首页资料文库正文

操作风险管理十篇

时间：2023-04-05 16:23:07

操作风险管理

操作风险管理篇1

关键词：商业银行；操作风险；巴塞尔新资本协议；操作风险管理框架

一、商业银行操作风险的实质、内涵和管理要求

（一）全面认识操作风险的实质和内涵

认识事物是改造事物的前提和关键，对操作风险的认知程度越高，才能有效的提升操作风险管理的地位和管理的水准，有了正确的操作风险的认识，才能够上升到宏观的决策和微观的具体落实。张吉光认为：“商业银行在操作风险管理中，对操作风险的认识存在五大方面错误或偏差”。通过对操作风险管理理论的研究，笔者认为：解决操作风险管理认识上存在错误或偏差，成为提高操作风险管理水平的关键。具体而言，要全面认识和了解操作风险，需要消除以下几方面的误区。

1、操作风险不能等同于操作性风险和操作中的风险

根据巴塞尔新资本协议的定义，操作风险可以分为四类：人员因素引起的操作风险、流程因素引起的操作风险、系统因素引起的操作风险和外部事件引起的操作风险。人员因素引起的操作风险包括操作失误、违法行为（员工内部欺诈/内外勾结）、违反用工法、关键人员流失等情况。流程因素引起的操作风险又分为流程设计不合理和流程执行不严格两种情况。而系统因素引起的操作风险包括系统失灵和系统漏洞两种情况。外部事件引起的操作风险主要是指外部欺诈、突发事件以及银行经营环境的不利变化等情况。其中，属于操作性风险的仅包括人员因素引起的操作风险中的操作失误、违法行为、越权行为和流程因素引起的操作风险中的流程执行不严格的情况。显然，操作性风险不能等同于操作风险，尽管操作性风险是操作风险中发生频率最大、占比最高的风险类型。从笔者搜集整理的近几年来国内商业银行发生的近50起操作风险案例的数据显示，操作性风险占总数的比例为70%。将操作风险狭隘地定义为操作性风险的做法，往往会使得建立在这一认识基础上的操作风险管理体系不能覆盖所有的操作风险，从而使银行难以防范那些突发事件的冲击，如前一段时间工商银行北京市分行出现的系统瘫痪、美国发生的“911”恐怖袭击等。

2、操作风险不能等同于金融犯罪

金融犯罪仅是操作风险中的主要类型，并不能涵盖所有类型的操作风险。根据我国对金融犯罪的定义，金融犯罪是指在金融活动中，侵害金融管理制度、金融市场秩序以及其他社会经济关系，依照我国刑法规定，应当受到刑法处罚的行为。对比巴塞尔委员会关于操作风险的定义，金融犯罪显然不包括那些由于银行自身不完善的流程和系统漏洞以及外部事件等因素造成的操作风险。最简单的例子就是操作失误，比如银行员工误将取款操作成存款，或者数字录入错误等均属于操作风险的范畴，但并不构成犯罪。将操作风险等同于金融犯罪，往往会使商业银行无意识地缩小操作风险的管理范围，错误地将操作风险管理等同于金融犯罪管理，从而将操作风险管理职责不恰当地赋予内部审计或安全保卫部门。这恰恰是造成目前我国商业银行操作风险管理进展缓慢的原因所在。

3、操作风险是可以计量的，应该为操作风险配置资本

表面上看操作风险确实无规律可循。事实上，这只是人们观察问题的角度不正确造成的。如果我们就单个年份来看，一些操作风险事件是无规律的，一旦将这些操作风险事件放在很长一段时间和同类型的大量数据中来看，我们会发现，这些操作风险往往会以某种稳定的概率发生。这正是人们量化操作风险的基础。最早提出操作风险量化模型的是Duncan Wilson。他在1995年12月的《risk》杂志中发表了“操作Var”的文章。文章认为，操作风险可以使用“在险值（Var）”技术进行测度，银行可以建立来自于内部和外部的操作损失事件数据库，并从数据拟合操作损失的分布，通过设置一个置信区间，比如95%，银行就可以计算出操作风险的Var，也就可以为其分配资本了。为操作风险分配资本的最大好处就在于，当银行遭受某种灾难性损失的时候不至于瘫痪，甚至于倒闭。在不可量化思想的支配下，很难想象银行会致力于操作风险量化模型的开发。这或许是国内商业银行操作风险管理水平难以提升的重要原因之一。

（二）、巴塞尔委员会对管理操作风险提出的要求

1、建立适当的风险管理环境

巴塞尔委员会认为，对银行来说，应当首先建立适当的风险管理环境，这要求董事会应当了解作为一个独特的、可以控制的风险种类……银行操作风险的主要方面，应当批准和定期审查银行的操作风险战略。该战略应该能够反映银行的风险容忍程度及其对这种风险种类的特定特征的理解。巴塞尔委员会也承认，银行组织内部的信息流程在建立和维持一个有效的操作风险管理框架方面可以发挥重要作用。

2、风险管理过程：识别、衡量、监督和控制

巴塞尔委员会认为，银行应当建立识别操作风险的类别、衡量操作风险的方法、监督操作风险的手段和控制操作风险的机制等的电子化管理系统。对操作风险的整个过程进行跟踪，有效的管理操作风险的全过程。建立衡量操作风险的必要方法，实施可以持续监督操作风险暴露和重大业务损失的应用系统。

3、监管者的作用

在建立适当的风险环境和全程的风险管理过程的基础上，监管者应对银行与操作风险相关的战略、政策、程序和做法直接或间接地进行定期的独立评价，使之可以及时的修正错误的环节。并保证银行具备―个有效的报告机制，使他们可以及时了解银行操作风险管理执行过程是否按照计定的方针政策行事，使监管者亦可了解政策方针落实的进展情况。

4、信息披露的作用。

准确、及时、完整的信息披露是管理操作风险的重要环节之一，在操作风险管理和监管中发挥着重要的作用。巴塞尔委员会要求银行应向公众进行充分的信息披露，使市场参与者可以对银行的操作风险暴露及其操作风险管理质量进行评估，从而选择各自的风险偏好，由市场机制评价和吸纳操作风险带来的可能性风险。

二、对加强商业银行操作风险管理的方法和建议

首先，要健全商业银行操作风险管理的体系，商业银行要逐步建立一套从决策层、执行层直到

监督层；从国内到海外；从总行到分支的全球化的操作风险管理体系，由风险管理委员会制定操作风险管理的大政方针、决策操作风险的风险资本配置、批准核销操作风险损失准备等等。执行层按照计定的操作风险策略具体执行和落实操作风险的管理内容。最终，由操作风险的监管层负责跟踪评价操作风险的管理过程。决策、执行与监督，层层到位，各司其职，才能有效的管理和控制操作风险。

其次，商业银行要界定操作风险管理的范围。根据巴塞尔新资本协议的要求操作风险的范围主要包括内部程序、人员、系统三部分，商业银行要针对内部程序制定操作规程，针对人员制定员工的行为规范，针对系统制定规章制度，对整个商业银行的运营制定应急方案，减少和降低因操作风险事故带来的损失，有了清晰的操作风险范围界定，事后评价操作风险和监督操作风险的政策执行情况才能有的放矢。

第三、需要培育商业银行操作风险管理的文化。商业银行的操作风险管理不是一时之需，追赶时髦，而是伴随商业银行发展的不朽主题。就像企业需要建立企业文化，操作风险的管理文化要深入人心。人人意识到操作风险，商业银行的各阶层都来重视操作风险。

第四、商业银行要制定操作风险管理的方法。如何确定和量化操作风险，还需要有科学的方法和计量手段。目前，国际上先进的软件、模型已开始被商业银行应用，商业银行的操作风险管理手段和方法也在不断的完善和进步。

立足于国际金融界的经验，商业银行在引入操作风险管理、建立操作风险管理框架和健全操作风险管理体系时，需要重点注意以下几个方面的问题：

（一）、健全操作风险管理框架模式

1、建立基本运作程序的同时，从容易衡量的领域着手。从具体的实施过程看，国际金融界的经验是，首先建立一套相对策略的、但是比较完整的操作风险管理体系、缓释、监控、报告等环节，在此基础上建立覆盖整个机构的操作风险管理战略和政策，从相对简略的领域出发，在实际运作中逐步完善，扩大其覆盖的操作风险的领域。

2、金融机构在着手管理操作风险时，重点要建立与信用风险和市场风险相一致的操作风险管理框架，确定不同职位的人员在操作风险管理中的责任，如业务管理人员，其别是零售业务部门的操作人员；人员；稽核人员；风险管理部门等。在此基础上，风险管理委员会等高层机构应当确定打算选用的风险管理方法和策略，业务部门应当据此采集关于操作风险的各种数据，向市场寻求专业的咨询和支持，逐步建立初步的操作风险管理体系。严格地说，整个金融机构范围内管理不同风险的基本原则和方法应当一致，这意味着新建立的操作风险管理框架必须要整合到与信用风险和市场风险管理相一致的框架中去，操作风险所运用的方法和原理也应当与整个商业银行在风险管理方面运用的方法和原理相协调。

3、风险管理部门并不是风险管理的惟一部门，具体的业务部门、法律部门、稽核部门都承担着进行操作风险管理的责任。如果说市场风险和信用风险的管理日趋强调集中化的话，那么，操作风险的管理必须强调分散化。严格地说，具体的业务部门在操作风险管理方面应承担第一位的责任。这是由操作风险的特征所决定的，当然关于操作风险管理的具体原则应当由风险管理部门提供。

（二）、建立操作风险的报告与考核机制

1、操作风险的报告体系。操作风险的报告系统应当独立于业务部门，并且应当能够敏感地反映操作风险的变动，主要数据自动生成，在整个机构采用的采集方法保持一致。

2、操作风险体系中的激励和考核机制。在具体的管理人员介入操作风险系统的运行时，就存在着其机会主义地运用这一系统的可能性，因此，建立完善的激励机制和绩效考核制度在操作风险管理中同样十分重要。同时，即使一个机构中建立了相当自动化的操作风险报告体系，但是如果高级管理人员不能动态地介入整个管理过程、不能将报告的结果与员工和部门的绩效考核有机的结合起来，这个系统的运作也会大打折扣。

3、操作风险的报告和考核都离不开操作风险的衡量方法和技术，谨慎选择适当的操作风险衡量方法和技术显得非常重要。在多种计算资本拨备方法中，一般的银行可以先采用单一指标法进行测试（即一定的风险系数×毛收入），向金融机构管理层提供参考数据，有条件的银行还可以考虑采用标准化方法的具体措施。按标准化方法，银行业务将分类，并以各类业务的毛收入去计算总操作风险资本金的配置要求。对于一些风险管理能力较强的银行来说，应当注意及时跟进监管机构及业界有关计提操作风险资本金配置要求的最新发展，着手积累各类操作风险损失的数据，并在此基础上考虑使用更精确的方法。

（三）、参与操作风险的管理者应各司其职

1、董事会和高级管理层在操作风险的管理中应当承担更大的责任，包括建立清晰的管理结构、明确的责任分工，并且保证操作风险的管理框架能够覆盖所有相关领域，还应当建立清晰的关于操作风险的管理和报告程序。所有的业务部门和支持性部门都应当整合在整个操作风险的管理框架中。

2、寻求合格的、充足的操作风险管理人员。从人员结构看，目前的一些国际金融机构中的操作风险管理人员主要有不同部门的管理经理、法律或者稽核人员、业务计划人员、信息安全人员等。较之信用风险和市场风险，操作风险管理方面有实际经验的人员相对较少，大部分需要金融机构结合自身的实际情况进行培训，还有一部分需要向外部招聘。

（四）、选择操作风险管理的主要类型

目前，全球范围内管理操作风险主要采取三种方法：总部集中管理型、总部集中管理与分散化支持型、稽核部门占据主导作用型。选择其中任何一种类型，主要取决于各自企业文化和董事会的风险偏好、自身的风险管理能力和风险管理水平等。针对性的选择操作风险管理的类型有利于操作风险管理框架的建立和实施。

三、结论

操作风险管理篇2

关键词：商业银行操作风险治理架构国际监管

中图分类号：F832 文献标识码：A 文章编号：1006-1770(2011)08-024-04

编者按：巴塞尔委员会新资本协议II将操作风险作为一项单独风险纳入第一支柱，中国银监会相应出台了《商业银行操作风险管理指引》和《商业银行操作风险监管资本计量指引》。根据这些标准与指引，中国的商业银行开始探索集中统一的操作风险管理之路。日前，银监会召集部分准备实施新协议的商业银行在广西南宁举行研讨会，就操作风险管理的最新监管动态、日常管理机制、信息系统研发、业务连续性管理和高级计量法实施等议题进行讨论。现选取部分会议成果予以刊发，以供读者参考。

操作风险是一项有银行业务经营活动以来就存在的风险。但是直到2004年的新资本协议，国际监管组织才正式将其视作一项独立风险进行管理和计量。由此，操作风险被列为与信用风险、市场风险并列的三大风险之一，在第一支柱下单独针对其计提监管资本，并针对操作风险管理提出了专门的要求。

但是由于操作风险管理作为独立风险类型加以管理的时间较短，因此其管理和计量即便在发达国家也仍处于起步阶段，新资本协议的虽为操作风险计量提供了规范，但在操作风险管理方面，长期以来只有巴塞尔委员会2003年的《操作风险管理和监管的稳健做法》(简称03版《稳健做法》)。直到2010年10月，巴塞尔委员会公布了研究文件《保险在操作风险建模中的缓释作用》，2010年12月，巴塞尔委员会又了更新后的《稳健做法》征求意见稿，同时了《操作风险高级计量法监管指引》的征求意见稿。2011年6月，巴塞尔委员会经讨论同意这两份文件；2011年7月，新版的《稳健做法》(简称2011年版《稳健做法》)和《操作风险高级计量法监管指引》正式并生效。我们注意到，上述的动态变化是操作风险管理向专业化、精细化方向发展的必然，而对于我国银行业来说，更为具体和精细化的管理要求将有利于推进操作风险管理和监管水平。本文介绍了2010年以来巴塞尔委员会在操作风险管理及监管方面的最新动态，然后分析这些监管动态对我国银行业推进操作风险管理的启示。

一、操作风险管理的治理架构

完善健全的治理架构是实现有效操作风险管理的基础，2011年版的《稳健做法》最主要的亮点即在于强化了操作风险治理架构方面的具体要求，更加明确了不同层级的操作风险管理职责与问责。

(一)操作风险管理的治理架构

首先，《稳健做法》明确要求董事会应对操作风险管理承担最终责任，并应当确保全行操作风险管理制度及其执行的有效性。董事会亦应定期对全行操作风险状况及其管理情况进行核验。另外，新版《稳健做法》还提出，董事会不仅应负责在全行建立良好的操作风险管理文化，还应该负责确定本行操作风险偏好及容忍度的设置。

与之相对应的是，《稳健做法》也要求银行的高管层将董事会制定的操作风险管理框架加以落实，并强调高管层应确保本行负责操作风险管理的专业人员能有效履职。

此外，对于较大规模及业务复杂的银行来说，《稳健做法》还要求其建立专司操作风险管理的风险委员会。操作风险委员会应包含操作风险管理专职人员、业务条线专业人员等，委员会定期召开会议并向董事会风险委员会进行直接报告。

(二)思考与启示

2010年版《稳健做法》厘清了操作风险治理架构的一些具体问题，但是仍然留存了一些模糊地带和争议。如虽然董事会的职责得到了强化，但是一方面对董事会如何履责仍然失之笼统，而另一方面却又对董事会提出了诸如定期核验操作风险管理制度等执行层面的要求，这显然又同高管层的职责产生了交叉。此外，从当前的国际实践来看，操作风险偏好和容忍度的概念仍然模糊，因为操作风险与信用风险及市场风险在风险来源和本质上差异很大，操作风险不仅包含银行内生的风险(如流程、内部欺诈等)，也包含了很多外生性的风险，即便其中的内生性操作风险可以进行估量，外生性操作风险则很难界定其风险暴露。因此，如果操作风险暴露难以确定，则设置操作风险容忍度和风险偏好将变得非常困难。2011年版的《稳健做法》也并未在这方面提出明确的操作方案。

不过从总体上看，2011年版《稳健做法》提出的治理架构方面的要求不仅令操作风险管理职责划分更加明确，也为银行建立操作风险管理体系提供了普遍标准。至于如何将已经用于信用风险和市场风险管理的一些理念和做法(如职责分工、专业委员会机制、风险偏好和容忍度设置等)合理有效地用于操作风险管理，我们认为这些都是开拓性和建设性的命题，而且这些问题本身也并无一致性的解答案，《稳健做法》也给予了商业银行实践的弹性，银行在关注这些要素的基础上，宜制定与自身特点相匹配的落实方案。

二、强化操作风险全流程管理

新资本协议将操作风险纳入第一支柱进行管理和计量后，自然也必须建立相应的操作风险全流程管理框架，《稳健做法》再次确认了操作风险管理所包含的识别、评估、监测、报告、控制及缓释的流程，并对流程的各个环节提出了具体的要求。

(一)全流程管理新要求

2003年版《稳健做法》在全流程管理方面仅包含了风险自我评估(RCSA)、关键风险指标(KRI)、风险计量以及风险映射四项内容，而2011年版《稳健做法》还提出操作风险的识别和评估也应包括内部损失数据以及外部损失数据的收集和分析、情景分析以及对不同工具运行结果的综合分析。此外，新业务和新产品上线前除了应评估其蕴含的操作风险外，还应将相应风险因素纳入其定价机制。而在报告机制方面，2011年版《稳健做法》也提出银行应建立常规报告和压力场景报告两种机制，并且必须包含本行操作风险实际情况与制定的风险偏好和容忍度吻合情况等。

(二)分析及启示

我们不难发现，上述新要求其实也有着丰富的内涵，且隐含了巴塞尔委员会在操作风险管理方面的总体思路。

首先，将内部损失数据和外部损失数据收集及分析列为对所有银行的普遍要求，而不仅仅局限在实施高级计量法的银行，这表明巴塞尔委员会再次强调损失数据收集是操作风险评估的核心，也是全流程管理的起点。我们甚至不难推断，提出更严格的损失数据收集要求，表明巴塞尔委员会认为即便对于实施基本指标法和标准法的银行而言，进行更为精细化的损失数据收集也是必须的，也部分矫正了先前的一种观点，即认为损失数据收集和情景分析的目的主要是为实施高级计量法的银行建模所需。事实上，巴塞尔委员会的2011年版的《稳健做法》给出了明确的信号，损失数据收集的作用不仅是用于建模，更应用于收集全行操作风险状况，并且不仅应包含“收集”，更应把落脚点放在“分析”，且应融合内部数据和外部数据，做到“回顾”和“前瞻”相结合，形成对操作风险管理提供参考依据的合力。

其次，对不同工具运行提出综合比较分析的要求表明，巴塞尔委员会明确要求操作风险管理工具之间应当建立良好的互动关系，而这点正是目前操作风险管理实践中所缺乏的。尤其是在我国，一方面前期已经着手建立操作风险管理框架的银行在开发和推广工具方面尚处于起步阶段，对工具运行结果的分析也很不足，更难以建立不同管理工具之间的互动机制，另一方面由于不同管理工具往往在开发、运行和维护上会由不同团队负责，甚至可能会由不同部门主持，因此建立不同工具之间的互动就面临更大的挑战。

第三，要求把操作风险评估加入定价机制表明，巴塞尔委员会将继续推动把操作风险管理与计量结合的实践。尽管操作风险在定义、边界界定、定量等方面还争议较大，但是银行应当建立评估操作风险暴露的机制，并且将操作风险暴露的概念运用于日常管理，一方面对业务条线的经营运营起到规范制约的作用，另一方面也对提高操作风险管理水平起到促进作用。

第四，提出了在压力场景下的报告机制，可以认为是对报告机制的一种完善。结合我国银行业实践，我们可以认为这是对各行已经执行的重大事件报告的一种规范化。因为操作风险事件往往具有突发性、不可预期性和外生性的特点，因此及时对外部压力场景做出反馈，通过报告体系使高管层或董事会知晓，是十分重要的环节。

当然，如果我们仔细斟酌，也容易发现，2011年版《稳健做法》虽然提出了不少新理念和规范，但是在实际操作上仍然缺少具体方法的指导，如对于操作风险的定价仍然囿于多种不确定性而难以准确执行，而操作风险管理工具之间如何建立互相补充完善的机制也不明确。此外，如何定义压力场景的报告、如何将操作风险偏好和容忍度执行纳入操作风险报告等问题，也都需要各方努力研究具体的执行方法。

三、细化的高级计量法要求

(一)《操作风险高级计量法监管指引》的主要内容

由于巴塞尔委员会在制定新资本协议时就隐含了鼓励银行实施更为高级的计量方法的意向，因此不少计量手段较为成熟的银行即着手开发操作风险高级计量法(AMA)。随着高级计量法的铺开，出台比新资本协议相关内容更为具体的规范性文件也显得非常迫切，而《操作风险高级计量法监管指引》(以下简称《监管指引》)正是在这样的背景下出台的，主要覆盖了高级计量法的治理架构、数据和建模三个部分。

首先，在治理架构方面，《监管指引》区分了对操作风险计量的验证(validation)以及对操作风险管理框架的核验(verification)，即验证应当作为操作风险计量体系的一个有机组成部分，对高级计量法的建模进行验证，而对于包括计量和管理在内的完整的操作风险管理框架，则仍需要由独立团队再次对其进行有效性核验(见下图)。另外，《监管指引》还明确指出，实施高级法的银行应当更加注重通过使用测试(use test)将计量结果运用于操作风险管理实践，并起到促进操作风险管理水平的作用。

其次，《监管指引》明确了一些数据方面的要求，大致包括：

1.毛损失与净损失的确认：银行可以选择毛损失或净损失进行数据收集，但是应足够审慎，如损失挽回消耗大量时间，则必须用毛损失作为建模依据，且银行在计算净损失时不得先行使用保险缓释进行扣减，银行如使用合格保险缓释，需要建立单独的模型。

2.损失数据收集门槛：银行应明确其收集数据的门槛值，对于门槛值可以是全行统一的，也可以设置不同的门槛值，但是银行必须足够审慎并确保其设置的门槛值能将实质性风险事件均包括在内。同时，鼓励银行根据操作风险形态进行分类，对于同一分类的事件或条线设置相同的门槛值。

3.损失时间点：明确了可供选择的时间点限于发生日、发现日和会计结算日三项，并认为结算日是比较稳健的做法。

第三，在建模方面，对于建模数据来源、分布假设等提出了要求：

1.数据来源。再次确认了高级计量法建模数据来源必须包括内部数据、外部数据、情景分析以及经营环境和内部控制要素这四项要素，其中内部数据是建模的主体，外部数据则是针对肥尾分布的校准，情景分析作为对可重复损失事件的评估，也构成数据来源的重要部分，而经营环境与内部控制要素由于主观性过强，目前尚难以直接植入模型。

2.精细化程度(granularity)。实施高级法的银行应根据操作风险形态进行归类，并用于情景分析等场合。

3.分布假设。由于建立合适的分布是高级计量法的核心，因此银行应确保选取了合适的损失频度及严重程度的分布假设，并应保证进入内部损失数据库的数据均已包含在建模数据中，同时银行可以针对分布的不同部分采用不同的假设，但是银行应建立完整的数据清洗、模型选取、拟合等环节的文档记录。

(二)分析与启示

我们认为，一方面高级计量法尚处于起步阶段，另一方面高级计量法本身亦允许了较大的操作弹性。《监管指引》虽然在治理、数据和建模三方面提出了一些规范，但是实践中仍然有大量的弹性空间。从一些发达国家银行实施高级计量法的经验看，内部数据、外部数据和情景分析在模型中的比重差异非常大。事实上，某些银行的建模较大依赖了情景分析，而并非如很多人认为来自于内部损失数据，这可能因为各国银行经营和管理模式的差异，也可能因为不同银行数据基础和质量的差异。而《监管指引》在多个部分亦强调，巴塞尔委员会将在持续收集数据和调研的基础上，在合适的范围内对可以确定的良好实践予以明确。

四、第一支柱与第二支柱统筹

除了公开征求意见并提交高层讨论的2011年版《稳健做法》和《监管指引》外，巴塞尔委员会还对操作风险管理和计量实践的一些问题进行了研究，其中比较重要的一项工作是在第二支柱框架下评估操作风险监管资本充足情况。

事实上，虽然新资本协议将操作风险纳入了第一支柱，但是由于操作风险计量的不确定性，新资本协议也指出，监管当局将在第二支柱框架下评估银行操作风险监管资本的充足情况，并且可以对操作风险资本不足的银行提出附加资本要求。本轮金融危机后，各国监管当局和巴塞尔委员会都发现银行实际操作风险暴露可能远远大于实际计提资本的数量，而基本指标法和标准法由于风险敏感度较低，对实际损失覆盖的有效性也需要评估，可是在实践中，一方面监管当局并无明确提出在第二支柱下如何评估未覆盖的操作风险暴露，银行在亦没有在第二支柱下对操作风险暴露的覆盖情况进行评估。但是与之对应的是，由于操作风险与内控和合规管理不可分割的关系，不少监管当局和银行内部都制定过一些对内控及合规执行情况进行评估的规章，但是这些零散的文件却并未纳入操作风险管理和监管体系。正是在这样的背景下，巴塞尔委员会亦打算研究在第二支柱下开展操作风险资本充足情况的良好实践。

反观我国的银行业实践，虽然新资本协议启动时间不长，但是操作风险管理却是一直存在的，尽管其表现形式主要是内控合规管理，而监管当局的注意力也多集中在案件防控等领域。我们认为，我国的一些实践做法在原则上是符合巴塞尔委员会的研究动向的，但是我国监管和管理实践可能存在规章零散、缺乏统筹等问题。例如，我国的商业银行在传统上都非常重视对内部欺诈等重大操作风险损失事件的监控，无论是银行内控部门、风险部门还是监管部门都先后出台过多种规章进行约束，其中也包括将重大损失事件数与损失金额与经济资本计量和分配挂钩的做法，这无疑是一种在第二支柱下探索操作风险管理的积极尝试，也可以对国际监管和管理提供积极的反馈，但是我们在实践中，也有必要梳理整合现有规章，评估实践中的优缺点，思考如何建立较为统一的第二支柱框架。同时我们也应该注意到，就操作风险管理而言，第一支柱确立了原则性的规范体系，第二支柱只是对其的补充和调整，不能将第二支柱的作用无限扩大，更不能给予操作风险资本计量和分配以无限的自由裁量权，同时也必须将第一支柱和第二支柱进行统筹考虑，既要在第二支柱下考量第一支柱未覆盖的风险，也要避免因出现在两大支柱下重复计量而造成银行不合理负担的情况。

操作风险管理篇3

关键词:商业银行操作风险管理

国际银行业对操作风险研究和管理的最新动态

近几年,国际银行业操作风险研究和管理取得重大成就,其主要体现在巴塞尔委员会和各类银行业协会的报告(协议)上,反映于国际活跃银行的突破性探索中,具体包括以下四个方面:

对操作风险的认识提升到新的层次

2004年的巴塞尔新资本协议将操作风险定义为由于不完善或失灵的内部程序、人员和系统,或外部事件导致损失的风险。全球风险专业人员协会则认为,操作风险是与业务操作相联系的风险,包括来自操作业务失败形成的操作失败风险和来自变化形成的操作战略风险。以上两种观点都是从内部因素和外部因素出发,强调商业银行经营活动与人、流程、事件之间的互动关系。操作风险作为有别于市场风险和信用风险的独立的银行风险种类得到普遍认同。国际银行业认识到,操作风险分布于银行业的各个经营管理层次,贯穿于经营管理活动的始终;与信用风险和市场风险不同,操作风险无法创造利润,但信用风险和市场风险存在通过有效管理而获利的可能。一些银行已将操作风险置于与信用风险和市场风险同样重要的地位,开始建立专门的操作风险管理系统,制定并完善识别、评估、监测和缓释操作风险的原则、政策和方法。

强调必须对操作风险进行合理分类和准确描述

商业银行管理操作风险的重要前提之一是准确把握本行操作风险的类型和特点,区别本行操作风险与其他的异同。国际银行业较认可的分类结果大体可归纳为:人的行为和动因:犯罪、有意差错、无意差错。流程:流程设计不合理,流程执行不准确、流程执行的信息披露不适当或不充分。技术:系统规划不合理、软硬件不支持、信息安全无保障等。事件:与责任;竞争对手和合作伙伴;政府行为和风险;自然灾害等。

积极开发和引进操作风险测量技术

国际活跃银行一致认为操作风险需要通过定性和定量相结合的方法进行测量。定性方法主要是依靠内外部报告、管理报告、报告、政策规定,由专家评估操作风险,估计风险损失大小。定量方法的关键——操作风险计量技术目前仍处摸索阶段,但向信用风险和市场风险的计量方法看齐的发展方向十分明确。新资本协议中巴塞尔委员会提出三种估计方法:基础指标法、标准法、高级计量法。国际活跃银行还提出了其他一些模型方案,比较著名的有损失分布法、因果关系模型法等。整个银行业之所以至今没有形成统一的测量模型,主要因为操作风险的模型基本由各家银行自行研究建立,所依赖的内部数据与其他银行区别很大,对各类操作风险发生概率和损失大小的分析判断都不尽相同。

建立资本约束和完善的风险管理体系

巴塞尔新资本协议明确提出商业银行应将操作风险纳入管理框架,并对其分配资本,提高资本对操作风险的敏感度。分配资本的重要基础是操作风险的测量方法和测量结果。国际活跃银行主要是根据自身情况选择使用不同的计量方法,对操作风险分配资本,目前以使用基础指标法和标准法的居多。

操作风险管理成为专业化管理的重要内容之一。国际活跃银行也在不断完善操作风险管理组织框架,比如:由董事会审批操作风险管理战略,高级管理层执行操作风险管理政策,业务部门直接控制操作风险,操作风险管理部门研究制定测量和监控操作风险(对操作风险提取适当的资本准备),内部审计部门对风险管理成效进行及时检查和评估等。操作风险人才队伍日益壮大,素质结构不断优化。

我国银行业操作风险管理的现状和问题

近些年来,我国商业银行大案要案屡屡发生,操作风险越来越吸引社会关注。操作风险之所以近年在我国银行界大量出现,存在多方面原因。

从宏观层面看,我国商业银行操作风险管理滞后于形势发展。首先,在全球一体化和金融管制松动的背景下,商业银行全球化和综合化经营的趋势已经形成。社会与经济环境迅捷变化,而商业银行对操作风险的认知程度更新缓慢。其次,基于信息技术的飞跃,层出不穷,金融产品、服务的复杂性大大提高,操作风险的类型不断演变,我国商业银行原有的管理模式难以适应这种技术变化。此外,我国商业银行的业务拓展具有明显的“顺经济周期”特征,在经济扩张周期中,各项业务往往超常规发展。在认识不到位、风险管理手段落后的条件下,发生操作风险和造成事实损失的可能性必然增加。

从微观层面看,我国商业银行的操作风险管理尚处于初级阶段,与国际活跃银行相比存在以下不足:

操作风险管理理念淡薄

长期以来,我国商业银行偏重信用风险和市场风险管理,疏于操作风险管理。无论是制度规则、认识水平都比较低。相当一部分高层管理人员尚没有将操作风险视作一个独立的风险来认识,既不了解操作风险内涵,也不掌握操作风险边界。将操作风险管理仅仅停留在内控和审计的层次上,不知道操作风险也是可以量化计算和分配经济资本的。银行内部缺乏严格的自律和他律机制,有章不循的现象时有出现,对引发操作风险的行为没有给予及时有效的责任追究。

控制体系漏洞较多

决大多数银行未设立独立的专业化部门承担操作风险管理和分配资本职责,更多的是依靠非独立专业部门牵头负责或由各个专业条线内部控制。在全行范围内,往往没有形成针对操作风险的统一的政策标准,各职能部门之间缺少必要的沟通协调,操作风险管理处于分散、割裂状态。总分支行制下的直线职能制削弱了内控力度,各级负责人横向权利过大,为操作风险的发生提供了空间。

管理方法和手段落后

国内商业银行的操作风险管理尚处于定性管理阶段,依赖专家管理,主要手段是质量控制。普遍没有建立起操作风险管理系统,对如何定量计算分析操作风险知之甚少,在开发和运用操作风险的资本分配模型上基本属于空白。国内银行目前所采取的操作风险管理手段和方法基本上难以反映本行操作风险的总体水平和分布结构,与国际上以资本约束为核心的操作风险管理差距不小。

数据积累和实践经验缺乏

操作风险管理需要信息系统强有力的支持,但是我国商业银行信息系统建设严重滞后。根据新巴塞尔协议,用于计算监管资本的内部操作风险计量法,必须建立在对内部损失数据至少5年的观察基础上。国内商业银行至今很少有建立损失事件数据库的,大多缺乏损失和风险方面的历史数据。另外,由于社会诚信机制不健全,行业数据和外部数据的真实性无法准确判断,也影响到风险计量和管理决策。

加强我国商业银行操作风险管理的建议

当前我国银行业治理结构和经营机制改革正在迈向深入,这为重建操作风险管理体系创造了良好机遇。我国商业银行应研究借鉴国际银行业操作风险管理的理论成果和实践经验,切实提高操作风险管理的能力和水平。

统一风险管理政策

制定和执行统一明确、能够体现对操作风险的偏好和承受能力的风险管理政策,具体包括:制定方针和开展原则;建立符合国际规则,但又符合本行特点的风险事件分类标准;根据自身业务规模、经营特点、内外部资料,制定各业务品种、业务单元的操作流程;确定风险计量和资本分配的方法,确定应对各类操作风险的应急措施。对操作风险成功和失败的案例进行连续性的分析,经验教训,等等。

提高操作风险管理技术

对新巴塞尔协议所建议的三种计量方法进行研究和选择,在做好数据收集、系统设计的基础上,逐步开发适合本行特点的内部风险计量模型。整合客户信息系统、资源管理系统、信贷管理系统、系统、资金管理系统等业务系统的信息,深度挖掘和充分使用本行内部信息资源。借助先进的IT技术,建立操作风险历史数据仓库,为测量风险、分配资本和设计模型提供基础。

健全操作风险管理组织

实行集中管理的操作风险治理结构,包括三个方面:一是设立独立的操作风险管理部门。如果单独设立的条件不成熟也应指定某个部门承担起该管理责任,但必须与市场、交易等部门进行分离,并保持分析判断、管理决策上严格的独立性。二是实施垂直化的风险控制流程。三是明确各部门在操作风险管理中的定位和职责,理顺董事会、高级管理层、操作风险管理部门、业务部门、内控部门、审计部门的管理边界。

强化操作风险管理

商业银行必须自上而下建立、倡导、执行操作风险管理文化。以董事会和高级管理层为代表的银行高层人员应首先提高对操作风险的认识程度,把操作风险作为风险管理的核心内容和基础工作。要在全行内部倡导操作风险管理的理念,把操作风险管理作为事关银行业务永续发展的重要工作进行宣传。应对各管理层次、各部门、各岗位开展操作风险培训,培育和提高每一个人的操作风险意识,使之掌握识别、分析、度量和控制操作风险的基本方法。应将操作风险管理落实在每一个员工的职责、行为中,加强监督和考评,对主动发现操作风险或改进操作风险管理的给予奖励,对有章不循的给予惩戒。

建立与国际接轨的经济资本约束和绩效考评机制

逐步改变传统的只关心当年帐面收益的绩效考核办法,提高资本对风险的敏感程度,强化经济资本约束。通过风险资本的计量与分配,运用风险调整资本收益率(RORAC),将可能发生的损失量化为。贯彻短期收益和长期收益兼顾、风险和收益并重的全面平衡发展的理念,从绩效考核和激励机制上促进全行关心操作风险的防范。

参考文献:

2.巴塞尔委员会.巴塞尔新资本协议,2004

3.赵先信.银行内部模型和监管模型.上海人民出版社,2004

操作风险管理篇4

关键词：银行业务；操作风险；策略分析

中图分类号：F830.33 文献标识码：A 文章编号：1001-828X（2013）11-0-01

一、我国商业银行操作风险管理的发展分析

2004年巴塞尔新资本协议后，全球银行业对操作风险的认识提升到一个新的层次。受国际监管理念的影响，同时受金融机构案件频发的警醒，近年来，我国监管机构和商业银行加大了操作风险管理力度。2005年银监会出台了防范操作风险的“十三条”规定，2007年5月，颁布了《商业银行操作风险管理指引》，并指出，操作风险是“由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险，包括法律风险，但不包括策略风险和声誉风险”，2008年9月又颁布了《商业银行操作风险监管资本计量指引》，指出商业银行选择标准法、替代标准法和高级计量法之一来计量操作风险的监管资本，2012年了《商业银行资本管理办法（试行）》，对新资本协议提出的操作风险组织架构、政策、工具、流程和报告路线方面的监管要求做出了全面承接与细化，并要求国内银行业在2018年前达标。至此，在中国银行业，操作风险管理被作为主要风险管理职能纳入了全面风险管理体系。

二、我国商业银行操作风险成因分析

（一）对操作风险管理的认识存在主观偏差

一是认为操作性风险是操作部门或操作岗位员工才会产生的业务风险，对操作风险的普遍性、危害性和长期性缺乏足够的认识，同时缺乏对操作风险的有效认识和整体把握。二是认为操作风险管理主要是管理层的任务，与自己的切身利益关系不大，导致操作风险管理的执行力度受到影响。三是管理层面还存在操作风险管理理念和认识深度参差不齐的现象，导致未能有效实施操作风险管理的规划。

（二）操作风险管理工具的实际应用有待加强

目前，我国商业银行的操作风险管理还处于初期阶段，管理基础比较薄弱。在风险管理实际执行中，对风险管理工具的认知和应用还存在报送数据、报告之类的初级操作，且报告的风险分析质量不高，数据错漏现象时有发生。另外，专业风险管理人才普遍欠缺，不能熟练运用操作风险三大工具实现风险识别、评估、监控和预警处理的全流程管理，使管理层不能全面深入了解所面临的操作风险，不能有效根据自身的承受能力和发展策略采取针对性的应对措施。

（三）操作风险监测分析不到位

目前，操作风险管理对事前的防范和事中的控制措施关注度不够，主要是对已发生或已存在的风险采取事后的管理处罚措施并提出相关的改进意见，管理部门通常将工作重点集中在事件后的突击检查、查找问题、整改工作和处理责任人等。操作不按流程、审核不到位、随意简化程序等问题依旧屡查屡犯，不能从根源上有效控制和防范操作风险。另外，风险预警体系不够健全，缺乏事前全面、系统的评价机制，不能有效的对风险损失事件进行预测和控制。

（四）基层操作风险相对突出

基层机构数量众多，管理链条过长，监管相对较弱，是违规操作发生的原因之一。根据监管部门的案情通报，大案要案及违规事件主要大部分都集中在银行的基层机构，反映出银行对基层机构的控制及基层机构自身的操作风险管理能力相对较弱，制度执行力不强，风险最为突出，基层营业网点操作风险主要表现在违规操作屡查屡犯。

三、我国商业银行操作风险管理的对策分析

（一）培育操作风险管理文化

管理者应充分了解本行操作风险现状，营造全员共同参与的操作风险管理环境，确立全面风险管理理念，从经营理念、管理制度、行为规范等方面形成内部积极和谐的风险管理文化氛围。组织多形式、分层次的操作风险管理培训，培训课程应涵盖操作风险管理实务、风险资本计量、操作风险管理师资培训等，保证各级员工获得足够的操作风险管理知识和技能。

（二）完善操作风险管理激励约束机制

改善和强化绩效考核和约束机制，加强对监管政策及要求的学习与传达。由于基层机构内控水平较为薄弱，操作风险管理应把基层机构的内控执行效果作为评价、验证操作风险管理的重要标准。不仅要加强对基层机构操作风险的及时监控，还应将风险因素的考核纳入网点负责人绩效考核范畴，并加大操作风险的考核权重，提高内控管理工作效果考核分值，明确奖惩标准。通过考核促进基层行重视操作风险管理，从而激发全体员工积极参与操作风险管理。

（三）加强内控管理与操作风险管理一体化建设

良好的内部控制建设，可有效防范起因于内部管理流程、人员以及系统的操作风险。实际工作中，对操作风险发挥主要控制作用的是内部控制体系。内控管理和操作风险管理工作一体化管理思路，要从组织与职责、体系与流程、管理工具和信息系统等方面将内控管理与操作风险管理两项工作整合起来，避免内控与操作风险管理中的重复工作，节约时间成本与人力资源。同时，借鉴操作风险的监控指标、风险容忍度等工具，使内控管理决策更加科学，成本效益比更趋合理。

（四）完善风险评估与监测体系，强化事前预警监测

建立操作风险监控分析平台，实现对异常交易的筛查、核查和验证，对交易、行为、实物进行实时监控。在日常管理中，应充分考虑IT资源成本优先实现对高风险业务的监控，并及时根据监控情况及业务发展实际，在现有的参数化预警模型基础上，进一步完善预警模型及监测体系，满足完善监控平台用户需求，加强对操作风险特性的识别，着力提升风险分析能力，识别和防控重大操作风险，促进业务流程优化和系统完善，完善的操作风险识别、计量、监测和控制程序。

参考文献：

[1]杨天玲.银行操作风险成因及对策研究来源[J].金融与保险，2008（06）.

[2]许文，徐明圣.风险映射与商业银行操作风险控制[J].银行家，2008（07）.

操作风险管理篇5

关键词：操作风险；管理体制；建构策略

中图分类号：F830.1文献标识码：A 文章编号：1674-2265（2008）10-0030-04

一、引言

风险是关于未来结果的不确定性，是商业银行经营活动的本质所在，商业银行作为一个接受风险、承担风险和管理风险的金融组织，在经营管理过程中面临着各种各样的风险，其中，信用风险、市场风险和操作风险是商业银行最主要的三大风险。

操作风险是商业银行建构操作风险管理框架的核心。尽管目前银行业对操作风险的看法逐渐趋同，但一个独特和适合整个行业的操作风险的定义远未形成（卡罗尔，2005）。而且，商业银行操作风险的生成机制比较复杂，它可能源于多种因素的驱动，本文将针对国内商业银行操作风险管理体系存在的问题，提出构建我国商业银行操作风险管理体制的建议。

二、国内商业银行操作风险管理体系存在的主要问题

（一）操作风险管理的架构不健全

首先，操作风险管理职责分散，缺乏统一的管理部门。尽管每一个部门、每一名员工都负有操作风险管理的责任，但国外先进银行的经验表明，在银行整体层面设立独立的操作风险管理委员会和专门的管理部门是非常必要的。但是，目前国内商业银行大多没有建立专司操作风险管理的机构，既没有设立操作风险管理委员会，也没有设立独立的操作风险管理部门，操作风险的管理职能分散在各业务部门和职能部门。其次，基层行操作风险管理职能缺失。就国内商业银行近年发生的案件看，操作风险大多发生在基层分支行。尽管案件发生的原因各异，但基层行操作风险管理体系、流程、汇报路线、沟通机制等方面的缺失是一个重要原因。第三，内审部门权威性不强。目前国内商业银行总行、分行都设有内审部门，但由于内审部门一般定位于银行内部的一个部门，直接接受本机构管理者的领导和管理。若内审部门对其发现的问题在系统内曝光，会直接影响到本级机构的形象和利益，给本级银行管理者带来“麻烦”。因此，大多数的审计结果是“大事化小，小事化了”，内审计部门的监督作用难以有效发挥。

（二）操作风险管理机制不健全

首先，在操作风险战略及风险偏好上，没有勾划银行整体的操作风险轮廓，没有制定对应操作风险战略的风险偏好，也没有反映银行操作风险现状以及对操作风险的容忍度。其次，过分依赖内审部门、合规部门，没有充分发挥外部审计的力量。从国外先进银行经验看，即使银行自身的内审能力很强，但为了能更及时地发现风险隐患，仍然会聘请权威的外部审计机构对自己进行审计。目前国内商业银行对于操作风险的管理几乎全部依赖内审与合规部门。由于这些部门的独立性、权威性都有待提高，再加上内审与合规部门的人手比较紧张，严重影响了内部审计的频率和范围。第三，政策和制度建设滞后，执行力度也有待进一步提高。国内商业银行目前还缺乏统一的操作风险管理政策、流程和工具，缺乏对现存的操作风险进行系统化的分析，没有制定操作风险管理行动的先后顺序，没有全行的操作风险缓释策略，没有对各类风险缓释工具的定义和评估，没有按风险事件的不同以及不同管理层的风险偏好做缓释措施，如加强保险、技术外包等。为了应对市场竞争或迎合客户需要，变通制度、有章不循等现象时有发生。第四，系统监控手段缺乏。尽管国内商业银行近些年非常重视信息技术建设，但技术和系统主要集中于业务操作和服务操作等前台部门，内控部门还没有形成一套科学有效的内部电子监督、预警系统，现有的系统不能为战略决策、风险管理提供充分、完整的数据信息。第五，管理技术相对落后。目前国内商业银行操作风险管理的定性技术能够适应风险管理的要求，这主要源于各级员工和管理者的长期工作经验的积累，但是，定量分析的能力还相对落后，与国际先进银行大量运用数量统计模型、金融工程等先进方法相比更显落后。再加上历史数据缺乏和计量人才短缺，操作风险的建模工作起步艰难，操作风险敞口的把握难以到位，直接影响了风险管理的科学性。

（三）外部环境不完善

操作风险管理是一项系统工程，需要相关外部环境的支持，如保险市场、审计中介机构和信用环境等。发达的保险市场可以为商业银行提供种类齐全的操作风险保险产品，使其风险可以得到缓解；独立、专业的外部审计机构可以为其提供科学高效的审计服务，帮助其提高内部控制水平；良好的信用环境有利于商业银行合理配置风险管理资源，为操作风险量化技术服务。然而，国内商业银行面临的环境不容乐观。首先，我国保险市场特别是操作风险保险市场不发达，保险公司推出的针对操作风险的保险产品几乎还是空白，这在一定程度上制约了国内商业银行对操作风险的缓释和转移。其次，外部审计机构还没有形成强大的力量，其独立性、专业性和权威性都有待提高，这就制约了国内商业银行对风险信息的收集以及对内部审计缺陷的弥补。再次，社会信用环境不乐观，信用缺失问题严重，骗贷、欺诈现象时有发生，在一定程度上扩大了国内商业银行的操作风险。

三、国内商业银行操作风险管理体制建构策略

（一）塑造和弘扬审慎的操作风险管理文化

整体上讲，文化建设是国内商业银行保持稳健发展的一个重要“法宝”。近十多年来，通过一系列的措施和不懈的努力，许多银行已经建立起良好的风险管理文化。这一点，从国内商业银行近几年资产质量不断提高，大案要案发生率较低等方面可以印证。但是，应当看到这种风险文化基本上是以信用风险文化为主导的，在市场风险和操作风险领域，风险文化建设还远远不够。笔者认为，国内商业银行所营造的风险管理文化，应是一种融合现代商业银行经营思想、管理理念、风险控制行为、风险道德标准与风险管理环境要素于一体的企业文化。为此，一要培育全员风险理念，风险管理人人有责，使风险意识真正融入全行每个部门、每位员工的行为规范和工作习惯之中，让每一位员工认识到所在岗位存在的风险点，使风险防范理念融化在血液里，落实在行动上，具体到操作中。二要鼓励查找风险点，建立奖励举报制度，构建操作风险管理部门与相关部门有效的合作机制、信息交流和沟通机制，缩短操作风险的汇报路径，以便高层管理者能及时获取风险信息，规避风险。三要加强风险责任追究，加大对责任人员的查处力度，坚决遏制有令不行、有禁不止的违法违规行为。四要通过对用人及干部评价机制的调整从根本上杜绝违规操作。五要通过制订行为规范、设立道德与纪律委员会等方式，使员工认同风险管理文化，约束员工行为。六是操作风险文化建设必须从高层着手，由高层管理者密切关注。

（二）构建责权明晰的操作风险管理组织体系

根据国际先进银行的模式经验，大型国内商业银行的操作风险管理组织架构至少应包括三个层次：第一个层次是董事会及高级管理层。董事会负责确定本行操作风险管理目标、操作风险偏好及操作风险容忍度等纲领性问题，并负责审核及批准高级管理层制定的操作风险管理政策；审查高级管理层、审计部提交的操作风险报告，并对重大操作风险损失事件的处理进行决策。董事会下可以设立风险管理委员会、审计委员会等职能部门。高级管理层负责贯彻执行董事会批准的操作风险战略，制定各种风险管理政策、制度、流程及执行程序并负责执行。第二个层次是操作风险管理部。风险管理部具体负责操作风险的识别、评估、监测、应对、报告和预警制度的制定；负责风险政策和风险管理制度的制定与执行，对操作风险执行情况进行定期及不定期检查；负责内外部数据的收集、操作风险损失事件库的建立以及计量模型的建立和分析等事项。第三个层次是业务条线（部门）。业务条线（部门）负责操作风险政策的具体实施，包括本条线（部门）操作风险的识别和评估、对发现的操作风险隐患、损失事件以及操作风险状况向有关部门进行报告等职责。

基于以上设想，国内商业银行应做好以下四项工作：一是总行设立独立的操作风险管理部，牵头全行操作风险统筹、规划、协调、管理，审计部门、法律合规部门和纪检监察部门起支持作用。二是各主要业务条线设立操作风险管理团队，行使条线和产品的操作风险管理，并明确双线报告制度，接受操作风险管理部门的指导管理。三是总、分、支行设立风险经理岗位，建立纵向和横向的指令、汇报、反馈、督导的控制流程。四是明确各层面、各部门在操作风险管理中的职责边界，适当交叉、全面覆盖。理顺董事会、高级管理层、操作风险管理部、业务条线、审计部门、法律与合规部门、纪检监察部门的管理边界，设立首席操作风险官，对董事会负责，各业务条线和职能部门负责人和风险经理对业务中的操作风险事件负责。

（三）建立健全内部控制流程

防范操作风险最有效的办法就是制定尽可能详尽的业务规章制度和操作流程，多管齐下提高制度执行力。目前，国内商业银行基本上是采用嵌入式的方式对操作风险进行防范处理，因此，操作风险管理制度的建设首先应该从业务流程的梳理和再造着手。首先，进行产品线分类。《巴塞尔新资本协议》在操作风险资本计提中提出产品线八类分类标准，国内商业银行应在此基础上结合自己的产品特点对银行产品进行更详细的分类。虽然资本计提的内部指标法不需要进行产品线分类，但是，基于为日后采用高级计量法做好准备的考虑，国内商业银行在建立操作风险管理体系时，应该按照巴塞尔委员会和监管部门产品分类的要求对产品进行分类。其次，进行产品流程再造。国内商业银行案件发生的重要原因是目前的风险管理是建立在“部门银行”而不是“流程银行”基础之上。当前，许多国际先进银行正是通过业务流程再造，获得了其在全球竞争中的优势地位。因此，国内商业银行应根据自身的内部环境特点，对产品业务处理流程进行梳理。在流程梳理阶段要突破“部门银行”的局限，建立以客户为中心，以市场为导向，强调内部主要产品线的系统营销、管理及核算的业务管理模式。同时，在产品梳理和再造时，应突破目前以繁琐的制度文件规范产品的处理模式，采用流程概念的产品处理模式，对制度文件进行系统化及标准化管理，将制度文件分出等级。在产品业务流程的描述中采用规范文件，文件的内容应包括三个方面：界定各部门及岗位在产品处理中的职责；将产品的业务处理流程绘制成操作流程图；对照流程图编写业务的操作过程、进行业务处理的描述。第三，进一步加强制度建设。除了一般的业务和管理规章建设外，关键是要加强操作风险管理政策建设。一套完善的操作风险政策至少应包括：操作风险概念与子类；能够充分识别业务条线、内部审计、业务线风险管理和全面风险管理之间的分工、责任以及相互之间的关系；制定与国内商业银行规模、复杂程度和风险框架相适应的指引；记录风险评估的全过程；建立操作风险报告模板和文件夹；在选定的领域（如损失产生、责任分工、利益冲突）编制银行业务活动的指引。

（四）提高操作风险管理技术

操作风险管理要使用先进的技术和管理工具，业务上要做到人防、技防的有机结合，通过系统管住人，通过流程管住人，通过中后台牵制前台，充分发挥事后监督中心和录像监控中心的作用，使伺机作案者无机可乘。从国内商业银行的情况看，目前信息系统还不完善，存在一些漏洞，特别是未能实现数据在全行的集中共享，系统的功能主要还是集中于服务经营，不能为战略决策、风险管理提供充分、完整的数据和信息，因此。我们必须加强管理信息系统建设，整合客户信息系统、人力资源管理系统、信贷管理系统、财务管理系统、资金管理系统等业务系统信息，深度挖掘和充分使用本行内部信息资源，建立操作风险管理信息系统（杨国梁，2007）。借助先进的IT 技术，建立操作风险历史数据仓库，为测量风险、分配资本和设计模型提供基础。鉴于国内商业银行单独的损失事件、样本数量的有限性和局限性，所以有关操作风险的历史数据积累不全，这会影响对未来事件的判断，所以，国内商业银行应积极搜集一部分外部数据，健全操作风险损失数据库，为加强操作风险管理奠定基础。

（五）加强操作风险的计量

对于操作风险的量化，银行必须从规模、严重性和强度，频率，对事件前后关系的依赖性，与其他事件的相互影响等四个方面进行考察。操作风险的量化，通常面临两项挑战：一是事件前后关系的依赖性很强；二是对于那些低概率高影响事件通常会遇到内部数据不足的问题，这类风险越来越多地通过保险解决。经验表明，通过有效使用风险控制指标，风险管理的效果要好于复杂的计量模型。

就风险资本计提而言，巴塞尔银行监管委员会确定了基本指标法、标准法和高级法三种风险资本计量的方法。基本指标法比较简单，适用于规模较小的银行。它仅仅依据实际活动规模大小而相应计提资本金。具体操作就是按照总收入的一定比例（目前推荐比例为15%）进行计算。其实，对任何银行来说，总收入是过去经营成果的反映，而风险是关于未来的不确定性，总收入并不反映操作风险管理的好坏，两者之间不存在线性和对应关系。之所以选择这一指标，主要是因为相对总资产、总成本等指标，总收入容易获取，可以校验，在不同地区具有连贯性与可比较性，且具有反周期性特点。标准法是比较高级一点的方法，通常是一些风险控制水平较高银行采用这一方法。它是基于业务线的分类，将资本金的提取建立在总收入基础上。根据不同业务线的相对风险，确定相应的权数，权数的设定由监管机构进行。巴塞尔委员会建议了八条业务线：公司金融、资金交易、零售银行、商业性银行、支付与结算、托管服务、资产管理和零售经纪。将上述八条业务线所要求的风险资本金相加，就可以得到银行整体所需的操作风险资本金。高级法适用于那些风险管理和内部控制水平较高、收集的损失信息数据完整性较好、内部风险测算较强的银行。该方法是基于已经确认的7种常规操作风险损失而制定的。将这7种类别的损失事件与标准法下的8种银行业务相组合，就产生了56种业务－损失组合。银行可以根据操作风险，结合自己内部对于每一种组合可能产生损失的估计，确定操作风险资本金计提水平。从加强操作风险管理的角度，建议国内商业银行首先采用标准法来计量风险资本。因为，第一，标准法能够将总收入与业务线的风险匹配起来；第二，采用高级法，我们面临数据不足的制约。

（六）充分发挥保险的作用，对无法进行分散的非主要风险进行对冲

尽管监管部门所要求达到的资本金水平是巴塞尔资本协议的核心支柱之一，但大多数人认为资本金要求不能代替积极有效的风险控制，资本金并不是防范金融灾难的第一措施。目前，运用得越来越多的一种降低风险的措施是使用保险来覆盖某些操作风险暴露。特别是对许多次级的风险种类如有形财产风险、技术风险、关系风险、人员风险、外部欺诈风险等往往能被特定的保险产品所覆盖。保险是一个有效的风险转移工具，可以辅助操作风险管理，它迫使银行对操作风险进行分析并区分出其影响和发生的概率，它避免了高风险/低频率的局面，有助于最大限度地优化经济资本和法定资本，同时，它可以稳定收益和提供资金流动性，由此，保险是操作风险管理的一部分。至于对哪些领域进行保险，应根据银行的战略、业务活动、规模、利益相关者和风险承受程度而定。只有通过机敏投保来使预料以外的灾难性损失得到控制，才可称得上好的风险管理。当然，保险绝不是防止管理上出现失败的安全网，它无法代替好的操作风险管理，保险只是风险管理的补充。

从国际银行业的情况看，德国商业银行在操作风险管理中比较重视保险的作用。目前，用于操作风险管理的保险品种主要有：一揽子保险、计算机犯罪保险、未授权交易保险、财产保险、营业中断保险、错误与遗漏保险、商业综合责任保险、雇员行为责任保险、经理及高层管理人员责任保险与电子保险。这些商业保险为部分操作风险管理提供了一定的保障。未来几年内，国内商业银行应逐步通过现有的保险产品减轻资本金计提的压力。但是，现在的保险产品并不能满足国内商业银行风险管理的要求，银行监管部门也缺乏对这些产品的认可。就保险公司而言，由于传统上使用保险来避险的措施被忽略了，加上原巴塞尔资本协议缺乏对这一问题的关注，因此，很难为了应对操作风险而重新安排计划、设计保险产品，其结果就是保险业仍满足于按照传统方式应对外部变化，等待需求，然后设计产品，调整结构，而不是根据一整套连续的原则和标准设计产品及调整结构，所以，未来保险公司需要根据市场需求推出产品，而不仅仅对市场的部分需求做出反应。当然，国内商业银行也必须精确提出对于保险产品和结构的要求。

（七）建立健全操作风险报告制度

《巴塞尔新资本协议》规定，商业银行“必须建立面向董事会、高级管理层和业务管理层的关于操作风险信息的日常报告制度”；“董事会和管理层必须积极主动地对操作风险管理过程进行检查”。这就要求国内商业银行一方面要引进简洁的操作风险报告系统，通过流水线式的报告促使董事会和高级管理层对银行的整体风险保持警惕；另一方面要引进银行层面的风险报告，为满足标准法和高级法而设计操作风险工具或编制风险报告。鉴于操作风险的计量方法仍处于萌芽阶段，而且操作风险与信贷风险和市场风险存在一定的重叠交织，所以，一个完善的报告制度必须建立在有效的风险评估、风险参数设计和损失数据库基础之上。由于操作风险具有一定的独特性，目前尚难以找到一个好的方法来管理它，所以，操作风险的报告一方面要反映量化的结果，另一方面也要反映定性的分析结果。

参考文献：

[1]汉斯・乌里希・德瑞克：《金融服务运营风险管理手册》，中信出版社2004年版。

操作风险管理篇6

关键词:商业银行;操作风险;管理防范

中图分类号:F832.33文献标识码:A文章编号:1006-1428(2007)07-0052-03

一､商业银行三大风险的比较

相对而言，国内商业银行对信用风险的研究较早，对市场风险､操作风险管理的比较研究较晚，因而对三大风险的认识程度､管理方式､投入的资源等不尽相同(详见表1)。

二､目前国内商业银行操作风险管理的两种模式

尽管国内商业银行操作风险管理起步较晚，与外资银行相比存在较大差距，但仍有一些优秀的国内商业银行较为重视操作风险，采取了多种措施，也投入了一定的资源来防范和控制操作风险(详见表2)。

三､国内商业银行操作风险管理存在的不足

(一)风险管理认识上还存在误区

由于尚未引入全面风险管理理念，国内商业银行对操作风险还存在一些认识误区，认为操作风险就是“操作性风险”，将操作风险等同于“金融犯罪”;或者认为操作风险往往具有突发性､偶然性，难以预测，也毫无联系，因而无法计量，也不能为其分配资本。同样，还有的商业银行认为操作风险管理只是会计结算部门或者内部审计部门的事情，与其他部门如安全保卫部门､科技部门､后勤事务部门等无关，进而将操作风险管理职责仅赋予会计结算部门或者内部审计部门。甚至有的商业银行的分支行，认为营销和操作风险管理是对立的，在分支行行长忽视操作风险管理，而重视营销的极端情况下，也有的营销人员会产生错误的思想，认为风险管理人员是依靠他们养活的，有些强势的分支行行长有可能叫板风险管理部门。

(二)风险管理信息传递链条过长

在统一法人体制的分级授权经营模式下，国内商业银行的管理层级往往达到五个层级或者更多。这种授权经营模式一方面与国内金融资源的层级分布相关，另一方面也与国内商业银行的信息技术落后相关，而且这种经营模式也适合目前商业银行的经营管理能力。但是这种多层次的委托关系，将导致信息传递的强度减弱，对下级单位的控制和管理能力下降，操作风险隐患也会因为委托关系链条的增加而增大。在体制改变时，如果实行“先体制架构，后流程､规章”的推行模式，制度建设慢一拍，管理链条就会出现危机，使操作环节风险环生。

(三)风险管理体系不健全

国内商业银行中目前设置统一的操作风险管理机构的并不太多，只有个别商业银行设立了委员会形式的管理机构。如工行上海市分行成立了操作风险委员会，下设“临柜业务”､“离柜业务”､“业务监测”三个专家小组，来提高操作风险管理防范水平。大部分商业银行一般都尚未设立专门的部门负责全面管理操作风险，操作风险管理职责分散在诸如风险管理部､内部审计部门､法律与合规部门等部门，缺乏统一的操作风险管理体系。这种分散管理的模式，导致各相关部门的管理职责不清､沟通协调不顺畅，管理效率低下。有的商业银行在基层分支机构往往只设一名行长，主要负责业务推进，操作风险无人负责。

(四)风险管理政策不统一

在整个银行层面上，没有形成从股东大会､董事会､高级管理层､各经营单位以及到各个业务部门､内审部门的操作性风险管理职责，并制定明确的操作风险管理程序，包括风险的识别､评估､计量､监控､化解等。在各个业务部门制定具体的操作规程时，没有将操作风险管理的整体程序贯穿于各个管理层级和各个业务条线，也没有明确各个管理层级的权利和应承担的职责。因而，从最高层面的董事会，到最低层面的操作人员没有形成全行统一的目标和管理政策。

(五)风险管理制度执行力不强

根据中国银监会去年的统计，操作风险的发生，80%是因为有制度却没有严格执行而造成的，制度不全和制度残缺造成漏洞形成案件的不到20%，操作风险的发生与制度执行力不强存在相当大的联系。从商业银行操作风险的实践来看，操作风险多的银行往往执制不严现象较为突出，员工执制意识薄弱，违章违规行为不能及时纠正。例如，有的未严格执行开户资料审查､印鉴比对､可疑支付交易报告等会计制度;有的未按要求进行账户监控和账务核对;有的未执行同城交换制度､印章管理制度､权限管理制度;致使案犯接连突破风险控制防线。甚至“五缺”情况下办业务的现象严重:缺图章(公章或授权人私章)､缺签名､缺决议(如董事会决议)､缺证件(如房产贷款四证缺一证)､缺授权(如法人代表授权委托书)，就办业务。同时，部分业务内控制度存在盲点，管理制度､操作流程存在漏洞和缺失。一些重要业务领域如账户管理､业务授权､票据交换､外汇开证､批量代扣业务等方面操作不规范，存在较大操作风险隐患。

(六)风险发现能力不够

多数国内商业银行没有将操作风险的发生当作连续发生的必然事件来处理，并建立数据库，进行量化计算，一般都是采取一些被动的短期补救措施。正因为没将风险的发生当作是偶然的､孤立的､无法计量的事件，因此根本没有投入资源进行操作风险管理计量工具的开发。由于长期以来没有建立数据库，因而即使引进了国外操作风险计量工具和模型，也因为缺乏足够的数据分析支撑，不能使分析管理工具真正发挥作用。因此操作风险的识别､计量､管理能力缺乏，管理的关口无法前移，不能进行主动的事前管理。

四､多管齐下提高商业银行操作风险管理能力

(一)强化操作风险管理的外部监管

监管机构应及时制定《商业银行操作风险管理指引》，指导和推动国内商业银行全面加强操作风险管理。监管部门按照高风险､高频率监管，低风险､低频率监管的原则，对各商业银行执行防范操作风险“十三条”和“十个联动”的情况及时进行事后评价，推行监管的问责制度。强制商业银行将操作风险管理的信息披露给公众，通过外部力量迫使商业银行加强操作风险管理。根据中国银监会提出的“三个挂钩”(即将操作风险的防范和整改工作同激励约束机制挂钩，同银行的评级挂钩，市场准入挂钩)，加大对商业银行操作风险的监管力度。

(二)建立统一的操作风险管理体制

应按照巴塞尔委员会的建议，由各级高层管理人员组成操作风险管理委员会，制定操作风险管理政策，建立自我评估､风险评判及稽核体系，对全行操作风险进行有效管理。在各级网点设立风险经理，负责网点操作风险控制的具体管理，进行网点风险自我评估，组织网点对评估中或内､外部检查中发现的问题进行纠正。通过一系列操作风险管理流程和框架的再造，对操作风险进行全面识别､评估､监控､报告､改进，建立循环的､持续改进的管理过程，构筑较为完整的操作风险管理体制，同时建立操作风险管理责任制度，明确不同职位的人员在操作风险管理中应担负的责任。

(三)构建完善的操作风险监控体系

一是形成检查制度。加强规章制度执行情况的监督检查，加大对储蓄､会计､出纳､信贷､保卫等重要部门､重要人员和三授权卡､印鉴密押､空白凭证､金库尾箱､查询对账､轮岗休假等易发案件部位和环节的监督检查力度。二是充分发挥稽核监督职能。形成独立的内部审计体系，提升非现场稽核手段能力，大力借助外部审计手段，将合规性审计向合规性审计与风险性审计并重，突出风险性审计。三是建立持续改进机制。检查监督是对是否符合要求进行发现，要建立和完善纠错机制，实施有效的纠正和预防措施，建立一个持续的､循环的操作风险改进过程，确保可能产生风险的每一个环节和过程得到有效控制。

(四)提高操作风险的识别控制能力

对发生的每一次风险事件进行监控和记录，并分析导致每次风险的因素和产生风险的环节点，度量这些因素对风险的具体影响，同时对风险的程度进行数量化的度量记录。在已有的几种度量方法中，基本指标法和标准法相对简单但过于保守，不能满足资本金对风险的敏感度，而内部度量法､VaR法､损失分布法等均需要较多的历史损失数据，因而应从积累日常数据开始建立损失数据库，记录损失及其程度。根据历史数据设置好关键指标体系，对操作风险进行识别和度量，为其配置相应的资本金;另一方面应对操作风险进行评估､监控和管理，按风险的可接受程度对风险进行排序，对不可接受的风险要进行缓释､转移，对可防范的风险要从损失数据库的记录中总结经验，从具体业务流程中找出风险点，制定详细的规章制度，进行控制，按照“一个岗位对应一本岗位手册､一条业务线对应一套操作程序”的原则，逐渐形成健全的内部控制制度。

(五)培育良好的操作风险管理文化

由银行高级管理人员积极推动，建立起共同的风险管理价值观。将操作风险文化贯穿于完善风险管理体系的整个过程，不断将操作风险管理新理念､原理､工具等传递给相关人员。各层次管理人员对操作风险形成全面､足够的了解，并高度重视，带头防范。积极倡导诚信理念，鼓励员工积极关注操作风险，注重员工思想道德的培育､法律意识的培养及工作技能的培训，使其自觉遵守各项规章制度和操作规程。建立违规举报机制，增强员工合规意识。建立全面､科学､可操作的风险管理激励约束机制，纠正片面“重营销激励､轻违规约束”的做法，充分调动员工加强风险管理的积极性和主动性。

参考文献:

[1]顾京圃.中国商业银行操作风险管理.中国金融出版社，2006

[2]巴曙松.巴塞尔新资本协议研究.中国金融出版社，2003

[3]王修华，黄满池.基于新巴塞尔协议的银行操作风险管理.经济问题，2004，(10)

操作风险管理篇7

论文关键词：操作风险;人力资本;激励

近年来，随着我国银行业务的快速发展，商业银行面临的运营风险也在不断增加。其中，作为商业银行常见三大金融风险之一的操作风险更是频频凸显。据统计，仅2003年－2007年，通过媒体公开报道可以搜集到的操作风险案件就达174件。2011年，中国银监会的《银监会2010年年报》指出，2011年中国银行业仍存在诸多风险挑战，其中之一便是“部分金融机构操作风险管理意识弱化”。该报告指出：“2010年底，部分银行业金融机构案件出现反弹。齐鲁银行案件等多数案件发生在基层网点和所谓低风险业务领域，且多为内部人员作案，这反映出部分银行内在风险管理机制存在缺陷。”

与信用风险和市场风险不同，操作风险涵盖的范围和涉及的业务种类更为广泛，贯穿于商业银行经营管理活动的始终，几乎覆盖了银行经营活动的方方面面，因此管理难度更大。本文从操作风险的分类与特征入手，对商业银行操作风险的一般问题进行分析。在此基础上，选取人力资本激励视角对我国商业银行操作风险管理问题进行另一种视角的诠释，最后提出相关对策建议。

1 关于操作风险的一般问题分析

目前对于操作风险国内外尚未有统一的定义。其中，巴塞尔委员会在《巴塞尔新资本协议》中关于操作风险的定义较具代表性，具体为“操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险”。该定义突出强调了银行内部人员操作和业务系统因素所导致的操作风险。

1.1 操作风险的分类

操作风险类型较多，可从不同的角度予以划分。比较常见的划分标准有:巴塞尔新资本协议标准、英国银行家协会分类标准等。

（1）巴塞尔新资本协议中的分类。包括两个维度的分类：一个是按照损失事件类型进行分类，具体分为七类：内部欺诈，外部欺诈，雇用合同以及工作状况带来的风险事件，客户、产品以及商业行为引起的风险事件，有形资产的损失，业务中断和系统错误，涉及执行、交割以及交易过程管理的风险事件。另一个维度是依据发生操作风险的业务部门或业务流程环节，分为八类：公司财务、交易与销售、零售银行业务、商业银行业务、支付与清算、服务、资产管理、零售经纪。上述两个维度的分类还可共同构成操作风险分类的7×8矩阵。

（2）英国银行家协会的分类标准。具体涉及四类：人员因素导致的操作风险、流程因素导致的操作风险、系统因素导致的操作风险、外部事件导致的操作风险。其中，前三类为内部因素导致的操作风险，又称为操作性失误风险（operational failure risk）；第四种为外部因素导致的操作风险，又称为操作性杠杆风险（operational leverage risk）。

1.2 操作风险的特征

操作风险的内涵丰富，外延宽泛，因此了解和把握其主要特征，可以更有效的管理此类风险。通过对国内外文献和监管部门披露的操作风险案件进行梳理发现，操作风险主要具有以下几方面特征：

（1）操作风险的生成具有明显的内生性。相对于信用风险和市场风险，操作风险的生成更多的是由银行内部不合规的操作引起。银行业务的客观存在使得操作风险将永远存在，并成为银行业务经营的重要组成部分。

（2）操作风险具有较强的人为性。在《巴塞尔新资本协议》中按照损失事件类型划分的七类操作风险中，有六类与人为因素直接相关。如若说市场风险来自于金融产品的市场价格变动，信用风险源于借款者偿还能力的不确定性，而操作风险则大多数来自于有意或是无意的、银行内部或外部的人为操作失误。此外，操作风险的强人为性还表现在来自银行内部人员的操作风险反控性（银行业务人员往往对业务流程更为熟知，因而更加容易通过对既有管理流程和制度的规避从而实施违规操作，并隐匿操作风险的外在表现）和操作风险管理过程中的不作为。

（3）操作风险具有明显的厚尾性。相对于信用风险与市场风险两种风险而言，操作风险在现实运营中出现的概率较小，但其产生的影响和损失却是不可估量的，甚至在短时间可以威胁金融体系的正常运转乃至银行机构出现挤兑和破产危机，巴林银行破产倒闭案就是典型例证。

（4）操作风险在国内更多表现于欺诈。欺诈包括内部员工、外部人员以及内外部勾结等形式的欺诈，其中内外勾结的欺诈是当前国内商业银行面临的典型操作风险。如：中国银行“高山案”、中国银行广东开平支行资金挪用案、农业银行邯郸分行金库盗窃案等，均为典型的内、外部勾结欺诈案件。

（5）操作风险在银行基层分支机构更为常见。由于银行业务运作大多数集中在基层机构，且与上级行的控制力负相关，当分支机构距离较远、受到的监管较弱时，一些违规操作通常不易被发现，操作风险发生的可能性相对较大。例如近期热议的渤海银行太原分行挪用存款放贷案和农行宜兴支行票据诈骗案等典型操作风险案件多出现在银行基层分支机构。

2 商业银行操作风险管理中的人力资本激励

谈及银行操作风险案件，多数目光和言论都会聚焦于银行的内控制度和操作风险的监管制度建设。但是进一步分析就不难发现，近年来随着我国金融改革的深入推进，无论是银行业的外部环境还是内部机制都有了明显改善，特别是国有商业银行股改上市后，银行在风险管理的内控制度建设和管理人才引进方面的确进步很多。但是，操作风险还是屡见不鲜，这就需要我们跳出制度建设的既定思维框架，审视制度本身之外，特别是制度执行方面的人力资本因素，因为人力资本无论是在操作风险的产生还是在管理环节都十分重要，商业银行对操作风险的管理首先应该是对人力资本的管理和激励。

2.1 操作风险管理的实质是对“人力资本”的优化管理

在银行风险管理过程中，资源的投入是必不可少的，具体讲又分为人力资源和非人力资源的投入。而人力资源又包括自然性人力资源和资本性人力资源。从操作风险的定义中可以看出，人员因素在引发操作风险的四大因素中占有直接而重要的地位。而非人力资源是被动性资源，只有在人力资源的支配下才能够发挥作用。所以，操作风险管理的关键在于投入人力资源，特别是资本性人力资源的投入（与自然性人力资源相比，资本性人力资源是指经过教育、培训、健康与迁移等投资而形成的人力资源）。然而，由于人力资本本身需要依附于个体员工这一载体而存在，因此基于“经济人”固有的自利属性，只有员工个人价值与银行发展价值成正向关系，亦或至少不存在明显冲突的前提下，才能够发挥人力资本在操作风险管理中的积极效能，反之却可能出现基于员工个人价值最大化的操作失当，进而加剧操作风险发生的可能。现阶段，我国商业银行在操作风险管理中，更多地注重于制度的建设、技术和工具的革新，但对于至关重要的人力资本激励制度建设却相对不足。

2.2 强化人力资本激励有助于从根本上提升操作风险管理有效性

人力资本激励的实质在于运用制度设计和管理操作手段，将个体员工价值与集体组织目标最大限度地统一起来，进而充分调动个体员工的能动性，最终促使人力资本在组织目标实现过程中的效能最大化。就操作风险管理而言，商业银行人力资本激励就是要充分发挥银行员工人力资本所有者的作用，实现科学规范的业务操作，确保内控制度的执行得力，促使操作风险最小化。实践中，与人员因素相关的操作风险，一般可以分为两种情况：员工无意失误和故意作案。其中，故意作案类的操作风险本身蕴含着道德风险因素。因此，对人力资本激励的核心在于平衡好员工个人的责任与利益，并尽可能实现清晰界定，从而促使员工自主提升自身的人力资本素质和觉悟，主动规避操作风险，乃至积极参与银行业务和交易过程中的案件防范。

3 基于人力资本激励角度的商业银行操作风险管理优化建议

3.1 建设立足岗位差异的多元化人力资本激励制度

构建多元化的人力资本激励制度，首先应确保真正实现责权利明确且相匹配的人力资源制度安排。在操作风险管理方面，责权利明确且相匹配的人力资源制度安排具体是指操作风险的责权界定要清晰，岗位职责与业务操作权限划分要具体到个人，并彻底消除责任多头承担的模糊现象，切实保障员工个人的人力资源投资效能充分发挥。

在建设人力资本激励制度方面，应重点做好两方面工作：一是依据岗位工作的业务复杂程度和岗位职责的责任大小，合理确定岗位激励系数，突出对业务复杂程度高、岗位职责重的员工激励。同时，注重实施不同岗位的不同收入限额制，并尽量将总行与分支行之间相同岗位或近似岗位的收入差距控制在合理范围。二是针对高官人员、核心岗位人员和业绩显著的员工，探索对其丰富的激励手段，特别是要强化除薪酬激励之外的满足多层次需求的激励体系，例如实行多元化的弹性福利制度、增加股权激励等方式，注重对员工的激励要实现短期与长期两个维度的良好相合。鼓励员工开展风险管理方式方法的探索，对于做出积极贡献和显著成绩的员工予以一定的物质和精神奖励。

3.2 构建科学合理的员工职业生涯设计体系和实践平台

对人力资本的激励不仅表现在提高业务操作人员的岗位激励力度，还应关注其长期的职业发展，因此构建科学合理的员工职业生涯设计体系和实践平台也是提高人力资本激励的重要举措。具体到商业银行操作风险管理领域，应尤其注重做好分支行等基层业务人员的职业生涯设计。与总行、一级分行的职员不同，基层业务人员的职业起点较低，面对的发展和自我提高的机遇相对较少，因此更容易滋生懈怠、厌倦等不良工作情绪，这些都不利于操作风险的防范和管理。因此，在对其进行职业生涯设计时，应首先摒除基层业务人员即是单纯操作人员的传统观念，要积极创造基层员工参与银行风险管理和发展规划工作的机会，鼓励其积极思考，勇于献计献策。这样，不仅有助于提高基层员工的自我认知，更加有助于降低其在业务受理过程中的机械操作惯性，有利于提升其风险防范意识。此外，在条件允许的情况下，还可通过短期交流、定期培训、零风险示范岗建设等方式不断提升基层员工的职业生涯优化理念和对组织的忠诚度和认知度，从而最大化发挥其人力资本效能。

操作风险管理篇8

[关键词] 操作风险 6σ 质量管理

随着金融业市场竞争日趋激烈，银行产品创新不断，业务流程进一步复杂化，经营管理的信息化程度不断提高，风险管理模型日趋复杂，在这些诸多因素的共同作用下，上世纪90年代以来，世界范围内发生了一系列影响深远的重大银行失败案件，这些案件大都可以归结为操作风险问题。这引起了人们对操作风险问题的广泛关注。2004年的新巴塞尔资本协议，将操作风险正式纳入资本监管范围，将其列为于市场风险和信用风险并列的三大风险，并提出了明确的监管资本要求。

至今，对操作风险的定义以及管理、计量还没有统一的认识。操作风险可以理解为同银行内部运营相关的风险；除信用、市场风险以外的其他风险；难于量化的风险等等。这些理解侧重于定性界定，较为粗放，主要用于理论探讨。一些金融组织着眼于管理实践给出了一些比较细致的定义，其中巴塞尔银行监管委员会采用的英国银行家协会的操作风险定义影响最为广泛。巴塞尔新资本协议将操作风险定义为“由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。”这一定义包括法律风险，但不包括策略风险和声誉风险。操作风险情况复杂、同银行业务活动密切相关、具有人因性和动态变化等特点，因而要求有不同于市场、信用风险等金融风险的管理方法。巴塞尔薪资本协议给出了操作风险管理的一些原则和几种推荐使用的监管资本计量方法，但适合操作风险特点的管理与计量方法还在探讨之中。

尽管操作风险作为单独的一个风险范畴得到广泛关注是近些年的事，但操作风险并不是一种新的风险，它同银行产生的历史一样悠久，伴随着银行经营活动的始终。它也并非银行独有，任何企业只要有经营活动就会有操作风险。操作风险从另一个角度来看实际上是工作(管理)质量的问题。工作(管理)质量好和意味着操作风险低，反之亦然。近些年来，制造业质量管理技术方面取得了长足的进展，6σ管理法代表了当今质量管理的最高成就。用6σ方法管理操作风险可以克服现有管理方法的不足，灵活地适应银行具体经营特点，能够与银行业务整合及流程再造有机结合，是管理操作风险的有效方法。

二、6σ管理法简介

6σ的发源地是摩托罗拉公司。1987年，为应对日本公司的竞争，摩托罗拉公司推出了一种新的质量管理方法，即6σ方法。实施6σ方法仅两年，摩托罗拉公司销售额增长了5倍，利润每年增加20%，带来的节约额累计达140亿美元，股票价格每年上涨21.3%。公司也因此获得了马可姆・波里奇国家质量奖。摩托罗拉公司的管理实践的成功产生了广泛的影响。其中值得一提的是通用电气公司(GE)的6σ管理实践，在CEO杰克・韦尔奇的领导下，GE把6σ这一高度有效的质量管理战略变成管理哲学和实践，形成了一种企业文化。GE实施6σ取得了巨大的成功，从1981年到2000年，GE的股票市值达到了4500亿美元，增长了30多倍，公司排名从世界第十位上升到了第二位。目前，几乎所有的财富500强的制造企业都实施了6σ管理战略。越来越多的服务业企业也开始实施6σ管理，如花旗银行、JP摩根、美国运通、英特尔、微软等。6σ已逐渐从一种质量管理方法演变为追求管理卓越性的最为重要的战略举措。

希腊字母σ在统计中表示标准差，在质量管理中用来评估产品或生产过程特性波动性的大小。6σ质量水平表示在生产或服务过程中，百万次中出现缺陷的机会仅不到3.4个缺陷，即达到99.9997%的合格率。

可见，6σ质量水平是一种近乎完美的状态，它代表着对质量精益求精的思想理念。现代6σ管理方法已不再是统计学上的概念，而是一种由沟通、培训、领导艺术、团队合作、度量和以客户为中心等价值观驱动的变革方法，旨在全面提升质量水平、企业竞争力和变革企业文化。

6σ管理的含义包括:

以顾客为关注中心;

基于数据和事实驱动的管理方法;

聚焦于流程改进;

有预见的积极管理;

无边界合作;

追求完美，容忍失误。

三、操作风险6σ管理建议

6σ管理法起源于制造业质量控制，在制造业已取得了非常显著的成绩，但应用于金融服务企业的时间还不长。国外一些大型金融企业也着手开展6σ管理。在我国，6σ管理在金融企业中尚未获得推广，针对商业银行操作风险的6σ管理更是空白领域。要有效地管理和控制商业银行操作风险，必须结合商业银行经营特点，开展全面的6σ管理。

1.银行董事会、高级管理层必须高度重视、积极推动。操作风险涉及到银行业务运营的各个环节和方面，要有效管理操作风险，首先必须营造一种贯彻全行的风险文化。6σ管理是一种管理方法，更是一种企业文化。它要求适应需要，不断转变工作方式；要求高级管理层对6σ管理的实施高度负责，并将这种精神渗透到整个企业之中；要求高级管理人员挑战对旧的传统行为持容忍态度；要求高级管理人员与关键人员一起参与到执行6σ管理的活动中来。

2.积极推动ISO9000质量认证，提升全面质量管理水平。要通过提升工作质量，来降低操作风险。

3.以市场需求为导向，以风险调整后的资本回报（RAROC）为标准，创新产品，整合再造业务操作流程，实现操作风险的过程控制。

4.确立操作风险管理组织体系，培育操作风险6σ管理专业人员。要建立起操作风险管理职能部门牵头，各职能部门、业务线全面参与的全员操作风险管理组织体系。

5.根据银行实际，界定本行操作风险含义与范围、操作风险分类标准，在此基础上逐步建立风险管理数据库，提高风险管理的科学性。

6σ管理是基于事实的管理方法，必须根据本行实际情况，细分操作风险种类，积累各种操作风险管理信息，灵活运用各种管理工具，如流程图、控制图、平衡记分卡、内部控制评价、贝叶斯网络等，逐步提高风险管理的科学性。

参考文献:

操作风险管理篇9

关键词：商业银行；操作风险；风险管理

银行业的整个发展都存在着操作风险，但在很长一段时间内，我们没有重视这种操作风险。最近几年，我国的银行业发展十分迅速，越来越多的操作风险也慢慢的显示了出来。其中，经营风险是商业银行三大金融风险中最为突出的一个。现代经济发展十分迅速，银行产业也受到经济全球化的影响，国际经济的发展机制、电子商务的操作体系、恐怖主义的威胁、自然灾害的发生等都让商业银行的操作风险管理越来越困难，现代的商业银行管理体系存在着许多的漏洞和问题，影响了国际银行的声誉和口碑。所以有关的金融风险监测部门一定要加强金融风险方面的关注和管理，提高对操作风险的防范意识。

1.操作风险的含义

操作风险可以为银行造成直接或者间接的损失，它的产生因素有很多，例如不完善存在问题的内部程序、操作人员、或者内部系统以及外部事件等。它是商业银行的一种古老的风险，但它是金融机构面对的三大主要风险其中之一。商业银行对于三种风险的认识不同，管理水平和防控程度也不同，对于操作风险的管理水平和防控程度比较低。自1980年以来，全球的金融机构因为操作风险产生的损失十分惨重，约2000亿美元。

2.我国商业银行操作风险的主要特征

首先涉及范围广泛，银行机构的各个层面、各个环节存在着操作风险。其次主要原因在内部员工身上，通过分析168个操作风险损失事件，由于操作风险的内在因素导致的占44%。再次是突然性较强，操作风险这种情况并不能提前预知，特别是由人为因素造成的经营风险，在这之前并没有明显的迹象。最后风险频率较为集中。分析表明，经营风险主要发生在公司和个人的金融服务上，还有基层机构和经办岗位多的特征。

3.对于我国商业银行操作风险管理的发展现状

3.1 操作风险的管理体系陈旧

目前，我国的商业银行在操作风险管理方面存在很多问题：一是将管理的重心在基层，而对于高层人员缺乏管理措施。高层人员管理权利大，但又缺乏一定的知识和监控，所以银行的高层人员会给银行带来一定的操作风险。在现实银行体系中，许多银行的高层人员持有财务、人力、物力和权威，容易造成合谋的经营风险。同时，一部分的银行的高层人员缺乏严谨的工作意识，不行使自己的管理工作职责，不采取积极有效的措施来控制。二是要注意岗位管理，事前预防不足。对于一些频发的经营风险，要在日常的内部检查中发现问题，加强事前防范意识，在这些日常管理过程形成严格的风险预防管理机制。三是严重处罚操作风险重点案件，没有对操作风险事件进行全面分析。在以前商业银行的经营管理中，对银行进行业务检查和风险分析时，对有关问题缺乏一个全面的了解和分析，屡禁不止的现象常常发生。

3.2 操作风险管理的手段落后

在经营风险管理过程中，其手段相比来说先进性还不够，较为落后。主要表现为：第一是内部审计形式化现象十分严重，缺乏责任追究。第二是利用的电子技术相对落后，主要体现在风险管理平台基础上建立的信息技术平台，运营商的质量需要进一步提高。

3.3 缺乏健全的操作风险管理结构

在国外银行的分公司中存在着这样一个职位，主要负责风险管理工作，也就是对操作风险进行监测、预防、和管理，并及时将这些信息与总部进行沟通交流。在我国的银行中，并没有风险管理这个职位的设定，操作风险的管理是由内部审计部门进行的，并没有设置基层组织结构。即使一部分商业银行已经渐渐意识到这个问题，并对基层组织的风险预测、监控、管理进行操作，但仍处于初级阶段，在实际监管和操作风险管理方面仍存在较大差距。

商业银行的经营风险主要是由外部事件和人员等多方面造成的，并与银行各职能部门密切相关。但是银行业务在中国，不同的业务单位对不同的风险负有责任，并没有一个综合管理体系。在这样的管理模式中，银行不能对经营风险进行统一有序的管理，从而导致管理人员不能科学的判断风险发生的可能性，也就在风险发生时不能及时判断并且采取一定的有效措施。

4 我国商业银行操作风险管理的影响条件

从操作风险的定义来理解，操作风险是由于不完善或有问题的内部程序、人员、系统或外部事件而造成的。而商业银行组织是经营风险的承载体，所以这项研究应基于四个因素。同时，经营风险具有内生的特征，而外部因素影响商业银行组织体系则是通过内生因素来完成的。操作风险发生的原因有很多，有内部因素，也有外部因素，这些因素因为银行管理系统的人员操作漏洞或者管理系统漏洞等潜入银行体系，从而获得利益，产生影响。操作风险的管理是非常复杂的，商业银行的经营目标是实现股东价值最大化，因此有必要在金融创新、技术创新和服务创新等方面进行探索，商业银行需要对产生影响的内部因素和外部因素进行协调管理、有效控制。

银行组织环境因素是研究商业银行操作风险管理能力的一个重要方面。外部环境因素和内部环境因素两大部分组成了银行组织环境因素。外部环境因素和内部环境因素都可以提高商业银行的经营风险管理。外部环境因素有很多，例如社会经济环境、自然环境、金融竞争和社会突发事件等，内部环境因素则包括内部工作氛围、合规意识、企业文化、规章制度等构成。

综上所述，操作风险管理主要是管理四种风险因素，包括银行从业人员、业务流程、系统和环境，管理好这四种风险因素可以使商业银行控制更多的利益损失，使内部管理体系更健全。那么到底如何去管理这四种因素，又该管理到怎样的程度，都需要我们进一步的实践和探索。

5.我国商业银行操作风险管理问题的改善建议

5.1 提升操作风险管理的水平

我们可以成立一个类似的机构，从而机构对风险集中进行管理，主要措施有：建立独立经营部，从贸易和市场分离，管理经营风险，维护管理决策的独立性和分析；明确管理风险操作的流程、明确各职能部门的职责、处理好管理层的关系，同时也使内部控制部，业务部，审计部与业务风险管理部等多种部的关系协调起来。

5.2 以人为本，完善激励制度

银行业务风险管理中充分利用人力资本方面的积极作用。一是基于工作的大小和复杂业务，确定激励因素的位置，突出优秀企业的复杂性，员工的工作职责等因素。与此同时，要注意到不同的位置的不同收入限额，并尝试在相同的位置和收入有一定差距的分公司与相应分支之间进行合理的有效控制。二是对工作人员实行激励的政策，给予管理高层、核心员工和在工作中表现优秀的工作人员物质、精神奖励，尤其是要加强激励系统，除了满足多层次的需求，如多样化的灵活的福利，增加股权等，实现短期和长期激励两个方面很好的结合。鼓励员工制定风险管理的方法，向热情的工作人员和有重大贡献的员工给予一定的物质和精神奖励。

5.3 开发风险管理系统

根据系统设计和数据收集，发展新的风险管理模型，使用新巴塞尔公约的各项建议。信用管理和财务管理等一系列信息系统，以及要充分利用银行的信息管理体系的深入内在价值。第一是通过建立一个历史数据库，来收集管理发生过的业务风险，利用现代计算机技术来为风险度量和资金配置提供历史数据和参考案例；第二是建立一个模型，将操作风险的数据统计起来，为操作风险的监测提供技术支持。第三是建立操作风险模型，在业务系统中自动进行数据比对，增加业务的风险监管风险特殊检查。

5.4 强化管理意识

在商业银行中，应该学会对经营风险管理进行宣传，以董事会和高级管理人员为代表，进一步提高经营风险的整体管理意识，并了解经营风险管理是一项基本的风险管理操作。与此同时，银行有必要对高层人员、各职能部门人员进行操作风险管理知识培训，使他们具有操作风险管理意识，并能够对操作风险进行准确的预测、管理和控制。此外，经营风险的管理是有效落实各银行业务员的行为，能够有效的行使风险管理的职责，在操作风险的萌芽状态对其进行管理控制。

5.5 规范相关制度

制定并实施一个统一的经营风险管理政策，其内容主要包括四个部分：第一是制定经营风险管理的基本原则；第二是建立与实际情况相符合的经营风险事件分析和处理的标准；第三是从商业银行自身出发，制定与其内部实际经营情况相符合的具体管理操作流程；第四是从实际情况出发确定合适的资金配置和风险度量方法，制定风险管理的有效措施。

6 总结

如今，我国大多数银行还在一个探索发展、寻求转型的一个阶段，如何健全公司管理体系、员工激励体制，如何建立公司风险文化和风险管理体系，如何填补监管体系的漏洞和缺陷是银行探索的方向，这决定了多数银行是否能够转型成为一个真正的商业银行。除了管理缺陷之外，我国商业银行在风险管理方面还存在着风险控制过度、处罚严重而轻视风险发生前防范等问题。这两种现象对于一个商业银行的正常操作风险管理都有着严重的负面影响，降低了银行对于风险的抵抗能力和同行业中的竞争能力。对于商业操作风险的管理还需要我们进一步探索和研究。

参考文献

[1]李思影.当前我国商业银行操作风险问题研究[J].区域金融研究，2009，（2）：62-64.

操作风险管理篇10

[关键词] 商业银行；操作风险；现状；对策

一、商业银行操作风险的涵义及基本分类

巴塞尔银行委员会对操作风险的定义为：由于内部程序、人员、系统的不完善或失误，或外部事件造成直接或间接损失的风险。一般而言，目前对操作风险的分类有两种方法。第一种将操作风险简单的分为人员因素引起的操作风险、流程因素引起的操作风险、系统因素引起的操作风险和外部事件引起的操作风险四类。第二种分类方法将操作风险较详细的分为七类，包括内部欺诈；外部欺诈；雇员活动和工作场所的安全问题；客户、产品和业务活动的安全问题；银行维系经营的实物资产损坏；业务中断和系统错误；行政、交付和过程管理等。

二、国内商业银行操作风险管理现状

近年来，随着外部监管力度的加大和商业银行风险管理意识的增强，国内商业银行操作风险管理制度逐步健全、制度执行力得到加强，操作风险管理水平有了较大提升。主要表现：一是内控组织体系初步形成。各商业银行基本建立了由基层机构、业务主管部门、再监督部门共同组成的内控组织机构体系。二是内控制度建设得到加强。各商业银行按照建设现代商业银行要求，加大了制度建设的力度，对相关制度办法进行了清理和完善，细化了业务操作办法，增强了规章制度的有效性和权威性。三是内控制度执行力逐步增强。各商业银行在抓好制度建设的基础上，积极培育合规文化，加强员工思想教育，增强了员工自我约束意识和风险防范意识。四是强化了审计、监察部门的再监督职能。各商业银行普遍开展了内部控制综合评价工作，定期检查、评价各分支行内控体系的建立健全程度和抵御风险的能力，寻找薄弱环节，提出整改措施。内部审计部门加大了现场和非现场审计力度，监察部门加大了执法监察和违规处罚力度。五是加大了内控建设投入，物防和技防水平得到提高。各商业银行在业务快速发展、盈利能力增强的同时，加大了对营业网点的内控投入，提高了商业银行操作风险防范能力。

但应该清醒地认识到，随着商业银行新业务的快速发展，新科技的广泛运用，加之商业银行改革力度加大，操作风险的表现方式更为多样化，操作风险控制的难度加大，操作风险管理面临的任务依然艰巨。

1.部分行对操作风险管理缺乏系统、全面的认识。部分员工对操作风险的认识存在误区，片面认为操作风险就是人员因素引起的操作性风险，对操作风险缺乏整体认识和把握，导致操作风险管理上存在“四轻四重”现象，即重事后管理、轻事前防范，往往看重对已发生的风险采取事后的查处、补救措施，而对事前的防范和事中的控制措施关注较少；重个案查处，轻全面分析，从而造成同类案件多次发生；重基层操作人员管理，轻高层管理人员管理。特别是一些基层经营机构对操作风险管理面临的形势及危害性认识不足，存在重业务经营、轻内控管理的思想。更有甚者，为了所谓的发展业务，明知不可为而为之，搞政策变通，有章不循，甚至违章操作。一些基层行对各类问题的责任人处理不到位，“重检查，轻处理”，没能起到应有的警示和震慑作用。

2.缺乏对操作风险的战略规划和系统管理。操作风险涉及面广，必须统筹规划，各相关部门应明确各自职责，并加强协调配合。但目前部分商业银行将不同类型的操作风险归由不同部门负责，没有一个协调部门，缺乏统一的操作风险管理战略，高层管理者无法清楚地了解银行面临的操作风险整体状况。在操作风险的管理手段上，过于信赖内部审计，忽视外部审计的力量。内部管理制度建设滞后，执行不力。电子化手段在操作风险管理中的适用水平较低。

3.内控机制不健全，制度落实不到位。内控制度不适应新业务发展的需要，如综合业务系统推广应用后，相关内控制度建设不够完备，有时出现内控滞后或内控“真空”，以致高科技作案时有发生。制度执行意识淡薄，一些制度没有真正得到贯彻落实，违章操作问题依然比较突出。

4.内控岗位设置不能适应风险防范的要求。近年来，几家大型商业银行加大了撤点减员力度，部分基层行在撤点减员过程中缺乏整体规划，导致一些营业网点人员紧张，在岗位设置和人员配备上很难达到内控要求。随着网点经营业务品种的增加，网点机构风险控制点相应增加，无论是人员数量还是员工素质都与业务发展不相适应。在少数网点仍存在一人多岗、一人多卡、主任混岗等内控制度难以落实的现象，干部交流、员工轮岗以及强行休假制度得不到很好的落实，存在操作风险的隐患。银行内部业务管理人员的管理水平与业务管理的规范要求存在一定差距，影响、减弱内控实施的有效性。

5.合规文化建设滞后。受历史因素影响，部分商业银行历史包袱较重，管理基础还比较薄弱。部分商业银行网点较多，且比较分散，分布城乡，链条长，管理难度大。随着各项改革的深入，许多员工思想上呈现出矛盾性、多元性的特点，给内控建设提出了新的挑战。同时，我国四大国有商业银行都是由计划经济时期的专业银行转变过来，现代商业银行管理理念、管理手段尚在形成之中，部分干部员工的合规管理、依法经营意识还有待加强，自觉维护制度、遵守制度的合规文化氛围还没有广泛形成。

三、对加强商业银行操作风险管理的几点思考

稳健经营、控制风险是商业银行可持续发展的基础，加强操作风险管理是商业银行全面风险管理的重要内容。商业银行在操作风险管理中应坚持“内控优先、规范操作、遵守制度、违规问责、综合治理、标本兼治”的原则。所谓“内控优先、规范操作”，是指业务的发展必须首先考虑内控管理及风险控制的要求，业务操作必须坚持诚实守信、合规合法；所谓“遵守制度、违规问责”，是指在操作风险管理中，必须做到岗位明确、职责清晰、执行坚决，对违规操作行为应实行严格的责任追究；所谓“综合治理、标本兼治”，是指操作风险管理工作涉及的相关部门要各司其职、密切配合，在解决问题的同时，既要针对具体问题对症下药，也要研究治本之策。

(一)强化操作风险管理意识。国内商业银行应借鉴国际经验，逐步建立起一套较完善的操作风险管理体系，这个体系应覆盖操作风险的识别、评估、监测、控制及报告等程序和环节，并在此基础上建立起操作风险管理的战略、政策和基本目标。要通过一定程序定期监测操作风险的状况，及时报告有关信息，敏感地反映操作风险的变动，以此形成有效的风险预警决策支持机制。要注重技术创新，积极推进操作风险管理工具的开发和运用。要进一步建立有效的内部信息交流制度和报告制度。商业银行除了定期召开风险管理委员会例会外，还应要求各专业部门将检查的范围及所发现的问题及时报送风险管理委员会，以便统一领导全行的风险防范管理。另外，应对信息交流和报告制度建立相应的规章制度，避免内部各管理部门从自身利益出发，隐瞒不报，或是对该项工作不加重视，而引发操作风险。

(二)提升操作风险管理层次。操作风险管理是相当复杂的系统工程，强化操作风险管理应合理规划、逐步推进。根据西方商业银行操作风险管理的实践，有关专家分析认为，目前各国商业银行分别处于操作风险管理的五个不同发展阶段上，分别是：传统管理—认识—监控—量化—整合。各个阶段的特征是：传统管理阶段，强调内部控制、同部审计，分离风险控制项目。认识阶段，设置操作风险管理人职位和操作风险管理组织机构，充分认识并定义操作风险，制定风险管理政策。监控阶段，制定操作风险管理的目标和统一的监控指标进行风险限额控制和风险临界指标分析，对业务流程进行风险监控分析和风险管理报告，加强员工风险管理培训。量化阶段，建立完善的风险损失数据库，制定量化管理目标，进行风险预测分析和警戒指标设置，建立以风险为基础的资本配置模型。整合阶段，建立系统化的风险度量和管理工具，建立风险指标和损失之间的相关性模型，跨部门的风险分析以及基于风险分析和资本实力考虑的保险策略。从我国商业银行当前操作风险管理的特征来看，有的尚处于传统管理阶段，部分商业银行操作风险管理层次有所提升，但与量化、整合阶段的要求还有较大差距。因此，我国商业银行操作风险管理的重点是，在做实操作风险管理基础、做好传统管理阶段各项工作的基础上，逐步提升操作风险管理层次。

(三)健全完善内控制度。一是严格按照《商业银行内部控制指引》对现有的各项规章制度进行整理，并借鉴国外商业银行内控制度建设的成功经验，统一制定若干管理制度和操作规程。在制度的制定上要强化统一性。为此，首先应统一制度的出台，避免政出多门，互相打架。银行的各项规章制度有很多种，并且不断更新，具体操作的员工不易全部掌握，而且一项业务受多个制度约束，员工很容易在操作时顾此失彼，这也是在制度制定时应着重考虑并解决的问题，即制度制定时应将复杂的问题简单化，易于操作和执行。在开发推广新业务产品的过程中，相应管理制度必须同步落实，彻底扭转“先发展后规范”的做法。二是在清理完善的同时狠抓内控制度的贯彻落实，建立一套执行制度的监督机制，加大内控管理在各级经营单位业绩考评中的力度，进一步强化制度执行的严肃性。三是对各类规章制度要进行定期的清理，集中汇编印发给每一位员工，还可将制度细化为员工手册或岗位手册，或采取表格化的方式，将经办业务种类和应当审核的条件，采取的步骤和需注意的事项分别列示，方便员工掌握和执行，给员工提供一个学习规章制度的平台，并通过制度学习考试等形式强化学习制度的意识，以提高员工掌握制度、执行制度的能力和水平。

(四)强化计算机系统控制。各项业务的计算机应用系统不仅是一个数据平台和操作平台，更应当是一个管理平台和控制平台，要加强各项业务计算机系统的风险控制。一方面，对计算机系统的立项、设计、开发、调试、运行、维修等全部过程实行严格管理，确保计算机系统不留下操作风险隐患。另一方面，业务经营管理中的各项制度约束应在相应的计算机应用系统中得以体现，并得到“固化”，达到通过计算机系统有效实施管理和控制的目的。因此，在开发各项业务的计算机应用系统和对原有系统进行升级的过程中，应不断地将各项管理和控制制度的原则和要求在系统中以程序的方式加以限制，尽量减少人为操作的风险。如对网点柜员的操作权限控制，严格根据柜员岗位制约的要求设置交易掩码和应用掩码。加强授权管理，按规定配置和使用柜员安全认证卡，严禁“一人多卡”，严禁“飞卡”授权和明码授权，严禁柜员办理本人金融性业务和非金融性业务。

(五)完善基层机构风险管理的方法。把各要害岗位的内控落实和案件防范作为考核单位“一把手”和主管领导、部门负责人的重要目标，同其业绩考核、晋升、奖惩等直接挂钩，层层签订责任状，落实责任，使各级领导干部与其所主管的要害部门形成“一损俱损、一荣俱荣”的局面，提升案件防范能力，减少操作风险的发生。制定全面、规范、明确的岗位责任制，明确界定各岗位的操作权限，使人人认识到滥用职权是越权，“怠用”职权则是失职，每个银行职员都需要承担相应的责任。同时切实做好岗位职责的修改工作，及时根据文件和人员岗位的调整进行修改，做到人人有章可循。明确各个岗位的权、责、利，薪酬较高的岗位，其相应的责任也大，只有具备相应能力的员工才敢去、才能去竞争这些岗位，从而有效规避操作风险的发生。可以建立内控扣分制度，对于高风险点的岗位，应该是级别越高的相关人员，扣点和处罚的程度越高，以便加大管理层的责任，提高其对防范风险的重视度。