一、研究背景

随着商业银行经营规模不断扩张、经营范围不断拓展、金融产品日趋复杂，操作风险发生的几率越来越大。尤其是随着近期国内一系列金融大案的频繁曝光，操作风险受到普遍关注。对于国内商业银行来说，建立科学合理的操作风险管理框架，提升自身全面风险管理水平，迎接国际化挑战是当务之急。本文将首先分析SG及UBS违规交易案例，然后再此基础上进行探究商业银行前台交易部门如何规避此类风险。

1、 SG交易员违规操作事件：

? 事件回放：

一心想成为明星交易员的法国兴业银行负责对冲欧洲股市的股指期货交易员——热罗姆?盖维耶尔利用银行漏洞，通过侵入数据信息系统、滥用信用、伪造及使用虚假文书等多种欺诈手段，擅自投资欧洲股指期货，造成该行税前损失49亿欧元(约560亿人民币)。该行股票当天下跌4.1%。这次案件触发了法国乃至整个欧洲的金融震荡，并波及全球股市，引发暴跌。

早在20xx年6月,他利用自己高超的电脑技术,绕过兴业银行的五道安全限制,开始了违规的欧洲股指期货交易，“我在安联保险上建仓,赌股市会下跌。不久伦敦地铁发生爆炸,股市真的大跌。我就像中了头彩??盈利50万欧元。”20xx年,凯维埃尔再赌市场下跌,因此大量做空,他又赌赢了,到20xx年12月31日,他的账面盈余达到了14亿欧元,而当年兴行银行的总盈利不过是55亿欧元。更致命的是，该名员工利用其在兴业银行工作的经验，轻而易举骗过了该行的安保系统。

事后，法国兴业银行公布的一份关于“巨额欺诈案”的内部调查报告说，在涉嫌欺诈的兴业银行前交易员热罗姆·凯维埃尔工作的部门，存在大量突破风险限额的违规操作，为风险提供了温床。

调查报告指出，凯维埃尔工作的部门业绩增长很快，但伴随着大量越权行为。交易员经常未经授权就动用超过风险控制的规定限额，并不时“互相帮忙”，分担业绩或对业绩作假。这种“大环境”阻碍了一些职能的实施，为巨额欺诈案埋下祸根。

? 反映的主要问题：

（1）高级管理层责任不明,监督不力,在银行内部未能创造有影响力的内控文化,交易员凯维埃尔长时间、多次违规操作,没有有效监督。

（2）对经营中的风险缺乏充分的认识和衡量,没有进行持续的监控,甚至对凯维埃尔初期违规操作“带来”的利润表示赞赏,进一步助长了他铤而走险。

（3）各级管理层之间没有完善的信息交流机制、向上级报告制度,凯维埃尔违规操作导致内控报警系统报警75次之多,竟然没有向上成功反映。

（4）问题整改机制无效,凯维埃尔用6封邮件就把问题整改搪塞过去了。

（5）银行交易员的薪酬问题。在欧洲银行，交易员是收入最高的群体，为丰厚的奖金所驱动，凯维埃尔以身犯险。

? 原因探究：

从内部控制与风险管理的角度来看，这是一起典型的银行业操作风险失控事件，其漏洞与成因包括：

（一）风险控制不力

国内外众多银行巨额亏损事件表明操作风险仍是导致衍生工具损失的重要原因。法兴事件中，法兴银行在限额控制、职责分离等方面的漏洞，无疑成为违规行为滋生的“温床”。

首先，限额控制上的缺陷。法兴银行将风险监控重点置于交易员的净额头寸上，忽视全部交易的规模与单边交易数额。为此科维尔利用虚构的卖出交易数据，造成净头寸得以对冲的假象，逃过了这一监控措施。此外，欧洲交易所向法兴银行提供的是汇总后的数据，并未具体细分至每位交易员。由于法兴银行在衍生商品交易上素来额度巨大，所以科维尔的巨额交易数量并未引起过多怀疑。

其次，职责分离上的失策。西方国家的金融机构实行一种类似于暗箱操作的授权机制，表现为不同的金融衍生产品交易行为，授予交易员不同的权利。科维尔在进入法兴银行工作后，曾供职于中后台监控部门，对于法兴银行的监控流程了如指掌。这为其日后作为交易员的违规行为提供了职责上的便利。因此，企业在面临内部职位调动时，应妥善考虑职责兼容问题。

再次，对内外部警示信息的忽视。调查资料表明，法兴银行对于来自内外部的警示信息并未仔细核查，如20xx年11月欧洲期货交易所曾质疑科维尔交易仓位，以及20xx年6月到20xx年1月间风险控制系统发出了74次警报，直到第75次警报的拉响，才使科维尔的违规行为得以曝光。

第四，没用以正确客观的姿态看待金融衍生品，特别是股指期货，只看到它带来的巨额利润，而忽视了它存在的巨大风险。法国兴银行股指期货投机失败表明，股指期货既有积极一面，也蕴含着巨大的风险，由此可见，衍生期货市场风险控制至关重要。

第五，银行监控部门的失职。法兴银行的内部报告坦陈“交易部门职员没有系统地执行更为详尽的稽核”，另外该部门也缺乏“确定不良交易存在的手段以及能迅速予以控制的机制。”银行发言人也在事后承认，银行早已发现科维尔在交易中存在的问题，但并未做深入调查。此外，法兴银行因没有投入足够资源防范交易丑闻已经受到法国央行的警告。

就此看来，法兴银行备受赞誉的风控系统也仅是徒有盛名。而对风险的控制不力，究竟是缘于巨大金融利益带来的疏于监管还是控制系统本身的错漏，则值得我们深思。

（二）人性控制失败

可以说，人的因素是导致法兴银行巨亏的直接原因。科维尔利用其对内部控制流程的熟悉，精心设计虚假交易，从而逃避内部控制系统的监控。但个人认为，事件的深层原因应归咎于法兴银行内部控制系统对人性的控制失效。

案发之后，科维尔的辩词耐人寻味：“我没有犯错，我只是为了给银行多赚钱”。显然，他将违规行为定位成追求自身与企业利益的最大化，只是这种对利益最大化的追求已远远超出正当范围。

此外，科维尔的工作经历使他对内部控制流程极为熟悉，从而成功逃避监控体系进行违规操作。然而，在法兴银行内部，熟悉整个内部控制流程的远不止科维尔一人，如何保证他们的行为守规、防止第二个科维尔出现？除了在职责分离上的控制措施外，如何完善内部控制环境、培养组织的风险控制文化、加强人性控制也至关重要。据科维尔的辩护律师称，在法兴银行内部，不止一个人在从事违规交易。管理人员的利欲熏心、风险管理意识淡化。有分析人士也指出，如果没有银行高层的默许，任何一个交易员都不会有那么大的能量，酿成如此巨大的案件。

因此，笔者认为，只有加强对人性控制、消除道德风险的负面影响，才是防止违规再次发生的治本之举。

（三）IT控制薄弱

事件发生后，科维尔被戏称为“计算机天才”，法国央行行长称其至少突破了银行五个级别的监控才获得巨额投资权限。在“计算机天才”与IT监控系统的较量中，后者败下阵来，原因何在？据法兴银行披露，其内控系统要在交易三天后才会对交易进行核查，法兴银行系统的开发人员、验收人员与IT管理人员在一段较长时间内对内控和技术漏洞未能采取有效措施，这些漏洞则被科维尔利用了。同时，为了规避后台监控，他还盗用多个系统密码进行数据篡改。

众所周知，信息化时代，电子信息技术开始与企业的各项流程广泛结合。所以，防范计算机技术风险、保障信息安全问题，成为控制的关键。事实上，法兴银行的风险管理团队中拥有IT专家与相关技术人员，面对科维尔的违规及篡改行为却迟迟未能察觉，除了风险管理流程存在缺陷外，法兴事件也表明，再严密的电子监控程序，也难免存在漏洞。计算机控制只是一种手段，其应用无法替代业务流程的整体控制。过多依赖高科技手段，忽视基本的流程控制，可能带来无法估量的严重后果。因此，只有实现IT控制与业务流程控制的整合，才能真正应对新环境下出现的各类风险。

（四）内部审计失效

法兴事件还证明设计良好的内部控制体系，只能为实现企业目标、控制企业风险提供合理而非绝对保证。它存在局限，例外事项、人为操纵或系统故障等因素时刻威胁着内控系统的运行。所以，对内控系统的反馈与再监控至关重要。

传统意义上，从事衍生品交易的银行往往利用内部审计系统来评估与监控风险管理系统的运行，防范可能出现的违规情况。然而，由于衍生品交易部门给法兴银行创造的利润大约占到整个银行利润的三分之一，

这种高高在上的地位可能使内部审计系统在审查合约时难以提出质疑。一些银行业人士曾表示，在法兴银行，衍生品交易部门面对审计部门监管时享有的自由度，远远大于英美等国的同类银行。法兴银行的这种监管制度暴露出其风险控制系统与内部审计系统之间在协调方面还存在漏洞，使得内部审计对内部控制的再监控作用大打折扣，这也为科维尔的违规提供了可乘之机。就此，如何发挥内部审计对内控系统的再监控效用，再次被提上议事日程。

（五）外部监管缺陷

法兴事件曝光后，法国银行业监管机构受到了质疑。公众指责银行监管机构未能有效防范该案的发生。政府官员也纷纷表示法国银行业监管不充分，要求对银行业进行“额外”监控。法国金融监督委员会更是呼吁，应加强银行业的抗风险能力。

法兴事件暴露出了长期以来欧洲银行业自律监管模式的缺陷。与美国以交易所、美国期货业协会以及美国商品期货交易委员会（CFTC）为主体的三层严密监管架构不同，欧洲衍生品市场监管相对比较宽松，基本上以自律为主。自律监管模式无形中将监管责任推向企业本身，而在追逐利益最大化或是控制体系出现重大缺陷之时，企业难以对违规事件产生有效制约。

此外，信用制度的滥用也是造成法兴事件的潜在原因。信用制度虽是西方自由市场制度的基石，但欧洲的一些交易所基于传统的理念及竞争需要，将信用制度过度地滥用于高杠杆效应的金融衍生品市场，甚至未要求交易员交足交易保证金。法兴事件中，科维尔刻意选择未有保证金追缴要求的衍生工具，无疑是利用了外部监管体系的缺陷。

2、 UBS交易员违规操作事件：

? 事件经过：

20xx年9月16日，瑞银爆出的交易员违规操作丑闻，一名员工进行了未授权交易，可能造成的损失约为23亿美元。瑞银还表示，该行第三季度可能因此出现亏损。在这桩丑闻宣布的当天，瑞银股价大幅下挫11%至9.75瑞郎，创下自20xx年3月以来最大单日跌幅。

市场普遍揣测，当前欧元区经济不景气，致使瑞士法郎急剧升值，UBS交易员阿多博利很可能未经允许便投下巨额赌注，打赌瑞士法郎对欧元继续升值，然而他没料到，瑞士央行为了保护本国的出口业务，突然在9月6日干预市场，令瑞士法郎迅速贬值，由此引发阿多博利的交易出现巨亏。事实上，本月初瑞士中央银行曾出面干预汇率，大笔购进外汇，将瑞士法郎对欧元的汇价固定在1欧元对1.2瑞士法郎。市场当时便有传言，不少外汇交易员遭受极大损失。

? 发生原因：

事件目前正在调查当中尚无定论，美国有线电视新闻网援引分析师的话说，造成巨额损失有三大可能性，一是蓄意诈骗，二是交易战略很愚蠢，三是银行界俗称的“肥手指”，也就是一不留神打错了交易数字，也许交易员“多打了一个零，一下买进1000万，而非100万”。

? 总结评估：

尽管有关这桩丑闻的细节尚不得而知，但值得深思的是，作为一个成熟的大型金融机构，为什么在交易员进行违规操作时，没有出现及时的风险提示以及自动产生止损性操作，以至于亏损额如此之大。按照常理，交易如果出现亏损，其银行内部会出现自动止损中止交易的环节。

从其他银行引以为鉴的角度来说，包括瑞银在内的银行高管应当反思其内部监控风险管理，特别是市场投资授权等方面的监控和应对机制。与信贷存在审批以及相互牵制的过程不同，银行的市场交易行为往往较为迅速，其决策过程较短，所以银行应当对从事交易的人员以及相关操作保持较好的监管，尤其是在近期国际金融市场大幅波动的背景下，银行对其内部的市场交易行为应当保持高度警惕。

从银行监管者的角度来看，瑞银丑闻也再度敲响了加强金融监管的警钟。客观地说，银行操作风险的监管较为复杂和困难，这主要表现在三个方面，一是任何一个管理流程必然会存在一定的问题和漏洞，不可能是完美无缺的；二是银行内部人员对整个银行体系、流程都较为熟悉，所以常常会绕过内部监管；三是银行的信用风险和市场风险都可以用数量等先进方法进行评估和监测，但在操作风险方面，由于发生的次数较少，统计上的意义较弱，所以很难用特别的方法去管理和估测操作风险。此外，与信用风险和市场风险所蕴涵的损失可以得到较好的事先估计相比，操作风险将带来的损失更难以提前评估和管理。因银行性质和业务不同，操作风险涉及的主要方面也会发生相应的变化。

二、商业银行操作风险管理

一般来说，一个科学合理的操作风险管理框架应该包括:战略、组织、流程、基础设施、环境等几方面。通过对多家国际活跃银行操作风险管理框架及相关理论研究的深入分析，可以发现操作风险管理的核心技术主要包括:自我评估、数据收集、资本计算三项。

1、自我评估。自我评估是操作风险的第一道防线，主要包括流程梳理与评估、关键风险指标确立、评估报告等内容。自我评估的目的是找出与目标、业务有关的重大风险并进行分类和排序；明确风险责任人；对风险、剩余风险的影响及可能性进行评价；根据设计及操作对内部控制进行评价；找出并记录相应的改进措施并为此分配时间和责任人；向董事会及高级管理层进行报告，并向有关部门提供相关的评估信息。自我评估是一个动态持续的协调反馈过程。随着时间的不断演变，业务部门需要将风险评估与损失/突发事件及重要指标数据进行比较，找出业务环境的变化并确认相应风险及控制措施。

(1)流程梳理与评估。流程梳理是自我评估的关键步骤。流程梳理的主要目标是让每位员工都知道:干什么、怎么干，即流程的风险点是什么、如何监测和控制、潜在缺陷及改进措施、谁来负责、谁来检查、如何报告等。通过梳理，明确了工作流程的具体环节、操作方式、规章制度和面临风险。

(2)确立关键风险指标。流程梳理的结果是产生了一些关键指标。这些关键指标是对业务活动和控制环境进行监控的指标体系，主要有关键业绩指标(KPI)和关键控制指标(KCI)。

(3)评估报告。操作风险管理过程中，必须建立有效的报告机制。自我评估的工具和结果主要是一些制度文件、检查表格、以及一些直观图表、分数等级等。

(4)监督协调机制。自我评估是以业务部门为主，各相关部门积极参与的一项工作，需要建立相应的监督协调机制来保证自我评估的真实有效。

2、数据收集。数据是风险量化的前提，只有高质量的数据才能得出可靠的量化分析结果。否则只能是垃圾进，垃圾出。与市场风险和信用风险相比，操作风险的数据散落在各个业务条线和部门，收集难度相对较大，而且数据普遍偏少。

目前应用于操作风险计量分析的数据主要包括:内部损失数据、外部损失数据、情景分析数据、自我评估数据、关键风险指标数据以及风险缓释数据。

3、资本计算。资本配置是操作风险的第二道防线。巴塞尔委员会所提出的基本指标法和标准法都将总收入作为操作风险暴露的指标，但是总收入与操作风险暴露之间不一定存在对应关系。因此，普遍认为这两种方法对风险并不敏感，不能反映真实的操作风险水平。而对于高级计量法，人们也未能对目前存在的众多方法达成共识，最终巴塞尔委员会放弃了征询意见稿中的做法。不再具体规定用于操作风险计量和计算监管资本所需的具体方法和统计分布假设。但要求银行必须表明所采用的方法考虑了潜在严重的概率分布"尾部"损失事件。

目前，损失分布法是较常见的操作风险高级计量法，不过在具体实施中还存在许多技术难题，如对各项操作风险损失之间相关系数的确定等。所以，目前对于操作风险资本金的最终确定都要结合多种方法的结果并根据对自身实际的评估进行调整。

三、对国内商业银行的启示

1、重视流程梳理，降服细节中的魔鬼。"流程标准化"是加强内部控制、确保制度落实的基础。对于国内商业银行来说，加强流程梳理是重中之重。只有通过梳理流程，将各个部门职责贯穿起来，强调部门在流程中的职责，才能为实现"流程银行"和进行全面风险管理奠定基础。流程梳理中，要强调以事实为依据，强化量化标准，做好自我评估数据、关键风险指标数据的收集工作，建立数据基础。一要对流程中的重要环节设置各种记录要求，将操作事实定量化，有迹可循；二要将定量化的记录整理成数据，为风险管理决策提供依据。三要在流程梳理的过程中建立相应的监督协调机制。

2、确立关键风险指标，建立预警机制。关键操作风险指标是对操作风险评估和监测的重要工具，用来表示操作风险或风险框架的变动，不仅可以起到预警作用，而且通过对某一特定程序的一系列关键风险指标的分析，还会揭示出指标在过去的变动情况是否与专家的风险评估结果相一致。各商业银行要在流程梳理的过程中积极确立关键风险指标。确立关键风险指标时要注意，指标必须具有风险敏感性，能快速反映损失组合变动，而且容易识别，并在业务环境下容易理解。另外，风险指标要有参考系，要设置最低限度，超过限度时管理层要采取相应措施。

3、规范数据采集标准，提早建立操作风险损失数据库。操作风险损失数据库是实施高级计量法的基础。根据统一标准，对损失数据进行收集整理，建立操作风险损失数据库，是一项非常必要的基础性工作。目前国内商业银行对业务条线以及损失事件类型的划分比较混乱，不利于数据的统一和共享。各银行应积极按照巴塞尔新资本协议所提供的业务条线和损失事件类型划分方法，加强对8条业务条线和7种损失事件类型所确定的56个具体项目的跟踪监测，提前做好风险损失数据的收集整理和共享，为先进操作风险管理方法的使用以及操作风险管理水平的提高做好基础性工作。

4、根据自身实际，积极稳妥地推进操作风险管理进程。操作风险计量是操作风险管理的一个重要核心。由于目前尚无国际同业公认的成熟计量方法，国内商业银行可以先将工作重点放在前两个技术环节上，即在加强自我评估和数据收集的同时，进行相应的计量模型研究。时机成熟时，将定性分析、风险指标、损失数据与计量模型相结合，建立用于资本配置的模型。这也是许多国际活跃银行的普遍做法。另外，新资本协议中提到，对于符合一定条件的银行可以就部分业务使用高级计量法，对于其余业务使用基本指标法或标准法。因此，各银行可以结合自身实际情况来选择计量操作风险的方法。

5、加强信息化建设，积极引进或开发操作风险管理系统。积极引进或开发基于操作风险管理系统是提高商业银行操作风险管理水平的重要途径。尽管目前国际上关于操作风险的计量方法并不成熟，但许多银行、咨询公司和专业软件公司还是推出了一些操作风险管理系统，较常见的有摩根大通的Horizon系统、Algo公司的OpVantage系统、Comit公司的OpRiskSuite系统、SAS公司的操作风险管理系统等。引进这些管理系统需要注意系统设计是否符合银行自身的业务特点，系统所采用模型技术的权威性、可验证性以及可扩展性等。另外，各银行也可通过外包或聘请咨询公司等方式，根据自身的实际情况，量身定做操作风险管理系统。但无论采用何种方式，都需要始终树立全面风险管理的思想，充分考虑操作风险管理与市场风险管理、信用风险管理之间的关系，注意各种风险管理系统的整合性。