20##-2011学年商务管理结课论文

我国商业银行操作风险管理问题研究

——以中信银行天津分行为例

姓     名：         

学     号：         

班     级：         

指导老师：        

20##年10月28日

致谢

本文是在导师的严格要求和悉心指导下完成的，从论文选题、写作到定稿，无不倾注了老师的大量心血和精力。老师具有的渊博科学严谨的治学态度、诲人不倦的育人精神使学生终生难忘并铭记在在此，谨向老师表示最衷心的感谢。

在论文写作过程中，同学们给予了我无私的建议、鼓励和帮助，使我从中受益匪浅。值此论文完成之际，衷心的向以上老师、同学以及给与过我无私的而又无法一一列举的老师和同学们表示最深的谢意和敬意。

最后，我还非常感谢那些以一定方式影响本论文的论述思想的作者和学院图书馆的工作人员，为我查阅资料提供了许多方便。论文中的不足之处，请各位老师不吝赐教。

摘要

近年来，操作风险给银行带来的巨大损失以及给社会金融经济造成的巨大影响，已经得到了世界各国银行业及其监管当局的重视。目前，巴塞尔银行监管委员会在新资本协议中明确将操作风险列为继信用风险和市场风险之后的商业银行第三大风险，并纳入资本监管范畴，但操作风险的理论研究滞后于前两种风险，也是当前商业银行风险管理最为薄弱的领域。因此，对商业银行操作风险管理研究具有理论和实践双重意义。

本文针对我国商业银行当前存在的操作风险问题，通过对操作风险有关理论和管理实践的探索，研究设计我国商业银行操作风险管理的解决方案，最终提高银行抗风险能力和综合竞争力。本文以中信银行天津分行为案例研究对象，介绍了中信银行天津分行的基本情况，总结了该行在操作风险管理方面存在的不足，并提出了相应的应对建议：优化业务流程、提升系统性能、加强文化建设等。

关键词：商业银行；操作风险；形成机理；操作风险管理体系；巴塞尔新资本协议

Abstract

In recent years, operational risk has led to huge losses in commercial banks and material impacts to social financial economy, which is being paid more and more attention by the world banking industry and supervisory authorities. Now days, Basel Committee on Banking Supervision (BCBS) ranks operational risk the third going after credit risk and market risk in 20## New Capital Accord, and requires minimum regulatory capital on it definitely. But theoretic study on operational risk is lagged far behind the former two risks, and operational risk is the weakest field among the three big risks in the world-wide commercial banks.

This article explores relative management theory and sound practice of operational risk, designs a comprehensive resolving scheme of operational risk management in Chinese commercial banks. Its main goal is to urge Chinese commercial banks to take operational risk management into the enterprise-wide risk management system, promote a transformation of management gravity center from capital measurement to strengthening internal management, and finally improve banks’ anti-risk ability as well as the synthesis competitive ability. This paper takes China CITIC bank of Tianjin branch as a case study. This paper introduces the basic situation of the company, summarized the influence of macroeconomic regulation and control policy, and puts forward the corresponding countermeasures. It includes rationally treats macro policies, promote the enterprise comprehensive strength, adopt diversified financing ways and adjustment of real estate development pattern, etc.

Key words：commercial bank；operational risk；formation mechanism；operational risk management system；New Basel Accord

目  录

致谢··································································I

中文摘要····························································II

英文摘要····························································III

第一章  绪论... 1

1.1 研究背景和意义... 1

1.1.1 研究背景... 1

1.1.2 研究意义... 2

1.2 国内外研究现状... 3

1.2.1 国内研究现状... 3

1.2.2 国外研究现状... 4

1.3 研究内容和论文框架... 6

1.3.1 研究内容... 6

1.3.2 论文框架... 7

第二章  我国商业银行操作风险管理理论综述... 8

2.1 商业银行风险概述... 8

2.1.1 商业银行风险的概念... 8

2.1.2 商业银行风险的类型... 9

2.1.3 商业银行风险的特征... 10

2.1.3 不同类型银行风险的关系... 12

2.2 商业银行操作风险概述... 13

2.2.1 商业银行操作风险的定义... 13

2.2.2 商业银行操作风险的表现形式... 15

2.2.3 商业银行操作风险的特征... 17

2.2.4 商业银行操作风险形成机理... 18

2.3 商业银行操作风险管理的理论分析... 19

2.3.1 商业银行操作风险管理的理论基础... 19

2.3.2 商业银行操作风险管理的基本流程... 21

2.3.3 商业银行操作风险管理的度量技术... 25

第三章  研究程序设计与研究方法... 27

3.1 研究程序设计... 27

3.2 资料搜集... 27

3.2.1 文献资料的搜集... 27

3.2.2 案例资料的搜集... 28

3.3 研究方法的使用... 28

第四章  我国商业银行操作风险管理存在的问题及其对策... 29

4.1 我国商业银行操作风险管理存在的问题... 29

4.1.1 操作风险管理体系不完善... 29

4.1.2 操作风险管理文化缺失... 30

4.1.3 操作风险管理损失数据匮乏... 30

4.1.4 操作风险管理方法落后... 31

4.2 我国商业银行操作风险管理问题的原因分析... 31

4.2.1 产权制度的缺陷... 32

4.2.2 内部控制失效... 33

4.2.3 人为因素的不确定性... 34

4.2.4 外部监管乏力... 35

4.3 我国商业银行操作风险管理的应对策略... 35

4.3.1 完善操作风险管理体系... 35

4.3.2 构建操作风险损失数据系统... 36

4.3.3 优化人力资源管理... 37

4.3.4 加强外部审计与行业自律... 38

第五章  中信银行天津分行操作风险管理案例分析... 39

5.1 中信银行天津分行简介... 39

5.2 中信银行风险管理组织结构... 40

5.3 中信银行天津分行操作风险管理现状及其问题... 42

5.4 中信银行天津分行操作风险管理的应对建议... 43

5.4.1 优化业务流程... 43

5.4.2 提升系统性能... 44

5.4.3 加强文化建设... 45

第六章  结论... 47

参考文献... 48

附录... 50

第一章  绪论

1.1 研究背景和意义

1.1.1 研究背景

20##年6月26日巴塞尔银行监管委员会在新资本协议（即《巴塞尔新资本协议》）中明确提出将操作风险列为继市场风险和信用风险之后的第三大风险，并纳入资本监管范畴。根据新的资本协议，为应付操作风险可能带来的损失，银行也要像对待信用风险和市场风险那样，对操作风险保有相应的最低资本准备。对操作风险的重视和监管要求，是新资本协议对1988年资本协议的重大突破，这既是近年来国际金融界日益注重操作风险管理的制度体现，同时也是从全面风险管理和保持银行体系稳定的角度对操作风险管理的新要求。而从操作风险给国内外银行业造成的损失和危害程度来看，加强操作风险管理是当前各国商业银行生存和发展的内在要求。

作为最古老的风险之一，操作风险伴随着银行业务的诞生而存在。操作风险虽不属于新问题，但却在新形势下出现，在“银行生活”中，几乎所有的活动都与操作风险有关，尤其是近年来，随着信息技术的快速发展，银行的经营规模和业务范围急剧扩大，银行的操作风险呈上升趋势，由于操作不当和内部控制失效等原因而造成严重损失乃至机构倒闭的事件频频发生。据英国银行家协会（BBA）在其成员中进行的一次调查显示，67%的银行认为操作风险与市场风险和信用风险同样或更加显著，24%的银行过去三年中在操作风险中遭受过大于100万英镑的损失；世界银行对全球银行业危机的研究也表明，导致银行破产的最常见原因之一就是操作风险。这促使全球金融业认识到，操作风险正成为金融机构面临的最大威胁之一^[1]。

我国目前还处于市场经济初级阶段，市场经济所需要的社会、经济、文化、法律环境还处在不断建设之中，而由于体制上的原因，银行系统的改革在我国经济向市场经济转轨的过程中处于滞后状态，使得我国商业银行总体来看与现代商业银行的差距很大。特别地，我国银行系统在产权制度安排、公司治理结构等方面存在的严重缺陷，加上我国社会转型过程中的腐败现象，导致操作风险在我国银行系统中广泛存在，给银行带来了巨大损失，且呈日益严重趋势。

随着经济全球一体化的不断深入，金融创新的不断加速，以及新技术的革新和运用，银行业还会面临日益复杂的来自于内部和外部的操作风险。而随着银行业市场竞争的日益加剧，一方面，市场对银行的重大失误也将会越来越难以原谅，另一方面，银行也越来越受到来自于外部事件的冲击，银行不仅会面临各种直接和间接的重大损失，其声誉也会日益靠操作风险管理的水平来建立。成功地进行操作风险管理，对银行的生存和发展就至关重要。这就需要我们加大投入对商业银行操作风险的研究和管理。也正是基于以上背景，本文选择从商业银行操作风险的角度对其风险管理进行研究。

1.1.2 研究意义

商业银行操作风险管理在商业银行风险管理及商业银行发展中具有重地位，深入探讨操作风险度量与控制的理论和现实意义主要体现在以下几个方面：

第一，丰富操作风险管理的理论和方法，为操作风险管理的研究奠定理论基础。风险管理在西方银行业已有了相对成熟的管理理论，但对操作风险管理理论研究时间较短，相关理论不够充实。同时，这些管理理论照搬到我国银行业，在实践中存在先决条件、影响因素、环境差别等方面的不同，所以，本文综合运用系统理论、流程管理理论、内部控制理论的理论基础和观点，立足于我国商业银行操作风险管理的实际情况，研究适合我国商业银行操作风险管理问题，使操作风险管理理论更加系统化，为银行业操作风险管理研究提供理论支持，为商业银行操作风险管理实践提供借鉴。

第二，研究操作风险管理度量技术，提升操作风险管理水平。风险管理是现代商业银行经营管理的核心内容。商业银行面临的风险主要是由于金融企业内在脆弱性、业务发展及监管不力造成的。本文通过研究我国商业银行操作风险的形成过程，立足于国际监管协议及我国商业银行改革发展的要求，借鉴操作风险管理的国际标准及新型管理模式，明确研究视角，为商业银行风险管理提供决策依据。

第三，探索将国际通行规则与我国风险管理体制有机结合的路径，推进商业银行风险管理发展。目前，世界各国金融业认识和管理操作风险的主要依据是《巴塞尔新资本协议》，但新协议只是提出了一些指导性、纲要性的建议和指导，具体做法要根据各国国情、各国监管法规和监管部门的制度和各国商业银行的经营行为来确定，甚至要具体到每一家商业银行的实际经营特点。可以说，新协议为操作风险的定义、度量和管理方法留出相对较大的弹性空间。我国商业银行，尤其是大银行要在推进巴塞尔新资本协议的前提下，结合国内环境，对操作风险的类别、表现形式、影响因素、管理方法做深入研究，提出有效管理方法。运用国际管理标准规范研究中国商业银行风险管理的现实问题，推进我国商业银行风险管理的进程。

综上所述，操作风险管理既是银行风险管理的关键内容、是商业银行资本监管体系的主要内容，也是商业银行进行决策的主要依据，因此深入开展本文相关内容的研究对于丰富和完善我国商业银行操作风险管理理论与方法，对于提高操作风险管理水平，增强商业银行操作风险防范能力、提高商业银行运营效率与获利能力都具有重要的理论价值和实际意义。

1.2 国内外研究现状

1.2.1 国内研究现状

国内学者对银行操作风险管理的研究还只是近几年的事，笔者通过中国期刊网、万方数据库、中国知网等各类手段进行了查询，相关的研究资料较少，而且大多集中于引用和介绍巴塞尔新资本协议的相关规定要求。综观国内的研究文献，到目前为止，国内理论界对操作风险及其管理的研究主要集中在以下几个方面^[8-10]：

第一，介绍新巴塞尔协议下国际银行业对操作风险的管理制度、监管手段和方式方法，包括操作风险资本金计算的理论依据和计算框架的剖析（巴曙松，2002），以及操作风险监管冲突的研究（卫功琦，2005）。

第二，对我国操作风险产生原因的剖析，认为我国操作风险来源于公司治理结构的不完善，这是我国银行业操作风险频出的源头（葛兆强，2005），内部控制制度不健全，风险防控缺乏整体性、系统性（钟伟、王文元，2004），风险管理信息技术落后，风险识别手段落后（董彦文，2005）以及从业人员素质不高，风险意识没有普及整个行业（刘新锋，2005）。

第三，我国银行进行操作风险管理的组织框架的构建，刘超（2005）提出基于作业的ABORM 管理框架。该框架将流程中的“作业”作为银行业务中的基本单位，以作业为基础来寻找、确认操作风险驱动因素，进而构建（关键作业、风险动因）组合群。操作风险的衡量和控制都是在这些组合的基础上实现的。蒋东明，张维（2004）以风险管理基本流程为理论依据，设计我国商业银行操作风险管理组织结构与管理程序的理想结构，将管理程序细分为八个环节：战略制定、业务风险电判别、操作风险度量、风险防范与控制、实施业务操作、风险转移与补偿、内部稽核与纠错、管理评价与反馈，并对各组织机构以及风险管理程序各环节的功能进行了详细的界定。

第四，对各种操作风险度量方法介绍和评价，由于缺乏数据来源，高级模型计量方法在我国运用比较困难；杨旭、李志辉（2005）对操作风险损失数据库的建立提出构想，同时提出系统有效收集损失数据是前提和基础；张晓朴等（2006）对操作风险损失分类的原理与方法进行讨论，介绍了支付矩阵法等。

第五，数据分析和实证方面，目前行业中应用较多的是统计计量法和案例分析法（赵家敏等，2004），这两种方法都建立在经验分析的基础上，数据较易获得，操作实用性强。周好文等人（2006）根据《福克斯》收集的关于国内银行 2001－2004 年内部人员损失案例运用极值理论度量了我国商业银行操作风险中内部欺诈的损失结果，证实我国内部欺诈发生概率服从泊松分布；樊欣（2003）、张新扬（2004）通过搜集媒体公开银行损失数据，运用统计分析，揭示了我国现阶段操作风险的状况和特点。杜方（2004）运用资本成本底线VaR法对中国光大银行上海分行的操作风险进行度量，但是这种方法的缺陷是显而易见的，没有考虑信用风险的存在，使用历史模拟法计算 VaR结果不够准确。

1.2.2 国外研究现状

从巴林银行、大和银行的倒闭到1997年7月全面爆发的东南亚的金融危机，引发了巴塞尔银行监管委员会（BCBS）对金融风险全面而深入的思考。BCBS注意到，金融业存在的问题不仅仅是信用风险或市场风险等单一风险的间题，而是由信用风险、市场风险和操作风险等互相交织、共同作用造成的。1997年9月推出的《有效银行监管的核心原则》表明BCBS已经确立了全面风险管理的理念，操作风险也首次被纳入BCBS的风险管理监管范围^[2]。1998年1月和9月推出的《内部控制体系评价框架》和《银行机构内部控制体系框架》则要求商业银行在内部控制体系建设中将操作风险管理作为风险管理的组成部分^[3]，对商业银行建立包括操作风险管理在内的全面风险管理体系起到了重要的推动作用。 1998年9月，BCBS推出了首个专门针对操作风险的文件——《操作风险管理》。该管理文件是BCBS的一个工作组对来自不同国家的30多个大型银行操作风险管理现状的总结性材料，从操作风险的定义、测量、控制、政策、制度和内部控制等角度对各家商业银行的做法进行了总结以^[4]，而20##年2月推出的《操作风险管理与监管的稳健办法》则是规范商业银行操作风险管理体系建设的指导性文件，该文件有十条原则，从内部控制环境、风险管理、监管和信息披露四个方面阐明操作风险管理体系的主要构成要素以^[5]。20##年《有效银行监管的核心原则》征求意见稿中，操作风险在巴塞尔风险管理体系中的地位得到进一步加强。

除了巴塞尔银行监管委员会外，还有许多其他国际机构开展了对操作风险管理的研究，如操作风险论坛、英国银行家协会、操作风险研究公司等，但这些机构由于其组织的松散性或研究目标的单一性和局限性，它们的研究成果值得理论界和实务界加以借鉴，但均未能突破巴塞尔委员会的研究水平，未能从理论上构建有效的操作风险管理体系。

2003 年 7 月，美国著名的职业机构 COSO 委员会10公布完成了《全面风险管理框架》草案，并于 20## 年 9 月正式发布其最终文本^[6]。根据该管理框架，“全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别哪些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内，从而合理确保企业取得既定的目标。”全面风险管理框架为企业的风险管理设定了三个维度，第一维是企业的目标，包括战略目标、经营目标、报告目标和合规目标；第二维是全面风险管理要素，共有 8 个，即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流和监控；第三维是企业的各个层级，包括整个企业、各职能部门、各条业务线及下属各子公司。在这三个维度中，全面风险管理的 8 个要素都是为企业的四个目标服务的；企业各个层级都要坚持同样的四个目标；每个层次都必须从以上 8个方面进行风险管理。

除此以外，国外的一些学者也对商业银行的风险管理进行了相关的研究，比较有代表性是瑞士的 Hans-Ulrich Doerig（2003）、英国的 Marc Lore 与 Lev Borodovsky（2000）、美国的Michael Haubenstock（2004）^[7]分别所作的研究。

Hans-Ulrich Doerig（2003）是对商业银行操作风险管理进行系统研究的为数不多的学者兼银行家之一。他从基础工作、整体观察、人的因素等三个方面提出了操作风险管理的 12 条黄金法则，并结合其在瑞士信贷集团（CSG）多年的实务经验，指出了商业银行管理操作风险的 12个 S，分别是：战略（strategy）、结构（structure）、系统化（system/systemization）、员工（staff）、安全（security）、速度（speed）、利益相关者（same benefit）、共同价值观（same view of value）、技能（skill）、象征（symbel）、风格（style）、同步（simultanous）。并指出商业银行通过 12 条黄金法则的运用和12个 S 的管理，能有效地降低操作风险，从而使“内在风险—已降低风险=剩余风险”达到最小化。

Marc Lore 和 Lev Borodovsky（2000）对商业银行的操作风险管理进行了较为深入的研究，提出了商业银行操作风险管理的6个基本原则：客观性、一致性、相关性、透明性、整体性、完整性，在此基础上，指出了商业银行要成功地实施整个银行范围内的操作风险管理框架，有八个关键要素，包括制定明确的操作风险管理政策，建立风险识别的一套公共语言，构造最优的操作风险测度方法，构建适当的业务流程图，建立实时的报风险告能力，提供风险敞口管理，进行风险分析（包括压力测试），分配经济资本。

Michael Haubenstock（2004）指出操作风险管理框架应包括四个部分：战略、流程、基础设施和环境。战略设定风险管理的总基调和基本方法，流程是在既定战略框架下，风险管理的日常活动和决策，包括业务目标、风险偏好（risk appetite）、企业管理风险的方法以及与操作风险管理相关政策的阐释；基础设施是指用于风险管理中的系统和其他工具；环境则包括文化和相关的外部因素，这里的文化是指高层管理者的参与和支持度，以及他们决策的风格，特别是指风险管理文化。

    综上，我们可以看出：国外学者的理论研究较为丰富，但是在联系实际状况，解决实际问题方面稍显不足；而国内学者主要侧重于在对国外既有研究成果进行翻译，再结合我国的国情进行研究，从而导致很多新出现的问题在理论上研究不足。

1.3 研究内容和论文框架

1.3.1 研究内容

    本文在介绍商业银行风险管理的基本概念和基本理论的基础上，以中国工商银行天津分行为案例研究对象，其研究的主要内容和结构包括以下几个部分：

第一章绪论。主要介绍本文的选题背景和意义、研究的方法和内容以及国内外研究现状，为本文的研究构筑了理论基础和起点，并明确了对商业银行操作风险管理研究的理论意义和现实意义。

第二章论述了商业银行风险、商业银行操作风险及商业银行操作风险管理方面的相关理论。主要阐述商业银行风险的类型；商业银行操作风险的概念、形成机理；商业银行操作风险管理的理论基础、基本流程和度量技术等内容。

第三章为论文研究程序设计及研究方法部分，指出了本文的研究思路及研究方法，同时说明了本文资料的搜集过程及方法。

第四章分析了当前我国商业银行业在操作风险管理方面存在的问题，在对其产生原因进行理论分析的基础上，提出了一些对策。

第五章中充分利用前几部分的理论知识，对中信银行天津分行的操作风险管理进行案例分析，指出了其在操作风险管理方面存在的一些问题，并提出了相应的建议。

第六章结论。结合论文的分析研究，对论文做出总结和展望。

1.3.2 论文框架

第二章  我国商业银行操作风险管理理论综述

2.1 商业银行风险概述

2.1.1 商业银行风险的概念

风险是一个非常宽泛、常用的词汇，目前理论界还远未达成一致的认识，并没有统一的界定。1895年，美国学者海斯首次从经济学意义上提出了风险的概念，在其著作中认为它是损失的可能性^[11]。

随着银行市场化、国际化改革步伐的加快，特别是几大国有商业银行和股份制银行纷纷上市，国有商业银行风险问题引起越来越多的关注。商业银行风险是指商业银行在经营中由于各种不确定因素而招致经济损失的可能性。可以从以下四个方面对其深入理解：

（1）商业银行风险是动态概念。风险中包含损失的因素，但不等同于损失，是潜在的损失，具有不确定性，而并非现实性。至于这种可能性在多大程度上转化为现实性，则取决于现实经济生活中的多种因素制约。

（2）商业银行风险是一种机制。商业银行是经营货币的特殊企业，风险是商业银行的基本属性，风险配置是商业银行的基本功能。这就要求商业银行进行管理和经营变革，寻求最佳资源配置，以降低风险的负效应，发挥正效应，提高金融效率。

（3）商业银行风险具有多因性。现代经济是风险经济，一定程度上讲，商业银行风险是经济运行风险在商业银行中的反映，它与经济主体的行为目标，决策方式和经济环境相联系。

（4）商业银行风险是一个外延广泛、不断变化的范畴。风险作用于商业银行经营活动的全过程，而不局限于资产业务和负债业务;伴随着商业银行的发展，风险的内容正在不断扩充。因此，研究商业银行风险不可能囊括一切方面，而应结合经济发展的特定阶段，有重点、有侧重地研究。

2.1.2 商业银行风险的类型

    根据角度不同，对商业银行风险可以进行不同分类。例如：按照风险产生的范围可将商业银行的风险划分为系统性风险和非系统性风险；按照银行风险产生的根源，可以划分为自然风险、社会风险、经济风险、政治风险和技术风险五个类型。本文是从风险性质的角度进行分类，据此可以将银行风险划分为信用风险、市场风险、操作风险等几种类型。

信用风险是商业银行面临的主要风险之一，具体表现为借款人到期不能或不

愿履行还本付息协议，致使银行机构遭受损失的可能性，实际上是一种违约风险 (Default Risk)。比如资产业务中借款人不能履行协议偿还债务，引起的资产质量恶化；负债业务中存款人大量提前支取引起挤兑;表外业务中交易对手违约导致或有负债转化为表内负债。信用风险具有明显的非系统性风险特征，它不可能产生收益，它的后果就是损失。信用风险包括公司敞口、零售敞口、国家敞口、股权敞口、机构敞口。

市场风险是金融体系最常见的风险之一，通常是指市场变量变动带来的风险。根据变量的不同，市场风险又可分为利率风险、汇率风险、流动性风险、价格风险等。市场风险具有明显的系统性风险特征。利率风险(Interest Risk)是在市场经济环境下，货币市场、资本市场利率的波动影响商业银行负债成本和资产收益，使商业银行蒙受经济损失的可能性。汇率风险(Exchange Risk)是指由于各国货币汇率的波动使商业银行的资产在持有或运用过程中蒙受意外损失的可能性。汇率风险是商业银行经营外汇业务面临的最主要风险，也是外汇风险管理的重点。流动性风险是指客户资金需求突然增加或金融市场剧变或中央银行采取紧缩的货币政策等因素而导致的银行无法应付突如其来的大量提取现金需求，而发生流动性不足的风险，主要表现为银行对客户提取现金支付能力不足。

操作风险是本文的主要研究对象，其概念和特点等都将在后文进行更详细的阐述。

2.1.3 商业银行风险的特征

    风险是商业银行的基本属性，银行不可能脱离风险而存在。与工商企业不同，

商业银行风险具有如下特点：

    （1）不确定性

这是风险最本质的特征，由于客观条件的不断变化以及人们对未来环境认识的不充分性，导致人们对事件未来的结果不能完全确定，风险是各种不确定因素的伴随物。商业银行最显著的特点就是负债经营，即利用客户的各种存款及其它借入款作为营运资金，自有资本占资产总额比率远低于其它行业。这一经营特点决定了商业银行本身即是一种具有内在风险的特殊企业。同时，商业银行日常经营活动中，由于客观条件的不断变化以及人们对未来环境认识的不充分性，导致人们对事件未来的结果不能完全确定，导致经营成果的不确定性，风险是各种不确定因素的伴随物。

（2）潜在性

尽管风险是一种客观存在，但它的不确定性决定了它的特定出现只是一种可能，这种可能要变为现实还有一段距离，还有赖于其它相关条件，这一特性可称为风险的潜在性。风险的潜在性使人类可以利用科学的方法，正确鉴别风险，改变风险发生的环境条件，从而减小风险、控制风险的负面结果。商业银行不断地吸收存款、发放贷款，在经营过程中负债的流动性虽然很大，但总有一部分余额沉淀在银行里。同时，贷款都以转账结算形式进行，不需要支付现金，这样贷款的款项，又转入银行开立的账户上，银行由此增加了存款货币数量，也就是增加了银行的可贷资金。通过贷款、转存，在账目上转来转去就创造出一笔笔新的存款货币了，也就大大增加了银行资金来源。银行业的这种信用创造功能可以在较长的时间里掩盖己经出现的损失，缓和各类不确定因素的变动作用。在一般情况下，即使某些不确定性因素造成损失的可能性已经出现，银行仍可以通过不断吸收存款来保持流动性，使得银行在巨额亏损时仍能够运转，因此其风险具有隐蔽性。同时，商业银行具有信用创造功能。

（3）可控性

不确定性是风险的本质，但这种不确定性并不是指对客观事物变化的全然不知，人们可以根据以往发生的一系列类似事件的统计资料进行分析，对风险发生的频率及其造成的经济损失程度做出统计分析和主观判断，从而对可能发生的风险进行预测与衡量。同时，风险与其决策行为是紧密关联的，不同的决策者对同一风险事件会采取不同的决策行为，具体反映在其采取的不同策略和不同的管理方法，也因此会面临不同的风险结果。商业银行风险可以通过建立科学有效的决策机制，降低经营管理中的不确定性;建立统一规范的内部控制平台，规范员工的行为，减少道德风险和逆向选择;建立内部评级体系，强化信用分析和预警，将风险控制在一定的范围之内。

（4）扩散性

商业银行风险的主体是特殊商品，客体是银行的客户。由于商业银行风险的主体和客体不同于其它行业，具有信用创造功能，信用活动的风险被成倍放大，并形成连锁反应，对存款人乃至整个经济体系形成极大的潜在风险。同时，风险是银行发展的内在推动和制约力量。一方面，银行风险客观地存在经营活动的全过程，既带来机遇又带来挑战，推动银行通过有效风险控制，规避负面效应，获取较好收益。从这个意义上说，银行风险推动着银行业的发展。另一方面，银行风险可能造成严重后果具有警戒作用，能够对银行行为产生一定的约束，成为银行业务过度扩张的制约性。

2.1.3 不同类型银行风险的关系

全面风险管理涵盖了商业银行的全部风险，包括操作风险、信用风险、市场风险等，这些不同的风险类别既相对独立，又相互作用和交错。

（1）操作风险与信用风险和市场风险的联系

操作风险与信用风险和市场风险在某种程度上是相互耦合而发生作用，而导致银行风险事件的发生。任何一项银行风险损失的发生，往往是操作风险、信用风险和市场风险共同作用的结果。作为本文的研究对象，操作风险包括了信贷过程和市场交易过程中的操作风险，而根据新的巴塞尔协议，与信用风险相关的操作风险并未列入操作风险的监管资本要求范围。事实上，纳入监管资本要求的信用风险和市场风险中，有许多风险损失的发生，是由于操作风险管理不当所致（比如，信贷过程中信贷员未能做到尽职调查导致的对客户信用评级不当，而导致发生信用风险损失），属操作风险引致和派生的风险，该部分风险在本文中全部归集至操作风险。因而，本文将所提及的信用风险和市场风险分别是纯粹意义上的信用风险和市场风险，不含信贷过程和市场交易过程中的操作风险。这一点区别于监管资本要求下的信用风险、市场风险和操作风险所覆盖的风险范围。

操作风险来源于银行业务的每一个环节，与操作风险的复杂性和风险来源的多样性相比，剔除操作风险的因素（许多信用风险和市场风险的出险原因在于操作层面），信用风险和市场风险仅是一种纯外部风险（企业、行业、市场乃至宏观经济面的变化导致的风险），是不可控的。因此，从一定意义上说，基于操作风险管理设计的组织管理体系，实质上就是对包括信用风险和市场风险在内进行综合管理的组织体系。

（2）操作风险与信用风险和市场风险的区别

虽然都称之为风险，但操作风险较之信用风险和市场风险有着本质的区别。信用风险和市场风险是中性概念，既包含潜在的损失，也意味着潜在的盈利机会，是银行以及其他金融机构的利润来源，金融机构必须通过承担此类风险来获取利润；商业银行可以通过市场价格的调节来获取与信用风险和市场风险对等的收益，但无法改变其既定的风险水平（风险价值）。操作风险则意味着纯粹损失，只会给银行带来损失成本支出，由于大部分操作风险具有可控性特点，商业银行可以通过加大管理力度（增加管理成本支出）来缓释和降低风险水平。以下是二者的主要区别点。

①风险覆盖面不同。信用风险存在于银行的授信业务；市场风险存在于银行的金融资产交易业务；操作风险则存在于银行全部经营活动，包括授信业务和金融资产交易业务。

②风险收益不同。

信用风险对应的收益是银行授信业务的收入，包括贷款利息收入、有风险敞口的表外业务手续费收入等；市场风险对应的收益是金融资产市场价格有利波动时的盈利（资本利差）。信用风险和市场风险都具有清晰的收益对应关系。操作风险对应的收益则是银行全部经营活动的收入，是一种整体收益，包括了信用风险和市场风险对应的收入（授信业务和金融资产交易也是银行经营活动的一部分），新资本协议对操作风险资本要求计算方法中，基本指标法和标准法的依据就是操作风险与这种整体收益的对应关系。正因为操作风险对应的是一种整体收益，银行往往倾向于将一些经过筛选的操作风险通过保险或者业务外包的方式转移出去，这是操作风险在管理工具上的一个特征。

③受经济周期影响不同。信用风险主要来源于客户信用状况，客户信用状况与其本身的经营活动密切相关，这些经营活动往往会受经济周期的影响较大，在繁荣期和衰退期差异较大，因而信用风险受经济周期影响较大；市场风险主要来源于金融资产市场价格的变化，市场价格在经济周期的不同阶段波动性差别很大，从而导致了市场风险在经济周期不同阶段会呈现明显的阶段性特征；操作风险主要来源于非经济周期因素，如技术失败、系统不完善、内控制度不健全、人员素质等，因而受经济周期影响较小。

④风险来源不同。信用风险来源于客户信用状况的变化，是外生性风险；市场风险来源于市场价格波动，是外生性风险；操作风险则来源于内部的人员、系统、程序方面的因素以及外部事件的冲击，其中，内部因素是根本来源，外部因素归根结底也是要通过内部因素而发生作用，因而操作风险总体属内生性风险。

2.2 商业银行操作风险概述

2.2.1 商业银行操作风险的定义

一直以来，国内外理论界对操作风险的界定存在争议，不同的内涵和种类的界定决定了不同的管理模式。近年来，国内外对操作风险有代表性的定义见表 2-1 所示^[12][13]。

由表 2-1 可见，对操作风险的定义基本是从操作风险影响因素的角度出发进行界定。巴塞尔委员会关于操作风险的定义突出强调了银行内部人员操作和业务系统因素所导致的操作风险，基本涵盖了商业银行的所有业务线。我国金融监管机构对操作风险的定义充分借鉴了巴塞尔新资本协议的含义，但没有完全考虑商业银行面临的竞争环境和发展要求，忽略了业务处理过程中的失误和态度、内部和外部金融案件等给银行带来声誉下降的间接损失。

鉴于国内外金融机构的不同定义，本文认为在界定操作风险时应考虑能予以量化的声誉风险和间接损失，即为：“由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成直接或间接损失的风险。包括法律风险和声誉风险，但不包括策略风险。”

2.2.2 商业银行操作风险的表现形式

巴塞尔银行监管委员会对操作风险按照两个维度进行了分类：一个是按照损失事件类型进行分类，分为七类；另一个维度是依据发生操作风险的业务部门或业务流程环节，分为八类。

损失事件类型是按照操作风险损失事件导致损失发生的原因来进行区分的，具体分为以下七类：

1) 内部欺诈((Internal Fraud)：主要指内部员工有主观愿望，存心欺诈银行。包括由于进行未被授权的交易、从事未报告的交易、超过限额的交易、内部交易；偷盗、贪污、接受贿赂、做假账、违反税法等原因而引发的银行损失。例如内部人员虚报头寸、内部人员偷盗、在职员的账户上进行内部交易等等。

2) 外部欺诈(External Fraud)：主要指出于第三方的故意欺诈、非法侵占财以及规避法律而引发的损失。包括利用伪造的票据、偷盗、抢劫、敲诈、贿赂等手段造成银行损失；黑客破坏、盗用客户信息、数据操纵等计算机犯罪而引发的损失；税制、政治等方面的变动，监管和法律环境的调整等导致银行收益减少。

3) 雇用合同以及工作状况带来的风险事件(Employ Practices & Workspace Safety)：由于不履行合同、或者不符合劳动健康、安全法规所引起的赔偿要求。例如，工人赔偿要求、违反雇员的健康安全规定、有组织的罢工以及各种应对顾客负有的责任。

4) 客户、产品以及商业行为引起的风险事件(Client, Products & Business Practices)：由于产品特性或设计不合理、员工服务粗心大意、对特定客户不能提供专业服务等原因而造成的银行损失。包括产品功能不完善引发的损失，由于强行销售产品、未对敏感问题进行披露、对客户建议不当、职业疏忽大意、不恰当的广告、不适当的交易、销售歧视等导致与客户信托关系破裂、合同关系破裂、客户关系破裂而引发的损失。

5) 有形资产的损失(Damage to Physical Assets)： 主要指自然灾害或其它外部事件而引起的损失，包括由于暴风、洪水、地震、电压过大、恐怖活动等原因造成的物质资产损失。

6) 业务中断和系统错误(Business Disruption & System Failure)：主要指由于计算机硬件、软件、通信或电力中断而引发的损失。包括硬件瘫痪、软件漏洞、设备故障、程序错误、计算机病毒、互联网失灵等原因造成的损失。2005 年 11 月，美国一家声誉很好的证券清算银行，其计算机系统偶然发生故障，不接受任何收入性交易。这样他们在美联储的账户上出现 226 亿美元的赤字，形成了严重的支付风险。

7) 涉及执行、交割以及交易过程管理的风险事件(Execution Delivery & Process Management)：由于与交易对方的关系而产生的交易过程错误或过程管理不善，导致与合作伙伴、卖方的合作失败。例如交易数据输入错误、间接的管理失误、不完备的法律文件、未经批准访问客户账户、合作伙伴的不当操作以及卖方纠纷等。

业务部门或业务流程环节是按照损失事件发生的部门，来对损失事件进行分类的。巴塞尔银行监管委员会划分的业务部门分类包括以下八类：

1) 公司财务(Corporate Finance)：合并与收购、股份承销、资产证券化、首次公开上市发行、政府债券和高收益债券等。

2) 交易与销售(Trading & Sales)：固定收益债券、股权、商品期货、信用产品、自有头寸证券、租赁与赎回、经纪、债务。

3) 零售银行业务(Retail Banking)：零售的存贷款业务、私人的存贷款业务、委托理财、投资建议。

4) 商业银行业务(Commercial Banking)：项目融资、房地产、出口融资、交易融资、代收账款、租赁、担保、贷款。

5) 支付与清算(Payment & Settlement)：支付、转账、清算。

6) 代理服务(Agency Services)：契约、存款收据、证券借贷、发行和支付代理。

7) 资产管理(Asset Management)：可自由支配的资金管理和不可自由支配的资金管理。

8) 零售经纪(Retail Brokerage)：零售的经纪执行以及其他服务。

2.2.3 商业银行操作风险的特征

    与信用风险、市场风险相比，操作风险具有以下七个显著的特点：

①覆盖范围广。操作风险既包括高频率低损失的银行日常业务的操作风险，也包括由于外部环境、突发事件所造成低频率高损失的事件。也就是说，操作风险几乎覆盖了银行经营的所有方面，既包括内部风险也包括外部风险。而信用风险和市场风险更多的是外部风险，由于外部不确定因素引发的风险。

②与报酬没有一一对应的关系。所谓风险可能带来收益，也可能带来损失。但操作风险是一种纯粹的风险，承担这种风险不能带来任何收益，而信用风险和市场风险则存在着高风险高收益这种与报酬一一对应的关系。

③包含不同种类风险。操作风险包括如控制风险、信息技术风险、欺诈风险以及法律风险等，这使其成为很难界定残值的风险范畴，许多新的风险还会不断归并其中。这种性质也使银行对操作风险的管理不可能只局限于一种单一的方法。

④业务规模大、交易量大、结构变化迅速的业务领域受到操作风险冲击的可能性最大。规模和交易量大容易造成操作失误或违规操作，而结构变化、新技术应用以及人员流动的加快随时都可能引发操作风险。

⑤大多数操作风险是银行可控的内生性风险。除灾难、恐怖袭击等外部事件外，操作风险多是内生于银行经营和管理过程中的，是由内部人员、流程、系统原因引起的，是银行可以控制的风险。而信用风险是取决于借款人的主客观情况的违约风险，市场风险与市场价格波动相联系，都产生于银行外部。

⑥与其他风险相联系并有加强作用。操作风险是商业银行日益复杂的业务经营管理活动产生的，操作风险事件的发生并不能立刻被发现，常常在以后业务进行和拓展中表现为其他形式的风险损失，甚至会加剧其他风险的损失程度。例如，有的银行职员收受客户贿赂后违规办理银行贷款业务，所造成的不良贷款被归为信用风险，实际上却源于操作风险，这也为操作风险的界定和归类造成了困难。

⑦操作风险损失不能通过资产组合化解。对于信用风险和市场风险，不同大小的风险可以通过资产组合降低风险程度。例如，4 组市场风险均为 100 元的证券，经过组合后，其市场风险可能降低到 300 元。但是将不同的操作风险进行组合，其风险不但不会减少反而会成倍增加。4 组风险值为 100 元的操作风险其损失可能变成 4 万元甚至更多。这一特点从巴林银行，住友银行等一些大银行因操作风险而破产的著名案例就可得到证实。

2.2.4 商业银行操作风险形成机理

    激励与约束制度的吻合性是相对的，是静态的，而不吻合性是绝对的，是动态的。激励与约束制度的不完全吻合性是传导形成操作风险的动力因子，促进和强化利益相关当事人分别以个人效用最大化为目标的博弈，导致形成了操作风险。

商业银行操作风险这一形成过程的基本原理如下：

（1）激励与约束的不完全吻合性对个人的有限理性形成反向激励约束，制约了个人效用最大化目标趋向集体理性目标的理性行为，扩大了个人有限理性目标与集体理性目标的矛盾和冲突，这种扩大了的矛盾和冲突通过利益相关当事人的博弈形成操作风险。

（2）激励与约束的不完全吻合性强化个人的机会主义倾向，进一步加剧了个人效用最大化目标对集体理性目标的制肘和损害，激化了个人通过机会主义行为获取效用最大化目标的倾向，加剧了与集体理性目标的冲突，这种激化了的目标冲突通过利益相关当事人的博弈形成操作风险。

比如，国有股份独大的产权安排和公司治理结构的缺陷，实际上就是激励与约束制度的不完全吻合性，进一步加剧了（反向激励约束和正向强化）利益当事人的有限理性和机会主义倾向，通过两大等级体系的利益相关当事人间的博弈关系，导致形成了操作风险。

操作风险的形成机理可以用图 2-1 表示^[14]。

在上图中，银行经营活动是操作风险形成机理的载体，个人有限理性和机会主义倾向是形成机理的根源，激励与约束制度的不完全吻合性（激励与约束不足和失当）是形成机理的动力因子，利益相关当事人的博弈是形成机理的传输带。激励与约束不足和失当的动力因子作用于个人有限理性和机会主义倾向这两种人性根源，通过利益相关当事人博弈的传导，导致在行经营活动中形成操作风险。

2.3 商业银行操作风险管理的理论分析

2.3.1 商业银行操作风险管理的理论基础

（1）系统管理理论

20 世纪 60 年代奥地利生物学家贝塔·朗菲提出“系统科学”这个术语，他认为系统是相互作用着的若干要素的复合体^[15]。20 世纪 70 年代后期，中国著名控制论学者钱学森的见解对系统科学的发展产生了广泛而深远的影响。他提出了关于系统科学体系结构的清晰框架，并明确系统的思想实际上包括系统分析、系统工程和系统管理三大环节。以系统地分析有关数据资料和客观事实开始，确定要达到的目标；然后通过系统工程，设计或者策划为达到目标而应采取的各项措施和步骤，以及应配置的资源，形成一个完整的方案；最后在实施中通过系统管理取得有效性和高效率^[16]。

（2）复杂系统理论

复杂性科学认为：研究复杂性离不开系统，复杂性研究复杂系统如何在一定的规则下产生有组织的行为。复杂系统是指具有大量交互成分，其内部关联复杂、总体行为具有不确定性的非线性系统，即不能通过系统的局部特性形式地或者抽象地描述整个系统特性的系统，复杂系统的整体行为不能从组成单元的行为加以简单推断^[17]。复杂系统形成的根本原因不是由于系统内部巨大的个体数目，而在于非线性相互作用。当一个系统的行为具有多个结果，且其行为的结果并不随行为的变化成比例地增大或减小、上升或下降、前进或后退时，其系统具有非线性特性。复杂性是开放的复杂巨系统的动力学特征^[18]。复杂系统通过自组织与不断的适应，历经不同的复杂的变化阶段，向优化的、高级的秩序不断演进。美国圣塔菲研究所（SFI）的科学家们认为^[19]，复杂系统处于混沌的边缘。混沌是确定性系统中存在的内部随机性，而混沌的边缘是指没有新奇的东西能够从高度有序和稳定的系统以及等级分明、实施严格的中心控制的组织环境里出现。所以，系统的状态可以被看到，也可以被理解，但却无法把各个要素或单元间的复杂而简单的相互作用进行一一对应的还原。复杂系统的本质特征是其具有某种程度的智能，即具有了解其所处环境，预测其变化，并按预定目标采取行动的能力^[20]。

（3）流程管理理论

一般意义上的流程（ideal process）概念是指“为特定客户和市场提供产品和服务而实施的一系列精心设计的有逻辑相关性的活动”（Davenport，Short，1991）^[21]。一个理想的流程有三个特点：快捷、规范、低成本。在以流程为中心的企业中，每个流程都由专门的流程组织控制，由各类专业人员组成的团队负责实施，流程成为一种可以真实地观察、控制和调整的过程。流程理论诞生之后，美国管理学家迈克尔·哈默提出“流程再造”（BPR）的概念^[22]：“企业流程再造工程是对企业的业务流程作根本性的思考和彻底的再设计，从而使企业在成本、质量、服务和速度等方面取得巨大的改善，并能最大限度地适应以顾客、竞争、变化为特征的现代企业环境。”流程再造理论突破了传统的按职能部门分工的指导思想，强调以流程导向代替职能导向，实现了企业经营方式和管理方式的根本转变，从本质上看，流程再造是一种全面变革企业经营、提高企业整体竞争实力的管理变革模式，代表了当代管理科学领域的研究成果。操作风险管理流程是指在既定的风险管理环境中，商业银行操作风险管理活动从开始到结束所经历的完整过程。它以系统管理理论、流程管理理论、内部控制理论的范式为指导，与银行的业务性质、规模和复杂程度相适应，达到有效识别、度量、监测和控制操作风险，从而综合管理操作风险的目的。

（4）内部控制理论

内部控制理论的发展经历了内部牵制、内部控制、内部控制结构、内部控制整体框架四个发展阶段^[23]。1992 年美国注册会计师协会成立的专门研究内部控制问题的 COSO 委员会提出著名的 COSO 报告——《内部控制整体框架》，首次把内部控制从平面结构发展成为立体结构，认为内部控制是由控制环境、风险评估、控制活动、信息与沟通、监测组成，将内部控制与风险管理紧密联系在一起。巴塞尔银行监管委员会站在监管者的立场上，在其管理进程中一直贯彻内部控制的思想^[24]。1998年 9 月，巴塞尔银行监管委员会发布《银行组织内部控制系统框架》，系统地提出了评价商业银行内部控制体系的指导原则。在《框架》中将风险识别与评估作为内部控制五个关联要素之一。巴塞尔委员会同 COSO 委员会一样，对内部控制理论的研究是多角度、全方位的。他们对内部控制所要实现的目标、对控制要素的界定基本是一致的，都认为完成和实现目标，需要组织内各层面全体人员的共同努力，并强调内部控制是一个过程，而不是实现目标本身。

2.3.2 商业银行操作风险管理的基本流程

    操作风险流程是操作风险管理活动从开始到结束所经历的过程，是银行日常

活动的一部分。一个完整有效的操作风险流程包括操作风险识别、风险评估、风

险控制/缓释、风险监测、风险报告等五个环节，其具体流程见图2-2。

    （1）操作风险识别

操作风险识别是指对银行经营活动和业务流程中可能影响银行经营绩效，可能给银行带来财务或非财务损失的所有内部或外部操作风险因素的识别，以便对其进行控制和管理。

操作风险识别是有效管理操作风险的基础环节，银行应当逐步建立和完善操作风险识别制度。各级机构和部门应当按照操作风险管理的相关制度要求，采用适当的工具，定期或不定期地进行操作风险识别。操作风险识别应当保证及时性和充分性，同时建立相应的识别制度和机制：

①操作风险识别过程应当认真判断和分析银行所面临的内部因素和外部环境因素；

②各级机构和部门应当确保新产品、活动、流程和系统在实施推广前，对其相关的操作风险进行充分识别；

③对于操作风险事件损失影响程度较大或发生频率上升较快的产品，应当及时进行操作风险重检；

④对于外包的产品或活动，应当进行充分的操作风险识别；

⑤各业务、产品的重要操作流程在新制订或做重大修订时，应当进行操作风险识别。

（2）操作风险评估

操作风险评估是指采用一定的方法，对风险影响程度、发生频率与控制效率进行分析和评价。

操作风险与内部控制自我评估是银行操作风险评估的重要工具。通过对风险影响程度、发生频率和控制效率进行分析与评价，准确掌握操作风险的分布状况，采取相应的控制/缓释措施，优化流程，提高效率。自我评估旨在通过对业务活动或作业流程不断梳理重检，建立主动识别、评估和有效管理操作风险的内部机制。

银行应当通过定性与定量相结合的方法，评估各类操作风险，通过采用关键风险指标、自我评估问卷和损失分布等方法，建立操作风险评估体系。

（3）操作风险控制/缓释

操作风险控制/缓释是指根据操作风险识别评估的结果，结合银行发展战略、业务规模与复杂性，通过采取流程控制、行为监控、电子化、保险等一系列控制/缓释方法，对操作风险进行转移、分散、降低、规避，将其调整到可接受的风险水平。

银行应当制定相关政策、程序和流程来控制/缓释操作风险。对于已识别的操作风险，银行应当决定是采用适当的措施来避免、缓释、转移风险，还是承担风险。对于难以控制的风险，银行应当决定是接受风险，减少相关业务活动，还是停做此类业务。

控制/缓释措施以操作风险的识别评估结果为基础。对于通过识别评估发现的操作风险，各级机构应当制定并实施职责权限范围内的控制/缓释措施;对于超出权限的问题，应当逐级上报解决。银行的操作风险管理应当贯穿于业务活动的过程之中，鼓励各级机构主动、有效地控制操作风险，降低成本，提高收益。银行应限制开展收益无法覆盖操作风险损失的业务。

（4）操作风险监测

操作风险监测是指通过对各类风险指标的日常监测，对操作风险状况及其控制/缓释措施的质量实施动态、持续的监测。银行开发并使用损失数据库、关键风险指标等工具监测操作风险。

操作风险损失数据库是银行操作风险监测的重要工具，各级机构和部门应当对报告损失数据的真实性、准确性、完整性和时效性负责。各相关职能部门和业务部门负责本部门职责范围内操作风险损失数据的统计工作，并向风险管理部门报告；风险管理部门负责所辖机构损失数据统计工作的汇总、分析和报告等工作。

关键风险指标是指对业务活动和控制环境进行日常监控的指标体系。使用的关键风险指标应当为操作风险管理提供预测信息，反映操作风险的潜在问题，以防患于未然或降低损失程度。

银行履行操作风险监测职能的各级部门应当加强与其他部门和国内外各级机构的沟通，建立和保持信息交流机制，确保操作风险监测的全面性和有效性。操作风险监控体系应当充分利用IT技术，将操作风险管理信息系统纳入银行IT总体系统统筹规划建设。

（5）操作风险报告

操作风险报告是指各报告单位进行操作风险信息收集、加工与传输、汇总报告的过程。

银行应当建立全面、严格、及时的操作风险报告制度，对银行面临的各类操作风险进行研究、分析，并按照相应的报告制度及时、全面、真实地向风险总监、业务条线负责人、高管层、董事会提供操作风险管理的整体情况，为合理配置资本和制定银行发展战略提供决策支持。操作风险报告应当至少包括以下信息：

①面临或潜在的关键操作风险；

②操作风险的整体状况，包括但不限于操作风险的主要分布状况，损失情况，重要风险事件描述；

③识别出的重大操作风险、采取的优化控制措施及其执行效果；

④加强操作风险管理的建议。操作风险报告采取矩阵式报告路线，各部门应当向上级对口管理部门和本级风险管理部门报告本部门的操作风险管理情况。各级风险管理部门汇总本级及所辖机构的操作风险报告，向风险管理与内控委员会和风险总监报告，同时报送上级风险管理部门。

操作风险报告分为定期报告和专题报告。各级机构和部门应当按时提交定期报告，并对报告中涉及内容的准确性、完整性和时效性负责。重大操作风险事项和事件应及时报告高管层、董事会及风险管理委员会，并按规定报有关监管部门。各级机构和部门应当制定与银行各类应急预案相对应的重大操作风险事件专题报告路线，以保障在发生重大操作风险事件时，上级管理机构能够及时获得事件的准确信息，迅速应对，将影响降至最低。

当然操作风险管理程序是一个循环往复的过程，风险管理部门应确保主要操作风险管理活动被定期审查，如半年或者一年一次。

2.3.3 商业银行操作风险管理的度量技术

在操作风险的管理中，度量是最关键的环节之一，数据表明国内银行业的操作风险事件中内部欺诈发生频率比较高，尤其是集中在国有商业银行内部，通过统计中损失分布法对目前能收集到的数据进行分析后可以得出供银行风险监管部门参考的分布函数，可以由此确定风险资本的配置。

在20##年巴塞尔新资本协议中，操作风险被给予了一个明确的定义，同时，这份新资本协议还确定了比较宽泛的资本要求，即配置到操作风险的资本为当前金融机构最低资本金水平的20%，显然这是一个相当高的水平，大多数银行看来不愿意配置如此高水平的资本金到操作风险方面^[25]。为此，新的资本协议提供了多种可供选择的衡量操作风险、及其所需配置的资本金的方法，这主要包括：基本指标法、标准法、内部衡量法、损失分布法、记分卡法等。

从目前金融机构在风险管理方面的实践看，当前正在被采用的衡量操作风险的主要方法主要包括：

（1）监测主要指标

这主要是运用不同业务线最能代表其操作风险的指标（如成本、收益、资产、交易量等）进行衡量。其主要优点是简单易行，但是这种方法不能注意到不同业务线、不同领域的操作风险的差异。金融机构在着手监测操作风险时，值得关注的指标主要包括：①交易失误的记录，包括失误的汇总分析、趋势分析、前台、中台和后天之间的合作状况等；②保管业务和仓库等的报告；③不同系统之间的整合状况；④清算系统、外汇交易系统、交易代理业务的状况等。

（2）参考外部指标

运用外部机构在不同业务领域管理操作风险时所采用的范围、方法及其测算的结果，作为自身的参照。在运用这种方法时，如果选取的外部指标得当，实施起来也相对简单，便于不同金融机构之间的对比，而且也可以作为对其他测算方法的有效性的检测 (sanity cheek)。但是，这种方法一般被视为只是一种对比性的测量，而不是基于不同金融机构自身特点的定量化分析；同时，这种测量方法不能鼓励金融机构采取积极的缓释操作风险的方法。

（3）统计分析

通过采集内部的历史损失数据建立统计模型，测算在不同的业务部门和整个金融机构范围内所需要配置的资本水平。这种方法为许多金融机构和咨询公司所采用。这种方法实施的实际效果取决于内部历史损失数据的质量和数量，而且不能灵敏地反映金融机构动态的风险变动状况。

（4）记分卡方法

这主要是包括多项前瞻性的关于操作风险的指标。通常金融机构运用这种方法来分配其他方法测算出来的所需的资本金。采用这种方法能够对前线的业务人员形成积极的激励机制，促使其积极监控操作风险。不过，这种方法得出的结果是否可靠，关键取决于设计这种方法的专家，因为记分卡所选取的指标、以及不同指标所占的权重都是有专家来确定的。

（5）体现风险及其影响的因果关系的复杂模型

这主要是指金融机构在对操作风险及其可能导致的损失的因果判断的基础上，通过采集历史数据建立自身的关于操作风险的模型。这种方法测量的效果应当说是最好的，如果金融机构能够成功实施的话，这种方法能够促使前线的业务人员积极参与操作风险的管理，因为这种方法不仅考虑了操作风险所可能导致的损失，而且还考虑了可能导致这种损失的预警性指标和因素。但是，这种方法对于内部数据采集的要求最高(data availability)，开发整个模型所需要投入的资源最多，在整个金融机构范围内统一实施的难度自然也较大。

因为不同的衡量方法之间存在的优劣各有不同，因而综合运用不同的方法进行判断和相互引证，可能是效果最好的方法。目前，关于操作风险的模型还存在相当大的分歧和争论，不过其基本目标应当是一致的，就是测算操作风险所可能带来的损失，并相应配置资本，提出管理操作风险的方法。在这个测算过程中，重点要确定不同类型的操作风险发生的部门和领域、这种风险发生的可能性、以及发生这种事件所可能导致的损失。

第三章  研究程序设计与研究方法

3.1 研究程序设计

本文首先对商业银行风险、商业银行操作风险及其管理的基本知识作了简要的概述；其次，对商业银行风险的类型、商业银行操作风险的特征、商业银行风险管理的理论基础、基本流程以及度量技术等作了全面的论述；在此基础上，笔者总结了我国商业银行操作风险管理存在的问题，分析了产生这些问题的原因并针对就此提出了解决对策；最后，本文以中信银行天津分行进行了实例研究。

按照上述思路进行研究，首先面临的问题就是资料的搜集。搜集论文写作所需要的资料，是论文写作的前期准备工作。这里的资料应包括两个大的方面，一是文献资料的搜集与整理，其目的在于理论知识的学习，二是案例资料的搜集，以实现理论和实践的结合。因此，论文写作之前，必须充分搜集资料，精心选取资料。

研究和写作过程要始终围绕既定主题——以中信银行天津分行操作风险管理机制而展开，合理界定所选题目的内涵和外延。广泛收集资料并合理科学使用，以理论来指导我国民营发展战略问题。合理安排研究和写作进程及时间，按照《指引》的要求和标准进行操作。

3.2 资料搜集

3.2.1 文献资料的搜集

文献资料的搜集主要来源于以下几点：

（1）对课堂上讲授的知识进行整理。老师讲课的内容都是经过精心准备，具有很强的体系性和逻辑性，能对论文写作思路的拓展和深化有着很重要的启发作用。

（2）学术期刊上的相关文章。学术期刊上的文章都是一些理论工作者最新的理论研究成果。学习和积累这方面的资料，可以使我们随时获得用于工作和写作的最新理论资料。

（3）学术著作。利用图书馆中的学术著作是本论文写作过程中搜集文献资料的最重要方面。通过阅读、摘录、总结等方法进行理论知识的搜集、整理和学习。

（4）对互联网的应用。利用互联网进行文献资料的搜集方便快捷，但对其信息的可靠程度应保持质疑的态度，所以现阶段互联网只是对上述文献资料搜集方法的补充。

3.2.2 案例资料的搜集

    利用研究对象为本人工作单位的便利条件，进行个案求实调查研究，分析总结商业银行在风险管理方面存在的问题，以达到促进企业健康发展的目的。与此同时，中信银行作为上市公司，其公布历年年报和其他各种资料为本文素材的搜集提供的不少便利。

通过媒体、报刊报道的成功案例、搜集、整理、编辑第二手资料，进行辩证分析。

3.3 研究方法的使用

根据本篇论文写作的要求以及相关文献资料和案例资料的搜集情况，这里选择如下研究方法：

（1）案例分析法

本文以中信银行天津分行作为案例分析对象，以其操作风险管理作为研究课题，主要分析其在商业银行操作风险管理的现状及存在问题，以期对我国商业银行操作风险的管理起到参考借鉴作用。

（2）归纳演绎法

归纳法是将万象归纳总结，从中抽取一定的规律性的东西；演绎法的程序则与此相反，从一出发，获得对事物的总体认识。例如：论文在论述商业银行操作风险的定义以及在论述我国商业银行操作风险管理方面存在的问题时，从特殊到一般，再从一般到特殊，归纳和演绎方法的综合运用使得论文观点明确、论据充分。

（3）图表分析法

在一些问题适当引用和插入框架、图表和图形，可以把问题阐述得更为详尽、具体、清晰。本文在论文框架部分，把写作思路更清晰地展现出来；在介绍商业银行操作风险管理的定义时，使用表格的形式将不同机构对操作风险的不同定义一一列举出来，笔者也正是根据其异同对本文研究的操作风险进行界定；此外还根据国内外学者对操作风险管理基本流程的阐述绘制了相应的流程图，使内容更加直观。

第四章  我国商业银行操作风险管理存在的问题及其对策

4.1 我国商业银行操作风险管理存在的问题

    我国金融机构正在建立风险管理的体系和平台，中国的银行对信用风险的管理已基本完成，在市场风险管理方面积累了一些经验，但操作风险管理方面还比较薄弱，不论是从操作风险的预警机制，度量模型的发展，风险资本金准备，内控制度建设上都还刚刚起步。操作风险中国银行业目前面临的新的风险点，也是风险管理最重要的部分，目前还没有一家银行系统完成对操作风险的管理。与国外先进银行相比，我国商业银行风险管理水平的差距还相当大。

4.1.1 操作风险管理体系不完善

一方面，在内部管理机制上，我国商业银行特别是占主体的国有商业银行，在机构上偏重于按行政职能设置岗位，缺乏创新性工作所需要的机动性和灵活性，而现行管理体制及绩效评价标准偏重于短期激励效应，对员工的价值积累重视不够，从而不利于全面风险管理的深入研究和扎实发展。

另一方面，内控体系缺乏风险预警机制。从表面上看，各国有商业银行很重视内控制度建设，制定了一系列规章制度，但往往仅表现为形式主义，未能完全执行于工作之中，且内部稽核、审计部门归同级分支行直接领导，造成内部审计稽核部门依附于同级管理者，缺乏应有的独立性、权威性，致使现实经营中的问题得不到及时充分暴露，延误整改时机。

中国人民银行颁布的《商业银行内部控制指引》指出:内部控制包括内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈以及监督评价与纠正五个要素，它们共同构成商业银行内部控制系统。商业银行内部控制是一个过程，这个过程是通过纳入管理过程的大量制度及活动实现的，要防范和管理操作风险，内控制度就必须被监督^[26]。

因此，我们认为，我国商业银行监督评价与纠正是内控管理里最薄弱的环节，也是造成操作风险损失事件最重要的原因。所以加强银行业内部控制的监管工作尤其重要。

4.1.2 操作风险管理文化缺失

风险管理文化是一种融合现代商业银行经营思想、风险管理理念与风险管理环境等要素于一体的文化，是商业银行企业文化的重要组成部分。适应银行经营环境、推动银行健康成长的风险管理文化将指引银行走上可持续发展道路，而落后的、不科学的风险文化则会成为银行发展道路上的绊脚石，甚至导致银行的灭亡。

我国商业银行一味的追求规模扩张和快速发展，置内在操作风险于不顾，大量的人力、物力和财力投人到业务第一线，对中后台的投人相对较少，使操作风险管理系统、内部控制制度等远远滞后于业务发展，在银行实现快速发展的同时蕴含着许多的风险隐患。业务至上的经营理念也催生了以业务为衡量标准的绩效评估机制，其中尤以客户经理的贷款指标、网点负责人的存款指标为代表。为了完成指标、赢得奖金、获取殊荣，相关职员不惜进行违规违法行为，这在很大程度上诱发了高息揽储、贷款手续简化、外部人连续以同样方式骗取银行贷款等多类操作风险事件的发生。

长期以来，我国银行对操作风险普遍存在认知上的偏差，认为其就是操作性风险，就是操作部门才会产生的风险，错误的操作风险界定使其一直未能得到应有的重视。我国银行的操作风险管理大部分仍然停留在事后管理的层面，注重在银行内部风险事件发生后对责任人进行查处并颁布相关针对性的改进意见，缺乏事前全面、细致、系统的评价机制，不能对所有的风险损失事件进行预测和控制。

4.1.3 操作风险管理损失数据匮乏

我国商业银行操作风险管理还处于比较初级的阶段，由于我国缺乏完善的市场经济体制以及必要的人才基础和数据基础，制约了先进的风险管理理念和技术的推广，进而使得我国商业银行通过量化手段识别、衡量和控制风险一时还难以实现。如果缺乏数据，操作风险管理者就不能汇报、分析，客观量化操作风险将无从谈起。只有在数据的基础上，才可能对操作风险进行定量分析进而执行适当的操作风险管理活动。

尽管我国商业银行由操作风险引发的损失事件数量很多，但有关操作风险事件的损失数据却十分匮乏，这直接造成了操作风险度量的窘境。造成这种局面的原因，一方面是过去我国商业银行对操作风险的管理主要是从内控角度着手，定量分析意识不强，对历史损失数据的积累不甚重视；另一方面是银行一般不会主动披露操作风险事件，反而会想方设法故意隐瞒已经发生的操作风险事件。到目前为止，我国不论从整个商业银行层面上还是对于单个商业银行，还没有成熟的操作风险损失数据库，甚至有的商业银行根本没有把建立操作风险损失数据库提上议事日程。

所以，作为操作风险定义基础上对操作风险精确计量并配置资本的关键步骤，内部数据进行搜集整理对于银行来说的确是一件越来越紧迫的事情。

4.1.4 操作风险管理方法落后

随着信息技术的大规模运用，国外银行业的风险管理方法和工具比较完善。从最初的定性管理到风险分析模型工具展开定量评价，电子化管理也逐步运用到操作风险管理中。

国外银行一般采取由下而上法、统计度量法、情景模拟风险方法来准确的度量操作风险^[27]。同时也，根据新巴塞尔协议对操作风险最低的资本要求，设有操作风险资本金，用来防范由于操作风险引起的银行损失。

当前我国国有商业银行还没有一套完整的操作风险管理框架，其管理方法多数是定性分析，主观性较强，缺乏定量风险。其定量分析所需要的历史风险损失数据库不完备，没有设置关键指标体系，这也给定量分析带来难度。对操作风险的流程和目标不明确，不能对操作风险事件给以全面的定性评估，因此制约了银行操作风险管理的发展，很难精确的判断、识别和度量操作风险。

4.2 我国商业银行操作风险管理问题的原因分析

    在我国目前的市场经济环境下，中国的银行尤其是国有的大银行似乎还不具备这样的条件，在传统的计划经济条件下，国有银行既没有经营自主权，也没有经营责任，银行的风险几乎是全都来自政府的外部风险。转向社会主义市场经济后，随着市场经济体制的建立和银行商业化改革的深化，外部风险逐步得以控制，真正使我们感到担忧的是商业银行自身存在的巨大经营风险以及商业银行运作过程中的操作风险。我国国有银行的操作风险主要由以下几方面原因造成：

4.2.1 产权制度的缺陷

由于我国占主体的商业银行是国家代理和经营全民所有的公共财产，全民作为委托人从产权形式上似乎是明晰的，但全民所有是一个过于抽象的概念，从而导致事实上的产权归属缺位。产权缺位必将导致全民与政府的委托以及政府对银行管理层的转委托关系流于形式。国家和银行没有真实委托人委托的“代理人”，其行为无法得到真正的委托，委托人无法对代理人进行有效的监督与控制，形成了商业银行管理者“内部人”控制局面。

国有经济中的委托代理关系具有特殊性，它表现为两大等级体系，即从初始委托人（全民）到国家权力中心的自下而上的授权链，以及从权力中心到最终代理人（企业内部成员）的自上而下的授权链。由于我国占主体的国有商业银行属于国家或全民所有，以国家作为所有权主体，并且在外部组织形式上实行的是与行政层次安排保持高度一致的分支行制，基于这样一种制度框架，国有商业银行内部存在着多层次的委托代理关系和科层式的组织结构安排，即是说，在政府与国有商业银行存在着委托代理关系的同时，国有商业银行内部也存在着多重的委托代理关系，其中的每一层次（总行、一级分行、二级分行、支行）既是委托人又是代理人^[28]。

这种多层次委托代理关系的主要弊端为：（1）初始委托人缺乏对委托代理者的约束。由于初始委托人的身份具有不确定性，即在或明或暗的合约中没有规定谁来监督政府的代理行为，再加上初始委托人分散，且“搭便车”的心态使他们对银行的经营缺乏关心监督的主动性。而且由于初始委托人不是剩余的直接索取者，在非对称性信息的条件下，监督成本与收益的非对称性表明监督活动具有明显的外部性，这是初始委托人缺乏监督动机的重要原因。即使初始委托人具有监督动机，但由于其无法通过用“脚”投票的方式解除与代理人的合约关系，使得其惩罚代理人机会主义行为的威胁不具有可信性。（2）在政府与国有商业银行的委托代理关系中，代表国家具体行使委托人职能的政府官员拥有选择和监督代理人的投票权，但他们既不拥有剩余索取权，即他们的监督努力程度与其收入水平无关，也不是投票风险的承担者，因此就难以避免出现监督不力，甚至出现某些政府官员利用手中的廉价投票权与银行的经理人员“合谋”的现象。（3）过长的委托代理链条进一步加剧了产权责任不明的状况和国家及各级经营者之间的信息不对称，管理效力递减，委托人对最终代理人监督的有效性遭到损害。另一方面，多层级行政化的组织制度导致了银行分支机构严重的地方化倾向。现实中，一些地方政府经常采用软硬兼施的方法，收买国有商业银行分支机构的负责人，在信息不对称的情况下，地方政府会与国有商业银行分支机构“合谋”，损害了银行的整体利益。

4.2.2 内部控制失效

内部控制是指商业银行为实现经营目标，通常制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。内控制度是商业银行内部的自我约束体系，以监督银行内部为主体，使各自的目标不偏离或少偏离总体目标。因此为了实现对经理层的有效监督，银行董事会下一般设置内控委员会.而机构内部设置内控或审计，稽核部门实施具体内控工作。我国商业银行的总体目标不明确，内控制度缺乏独立性，内控人员对同级领导负责，使商业银行内控制度失灵，内控制度的失效是引发操作风险的主要原因。

一方面，内控制度体系不完善。商业银行内部存在大量的规章制度，缺少系统的整理，其中有些制度规定过于原则化、简单化、缺乏操作性、难以实施。有的基本规章制度存在盲点，有些制度规定已经过时，没有得到及时的废除，有些制度规定分散在各个业务部门，不利于协调执行，众多规章制度表于形式。在当前银行不断推出新业务和发生新的损失的情况下，通常是出台一项新业务就伴随一项新制度，发生一件重大事件就补充新制度，没有进行制度的前后整合，新制度与旧制度之间不衔接或相互矛盾，这样加大了制度执行和检查的难度。虽然我国商业银行近几年在制度改革上有所成绩，但这些制度或规章多数是针对某一产品或业务领域而制定的，不能形成一个网络状的体系。这样局部的风险得到了控制和防范，但是总体上控制不足或系统控制失效，使内控难以达到预期的目标。

另一方面，内部控制执行不力。银行内控制度能有效的执行，那在很大程度上会减少风险损失事件的发生，但目前商业银行内控制度没有得到很好的贯彻实施。主要有三种表现：①盲目执行。没有对制度理解不透彻，甚至是错误的理解，导致执行中的错误。或者按照上级要求或暗示盲目执行，不顾制度规定，以服从代替制度，酿成风险。②随意执行，在业务操作中不严格按照制度和流程要求执行，而是随意按照自己经验，习惯省略程序或逆程序操作。如疏忽大意，没有严格按照有关规定进行操作，这样就造成银行内控制度走于形式。③故意违规执行。为了个人、小团体利益或人情关系，故意违规操作造成操作风险事件。

4.2.3 人为因素的不确定性

如果说市场风险来自于金融产品价格的波动，信用风险来自于借款者偿还能力的变化，绝大多数的操作风险则更多可以归因于有意或无意的、来自企业内部或外部的人为操作失误。在Basel银行监管委员会定义的7种操作风险损失事件类型中，有6种直接与人为操作有关^[29]。

随着银行业务不断扩大，机构增多，员工总数也上涨，加大对人员管理的难度。由于银行对员工的思想教育不够重视，使银行内部部分人员出现道德操守问题，人生价值观扭曲，经不起金钱诱惑，诈编银行资金等。同时由于信息不对称，银行内部人员为自身利益，受个人价值取向与道德情操左右，利用信息优势，违反制度规范，盗窃或诈骗银行和客户资金。由于银行和员工之间的信息不对称，银行无法完全了解员工动机和行为倾向，无法完全获得员工拥有的信息，由于银行和员工的利益不完全一致，加之风险偏好不一致，因此银行员工为了自身的利益可能采取一些对银行有负面影响的行为，如内部欺诈、内外勾结等。

银行的高层管理者作为理性的经济人，必然追求自身利益的最大化。管理能力是一种稀缺资本，银行如果追求利润最大化，就应斌予这种资本相当于它为银行带来的边际收益的报酬。当前我国国有商业银行缺乏长期有效的激励方式，使人力资本的重要性没有在收入中得到很好的体现，这样容易导致管理人员产生道德风险。在对银行经营管理者进行激励时，没有区分其经营业绩的取得是建立在冒险型策略还是稳健型策略的基础之上，没有根据风险状况相应对报酬予以调整，这样就鼓励了银行经理采取冒险型策略，甚至为了提高业绩，无视风险违规操作。从近几年银行发生的操作风险事件看，从业人员的道德风险是银行操作风险发生的重大隐患。

当前商业银行大量具体的内部控制制度主要是各级管理人员针对基层业务部门实行的，而对各级管理人员的控制，是由其上级管理部门执行的。因此，控制的约束力呈金字塔型分布，管理人员的级别越高，受内部控制的约束力越小。目前银行实行的行长责任制虽然增加了分支机构的经营自主权和经营活力，但却忽略了对其权力的监督，使权力和利益占了上风。这样诱发高层管理者的违法违规行为，容易诱发机会主义行为。

4.2.4 外部监管乏力

法制环境是否健全对操作风险的有效控制有重要影响。当前我国的法制体系还不完善，对债务人逃废银行债务没有明确的法律制裁规定，中介机构出具不实资产评估报告没有有效的法律制约，对于银行违规处置抵债资产，抵押品处置变现等特殊问题没有明确规定，这样银行在业务经营中的一些控制措施不能有效的实施，也容易造成银行内外人员勾结导致国有资产的重大损失。

我国现有的商业银行监管只是一种传统粗放的监管方式，还处于一种稽核式和行政管理式的监管状态，并没有按巴塞尔新资本协议建立系统的商业银行风险评价模型和预警系统。一般情况下，监管机关用现场检查和非现场检查两种基本方式，结合对人员的任职资格审查，获取对业务、机构和人员的信息，对商业银行的经营状况和财务状况进行监督管理，保证商业银行能够安全稳健地经营。但是，由于监管内容老化、监管依据陈旧，加上操作风险偶然性、突发性的特点，导致外部监管对操作风险的监督管理水平低下。其次，监管人员素质偏低。监管人员专业知识匾乏，缺乏监管知识和监管经验，不能及时把握监管目标、监管标准和正确的监管理念，缺乏对风险进行数据收集及可行性分析与判断的能力。在监管过程中，容易出现纰漏。同时业务培训不及时，造成监管人员的专业知识与实际需求脱节。再次，监管手段落后，随着我国商业银行不断改革开放，商业银行运作机制和业务操作流程都发生了很大的变化，加上电子化手段的运用，这些都对监管手段、监管技术提出了更高的要求。

4.3 我国商业银行操作风险管理的应对策略

4.3.1 完善操作风险管理体系

操作风险管理体系主要包括组织结构和流程体系，是商业银行操作风险管理框架的核心，构建全面的操作风险管理体系对商业银行操作风险管理是极其重要的。健全的操作风险管理框架是商业银行系统解决操作风险问题的管理基础，是商业银行在日常经营管理过程中进行有效的监管控制操作风险的实施平台。

我国商业银行要充分借鉴国外银行的经验，改变目前操作风险管理状况，应该尽快建立完善的操作风险管理框架，配备专人负责操作风险管理，成立独立的管理部门统筹领导操作风险管理的各项工作，明确其他部门要承担操作风险管理的责任。操作风险管理组织体系实行垂直管理模式，下一级单位对上一级单位负责，有紧急情况可以跨行报告，甚至可以直接向高层管理人员报告，确保信息畅通。在美国和欧洲地区，各国商业银行对操作风险的管理倾向于集中化的模式，设有操作风险管理委员会，该委员会有银行高管人员组成，多数银行机构有高管人员参与操作风险的管理。

在商业银行不断完善公司治理结构的条件下，设立风险委员会，该风险委员会由董事会或监事会监管。在风险委员会下设立操作风险管理委员会，与信用风险和市场风险管理委员会平级，操作风险管理委员会负责全行的操作风险管理战略的制定和修改，同时包括确定银行操作风险管理组织结构、操作风险管理组织框架，该委员会可由各级高层管理人员组成。

在操作风险管理委员会下，在总行内设置专门的总行操作风险管理部门，负责依据战略制定具体的操作风险管理政策，包括管理方法的选用、数据收集阀值的确定、制定规章制度等。该部门在保持高度的独立性条件下，定期向操作风险管理委员会报告。由操作风险执行官领导，其操作风险执行官是操作风险管理委员会的成员，在业务上向首席风险官报告，这样，在总行层面就有权威性的职能部门负责操作风险管理，有利于对操作风险进行管理和监督。业务部门和管理部门中的操作风险管理岗位负责对本业务和管理部门的操作风险暴露进行识别和评估，提出操作风险管理措施，并履行监督职能。而总行和分行审计部直接对高层管理负责，检查和监督操作风险管理政策执行情况。

4.3.2 构建操作风险损失数据系统

银行要建立全行的事件和风险指标数据库，操作风险损失数据库的收集是风险识别和风险监控的重要因素，为风险报告和操作风险分析模型提供依据。银行建立的银行损失数据库，它是收集和存储所有本行由于操作风险造成的损失的全部信息的工具。建立损失数据库的目的是加强对操作风险特性的识别，减少风险损失，满足巴塞尔新资本协议监管要求和内部经济资本管理的要求。

损失数据库要包括重大操作风险损失的事项、涉及银行运营安全的事故内容、由经营风险带来的所用信用损失等，必须按照全面覆盖性、完整性和正确性等三个准则要求记录在银行损失数据库中。在总行层面建立中央数据库跟踪记录内部损失事件的历史。主要包括实际损失超过规定金额的事件，损失金额接近最低阀值的事件和潜在损失事件等，还要将外部同类银行损失经验数据纳入模型构建和情景分析^[30]。我国商业银行可以根据银行的规模，文化以及业务的复杂程度，开发关键风险指标和操作风险指标跟踪监测软件，来有效的防范和监控操作风险。

为了适应金融的自由化，国际化和证券化以及内部管理垂直化，信息部门在众多的银行经营中运用。由于道德风险存在的客观性，要消除商业银行经营中的道德风险，还必须实施信息化风险控制。我国商业银行网点多，信息传递的不通畅是操作风险发生的重要原因。因此，要建立覆盖全业务，全部门的信息管理系统，包括对已有的业务流程的再造和设置操作风险控制点，有助于总行对分支机构进行有效的管理。

4.3.3 优化人力资源管理

从操作风险的形成因素看，执业人员的疏忽、怠慢和机会主义是当前国有商业银行产生操作风险损失的主要原因，很多操作风险损失事件都是内部人员违规造成的。因此有效防范操作风险必须加强人员管理。

从商业银行操作风险现状来看，内部欺诈以及银行内外勾结和违规操作发生频率高，特别是在业务领域的高频率违规操作风险应是防控重点之一^[31]。鉴于人是操作风险发生的关键因素，因此，国有商业银行绝不能忽略人格方面的考察和科学的人力资源安排。银行要重视人员风险，完善考评和激励机制，加大对基层管理人员内控管理职责的考评，要加大对执行不力人员的处罚力度。同时，要对所有岗位实行综合分析，根据各岗位的基本岗位要求及人力资源配置要求来合理安排人员，并根据业务量及各行特点合理进行工时安排，推行人性化管理。另外，各级管理人员要在日常工作中引入压力管理和情绪管理，有效缓释风险。

进一步加强对重要岗位人员的风险评估和动态管理，对一些重要岗位实行突击性轮岗和定期带薪休假制度，在轮岗和休假的同时对其进行合规性审查和评价，并形成明确的制度规定。另外，管理层应加强对客户的走访，了解客户经理的工作情况，也可建立客户信息档案登记制度，由非业务部门人员经常与客户电话联系，监督客户经理的工作，了解客户对银行服务的认可度和操作风险的异常信息。

建立一个综合的教育网络，并保证教育的连续性、系统性和针对性。加强全员教育、培训，使全员进一步识别、衡量操作风险。每个环节、每个岗位的员工要正确认识操作风险的本质特性和危害，清晰地了解本行的操作风险管理政策，对风险的敏感程度、承受水平、控制手段有足够的理解和掌握。自觉规范操作，避免操作失误，抵制各种诱惑，坚持防范和杜绝各种欺诈行为，有自觉防范和控制操作风险的意识。

4.3.4 加强外部审计与行业自律

外部审计约束是指外部审计机构根据法律规定、监管部门要求或接受银行申请，对商业银行的有关经营活动进行审计，并提交审计报告。外部审计的作用在于为银行监管和市场利益相关者提供独立、真实的信息，是对商业银行较强的一种外部约束^[32]。

外部审计主要包括法定审计和监管审计两种情况，法定审计是指商业银行按照相关法律规定，邀请有资格的外部审计部门，对其向各相关监管部门报送或用于信息披露的财务报表进行审计；监管审计是指外部审计机构根据监管部门要求或银行申请，对商业银行进行的以满足银行监管为目的的检查。银行监管部门有权要求各级商业银行提供由其认可的审计机构出具的满足银行监管需要的各种信息的报告。加强外部审计机构建设，规范法定审计和监管审计，有助于形成对商业银行强力的外部约束。

此外，我国商业银行同时受到银监会、人民银行、证监会、保监会等监管部门不同程度的监管约束，这种多层次、复杂化的监管格局需要强大的信息支持，而不同监管部门对信息采集的单独行动不但会给商业银行造成过多的压力，而且会降低整体监管效率。外部审计的另一个重要功能就是为参与商业银行监管的各机构提供统一的信息，使得各相关监管部门可以根据相同信息采取步调一致的行动。一个较为可行的思路是，各监管部门根据监管职能制定规则，并根据各自的需求随时更新信息要求，然后协议委托独立的外部审计部门（如会计事务所或评级机构）定期对商业银行进行审计，通过提交审计报告的形式一次性满足所有外部监管者的信息需求。当然这是外部审计功能发挥的一个理想状态，实际工作中，由于银行监管的复杂性，外部审计对信息发现的局限性，要真正发挥外部审计的作用还需要监管部门、审计机构和商业银行三方的不断探索和协调配合。

银行业自律约束是指通过银行业协会的协调和一致行动，来对商业银行经营活动进行的监督和约束。银行业协会属于非政府组织的范畴，是介于政府部门和市场行为主体之间的特殊组织，通过银行业协会进行的自律约束属于一种社会监督。在现代市场经济国家，银行业自律组织具有越来越旺盛的生命力。银行业协会作为银行业的行业自律组织，是外部监管和市场约束的有益补充，在对银行业进行自律约束中具有天然的优势，包括对银行经营活动比较了解的信息优势，对银行业务、人员比较熟悉的沟通优势，以及相对超脱于政府和银行的独立性优势等，使得银行业协会对于商业银行操作风险这种很具体化的风险能够发挥独到的作用，特别是对操作风险的新表现和新趋势往往能够及时发现、及时反映、及时对管理措施和处罚力度提出对策和建议。

中国银行业协会于 20## 年 5 月 10 日在北京成立，这是我国加强银行业自律约束的一项重要举措。实践证明，中国银行业协会以及各省（市、区）协会在协助银行监管部门制定政策、完善法规、协调会员银行关系、维护行业权益等方面发挥了一些积极作用。为了促进银行业协会更加积极、规范地发挥作用，中国银监会于 20## 年专门颁布实施了《银行业协会工作指引》。然而，从总体上看，我国银行业协会的组织发展还很滞后，定位仍不清楚，各地区发展很不平衡，在风险防范和监管协调上的作用还不明显。

要真正发挥银行业协会在商业银行操作风险监管上的作用，还需要加强以下几个方面的工作^[33]：一是加强银行业协会的自身建设，完善机构、健全制度、提高人员素质，打造一支职业化和专业化的高素质员工队伍；二是组织会员银行根据《中国银行业自律公约》制订并签订具体的自律公约及其实施细则，建立自律公约执行情况检查和披露制度，督促会员依法合规经营，使其成为操作风险控制和监管的有力补充；三是制定银行从业人员道德和行为准则，组织银行从业人员资格考试和相关培训，提高从业人员素质，加强银行从业人员自律管理，从源头上控制“人致型操作风险”。

第五章  中信银行天津分行操作风险管理案例分析

5.1 中信银行天津分行简介

中信银行成立于1987年，原名中信实业银行，是中国改革开放中最早成立的新兴商业银行之一，是中国最早参与国内外金融市场融资的商业银行，并以屡创中国现代金融史上多个第一而蜚声海内外。伴随中国经济的快速发展，中信实业银行在中国金融市场改革的大潮中逐渐成长壮大，于20##年8月，正式更名“中信银行”^[34]。20##年12月，以中国中信集团和中信国际金融控股有限公司为股东，正式成立中信银行股份有限公司。同年，成功引进战略投资者，与欧洲领先的西班牙对外银行（BBVA）建立了优势互补的战略合作关系。20##年4月27日，中信银行在上海交易所和香港联合交易所成功同步上市。经过二十年的发展，中信银行已成为国内资本实力最雄厚的商业银行之一，是一家快速增长并具有强大综合竞争力的全国性商业银行。

中信银行天津分行成立于20##年6月9日，作为中信银行在天津的一级分支机构，通过多年的不懈努力，积淀了良好的品牌形象，赢得了广大客户的普遍认可。天津分行依托总行的坚强后盾和多年来各界朋友的鼎力支持，凭借雄厚的资金实力，遍及全市的营业网点，领先业内的电子优势，高素质的人才力量，构筑起了津门金融界的脊梁。

成立近11年来，天津分行以科学发展观为指导，始终坚持在严控风险的前提下，努力提高资本约束下的可持续发展能力，通过制订明确的发展目标、不断健全完善分行的经营决策机制及经营管理制度，不断致力于经营理念、金融产品和发展思路的创新，加强公司业务、零售业务和国际业务三线联动的强势营销，力争保持并逐步扩大自身竞争优势。同时，天津分行充分借助中信集团的综合金融优势，在天津滨海新区试点建立了“中信金融超市”，在激烈的同业市场竞争中抢得了先机。

随着天津被定位为中国北方经济金融中心，滨海新区被纳入国家发展战略，天津分行抓住这一千载难逢的大好机遇，实现了资产、质量、规模快速、健康发展。截至20##年末，分行共有24家同城营业网点，1家二级分行。各项存款折计人民币237.8亿元，本外币各项贷款153.1亿元，资产总量折计人民币292.58亿元^[35]。分行成立以来，累计上缴利税16亿元，累计贷款投放超过1100亿元。为服务地方经济建设做出了应有贡献， 在同业和系统内均取得了令人瞩目的成绩^[36]。

5.2 中信银行风险管理组织结构

中信银行一直致力于建立独立、全面、垂直、专业的风险管理体系，培育追求“滤掉风险的收益”的风险管理文化，实施“油脂行业、优质企业、流动市场、主流客户”的发展战略，主动管理各层面的信用风险、流动性风险、市场风险和操作风险等各类风险，其风险管理的组织结构如图5-1。

5.3 中信银行天津分行操作风险管理现状及其问题

中信银行天津分行构建、完善内部控制体系“三道防线”的操作风险管理体系。

第一，深化理念、开展全面内控评价，促进“第一道防线”不断提升内控管理水平。分行自20##年以来连续4年开展支行内控评价工作，并于20##年、20##年两次在总结支行内控评价工作的基础上修订评价办法，使评价结果更加客观。20##年，增加了对中间业务风险控制环节、人力资源管理、家访制度落实情况等方面的检查和评价内容，并对零售不良贷款、会计业务、国际业务、财务资金管理等方面的指标进行了修订和完善。同时，合规审计部组织分行13个管理部门对全辖各网点的内部控制情况进行全面检查和评价。通过开展全面内控评价，全行员工遵章守纪意识明显增强，业务操作能力不断提高，风险防范意识和识别能力进一步提升，有效地促进了作为“第一道防线”的基层单位不断提升合规风险管理水平，实现合规稳健经营目标。

第二，充分协同、联合管理部门共同开展检查，推动“第二道防线”履行检查管理职责。为进一步提高审计的质效，分行合规审计部联合相关条线管理部门共同参与现场审计。20##年以来，分行合规审计部在会计柜台业务、零售信贷及个人理财业务、信息技术等专项审计中均采取了联合审计的方式，推动“第二道防线”履行检查管理职责。从实践情况看，联合审计方式，显现了审计条线与业务条线的联动优势，合规审计部和业务管理部门充分沟通、配合密切，审计、专业条线两支队伍相互学习、取长补短，弥补了审计人员在专业方面的不足，在一定程度上缓解了分行审计资源不足的问题，同时促进了“第二道防线”检查指导职能的有效发挥。

第三，强化监督、审计，提高针对性，发挥“第三道防线”审计增值服务功能。一是在审计项目安排上综合考虑风险、资源、覆盖面等多项因素，体现分层次、多视角、差异化的原则，逐步提高审计的专业性和实效性。20##年以来，分行合规审计部组织开展了33项专项审计、合规检查等，审计覆盖了公司信贷、零售信贷、个人理财、网上银行、银行卡、会计柜台业务、信息技术等主要业务领域；二是不断提升审计价值，及时揭示体制和流程上存在的缺陷、薄弱环节和风险隐患，为业务条线及管理层提供决策建议。今年分行内部检查共发现问题141个，截止目前，已整改131个，整改率近93%；三是善于发现问题的同时还善于分析问题产生的原因，提出有效建议45条，涉及网银业务、会计业务、银行卡等方面内容，推动相关部门修订、完善了公司网银业务管理办法、业务印章管理实施细则等，促进了分行相关业务的规范管理；分行20##年对上门收款业务开展了检查并对上门收款工作流程进行了梳理，20##年牵头组织全行13个管理部门对各项业务及日常管理的权限情况进行了梳理并将梳理结果印制成册，2010对印章管理情况进行专项审计，及时堵塞了印章领域的管理漏洞，实现审计为业务发展提供增值服务的功能^[37]。

尽管中信银行天津分行在同类商业银行的操作风险控制方面表现较好，但与一些优秀的商业银行，尤其是与国外同类银行相比，还是存在一定的不足和问题。具体表现在：

第一，操作风险管理理念上的差距。操作风险管理是整个银行经营管理中的重要一环，需要具备先进的理念和技术。天津分行的风险管理人员在操作风险管理理念方面还不能满足业务快速发展、风险管理日益变化的需要，在风险管理的过程中缺乏差别化的理念，忽略了不同业务、不同风险、不同地区之间存在的差异，不仅不能管理好业务风险，反而容易产生新的风险。

第二，操作风险管理方法上的差距。长期以来，我国商业银行在风险管理方面比较重视定性分析，如信用风险管理中，重视贷款投向的政策性、合法性、贷款运行的安全性等，这些分析方法在强化风险管理中是不可缺少的。与国外风险管理方法相比，中信银行天津分行的操作风险管理量化分析手段欠缺，在风险识别、度量等方面还很不精确，对借款企业产品需求的变量因素的微观分析往往不足。

第三，操作风险管理体系上的差距。体系的健全和独立是确保操作风险管理具有超前和客观分析能力的关键。从国外银行看，基本都具有从董事会、风险管理部门到风险管理官在内的较为独立的风险管理体系。这种独立性不仅表现在风险控制要独立于市场开拓，还表现在程序控制、内部审计和法律管理等方面。但中信银行天津分行的风险管理体系往往还不健全，风险管理受外界因素干扰较多，独立性原则体现不够。

5.4 中信银行天津分行操作风险管理的应对建议

5.4.1 优化业务流程

首先，在业务流程上应该强调业务操作流程的整合，追求的是“零缺陷”管理理念。这应该是一个常态管理的过程，有助于增强对基层网点的控制力。总行业务部门要总结操作风险管理经验，采用内部监控的自我评估法（CSA），建立本条业务线的操作风险控制矩阵^[38]。通过召开座谈会、问卷调查等方法识别、评估可能存在的主要风险点，提出相应的监测和控制方法，最终形成包含业务风险点、风险类型、控制目标、监测体系、检查范围以及文件档案等要素在内的一整套风险控制工具。工商银行在目前的改革工作中，主要的工作重心是组织架构的整合上，对业务操作流程的整合所花的精力还比较少。

其次，天津分行必须理出具体业务流程，根据损失资料寻找流程中的风险点，并制定详细的规章制度，从制度上保证每种可能的风险因素都有所监控，每种业务都有规范，形成有效的自我约束和自我保护。中信银行天津分行应该首先从这些业务领域取得突破。加强对票据诈骗、集团客户与关联交易、网银业务、不良资产处置过程中的违法违规及道德风险、信托业务风险等的管理，防范企业利用关联关系逃避监控和内外勾结骗取银行资金。严格按照《商业银行授信业务指引》要求，落实“三查”制度，规范贷款审批和管理，坚决杜绝顶名、冒名贷款、自批自贷等违规行为。将钱账分管、审贷分离等制度要求落实到位，应设立自动账务核对系统，以实时提示风险。加强银企对账工作，对资金变化异常、往来频繁的账户进行重点排查，对大额存款户重点进行住户对账。

再次，要加强业务流程的动态管理和持续监管。许多操作风险业务发生后，常会有一段时间的潜伏期，如果加强事中和时候监督控制环节，就能够减缓其损失程度甚至避免风险发生。因此，要配齐、配强事前和事后监督人员，真正实现前中后台分离。

5.4.2 提升系统性能

    随着中信银行的改革深化，许多先进的技术和设备，包括互联网、电子监控系统、PS 系统、货币检验技术等现代化的技术与管理手段相继在银行的营运活动中得到广泛应用，银行系统出现风险的概率也大大增强。在市场竞争的条件下，技术与装备水平在很大程度上决定着操作风险的控制程度以及银行的竞争地位。由于银行内部系统造成的损失往往具有低频高损的特点，因而需要对由于系统故障而引起的操作风险给予更多的关注。

对于银行可以承受的风险，银行应该制定完备的应急和连续营业方案。银行应该加大力度防范网络风险，加强科技手段的提升和运用，通过实时清算系统、会计核算系统、信贷管理系统、审计系统等的开发与应用，及时有效地防范操作风险^[39]。培养对网络技术和操作风险有充分了解、熟练运用计算机和掌握丰富风险管理知识的风险管理人才。对于由产品设计不合理引发的操作风险，则应该在投入市场之前，充分识别和评估所有重要产品、活动和系统中的操作风险，并在引入新产品、活动和系统之前对其中的操作风险经过足够的评估。收集已出现的产品问题，分析原因，并且制定相应的策略。

对于超过银行自身控制能力，特别是当物资、电讯或信息技术基础设施受到重创时，严重事件可能导致银行无力履行部分或全部职责，从而带来重大经济损失，甚至通过支付系统等渠道造成更广泛的金融系统瘫痪（一个典型的例子就是日本金瑞穗银行合并时由于计算机故障导致的“三月危机”）。这就要求银行必须考虑到可能遭受的各种情形，建立与自身经营规模、业务复杂性相应的灾难恢复和业务连续方案。银行应该特别关注恢复电子或物理记录功能，还要定期检查、定期测试灾难恢复和业务连续方案，保证与目前的经营和业务战略吻合。

5.4.3 加强文化建设

    风险伴随银行业务而生，在客体上贯穿银行业务的全过程；由于涉及战略决策者、中层执行者与一线操作者，所以在主体上又必然涉及银行的全体员工。制度本身不是文化，但有什么样的制度就有什么样的文化，制度塑造文化，塑造的过程就是执行、控制、评价的过程^[40]。

在北欧的 SBS 跨国银行中，无论是董事长还是一线员工，都投身到操作风险管理中去。虽然他们的工作各不相同，但管理操作风险的目标是一样的，这是因为操作风险管理贯穿于银行业务的每一个过程，并体现为每一个员工的行为。

中信银行天津分行要培育出良好的企业风险文化，首先要加强员工教育，疏堵结合。目前天津分行暴露的操作风险突出表现为道德风险，所以应该加强员工的职业操守和道德教育，培育风险和合规文化。让员工对操作风险有更多了解，知道形成操作风险的因素和怎样规避这些操作风险，意识到员工个人在操作风险管理中所承担的责任；使员工明白实施操作风险控制措施是能够直接减少损失，甚至增强银行抗风险能力的行为；对银行操作风险的管理并不是业务发展的附属品，而是为实现经营目标所必不可少的重要环节。建立风险文化，可以营造出良好的操作风险管理环境，其实质在于为防范操作风险创造良好的“土壤”。

其次，要在银行内部树立良好的服务意识，正确处理规范化操作与客户服务的关系。在操作风险事件收集过程中，许多事件是由于客户对银行制度以及规范操作不了解甚至是不知道造成的，例如银行卡的问题。天津分行应该本着耐心、细心的服务态度，对客户解释业务办理流程，避免不必要的冲突；而对于银行的优质客户，规范化操作是其对商业银行的基本要求，是吸引优质客户的有效手段，以违规作为代价来迎合客户的要求，必将留有隐患而影响与客户的长期合作，一旦出现案件就要危急客户，影响银行经营和形象。

第六章  结论

商业银行操作风险管理是近年来中国银行界和理论界共同关注与研究的一个热点和难点问题。本文在借鉴已有的风险管理和相关领域的研究成果基础上，综合运用系统理论、流程管理理论、内部控制理论等分析操作风险管理方法，明确操作风险管理流程的构成，指出了操作风险度量技术在商业银行操作风险管理中的重要作用，分析了操作风险形成的机理。

本文通过查阅文献资料，深入了解了商业银行操作风险管理方面的知识，并对各种方法进行了阐述。结合中信银行天津分行的操作风险管理，得出如下结论：

第一，当前我国商业银行在操作风险管理方面取得了较大的发展，但还是存在诸多问题，严重妨碍了银行业的健康发展。这些问题概括起来主要包括一下四个方面：⑴操作风险体系不完善；⑵操作风险管理文化缺失；⑶操作风险管理损失数据匮乏；⑷操作风险管理方法落后。

第二，本文就我国商业银行存在的诸多问题提出相应的应对策略，从而用以解决实际问题。应对策略主要有：⑴完善操作风险管理体系；⑵构建操作风险损失数据系统；⑶优化人力资源管理；⑷加强外部审计与行业自律。

第三，通过运用商业银行操作风险管理方面的相关理论，对中信银行天津分行进行案例分析，指出其操作风险管理方面存在的问题，得出了需要从优化业务流程、提升系统性能、加强文化建设等三方面入手解决这些问题的结论。

由于思考和探索的局限，本文对有些问题虽然开展了有益的讨论，但有些还有待于深入的、全面的、进一步的完善和丰富。

参考文献

[1] 李开秀,魏灿秋.商业银行操作风险管理问题研究[J].经济论坛.2006(17):103-110.

[2] 陈余化,赵榄.警惕商业银行操作风险监管走向误区[J].经济论坛.2006(13):108-109.

[3] 符涛,淳道松.基层银行操作风险治理探析[J].金融参考.2009(7):3-24.

[4] 谭雅玲.聚焦银行操作风险[J].银行家.2005(5):10-17.

[5] 杨隽萍,沈静,于晓宇等.中国商业银行操作风险研究文献综述与模型选择[J].工业技术经济.2006(2):118-120.

[6] 刘正良,刘厚俊.新巴塞尔协议下的操作风险与我国银行业改革[J].财经理论与实践.2005(4):19-24.

[7] (英)卡罗尔·亚历山大,陈林龙等译.商业银行操作风险[M].北京:中国金融出版社.2010.

[8] 顾京圃.中国商业银行操作风险管理[M].北京:中国金融出版社,2006.

[9] 张吉光.商业银行操作风险识别与管理[M].北京:中国人民大学出社.2005.

[10] J.David Cummins, Paul Embrechts. Introduction: Special Section on Operational Risk. Journal of Banking and Finance,2006(3):36-46.

[11] 赵志宏.银行全面风险管理体系[M].北京:中国金融出版社.2005.

[12] 栾小华.全面风险管理战略框架设计[N].北京:金融时报. 2006(4):2.

[13] 刘正良,刘厚俊.新巴塞尔协议下的操作风险与我国银行业改革[J].财经理论与实践.2005(2):58-63.

[14] 厉吉斌.中国商业银行操作风险管理研究[D].上海交通大学. 2007.

[15] Chernobai A. and Raehev S. Applying robust rnethods to operational risk rnodeling[J].Journal of Operational Risk,2006 (1):28-41.

[16] 钱学森.创建系统学[M]. 太原:山西科学技术出版社.2001: 55-57.

[17] 唐国储.全面风险管理与新资本协议[J ].中国金融.2009 (11):40-49.

[18] 梁缤伊.中国银行操作风险管理内部模型选择及实施[J].求索. 2010.(1):37-47.

[19] 罗伯川.商业银行合规经营指引[M].成都:西南财经大学出版社.2008.

[20] 陈忠阳.巴塞尔新资本协定对我国的影响[J].国际金融研究.2009(1):38-46.

[21] 舒芸芸.运用工作流技术控制业务操作风险[J].科学管理研究.2004 (5):80-82.

[22] Michael Hammer. Reengineering Work: Don’t Automate, obliterate [J]. Harvard Business Review.1990(6):7-8.

[23] 谢荣,钟凌.商业银行内部控制系统研究[M].北京:经济科学出版社. 2009.

[24] 陈卫东,巴塞尔新资本协议评析[J].国际金融研究.2010(3):32-35.

[25] Michael Power. The invention of operational risk[J].The university of New South Wales. 2008, (2): 3-4.

[26] 汪建峰.商业银行操作风险管理实务[M].北京:中国工商出版社.2005.

[27] 周玮.商业银行操作风险与内部控制[J].中国金融.2005(11):34-44.

[28] 朱凯.国有商业银行内部道德风险及其防范[J].上海投资. 2007(2)

[29] BCBS Core Principles for effective banking supervision consultative document [EB/OL].www.bis.org/bebs/bebs123.pdf.

[30] 杨旭.多变量极值理论在银行操作风险度量中的运用[J].数学的实践与认识.2006(12):193-199.

[31] 苏宪容.规避操作风险是银行改革的核心[J].中宏数据库.2009.

[32] 中国国家审计署金融审计司.商业银行审计指南[M].北京:中国金融出版社.2003.

[33] 中国银行业监管委员会.商业银行内部控制评价办法[J]. 中国金融.2005(11):68-74.

[34] 中信银行网站[EB/OL].www.bank.ecitic.com

[35] 中信银行.20##年年度报告[EB/OL]. http://bank.eeitie.com/investorrelation/chinese

[36] 中信天津分行[EB/OL]http://bank.ecitic.com/news/new14.html

[37] 马宁.商业银行信用风险管理研究[D].东南大学.2010.

[38] 肖辉.我国商业银行操作风险成因与对策[J].金融理论与实践.2005(12):43-45.

[39] 张吉光.操作风险七大挑战[J].银行家.2006(2):61-63.

[40] 谭雅玲.聚焦银行操作风险[J].银行家.2005(5):10-17.

附录

访谈提纲

一、访谈目的

访谈的主要目的在于了解中信银行天津分行操作风险管理方面的现状及其存在的问题。

二、访谈对象

为进行实证研究，本人选择与中信银行天津分行风险管理部门的主要领导和一线工作人员进行访谈。

三、访谈内容

1、公司目前都是由哪些部门进行操作风险的专门管理？

2、公司目前都采取哪些措施进行操作风险控制？

2、您认为公司在操作风险管理方面存在哪些问题？

3、针对公司在操作风险管理方面存在的问题有何具体的对策？