德银操作风险管理系统地最佳实践

德银操作风险管理的最佳实践

一、操作风险管理的重要性和监管背景。

自有银行产生以来，操作风险就同时存在着。但是由于分业经营和控的严密，它的危害性还是没有为世人所认识。直到随着混业经营的开始以及市场风险的加剧等等一系列因素的催化。操作风险危害性才逐步展现出来。正如一位德意志银行操作风险管理专家所言：“操作风险能够使一个银行死亡”。操作风险管理的危害性可见一斑。

上世纪八九十年代，银行界对操作风险的认识还停留在初级阶段，如违反制度规定的行为、超授权的业务等等容，对此类操作风险的防还停留在检查－发现－纠正这种“灭火式”的管理方法。这种方法近似于华夏银行目前的操作管理的实践。伴随着信息技术在金融领域的广泛应用，信用风险和市场风险的交融，金融衍生产品的大量应用，金融服务的多样化，尤其是金融全球化的迅速发展，形成了跨国交易和服务要面对更加复杂、更加多变的社会、金融、市场环境，传统的操作风险管理的方法越加不能实现管理的要求，于是银行业对操作风险的管理就显得越加必要和迫切。

随着一连串严重的操作风险事件的发生以及它们所造成的严重的后果，引起了巴塞尔委员会的注意。巴塞尔委员会出台了《稳健做法》提出了银行操作风险管理的基本框架。2004年6月，巴塞尔委员会发布了《巴塞尔新资本协议》，将操作风险纳入银行资本监管的统一框架，要求银行为操作风险配置相应的资本。这表明操作风险已引起监管机构的重视，并把操作风险、信用风险、市场风险并列为金融机构面临的三大主要风险。

操作风险管理的方法步入了一个全新的时代，操作风险作为一种系统概念的提出表明银行对操作风险的管理越来越置于与信用风险管理和市场风险管理同样重要的地位，操作风险管理正作为一个重要的有机组成部分被纳入到银行的全面风险管理体系中。

二、银行操作风险产生的根源和相互的关系。

银行操作风险产生的根源主要有两个基本方面：人的因素和自然灾害；人的因素包括：人的能力、业务流程、信息系统；自然灾害包括：地震、飓风、战争等。

（一）操作风险产生的根源

操作风险主要产生于银行部控制及公司治理机制的失效，此外还包括信息系统失真和自然灾害所造成的资产实际或潜在的损失。操作风险主要源于员工、业务流程、信息及外部环

境等方面。

员工因素是指员工的行为、公司违反用工法、关键人员流失等情况给银行带来的损失可能性。例如，掌握了对银行有关键作用的技能的职员辞职、员工罢工、超时加班、员工欺诈行为等。

业务流程因素是指由于流程设计不合理和流程执行不严格带来损失的可能性。例如，未能充分考虑的产品流程漏洞、流程设计不清晰、未建立严格的执行保证措施等。

信息系统因素是指系统失灵、软硬件故障和业务系统漏洞给银行带来的损失可能性。例如，对系统软硬件的破坏、业务数据的不合适访问、不严格的软件变更管理、未充分估计容量管理以及数据备份和应急预案不足。

外部环境因素主要是指由于自然灾害、外部欺诈、突发事件以及银行经营环境的不利变化给银行带来的损失可能性。例如，火灾、地震、恐怖袭击、外部抢劫、黑客攻击等。（见附件1）

（三）操作风险驱动因素之间的相互关系

由于银行经营所处的复杂的外部环境，上述四方面的操作风险驱动因素常常交织在一起，相互作用，导致操作风险事件。

流程定义错误导致操作错误，进而使决策错误，造成损失。业务流程定义不清楚，职员理解操作步骤错误，在系统中输入了不正确的数据，使用这些数据的分析报告就可能不全面。例

如，有些潜在的风险因素未被识别，基于这些报告的决策就有可能带来损失。

系统错误造成操作失误，进而决策错误形成财务和声誉损失。例如，系统错误往往需要很多的手工更正调整，完成这些更正通常需要花费大量的工作时间，在这种情况下，操作人员就存在产生一些新错误的可能性。假设这些新错误导致了一份资金流动性不足报告的产生，交易员就会向中央银行透支以维持本行在清算系统中的运行，但是中央银行透支利率远高于资金市场的利率，相应的利息损失就会产生。操作错误导致系统错误，进而形成财务和声誉损失。例如，在业务系统中错误输入交易，造成日结批量处理的中断，一些结算交易未被处理，有关客户就会向银行要求赔偿，导致银行遭受财务和声誉的双重损失。

操作错误造成决策失误，进而导致财务和声誉损失。例如，一个对客户限制交易的错误指令，会使风险经理放弃一个有利可图的交易，使银行失去一个获利的机会。

四个因素相互作用，进而导致银行财务和声誉损失的关系。

三、操作风险定义。

德意志银行的操作风险管理的实践表明，有什么样的操作风险认识，就会有什么样的风险管理水平。因此，对操作风险

进行准确、合理界定是建立完善、有效的操作风险管理体系的前提和基础。

（一）操作风险的理论定义

围绕如何对操作风险涵进行合理的界定，近年来国际金融理论界和实务界进行了广泛而深入的研究，基本形成了三种观点。

1、广义的操作风险概念

市场风险和信用风险以外的所有风险都是操作风险，包括控失效风险、流程失败风险、信誉风险、人力资源风险、法律风险、收购风险、系统和技术风险、监管风险等，这种定义的好处是表述简单，缺点是含义模糊，有些风险难以被识别和计量。

2、狭义的操作风险概念

操作风险是与金融机构中运营部门有关的风险，即由于控制、系统及运营过程中的错误或疏忽导致潜在风险损失的风险。操作风险被限定在部运营部门操作失误事件影响的这一狭小围。

广义概念和狭义概念均不利于操作风险管理工作的开展。广义的概念往往使得人们很难对其准确计量，而狭义的概念往往会因不能覆盖所有的操作风险而使银行遭受一些意向不到的损失，例如，偶尔发生的停电（外部因素）也会使银行产生极大的损失，因此业界人士倾向于广义和狭义之间的操作风险

概念。

操作风险被定义为银行遭受潜在经济损失的可能性。损失可能来之于部或外部事件、宏观趋势以及不能为银行决策机构和部控制体系、信息系统、行政机构组织、道德准则或其他主要控制手段和标准所洞悉并阻止的变化，它不包括已经存在的风险种类如市场风险、信用风险和战略风险。这种界定排除了由于外部监管机构、竞争对手的影响等难以控制的事件，但将外部欺诈、自然灾害等外部事件涵盖进来。操作风险被明确锁定在部操作失误和外部事件影响这两个层面上。其中最有代表性的是巴塞尔委员会和操作风险数据交换协会（ORX）的界定。

（二）巴塞尔委员会和ORX的操作风险定义

巴塞尔委员会2004年6月发布了《巴塞尔新资本协议》，将操作风险定义为：由于不完善或有问题的部程序、人员及系统或外部事件所造成的损失的风险。这一定义包括法律风险，但不包括策略风险和声誉风险。

ORX的操作风险定义是：由于采用不完善或者有失败的程序、人员、系统，或者由于外部事件或环境造成业务交易处理的实际结果偏离预期结果的事件。

可以看出，巴塞尔委员会和ORX的操作风险定义基本相同，仅仅在定义中ORX多出了环境因素，这是因为ORX将外部事件定义为外部人为突发事件而将自然灾害作为一个独立的操作风险“根源”。这在事件分类上也使得ORX事件分类与巴塞尔委员会的事件分类有所不同。