操作风险已经成为全球银行业风险管理的重要领域之一。在全球范围内,金融机构因为操作风险导致巨额损失的事件屡屡发生,从而对于操作风险的关注日益加强。巴塞尔银行监管委员会在新资本协议中将操作风险纳入资本监管框架中,并且要求银行为操作风险配置相应的资本金。外部监管压力和内在动力同时促使全球银行业改进操作风险管理,开始着手操作风险管理研究。将操作风险作为一个单独的风险类别进行管理的时间并不长,对操作风险度量的研究更是处于非常初级的阶段。本文对现有操作风险管理研究现状进行了梳理,指出现有研究的局限性和面临的主要问题,并从操作风险的特征和管理实践中面临的问题出发寻求操作风险管理更适当的理论基础,并在此基础上构建一个既能实现直接管理又能提供非直接损失性风险数据的操作风险管理框架。本文第一章为导论,介绍了本文研究的目的和意义,并对操作风险国内外研究的现状和发展趋势作了简要说明。第二章对主流的操作风险管理理论进行了综述。目前主流的理论包括定性管理框架和定量度量两种思路。定性管理框架思想源于会计领域防止财务舞弊而建立的内部控制框架。通过对风险进行分类,按照不同的部门、业务条线设立相对独立的风险控制点,运用不同领域的管理技术来对操作风险进行分类管理。定量度量的管理思路是沿袭了信用风险管理和市场风险管理的思路,通过对历史损失数据建模对操作风险进行度量,最后计算出覆盖风险所需要的监管资本。通过监管资本的要求来防控风险。本章最后对基于流程管理的研究思路进行了评述,指出了前人研究的成功之处和存在的不足。操作风险的管理虽然研究的历史相比信用风险和市场风险的管理要短得多,但近年发展很快,在定性管理框架和度量模型两个方面都有很大的发展。但是管理框架主观性太强,缺乏客观数据支持,过多依靠人为评估,而定量的度量模型则相反,能够提供客观的数据和风险度量但无法找到具体引起风险的原因并采取直接有针对性的管理措施。第三章论述建立基于流程管理的操作风险管理框架的必要性。本章承接第二章的综述首先描述了现有两种主要的操作风险管理理论的特点。然后从操作风险自身的特征和操作风险管理实践中的问题分析了这两种思路的局限。操作风险的特征包括：1、操作风险是单边风险；2、操作风险是内源性风险；3、操作风险具有复杂性、多样性和普遍性；4、操作风险具有背景依存性；5、操作风险具有损失的非直接性和滞后性；6、操作风险具有可归因性。由这些特征我们可以发现通过历史损失数据建模进行风险度量的研究思路在理论基础、数据来源和研究视角三方面存在局限。从理论基础上看,操作风险的内源性说明它的产生根源、作用范围在企业内部,不属于财务风险,它不像市场风险和信用风险那样是在市场交易中产生的,因此以市场机制为基础的金融和经济学理论并不能提供有效的解释和解决方案。从数据来源看,操作风险损失的非直接性和滞后性使得财务数据无法及时有效地反映操作风险,仅仅依靠财务损失数据建模衡量操作风险并不能为操作风险的管理提供及时有效的数据支持。现行的“价值法”会计采用货币计量,会计分期假设、用高度汇总的数据,并由会计人员估计调整后的数据反映企业的经营成果,因此会计数据承载的信息和操作风险管理所需要的操作过程信息有很大差异。从研究视角来看,操作风险的可归因性使得可以精确定位导致操作风险的原因,进而采取针对性措施,但使用统计模型对银行整体或业务条线整体进行操作风险度量的方法无法找到具体引起风险的原因并采取直接有针对性的管理措施。另一方面,本章通过归纳操作风险管理实践中的问题,并从管理思想、组织结构和与之匹配的信息系统两方面分析了问题的根源,指出源于财务内控思想的操作风险定性管理框架采用独立控制点的方法不能有效管理主要产生于连续过程中的操作风险。为克服这种局限,本章进而提出,根据操作风险的内源性,以企业管理理论为理论基础,以业务流程为代理变量管理操作风险。第四章主要写基于流程管理的操作风险管理框架的具体的构建方法。构建这个操作风险管理框架的总体思路分为两个层次：第一层,在整个银行范围内建立一个高效的流程管理系统,使业务流程显性化、明晰化,以业务流程为基本管理对象,以流程为基础组织工作。具体来说包括两方面的内容一是基于流程的管理框架的建立。首先要建立流程型组织结构,改变过去根据等级制组织结构来设计业务流程的局面,强调流程决定组织,而不是组织决定流程。强调业务及管理活动的连续性,而不是离散、割裂的活动,通过树立流程前后环境互为服务的观念和“端到端”(end-to-end)的整体理念,减少部门主义的干扰,密切流程各个环节的配合和协作,降低风险,提高效率。其次是建立流程型组织制度。最后是培育流程型组织文化,培养开放合作的企业文化,营造学习型文化,培育整合的、跨部门的团队合作文化。二是与之相匹配的流程管理信息系统的建立。考虑到管理操作风险对信息系统的要求,本文采用基于SOA架构的BPMS。SOA (Service-Oriented Architecture,面向服务的架构)是一类分布式系统的体系结构,同时也是一个组件模型。它将异构平台上应用程序的不同功能部件称为服务,通过这些服务之间定义良好的接口按照松散耦合方式整合在一起,即通过网络将将多个现有的应用软件整合成一个新系统。接口是采用中立的方式进行定义的,它应当独立于实现服务的硬件平台、操作系统和编程语言。构建在各种这样的系统中的服务可以用一种统一和通用的方式进行交互。构建在SOA基础上的BPMS能够很好的满足之前我们防控操作风险的要求,首先管理架构和信息系统实现了匹配；第二,这样的结构明确的把业务流程作为管理的基本单位。这样的系统一旦建立,就能够避免过去科层制下的管理架构和信息系统相互不匹配,部门本位主义,流程被割裂的问题,本身就能大大减少由这些问题造成的操作风险。第二层,依据质量管理理论,建立流程质量的PDCA循环,贯穿流程设计、流程执行、流程反馈到流程重设计的全过程。主要有一下几个环节：P：通过流程设计阶段的流程仿真尽可能提高流程设计质量,在流程尚未执行时排除结构缺陷,发现并解除性能瓶颈。流程仿真的基本思想是：通过设定相关的参数模拟真实环境中的各种情况,观察流程运行的状况并记录下相应的运行数据(包括性能数据和结果),最后对记录的数据进行分析,确认运行性能和结果是否符合要求,如果存在漏洞则对流程进行修正。不断重复上述过程,最后得到一个相对完善的流程,这样的流程投入实际使用,虽然不能完全避免操作风险(实际运行环境很难被完全逼真的模拟),但可以很大程度减少操作风险的发生,避免过去传统的工作安排中容易出现的很多疏漏。D：通过流程执行阶段的流程监控,及时发现风险并提醒流程执行和风险管理人员。另外BPMS在流程监控中通过本身的流程日志可以详细记录流程整个运行的操作数据,同时由于流程执行过程的电子化,我们还可以有目的地记录下我们感兴趣的关键操作数据,并将其存储在系统的数据仓库中,为操作风险的度量和管理提供准确有效的数据支持。C：流程分析。通过对运行中出项的问题的定性分析,查找流程失败的原因,及时提出有针对性的改进措施。通过对流程运行过程数据的定量分析,对流程运行性能进行评估,防范流程性能过低带来的操作风险。A：通过流程重设计,不断解决在执行中发现的问题,吸取流程实际运行积累的经验和教训,提高性能,提高流程自动化水平,降低操作风险发生的概率。将发展成熟的行之有效的流程标准化和模块化,提高流程的灵活性,便于在发现问题时迅速改正,同时通过成熟的子流程模块组装新流程可以显著降低开展新业务时构建新流程的风险。