商业银行操作风险的管理学理论解释

李宝宝，王言峰

(1.南京航空航天大学 经济与管理学院，江苏 南京 210016；2.南京大学 商学院，江苏 南京 210093)

商业银行操作风险是指由于不完善或有问题的内部程序、员工和信息系统，以及外部因素造成的财务损失或影响银行声誉、客户和员工的风险，它与银行业务一起诞生，并不是一个新问题，但长久以来，商业银行并未对操作风险予以关注，直到20世纪90年代中期操作风险才逐步引起人们的重视。1998年9月，巴塞尔银行监管委员会首次发布了《操作风险管理》。2004年6月巴塞尔委员会发布《巴塞尔新资本协议》，明确将操作风险列为继市场风险和信用风险之后的商业银行第三大风险，并纳入资本监管范畴。2007年，中国银监会颁布了《商业银行操作风险管理指引》，操作风险作为一个单独的风险范畴越来越引起人们的重视。经过十余年的研究和实践，虽然操作风险管理研究取得了一定的成绩，但与市场风险、信用风险相比，该领域的研究明显处于滞后状态，一直没有形成统一的理论体系和研究范式，整体研究相对凌乱，在研究的技术、分析方法、工具等方面更是不够成熟。科学的实践要以科学的理论为基础，潘建国、张维（2006）认为，目前操作风险管理缺乏系统科学的理论支持是操作风险研究相对滞后于信用风险和市场风险研究的根本原因[1]。以往的操作风险研究一般以现代微观金融理论为基础，沿着市场风险和信用风险的研究逻辑，把金融工程技术作为主要的风险管理手段，侧重于资产组合与风险对冲。但操作风险的表现复杂多样，并且同管理活动密切相关，很难进行金融组合与对冲管理。另外，与信用风险、市场风险相比，银行操作风险的生成机理截然不同，风险覆盖面也有大的差别，且表现形式多样、涉及情况复杂，损失大小难以确定，操作风险不同于传统意义上的金融风险，不宜单纯以微观金融风险管理理论为支撑，应构建自身研究的理论基础。

操作风险管理属于商业银行内部的经营管理活动，商业银行在本质上也属于一般企业，理应遵循企业一般经营管理规律，在企业管理理论框架下不断提升管理水平。因此，本文尝试从管理学的角度对操作风险进行解释，以期拓宽操作风险研究的理论基础。

一、战略管理理论

商业银行操作风险具有系统性和全面性的特称，市场风险与信用风险的发生仅限于与之相关的部分环节，如业务发展部门和业务管理部门等。但操作风险不同，因为商业银行要通过员工、技术和流程来开展经营，在其中的每个环节都有发生风险的可能性，并且与其他风险关联度较大，常常与信用风险、市场风险相伴产生。基于这一特点，对操作风险的理解和认识不能仅局限于某一环节，要以战略的思维去理解、分析和防范操作风险。

企业战略管理实质上是一种管理思想，要求企业经营者摒弃“头痛医头，脚痛医脚”、就事论事的片断式思维，要具备战略意识，站在长远和全局的角度去发现问题、认识问题、解决问题。操作风险管理与商业银行的内部各项经营活动密切相关，因此在操作风险管理管理中，必须引入战略管理的思维和模式，从商业银行的角度系统思考，在整体的操作风险管理框架下构建操作风险管理战略，提出操作风险管理的具体目标，以此对各项业务和管理活动中可能发生的操作风险进行系统管理。国际上的许多金融机构对此进行了研究。1999年，英国银行家协会在《1999年操作风险管理调查》中提出了一个六层次的金字塔结构[2]，作为对操作风险管理的整体框架，该框架包含了6个主要部分：战略、政策、风险管理流程、风险缓释、运作管理和公司文化（如图1）。

图1 操作风险管理整体框架金字塔结构图

法国巴黎银行的R.Kennett也对操作风险管理框架进行了研究，R.Kennett着重分析了高层管理者的支持、管理预期、组织结构、术语和操作风险管理框架的基础等方面的内容，并从数据收集方式、损失数据库、关键风险指标、风险评估和资本金等方面对操作风险管理框架的内容进行了研究[3]。

Capital One金融公司的风险管理主管Michael Hauben⁃stock认为操作风险管理框架由战略、流程、基础设施和环境四个部分组成[4]。其中，战略包括业务目标、风险偏好、企业管理风险的方法以及操作风险管理相关政策的阐释，居于核心位置，设定了风险管理的总基调和基本方法；流程是在整体战略框架下和战略目标指引下做出的操作风险管理日常活动和决策；基础设施则是支撑操作风险管理的系统和工具；环境包括高层管理者的参与和支持程度等文化背景和其他外部因素。

美国著名管理学家奎因认为，有效的战略应当包括三个方面：一是公司可以实现的主要目标；二是支持目标实现的经营管理政策；三是在政策框架下为实现目标所开展的主要活动。简单而言，应当分为操作风险管理战略设立和战略实施：首先提出操作风险管理战略，构建框架目标，这是框架设计的首要问题。依据战略管理理论，在操作风险管理战略的制定之前，首先要对公司的内外部环境进行分析，研究自身存在的优势和劣势，在此基础上制定操作风险管理战略。其次是操作风险管理战略的实施，具体包括制定操作风险管理流程、组织结构、管理基础设施、管理环境等。曲绍强（2009）基于战略管理理论，提出我国商业银行的操作风险管理框架，具体包括：（1）操作风险管理流程：依据巴塞尔委员会《操作风险管理与监管的稳健做法》、中国银监会《商业银行操作风险管理指引》的约束，参照操作风险管理的逻辑思维，把管理流程分为风险识别、风险评估和量化、风险管理和风险转移、风险监测和风险报告等循环往复的五个环节。（2）组织结构，组织与战略相匹配，依据操作风险管理战略设计组织架构。（3）管理基础设施，主要包括管理信息系统、数据、程序和方法，为操作风选管理过程提供系统的、量化的数据，管理银行内部的信息流。（4）管理环境：在商业银行内部主要包括风险文化、内部控制体系、人员培训、沟通交流等[5]（如图2）。

图2 基于战略管理的我国商业银行操作风险管理框架

二、公司内部控制理论

从引发的因素来看，与信用风险和市场风险来源的外生性不同，操作风险具有明显的内生性特点。市场风险是指因汇率风险、利率风险、商品的价格变动等外部因素而使商业银行表内和表外业务发生损失的风险。信用风险源于债务人的违约风险，是由债务人的履约能力发生变化等外部因素造成的。操作风险则主要来源于银行内部（除了自然灾害和一些不可预测的事件以外），并且大多是银行可以控制的内生风险，这些因素包括人员在操作过程中出现的意外事故，以及利用职权违规操作所致；由于内部制度不健全、业务流程不完善、相关法律制度不配套等因素等。因此，需要从内部控制的角度防范操作风险。

对内部控制（内控）的定义很多，但整体上主要从内部控制范围、内部控制手段、内部控制目的三个方面进行阐释。美国全国虚假财务报告委员会下属的发起人委员会（COSO）认为内控是为实现经营的效果和效率，确保财会报告的可靠性而设计的一个受某单位不同层次影响的过程[6]。中国人民银行于2002年9月公布的《商业银行内部控制指引》指出，内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。

内部控制是商业银行防范操作风险的主要措施，也是现代银行管理的重要组成部分。COSO委员会颁布的《内部控制——整体框架》是美国上市公司内部控制框架的参照标准；巴塞尔银行监管委员会作为银行监管领域的首要国际组织，其提出的《内部控制系统框架》具有权威意义，已成为国际上普遍接受的内控准则；我国人民银行吸收了巴塞尔协议《内部控制系统框架》的先进做法，结合我国商业银行的实际状况，于2002年发布了《商业银行内部控制指引》。可以说，COSO委员会、巴塞尔银行监管委员会和中国人民银行三个组织的内控报告代表了商业银行内部控制理论研究的最新和最权威的成果。在具体实践中，可以综合三者的研究成果，构建内部控制框架，防范操作风险。

COSO《内部控制——整体框架》、BASEL《内部控制系统框架》、人民银行《商业银行内部控制指引》(下简称为COSO《整体框架》、BASEL《系统框架》、人行《内控指引》)三大成果对比如下：

（1）内部控制目标比较。通过分析可以看出，三大内部控制理论的内部控制目标几乎一致，都要求必须遵循法律、规章，确保财务信息的可靠、完整和及时，从而实现经营效果和管理效率的提高[7]。我国人行的《商业银行内部控制指引》从保证风险管理体系有效运行的高度，突出了内部控制在风险管理中的地位。

表1 三大组织内控报告中内控目标的比较

（2）内部控制系统构成要素比较。三大内部控制理论在构成要素上也几乎一致，侧重点稍有不同。与COSO《整体框架》相比，BASEL《系统框架》和人行的《内控指引》都将风险识别和风险评估并重，强调了风险的识别的前提作用，都提出要实现职责分离、权力制衡；两大控制理论在提出监督评审活动的同时，也提出要纠正内部控制的缺陷，强调了内控系统本身的自我修复和自我进化功能，丰富了内部控制的内涵。COSO的《整体框架》和BASEL《系统框架》突出了银行高级领导层在构建风险文化以及建设良好内部控制生态环境中的重要职责（见表2）。

表2 三大组织内控报告中内控系统构成要素的比较

（3）内部控制与管理活动关系比较。三大理论认为商业银行的内部活动一般分成以下几种：设立总体目标、制定战略计划、确认内部控制环境因素、确认业务活动目标、风险识别、风险管理活动、实施控制措施、处理与传递信息、监督与评审、纠正缺陷。

三大控制理论的涵盖范围基本一致，同COSO委员会《内部控制整体框架》相比，BASEL《内部控制系统框架》和我国人行《商业银行内部控制指引》将战略计划、风险管理活动和内部控制缺陷的纠正也纳入到了内部控制系统中，包含的内容更加广泛，内控体系更加完整。

三、组织决策理论

操作风险主要是由内部因素引起的，包括人的因素、制度因素、技术因素等，但主要是人的因素，因此需要从人的行为科学角度去阐释操作风险。西蒙认为管理即决策，决策贯穿管理的全过程，是管理的核心。对操作风险如何进行有效的管理实质上是现代商业银行经营管理的一个决策过程，西蒙的组织决策理论对于操作风险管理具有重要的指导意义，该理论已被成功地用于解释和预测各方面的活动，成为现代管理理论丛林中的一个重要分支。

（一）操作风险的界定

目前学术界对操作风险的界定与定义一直有不同意见，不少银行仍沿用对市场风险和信用风险的界定方法和管理控制模式对操作风险进行定义。其实，可以另辟奇径，借鉴组织决策理论中的程序化决策对操作风险进行界定，从而明确风险管理目标，达到有效管理操作风险的目的。按照决策过程中涵盖的银行内部操作流程，徐学锋（2009）把所有的操作风险分成17种，主要有：控制性风险、流程风险、名誉风险、人力资源风险、法律风险、收购风险、营销风险、系统风险、技术风险、税收变更风险、监管变更风险、营运能力风险、项目风险、安全性风险、供应商风险、自然灾害风险、人为灾害风险等[8]。

（二）操作风险的分析和度量

组织决策理论认为，组织决策并不是完全理性的决策，需要一定程度的主观判断，而这种判断是在有限理性条件下进行的，这种“有限决策”、“满意解”和决策过程理论，为商业银行操作风险的定性分析提供了理论基础。

西蒙把组织决策分成程序化决策和非程序化决策，可以依据两种决策的不同特点对操作风险进行定性分析和定量分析相结合。对程序化决策这种经常性的企业管理活动，可以运用定性的方法对操作风险进行界定、识别、评估，从而做出决策进行检查和控制，直至化解风险；非程序化决策主要指的是非经常性的企业管理活动，可以运用定量分析的方法测量，如利用概率模型和计量模型分析测量商业银行操作风险爆发的频度、损失的概率等，在此基础上，确定如何化解或减少损失，或者准确估算风险资本的准备。

（三）操作风险管理政策制定

在决策的过程上，西蒙提出了系统决策的四个基本要素：决策者、决策目标、决策变量和状态变量。在企业管理决策中，一般以最佳损益值为决策目标；决策变量即决策者可能采取的各种行动方案，可以人为调节，又称可控因素；状态变量是指决策者在决策时面临的各种自然状态，难以被人为控制，但人们可以推测其可能发生的概率，称作不可控因素。决策准确与否，主要取决于四个方面的因素：决策信息完备程度、决策者对未来可能发生的状态的了解程度、使用的决策方法科学合理程度、决策变量和状态变量的准确程度。操作风险管理过程中，我们要从这四个方面出发，既要重视数学模型、现代计算技术等定量分析方法，又要重视心理、人际关系、社会环境等社会因素所起的作用。

在决策标准上，组织决策理论主张用“令人满意标准”代替“最优标准”。西蒙认为人并非完全理性，难以做出最优决策。在实际决策中，要尽可能地考虑各种复杂情况，按照“令人满意”的决策准则，做出令人满意的决策。在操作风险管理的决策中也是如此，要综合考虑银行运营状况，实现操作风险管理的价值，在控制风险和收益之间实现平衡，取得“令人满意的结果”。

在决策的分类上，西蒙根据其活动是否反复出现可分为程序化决策和非程序决策。可以对经常性活动的决策程序化，以有效降低决策成本；只对非经常性活动进行非程序化的决策。基于这种认识，商业银行应当夯实基础管理，完善操作风险管理IT系统，以信息化固化流程管理，建立覆盖全行各条线、各分行的操作风险信息管理体系，促使经常性活动决策的程序化，在确保业务运营的基础上行减少非程序化决策，降低决策成本。

四、公司治理理论

与市场风险和信用风险不同，商业银行操作风险难以预测和度量，其影响因素广泛地分散在银行各项业务之中，涵盖的业务广泛、形成原因复杂、风险无法预测、损失大小不易确定。要从公司治理的角度，健全治理结构，协调好各方利益关系和激励机制，从根本上防范操作风险。

公司治理是现代企业制度最重要的架构，钱颖一（1995）认为，公司治理是一套用来支配企业中重大利害关系的团体制度安排，处理投资者、经理和工人的关系，实现各自的利益。公司治理结构主要内容有：如何配置和行使控制权；如何监督和评价董事会、经理人员和职工；如何设计和实施激励机制[9]。

公司治理是一个多重概念，有狭义和广义之分，狭义的公司治理是指所有者对经营者的一种监督与制衡机制，主要是通过股东大会、董事会和监事会以及管理层所构成的内部治理来分配所有者、经营者之间的权利和责任。广义的公司治理是指用来协调公司与所有利益相关者之间关系，以保证公司决策科学化，从而维护公司各方面利益的正式或非正式的、内部或外部的一套制度或机制。广义的公司治理涉及的利益相关群体涵盖了雇员、股东、债权人、供应商、政府和社区等，不仅仅局限于以治理结构为基础的内部治理，而是包括了内部和外部机制的共同治理；治理的目标超越了传统的“股东利益的最大化”目标，而是通过保证公司决策的科学合理性，从而确保利益相关群体的利益最大化[10]。

随着公司治理理论和实践的发展，广义上的公司治理越来越得到重视和应用，理解广义的公司治理要从两个角度去理解和把握[10]。一是公司治理要从权利制衡到科学决策。衡量公司治理水平高低的标准是确保公司高效运营，而科学决策是前提。制衡不是目的而是手段，公司治理不能为了制衡而制衡，而是要以科学决策为中心。二是从治理结构到治理机制。传统的公司治理大都停留在公司治理结构的研究层面，主要研究分权与制衡。但从如何提高决策科学性的角度而言，公司治理就需要超越内部治理结构的治理机制，涵盖内部治理和外部治理。

为了规范商业银行的公司治理，经济合作发展组织（OECD）、巴塞尔银行监督委员会（BCBS）分别在1999年推出了《OECD公司治理原则》和《加强银行公司治理的报告》，2002年中国人民银行出台了《股份制商业银行公司治理指引》。三者在公司治理上的原则和主要内容对比见表3。

表3 公司治理原则和内容相关不同规定的比较

公司治理理论对于商业银行的操作风险管理具有重要指导意义，公司治理一方面可以激励董事会和管理层实现公司利益相关者的利益最大化；另一方面，也起到监督作用，从而使企业更有效地利用资源，防范操作风险。

[1]潘建国，张维．商业银行操作风险管理研究述评[J].金融论坛，2006，（8）：59-63.

[2]British Bankers'Association.Operational Risk Management Survey[EB/OL].[2011-05-18].http://www.bba.org.uk/bba/.

[3]R Kennett.如何建立有效的操作风险管理框架[M]//Robert Hubner.金融机构操作风险新论.李雪莲，译.天津：南开大学出版社，2005.

[4]Michael Haubenstock.操作风险管理框架[M]//Carol Alexan⁃der.商业银行操作风险.陈林龙，等译.北京：中国金融出版社，2005.

[5]曲绍强.我国商业银行操作风险管理[M].北京：中国财政经济出版社，2009：73-76.

[6]储稀梁.COSO内部控制整体框架背景、内容、理论贡献与启示[J].金融会计，2004，（6）：14-16.

[7]蒋建华.商业银行内部控制与稽核[M].北京：北京大学出版社，2003.

[8]徐学锋.商业银行操作风险管理新论[M].北京：中国金融出版社，2009：49-57.

[9]青木昌彦，钱颖一.转轨经济中的公司治理结构[M].北京：中国经济出版社，1995.

[10]汪萍.论公司治理结构[EB/OL].[2011-05-06].http://www.cg.org.cn/.