企業集團財務公司操作風險管控研究

楊向東

（供銷集團財務有限公司，北京 100053）

風險就是不確定性，這種不確定性可能觸發風險事件，導致出現與預期不一致的風險結果，進而形成損失。作為為企業集團成員單位提供財務管理服務的非銀行金融機構，企業集團財務公司（以下簡稱財務公司）面臨的風險與銀行業金融機構較為相似，銀行業經歷了較長的發展過程，風險管理框架更為完善、風險管控能力更具優勢，特別是巴塞爾銀行監管委員會（以下簡稱巴塞爾委員會）經過多年對銀行業金融機構的監管和審查，結合市場環境變化和各類風險的影響程度，逐漸規范信用風險（1988年巴塞爾協議Ⅰ）、市場風險（1996年巴塞爾協議Ⅰ修訂）、操作風險（2006年巴塞爾協議Ⅱ）和流動性風險（2010年巴塞爾協議Ⅲ）的管理原則，不僅為銀行業管控風險明確了標準，也為財務公司管控風險提供了重要借鑒。本文結合銀行業操作風險管控的主要做法，以及巴塞爾委員會對操作風險管理的要求，分析財務公司如何更為有效地管理操作風險。

一、操作風險相關概念

1.基本概念

根據原中國銀監會《商業銀行操作風險管理指引》（銀監發〔2007〕42號），操作風險是指由不完善或有問題的內部程序、員工和信息科技系統，以及外部事件所造成損失的風險，包括法律風險，但不包括策略風險和聲譽風險。該定義與巴塞爾委員會對操作風險（Operational Risk）的定義一致。

2.操作風險的兩類事件

操作風險是所有金融產品、活動、流程和系統中固有的風險，在任何部門都有可能發生，但其發生和損失程度不可預測。為了識別操作風險，一般將操作風險分為高頻低損和低頻高損兩類風險事件，高頻低損類主要日常工作容易發生，但發生時造成的損失較小的風險事件，比如交易記錄誤差、資金清算失誤、上報信息錯誤等；低頻高損類主要指極端事件，雖然極少發生，但發生時會造成較大損失的風險事件，如內部人員未經授權動用大額頭寸、長期掩蓋大額損失等。近些年，國內外金融機構均受到低頻高損類風險事件的影響，并導致大額緊急損失。

3.主要評估方法

操作風險評估可分為自上而下和自下而上兩種方法，自上而下方法是由公司層面主導的一項回測方法，結合歷史數據進行簡單的分析判斷，對高頻低損和低頻高損類風險事件也不做區分，比較容易實施；而自下而上方法則需要各業務條線根據自身的實際情況，結合集中收集的數據，通過區分高頻低損和低頻高損風險事件，對操作風險進行的前瞻性分析，再匯總到整個公司層面，結果更為可靠，但對人員、數據的要求更高，實施難度更大。

4.操作風險的計量

為了有效應對操作風險，2006年巴塞爾協議Ⅱ明確了針對銀行業操作風險資本支出（Capital Charge）的計量方法，包括基本指標法（Basic Indicator Approach）、標準法（Standardized Approach）和高級計量法（Advanced Measurement Approach）。

基本指標法不區分銀行的業務類型，以最近三年的營業收入加總（負值可抵扣）與固定系數（15%）的乘積計算操作風險資本。

標準法則將銀行的業務分成8種類型，每個業務類型最近三年的營業收入加總（負值按0計算）與對應系數的乘積計算操作風險資本，其中公司金融、貿易和銷售、結算和支付活動三類業務的系數為18%，商業銀行、代理服務兩類業務的系數為15%，零售銀行、資產管理、零售經紀三類業務的系數為12%。

高級計量法在標準法8類業務的基礎上，又將操作風險細分為客戶、產品和商業活動，內部欺詐，外部欺詐，實物資產受損，執行、交付和流程管理，業務中斷和系統故障，雇傭慣例和工作場所安全等7類，進而形成56種潛在操作風險事件，逐一計算操作風險資本支出。

二、操作風險典型案例分析

結合操作風險的相關概念，以及公開披露的低頻高損類風險事件，對相關操作風險典型案例進行簡要分析。

1.國外操作風險典型案例

1994年10月，美國信孚銀行（Bankers Trust）由于不合理的衍生產品銷售，給客戶造成損失，隨后被客戶提起訴訟，引發市場關注，并造成該行經濟損失1.5億美元。此案例是金融機構在銷售產品時，未明確說明潛在風險，導致客戶因市場的極端事件而出現較大損失，屬于客戶、產品和商業活動相關的操作風險。

1995年2月，巴林銀行（Barings Bank）一名衍生品交易員連續兩年隱瞞交易損失，造成該行經濟損失13億美元，并導致該行破產；1995年9月，日本大和銀行（Daiwa Bank）美國子公司的一名債券交易員隱瞞經濟損失超過11年，造成該行經濟損失11億美元，并導致該行喪失償付能力；1996年6月，住友銀行的一名銅期貨交易員隱瞞交易損失超過3年，此后因偽造簽字和欺詐被判入獄，造成該行經濟損失超過26億美元；2002年2月，愛爾蘭聯合銀行（Allied Irish Banks）美國子公司一名交易員連續三年隱瞞日元兌美元的匯率損失，造成該行經濟損失近7億美元，并導致該行聲譽受損。此類案例中員工為了個人獲得高額收入，掩蓋損失、虛報收益，正是利用了機構內外部審計不嚴格、不到位的缺陷，屬于內部欺詐，執行、交付和流程管理相關的操作風險。

1997年3月，國民西敏寺銀行（Nat West）一名互換交易員通過錯誤定價和高估期權合約，造成該行經濟損失1.26億美元并顯著影響該行聲譽；2008年1月，法國興業銀行（SocGen）一名交易員通過系統缺陷，未經授權動用該行股指期貨頭寸，造成該行經濟損失49億歐元，并導致該行聲譽嚴重受損。此類案例中問題員工利用系統缺陷，屬于客戶、產品和商業活動，內部欺詐，執行、交付和流程管理，業務中斷和系統故障相關的操作風險。

2.國內操作風險典型案例

國內方面比較典型就是光大證券烏龍指事件，2013年8月光大證券策略投資部門自營業務使用獨立的套利系統發生問題，2秒內瞬時重復生成26082筆預期外市價委托訂單，導致上證指數出現大幅拉升，后被法院判罰425萬元。該案例屬于業務中斷和系統故障相關的操作風險。此外，我們在新聞報道中也可以看到銀行內部員工挪用資金、與借款人合謀騙貸、利用銀行職員身份從事欺詐活動等內部欺詐，外部欺詐，執行、交付和流程管理等相關的操作風險。出現這些操作風險問題的實質是缺乏操作風險管控意識，制度制定或者制度執行及檢查不到位。

因此，金融機構越來越重視對操作風險的管理和控制，通過完善的風險控制體系，減少操作風險發生的可能性，并及時、有效應對可能出現的操作風險，降低操作風險事件帶來的影響和損失。

三、銀行業操作風險管理的主要做法

銀行業的網點、人員更多，表內外融產品更為多樣，面臨的操作風險更為復雜、多樣，歷史上也出現過多起操作風險事件，給涉事金融機構造成較大損失。為此，原中國銀監會通過下發《商業銀行操作風險管理指引》加強商業銀行的操作風險管理，推動商業銀行進一步完善公司治理結構，提升風險管理能力。在外部監管壓力和內部發展動力的雙重推動下，銀行業持續優化操作風險管理體系，操作風險的管理水平顯著提升。

1.建立符合要求的公司治理結構

每家銀行的公司治理結構可能存在一定的差異，但基本都將操作風險納入全面風險管理體系，在核心部門設置和主要工作安排上也大同小異，一般包括董事會、高管層、監事會、風險管理委員會、內控與合規委員會、風控部門、稽核審計部門等職能機構。

董事會是操作風險的最高決策機構，負責批準實施全行操作風險管理框架，提出明確的方向性指導意見，批準操作風險管理相關辦法，監督高管層履職。高管層負責組織設計并執行全行操作風險管理框架，制定辦法，明確分工。監事會應監督董事會和高管層操作風險管理的履行情況。風險管理委員會屬于董事會下設機構，負責審核操作風險管理辦法，對實施情況及效果進行監督、評價，定期評估操作風險管理狀況和承受能力。內控與合規委員會，審議操作風險識別、評估、監測、控制、緩釋等具體管理制度和報告制度，對發生重大操作風險事件提出應急處理方案。風控部門是操作風險管理的牽頭部門，負責設計操作風險管理框架，建立操作風險控制標準，對操作風險進行管控和自我評估。稽核審計部門負責對操作風險管控情況定期開展獨立評價。

2.持續提升操作風險管理水平

為構建操作風險管理框架，管控操作風險，銀行一般建立三道防線，即業務部門及支付部門日常管控的第一道防線，獨立的風控部門管控的第二道方案和內部審計部門獨立審核的第三道方案。銀行還會根據實際情況，不斷優化三道防線的職能，充分提升三道風險對操作風險的管理水平，并對操作風險關鍵指標監測體系以及風險事件報告收集機制進行重檢完善，持續改善操作風險管理能力。

3.較為完善的跟蹤檢查、信息披露和信息系統

風控部門和稽核審計部門，都會根據自身職能，定期或不定期針對操作風險相關制度執行、操作風險情況及敞口等情況組織開展檢查、評估，從前端預防和管控操作風險，同時根據監管要求和實際情況充分披露操作管理和風險狀況。

此外，銀行業的信息系統、數據庫較為完備，通過逐級授權和流程管控，利用信息化技術，有效管控人為的操作風險；比較完善的災備系統，也對業務正常運營和業務連續性具有重要的保障作用。

4.有效計量操作風險

根據巴塞爾協議Ⅱ的要求，為了更好地識別和計量操作風險，銀行都會根據自身情況，結合關于操作風險資本計量的三種方法的要求，明確操作風險資本支出計量標準。將操作風險與市場風險的資本支出同樣按照12.5倍的標準計入風險加權資產，并以此計算實際的資本充足率。

四、健全的操作風險管理原則

巴塞爾委員會2003年2月出版《操作風險管理和監督的健全實踐》，首次闡明操作風險管理的原則框架（以下簡稱“原則”），并在2006年發布《資本計量和資本標準的國際融合修訂框架》（即巴塞爾協議II）中予以明確。結合2007年金融危機的教訓，巴塞爾委員會于2011年對原則進行了修訂。同時，巴塞爾委員會也結合銀行對原則的執行情況進行跟進審查，并結合審查發現的問題和外部形勢的變化，對原則進行持續的完善。特別是出現新冠疫情后，巴塞爾委員會認為大流行病、自然災害、破壞性網絡安全事件或技術故障等不可抗因素對銀行業務造成的重大影響正在逐漸增加，巴塞爾委員會2021年再次對原則進行了修訂。

新修訂的原則共包括12項，涵蓋治理體系、風險管理環境、信息和通信技術、業務連續性規劃和信息披露等五個方面，12項原則應納入操作風險管理框架（Operational Risk Management Framework）和整體風險管理框架（Overall Risk Management Framework）。從12項原則的執行主體看，主要分為董事會、高管層和公司內部三個層面，在董事會層面：應建立有效的，由高管層實施的風險管理文化，為專業和負責任的行為制定標準和激勵措施，并確保員工接受適當的風險管理和道德培訓，即可避免發生操作風險事件，也能更好地應對操作風險事件；將操作風險管理框架納入全面風險管理流程；批準并定期審查操作風險管理框架，確保高管層在所有決策層面有效執行操作風險管理框架的政策、流程和系統；批準并定期審查列明愿意承擔的操作風險性質、類型和水平的風險偏好和容忍度報告。在高管層面：應制定職責范圍準確、透明、一致，內容明確、有效、穩健的治理結構；全面識別和評估所有產品、活動、過程和系統中固有的操作風險；確保變更管理流程全面且在相關防線之間占用資源適當并充有效闡明；實施定期監測操作風險狀況及重大風險敞口的流程。在公司層面：應擁有利用政策、流程和系統的環境，適當的內部控制，以及緩釋或轉移風險的策略；根據操作風險管理框架實施健全的信息通訊技術管理計劃；制定與操作風險管理框架掛鉤的業務連續性計劃，以確保持續運營，并在發生嚴重業務中斷時降低損失；公開披露的信息應允許利益相關方評估其操作風險管理方法和風險敞口。

五、財務公司操作風險管控建議

財務公司在加強企業集團資金集中管理、提高資金使用效率、降低資金使用成本和優化集團內部資金結構方面具有積極作用，自1987年國內首家企業集團財務公司成立以來，企業集團設立財務公司的數量大幅提升，在冊財務公司已經超過250家，財務公司整體的運營能力和風險管控水平也隨著行業的發展顯著提升，對操作風險的管理也持續優化，但相較于銀行業操作風險的做法以及健全的操作風險管理原則，財務公司的操作風險管理還存在一定的改善空間，需要充分學習借鑒行業有效做法，不斷提高自身操作風險管理水平。

1.持續完善公司治理結構

完善的公司治理結構是有效操作風險管理框架的基礎，能夠為風險管控制定制度依據，推動財務公司全面的風險管理體制有效實施。一是董事會和高管層應推動建設并實施清晰明確的風險管理文化，實踐中具備強健風險管理文化和商業道德的金融機構，較少發生破壞性的操作風險事件，并且可以有效地處理應對操作風險事件；二是操作風險管理完全融入企業的全面風險管理架構并確保兩者有效銜接、協調一致，為操作風險設定容易理解的風險偏好和容忍度，設置有效可執行的激勵約束機制，讓風險管理意識深入人心；三是部門間明確職責分工，避免業務交叉、沖突，同時部門內人員也應有設置復核、審查機制，降低操作風險出現的可能性。

2.營造操作風險管理環境

營造良好的操作風險管理環境應注重做好三個方面：一是開展操作風險的識別和評估，全面識別與企業操作風險有關的內外部因素，以更好地了解企業風險狀況，制定相應的風險管理策略，分配合理的風險管理資源，這是操作風險管理的基礎特征；二是做好操作風險的監控與報告，對各部門、各產品進行全面、準備、一致的監控，編制正常測試和壓力測試下的監控報告，通過提供內部財務、運營和合規指標，以及與決策相關的外部和環境信息，充分描述操作風險狀況；三是進行操作風險控制與緩釋，制定健全包括風險評估、控制活動、信息通訊以及監控活動的內部控制方案，在內部控制無法充分處理風險的情況，通過保險等手段轉移風險。

3.強化人才以及信息系統建設

人才是財務公司高質量發展的重要資源，信息系統是財務公司高效運營的重要保障，兩者支撐著財務公司的運營，但也是公司內部潛在、重要的操作風險點，需要通過持續的人才和信息系統建設，管控操作風險。一是強化員工崗位技能、操作流程和規章制度培訓，持續提升員工執業水平和風險管理意識，有效規避高頻低損類風險事件的發生；二是注重員工職業道德和安全保密教育，加大專業風險管控人員的培養力度，做好重點崗位輪崗論調、強制性休假，通過自律和他律，從源頭控制低頻高損類風險事件發生的可能性；三是逐步完善信息系統建設，提升業務流程的信息化水平，實現數據的信息化、流程的規范化，降低人工處理和人為干預，減少因人員工作疏忽導致的操作風險，必要時建立災備系統，提高系統的安全性、可靠性。

4.做好制度的建設、執行和檢查

制度是財務公司良好運營和發展的堅實基礎，只要嚴格執行才能充分發揮制度的作用。一是將公司治理結構、企業風險文化、風險管理環境等內部規范化、制度化，制定內部規章制度，確保制度能夠覆蓋所有部門和業務領域；二是組織風控、稽核審計等相關部門對操作風險管理情況進行全面、動態監督和評估，提出優化操作風險管理的建議，及時將相關情況結果上報董事會、高管層，董事會、高管層針對性批準實施更加完備的操作風險管理標準；三是開展必要的壓力測試，分析重大操作風險事件對公司業務和經營的影響程度。

5.逐步做好信息披露工作

參照銀行業的實際，逐步做好操作風險相關的信息披露工作。一是制定正式的信息披露制度，該制度可以包括操作風險信息披露的方法、內部控制要求及相應程序；二是結合公司規模、風險狀況及其復雜程度，及時披露操作風險相關信息，以便相關方有效識別、評估、監控、控制或緩釋操作風險；三是模擬銀行業的做法，嘗試計算操作風險資本支出，并在必要時納入資本充足率計算，以更好地反映財務公司的資本充足率水平。