探究商業(yè)銀行操作風險管理

　　隨著我國金融體制改革的逐步深化和商業(yè)銀行股份制改造的穩(wěn)步推進，金融市場競爭不斷加劇，金融產(chǎn)品日新月異，與此同時，銀行經(jīng)營在必須控制和管理一些傳統(tǒng)的風險如信用風險、市場風險、國家風險等之外，不得不面臨著一類新的風險——“操作風險”的挑戰(zhàn)。

　　操作風險是指由于銀行內(nèi)部程序、人員、系統(tǒng)不充足或者運行失當以及因為外部事件的沖擊等導致直接或間接損失的可能性的風險。例如，1995年的巴林銀行倒閉、1996年三井住友銀行的巨額虧損以及2001年中國銀行的開平案件，均可視為由操作風險所致。這類風險一旦發(fā)生，往往給銀行帶來巨大損失，嚴重時會直接導致銀行的破產(chǎn)和倒閉，甚至還會對整個金融行業(yè)或國民經(jīng)濟運行都產(chǎn)生巨大的影響，因而越來越引起投資者、金融界、監(jiān)管當局的重視。自然地，防范和控制操作風險也成為銀行經(jīng)營管理者的一個重要課題。

　　本文將首先介紹銀行操作風險的內(nèi)涵和實質(zhì)，并揭示當前商業(yè)銀行在操作風險管理方面的現(xiàn)狀。之后，分析造成操作風險的主要原因，然后，在前面論述的基礎上提出加強銀行操作風險管理的方法和建議。

　　一、商業(yè)銀行操作風險的實質(zhì)、內(nèi)涵和管理要求

　　巴塞爾新資本協(xié)議把操作風險定義為：操作風險是指由于銀行內(nèi)部程序、人員、系統(tǒng)不充足或者運行失當以及因為外部事件的沖擊等導致直接或間接損失的可能性的風險。從操作風險的定義中不難看出操作風險包括內(nèi)部程序、人員、系統(tǒng)三大方面的主要內(nèi)容，也是認識操作風險的關鍵環(huán)節(jié)。

　　(一)全面認識操作風險的實質(zhì)和內(nèi)涵

　　認識事物是改造事物的前提和關鍵，對操作風險的認知程度越高，才能有效的提升操作風險管理的地位和管理的水準，有了正確的操作風險的認識，才能夠上升到宏觀的決策和微觀的具體落實。張吉光認為：“商業(yè)銀行在操作風險管理中，對操作風險的認識存在五大方面錯誤或偏差”。 (注1)通過對操作風險管理理論的研究，筆者認為：解決操作風險管理認識上存在錯誤或偏差，成為提高操作風險管理水平的關鍵。具體而言，要全面認識和了解操作風險，需要消除以下幾方面的誤區(qū)。

　　1、操作風險不能等同于操作性風險和操作中的風險

　　根據(jù)巴塞爾新資本協(xié)議的定義，操作風險可以分為四類：人員因素引起的操作風險、流程因素引起的操作風險、系統(tǒng)因素引起的操作風險和外部事件引起的操作風險。人員因素引起的操作風險包括操作失誤、違法行為(員工內(nèi)部欺詐/內(nèi)外勾結(jié))、違反用工法、關鍵人員流失等情況。流程因素引起的操作風險又分為流程設計不合理和流程執(zhí)行不嚴格兩種情況。而系統(tǒng)因素引起的操作風險包括系統(tǒng)失靈和系統(tǒng)漏洞兩種情況。外部事件引起的操作風險主要是指外部欺詐、突發(fā)事件以及銀行經(jīng)營環(huán)境的不利變化等情況。其中，屬于操作性風險的僅包括人員因素引起的操作風險中的操作失誤、違法行為、越權行為和流程因素引起的操作風險中的流程執(zhí)行不嚴格的情況。顯然，操作性風險不能等同于操作風險，盡管操作性風險是操作風險中發(fā)生頻率最大、占比最高的風險類型。從筆者搜集整理的近幾年來國內(nèi)商業(yè)銀行發(fā)生的近50起操作風險案例的數(shù)據(jù)顯示，操作性風險占總數(shù)的比例為70%。將操作風險狹隘地定義為操作性風險的做法，往往會使得建立在這一認識基礎上的操作風險管理體系不能覆蓋所有的操作風險，從而使銀行難以防范那些突發(fā)事件的沖擊，如前一段時間工商銀行北京市分行出現(xiàn)的系統(tǒng)癱瘓、美國發(fā)生的“911”恐怖襲擊等。

　　2、操作風險不能等同于金融犯罪

　　金融犯罪僅是操作風險中的主要類型，并不能涵蓋所有類型的操作風險。根據(jù)我國對金融犯罪的定義，金融犯罪是指在金融活動中，侵害金融管理制度、金融市場秩序以及其他社會經(jīng)濟關系，依照我國刑法規(guī)定，應當受到刑法處罰的行為。對比巴塞爾委員會關于操作風險的定義，金融犯罪顯然不包括那些由于銀行自身不完善的流程和系統(tǒng)漏洞以及外部事件等因素造成的操作風險。最簡單的例子就是操作失誤，比如銀行員工誤將取款操作成存款，或者數(shù)字錄入錯誤等均屬于操作風險的范疇，但并不構(gòu)成犯罪。將操作風險等同于金融犯罪，往往會使商業(yè)銀行無意識地縮小操作風險的管理范圍，錯誤地將操作風險管理等同于金融犯罪管理，從而將操作風險管理職責不恰當?shù)刭x予內(nèi)部審計或安全保衛(wèi)部門。這恰恰是造成目前我國商業(yè)銀行操作風險管理進展緩慢的原因所在。

　　3、操作風險是可以計量的，應該為操作風險配置資本

　　表面上看操作風險確實無規(guī)律可循。事實上，這只是人們觀察問題的角度不正確造成的。如果我們就單個年份來看，一些操作風險事件是無規(guī)律的，一旦將這些操作風險事件放在很長一段時間和同類型的大量數(shù)據(jù)中來看，我們會發(fā)現(xiàn)，這些操作風險往往會以某種穩(wěn)定的概率發(fā)生。這正是人們量化操作風險的基礎。最早提出操作風險量化模型的是Duncan Wilson。他在1995年12月的《risk》雜志中發(fā)表了“操作Var”的文章。文章認為，操作風險可以使用“在險值(Var)”技術進行測度，銀行可以建立來自于內(nèi)部和外部的操作損失事件數(shù)據(jù)庫，并從數(shù)據(jù)擬合操作損失的分布，通過設置一個置信區(qū)間，比如95%，銀行就可以計算出操作風險的Var，也就可以為其分配資本了。為操作風險分配資本的最大好處就在于，當銀行遭受某種災難性損失的時候不至于癱瘓，甚至于倒閉。在不可量化思想的支配下，很難想象銀行會致力于操作風險量化模型的開發(fā)。這或許是國內(nèi)商業(yè)銀行操作風險管理水平難以提升的重要原因之一。

　　4、操作風險事件之間是相互聯(lián)系的而不是孤立的

　　從表面看，工作人員的操作失誤、銀行員工的欺詐以及關鍵人員的流失三者之間并無多大聯(lián)系。而停電、詐騙以及“非典”之間更是風馬牛不相及。由此，很多人得出“各種操作風險事件之間是孤立的、毫無聯(lián)系的，從而操作風險是突發(fā)事件”的結(jié)論。這其實是忽略了隱藏在不同表面現(xiàn)象背后的共性本質(zhì)，忽略了眾多隨機變量近似地服從正態(tài)分布的統(tǒng)計原理。以工作人員操作失誤、銀行員工欺詐和關鍵人員流失三類風險事件來看，它們的本質(zhì)均是人的因素引起的操作風險，且在足夠長期限和足夠多數(shù)據(jù)的情況下可以近似地描繪出其概率分布。停電、詐騙與“非典”之間的關系與此相似，三者均屬于外部因素造成的操作風險，且眾多上述事件同樣會近似地服從正態(tài)分布。只有看到各種操作風險事件之間的聯(lián)系，才能準確地描述銀行面臨的操作風險，進而從整體上把握操作風險。這正是巴塞爾委員會關于操作風險定義的基礎所在。那種以孤立的、隔離的眼光看待操作風險的做法只能將各個操作風險視作突發(fā)事件，也就無法從整體上把握銀行面臨的操作風險，更不用說對其進行科學有效的管理了。目前國內(nèi)很多銀行就存在這一問題，當面對“非典”沖擊之時，當遭受系統(tǒng)癱瘓之時，銀行并未從操作風險的角度對之進行系統(tǒng)分析和把握，只是將其看作突如其來的偶然事件，應付過去。如此一來，銀行根本不會想到為其準備應急預案和分配經(jīng)濟資本。再次面對類似事件，銀行只能是屢屢受損，甚至于出現(xiàn)災難性的后果。

　　操作風險的認識還應注意到操作風險的管理不僅僅是稽核審計部門的事，應該是業(yè)務生產(chǎn)各環(huán)節(jié)的管理要求;管理者非常容易對市場風險和信用風險管理產(chǎn)生偏好，不應該因此而忽視操作風險的重要地位;操作風險應重視資源的投入，尤其是更多的人力(培養(yǎng)專業(yè)的操作風險管理人才，建設操作風險管理的團隊)、財力(投入資金用于操作風險的模型和系統(tǒng)建設)、物力(配置更多的固定資產(chǎn)資源，為操作風險管理的實施提供環(huán)境和保障)等等方面的投入。只有對操作風險有了清醒認識、足夠的重視，才能上升到如何落實和實施操作風險的管理過程及事后的評價。

　　(二)、巴塞爾委員會對管理操作風險提出的要求

　　巴曙松在《巴塞爾新資本協(xié)議研究》一書中曾經(jīng)提到：“操作風險的管理需要強調(diào)風險管理環(huán)境、風險管理過程、監(jiān)管者的作用和信息披露的作用”(注2)。巴塞爾委員會在總結(jié)國際金融界經(jīng)驗的基礎上，將管理操作風險歸納為四部分的具體要求：

　　1、建立適當?shù)娘L險管理環(huán)境

　　巴塞爾委員會認為，對銀行來說，應當首先建立適當?shù)娘L險管理環(huán)境，這要求董事會應當了解作為一個獨特的、可以控制的風險種類-----銀行操作風險的主要方面，應當批準和定期審查銀行的操作風險戰(zhàn)略。該戰(zhàn)略應該能夠反映銀行的風險容忍程度及其對這種風險種類的特定特征的理解。巴塞爾委員會也承認，銀行組織內(nèi)部的信息流程在建立和維持一個有效的操作風險管理框架方面可以發(fā)揮重要作用。

　　2、風險管理過程：識別、衡量、監(jiān)督和控制

　　巴塞爾委員會認為，銀行應當建立識別操作風險的類別、衡量操作風險的方法、監(jiān)督操作風險的手段和控制操作風險的機制等的電子化管理系統(tǒng)。對操作風險的整個過程進行跟蹤，有效的管理操作風險的全過程。建立衡量操作風險的必要方法，實施可以持續(xù)監(jiān)督操作風險暴露和重大業(yè)務損失的應用系統(tǒng)。

　　3、監(jiān)管者的作用

　　在建立適當?shù)娘L險環(huán)境和全程的風險管理過程的基礎上，監(jiān)管者應對銀行與操作風險相關的戰(zhàn)略、政策、程序和做法直接或間接地進行定期的獨立評價，使之可以及時的修正錯誤的環(huán)節(jié)。并保證銀行具備一個有效的報告機制，使他們可以及時了解銀行操作風險管理執(zhí)行過程是否按照計定的方針政策行事，使監(jiān)管者亦可了解政策方針落實的進展情況。

　　4、信息披露的作用

　　準確、及時、完整的信息披露是管理操作風險的重要環(huán)節(jié)之一，在操作風險管理和監(jiān)管中發(fā)揮著重要的作用。巴塞爾委員會要求銀行應向公眾進行充分的信息披露，使市場參與者可以對銀行的操作風險暴露及其操作風險管理質(zhì)量進行評估，從而選擇各自的風險偏好，由市場機制評價和吸納操作風險帶來的可能性風險。

　　二、商業(yè)銀行操作風險管理的現(xiàn)狀

　　商業(yè)銀行的發(fā)展史已有三百多年。“操作風險”一個曾經(jīng)不被人們重視而卻與商業(yè)銀行發(fā)展伴生的風險種類，越來越顯示出它的重要性，由于商業(yè)銀行對操作風險的管理重視不夠、認識不清、手段單一、方法陳舊、人才匱乏，致使操作風險肆虐，使商業(yè)銀行付出了沉重的代價。

　　(一)、商業(yè)銀行忽視操作風險所帶來的沉重代價

　　商業(yè)銀行中流傳這樣一句話：“誰忽視了操作風險，誰將為之付出慘痛的代價。”事實也證明了

　　這一點。近十年，金融界的重量級案件頻發(fā)，從95年巴林銀行的李森事件到05年中國銀行分理處主任高山的票據(jù)詐騙案等，短短十年間，一系列由操作風險而引發(fā)的案例給商業(yè)銀行造成了數(shù)以億計的巨大損失(參見附表)。

　　商業(yè)銀行操作風險形成損失的典型案例統(tǒng)計表

　　涉案銀行名稱 案件時間 案情簡述 造成損失 總結(jié)教訓

　　巴林銀行 1995年 交易員李森私自開立“88888”賬戶隱瞞投機日經(jīng)指數(shù)期貨虧損。 14億美元 管理松懈，監(jiān)督不利，有章不循。

　　大和銀行 1995年 交易員井口俊英從事3萬筆未經(jīng)授權的賬外買賣美國聯(lián)邦債券的交易形成損失。 11億美元 越權違規(guī)，缺乏制衡，授權無度。

　　三井住友銀行 1996年 交易員濱中泰男從事投機銅的期貨交易造成虧損。 40億美元 違規(guī)操作，監(jiān)控不利。忽視管理。

　　中國銀行開平支行 2001年 交易及管理人員余振東等人從事外匯買賣、賬外貸款、盜用聯(lián)行資金等方式造成銀行損失。 4.8億美元 超權越權，違規(guī)違法，作假藏真，監(jiān)控失靈。

　　中國銀行河松街分理處 2005年 分理處的負責人高山內(nèi)外勾結(jié)，私自開出假票據(jù)，私自挪用客戶的存款，使銀行形成損失。 10億人民幣 內(nèi)外勾結(jié)，違規(guī)違法，監(jiān)控失靈。

　　(數(shù)據(jù)來源：摘自中國經(jīng)營報和國際金融報)

　　操作風險帶來的黑洞使一些商業(yè)銀行付出慘痛的代價。 觸目驚心的案件應該讓監(jiān)管者意識到監(jiān)

　　管的乏力。

　　(二)、商業(yè)銀行對操作風險管理存在諸多錯誤的認識

　　操作風險之所以越來越給商業(yè)銀行的經(jīng)營帶來難以承受的風險壓力，究其原因主要是因為對操

　　作風險的認識出現(xiàn)了偏差。歸納起來主要有以下幾個方面：