關于建立商業銀行操作風險數據庫的構思

摘 要：銀行操作風險具有普遍性和廣泛性，目前大多數商業銀行并未對操作風險進行定量分析，并未充分揭示風險節點發生的頻率和損失，更無法與時俱進的對防范新業務操作風險進行指導。因此筆者認為有必要建立操作風險數據庫，通過定量分析的方式指導銀行建立相應的操作風險防范機制。

關鍵詞：商業銀行；操作風險；數據庫

一、建立操作風險數據庫的必要性

巴塞爾銀行監管委員會將信用風險、市場風險和操作風險視為威脅銀行生存與發展的三大主要風險。風險來源方面，信用風險和市場風險具有外生性，主要受交易對手、經濟周期、法律法規、國家政策等因素的影響；而操作風險則具有明顯的內生性，風險通常源自于銀行的日常運營。風險發生節點方面，信用風險和市場風險主要發生在決策環節，決策者的知識與能力對風險事件的發展方向具有重大影響；而操作風險的發生環節更加廣泛，從基層員工到高層決策者、從前臺業務到后臺支持均有可能誘發操作風險。基于可控性、廣泛性、普遍性等特征的考慮，商業銀行和監管部門越來越注重操作風險管理。

目前商業銀行習慣于從事前、事中、事后三個方面出發對操作風險進行控制，但是大多數控制措施屬于風險爆發之后的被動防范措施，頻繁出臺的自查、整改等補救措施導致制度反復交叉，甚至出現制度自相矛盾的情況，導致業務人員無所適從、效率低下。操作風險分析也還停留在定性層面，雖然發現了風險發生的節點，但是未揭示風險節點發生的頻率和損失影響程度，定性分析出臺的控制措施往往難以指導從業人員聚焦關注風險節點，其次受到從業人員的知識水平、業務環境、職業操守等多方面的影響，執行效果并不如人意。此外，定性分析的方式只能對過往發生的操作風險進行糾正，對于新業務卻起不到預先指導的作用，出現“傳統業務操作風險一犯再犯、新業務操作風險花樣百出”的局面。

因此，商業銀行有必要建立操作風險數據庫，通過數據分析精確把控風險發生節點，指導管理層和監管部門完善制度，指引從業人員重點關注易發風險點，從而避免操作風險事件發生，真正實現事前預警、事中控制、事后補救的目的；另外，通過操作風險數據庫實現風險量化分析，建立更加科學的操作風險資本金計算模型，提高銀行抗風險能力的同時提高資本運作效率。

二、建立操作風險數據庫的方法

巴塞爾銀行監管委員會對操作風險的定義已經在如何搜集數據方面進行了描述，建立操作風險數據庫時應收集的信息包括：事件發生、發現及結束時間，事件發生的機構，事件的責任主體，事件發生的業務類別和事件類別，事件金額，事件處理過程，是否損失金額，損失收回金額，是否與市場風險和信用風險相關，事件原因的描述等內容。此信息搜集指引不但關注財務損失，還要求對事件情景進行詳細記錄，有利于后期的數據處理和引用。

筆者認為上述指導偏重于事后信息整理要求，從信息的詳盡程度和反饋及時性來看，若根據業務的操作流程建立詳細的記錄制度，采用審計中常用的“穿行測試”手段，提前發現操作環節存在的風險點，通過操作系統自動提醒操作人員關注風險，發生風險事件后迅速組織再分析、再測試，對信息搜集、查漏補缺以及業務督導方面具有更佳的實踐意義。

操作風險數據有內部數據和外部數據兩種來源，由于各銀行的業務種類、業務流程和風控措施不盡相同，且各家銀行對此類事件一般采取避諱的態度，因此數據庫應以內部數據為主要來源。內部數據的完善與否取決于資料收集過程的一致性與完整性，銀行必須建立與風險資料搜集相關的政策與程序，并且需要作為長期工作任務由專人來負責經辦和管理。一般來說銀行的事后監督、運營檢查和內控合規部門接觸此類事件較為頻繁，可以交由此類部門來履行信息搜集職能，而后期的數據整理和數據庫功能開發則需要由信息科技部門來完成。

外部數據的獲取相對困難，獲取同行業公布的操作風險事件信息后，還需要通過調研、座談等形式深入了解風險事件背后的業務細節，才能梳理出具有價值的信息。由于此類信息對于風險事件銀行來說相對敏感，建議由行業協會或監管機構牽頭搜集此類信息，以形成有利于行業進步的公共信息資源，但是開展工作時應注意保持獨立公正和去行政化，盡量避免干預風險事件銀行的內部管理，尤其忌諱將銀行內部經營管理問題升級為行業監管問題，影響行業內的信息交流。

三、建立操作風險數據庫的原則

建立操作風險數據庫是銀行業務的一項基礎工作，目前各商業銀行尚處于摸索階段，并沒有對此類工作提出具體的指引，筆者認為會計工作的指導性規范對此項工作亦具有指導意義，執行此類工作時應遵循以下幾個方面的原則：

一是“一貫性原則”。建立操作風險數據有賴于長期、詳盡的數據記錄，銀行的應持續重視數據搜集工作，一旦確定數據搜集方式、標準、記錄格式和執行部門，應長期預計支持，保證數據能夠持續、有效的支持數據庫建設。

二是“實質重于形式原則”。操作風險數據不能停留在業務的表現形式上，特別是邊緣事件很難界定是信用風險、市場風險還是操作風險，建立數據庫時應該更注重事件過程的風險節點和原因。以信貸違約為例，表面上屬于信用風險，但是分析貸款審核過程后可能發現資料審核不嚴謹、客戶欺詐、內外勾結等多種類型的誘因，現象背后的實質才是風險管控的關鍵點。

三是“重要性原則”。由于操作風險事件基本都可能帶來財務損失，因此損失金額大小很容易成為判斷重要性的標準，但是風險節點出現的頻率也是判斷重要性的標準，高頻風險節點的出現往往預示存在制度漏洞或者內控失效。

四是“相關性原則”。該原則與外部數據搜集有關，發揮自身的業務特色與優勢是商業銀行立足市場的基礎，其他銀行在同一業務領域發生的操作風險事件尤其值得關注，此類風險事件可能揭示本行未曾預料的潛在風險。

上述四個原則是建立操作風險數據庫必須堅持的原則，商業銀行在建立操作風險數據庫時應當堅持這些原則，從根本上將制度落實，本著一貫性、重要性、實質重于形式、相關性等原則建立起適合商業銀行自己發展的操作風險數據庫，以便更好地識別和防范各類風險。

四、結束語

操作風險事件不僅僅是案例和教訓，對操作風險數據的搜集和整理也是非常重要的風險識別過程，建立操作風險數據庫對于提升風險管控水平、建立科學的操作風險資本金制度具有重大意義。建立操作風險數據庫是一項長期、細致的工作，一方面需要商業銀行建立相應的制度和原則，保證該項工作的持續進行；另一方面也需要行業協會和監管部門發揮統籌作用，提高行業從業者對操作風險管控的認知水平，在行業內形成互幫互學的氛圍。

商業銀行操作風險會牽引到其他各類風險的發生，商業銀行必須深刻認識到該項事項的重大意義，更好地利用起這些風險數據庫，才能更好地識別各類風險的發生，以便預防和控制風險，更好地為商業銀行服務。

參考文獻：

[1]黃綠.《商業銀行操作風險數據庫建立與應用》.暨南大學，2008.

[2]郝曉玲，于秀艷.著作《銀行操作風險傳導與控制》.2014.

[3]COSO.“內部控制——一體化結構”的研究報告.1992.

[4]COSO.《風險管理整體框架》.2003.

[5]巴塞爾.《統一資本計量和資本標準的國際協議：修訂框架》.即“巴塞爾新資本協議”，2004.

作者簡介：

劉卿，昆侖銀行股份有限公司。