李金迎 刘 睿

摘要：操作风险管理体系建设既是商业银行管理操作风险的基础，也是我国银行实施新资本协议过程中遇到的重大挑战之一。体系的建设与完善直接关系到操作风险管理的有效性。文章对包括新资本协议在内的监管要求进行了剖析，在明确操作风险管理体系建设目标和构成的基础上，对如何建设该体系提出了具体建议。

关键词：操作风险；管理体系；商业银行

自2007年2月28日中国银行业监督管理委员会《中国银行业实施新巴塞尔资本协议指导意见》发布以来，我国各主要银行实施新资本协议的工作已经陆续全面启动。作为实施新资本协议不可或缺的要求和内容之一，对来源广泛的操作风险进行系统的管理已成为我国银行业必须完成的任务。因此，如何按照巴塞尔协议和银监会的要求，结合我国银行自身的组织构架、企业文化。建立和完善富有实效的操作风险管理体系，已成为我国银行目前阶段亟待解决的一个问题。

实际上，对操作风险管理体系建设问题进行研究，就是要回答商业银行应当如何来管理操作风险的问题。因为操作风险来源广泛，内容复杂。内生于银行的业务流程，涉及到银行的所有的部门单位和业务流程，有效的操作风险管理必然涉及到银行内部的组织构架、政策制度、计量方法、管理工具等多个方面的工作。商业银行应当通过操作风险管理体系的建设。明确由谁来管理操作风险，怎样管理，以及各自的职责如何的问题。商业银行对操作风险进行持续管理的过程，就是操作风险管理体系构建和不断完善的过程。这一过程始终以识别、评估、监测和控制，缓释操作风险为核心，通过经验和数据的积累，逐渐实现系统化、结构化的管理。

由于操作风险的多样性和复杂性，现有的监管文件对操作风险管理体系的描述是远不够清晰的，同时由于缺乏经验。我国银行业对于如何建设和完善操作风险管理体系尚在摸索当中。本文首先对包括新资本协议在内的监管要求进行了剖析。在明确体系建设目标和构成的基础上，对如何建设操作风险管理体系提出了具体建议。

一、监管要求评述

1《巴塞尔新资本协议》。总的来看，新资本协议中对操作风险管理的规定主要集中在第一支柱下，主要包括四个部分，即操作风险定义、监管资本计量方法(基本指标法、标准法、高级法)、各种方法适用的资格标准、局部使用(如几个主要业务条线)高级法的要求。除了基本指标法和标准法的资本计算说明(高级法由银行自行开发、选择，只有应具备何种资格的要求，没有具体形式)外，都是一些关于适格性的原则规定，主要体现在适用不同方法的“资格标准”中。“资格标准”按照基本指标法一标准法一高级法的顺序依次提高。

对于基本指标法的使用，协议没有(强制性的)具体的资格标准，虽然协议“鼓励采用此法的银行遵循《操作风险管理和监管的稳健做法》”，但这不是必须的。这表明商业银行(不论大小和风险管理能力)都能使用基本指标法来计算监管资本。这样做可能考虑到操作风险管理的起步较晚，能力的提升需要有一个循序渐进的过程。

标准法对量化技术的要求较低，但要求银行建立一套完整的操作风险管理体系，包括对组织结构、管理方法等方面的要求，主要体现在第660条～663条中。而高级法的要求除了包括标准法的要求外，还提出了应具备向各条线分配操作风险资本的能力等定性方面的要求，及对内部、外部数据、等定量方面的规定。可以说。高级法除了对数据和量化方法提出了比较高的要求之外，还要求银行具备完善的体系来管理操作风险。如要求银行“必须在全行范围内具备对主要产品线分配操作风险资本的技术”。

从标准法开始，对于操作风险管理的要求主要是围绕着建立一个有效的体系来展开的。这些要求以标准法的适用资格为基础，其基本内容包括：

银行的操作风险管理体系必须对操作风险管理职能的职责进行明确界定；作为银行内部操作风险评估系统的一部分，银行必须系统地跟踪与操作风险相关的数据，包括各产品线发生的巨额损失：必须定期向业务单位管理层、高级管理层和董事会报告操作风险暴露情况，包括重大操作损失；银行的操作风险管理系统必须文件齐备：银行的操作风险管理流程和评估系统必须接受验证和定期独立审查；银行操作风险评估系统(包括内部验证程序)必须接受外部审计师和，或监管当局的定期审查。

总的来看，新资本协议对操作风险管理的要求都较为抽象，虽然指出了方向和原则，但缺乏具体的、可操作性的建议。

2银监会监管指引的要求。中国银监会于2007年5月和2008年9月分别发布了《商业银行操作风险管理指引》(以下简称《管理指引》)和《商业银行操作风险监管资本计量指引》(以下简称《计量指引》)。与新资本协议相比。指引体现出了两个特点：提高要求、相对细化。提高要求体现在《计量指引》中删除了“基本指标法”的规定。这不仅意味着国内银行在计量操作风险监管资本时只能选择标准法或者高级法，这实际上要求国内银行必须在建立操作风险管理体系(至少达到标准法的要求)的基础上才能实施新资本协议。而不能在操作风险管理方面无所作为。相对细化是指《管理指引》中明确了“操作风险管理体系”的概念和要素，并提出了对管理操作风险的方法的要求。如《管理指引》提到了识别、评估操作风险的常用工具——自我风险评估和关键风险指标，指出了应急和业务连续方案的要求等。但指引中提到的这些要求仅仅停留在概念层面。对于银行如何建设管理体系。开发和使用管理工具并未进行说明。显然不具备可操作性。与银监会已经发布的其他监管指引相比，操作风险管方面的指引明显过于空泛。

从监管指引的要求来看。对国内多数银行来说。操作风险管理实施标准法是最现实的选择。但是。即便是按照标准法的要求，建设和完善操作风险管理体系对国内多数银行的管理现状而言仍然是一项具有挑战性的任务。

二、操作风险管理体系的建设

1体系的构成。实际上。商业银行操作风险管理体系是一个开放的体系，没有统一的标准。必须根据银行具体的战略定位、业务特点、风险分布和控制环境来确定适当的形式。同时，由于具有明确的目的性和功能性，因此必须具备相应的要素。

从管理体系的建设目标来看，我们认为，操作风险管理应当注重成本收益分析，将有限的资源运用到关键的业务单位、流程和风险环节上去，从而提高风险控制的有效性。具体来说，建设操作风险管理体系应当遵循以下四个重要原则：

管理体系的完备性。应涵盖所有必备要素。包括董事会、高级管理层的职责。操作风险管理的组织构架。操作风险管理政策、程序和方法，资本计量的程序和规定。

“重要性”和“有效性”原则。体系建设应当突出重点。通过操作风险管理工具在各层级组织机构的运用，使商业银行能充分了解总体操作风险状况，并评估出重要的操作风险有那些，其损失严重性和可能性如何。同时，银行必须

有完备的制度政策、管理方法和保障措施来应对这些风险，并确保措施执行到位。

充分的资源保障。各业务条线应有专人负责操作风险管理。分行须设置专门操作风险管理岗位，并保证支行有专人履行相应职责。法律合规、人力、内审、监察保卫等部门应按新资本协议要求形成对操作风险管理的支持。

保障基础功能的实现。建立完整的组织构架、政策程序、管理方法和工具，形成对全行上下主要操作风险的覆盖。具有对违反制度的情况进行处置和补救的能力。通过操作风险及控制措施的自我评估，和对关键风险指标体系的建设完善，持续识别、评估、监测、控制／缓释操作风险。记录存储与操作风险有关的数据信息。评估、分析并形成有效报告。

基于监管要求和以上分析，我们可以将操作风险管理体系的内容归纳为五个方面。具体包括银行的治理结构、操作风险管理的政策和程序、管理工具和方法、资本计量和操作风险管理信息系统。五个方面的内容如图1所示。

在操作风险管理体系中，完善的治理结构是前提和基础。除了高层的积极参与和支持，专业管理部门和可靠的组织保障都是顺利开展操作风险管理的前提。在此基础上，操作风险管理部门应当牵头全行各条线和各单位的操作风险管理。制定全行性的政策和程序，如操作风险的详细定义和分类、各单位的管理职责、数据收集和损失报告的程序、资本计量的程序等。为了达到识别、评估、监测和控制操作风险的目的，各部门和单位还需要相应的工具和方法支持，主要包括风险与控制自我评估(RCSA)、关键风险指标(KRJ)、业务连续性计划(BCP)等。这些工具需要结合各单位的特点进行开发和实施，其设计完善主要由操作风险管理部门来负责。同时，风险资本的计量也是不可或缺的内容。目前，我国银行应当从标准法的要求为工作重点，逐渐建立和完善操作风险管理体系，为未来高级法的实施奠定基础。为了保障以上工作的顺利展开。一个覆盖全行的管理信息系统的支持是必不可少的。值得注意的是，这个系统的实施不可能一蹴而就，需要在前面四项工作过程当中逐渐积累经验，因为只有基于这些必要的经验。才能了解和掌握各条线、各分支行在管理流程风险当中的不同需求和侧重点，而这些信息是我们之前并不清楚的。

2操作风险管理体系建设的主要内容。依据《巴塞尔新资本协议》、《商业银行操作风险管理指引》、《商业银行操作风险监管资本计量指引》和《操作风险管理与监管的稳健做法》的要求。我们对操作风险管理体系的建设内容进行了梳理，确定了以下主要内容：

(1)操作风险管理的组织构架和分工。必须明确各层级部门和员工的职责，主要包括董事会、高级管理层职责；操作风险管理部门的建设及职责：各业务条线和分支机构操作风险管理职责和人员配置；法律合规、审计、信息技术、人力资源、监保部门在操作风险管理中的职责，及对操作风险管理部门的支持等。

(2)操作风险管理政策和程序制定。包括制定银行整体总体的操作风险偏好，即操作风险的总体容忍度、最关注哪些风险类型和业务领域、这些类型或领域中愿意且可接受的损失程度：事件分类和详细定义(损失类型的细化)：识别、评估、监测和控制程序；对现有及新推出的产品业务进行操作风险评估的要求：资本计算的审批和验证程序：操作风险报告的规定，即操作风险内部报告路线、频率、内容(操作风险及控制措施的评估结果、关键风险指标、主要操作风险事件、已确认或潜在的重大操作风险损失)。对报告中反映的信息采取措施的规定等。

(3)操作风险管理工具的设计实施。主要包括风险控制自评(RCSA)和关键风险指标(KRI)的设计与实施，这是银行识别、评估、监测操作风险的主要工具和风险信息收集的基础来源。评估的展开和指标的选择使用统一的方法进行。风险自我评估可以在选定的产品或流程基础上展开，并进行相应关键风险指标的挑选。由业务条线管理部门自行挑选出自身的关键流程和其中的关键风险点，评估结果应覆盖到条线中最重要的风险。在完成自我评估的基础上，KRI也由部门设计，这些KRI必须能识别、监测上述风险。自我评估应该按照政策的要求定期展开。同时需要制定专人负责关键风险指标的监测和维护。评估和监测的结果应定期汇总，并按照规定的报告路径向操作风险管理部门汇报。

对低频高损的操作风险，应当制定业务持续性计划(BCP)并定期进行维护。另外，我国银行应立即着手推动银行内各部门和分支机构进行损失数据收集。各部门和分行应系统性地收集、整理、跟踪和分析操作风险相关数据，包括业务条线的操作风险损失金额和损失频率。由操作风险管理部门定期根据损失数据进行风险评估，并将评估结果纳入操作风险监测和控制。

(4)监管资本计量。由于目前阶段大部分国内银行尚无法达到高级法的要求，按照标准法计算监管资本就成为银行唯一的选择。根据新资本协议和《计量指引》，标准法的计量工作主要集中在将本行的收入科目按要求详细划分为八个业务类型，无法归人的作为“其他”处理，并按规定确认“总收入”的内容。在确定所有相关科目的分类后，就可以按标准法算出监管资本。银行需要制定相应政策对资本计量进行审批和验证。

(5)操作风险管理信息系统建设。《管理指引》中提出了操作风险管理信息系统的建设要求。该系统的主要作用在于保障管理效率，支持各项管理工具的应用和资本计量的展开。由于能干降低工作量，便于风险信息及时汇总和报告，对于提高业务部门和分支行进行操作风险管理的积极性。这一新系统的实施应当建立在前述工作的基础上，才能具备稳固的基础。

三、结论和建议

对操作风险管理体系的探索是一个不断丰富和完善的过程。但无论从何种角度来说。商业银行的操作风险管理都应遵循一个基本原则，即在明确内部职责和分工的基础上，使得操作风险管理形成四道防线：基础流程和操作环节。主要是分行和一线部门；各业务条线基于业务质量对基础流程和环节的把关。主要是业务条线管理部门；操作风险管理部门，牵头全行的操作风险管理工作并进行监督检查：内审部门。对操作风险管理体系的有效性进行检查评估。

从长期来看。操作风险管理是一个逐渐深化的过程，短期内其成效难以显现。这里既需要进行大量的宣传培训，使全行员工树立操作风险管理责任的观念，也需要不断探索一套与本行的组织架构和风险文化相适应的体系和方法。在起步阶段，应当从易到难，以点带面，从了解流程人手，从恰当的试点单位和业务人手，逐渐覆盖全行的主要单位、流程和风险点，不断丰富完善操作风险管理的方法和工具。

值得注意的是，政策制定和员工培训在体系的建设中将起到的重要作用。操作风险管理政策的主要目标是使大家明确应该做什么，了解相应的程序，并清楚各自的责任。而全行员工的培训则是推广落实政策的前提和基础，对于高层传播关于操作风险的偏好，体现对操作风险管理的要求来说培训都是必不可少的。这两样工作既是操作风险管理职能的重要职责，也是在全行推行操作风险管理工作的保障。