摘要：商业银行所面临的风险大体可以概括为市场风险、信用风险以及操作风险。相比信用风险与市场风险，我国银行业对操作风险的关注较晚，对操作风险控制研究还刚起步。去年的齐鲁银行伪造金融票证案，今年的汉口银行的假担保案，都是操作风险爆发的表现。通过对商业银行操作风险的研究，有利于提高商业银行操作风险的防范能力，使商业银行经营管理实现安全性、盈利性、流动性三性统一的目标。本文首先从操作风险的定义与特点入手，比较了操作风险与信用风险、市场风险的区别。然后研究了操作风险的识别与预警系统的建立，接着分析操作风险的衡量。最后从建立起操作风险管理体系，加强内控机制等四大方面提出了提高操作风险管理水平的建议。

关键字：商业银行 操作风险 内部控制

 

    一、商业银行操作风险的定义与特点

   （一）、商业银行操作风险的定义与分类

操作风险是指在金融机构内由于财务制度上的疏漏、越权交易、支票欺诈、不足的内部控制、系统或控制失败以及不可控制的事件所导致的风险。巴塞尔银行监管委员会(2003)把操作风险定义为“由于不当或失败的内部程序、人员和信息科技系统或因外部事件导致损失的风险。这个定义包括法律风险，但不包括战略风险与名誉风险”。中国银监会《商业银行操作风险管理指引》指出，商业银行应当选择适当的方法对操作风险进行管理，具体的方法可包括评估操作风险和内部控制、损失事件的报告和数据收集、关键风险指标的监测、新产品和新业务的风险评估、内部控制的测试和审查以及操作风险的报告。

具体来讲，巴塞尔委员会将操作风险损失事件类型按照导致损失发生的原因分为7类，如下表所示：

表1 操作风险事件类型表 [1]

操作风险事件类型	行为
内部欺诈	未经授权的行为 盗窃与欺诈
外部欺诈	盗窃与欺诈 系统安全性
就业政策与公共场所安全	劳资安全 安全性环境
客户、产品及业务操作	适当性、披露和性托责任 不良的业务或市场行为 产品缺陷 客户选择和风险暴露 咨询业务
实物资产损害	灾害和其他事件
业务中断及系统失灵	系统
执行、交割及流程管理	交易认定、执行和维护 监控和报告 招揽客户和文件记录 个人、企业客户账户管理 交易对手方 外部销售商和供应商

 

   （二）、商业银行操作风险的特点

与信用风险、市场风险相比，操作风险同样具有多源性、唯一性、隐蔽性、滞后性和风险控制性外多源性、唯一性、隐蔽性、滞后性和风险控制性，此外，还具有以下特性：(1)风险内生性：操作风险主要来源于商业银行的日常营运，在诸多诱因中人为因素居于直接的、重要的地位；(2)“风险——报酬"不对称性：即风险与收益的对应关系不同。对于信用风险和市场风险来说，一般原则是风险高收益高，风险低收益低，存在风险与收益的对应关系；但商业银行无法保证因承担操作风险而获得收益，而且在大多数情况下操作风险损失与收益的产生没有必然联系；(3)多样性：操作风险与其他风险不同之处在于信用风险主要来源于客户和交易对手方，市场风险主要来源于市场上的各种价格波动，而操作风险可能出现在商业银行的各条产品线上和整个营运过程中。(4)计量困难性:市场风险和信用风险计量的一般是直接损失，而操作风险在评估时，在考虑直接损失的同时还应考虑诸如经营中断、法律成本等间接损失，有时甚至面对无法计量的损失，因此计量困难。

    二、操作风险的识别与预警

   （一）、操作风险的识别

操作风险与市场风险和信用风险不同之处之一是它不是针对具体的产品产生的，我们需要对对交易全过程有一个深入的理解，才能无法对交易活动的操作风险进行分析。在实际业务活动中，商业银行办理业务的过程中某一环节的失败可能导致其他环节的失败，并会使不同的业务单位由于它们介入了同样的业务过程而同时产生损失。因此，必须引入风险映射(Risk Mapping)。操作风险的识别过程实际上就是对金融机构业务活动的各个阶段进行风险映射(RiskMapping)的过程 [2] 。

风险映射主要从业务活动分析出发，识别关键活动。由此推导可能产生的问题，阐述问题产生的原因：是人、程序还是系统，哪个才是真正的内部导因。接着进行的是风险因素分析，主要分析问题产生的地点，具体是哪个业务单位，还有问题的严重程度，其具体的风险类型是什么。接着是识别风险，就是回答“会发生什么问题”。最后一步是识别和分析损失，商业银行应当根据实际发生的操作事件，对操作损失估算结果进行及时的更新，充实有限的内部数据。

   （二）、商业银行操作风险预警体系的建立

操作风险的预警则是在于将上述诱发各类操作风险的行为转换为描述这些行为发生水平或程度的可计量指标，规定每一种指标值的预警范围，观测它们的绝对值及变动趋势，对于超过正常范围以及变化趋势异常的指标进行预警，并查找诱发指标异常变化的原因，采取相应的管理措施，从源头上化解风险。

具体可以设置两大指标：一是以指标当前时期的绝对值表示的静态指标。指标的绝对值表示目前风险的存在与否以及风险的大小，它对目前风险的大小给以直接警示；二是以指标的相对变化趋势表示的相对指标。指标的相对变化值表示风险发生可能性的增长或减小的趋势，是早期预警的重要依据，管理部门往往依据指标值的变化趋势判断风险是否可能发生，以及是否需要采取措施和采取措施的力度，从而及时采取缓释行动以防止重大操作损失或危机事件的发生。

下面以内部欺诈为例介绍操作风险预警的指标设置。

表2 操作风险预警的指标设置

内部欺诈	行为	静态预警指标	动态预警指标（变化趋势）
	未经授权的行为	近一月内未经汇报的交易次数和损失金额	各月未经汇报的交易次数和损失金额的变化趋势
	贿赂行为	近一月内查处的贿赂行为次数和损失金额	各月查出的贿赂行为次数和损失金额的变化趋势
	挪用客户资产	近一月内查处的挪用客户资产资金金额	各月查处的挪用客户资产资金金额的变化趋势
	洗钱	近一月内查处的洗钱次数和金额	各月查处查处的洗钱次数和金额的变化趋势

   

其他类别的操作风险可以按照相似的方法设置预警指标。当预警指标值达到或突破某一界限时，相关部门就需要对该指标所涉及的操作范围、人员及操作程序实施预警管理，制定并实施风险控制、风险缓释措施，以使指标值恢复到原控制水平内，最终消除风险源。还可以将商业银行操作风险预警警级实行分级管理，不同预警级别采用不同管理对策。管理部门可根据各部门报告的相关数据与信息，以及现场调查获取的有关预警指标的状态和水平实行有针对性的质询或检查并进行综合分析，判断预警指标数据有无异常并确认一定的预警级别。对警情等级很高或较高的，应立即启动风险管理应急预案，努力将各种风险与危机消灭在萌芽状态。

   三、商业银行操作风险的衡量

  （一）、现有主流操作风险衡量方法的概述与评价

前文已经提到，操作风险的特点之一，就是难以计量，国际银行业至今尚未寻找到最佳的方法。从目前银行的实践来看，对于操作风险的衡量大致包括基本法、标准法、高级计量法。

基本指标法将银行视为一个整体来衡量操作风险，不对其构成进行分析。其基本公式是： 。 为基本指标法下要求配置的资本，α为不同银行设置的设定的比例指标，GI为用于计算计提资本的总收入，即最近三年总收入的均值。这种方法的特点易于计算，使用简单，容易获得数据。但其缺点也十分明显：首先，银行总收入规模与操作风险的水平之间的联系是十分松散的，并非规模越大，操作风险就越大；其次是银行的自身的操作风险与其他银行和整个银行业的操作风险进行直接比较；然后是没有办法对银行各个业务领域或产品领域的操作风险进行准确衡量。

标准法。这种方法将银行业务分为不同的产品线,每个产品线分别确定操作风险的β值,先分别计算各个产品线的操作风险资本准备,然后再将其汇总得出整个银行的操作风险及其所需要的资本准备。这种方法虽然比基本指标法对操作风险的衡量更详细一些,但是它只是基本指标法的简单的延伸,并没有克服基本指标法的缺陷。

高级计量法。高级计量法包括很多种方法，这里介绍一种损失分步法。损失分布法是巴塞尔委员会极为推崇的一种的一种衡量操作风险的方法。这种方法是银行针对每个业务类别和风险类型，估计银行操作风险损失在一定时期内的概率分布及参数，这种概率分布的估计建立在对操作风险事件发生频率的损失程度的估计智商，通常要使用蒙特卡洛模拟等方法或者实现假设具体的概率分布形式。在一定的置信水平下（如99%），操作风险的在险价值（VAR）就直接衡量了最大可能损失。其主要困难主要在于历史数据的缺乏。

   （二）、探索和建立适合我国商业银行的操作风险衡量方法

我国商业银行可以根据自己的实践建立一个频率／严重程度的模型。可以根据损失事件的发生频率和每次损失的严重程度特性，大致分为四种，即高频率／高损失、高频率／低损失、低频率／高损失、低频率／低损失。商业银行应重点关注高频率／低损失、低频率／高损失事件。

前文提到由于操作风险风险事件的有效记录历史比较短，很难获得充分的数据，难以利用仅有的稀缺数据准确的衡量操作风险。由于每一个操作损失都依赖于具体事件(原因)的结果，可以建立操作损失与成因之间的计量模型，同时，由于各个成因之间可能也是相互依赖的，同时克服数据的不足，商业银行可以借助于贝叶斯概率方法来建立因果关系概率网络。这种方法比较适合于研究频率低、损失大的操作风险。

贝叶斯网络可以综合先验信息和样本信息，在样本很少时也能发现数据之间的因果关系，适合处理不完整数据集，这是其他模型难以达到的。如果确定了网络中任一节点的状态，就可以利用贝叶斯规则在网络中进行正向或逆向的计算，从而得出网络中任一节点后来变化的概率。

仍然以内部欺诈为例，我们可以将前台操作差错率设置为关键风险指标。前台操作差错导致了内部欺诈，造成巨大的操作风险损失。关键风险诱因可以设为员工培训、薪酬制度、业务系统复杂程度、员工效率、日处理笔数。差错率阈值如设为0．03％，当大于等于0．03％时，银行就要采取处理措施了。一个简单的贝叶斯网络模型框架如下图所示。

 

图1 一个简单的贝叶斯模型框架

贝叶斯网络模型实质上是一个多元化的概率分布模型，它要求领域专家在给出规则的同时，给出一定事件的先验概率，这是比较困难的。另外，关于事件独立性的要求使该方法的应用受到一定限制，这也需要专家的经验。

另外，还需要考虑极端事件对公司经营的影响。比较直观的方法就是压力测试和情景分析。压力测试是评估极端事件发生的概率及可能产生的损失的系列过程。压力测试要评估导致操作损失的极端事件假设的可能性，并将该结果与阀值水平相比较，从而决定该损失是否显著。因为极端事件发生的概率极低，因此对所识别的损失事件是否为可接受的风险的判断就总是带有主观性，所以说，好的操作风险管理首先要靠好的风险管理者，计量分析只能作为辅助性工具。而情景分析是评估特定经济情景对公司财务处境的影响的过程。它侧重描述特定情景，开推测其经济含义。情景分析尤其要研究大量参数同时发生变化的情形。这类情景可以选择那些具有特定发生概率的事件，如百年一遇的洪灾或特大额的内部欺诈。此时可以考虑分析两类事件，一是历史事件，二是假设事件。历史事件更易于理解，也较少具有武断性；但假设事件更能提供全面和系统的分析，不足之处是缺乏历史参照事件。

我国商业银行应该逐步建立起操作风险衡量系统，随着历史数据的积累，可以探索适合我国国情的、更加高级的操作风险度量方法。

 四、商业银行操作风险的管理

   （一）、建立适合商业银行的业务性质、规模和复杂程度相适应的操作风险管理体系

1.董事会是商业银行公司治理结构的核心，应当承担起监控操作风险管理有效性的最终责任，其主要职责包括：（1）制定操作风险管理战略和总体政策。（2）审批及检查高级管理层有关操作风险的职责、权限及报告，确保全行的操作风险管理决策体系的有效性。（3）确保本行操作风险管理体系接受内审部门的有效审查与监督。（4）采取必要激励措施，在全行范围有效地推动操作风险管理体系的建设。

2.高管层是商业银行日常管理的主要职能部门，应当负责执行董事会批准的操作风险管理战略、总体政策及体系，其主要职责是：（1）负责制定、定期审查和监督执行操作风险管理的政策、程序和具体的操作规程，并定期向董事会提交操作风险总体情况的报告。（2）全面掌握本行操作风险管理的总体状况。（3）明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容。（4）为操作风险管理配备适当的资源，及时对操作风险管理体系进行检查和修订。

3.由于操作风险的独特特点，有必要成立独立的操作风险管理部门，确保全行范围内操作风险管理的一致性和有效性。其主要职能应包括：（1）拟定本行操作风险管理政策、程序和具体的操作规程。（2）协助其他部门识别、评估、监测、控制及缓释操作风险，在必要时提供培训。（3）定期检查并分析业务部门和其他部门操作风险的管理情况，并向高管层提交操作风险报告。

  （二）、完善内部控制机制，加强内审部门职责的发挥

现有研究表明，内控机制上存在漏洞和内部控制执行不力是引发操作风险的重要原因。中国银监会颁布的《商业银行操作风险管理指引》，明确了商业银行应将加强内部控制作为管理操作风险的有效手段。其具体措施可以包括：（1）密切监测遵守指定风险限额或权限的情况，并对接触和使用银行资产的记录进行安全监控。（2）定期对交易和账户进行复核和对账，主管及关键岗位轮岗轮调、强制性休假制度和离岗审计制度，制定重要岗位或敏感环节员工八小时内外行为规范。（3）建立对基层操作风险管控奖惩兼顾的激励约束机制以及基层员工署名揭发违法违规问题的激励和保护制度。

另外要充分发挥内审部门的作用。建立独立、垂直、具有监督权威的内部稽核部门。首先，建立起直接对一级法人负责，实行垂直领导和下审一级的稽核监督机制，确保内审机构的独立性和权威性。其次，制定严格的稽核管理制度和实施办法，将稽核工作由事后监督向事前和事中控制转变，防患于未然。再次，要加大培训和选拔力度，不断提高内审稽核人员的整体素质，构建一支独立运作、训练有素、业务精良高素质的内审稽核队伍。另外还要正确处理好银行内部审计与外部审计之间的关系，形成合力，以弥补内部稽核审计的不足，实现更全面、更经济的监督。推行外部审计部门再稽核制度，选择技术力量强、信誉良好的审计师事务所定期进行全面稽核审计；大力借助外部审计手段，利用外部审计专业人员来完成某些特殊要求或由于某种原因无法由现有内审人员完成的专项检查项目。这种内、外部审计相互结合的方法更有利于增强内部稽核审计系统的独立性和权威性，从而提高对操作风险的管理水平。

   （三）、营造以“诚信审慎”为核心的操作风险管理文化

    前文提到，由外部欺诈和内部欺诈导致的操作风险损失是两种比重最大的损失类型。因此，在商业银行内部和外部建立“诚信审慎”的文化在操作风险防控中占有特殊重要的地位。为了防控外部欺诈，商业银行应该与其外部利益相关者建立互动的“诚信”文化，使商业银行的操作风险降到最低；为了防控内部欺诈，商业银行应该在其员工中建立“审慎”的操作风险防控文化，把对操作风险的防控工作融入日常工作中的每一个细节。

    这里的操作风险管理文化是指全体员工在从事业务活动中遵守统一的行为规范所有存在重大操作风险的单位员工都应清晰了解商业银行自身的操作风险管理政策，对风险的敏感程度、承受水平、控制手段有足够的理解和掌握。风险防控文化应是一种融合现代商业银行经营思想、管理理念、风险控制行为、风险道德标准与风险管理环境要素于一体的企业文化。（1）要倡导和强化全员操作风险管理意识，引导全行员工树立对操作风险管理的认同感，真正意识到风险管理绝不仅仅是风险部门和风险管理人员的事情，风险管理人人有责，使操作风险意识突破传统的部门界限真正融入全行各个部门、每位员工的行为规范和工作习惯之中，让每一位员工认识到自身岗位上存在的风险点，形成防范风险的第一道屏障。（2）商业银行要确立鼓励主动发现和报告操作风险的基调，通过完善机制建立各风险管理职能部门间有效的分工与合作机制以及信息交流和沟通机制缩短操作风险的汇报路径，以便银行高层能及时获取风险信息采取相应的制度安排和机制建设，使规避风险或者使案件的发生概率降低至最低程度。

   （四）、从技术方面提高商业银行的操作风险管理水平

    强大有效的信息技术是操作风险管理的保障，我国商业银行应当加大对信息管理系统建设的资金投入，大力发展电子技术在商业银行操作风险管理中的应用。

    首先要建立起操作风险损失数据库。可以从以下四方面入手：第一，记录操作风险事件发生、发现及结束时间，事件发生的地点，事件的责任主体，事件发生的业务类别和事件类别，损失大小，损失收回金额及其收回的途径，是否与市场风险和信用风险相关，事件原因的描述等。第二，正确归并三种风险损失数据，将所有的操作风险损失记录在内部操作风险数据库中，并与操作风险定义的损失事件类型保持一致。第三，收集损失数据时还需要设定适当的总损失底线，确定合适的损失金额，如果阀值定得过高，可能收集不到足够的损失数据以反映操作风险损失的厚尾性，在进行量化分析时出现样本不够的偏差，而阀值过小，又会增加收集的成本。因此确定阀值要根据量化分析和管理的要求和成本来确定。第四，由于低频高损的操作风险事件很少在一家银行内发生，银行这方面的历史数据积累年限也较短，要注意引入行业整体数据做补充。

其次是要应对目前各银行在基层一线普遍推行的单人临柜、综合柜员制，需要电子化科学技术来加强操作风险的控制：通过计算机程序编制、设定权限指令，控制超越授权的违规操作，避免因为员工个人的疏忽而导致业务失误；通过计算机系统强化对业务操作运行的实时监控管理，可以构建全面覆盖内控关键环节的风险预警和监控系统；借助计算机系统收集、加工、反馈操作风险信息数据为决策提供充分的信息支持，同时加强信息技术的运用来进行自身操作风险防范管理。

    五、小结

    本文首先从操作风险的定义与特点开始研究，比较了操作风险与信用风险与市场风险的区别。然后从风险映射的角度分析了操作风险的识别过程，并以内部欺诈为例，说明了操作风险预警系统的设立。接下来在比较和分析现有的操作风险衡量方法的基础上，为弥补历史数据积累的不足，提出我国商业银行应当建立贝叶斯模型为基础的操作风险衡量方法。最后，本文还从建立操作风险管理体系，加强内控机制建设等方面，具体探讨了操作风险的管理。由于本人的能力所限，本文没有在商业银行的操作风险衡量方法这一重要的问题上提出自己的看法，这是需要在继续努力学习相关知识的基础上，重点研究的一个方向。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

参考文献

[1]巴曙松.巴塞尔新资本协议研究[M].中国金融出版社，2003.

[2]卡罗尔．亚力山大编著，陈林龙译.商业银行操作风险[M]，中国金融出版社，2004.

[3]巴塞尔银行监管委员会.操作风险管理与监管的稳健做法[J].王森、张丽娟、邓琼译。中国金融，2003(13).

[4]许文.风险映射与商业银行操作风险控制[J].银行家，2008（07）.

[5]佟欣,许健.商业银行操作风险预警指标体系研究[J].金融与保险，2010（06）.

[6]许文.金融机构操作风险识别、衡量、控制[C].第四届中国经济学博士后论坛，2009.

[7]卢安文.基于贝叶斯推断的操作风险度量模型研究[J].系统工程学报，2009（03）.

[8]杨晏忠.论商业银行操作风险管理体系的构建[J].金融教学与研究，2010（01）.

[9]陈元富.商业银行内生性操作风险的生成机理与防范对策[J].金融理论与实践，2011（02）

[10]唐磊.加强内控体系建设全面防范操作风险[J].中国城市金融，2010（1）.