袁吉伟

一、银行内部操作风险损失数据累积和制度建设

（一）银行内部操作风险损失数据累积的内容

根据相关研究成果以及国际先进银行实践，一般认为操作风险损失数据累积应该尽可能详尽，以有利于后续统计分析和应用。

1. 名称或编号。损失数据名称或编号是其关键标示，是与其他损失事件区分的重要依据。

2. 时间。操作风险损失事件的时间可以区分为损失事件发生时间、发现时间以及登记时间等，银行需要尽可能详尽登记。通过分析损失事件发生到登记时间的长短，有利于确认损失事件可能对银行造成的影响以及操作风险管理的有效性。

3. 损失事件发生的地点和岗位。银行业务较为复杂，不同分支机构风险管理水平不一，不同岗位所面临的操作风险也不相同，所以需要记录损失事件发生的地点和岗位。

4. 损失数据分类。损失数据可以从业务条线和风险性质两个方面进行分类，很多银行都是采用《巴塞尔协议Ⅱ》分类标准。银行还可以根据实际情况制定其他的分类标准，分类越细，越有利于损失数据分析和研究。

5. 操作风险总损失。操作风险总损失是不考虑保险等可能回收金额之前的损失总额。这里的总损失主要是指可以明确评估的各种直接损失和机会成本，同时还需要考虑操作风险事件可能产生的间接损失，如诉讼费用等。操作风险总损失的评估可以从成本支出、人工费用、诉讼费用等方面考虑。

6. 损失事件回收金额。由于可能收到保险赔偿、法律诉讼赔偿等，损失事件会回收部分资金。因而，需要记录损失事件回收的金额、方式等，以利于银行加强操作风险控制和规避。

7. 潜在损失。积极评估操作风险所带来的潜在损失有利于整体评估操作风险事件对于银行的影响。潜在损失很难估计，银行可以从声誉、业务中断所导致的收入损失等方面进行评估。

8. 损失事件成因。需要详细记录损失事件的成因、主要负责人等信息，以便总结教训，为今后加强内部操作风险管理奠定基础。

9. 损失事件其他描述。数据详细描述应进一步介绍操作风险损失数据是如何被发现的，采取了何种补救措施等内容，以使数据分析人员对于该事件有更深入的理解和认识。

（二）损失数据累积的政策制度建设

1. 损失数据累积职能分配和流程。银行操作风险损失数据累积主要涉及业务部门、操作风险管理部门和审计部门，他们是保证损失数据收集质量的三道防线。业务部门是管理操作风险的第一道防线，负有直接责任，主要负责收集、上载操作风险损失数据，并保证损失数据收集的完整性和准确性。操作风险管理部门作为第二道防线，主要负责损失数据收集的制度建设，监督业务部门损失数据收集制度的执行情况，对操作风险损失数据进行分析和报告。审计部门作为操作风险管理的最后一道防线，主要负责核查数据收集相关制度建立的合理性和科学性，监督业务部门和风险管理部门职能执行情况等。

损失数据累积流程方面，由前台业务部门专人根据损失数据收集制度要求，及时录入损失数据；业务负责人需要核查数据录入质量，核定无误后，将损失数据正式发布到内部数据库中。操作风险管理部门主要是定期检查录入数据是否符合相关制度规范，监督业务部门操作行为。

2. 损失数据累积政策。为了规范损失数据累积行为，保证数据累积完整性、一致性和准确性，需要制定完整的操作风险损失数据累积建设纲要和操作手册。操作手册应该包含损失数据库累积的意义、各部门职能分工、操作风险分类、操作损失的确定和分配、损失数据录入的主要内容、操作风险损失数据录入工作绩效评价、操作风险损失数据录入的授权和管理等内容。损失数据累积操作手册需要重点明确的问题在于：

首先，操作风险、操作风险分类定义。根据《巴塞尔协议Ⅱ》，操作风险是指由于不完善或有问题的内部操作过程、人员、系统或外部事件而导致的直接或间接损失的风险。各银行基本都是沿用这一定义，同时会做一定的修改。而操作风险分类则可以结合《巴塞尔协议Ⅱ》的建议，根据银行业务的范畴以及复杂程度重新界定，但是需要明确各个分类之间的界限。

其次，操作风险损失分配标准。对于只涉及单一部门或者业务条线的操作风险事件，无需进一步分配损失金额，但是对于涉及多个业务条线或者职能部门的操作风险事件，则需要制定一定标准以便将操作风险损失进行合理的分配。另外，操作风险损失可能与市场风险、信用风险相关联，这就涉及数据收集边界的划分。一般而言，与市场风险相关联的操作损失都要计入操作风险损失数据中，而与信用风险相关的损失数据则要计入信用风险中。但是，部分银行在收集相关数据时，与信用风险相关联的数据也计入操作风险，以全面反映操作风险概况，只是需要对其做特定标示，避免重复计算。

再次，损失数据收集阈值的确定。损失数据收集阈值是确定损失数据是否录入数据库的标准，只有大于损失数据阈值的数据才能录入。现实中并没有确定数据阙值的方法和统一标准，更多的是基于成本和收益的权衡。阈值过低，需要收集的损失数据过多，这就可能耗费更多人力、物力，成本较高。阈值过高，则忽略了重要的损失数据，就不能完整体现银行操作风险现状。《巴塞尔协议Ⅱ》建议损失数据阈值为10000美元。银行可以根据自身情况，结合实证研究确定最佳的数据阈值。

最后，数据验证和核查。数据录入后，风险管理部门还要确定损失数据的一致性、准确性和完整性。由于业务部门直接负责损失数据的录入，因而首先要取得业务部门负责人对于数据质量的肯定。风险管理部门应采取定性和定量的措施，对损失数据进行验证。完整性方面，首先需要与总账进行核对，如果损失数据库中没有而总账上面存在损失数据，则说明损失数据存在问题。同时，可以利用审计资料等进一步验证数据的完整性。一致性方面，主要是抽查业务部门对损失数据录入的分类是否按照已有的制度和手册进行，是否有擅自修改损失数据录入标准的情况。准确性方面，则主要核查损失数据录入的主要数字的核算方法，是否依照已有的规范进行，是否有遗漏核算项，或者低估了损失数额等情况。

二、外部操作风险损失数据累积在银行操作风险管理中的作用

银行内部操作风险损失数据累积对于改进操作风险管理、风险计量存在一定不足，这主要在于：一方面，银行内部操作风险损失数据可能由于搜集时间较短，或者相关数据搜集进展缓慢，致使银行内部损失数据数量较少，不足以很好地应用于操作风险管理，尤其是建立操作风险计量模型。另一方面，有些发生频率低、损失大的风险事件很难捕捉，这些数据的缺失将降低操作风险计量模型体系的准确性。使用外部损失数据可能增强样本的有效性，尤其是补充概率低、损失金额高的数据样本，有利于完善操作风险损失数据样本，提高操作风险分析、建模的可靠性。同时，融合外部损失数据有利于了解行业操作风险损失事件发展趋势，并与自身相比较，形成对自身操作风险管理的补充和验证。

外部损失数据包括两类，一类是专业咨询公司搜集、开发的公共损失数据。该类损失数据库的主要特点是损失金额较大，可用于补充银行损失极端数据。另一类是银行共享团体所形成的损失数据池，该类外部数据库多由各国银行业协会组织。该外部数据收集的过程为，由银行业协会组织或其他机构制定数据上传标准，各银行根据标准每季度上报一次数据，负责机构或部门将汇总数据以及进行相关分析，并将数据报告反馈给各会员银行。此类外部数据的特点在于能够实现同业数据的分享，不足之处在于各银行出于保密和同业竞争的考虑，数据质量以及完整性方面可能存在一定不足。

使用外部损失数据，有一定的前提条件。（1）需要确保损失数据的特点和诱因符合银行的业务特点。损失数据来源的银行主营业务应与银行自身业务发展相匹配，如果不匹配则可能会扭曲银行操作风险状况，进而导致操作风险管理失误。（2）由于业务规模等方面的差异，银行使用外部数据时需要进行标准化和相关数据处理，之后才能用于建模等方面。

（责任编辑 孙 军；校对 GX）