探索商業銀行操作風險管理創新思路

【摘要】近年來，銀行業發生的操作風險事件層出不窮，大案、要案時有發生，對銀行造成嚴重損失。如何管好操作風險日益成為商業銀行風險管理的焦點問題，然而行業實務中較多關注的是損失和資本計量，而對于操作風險評級模型的探索尚處較空白狀態。本文嘗試從商業銀行第二道防線的角度出發，提出針對業務層面的操作風險評級框架，探索如何更為主動、創新地防控操作風險。

【關鍵詞】商業銀行 操作風險 操作風險評級

一、操作風險防范的必要性

（一）近年銀行業發生的重大操作風險事件

上世紀90年代至今，銀行業因操作風險管理上的缺陷導致重大損失的案例頻頻發生。國際方面，操作風險巨額損失事件多與衍生品或債券等金融市場交易業務有關，例如英國巴林銀行（1995年①，損失8.27億英鎊）等系列事件（如表1所示，不完全統計），原因主要包括人員職責分配不當（交易、清算、保管等職能未有效分離）、未授權或越權交易、虛假對沖、偽造交易憑證或郵件、操控交易賬戶、未有效隔離自營與代客交易等有關；國內方面，操作風險巨額損失事件更是不勝枚舉，多與騙貸或欺詐有關，甚至有銀行內部人員涉嫌參與，如北京農商行七億騙貸案（2009年）、齊魯銀行百億詐騙案（2010年）、柳州銀行三百億騙貸案（2014年）、農業銀行38億票據窩案（2016年）等。

（二）操作風險管理發展概述

1.國際方面。國外對操作風險管理的研究始于1995年，由DUCANWILSON（1995）等研究開創。1997年，英國銀行家協會最早給出了操作風險的定義，他們認為：操作風險與人為失誤、不完備的程序控制、欺詐和犯罪活動相聯系，它是由技術缺陷和系統崩潰引起的。1998年，巴塞爾銀行監督委員會（以下簡稱巴塞爾協會）公布了《銀行組織內部監控體系框架》、《關于操作風險管理的報告》和《關于銀行透明度的建議》三份報告[1]，為銀行風險管理部門更加有效的識別、測量和監控操作風險提供了理論指導；2003年公布了《操作風險管理和監管文件原則》[2]；2004年公布了《資本計量和資本標準的國際協議：修訂框架》（即新巴塞爾協議），將操作風險納入到資本監管的范疇，要求銀行為操作風險計提資本。

美聯儲分別在2000年、2003年以及2013年發布了十多份提及操作風險的監管文件，對信息技術和外包風險及業務連續性給予了較多關注，如《Guidance on the Risk Management of Outsourced Technology Services》（SR 00-17（SPE），2000年11月30日）、《Interagency Paper on Sound Practices to Strengthen the Resilience of the U.S. Financial System》（SR 03-9，2003年3月28日）、《Guidance on Managing Outsourcing Risk》（SR 13-19CA 13-21，2013年12月5日）、《End of Microsoft Support for Windows XP Operating System》（SR 13-16，2013年10月7日）等。

2.國內方面。國內銀行業對操作風險管理的研究和監管起步稍晚。中國人民銀行于2002年頒布了《商業銀行信息披露暫行辦法》和《商業銀行內部控制指引》，初步提及操作風險管理。其后，中國工商銀行于2004年出臺《操作風險管理框架》，將其作為《中國工商銀行全面風險管理框架》的一部分在全行系統執行，成為我國金融系統第一家正式將操作風險的監督管理納入日程的銀行[3]。2005年，中國銀監會發布《關于加大防范操作風險工作力度的通知》（銀監發[2005]17號），共提出了13條指導性意見，從規章制度和稽核體制建設等方面對銀行的賬戶管理提出要求；于2007年發布《關于印發<商業銀行操作風險管理指引>的通知》（銀監發[2007]42號）。上述文件構成了我行銀行業實施操作風險管理工作的基礎。

從銀監會發布上述指引開始，國內各大銀行先后陸續成立操作風險管理部門（大部分銀行將操作風險管理職能內嵌于內控合規部門或風險管理部門）。雖然操作風險管理至今在我國銀行業僅有十余年發展歷史，但是我國監管部門對操作風險的重視程度持續提高。銀監會2015年年報[4]指出，要充分認識“寬進嚴管”的趨勢，強化守法合規經營；強化合規意識，風險主體意識和責任意識。銀行業協會2015年年報[5]指出，持續規范和強化操作風險管理，著力強化重點領域和關鍵環節的操作風險精細化管理。

（三）第二道防線在風險管理中的作用

根據銀行的風險管理三道防線理論，第一道防線即業務部門有責任和義務識別、分析、管理和監控業務活動結果產生的操作風險；第二道防線為獨立的風險管理部門，負責實施獨立的風險評估和監控，對各條線的風險進行集中分析，并及時向高級管理層和董事會匯報；第三道防線即內部審計，負責評價第一道防線和第二道防線的相關控制活動是否充分和有效，并向監事會或審計委員會等類似職能機構獨立匯報。

第二道防線擁有風險管理的集中優勢，同時位于一個極佳的位置，因而利于對自于各條線的風險信息進行收集和分析，利于加總不同業務條線的風險，識別各種類型風險之間的共同點，以及洞悉值得額外重視的風險暴露或藏匿的風險點，利于向高級管理層和董事會提供整合分析銀行風險的視角。因此，第二道防線有利于提供共同的風險管理手段，指導和監督業務部門，以及促進風險管理的最佳實踐[6]。

然而，第二道防線的作用，需要在一個合理的風險管理策略中才能有效和充分發揮。在操作風險管理領域，目前國內銀行業側重于操作風險管理整體體系的構建、資本計量（用于對預期和非預期損失的抵補）和事后管理等方面，在風險的實時管理和前瞻性管理方面仍未形成較為完善的體系，對操作風險的理論研究、制度規范和實際運用水平等都遠遠低于信用風險和市場風險。以上因素在一定程度上影響了第二道防線作用的充分發揮。

二、操作風險管理在實務中的難度

受限于操作風險損失在實質形成前難以實現精確量化及其他種種因素，操作風險管理在實際推行存在一些客觀上的困難。

（一）總體資源配置不足、處于被動地位

經搜集各主要銀行年報、招聘信息及媒體報道等相關資料發現，目前我國商業銀行總行層面操作風險管理職能部門設置模式可歸納為以下兩類：第一類是，在風險管理部下設立操作風險部或相應的團隊，如工商銀行、中國銀行、建設銀行等。第二類是，國內大多數商業銀行缺乏獨立的操作風險管理部門，總行的操作風險管理統籌職能一般由法律合規部門行使，例如廣發銀行、渤海銀行等。

在實務中，操作風險管理的涵括面較為廣泛，除了包括具體業務條線和后臺支持條線（如IT條線、運營條線等）的操作風險管理，還包括外包管理、業務連續性、經濟資本計量等方面，但操作風險管理的崗位人員配置遠低于信用風險。

在分行端，對口部門一般為法律合規部門，具體從事操作風險管理職能專崗的人員通常僅為1～2人甚至無專崗人員，由其他崗位人員兼職，結果只能完成數據收集、錄入和常規報告等相對基礎的事務，發揮主觀能動性的空間有限，通常難以深入掌握具體業務條線或業務品種的人員、流程、系統和外部事件的操作風險情況。而信用風險管理方面，總、分行的管理架構體系則較為成熟，崗位專業化細分程度較高、職責較為清晰（例如包括但不限于風險協查、業務核保、授信審批、放款審核、預警監測、資產分類等崗位），有利于具體風險管理工作的落實。

由于總、分行操作風險管理崗位人員在具體業務流程中無經辦或處理權限，對業務條線缺乏相應的制約，因而在收集風險信息、進行業務指導和監督方面往往處于較為被動的地位。

（二）第一道防線的配合不充分、部分分支機構的操作風險意識較為淡薄

一方面，第一道防線通常持有“重業務、輕風險”的思維，為保持業務快速發展，往往不愿意主動披露風險；而第二道防線作用的發揮，需要第一道防線的業務管理部門提供制度、數據和業務系統權限等方面的支持。由于各業務管理部門的配合度可能不一致，導致操作風險管理的具體落實存在客觀的困難。

另一方面，商業銀行的分支機構特別是基層行業務條線人員（第一道防線）普遍相對重視信用風險，原因是信用風險的管理人員直接嵌入單筆資產業務流程，能夠對業務的落地和存續產生直接影響，而業務能否成功敘做與業務條線人員的自身業績密切相關，故業務條線人員不得不對其重視；而業務條線人員對于操作風險的認識則較為片面，認為操作風險管理較為無形，或是認為操作風險涉及風險資本計量等“高大上”甚至“不接地氣”的內容，與自身工作距離較遠，或是持有只要不違規就是管好了操作風險等不適當的觀點，從而對操作風險的認識和關注不足。

（三）傳統管理工具存在局限性和滯后性

巴塞爾委員會提出了操作風險管理三大工具：RCSA（風險控制自我評估）、KRI（關鍵風險指標）、LDC（損失數據收集）。上述工具在實踐運用中存在一定的局限性和滯后性。

1.RCSA方面，評估效果取決于被評估對象的主觀判斷和配合程度。例如，RCSA如以派發問卷的模式實施，評估結果很多取決于被評估對象的感性判斷，如風險水平的高低等，具有很大的不確定性。

同時，第一道防線人員對風險披露的自覺性和對時間的分配有限（通常將更多時間和精力投入于業務發展）以及受限于答錯后果的懲罰措施欠缺，也會對問卷結果的有效性產生不利影響。另外，評估結果難以驗證核實。

2.KRI方面，指標的基礎數據來源分為兩種：系統自動收集和手工錄入兩種，其中手工錄入的準確性需要大量人力投入來核實，數據收集頻率從每月、每季、每半年到每年不等，指標數據容易出現滯后；如為系統自動收集，系統之間的銜接有效性和功能變化也可能對數據的收集結果造成影響。

3.LDC方面，在反映操作風險變化方面存在一定的滯后性。例如，某信貸客戶出現重大風險預警信號如抵押物懸空或貸款投向不合規等，當中可能涉及內部人員違規行為，因此很可能涉及操作風險，后期很可能被歸入操作風險損失。但由于該客戶單筆授信未到期或外部機構、銀行內部尚未對事件定性等原因，從而造成該事件在發生時并未被錄入至操作風險事件損失庫，從而未被操作風險管理部門及時關注到。

（四）操作風險難以直觀描述

商業銀行的信用風險，目前通常可以通過風險敞口余額、風險分類狀況、逾期欠息率、預警率、授信策略分類等指標或維度進行描述。而操作風險方面，暫時缺乏一個準確的描述口徑，目前一般通過操作風險損失限額、操作風險加權資產的方式來描述，但這種描述方式具有“預期”、“事后”等特征，不利于董事會和高級管理層較為實時、直觀、準確地掌握操作風險的分布狀況。

鑒于存在上述困難，操作風險的管理方式有必要在原有內涵的基礎上進行擴展，以適應快速變化的新形勢（如“互聯網金融”、“大資管時代”等）、持續增長的業務規模和審慎的監管要求。本文以下以資產業務為例，提出對具體業務的操作風險進行評級的框架性方法，評估某一業務品種的操作風險狀況，嘗試將操作風險評價進行類似債券評級的“標準化”。

三、業務操作風險評級模型

（一）目的

評估某銀行全行層面某一業務品種在考慮現有控制后的操作風險狀況，便于更有針對性地開展操作風險管理工作。

（二）評級組織方式

總行操作風險管理部門負責實施，相關業務管理部門和分行提供配合。

（三）評級標準

1.考慮設置包括制度建設等十七個評級指標（如表1），每個評級指標的分數從優到劣劃分為五檔（1-5分），根據實際情況分別對每個評價標準進行評分。2.分為“總行設計有效性”和“分行執行有效性”兩個維度分別進行評分。3.統計每個指標的得分。根據評分表（表2、表3），分別得出兩個維度的最終的操作風險評級。例如，某業務品種的雙維度操作風險評級結果為（高；高），意味著總行設計層面存在較多需要完善的地方，同時分行執行的有效性較差。4.考慮調整因素。可考慮將其中某些因素列為評價的次要方面，可根據實際情況適當上調1個得分檔次。

（四）評級手段

評級手段包括但不限于人員訪談、業務制度研讀、業務數據分析、流程梳理、系統測試、業務抽樣檢查等。一個很重要的環節是結合非現場監測與現場檢查，對分行存量業務進行抽樣檢測，評價分行執行有效性。可考慮采用分層抽樣的方式，將所有分行分層（例如按照分行規模或系統排名或所處地理區域進行劃分），在此基礎上分別抽取若干筆業務作為樣本。樣本選取建議采用PPS抽樣方法為主，人為判斷篩選為輔（考慮到涉及存單質押等類低風險業務）。

（五）評級思路

考慮到操作風險的特性，任何一個環節的短板都可能成為“最后一根稻草”，導致出現較為嚴重的操作風險事件。因此，考慮以審慎為導向，運用“木桶原理”來設定綜合評級標準（如表3）。

（六）操作風險評級的優點與缺點

操作風險評級有三大優點。第一，它能夠較為直觀地展現出某一資產業務操作風險的整體情況，同時雙維度評分機制有利于區分在設計和執行層面分別存在的主要問題。第二，它促進管理思維的轉變，從被動的事后損失管理轉向較實時的過程管理，利于及時修訂政策，實施差異化管理。第三，在操作風險評級系統中，模型參數是可擴展的，因此可根據實踐需要調整每個細分項目的評分標準或增加需評價的細節方面。

當然，操作風險評級也有三個缺點。其一，操作風險涉及的因素太多，難以全部涵括。其二，具體評級指標的得分評定標準難以精確量化，無法完全消除評級人的主觀因素影響。其三，在模型的實際實施前，需要對具體的損失數據和風險事件進行細致分析，調配人員進行模型測試與驗證，并根據每家銀行的實際情況，對模型參數進行適當調整。

四、操作風險管理建議

建議不局限于運用傳統的三大工具和風險資本計量，而嘗試探索不同的方式或方法，多維度、更為主動地實施操作風險管理。

（一）妥善應用操作風險管理評級結果，實現差異化管理

例如，針對評級發現的總行層面的存在問題，制定相應的改善方案；針對評級發現的分行層面的存在問題，采取限制授權、設定整改計劃、限期整改、定期回檢、考核懲罰與激勵等措施。

（二）合理利用有限資源，實現操作風險管理目標

正如本文所述，商業銀行目前投入操作風險管理的資源相對有限，而操作風險卻點多面廣、無時無處不在，因此，如何整合利用資源開展操作風險管理，對于銀行的全面風險管理工作具有重要意義。例如：一是在流程環節上，重點關注跨業務條線、涉及面廣、具有共性的流程環節的操作風險，如用印管理、額度管理、押品（含保證金）管理、賬戶與對賬管理、檔案管理等，充分開展風險評估和檢查，可以起到以點帶面、事半功倍的作用。二是在業務地域上，重點防范異地和邊遠分支機構、異地業務的操作風險。實踐表明，上述兩種情形，由于人員編制有限、管理半徑較大、信息不對稱等種種原因，通常為操作風險高發領域。

（注：本文僅代表作者的個人觀點）

注釋

①風險事件暴露時間，下同。

參考文獻

[1]陳勇·德州建行操作風險管理研究[D].山東大學碩士學位論文，2013-5-30，第2頁.

[2]李曉濤·浦發銀行操作風險度量的實證分析[D].東北財經大學碩士學位論文，2011-10，第2頁.

[3]李雪·中國工商銀行操作風險實證分析[D].西北農業科技大學碩士研究生論文，2008-5，第3頁.

[4]中國銀行業監督管理委員會2015年報[R].中國銀行業監督管理委員會，2016-8-1，第3頁.

[5]《中國銀行業發展報告2015》內容提要[R].中國銀行業協會，2015-9-1，第4頁.

[6]Joshua Rosenberg·Operational risk management at the Federal Reserve Bank of New York[R].at the 18th Annual OpRisk North America 2016 conference， New York City，2016-3-15，第4頁.

作者簡介：詹捷（1987-），男，廣東湛江人，單位：招商銀行總行風險管理部，中級風險經理，中級經濟師，學歷：中山大學金融學本科。