简述如何筑牢操作风险管控“堤坝”吴阁丽

简述如何筑牢操作风险管控“堤坝” 吴阁丽
发布时间：2023-07-03T09:03:13.101Z 来源：《中国经济评论》2023年8期作者：吴阁丽
[导读]
中山农村商业银行股份有限公司广东省中山市 528400
据公开数据显示，2022年，银保监会、人民银行、外汇管理局等监管机构向银行业金融机构及从业人员发布行政罚单共5,555张，合计罚没金额约19.3亿元，罚单数量连续四年呈上升趋势。

处罚原因涉及银行业各个具体和细项的业务，体现监管部门增强了监管规模和执法力度，细化了银行业乱象整治工作的重点。

监管部门之所以越来越关注操作风险管理，是因为与其他风险相比较，操作风险分布于银行业各个业务管理环节，贯穿于整个经营管理活动。

因此，商业银行兹需针对操作风险管理梳理现状与识别不足，规划优化升级的方向，并推进与落实具体措施，筑牢风险管控的“堤坝”。

一、操作风险的定义和特点
根据1监管规定，操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。

其包括法律风险，但不包括策略风险和声誉风险。

与其他类型风险相比，操作风险具有以下三大显著特征：一是发生领域极其分散。

操作风险遍布于商业银行内部所有业务环节，渗透于所有部门、岗位、人员和产品中，主要来源于日常运营，较难度量及管理。

二是覆盖面广。

即包括高频低损的日常业务流程处理上的小差错，也包括低频次但一旦发生就会造成重大损失的自然灾害和内外部欺诈等，其中，对于大额的、突发的“黑天鹅事件”难以防范。

三是容易衍生其他风险。

操作风险事件引起的舆情如处理不当，可能会对商业银行声誉产生负面影响，甚至会放大信用风险和市场风险。

二、操作风险监管的演进与趋势
巴塞尔银行监管委员会于2003年2月发布了《操作风险管理和监管稳健做法》，对商业银行操作风险监管提出了10条原则。

随后在2004年6月公布的《新资本协议》框架中提出，将操作风险与信用风险和市场风险并列为银行业金融机构面临的三大主要风险,并纳入到最低资本监管要求。

我国商业银行是从上世纪90年代中后期才开始真正关注操作风险管理。

2002年5月，中国人民银行发布《商业银行信息披露暂行办法》，要求商业银行须向社会公众披露操作风险状况。

2005年3月，银监会发布《关于加强防范操作风险工作力度的通知》，提出操作风险概念和13条管理要求，为商业银行提高操作风险的管理水平提供了有效的指导。

2007年5月，银监会颁布《商业银行操作风险管理指引》，指出将操作风险作为商业银行风险管理体系中的一个重要方面，并提出了更全面的监管指引。

2022年8月，银保监会发布《银行保险机构操作风险管理办法（征求意见稿）》，明确操作风险管理是全面风险管理体系的重要组成部分，更加细化了操作风险识别、评估、缓释、整改、治理、审计等方面内容。

2023年2月，银保监会发布《商业银行资本管理办法（征求意见稿）》，其大幅调整了操作风险资本计量的要求，形成了基于不同收入规模的差异化机构监管要求，并通过在新标准法中引入内部损失乘数(ILM)，使得历史操作风险的损失数据可以直接影响当前资本计量的结果，进一步强化了银行资本稳健性和运营稳健性之间的平衡。

这意味着监管部门也在酝酿从操作风险监管制度上进行全面升级，金融监管将在未来几年保持着从严、从紧的基调和原则。

图1.我国操作风险监管脉络图
三、商业银行操作风险管理的现状与痛点
近几年，商业银行操作风险管理水平有了较大的提升，具体表现为：建立了操作风险管理基本架构，涵盖“分支机构、业务部门，操作风险主管部门，审计部门”的三道防线；按照建设现代商业银行要求建设和完善操作风险管理体系，强化制度管理的刚性和有效性；定期开展内控评价工作，以动态评价风险的抵御能力等。

然而，我们也要清楚地看到，新金融科技被广泛应用和创新速度正在逐步增强，商业银行操作风险管理难度依然较为艰巨。

（一）从业人员风险防范意识仍需加强
据公开数据显示，2022年，银保监会对国内银行业机构罚单数量为5205张、处罚机构累计为2479家、从业人员处罚累计3849人次，上述3项指标均连续三年增长；处罚要点频次TOP5的有：贷款三查不尽职、违规发放贷款、贷后管理不到位、贷款管理不到位、信贷资金流入房市，处罚频次均高于300次，上述处罚要点均为监管处罚的老黄历。

有章不循、违章操作是所有监管罚单中的共同点，其折射问题的根源是银行从业人员操作风险管理意识淡薄，用信任代替原则，用习惯代替制度，业务处理走捷径，因而导致违规操作行为屡查屡犯、屡禁不止。

表1.22020年至2022年度银保监会发布罚单情况环比统计表
图2.32022年银保监处罚要点频次排行图（单位：次）
（二）风险管理方式有待优化
目前，商业银行操作风险管理偏重于事后管理，缺少有效的事前防范和事中控制，对易发生操作风险的重要业务领域更是缺乏有效的防范措施。

当发生操作风险事件后，商业银行通常的处理方式主要是突击检查、查找漏洞、整改问责。

最终的整改结果就是加强防范，而所谓的防范措施就是修订或新增相关的管理制度或操作流程，这种有一项查一项的事后处理方式属于亡羊补牢、治标不治本，无法从根源上解决操作风险管理隐患。

（三）量化分析工作缺乏数据支撑
当前，商业银行搭建的操作风险数据管理相关信息系统，其技术上大多数停留在以展现为主，缺乏基于风险信息和数据的分析、总结、归因和决策支持等分析功能，未充分考虑有效的管理闭环抓手，造成存量操作风险问题难以及时有效得到根源性整改。

例如，根据巴塞尔新资本协议要求,用于计算监管资本的内部操作风险计量法,必须建立在对内部损失数据至少5年的观察基础上。

但大多数商业银行是近几年才建立损失事件库,其损失和风险方面的历史数据积累缺乏。

以本行为例，本行是在省联社2019年上线风险预警系统三合一模块后，才开始尝试通过该系统的损失事件模块进行收集行内的操作风险损失数据，截至当今，行内损失事件库仅有5年不到的历史数据。

（四）信息科技建设有待亟待加强
任何事物都有利弊两面，现代信息化技术的广泛应用既为商业银行提供了便捷安全的办公模式，但同时可能会引发新的操作风险隐患。

例如，在新产品的系统功能设计初期，由于对产品具体操作流程可能存在的风险点考虑不够全面，导致在新产品功能上线运行后，容易出现系统控制不够严密等操作风险；或者，新业务推行后，相应的系统风险监测流程却尚未能够同步完善、具体的操作流程不够详细规范，同样容易造成操作风险事件的发生。

四、优化操作风险管理的建议
（一）坚持“人”是操作风险管理的核心。

4从定义理解，操作性风险主要包括两个方面：一是人员因素引起的操作风险中的操作失误、违法行为、越权行为；二是流程因素引起的操作风险中的流程执行不严格。

与流程、系统和外部事件的风险管理相比较，操作风险管理的核心仍然是对人的管理。

因此，商业银行应将以人为本的管理理念贯穿于操作风险防范全过程。

持续开展案防形势教育，让员工牢固掌据监管红色清单；通过正面引导和反面警示，教会员工算好违规成本账；针对重要岗位关键人员，要丰富监测手段，建立更为严格的异常行为排查机制；对有章不循、违规操作的要严肃处理，促使员工树立筑固“不敢违、不愿违”的思想防线，避免因违规操作而产生风险。

（二）完善内控体系建设。

《商业银行操作风险管理指引》提出，商业银行应当将加强内部控制作为操作风险管理的有效手段。

因此，为进一步完善内部控制体系，商业银行可通过以下途径实现：一是从基础管理的薄弱环节入手，全面梳理关键风险要点并制定详细具体的实施操作手册；对高频次的风险点要制订针对性的防控举措，在业务操作过程中做到及时预警提示、有效防范风险；同时尽量精简优化流程，删减冗杂的业务审核环节，降低风险发生的概率。

二是加强相互监督、抓紧抓实制度执行，督促员工在监管红线内，自紧尺度，
严格执行操作规则，防范出现操作风险。

三是不定期开展现场检查、飞行检查、神秘人暗访，同时，坚持向科技要检查力，加大线上检查的广度和深度，并及时采取有效的应对策略，将操作风险隐患苗头扼早扼小。

（三）深化风险管理工具的综合运用。

当前，商业银行操作风险管理工具主要有操作风险损失事件收集（LDC）、关键风险指标（KRI）、操作风险与控制自我评估（RCSA）。

其中，RCSA管理工具主要是通过对业务流程和管理活动中存在的操作风险状况与控制活动效果进行评估，在风险发生前进行自我诊断与完善控制措施。

KRI管理工具主要是通过对关键风险数据的收集与监控，反映风险变化情况完成预警信息监控，并及时对可能的风险制定应对措施。

LDC管理工具主要用于收集已经发生的内部或外部损失事件，在风险发生后对风险信息进行详细记录，为风险评估和指标制定提供依据。

5图3.操作风险三大工具关系图
商业银行应站在全面整合的角度，统筹管理工具建设，加强RCSA与LDC、KRI三大管理工具的相互校验管理。

第一，RCSA结果发现本机构内部的高风险领域或流程，可作为KRI监控重点；KRI监测结果亦可作为RCSA结果的校验标准。

如，当流程相关关键风险指标结果长期落在红色区域，商业银行可带动业务条线管理部门开展针对性的专项风险排查，通过排查结果对该流程设置的适用性及合理性进行评估验证。

第二，RCSA结果指出流程中存在的缺陷，可作为LDC的重要参考，而LDC结果亦可作为RCSA结果的检验标准。

如，在开展内控流程检视时，通过监测LDC涉及的相关业务条线风险聚焦点，以此验证相对流程设置的科学性、时效性。

第三，将KRI的监测结果作为反映风险变化情况的早期预警指标，通过对风险的早期预警，及时采取应对措施，避免重大操作风险损失事件的发生。

（四）加快数字化转型。

近年来，中国人民银行等监管部门先后制定出台《金融科技发展规划（2022-2025年）》《关于银行业保险业数字化转型指导意见》《关于开展深化金融科技应用推进金融数字化转型工程的通知》等政策措施，对银行业数字化转型予以引导和支持。

《银行保险机构操作风险管理办法（征求意见稿）》亦提出，银行业金融机构应当有效应用大数据、人工智能等新技术管理操作风险，提升风险管理的智能化水平，构建科学前瞻、精准高效的操作风险防控体系。

因此，商业银行数字化转型应是在充分应用大数据技术的基础上，升级优化操作风险管理体系，促进质效提升。

第一，要做好系统大数据应用的数据源头治理，加快内外部大数据在产品、业务、流程的整合应用，对内部数据进行精确治理，增强操作风险量化分析能力。

第二，以实际业务场景为切入点，聚焦高风险领域，通过引入风险画像、机器学习等智能风控模型，提高风险研判的全面性、高效化，以便及时化解操作风险。

第三，在数字化转型中，商业银行应不可忽视欺诈风险、数据风险、模型算法风险等相关风险。

五、结语
在商业银行竞争愈来愈烈的现在，良好的风险治理基础、主动管理思维的转变、管控有效性的提升、数字化转型的探索，是形成一套有效的操作风险管理体系不可缺少的要素。

因此，商业银行应在符合监管要求的基础上，不断提升操作风险管理的精细化、智能化水平，推动经营管理可持续高质量发展。

注
1来源：银保监《商业银行操作风险管理指引》
2数据来源：融新致远微信公众号发布《2022年银保监会年度处罚分析（银行业）》
3数据来源：融新致远微信公众号发布《2022年银保监会年度处罚分析（银行业）》
4来源：鲁静，梅春萍，宋磊《风险管理--金融机构永恒的话题》〔期刊〕中国农村信用合作2006-4-30
5来源：恒生电子服务中心微信公众号发布的《专家解读∣操作风险三大工具》。