商業(yè)銀行操作風險的管理學理論解釋

李寶寶，王言峰

(1.南京航空航天大學 經(jīng)濟與管理學院，江蘇 南京 210016；2.南京大學 商學院，江蘇 南京 210093)

商業(yè)銀行操作風險是指由于不完善或有問題的內(nèi)部程序、員工和信息系統(tǒng)，以及外部因素造成的財務損失或影響銀行聲譽、客戶和員工的風險，它與銀行業(yè)務一起誕生，并不是一個新問題，但長久以來，商業(yè)銀行并未對操作風險予以關(guān)注，直到20世紀90年代中期操作風險才逐步引起人們的重視。1998年9月，巴塞爾銀行監(jiān)管委員會首次發(fā)布了《操作風險管理》。2004年6月巴塞爾委員會發(fā)布《巴塞爾新資本協(xié)議》，明確將操作風險列為繼市場風險和信用風險之后的商業(yè)銀行第三大風險，并納入資本監(jiān)管范疇。2007年，中國銀監(jiān)會頒布了《商業(yè)銀行操作風險管理指引》，操作風險作為一個單獨的風險范疇越來越引起人們的重視。經(jīng)過十余年的研究和實踐，雖然操作風險管理研究取得了一定的成績，但與市場風險、信用風險相比，該領(lǐng)域的研究明顯處于滯后狀態(tài)，一直沒有形成統(tǒng)一的理論體系和研究范式，整體研究相對凌亂，在研究的技術(shù)、分析方法、工具等方面更是不夠成熟。科學的實踐要以科學的理論為基礎(chǔ)，潘建國、張維（2006）認為，目前操作風險管理缺乏系統(tǒng)科學的理論支持是操作風險研究相對滯后于信用風險和市場風險研究的根本原因[1]。以往的操作風險研究一般以現(xiàn)代微觀金融理論為基礎(chǔ)，沿著市場風險和信用風險的研究邏輯，把金融工程技術(shù)作為主要的風險管理手段，側(cè)重于資產(chǎn)組合與風險對沖。但操作風險的表現(xiàn)復雜多樣，并且同管理活動密切相關(guān)，很難進行金融組合與對沖管理。另外，與信用風險、市場風險相比，銀行操作風險的生成機理截然不同，風險覆蓋面也有大的差別，且表現(xiàn)形式多樣、涉及情況復雜，損失大小難以確定，操作風險不同于傳統(tǒng)意義上的金融風險，不宜單純以微觀金融風險管理理論為支撐，應構(gòu)建自身研究的理論基礎(chǔ)。

操作風險管理屬于商業(yè)銀行內(nèi)部的經(jīng)營管理活動，商業(yè)銀行在本質(zhì)上也屬于一般企業(yè)，理應遵循企業(yè)一般經(jīng)營管理規(guī)律，在企業(yè)管理理論框架下不斷提升管理水平。因此，本文嘗試從管理學的角度對操作風險進行解釋，以期拓寬操作風險研究的理論基礎(chǔ)。

一、戰(zhàn)略管理理論

商業(yè)銀行操作風險具有系統(tǒng)性和全面性的特稱，市場風險與信用風險的發(fā)生僅限于與之相關(guān)的部分環(huán)節(jié)，如業(yè)務發(fā)展部門和業(yè)務管理部門等。但操作風險不同，因為商業(yè)銀行要通過員工、技術(shù)和流程來開展經(jīng)營，在其中的每個環(huán)節(jié)都有發(fā)生風險的可能性，并且與其他風險關(guān)聯(lián)度較大，常常與信用風險、市場風險相伴產(chǎn)生。基于這一特點，對操作風險的理解和認識不能僅局限于某一環(huán)節(jié)，要以戰(zhàn)略的思維去理解、分析和防范操作風險。

企業(yè)戰(zhàn)略管理實質(zhì)上是一種管理思想，要求企業(yè)經(jīng)營者摒棄“頭痛醫(yī)頭，腳痛醫(yī)腳”、就事論事的片斷式思維，要具備戰(zhàn)略意識，站在長遠和全局的角度去發(fā)現(xiàn)問題、認識問題、解決問題。操作風險管理與商業(yè)銀行的內(nèi)部各項經(jīng)營活動密切相關(guān)，因此在操作風險管理管理中，必須引入戰(zhàn)略管理的思維和模式，從商業(yè)銀行的角度系統(tǒng)思考，在整體的操作風險管理框架下構(gòu)建操作風險管理戰(zhàn)略，提出操作風險管理的具體目標，以此對各項業(yè)務和管理活動中可能發(fā)生的操作風險進行系統(tǒng)管理。國際上的許多金融機構(gòu)對此進行了研究。1999年，英國銀行家協(xié)會在《1999年操作風險管理調(diào)查》中提出了一個六層次的金字塔結(jié)構(gòu)[2]，作為對操作風險管理的整體框架，該框架包含了6個主要部分：戰(zhàn)略、政策、風險管理流程、風險緩釋、運作管理和公司文化（如圖1）。

圖1 操作風險管理整體框架金字塔結(jié)構(gòu)圖

法國巴黎銀行的R.Kennett也對操作風險管理框架進行了研究，R.Kennett著重分析了高層管理者的支持、管理預期、組織結(jié)構(gòu)、術(shù)語和操作風險管理框架的基礎(chǔ)等方面的內(nèi)容，并從數(shù)據(jù)收集方式、損失數(shù)據(jù)庫、關(guān)鍵風險指標、風險評估和資本金等方面對操作風險管理框架的內(nèi)容進行了研究[3]。

Capital One金融公司的風險管理主管Michael Hauben?stock認為操作風險管理框架由戰(zhàn)略、流程、基礎(chǔ)設施和環(huán)境四個部分組成[4]。其中，戰(zhàn)略包括業(yè)務目標、風險偏好、企業(yè)管理風險的方法以及操作風險管理相關(guān)政策的闡釋，居于核心位置，設定了風險管理的總基調(diào)和基本方法；流程是在整體戰(zhàn)略框架下和戰(zhàn)略目標指引下做出的操作風險管理日常活動和決策；基礎(chǔ)設施則是支撐操作風險管理的系統(tǒng)和工具；環(huán)境包括高層管理者的參與和支持程度等文化背景和其他外部因素。

美國著名管理學家奎因認為，有效的戰(zhàn)略應當包括三個方面：一是公司可以實現(xiàn)的主要目標；二是支持目標實現(xiàn)的經(jīng)營管理政策；三是在政策框架下為實現(xiàn)目標所開展的主要活動。簡單而言，應當分為操作風險管理戰(zhàn)略設立和戰(zhàn)略實施：首先提出操作風險管理戰(zhàn)略，構(gòu)建框架目標，這是框架設計的首要問題。依據(jù)戰(zhàn)略管理理論，在操作風險管理戰(zhàn)略的制定之前，首先要對公司的內(nèi)外部環(huán)境進行分析，研究自身存在的優(yōu)勢和劣勢，在此基礎(chǔ)上制定操作風險管理戰(zhàn)略。其次是操作風險管理戰(zhàn)略的實施，具體包括制定操作風險管理流程、組織結(jié)構(gòu)、管理基礎(chǔ)設施、管理環(huán)境等。曲紹強（2009）基于戰(zhàn)略管理理論，提出我國商業(yè)銀行的操作風險管理框架，具體包括：（1）操作風險管理流程：依據(jù)巴塞爾委員會《操作風險管理與監(jiān)管的穩(wěn)健做法》、中國銀監(jiān)會《商業(yè)銀行操作風險管理指引》的約束，參照操作風險管理的邏輯思維，把管理流程分為風險識別、風險評估和量化、風險管理和風險轉(zhuǎn)移、風險監(jiān)測和風險報告等循環(huán)往復的五個環(huán)節(jié)。（2）組織結(jié)構(gòu)，組織與戰(zhàn)略相匹配，依據(jù)操作風險管理戰(zhàn)略設計組織架構(gòu)。（3）管理基礎(chǔ)設施，主要包括管理信息系統(tǒng)、數(shù)據(jù)、程序和方法，為操作風選管理過程提供系統(tǒng)的、量化的數(shù)據(jù)，管理銀行內(nèi)部的信息流。（4）管理環(huán)境：在商業(yè)銀行內(nèi)部主要包括風險文化、內(nèi)部控制體系、人員培訓、溝通交流等[5]（如圖2）。

圖2 基于戰(zhàn)略管理的我國商業(yè)銀行操作風險管理框架

二、公司內(nèi)部控制理論

從引發(fā)的因素來看，與信用風險和市場風險來源的外生性不同，操作風險具有明顯的內(nèi)生性特點。市場風險是指因匯率風險、利率風險、商品的價格變動等外部因素而使商業(yè)銀行表內(nèi)和表外業(yè)務發(fā)生損失的風險。信用風險源于債務人的違約風險，是由債務人的履約能力發(fā)生變化等外部因素造成的。操作風險則主要來源于銀行內(nèi)部（除了自然災害和一些不可預測的事件以外），并且大多是銀行可以控制的內(nèi)生風險，這些因素包括人員在操作過程中出現(xiàn)的意外事故，以及利用職權(quán)違規(guī)操作所致；由于內(nèi)部制度不健全、業(yè)務流程不完善、相關(guān)法律制度不配套等因素等。因此，需要從內(nèi)部控制的角度防范操作風險。

對內(nèi)部控制（內(nèi)控）的定義很多，但整體上主要從內(nèi)部控制范圍、內(nèi)部控制手段、內(nèi)部控制目的三個方面進行闡釋。美國全國虛假財務報告委員會下屬的發(fā)起人委員會（COSO）認為內(nèi)控是為實現(xiàn)經(jīng)營的效果和效率，確保財會報告的可靠性而設計的一個受某單位不同層次影響的過程[6]。中國人民銀行于2002年9月公布的《商業(yè)銀行內(nèi)部控制指引》指出，內(nèi)部控制是商業(yè)銀行為實現(xiàn)經(jīng)營目標，通過制定和實施一系列制度、程序和方法，對風險進行事前防范、事中控制、事后監(jiān)督和糾正的動態(tài)過程和機制。

內(nèi)部控制是商業(yè)銀行防范操作風險的主要措施，也是現(xiàn)代銀行管理的重要組成部分。COSO委員會頒布的《內(nèi)部控制——整體框架》是美國上市公司內(nèi)部控制框架的參照標準；巴塞爾銀行監(jiān)管委員會作為銀行監(jiān)管領(lǐng)域的首要國際組織，其提出的《內(nèi)部控制系統(tǒng)框架》具有權(quán)威意義，已成為國際上普遍接受的內(nèi)控準則；我國人民銀行吸收了巴塞爾協(xié)議《內(nèi)部控制系統(tǒng)框架》的先進做法，結(jié)合我國商業(yè)銀行的實際狀況，于2002年發(fā)布了《商業(yè)銀行內(nèi)部控制指引》。可以說，COSO委員會、巴塞爾銀行監(jiān)管委員會和中國人民銀行三個組織的內(nèi)控報告代表了商業(yè)銀行內(nèi)部控制理論研究的最新和最權(quán)威的成果。在具體實踐中，可以綜合三者的研究成果，構(gòu)建內(nèi)部控制框架，防范操作風險。

COSO《內(nèi)部控制——整體框架》、BASEL《內(nèi)部控制系統(tǒng)框架》、人民銀行《商業(yè)銀行內(nèi)部控制指引》(下簡稱為COSO《整體框架》、BASEL《系統(tǒng)框架》、人行《內(nèi)控指引》)三大成果對比如下：

（1）內(nèi)部控制目標比較。通過分析可以看出，三大內(nèi)部控制理論的內(nèi)部控制目標幾乎一致，都要求必須遵循法律、規(guī)章，確保財務信息的可靠、完整和及時，從而實現(xiàn)經(jīng)營效果和管理效率的提高[7]。我國人行的《商業(yè)銀行內(nèi)部控制指引》從保證風險管理體系有效運行的高度，突出了內(nèi)部控制在風險管理中的地位。

表1 三大組織內(nèi)控報告中內(nèi)控目標的比較

（2）內(nèi)部控制系統(tǒng)構(gòu)成要素比較。三大內(nèi)部控制理論在構(gòu)成要素上也幾乎一致，側(cè)重點稍有不同。與COSO《整體框架》相比，BASEL《系統(tǒng)框架》和人行的《內(nèi)控指引》都將風險識別和風險評估并重，強調(diào)了風險的識別的前提作用，都提出要實現(xiàn)職責分離、權(quán)力制衡；兩大控制理論在提出監(jiān)督評審活動的同時，也提出要糾正內(nèi)部控制的缺陷，強調(diào)了內(nèi)控系統(tǒng)本身的自我修復和自我進化功能，豐富了內(nèi)部控制的內(nèi)涵。COSO的《整體框架》和BASEL《系統(tǒng)框架》突出了銀行高級領(lǐng)導層在構(gòu)建風險文化以及建設良好內(nèi)部控制生態(tài)環(huán)境中的重要職責（見表2）。

表2 三大組織內(nèi)控報告中內(nèi)控系統(tǒng)構(gòu)成要素的比較

（3）內(nèi)部控制與管理活動關(guān)系比較。三大理論認為商業(yè)銀行的內(nèi)部活動一般分成以下幾種：設立總體目標、制定戰(zhàn)略計劃、確認內(nèi)部控制環(huán)境因素、確認業(yè)務活動目標、風險識別、風險管理活動、實施控制措施、處理與傳遞信息、監(jiān)督與評審、糾正缺陷。

三大控制理論的涵蓋范圍基本一致，同COSO委員會《內(nèi)部控制整體框架》相比，BASEL《內(nèi)部控制系統(tǒng)框架》和我國人行《商業(yè)銀行內(nèi)部控制指引》將戰(zhàn)略計劃、風險管理活動和內(nèi)部控制缺陷的糾正也納入到了內(nèi)部控制系統(tǒng)中，包含的內(nèi)容更加廣泛，內(nèi)控體系更加完整。

三、組織決策理論

操作風險主要是由內(nèi)部因素引起的，包括人的因素、制度因素、技術(shù)因素等，但主要是人的因素，因此需要從人的行為科學角度去闡釋操作風險。西蒙認為管理即決策，決策貫穿管理的全過程，是管理的核心。對操作風險如何進行有效的管理實質(zhì)上是現(xiàn)代商業(yè)銀行經(jīng)營管理的一個決策過程，西蒙的組織決策理論對于操作風險管理具有重要的指導意義，該理論已被成功地用于解釋和預測各方面的活動，成為現(xiàn)代管理理論叢林中的一個重要分支。

（一）操作風險的界定

目前學術(shù)界對操作風險的界定與定義一直有不同意見，不少銀行仍沿用對市場風險和信用風險的界定方法和管理控制模式對操作風險進行定義。其實，可以另辟奇徑，借鑒組織決策理論中的程序化決策對操作風險進行界定，從而明確風險管理目標，達到有效管理操作風險的目的。按照決策過程中涵蓋的銀行內(nèi)部操作流程，徐學鋒（2009）把所有的操作風險分成17種，主要有：控制性風險、流程風險、名譽風險、人力資源風險、法律風險、收購風險、營銷風險、系統(tǒng)風險、技術(shù)風險、稅收變更風險、監(jiān)管變更風險、營運能力風險、項目風險、安全性風險、供應商風險、自然災害風險、人為災害風險等[8]。

（二）操作風險的分析和度量

組織決策理論認為，組織決策并不是完全理性的決策，需要一定程度的主觀判斷，而這種判斷是在有限理性條件下進行的，這種“有限決策”、“滿意解”和決策過程理論，為商業(yè)銀行操作風險的定性分析提供了理論基礎(chǔ)。

西蒙把組織決策分成程序化決策和非程序化決策，可以依據(jù)兩種決策的不同特點對操作風險進行定性分析和定量分析相結(jié)合。對程序化決策這種經(jīng)常性的企業(yè)管理活動，可以運用定性的方法對操作風險進行界定、識別、評估，從而做出決策進行檢查和控制，直至化解風險；非程序化決策主要指的是非經(jīng)常性的企業(yè)管理活動，可以運用定量分析的方法測量，如利用概率模型和計量模型分析測量商業(yè)銀行操作風險爆發(fā)的頻度、損失的概率等，在此基礎(chǔ)上，確定如何化解或減少損失，或者準確估算風險資本的準備。

（三）操作風險管理政策制定

在決策的過程上，西蒙提出了系統(tǒng)決策的四個基本要素：決策者、決策目標、決策變量和狀態(tài)變量。在企業(yè)管理決策中，一般以最佳損益值為決策目標；決策變量即決策者可能采取的各種行動方案，可以人為調(diào)節(jié)，又稱可控因素；狀態(tài)變量是指決策者在決策時面臨的各種自然狀態(tài)，難以被人為控制，但人們可以推測其可能發(fā)生的概率，稱作不可控因素。決策準確與否，主要取決于四個方面的因素：決策信息完備程度、決策者對未來可能發(fā)生的狀態(tài)的了解程度、使用的決策方法科學合理程度、決策變量和狀態(tài)變量的準確程度。操作風險管理過程中，我們要從這四個方面出發(fā)，既要重視數(shù)學模型、現(xiàn)代計算技術(shù)等定量分析方法，又要重視心理、人際關(guān)系、社會環(huán)境等社會因素所起的作用。

在決策標準上，組織決策理論主張用“令人滿意標準”代替“最優(yōu)標準”。西蒙認為人并非完全理性，難以做出最優(yōu)決策。在實際決策中，要盡可能地考慮各種復雜情況，按照“令人滿意”的決策準則，做出令人滿意的決策。在操作風險管理的決策中也是如此，要綜合考慮銀行運營狀況，實現(xiàn)操作風險管理的價值，在控制風險和收益之間實現(xiàn)平衡，取得“令人滿意的結(jié)果”。

在決策的分類上，西蒙根據(jù)其活動是否反復出現(xiàn)可分為程序化決策和非程序決策。可以對經(jīng)常性活動的決策程序化，以有效降低決策成本；只對非經(jīng)常性活動進行非程序化的決策。基于這種認識，商業(yè)銀行應當夯實基礎(chǔ)管理，完善操作風險管理IT系統(tǒng)，以信息化固化流程管理，建立覆蓋全行各條線、各分行的操作風險信息管理體系，促使經(jīng)常性活動決策的程序化，在確保業(yè)務運營的基礎(chǔ)上行減少非程序化決策，降低決策成本。

四、公司治理理論

與市場風險和信用風險不同，商業(yè)銀行操作風險難以預測和度量，其影響因素廣泛地分散在銀行各項業(yè)務之中，涵蓋的業(yè)務廣泛、形成原因復雜、風險無法預測、損失大小不易確定。要從公司治理的角度，健全治理結(jié)構(gòu)，協(xié)調(diào)好各方利益關(guān)系和激勵機制，從根本上防范操作風險。

公司治理是現(xiàn)代企業(yè)制度最重要的架構(gòu)，錢穎一（1995）認為，公司治理是一套用來支配企業(yè)中重大利害關(guān)系的團體制度安排，處理投資者、經(jīng)理和工人的關(guān)系，實現(xiàn)各自的利益。公司治理結(jié)構(gòu)主要內(nèi)容有：如何配置和行使控制權(quán)；如何監(jiān)督和評價董事會、經(jīng)理人員和職工；如何設計和實施激勵機制[9]。

公司治理是一個多重概念，有狹義和廣義之分，狹義的公司治理是指所有者對經(jīng)營者的一種監(jiān)督與制衡機制，主要是通過股東大會、董事會和監(jiān)事會以及管理層所構(gòu)成的內(nèi)部治理來分配所有者、經(jīng)營者之間的權(quán)利和責任。廣義的公司治理是指用來協(xié)調(diào)公司與所有利益相關(guān)者之間關(guān)系，以保證公司決策科學化，從而維護公司各方面利益的正式或非正式的、內(nèi)部或外部的一套制度或機制。廣義的公司治理涉及的利益相關(guān)群體涵蓋了雇員、股東、債權(quán)人、供應商、政府和社區(qū)等，不僅僅局限于以治理結(jié)構(gòu)為基礎(chǔ)的內(nèi)部治理，而是包括了內(nèi)部和外部機制的共同治理；治理的目標超越了傳統(tǒng)的“股東利益的最大化”目標，而是通過保證公司決策的科學合理性，從而確保利益相關(guān)群體的利益最大化[10]。

隨著公司治理理論和實踐的發(fā)展，廣義上的公司治理越來越得到重視和應用，理解廣義的公司治理要從兩個角度去理解和把握[10]。一是公司治理要從權(quán)利制衡到科學決策。衡量公司治理水平高低的標準是確保公司高效運營，而科學決策是前提。制衡不是目的而是手段，公司治理不能為了制衡而制衡，而是要以科學決策為中心。二是從治理結(jié)構(gòu)到治理機制。傳統(tǒng)的公司治理大都停留在公司治理結(jié)構(gòu)的研究層面，主要研究分權(quán)與制衡。但從如何提高決策科學性的角度而言，公司治理就需要超越內(nèi)部治理結(jié)構(gòu)的治理機制，涵蓋內(nèi)部治理和外部治理。

為了規(guī)范商業(yè)銀行的公司治理，經(jīng)濟合作發(fā)展組織（OECD）、巴塞爾銀行監(jiān)督委員會（BCBS）分別在1999年推出了《OECD公司治理原則》和《加強銀行公司治理的報告》，2002年中國人民銀行出臺了《股份制商業(yè)銀行公司治理指引》。三者在公司治理上的原則和主要內(nèi)容對比見表3。

表3 公司治理原則和內(nèi)容相關(guān)不同規(guī)定的比較

公司治理理論對于商業(yè)銀行的操作風險管理具有重要指導意義，公司治理一方面可以激勵董事會和管理層實現(xiàn)公司利益相關(guān)者的利益最大化；另一方面，也起到監(jiān)督作用，從而使企業(yè)更有效地利用資源，防范操作風險。

[1]潘建國，張維．商業(yè)銀行操作風險管理研究述評[J].金融論壇，2006，（8）：59-63.

[2]British Bankers'Association.Operational Risk Management Survey[EB/OL].[2011-05-18].http://www.bba.org.uk/bba/.

[3]R Kennett.如何建立有效的操作風險管理框架[M]//Robert Hubner.金融機構(gòu)操作風險新論.李雪蓮，譯.天津：南開大學出版社，2005.

[4]Michael Haubenstock.操作風險管理框架[M]//Carol Alexan?der.商業(yè)銀行操作風險.陳林龍，等譯.北京：中國金融出版社，2005.

[5]曲紹強.我國商業(yè)銀行操作風險管理[M].北京：中國財政經(jīng)濟出版社，2009：73-76.

[6]儲稀梁.COSO內(nèi)部控制整體框架背景、內(nèi)容、理論貢獻與啟示[J].金融會計，2004，（6）：14-16.

[7]蔣建華.商業(yè)銀行內(nèi)部控制與稽核[M].北京：北京大學出版社，2003.

[8]徐學鋒.商業(yè)銀行操作風險管理新論[M].北京：中國金融出版社，2009：49-57.

[9]青木昌彥，錢穎一.轉(zhuǎn)軌經(jīng)濟中的公司治理結(jié)構(gòu)[M].北京：中國經(jīng)濟出版社，1995.

[10]汪萍.論公司治理結(jié)構(gòu)[EB/OL].[2011-05-06].http://www.cg.org.cn/.