商業銀行操作風險管理

1998年9月，巴塞爾委員會主席兼紐約聯邦儲備銀行首席執行官McDonough在倫敦舉行的一個信用風險模型會議的特別發言中提醒眾人關注巴林銀行和大和銀行事件，將代表們的注意力轉向了操作風險。巴塞爾委員會在2002年舉行的一次全球性針對操作風險的調查表明，參加調查的銀行一共報告了47029件損失超過1萬歐元的操作風險事件，平均每家銀行在這一年間發生了528起由此引發的操作風險事件，其中有5家在這一年間發生了超過2000起操作風險事件，其造成的損失一年近80億歐元。這足見操作風險在銀行風險中所發生的普遍性。

2004年6月26日公布的《巴塞爾新資本協議》將操作風險納入風險管理框架，與信用風險、市場風險并列為商業銀行經營的三大主要風險。據巴塞爾銀行業委員會估計，操作風險給商業銀行所造成的損失占全部風險損失的30%以上。

一、操作風險概述

（一）操作風險的界定。操作風險是一個比較模糊的概念。這是因為在一個機構的日常經營活動中很難清楚地劃分操作風險與“正常”的不確定性之間的界定。舉例來說，一個客戶未能償還貸款可能是源于“正常”的信用風險，也可能是貸款人員的人為差錯所致。通常人們把所有與信貸相關的不確定性都看作是“信用風險”的一部分。不過某些情況下，貸款人員在獲得有關客戶的信息后本不該作出這項貸款決策，或者他在批準一項貸款時違反了銀行規定（甚至可能因為接受賄賂而接受貸款），這種情況就應歸為操作風險而非信用損失。

巴塞爾新資本協議將操作風險定義為由于不完善或失靈的內部程序、人員和系統，或外部事件導致損失的風險。根據上述定義，操作風險至少涵蓋四個方面：一是人的因素，主要是人的責任心和基本道德素質問題，包括操作失誤、越權或擅權行為、欺詐（內部作案和內外勾結作案）、關鍵人員流失等；二是制度和流程因素，包括內控制度流失、制度和流程設計不完備，以及執行不力、流于形式等；三是操作系統因素，包括操作系統失靈、參數設置錯誤、系統出現缺陷等；四是外部事件，主要是外部欺詐、搶劫、黑客攻擊、盜竊以及地震、戰爭等不可抗因素。從銀行經營管理實踐看，操作風險最主要來自于欺詐（包括內部和外部欺詐），損失額占到全部損失的70%；從長期看，隨著電子化程度不斷提升，技術性因素產生的操作風險將越來越明顯。

（二）操作風險的特征。與信用風險、市場風險相比，操作風險具有4個明顯的特征：（1）復雜性和隱蔽性。（2）內生性。除外部事件引起的操作風險外，一般的操作風險是內生風險，由內部人控制、內控制度失效、內部系統失靈造成。而信用風險和市場風險一般在市場交易過程中產生，與交易對手的品質、能力以及外部宏觀經濟因素變化息息相關。（3）風險與收益不對稱性。操作風險根源于企業內部控制行為，不產生任何收益，也無法直接創造利潤，一旦形成風險將帶來純粹的損失。（4）關聯性。操作風險往往與信用風險、市場風險相伴而生，加大了信用風險和市場風險的沖擊力度。這些特殊因素都決定了操作風險的防范是一項系統工程，需要各商業銀行長期不懈的努力方能取得成效。

（三）操作風險的衡量。國際活躍銀行一致認為操作風險需要通過定性和定量相結合的方法進行測量。定性方法主要是依靠內外部審計報告、管理報告、財務報告、政策規定，由專家評估操作風險，估計風險損失大小。定量方法的關鍵——操作風險計量技術目前仍處摸索階段，但向信用風險和市場風險的計量方法看齊的發展方向十分明確。新資本協議中巴塞爾委員會提出三種估計方法：基礎指標法、標準法、高級計量法。國際活躍銀行還提出了其他一些模型方案，比較著名的有損失分布法、因果關系模型法等。整個銀行業之所以至今沒有形成統一的測量模型，主要因為操作風險的模型基本由各家銀行自行研究建立，所依賴的內部歷史數據與其他銀行區別很大，對各類操作風險發生概率和損失大小的分析判斷都不盡相同。

（四）操作風險的管理。巴塞爾新資本協議明確提出商業銀行應將操作風險納入管理框架，并對其分配資本，提高資本對操作風險的敏感度。操作風險管理成為專業化管理的重要內容之一。國際活躍銀行也在不斷完善操作風險管理組織框架，比如：由董事會審批操作風險管理戰略，高級管理層執行操作風險管理政策，業務部門直接控制操作風險，操作風險管理部門研究制定測量和監控操作風險（對操作風險提取適當的資本準備），內部審計部門對風險管理成效進行及時檢查和評估等。操作風險人才隊伍日益壯大，素質結構不斷優化。

具體而言，操作風險管理就是要通過提高風險處理效率、確保控制的有效性（包括去除那些過時的、重復的控制）、共享有效的風險處理措施以及恰當的分配工作來實現資源的有效使用。

我們知道，在銀行操作風險的量化與管理上，國際銀行業還處于初級階段。從轉軌中的國內商業銀行改革情況來看，國內銀行操作風險的管理基本上也處于剛開始的階段。無論是制度規則的制定、量化方式的引進，還是銀行的風險意識、風險文化等方面離（下轉第16頁）（上接第19頁）現代商業銀行的操作風險管理要求都相去太遠。目前國內商業銀行業務復雜程度不高，但由于缺乏相應的規章制度、缺乏有效的內控機制及監管，對操作風險認識十分缺乏，國內銀行業所發生的一系列大問題都是與操作風險有關。如“中行開平分行事件”造成4?郾83億美元巨額虧損，2005深圳發展銀行披露了一筆總金額高達15億的違規貸款事件，民生銀行也曝出了一起3億多元的巨額票據詐騙案。還有“張恩照事件”、“劉金寶事件”等無不是因為銀行沒有規避操作風險造成的惡果。由此可見，操作風險管理在金融機構中的地位日顯重要。

二、商業銀行操作風險的管理工具

（一）保險。保險在很大程度上可以看作是降低風險的工具，在銀行主要運用于三個領域：法律責任、犯罪和財產損失。保險的好處可以分為兩類：集中的好處和風險管理的好處。這兩類好處反映了保險人在承擔風險方面具有比較優勢，購買操作風險保險的銀行可以享受到風險管理的好處。相對自己去管理風險而言，購買保險帶來的管理風險質量提高和成本降低都是很明顯的。一家銀行可以通過購買保險來減少單筆巨額損失對自身的影響。這些損失可能來源于雇員的不誠實、盜竊和搶劫、以偽造的證券為抵押進行放款或各種形式的計算機犯罪。對這類低概率但又極嚴重的損失事件，可以通過簽訂保險協議來進行風險轉移。

（二）互惠自保險基金。互惠自保險基金的運作機制是參與的銀行同意為彼此提供保險。比如說，幾家銀行將資源集中起來，同意對發生的損失進行支付。每家銀行都需要支付一筆啟動資金并向基金支付年費，以彌補對損失的補償開支和管理費。如果運作良好，這種互惠性質的自保險基金會讓會員銀行享受到將風險集中管理的好處。從理論上講，這種集中的好處之一是它能夠從會員銀行的利益角度進行運作，因此可以克服保險人與投保人之間存在的利益沖突問題，從成本角度看更有效率。但這種自保險方法存在兩個問題：逆向選擇和道德風險。此外，銀行可能不愿意拿自己的資本去冒險救助另一家銀行，尤其是當問題銀行的損失是由于管理上的誤判或在風險管理上的投資不足造成的。

（三）證券化。克魯茲（1999）曾指出證券化可以作為操作風險保險的替代品。證券化的優點是銀行能把操作風險向全球資本市場的投資者轉移。因此，與保險相比，風險轉移的范圍及金融資源的可獲性都大大提高，不僅減少了對手風險，而且也提高了保險的覆蓋面。一種將操作風險證券化的方式是發行一種類似災難事故債券，比如說，銀行發行一種價值與某一特定的操作損失相關的債券，債券的購買者會得到較高的收益率。但是，一旦發生既定損失，則購買者會損失一部分或全部的本金和利息。

（作者單位：云南財經大學）