操作风险管理发展的三条主线巴塞尔新资本协议提出对操作风险计提监管资本，勾勒出了包括市场风险、信用风险和操作风险的全面风险管理框架，标志着银行风险管理发展到了新的历史阶段。

尽管将操作风险作为独立的风险范畴进行系统研究是近些年的事，但操作风险并不是一种新的风险，它同银行的历史一样悠久，伴生于银行的各项经营活动，对操作风险的管理活动一直是银行管理的重要内容，并形成了一些重要的实践和理论成果。

研究和梳理这些管理成果对深化操作风险研究具有重要的意义。

笔者认为商业银行操作风险管理实践沿着公司治理、内部控制和风险管理三条主线发展演进，并最终整合形成统一的操作风险管理理论体系。

一、公司治理公司治理（Corporate Governance）这一术语在20 世纪80 年代正式出现在英文文献中。

公司治理起源于对现代企业随着所有权和经营权的分离而产生的委托代理问题的关注。

公司治理是现代公司企业的必然产物，它的出现和演化与现代公司制企业的产生和发展如影相随，并受外部环境的影响。

现代企业所有权和控制权相分离，由此产生了委托人（投资者、外部人）与代理人（管理者、企业家、内部人）的代理关系。

一般认为，掌握控制权的管理者（经理）会采取偏离股东利益的行动。

他们往往努力不够，比如在外部活动上耗费更多的资源，只是为了方便而是企业中人浮于事，忽略内部控制等。

他们可能通过构建企业帝国、享受奢侈品等来获得个人利益的满足，甚至可能通过贪污养老金、向关联方支付不恰当的转移价格、参与内部交易等手段来为个人牟取利益。

这就是代理问题。

委托代理问题被认为是操作风险的重要根源。

因此，公司治理一开始就同防范操作风险密切相关。

公司治理的每一步发展往往都是针对公司失败或者系统危机做出的反应。

例如，1997年的亚洲金融危机使人们对东亚公司治理模式有了清醒的认识；2001 年以安然、世界通信事件为代表的美国会计丑闻暴露了美国公司治理模式的重大缺陷。

这些治理失败的案件往往都是因为舞弊、欺诈或者不胜任等引起，而这些事件又促进了公司治理的改进。

公司治理通过协调各相关方利益来形成有效的激励与约束，进而达到规范企业行为，防范操作风险的目的。

狭义的公司治理被认为是指公司董事会的功能、结构、股东的权利等方面的制度安排。

主要解决所有权与控制权的分离所产生的委托代理问题。

随着公司治理认识的深化，人们认识到股东与管理者的冲突只是诸多利益相关者冲突中的一种，需要从更广阔的视野来考察公司治理。

现代公司治理关注与众多利益相关者(Stakeholders) 之间的利益平衡，科克伦(Philip L.Corchran) 和沃特克(Steven L.Wa-rtick) 在1988年发表的《公司治理一一文献回顾》一文中指出：“公司治理问题包括在高级管理层、股东、董事会和其他利益相关者的相互作用中产生的具体问题。

”现代企业的一个重要的特点是其社会性不断加强，企业问题涉及众多的利益相关者。

对银行来说更是这样，金融是现代经济中的核心部分，商业银行的行为涉及千家万户，影响整个国民经济的运行，关乎社会的稳定。

防范操作风险，保持商业银行稳健经营是公司治理的重要目标。

20 世纪90 年代以来，公司治理理论与实践取得了重要进展。

1991年 5 月，英国成立了世界上第一个关于公司治理的委员会（Cadburv 委员会）。

该委员会于1992 年12 月发表了题为《公司治理的财务方面》的报告。

报告强调公司治理在企业发展中的关键作用和公司治理的外部人模式。

强调外部非执行董事即独立董事在内部控制和审计委员会中的关键角色，突出了董事会的开放性、透明性、公正与责任。

报告提出的一系列原则和理念，已成为公司治理最佳做法核心内容的一部分。

经济合作与发展组织（OECD于1999年6月发布并于2004 年修订了《OECD^司治理原则》，包括股东权力保护、所有股东的平等对待、利益相关者合法权利的确认和保护、公司准确及时的信息披露、董事会对公司的战略性指导和对管理人员的有效监督等。

我国也根据有关法律并参照国外公司治理实践中普遍认同的标准，出台了《上市公司治理准则》（2002），对我国境内上市公司的公司治理做出了规范。

针对银行的情况，1999 年9 月，巴塞尔银行监管委员会发布了《健全银行的公司治理》专门文件。

2005年7 月又发布了《加强银行的公司治理》文件的征求意见稿。

文件中提出了银行文件公司治理的如下原则：确立银行的战略目标和价值准则，并在全行传达贯彻；制定并在全行贯彻明确的岗位责任制：确保董事会成员称职，清楚理解其在公司治理中的角色，并对银行的各项事务作出良好的独立判断：确保高级管理层适时适当的监督：充分认识并有效发挥内外部审计及其他控制部门对稳健公司治理的重要促进作用：确保薪酬政策和具体做法与银行的道德价值观念、目标、战略及控制环境相一致：保持公司治理的透明度、持续了解银行的运营架构，包括在低透明度国家或在低透明度框架下的运营机构（了解银行的架构）等。

巴塞尔银行监管委员会的许多文件也对银行公司治理有明确的规定，如《利率风险管理原则》（1997 年9 月），《银行机构的内部控制框架》（1998 年9月），《增强银行透明度》（1998 年9月），《信用风险管理原则》（2000 年9 月），《银行操作风险管理和监管稳健原则》（2003 年 2 月）以及2004年发布的巴塞尔新资本协议等。

完善公司治理对促进我国商业银行稳健经营、健康发展、防范操作风险具有重要的作用，是国有商业银行改革的核心。

2002年6月人民银行发布了《股份制商业银行公司治理指引》和《股份制商业银行独立董事和外部监事制度指引》，针对国有银行股份制改造，中国银监会于2004 年发布了《关于中国银行、中国建设银行公司治理改革与监管指引》。

公司治理是防范操作风险的有力手段，也是操作风险有效管理的基础。

通过公司治理明确各利益相关者的权利和责任，建立有效的委托代理激励机制，以及相应的内外部治理机制等。

不同的公司治理会形成不同的决策取向、风险偏好、企业文化以及经营管理环境等，这是操作风险管理与控制的前提和基础。

二、内部控制内部控制(Intemal Control) 起源于对财务舞弊问题( 一种操作风险) 的关注。

目前。

内部控制已涉及到银行面临的所有操作风险问题。

银行内部控制的发展同银行操作风险事件息息相关。

20世纪80年代后。

银行风险损失事件很多都同内部控制失效有关。

美国货币监理署在对1979年〜1987年间破产的162 家国民银行进行研究后发现，破产银行中分别有35％和11％是由内部犯罪与金融诈骗引致。

美联储的研究表明，在1990 年〜1991 年破产的286 家银行中，有26％是由内部犯罪造成，61 ％的破产银行存在诈骗、非犯罪性违规、内部贷款损失等内部问题。

巴塞尔银行监管委员会1997年在剖析英国巴林银行、法国里昂银行、日本大和银行等几起著名银行失败案例的原因时发现，除了内部控制失效外，很难再找到其他因素。

国外对内部控制理论的研究是从20世纪40 年代末50 年代初开始的，随着企业的发展和社会的进步，人们对内部控制的理解也不断深入。

美国注册会计师协会(AIC-PA) 最早提出了内部控制的概念和基本理论。

1992年，COS(委员会提出了著名的COSO 报告《内部控制整体框架》(I nternal Con trol-l ntegrated Framework)，并于1994年进行了增补。

COSO艮告被誉为内部控制的里程碑。

COSO报告认为内部控制是由企业的管理人员设计的，为实现营业的效果与效率、财务报告的可靠及合法合规目标提供合理保证，通过董事会、管理人员和其他职员实施的一种过程。

内部控制由控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素组成。

企业内部每一成员在实施内部控制方面都扮演着一定的角色，对内部控制负有一定的责任。

内部控制在理论和实践上主要由企业财务和内外部审计部门所推动。

早期的内部控制主要侧重于财务方面，实际上是内部会计控制。

COS（框架文件对内部控制及其构成的定义是宽泛的，较之内部会计控制是一个巨大的进步。

然而，COS（整体框架在与财务报告相关的内部控制的导向上深受注册会计师行业的影响。

这和COS（委员会主要由来自财务、会计、审计等领域的代表构成有关。

一个主要由公共会计师组成的团体会更关注那些在财务报告方面与其利益相一致的观点，这不足为奇。

内部控制对防范包括财务舞弊在内的各类操作风险的重要性逐渐为人们所认识。

巴塞尔银行监管委员会在吸收COSO艮告的研究成果基础上，于1998 年9 月发布了《银行组织内部控制系统框架》。

作为对联邦德国赫斯塔特银行倒闭事件直接反应而成立的跨国银行监管的权威机构，巴塞尔委员会始终将银行风险监管作为研究的重点。

相对于COSO报告，巴塞尔的《框架》更注重风险防范目标。

巴塞尔《框架》系统提出了评价商业银行内部控制体系的指导原则，这是商业银行内部控制研究历史性的突破。

目前，内部控制已成为商业银行防范操作风险的主要有效手段。

我国也非常重视内部控制建设，中国人民银行1997年5月发布了《加强金融机构内部控制的指导原则》。

同年12 月发布了《关于进一步完善和加强金融机构内部控制建设的若干意见》，2002年9月7日，发布了《商业银行内部控制指引》。

2005年 2 月，中国银行业监督管理委员会颁布的《商业银行内部控制评价试行办法》正式施行。

近年来，内部控制已渗透到商业银行管理实践的方方面面，内部控制技术也获得了长足的发展，一些先进的管理控制方法，如质量管理、价值链管理、流程再造以及6 西格玛管理等开始应用于管理实践。

三、风险管理商业银行经营活动面临各种各样的风险，对待风险，银行长期以来采取各种手段予以防范。

20 世纪70 年代以来，主要通过完善公司治理与加强内部控制以实现商业银行的稳健经营。

随着资本市场的发展，用于避险的衍生品市场迅速发展，为管理金融风险提供了前提。

现代金融理论的发展，尤其是金融工程技术的发展。

使得商业银行对风险的认识不断深化，风险度量技术获得了快速发展。

风险已经成为商业银行获取利润的资源。

对风险的管理成为商业银行经营管理的重要内容。

对商业银行面临风险的关注，导致了巴塞尔资本协议的产生。

巴塞尔资本协议的演变反应了银行风险管理的发展历程。

20 世纪70 年代，在国际货币与银行市场刚刚经历了剧烈的动荡之后，经十国集团中央银行行长倡议，巴塞尔银行监管委员会( 简称巴塞尔委员会）于1974年成立。

委员会的主要职责是交流金融监管信息，建立各个领域能够认同的最低监管标准、加强各国监管当局的国际合作和协调、维护国际银行体系的稳健运行。

1988 年7 月，巴塞尔委员会正式通过了《统一资本计量与资本标准的国际协议》，即《巴塞尔资本协议》，并经12 国中央银行行长签署后实施生效。