操作風險管理精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的操作風險管理主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：操作風險管理范文

關鍵詞：移動保險 操作風險 風險源 風險評估

中圖分類號：F840.2 文獻標識碼：A

文章編號：1004—4914（2012）06—038—03

近年來，隨著我國移動互聯(lián)網的縱深發(fā)展，特別是智能手機的普及與移動技術的成熟，各種基于移動設備的保險應用紛紛出現(xiàn)。從手機保險網站、短信投保到移動理賠系統(tǒng)，移動保險采用了多種多樣的形式。本文所指的移動保險，指通過移動設備（包括智能手機、掌上電腦等）接入無線網絡實現(xiàn)保險經營活動開展的一切形式。

在保險企業(yè)與IT企業(yè)的聯(lián)合推動下，移動保險迅猛發(fā)展，但是移動保險涵蓋的產品卻只是電腦網站的簡化版，險種也僅限于投保手續(xù)簡單的險種。對移動保險安全性和有效性的疑慮，是許多顧客不選擇移動終端投保的重要原因，指引性文件的空缺也使保險企業(yè)面臨法律訴訟的風險，怯于推廣復雜險種。在這樣的背景下，保險企業(yè)應該如何從人員、業(yè)務流程、系統(tǒng)、外部因素四個方面進行有效操作風險管理，減少由移動保險帶來的紛爭，值得探討。然而，目前操作風險管理研究仍然欠缺。本文意在借鑒移動電子商務風險管理以及保險企業(yè)操作風險管理研究的基礎上，通過對移動保險操作風險的源頭、特征、表現(xiàn)形式的初步探討，為強化移動保險風險評估和改善風險源提出建議。本研究將移動保險操作風險定義為在開展移動保險過程中由于人員、系統(tǒng)、業(yè)務流程、外部事件引起損失的風險。

一、移動保險操作風險源

進行有效的操作風險控制手段之一就是控制或者改善風險源。因此，有必要找出移動保險操作風險的風險源。根據現(xiàn)代企業(yè)風險管理理論，風險源指可能促成不利結果出現(xiàn)的危險因素的來源，移動保險的危險因素源自下列環(huán)境：

1.自然環(huán)境。自然環(huán)境對移動保險的開展的影響主要表現(xiàn)在對移動終端、移動通訊與相關人員的影響。惡劣的天氣、自然災害可能影響移動保險工作人員的工作狀態(tài)和安全狀況進而影響移動定損查勘等工作的開展，可能導致移動終端的破壞與丟失、移動通訊的中斷，進而導致保險信息的丟失。我們雖然無法控制自然環(huán)境，但是可以通過有效措施切斷風險的傳遞。

2.認知環(huán)境。移動保險的認知環(huán)境主要體現(xiàn)為移動保險企業(yè)的企業(yè)文化，包括企業(yè)價值觀、企業(yè)精神、企業(yè)道德、企業(yè)宗旨、企業(yè)使命和企業(yè)目標，對相關的工作人員起到導向、激勵、約束作用，影響企業(yè)資源整合。目前，我國保險企業(yè)操作風險管理理念不強，風險管理作為一種管理職能基本上還未納入保險企業(yè)管理，保險經營還處于財務型控制被動經營狀態(tài)，這樣的企業(yè)文化容易導致移動保險操作風險的產生。

3.運作環(huán)境。動保險的運作環(huán)境主要指保險企業(yè)的產權制度。目前，中國保險業(yè)形成了以大型國有控股企業(yè)為主導，多家股份制企業(yè)、中外合資企業(yè)和外國企業(yè)分企業(yè)并存的競爭格局，中國保險業(yè)的產權也演變?yōu)楣挟a權、私有產權并存的混合產權形式。移動保險企業(yè)中包含政府部門、保險企業(yè)管理層、移動保險開發(fā)商、移動保險合作方、保險企業(yè)員工及人、投保人和被保險人五個層次的委托關系，多層委托導致各級委托人信息不對稱，可能出現(xiàn)內部人控制、逆向選擇、道德風險，產生操作風險。

4.技術環(huán)境。移動保險的技術環(huán)境主要指移動技術、移動保險操作系統(tǒng)、移動終端的研究成果以及國家保險信息化投入情況。近幾年學者紛紛開展移動保險主要技術（包括GPRS、WAP、J2ME、SMS等）的研究并指出各種技術的優(yōu)劣勢及改進方法，但是隨著技術發(fā)展，技術風險也不斷發(fā)展。值得注意的是，2011年中國保險行業(yè)信息化投入為65.5億元，較2010年同比增長12%，IT投入進入持續(xù)增長期，有利減少移動保險的操作風險。

5.法律環(huán)境。移動保險相關法律的欠缺導致操作風險的產生。我國對保險企業(yè)操作風險的研究、立法起步較慢，至今尚未有移動保險的操作風險及其管理的立法。這樣的情況下，解決移動保險帶來紛爭只能依據保險法，但是移動保險相關資料電子化、通過移動網絡傳遞，保單的生效條件、投保人如實告知義務和保險說明義務的履行形式與傳統(tǒng)保險應有所不同，保險法沒有做出與移動保險相適應的修改，保險合同雙方都面臨法律風險。

二、移動保險操作風險的特征

移動保險的操作風險與傳統(tǒng)保險具有共性：內生性、非盈利性、普遍性、可控性。同時，移動保險由于終端的移動性和接入網絡的虛擬性，其操作風險相對傳統(tǒng)保險操作風險有以下突出特征：

1.成長性。移動保險操作風險的成長性源于移動技術的發(fā)展、應用程序的開發(fā)。

移動技術的發(fā)展可能消除移動保險原有的操作風險，同時也催生新的操作風險。移動保險正處于不斷變化階段，從手機保險網站、短信投保、移動理賠到自助保險卡，每一種形式的移動保險操作風險都具有不同的表現(xiàn)形式。隨著移動技術進步、移動保險形式更新，移動保險操作風險的表現(xiàn)形式、特征會不斷變化，具有成長性。

2.隱蔽性。移動保險操作風險的隱蔽性源于其運用網絡的虛擬性與保險信息的電子化。

移動保險的投保單、理賠資料等數據在移動終端中保存，通過無線網絡傳輸，這些電子信息不為人們所見，泄露、丟失、被竊取或修改都不易被發(fā)現(xiàn)。另外，人為破壞造成的機器硬件和手機終端表面損壞很小，風險產生后較少留下破壞痕跡或者很容易消除表面痕跡，移動保險操作風險不易被發(fā)現(xiàn)。

3.高科技性。移動保險的部分操作風險具有高科技性，這是由其運用平臺的高科技性決定的。

移動保險風險的有些制造者具有較高的科技知識背景與掌握較高的科技手段。黑客是其典型代表，他們利用自身的計算機技術知識和嫻熟的操作技能，搜尋移動網絡、移動終端系統(tǒng)的漏洞，伺機攻入移動保險的核心程序，通過更改程序、向計算機系統(tǒng)輸入非法指令等手法，盜取、偽造投保人信息和理賠資料，給移動保險企業(yè)帶來風險。

4.高傳導性。移動保險終端的可移動特點以及其接入的網絡虛擬的特點，使得移動保險操作風險可在地區(qū)間甚至全球的高速傳導。移動終端可移動、終端的持有人可移動、網絡信息的高速流動，三層流動決定了移動保險相關人員的失誤行為、犯罪行為帶來的后果可以高速傳導。

移動保險操作風險隱蔽、高科技、高傳導的特點決定了其后果的嚴重性。盡管移動保險風險復雜多變，但由于它是由于人員、系統(tǒng)、業(yè)務操作流程、外部因素經內部因素傳導引起的，具有內生特點，仍然具有可控性，我們可以通過一定方法進行風險控制。

三、移動保險操作風險分析

（一）風險分類

為了對移動保險的操作風險有清晰的認識，奠定操作風險度量的基礎，本節(jié)在借鑒巴塞爾協(xié)議與傳統(tǒng)保險中操作風險分類的基礎上，對移動保險的操作風險進行分類。如表1。本分類只是對現(xiàn)有移動保險操作風險進行初步探討，隨著移動保險的創(chuàng)新，其操作風險的表現(xiàn)形式和具體描述需不斷改進。

（二）風險分析——以手機投保為例

目前國內具有代表性的手機保險網站有中國平安、泰康人壽與人保財險的手機網。三家公司手機投保流程相似，如圖1所示，值得注意的有兩個問題：

一是保險條款閱讀僅作為選擇環(huán)節(jié)，免責條款需要用電腦登錄網站才能閱讀，投保人在利用手機投保時只能獲知保險保障金額與保障范圍。這會導致兩個方面的問題：投保人在不便于上網查看詳細條款的情況下，出于緊急需要直接投保，后期容易出現(xiàn)理賠糾紛；保險人設置責任免除條款閱讀的環(huán)節(jié)形同虛設，依據保險法該免責條款無效，保險企業(yè)面臨法律訴訟的風險。

二是被保險人的名字、身份證號碼對應的名字、信用卡持卡人姓名不一致仍然可以進行投保，產生利用他人的身份證號碼沒有經過被保險人同意就為非法定可為其投保人投保，進行騙保的可能。雖然保險企業(yè)可以以投保人沒有充分證據證明經被保險人同意為由拒賠，但是這樣就無法保護誤填信息的保險消費者。

相關數據表明，外部欺詐和執(zhí)行、交割以及流程管理的風險事件占我國保險企業(yè)操作風險損失事件的比例超過60%，手機投保流程導致的操作風險必須引起重視。

五、移動保險操作風險管理對策建議

（一）強化風險評估

1.運用模糊影響圖分析移動保險風險要素關聯(lián)情況。移動保險的操作風險產生的環(huán)境復雜，通過關聯(lián)因素高速傳導，一系列的風險事故或者多個風險事故組合到一起就會造成非常嚴重的后果，應對其相互關聯(lián)的風險因素一起評估。模糊影響圖是處理移動保險相關專家給出不夠精確、完整的模糊信息的有效工具。

2.融合專家意見，決定移動保險操作風險因素等級。移動保險操作風險不斷變化、隱蔽、高科技的特征，使得操作風險數據獲取極其困難，無法定量分析損失發(fā)生的頻率以及決定風險因素等級。因此，融合專家評價評估出風險因素等級就顯得非常必要。通過征集與移動網絡密切相關方面專家的意見，進行群決策，避免由于問題的模糊性、復雜性和專家對問題認識的局限性從而導致評估信息的不確定。

通過運用模糊影響圖分析移動保險風險要素關聯(lián)情況、融合專家意見決定移動保險操作風險因素等級，移動保險企業(yè)可以決定各類損失是否在自己的承受范圍內，采取對應的措施。

（二）改善風險源

1.建立重視操作風險理念的企業(yè)文化氛圍。認知環(huán)境是操作風險生長的土壤，移動保險的操作風險管理應該從建立重視操作風險管理的企業(yè)文化氛圍開始。移動保險企業(yè)從三個角度著手改善企業(yè)文化氛圍：第一，從保險企業(yè)的董事會到基層機構都明確各部門的風險管理目標，并且建立操作風險管理激勵機制；第二，通過日常規(guī)章制度規(guī)范操作，同時，適時地組織學習應對惡劣天氣、系統(tǒng)問題、意外事故等問題的技巧，從實踐中樹立重視操作風險管理的企業(yè)風險文化氛圍；第三，吸引、招納具備風險管理知識與經驗的人才，讓他們推動重視操作風險管理的企業(yè)風險文化氛圍的建立。

2.完善移動保險業(yè)務操作流程。業(yè)務流程的不完善是移動保險操作風險產生的重要原因，保險企業(yè)加強與IT企業(yè)合作完善業(yè)務流程，是減少操作風險的重要措施。手機保險要進行推廣得從這些方面完善流程：把保險條款中可能引起爭議的條款做突出處理，對專業(yè)術語作詳細說明；把免責條款的閱讀作為投保的必要環(huán)節(jié)；減少數據傳輸可人為操作環(huán)節(jié)；建立精細有效的身份認證機制確保投保人的真實身份。

3.提高移動保險的安全性能。移動保險的安全性不高是阻礙其持續(xù)發(fā)展的最重要原因，改善技術環(huán)境既得有政府重視保險信息化投入，學者們技術研究，還需要保險企業(yè)重視操作風險管理，從物理層、網絡層安全和系統(tǒng)層三個方面進行安全防范。物理安全防范應從設備、線路、系統(tǒng)所處環(huán)境進行；網絡層可以通過防火墻安全技術、入侵檢測安全技術等防止黑客、病毒入侵，保護移動支付安全。系統(tǒng)層安全防范需要關注移動系統(tǒng)研究最新成果、及時進行系統(tǒng)升級、數據備份。

[項目基金：廣東省大學生創(chuàng)新實驗項目（1184611008）]

第2篇：操作風險管理范文

關鍵詞：商業(yè)銀行；操作風險；管理策略

中圖分類號：F830.33

文獻標識碼：A

文章編號：1007―4392(2007)09―0052―03

一、操作風險的性質分析

(一)操作風險的異質性

這是操作風險與市場風險、信用風險相比都很不同的一種特性。后兩者盡管在各產品和業(yè)務中的表現(xiàn)會各有差異，但同一類風險的影響因素具有共同的規(guī)律，如市場風險主要受到宏觀經濟因素的影響，各金融產品本質上具有同質性，其價格波動受許多共同因素的影響，而信用風險都可以分解為違約率和違約損失率等因素來分析，而且也大都受到企業(yè)、行業(yè)和經濟周期等大致相同的主要風險因素的影響。但是，操作風險由于覆蓋范圍廣泛，誘發(fā)因素多種多樣，不同操作風險之間表現(xiàn)出明顯的性質差異。外部欺詐、計算機病毒引發(fā)的系統(tǒng)崩潰、地震以及恐怖襲擊等盡管都同屬于操作風險，但顯然其誘發(fā)因素和性質的差異是很大的。這種性質差異導致了操作風險的管理從量化到管理控制、監(jiān)測等各個方面都具有很大的挑戰(zhàn)性。

(二)操作風險的普遍性

與市場風險主要存在于交易類業(yè)務和信用風險主要存在于授信業(yè)務不同，操作風險普遍存在于商業(yè)銀行業(yè)務和管理的各個方面，包括前臺、和后臺，總行、分支機構和子公司，交易業(yè)務、信貸業(yè)務和中間業(yè)務，等等。操作風險不僅存在于業(yè)務流程之中，也存在于風險管理本身的實施過程之中。操作風險的普遍性是商業(yè)銀行進行全面風險管理的重要原因之一。

(三)操作風險的不對稱性

這是指反映操作風險的操作損失分布是不對稱的。這與信用風險相似，而與市場風險相異。這主要反映在操作風險從發(fā)生頻率和損失嚴重程度上看可以分為兩類：一是發(fā)生頻率高、造成損失相對較小的日常業(yè)務流程處理上的小錯誤；二是發(fā)生頻率低但造成的損失相對大的自然災害、大規(guī)模舞弊等。這使得操作風險在分布上呈現(xiàn)出肥尾的非對稱特征。因此，試圖用一種方法來覆蓋操作風險的所有領域幾乎是不可能的。

(四)操作風險的非盈利性

這是操作風險與市場風險和信用風險相比另一個重要的特性。后兩者由于存在盈利的可能，商業(yè)銀行承擔它們的一個主要動機是為了獲得盈利，而操作風險卻并不能直接帶來盈利，商業(yè)銀行之所以承擔它是因為在業(yè)務開展和機構管理中它不可避免。因此，在承擔市場風險和信用風險時，商業(yè)銀行追求風險和收益的平衡，并將這種管理風險和收益平衡能力視為其核心的競爭能力。而對于操作風險而言，由于不具備盈利性，商業(yè)銀行的基本策略就是盡可能降低，然而這必須受到成本支出的約束，因而需要追求的是降低操作風險和增加管理成本之間的平衡。

(五)操作風險的可轉化性

在實踐中，操作風險通常可以轉化為市場風險和信用風險。例如，巴林銀行的內部控制缺陷和交易員里森的欺詐最終轉化為該銀行在日本金融市場上的巨大風險；一系列銀行信貸流程中的問題最終也會轉化為大量的信用風險。由于操作風險的這種可轉化性，人們往往難以將操作風險與市場風險和信用風險區(qū)別開來。一個典型的例子就是我國銀行體系大量的不良貸款，不少人由此認為我國銀行信用風險管理能力有缺陷，而實際上，大量不良貸款中相當一部分反映了商業(yè)銀行管理操作風險的水平欠缺。因為嚴格地講，只有由于借款人信用水平變化(而并非信用水平低)所導致的可能損失才算是真正意義的信用風險。即便是借款給欺詐者，銀行首先面臨的也并非信用風險，而是操作風險，因為借款者的信用水平并沒有發(fā)生變化，導致銀行可能損失的是銀行內部識別和管理信用水平的能力和流程出現(xiàn)的問題。

二、操作風險管理的特點

(一)操作風險難以進行量化管理

在商業(yè)銀行所面臨的主要風險中，市場風險因交易數據豐富而最容易計量，信用風險的計量就困難得多，但近些年隨著貸款銷售和資產證券化導致信貸產品流動性加強，同時信用計量模型也不斷被開發(fā)出來，其計量的難度相對降低。而操作風險則成為當前最難計量的風險，其主要原因是構成復雜，性質各異，各風險因子之間的可比性差；損失數據，尤其是大額損失數據稀少且缺乏積累；大多數操作風險具有內生性，與人的作用有關，難以客觀量化；風險量化模型的開發(fā)還處在非常初級的階段等。操作風險的量化困難目前已經成為制約操作風險管理發(fā)展的重要因素。

(二)操作風險不易通過市場轉嫁

轉嫁風險是現(xiàn)代風險管理中最為引人注目的策略和技術之一，也是金融體系實現(xiàn)風險配置(即將風險由沒有承擔能力或意愿的參與者轉移到有承擔能力和意愿的參與者)的重要途徑。在市場風險和信用風險管理中，包括信用衍生產品在內的各種市場轉嫁產品構成了被稱之為金融工程和信用工程的現(xiàn)代風險管理的核心技術。然而，市場轉嫁策略在操作風險管理中的應用相對而言就困難得多，傳統(tǒng)上商業(yè)銀行可轉嫁的操作風險主要局限在保險公司愿意承保的火災、盜竊等風險范圍，其主要原因在于上述操作風險難以計量的管理特征。不能計量的風險，就不能定價，不能定價自然就不能交易轉讓。

(三)與業(yè)務線路的管理過程相融合

由于操作風險源自商業(yè)銀行各項業(yè)務的人員、系統(tǒng)和流程等因素，對這些因素的管理顯然與業(yè)務線路本身的管理是相互融合的。即便是審計、公司治理和獨立操作風險管理部門，其最終發(fā)揮作用仍然必須通過對業(yè)務線路的管理產生影響而實現(xiàn)。因此，在操作風險管理體系中，具體的業(yè)務部門應該首先對自身的操作風險負首要責任，董事會則應承擔最終的責任。

(四)治理結構和內部控制所決定的環(huán)境和文化具有決定性的關鍵作用

公司治理是關于利益相關者之間權責利關系的基本制衡結構，直接決定了商業(yè)銀行內部從事業(yè)務和管理各項活動的人的相應激勵機制，內部控制是覆蓋商業(yè)銀行所有人員在內為達到預定業(yè)績進行風險控制、制度管理和相互制約的方法、措施和程序，兩者共同作用決定了商業(yè)銀行操作風險及其管理的基本環(huán)境和文化。只有在良好的公司治理和有效的內部控制制度的規(guī)范下，才能確保商業(yè)銀行整體上將其操作風險有效地控制在可以承受的范圍之內。

(五)事前合規(guī)管理和事后稽核審查是主要管理手段

在操作風險管理中，各項外部法規(guī)和內部制

度是管理的主要依據，而對這些法規(guī)和制度的違反正是導致?lián)p失的直接原因。因此，保持對相關內外部法律和規(guī)章制度的遵循是成功的操作風險管理的關鍵。傳統(tǒng)上，審計活動(包括內部審計和外部獨立審計)是確保各項法規(guī)和制度得到遵循的主要手段。近些年金融界出現(xiàn)了強調合規(guī)管理的發(fā)展趨勢，與審計相比，合規(guī)管理偏于事前，更加符合風險管理事前性的要求。

(六)人在操作風險管理中發(fā)揮關鍵作用

盡管操作風險被定義為來自于人員、系統(tǒng)流程和外部事件等多方面因素，但在操作風險管理中，人的因素始終是決定性的因素。這一方面表現(xiàn)在人是操作風險的主要來源，而且職位越高，風險越大，因為一旦位高權重的人犯下錯誤，其所導致的損失也相應大很多；另一方面表現(xiàn)在人也是操作風險管理動力的主要來源，人的級別越高，權力越大，其對風險管理的責任和作用也越大。

三、商業(yè)銀行操作風險管理的基本策略

(一)風險規(guī)避

商業(yè)銀行在面臨某一項業(yè)務所帶來的操作風險暴露時，其應對的策略可以分為基本的兩類：規(guī)避或者承擔。選擇規(guī)避策略，意味著商業(yè)銀行將拒絕開展該項業(yè)務，或者關閉已開展的該項業(yè)務。規(guī)避策略使得商業(yè)銀行徹底地消除了對該項業(yè)務操作風險的暴露，而且并不支付任何管理成本。很顯然，該策略的代價是在消除風險暴露的同時商業(yè)銀行也失去了開展該業(yè)務可能帶來的盈利。規(guī)避策略適用于操作風險很大和風險難以衡量、缺乏管理手段的新業(yè)務，也適用于操作風險水平和業(yè)務的盈利水平不匹配、不相稱的業(yè)務。操作風險規(guī)避策略盡管簡單，但其關鍵是如何科學地確定規(guī)避的風險對象，即什么樣的業(yè)務因操作風險過大應該規(guī)避。長期以來，商業(yè)銀行主要是依靠主觀經驗判斷來確定風險規(guī)避的對象。近些年來，隨著經濟資本配置技術和操作風險量化方法的發(fā)展，主要用于市場和信用風險的基于經濟資本配置的風險和業(yè)務限額管理技術也逐漸開始用于操作風險，操作風險規(guī)避策略應用的技術基礎得以加強。

(二)內部控制降低風險

內部控制降低操作風險主要包括三個方面的內容和方法：一是通過實施IT技術或項目管理方案等來改善業(yè)務部門本身的運行質量和管理水平；二是通過審計稽核、合規(guī)檢查和操作風險管理等業(yè)務部門以外的管理部門的管理來降低業(yè)務的操作風險；三是通過改善公司治理和加強操作風險管理部門的獨立作用，在商業(yè)銀行建立起管理操作風險的良好環(huán)境和文化，制定合適的操作風險管理戰(zhàn)略和政策，健全操作風險管理流程。這一類方法的特點是通過內部管理制度和方法的改進對所承擔的操作風險進行控制和降低。

(三)風險轉嫁

商業(yè)銀行并不能對所有承擔下來的操作風險都可以采取策略降低風險的，有些應該采取風險轉嫁的策略。這一方面是因為有些操作風險性質過于復雜或者操作風險所涉及的知識領域并不是商業(yè)銀行核心競爭力所在的領域，商業(yè)銀行并不擅長管理和控制這一類操作風險，自己采取控制措施降低操作風險的投入成本相對較高，而經濟體系中又存在著管理這類操作風險的專業(yè)機構，合理的方法顯然是商業(yè)銀行以一定的代價將這一類操作風險轉嫁給擅長管理這類風險的機構。典型的例子就是通過業(yè)務外包的形式將商業(yè)銀行并不擅長或在戰(zhàn)略上不愿意重點拓展的業(yè)務或管理環(huán)節(jié)委托給相應的外部專業(yè)機構。另一方面，轉嫁風險是因為業(yè)務中的某些操作風險具有發(fā)生概率很小、但后果很嚴重的性質，商業(yè)銀行本身缺乏管理的手段和承擔的能力，于是通過購買保險將該操作風險轉嫁給保險公司，而保險公司則通過在全社會中集合類似的操作風險，在全社會范圍內分攤這種風險。保險不僅是商業(yè)銀行轉嫁操作風險，如自然災害、員工安全等的傳統(tǒng)手段，而且，隨著保險產品創(chuàng)新的發(fā)展，保險在商業(yè)銀行的風險轉嫁中發(fā)揮了越來越重要的作用。

(四)風險吸收

第3篇：操作風險管理范文

摘 要 金融投資作為一種可以擴大生產資本，增加獲利收益的經濟行為，如今已被更多的公司及個人所應用。作為金融投資，其自身可與實物投資相分離，隨機性增強，這就加大了金融投資的風險性。金融投資的操作風險管理就是要保證金融投資這種經濟行的穩(wěn)定性與可獲利性。隨著商品社會與市場經濟的日益發(fā)展，現(xiàn)時的金融市場也在不斷地完善與發(fā)展，金融投資的形式也愈發(fā)的多種多樣，結合金融投資的不同方式種類，做到在盤間操作的風險可控，金融投資才可以做到穩(wěn)定獲利，金融投資才可以更好在生產和生活中發(fā)揮良性作用。

關鍵詞 金融投資 操作風險 可控 穩(wěn)定

一、影響金融投資產品風險的原因及控制措施

目前國內常見的金融投資產品有：股票，期貨，債券，基金，黃金，外匯，現(xiàn)貨及信托等。結合金融投資產品的特點，將其風險主要劃分為：資本風險、價格風險、市場風險、利率風險以及匯率風險，根據這些風險成因逐一進行分析，得出相應的控制措施。

1.關于資本風險

資本風險體現(xiàn)在金融產品發(fā)行者的資金實力是否可靠，也常常延伸出一個新的風險即信用風險。股票、債券、基金及信托這些投資產品的主要風險就是信用風險。信用風險一般是指與金融產品的發(fā)行者相關聯(lián)的風險，以信托為例，信托公司倒閉，就是信用風險?？刂拼胧┰谟谶x擇信用度高的發(fā)行者，并注重信用風險的分散，避免全部投資的資金與同一個的發(fā)行者相關聯(lián)。

2.關于利率風險與價格風險

利率風險是針對于所有與利率變化有關的風險。作為金融產品，其自身的收益好壞基本上都與目前的利率水平與后期的利率變化息息相關。他直接影響金融產品的價格漲跌，金融產品的價格風險直接受其影響。期貨與現(xiàn)貨的主要風險就是在于價格變化。利率風險及價格風向的控制措施在于根據變化趨勢的預判去決定相應的操作方向，即多頭還是空頭，這在現(xiàn)貨中經常能夠遇到。同時調整好持倉量，控制好持倉量與資金的比例。

3.關于市場風險

投資者決定用資金去購買金融產品本身就是屬于一種買賣行為，這就構成了市場風險的成因，即買賣雙方。內、外需，供求關系，季節(jié)變化，國際戰(zhàn)爭，人文習慣，政策性原因還有市場的周期性，這些都會影響到市場的變化與走向，這些也是市場風險的所在，同時市場風險也會影響到價格風險。市場風險影響最深的是黃金，其次是現(xiàn)貨與期貨。控制措施在于洞悉市場信息，了解所操作的金融產品與那些市場有關，根據相關市場信息對價格進行短期與中長期預判，并進行行營的操作。例如現(xiàn)貨一般與農產和季節(jié)相關，黃金一般與原油相關?，F(xiàn)貨企業(yè)也要結合市場信息做好倉儲準備。

4.關于匯率風險

由于國際經濟逐漸一體化，不同幣種之間的互換成為了常見的金融行為，匯率的波動加大了匯率風險。關于匯率的風險大多與國際形勢有關，外匯儲備、利率、通貨膨脹等都是主要影響匯率的原因。外匯與黃金的投資風險也受匯率影響。針對進出口企業(yè)可以進行合同方面的約定措施，約定雙方風險比例，或者與匯率鎖定公司簽訂匯率鎖定合約。對個人可以在操盤技巧與規(guī)律上進行控制。

二、操盤風險及管理

現(xiàn)在的金融投資產品大都應用了電子盤面進行價格走勢的規(guī)律性的分析。在股票、期貨、現(xiàn)貨、黃金與外匯的操作過程中都可以應用，關于操作技巧可以通過以下幾種方式進行：

1.盤面規(guī)律與K線

電子盤面是由一根根“K”線組成的，K線是反應一段時間內（商品）的價格變化，K線具有多種形態(tài)，不同形態(tài)的K線的組成也會預示著一些現(xiàn)象的發(fā)生，掌握K線的規(guī)律是進行盤面操作風險可控的一種常見方法。

2.做好止盈與止損短線操作

大多數投資人在進行盤間操作時都會 有“眼熱”問題出現(xiàn)，見到盤勢大好的時候進行追單操作，或者在單子被套的時候持單，甚至是重倉持單，這種行為在盤間操作時是比較忌諱的，在操盤時常有兩句話叫“物極必反”與“見好就收”，在進行每一批進單操作時都要設置好止盈位置與止損位置。順勢追漲殺跌，宜追初漲，忌追高位，宜追初追，忌追地板。

3.倉位控制與鎖倉

統(tǒng)計好自己可以進行操作的倉位量，將倉位分成三份或者四份，依據行情每次進行操作時只用其中一份的倉位進行操作，并保證一方的進倉量不能超過全部倉位的一半，其余倉位為鎖倉做好準備。

4.成交量變化

在持續(xù)下跌的價格低位區(qū)，出現(xiàn)成交量增加價格趨穩(wěn)，說明底部在積聚上漲動力，可以適量買進待漲；成交量持續(xù)增加，價格逐漸上升，是最常見的多頭主動進攻模式，應積極進場買入；成交量顯著減少，價格大漲后出現(xiàn)橫盤，此為警戒出倉的信號；成交量繼續(xù)減少，價格逐漸下跌，此時應及時止損出倉；價格經過多次大幅漲跌，出現(xiàn)成交量增加，此時忌空倉，如果多頭進場后發(fā)現(xiàn)為逆勢應及時離場觀望；在低價區(qū)出現(xiàn)增量有底部反彈的趨勢，此時不適宜進場，應做觀望。

三、結論

由此可見，縱使金融投資產品萬般變化，都無法擺脫其自身具有的商品屬性，抓住金融投資產品的特點與規(guī)律，加上對固有屬性的技術分析與方法應用，就可以做到操作風險的可控制管理，也可以發(fā)揮作為金融投資有強大的融資獲利的作用，也可以活躍商品市場，促進經濟的快速發(fā)展。

參考資料：

[1]金融投資視頻講座大全.今朝成功網.2011.9.7.

[2]李冰.西方經濟學原理.今朝成功網.2011.9.7.

[3]李平.投資學.今朝成功網.2011.9.7.

[4]李維國.國際貿易.今朝成功網.2011.9.7.

第4篇：操作風險管理范文

問題一：操作風險認識落后

對操作風險的理解和認識是商業(yè)銀行操作風險管理的基礎。與大型銀行高度重視操作風險，對其進行深入研究，并在此基礎上對本行面臨的操作風險進行界定形成對比，城商行對操作風險普遍不夠重視，認識相對落后。這也是城商行操作風險管理落后、案件頻發(fā)的重要原因。具體表現(xiàn)在四個方面：

第一，認為操作風險不如信用風險重要，因而重視程度不夠。城商行大都認為目前開展的業(yè)務主要是信貸業(yè)務，因而信用風險是城商行面臨的最大風險。相比較而言，操作風險沒那么重要，對操作風險的管理也就不夠重視。事實上，由于操作風險會影響到銀行的聲譽，往往會引發(fā)流動性風險。而城商行等中小銀行的信用和聲譽比大型銀行脆弱，操作風險有可能對中小銀行產生致命打擊。因此，城商行等中小銀行應更加重視操作風險及其管理。

第二，將操作風險等同于金融案件。現(xiàn)實中，由于操作風險發(fā)生后往往最終體現(xiàn)為案件，一些城商行風險管理人員就簡單地將操作風險等同于金融案件。對操作風險的管理也就被案件防控所替代。這實際上人為縮減了操作風險的范疇。

第三，認為操作風險就是操作性風險。有不少人僅從字面理解操作風險，從而將操作風險視同于操作性風險，即只在柜面存匯、會計等操作性崗位存在的操作失誤、差錯等風險。而這類操作性風險僅僅是操作風險中的一小部分，即“高頻低損”的那部分。從某種意義上說，此類“高頻低損”的操作風險對城商行的危害要遠低于“低頻高損”的那一類。

第四，認為操作風險不可控、不可測，無法主動管理。操作風險大都由人員因素引發(fā)，因而具有突發(fā)性、隱蔽性、事先難預測等特征。一些風險管理人員據此認為操作風險無法主動管理。事實上，通過對較長時期大量數據和案例進行分析可以發(fā)現(xiàn)，操作風險有一定的規(guī)律性，且可以通過完善業(yè)務流程、開發(fā)風險預警系統(tǒng)等實現(xiàn)事先發(fā)現(xiàn)、主動防控。而在“被動管理”認識的支配下，由于不能投入大量資源，操作風險管理基礎設施的建設無法有效開展，管理落后狀況也就在所難免。

問題二：操作風險管理理念薄弱

操作風險管理理念就是銀行開展操作風險管理活動的指導思想，是操作風險文化的重要組成部分。城商行操作風險管控能力不強、操作風險大案頻發(fā)，在很大程度上歸因于操作風險管理理念的薄弱。這一問題可歸納為“五重五輕”。

一是，重視業(yè)務發(fā)展，輕視操作風險管理。城商行普遍存在明顯的規(guī)模情節(jié)和速度情節(jié)，把發(fā)展放在第一位，追求跨越式發(fā)展，忽視操作風險管理；在考核壓力下，分支機構甚至出現(xiàn)違規(guī)操作、打球等情形。特別是放松對一些低風險業(yè)務的控制，盲目做大業(yè)務，潛藏巨大風險。齊魯銀行票據詐騙案正是典型。

二是，重視事后管理，輕視事前防范。基于“操作風險不可控”的認識，城商行普遍重視操作風險的事后管理，通過加強審計、加大責任追究等措施，試圖通過嚴厲的處罰和懲戒起到警示作用，以達到降低操作風險的目的。事實證明，該管理思路的效果并不理想。

三是，重視個案查處，輕視全面分析。操作風險案件發(fā)生后，城商行通常情況下更強調對單個案件的查處和整改，但很少對銀行歷史上發(fā)生的操作風險案件及外部案件進行全面分析，從而使得操作風險管理的改善進程緩慢。

四是，重視基層人員管理，輕視高層人員管理。在“操作風險就是操作性風險”的認識下，城商行更加重視對基層一線操作人員的操作風險管理，無論是檢查力度、頻度，還是檢查深度、范圍，都遠超過對管理人員尤其是中高層管理人員的管理。但事實顯示，中高層管理人員引發(fā)的操作風險給銀行造成的損失大大超過基層操作人員。

五是，重視審計稽核，輕視全面管理。以審計稽核替代操作風險管理，操作風險管理覆蓋范圍小，管控水平不高。

問題三：操作風險管理架構尚未建立

操作風險管理架構是商業(yè)銀行開展操作風險管理活動的平臺，也是明確各相關部門職責，建立完善管理流程的關鍵。從目前情況來看，大多數城商行尚未建立起完善的操作風險管理架構，導致操作風險管理缺乏總體負責部門，相關職責混亂不清，嚴重影響操作風險管理活動的開展。

首先，董事會和高級管理層下均設立了風險管理委員會，但這兩個委員會主要負責的是對信用風險和市場風險的統(tǒng)籌管理，尚未真正將操作風險納入管理范疇。

其次，各家城商行均設立了獨立的風險管理部，但該部門普遍僅負責信用風險管理，并不承擔操作風險管理職能。換句話說，大多數城商行沒有設置專門的操作風險管理部門，相關管理職能分散在多個部門，導致重復管理與管理真空并存、管理效率低下等問題。在此情況下，主要由風險管理部負責建設的所謂全面風險管理體系并未將操作風險納入其中，更多的是強調對信用風險的全流程、全覆蓋管理。

最后，分支機構的操作風險管理職能缺失。與總行操作風險管理部門缺乏相對應，在分支機構層面也沒有設置專門的部門或崗位負責操作風險管理，而是分散于會計主管、風險經理、合規(guī)員以及審計經理等不同條線的有關崗位上，缺乏總體協(xié)調。操作風險管理架構的不完善還造成風險匯報路線不清晰，進而導致董事會及高管層不能及時、全面掌握銀行的操作風險總體狀況。

問題四：內控體系不完善，操作風險管理手段單一

從現(xiàn)實來看，城商行操作風險管理手段單一，大多主要依靠內部控制中的傳統(tǒng)流程控制和制度控制。而城商行普遍存在內控體系不完善問題，從而使得操作風險管理能力不高，操作風險大案屢有發(fā)生。第一，內部控制架構不完善，導致內控體系不健全。在公司治理層面，董事會未能承擔起內控建設的最終職責，造成內控建

設缺乏全面性、前瞻性和持續(xù)性。在經營管理層沒有專門的部門負責內控體系建設，各相關部門僅從條線管理角度開展內控活動，使得內控體系缺乏整體性。

第二，內控制度不完善。相當一部分城商行尚未建立起由戰(zhàn)略層面、基本制度層面和操作層面等不同層面構成的內控制度體系，大多由各業(yè)務條線的業(yè)務管理辦法或操作手冊代替，制度對風險的控制力不強。

第三，內控關鍵措施缺乏，內控效果不高。關鍵崗位強制休假、輪崗輪調、不相容崗位相互分離等內控關鍵措施對控制操作風險具有很好效果。但相當一部分城商行或由于人員不足，或由于不重視等原因并未建立起上述內控舉措，或日常經營管理活動中未能嚴格執(zhí)行，使得內控效果打折扣。而很多操作風險案件的發(fā)生與這些內控關鍵措施的缺乏直接相關。

第四，內控監(jiān)督評價職能較弱，內控持續(xù)改進機制沒有形成。由于歷史原因，城商行內審普遍薄弱，而這恰恰是內控監(jiān)督評價的核心因素。從而造成對內控缺陷的識別能力不強，建立在此基礎上的內控持續(xù)改進機制也就難以形成。

問題五：制度執(zhí)行的監(jiān)督評價機制缺乏，制度執(zhí)行力不高

制度執(zhí)行不力是很多城商行操作風險案件發(fā)生的直接原因，也是城商行操作風險管理中存在的普遍性問題。在很多情況下，有制度不執(zhí)行給銀行造成的危害更大，因為在有制度的情況下往往會讓風險管控人員放松警惕，進而發(fā)生風險。造成城商行制度執(zhí)行力不高的原因有以下兩方面：

第一，更加重視制度建設過程，對制度出臺后的執(zhí)行情況則重視不夠。在制訂制度的過程中，總行各相關部門均會積極參與，出謀策劃。但制度出臺后，在如何將總行的意圖和制度的內含準確、完整、及時傳遞至分支機構方面，則做得相對不夠。造成分支機構不能準確把握政策意圖，影響制度的有效執(zhí)行。

第二，對制度執(zhí)行的監(jiān)督評價機制缺乏。制度出臺后，相關部門并未建立起一種評價機制，以了解制度執(zhí)行情況、執(zhí)行中碰到的問題，以及制度與外部環(huán)境的適應性等，以便于對制度進行調整完善，造成制度制定與制度執(zhí)行的脫節(jié)。此外，對有章不循、違規(guī)違章操作問題的處罰力度不夠，難以起到震懾作用，也是造成制度執(zhí)行不力的原因之一。

問題六：操作風險管理的電子化水平較低

研究顯示，操作風險大都跟人員因素有關。因此，傳統(tǒng)的制度控制、崗位制約等風險防控手段的效果不盡如人意。由于人容易受到自身感情、情緒以及外部環(huán)境等因素的影響，通過“人工控制”來防控操作風險還容易帶來衍生風險，如合謀作案等。換句話說，電子化的系統(tǒng)控制方式不易受到外部因素干擾，防控效果更好。這也是操作風險管理的未來發(fā)展方向。值得注意的是，城商行操作風險管理的電子化水平普遍較低。集中表現(xiàn)在：第一，業(yè)務系統(tǒng)的風險控制功能較弱，業(yè)務系統(tǒng)更大程度上是業(yè)務操作和處理系統(tǒng)，缺乏對各環(huán)節(jié)潛在操作風險的控制功能，對風險管理的支撐不夠。第二，城商行大都沒有建立專門的操作風險管理系統(tǒng)，不能對操作風險進行及時識別、實時監(jiān)控和預警。操作風險管理仍停留在傳統(tǒng)的“人工控制”階段，操作風險管理效率不高。第三，尚未在對銀行歷史上的操作風險進行全面梳理的基礎上，建立操作風險損失數據庫，以為操作風險的量化管理做好準備。鑒于操作風險的特殊性，全流程管理、全覆蓋監(jiān)控是有效管理操作風險的基本要求。但在缺乏專門的系統(tǒng)，電子化水平較低的情況下，城商行的操作風險管理很難做到這一點。

第5篇：操作風險管理范文

關鍵詞：商業(yè)銀行；風險管理；操作風險

中圖分類號：F832.2 文獻標識碼：A doi:10.3969/j.issn.1672-3309（x）.2011.11.39 文章編號：1672-3309（2011）11-86-02

從20世紀70年代以來，世界經濟和政治格局發(fā)生了巨大的變化。全球經濟一體化和金融交易電子化進程的不斷推進,促使各類金融創(chuàng)新層出不窮。同時，金融自由化的發(fā)展使得國際銀行業(yè)面臨的不確定性風險也在不斷增加，從而影響銀行體系的穩(wěn)定性。與較成熟并擁有完善理論的商業(yè)銀行信用風險和市場風險相比，操作風險被單獨提出是在20世紀90年代以后，對有關操作風險的識別、量化和管理等問題的研究并不透徹深入。但近些年商業(yè)銀行因操作風險引起的案件所涉及金額巨大，對社會秩序造成了不良影響，商業(yè)銀行操作風險管理越來越成為未來商業(yè)銀行風險管理的重中之重。

一、操作風險的定義與內涵

操作風險是指由于不完善或失靈的內部程序、人員和系統(tǒng)、外部事件導致的風險，包括法律風險，但不包括策略風險和聲譽風險，它涵蓋了商業(yè)銀行內部最重大范圍內的風險。最重大的操作風險在于銀行內部控制及公司治理機制的失效。這種失效狀態(tài)可能因為失誤、欺詐、未能及時做出反應而導致銀行財務損失，或使銀行的利益在其他方面遭受損失，如銀行交易員、信貸員、其他工作人員越權、從事職業(yè)道德不允許的或風險過高的業(yè)務。操作風險的其他方面還包括信息技術系統(tǒng)的重大失效、火災及其他災難。

這樣的定義反映出操作風險涵蓋了商業(yè)銀行除市場風險和信用風險以外的所有風險。但從銀行業(yè)的現(xiàn)狀來看，大多數銀行并沒有建立操作風險損失數據庫，也沒有一個全球銀行業(yè)的操作風險評價標準，所以操作風險的量化存在著一定困難。如何建立有效合理的銀行操作風險評估模型和評價體系將是未來銀行業(yè)關注和研究的重點。

二、商業(yè)銀行發(fā)生操作風險的必然性

金融業(yè)向來被認為是高風險的行業(yè)，高風險高收益的定律在這個行業(yè)被充分體現(xiàn)。商業(yè)銀行作為金融業(yè)十分重要的參與者，其在追求利潤的同時，也越來越關注如何將風險控制在可承受的范圍之內，在控制風險的前提下更好的開展業(yè)務。所以，對商業(yè)銀行操作風險的提出是深化銀行經營管理和全面開展風險管理的必然趨勢。

（一）商業(yè)銀行風險管理理論不斷發(fā)展的結果

風險的度量方法并非一朝一夕產生，自風險管理理論運用到實踐以來，各國銀行一直將風險管理的重點放在信用風險上，1988年具有劃時代意義的國際銀行業(yè)管理與監(jiān)督協(xié)議――《巴塞爾協(xié)議》中確定了資產信用風險的度量方法。同時，金融市場的變化讓人們意識到金融市場的價格變動給銀行體系帶來的極大風險，在1996年《巴塞爾資本協(xié)議》修正案中就對市場風險提出了進一步的資本要求：為了應對可能出現(xiàn)的市場風險，銀行應持有額外的監(jiān)管資本。隨著經濟全球化和金融創(chuàng)新的快速發(fā)展，金融體系的穩(wěn)定性接受了極大挑戰(zhàn)。在這種復雜的金融環(huán)境下，銀行已經逐步將資產負債業(yè)務管理轉向全面風險管理。同時各種風險管理理論逐漸產生，并被迅速運用到實際的銀行經營管理中，經過實踐、修正、完善，銀行的風險管理水平不斷提高。商業(yè)銀行對于信用風險和市場風險的識別、度量以及建模等分析評價水平也已成熟，由于操作風險而造成銀行實際損失頻率的增加和數額巨大，操作風險已經成為近代銀行業(yè)最主要的風險源之一。正因如此，關于操作風險管理的理論和研究也應運而生。

（二）銀行提供服務品種增多的要求

傳統(tǒng)銀行業(yè)的利潤來源主要來自于存貸差，但隨著存貸利率空間不斷縮小，依靠利息收入已經不能滿足銀行對收益的要求。而國際間的資本流動引發(fā)了全球貨幣體系和信用體系的巨大變革，以往的監(jiān)管體系已經不能適應金融全球化的發(fā)展。與此同時，全球科學技術的發(fā)展也達到了一個頂峰，這為金融創(chuàng)新提供了一個重要的媒介。在這些外部和內部的因素共同影響下，一大批金融創(chuàng)新工具應運而生。這些新型的金融服務不但加速了資本的流動性和盈利性，同時也具有一定的避險能力。但是，金融服務創(chuàng)新是一把雙刃劍，它既可以規(guī)避風險、降低風險，也可以制造風險、擴大風險。駭人聽聞的巴林銀行事件就是一個很好的例子。期貨產品本可作為套期保值的金融工具，但該銀行交易員卻期望通過買賣獲利，在風險不可控制的情況下一意孤行，最后造成不可彌補的損失。這個例子是一個經典的操作風險案例。首先，其是由內部人員操作導致。其次，交易員越權操作風險過高的業(yè)務。從中我們可以看出，金融服務品種的不斷增多，極大地豐富了銀行的流動性和盈利能力，但是，這些業(yè)務品種往往有別于傳統(tǒng)銀行業(yè)務，其業(yè)務類型相對復雜，很多是基于信用體系建立起來的，這就賦予其產品自身很高的風險性，操作員的一點失誤，可能造成幾倍或幾十倍的損失。因此，大量金融創(chuàng)新的產生也帶來巨大的潛在操作風險，為了規(guī)避這些風險，商業(yè)銀行操作風險管理也被提到一個重要的位置。

三、對商業(yè)銀行操作風險進行管理的重要性

通過操作風險的定義并結合銀行的實際工作，我們從中不難看出，操作風險存在于銀行的各個業(yè)務環(huán)節(jié)，銀行幾乎所有事情都與操作風險息息相關。銀行高層管理者對操作風險帶來損失的擔心、監(jiān)管當局對操作風險的關注、公眾對于銀行體系統(tǒng)安全性的質疑以及因金融全球化操作引發(fā)的操作風險增加等原因，使得人們對銀行操作風險管理日益關注。

（一）操作風險涵蓋廣泛的銀行風險

在日常的金融活動運行中，人們發(fā)現(xiàn)還存在著許多并不來自于信用風險和市場風險的風險損失，比如：人員舞弊、操作失誤、惡意詐騙以及系統(tǒng)癱瘓或者軟件漏洞等。當這些風險給銀行帶來巨大的損失時，人們開始關注這類不屬于信用風險和市場風險范疇的風險。20世紀90年代以來，全球爆發(fā)的許多金融危機幾乎都與人為因素風險、系統(tǒng)風險、法律風險等一系列風險有關，但這些風險并不能被歸入信用風險和市場風險的范圍，最后將其統(tǒng)稱操作風險。我們可以看出，操作風險涵蓋了商業(yè)銀行除信用風險和市場風險以外的所有風險，其廣泛的覆蓋面是任何一種風險所不能比擬的。然而，盡管大家意識到操作風險管理的重要性，但對其投入的重視并不夠。雖然，國內各大商業(yè)銀行已經在為之做出努力，紛紛采取不同的方式和方法建立和完善自身的風險管理體系，并取得一定的成效，但截至現(xiàn)在，操作風險還沒有一個統(tǒng)一的定義，沒有一個全球認可的度量標準，沒有可供獲取的數據庫，也沒有相應的系統(tǒng)軟件。所以如何對操作風險進行規(guī)避和管理將是商業(yè)銀行未來改革的重點。

（二）操作風險具有內生性

從操作風險引發(fā)起的種種案例中可以看出，這些損失的發(fā)生往往來自于制度因素、人員因素以及系統(tǒng)因素等，而這些因素的性質決定了我們很難在操作風險發(fā)生前對其充分預知，比如員工蓄意犯案、交易員操作失誤以及系統(tǒng)突然故障等等。所以說，操作風險具有內生性，即使建立完善的風險管理制度和預警機制，也不可能完全避免操作風險的發(fā)生。一般來說，操作風險自身的性質決定了其與信用風險和市場風險相比更加難以度量和評價。首先，操作風險涉及道德、不可抗力等領域，這些因素是沒有一個衡量標準的。與我們可以直觀看到的數據不同，我們很難對這些因素進行量化和建模。其次，類似操作失誤、系統(tǒng)故障之類的事件發(fā)生是沒有規(guī)律和端倪可尋的，這也給操作風險的度量帶來一定的障礙。因此，操作風險的管理更應該引起銀行經營管理者和監(jiān)管者的高度重視。將事前防范、事中控制和事后審計相結合，同時建立完善的風險管理制度，力爭在風險發(fā)生之前有效識別，風險發(fā)生之時有效控制，風險發(fā)生之后有效管理，將操作風險對銀行的損失降到最低。

（三）操作風險給銀行帶來的損失巨大

眾所周知，巴林銀行、大和銀行、美國長期資本管理公司的倒閉事件引發(fā)了人們對操作風險的廣泛關注，而2008年發(fā)生的法國興業(yè)銀行巨額損失事件更是一個由銀行操作風險引發(fā)的經典案例。據有關研究統(tǒng)計，在過去10年內，僅美國金融機構蒙受的超過1億美元以上的遭受操作風險的損失事件已超過100宗，代表性案件有：阿爾弗斯特金融公司（Allfirst Financial）的流氓交易損失達6.91億美元；家庭金融公司（Household Finance）因誤導銷售遭受損失達4.84億美元；“9.11”恐怖襲擊事件使紐約銀行損失1.4億美元。由此可見，操作風險給銀行帶來的損失是巨大的，甚至是毀滅性的。

參考文獻：

[1] 徐學鋒.商業(yè)銀行操作風險管理新論[M].北京:中國金融出版社，2009.

[2] 漢斯?烏里希?德瑞克.金融服務運營風險管理手冊(中文版)[M].北京:中信出版社，2004.

第6篇：操作風險管理范文

隨著銀行服務的全球化、技術系統(tǒng)的更新、交易量的提高、日趨復雜的交易工具和交易策略等,都增大了銀行機構面臨的操作風險。對整個銀行業(yè)和國際監(jiān)管機構引起巨大震撼的“巴林銀行”事件,從表面上來說是由于“關東大地震”所導致的日經指數期貨暴跌,日本政府債券卻一路上揚,里森不幸在這兩個品種上都持有錯誤方向的籌碼。這種突然來臨的市場風險直接導致了里森的,及巴林銀行的清盤倒閉。但本質上,卻是由于巴林銀行混亂的內部控制與風險管理體系所導致的,徹頭徹尾是由于操作風險而招致的滅頂之災。巴林事件之所以能發(fā)生,關鍵在于:交易與清算之間應有的制度執(zhí)行缺失,業(yè)務流程應履行的監(jiān)督失靈所導致。

操作風險源自于內部程序不完善、人為失誤、系統(tǒng)故障和外部事件的影響,而銀行業(yè)務流程是操作風險發(fā)生的主要載體,規(guī)范、科學、運行良好的業(yè)務流程,能從根本上起到規(guī)避和減少操作風險的作用。因此,從流程角度來研究操作風險管理是從商業(yè)銀行操作風險管理和流程管理理論的內在耦合性出發(fā),對銀行操作風險管理所做的有益嘗試。

二、流程與操作風險

操作風險的核心概念是操作(operations),其本意是“運營或發(fā)揮功能的活動或流程(theactorprocessofoperatingorfunctioning,美國傳統(tǒng)辭典)”,中心詞是活動或流程(act或process)。實際上,商業(yè)銀行本身就是一個為最終滿足顧客需求、實現(xiàn)投資者價值最大化而運行的一系列有密切聯(lián)系的業(yè)務流程和活動的集合體。2005年中國銀監(jiān)會主席劉明康就指出“流程銀行”是商業(yè)銀行變革的方向之一,凸顯了“流程”在現(xiàn)代商業(yè)銀行中的重要地位。銀行提品或服務的過程,即是承擔風險、消耗資源使得價值從一個業(yè)務流程或活動轉移到下一個業(yè)務流程或活動的過程,最終商品或勞務既是全部業(yè)務流程的集合,也是全部資源、全部風險的集合。國內外許多學者在這方面進行了研究,從國內的研究看,主要集中在操作風險的管理框架、度量方法及風險值衡量、基于工作流的操作風險控制及基于流程管理的銀行信息化等方面。從國外看,Ebnotheretal.(2002)認為操作風險的衡量和管理一定是基于定義良好的流程,它們是操作風險管理的“精微平臺(microscopiclevel)”,該文獻中也提到了流程活動的概念,但它們只是作為流程的附屬存在。Leippoldetal.(2003)提出并應用價值鏈的概念來模型化操作風險,而價值鏈實質就是基于流程展開的。這些研究雖然涉及到流程和操作風險之間的關系,但較為全面論述二者關系的文章還沒有見到,特別是將流程理論和操作風險緊密結合起來,重新審視操作風險管理。因此本文從流程出發(fā),以流程的視角分析操作風險管理的兩個重要內容:內部控制和風險度量,為銀行操作風險管理提供一個新的思路。

所謂流程,普適的定義是指為特定客戶和市場提品和服務而實施的一系列精心設計的有邏輯相關性的活動(Davenport&Short,1991)。流程進一步細分為活動(或稱為流程活動,activity),流程活動是流程的最基本要素。一個流程活動是接收某一種類型的輸入,并在某種規(guī)則控制下,利用某些資源,經過特定變換轉化為輸出的過程,即:

流程活動={輸入,處理規(guī)則,資源,輸出}

其中,資源是指流程活動執(zhí)行者在執(zhí)行這一流程活動時所依賴的方法或憑借的手段。一個流程中的基本流程活動是不可再分的流程活動,其特征包括:明確的結果;清楚的邊界;獨立于其他流程活動。

銀行業(yè)務流程就是銀行實現(xiàn)自身價值所進行的一系列的業(yè)務活動,它是銀行的核心價值活動,也是隱含風險,造成損失的重要載體。

我國商業(yè)銀行現(xiàn)有的業(yè)務流程可以分為直接創(chuàng)造價值的前臺客戶服務流程和為直接創(chuàng)造價值活動服務的后臺支持流程,這兩個流程按照J·佩帕德和P·羅蘭的劃分分別屬于銀行的經營流程和保障流程。對我國的商業(yè)銀行而言,前臺后臺的業(yè)務流程類型如圖1所示:

從流程的角度來考察操作風險,也可以從操作風險的定義中反映出來。巴塞爾委員會的定義是:“由于不當或失敗的內部程序、人員和系統(tǒng)或外部事件導致?lián)p失的風險”,這一定義包含四類因素,即人員,程序,系統(tǒng)和外部事件,但都通過業(yè)務流程發(fā)生作用。瑞士信貸集團的定義是“由于以不當或失敗的方式操作流程活動而對業(yè)務帶來負面影響的風險,操作風險也可能是由外部因素造成的”。全球衍生產品研究小組曾經給操作風險下過這樣一個定義:“操作風險是指由于控制和系統(tǒng)的不完善、人為的錯誤或管理不當所導致的損失的風險?！彼菑娜藛T、系統(tǒng)和操作流程三個方面對操作風險進行了界定,并且把管理作為防止操作風險的決定性因素。銀行操作風險涉及組織的各個方面,主要發(fā)生在銀行服務的各種流程活動之中,流程中的人、系統(tǒng)和操作程序就成為操作風險管理的重點。因而操作風險管理的重要內容是規(guī)范、監(jiān)視和分析組織內部的各種流程,同時將人和系統(tǒng)的因素考慮到流程之中。

由圖2可以看出,風險管理流程作為一項支持性的經?；顒?對其它流程有著監(jiān)督的作用,因而可以將風險管理流程和普通業(yè)務流程作為整體來考慮,即對流程的數據、知識和規(guī)則建模時,可以對每個業(yè)務流程活動和類型進行基于損失數據的風險評估和分析,做到每一個流程活動的流程管理和風險管理。

三、流程視角下的銀行內部控制框架

自1992年美國COSO委員會《內部控制框架》(簡稱COSO報告)以來,該內部控制框架已經被世界上許多銀行所采用,但理論界和實務界紛紛對內部控制框架提出一些改進建議,強調內部控制框架的建立應與銀行的風險管理尤其是操作風險相結合。新的全面風險管理框架就是在1992年的研究成果--《內部控制框架》報告的基礎上,結合《薩班斯一奧克斯法案》(Sarbanes-OxleyAct)在報告方面的要求,進行擴展研究得到的?！端_班斯-奧克斯法案》是安然、世通等財務欺詐事件發(fā)生后,美國證監(jiān)會于2002年7月30日頒布并實施的強制所有在美國上市的公司在2006年財年結束前執(zhí)行的一項內部控制法案,被美國總統(tǒng)布什稱為“自羅斯?？偨y(tǒng)以來美國商業(yè)界影響最為深遠的改革法案”。該法案要求組織機構使用文檔化的財務政策和流程來改善可審計性,并更快地拿出財務報告。要求銀行針對產生財務交易的所有流程活動,都做到透明度、控制、通訊、風險管理和詐欺防治,并且這些流程必須詳加記錄到可追查交易源頭的地步。

在傳統(tǒng)的勞動分工原則下,職能部門把銀行的流程割裂成一個個獨立的環(huán)節(jié),關注的是單個任務或工作,其結果就是忽視內部控制的動態(tài)性、系統(tǒng)性。從流程的視角出發(fā),就需要從顧客需求出發(fā),對銀行流程進行系統(tǒng)性的思考分析,或通過對銀行流程構成要素的重新分解、組合,以此實現(xiàn)銀行流程徹底的改造和重新設計,從而獲得銀行績效的持續(xù)改進。它不再強調單個工作或任務自身是什么,而是這些工作是如何有效執(zhí)行的,因為銀行的一切經營活動就是一系列富有邏輯關系的流程的有序集成,因而契合于銀行整個業(yè)務流程的內部控制活動和程序,也將表現(xiàn)出如同流程再造那樣必須根據外界需求變化不斷檢視和調整的系統(tǒng)動態(tài)過程,這個過程也體現(xiàn)了銀行抵御外部影響而導致操作風險的柔性能力。

進一步看,流程實際上又是由一系列流程活動的集成,也即銀行就是一個為滿足履行要素使用權交易合約需求而設計的一系列流程活動的集合體。流程活動是通過組織、單位或成員按照一定的流程、活動的要求來完成。為此,內部控制的功能不僅在于通過流程活動的分析,剔除非增值流程活動,實現(xiàn)流程的最優(yōu)化,而且還要保證最優(yōu)化的流程有效地運行,并在此基礎上根據客戶的不斷變化的需求產生最優(yōu)的流程。此時,內部控制實際上進一步彰顯其過程化的行為,成為銀行最優(yōu)化、間接和理性的流程活動標準,并按照控制的循環(huán)步驟,實現(xiàn)內部控制的目標。其具體過程如下圖3所示。

顯然,傳統(tǒng)的內部控制強調權利與職責的分配、崗位相互之間的牽制等基本理念將受到嚴重挑戰(zhàn),原有“要素化”的控制方式將會被流程化、系統(tǒng)化的控制機制所取代,也就是說職能控制、崗位控制將被流程控制所替代,從上到下的分權控制將被各個流程活動之間的控制、各個任務之間的控制所替代。在流程視角下,信息流、資金流成為銀行經營活動的基本組成要素。為迎合銀行業(yè)務流程管理和操作風險控制的需要,內部控制實際上將演變成一種最優(yōu)化、簡潔和理性(合乎邏輯)的流程活動方式或流程活動標準,實現(xiàn)資金流和信息流的高度合一,達到控制和規(guī)避操作風險的目的。

四、基于流程活動的操作風險度量

巴塞爾新資本協(xié)議中將銀行業(yè)務分為8個產品線,19個二級目錄及50多個業(yè)務群組,但這種劃分只是停留在流程層面,并沒有深入到流程活動層面。正確劃分銀行流程活動,應從銀行本身的規(guī)模、戰(zhàn)略、業(yè)務特性和管理特點出發(fā)。對流程活動分解的越細,就越容易找到具體的風險驅動因素,從而越能對操作風險進行準確衡量與管理,因此,合乎邏輯的做法是將銀行業(yè)務劃分為產品線,再細分為流程,最后細分到流程活動。

定義、衡量和控制操作風險,不可能對所有的銀行流程活動都同樣關注,而應該重點關注銀行的核心流程活動,對銀行的增長和收益沒有貢獻的非核心的流程及流程活動不應予以考慮。

巴塞爾委員會將操作風險因素劃分為7個類型,在此基礎上進一步細分為20種、71個具體風險因素。Doerig(2004)將操作風險類型分為5大類,即組織,政策/過程,技術,人員和外部,細分因素有20種;英國銀行服務局(FSA,2002)在其關于操作風險系統(tǒng)和控制的咨詢文件(CP142)中將形成操作風險的因素歸結為人的因素、過程和系統(tǒng)、外部事件、外部采購和保險等5個方面。盡管細分的風險因素中可能包含幾十種,但具體到不同的流程活動,很可能只有幾種因素在起作用。

銀行業(yè)務可以劃分為若干個產品線,每個產品線由一組流程組成,而每個流程又由一組關鍵流程活動ai構成,每個流程活動都有潛在的fj種風險因素可能導致操作風險。圖4所示的流程活動和風險因素的組合顯示了基于流程活動的操作風險度量原理。

圖4中,橫坐標為關鍵流程活動,縱坐標為風險因素。圖中取1的為關鍵流程活動與風險因素的有效組合,取0表示該組合無效。例如組合(a2,f1)表示在流程活動a2中,風險因素f1不起作用。對于有效組合,可以進行衡量或評估以確定該組合下的風險損失Rij。如果確認了銀行業(yè)務中的所有關鍵流程活動ai和風險因素fj,那么就可以得到一個關鍵流程活動/風險因素組合有效性矩陣,在該矩陣中,有效組合取值為1,無效組合取值為0。

一般地,操作風險度量有兩大類方法,即自上而下法和自下而上法。自上而下法基于宏觀數據來度量操作風險,不去識別具體的損失事件和原因。自下而上法則是利用具體的事件來決定操作風險的來源并進行度量,屬于風險敏感方法。巴塞爾新資本協(xié)議中的前兩種方法屬于自上而下法,第三種方法即高級衡量法屬于自下而上法。委員會鼓勵銀行提高風險管理的復雜程度并采用更加精確的計量方法?；诹鞒袒顒拥牟僮黠L險度量方法將銀行業(yè)務細分為流程活動,識別每一流程活動中潛在的具體風險因素,在此基礎上衡量風險損失,因而屬于風險敏感的自下而上方法。

該方法首先確認流程活動和風險因素將銀行操作風險暴露分解,EI(i,j)表示第i個流程活動在j類風險因素下的風險暴露;PE(i,j)表示流程活動i在風險因素j下操作風險發(fā)生的概率;LGE(i,j)表示流程活動i在風險因素j下的預期損失程度,那么,組合(ai,fj)的操作風險預期損失為:

如果數據是夠充分,模型還可以估算出不同風險損失之間的相關系數,從而使計算結果更加準確?；诹鞒袒顒拥牟僮黠L險度量深入到微觀的活動層面,對流程活動的各個要素和風險驅動因素進行分析,為銀行控制和緩釋操作風險提供了依據。

該方法將操作風險度量與管理有機地結合起來。將操作風險度量和管理建立在對銀行關鍵流程活動及潛在風險因素的清晰理解基礎之上,它考慮到了每個流程活動/風險因素組合(ai,fj)的損失分布,考慮到了流程活動之間的銜接同樣是操作風險的重要來源,考慮到了流程活動與流程活動之間、風險因素與風險因素之間的相關關系,從而保證了衡量的準確性。

第7篇：操作風險管理范文

關鍵詞：銀行；柜面；風險管理；思考

一、抓風險管理機制

穩(wěn)健有效的基礎是防控案件風險的一道堅實屏障?？v觀近幾年金融機構發(fā)生的案件，管理不到位、履職不到位、監(jiān)管缺失是形成案件的根本原因。應著眼于建立成熟完善的風險防控制度和有效的考核激勵約束制度，構筑立體的風險防控機制。目前，建設銀行已經初步形成了風險防控的系列機制，如稽核系統(tǒng)、柜面監(jiān)測系統(tǒng)、現(xiàn)場非現(xiàn)場檢查、操作風險控制評價等，但操作風險管理的考核激勵機制還不甚完善，完善操作考核激勵制度勢在必行。在機構考核方面，應將全面基礎管理水平與關鍵風險控制能力考核相結合；在人員考核方面，應覆蓋管理層、委派主管、前臺柜員等各層級人員；在考核期限上，應長、中、短期相結合，形成環(huán)環(huán)相扣的鏈式管理。并以之為抓手，引導管理方向，約束管理行為，查找管理的缺失和不足，準確傳導政策制度，將各項防控措施落實到最基層的每個機構、每名操作柜員，達到有效控制風險的目的。

二、抓全行整體聯(lián)動

任何一個環(huán)節(jié)控制不到位，都會出現(xiàn)案件風險，除造成資金損失、損害建設銀行的社會形象外，還會牽扯上上下下的大量精力，影響業(yè)務發(fā)展。因此，防控案件風險，不是哪一個條線、哪一個部門的事，而是全行的大事，從各級領導到每一個員工，都必須重視風險防范工作，結合本職崗位履職盡責。全行上下要達成共識，各條線部門齊抓共管，業(yè)務交叉部位風險管理無空白；職能部門嚴格執(zhí)法，違規(guī)違紀行為責任落實追究到位；機構負責人保一方平安，委派主管和紀檢監(jiān)察特派員強化過程管理，共同為業(yè)務健康快速發(fā)展創(chuàng)造良好的運營環(huán)境。

三、抓管理人員履職

各級管理人員對防范風險工作重視與否起著至關重要的作用。俗話說，針尖大的窟窿能漏斗大的風，管理人員不盡職，操作層面可能就會無視制度的存在，從而引發(fā)案件風險。各級管理人員要把案件風險看作懸在頭頂的達摩克利斯之劍，時時警惕，處處小心，不以事小而疏忽，不因久安而懈怠。通過加強履職管理，提高履職質量，促進風險防控能力提升。各級行長、主管行長首先要履行自身職責，按規(guī)定頻率和要求完成金庫、重空庫的檢查任務，作出表率。其次，要抓好本行各級管理人員的履職，包括主管部門的履職、機構負責人的履職、委派主管的履職，并設立量化指標對其風險控制水平進行考核。通過前、中、后臺管理，事前、事中、事后控制，形成多層面，多角度的精細化管理體系，使風險管理無缺漏、無盲點。

四、抓案件防控重點

案件防控工作點多面廣，既涉及機構又涉及人員，既涉及前臺又涉及后臺，既涉及管理層又涉及操作層。在這種形勢下，必須抓住主要矛盾進行重點管理和控制。

（一）抓重點機構

防控案件風險，關鍵是抓短板。應根據操作風險控制評價結果，以及各級管理人員掌握的情況，重點關注四類機構：一是會計基礎管理薄弱、風險控制能力差的機構；二是業(yè)務發(fā)展與基礎管理水平不匹配的機構；三是高風險業(yè)務集中的機構；四是管理半徑長的偏遠機構。對重點機構，要重點進行幫扶，在管理資源上重點傾斜，逐個排除“地雷”、“炸彈”，對長期在低水平徘徊的機構，可以考慮采取一些激進措施進行干預，改變其落后局面，補足管理短板。

（二）抓關鍵風險點

關鍵風險點是案件多發(fā)區(qū)和重災區(qū)，對其管理不到位，可能直接引發(fā)內部案件，或形成外部欺詐，給銀行資金、銀行信譽造成不可挽回的損失。為加強事前防范，各行都應組織對關鍵風險點進行梳理，拿出切實可行的措施，嚴防死守，確保不出問題。重點關注以下12個關鍵風險點。

1.現(xiàn)金。尾箱、金庫、上門收款業(yè)務直接接觸現(xiàn)金和客戶賬，是內部作案頻發(fā)部位。封箱鎖庫、調撥等操作不規(guī)范，崗位制約、輪換制度執(zhí)行不到位，賬務核對不及時，業(yè)務處理一手清，檢查流于形式，都會直接導致案件發(fā)生。

2.柜員崗位權限和授權管理。重要崗位人員不按規(guī)定輪崗、不兼容崗位混崗操作、操作權限過大、業(yè)務授權流于形式，是案件發(fā)生的重要原因。只有從源頭上防范操作風險、確保柜員在職責范圍內行使職權、防范“一手清”現(xiàn)象，才能有效控制案件發(fā)生。

3.重要空白憑證和會計印章。銀行重要空白憑證、印章被盜用，或超范圍使用，對外出具資金證明、偽造銀行入賬憑證、偽造存款憑證、結算票據等違法違規(guī)行為，都會給銀行帶來直接或間接損失。在管理上，要做到“誰保管、誰使用、誰負責”，防止產生嚴重后果。

4.柜面操作違規(guī)。柜面業(yè)務操作中的不良習慣和誤操作，弱化了內部監(jiān)督制衡機制，為案件和重大違規(guī)事件埋下了風險隱患。更嚴重的是，這種風險可以隨著客戶來賬資金數額的增加而被放大。對違規(guī)操作行為要采取零容忍態(tài)度，嚴肅問責；對屢查屢犯，要加重處罰。同時加強員工崗位規(guī)范操作培訓，特別是要研究制定提高新員工崗前培訓效果的有效措施，培養(yǎng)員工規(guī)范操作的習慣。

5.司法協(xié)助和掛失業(yè)務。最主要的風險是外部欺詐和糾紛。對外，要警惕犯罪分子使用偽造的證件，盜取、詐騙客戶和銀行資金。對內，要遵紀守法，不得協(xié)助轉移客戶資金；嚴密司法協(xié)助通知書回執(zhí)回復，避免銀行擔責、墊款。同時還要防范內部員工通過掛失手段盜取客戶資金。

6.單位和個人結算賬戶。結算賬戶是犯罪分子作案的重要載體，除結算賬戶相關資料的合規(guī)性外，還要規(guī)范管理與結算賬戶相關的協(xié)議、印鑒卡等，防止出現(xiàn)通過虛假資料、證件開立各類結算賬戶，盜換單位預留印鑒，從而形成盜取客戶資金案件的風險。此外，還要防范洗錢、恐怖融資等違法行為。

7.票據業(yè)務。票據業(yè)務風險最主要的是票據以及交易背景的真實性，要通過配備必要的鑒別儀器，提高柜員識假反假能力，防范克隆票據、變造票據、假票據給企業(yè)和銀行造成的巨大資金風險。

8.內部賬戶。內部賬戶種類繁多，發(fā)生業(yè)務頻繁，如缺乏監(jiān)督清理機制，發(fā)生利用內部賬違規(guī)墊付資金、盜取資金案件，因其隱蔽性較強，不能及時發(fā)現(xiàn)。對此問題，關鍵是要加強內部審核和監(jiān)管，嚴格簽字授權制度，專人核對，重點檢查。

9.代辦、自辦業(yè)務。這類問題已列入員工禁止行為，必須堅決杜絕，對違規(guī)人員進行嚴肅處理。審計檢查已發(fā)現(xiàn)個別員工利用本人或本人控制的銀行賬戶進行代客戶套現(xiàn)、代客理財、工資、過渡營銷費用、虛增存款和庫存現(xiàn)金、調劑庫款等違規(guī)行為，潛在案件隱患極大。

10.工資業(yè)務。與業(yè)務相關的協(xié)議不健全，客戶提供非加密數據（可被增、刪、改），違規(guī)在網點安裝批量代工客戶端，違規(guī)代客戶操作，都是引發(fā)內部道德風險和外部商業(yè)糾紛的風險點。

11.自助設備。自助設備作為柜面業(yè)務的主要分流工具，近年設備數量與業(yè)務量劇增，以自助設備為對象的案件也呈增長趨勢，需引起高度警惕。對自助設備管理存在的問題需相關部門齊抓共管，嚴禁混崗操作，規(guī)范密碼、鑰匙的使用與保管，確保錢款安全。

12.后臺核算中心。核算中心機構號下掛靠部門多、業(yè)務員分屬不同部門，因此在不相容崗位設置、柜員崗位權限、重要單證及印章、加強內部對賬等方面要嚴格管理，將責任落實到人。核算中心作為頭寸機構，具有資金出入量大、系統(tǒng)操作維護權限大的特點，必須嚴把審核關、操作關、授權關，才能有效控制風險，不出案件。

第8篇：操作風險管理范文

關鍵字: 流程；操作風險；商業(yè)銀行

中圖分類號：F830.49文獻標識碼：B文章編號：1006-1770(2006)09-053-03

一、引言

隨著銀行服務的全球化、技術系統(tǒng)的更新、交易量的提高、日趨復雜的交易工具和交易策略等，都增大了銀行機構面臨的操作風險。對整個銀行業(yè)和國際監(jiān)管機構引起巨大震撼的“巴林銀行”事件，從表面上來說是由于“關東大地震”所導致的日經指數期貨暴跌，日本政府債券卻一路上揚，里森不幸在這兩個品種上都持有錯誤方向的籌碼。這種突然來臨的市場風險直接導致了里森的，及巴林銀行的清盤倒閉。但本質上，卻是由于巴林銀行混亂的內部控制與風險管理體系所導致的，徹頭徹尾是由于操作風險而招致的滅頂之災。巴林事件之所以能發(fā)生，關鍵在于：交易與清算之間應有的制度執(zhí)行缺失，業(yè)務流程應履行的監(jiān)督失靈所導致。

操作風險源自于內部程序不完善、人為失誤、系統(tǒng)故障和外部事件的影響，而銀行業(yè)務流程是操作風險發(fā)生的主要載體，規(guī)范、科學、運行良好的業(yè)務流程，能從根本上起到規(guī)避和減少操作風險的作用。因此，從流程角度來研究操作風險管理是從商業(yè)銀行操作風險管理和流程管理理論的內在耦合性出發(fā)，對銀行操作風險管理所做的有益嘗試。

二、流程與操作風險

操作風險的核心概念是操作(operations)，其本意是“運營或發(fā)揮功能的活動或流程(the act or process of operating or functioning,美國傳統(tǒng)辭典)”，中心詞是活動或流程（act或process）。實際上，商業(yè)銀行本身就是一個為最終滿足顧客需求、實現(xiàn)投資者價值最大化而運行的一系列有密切聯(lián)系的業(yè)務流程和活動的集合體。2005年中國銀監(jiān)會主席劉明康就指出“流程銀行”是商業(yè)銀行變革的方向之一，凸顯了“流程”在現(xiàn)代商業(yè)銀行中的重要地位。銀行提品或服務的過程，即是承擔風險、消耗資源使得價值從一個業(yè)務流程或活動轉移到下一個業(yè)務流程或活動的過程，最終商品或勞務既是全部業(yè)務流程的集合，也是全部資源、全部風險的集合。國內外許多學者在這方面進行了研究，從國內的研究看，主要集中在操作風險的管理框架、度量方法及風險值衡量、基于工作流的操作風險控制及基于流程管理的銀行信息化等方面。從國外看，Ebnother et al. (2002 )認為操作風險的衡量和管理一定是基于定義良好的流程，它們是操作風險管理的“精微平臺(microscopic level)”，該文獻中也提到了流程活動的概念，但它們只是作為流程的附屬存在。Leippold et al. (2003) 提出并應用價值鏈的概念來模型化操作風險，而價值鏈實質就是基于流程展開的。這些研究雖然涉及到流程和操作風險之間的關系，但較為全面論述二者關系的文章還沒有見到，特別是將流程理論和操作風險緊密結合起來，重新審視操作風險管理。因此本文從流程出發(fā)，以流程的視角分析操作風險管理的兩個重要內容：內部控制和風險度量，為銀行操作風險管理提供一個新的思路。

所謂流程，普適的定義是指為特定客戶和市場提品和服務而實施的一系列精心設計的有邏輯相關性的活動(Davenport & Short, 1991)。流程進一步細分為活動(或稱為流程活動，activity ) ，流程活動是流程的最基本要素。一個流程活動是接收某一種類型的輸入，并在某種規(guī)則控制下，利用某些資源，經過特定變換轉化為輸出的過程，即：

流程活動={輸入，處理規(guī)則，資源，輸出}

其中，資源是指流程活動執(zhí)行者在執(zhí)行這一流程活動時所依賴的方法或憑借的手段。一個流程中的基本流程活動是不可再分的流程活動，其特征包括：明確的結果；清楚的邊界；獨立于其他流程活動。

銀行業(yè)務流程就是銀行實現(xiàn)自身價值所進行的一系列的業(yè)務活動，它是銀行的核心價值活動，也是隱含風險，造成損失的重要載體。

我國商業(yè)銀行現(xiàn)有的業(yè)務流程可以分為直接創(chuàng)造價值的前臺客戶服務流程和為直接創(chuàng)造價值活動服務的后臺支持流程，這兩個流程按照J?佩帕德和P?羅蘭的劃分分別屬于銀行的經營流程和保障流程。對我國的商業(yè)銀行而言，前臺后臺的業(yè)務流程類型如圖1所示：

從流程的角度來考察操作風險，也可以從操作風險的定義中反映出來。巴塞爾委員會的定義是：“由于不當或失敗的內部程序、人員和系統(tǒng)或外部事件導致?lián)p失的風險”，這一定義包含四類因素，即人員，程序，系統(tǒng)和外部事件，但都通過業(yè)務流程發(fā)生作用。瑞士信貸集團的定義是“由于以不當或失敗的方式操作流程活動而對業(yè)務帶來負面影響的風險，操作風險也可能是由外部因素造成的”。全球衍生產品研究小組曾經給操作風險下過這樣一個定義：“操作風險是指由于控制和系統(tǒng)的不完善、人為的錯誤或管理不當所導致的損失的風險。”它是從人員、系統(tǒng)和操作流程三個方面對操作風險進行了界定，并且把管理作為防止操作風險的決定性因素。銀行操作風險涉及組織的各個方面，主要發(fā)生在銀行服務的各種流程活動之中，流程中的人、系統(tǒng)和操作程序就成為操作風險管理的重點。因而操作風險管理的重要內容是規(guī)范、監(jiān)視和分析組織內部的各種流程，同時將人和系統(tǒng)的因素考慮到流程之中。

由圖2可以看出，風險管理流程作為一項支持性的經?；顒?，對其它流程有著監(jiān)督的作用，因而可以將風險管理流程和普通業(yè)務流程作為整體來考慮，即對流程的數據、知識和規(guī)則建模時，可以對每個業(yè)務流程活動和類型進行基于損失數據的風險評估和分析，做到每一個流程活動的流程管理和風險管理。

三、流程視角下的銀行內部控制框架

自1992年美國COSO委員會《內部控制框架》(簡稱COSO報告)以來，該內部控制框架已經被世界上許多銀行所采用，但理論界和實務界紛紛對內部控制框架提出一些改進建議，強調內部控制框架的建立應與銀行的風險管理尤其是操作風險相結合。新的全面風險管理框架就是在1992年的研究成果--《內部控制框架》報告的基礎上，結合《薩班斯一奧克斯法案》(Sarbanes-OxleyAct)在報告方面的要求，進行擴展研究得到的?！端_班斯－奧克斯法案》是安然、世通等財務欺詐事件發(fā)生后，美國證監(jiān)會于2002年7月30日頒布并實施的強制所有在美國上市的公司在2006年財年結束前執(zhí)行的一項內部控制法案，被美國總統(tǒng)布什稱為“自羅斯福總統(tǒng)以來美國商業(yè)界影響最為深遠的改革法案”。該法案要求組織機構使用文檔化的財務政策和流程來改善可審計性，并更快地拿出財務報告。要求銀行針對產生財務交易的所有流程活動，都做到透明度、控制、通訊、風險管理和詐欺防治，并且這些流程必須詳加記錄到可追查交易源頭的地步。

在傳統(tǒng)的勞動分工原則下，職能部門把銀行的流程割裂成一個個獨立的環(huán)節(jié)，關注的是單個任務或工作，其結果就是忽視內部控制的動態(tài)性、系統(tǒng)性。從流程的視角出發(fā)，就需要從顧客需求出發(fā)，對銀行流程進行系統(tǒng)性的思考分析，或通過對銀行流程構成要素的重新分解、組合，以此實現(xiàn)銀行流程徹底的改造和重新設計，從而獲得銀行績效的持續(xù)改進。它不再強調單個工作或任務自身是什么，而是這些工作是如何有效執(zhí)行的，因為銀行的一切經營活動就是一系列富有邏輯關系的流程的有序集成，因而契合于銀行整個業(yè)務流程的內部控制活動和程序，也將表現(xiàn)出如同流程再造那樣必須根據外界需求變化不斷檢視和調整的系統(tǒng)動態(tài)過程，這個過程也體現(xiàn)了銀行抵御外部影響而導致操作風險的柔性能力。

進一步看，流程實際上又是由一系列流程活動的集成，也即銀行就是一個為滿足履行要素使用權交易合約需求而設計的一系列流程活動的集合體。流程活動是通過組織、單位或成員按照一定的流程、活動的要求來完成。為此，內部控制的功能不僅在于通過流程活動的分析，剔除非增值流程活動，實現(xiàn)流程的最優(yōu)化，而且還要保證最優(yōu)化的流程有效地運行，并在此基礎上根據客戶的不斷變化的需求產生最優(yōu)的流程。此時，內部控制實際上進一步彰顯其過程化的行為，成為銀行最優(yōu)化、間接和理性的流程活動標準，并按照控制的循環(huán)步驟，實現(xiàn)內部控制的目標。其具體過程如下圖3所示。

顯然，傳統(tǒng)的內部控制強調權利與職責的分配、崗位相互之間的牽制等基本理念將受到嚴重挑戰(zhàn)，原有“要素化”的控制方式將會被流程化、系統(tǒng)化的控制機制所取代，也就是說職能控制、崗位控制將被流程控制所替代，從上到下的分權控制將被各個流程活動之間的控制、各個任務之間的控制所替代。在流程視角下，信息流、資金流成為銀行經營活動的基本組成要素。為迎合銀行業(yè)務流程管理和操作風險控制的需要，內部控制實際上將演變成一種最優(yōu)化、簡潔和理性(合乎邏輯)的流程活動方式或流程活動標準，實現(xiàn)資金流和信息流的高度合一，達到控制和規(guī)避操作風險的目的。

四、基于流程活動的操作風險度量

巴塞爾新資本協(xié)議中將銀行業(yè)務分為8個產品線，19個二級目錄及50多個業(yè)務群組，但這種劃分只是停留在流程層面，并沒有深入到流程活動層面。正確劃分銀行流程活動，應從銀行本身的規(guī)模、戰(zhàn)略、業(yè)務特性和管理特點出發(fā)。對流程活動分解的越細，就越容易找到具體的風險驅動因素，從而越能對操作風險進行準確衡量與管理，因此，合乎邏輯的做法是將銀行業(yè)務劃分為產品線，再細分為流程，最后細分到流程活動。

定義、衡量和控制操作風險，不可能對所有的銀行流程活動都同樣關注，而應該重點關注銀行的核心流程活動，對銀行的增長和收益沒有貢獻的非核心的流程及流程活動不應予以考慮。

巴塞爾委員會將操作風險因素劃分為7個類型，在此基礎上進一步細分為20種、71個具體風險因素。Doerig(2004)將操作風險類型分為5大類，即組織，政策/過程，技術，人員和外部，細分因素有20種；英國銀行服務局(FSA , 2002)在其關于操作風險系統(tǒng)和控制的咨詢文件(CP142)中將形成操作風險的因素歸結為人的因素、過程和系統(tǒng)、外部事件、外部采購和保險等5個方面。盡管細分的風險因素中可能包含幾十種，但具體到不同的流程活動，很可能只有幾種因素在起作用。

銀行業(yè)務可以劃分為若干個產品線，每個產品線由一組流程組成，而每個流程又由一組關鍵流程活動ai構成，每個流程活動都有潛在的fj 種風險因素可能導致操作風險。圖4所示的流程活動和風險因素的組合顯示了基于流程活動的操作風險度量原理。

圖4中，橫坐標為關鍵流程活動，縱坐標為風險因素。圖中取1的為關鍵流程活動與風險因素的有效組合，取0表示該組合無效。例如組合(a2, f1)表示在流程活動a2中，風險因素f1不起作用。對于有效組合，可以進行衡量或評估以確定該組合下的風險損失Rij。如果確認了銀行業(yè)務中的所有關鍵流程活動ai和風險因素fj，那么就可以得到一個關鍵流程活動/風險因素組合有效性矩陣，在該矩陣中，有效組合取值為1，無效組合取值為0。

一般地，操作風險度量有兩大類方法，即自上而下法和自下而上法。自上而下法基于宏觀數據來度量操作風險，不去識別具體的損失事件和原因。自下而上法則是利用具體的事件來決定操作風險的來源并進行度量，屬于風險敏感方法。巴塞爾新資本協(xié)議中的前兩種方法屬于自上而下法，第三種方法即高級衡量法屬于自下而上法。委員會鼓勵銀行提高風險管理的復雜程度并采用更加精確的計量方法。基于流程活動的操作風險度量方法將銀行業(yè)務細分為流程活動，識別每一流程活動中潛在的具體風險因素，在此基礎上衡量風險損失，因而屬于風險敏感的自下而上方法。

該方法首先確認流程活動和風險因素將銀行操作風險暴露分解，EI(i,j)表示第i個流程活動在j類風險因素下的風險暴露；PE(i,j)表示流程活動i在風險因素j下操作風險發(fā)生的概率；LGE(i,j)表示流程活動i在風險因素j下的預期損失程度，那么，組合(ai, fj)的操作風險預期損失為：

如果數據是夠充分，模型還可以估算出不同風險損失之間的相關系數，從而使計算結果更加準確?；诹鞒袒顒拥牟僮黠L險度量深入到微觀的活動層面，對流程活動的各個要素和風險驅動因素進行分析，為銀行控制和緩釋操作風險提供了依據。

該方法將操作風險度量與管理有機地結合起來。將操作風險度量和管理建立在對銀行關鍵流程活動及潛在風險因素的清晰理解基礎之上，它考慮到了每個流程活動/風險因素組合(ai, fj)的損失分布，考慮到了流程活動之間的銜接同樣是操作風險的重要來源，考慮到了流程活動與流程活動之間、風險因素與風險因素之間的相關關系，從而保證了衡量的準確性。

五、結論

操作風險的基本定義表明，操作風險主要載體是業(yè)務流程，本文研究了流程視角下的操作風險管理，闡述了基于流程的商業(yè)銀行內部控制和操作風險度量，為進一步“流程銀行”的操作風險管理模式研究打下了理論基礎。

作者簡介：

胡衍強 同濟大學經濟與管理學院博士生

第9篇：操作風險管理范文

[關鍵詞]巴塞爾新資本協(xié)議；操作風險管 ；IS027001；信息資產

[中圖分類號]F831　[文獻標識碼]A　[文章編號]1006-5024(2009)04-0167-04

[作者簡介]董紅，北京航空航天大學經濟管理學院博士生，研究方向為風險管理與決策；(北京100083)

邱菀華，中國光大銀行總行風險管理部教授，博士生導師，研究方向為決策、風險與項目管理；

林直友，中國光大銀行總行風險管理部業(yè)務經理、碩士，研究方向為金融風險管理。(北京100045)

金融業(yè)的全面開放和金融服務的管制放松，以及高端化的信息技術，使銀行的業(yè)務、產品日益多元化，這直接導致其面臨的風險更為復雜和多樣。國內外銀行業(yè)重大違規(guī)事件及美國金融海嘯影響的迅速擴大，迫切需要國內外金融監(jiān)管部門和從業(yè)機構反思對操作風險的管理和防范，加強合規(guī)管理。2004年的巴塞爾新資本協(xié)議，將操作風險正式納入資本監(jiān)管范圍，并進一步提出了明確的監(jiān)管資本要求。2007年我國銀監(jiān)會再次對其進行解讀和說明。然而，由于操作風險情況復雜，與銀行自身的規(guī)模、經驗、業(yè)務特征等密切相關，具有和動態(tài)變化等特點。因此，探索適合銀行不同類別操作風險特點的管理和計量方法，是一項十分重要而緊迫的課題。

一、操作風險管理的困惑與問題

到目前為止，有關操作風險的定義、管理及計量問題一直困擾著各家商業(yè)銀行和監(jiān)管機構，國內外銀行也未對它形成統(tǒng)一的認識。本文采用至今已被大多數銀行所接受的巴塞爾銀行監(jiān)管委員會有關操作風險的定義，即由于不完善或有問題的內部程序、人員和系統(tǒng)或因外部事件導致?lián)p失的風險。新資本協(xié)議從風險監(jiān)管的角度將操作風險事件劃分為七種類型，包括內部欺詐，外部欺詐，雇員活動和工作場所的安全問題，客戶、產品和業(yè)務活動的安全問題，銀行維系經營的實物資產損壞，業(yè)務中斷和系統(tǒng)故障，執(zhí)行、交付和過程管理等。就其風險成因可分為人員、流程、系統(tǒng)和外部事件四大類。此外，按產品線將商業(yè)銀行的業(yè)務劃分為公司金融、交易和銷售、零售銀行業(yè)務、商業(yè)銀行業(yè)務、支付和結算、業(yè)務、資產管理和零售經紀類，并對每一類產品分別規(guī)定不同的操作風險資本要求系數，籍以用標準法計算操作風險總體資本要求。

巴塞爾委員會給出了管理操作風險的十大原則，但這些原則都是從宏觀角度要求商業(yè)銀行應該建立什么

樣的組織、制度和流程，并未給出管理操作風險的詳細方法和手段。實際工作中，我們發(fā)現(xiàn)信息資產是商業(yè)銀行極其重要的一類資產，在信息時代，一個機構要利用其擁有的資產，特別是信息資產來完成其使命，因此，對信息資產的管理關系到該機構能否完成其使命的大事。然而，由于信息資產對IT系統(tǒng)的依賴性很強，絕大部分具有無形化、易變化、易傳播的特點，且風險存在于其產生、傳遞、使用和銷毀等各個環(huán)節(jié)，與一般銀行產品相比，具有很大的獨特性。所以，我們建議將此類資產作為商業(yè)銀行一類獨特的產品線來進行管理。在實踐中，我們發(fā)現(xiàn)ISO27001為有效管理組織的信息資產、確保信息安全提出了一整套要求和最佳實踐指南。它從11個方面對信息資產的安全管理提出要求，其管理思想完全符合操作風險的管理原則，并且是在其原則基礎上的細化，如高層管理的支持和承諾、資源管理、風險評估、內部審核、信息的溝通、有效性測量和改進，等等。可見，ISO27001不僅適用于多數IT軟硬件開發(fā)等企業(yè)，同時也適用于銀行、保險等信息化程度較高的金融行業(yè)。

因此，我們希望能夠使用ISO27001的管理標準來細化商業(yè)銀行信息資產類產品的風險管理，進而按照操作風險管理的總體原則與其他類產品進行融合，最終實現(xiàn)在總體框架要求下對信息資產類操作風險的細化管理。

二、ISO27001簡介

ISO／IEC27001源自英國標準協(xié)會制定的BS7799，包括兩部分內容：BS7799―1信息安全管理實施細則和BS7799-2信息安全管理體系規(guī)范。其中，BS7799-1被ISO組織吸納為ISO／IEC17799，BS7799-2升版并轉換為國際標準ISO／IEC2700I，它是建立信息安全管理體系ISMS(Information se-curity Management systems)的一套需求規(guī)范，其中詳細說明了建立、實施和維護信息安全管理體系的要求，指出組織應遵循的風險評估標準。

信息是一種資產，就像其他重要的業(yè)務資產一樣，對組織是不可或缺的，需要妥善保護。根據ISO／IEC27001的定義，資產是對組織有價值的任何東西。它能以多種形式存在，如有形資產(硬件、軟件、數據文件、人員等)、無形資產(聲譽、品牌、客戶關系等)、輔助資產(信息資產的制造、存儲、傳輸、處理、銷毀等)。信息安全就是指保持這些資產的機密性、完整性和可用性。另外，也可包括諸如真實性、可核查性、不可否認性和可靠性等。

1　機密性――信息具有不能被未授權的個人、實體或者過程利用或知悉的特性。

2　完整性――保護資產的準確和完整的特性。

3　可用性――根據授權實體的要求可訪問和利用的特性。

企業(yè)的業(yè)務戰(zhàn)略以企業(yè)的資產來得以體現(xiàn)，但資產自身不可避免地帶有漏洞，我們稱之為資產的脆弱性。外界的威脅則利用資產的脆弱性，給企業(yè)帶來風險。信息安全就是要保護信息資產免受威脅的影響，從而確保業(yè)務的連續(xù)性，縮減業(yè)務風險，最大化投資收益并充分把握業(yè)務機會。構建信息安全管理體系，就是通過對組織信息資產的風險評估，確定重要信息資產清單以及風險等級，從而采取相應的控制措施來實現(xiàn)信息資產的安全性。信息安全管理的核心是風險管理，其對象是組織的信息資產。我們將其作為操作風險管理產品線之外的第九類特殊產品線，評估其價值和風險，確定相應的安全需求，并制定安全措施來降低和控制資產的風險。

可見，信息安全風險，是指由于系統(tǒng)存在的脆弱性、人為或自然的威脅導致安全事件發(fā)生的可能性及其造成的影響，包括由于IT流程缺陷、系統(tǒng)的業(yè)務需求／流程控制缺陷、信息系統(tǒng)脆弱性、操作人員無意／蓄意失誤、外部事件等因素直接導致業(yè)務操作風險并間接導致信用、市場、聲譽等風險。它不僅存在于應用系統(tǒng)及IT基礎設施等信息資產中，而且存在于業(yè)務流程及管理流程中。ISMS是通過實施一整套適當的控

制措施來實現(xiàn)目標的，包括策略、過程、程序、組織結構和軟硬件功能，他們可以是行政、技術、管理、法律等方面的。IS017799包含了11個管理要項，既有偏重管理的信息安全方針、安全組織、資產管理、人員安全、物理和環(huán)境安全、事故管理、業(yè)務連續(xù)性管理、法律符合性等方面，也有偏重于技術的通信和操作管理、訪問控制、系統(tǒng)開發(fā)和維護等內容，每一部分都針對不同的主體或范圍，在這11個管理要項中，它又細分為39個控制目標和133個控制措施。可以說，ISO／IEC27001是目前國際上關于信息安全管理要求最全面、最完整的體系，可有效防范信息資產風險，從而進一步鞏固操作風險的駕馭能力，保證組織核心業(yè)務的持續(xù)運行。

三、基于風險的信息安全管理體系的構建

信息安全管理體系是基于業(yè)務風險方法建立、實施、運行、監(jiān)視、評審、保持和改進信息安全，提出了基于戴明環(huán)的Plan-Do-Check-Act(PDCA)風險模型，強調全過程和動態(tài)的控制，如圖所示。它的設計思路充分體現(xiàn)了“過程方法”的特點，以過程為控制對象，在業(yè)務和風險管理過程中控制風險，實現(xiàn)持續(xù)改進，并達到監(jiān)管方要求實現(xiàn)的事前、事中、事后全程控制。

(一)策劃并建立信息安全管理體系

1　確定安全方針和范圍

信息安全管理體系可覆蓋組織的全部或部分，組織需根據業(yè)務特征、地理位置、資產和技術等明確界定體系的范圍，并使之文件化。另外，要制定ISMS方針和策略，它是指導如何對組織信息資產進行管理的規(guī)則，是構建信息安全管理體系的宗旨。它表明了管理層的承諾，提出組織管理信息安全的方法，為組織的信息安全管理提供方向和支持。

2　資產的識別和評價

資產管理是實施有效ISMS的基礎，也是風險評估的核心內容。資產管理的優(yōu)劣直接影響評估的效率和質量以及保持循環(huán)評估的連續(xù)性，而且有助于預見這些數據在之后風險分析中的重要作用。

資產識別A：為保證資產識別的合理性，建議組織從業(yè)務流程角度(縱向比較)和信息活動(橫向比較)兩個角度進行。在清晰識別資產后，組織應根據資產的重要性形成文件，建立資產清單，包含資產類型、格式、位置、責任人、備份信息和業(yè)務價值。

資產評價的目的是確保資產受到相應等級的保護，以保障在處理信息時指明保護的需求、優(yōu)先級和期望程度。企業(yè)的所有資產都處在業(yè)務流程和相應的支持過程中，資產的重要程度，應根據其所處業(yè)務流程的位置，且與其它資產的比較中界定。通過分析資產的機密性、完整性、可用性及其它需求進行評估。對資產賦值時，一方面要考慮資產購買成本，另一方面也要考慮當這種資產的機密性、完整性和可用性受到損害時，對業(yè)務運營的負面影響程度。

3　風險評估

資產管理和風險評估是相輔相成，緊密相連的。在實際操作過程中，資產管理數據可為風險評估提供支持；而每次風險評估正是對資產管理數據進行修正和維護的過程。因此，定義全面合理的信息安全風險評估方法及風險可接受準則是十分關鍵的。評估方法要和組織既定的體系范圍、安全需求、法律法規(guī)相適應。另外，組織應建立風險評估文件，解釋和說明所選擇的風險評估方法，介紹所采用的技術和工具。

(1)威脅識別T：威脅是對組織及其資產構成潛在破壞的可能性因素或事件。評估者應根據經驗和有關統(tǒng)計數據判斷威脅發(fā)生的頻率或概率。

(2)脆弱性識別V：弱點是資產本身存在的，若被威脅利用將引起資產或目標的損害。我們將針對每一項要保護的信息資產，找出每一種威脅所能利用的脆弱性，并對其嚴重程度進行評估，為其賦值。

(3)對已有安全控制措施進行確認。

(4)建立風險測量的方法及風險等級評價原則，結合資產本身的價值、威脅發(fā)生的概率、威脅利用弱點的影響程度和已有控制等來確定風險的大小與等級R。即R=f(A，v，T)＝f[Ia，L(Va，T)]，其中Ia表示資產的重要程度；Va表示某資產本身的脆弱性，L表示威脅利用脆弱性對資產造成安全事件的可能性。

(5)識別并評價風險處理的方法，包括接受風險、降低風險、規(guī)避風險、轉移風險等。組織應加以分析，區(qū)別對待所識別的信息安全風險。若風險滿足組織可接受的風險準則，將接受風險。否則，考慮規(guī)避風險或轉移風險。若無法規(guī)避或轉移的風險，應采取適當的控制措施，將它降低到可接受水平。

(6)選擇控制目標和措施

選擇并建立文件化的控制目標和措施，制定風險處置計劃。ISO27001系列強調在風險處理方式及控制措施的選擇上，組織應考慮發(fā)展戰(zhàn)略、組織文化、人員素質，并特別關注成本與風險的平衡，以滿足法律法規(guī)及相關方的要求。另外，實施控制措施后仍會有殘余風險存在，我們需要密切監(jiān)視這些風險，防止它誘發(fā)新的風險事件。

(7)獲得最高管理者的授權批準

風險識別和評估對后續(xù)可行的風險監(jiān)測和控制至關重要。有效的風險識別要同時考慮內部因素(如企業(yè)結構、性質、文化以及人員的素質和流動性等)和外部因素(如環(huán)境的變化和技術的發(fā)展)，他們可能對組織目標的實現(xiàn)造成重大不利影響。在識別絕大多數潛在的不利風險的同時，組織還應該評估自身對這些風險的承受能力。通過有效的風險評估，組織可以更好地掌握其風險狀況和最有效地使用風險管理資源。

(二)實施并運行信息安全管理體系

闡明并實施風險處置計劃。在此過程中，組織應指明和分配適當的管理措施、資源(人員、時間和資金)、職責和優(yōu)先級。針對不同的管理層次、崗位和職責制訂不同的培訓計劃，記錄并考核培訓的效果。通過提高全員的信息安全意識，塑造企業(yè)的風險文化，保證意識和控制活動的同步，確保體系的持續(xù)有效性和實時性。同時，組織應搜集證據、記錄信息安全管理活動，為將來的評審、檢查做準備。

(三)監(jiān)視并評審信息安全管理體系

監(jiān)控、評審階段主要用來加強、修訂及改進已識別的控制措施和解決方案。對不合理、不充分的控制措施應及時采取糾正和預防。組織可通過多種方式檢查和監(jiān)視信息安全管理體系的運行狀況，如收集安全審核的結果、事故、以及所有相關方的建議和反饋；定期評審殘余風險和可接受風險的等級；通過內部審核和管理評審檢查信息安全管理體系的有效性、符合性等。此外，組織應做好記錄，并報告影響信息安全管理體系有效性或業(yè)績的所有活動、事件。

(四)改進信息安全管理體系

基于評審結果或其他相關信息，采取糾正和預防措施，以持續(xù)改進信息安全管理體系，開始新一輪的PDCA循環(huán)。改進活動和措施必須獲得所有相關方的認可，并確保達到預期目的。

四、信息資產類操作風險管理的實施建議

ISO27001是文件化的體系，它把傳統(tǒng)的銀行信息安全與IT治理、風險審計和風險評估結合在一起，產生了一個新的管理維度和應用維度。在國際標準化的大潮流下，將基于風險評估的ISO27001體系要求引入業(yè)務流程和風險體系，規(guī)范現(xiàn)有業(yè)務運作，全面提升員工的風險意識和責任，從而有效地降低內部欺詐等各類風險發(fā)生的幾率，做到從源頭防范風險，保護客戶信息。