二是《新巴塞尔资本协议》(20xx)给出的定义:“操作风险是指由于不正确的内部操作流程、人员、系统或外部事件所导致的直接或间接损失的风险。”这一定义侧重于从操作风险的成因包括法律方面的风险,但将策略风险和声誉风险排除在外。

　　除了以上两个定义之外,世界著名的瑞士信贷集团也给出了他们有关操作风险的定义:“操作风险是指由于以不当或不足的方式操作业务而对业务带来负面影响的风险,操作风险也可能是由外部因素造成的。

　　瑞士信贷集团认为操作风险可具体表现为经营混乱、失控、出差错、不当行为或外部事件,但都不外乎组织、政策/过程、技术、人员和外部5大类。①其中组织风险源于管理层的更替、项目组织管理,企业文化和沟通、责任以及持续经营计划;政策和过程风险源于操作过程中较为薄弱的环节,例如支付、结算、操作违反政策规定和产品方面的失败;技术风险源于计算机系统软件或硬件方面的不足,通信技术、信息技术安全方面的漏洞等;人员风险源于不适当的雇佣关系引发的利益冲突以及其他内部欺诈行为;外部风险源于外部欺诈或法律冲突。

　　这5个分类只是对操作风险最初步的分析辨别,很显然它们还需要进一步的细化,进行次级分类。例如组织风险可以细化为治理结构、文化、沟通、项目管理、持续经营等几个方面;技术风险可以细化为通信、软硬件和信息技术安全三个方面等等。

　　操作风险的性质决定了操作风险与其他风险相比有着较为明显的特点:

　　(1)市场风险和信用风险不同,操作风险的风险因素存在于银行的业务操作过程之中,且引起操作风险的因素与之导致的损失之间并不存在清晰的可以用数量关系衡量的联系。因此对于操作风险的管理需要整个银行的业务人员和部门共同努力防范。

　　(2)越是业务规模大、交易量大,结构调整迅速的领域,越是容易受到操作风险的冲击。

　　(3)由于前面提到的,可以观测识别的操作风险因素与其可能导致的损失的规模和频率之间不存在直接的数量关系,因此银行的风险管理部门很难确定什么因素对操作风险的管理最为重要。

　　(4)操作风险几乎覆盖银行经营管理的所有方面,既包括那些发生频率高、造成经济损失相对较小的日常业务处理中的小错误,也包括那些较少发生但能够导致较大损失的自然灾害和大规模舞弊行为等。因此试图用一种方法来测量和管理操作风险的所有领域几乎是不可能的。

　　2 巴塞尔新资本协议对管理操作风险的建议

　　对于如此难以驾驭的操作风险,巴塞尔委员会在总结国际金融经验的基础上将商业银行对操作风险的管理工作归纳为四个部分:

　　①建立适当的风险管理环境;

　　②风险管理:识别、衡量、监督和控制;

　　③监管者的作用;

　　④信息披露的作用。

　　巴塞尔委员会认为,对银行来说首先应当建立适当的风险管理环境,要求董事会了解银行操作风险的主要方面,并对银行的操作风险战略进行定期审查。银行的操作风险战略应当能够反映银行的风险容忍程度及其对各种风险种类特征的.理解。巴塞尔委员会同时认为银行组织内部的信息流程在建立和维持一个有效的操作风险管理框架方面能够发挥重要的作用。

　　其次银行应当建立识别、衡量、监督与控制操作风险的管理系统,找出衡量操作风险的有效方法和持续对操作风险敞口和重大损失事件进行监督。在这些措施的基础上,监管者应当对银行经营中与操作风险相关的战略、政策、程序和方法直接或间接地进行定期的独立评价,并保证银行具备一个有效的报告机制以便及时了解银行在相关方面的新进展。

　　此外,信息披露在操作风险管理和监督过程中也应当发挥重要作用。巴塞尔委员会要求银行应当向公众进行充分的信息披露,使市场参与者可以对银行的操作风险敞口和操作风险管理质量进行比较评估。

　　3 操作风险管理的几个阶段

　　对任何风险的管理都应当是一个有序的管理过程,银行对操作风险的管理也不例外。通常来说,对操作风险的管理可以划分为四个阶段:识别、量化和追踪、计量以及整合管理。

　　3.1 识别阶段

　　这一阶段的任务是进行风险识别,应当使用许多人力资源进行数据的收集,在根据整理后的数据划分出风险的优先次序。在这一阶段,需要银行的整个组织机构都有不同层次的参与,建立起操作风险管理的基础。