我國商業銀行操作風險管理體系建設問題研究

李金迎 劉 睿

摘要：操作風險管理體系建設既是商業銀行管理操作風險的基礎，也是我國銀行實施新資本協議過程中遇到的重大挑戰之一。體系的建設與完善直接關系到操作風險管理的有效性。文章對包括新資本協議在內的監管要求進行了剖析，在明確操作風險管理體系建設目標和構成的基礎上，對如何建設該體系提出了具體建議。

關鍵詞：操作風險；管理體系；商業銀行

自2007年2月28日中國銀行業監督管理委員會《中國銀行業實施新巴塞爾資本協議指導意見》發布以來，我國各主要銀行實施新資本協議的工作已經陸續全面啟動。作為實施新資本協議不可或缺的要求和內容之一，對來源廣泛的操作風險進行系統的管理已成為我國銀行業必須完成的任務。因此，如何按照巴塞爾協議和銀監會的要求，結合我國銀行自身的組織構架、企業文化。建立和完善富有實效的操作風險管理體系，已成為我國銀行目前階段亟待解決的一個問題。

實際上，對操作風險管理體系建設問題進行研究，就是要回答商業銀行應當如何來管理操作風險的問題。因為操作風險來源廣泛，內容復雜。內生于銀行的業務流程，涉及到銀行的所有的部門單位和業務流程，有效的操作風險管理必然涉及到銀行內部的組織構架、政策制度、計量方法、管理工具等多個方面的工作。商業銀行應當通過操作風險管理體系的建設。明確由誰來管理操作風險，怎樣管理，以及各自的職責如何的問題。商業銀行對操作風險進行持續管理的過程，就是操作風險管理體系構建和不斷完善的過程。這一過程始終以識別、評估、監測和控制，緩釋操作風險為核心，通過經驗和數據的積累，逐漸實現系統化、結構化的管理。

由于操作風險的多樣性和復雜性，現有的監管文件對操作風險管理體系的描述是遠不夠清晰的，同時由于缺乏經驗。我國銀行業對于如何建設和完善操作風險管理體系尚在摸索當中。本文首先對包括新資本協議在內的監管要求進行了剖析。在明確體系建設目標和構成的基礎上，對如何建設操作風險管理體系提出了具體建議。

一、監管要求評述

1《巴塞爾新資本協議》。總的來看，新資本協議中對操作風險管理的規定主要集中在第一支柱下，主要包括四個部分，即操作風險定義、監管資本計量方法(基本指標法、標準法、高級法)、各種方法適用的資格標準、局部使用(如幾個主要業務條線)高級法的要求。除了基本指標法和標準法的資本計算說明(高級法由銀行自行開發、選擇，只有應具備何種資格的要求，沒有具體形式)外，都是一些關于適格性的原則規定，主要體現在適用不同方法的“資格標準”中。“資格標準”按照基本指標法一標準法一高級法的順序依次提高。

對于基本指標法的使用，協議沒有(強制性的)具體的資格標準，雖然協議“鼓勵采用此法的銀行遵循《操作風險管理和監管的穩健做法》”，但這不是必須的。這表明商業銀行(不論大小和風險管理能力)都能使用基本指標法來計算監管資本。這樣做可能考慮到操作風險管理的起步較晚，能力的提升需要有一個循序漸進的過程。

標準法對量化技術的要求較低，但要求銀行建立一套完整的操作風險管理體系，包括對組織結構、管理方法等方面的要求，主要體現在第660條～663條中。而高級法的要求除了包括標準法的要求外，還提出了應具備向各條線分配操作風險資本的能力等定性方面的要求，及對內部、外部數據、等定量方面的規定。可以說。高級法除了對數據和量化方法提出了比較高的要求之外，還要求銀行具備完善的體系來管理操作風險。如要求銀行“必須在全行范圍內具備對主要產品線分配操作風險資本的技術”。

從標準法開始，對于操作風險管理的要求主要是圍繞著建立一個有效的體系來展開的。這些要求以標準法的適用資格為基礎，其基本內容包括：

銀行的操作風險管理體系必須對操作風險管理職能的職責進行明確界定；作為銀行內部操作風險評估系統的一部分，銀行必須系統地跟蹤與操作風險相關的數據，包括各產品線發生的巨額損失：必須定期向業務單位管理層、高級管理層和董事會報告操作風險暴露情況，包括重大操作損失；銀行的操作風險管理系統必須文件齊備：銀行的操作風險管理流程和評估系統必須接受驗證和定期獨立審查；銀行操作風險評估系統(包括內部驗證程序)必須接受外部審計師和，或監管當局的定期審查。

總的來看，新資本協議對操作風險管理的要求都較為抽象，雖然指出了方向和原則，但缺乏具體的、可操作性的建議。

2銀監會監管指引的要求。中國銀監會于2007年5月和2008年9月分別發布了《商業銀行操作風險管理指引》(以下簡稱《管理指引》)和《商業銀行操作風險監管資本計量指引》(以下簡稱《計量指引》)。與新資本協議相比。指引體現出了兩個特點：提高要求、相對細化。提高要求體現在《計量指引》中刪除了“基本指標法”的規定。這不僅意味著國內銀行在計量操作風險監管資本時只能選擇標準法或者高級法，這實際上要求國內銀行必須在建立操作風險管理體系(至少達到標準法的要求)的基礎上才能實施新資本協議。而不能在操作風險管理方面無所作為。相對細化是指《管理指引》中明確了“操作風險管理體系”的概念和要素，并提出了對管理操作風險的方法的要求。如《管理指引》提到了識別、評估操作風險的常用工具——自我風險評估和關鍵風險指標，指出了應急和業務連續方案的要求等。但指引中提到的這些要求僅僅停留在概念層面。對于銀行如何建設管理體系。開發和使用管理工具并未進行說明。顯然不具備可操作性。與銀監會已經發布的其他監管指引相比，操作風險管方面的指引明顯過于空泛。

從監管指引的要求來看。對國內多數銀行來說。操作風險管理實施標準法是最現實的選擇。但是。即便是按照標準法的要求，建設和完善操作風險管理體系對國內多數銀行的管理現狀而言仍然是一項具有挑戰性的任務。

二、操作風險管理體系的建設

1體系的構成。實際上。商業銀行操作風險管理體系是一個開放的體系，沒有統一的標準。必須根據銀行具體的戰略定位、業務特點、風險分布和控制環境來確定適當的形式。同時，由于具有明確的目的性和功能性，因此必須具備相應的要素。

從管理體系的建設目標來看，我們認為，操作風險管理應當注重成本收益分析，將有限的資源運用到關鍵的業務單位、流程和風險環節上去，從而提高風險控制的有效性。具體來說，建設操作風險管理體系應當遵循以下四個重要原則：

管理體系的完備性。應涵蓋所有必備要素。包括董事會、高級管理層的職責。操作風險管理的組織構架。操作風險管理政策、程序和方法，資本計量的程序和規定。

“重要性”和“有效性”原則。體系建設應當突出重點。通過操作風險管理工具在各層級組織機構的運用，使商業銀行能充分了解總體操作風險狀況，并評估出重要的操作風險有那些，其損失嚴重性和可能性如何。同時，銀行必須

有完備的制度政策、管理方法和保障措施來應對這些風險，并確保措施執行到位。

充分的資源保障。各業務條線應有專人負責操作風險管理。分行須設置專門操作風險管理崗位，并保證支行有專人履行相應職責。法律合規、人力、內審、監察保衛等部門應按新資本協議要求形成對操作風險管理的支持。

保障基礎功能的實現。建立完整的組織構架、政策程序、管理方法和工具，形成對全行上下主要操作風險的覆蓋。具有對違反制度的情況進行處置和補救的能力。通過操作風險及控制措施的自我評估，和對關鍵風險指標體系的建設完善，持續識別、評估、監測、控制／緩釋操作風險。記錄存儲與操作風險有關的數據信息。評估、分析并形成有效報告。

基于監管要求和以上分析，我們可以將操作風險管理體系的內容歸納為五個方面。具體包括銀行的治理結構、操作風險管理的政策和程序、管理工具和方法、資本計量和操作風險管理信息系統。五個方面的內容如圖1所示。

在操作風險管理體系中，完善的治理結構是前提和基礎。除了高層的積極參與和支持，專業管理部門和可靠的組織保障都是順利開展操作風險管理的前提。在此基礎上，操作風險管理部門應當牽頭全行各條線和各單位的操作風險管理。制定全行性的政策和程序，如操作風險的詳細定義和分類、各單位的管理職責、數據收集和損失報告的程序、資本計量的程序等。為了達到識別、評估、監測和控制操作風險的目的，各部門和單位還需要相應的工具和方法支持，主要包括風險與控制自我評估(RCSA)、關鍵風險指標(KRJ)、業務連續性計劃(BCP)等。這些工具需要結合各單位的特點進行開發和實施，其設計完善主要由操作風險管理部門來負責。同時，風險資本的計量也是不可或缺的內容。目前，我國銀行應當從標準法的要求為工作重點，逐漸建立和完善操作風險管理體系，為未來高級法的實施奠定基礎。為了保障以上工作的順利展開。一個覆蓋全行的管理信息系統的支持是必不可少的。值得注意的是，這個系統的實施不可能一蹴而就，需要在前面四項工作過程當中逐漸積累經驗，因為只有基于這些必要的經驗。才能了解和掌握各條線、各分支行在管理流程風險當中的不同需求和側重點，而這些信息是我們之前并不清楚的。

2操作風險管理體系建設的主要內容。依據《巴塞爾新資本協議》、《商業銀行操作風險管理指引》、《商業銀行操作風險監管資本計量指引》和《操作風險管理與監管的穩健做法》的要求。我們對操作風險管理體系的建設內容進行了梳理，確定了以下主要內容：

(1)操作風險管理的組織構架和分工。必須明確各層級部門和員工的職責，主要包括董事會、高級管理層職責；操作風險管理部門的建設及職責：各業務條線和分支機構操作風險管理職責和人員配置；法律合規、審計、信息技術、人力資源、監保部門在操作風險管理中的職責，及對操作風險管理部門的支持等。

(2)操作風險管理政策和程序制定。包括制定銀行整體總體的操作風險偏好，即操作風險的總體容忍度、最關注哪些風險類型和業務領域、這些類型或領域中愿意且可接受的損失程度：事件分類和詳細定義(損失類型的細化)：識別、評估、監測和控制程序；對現有及新推出的產品業務進行操作風險評估的要求：資本計算的審批和驗證程序：操作風險報告的規定，即操作風險內部報告路線、頻率、內容(操作風險及控制措施的評估結果、關鍵風險指標、主要操作風險事件、已確認或潛在的重大操作風險損失)。對報告中反映的信息采取措施的規定等。

(3)操作風險管理工具的設計實施。主要包括風險控制自評(RCSA)和關鍵風險指標(KRI)的設計與實施，這是銀行識別、評估、監測操作風險的主要工具和風險信息收集的基礎來源。評估的展開和指標的選擇使用統一的方法進行。風險自我評估可以在選定的產品或流程基礎上展開，并進行相應關鍵風險指標的挑選。由業務條線管理部門自行挑選出自身的關鍵流程和其中的關鍵風險點，評估結果應覆蓋到條線中最重要的風險。在完成自我評估的基礎上，KRI也由部門設計，這些KRI必須能識別、監測上述風險。自我評估應該按照政策的要求定期展開。同時需要制定專人負責關鍵風險指標的監測和維護。評估和監測的結果應定期匯總，并按照規定的報告路徑向操作風險管理部門匯報。

對低頻高損的操作風險，應當制定業務持續性計劃(BCP)并定期進行維護。另外，我國銀行應立即著手推動銀行內各部門和分支機構進行損失數據收集。各部門和分行應系統性地收集、整理、跟蹤和分析操作風險相關數據，包括業務條線的操作風險損失金額和損失頻率。由操作風險管理部門定期根據損失數據進行風險評估，并將評估結果納入操作風險監測和控制。

(4)監管資本計量。由于目前階段大部分國內銀行尚無法達到高級法的要求，按照標準法計算監管資本就成為銀行唯一的選擇。根據新資本協議和《計量指引》，標準法的計量工作主要集中在將本行的收入科目按要求詳細劃分為八個業務類型，無法歸人的作為“其他”處理，并按規定確認“總收入”的內容。在確定所有相關科目的分類后，就可以按標準法算出監管資本。銀行需要制定相應政策對資本計量進行審批和驗證。

(5)操作風險管理信息系統建設。《管理指引》中提出了操作風險管理信息系統的建設要求。該系統的主要作用在于保障管理效率，支持各項管理工具的應用和資本計量的展開。由于能干降低工作量，便于風險信息及時匯總和報告，對于提高業務部門和分支行進行操作風險管理的積極性。這一新系統的實施應當建立在前述工作的基礎上，才能具備穩固的基礎。

三、結論和建議

對操作風險管理體系的探索是一個不斷豐富和完善的過程。但無論從何種角度來說。商業銀行的操作風險管理都應遵循一個基本原則，即在明確內部職責和分工的基礎上，使得操作風險管理形成四道防線：基礎流程和操作環節。主要是分行和一線部門；各業務條線基于業務質量對基礎流程和環節的把關。主要是業務條線管理部門；操作風險管理部門，牽頭全行的操作風險管理工作并進行監督檢查：內審部門。對操作風險管理體系的有效性進行檢查評估。

從長期來看。操作風險管理是一個逐漸深化的過程，短期內其成效難以顯現。這里既需要進行大量的宣傳培訓，使全行員工樹立操作風險管理責任的觀念，也需要不斷探索一套與本行的組織架構和風險文化相適應的體系和方法。在起步階段，應當從易到難，以點帶面，從了解流程人手，從恰當的試點單位和業務人手，逐漸覆蓋全行的主要單位、流程和風險點，不斷豐富完善操作風險管理的方法和工具。

值得注意的是，政策制定和員工培訓在體系的建設中將起到的重要作用。操作風險管理政策的主要目標是使大家明確應該做什么，了解相應的程序，并清楚各自的責任。而全行員工的培訓則是推廣落實政策的前提和基礎，對于高層傳播關于操作風險的偏好，體現對操作風險管理的要求來說培訓都是必不可少的。這兩樣工作既是操作風險管理職能的重要職責，也是在全行推行操作風險管理工作的保障。