操作風險管理邁入新時代
——評《銀行保險機構操作風險管理辦法(征求意見稿)》

劉呂科 陳忠陽

與其他風險類別相比，操作風險具有普遍性、內生性和易傳染性的特點，國際國內諸多陷入經營困境的銀行，很多都是操作風險管理不善、缺乏足夠的運營韌性導致的。在巴塞爾協議框架下，國際監管機構在對操作風險出臺系列指導性文件的同時，修正了操作風險資本計量標準，提高了操作風險計量與管理的全面性與可靠性。

對于我國商業銀行尤其是中小銀行來說，操作風險管理水平和能力在很大程度上能夠體現銀行整體的風險管理能力和水平。2023年7月28日，國家金融監督管理總局公布了《銀行保險機構操作風險管理辦法（征求意見稿）》（以下簡稱《征求意見稿》），并向社會公開征求意見。《征求意見稿》分為6章50條，體系化地明確了操作風險管理的治理架構、管理流程、監督管理，是未來商業銀行做好操作風險管理的指引與綱領性文件。可以預期，辦法正式發布后，我國商業銀行操作風險管理將更加規范和完善，我國銀行業整體運營韌性將會進一步提高。

本文結合國際監管改革系列文件及我國銀行業現實情況，系統分析《征求意見稿》的內容及影響，以期為商業銀行操作風險管理提供參考和借鑒。

國際監管改革進展

操作風險管理由于其內生性、普遍性和復雜性，相伴業務產生并且伴隨著業務衍變不斷衍生出新的形態和形式。國際監管機構從良好標準實踐、增強運營韌性、改革資本計量方法等多個方面建立并持續修訂操作風險監管標準，為國際銀行業操作風險監管提供了指引和方向。

確立并持續修訂操作風險管理良好實踐基本原則

巴塞爾委員會于2 0 0 3 年首次發布了《操作風險管理良好實踐的基本原則》（Principles for the Sound Management of Operational Risk ）（以下簡稱《基本原則》），并針對上輪金融危機中暴露出的操作風險管理的主要缺陷，于2011年對其進行了修訂。為了進一步評估全球操作風險管理對《基本原則》的實施程度，識別主要差距并找出原《基本原則》未能覆蓋的重要風險因素，2014年巴塞爾委員會對《基本原則》進行了重檢。

2014年的重檢發現了一些基本原則并沒有被充分實施，需要修訂以適應新形勢下的操作風險管理需求。巴塞爾委員會認為2011年版《基本原則》對以下問題覆蓋不足：一是風險識別與評估工具，包括操作風險控制與自我評估（Risk and Control Self-Assessment，RCSA)、重要風險指標、外部損失數據、業務流程映射、多元比較分析和對行動計劃的監測等；二是變更管理及其有效監測；三是對三道風險防線的實施，尤其在任務分配與職責分工方面；四是董事會及高管層的監督管理；五是操作風險偏好和容忍度陳述書的清晰闡釋；六是風險信息披露。

同時，巴塞爾委員會認為2011年版《基本原則》未能很好地捕捉到特定的新型操作風險因素，尤其是信息與通信技術(Information and Communication Technology，ICT)風險，且2011年版不能較好地體現和銜接2017年版巴塞爾協議關于操作風險資本計量方法的改革。基于此，巴塞爾委員會于2021年發布了修訂后的《基本原則》。

修訂后的《基本原則》包括12條基本原則，系統論述了操作風險管理良好實踐標準的治理架構與職責分工；提出了良好操作風險管理環境的具體標準，具體包括識別與評估、監測與報告、控制與緩釋；同時，對信息與通信技術、業務連續性管理、信息披露、監督檢查進行了明確要求。

《基本原則》是操作風險管理和監管的綱領性文件，各個國家在制定操作風險管理框架時均在很大程度上借鑒并吸收了《基本原則》的精神和要求。

增強銀行業的運營韌性

認識到銀行能從全球性流行疾病、自然災害、網絡或系統安全事件中迅速恢復或保持持續經營非常重要，巴塞爾委員會于2 0 2 1 年發布了《運營韌性原則》（Principles for Operational Resilience），重點聚焦治理、操作風險管理、業務連續性計劃及測試、內部關聯與外部依賴的捕捉、第三方獨立性管理、事件管理、網絡與信息技術安全。

運營韌性和操作風險管理框架是互不沖突且相互促進的兩個管理框架，增強運營韌性有利于完善操作風險管理基礎，同時完備的操作風險管理也會顯著提高運營韌性。

改革操作風險資本計量方法

金融危機暴露出操作風險資本計量的諸多缺陷，包括高級計量方法過于復雜，結果不透明、不可比；標準方法僅僅和業務規模掛鉤，但很多情況下越大規模的銀行操作風險管理水平越高，不能僅僅因為規模過大而計提較高的操作風險資本。巴塞爾委員會于2017年12月頒布了《巴塞爾協議Ⅲ：金融危機后改革的最終方案》（Basel Ⅲ: Finalising Post-crisis Reforms），明確取消了資本高級計量方法，只保留了標準化方法，并在標準化方法中引入了內部損失乘數，提高了操作風險資本計量的風險敏感性。

《征求意見稿》的主要內容及影響

作為巴塞爾銀行監管委員會成員國之一，我國監管部門也積極推動國際監管標準在我國的落地實施。操作風險監管也是我國銀行業監管環節中的重要一環，原銀監會、原保監會分別于2007年、2008年頒布了《商業銀行操作風險管理指引》《保險公司償付能力監管規則》，對銀行保險機構的操作風險進行了規定和要求。

本次發布的《征求意見稿》是國家金融監督管理總局掛牌后，首次對銀行保險機構操作風險監管規則進行整合，吸收國際監管改革經驗，并根據操作風險防控新形勢制定的整合性監管規則。與原《商業銀行操作風險管理指引》相比，《征求意見稿》具有以下特點。

完善了操作風險偏好與操作風險管理流程。《征求意見稿》明確提出銀行保險機構要制定好、傳導好、監測好操作風險偏好，并結合我國國情和國際監管標準，對業務連續性管理、變更管理和壓力測試提出了監管要求，進一步完善了操作風險全流程管理。

突出“三道防線”的劃分及各自職能。盡管“三道防線”的理念在銀行業、保險業已經根植于心，但部分機構的部分業務環節中，還存在第一、二道防線界定不清晰的情形，對“三道防線”角色和責任的混淆很大程度上會降低操作風險管理的有效性。《征求意見稿》進一步明確了“三道防線”各自的角色和職責，厘清了操作風險管理不同角色的職責邊界。

重視網絡與信息技術等新型操作風險管理。《征求意見稿》第五條規定了要統籌協調業務連續性、外包風險管理、網絡安全、數據安全管理和突發事件應對等機制，第二十九條明確要求銀行保險機構“應當制定數據安全管理制度，對數據進行分類分級管理，采取保護措施，保護數據免遭篡改、破壞、泄露、丟失或者被非法獲取、非法利用，重點加強個人信息保護，規范數據處理活動，促進依法合理利用數據”。《征求意見稿》將網絡安全管理與數據安全管理作為銀行保險機構操作風險管理的重要內容之一，該要求將和《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》一起，進一步規范銀行保險機構信息傳遞、使用與保護全流程安全管理。

更加強調“運營韌性”。《征求意見稿》明確規模較大的銀行保險機構應當“基于良好的治理架構，加強操作風險管理，統籌協調業務連續性、外包風險管理、網絡安全、數據安全管理和突發事件應對等機制，結合恢復與處置計劃工作，提升運營韌性，具備在發生重大風險和外部事件時持續提供關鍵業務和服務的能力”，為銀行增強運營韌性提供了方向和指引。

更加注重差異化監管。《征求意見稿》在基本原則里強調操作風險管理“應當與機構發展戰略、經營規模、復雜性和風險狀況相適應”，并在具體管理要求上，充分考慮不同規模銀行的實施能力，差異化地設定監管規則。對于規模較大的機構，即并表調整后表內外資產（杠桿率分母）達到3000億元人民幣（含等值外幣）及以上的銀行機構，以及按照并表口徑（境內外）表內總資產達到2000億元人民幣（含等值外幣）及以上的保險機構，提出較為嚴格的監管標準，如該類機構應當至少每三年一次委托第三方機構對其操作風險管理情況進行審計和評價；對規模較小的機構則適當放寬監管標準，如規模較小的銀行保險機構可不設立《征求意見稿》規定的操作風險管理專崗，并且對規模較小的銀行保險機構執行操作風險治理架構和風險管理基本要求的相關規定有兩年過渡期。

主要意見及建議

繼《商業銀行資本管理辦法（征求意見稿）》（2023年2月18日發布）對操作風險資本計量標準進行明確后，《征求意見稿》進一步明確了操作風險管理體系框架及標準，補齊了我國銀行業操作風險管理中最基礎也最重要的一環，在一定程度上標志著我國商業銀行操作風險管理邁入新時代。

但無論對于監管部門還是銀行保險機構，新形勢下的操作風險監管和管理都有較高的難度和復雜程度，需要在借鑒國際良好實踐的同時，結合我國國情完善并細化監管標準，并監測好、執行好、運用好監管標準，增強我國銀行業的運營韌性和抵御風險能力，牢牢守住不發生系統性風險的底線。

對于監管部門來說，要繼續完善操作風險管理政策標準，確保監管標準既充分吸收國際監管的良好標準，體現操作風險監管與實踐發展趨勢，又符合中國特色實踐，滿足新形勢下管控風險的現實需要。一是要統籌好操作風險管理標準與案件管理、合規管理的關系，以全局思維、系統化思維做好操作風險監管標準體系建設；二是要銜接好操作風險管理體系內資本計量、壓力測試、三大操作風險管理工具、業務連續性管理等各個環節，確保監管標準在考慮全面的同時實現銜接得“嚴絲合縫”；三是要細化好操作風險管理重點環節的具體標準，如《征求意見稿》雖提出了增強運營韌性要求以及數據安全管理要求，但對具體標準沒有清晰界定，建議細化要求，給銀行保險機構予以更明確的指引。

對于銀行保險機構來說，應積極分析影響，主動做好實施新規的準備，以實施新監管標準為契機，進一步夯實自身操作風險管理的基礎。在此過程中，銀行保險機構一是要統籌考慮，對操作風險管理新規、巴Ⅲ資本計量標準、操作風險三大工具、外包及連續性管理等進行體系化考慮，在確保機構內部各環節充分銜接的同時，避免重復建設，增強各管理環節的內在一致性；二是要構建數字化工具，通過操作風險管理智能工具體系建設，做好損失數據收集、管理與應用，提高管理的準確性與效率，并管理好相伴而來的操作風險；三是要用好操作風險管理的實施成果，不能將其僅用來滿足監管要求，也要深入廣泛地應用于業務流程中，不僅將操作風險管理作為風險經營中的“防波堤”，也要將其作為“監視儀”和“放大鏡”，及時發現業務經營中的薄弱環節，扎緊扎實全面風險管理的“籬笆”。