操作風險管理邁入新時代
——評《銀行保險機構(gòu)操作風險管理辦法(征求意見稿)》

劉呂科 陳忠陽

與其他風險類別相比，操作風險具有普遍性、內(nèi)生性和易傳染性的特點，國際國內(nèi)諸多陷入經(jīng)營困境的銀行，很多都是操作風險管理不善、缺乏足夠的運營韌性導致的。在巴塞爾協(xié)議框架下，國際監(jiān)管機構(gòu)在對操作風險出臺系列指導性文件的同時，修正了操作風險資本計量標準，提高了操作風險計量與管理的全面性與可靠性。

對于我國商業(yè)銀行尤其是中小銀行來說，操作風險管理水平和能力在很大程度上能夠體現(xiàn)銀行整體的風險管理能力和水平。2023年7月28日，國家金融監(jiān)督管理總局公布了《銀行保險機構(gòu)操作風險管理辦法（征求意見稿）》（以下簡稱《征求意見稿》），并向社會公開征求意見。《征求意見稿》分為6章50條，體系化地明確了操作風險管理的治理架構(gòu)、管理流程、監(jiān)督管理，是未來商業(yè)銀行做好操作風險管理的指引與綱領(lǐng)性文件?？梢灶A期，辦法正式發(fā)布后，我國商業(yè)銀行操作風險管理將更加規(guī)范和完善，我國銀行業(yè)整體運營韌性將會進一步提高。

本文結(jié)合國際監(jiān)管改革系列文件及我國銀行業(yè)現(xiàn)實情況，系統(tǒng)分析《征求意見稿》的內(nèi)容及影響，以期為商業(yè)銀行操作風險管理提供參考和借鑒。

國際監(jiān)管改革進展

操作風險管理由于其內(nèi)生性、普遍性和復雜性，相伴業(yè)務(wù)產(chǎn)生并且伴隨著業(yè)務(wù)衍變不斷衍生出新的形態(tài)和形式。國際監(jiān)管機構(gòu)從良好標準實踐、增強運營韌性、改革資本計量方法等多個方面建立并持續(xù)修訂操作風險監(jiān)管標準，為國際銀行業(yè)操作風險監(jiān)管提供了指引和方向。

確立并持續(xù)修訂操作風險管理良好實踐基本原則

巴塞爾委員會于2 0 0 3 年首次發(fā)布了《操作風險管理良好實踐的基本原則》（Principles for the Sound Management of Operational Risk ）（以下簡稱《基本原則》），并針對上輪金融危機中暴露出的操作風險管理的主要缺陷，于2011年對其進行了修訂。為了進一步評估全球操作風險管理對《基本原則》的實施程度，識別主要差距并找出原《基本原則》未能覆蓋的重要風險因素，2014年巴塞爾委員會對《基本原則》進行了重檢。

2014年的重檢發(fā)現(xiàn)了一些基本原則并沒有被充分實施，需要修訂以適應(yīng)新形勢下的操作風險管理需求。巴塞爾委員會認為2011年版《基本原則》對以下問題覆蓋不足：一是風險識別與評估工具，包括操作風險控制與自我評估（Risk and Control Self-Assessment，RCSA)、重要風險指標、外部損失數(shù)據(jù)、業(yè)務(wù)流程映射、多元比較分析和對行動計劃的監(jiān)測等；二是變更管理及其有效監(jiān)測；三是對三道風險防線的實施，尤其在任務(wù)分配與職責分工方面；四是董事會及高管層的監(jiān)督管理；五是操作風險偏好和容忍度陳述書的清晰闡釋；六是風險信息披露。

同時，巴塞爾委員會認為2011年版《基本原則》未能很好地捕捉到特定的新型操作風險因素，尤其是信息與通信技術(shù)(Information and Communication Technology，ICT)風險，且2011年版不能較好地體現(xiàn)和銜接2017年版巴塞爾協(xié)議關(guān)于操作風險資本計量方法的改革。基于此，巴塞爾委員會于2021年發(fā)布了修訂后的《基本原則》。

修訂后的《基本原則》包括12條基本原則，系統(tǒng)論述了操作風險管理良好實踐標準的治理架構(gòu)與職責分工；提出了良好操作風險管理環(huán)境的具體標準，具體包括識別與評估、監(jiān)測與報告、控制與緩釋；同時，對信息與通信技術(shù)、業(yè)務(wù)連續(xù)性管理、信息披露、監(jiān)督檢查進行了明確要求。

《基本原則》是操作風險管理和監(jiān)管的綱領(lǐng)性文件，各個國家在制定操作風險管理框架時均在很大程度上借鑒并吸收了《基本原則》的精神和要求。

增強銀行業(yè)的運營韌性

認識到銀行能從全球性流行疾病、自然災(zāi)害、網(wǎng)絡(luò)或系統(tǒng)安全事件中迅速恢復或保持持續(xù)經(jīng)營非常重要，巴塞爾委員會于2 0 2 1 年發(fā)布了《運營韌性原則》（Principles for Operational Resilience），重點聚焦治理、操作風險管理、業(yè)務(wù)連續(xù)性計劃及測試、內(nèi)部關(guān)聯(lián)與外部依賴的捕捉、第三方獨立性管理、事件管理、網(wǎng)絡(luò)與信息技術(shù)安全。

運營韌性和操作風險管理框架是互不沖突且相互促進的兩個管理框架，增強運營韌性有利于完善操作風險管理基礎(chǔ)，同時完備的操作風險管理也會顯著提高運營韌性。

改革操作風險資本計量方法

金融危機暴露出操作風險資本計量的諸多缺陷，包括高級計量方法過于復雜，結(jié)果不透明、不可比；標準方法僅僅和業(yè)務(wù)規(guī)模掛鉤，但很多情況下越大規(guī)模的銀行操作風險管理水平越高，不能僅僅因為規(guī)模過大而計提較高的操作風險資本。巴塞爾委員會于2017年12月頒布了《巴塞爾協(xié)議Ⅲ：金融危機后改革的最終方案》（Basel Ⅲ: Finalising Post-crisis Reforms），明確取消了資本高級計量方法，只保留了標準化方法，并在標準化方法中引入了內(nèi)部損失乘數(shù)，提高了操作風險資本計量的風險敏感性。

《征求意見稿》的主要內(nèi)容及影響

作為巴塞爾銀行監(jiān)管委員會成員國之一，我國監(jiān)管部門也積極推動國際監(jiān)管標準在我國的落地實施。操作風險監(jiān)管也是我國銀行業(yè)監(jiān)管環(huán)節(jié)中的重要一環(huán)，原銀監(jiān)會、原保監(jiān)會分別于2007年、2008年頒布了《商業(yè)銀行操作風險管理指引》《保險公司償付能力監(jiān)管規(guī)則》，對銀行保險機構(gòu)的操作風險進行了規(guī)定和要求。

本次發(fā)布的《征求意見稿》是國家金融監(jiān)督管理總局掛牌后，首次對銀行保險機構(gòu)操作風險監(jiān)管規(guī)則進行整合，吸收國際監(jiān)管改革經(jīng)驗，并根據(jù)操作風險防控新形勢制定的整合性監(jiān)管規(guī)則。與原《商業(yè)銀行操作風險管理指引》相比，《征求意見稿》具有以下特點。

完善了操作風險偏好與操作風險管理流程?！墩髑笠庖姼濉访鞔_提出銀行保險機構(gòu)要制定好、傳導好、監(jiān)測好操作風險偏好，并結(jié)合我國國情和國際監(jiān)管標準，對業(yè)務(wù)連續(xù)性管理、變更管理和壓力測試提出了監(jiān)管要求，進一步完善了操作風險全流程管理。

突出“三道防線”的劃分及各自職能。盡管“三道防線”的理念在銀行業(yè)、保險業(yè)已經(jīng)根植于心，但部分機構(gòu)的部分業(yè)務(wù)環(huán)節(jié)中，還存在第一、二道防線界定不清晰的情形，對“三道防線”角色和責任的混淆很大程度上會降低操作風險管理的有效性?！墩髑笠庖姼濉愤M一步明確了“三道防線”各自的角色和職責，厘清了操作風險管理不同角色的職責邊界。

重視網(wǎng)絡(luò)與信息技術(shù)等新型操作風險管理。《征求意見稿》第五條規(guī)定了要統(tǒng)籌協(xié)調(diào)業(yè)務(wù)連續(xù)性、外包風險管理、網(wǎng)絡(luò)安全、數(shù)據(jù)安全管理和突發(fā)事件應(yīng)對等機制，第二十九條明確要求銀行保險機構(gòu)“應(yīng)當制定數(shù)據(jù)安全管理制度，對數(shù)據(jù)進行分類分級管理，采取保護措施，保護數(shù)據(jù)免遭篡改、破壞、泄露、丟失或者被非法獲取、非法利用，重點加強個人信息保護，規(guī)范數(shù)據(jù)處理活動，促進依法合理利用數(shù)據(jù)”。《征求意見稿》將網(wǎng)絡(luò)安全管理與數(shù)據(jù)安全管理作為銀行保險機構(gòu)操作風險管理的重要內(nèi)容之一，該要求將和《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》一起，進一步規(guī)范銀行保險機構(gòu)信息傳遞、使用與保護全流程安全管理。

更加強調(diào)“運營韌性”?！墩髑笠庖姼濉访鞔_規(guī)模較大的銀行保險機構(gòu)應(yīng)當“基于良好的治理架構(gòu)，加強操作風險管理，統(tǒng)籌協(xié)調(diào)業(yè)務(wù)連續(xù)性、外包風險管理、網(wǎng)絡(luò)安全、數(shù)據(jù)安全管理和突發(fā)事件應(yīng)對等機制，結(jié)合恢復與處置計劃工作，提升運營韌性，具備在發(fā)生重大風險和外部事件時持續(xù)提供關(guān)鍵業(yè)務(wù)和服務(wù)的能力”，為銀行增強運營韌性提供了方向和指引。

更加注重差異化監(jiān)管。《征求意見稿》在基本原則里強調(diào)操作風險管理“應(yīng)當與機構(gòu)發(fā)展戰(zhàn)略、經(jīng)營規(guī)模、復雜性和風險狀況相適應(yīng)”，并在具體管理要求上，充分考慮不同規(guī)模銀行的實施能力，差異化地設(shè)定監(jiān)管規(guī)則。對于規(guī)模較大的機構(gòu)，即并表調(diào)整后表內(nèi)外資產(chǎn)（杠桿率分母）達到3000億元人民幣（含等值外幣）及以上的銀行機構(gòu)，以及按照并表口徑（境內(nèi)外）表內(nèi)總資產(chǎn)達到2000億元人民幣（含等值外幣）及以上的保險機構(gòu)，提出較為嚴格的監(jiān)管標準，如該類機構(gòu)應(yīng)當至少每三年一次委托第三方機構(gòu)對其操作風險管理情況進行審計和評價；對規(guī)模較小的機構(gòu)則適當放寬監(jiān)管標準，如規(guī)模較小的銀行保險機構(gòu)可不設(shè)立《征求意見稿》規(guī)定的操作風險管理專崗，并且對規(guī)模較小的銀行保險機構(gòu)執(zhí)行操作風險治理架構(gòu)和風險管理基本要求的相關(guān)規(guī)定有兩年過渡期。

主要意見及建議

繼《商業(yè)銀行資本管理辦法（征求意見稿）》（2023年2月18日發(fā)布）對操作風險資本計量標準進行明確后，《征求意見稿》進一步明確了操作風險管理體系框架及標準，補齊了我國銀行業(yè)操作風險管理中最基礎(chǔ)也最重要的一環(huán)，在一定程度上標志著我國商業(yè)銀行操作風險管理邁入新時代。

但無論對于監(jiān)管部門還是銀行保險機構(gòu)，新形勢下的操作風險監(jiān)管和管理都有較高的難度和復雜程度，需要在借鑒國際良好實踐的同時，結(jié)合我國國情完善并細化監(jiān)管標準，并監(jiān)測好、執(zhí)行好、運用好監(jiān)管標準，增強我國銀行業(yè)的運營韌性和抵御風險能力，牢牢守住不發(fā)生系統(tǒng)性風險的底線。

對于監(jiān)管部門來說，要繼續(xù)完善操作風險管理政策標準，確保監(jiān)管標準既充分吸收國際監(jiān)管的良好標準，體現(xiàn)操作風險監(jiān)管與實踐發(fā)展趨勢，又符合中國特色實踐，滿足新形勢下管控風險的現(xiàn)實需要。一是要統(tǒng)籌好操作風險管理標準與案件管理、合規(guī)管理的關(guān)系，以全局思維、系統(tǒng)化思維做好操作風險監(jiān)管標準體系建設(shè)；二是要銜接好操作風險管理體系內(nèi)資本計量、壓力測試、三大操作風險管理工具、業(yè)務(wù)連續(xù)性管理等各個環(huán)節(jié)，確保監(jiān)管標準在考慮全面的同時實現(xiàn)銜接得“嚴絲合縫”；三是要細化好操作風險管理重點環(huán)節(jié)的具體標準，如《征求意見稿》雖提出了增強運營韌性要求以及數(shù)據(jù)安全管理要求，但對具體標準沒有清晰界定，建議細化要求，給銀行保險機構(gòu)予以更明確的指引。

對于銀行保險機構(gòu)來說，應(yīng)積極分析影響，主動做好實施新規(guī)的準備，以實施新監(jiān)管標準為契機，進一步夯實自身操作風險管理的基礎(chǔ)。在此過程中，銀行保險機構(gòu)一是要統(tǒng)籌考慮，對操作風險管理新規(guī)、巴Ⅲ資本計量標準、操作風險三大工具、外包及連續(xù)性管理等進行體系化考慮，在確保機構(gòu)內(nèi)部各環(huán)節(jié)充分銜接的同時，避免重復建設(shè)，增強各管理環(huán)節(jié)的內(nèi)在一致性；二是要構(gòu)建數(shù)字化工具，通過操作風險管理智能工具體系建設(shè)，做好損失數(shù)據(jù)收集、管理與應(yīng)用，提高管理的準確性與效率，并管理好相伴而來的操作風險；三是要用好操作風險管理的實施成果，不能將其僅用來滿足監(jiān)管要求，也要深入廣泛地應(yīng)用于業(yè)務(wù)流程中，不僅將操作風險管理作為風險經(jīng)營中的“防波堤”，也要將其作為“監(jiān)視儀”和“放大鏡”，及時發(fā)現(xiàn)業(yè)務(wù)經(jīng)營中的薄弱環(huán)節(jié)，扎緊扎實全面風險管理的“籬笆”。