银行操作风险首先来自内部

　　石贝贝

　　4月14日，中国农业银行邯郸分行（以下简称“邯郸农行”）发现5100万元的现钞被盗，盗窃者是其银行的两名金库保管员。

　　5100万元是个什么概念？曾在农行工作多年的马小姐告诉记者，如果按每张面值100元计算的话，1万元叠在一起厚度大概1厘米，5100万元叠在一起，就是51米高。按重量计算的话，1万元的重量大概是150克，5100万元足有1500多斤。

　　“我们听到消息之后都很好奇，这么多的现金是怎么搬出去的？后来知道原来是多次偷盗，我们就更觉得奇怪了。农行每天都要结账的，就算是少了50元也会用调录影、重新盘点等方法，一定在当天查出来。怎么可能多次偷盗没人发现呢？”

　　唯一的解释就是该银行存在的管理漏洞令人瞠目。邯郸农行的案例颇具代表性，IBM发布的白皮书显示：在各类操作风险中，对国内银行业影响最大，破坏力最深远的首先是内部欺诈，其次是外部欺诈。

　　操作风险已经很久不被重视了

　　目前，包括国有银行、股份制商业银行在内，多家银行都尤其重视银行风险管理。位于浙江的某股份制商业银行风险控制官告诉记者，他们对于信用风险控制有比较严格的规定，如业务负责人和风险监控官彼此制衡、共同控制信用风险、“一票否决”等。而对于操作风险的控制则相对较弱。

　　据波士顿咨询公司2006年风险调查，各银行信用风险在银行全部风险中所占比重最大。选取的四家样本银行中，其信用风险比例为34%到58%。而运营和业务风险（包括操作风险和业务风险）则占据比例相对较小，范围从14%到27%。

　　依据巴塞尔协议，银行的风险主要包括信用风险、市场风险以及操作风险三大类。信用风险指债务人未来不能按期还本付息的可能性，市场风险则是指因为利率、

汇率等市场因素波动而引起的、金融产品价值或收益的不确定性导致的风险，而操作风险则是指由于人员因素、流程因素、系统因素以及外部事件引起的风险。比如，人员的操作失误、银行内外勾结、流程设计不合理、流程执行不严格、系统失灵、系统漏洞、外部欺诈、突发外部事件以及经营环境的不利变化等。

　　“U状曲线”一直被用来描述操作风险。如同一条“U”型曲线，银行在开展新业务、上线新系统时，可能会存在规章制度不完善、员工操作经验不足、管理漏洞等因素，因而出现操作风险的概率较高。当这些问题逐步解决后，发生操作风险的频率就会降低。不过，当现有系统老化或市场经济环境变化时，原有的规章制度、管理系统等与之不适应，操作风险又重新上升。

　　马小姐介绍，操作风险最有可能发生的业务领域，就是在交易与销售、零售银行和商业银行业务。其中，零售银行业务是发生操作风险最多的，这主要是由于外部欺诈、内部流程管理不慎等原因。

　　它是可描述和测量的

　　量化操作风险最为直观的好处就是，银行可以据此进行资源分配，为灾难性事件设置应急预案。然而问题在于，操作风险具有突发性、偶然性和难以预测等特点，因而它并不能像信用风险、市场风险那样易于测量和描述。

　　最早提出操作风险量化模型的是DuncanWilson，他在1995年发表了“操作VAR（Value-at-Risk）的文章。他将投资风险控制领域的“VAR”理论应用到操作风险控制当中，提出银行可以建立来自内部、外部的操作损失事件和数据库，并从数据库中模拟操作损失的分布。按照数理统计的理念，设置不同的置信区间（如95%、80%等），银行就可以算出自身操作风险的VAR。基于此，银行可以整体把握面临的操作风险，准备紧急预案以及为其分配经济资本。

　　然而，故事并未到此结束。波士顿咨询人士指出，分配经济资本后，银行还必须对分配资本进行测量。这样，才可以准确、一致地测量单个业务的风险回报比率。这些都应当被纳入银行的主要流程，如目标设定、预算与规划、事后业绩衡量等。

　　管理操作风险的两大挑战

　　目前，中外资银行内部大都设有独立的风险监控部门，来整体管理银行风险。但是，对操作风险的管理却不够重视。

　　国外银行往往会成立一个委员会，该委员会由各个涉及操作风险的部门组成，包括安全保卫部、科技部、后勤事务部等。该委员会对一些跨部门的问题进行协调。在农行工作多年的马小姐认为，尽管国有银行并没有成立相应的管理委员会，但是国有银行内部有内审、稽核、合规等安排设计，事实上已经实现了管理委员会功能。当然，“这也需要每位员工按部就班、一步步去做。”

　　波士顿咨询人士则指出，银行应将管理操作风险的成本视同为一种业务投资，即通过投入带来更多的盈利和更高的增长。

　　为了实现这一目标，银行必须面对两大挑战。首先，银行必须扩大风险管理的投入范围，不能单纯注重风险测算和数据调校流程。也就是说，他们必须集中全力地将风险管理做法嵌入直接进入损益表的长期战略和日常经营决策。其次，银行不能孤立地按部门和业务线条认识和处理风险，因为这种做法势必会增加成本并抑制累积效果，相反，银行需要采取整体性、超越业务界限的风险管理实务。

　　波士顿咨询人士说，要建立风险管理的治理框架，通过综合的风险和资本管理来创造价值。这个框架包括界定资本金的管理流程、决策权限和责任以及沟通和报告原则等。银行可以通过一个由财务总监、司库、风险总监以及各业务决策层所组成的中央委员会来构建决策权限。这将是一个分配资源和创造价值的平台。在采取了必要步骤来整合风险管理和资本管理之后，银行就可以发挥其风险管理能力的杠杆效应以创造价值。

　　此外，管理操作风险也需要从培养理念入手。培养风险文化、增加风险识别、度量及管理能力，并把这些方面制度化、规范化、

信息化及标准化。

　　链接

　　四步走优化风险与回报的平衡

　　波士顿咨询认为，风险和价值是同一事物的两个方面。承担风险必须创造收入，其留存收益再进入资本金池，作为进一步缓冲风险的基础。为了获得有效风险管理带来的益处，这一根本原则必须纳入银行的整体战略和业务流程之中。

　　因此，领先的银行可以遵循四个步骤，以确保实现综合的风险管理与资本管理。

　　步骤一：衡量风险。要量化风险，换句话说，就是要了解资本金需求。

　　步骤二：建立控制考量体系和流程。对资本使用进行测量，以准确确定单个业务的风险回报率。

　　步骤三：实施风险管理的治理框架。一旦建立监督风险调整业绩的考量体现，它就必须被纳入资本治理的总体框架。

　　步骤四：注重业务整合和影响。采取必要步骤整合风险管理和资本管理后，银行就可以通过风险管理来创造价值。

中国经营报记者：石贝贝