潘建國　張　維

摘要：巴塞爾新資本協(xié)議將操作風險納入資本監(jiān)管范圍，風險管理的范圍從市場風險、信用風險擴展到操作風險。但操作風險并不是一種新的風險，針對這種風險公司治理和內(nèi)部控制理論獲得了不斷的發(fā)展。公司治理、內(nèi)部控制和風險管理是操作風險管理理論發(fā)展的三條主線。整合三個方面的理論成果，才能對操作風險理論有完整的理解。

關(guān)鍵詞：操作風險管理；公司治理；內(nèi)部控制；風險管理

巴塞爾新資本協(xié)議提出對操作風險計提監(jiān)管資本，勾勒出了包括市場風險、信用風險和操作風險的全面風險管理框架，標志著銀行風險管理發(fā)展到了新的歷史階段。盡管將操作風險作為獨立的風險范疇進行系統(tǒng)研究是近些年的事，但操作風險并不是一種新的風險，它同銀行的歷史一樣悠久，伴生于銀行的各項經(jīng)營活動，對操作風險的管理活動一直是銀行管理的重要內(nèi)容，并形成了一些重要的實踐和理論成果。研究和梳理這些管理成果對深化操作風險研究具有重要的意義。筆者認為商業(yè)銀行操作風險管理實踐沿著公司治理、內(nèi)部控制和風險管理三條主線發(fā)展演進，并最終整合形成統(tǒng)一的操作風險管理理論體系。

一、公司治理

公司治理(Corporate Governance)這一術(shù)語在20世紀80年代正式出現(xiàn)在英文文獻中。公司治理起源于對現(xiàn)代企業(yè)隨著所有權(quán)和經(jīng)營權(quán)的分離而產(chǎn)生的委托代理問題的關(guān)注。公司治理是現(xiàn)代公司企業(yè)的必然產(chǎn)物，它的出現(xiàn)和演化與現(xiàn)代公司制企業(yè)的產(chǎn)生和發(fā)展如影相隨，并受外部環(huán)境的影響?，F(xiàn)代企業(yè)所有權(quán)和控制權(quán)相分離，由此產(chǎn)生了委托人(投資者、外部人)與代理人(管理者、企業(yè)家、內(nèi)部人)的代理關(guān)系。一般認為，掌握控制權(quán)的管理者(經(jīng)理)會采取偏離股東利益的行動。他們往往努力不夠，比如在外部活動上耗費更多的資源，只是為了方便而是企業(yè)中人浮于事，忽略內(nèi)部控制等。他們可能通過構(gòu)建企業(yè)帝國、享受奢侈品等來獲得個人利益的滿足，甚至可能通過貪污養(yǎng)老金、向關(guān)聯(lián)方支付不恰當?shù)霓D(zhuǎn)移價格、參與內(nèi)部交易等手段來為個人牟取利益。這就是代理問題。委托代理問題被認為是操作風險的重要根源。因此，公司治理一開始就同防范操作風險密切相關(guān)。公司治理的每一步發(fā)展往往都是針對公司失敗或者系統(tǒng)危機做出的反應(yīng)。例如，1997年的亞洲金融危機使人們對東亞公司治理模式有了清醒的認識；2001年以安然、世界通信事件為代表的美國會計丑聞暴露了美國公司治理模式的重大缺陷。這些治理失敗的案件往往都是因為舞弊、欺詐或者不勝任等引起，而這些事件又促進了公司治理的改進。

公司治理通過協(xié)調(diào)各相關(guān)方利益來形成有效的激勵與約束，進而達到規(guī)范企業(yè)行為，防范操作風險的目的。狹義的公司治理被認為是指公司董事會的功能、結(jié)構(gòu)、股東的權(quán)利等方面的制度安排。主要解決所有權(quán)與控制權(quán)的分離所產(chǎn)生的委托代理問題。隨著公司治理認識的深化，人們認識到股東與管理者的沖突只是諸多利益相關(guān)者沖突中的一種，需要從更廣闊的視野來考察公司治理?，F(xiàn)代公司治理關(guān)注與眾多利益相關(guān)者(Stakeholders)之間的利益平衡，科克倫(Philip L.Corchran)和沃特克(Steven L.Wa-rtick)在1988年發(fā)表的《公司治理——文獻回顧》一文中指出：“公司治理問題包括在高級管理層、股東、董事會和其他利益相關(guān)者的相互作用中產(chǎn)生的具體問題。”

現(xiàn)代企業(yè)的一個重要的特點是其社會性不斷加強，企業(yè)問題涉及眾多的利益相關(guān)者。對銀行來說更是這樣，金融是現(xiàn)代經(jīng)濟中的核心部分，商業(yè)銀行的行為涉及千家萬戶，影響整個國民經(jīng)濟的運行，關(guān)乎社會的穩(wěn)定。防范操作風險，保持商業(yè)銀行穩(wěn)健經(jīng)營是公司治理的重要目標。20世紀90年代以來，公司治理理論與實踐取得了重要進展。1991年5月，英國成立了世界上第一個關(guān)于公司治理的委員會(Cadburv委員會)。該委員會于1992年12月發(fā)表了題為《公司治理的財務(wù)方面》的報告。報告強調(diào)公司治理在企業(yè)發(fā)展中的關(guān)鍵作用和公司治理的外部人模式。強調(diào)外部非執(zhí)行董事即獨立董事在內(nèi)部控制和審計委員會中的關(guān)鍵角色，突出了董事會的開放性、透明性、公正與責任。報告提出的一系列原則和理念，已成為公司治理最佳做法核心內(nèi)容的一部分。經(jīng)濟合作與發(fā)展組織(OECD)于1999年6月發(fā)布并于2004年修訂了《OECD公司治理原則》，包括股東權(quán)力保護、所有股東的平等對待、利益相關(guān)者合法權(quán)利的確認和保護、公司準確及時的信息披露、董事會對公司的戰(zhàn)略性指導和對管理人員的有效監(jiān)督等。我國也根據(jù)有關(guān)法律并參照國外公司治理實踐中普遍認同的標準，出臺了《上市公司治理準則》(2002)，對我國境內(nèi)上市公司的公司治理做出了規(guī)范。針對銀行的情況，1999年9月，巴塞爾銀行監(jiān)管委員會發(fā)布了《健全銀行的公司治理》專門文件。2005年7月又發(fā)布了《加強銀行的公司治理》文件的征求意見稿。文件中提出了銀行文件公司治理的如下原則：確立銀行的戰(zhàn)略目標和價值準則，并在全行傳達貫徹；制定并在全行貫徹明確的崗位責任制：確保董事會成員稱職，清楚理解其在公司治理中的角色，并對銀行的各項事務(wù)作出良好的獨立判斷：確保高級管理層適時適當?shù)谋O(jiān)督：充分認識并有效發(fā)揮內(nèi)外部審計及其他控制部門對穩(wěn)健公司治理的重要促進作用：確保薪酬政策和具體做法與銀行的道德價值觀念、目標、戰(zhàn)略及控制環(huán)境相一致：保持公司治理的透明度、持續(xù)了解銀行的運營架構(gòu)，包括在低透明度國家或在低透明度框架下的運營機構(gòu)(了解銀行的架構(gòu))等。巴塞爾銀行監(jiān)管委員會的許多文件也對銀行公司治理有明確的規(guī)定，如《利率風險管理原則》(1997年9月)，《銀行機構(gòu)的內(nèi)部控制框架》(1998年9月)，《增強銀行透明度》(1998年9月)，《信用風險管理原則》(2000年9月)，《銀行操作風險管理和監(jiān)管穩(wěn)健原則》(2003年2月)以及2004年發(fā)布的巴塞爾新資本協(xié)議等。完善公司治理對促進我國商業(yè)銀行穩(wěn)健經(jīng)營、健康發(fā)展、防范操作風險具有重要的作用，是國有商業(yè)銀行改革的核心。2002年6月人民銀行發(fā)布了《股份制商業(yè)銀行公司治理指引》和《股份制商業(yè)銀行獨立董事和外部監(jiān)事制度指引》，針對國有銀行股份制改造，中國銀監(jiān)會于2004年發(fā)布了《關(guān)于中國銀行、中國建設(shè)銀行公司治理改革與監(jiān)管指引》。

公司治理是防范操作風險的有力手段，也是操作風險有效管理的基礎(chǔ)。通過公司治理明確各利益相關(guān)者的權(quán)利和責任，建立有效的委托代理激勵機制，以及相應(yīng)的內(nèi)外部治理機制等。不同的公司治理會形成不同的決策取向、風險偏好、企業(yè)文化以及經(jīng)營管理環(huán)境等，這是操作風險管理與控制的前提和基礎(chǔ)。

二、內(nèi)部控制

內(nèi)部控制(Intemal Control)起源于對財務(wù)舞弊問題(一種操作風險)的關(guān)注。目前。內(nèi)部控制已涉及到銀行面臨的所有操作風險問題。銀行內(nèi)部控制的發(fā)展同銀行操作風險事件息息相關(guān)。20世紀80年代后。銀行風險損失事件很多

都同內(nèi)部控制失效有關(guān)。美國貨幣監(jiān)理署在對1979年～1987年間破產(chǎn)的162家國民銀行進行研究后發(fā)現(xiàn)，破產(chǎn)銀行中分別有35％和11％是由內(nèi)部犯罪與金融詐騙引致。美聯(lián)儲的研究表明，在1990年～1991年破產(chǎn)的286家銀行中，有26％是由內(nèi)部犯罪造成，61％的破產(chǎn)銀行存在詐騙、非犯罪性違規(guī)、內(nèi)部貸款損失等內(nèi)部問題。巴塞爾銀行監(jiān)管委員會1997年在剖析英國巴林銀行、法國里昂銀行、日本大和銀行等幾起著名銀行失敗案例的原因時發(fā)現(xiàn)，除了內(nèi)部控制失效外，很難再找到其他因素。

國外對內(nèi)部控制理論的研究是從20世紀40年代末50年代初開始的，隨著企業(yè)的發(fā)展和社會的進步，人們對內(nèi)部控制的理解也不斷深入。美國注冊會計師協(xié)會(AIC-PA)最早提出了內(nèi)部控制的概念和基本理論。1992年，COSO委員會提出了著名的COSO報告——《內(nèi)部控制整體框架》(Internal Control-Integrated Framework)，并于1994年進行了增補。COSO報告被譽為內(nèi)部控制的里程碑。COSO報告認為內(nèi)部控制是由企業(yè)的管理人員設(shè)計的，為實現(xiàn)營業(yè)的效果與效率、財務(wù)報告的可靠及合法合規(guī)目標提供合理保證，通過董事會、管理人員和其他職員實施的一種過程。內(nèi)部控制由控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控等五個相互聯(lián)系的要素組成。企業(yè)內(nèi)部每一成員在實施內(nèi)部控制方面都扮演著一定的角色，對內(nèi)部控制負有一定的責任。

內(nèi)部控制在理論和實踐上主要由企業(yè)財務(wù)和內(nèi)外部審計部門所推動。早期的內(nèi)部控制主要側(cè)重于財務(wù)方面，實際上是內(nèi)部會計控制。COSO框架文件對內(nèi)部控制及其構(gòu)成的定義是寬泛的，較之內(nèi)部會計控制是一個巨大的進步。然而，COSO整體框架在與財務(wù)報告相關(guān)的內(nèi)部控制的導向上深受注冊會計師行業(yè)的影響。這和COSO委員會主要由來自財務(wù)、會計、審計等領(lǐng)域的代表構(gòu)成有關(guān)。一個主要由公共會計師組成的團體會更關(guān)注那些在財務(wù)報告方面與其利益相一致的觀點，這不足為奇。

內(nèi)部控制對防范包括財務(wù)舞弊在內(nèi)的各類操作風險的重要性逐漸為人們所認識。巴塞爾銀行監(jiān)管委員會在吸收COSO報告的研究成果基礎(chǔ)上，于1998年9月發(fā)布了《銀行組織內(nèi)部控制系統(tǒng)框架》。作為對聯(lián)邦德國赫斯塔特銀行倒閉事件直接反應(yīng)而成立的跨國銀行監(jiān)管的權(quán)威機構(gòu)，巴塞爾委員會始終將銀行風險監(jiān)管作為研究的重點。相對于COSO報告，巴塞爾的《框架》更注重風險防范目標。巴塞爾《框架》系統(tǒng)提出了評價商業(yè)銀行內(nèi)部控制體系的指導原則，這是商業(yè)銀行內(nèi)部控制研究歷史性的突破。目前，內(nèi)部控制已成為商業(yè)銀行防范操作風險的主要有效手段。我國也非常重視內(nèi)部控制建設(shè)，中國人民銀行1997年5月發(fā)布了《加強金融機構(gòu)內(nèi)部控制的指導原則》。同年12月發(fā)布了《關(guān)于進一步完善和加強金融機構(gòu)內(nèi)部控制建設(shè)的若干意見》，2002年9月7日，發(fā)布了《商業(yè)銀行內(nèi)部控制指引》。2005年2月，中國銀行業(yè)監(jiān)督管理委員會頒布的《商業(yè)銀行內(nèi)部控制評價試行辦法》正式施行。近年來，內(nèi)部控制已滲透到商業(yè)銀行管理實踐的方方面面，內(nèi)部控制技術(shù)也獲得了長足的發(fā)展，一些先進的管理控制方法，如質(zhì)量管理、價值鏈管理、流程再造以及6西格瑪管理等開始應(yīng)用于管理實踐。

三、風險管理

商業(yè)銀行經(jīng)營活動面臨各種各樣的風險，對待風險，銀行長期以來采取各種手段予以防范。20世紀70年代以來，主要通過完善公司治理與加強內(nèi)部控制以實現(xiàn)商業(yè)銀行的穩(wěn)健經(jīng)營。隨著資本市場的發(fā)展，用于避險的衍生品市場迅速發(fā)展，為管理金融風險提供了前提?，F(xiàn)代金融理論的發(fā)展，尤其是金融工程技術(shù)的發(fā)展。使得商業(yè)銀行對風險的認識不斷深化，風險度量技術(shù)獲得了快速發(fā)展。風險已經(jīng)成為商業(yè)銀行獲取利潤的資源。對風險的管理成為商業(yè)銀行經(jīng)營管理的重要內(nèi)容。

對商業(yè)銀行面臨風險的關(guān)注，導致了巴塞爾資本協(xié)議的產(chǎn)生。巴塞爾資本協(xié)議的演變反應(yīng)了銀行風險管理的發(fā)展歷程。20世紀70年代，在國際貨幣與銀行市場剛剛經(jīng)歷了劇烈的動蕩之后，經(jīng)十國集團中央銀行行長倡議，巴塞爾銀行監(jiān)管委員會(簡稱巴塞爾委員會)于1974年成立。委員會的主要職責是交流金融監(jiān)管信息，建立各個領(lǐng)域能夠認同的最低監(jiān)管標準、加強各國監(jiān)管當局的國際合作和協(xié)調(diào)、維護國際銀行體系的穩(wěn)健運行。1988年7月，巴塞爾委員會正式通過了《統(tǒng)一資本計量與資本標準的國際協(xié)議》，即《巴塞爾資本協(xié)議》，并經(jīng)12國中央銀行行長簽署后實施生效。由于參與制定協(xié)議的國家是當今世界上的主要工業(yè)國家，代表著世界最強大的經(jīng)濟集團，巴塞爾協(xié)議很快成為世界各國銀行業(yè)管理的統(tǒng)一指導文件。巴塞爾協(xié)議制定時期，信貸業(yè)務(wù)是商業(yè)銀行的主要業(yè)務(wù)，因此，1988年的巴塞爾協(xié)議主要關(guān)注的是信用風險。1988年協(xié)議對資產(chǎn)負債表內(nèi)及表外項目，按其風險程度不同分別進行了分級和分類，規(guī)定了風險權(quán)重，實現(xiàn)按統(tǒng)一標準計算資本與加權(quán)風險資產(chǎn)的比例，即資本充足率。要求資本充足率不得低于8％。

20世紀90年代以來，由于金融市場自由化和信息科技的發(fā)展，衍生金融產(chǎn)品的品種及其交易規(guī)模迅猛增長，銀行業(yè)越來越深地介入衍生品交易，一些銀行以資產(chǎn)證券化和控股公司的形式來逃避資本監(jiān)管，將信用風險轉(zhuǎn)化為市場風險或操作風險。1988年的協(xié)議只考慮了信用風險，忽視了市場風險，尤其是協(xié)議對許多新的和復雜的場外衍生產(chǎn)品沒有給予足夠的重視。巴塞爾委員會認識到，盡管1988年協(xié)議的實施一定程度上降低了銀行的信用風險，但以金融衍生品交易為主的市場風險卻頻頻發(fā)生，僅靠資本充足率已不足以充分防范金融風險。1995年4月巴塞爾委員會對銀行有關(guān)表外業(yè)務(wù)的風險權(quán)重進行了調(diào)整，1996年1月推出了《資本協(xié)議關(guān)于市場風險的補充規(guī)定》，對由于匯率和利率變化造成的金融衍生工具市場價格變化的風險提出了計提資本金的要求。市場風險被納入巴塞爾資本協(xié)議。成為風險管理與監(jiān)管的一部分。

20世紀的最后20年，在市場風險和信用風險管理技術(shù)獲得了迅速發(fā)展，市場、信用風險得到有效管理的情況下，發(fā)生了一系列重大銀行風險損失事件，這使得商業(yè)銀行和監(jiān)管當局開始注意市場、信用風險以外的其他風險。1999年6月巴塞爾銀行監(jiān)管委員會發(fā)布了新資本協(xié)議征求意見稿，對其他風險提出了計提監(jiān)管資本的要求。這里的其他風險就是操作風險。從商業(yè)銀行角度來看，隨著風險管理技術(shù)的不斷提高，內(nèi)部風險管理從風險控制向更靈活的資本管理轉(zhuǎn)變，通過內(nèi)部經(jīng)濟資本配置和RAROC方法的績效考核，對市場風險和信用風險能夠進行有效的管理。20世紀90年代初，銀行開始考慮如何將風險管理的范圍擴展到市場風險和信用風險以外的風險領(lǐng)域。2004年6月巴塞爾銀行監(jiān)管委員會發(fā)布了《統(tǒng)一資本計量和資本標準的國際協(xié)議：修訂框架》，一般稱為《巴塞爾新資本協(xié)議》。新協(xié)議將操作風險納入其中，為其設(shè)定最低資本要求?？梢?，操作風險管理是風險管理發(fā)展新的歷史階段，是風險管理發(fā)展的必然趨勢。

四、結(jié)束語

從上面的分析可以看出，針對商業(yè)銀行操作風險問題分別形成了公司治理、內(nèi)部控制和風險管理三個理論研究路徑。公司治理側(cè)重于企業(yè)相關(guān)利益者的利益均衡，從解決委托代理問題，建立有效的激勵相容機制的角度，規(guī)范企業(yè)行為，防范操作風險。公司治理理論與實踐主要由政府監(jiān)管部門、有關(guān)法律部門和利益相關(guān)者推動。內(nèi)部控制從管理控制風險的角度，通過建立完善內(nèi)部控制體系，加強檢查監(jiān)督，防范操作風險，尤其防范財務(wù)舞弊風險。內(nèi)部控制理論與實踐主要由財務(wù)審計部門推動。風險管理經(jīng)歷了從市場、信用風險到操作風險的發(fā)展過程。風險管理主要由風險管理部門和銀行監(jiān)管部門推動。公司治理是商業(yè)銀行穩(wěn)健經(jīng)營的決定性因素，決定著銀行的風險偏好和風險政策，是操作風險管理的前提。內(nèi)部控制是防范操作風險的重要手段，是風險管理的重要環(huán)節(jié)。風險管理超越內(nèi)部控制之處在于，風險管理強調(diào)通過權(quán)衡收益與成本來決定對風險采取控制、緩釋還是承擔。因此，風險管理注重對操作風險的計量，以及采取何種財務(wù)策略。目前操作風險管理研究主要沿著風險管理的研究路線發(fā)展。尚缺乏對公司治理、內(nèi)部控制等已有成果的吸納整合。操作風險管理理論的進一步發(fā)展不能沿襲現(xiàn)有市場風險、信用風險的研究路徑，必須在管理實踐的基礎(chǔ)上有效整合三條主線的理論成果。