。第二支柱特别适合于处理以下三个主要领域的风险：第一支柱涉及但 没有完全覆盖的风险( 例如贷款集中风险) ；第一支柱中未加考虑的因素( 例如 银行账户的利率风险、业务和战略风险) ；银行的外部因素( 例如经济周期效应) 。 第二支柱更为重要的一个方面，是对第一支柱中较为先进的方法是否达到了最低 的资本标准和披露要求进行评估，特别是对操作风险的高级计量法的评估。监管 部门必须确保商业银行自始至终符合这些要求8 。 巴塞尔委员会1 9 9 7 年发布的有效银行监管核心原则、1 9 9 9 年的核心原 则评估方法和2 0 0 6 年1 0 月的有效银行监管核心原则( 修订本) 确定了相 应的监管原则，各国监管当局应根据各国的实际情况，来贯彻执行该原则。 2 2 3 市场约束 第三支柱即市场约束，是对最低资本要求( 第一支柱) 和监督检查( 第二支 柱) 的补充。市场约束也就是信息披露问题。有效的信息披露可以使银行的利益 相关者及时全面地了解银行的风险状况，通过信誉机制和股票市场的“投票机制 对银行经营管理发挥监督约束作用9 。巴塞尔委员会通过建立一套信息披露制度以 达到促进市场约束的目的，保护银行专有信息之间保持平衡。总体上，商业银行 披露应与银行高级管理层、董事会对银行风险的评价和管理相一致。共同的披露 框架有效的将银行j x l 险暴露告知市场，并为增强可比性提供了一致、合理的披露 标准。 为了形成有效的市场纪律，监管当局应当要求商业银行进行定期的信息披 露，并做到及时、准确且无重大遗漏。根据巴塞尔委员会的要求，要求披露的操 作风险信息包括：操作风险管理的战略和过程，风险管理的结构和组织，风险报 告或者风险测量系统的范围和内涵，对冲或者化解风险的政策，监测对冲或者化 解风险的方式和过程，适用的计算规范资本的方法，计提的操作风险资本金，基 本业务管理等信息。 实施第三支柱的实际意义在于，巴塞尔委员会希望通过商业银行进行信息披 露来实现对其的市场约束。巴塞尔新资本协议对第三支柱的规定分为两个部 8 巴粜尔银行i 瞒管委员会2 0 0 4 年6 门发布，中因银行业脓督管理委员会翻译，巴采尔新资奉协议统一资 奉计量和资奉标准的固际协议：修订框架，中固会融版丰 ：，2 0 0 4 年9 月第一版，第1 2 6 负 9 章衫，解读巴采尔新资奉协议，中因经济版卡i ：，2 0 0 5 年1 月第一版，第1 5 负 分：一是总体考虑，包括披露要求、指导原则与会计披露的关系、重要性、频率 以及专有信息和保密信息等；二是具体披露要求，包括使用范围、资本结构、资 本充足率等。 各国监管部门应该要求商业银行在安全稳健的基础上进行信息披露，来保证 商业银行的权益。此外，监管部门还应该制定一套有效的程序，约束商业银行遵 守信息披露的规定。这样，可以使信息披露成为有效的管理工具，也可以通过信 息披露加强对银行的监管，使银行内部更加注重操作风险的控制。 】4 第3 章商业银行操作风险管理 操作风险自银行产生时起就与银行的各项业务紧密相连，在操作风险被同益 重视和广泛讨论的基础上，越来越多的风险管理专家认为，不能孤立的看待操作 风险。巴塞尔银行监管委员会在新资本协议中明确提出对信用风险、市场风 险、操作风险的最低资本要求，将该三大类风险列入一体化的监管要求范围。事 实上，全面风险管理( e n t e r p r i s e - w i d er i s km a n a g e m e n t ，e r m ) 证在迅速地进入 全球主流商业银行的重要议事同程。 3 1 商业银行操作风险管理战略 商业银行操作风险管理战略是操作风险管理的前提，必须植根于商业银行的 内部环境和企业文化之中。巴塞尔委员会关于操作风险管理框架相关的十大原 则，是商业银行操作风险管理的纲领性文件。结合相关原则，操作风险的战略包 括商业银行的业务目标、治理模型、风险政策等内容。以此战略为指导的操作风 险管理应该成为每个商业银行任何决策制定和风险管理过程中的自动环节。 3 1 1 商业银行的业务目标 作为一个企业，经营业务目标是经营管理者的首要目标，各项经营活动都是 围绕这一目标来进行的。银行的总体经营目标确定之后，不同业务部门应相继确 定本部门的经营业务目标。风险管理应着重于帮助公司实现其业务目标，也就应 根掘不同业务目标的不同层次要求来制定。业务目标包括业务发展战略，这些目 标也同时决定了公司面临的风险种类。 业务目标也表达了公司的风险偏好：即可接受的风险和不可接受的风险。风 险偏好是商业银行风险管理战略的核心部分。以业务目标为标准，银行通过定性 和定量分析来判断风险偏好。定量分析方法包括：风险图中什么样的频率和强度 的组合形成不可接受的风险、操作风险损失的水平和不同风险指标的扩大标准 等。定性分析方法包括：经营是否符合法律和政策，产品交易的控制和自动化是 否在合适的水平，对公司业务控制和损失事件的披露是否公丌、透明，对风险的 评估是否合适等。风险管理的目标通常围绕降低不确定性和避免突发性事件的发 生。 3 1 2 商业银行的治理模型 传统意义上讲，操作风险管理是公司每个人的职责的一部分，不管在业务部 门，还是在公司的职能部门，他们都要对其对应的操作风险进行管理，将管理层 确定的操作风险管理战略与本部门职责、组织结构相结合，保证合理的可以承担 的管理成本，全面整合操作风险管理资源，明确部门的作用、权限和责任，还可 在各个部分设置一名操作风险经理，直接向首席风险官报告，便于形成统一的政 策、风险管理工具的丌发、协调工作、独立分析和测试、与同业比较以及对风险 状况进行整合，建立合理的公司治理模型。 由于操作风险较为分散，涉及部门和工作岗位较多，每个业务点都可能由于 操作风险给银行带来潜在的损失，也就需要每一个员工都成为操作风险防范的责 任人。需要加强对员工的培训工作，通过系统学习来全面提高操作风险管理水平。 业务部门处于一线，直接面对客户，通常负责同常的风险管理活动。他们需 要向客户介绍新产品、按流程进行操作并处理其他外部风险。此外，公司内部的 职能部门，例如人力资源、信息技术、安全保卫、法律和财务等其他部门，都承 担着丌发与其工作内容相关的流程和政策、监控突发风险的职责，并对本部门的 操作风险管理问题提出建议。 商业银行通常通过风险管理委员会全面管理操作风险。风险管理委员会的责 任包括：了解整个公司的风险状况、确保资源得到合理配置、揭示风险事宜、审 批包括资本金分配在内的风险政策等。风险管理委员会可以加强各部门之间的沟 通，将操作风险与信用风险和市场风险管理有机的结合起来，评估风险程度，研 究制定风险防范措施，形成全面风险管理模型。 3 1 3 商业银行的风险政策 商业银行在操作风险管理中，需要为操作风险管理制定总的战略，再对每个 业务部门的不同业务特点进行分析，对操作风险进行明确定义，建立本部门操作 风险管理的流程。在操作风险全面管理框架中，确定的风险管理目标包括：提高 风险意识、降低操作损失、计算经济资本与提供高质量服务等。 1 6 商业银行的风险政策还应包括公司治理模型及其相应的作用和责任，这就涉 及风险管理委员会、风险管理部门、各业务部门的职责以及职能部门( 如法律合 规、信息技术和人力资源部门等) 的作用。 商业银行的风险政策还需要指出操作风险工具和风险报告的预期效果。对于 银行内部的操作风险评估工具或数据库，风险政策应要求所有业务部门均应严格 加以执行，并保持同常信息的更新，加强对损失事件的公丌披露。并且风险政策 还应规定每个业务部门定期向风险管理委员会报告的内容，把操作风险管理纳入 到同常的考评程序中。 3 2 商业银行操作风险管理架构 国际银行业在操作风险管理上并没有一个统一的、标准的架构，不同的银行 有不同的做法。但是，不管哪种类型的管理架构都是围绕着两个核心问题展丌的， 即谁来管理操作风险和怎样管理操作风险。这也是商业银行操作风险管理需要解 决的关键问题所在。 3 2 1 操作风险管理一般框架 操作风险管理活动有效丌展的关键是有明确的职责分工和相关部门之间协 调一致的行动。图3 1 展示了银行操作风险的架构和所涉及到的部门及人员，也 告诉了人们“谁来管理操作风险”。 这些部门人员主要包括董事会、监事会、高级管理层、风险管理部门、业 务管理层、内部审计部门、合规部门以及后勤保障部门。这些部门在操作风险管 理活动中的职责分别如下： 3 2 1 1 董事会 商业银行的董事会对于操作风险管理的态度对整个银行的风险管理是十分 重要的，来自董事会对于操作风险管理的支持是必须的。 首先，董事会应批准在全行范围内采用操作风险管理系统，并将操作风险作 为一种主要风险来管理，以确保银行安全、稳健经营。该系统应通过制定具体的 风险管理政策和操作风险管理行动的先后顺序，以阐明本行对操作风险的喜好和 容忍度。这一系统还应包括具体的政策规定，明确本行的识别、评估、监测和控 1 0 张古光，商业银行操作风险识别1 j 管理，中困人民人学