国内外商业银行操作风险管理实践探讨资料

1、20世纪 90年代以来 ,以巴林银行和大和银行为代表的给银行带来巨额损失的 事件一再发生,这使得银行监管当局和经营者普遍认识到操 作风险管理的重要性。 而在此之前 ,多数金融机构对操作风险没有完整、清晰的认识 ,没有建立起一个系统 地防范、控制操作风险的框架和机 制,而且也缺乏建立操作风险度量模型所需要的 足够的损失数据。频频发生的巨额损失事件使得 各主要国际活跃银行不得不开始 重视操作风险管理和损失事件及数据的积累和分析。一、国外商业银行操作风险 管理的实践（一国外商业银行操作风险管理模式的最 新进展当前,发达国家商业银行对操作风险的管 理都是基于“新巴塞尔资本协议”这个 基本的框架,银行通

2、常采用自我评估和主要风险指标 管理的方法来评测和分析所面 临的潜在风险。保险被作为操作风险管理的一种重要方法 ,在实践中得到了广泛的 应用。随着“新巴塞尔资本协议”实施范围的不断拓展 ,以及各国经济、金融环境 的演进与变迁 ,各国商业银行对基于 “新巴塞尔协议”的操作风险管理的认识也逐步 加深。各国商业银行操作风险管理最新进展主 要有:1. 操作风险管理战略的制定截至目前,能将操作风险管理程序的各组 成部分组合起来 ,纳入一个统一的管理 框架之中,仍是一项风险管理组织制度创新。对于拥 有现代化公司治理结构的银行 而言,选择任何一种操作风险管理体系 ,首先意味着它将对银行内的各种利益相关者 尤其

3、是股东的利益产生正面的影响。这对于不同的银行和不同的董 事会而言 ,操作 风险的管理模式将会有不同的 选择。一般而言 ,不同资产规模的银行会对应 不同种 类的操作风险管理模式。对于中、小型 银行的董事会或决策层而言 ,操作风险管理 体系和组织体系的建立可能是一项成本极高而收 效甚微的行为。银行的操作风险 管理往往表现为被动的、灭火式的管理模式。对于大型银行 尤其是主要业务以高 风险金融产品为核心运作 的银行,其在企业内部更倾向于考虑设立专门 的操作风险 管理部门 ,同时管理者和整个企业 内部也将采用更积极主动的风险管理模式。这国内外商业银行操作风险管理 实践探讨杨国梁内容提要 :本文从介绍国际

4、活跃银行操作风险管理的最新进展及美、德商业银 行操作风险管理实践 ,剖析我国商业银行操作风险管理中存在的不足,提出借鉴国际活跃商业银行操作风险管理理念、模式、体系、流程、技术等建议。我国商业银 行目前案件频发、内控薄弱、群众信任度下降等 ,亟需借鉴国际活跃银行操作风险 管理的经验 ,从构建体系、培育文化、理顺流程、完善制度、提高技术等方面,加强操作风险管理机制建设 ,这是有效解决合规风险、操作风险及案件的一项重要治本 之策。关键词:商业银行操作风险管理实践中图分类号：F831文献标识码:A作者简介 :杨国梁,西安交通大学经济金融学院博士研究生。作者在此感谢西安 交通大学博士生导师徐成贤教 授的

5、指导和帮助。国际银行业 29国际金融研究 2007.12样由于银行的规模和风险偏好不同 ,银行往往表现为被动防火和主动管理两种 风险管理模式。但无论是被动防火或是主动管理的风险管理模式,银行操作风险管理的微观运营机制选择将 取决于一系列其他的因素 ,包括银行业务经验积累、所经 营业务的特性和复杂程度及银行的 信用文化等等。其中 ,有一些因素 ,如董事会和高 级管理层的明确战略和监督、健康的操作 风险文化及内部控制机制、有效的内部 报告与应急方案。对于所有银行来说 ,则是建立有效的操作风险管理框架的关键方 面。因此 , “新 巴塞尔资本协议”设计了一套有效管理与监管 操作风险一般性框架 , 银行

6、及监管当局可依据 这些原则评估操作风险管理政策及做法。2. 战略的执行与风险管理模式的新趋势 操作风险管理战略确定后 ,下一个问题 就是战略和管理模式的确定。传统上金融机构的 风险管理模式主要是由业务部门 针对可能发生的风险进行自主的管理和防范。虽然业务经理 最直接面对风险 ,对风 险具有最直观、全面的 认识,但其自我评估式的风险管理使风险报告 的撰写缺乏应 有的独立性。同时 ,业务部门要直接面向顾客 ,需要不断开发新的产品 ,以吸引客 户、维护其市场占有率。同时 ,还要管理其员工,使其按制度行使职责并处理可能出 现的业务风险。这样 ,业务部门在负责业务拓展 的同时,可能没有足够的精力来进行

7、业务风险的管理与评估。同时 ,不同的业务部门对风险的分析和管理模式可能存在 较大的差异。这也使得“巴塞尔协议”所提倡的全面风险管理难 以实现,公司的总 体风险管理在很大程度上可 能被忽视了。鉴于以上原因 ,对风险管理部门的独立性 和对风险管理的全面系统性的强调 ,改 变了风险管理决策从属于以盈利为首要目标的业务决 策的传统管理体制 ,以独立的 风险管理部门作为银行风险管理的主要平台逐渐成为主导模式。 在此基础上 ,目前, 一种基于更有效地进行风 险管理的新型治理结构正在形成 ,其组织架构是在各个业 务部门直接设置一名风险经理 ,这位风险经理将直接对银行的首席风险官负责 , 并且 定期向首席风险

8、官汇报所在部门业务运作 中的风险、评估其风险状况。这种组织 结构的好处是使业务部门专心于其业务拓展 ,同时便于风险经理对业务部门的操作 风险做出较为中立和客观的评估 ,各部门风险经理直接向首席 风险官负责 ,也便于银 行建立统一风险管理政 策,开发跨部门一致的风险管理工具 ,以对全行风险进行有效 的整合和进行同业的比较。有 了科学、全面的风险管理体系 ,在业务发展过程中不 断进行实践和总结 ,银行业的操作风险管理水平就有望得到更全面的改善。(二美国商业银行操作风险管理实践 美国金融机构对风险的控制主要表现在四 个方面:一是董事会确定总体的风险管理原则 和基本的控制战略。二是确定风险管 理的组织

9、架构和体系。三是指定风险管理的一整套政策 和程序。四是运用风险技 术监测工具。美国商业银行操是利用险管理的突出特点是利用风险 计量工具 ,进行 内外部样本、数据分析的收集、 计量,根据计量结果进行监测、评价和控制。 为了 有效地控制操作风险 ,美联银行建立了全面操作风险管理程序 (Enterprise-wide Operational Risk Management Program ,包括过程、纪律、角色、职责 ,使各项活动无 破绽,并减少结果的不确定性。操作风险管理活动包括 内部和外部损失数据的采集 和管理、风险和控制评估、内部控制活动、设立关键风险预警指 标 （KRI 、操作 风险结果管理

10、、提供风险概 况、保证在突发事件中能够持续经营、设立操 作风险 管理经理岗位、资本配置等。明确信贷 与融资委员会 （董事会下设委员会、经营 单位 （业务线、操作风险管理委员会、操作风险管 理职能团队 （向 CRO 报告、功 能风险管理 （损失管理、财务、信托、供应商、法规、技 术、合规、人力资源、审 计等机构在操作风险管理方面的职责。以纽约银行的操作风险管理流程为例 ,其包括以下四个步骤 :（1风险计量 ,设计 了风险记分卡 （控制水平、固有风险、序列分析 与风险模型 （内部损失数据、外部 损失数据、资本要求 ; （2控制,设立业务架构团队、批准新产品、业务再审查和 风险缓释计划 ; （3监控

11、,建立风险数据 ,设立关键风险指标国际银行业 30国际金融研究 2007.12（人员、程序、技术、法规、外部、风险管理 ; （4报告,提供各种风险和监察报 告,反映记分卡结果、红色和黄色关键风险指标、损失数 据分析、风险调整资本回 报。美国商业银行尤其重视损失数据的积累 , 超过一定标准的操作风险损失事件都 要纳入综合损失信息 ,而且要完整、准确和及时记载 , 在财务报表中列出损失时 ,必 须对损失事件和相关信息做出说明。美联银行把损失数据分为 三类:组织单位损 失、功能风险领域损失和事 件分类 （“巴塞尔协议”规定损失 ,所有风险损失都必须 持续地记录在操作风险管理数据库 , 确定内部损失数

12、据的正确分类、说明文件和批 准程序。为了分析业务线和不同损失事件的损 失,满足资本管理要求 ,银行开发了数 据库。这一举措为促进现代金融工具在银行风险管理 中的运用奠定了基础。对巴塞尔委员会所提供的操作风险的管理 方案,美国银行业也做出了积极响 应。监管当局要求各家银行采用高级衡量法对其操作风险 进行识别与评估。银行 业在 2001年 11月召开了“为操作风险配备资本”的会议,商讨操作风险的管理方 案。各大银行纷纷提出在自我评 估的基础上 ,收集内部、外部数据 ,结合本行特点开 发高级衡量法量化模型 ,如极值法、损失分布法等 ,来对操作风险进行量化管理。但 同时,由于比较美国数千家银行实施 “

13、新巴塞尔资本协议”的成本与收益 ,发现其对 资本要求的风险敏感性更强。因此 ,美联储副主席罗杰 ? 佛格森 (Roger Ferguson 在 2003年 6月的参议员听证会上 ,申明美国只规定少部分银行执 行新资本协议 ,还 有一小部分可能选择接受新资 本协议,大部分美国银行不采纳“新巴塞尔资本协 议”而仍沿用“巴塞尔资本协议”但, 各大银行并没放松对操作风险管理的研究。(三德国商业银行操作风险管理实践 德国商业银行采用了巴塞尔委员会关于操 作风险的定义 ,但在操作风险的分类上却有所 不同,它们将操作风险分为四类 :人员 / 关系风险、内部控制风险、信息、技术系统风险和外 部行为 /物质资产

14、风险 ,并在 对各类风险定义的基础之上,对其进行细分 ,定义每一子类型中所包含的具体事件及 其具体行为。德国商业银 行操作风险管理的特点是完善内部控制和运用 保险作为 风险缓释的工具。对于操作风险的度量 ,考虑到诸方法的优缺点,德国商业银行现阶段则着重考虑 采用内部衡量法 ,因为该方法能较好地结合绝大多数 德国商业银行的业务规模、类 别和范围等自身情况,对风险的衡量具有较好的针对性 ,并且还不断地熟悉与完善内 部衡量法的具体操作过 程,不断积累经验 ,为将来采用更为精确、更 加灵敏的度量模 型做准备。由于目前操作风险管理技术与工具仍处于探 索阶段,因此,德国商业银行操作风 险管理主要依赖于完善

15、内部控制与保险这一工具。德国大多 数商业银行都十分注 重风险意识的培养 ,以树立全面风险管理理念 ,健全治理结构和完善内部控 制。首先 , 通过设置有效的组织结构 ,设计自动检查与平衡功能 ,形成相互独立的董事会或监事 会和审计委员会 ,培养成熟的管理哲学等来营造 良好的控制环境。其次 ,在风险的识 别、分析、控制与管理中 ,遵循以下基本原则 :管理制度不应过度束缚风险承担活 动 ;生成风险的业务经营 部门应与监管和控制风险的部门明确分离 ;建立 有效的风 险控制体系 ,应激励各部门对存在的风 险进行披露 ,而不应鼓励经理们隐藏风险。此 外 ,还应建立完善的内部信息管理体系 ,实施数 据库内部

16、管理 ,从而及时、全面地给银 行决策人 员提供真实的数据。保险一向作为德国商业银行 操作风险管理的重要手 段,其可用于操作风险管 理的保险品种主要有 :一揽子保险 (blanket bond 、计算机犯 罪保险 (computer crime poli-cy 、未授权交易保险 (unauthorized trading pol-icy 、财 产保险(property in sura nee policy、营业中断保险(bus in ess in terrupti on、错误与遗 漏 保险 (errors &omissions policy 、商业综合责任 保险 (commercial

17、general liability policy、雇员行为责任保险(employment practice、经理及高层管理人员责任保险 (director &officers liabili-ty 与电 子保 险 (electronic insurance policy 。 这些商业保险 为部分操作风险管理提供了一定的 保障 ,但仍需识别与保险相关的剩余风险 ,采取 相 应的措施对其进行有效的管理。德国商业银行 国 际银 行业 31国际金融研究 2007.12对操作风险的详细分类及其管理很值得我国银行 业借鉴。二、我国商业银行操作风险 管理的实践20世纪 90年代以前 ,我国银行业的产

18、品 种类和业务结构比较单一 ,电子化程度 较低, 业务规模不大 ,同业竞争不太激烈 ,内部管理 比较严格,所以银行操作风险问题 不是很严重 , 操作风险损失较小。 90年代以后,操作风险问 题越来越突出 ,特别是近 几年有加速上升的趋 势。从已披露的案件看 ,大案要案触目惊心。 如 2001 年建行 吉林省分行营业部 3亿多存款神 秘蒸发; 2004年发生的交通银行锦州分行 2.21亿 元核销不良贷款作假案、山西 “ 7.28系”列 诈骗案 ; 2005 年发生在光大银行广州越 秀支行 的近亿元骗贷案 ; 2006年发生在交通银行沈阳 分行 2亿元人 民币的巨 额 客 户资 金诈骗案 ; 20

19、07年农行河北省邯郸分行金库管理员盗取金库现金 5100多万元,等等,不胜枚举。可以肯 定的是 ,这些案件只是银行业操作风险中的“冰 山一角”大, 量 损失金额较小的 操作风险还没有 披露。各行曝光 的一系列经济案 件,都说明操作 风险的危害日益 严重,应引起管 理层的高度重 视。同信用风 险、市场风险相 比,目前国内银 行操作风险的管 理还处于起步阶 段,对操作风险 尚未有一个全面、系统 的认 识,以为操作风险就是前台柜面人员操作上的行 为风险,或者 只是直接面对各项业务操作的经营 行为的风险 ,有的还把系统故障、停电等排除在 操作风险范围之外 ,认为各种风险操作事件之间 是孤立的 ,无法对

20、其计量等。这种认 识上的局限 不但造成对操作风险理解上的误区 ,也制约了国 内银行对操作风险管理 的实践。目前,我国由于处在经济转轨过程之中 , 与现代市场经济相适应的法律及各种规 章制度 建设尚有很多欠缺 ,公民遵纪守法意识淡薄 , 加之社会巨变带来的浮躁心理 , 各种违规和欺 诈事件层出不穷。同时 ,我国的金融机构的管 理方法相对落后 ,管理经 验不足,软硬件设备 不够先进,发现危机和应对危机的能力均相对 较弱。因此 ,操作 风险管理对我国的金融机构 而言有着特殊的意义。（一我国商业银行操作风险损失的数据 分析由于长期以来我国商业银行不太重视操作 风险损失历史数据的积累 ,再加上我 国银行

21、业 信息披露制度不健全 ,甚至主动隐瞒风险事件业务中断 与系统失败 客户、产品和业务活动执行、交割以及交易过程外部欺诈 内部欺诈损失事件及其占比损失金额 及其占比代理 0服务 0.00 00.000.000.0011.4111.41%170 0.05%资产 0管理 0.00 11.41%0.000.0011.41%22.82%1261.5 0.42%商业 0 银行 0.00业务 11.41%2.82%1216.90%3853.52%5374.65%288692.7 97.6%公司 0金融 0.00 11.41%0.000.0011.41%22.82%5619 1.9%零售 3 银行 4.23%

22、业务 22.28%57.04%34.23%0.001318.31%77.7 0.03%损失事件 3 及其 4.23%占比 22.28%57.04%1521.13%4157.75%100%295820.9 100%损失金额 17.9及其 0.005%占比 3813.181.29%75.090.025%92237331.18%199677.46735%295820.9100%N/A表 1 我国商业银行操作风险损失数目频数及其损失金额统计表（单位:次、万元 资料来源 :见参考文献 5。国际银行业国际金融研究 2007.12国际金融研究 2007.12资料来源:张新杨 . 我国商业银行操作风险管理研

23、究 DB/OL.表 2我国商业银行操作风险抽样分布表（单位:件损失事件类型 样本数量 所占比率 内部欺诈 3856.3%外部欺诈 3419.6%客户、 产品及业务活动 2816.1%实体资产损坏 74%业务系统中断和系统失败 21.1%执行、 交割及交易过程 52.9%表 3 业务部门和损失事件单笔损失金额平均值 （单位 :万元资料来源:见参考文献 5。 业务部门 单笔损失金额平均值 损失事件类型 单笔 损失金额平均值代理服务 85 业务中断和系统失败 0.0597资产管理 630.75客户、产品及商业活动 762.64商业银行业务 6557.03执行、交割及交易过程 0.1073 公司金融

24、5619 外部欺诈 6149.15零售银行业务 5.98内部欺诈 4870.18国际 银行业的动机 ,使得有关我国商业银行操作风险历史 数据的收集比较困难。在此 ,本文 根据搜集到 的各种媒体报道及部分学者的研究成果 ,从我 国商业银行操作风险损失 频度及损失金额、操 作风险抽样分布、业务部门和损失事件单笔损 失金额平均值 等方面来剖析当前我国商业银行 操作风险的状况。 本文主要选取了国内银行业已 发生的众多 操作风险事件当中的一部分作为样本 ,分析的 结果会与实际情况有所偏 差 ,但也能大致说明 问题所在。尽管无法得到我国商业银行操作风 险损失金额总量 等资料,且表格中收集的数据 具有一定的

25、片面性 ,分类不全面 ,事件样本也 较少,但是, 管中窥豹 ,可见一斑 ,可以看出 当前我国商业银行操作风险现状的大概轮廓和 特点。 随着各家商业银行信息公开披露程度的 扩大和风险数据库的建立 ,我们对于操作风 险的分析和研究将会更加完善。 1. 从业务线来看 ,操作风险损失事件主要 集中在商 业银行业务和零售银行业务领域 ,分别占到了 74.65%和 18.31%;同时,由于商业银行 业务单笔损失金额巨大 ,因此其总的损失金额在各部门中占比高达 97.6%。相比而 言, 尽管零售银行业务损失事件发生频率较高 ,但是其总的损失金额却非常少 ,在损 失金额的比较中排在了最后。 2. 从损失事件类

26、型来看 ,损失事件主要可以归因于内、外部 欺诈,其发生频率分别为 56.3%、 19.6%左右,内部欺诈占到一半以上。这与我国商业银行特别是国有银行产权结构和 治理结构的缺陷、内部控制不 力及对经营管理层激励不足有着密切的关系。 3. 将以上两类因素综合起来 ,不难发 现,占到国内商业银行操作风险损失比例最大的是商业银行业务中的内部欺诈 , 共 38起,占 56.3%。其中一个重要原因在于监管不 得 力,后续监督流于形式 , 监管制度不够刚性和量化。 要实现合规监管向风险监 管的 转变、事后监督向事前、事中、事后全程监督 管理的转变 ,以及定性管理向定量管 理的转变等 , 还需要一个渐进的、逐

27、步完善和加强的过程。 （二我国商业银行操作 风险管理中存在的主要问题 1. 操作风险管理的架构不健全 要实现全面的风险管理 , 就要求有一个比较健全的风险管理架构 ,当前我国银行业在这方面的缺陷主要有 :操作风险管理职责分散 ,缺乏专门的管理部门操作风险 是由人员、系统、流程和外部事 件四类因素引起的 ,几乎涉及到银行的所有部 门。 因此,国外商业银行在操作风险管理框架 中一般会设置一个委员会 ,由各相关部门参 加, 而操作风险管理政策的执行和协调由专门的风 险管理部门负责。但在我国 ,尚未 专司操作风险管理的机构 ,不同类型的操作风险由不同的 部门负责。这种分散管理 的做法使得银行系统没有统

28、一的操作风险管理战略和政策 ,高层管理人员也很难把握银行面临的整 体操作风险状况。同时 ,这种“各人自扫门前雪”的模式还会存在管理盲区。 基 层分支机构操作风险管理职能缺失 33国际银行业 据调查发现，操作风险大多发生在基层分支 机构。因此，国外银 行一般都在基层分支机构设有风险经理一职，由其负责总行操作风险管理政 策在 基层的贯彻落实，对基层分支机构进行监督 管理，并保证与总行操作风险管理部 门的信息沟 通。而我国银行大多没有这一设置，基层操作风 险管理体系、流程、 汇报路线、沟通机制缺失。内部审计/稽核部门权威性不强我国银行的总行、 分行一级的机构中大都设有审计/稽核部门，负责对本行及下级

29、的各类业务 风险 进行检查稽核，并根据检查结果对违法违规 案件进行处理。但因为内部审计/稽 核部门一般是 作为银行下属的一个部门存在的，直接接受本机 构管理者的领导和 管理，其独立性作用难以发挥， 权威性不强。稽核部门若对其发现的问题在系统 内曝光，会直接影响到本级机构在银行系统内的 形象，本级银行机构的管理者也 可能因此遭到上 级主管机构的责任追究。因此，对于检查中发现 的问题，若属于 皮毛方面的小问题，放权内部审 计部门独立处理，若属于重大的原则问题，则以 '家丑不可外扬”为名，将其大事化小，小事化 了。因而，内部审计部门的监督作 用难以有效发挥，监督范围受到限制，公正性难以保证。

30、2 操作风险的管理手段单一随着电子技术和金融工程学的不断发展，操 作风险的管理手段也日益完 善，从手工管理到电 子化运作，从定性管理到定量管理。相比之下，我国银行业在这方面的差距十分明显。 过分依赖内部审计 从国外的管理经验来看，其自身 的内部审计 能力很强，但是为了能更及时的发现风险隐患，它们仍然会聘请权威的外部审计所对其进行审 计，因为在某些情况下，外部审计所的独立性更 强。而 从我国的银行业来看，对于操作风险的管 理几乎全部依赖内部审计部门，而这些 部门的客 观独立性和权威性都有待提高，再加上内部审计 力量薄弱，目前我国银 行业内部审计人员占银行 员工人数的比例为1%,国外一般为5%,严

31、重影响了 内部稽核的频率和范围。而且，内部稽核人 员的专业性不强，很多人甚至没有内 部审计资格，对相关专业不熟，特别是电子计算机水平不 高，不能适应内部稽核 发展的电子化趋势，严重 3 4国际金融研究2 0 0 7.1 2制约了银行内部稽核 水平的提高。由此也可看 出，为什么最早发现冯明昌骗贷案的是审计署而 不是工 商银行自身。制度建设跟不上，制度执行不力 从某种程度上说，防范操作风险 最有效的办法就是制定尽可能详细的业务规章制度和操作手 册。通常，风险管理做的比较好的银行都有比较完善的制度。在这方面，外资银行的做法值得我 们借 鉴。它们对每种业务都制定了详尽的操作手 册，列出所有的潜在风险点

32、，这在很 大程度上可 以减小操作人员因操作不当引发操作风险的可能 性，并为其管理部门 的监督提供指导。而我国银 行业在制度建设方面存在明显不足，很多情况下 都是 业务先行规章制度后补，从而引发了大量的 操作风险。此外，有章不循现象普 遍，制度形同 虚设，缺乏约束力。如将规章制度随意变通，即遇到红灯绕道走”，将上级文件层层转发但无人 抓落实，文件长期睡眠”，只重形式不重实 效，规章制度高挂，执行如何无人检查等。电子手段缺乏 由于国外电子技术发展迅速，国外在操作风 险的管理方面也更多的采用了电子手段，既提高 了工作效 率，也确保了风险管理的有效性。而我 国，银行电子化建设还主要集中于业务一 线，内

33、控部门没有形成一套科学有效的内部电子监督、预警系统，对操作风险的管理或者仍然停留在传 统的手工操作上，或者管理人员难以使现代化的 手段与具 体的业务管理有效对接”运用。我国 的电子系统功能仅局限于服务经营，没有实 现服务经营与服务管理并重，系统不能为银行的战略 决策、管理活动特别是风险 管理提供充分、完整 的数据信息。管理技术低下 操作风险的管理技术包括定性 管理和定量管理。定性管理主要是通过对银行面临的操作风险 进行识别和定性评 估，进而加强内部控制和内部 审计来防范和管理操作风险。定量管理则是通过 对 银行历史数据的统计分析，将银行面临的操作 风险量化，并通过损失频率和损失 严重程度两个指

34、标来衡量，进而为其分配经济资本。一般来 说，定性分析不受银 行数据库的制约，简便易 行，但是不能通过直观的数字衡量，也就不能为国际银行业 操作风险分配资本提供支持，而定量分析不能像 定性分析那样找 到引起操作风险的原因及现有控 制措施的缺陷。因此，国外那些做得好的商业银 行往往把两者结合起来使用。从当前来看，我国 商业银行的操作风险管理仍处于 定性管理的初级 阶段，即注重定性分析，但主观性较强，常常运 用经验分析的方 法，与国际先进银行大量运用数 量统计模型、金融工程等先进方法相比更显落 后。再加上在风险管理信息系统建设和信息技术 运用上的严重滞后，不仅使风险 管理所需要的大 量业务信息缺失，

35、而且无法建立相应的风险模 型，无法准确把握 风险敞口，直接影响了风险管 理的科学性。3 外部环境不完善 商业银行的操作风险管理是一项系统工程，需要一系列外部环境因素的支持，如保险市场、审计中介机构和信用环境等。具体来说，发达的 保险市场可以为商业银行提供种类齐 全的操作风 险保险产品，使其在风险方面可以得到缓解；独 立、专业的外部审计 机构可以为其提供科学高效 的审计服务，帮助其提高内部控制水平；而良好 的信 用环境有利于商业银行合理配置风险管理资源，为操作风险量化技术服务。然 而，国内的情 况不容乐观。首先，我国的保险市场特别是操作 风险保险市场不发 达，保险公司推出的针对操作 风险的保险产

36、品十分贫乏，这很大程度上制约了 商 业银行对操作风险的缓释和转移。其次，我国 的外部审计机构还没有形成强大的 力量，其独立 性、专业性和权威性都有待提高，这就制约了商 业银行对风险信息 的收集及对内部审计缺陷的弥 补。再次，社会信用环境不乐观，信用缺失问题 严 重，骗贷、欺诈现象时有发生，严重影响了商 业银行操作风险管理的开展。的组织体系、管理架构和德国的模式。银监会和 保监会要建立商业银行操作风险损失 数据共享机 制，共同研究开发针对操作风险的保险产品，商 业银行充分利用保险 的风险缓释效应降低操作风 险对资本的占用；学习借鉴美国商业银行操作风 险计 量方法，收集分析内外部样本数据，并据此

37、进行监测、评价操作风险，改进内部 控制体系、流程、制度，控制风险，减少损失。为此，我国 商业银行内部必须重 视以下五个方面的工作：（一）构建责权明晰的操作风险管理组织体系一是设立独立的操作风险管理部门，牵头全 行操作风险统筹、规划、协调、管理。如果单 独设立的条件不成熟也应相对固定某个部门承担起 该管理责任，但必须与市场、 交易等部门进行分 离，保持管理控制上严格的独立性；二是各主要 业务条线部门 设立操作风险管理团队，行使条线 和产品的操作风险管理，并明确双线报告制 度，接受操作风险管理部门的指导管理；三是总、分、支行设立相应岗位与总行设置相呼应，建立 纵向和横向的指令、汇报、反馈、督导的控

38、制流 程；四是明确 各层面、各部门在操作风险管理中 的职责边界，适当交叉、全面覆盖，使操作风 险管理横向到边纵向到底，理顺董事会、高级管理 层、操作风险管理部门、业务 部门、内控部门、审计部门的管理边界，必要时设立首席风险执行 官，对董事会 负责，各部门业务主管和业务经理对所在的业务中的操作风险事件负责。（二） 打造稳健审慎的操作风险管理文化风险管理文化是指全体员工在从事业务活动 中遵守统一的行为规范，所有员工都清晰了解本 行的操作风险管理政策，对风险的 敏感程度、承 受水平、控制手段有足够的理解和掌握。商业银 行营造的风险管理 文化应是一种融合现代商业银 行经营思想、管理理念、风险控制行为、

39、风险道 德 标准与风险管理环境要素于一体的企业文化。为此，一要培育全员风险理念，风险管理人人有 责，使风险意识真正融入全行各个部门、每位员工的行为规范和工作习惯之中，让每一位员工认 识到自身岗位上存在的风险点，使风险防范理念 融 化在血液里，落实在行动上，具体到操作上。二要鼓励查找风险点，建立奖励举报制度，构建 国际金融研究2 0 0 7.1 2三、对我国商业银行操作 风险管理的 借鉴从以上国内外商业银行操作风险管理实践对 比分析来看，我国商业银行操作 风险管理尚处于起步阶段。因此，要借鉴国际先进的商业银行操 作风险管理的理 念、模式、体系、流程、技术等 成熟经验，学习借鉴美国商业银行操作风险

40、管理3 5国际银行业 各操作风险管理部门间有效的分工和合作机制、信息交流和沟通机制，缩短操作风险的汇报路 径，以便银行高层能及时获取风险信息，规避风 险。三要加大风险责任追究，加大对责任人员的查处力度，坚决遏制有令不行、有禁不止的违法 违规行为。四要通过对用人及干部评价机制的调整从根本上杜绝违规操作。（三）建立健全内部控制流程制度 防范操作风险最有效的办法就是制 定尽可能 详尽的业务规章制度和操作流程，多管齐下提高 制度执行力。建立健全 内部控制流程制度，必须考 虑以下几个方面：一是制度是否完善，是否全面覆 盖，有无盲区；二是制度是否有效，是否具有可操 作性，要让基层听得懂、看得 见、摸得着、

41、做得至V、行得通；三是制度是否有针对性，是否切合实际；四是制度能否分类指导，能否保持一定的弹 性，是否与时俱进修订完善；五是流程是否 简洁明了，能否有固定模板和标准化流程；六是能否有检 验机制、反馈矫正机 制、督导执行机制。（四）提高操作风险管理技术 操作风险管理要使用先进的技 术和管理工具，业务上要做到人防和技防的有机结合，通过 系统管住人，通过流 程管住人，通过中后台牵制 前台，充分发挥事后监督中心和录像监控中心的 作 用，使伺机作案分子不能做不敢做。银行要加 强管理信息系统建设，整合客户信 息系统、人力资源管理系统、信贷管理系统、财务管理系统、资金管理系统等业务系统信息，深度挖掘和充分

42、使用本行内部信息资源，建立操作风险管理信息 系 统。借助先进的IT技术，建立操作风险历史数据仓库，为测量风险、分配资本 和设计模型提供基础。（五）探索经济资本约束的绩效考核机制 坚持科学发展 观，调整绩效考核指标，充分发挥考核机制的激励约束和导向作用，平衡好 业务 发展与风险控制、局部与整体、远期与近期 的关系。通过风险资本的计量与分 配，计算风险 调整资本收益率（RORAC），将可能发生的损失 量化为成本。 通过对经济资本的考核，加大操作 风险考核权重，引导各级机构、各条线部门重 视操作风险管理，加大操作风险资源配置，建立操 作风险管理的长效机制。 在商 业银行外部，2 0 0 7 年5月，中国银监会已颁布了商业银行操作风险管理 指引，为我国商业银行加强操作风险管理指明了方向，提 供了制度保障。但商 业银行操作风险管理还需要 良好的信用环境、法制环境、独立诚信的中介机 构、 丰富齐全的保险产品等配套环境。此外，单 个金融机构的损失事件，样本数量的 有限性和局 限性直接影响对损失的预测和评估，历史数据积 累不全影响对未来事 件的判断，建议银监会牵