淺談銀行操作風險的管理模式

牟占冬

【摘要】銀行操作風險會為銀行帶來巨大的損失，有必要采取有效的管理模式對其加以管控。在這種背景下，本文首先概述了強化銀行操作風險管理的意義，進而從組織模式與流程模式兩個方面著手，分析了銀行操作風險管理模式創新的關鍵內容。

【關鍵詞】銀行 操作風險 管理模式

一、強化銀行操作風險管理的意義

銀行所有交易及業務活動都存在操作風險。根據巴塞爾委員會的觀點，操作風險的定義是：因內部程序、人員及操作系統的不足或缺陷，或因外在事件而導致虧損的風險。這個定義包括法律風險，但不包括策略及信譽風險。過往幾年，操作風險越來越受關注，原因包括如下方面：銀行越來越倚賴日趨復雜的自動化技術；開發日趨復雜的產品；參與大型的合并及收購活動；進行整合及內部重組；采用某些技術（如抵押、信用衍生產品、凈額結算及資產證券化等）以減低風險，但這個舉動卻也可能會導致其他風險（如法律風險）。當前很多銀行由于未能實施妥善的程序以控制操作風險，蒙受了重大的操作虧損。

總體而言，隨著金融自由化、全球化趨勢的發展，銀行業務日漸多元與復雜，加以自動化信息科技與電子商務的大幅應用、大規模并購與策略聯盟的發展，及風險沖抵技術與委外作業比重的提高，銀行發生操作風險的可能性與威脅性與日俱增。根據美國操作風險公司（Operational Risk Inc.）的研究指出，自1980年以來，銀行在操作風險上的損失已超過2000億美元，著名案例包括英國巴林銀行李森事件等。歸納其原由，不外乎是內部詐欺、外部詐欺、作業流程失誤、系統管控不良、或疏于控管委外作業等因素造成，因此，銀行須以更宏觀、積極的態度來面對及管理操作風險。

二、銀行操作風險管理的組織模式

合適的操作風險管理架構應具備以下元素：組織架構；人員職責；風險文化三大方面內容。

（一）管理的組織架構

操作風險管理組織與架構包括如下內容：一是高層管理部門，負責核定操作風險管理政策；二是內審部門，負責定期查核各單位操作風險管理機制的有效性；三是風控部門，負責擬訂操作風險管理政策及目標，設計及導入操作風險評估及管理機制，定期匯總報告操作風險損失情形；四是各業務主管單位，負責辨識操作風險，制訂各項業務管理規章及作業規范以建立控管機制；五是全行各單位，依據各項控管機制操作各項業務，定期開展自查、操作風險自我評估，報告損失事件。

（二）人員的職責

管理人員負責日常管理及報告其業務單位特有的操作風險。他們必須確保其業務單位的內部管控及做法與銀行管理整個銀行的操作風險的整體政策及程序一致。他們應確保就有關業務備有特定政策、程序及人員，以管理所有重要產品、活動及程序的操作風險。每個業務單位推行的操作風險管理架構應反映其業務范疇，以及其固有的操作的復雜性及操作風險狀況。業務單位管理人員必須與銀行的整體操作風險管理職能保持獨立。為促進各業務單位管理操作風險，根據良好的做法，業務單位應有專責的操作風險管理人員。這些人員通常都有兩條的報告路線。一方面他們在其部門內有直接的報告關系，另一方面他們又與高層風險管理職能緊密合作，確保政策與工具保持一致，并報告成效與問題。他們的責任可能包括制定風險指標、厘清觸發需要升級處理風險的事項，以及提供管理報告。

另外，風險管理人員還應當肩負內部審核的職責。內部審核應提供對操作風險管理架構的獨立評估，包括操作風險管理職能的運作情況。因此，內部審核不應有直接的操作風險管理責任。銀行的審核所涵蓋的范圍應足以核實在整個銀行內，操作風險管理政策及程序都得到有效實施。

（三）風險文化

一個成功的操作風險管理架構，尤其是架構內的程序的成效，有賴于良好的風險文化。銀行的風險文化包括其員工對風險的一般意識、態度及行為，以及銀行內的風險管理。構成良好的風險文化的因素包括：一是銀行的業務目標及承受風險的能力、操作風險管理架構以及實施該架構的有關職責與責任必須清晰傳達予各級員工，員工也應了解他們在操作風險管理方面的責任。二是高級管理人員必須持續參與整個風險管理程序，并向整個銀行傳達一致的信息，即通過行動與說話全力支持銀行的風險管理架構。三是高級管理人員向銀行各級員工傳達的文化，應強調高水平的道德行為標準。為此，銀行可采納行為守則，并在遵行有關守則方面，管理人員應以身作則。四是銀行的業務及風險管理活動必須由合資格的員工執行，這些員工應具備必需的經驗、技術能力及獲取足夠資源。五是銀行的薪酬政策必須與其承受風險的能力相符。對表現的獎勵應顧及風險管理因素，而且有關制度的設計不應鼓勵員工采用與期望的風險管理價值觀相反的方式運作。六是銀行必須營造適當環境，讓員工可公開提出操作風險的問題而不用擔心會帶來不良后果。

三、銀行操作風險管理的流程模式

（一）風險識別及評估

為能更深入了解其操作風險狀況，及有效調配風險管理資源，銀行應盡可能識別所承受的操作風險類別，并評估銀行受這些風險影響的可能性及程度。銀行應根據本身對操作風險的定義及分類，識別及評估所有現有或新的主要產品、活動、程序及操作系統的固有操作風險。有效的風險識別及評估程序是其后制定可行的操作風險監督及管控制度的關鍵。識別及評估操作風險的工具包括如下類型：一是自我或風險評估──銀行根據一個潛在風險清單評估其操作及活動。這個程序是由內部發起，通常結合核對清單及/或研討會來識辨操作風險環境的優勢及弱點。二是風險圖表──在這個程序中，各業務單位、銀行職能或工作流程會按不同的風險類別標出。這個程序可突顯有問題的地方，有助安排其后的管理行動的先后次序。三是風險指標──風險指標是指統計數據及/或矩陣（通常是財政方面的），它們有助于解銀行的風險狀況。銀行應定期（例如每季或每月）分析這些指標，及時發現一些轉變可能帶來的風險。這些指標包括未能完成的交易宗數、員工流失率及失誤與遺漏的次數及/或嚴重程度。

（二）操作風險管理策略與流程

一是策略，包括：設立有效的控制架構及制訂各層級的內控程序；加強員工制度及業務培訓；強化作業流程的控管；通過內部和外部檢查監督與跟蹤措施，降低全行操作風險損失。二是流程，包括：新產品或新業務上市前需進行風險識別與評估、適應性分析及信息作業系統的規劃，新產品或新業務并應按照規章進行審議；制訂業務管理規章、操作規范，并構建信息系統，供員工即時查詢，作為執行業務的依據；關注操作風險自評，以識別及評估操作風險暴險程度，強化風險管理意識，改善現行控管機制；開展自查以了解各業務控管機制落實情形，即時改進缺失；依照相關資本協定規范。

（三）操作風險報告與評價系統

一是銀行應定期將操作風險自我評估結果、操作風險損失事件發生情形、制度執行情況、各項檢查情況向管理層提出報告；二是銀行應操作風險損失事件報告、制度執行及內部審計制度的實施涵蓋全行各單位，自查制度則應由各營業單位辦理；三是各單位發現問題，及時進行改善與糾正，并應由主管部門跟蹤辦理；四是銀行應根據各單位、部門每年度開展的操作風險自評信息，衡量自身操作風險暴險程度，并依據各單位提出的建議，研究改善現行控管機制，以期防范操作風險發生。

四、小結

總體而言，有效管理操作風險的重要手段是完善內部控制，正如巴塞爾委員會在《關于操作風險管理的報告》中指出：“內部控制是操作風險管理的重要工具，絕大多數操作風險事件都與內控漏洞或者與不符合內控程序有關。”歷史經驗表明，流動性緊縮壓力下，存款市場競爭的加劇將可能使得銀行放松內部控制，因此銀行內控工作一定要未雨綢繆，警鐘長鳴，超前防范。

參考文獻

[1]楊國梁.國內外商業銀行操作風險管理實踐探討[J].國際金融研究.2007（12）.

[2]王寧，王梅.我國商業銀行操作風險管理對策研究[J].河北企業.2006（12）.