操作风险是指由于信息系统或内部控制缺陷导致意外损失的风险。引起操作风险的原因包括: 人为错误、电脑系统故障、工作程序和内部控制不当，等等。

简介

巴塞尔银行监管委员会对操作风险的正式定义是：操作风险是指由于不完善或有问题的内部操作过程、人员、系统或外部事件而导致的直接或间接损失的风险。 这一定义包含了法律风险，但是不包含策略性风险和声誉风险。

定义

英国银行家协会(British Banker Association, BBA，1997)最早给出了操作风险的定义，他们认为：操作风险与人为失误、不完备的程序控制、欺诈和犯罪活动相联系，它是由技术缺陷和系统崩溃引起的。经过广泛的讨论和争论，1998年5月，IBM(英国)公司发起设立了第一个行业先进思想管理论坛----操作风险论坛，在这个论坛上，将操作风险定义为：操作风险是遭受潜在损失的可能，是指由于客户、设计不当的控制体系、控制系统失灵以及不可控事件导致的各类风险。损失可能来自于内部或外部事件、宏观趋势以及不能为公司决策机构和内部控制体系、信息系统、行政机构组织、道德准则或其他主要控制手段和标准所洞悉并组织的变动。它不包括已经存在的其他风险种类如市场风险、信用风险及决策风险。通过这次会议，上述结论性的定义开始为多数银行所接受。巴塞尔委员会关于操作风险的定义也是建立在这个基础之上的。

根据《巴塞尔新资本协议》，操作风险可以分为由人员、系统、流程和外部事件所引发的四类风险，并由此分为七种表现形式：内部欺诈，外部欺诈，聘用员工做法和工作场所安全性，客户、产品及业务做法，实物资产损坏，业务中断和系统失灵，交割及流程管理。

操作风险受到国际银行业界的高度重视。这主要是因为，银行机构越来越庞大，它们的产品越来越多样化和复杂化，银行业务对以计算机为代表的IT技术的高度依赖，还有金融业和金融市场的全球化的趋势，使得一些“操作”上的失误，可能带来很大的甚至是极其严重的后果。过去一二十年里，这方面已经有许多惨痛的教训。巴林银行的倒闭就是一个令人怵目惊心的例子。

风险概述

在不少金融机构中,操作风险导致的损失已经明显大于市场风险和信用风险。因此，国际金融界和监管组织开始致力于操作风险管理技术、方法和组织框架的探索与构建，已取得了明显的进展。但是，从国内银行业情况来看,对操作风险的认识和管理还停留在比较肤浅的层次，监管当局关注的焦点一直定位在信用风险领域，监管资源过分倾斜于银行不良资产的处置，以至于银行操作风险近些年呈持续上升趋势。

因此，关注操作风险已成为我国商业银行不可回避的话题，操作风险是当前银行业风险管理的重中之重，银行职员操作权归属不清是操作风险产生的根源，整合IT平台清晰界定操作权是国有商业银行的当务之急。

一、操作风险

加大改革力度

1、建立完善的公司法人治理结构。我国商业银行要建立规范的股东大会、董事会、监事会制度，设立独立董事，构建以股东大会－董事会－监事会－行长经营层之间的权力划分和权力制衡有效结构，通过高级管理层权力制衡，抑制“内部人”控制、“道德风险”的发生。

2、按照“机构扁平化、业务垂直化”的要求，推进管理架构和业务流程再造，从根本上解决操作风险的控制问题。

3、改革考核考评办法。正确引导分支机构在调整结构和防范风险的基础上提高经营效益，防止重规模轻效益。要合理确定任务指标，把风险及内控管理纳入考核体系，切实加强和改善银行审慎经营和管理，严防操作风险。不能制定容易引发偏离既定经营目标或违规经营的激励机制。

不断完善内部控制制度

商业银行在坚持过去行之有效的内部控制制度的同时，要把握形势，紧贴业务，不断研究新的操作风险控制点，完善内部控制制度，及时有效地评估并控制可能出现的操作风险，把各种安全隐患消除在萌芽状态。

当前，重点要在以下七个方面完善内部控制制度：一是建立相应的授权体系，实行统一法人管理和法人授权；二是建立必要的职责分离，以及横向与纵向相互监督制约关系的制度；三是明确关键岗位、特殊岗位、不相容岗位及其控制要求；四是对于重要活动应实施连续记录和监督检查；五是对于产品、组织结构、流程、计算机系统的设计过程，应建立有效的控制程序；六是建立信息安全管理体系，对硬件、操作系统和应用程序、数据和操作环境，以及设计、采购、安全和使用实施控制；七是建立并保持应急预案和程序，确保业务持续开展。

全面落实操作风险管理责任制

首先，要通过层层签订防范操作风险责任合同，使风险防范责任目标与员工个人利益直接挂钩，形成各级行一把手负总责，分管领导直接负责，相关部门各司其职、各负其责，一线员工积极参与的大防范工作格局。其次，要真正落实问责制。要明确各级管理者及每位操作人员在防范操作风险中的权力与责任，并进行责任公示。今后银行发生大案，既要有人及时问责，又要深入追查事件责任人。对出现大案、要案，或措施不得力的，要从严追究高管人员和直接责任人的责任，并相应追究检查部门、审计部门及人员对检查发现的问题隐瞒不报、上报虚假情况或检查监督整改不力的责任。

切实改进操作风险管理方法

1、不断摸索，逐步完善操作风险计量方法。虽然对操作风险的计量还没有一个十分完善的方法，但是随着商业银行全面风险管理的深入开展，准确计量操作风险并计提准备金是一个必然的发展趋势。

2、加强信息技术应用。在数据大集中的进程中，要加强业务系统操作平台建设，全面查找设计上的漏洞，完善系统软件。

3、建立健全操作风险识别和评估体系。要借鉴国际先进经验并运用现代科技手段，逐步建立覆盖所有业务类别操作风险的监控、评价和预警系统，识别和评估所有当前和未来潜在的操作风险及其性质。

4、建立和完善内部信息交流制度。针对多发的管理人员带头实施违规，强迫命令下属违规操作，形成案件和资金风险的问题，银行要建立和完善员工举报制度，依靠和发动一线员工，鼓励检举违法违规问题，坚决遏制各类案件特别是大案要案的高发势头。

加强人员管理

一是要牢固树立以人为本的经营思想，充分发动和依靠广大员工抓好操作风险管理工作。

二是加强思想政治教育。要深入开展矛盾纠纷和不安定因素排查化解工作，多方面、多层次将矛盾纠纷和不安定因素化解在单位内部和萌芽状态。

三是加强风险意识教育。要坚持不懈地进行安全角势教育、典型案例教育、规章制度教育，提高全行员工安全防范意识和遵纪守法观念。

四是要及时、深入了解重要岗位人员工作、生活情况，掌握思想和行为变化动态，对行为失范的员工要及时进行教育疏导和诫免谈话，情节严重的，要严肃处理。

二、主要原因

1、公司治理结构不健全。一是所有者虚位，导致对代理人监督不够。二是内部制衡机制不完善。董事会、监事会、经营管理层之间的制衡机制还未真正建立起来。三是存在“内部人”控制现象。由于国有商业银行所有者虚位，很容易导致银行高管人员利用政府产权上的弱控制而形成事实上的“内部人”控制，进行违法违纪活动。四是内部控制能力逐级衰减。国有商业银行的“五级”直线式管理架构，由于内部管理链条过长，信息交流不对称，按照“变压器”原理，总行对分支机构的控制力层层衰减，管理漏洞比较多。

2、内控制度建设尚不完备。一是没有形成系统的内部控制制度，控制不足与控制分散并存，业务开拓与内控制度建设缺乏同步性，特别是新业务的开展缺乏必要的制度保障，风险较大。二是内控制度的整体性不够。对所属分支机构控制不力，对决策管理层缺乏有效的监督。对业务人员监督得多，而对各级管理人员监督得较少、制约力不强。三是内控制度的权威性不强。审计资源配置效率低下，稽核审计职能和权威性没有充分发挥，内部审计部门没有完全起到查错防漏、控制操作风险的作用。

3、风险管理方法落后，信息技术的运用严重滞后。

4、员工队伍管理不到位。银行管理人员在日常工作中重业务开拓，轻队伍建设；重员工使用，轻员工管理，对员工思想动态掌握不够，加之举报机制不健全，使本来可以超前防范的操作风险不能及时发现和制止。

5、与风险控制有冲突的考核激励政策容易诱导操作风险。

6、社会转型及银行变革容易引发操作风险。当前社会治安形势仍然严峻，针对银行的抢劫、诈骗、盗窃等犯罪时有发生。从银行内部来看，国有银行正在进行股改，伴随机构撤并，也带来了大量富余人员消化问题，并导致各种矛盾的尖锐化。

类型特点

一、类型：

内部欺诈

有机构内部人员参与的诈骗、盗用资产、违犯法律以及公司的规章制度的行为。

外部欺诈

第三方的诈骗、盗用资产、违犯法律的行为。

风险事件

由于不履行合同，或者不符合劳动健康、安全法规所引起的赔偿要求。

客户、产品以及商业行为引起的事件

有意或无意造成的无法满足某一顾客的特定需求,或者是由于产品的性质、设计问题造成的失误。

有形资产的损失

由于灾难性事件或其他事件引起的有形资产的损坏或损失。

经营中断和系统出错

例如，软件或者硬件错误、通信问题以及设备老化。

涉及执行、交割以及交易过程的

例如，交易失败、与合作伙伴的合作失败、交易数据输入错误、不完备的法律文件、未经批准访问客户账户，以及卖方纠纷等。

二、特点：

与信用风险、市场风险相比，操作风险具有以下特点：

（1）操作风险中的风险因素很大比例上来源于银行的业务操作,属于银行可控范围内的内生风险。单个操作风险因素与操作损失之间并不存在清晰的、可以界定的数量关系。

（2）从覆盖范围看,操作风险管理几乎覆盖了银行经营管理所有方面的不同风险。既包括发生频率高、但损失相对较低的日常业务流程处理上的小纰漏，也包括发生频率低、但一旦发生就会造成极大损失,甚至危及到银行存亡的自然灾害、大规模舞弊等。因此,试图用一种方法来覆盖操作风险的所有领域几乎是不可能的。

（3）对于信用风险和市场风险而言，风险与报酬存在一一映射关系，但这种关系并不一定适用于操作风险。

（4）业务规模大、交易量大、结构变化迅速的业务领域，受操作风险冲击的可能性最大。

（5）操作风险是一个涉及面非常广的范畴，操作风险管理几乎涉及银行内部的所有部门。因此，操作风险管理不仅仅是风险管理部门和内部审计部门的事情。

目前我国商业银行操作风险主要特征

国内有人对我国的操作风险进行了实证分析。根据研究结果，我国商业银行操作风险的主要特征大概可以总结为：

（1）损失事件主要集中在商业银行业务和零售银行业务,主要可以归因于内部欺诈、外部欺诈,占到损失事件比例最大的是商业银行业务中的内部欺诈。

（2）单笔损失金额的均值相差很大，在度量操作风险时,应该分别考虑每个业务部门和每个风险事件组合下的损失分布情况。

（3）损失事件的多少与银行的总资产规模成正相关，但损失金额多少与总资产没有明显的相关性。

（4）从损失事件数目和损失金额的地区分布看，操作风险不一定发生在经济发达的分支机构,但是肯定会发生在管理薄弱、风险控制意识不强的地区。

图书信息

基本信息

书 名: 操作风险

作　者：(美国)安娜·彻诺拜 (美国)法兰克.法伯兹

出版社：东北财经大学出版社

出版时间： 2010年01月

ISBN: 9787811229004

开本： 16开

定价: 36.00 元

内容简介

《操作风险:新巴塞尔协议资本要求、模型与分析指南》内容简介：尽管操作风险一直被视为“其他”风险中的一部分——在信用风险和市场风险领域之外——然而它已迅速占领金融领域的最前沿。事实上，随着新巴塞尔资本协议的逐步执行，诸多金融专家，以及准备步入该领域的其他人士现在起必须熟知有关操作风险建模与管理的诸多事项。

由安娜·彻诺拜、斯维特洛扎·维特夫以及法兰克·法伯兹所组成的经验团队所著的《操作风险——新巴塞尔协议资本要求、模型与分析指南》将为您介绍与该协议有关的核心概念。该综合性指南以具有深刻的洞察力、专业性建议以及革新性研究而著称，它不仅呈现给读者有关操作风险的大量信息，还提供诸多案例以加深对所讨论问题的理解。

包括如下主题：

存在于操作风险建模领域的主要挑战

用于构建操作风险模型的诸多方法

在险价值及其在操作风险量化和管理方面的作用

新巴塞尔资本协议的三支柱结构

作者简介

安娜·彻诺拜

博士，美国纽约雪城大学马丁·惠特曼管理学院金融学副教授。其研究重点正是操作风险管理。

斯维特洛扎·维特夫

博士，德国卡尔斯鲁厄大学经济与商业工程学院的讲座教授，加州大学圣巴巴拉分校的荣誉教授以及FinAnalytica公司的首席科学家。

法兰克·法伯兹

博士，·注册金融分析师，耶鲁大学管理学院讲授金融实践方向的教授以及《投资组合管理杂志》主编。

图书目录

第1章 操作风险不仅仅是“其他”风险

第2章 操作风险：定义、分类及其在其他风险中的地位

第3章 新巴塞尔资本协议

第4章 操作风险建模中所面临的主要挑战

第5章 频率分布

第6章 损失分布

第7章 α-稳定分布

第8章 极值理论

第9章 截尾分布

第10章拟合优度检验

第11章 在险价值

第12章 稳健性建模

第13章 模型相关性

后记

……