潘建国　张　维

摘要：巴塞尔新资本协议将操作风险纳入资本监管范围，风险管理的范围从市场风险、信用风险扩展到操作风险。但操作风险并不是一种新的风险，针对这种风险公司治理和内部控制理论获得了不断的发展。公司治理、内部控制和风险管理是操作风险管理理论发展的三条主线。整合三个方面的理论成果，才能对操作风险理论有完整的理解。

关键词：操作风险管理；公司治理；内部控制；风险管理

巴塞尔新资本协议提出对操作风险计提监管资本，勾勒出了包括市场风险、信用风险和操作风险的全面风险管理框架，标志着银行风险管理发展到了新的历史阶段。尽管将操作风险作为独立的风险范畴进行系统研究是近些年的事，但操作风险并不是一种新的风险，它同银行的历史一样悠久，伴生于银行的各项经营活动，对操作风险的管理活动一直是银行管理的重要内容，并形成了一些重要的实践和理论成果。研究和梳理这些管理成果对深化操作风险研究具有重要的意义。笔者认为商业银行操作风险管理实践沿着公司治理、内部控制和风险管理三条主线发展演进，并最终整合形成统一的操作风险管理理论体系。

一、公司治理

公司治理(Corporate Governance)这一术语在20世纪80年代正式出现在英文文献中。公司治理起源于对现代企业随着所有权和经营权的分离而产生的委托代理问题的关注。公司治理是现代公司企业的必然产物，它的出现和演化与现代公司制企业的产生和发展如影相随，并受外部环境的影响。现代企业所有权和控制权相分离，由此产生了委托人(投资者、外部人)与代理人(管理者、企业家、内部人)的代理关系。一般认为，掌握控制权的管理者(经理)会采取偏离股东利益的行动。他们往往努力不够，比如在外部活动上耗费更多的资源，只是为了方便而是企业中人浮于事，忽略内部控制等。他们可能通过构建企业帝国、享受奢侈品等来获得个人利益的满足，甚至可能通过贪污养老金、向关联方支付不恰当的转移价格、参与内部交易等手段来为个人牟取利益。这就是代理问题。委托代理问题被认为是操作风险的重要根源。因此，公司治理一开始就同防范操作风险密切相关。公司治理的每一步发展往往都是针对公司失败或者系统危机做出的反应。例如，1997年的亚洲金融危机使人们对东亚公司治理模式有了清醒的认识；2001年以安然、世界通信事件为代表的美国会计丑闻暴露了美国公司治理模式的重大缺陷。这些治理失败的案件往往都是因为舞弊、欺诈或者不胜任等引起，而这些事件又促进了公司治理的改进。

公司治理通过协调各相关方利益来形成有效的激励与约束，进而达到规范企业行为，防范操作风险的目的。狭义的公司治理被认为是指公司董事会的功能、结构、股东的权利等方面的制度安排。主要解决所有权与控制权的分离所产生的委托代理问题。随着公司治理认识的深化，人们认识到股东与管理者的冲突只是诸多利益相关者冲突中的一种，需要从更广阔的视野来考察公司治理。现代公司治理关注与众多利益相关者(Stakeholders)之间的利益平衡，科克伦(Philip L.Corchran)和沃特克(Steven L.Wa-rtick)在1988年发表的《公司治理——文献回顾》一文中指出：“公司治理问题包括在高级管理层、股东、董事会和其他利益相关者的相互作用中产生的具体问题。”

现代企业的一个重要的特点是其社会性不断加强，企业问题涉及众多的利益相关者。对银行来说更是这样，金融是现代经济中的核心部分，商业银行的行为涉及千家万户，影响整个国民经济的运行，关乎社会的稳定。防范操作风险，保持商业银行稳健经营是公司治理的重要目标。20世纪90年代以来，公司治理理论与实践取得了重要进展。1991年5月，英国成立了世界上第一个关于公司治理的委员会(Cadburv委员会)。该委员会于1992年12月发表了题为《公司治理的财务方面》的报告。报告强调公司治理在企业发展中的关键作用和公司治理的外部人模式。强调外部非执行董事即独立董事在内部控制和审计委员会中的关键角色，突出了董事会的开放性、透明性、公正与责任。报告提出的一系列原则和理念，已成为公司治理最佳做法核心内容的一部分。经济合作与发展组织(OECD)于1999年6月发布并于2004年修订了《OECD公司治理原则》，包括股东权力保护、所有股东的平等对待、利益相关者合法权利的确认和保护、公司准确及时的信息披露、董事会对公司的战略性指导和对管理人员的有效监督等。我国也根据有关法律并参照国外公司治理实践中普遍认同的标准，出台了《上市公司治理准则》(2002)，对我国境内上市公司的公司治理做出了规范。针对银行的情况，1999年9月，巴塞尔银行监管委员会发布了《健全银行的公司治理》专门文件。2005年7月又发布了《加强银行的公司治理》文件的征求意见稿。文件中提出了银行文件公司治理的如下原则：确立银行的战略目标和价值准则，并在全行传达贯彻；制定并在全行贯彻明确的岗位责任制：确保董事会成员称职，清楚理解其在公司治理中的角色，并对银行的各项事务作出良好的独立判断：确保高级管理层适时适当的监督：充分认识并有效发挥内外部审计及其他控制部门对稳健公司治理的重要促进作用：确保薪酬政策和具体做法与银行的道德价值观念、目标、战略及控制环境相一致：保持公司治理的透明度、持续了解银行的运营架构，包括在低透明度国家或在低透明度框架下的运营机构(了解银行的架构)等。巴塞尔银行监管委员会的许多文件也对银行公司治理有明确的规定，如《利率风险管理原则》(1997年9月)，《银行机构的内部控制框架》(1998年9月)，《增强银行透明度》(1998年9月)，《信用风险管理原则》(2000年9月)，《银行操作风险管理和监管稳健原则》(2003年2月)以及2004年发布的巴塞尔新资本协议等。完善公司治理对促进我国商业银行稳健经营、健康发展、防范操作风险具有重要的作用，是国有商业银行改革的核心。2002年6月人民银行发布了《股份制商业银行公司治理指引》和《股份制商业银行独立董事和外部监事制度指引》，针对国有银行股份制改造，中国银监会于2004年发布了《关于中国银行、中国建设银行公司治理改革与监管指引》。

公司治理是防范操作风险的有力手段，也是操作风险有效管理的基础。通过公司治理明确各利益相关者的权利和责任，建立有效的委托代理激励机制，以及相应的内外部治理机制等。不同的公司治理会形成不同的决策取向、风险偏好、企业文化以及经营管理环境等，这是操作风险管理与控制的前提和基础。

二、内部控制

内部控制(Intemal Control)起源于对财务舞弊问题(一种操作风险)的关注。目前。内部控制已涉及到银行面临的所有操作风险问题。银行内部控制的发展同银行操作风险事件息息相关。20世纪80年代后。银行风险损失事件很多

都同内部控制失效有关。美国货币监理署在对1979年～1987年间破产的162家国民银行进行研究后发现，破产银行中分别有35％和11％是由内部犯罪与金融诈骗引致。美联储的研究表明，在1990年～1991年破产的286家银行中，有26％是由内部犯罪造成，61％的破产银行存在诈骗、非犯罪性违规、内部贷款损失等内部问题。巴塞尔银行监管委员会1997年在剖析英国巴林银行、法国里昂银行、日本大和银行等几起著名银行失败案例的原因时发现，除了内部控制失效外，很难再找到其他因素。

国外对内部控制理论的研究是从20世纪40年代末50年代初开始的，随着企业的发展和社会的进步，人们对内部控制的理解也不断深入。美国注册会计师协会(AIC-PA)最早提出了内部控制的概念和基本理论。1992年，COSO委员会提出了著名的COSO报告——《内部控制整体框架》(Internal Control-Integrated Framework)，并于1994年进行了增补。COSO报告被誉为内部控制的里程碑。COSO报告认为内部控制是由企业的管理人员设计的，为实现营业的效果与效率、财务报告的可靠及合法合规目标提供合理保证，通过董事会、管理人员和其他职员实施的一种过程。内部控制由控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素组成。企业内部每一成员在实施内部控制方面都扮演着一定的角色，对内部控制负有一定的责任。

内部控制在理论和实践上主要由企业财务和内外部审计部门所推动。早期的内部控制主要侧重于财务方面，实际上是内部会计控制。COSO框架文件对内部控制及其构成的定义是宽泛的，较之内部会计控制是一个巨大的进步。然而，COSO整体框架在与财务报告相关的内部控制的导向上深受注册会计师行业的影响。这和COSO委员会主要由来自财务、会计、审计等领域的代表构成有关。一个主要由公共会计师组成的团体会更关注那些在财务报告方面与其利益相一致的观点，这不足为奇。

内部控制对防范包括财务舞弊在内的各类操作风险的重要性逐渐为人们所认识。巴塞尔银行监管委员会在吸收COSO报告的研究成果基础上，于1998年9月发布了《银行组织内部控制系统框架》。作为对联邦德国赫斯塔特银行倒闭事件直接反应而成立的跨国银行监管的权威机构，巴塞尔委员会始终将银行风险监管作为研究的重点。相对于COSO报告，巴塞尔的《框架》更注重风险防范目标。巴塞尔《框架》系统提出了评价商业银行内部控制体系的指导原则，这是商业银行内部控制研究历史性的突破。目前，内部控制已成为商业银行防范操作风险的主要有效手段。我国也非常重视内部控制建设，中国人民银行1997年5月发布了《加强金融机构内部控制的指导原则》。同年12月发布了《关于进一步完善和加强金融机构内部控制建设的若干意见》，2002年9月7日，发布了《商业银行内部控制指引》。2005年2月，中国银行业监督管理委员会颁布的《商业银行内部控制评价试行办法》正式施行。近年来，内部控制已渗透到商业银行管理实践的方方面面，内部控制技术也获得了长足的发展，一些先进的管理控制方法，如质量管理、价值链管理、流程再造以及6西格玛管理等开始应用于管理实践。

三、风险管理

商业银行经营活动面临各种各样的风险，对待风险，银行长期以来采取各种手段予以防范。20世纪70年代以来，主要通过完善公司治理与加强内部控制以实现商业银行的稳健经营。随着资本市场的发展，用于避险的衍生品市场迅速发展，为管理金融风险提供了前提。现代金融理论的发展，尤其是金融工程技术的发展。使得商业银行对风险的认识不断深化，风险度量技术获得了快速发展。风险已经成为商业银行获取利润的资源。对风险的管理成为商业银行经营管理的重要内容。

对商业银行面临风险的关注，导致了巴塞尔资本协议的产生。巴塞尔资本协议的演变反应了银行风险管理的发展历程。20世纪70年代，在国际货币与银行市场刚刚经历了剧烈的动荡之后，经十国集团中央银行行长倡议，巴塞尔银行监管委员会(简称巴塞尔委员会)于1974年成立。委员会的主要职责是交流金融监管信息，建立各个领域能够认同的最低监管标准、加强各国监管当局的国际合作和协调、维护国际银行体系的稳健运行。1988年7月，巴塞尔委员会正式通过了《统一资本计量与资本标准的国际协议》，即《巴塞尔资本协议》，并经12国中央银行行长签署后实施生效。由于参与制定协议的国家是当今世界上的主要工业国家，代表着世界最强大的经济集团，巴塞尔协议很快成为世界各国银行业管理的统一指导文件。巴塞尔协议制定时期，信贷业务是商业银行的主要业务，因此，1988年的巴塞尔协议主要关注的是信用风险。1988年协议对资产负债表内及表外项目，按其风险程度不同分别进行了分级和分类，规定了风险权重，实现按统一标准计算资本与加权风险资产的比例，即资本充足率。要求资本充足率不得低于8％。

20世纪90年代以来，由于金融市场自由化和信息科技的发展，衍生金融产品的品种及其交易规模迅猛增长，银行业越来越深地介入衍生品交易，一些银行以资产证券化和控股公司的形式来逃避资本监管，将信用风险转化为市场风险或操作风险。1988年的协议只考虑了信用风险，忽视了市场风险，尤其是协议对许多新的和复杂的场外衍生产品没有给予足够的重视。巴塞尔委员会认识到，尽管1988年协议的实施一定程度上降低了银行的信用风险，但以金融衍生品交易为主的市场风险却频频发生，仅靠资本充足率已不足以充分防范金融风险。1995年4月巴塞尔委员会对银行有关表外业务的风险权重进行了调整，1996年1月推出了《资本协议关于市场风险的补充规定》，对由于汇率和利率变化造成的金融衍生工具市场价格变化的风险提出了计提资本金的要求。市场风险被纳入巴塞尔资本协议。成为风险管理与监管的一部分。

20世纪的最后20年，在市场风险和信用风险管理技术获得了迅速发展，市场、信用风险得到有效管理的情况下，发生了一系列重大银行风险损失事件，这使得商业银行和监管当局开始注意市场、信用风险以外的其他风险。1999年6月巴塞尔银行监管委员会发布了新资本协议征求意见稿，对其他风险提出了计提监管资本的要求。这里的其他风险就是操作风险。从商业银行角度来看，随着风险管理技术的不断提高，内部风险管理从风险控制向更灵活的资本管理转变，通过内部经济资本配置和RAROC方法的绩效考核，对市场风险和信用风险能够进行有效的管理。20世纪90年代初，银行开始考虑如何将风险管理的范围扩展到市场风险和信用风险以外的风险领域。2004年6月巴塞尔银行监管委员会发布了《统一资本计量和资本标准的国际协议：修订框架》，一般称为《巴塞尔新资本协议》。新协议将操作风险纳入其中，为其设定最低资本要求。可见，操作风险管理是风险管理发展新的历史阶段，是风险管理发展的必然趋势。

四、结束语

从上面的分析可以看出，针对商业银行操作风险问题分别形成了公司治理、内部控制和风险管理三个理论研究路径。公司治理侧重于企业相关利益者的利益均衡，从解决委托代理问题，建立有效的激励相容机制的角度，规范企业行为，防范操作风险。公司治理理论与实践主要由政府监管部门、有关法律部门和利益相关者推动。内部控制从管理控制风险的角度，通过建立完善内部控制体系，加强检查监督，防范操作风险，尤其防范财务舞弊风险。内部控制理论与实践主要由财务审计部门推动。风险管理经历了从市场、信用风险到操作风险的发展过程。风险管理主要由风险管理部门和银行监管部门推动。公司治理是商业银行稳健经营的决定性因素，决定着银行的风险偏好和风险政策，是操作风险管理的前提。内部控制是防范操作风险的重要手段，是风险管理的重要环节。风险管理超越内部控制之处在于，风险管理强调通过权衡收益与成本来决定对风险采取控制、缓释还是承担。因此，风险管理注重对操作风险的计量，以及采取何种财务策略。目前操作风险管理研究主要沿着风险管理的研究路线发展。尚缺乏对公司治理、内部控制等已有成果的吸纳整合。操作风险管理理论的进一步发展不能沿袭现有市场风险、信用风险的研究路径，必须在管理实践的基础上有效整合三条主线的理论成果。