2004年6月在经过长达5年的修订,巴塞尔委员会的《巴塞尔新资本协议》最终定稿,新协议最大的变化在于增加了对操作风险纳入资本金计提框架的要求。使得国内金融界也开始了对于操作风险的计量与管理的重视。虽然对于操作风险的定义及范围还存在着一些微小的争议,但一般认为操作风险可以按照风险产生的来源分为组织、过程、人员、外部与技术五个类别。从中可以看出,对于商业银行运营越来越重要的信息技术也已经成为操作风险的一个重要来源。在过去的三十年中,我国银行信息化建设经历了三次跨越式的发展。上世纪七十年代末,银行开始大量引入计算机代替手工操作,使工作人员从烦琐的手工操作中解脱出来,实现了第一次跨越;进入上世纪九十年代,银行业进一步利用通讯技术,在柜面业务、内部管理等各个领域实现电子化,使银行的创新、竞争、服务和获利能力都得到了加强,实现了第二次跨越;第三次跨越开始于上世纪九十年代后期,随着互联网技术的发展,银行开始从实体转向虚拟,出现了网络银行和电子银行,从而使银行的存在方式、经营理念和服务模式发生了质的变化。商业银行对于信息技术的应用,在带给商业银行诸多的优势的同时,也产生了各种的风险,其中就包含一部分的操作风险。为了对这部分由技术因素引发的操作风险进行有效的管理,对其准确计量是其前提和基础。但由于我国商业银行对操作风险的认知相对较晚,数据准备不足已成为目前操作风险度量最严重的问题。尽管国际上操作风险计量已经发展出各种模型,但由于大部分模型对数据量要求较高,大部分模型暂时还无法用于计量我国银行操作风险。本文研究的主要目的就是并寻找适合于我国银行业的信息技术操作风险度量的模型,并提出有效的风险管理办法。本文采用了结合VaR的极值理论方法,通过基于POT算法的和基于HKKP估计的两种方法计量该类别操作风险的最低资本金需求。通过分别对国内外获取数据的实证研究表明,这两种方法在商业银行信息技术操作损失数据,尤其是低频高危数据奇缺情况下可以较为准确的度量最低资本金。对于信息技术操作风险应该如何进行管理,已经有相当多的论著从加强风险管理意识、建立风险管理架构、改善风险管理过程、建立独立风险管理部门、完善信息披露制度、加快风险管理信息系统建设、健全内部控制制度、增加技术投入、培养和引进风险管理人才等方面进行了详细的指导,本文仅就商业银行能够获得的外部风险管理手段—操作风险保险,通过对操作风险保险的优势、作用以及可保性、可行性的分析,认为操作风险保险对于商业银行信息技术操作风险来说,将是一种十分有效的管理工具。本文共分六章,具体安排如下:第一章:绪论部分,阐述选题背景和意义。第二章:商业银行操作风险概述。文章首先对商业银行操作风险的含义、内容,以及巴塞尔委员会所推荐的几种基本度量方法—基本指标法、标准法、高级度量法做简要的说明。第三章:商业银行信息技术操作风险理论分析。本章首先就信息化的发展进程以及我国商业银行信息技术的现状进行简要分析。并在此基础上对信息化所造成的操作风险按照产生风险的系统、外部与外包因素三个领域,进行了进一步的分析探讨。第四章:商业银行的信息技术操作风险度量方法分析。在前一章就该风险的内容及性质的分析基础之上,收集国内外的实际损失案例数据,将极值理论引入VaR模型的评估中,使用POT模型与HKKP模型希望能够得到对风险状况的较好评价。第五章:商业银行的信息技术操作风险管理方法建议。在评价文献中的各种风险管理建议与方法之后,本文对操作风险保险的特点、优势及可行性进行分析,并对阻碍我国操作风险保险发展的因素简要概括,为未来发展指出道路。最后,对论文的研究过程总结归纳,阐明不足之处以及今后进一步进行研究的方向。