目前中国的金融机构以银行为主体，因此银行业的健康发展不仅仅对金融系统的稳定起着至关重要的作用，也关系到经济生活的方方面面。而银行却是以经营金融业务获取利润的高风险企业，其风险是与生俱来的。金融机构操作风险事件中所含有高频低损失的特性很容易被经营管理者和监管部门所忽视，但是一旦低频高损失的操作风险事件发生，其带来的损失和灾难性的后果一点也不亚于信用风险和市场风险。近年来国内银行业操作风险事件频出，所造成的损失更是触目惊心。

　　一、操作风险的起源

　　直到上世纪90年代初，也可能是在90年代中期，巴林银行倒闭之后。人们才创造了“操作风险”这个词。在“巴林银行事件”之后，金融业开始将欺诈交易等视为单独的风险类别，包括不能被归类为信用风险或市场风险的风险类型，但是这并不意味着操作风险仅限于银行业，因为它涵盖所有类型的企业。

　　最常见的关于操作风险比较有建设性的定义首先出现在罗伯特莫里斯协会等的文章中(1999)，操作风险被他们定义为“由于内部过程、人员和系统不完备或失败或外部事件造成的直接或间接损失”。最初巴塞尔委员会依照原样采用了这一定义，但后来考虑到以量化监管资本为目的的间接损失是难以衡量的，于是进行一定的修正。

　　操作风险被巴塞尔新资本协议(2004)定义为“由不足够的或失败的内部流程、人员和系统或外部事件造成的直接或间接损失的风险”。这一定义包含了法律风险，但是不包含策略性风险和声誉风险。

　　二、操作风险分类

　　2003年巴塞尔委员会发布的《操作风险管理和监管的良好做法》进一步明确了这四类风险的七种操作风险事件类型：

　　（1）内部欺诈：至少涉及一个内部当事人意图欺骗、挪用财产以及规避制度或公司章程的事件，可以分为未经授权的活动以及内部盗窃和欺诈。

　　（2）外部欺诈：第三方意图欺骗、挪用财产或规避法律的事件，可以分为盗窃、欺诈和破坏系统安全。

　　（3）就业政策以及工作场所安全：不符合就业规定、健康安全以及当局法律法规的行为，可以分为雇员关系、环境安全和种族歧视。

　　（4）客户、产品和业务操作：因为没有能履行对客户的职业责任或由于产品的性质或设计引起的事件，包括披露和信誉、不正当的商业和市场惯例、产品缺陷和咨询活动。

　　（5） 实物资产损失：天灾或者不可抗拒的外部事件所导致的实物资产损失，例如战争、恐怖主义、地震海啸、火山喷发等。

　　（6）业务中断和系统失灵：业务或系统故障中断所导致损失。

　　（7）执行、交割及流程管理：由于与交易对手和供应商的关系而导致的交易过程或者流程管理失败而引起的事件，可以分为交易执行和维护、客户获取和文档以及账户管理。

　　三、操作风险的特征

　　（一）操作风险多样性

　　不同于信用风险和市场风险，操作风险的诱发因素多样，而且覆盖内容广泛，因此操作风险的多样性特征很难统一的去描述。

　　（二）操作风险损失分布非对称性

　　一方面是操作风险和风险暴露概念之间没有简单的等同关系，也就是说操作风险与任何财务指标都不密切相关。另一方面是操作风险从损失程度和发生频率来看可以大致分为高频低损失和低频高损失两类。因此，操作风险会比信用风险呈现出更加显著的肥尾特征。

　　（三）操作风险非盈利性

　　一般认为操作风险是单侧的，它是日常业务运营过程中产生的不能获得收益的副作用。

　　四、操作风险的度量

　　2004年6月巴塞尔委员会设计了三种操作风险度量方法，可以用来监管金融机构的操作风险并依据银行业务和风险敏感度来计算操作风险准备金，他们分别是指标法、标准法和高级计量法。规模小且缺乏历史数据积累的银行适合采用指标法以及标准法，而规模较大且经验积累丰富的银行更适合选择高级计量法。目前操作风险的度量方法大致可以分为以机构管理者及专家的经验判断为主的定性方法以及定性和量化结合的度量方法。

　　五、操作风险的管理

　　操作风险作为银行风险管理其中的一环，关系到银行日常运营的方方面面，一旦发生严重的操作风险事件，所带来的危害往往是“致命”的。因此对于操作风险“度”的把握不仅仅需要依靠银行自身加强内部管理和准备足额的风险损失资本，更需要依靠监管部门和市场的严格监督。如此才能使得风险与自身相匹配，获得最大化的收益。

　　（一）加强自身建设

　　1.公司治理

　　银行的公司治理是指“三会一层”与股东以及其他利益相关者之间的关系，其中制衡机制主要包括组织结构、职责范围和履职义务等，而运行机制主要包括行为决策、执行能力、监督管理和激励约束等。银行通过遵循各主体独立运作、有效制衡、相互合作以及协调运转等公司治理原则，合理地建立激励和约束机制。对于银行而言，完善公司治理结构首先需要健全组织架构和明晰职责边界。此外，为了完善商业银行的公司治理结构还需要建立合理的激励约束机制。

　　2.内部控制

　　银行的内部控制是公司的董事会、监事会、管理层及全体员工为实现银行经营的收益、完备的财务报告以及遵守法律法规等经营目标，通过制定和实施系统化的制度、方法和程序，并提供合理保证从而实现和控制主要经营目标的动态化过程和机制。

　　银行的内部控制首先应当贯彻银行发展战略的以及保证主要经营目标的实现，这需要覆盖各个业务流程和全部的部门以及人员。其次需要优先确保国家相关的法律法规被坚决地执行，这需要在公司治理和权责分配等方面建立相互制约的合理化机制。同时，还需要确定银行全面金融风险管理的有效性，以审慎经营为理念，在机构设置和业务流程中坚持内控优先，以确保银行的具体业务记录、财务和管理等披露信息的及时、完整和真实性。最后银行的内部控制还需要与银行规模、业务类型、客户对象以及自身风险等相匹配，并且及时依据大环境的变化进行调整。

　　3.银行业务

　　银行金融业务种类繁多，因此会产生各种类型的操作风险事件。操作风险管理需要银行适当地采取定性和定量相结合的方法，通过仔细地甄别、评估、计量、监测等手段控制或缓释所承担的各类型事件的操作风险，并且充分考虑各业务风险组合之间的关联性，审慎评估各业务风险组合之间的相互影响。度量具体的操作风险损失资本时，应当结合自身运营情况采纳“巴塞尔新资本协议”所推荐的几种度量方法。以充足的资本金应对操作风险可能的损失，降低风险发生的危害。

　　收益性更高的利息业务会增加银行的违法违规行为，而收益低的非利息业务则可以有效地降低银行的操作风险。因为当银行间都采取追求高收益的策略时，就会导致银行面临比较激烈的同质化竞争。为了占居市场获得更多收益又会使得银行会竭力的寻找监管漏洞绕开监管，甚至不惜采取非法行为，这就提高了银行的操作风险损失的可能，同时增加了银行面临处罚时的成本。因此，银行需要充分考虑过度承担高额操作风险所获得的收益是否能抵消面临处罚时的高额成本。除了准备充足的操作风险准备金金应对可能的损失，还需要银行通过创新开展更多元化、差异化的中间业务来有效的缓解自身操作风险，也有利于资金更好的服务于实体经济，而不是通过规避监管、寻找漏洞来避免区域内激烈的同质化竞争。

　　（二）强化外部约束

　　银行具有为了逐利而过度承担操作风险的动机，再加上信息不对称的存在，光依靠银行自身很难纠正其过度行为。因此，需要外部力量对银行的操作风险管理进行有效地约束。这里的外部约束主要由监管部门和市场力量组成，对银行实施操作风险管理进行指导和监督。

　　首先，需要增强银行的信息披露程度，提高透明度，以方便社会大众和监管部门及时发现和监督银行的操作风险问题。银行在年报中应当明确的披露自身的基本信息、财务会计报告、风险管理和公司治理信息以及重大的年度事项等。银行的半年度报告和季度报告应该参照年度报告的具体要求进行披露。

　　其次，对于监管部门而言，事后监管很难避免商业银行操作风险的发生，因为先有绕开监管的“创新业务”，才会有新的监管措施和规章进行补充。但是商业银行毕竟是以经营金融业务获取利润的企业，因此可以通过加大处罚力度，增加其违法违规的成本来迫使商业银行做决策时选择更加理智的决定，而不是一味的去承担高额操作风险追逐高回报，而忽视被处罚时所面临的高额罚金。

　　最后，更需要依靠市场力量全方位及时有效地发现和纠正银行的过度承担操作风险的行为。由于银行因为涉及自身声誉具有隐藏风险事件的动机，新闻媒体需要及时披露重大的银行操作风险事件，不让银行抱有侥幸的心理，同时也可以及时提醒投资者和银行的交易对手。而作为投资者和银行的潜在交易对手更应该利用“人民币”投票，通过影响银行的市场价值，迫使银行在追逐盈利时关注自身的操作风险问题，以避免采取过度承担风险甚至违法违规的行为。（农发行淮安区支行周菲）