操作风险管理汇总十篇

序论：好文章的创作是一个不断探索和完善的过程，我们为您推荐十篇操作风险管理范例，希望它们能助您一臂之力，提升您的阅读品质，带来更深刻的阅读感受。

篇（1）

1、监督检查不到位。管理层检查流于形式，没有查出或纠正操作中存在的问题。一是各种类型的检查太多太杂，基层行、网点疲于应付；二是检查从内容、方式方法、操作程序、整改到处理都不够规范，存在很大的随意性；三是检查人员大多是从各行临时抽调，素质、业务水平参差不齐，检查没有权威性，无法真正达到检查、整改的效果。

2、业务培训不到位。由于部分柜员素质达不到要求，又未及时参加新业务培训，造成操作人员对新业务不熟悉，潜藏着风险隐患。’

3、制度执行不到位。制度是员工行为的准则和业务操作的规范，一切活动都要严格按照制度的规定执行。但是不少员工缺乏遵守制度的观念和风险防范意识，往往有章不循、麻痹大意，加大了操作风险。

4、对操作风险重视不够。部分员工风险意识淡薄，缺乏对操作风险的足够认识。

5、思想教育不到位。在少数基层行，教育说起来重要，抓起来热闹，往往停留在表面，没有真正深入下去，对职工的思想政治工作缺乏针对性和有效性，尤其对职工“八小时”以外的活动失去控制。有的明明知道有不良表现，但就是没人去管。

6、短期行为严重。许多营业机构目光局限于完成考核任务，甚至不惜冒着违规操作的风险以实现短期业绩。许多员工在操作岗位，却被迫承担了大量营销任务。

制度本身存在一些问题。管理行没有对现行制度定期进行整合，致使有些制度不够精细、有些制度过于理想化、有些制度没有与业务发展同步修订，从而使制度可操作性差，某些关键控制点的规定存在遗漏，制度之间不能很好地衔接，甚至有的规定相互矛盾等。

缺乏保证制度执行的机制。一些单位对内部控制执行情况既没有检查监督，又没有相应的奖惩措施，内部控制制度成为墙上摆设和—纸空文。

构筑操作风险管理长效机制

实践证明，应加快构筑操作风险管理长效机制。风险控制和商业银行自身发展密不可分，贯穿于银行经营管理的全过程，只要是与人员相关的业务，都存在着操作风险。同时，随着金融体制改革的深化和金融市场开放程度的不断提高，我们面临的风险也将与日俱增。未来的竞争，其核心是风险管理水平的竞争，操作风险更是首位。要防范和化解操作风险点，就必须去认识、研究。要抓住风险点，逐个剖析，搞清原因，采取措施，对症下药。因此，构筑操作风险管理长效机制非常重要。

加强对操作风险的前瞻性研究。银行操作风险具有隐蔽性、智能性、职务性、突发性和破坏性。隐蔽时使人不知不觉，突发时让人措手不及。要掌握其分布状态、特征及走向，经常深入基层调查研究，听取：—线员工意见，分析风险要害点，定期交流情况。特别是对新业务、新产品的管理要加强研究，找出隐患，分析原因，更新技术，完善制度，总结经验。

加强对权力的制约和监督。对于管理高层：一是实行职权的分解，避免形成大权独揽和越权、专权；建立和完善决策机制，对重要干部的任免、重要业务的决策和大额资金的运用要通过科学的论证、集体决策；二是健全民主监督制度，明确同级监督的权利和程序，建立健全民主评议、职工参与管理的民；主监督机制；三是实行权力的公开，提高权力运行的透明度，使权力在行使的过程中得到广泛的监督。

对基层管理者：一是严把选拔关，二是按照规定进行交流、轮换，预防违纪违法行为和团体欺骗行为的发生。

建立和规范操作流程。要逐步建立一套有效的风险控制制度体系，如激励机制和风险控制奖惩制度等，并定期考评。同时把各项制度绘制成清晰的工作流程图，让每个人都能一目了然地知道办事程序，能够将工作形成的好经验固化下来，并且通过流程图能比较容易发现内部控制中的不足之处和风险点，从而有助于内部控制的持续改进。

篇（2）

中图分类号：F27 文献标识码：A

收录日期：2012年2月2日

《巴塞尔新资本协议》将金融机构面临的风险概况为三大类：信用风险、市场风险和操作风险。其中，操作风险被定义为由于不正确的内部操作流程、人员、系统或外部事件所导致的直接或间接损失的风险。这一定义同样适用于保险业。2007年11月中国人寿湖南宜章县支公司某位“业务明星”通过伪造收据、保单等骗取挪用公司保费1，500万元，成为保险业有史以来最大的营销员骗保案；同年，保监会查处新华人寿泰州支公司某副总在任职期间，利用职务之便，通过拼凑团单并截留保费，挪用退保资金，仅2003～2006年期间，涉及资金约达7，500万元左右，被骗客户约2，000人。以上案件的发生，都是由于保险公司内部的操作风险控制薄弱引起的，这不仅给公司造成了巨大的经济损失，同时也给公司的声誉带来了不良影响。

一、保险业操作风险管理现状

（一）保险公司对操作风险的认识不足，且管理水平较低。目前，我国保险业整体还处于粗放型经营，仍以保费收入作为经营业绩的主要指标。保险企业对操作风险的认识不足，对操作风险管理的制度建设不够重视，有些制度的建立只是流于形式，不切实际且针对性差，不能对关键岗位起到监督作用。

保险企业对操作风险的管理水平偏低，缺乏有效的技术手段以及防范和控制措施。对操作风险的评估目前只限于用定性的方法，主观性较强。较之利用金融工程和统计模型对风险进行识别、度量和检测的方法来说比较落后。而且目前对操作风险的管理多为事后控制，缺少积极主动的防范机制，不能从根本上防范重大操作风险的发生。

（二）保险业经营注重业务量的增长，对风险管理重视不够。一直以来，我国保险业的发展都是重保费、轻管理。各保险企业在发展方向上，更注重保费增加的规模和速度，强调业务的增长量，而忽视对业务质量的管理。而且保险法规和监管部门对保费的过分强调也使得各保险企业将保费规模作为主要经营目标，过分地追逐保费的提高必然会导致业务质量的下降，从而导致风险因素的增加。在激烈的市场竞争中，以低价进行恶性竞争，盲目承保、劣质承保的事件屡禁不止。在发展的战略方针上，一些保险企业存在经营决策的短期行为，不重视公司的长远发展战略，从而忽视了对影响公司长远发展的风险因素的管理。

（三）缺乏操作风险管理的企业环境和相关管理人才。保险公司的操作风险包括在经营中存在的资金运用、核保核赔、从业人员和保险人以及法律风险等。其涉及到保险公司的各个岗位和各个环节，一个有效的操作风险管理制度的建立要求操作风险管理意识能够渗透到公司每个员工的日常经营活动中。然而，受保险业多年来粗放式经营的影响，从公司管理层到一般员工都相对缺乏操作风险的意识，缺乏对操作风险管理和防范的理念。由于我国风险管理理论发展滞后，风险管理人才严重不足。尤其操作风险的综合性更需要一些既懂风险管理理论又懂公司管理同时又熟悉保险业务的复合型人才，而这种人才在市场上少之又少。

（四）保险公司对分支机构的操作风险管理不足。对操作风险的控制是各保险企业总公司对分支公司进行有效控制的关键。当前，保险公司分支机构在经营过程中面临诸多操作风险。首先，保险企业合规经营意识不强。保险企业的一些基层分支机构违背市场规律，盲目或违规经营的现象仍时有发生。近年来，同业非理性竞争的手段则更加隐蔽，有些公司甚至通过口头承诺、系统外违规操作等方式为客户提供高保障范围来争取业务，导致保险公司经营风险积聚，同时也损害了保险业的形象；其次，对操作风险的管控不严。如有的基层分支机构不严格执行业务管理制度，有的营销员不在规定时间将投保资料和保费交回公司，业务员代客户签名的事件也时有发生。

二、保险公司操作风险产生的根本原因

（一）盲目的经营目标是操作风险产生的最主要原因。当前，我国多数保险企业仍将保费收入和所占有的市场份额作为经营的首要目标，各保险企业的总公司对分支机构的考核主要是以保费收入的增加额为依据，这使得有些基层分支机构为达到考核目标，违反市场规律和有关制度，为获得短期利益而忽视公司的长远利益，由此诱发操作风险的发生。另外，有些保险企业在发展中不能制定适合自身实际的发展战略，常常提出不切合实际的口号，盲目决策，过分追求规模的扩张。这种盲目扩张的后果往往使得保险企业在获得规模扩张的同时，降低了对内部控制和操作风险的有效管理，成为操作风险发生的直接诱因。

（二）保险企业的多层制度导致对操作风险的管理松懈。当前，我国多数保险企业都采用的是一级法人制，即总公司是最高管理机关，省分公司按照总公司的授权进行经营，然后自上而下一级授权一级，实行总、省、市三级管理制度。这样一来，上级公司对下级公司的管理仅限于各项报表的统计、上下级转发文件、季度末各项报表的检查、定期不定期开会等形式，从而使保险公司的风险难以及时发现并予以纠正。而且，在这种多重关系中，上级公司往往更关心下级公司的成长和发展，而下级分支机构更关心自身效用的最大化，各方利益的不一致也是导致操作风险发生的关键。

（三）保险企业的文化建设严重滞后。在近年来保险企业发生的一些违规案件中突出暴露了部分保险企业员工职业道德沦丧。有些营销员在销售保单时缺乏诚信和职业道德，对客户提供无法兑现的承诺，或利用高的投资回报率误导客户，有的甚至采取欺诈手段欺骗公司和客户，这些都可能引起操作风险的发生。而且，保险业营销员队伍素质偏低、展业不规范、缺乏诚信、误导客户等问题屡见报端，因此对营销员的业务培训和职业道德培训显得越来越重要。尤其是一些分支机构只以保费的多少来衡量营销员工作的好坏，忽视了对营销员的职业道德培训，导致部分营销员职业道德素质不过硬，为寻求自身利益的最大化，以低价进行恶性竞争，盲目承保、劣质承保，这些都无疑会增加保险公司的操作风险。

三、完善操作风险管理的对策建议

一要强化保险企业员工的风险意识。首先要认识到操作风险管理的重要性，操作风险管理并不是经营中可有可无的附属品，而是为实现公司经营目标所必须承担的。忽视了对操作风险的管理，一旦发生操作风险事件，不仅会侵蚀到保险公司的偿付能力，而且会损害保险公司的声誉，由此引发保险公司的融资困难和客户流，并进一步影响到建立新客户关系或服务渠道的能力。所以，需要对保险公司的员工自上而下进行操作风险管理的培训。要使高级管理层深信，不是只有保费的增加量才能给公司带来利润，对操作风险管理的重视能够降低操作风险发生的频率，同样也能给公司带来价值；要使员工意识到，他们实施的对操作风险的控制行为不仅使公司而且还使他们自身受益。其次，保险公司应该从单纯追求业务规模、市场份额的思路中跳出来，建立操作风险管理激励机制。通过采取适当的方法对经营过程中的操作风险进行控制，将保险公司各级、各类人员的奖惩不是单纯地只与保费挂钩，还要与其行为结果挂钩，充分体现保险公司操作风险管理的目标。

二要建立有效的内控机制，防范操作风险的发生。就保险企业的多层制度而言，制定有效的内控机制是委托人监督企业运营，实现企业经营效益最大化目标的重要保证。同时，通过内部控制可以协调上下级公司之间的利益冲突，使控制双方能够建立起相互信任的关系，从而降低操作风险。因此，保险企业只有建立起一套职责分明、规章健全、运作有序的内控机制，才能从根本上防范和控制操作风险的发生。

三要完善激励机制，控制保险人的操作风险。就目前人的佣金制度来说，过高比例的首期佣金制度是导致个人人短期行为的关键，因此，应当适当的将首、续期佣金率均衡化，并确保人续期佣金的请求权，只有这样才能激励人在不断招揽新业务的同时也能为客户提供优质的保全服务。除了人佣金制度，对于在公司服务时间长且业绩较好的人，应积极探索规范的股权、期权激励机制，从而将个人人的自身利益和保险公司的长远利益有机地结合起来，形成为公司长期服务的意识。与此同时，还要加强对营销员队伍的业务培训和职业道德培训，树立正确的世界观和人生观，提高营销队伍的整体素质，这是防范操作风险的根本保证。

四要重视行业自律，加强保险行业协会对操作风险的自律性控制。从各国保险业的发展历程来看，行业自律组织的建立是防范保险公司之间不正当竞争的有效途径。我国的保险行业自律协会尚处于发展初期，还有许多规定有待完善，可以通过借鉴国外保险行业协会的相关规定，完善我国保险行业协会的自律规定，从而加强对各保险企业操作风险控制。

主要参考文献：

篇（3）

中图分类号：F832 文献标识码：A 文章编号：1006-1770(2011)08-024-04

编者按：巴塞尔委员会新资本协议II将操作风险作为一项单独风险纳入第一支柱，中国银监会相应出台了《商业银行操作风险管理指引》和《商业银行操作风险监管资本计量指引》。根据这些标准与指引，中国的商业银行开始探索集中统一的操作风险管理之路。日前，银监会召集部分准备实施新协议的商业银行在广西南宁举行研讨会，就操作风险管理的最新监管动态、日常管理机制、信息系统研发、业务连续性管理和高级计量法实施等议题进行讨论。现选取部分会议成果予以刊发，以供读者参考。

操作风险是一项有银行业务经营活动以来就存在的风险。但是直到2004年的新资本协议，国际监管组织才正式将其视作一项独立风险进行管理和计量。由此，操作风险被列为与信用风险、市场风险并列的三大风险之一，在第一支柱下单独针对其计提监管资本，并针对操作风险管理提出了专门的要求。

但是由于操作风险管理作为独立风险类型加以管理的时间较短，因此其管理和计量即便在发达国家也仍处于起步阶段，新资本协议的虽为操作风险计量提供了规范，但在操作风险管理方面，长期以来只有巴塞尔委员会2003年的《操作风险管理和监管的稳健做法》(简称03版《稳健做法》)。直到2010年10月，巴塞尔委员会公布了研究文件《保险在操作风险建模中的缓释作用》，2010年12月，巴塞尔委员会又了更新后的《稳健做法》征求意见稿，同时了《操作风险高级计量法监管指引》的征求意见稿。2011年6月，巴塞尔委员会经讨论同意这两份文件；2011年7月，新版的《稳健做法》(简称2011年版《稳健做法》)和《操作风险高级计量法监管指引》正式并生效。我们注意到，上述的动态变化是操作风险管理向专业化、精细化方向发展的必然，而对于我国银行业来说，更为具体和精细化的管理要求将有利于推进操作风险管理和监管水平。本文介绍了2010年以来巴塞尔委员会在操作风险管理及监管方面的最新动态，然后分析这些监管动态对我国银行业推进操作风险管理的启示。

一、操作风险管理的治理架构

完善健全的治理架构是实现有效操作风险管理的基础，2011年版的《稳健做法》最主要的亮点即在于强化了操作风险治理架构方面的具体要求，更加明确了不同层级的操作风险管理职责与问责。

(一)操作风险管理的治理架构

首先，《稳健做法》明确要求董事会应对操作风险管理承担最终责任，并应当确保全行操作风险管理制度及其执行的有效性。董事会亦应定期对全行操作风险状况及其管理情况进行核验。另外，新版《稳健做法》还提出，董事会不仅应负责在全行建立良好的操作风险管理文化，还应该负责确定本行操作风险偏好及容忍度的设置。

与之相对应的是，《稳健做法》也要求银行的高管层将董事会制定的操作风险管理框架加以落实，并强调高管层应确保本行负责操作风险管理的专业人员能有效履职。

此外，对于较大规模及业务复杂的银行来说，《稳健做法》还要求其建立专司操作风险管理的风险委员会。操作风险委员会应包含操作风险管理专职人员、业务条线专业人员等，委员会定期召开会议并向董事会风险委员会进行直接报告。

(二)思考与启示

2010年版《稳健做法》厘清了操作风险治理架构的一些具体问题，但是仍然留存了一些模糊地带和争议。如虽然董事会的职责得到了强化，但是一方面对董事会如何履责仍然失之笼统，而另一方面却又对董事会提出了诸如定期核验操作风险管理制度等执行层面的要求，这显然又同高管层的职责产生了交叉。此外，从当前的国际实践来看，操作风险偏好和容忍度的概念仍然模糊，因为操作风险与信用风险及市场风险在风险来源和本质上差异很大，操作风险不仅包含银行内生的风险(如流程、内部欺诈等)，也包含了很多外生性的风险，即便其中的内生性操作风险可以进行估量，外生性操作风险则很难界定其风险暴露。因此，如果操作风险暴露难以确定，则设置操作风险容忍度和风险偏好将变得非常困难。2011年版的《稳健做法》也并未在这方面提出明确的操作方案。

不过从总体上看，2011年版《稳健做法》提出的治理架构方面的要求不仅令操作风险管理职责划分更加明确，也为银行建立操作风险管理体系提供了普遍标准。至于如何将已经用于信用风险和市场风险管理的一些理念和做法(如职责分工、专业委员会机制、风险偏好和容忍度设置等)合理有效地用于操作风险管理，我们认为这些都是开拓性和建设性的命题，而且这些问题本身也并无一致性的解答案，《稳健做法》也给予了商业银行实践的弹性，银行在关注这些要素的基础上，宜制定与自身特点相匹配的落实方案。

二、强化操作风险全流程管理

新资本协议将操作风险纳入第一支柱进行管理和计量后，自然也必须建立相应的操作风险全流程管理框架，《稳健做法》再次确认了操作风险管理所包含的识别、评估、监测、报告、控制及缓释的流程，并对流程的各个环节提出了具体的要求。

(一)全流程管理新要求

2003年版《稳健做法》在全流程管理方面仅包含了风险自我评估(RCSA)、关键风险指标(KRI)、风险计量以及风险映射四项内容，而2011年版《稳健做法》还提出操作风险的识别和评估也应包括内部损失数据以及外部损失数据的收集和分析、情景分析以及对不同工具运行结果的综合分析。此外，新业务和新产品上线前除了应评估其蕴含的操作风险外，还应将相应风险因素纳入其定价机制。而在报告机制方面，2011年版《稳健做法》也提出银行应建立常规报告和压力场景报告两种机制，并且必须包含本行操作风险实际情况与制定的风险偏好和容忍度吻合情况等。

(二)分析及启示

我们不难发现，上述新要求其实也有着丰富的内涵，且隐含了巴塞尔委员会在操作风险管理方面的总体思路。

首先，将内部损失数据和外部损失数据收集及分析列为对所有银行的普遍要求，而不仅仅局限在实施高级计量法的银行，这表明巴塞尔委员会再次强调损失数据收集是操作风险评估的核心，也是全流程管理的起点。我们甚至不难推断，提出更严格的损失数据收集要求，表明巴塞尔委员会认为即便对于实施基本指标法和标准法的银行而言，进行更为精细化的损失数据收集也是必须的，也部分矫正了先前的一种观点，即认为损失数据收集和情景分析的目的主要是为实施高级计量法的银行建模所需。事实上，巴塞尔委员会的2011年版的《稳健做法》给出了明确的信号，损失数据收集的作用不仅是用于建模，更应用于收集全行操作风险状况，并且不仅应包含“收集”，更应把落脚点放在“分析”，且应融合内部数据和外部数据，做到“回顾”和“前瞻”相结合，形成对操作风险管理提供参考依据的合力。

其次，对不同工具运行提出综合比较分析的要求表明，巴塞尔委员会明确要求操作风险管理工具之间应当建立良好的互动关系，而这点正是目前操作风险管理实践中所缺乏的。尤其是在我国，一方面前期已经着手建立操作风险管理框架的银行在开发和推广工具方面尚处于起步阶段，对工具运行结果的分析也很不足，更难以建立不同管理工具之间的互动机制，另一方面由于不同管理工具往往在开发、运行和维护上会由不同团队负责，甚至可能会由不同部门主持，因此建立不同工具之间的互动就面临更大的挑战。

第三，要求把操作风险评估加入定价机制表明，巴塞尔委员会将继续推动把操作风险管理与计量结合的实践。尽管操作风险在定义、边界界定、定量等方面还争议较大，但是银行应当建立评估操作风险暴露的机制，并且将操作风险暴露的概念运用于日常管理，一方面对业务条线的经营运营起到规范制约的作用，另一方面也对提高操作风险管理水平起到促进作用。

第四，提出了在压力场景下的报告机制，可以认为是对报告机制的一种完善。结合我国银行业实践，我们可以认为这是对各行已经执行的重大事件报告的一种规范化。因为操作风险事件往往具有突发性、不可预期性和外生性的特点，因此及时对外部压力场景做出反馈，通过报告体系使高管层或董事会知晓，是十分重要的环节。

当然，如果我们仔细斟酌，也容易发现，2011年版《稳健做法》虽然提出了不少新理念和规范，但是在实际操作上仍然缺少具体方法的指导，如对于操作风险的定价仍然囿于多种不确定性而难以准确执行，而操作风险管理工具之间如何建立互相补充完善的机制也不明确。此外，如何定义压力场景的报告、如何将操作风险偏好和容忍度执行纳入操作风险报告等问题，也都需要各方努力研究具体的执行方法。

三、细化的高级计量法要求

(一)《操作风险高级计量法监管指引》的主要内容

由于巴塞尔委员会在制定新资本协议时就隐含了鼓励银行实施更为高级的计量方法的意向，因此不少计量手段较为成熟的银行即着手开发操作风险高级计量法(AMA)。随着高级计量法的铺开，出台比新资本协议相关内容更为具体的规范性文件也显得非常迫切，而《操作风险高级计量法监管指引》(以下简称《监管指引》)正是在这样的背景下出台的，主要覆盖了高级计量法的治理架构、数据和建模三个部分。

首先，在治理架构方面，《监管指引》区分了对操作风险计量的验证(validation)以及对操作风险管理框架的核验(verification)，即验证应当作为操作风险计量体系的一个有机组成部分，对高级计量法的建模进行验证，而对于包括计量和管理在内的完整的操作风险管理框架，则仍需要由独立团队再次对其进行有效性核验(见下图)。另外，《监管指引》还明确指出，实施高级法的银行应当更加注重通过使用测试(use test)将计量结果运用于操作风险管理实践，并起到促进操作风险管理水平的作用。

其次，《监管指引》明确了一些数据方面的要求，大致包括：

1.毛损失与净损失的确认：银行可以选择毛损失或净损失进行数据收集，但是应足够审慎，如损失挽回消耗大量时间，则必须用毛损失作为建模依据，且银行在计算净损失时不得先行使用保险缓释进行扣减，银行如使用合格保险缓释，需要建立单独的模型。

2.损失数据收集门槛：银行应明确其收集数据的门槛值，对于门槛值可以是全行统一的，也可以设置不同的门槛值，但是银行必须足够审慎并确保其设置的门槛值能将实质性风险事件均包括在内。同时，鼓励银行根据操作风险形态进行分类，对于同一分类的事件或条线设置相同的门槛值。

3.损失时间点：明确了可供选择的时间点限于发生日、发现日和会计结算日三项，并认为结算日是比较稳健的做法。

第三，在建模方面，对于建模数据来源、分布假设等提出了要求：

1.数据来源。再次确认了高级计量法建模数据来源必须包括内部数据、外部数据、情景分析以及经营环境和内部控制要素这四项要素，其中内部数据是建模的主体，外部数据则是针对肥尾分布的校准，情景分析作为对可重复损失事件的评估，也构成数据来源的重要部分，而经营环境与内部控制要素由于主观性过强，目前尚难以直接植入模型。

2.精细化程度(granularity)。实施高级法的银行应根据操作风险形态进行归类，并用于情景分析等场合。

3.分布假设。由于建立合适的分布是高级计量法的核心，因此银行应确保选取了合适的损失频度及严重程度的分布假设，并应保证进入内部损失数据库的数据均已包含在建模数据中，同时银行可以针对分布的不同部分采用不同的假设，但是银行应建立完整的数据清洗、模型选取、拟合等环节的文档记录。

(二)分析与启示

我们认为，一方面高级计量法尚处于起步阶段，另一方面高级计量法本身亦允许了较大的操作弹性。《监管指引》虽然在治理、数据和建模三方面提出了一些规范，但是实践中仍然有大量的弹性空间。从一些发达国家银行实施高级计量法的经验看，内部数据、外部数据和情景分析在模型中的比重差异非常大。事实上，某些银行的建模较大依赖了情景分析，而并非如很多人认为来自于内部损失数据，这可能因为各国银行经营和管理模式的差异，也可能因为不同银行数据基础和质量的差异。而《监管指引》在多个部分亦强调，巴塞尔委员会将在持续收集数据和调研的基础上，在合适的范围内对可以确定的良好实践予以明确。

四、第一支柱与第二支柱统筹

除了公开征求意见并提交高层讨论的2011年版《稳健做法》和《监管指引》外，巴塞尔委员会还对操作风险管理和计量实践的一些问题进行了研究，其中比较重要的一项工作是在第二支柱框架下评估操作风险监管资本充足情况。

事实上，虽然新资本协议将操作风险纳入了第一支柱，但是由于操作风险计量的不确定性，新资本协议也指出，监管当局将在第二支柱框架下评估银行操作风险监管资本的充足情况，并且可以对操作风险资本不足的银行提出附加资本要求。本轮金融危机后，各国监管当局和巴塞尔委员会都发现银行实际操作风险暴露可能远远大于实际计提资本的数量，而基本指标法和标准法由于风险敏感度较低，对实际损失覆盖的有效性也需要评估，可是在实践中，一方面监管当局并无明确提出在第二支柱下如何评估未覆盖的操作风险暴露，银行在亦没有在第二支柱下对操作风险暴露的覆盖情况进行评估。但是与之对应的是，由于操作风险与内控和合规管理不可分割的关系，不少监管当局和银行内部都制定过一些对内控及合规执行情况进行评估的规章，但是这些零散的文件却并未纳入操作风险管理和监管体系。正是在这样的背景下，巴塞尔委员会亦打算研究在第二支柱下开展操作风险资本充足情况的良好实践。

篇（4）

一、操作风险的定义

操作风险，一般意义上指因操作流程不完善、人为过失、系统故障或外来因素所造成的经济损失，广泛存在于银行经营管理的各个领域，是银行经营管理面临的基础风险之一。商业银行日常工作中，典型的操作风险事件包括内部欺诈、外部欺诈、雇佣合同及工作状况带来的风险事件、客户或产品以及商业行为带来的风险事件、有形资产损失、经营中断或系统出错，以及涉及执行、交割以及交易过程管理的风险事件等。

巴塞尔委员2003年公布了《操作风险管理和监管稳健原则》，2004年修订的《新资本协议》中，明确地将操作风险的衡量和管理纳入金融机构的风险管理框架，与信用风险、市场风险一起纳入资本监管的范畴，并把操作风险明确定义为“由不完善或有问题的内部程序、员工、信息科技系统或外部事件所造成损失的风险”。

二、操作风险的特征

操作风险事件难以在事前充分预期，并往往来源于制度、系统缺陷和人员舞弊行为，具有较强的内生性，即使建立相对完善的内控制度和监督检查机制，也难以充分预计未来持续期内的所有变动因素并彻底杜绝内部舞弊所造成的违法违规行为，但与信用风险和市场风险相比，操作风险存在以下特征：

一是具体性，操作风险因素存在于银行的各项业务中，操作风险事件前后之间有关联，单个的操作风险因素与最终形成的操作性损失之间难以定量分析和界定，不易分散及量化，不同类型的操作风险具有各自的具体特性，与相对成熟的信用风险和市场风险的识别和计量方法不同，操作风险的准确识别和计量手段还需要银行进一步研发和完善。

二是分散性，操作风险管理主要涉及银行内部经营管理中各方面的不同风险，包括发生频率高、造成损失相对较低的日常业务流程处理上的小错误，以及发生频率低、造成损失相对较高的大规模舞弊、自然灾害等，与信用风险和市场风险多是外生性风险不同。操作风险与各类风险相互交叠，涉及面广，需要建立全面操作风险管理的体系，结合实际采用多种方法来覆盖分散于各项活动中的操作风险。

三是差异性，银行不同业务领域操作风险的表现方式存在差异。业务规模小、交易量小、结构变化不太迅速的业务领域，虽然操作风险造成的损失不一定低，但是发生操作风险的频率相对较低，而业务规模大、交易量大、结构变化迅速的业务领域，受到操作风险冲击的可能性也较大。从风险与收益的对应关系看，信用风险和市场风险的一般原则是风险高收益高，风险低收益低，但银行不能保证因承担操作风险而获得收益，而且在大多情况下操作风险损失与收益的产生没有必然的联系。

四复杂性，引起操作风险的因素较复杂，如产品的复杂性、产品营销渠道的拓展、人员流动以及规章制度的变化等都可能引起操作风险。而通常可以监测和识别的操作风险，与由此可能导致的损失的规模、频率之间不存在直接关系，常常带有鲜明的个案特征，与信用风险主要来源于客户和交易对手方，市场风险主要来源于市场上的各种价格波动不同。银行风险管理部门虽然可以结合实际制定操作风险管理不同时期的重点，但不易确定哪些因素对于操作风险管理来说是最重要的。

三、国内商业银行操作风险管理状况

新资本协议实施以来，国内商业银行按照相关要求，积极结合自身实际，对操作风险识别、评估、控制、报告等关键程序进行了规范，推进操作风险管理体系建设，完善了操作风险管理的内在机制，操作风险管理的框架体系已经基本建立。但是，与国外大银行相比仍存在一定差距，主要表现在：

一是操作风险管理未与业务发展同步。在全球经济一体化、社会与经济环境快速发展、商业银行全球化和综合化经营的趋势下，金融创新层出不穷,金融产品、服务的复杂性提高, 各项业务超常规发展，操作风险的类型不断演变, 在认识不到位、风险管理手段不足的情况下,发生操作风险和造成损失的可能性增加。

二是操作风险管理手段还不完善。我国商业银行长期以来偏重信用风险, 未设立独立的专业部门承担操作风险管理的职责,而是由非独立专业部门牵头负责或由各专业条线内部控制，对操作风险管理的统一的政策标准还不完善, 尚未建立起全面、系统地操作风险管理体系,导致有章不循，违章操作的现象时有发生。同时，操作风险管理的手段还显单一，主要采取定性管理、指标考核、质量控制等，在建立操作风险损失事件数据库、开展自评估、采用风险缓释工具等操作风险管理工具和方法，以及按照新资本协议的要求建立银行内部操作风险计量系统、采用定量和定性标准结合的资本计量模型、量化分析等操作风险计量方法方面，与国际先进商业银行还存在差距。

三是流程化、系统化地操作风险管控还需要改进。完善操作风险管理是过程与结果的结合，环环相扣，才能取得较好结果，其中任何一个环节出问题，都可能导致风险事件的发生。以信贷业务操作风险管理为例，按照操作风险管理及公司治理等要求，商业银行建立了包括风险预警、信贷授权、尽职调查、客户评价与项目评估、统一授信及集团风险控制、信贷独立审批、贷后管理、资产质量监测和考核、资产保全、内部审计及检查等在内的较为完善的信贷风险管控制度，但是因贷前调查、贷后管理不到位而引发的操作风险事件及损失远大于其他环节的风险及损失，反映出在信贷管理的全流程风险控制中统一、整体化的风险控制还需要改进和加强。

四、商业银行面临的主要操作风险及原因

商业银行的业务经营活动复杂多样，涉及不同类型的业务操作及各业务环节、产品和经营管理层面，操作过程中由于各种不确定因素的存在，产生不同的操作风险，按风险成因主要表现为以下类型：

一是内部程序不当导致的操作风险，主要是银行因业务流程设计不合理、制度管理不当、业务政策存在偏差、监督检查不到位，且未及时予以完善等原因，导致实际操作或执行困难，甚至给蓄意不法者留下漏洞而造成的风险及损失，如：贷款业务审贷未分离、会计业务关键岗位长期未轮换、不相容岗位未分离等。这类情况的影响较大，使一些违规行为有可乘之机，容易诱发重大违规事项或案件，危害性较大，需要及时完善内部控制予以防范。

二是人员因素导致的操作风险，主要是银行员工主观上不遵守职业道德，违法、违规或违章操作，或工作疏忽等行为导致的风险及损失，以及客观上业务岗位人员数量配备不足，或员工的自身业务能力及素质与岗位要求不符而导致的风险及损失。如：员工从事或参与社会高息融资活动、挪用银行资产或客户资金、发生业务差错等。前一类情况发生不多，一旦发生，后果及影响严重，即小概率大损失事件，需要加强员工行为排查防范于未燃，后一类情况情况较多,风险一般不大，即大概率小损失事件，通过加强业务学习，规范操作及业务检查，可以及时发现并纠正。

三是业务系统故障导致的操作风险，主要是银行IT系统、机具设备等因技术故障、设备失灵造成系统服务中断、数据错误等影响业务正常持续运行而导致的风险及损失。如：系统因感染病毒、遭到黑客攻击及软硬件故障不能正常运行时，导致系统瘫痪、崩溃，影响正常对外营业。这类情况发生的概率小，但影响较大，后果严重，损失严重并给银行带来负面声誉风险，需要通过完善应急机制，并加强演练，在故障发生第一时间响应并有效发挥作用。

四是外部事件导致的操作风险，主要是银行因外部不可预见的破坏性因素导致的风险及损失。如：自然环境灾害、社会动乱、暴力行为等。这类情况发生的概率小，其影响及后果事前不易评估，但应建立各类应急预案，并有明确、清晰报告路线，在发生此类事件时使上级管理机构能够及时获得信息，迅速应对，将风险降至最低。

五、完善操作风险管理的建议

相对信用风险和市场风险，操作风险更加难以事先计量和预测，完善操作风险管理的关键是过程控制。操作风险管理的核心环节是强化内部控制，建立良好的管理机制，在操作风险发生之初能够及时、有效地识别和处置风险。

一是加强业务培训及风险内控管理文化建设，进一步提高银行各级员工的综合素质。通过对业务操作、多岗位轮换，以及公司治理、外部监管标准、职业操守、典型案例等培训学习和监督检查, 提高员工履岗能力和尽职度，将操作风险管理落实在每一个员工的职责及行为中，树立科学的风险管理理念，自觉遵守规章制度，严格规范操作，培育良好的风险内控管理文化，促进制度执行力的提升。

二是按照公司治理及操作风险管理政策的要求，进一步完善内部控制，明确各部门的定位和职责，合理确定各部门的管理边界，形成分工明确、责任清晰、有效制衡的内部管理架构。针对操作风险易发部位制定有关管理细则，加强监督检查，定期开展操作风险与内部控制的自我评估检查，及时整改存在问题，并强化责任约束，提高各层级人员的工作尽职度。

三是结合新资本协议实施工作的相关要求，研究、完善操作风险识别计量方法和工具，提高操作风险管理技术。根据新巴塞尔协议风险资本计量的要求，结合实际逐步开发适合本行特点的内部风险计量工具及相关的管理办法，借助计算机技术建立操作风险历史数据仓库,为按高级法建立计量模型、分析测量风险、分配资本奠定基础。

四是做好操作风险管理工具与业务流程的结合。将操作风险管理嵌入业务流程，完善人控、机控手段，并建立完善操作风险绩效考核体系；加强关键风险点的调查分析，建立不同管理层次、不同条线的关键风险指标，并根据业务发展变化及时维护更新，对操作风险实时监控和早期预警；逐步建立主动识别与管理操作风险的内在机制，推动由被动承担风险向主动掌控风险转变，有效识别防范操作风险。

参考文献

［1］巴塞尔银行监管委员会《新资本协议》、《操作风险管理》文件.

［2］中国银行业监督管理委员会《关于加大防范操作风险工作力度的通知》.

篇（5）

巴林银行的倒闭，大和银行纽约支行的不慎交易，诸多事件为全球金融机构敲响了警钟，金融理论界和实业界开始研究影响日益巨大的操作风险问题。国际银行业普遍认识到操作风险管理的重要性，新巴赛尔资本协议把操作风险也纳入资本监管的范围。因此，操作风险的管理在金融机构中的地位日益重要，金融机构可以通过操作风险的管理来实现资源的有效使用。

巴塞尔银行监管委员会根据国际银行业风险管理的变化，从1998年开始关注对银行业操作风险的管理和研究，并在1999年6月公布的新巴塞尔资本协议的第一次征询稿中，提出应考虑对操作风险进行资本覆盖。2003年4月29日，巴塞尔银行监管委员会对《巴塞尔资本协议》(称“新巴塞尔资本协议”)进行第3次征求意见，以对新的资本充足率的规定做出最后的修订。委员会的目标在2003年末最后一个季度完成修订，并于2006年末在成员国家开始执行。新巴塞尔资本协议有3个支柱：最低资本要求，监管部门的监督检查和市场纪律。在计算最低资本要求时，需要考虑三大风险：信用风险、市场风险和操作风险。新资本协议在不断改进中反映着风险测量和管理技术的提高。新巴塞尔资本协议以资本充足率为核心的监管思路，使最低风险资本要求和每项信贷风险面的规范评估结合在一起，特别是第一次将操作风险和最低资本要求结合起来。相对于旧协议而言，其风险衡量的方式更加灵活，不再局限于原有的单一框架，银行可以根据自身情况选择合适的风险衡量方法，以促使银行不断改进风险管理水平。

新巴塞尔资本协议中操作风险的涵义及衡量

巴塞尔银行业监管委员会的定义是比较权威的一个，也就是巴赛尔新资本协议中的定义。根据此定义，操作风险指的是由于不充分的或失败的内部程序、人员和系统，或者由于外部的事件所引起的直接或间接损失的风险。巴塞尔委员会同时指出，这一界定包含了法律风险，但是并不包含策略性风险和声誉风险。

从广义来说，操作风险可以分为内部风险和外部风险，内部风险主要指由于内部因素引起的操作风险，包括程序风险、技术风险和人员风险。程序风险又分为流程设计不合理和流程执行不严格两种情况；技术风险包括系统失灵和系统漏洞两种情况；人员风险包括操作失误、违法行为(员工内部欺诈或内外勾结)、违反用工法、关键人员流失等情况。外部风险主要是指外部因素引起的操作风险。这些外部冲击包括税制和政治方面的变动、监管和社会环境的调整、竞争者的行为和特性的变化等。内部风险主要与内部控制效率或管理质量有关，而外部风险与外部欺诈、突发事件以及银行经营环境的不利变化等有关。

操作风险也存在量化困难，新协议第一稿并未提出任何计量方法。在充分听取各方意见后，巴赛尔新资本协议，对于操作风险的衡量大致有三种方法：基本指数法，指以银行过去3年内的平均年总收入的一个固定比例来确定应对操作风险的必需资本量；标准法，把银行的业务分为8个不同领域：公司金融，交易，零售银行，商业银行，支付结算，服务，资产管理和零售经纪，然后分别计算操作风险指数，再乘上某一固定比例得出所需资本量；高级测量方法，采用此法的银行必须取得监管层的同意，由银行内部操作风险测量系统用定性和定量的方法加以确定。高级测量方法的使用则需要一些特别的标准。如果银行采用较高级的方法在没有监管层同意前不得转为较简单的方法。在新巴塞尔资本协议的第二次征询稿中，对高级计量法中内部衡量法、损失分布法有比较详细的描述，但在最终只是在“资格条款”中对使用高级计量法计算操作风险资本的银行提出了严格的定性和定量的要求，并要求一定要得到监管当局的批准。目前国际上只有少数跨国大银行在使用或开发该计算方法。

我国商业银行操作风险管理的策略

政府应加强操作风险监管的力度，使其与最低资本要求相结合

为了使操作风险的控制更具实际意义，就需要进一步研究出金融机构具体的行为准则。中国银行业监督管理委员会令(2004年第2号)公布的《商业银行资本充足率管理办法》中第一章总则中第五条明确规定“商业银行资本应抵御信用风险和市场风险”。虽然暂时未将操作风险纳入计算的范围，在制度上减轻了商业银行对操作风险的资本覆盖压力，但是也不可避免的放慢了商业银行对操作风险的管理。建议对不同的商业银行实行不同的操作风险要求。

探索操作风险控制与缓释的方式

银行在控制操作风险发生的同时，还可以采用各种方式控制和缓释风险。包括避免、缓释、保险和承担四种方式。其中保险是目前国际活跃银行使用最为普遍的操作风险缓释方式，针对不同的操作风险会有不同的保险产品与之相对应。传统保险产品中的银行一揽子保险、错误与遗漏保险和经理与高级职员责任险等已经被实践证明是比较成熟的保险产品，而且得到了广泛的运用。20世纪90年代中期至今，又开发了诸多新的保险保障产品，诸如未授权交易保险、电子网络技术风险的保险等。银行操作风险保险承保范围将进一步扩大，新的操作风险将不断被纳入保险的范畴，保险将作为银行操作风险管理的经常性工具。目前国际上除了保险以外，还有互惠资保险基金、证券化、优先风险计划也可作为操作风险保险的替代品。

完善银行操作风险管理组织架构

根据风险管理基本流程与组织设计原则，我国商业银行操作风险管理应采用分权化职能型的组织结构，在总分行制的基础上(以“总行一分行一支行”型结构的银行为例)，总行应以操作风险战略决策的制定和管理为主，同时负责对操作风险的总体控制。总行管理操作风险的组织机构应包括：董事会、高级管理层、内控制度管理委员会、稽核总局、操作风险的计量分析与评估部门、科技信息部门、教育培训部门、内部授权管理部门、法律事务部门以及所有业务部门，其中稽核总局直接向董事会负责。分行的机构与总行基本一致，但不包括董事会，分行设立稽核分局，并直接向稽核总局负责。支行主要从操作层面控制操作风险，因此支行只设立业务部门，执行总行和分行所制订的制度和政策，支行不设稽核部门，只接受稽核总局或分局的检查。

由于将操作风险纳入到组织文化中成为风险管理的一个重要部分，培养操作风险文化对于操作风险管理也是极其重要的。依靠教育培训部门对银行所有业务人员加强培训，提高操作人员的业务能力、法律意识、制度观念和道德水准，降低一切因操作人员业务技能低、管理人员管理水平差或员工对政策、制度、法律不了解等原因所造成的操作风险。

积极开展操作风险的模型化研究

虽然目前国外对操作风险管理也还处于发展阶段，但是通过量化方式衡量操作风险则是大势所趋。国内银行操作风险的模型化发展基本处于零阶段，这就造成操作风险的管理始终停留在内部审计和主观判断的低层次上。把操作风险量化研究与控制框架结合起来才能为操作风险管理提供科学的依据，这是国际活跃银行管理操作风险的趋势，也是我国商业银行的最终选择。量化操作风险的首要工作就是要建立操作损失数据库，因此监管机构和商业银行自身都要按巴塞尔委员会的操作风险矩阵立即着手建立损失数据库，积累损失资料。建立成功的损失数据库从而为精确度量操作风险建立基础。

篇（6）

银行业是一个高风险的行业，对风险的防范、管理和化解是银行业发展的永恒主题。由操作风险导致银行倒闭的深刻案例之一是巴林银行由于没有将交易与清算业务分开这个制度上的缺陷以及其内部审计的松散与监管不力，直接走向了倒闭的命运。1995年2月英国中央银行英格兰银行宣布一条消息：巴林银行不得继续从事交易活动并将申请资产清理。10天后，又以1英镑的象征性价格被荷兰国际集团收购。巴林银行总损失为13亿美元，资本损失100%，从违规到灾难发生的时间仅为三年 。

近些年以来，国内金融业发生了一系列因操作风险导致金融机构陷入危机甚至倒闭破产的事件，这些事件严重影响了政府、公众和潜在海外投资者对中国商业银行的信心。我国在与国际金融业接轨的同时，我国的银行业面临的操作风险正在逐渐显现，控制操作风险迫在眉睫。

一、操作风险及其影响因素分析

（一）《巴塞尔新资本协议》对操作风险的界定

在对操作风险的定义方面，学术界已有颇多的探讨，他们分别从不同的方面进行界定，使得目前尚没有形成统一的操作风险定义。目前，最具影响力的操作风险定义是《巴塞尔新资本协议》给出的界定：“操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。”

（二）操作风险影响因素分析

1、人员因素。主要包括员工的思想道德素质、员工的业务能力、内部欺诈、失职违规、知识/技能匮乏、越权和行为、核心雇员流失、违反用工法等。人是操作风险防范的主体，在操作风险的控制过程中发挥着不可或缺的作用。同时随着我国法律制度的不断健全和完善，银行和内部员工之间的劳资和法律纠纷，员工因意外伤害而要求赔偿的事例也不断出现，增加了操作风险的损失。

2、内部流程制度因素。主要包括财务会计错误、文件合同缺陷、产品设计缺陷、错误监控、支付结算错误、交易定价错误、制度的不完善、滞后性、执行不力等。一些银行财会制度不完善、管理流程不清晰。目前，各商业银行的制度建设正朝规范化和标准化方向发展，但由于内控制度和各程序设计上存在缺陷，许多制度都执行不力从而流于形式；制度的滞后性使得制度的建设跟不上业务创新的需要。

3、系统因素。包括软件、硬件设备、操作系统网络等。目前，银行都实现了网络化，这样系统的评估与升级、系统日常维护、系统安全保护就显得尤为重要，一旦出现失误，就会产生操作风险。在业务处理过程中，由于网络故障，可能会出现存款重复入款、取款未下账等。如果被不法分子利用将钱取走将使银行蒙受无谓的损失。 商业银行的技术部门应当与业务部门相互协调，确保系统的整体稳定运行，核心银行系统与相关系统有效兼容，保持业务和管理需求的适宜性。

4、外部事件因素。主要包括外部欺诈、洗钱、政治风险、监管规定、业务外包、自然灾害、恐怖威胁等。例如抢劫、黑客攻击、盗窃以及地震、经济萧条、战争等不可抗因素都会给商业银行造成损失。从短期来看，操作风险主要来自内部欺诈和外部欺诈，在银行的实践中可以看出，由于内部和外部欺诈所产生的损失额约占到全部损失的70%，损失频度和强度均高于其他类型；从长期来看，随着银行业电子化程度不断提高，黑客攻击等技术性因素产生的操作风险越来越多。

二、商业银行操作风险现状及问题分析

自我国商业银行体制改革以来，各商业银行都在完善自身内控制度、加强监督检查、提高从业人员素质等方面做了非常不懈的努力，但我国商业银行对操作风险的认识和防范仍处在探索阶段。无论是在操作风险管理理念、管理框架还是操作风险的度量、管理和化解手段上，都处于初级阶段，在实践中还存在很多需要解决的问题。

（一）错误的操作风险管理理念

一直以来，我国商业银行都把对信用风险和市场风险的防范做为商业银行风险防范的重点。操作风险与之相比，不论是在制度规则和认识水平上都比较低，尚未形成全面的内控文化。我国商业银行以往是以“人治”为主，以信任代替管理，以习惯代替制度。只有当发生重大事件时，才采取强硬的处罚手段来进行管理，试图以严厉的处罚遏制风险的出现，缺乏事前和事中的控制，使许多重要的防范制度形同虚设，未能做到防范于未然。

（二）内控体系不完善

篇（7）

随着近年来国内外银行业操作风险事件的频频曝光，操作风险越来越多引起银行业和金融监管机构的关注，并已成为不容忽视的重要风险。对操作风险的探索和研究已成为商业银行一项重要课题。

一、操作风险的种类

根据《巴塞尔新资本协议》按照损失事件原因或风险因素将操作风险分为7 类，包括：内部欺诈、外部欺诈、客户、产品及商业行为风险、执行、交割和过程管理风险、业务中断和系统错误风险、就业政策与工作场所风险，以及实物资产损坏风险。由于我国商业银行的发展状况、企业文化、现实制度等与国外银行存在一定差异性，因此结合我国实践，对当前我国面临的操作风险进行了分析，主要分为以下五类。

（一）人员风险

根据媒体公开报道事件分析，因内部欺诈造成的损失案件在所有损失事件中占比较高，而内部欺诈事件发生的主体是内部员工。其中，内部职位设计不合理、对员工培训不足，以及考核机制不完善等因素都是造成内部不安定，人员风险的主要原因。

（二）制度和流程风险

此类操作风险是指因未及时制订制度或在业务发生重大变化后未予以及时修订、完善，致使业务流程中由于岗位职责、权限不明确或内控措施缺失等所导致的风险；以及由于商业银行内部不合理、不科学的业务流程设计而产生经济损失的操作风险。

（三）执行风险

因执行不力所造成的风险是银行各层级管理者较难应对的一类风险，由于其带有主观性、随意性，使得制度应有的效果难以发挥。执行不力的主要表现为执行不到位和故意违规操作。

（四）系统风险

指由现有系统或技术不完善或故障毁损而产生的风险，非故意的损失。在2004年版的《巴塞尔新资本协议》中，将信息系统导致的风险作为操作风险四大风险因素之一。

（五）外部风险。外部风险主要是指商业银行在经营活动中，受到来自于外部环境因素，如：竞争风险、政策风险、外部欺诈以及不可抗力事件等所导致的风险。

二、操作风险产生的成因分析

（一）内部员工操作风险意识淡薄

当前各商业银行基层网点普遍面临人员年轻化、实务经验不足的情况。一方面，员工对风险的本质及危害性认识不足，简单认为操作风险就是操作性风险，其造成的后果不过是账务差错；另一方面，基层人员流动性大，内部培训不到位，也导致了员工思想意识跟不上，违规操作时有发生，加剧了操作风险隐患。

（二）内部控制制度缺失

操作风险的根源往往在于内部控制的失效，而内部控制机制不健全的表现之一是内控制度缺失。我国商业银行历来重业务，轻制度，很多情况是业务先行开展，而制度迟滞于业务发展；另外是制定的制度操作性不强，跟不上业务实际需要，致使业务处理中经常“无章可循”。

（三）制度执行不力且问责不严

基层机构管理中以信任代替制度，以情面代替纪律的情况不在少数，使得制度形同虚设，内部管理松散。而基层机构发生违规事件后，处罚力度偏轻，对员工的警示作用不大；且受到内部考核影响，无论是基层机构还是其上级机构都有意将违规事件的影响控制在最小范围，由于处理偏轻，违规成本低，使操作风险无法得到有效控制。

（四）考核制度不尽合理

由于银行内部的绩效考核机制多以经营指标为重，因此“重业务、轻内控”的情况仍是存在，基层网点为了追求短期利益，往往忽视内控合规、避谈操作风险，导致内部不安定的风险因素长期存在。

三、商业银行操作风险的管理对策

（一）增强内部人员道德观念和风险意识的培养

目前商业银行面临的操作风险多是“人”的风险，因此加强一线员工合规意识尤为重要。通过对员工实施周期性的专题培训，培养员工树立正确的价值观和强烈的责任意识，对工作中的违规违纪行为时刻保持警醒的状态，主动自觉进行合规操作，杜绝操作风险事件的发生。

（二）促进内控制度建设，提高制度执行力

所制定的制度应规范可行，不仅需针对各项业务制定详尽的操作流程并指出潜在的风险点，而且应随着业务的发展变化而不断修订完善，以保持制度的持续有效。另一方面，在制度的执行中必须保持制度的严肃性，对于执行不力而产生风险的行为应给与严厉惩治。

（三）建立健全激励约束机制

有效的激励约束机制，有利于调动人员积极性和主动性，促进银行内部人员队伍的稳定，充分发挥人才潜能。操作风险管理必须以对人的控制为基础，从而建立具有长效激励作用的薪酬制度和以价值为导向的绩效考核分配体系。

（四）完善内部控制管理

积极推动内部控制管理系统向基层机构的延伸，构建商业银行的三道防控体系。其中：一道防线以各级机构、经营部门、员工为主，强调过程实时控制和自我评估；二道防线主要是操作风险管理牵头部门，负责对一线部门的管理、指导、检查和监督，三道防线强调内部稽核部门对一、二道防线的再监督和评价，发现问题并督促其及时采取相应措施。

参考文献：

[1]黄新颖.《内控视角下商业银行操作风险完善途径》[J].财会通讯.2013.2

篇（8）

中图分类号：F830.33 文献标识码：A 文章编号：1006-1770(2010)09-032-05

一、引言

随着信息技术与现代商业银行业务的深度融合，银行对信息技术和信息系统的依赖日益增强。信息科技已成为商业银行日常运营的操作平台、管理决策的重要支持、以及业务创新的基础工具。同时，与之相关的信息科技风险也渗透到了银行经营和决策的各个方面，信息科技风险管理不仅维系着商业银行的持续安全运营，而且也成为银行价值创造的重要支柱，因而信息科技风险成为现代商业银行风险管理不可或缺的重要内容。

商业银行传统的信息安全管理，更多是从信息技术开发和管理的本身出发，建立相应的技术标准而进行的，这些标准适用于信息技术部门内部的信息安全管理，也是信息科技风险管理的重要基础。但信息安全管理的本质是风险管理，现代商业银行构建全面风险管理体系，也需要借助操作风险管理框架和工具对信息科技风险进行有效管理。

我国主要商业银行正在积极实施《巴塞尔新资本协议》，这需要对包括操作风险在内的三大风险建立全面风险管理体系，而信息科技风险作为操作风险的重要表现形式之一，也成为银行风险管理的一个新的焦点。因此，本文试图在操作风险管理视角下探讨信息科技风险的识别、计量、监测和控制等流程和方法，以提高商业银行对信息科技的应用水平和对信息科技风险的管理效率，增强银行全面风险管理能力。

二、信息科技风险与操作风险管理框架

商业银行信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术应用水平，增强核心竞争力和可持续发展能力。

操作风险是《巴塞尔新资本协议》在信用风险和市场风险之外，所强调的商业银行面临的另一种重要风险类型，是指“由不完善或者有问题的内部程序、人员及系统或外部事件所造成损失的风险（表1）。”策略风险和声誉风险不包含在此定义中。我国银监会也基本沿用了这一定义。

可见操作风险这一定义的内涵包括由信息科技系统所产生的信息科技风险。因而商业银行在落实《巴塞尔新资本协议》、实施全面风险管理的过程中，需将信息科技风险作为操作风险的重要内容统一进行管理；对信息科技风险的管理，可以借用操作风险的管理框架和工具。

从风险管理的流程来看，一个完整的操作风险管理（Operational Risk Management，ORM）框架首先要确定执行和负责操作风险管理的组织机构，然后依据操作风险识别、风险计量、风险监测和风险控制的流程进行，形成一个循环往复、不断提升的风险管理过程。这一过程可用如下的操作风险管理“转轮”来表示（图1）。这一框架能提供一个对操作风险管理的完整流程，并允许银行在事先管理操作风险，而不论风险是否存在于业务过程、人员、信息科技系统或是外部事件中。

操作风险管理框架中的每一阶段都有不同的任务，理论界和实务界也都分别提出相应的工具和方法。下文尝试将操作风险的管理框架应用于商业银行信息科技风险管理，从而使信息科技风险管理成为银行全面风险管理的有机组成部分。

三、ORM框架下的信息科技风险管理

（一）信息科技风险管理的组织建设――信息科技治理

根据银监会的要求，IT治理的目标是在良好的公司治理的基础上，形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。从银行内部来看，IT治理是公司治理的重要组成部分，包括与信息科技相关的领导关系、组织结构和工作流程等，其目的是保障信息科技与业务发展战略目标相一致。

信息科技治理是良好信息科技风险管理的基石，商业银行需要在公司治理基础上建立自上而下的信息科技治理结构。具体地，商业银行的董事会、高管层要对本行信息科技风险最终负责；董事会下的风险管理委员会可专设信息科技风险管理分委员会，由高级管理层、信息科技部门和主要业务部门代表组成；设立首席信息官（CIO），负责信息科技相关的重大决策，向上直接向行长和董事会报告信息科技运行和管理情况，向下统一领导信息科技板块各个部门，布置信息科技风险管理措施的实施；同时，风险管理部、尤其是操作风险管理部，也应把信息科技风险作为操作风险管理的一个特殊而重要的类型进行统一管理。此外，内部审计部门负责对信息科技风险管理的合规性和有效性进行审核（图2）。

在这样的信息科技治理结构之上，商业银行可将信息科技风险纳入总体风险管理框架，针对信息科技风险分布广泛、专业性强等特点，可以构建由信息科技业务经营部门、信息科技条线管理部门、风险管理部门和内部审计部门构成的“四道防线”，实现对信息科技风险的有效防范和管理。

（二）信息科技风险的识别方法

信息科技风险识别是指风险管理者通过一定的方法和手段，按照信息科技风险的来源范围和表现形式，鉴别信息系统开发和运行过程中一切可能导致信息科技风险的因素和产生风险的环节点的过程。信息科技风险识别方法可借用操作风险的识别工具。

1．风险与控制自评估法

信息科技风险的风险与控制自评估法（RCSA），是指银行IT风险管理部门对本行信息系统开发、信息数据管理、系统运行与维护等IT条线业务进行流程分析，识别并评估其中隐含的风险点，并对业务流程现有的控制措施的合理性和有效性进行评价的过程。

RCSA从梳理IT条线的主流程及其包含的子流程入手，针对这些流程设计RCSA问卷。这一问卷包含了每一流程步骤涉及的风险类型、相应的控制类型等内容，需要评分人对现有的控制设计和有效性进行评估，对风险导致的固有风险暴露、以及采取控制措施之后的剩余风险进行评分。最后要根据RCSA的结果决定是否采取对特定风险的控制行动。

2．风险地图法

风险地图（Risk Mapping）能够显示特定风险事件的风险暴露分布状况，将风险暴露与银行或业务部门的风险容忍度连接起来，根据特定风险在风险地图中的落点可决定对风险是否采取适当的控制措施。

风险地图是一个严重性-可能性矩阵。根据特定风险可能导致损失的严重程度及损失发生的可能性，可以共同确定风险暴露及其在风险地图的落点。风险地图不同区域所代表了不同风险容忍度，风险的不同落点有不同的涵义（图3）。

A.绿色区域：表示风险处于安全区域，不需采取控制措施降低风险暴露。

B．黄色区域：表示风险在加强监控的区域，应对风险进行关注和加强监控，但还不需采取具体控制措施。

C．橙色区域：表示风险在警戒范围内，风险管理部门应立即采取控制措施，将风险暴露降低到安全区域之内。

D．红色区域：表示风险已不可容忍，除了应立即采取措施降低风险暴露至安全范围内，还应该对风险暴露过高的原因进行追溯和问责。

需要说明的是，不同银行、不同业务条线的风险容忍度不同，因而风险地图的具体风险轮廓各异。即使同样的风险暴露在不同部门的风险地图上所处的区域可能都不一样，严重程度也不一样。对具体的信息科技风险管理者而言，要根据本行信息科技业务特点和自己的风险偏好，确定以上四个区域的临界值。

3．关键风险指标（KRI）

KRI是可用于表示商业银行信息科技风险状况的定量指标。通过指标的定期监控，可以对信息科技风险变化有代表性的某些方面进行跟踪和预警，并根据指标所处的区域决定是否采取控制措施。

关键风险指标应能代表信息科技领域最主要的风险指标，容易度量并能反映信息科技风险的暴露水平或者控制状态。商业银行首先需要明确各项与信息科技相关的关键风险指标，对每一指标设定相应门槛值。银行通过对所有KRI的动态跟踪，在超过门槛值时采取必要的控制措施，从而及时降低风险暴露程度，使基于KRI的风险控制行动能防止重大损失事件的发生。

与信息科技风险相关的KRI可根据信息科技业务的风险表现和分布特点而设定，具体指标可能包括：系统故障频率、系统中断次数、系统中断持续时间、系统交易失败比例、IT人员离职率、IT风险事件总数等。

4．损失数据收集（LDC）

首先要根据信息科技风险的分布特点，确定损失数据的收集范围、起点金额以及统一的损失数据内容（具体表现为损失数据库的字段格式）。

关于收集范围，巴塞尔新资本协议对操作风险的损失事件形态分为7个类型，其中与信息科技风险损失事件有关的整理如表2。银监会《商业银行操作风险管理指引》中规定应收集并报告的重大操作风险事件中，就包括“造成涉及两个或以上省（自治区、直辖市）范围内中断业务3小时以上，在涉及一个省（自治区、直辖市）范围内中断业务6小时以上”的系统业务中断事件等等。

损失起点金额要根据IT风险损失的分布特征和银行的风险容忍度而定。而损失数据内容则包括损失事件产生原因、发生时间、所在部门、损失金额、控制措施及有效性等。损失数据要按统一字段格式及时录入操作损失数据库。巴塞尔新资本要求采用高级计量法（AMA）的银行需要至少三年的历史损失数据积累。

（三）信息科技风险度量方法

操作风险度量方法包括基本指标法（BIA），标准法（SA），以及高级度量法（AMA），后者包括内部度量法、损失分布法和极值法等。目前我国商业银行对操作风险计量在实践中采用标准法。

但标准法设定的8个业务线，并未将信息科技业务条线专门列出，因而不能充分体现对信息科技风险的资本要求。事实上，信息科技风险不仅存在于商业银行信息科技业务条线，同时也广泛分布于其他业务条线之中。因而，在标准法的基础上，我们提出将信息科技风险按照所存在的业务部门分为两部分，分别进行风险计量和资本计提。

第一部分是存在于8大业务线内部的信息科技风险，在根据标准法对8大业务类型的操作风险计量时，已经包含了其中涉及到信息系统操作、运行等相关的信息科技风险。第二部分是信息科技条线的业务平台上涉及到的信息科技风险，主要包括信息系统开发、信息系统运行维护、数据中心建设和管理、软件外包、业务连续性经营等方面的风险。

具体计量时，第一部分已经涵盖在各个业务线的操作风险中；第二部分则由于信息科技业务并不直接产生收入盈利，可根据前三年信息科技投入的平均值，按其一定比例计算信息科技风险的资本要求。

其中Ii表示此前第i年信息科技投入的金额，βIT表示根据信息科技业务风险特征所确定的资本计提比例，KIT表示信息科技风险的资本要求，与其他业务的资本要求相加得到全行总的操作风险资本要求。

（四）信息科技风险监测与报告

风险管理是一个持续提升的过程，因而信息科技风险也需要定期持续的监测，以掌握风险发展的动态。监测一方面可以结合信息安全管理和内控措施，发现信息科技业务中存在的风险点及严重程度；另一方面也可以通过对之前设定的KRI的定期检查，判断风险是否在可容忍的范围之内。

对风险监测的结果和风险控制的现状，需要定期撰写风险报告，并逐级向上级风险管理部门汇总，最后由总行风险管理部向高管层和董事会定期提交风险报告。如总行操作风险部可以逐月汇总来自信息安全管理部和所有分行有关操作风险报告，其中包含信息科技风险的相关内容，然后逐季向高管层和董事会提交全行的风险报告。当遇到重大信息科技风险事件时，应随时上交风险报告。

风险报告是支持全面风险管理决策的重要依据，信息科技风险报告内容应包含在操作风险报告之中，其内容应涵盖报告期内：面临的或潜在的信息科技风险类型，已发生的信息科技风险事件，风险事件原因和过程，风险导致的损失，风险控制/缓释措施及其有效性，对风险事件的总结等。

（五）信息科技风险控制措施

由于信息科技风险自身的技术特点，对其有效控制的基础是在信息科技部门的开发、服务、运营等具体业务流程中实施先进的信息安全管理标准，如ISO20000 IT服务管理国际标准、ISO27001信息安全管理制度标准等。从信息科技风险整体的控制方面，可以实施以下几项措施。

1．完善内部控制机制。为实现信息科技风险的有效控制，商业银行需要建立并完善与信息科技风险相关业务的内部控制机制，确定信息科技相关业务和信息系统应用中不同职位的人员在信息科技风险管理中的分工和责任。这包括不同系统在物理上和技术上的隔离、规范业务操作流程、确定并执行严格的权限范围、建立业务流程之间相互平衡的制约机制等。

2．信息系统审计（IS audit）。指收集并评价证据，以判断一个信息系统能否有效做到保护资产、维护数据完整、完成组织目标，同时最经济地使用资源的过程。商业银行内部或外部的信息系统审计部门，可通过一般控制和应用控制等审计方法对全行范围内的信息系统生命周期内的资产保护、数据完整、资源经济有效利用以及完成组织目标的情况进行综合评价。从而总体把握商业银行信息系统的风险状况，并向商业银行风险管理部门和信息科技部门提出咨询意见。

3．业务连续性管理（BCM）。BCM的目的是通过有效的管理，使在各种意外情况发生时，银行信息系统和相关业务都能始终不间断运营；或者退一步，BCM使意外冲击对信息系统正常运行或业务连续经营的影响降至最小。影响信息科技基础设施（如银行的数据中心或业务处理中心）连续运营的主要因素有，黑客攻击、电脑病毒、软件错误、人为失误、硬件故障、自然灾难等。

有效的BCM是针对以上影响因素严重程度制订的一整套管理方法。如首先是要建立信息系统应急机制和紧急变更预案，从制度上保证出现业务中断时的行动路线。其次加强重要数据的灾难备份。目前我国大部分大中型商业银行都已经成立了灾备中心，进行核心数据的同城镜像和异地灾备。此外还需要对业务处理系统进行切换演练，通过定期进行切换演练，对可能面对的不同冲击进行情景分析和压力测试，降低突发事件威胁，提高应急处理能力。

4．通过保险和外包来缓释和转移风险。由于发生概率较低但损失程度较大的信息科技风险是难以预测、量化及分配资本的，因此对信息科技风险的缓释和转移，可大大降低银行相关风险暴露程度。

使用保险作为操作风险的重要缓释工具有很大的必要性。商业银行与保险公司可以根据主要信息科技风险的损失分布特征，共同开发适当的保险产品以此对商业银行面临的信息科技风险进行缓释。同时软件开发等的外包，即可利用外部专业资源，又可转移商业银行自身承担的失败风险。但也需注意要通过签署权责明确的事前协议，来规避外包过程中的潜在风险。

综上，信息科技风险管理可利用操作风险管理的框架，但信息科技风险的组织结构、识别、计量、报告和控制等都有其具体的方法和工具。这一框架可以表示为如下图4，其中左半部分表示了操作风险管理的框架，右边虚线内是信息科技风险管理的具体内容。

四、结论和建议

本文在操作风险视角下研究了信息科技风险的管理流程和具体措施。研究发现，首先，商业银行的信息科技风险是操作风险的重要表现形式之一，因而有必要利用操作风险管理框架对其进行管理。其次，操作风险管理的流程和工具，可为信息科技风险的识别、计量、监测和控制提供规范化的参考依据。另外，值得注意的是，信息科技风险有其具体的表现形式和技术特点，对信息科技风险的评估、监测和控制等具体措施等有明显的技术特点，因而信息技术部门内部的信息安全管理是信息科技风险管理必不可少的重要基础。

研究建议，商业银行应在信息技术部门内部的信息安全管理的基础上，通过在信息技术条线推行操作风险管理，利用操作风险的规范流程和科学方法对信息科技风险进行有效管理。这不仅有利于落实《新巴塞尔资本协议》的监管要求，也有助于提升我国商业银行全面风险管理体系的建设水平。

注：

篇（9）

住房公积金操作风险目前还没有权威定义，参照银行业的定义，操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。该定义不包括策略风险和声誉风险，但包括法律风险。住房公积金操作风险在我国公积金行业中普遍存在，但没有引起足够的重视，也没有对住房公积金操作风险管理进行系统研究，本文试图从住房公积金操作风险管理的现状入手，分析原因，提出相应对策。

一、现状

住房公积金制度自1999年《住房公积金管理条例》颁布以来，在推进住房制度改革，帮助职工家庭解决基本住房需求，解决和改善城镇居民的住房问题的同时，住房公积金管理水平也得到了较快的提升。但在住房公积金管理中，操作风险在各公积金管理中心以不同的类型的事件显现。

（一）内部欺诈损失案件屡破记录

我国住房公积金在内部管理和监督层面上缺乏风险防范以及未建立有效的风险管理考核指标、责任追究机制和未建立健全监督机制，导致公积金对内部的管理失控，内部欺诈案件数额一件比一件惊人。例如，湖南省郴州市住房公积金管理中心原主任李树彪贪污、挪用公积金一案，被称为当时（2004年）的“全国住房公积金第一案”，1999年9月至2004年1月，李树彪利用其职务便利，撇开单位内部的审核、管理环节，与商业银行和其他金融机构恶意串通，作案29次，从银行和其他金融机构非法获取贷款6675.5万元，实际占用6229.1061万元。郴州市中级人民法院一审判决李树彪死刑。2009年，据《中国经营报》报道，北京市住房公积金管理中心朝阳区分中心（下称朝阳分中心）原主任刘毅被检查部门带走，其任职期间先后挪用近9000万元住房公积金。2014年，爆出吉林通化公积金挪用案，案件涉嫌金额惊人，又破历史纪录。

（二）外部欺诈案件常见报端

住房公积金的外部欺诈案件主要发生现在贷款和支取两个领域上。在贷款方面的表现为：申请人冒名贷款或虚构申请人骗取贷款，或贷款后潜逃；申请人明知自己无履行合同的实际能力或担保能力，采取欺骗手段申请贷款的；未将贷款按规定用途使用，任意挥霍致使贷款无法偿还的；为争取不正当利益，改变贷款用途，造成重大经济损失，致使贷款无法偿还的；隐匿贷款去向，贷款到期后拒不偿还的。例如，刘凡等3人利用他人名义冒顶替，使用欺骗手段在北京住房公积金管理中心骗取管理中心借款1376万元。在支取方面表现为：提交虚假材料和授权委托书代替他人支取公积金；伪造退休证、身份证等相关证件，提前支取公积金；虚构建房、大修房屋手续，支取公积金。此类情况一旦发生，追缴公积金存在很大的不确定性。例如，中山首例非法套取住房公积金案15人被公诉，南宁对非法骗提住房公积金行为立案51起 查处48起，安徽宣城判处骗提公积金者有期徒刑……。

（三）信息系统损失事件鲜为人知

由于维护不到位，操作不规范，或雷电短路损毁，使用不规范介质，或人为故意所致，甚至地震等等导致计算机系统失灵和系统漏洞以及系统崩溃，造成系统瘫痪、数据丢失和信息混乱，这给我国的住房公积金带来致命性的打击。

（四）资产隐形损失事件时有发生

住房公积金的资产在资产负债表上分为存款、应收款、国债、委托贷款和逾期贷款等，这些资产显性的损失易被发现，而隐形损失不易发现但时有发生。隐形损失主要表现为资产配置不合理，资产收益率低，在公积金满足住房贷款后，公积金配置存款和国债的年限和种类会影响流动性和收益。有的公积金管理中心没有争取银行存款的上浮政策，未获得或少获得利率上浮区间的利息收益，也造成资产的隐形损失。

（五）业务办理不规范埋下败诉苦果

住房公积金管理中心在日常业务办理应当遵守相关的管理制度和法律原则。在这个过程中，因为业务办理不规范，无法满足或违反法律要求，在法律诉讼案件中时有败诉案件发生，给住房公积金管理中心造成了经济损失，在这些败诉案件中主要有三类：诉讼时效和法定执行时效过期、主体资格不适用、不作为等。第一类是法定时效过期案件败诉，此类案件主要发生在贷款追缴方面，管理中心因为错过法定期间或诉讼时效，导致诉讼无效，丧失追索权，形成损失。逾期贷款的诉讼时效期间为2年，超过2年后进行诉讼就是无效诉讼，只能进行协议协商；保证人承担保证责任的时效是保证期间，一旦超过保证期间，保证人就会免除保证责任；在抵押权存续期满未处置抵押物将导致抵押权的消灭，如果对法定的时效没有进行主张权利，就很容易形成法律风险。第二类为主体资格不适用败诉，有的公积金管理中心在受理贷款、担保和提取公积金时不实行当事人当面进行身份认证和签字的操作办法，当出现法律纠纷时，多会因主体资格问题而败诉；在保证担保实践中，一些管理中心把《担保法》规定不得作为保证人的国家机关、以公益为目的事业单位、社会团体（如学校、幼儿园、医院等）、企业法人的分支机构、职能部门作为保证人，这也会因担保无效而败诉。第三类第为不作为案件败诉，有的管理中心在汇缴，拒绝接受合规贷款申请及破产改制补缴工作中，对少缴、停缴、欠缴的单位没有按规定进行催建，置之不理，放任自流，形成工作中的“不作为”，那么缴存人有权依法要求管理中心承担因行政“不作为”带来的责任和损失。

二、原因

造成以上风险事件的原因是多方面的，归纳起来主要有有六个方面。一是新兴行业，积累操作风险管理经验少，住房公积金制度建立在我国仅有30多年的历史，是一个新兴行业，没有现成的管理经验可借鉴，全国的公积金管理在设区的市成立管委会进行分散管理，各地管理模式还处在全委托银行、半委托银行、自主管理三种模式并存的探讨阶段，操作风险管理积累的经验很少。二是认识误区，把操作风险管理等同于内审、廉政管理，内部审计是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现；廉政管理是对工作人员在履行其职能时不，办事公正廉洁等方面的管理；操作风险管理是指对操作风险从识别到分析乃至采取应对措施等一系列过程的管理。三是机构缺位，没有设置操作风险管理机构，当今住房公积金操作风险管理机构不健全，机构缺失，主要表现在：操作风险管理职责分散，缺乏专门的管理部门；基层分支机构操作风险管理职能缺失。长此以往，这种缺失的操作风险管理机构将严重阻碍我国住房公积金的发展。四是人才匮乏，没有操作风险管理的人才，目前从我国住房公积金风险控制中看出，领导对风险管理人才重视不够，招录、引进、培养、留住风险管理人才的工作措施不得力；五是政策缺失，没有统一的操作风险管理指引，在住房公积金操作管理这一块，没有建立一套正确的统一的操作风险管理政策。如果没有一套统一的操作风险管理指引，那么就会出现各行其是的效果，上级管理部门对下属部门无法进行有效的管理和控制，各单位也没统一的操作风险管理指引可遵循，从而给单位各方面带来操作风险。六是流程失范，创造了风险事件发生的环境，目前，在住房公积金大多数管理中心已实现了流程管理，但在流程管理中隐含了大量的风险事件没有引起足够的重视。

三、对策

通过对目前住房公积金操作风险管理现状的分析，要提高操作风险管理水平，笔者建议应从以下六个方面入手：

（一）提高认识，把操作风险管理与业务管理同等重视

树立操作风险管理理念，全力营造操作风险管理的文化氛围，把科学的操作风险管理理念深入到各级公积金管理部门，植入到公积金管理中心的每一位员工，让上下各级、全部员工形成惯性思维。

（二）统一政策，出台操作风险管理指引

就全国而言，住房和城乡建设部要制定住房公积金操作风险管理指引，通过统一政策出台操作风险管理指引能够更好落实住房公积金的相关规定和做到防范风险。在单位各方面利益得到维护时，不合法的操作管理也将难以隐藏，同时便于更好的业务规范操作。

统一的操作风险管理指引能进一步完善住房公积金内部治理结构，提升操作风险管理能力。住房公积金操作风险管理指引要至少应包括以下基本要素：公积金管理委员会的监督控制、公积金管理中心管理层的职责、操作风险管理架构、操作风险管理政策、方法和程序，住房和城乡建设行政主管部门对操作风险的监管。

（三）成立机构，公积金管理中心设立操作风险管理机构

建立健全操作风险管理机构，各独立机关要在全系统建立风险管理委员会。在综合管理部门、归集部门、支取转移部门、个贷部门、财务部门要明确问责制、承诺机制、考核机制，并完善这些部门的程序、方法和操作风险计量、计提所需资金；完善操作风险管理机构，对重要的岗位、要害环节、敏感的业务风险点明确内控规定；严格授权、授信制度；建立完善事中控制和事后监督机制；建立操作风险信息预警报告制度，构建“人控、制控、机控一条龙”管理体系，从而，杜绝操作风险管理盲区和“断层”。此外，还必须在成立机构的同时保证做到整合操作风险管理资源，构建内控与内审联动、互动机制。

（四）重视人才，强化培养与引进操作风险管理人才

首先建立与行业要求相适应的教育培训体系是培养符合住房公积金操作风险管理人才的基础。我国住房公积金改革进程不断加快也对操作风险管理人才提出了更多的要求，除了熟悉专业的风险管理知识外，还要具有较高的发现评估风险的能力与风险规避缓释管理的技能。因此，国家住房和城乡建设部对外要助推知名大学开设公积金管理专业，专门设置操作风险管理课程；对内要成立住房公积金风险管理研究团队，培训全国公积金操作风险管理人员。

（五）强化研究，重视操作风险管理工具的研究

操作风险管理工具有三大类：RSCA――风险与控制自我评估、KRI――关键风险指标、LDC――损失数据收集。要重视风险与控制自我评估，对自身进行诊断和完善。住房公积金要对单位综合管理、归集个贷、提取转移、财务管理等进行自我观察、分析和判断，对可能出现的风险和采取什么样的相应控制方法进行评估，对不可接受的风险提出流程优化方案。

要重视关键风险指标，预警和应对信息监控。结合归集岗位、个贷岗位、支取转移岗位等流程分析和梳理，设计一系列反映关键操作风险状况的指标并确定预警阀值，定期跟踪监测值和变动情况，确保潜在风险或风险事件及时得到控制。

要重视损失数据收集，收集和整改事情。根据广泛性、重要性、及时性等原则，以2012年事业单位会计制度为最低要求收集损失数据，并对损失数据进行识别、汇总、分析与报告，以改善内部管理。

（六）规范流程，铲除操作风险发生的土壤。

提高流程设计科学性，在流程框架设计时层次要合理，必须设置到标准作业流程层次，从而避免公积金业务操作随意性大、责任不够清晰的现象；在设计流程环节时，关键环节要设置审核、复合环节，有的还要设置审批和内部审计监督环节。

参考文献：

[1]胡杰武，万里霜，企业风险管理[M].清华大学出版社有限公司.2009.09

[2]郭延安.风险管理[M].清华大学出版社.2010.02

篇（10）

新资本协议对我国金融机构的风险管理提出了新的更高的要求。我国商业银行要在实施全面风险管理的基础上,逐步推进新资本协议所倡导的内部评级法,构建风险管理的整体机制。树立全面风险管理理念,营造风险管理的执行文化氛围;实施以内部评级为主的风险计量方法,注重风险缓释技术的应用;创建风险计量模型,构筑信息数据平台;提高风险管理的制度化水平,增强风险预警能力;建立现代企业制度,构建风险管理市场机制;发挥监管当局作用,强化外部监督。

一、当前我国商业银行操作风险管理存在的主要问题

(一)对操作风险尚无一个全面、系统的认识。目前国内银行操作风险的管理还处于起步阶段,对操作风险尚未有一个全面、系统的认识,这种认识上的局限性不但造成对操作风险理解上的误区,也制约了国内银行对操作风险的具体实践。

(二)操作风险管理机制缺失。国外商业银行在风险管理机制方面已经形成了一整套完善的系统,健全有效的风险管理机制是国外商业银行经营运作的坚实基础,也是银行安全性原则的重要体现。这一点正是我国商业银行的薄弱环节。

(三)操作风险内控机制不健全。业务偏重事后监督,事前、事中风险控制不力,还未形成全过程、立体化有效防控体系;内部岗位、业务的制约、制衡机制亟须加强,新业务、新产品推广前风险评估不足;以及一些规章制度已不适应业务发展的需要、应急事件处理机制尚未真正建立等等。

(四)风险防范意识亟需加强。国有商业银行普遍机构臃肿、人员素质参差不齐、文化层次较低、业务技能陈旧单一,风险管理人才严重匮乏,更重要的是创新能力和接受新事物的能力偏低,加上操作风险管理在国内银行中起步较晚,存在认识上的误区和实践上的滞后,员工风险防范意识较为薄弱,尤其柜面业务操作风险漏洞颇多,制度执行不力、有章不循、违规操作成为形成操作风险的直接和主要诱因。

(五)操作风险监管不力。问题屡禁不止,案件时有发生,甚至在监管检查之后仍会发生责任事故,一个重要原因在于监管不得力,后续监督流于形式,监管制度不够刚性和量化。要实现合规监管向风险监管的转变、事后监督向事前、事中、事后全程监督管理的转变,以及定性管理向定量管理的转变等,还需一个渐进的、逐步完善和加强的过程。

二、建立操作风险管理机制的途径

(一)构筑操作风险管理组织架构。商业银行应根据行情选择适合自身特点的方法,通过一系列操作风险管理流程和框架的再造,对操作风险进行全面识别、评估、监控、报告、改进,建立循环的、持续改进的管理过程,构筑较为完整的操作风险制度体系,同时建立操作风险管理责任制度,明确不同职位的人员在操作风险管理中应担负的责任。