应用文-银行操作风险管理重在体系建设

银行操作风险管理重在体系建设

'操作风险是近年来国际银行界风险

领域关注的一个新的重点。2004年公布的新巴塞尔资本协议首次将操作风险纳入统一计算银行监管资本的框架之中，标志着国际银行界已经正式认可操作风险大小会直接影响一家银行的资本充足水平，操作风险作为独立的管理对象正在受到监管机构和商业银行越来越多的重视。

管理操作风险的原则

在新巴塞尔资本协议征求意见阶段，操作风险曾被定义为“由于不完善或有问题的内部程序、人员、系统以及外部事件给银行造成直接或间接损失的风险”。这个定义意味着操作风险可能引发直接损失和间接损失。直接损失比较容易理解，是指某一操作风险事件发生后，按照银行适用的法律、法规反映在银行法定财务报表的损失，损失包括所有与该操作风险事件相

的成本支出，但不包括为避免后续操作风险损失实施的相关成本支出。但对于如何界定操作风险引发的间接损失一直存在争议，有观点认为是其他类型的风险发生引发操作风险事件发生，或者操作风险事件发生后引发其他类型风险发生而造成的财务损失，但难以把握的是，间接损失数据是应当归入操作风险损失，还是归入其他类型风险的损失。后来，在新资本协议定稿之际，操作风险被定义为“由于不完善或有问题的内部程序、人员、系统以及外部事件给银行造成损失的风险”，事实上将间接损失排除在外。

参考新资本协议的定义,我国商业银行管理操作风险现阶段应遵循以下四项基本的原则：

（1）全面管理。未来我国商业银行的总部和国内外分支机构都必须建立完善的操作风险管理制度，控制操作风险损失。而操作风险管理具有高度分散化的特征，因此操作风险管理制度的控制力应该渗透到银行各项业务过程和各个操作环节，覆盖所有的部门、分支机构和岗位，并由全体员工执行。

（2）政策及时调整。由于目前我国银行业监管机构尚未对商业银行操作风险管理制订监管规则，我国商业银行经营战略、方针、政策也都处于变化当中，操作风险管理的政策制度应随着外部和内部

的变化及时调整。

（3）成本与收益匹配。管理操作风险要付出一定的成本，商业银行的管理措施必须与具体业务的规模、复杂程度和特点相适应，通过付出合理的成本将操作风险损失控制在银行经营所能承受的范围内，不切实际地追求零操作风险并不可取。

（4）严格问责。目前我国商业银行正处于操作风险发生频率较高的阶段，应坚持严格问责的原则。银行内部操作流程的每一个环节都必须有明确的责任人，并严格按规定对违反制度的直接责任人和负有领导责任的管理人员进行问责。

操作风险的分类

新资本协议将操作风险损失事件分为内部欺诈，外部欺诈，就业政策和

场所安全性，客户、产品及业务操作，实体资产损坏，业务中断和系统失败，执行、交割及流程管理七类，每一类还有相应的子类。但如何根据新协议对我国银行业面临的操作风险进行有效分类是

中的一个难题。不少国内商业银行发生的操作风险事件带有典型的“ 中国特色”。因此，在新协议的指引下，结合我国商业银行的实际情况，对操作风险进行分类或许是当前一个比较合理的选择。

按照新协议中规定的操作风险的四类诱因，我国商业银行的操作风险类别大体可以分为：（1）由于银行业务流程、制度管理存在不当或偏差而没有及时完善，导致操作或执行

困难而产生的操作风险。比如，内部或对外流程不适当；责任分工不明确；文件残缺；

标准文本条款残缺；合同标准文本条款对银行不利；文件记录内容不全面；合同标准文本中空白条款填写不完善或不正确；风险管理

不充分；财务报表披露不充分；新业务或新产品已经在前台办理，相关的文件没有及时传达到前台；对前台相关业务的新规定没有及时传达到员工；对业务流程要求执行不力等。

（2）由于人员因素导致的操作风险。这类操作风险是当前我国银行业面临的主要操作风险。人员风险源于主观和客观因素，前者为银行员工不遵守

道德，违章、违规或违法操作，单独或参与骗取、盗用银行资产和客户资产，或工作疏忽，其行为给银行造成直接

损失；后者为员工的自身能力与岗位对人员素质要求不符给银行造成的直接经济损失。

（3）由于IT技术或技术

环境失灵造成系统服务中断或造成错误的服务，或由于系统数据风险影响业务的正常运行而产生的操作风险。如科技投资风险；系统开发和执行风险；系统功能问题或系统失效风险；系统安全风险；法律或公共责任风险；风险管理模型风险等。

（4）来自外部的主观或客观因素产生的操作风险。如交易对手通过诉诸法律而使交易无效（并非主观故意或过失违反法律、法规、规章和规定）；内部的管理规章制度与外部法律、法规或监管要求发生冲突；反洗钱活动不力；业务操作违规；对客户的隐私和数据保护不力；外部采购或供应商风险；外部开发过程中所面临的第三方中断必要资源的风险；火灾、洪水、其他自然灾害等。

操作风险管理

架构设计

随着我国商业银行公司治理机制的完善，未来完整的操作风险管理组织架构应由董事会、高级管理层、商业银行总部履行操作风险管理的牵头部门、总部其他部门、国内外各级分支机构等构成。

在这个管理层级体系中，董事会应是我国商业银行操作风险管理的最高决策机构，负责制定操作风险管理的

蓝图和体系框架，审议并批准操作风险基本管理制度。评判操作风险状况，对高级管理层、职能部门、各级机构履行操作风险管理职责情况进行定期评估，并提出改进要求，确保整个银行机构能够识别、衡量、监督及控制操作风险。确定整个银行操作风险可以接受的水平，监控整体操作风险状况是否符合本行的操作风险偏好，对特殊情况进行审议，必要时向董事会报告特殊情况等。

高级管理层负责执行董事会批准的操作风险管理战略、管理政策、基本管理制度，评估操作风险管理制度的有效性，监控相关管理制度的具体实施情况，识别相关管理制度的不足和缺陷，决定为完善操作风险管理而采取的重要措施或行动方案。

商业银行总部是履行操作风险管理的牵头部门，负责拟订有关加强操作风险管理的基本制度和办法，以及操作风险识别、评估、监测、控制、缓释、计量等方面的具体管理制度和报告制度，并向高级管理层报告有关情况；就完善操作风险管理及拟采取改进措施和行动方案提出意见和建议；牵头协调、监控、督导总部其他部门及各一级分行开展操作风险管理工作和执行高级管理层的决定，并向高级管理层报告有关情况；负责定期向高级管理层报告操作风险状况及其占用的经济资本状况等。'