商业银行操作风险管理体系框架的构建和完善

1、商业银行操作风险管理体系框架的构建和完善摘要：作为一种内生风险，由于其巨大的破坏力，操作风险已成为商业银行及金融监管当局重要监管对象。 商业银行要实施有效的操作风险管理，当务之急，亟须建立和完善操作风险管理体系框架。通过整合商业银行各种体系要素， 构建包括操作风险治理、 操作风险管理流程体系、操作风险管理内部环境以及相关外部监管环境在内的、各子系统之间有机互动的操作风险管理体系框架， 以更好的实现操作风险管理职能。关键词：巴塞尔新资本协议操作风险管理管理框架体系一、引言操作风险是指由不完善或有问题的内部程序、 员工和信息科技系统，以及外部事件所造成损失的风险。作为一种重要风险来源， 操作风险管

2、理贯穿于银行经营管理全过程，它涉及银行所有部门， 关系到银行全体员工的责权利，是一个系统工程。在当前形势下，适应金融监管国内外发展趋势，研究和探索商业银行操作风险管理体系框架建设有关问题， 对构建和完善我国商业银行操作风险管理长效机制意义重大。目前，我国商业银行操作风险管理体系框架建设工作尚处于探索与发展阶段。尽管巴塞尔新资本协议对操作风险监管提出了系列要求，但它主要侧重于定性的资格标准以及可供先择的计量方法， 从操作风险管理体系建设的完整性和系统性角度来看， 巴塞尔新资本协议尚存在不足。以上情况的存在， 严重制约了我国商业银行操作风险管理工作的开展。因此，笔者认为，要实施有效的操作风险管理，

3、首先应该从源头上对操作风险管理进行整体规划，整合商业银行各种体系要素，建立与商业银行业务性质、 规模和复杂程度相适应的操作风险管理体系框架。该管理架构以整体性和系统性为特征，应涵盖操作风险治理、操作风险管理流程体系、 操作风险管理内部环境以及相关外部监管环境等子系统，框架内各子系统之间通过互相影响，有机互动，交互作用，共同致力于我国商业银行操作风险管理目标的实现。二、商业银行操作风险管理体系框架的建立和完善整合商业银行各种体系要素， 结合我国商业银行操作风险管理理论与实践，运用系统思维， 笔者认为，当前我国商业银行应建立的操作风险管理体系框架如下：如图所示，笔者认为商业银行的操作风险管理体系框

4、架应包括一个外部层次和三个内部层次。 其中，外部层次是指商业银行实施操作风险管理的外部监管环境，由外部发起（银行也可主动应对） ，是银行操作风险管理的外部约束； 内部层次是指由商业银行内部发起、 服务于商业银行风险管理策略目标实现的各种要素组合， 具体而言，由高到低可依次划分为风险治理、 操作风险管理流程体系、 操作风险管理内部环境等三方面内容， 其中，较低层次是构成较高层次的基础环节，较高层次则是实施操作风险管理的逐步落实和细化。总之，四个层次及其要素之间通过紧密联系，有机互动，相互渗透和交叉，共同构成商业银行完整的操作风险管理体系框架。操作风险管理体系框架的搭建是否合理到位，将直接影响商业

5、银行操作风险管理战略的实现。第一层次：操作风险治理如图所示，操作风险治理模块位于商业银行整个操作风险管理体系框架的最高层， 它包括操作风险管理目标、 操作风险治理模型以及操作风险管理政策三方面内容， 是银行高层管理者在进行操作风险管理策划时首先应考虑的事情。 其中，操作风险管理目标的制定应有助于银行实现其业务目标， 应清楚表达银行的风险偏好： 即可接受的风险和不可接受的风险为了统一、规范全行操作风险管理工作， 商业银行应当制定适用于全行的操作风险管理政策。 操作风险管理政策是商业银行各种操作风险管理措施的文字化。其内容应当与银行的业务性质、规模、复杂程度和风险特征相适应。应包括：操作风险的定义

6、；适当的操作风险管理组织架构、权限和责任；操作风险的识别、评估、应对、监测 / 检查程序、操作风险报告程序等。 操作风险管理政策是操作风险管理流程的实施纲要，指导规范着操作风险管理流程。操作风险治理模型是指银行为实现操作风险管理目标而构建的操作风险管理组织架构。 操作风险管理组织架构是商业银行实现操作风险管理战略的载体。操作风险组织架构设计是否合理，将制约着商业银行操作风险管理的效率和效力。 依据巴塞尔委员会操作风险管理十原则以及“不相容职责相分离” 的内控要求， 商业银行应建立独立的职能部门负责操作风险管理，该部门应独立于业务经营条线，不应参与具体的经营管理活动。该原则将有助于实现操作风险管

7、理部门工作的客观性和独立性。在具体实践中，商业银行可依据现代公司治理的三权制衡原则建立商业银行操作风险管理三道防线，以下图为例：上图中操作风险管理三道防线的划分范围及其职能定位具体如下：第一道防线：业务单元及业务支持部门中所设置的操作风险管理岗位。这些部门包括公司业务部、零售业务部、人事管理部、信息科技部、会计结算部、保卫部等。业务单元及业务支持部门是操作风险的所有者，也是操作风险管理的第一责任人。 其主要职责是负责业务运营中的操作风险具体管控工作， 落实行里制定的相关操作风险管理政策，并接受操作风险管理第二、三道防线的定期检查和评估。第二道防线：行长领导下的风险管理委员会、风险管理部（有些行

8、可能由法律与合规部或其他部门履行二道防线职责） 、操作风险管理处。其主要职责是在行长的领导下， 制定操作风险管理政策和目标；独立、客观的识别、评估、监测、检查、缓释、报告全行的操作风险状况；组织、协调全行实施操作风险工作；检查评估第一道防线操作风险管理工作；定期向行长报告操作风险管理中的重要事件和趋势。第三道防线： 董事会领导下的审计委员会和审计部门。其主要职责是：独立、客观、定期的对全行操作风险管理框架、政策、执行力进行全面、有效的检查、评估；定期向董事会汇报重要的操作风险事件。商业银行在现有组织机构下，建立独立的操作风险管理组织体系，比较可行的方案是， 首先将风险管理委员会的职责扩展至操作

9、风险管理，下设专门的操作风险管理处， 然后按条线在分支行分别建立由操作风险管理处垂直管理的职能部门和风险管理岗位系列， 同时把独立的内部稽核审计部门的职责相应扩展至操作风险管理审计。第二层次：操作风险管理流程体系操作风险管理流程体系是指实现操作风险管理的一系列程序和方法，是商业银行实施操作风险管理流程的全过程， 具体包括风险定义、风险识别、风险评估、风险应对、风险监测和检查、风险报告等六个过程，以上六个过程围绕行里制定的操作风险管理政策相关规定开展工作，相互联系，相互影响，共同组成一个完整的操作风险管理流程体系。如下图：（一）操作风险定义风险定义是实施操作风险管理工作的第一步， 是整个操作风险

10、管理流程体系的基础。其主要工作是对操作风险进行合理分类。目前，银行业界对操作风险的分类比较权威的参考是银监会的四分法和巴塞尔委员会的七分法， 但是两种方法存在的共同弊病是其分类标准不适应我国商业银行操作风险管理的现实情况， 因此，商业银行应根据自身情况，合理划分并定义操作风险。（二）操作风险识别操作风险识别是商业银行在统一风险分类、 定义的基础上， 对每项业务、流程的操作风险状况和风险程度的详细说明。 该环节主要工作是辩认不同类型的操作风险、鉴别分析业务中的风险因素和关键点、识别潜在的风险和暴露风险等。目前，国际最先进的风险识别技术是基于流程的风险识别。 通过流程分析， 一方面可以对各项流程进

11、行基于操作风险管理的再造， 另一方面可以对流程中的风险暴露进行识别、评估，并据以采取适当的管理措施。（二）操作风险评估在对操作风险进行识别后， 商业银行就需要评估所面临的操作风险，以确定哪些风险是银行可以承担的， 哪些风险是银行不能够接受的，从而确定操作风险管理和转移的策略。目前，商业银行进行操作风险评估所采用的方法有操作风险自我评估法、 调查问卷法、专家法、审计确认法等。 在整个操作风险管理流程体系中， 操作风险评估工作起着承上启下的作用， 操作风险评估的结果可以作为操作风险监测和检查的参考。（四）操作风险应对风险应对或风险缓释是指根据风险评估的结果， 对不同的操作风险所采取的风险态度。 如

12、果风险管理价值为负， 说明该类操作风险无法通过管理有效缓释，应进行回避，反之，如果风险管理价值为正，则说明通过该类操作风险的管理， 可以为银行带来一定的收益， 应与承担，并须实施相应的管理措施。操作风险应对的管理措施主要包括内部控制、 保险、外包和资本准备。内部控制是商业银行实施的主动风险管理， 是商业银行管理操作风险最主要和最基本的措施； 保险、外包和资本准备则是商业银行采取的被动式的风险管理措施， 其中，保险是借助保险公司对无法预计的操作风险损失实施的一种较为有限的或然保障， 外包是根据比较优势原则将相关业务外包的同时局部地转移了相应的风险。 资本准备是从价值上对无法预计的操作风险损失进行

13、的补充准备。（五）操作风险监测和检查4一旦操作风险和应对措施得以确认， 商业银行就应对风险暴露情况进行定期的监测和检查。 内容包括控制是否发生作用、 风险暴露是否变动和是否需要采取相应行动。 在商业银行日常工作中， 需要定期对风险诱因、关键风险指标、内外部损失数据、因果模型、操作风险资本计量模型以及绩效测评方法等进行监测， 以更好的应对不断变化的操作风险管理环境。 风险监测和检查的结果将影响商业银行风险评估结果的动态调整。（六）操作风险报告操作风险报告制度是实现操作风险管理工作信息沟通与反馈的主要桥梁。根据及时充分的风险报告，管理者可以适时作出反映，并将管理信息及时传递出去， 确保操作风险能够

14、得到最有效的管理和控制。目前，商业银行操作风险报告工作主要包括两个纬度，一个纬度是商业银行系统内的操作风险报告，包括下级机构对上级机构的汇报、主管机构对管理层的定期报告等； 另一个纬度是商业银行按照监管要求的对外报告， 其主要包括向银监会的报告和相关市场信息披漏等。商业银行应根据不同的管理需要设定不同的风险报告内容。 风险定义、风险识别、风险评估、风险应对、风险监测 /检查的成果都是很好的风险报告信息来源。总之，操作风险管理流程体系是商业银行操作风险治理措施的流程落地。商业银行应通过实施操作风险管理流程体系管理， 不断的评估和再验证银行的操作风险治理措施的适宜性和有效性。第三层次：操作风险管理

15、内部环境操作风险管理内部环境是指支撑商业银行实施操作风险治理、 操作风险管理流程体系的银行内部的物质的和非物质因素， 其主要包括操作风险管理 IT 系统、操作风险内外部损失数据、操作风险管理方法、操作风险管理程序、 操作风险管理人员以及整个企业的操作风险管理文化等。操作风险管理内部环境实际上是与操作风险管理流程相互融合、相互影响的， 它是整个操作风险管理框架得以有效实施的保障，是实施操作风险管理的内部基础。第四层次：外部监管环境外部环境主要是指来自商业银行外部的监管和监督， 包括监管当局的监管规定、 社会公众的监督和市场约束等。 有效的外部环境是促进商业银行加强操作风险管理所不可或缺的推动力。 商业银行可通过适时充分的信息披漏， 加强与外部的信息沟通， 主动创建良好的外部环境。综上所述，商业银行操作风险管理内、 外部环境是商业银行实施操作风险管理的土壤， 其土质是否优良将影响着商业银行操作风险治理、操作风险管理流程体系实施的质效；同时，操作风险治理、操作风险管理流程体系工作的开展与实施， 也在潜移默化的改变着商业银行操作风险管理环境。以上四个层次方面内容，相互作用，共同构成一个完成的操作风险管理体系框架， 共同致力于商业银行操作风险管理战略的实现。参考文献： 1中国银行业监督管理委员会： 商业银行操作风险管理指引，20