商業銀行操作風險控制自我評估實證研究

林龍騰，沈利生

（華僑大學 經濟與金融學院，福建 泉州 362021）

商業銀行操作風險控制自我評估實證研究

林龍騰，沈利生

（華僑大學 經濟與金融學院，福建 泉州 362021）

實證研究顯示，操作風險自我評估以及根據評估結果采取的各項風險管理切實可行的措施，對降低風險損失發揮了相當重要的作用，這為我國商業銀行操作風險控制評價提供了一個將定性分析轉化為量化評估的計量方法。

商業銀行；操作風險；量化評估

一、引言

作為與信用風險和市場風險并列的商業銀行面臨的三大風險之一，操作風險日益成為商業銀行必須面對的重要風險因素，它是為謀取利潤而承擔的業務經營管理活動風險中不可分割的一部分。根據巴塞爾委員會的定義，操作風險是指由于不完善或有問題的內部流程、人員及系統或外部事件所造成的風險，操作風險包括法律風險，但不包括戰略風險和聲譽風險。操作風險管理流程一般包括風險識別、評估、計量和控制。對于操作風險評估而言，自我風險評估是商業銀行用于評估操作風險的常用工具之一[1]。國際銀行實踐經驗表明，操作風險自我評估是加強操作風險管理的重要手段之一。

二、文獻綜述

汪建峰（2005）認為風險評估多用頻率和強度來加以描述，或以高、中、低進行定性或定量分析[2]。張新福、原永中（2007）認為操作風險定性分析可以借助風險矩陣來綜合分析風險發生的概率和沖擊程度。操作風險評估結果可以用風險矩陣描述風險暴露程度[3]。溫紅梅（2008）認為操作風險自我評估池的評估程序一般包括評估準備階段、評估實施階段和風險處理階段。評估準備階段主要是信息收集；評估實施階段包括對操作風險防控制點的確定、分類計量；風險處理階段包括查找風險原因、結果報告及反饋[4]。袁吉偉（2011）介紹了花旗銀行的風險控制自我評估的主要步驟，包括：識別重大風險、識別和評估關鍵內控措施，對剩余風險進行評級，制定修正方案和報告評估結果。上述文獻的不足之處在于未將操作風險自我評估方法在我國商業銀行中進行實證研究。

本文在綜合前人研究的基礎上，運用自我評估法對某商業銀行的年度操作風險狀況以及由此產生的潛在預期損失的計量結果進行實證研究。在實證研究中將操作風險評估過程分為信息收集和整理、控制點的確認、分類評估、查找操作風險原因、結果報告及反饋等，使用剩余風險評估模型來計量操作風險的預期損失。實證中使用的數據是某商業銀行2011年至2013年期間的操作風險自我評估中獲得的存在剩余風險的4269個操作風險事件。

三、理論框架

（一）操作風險分類

1.按業務條線分類

巴塞爾委員會根據操作風險事件發生的業務條線不同，將操作風險分為與商業銀行有關的八類主要業務：公司金融、交易和銷售、零售銀行業務、商業銀行業務、支付和結算、代理服務、資產管理、零售經紀。巴塞爾委員會還規定所有業務活動必須按照以上規定的八個業務條線對應歸類，相互不重合，列舉必須窮盡。

2.按發生頻率和損失程度分類

從理論上說，操作風險事件按發生頻率和損失程度可以分為四種類型：高頻高損事件、低頻低損事件、高頻低損事件和低頻高損事件。但在實踐中，高頻高損事件是不切實際、難以置信的，低頻低損事件銀行通常可以將其作為成本或費用輕易予以消化了事。商業銀行業要減少操作風險造成的損失，真正應該重點關注的是后兩類損失事件，一是高頻低損事件，如日常結算錯誤、信用卡違規透支等；二是低頻高損事件，如欺詐交易、重大訴訟、自然災害等。前者單個事件損失較低，但由于發生次數多，累計損失可能較大；后者雖然很少發生，但由于單次損失金額大，通常會給銀行帶來嚴重的經濟損失，甚至會造成巨大的破壞性后果，實際中這類風險被視為高風險類型[5]。因此，根據損失事件發生頻率和損失程度的關系特征，銀行通常將操作風險劃分為高頻低損事件和低頻高損事件。高頻低損事件往往大量發生，出現頻率很高，構成了操作風險損失分布的主體；而低頻高損事件的發生頻率則很低，集中在損失分布的尾端[6]。

表1 操作風險業務條線類別對應表

（二）自我評估的內涵與風險矩陣圖

操作風險自我評估，也稱風險控制自我評估（Risk ControlSelf-assessment，RCSA），是指在分析各業務條線的風險點及風險點控制方法基礎上，從風險可能性和影響強度兩個角度分析控制活動的質量。可能性是指某種操作風險事件類型在未來一定時期內轉化為實際損失的概率大小；影響強度是指某一特定操作風險事件發生的情況下，如果不對潛在風險實施任何控制措施，風險實際發生可能對機構造成的影響。為了能夠獲得滿意的效果，自我評估需要進行精心的準備，評估參與者都要經過精心挑選和培訓，他們必須熟悉本銀行組織架構里操作風險的界定及其他與操作風險管理相關的因素。操作風險自我評估涵蓋了所有的業務部門，在產品層次上展開，包括每個產品線的每個流程中的固有風險、控制風險和剩余風險。其中，固有風險是指在沒有任何管理控制措施的情況下，經營管理過程本身所具有的風險；控制風險是指由于對操作風險沒有良好的內部控制或內部控制無效，致使經營活動中的操作風險不能被及時發現而造成損失的可能性；剩余風險是指在實施了旨在改變風險可能性和影響強度的管理控制活動后仍然保留的風險。固有風險、控制風險和剩余風險三者的關系如下：

剩余風險發生的可能性及其影響強度綜合作用形成剩余風險嚴重程度。剩余風險發生的可能性、影響強度與嚴重程度三者自身均可按強度大小分為五個等級：很高、高、中、低、很低。三者之間的關系情況可用風險矩陣圖表示如表2。

表2 剩余風險嚴重程度等級矩陣表

表2中剩余風險嚴重程度表示：E-extreme,很高風險；H-high，高風險；M-medium，中風險；L-low，低風險；I-ignore，很低風險。

（三）自我評估過程

包括評估準備階段、評估實施階段和風險處理階段。評估準備階段主要是信息收集和整理；評估實施階段包括對操作風險控制點的確認、分類評估；風險處理階段包括查找風險原因、結果報告及反饋。

1.信息收集和整理

信息來源于業務部門的工作流程和風險評估工具的匯總，整理已獲取的信息可以發現缺少哪些數據。一般情況下可能沒有充分、可靠的歷史數據來準確反映操作風險損失事件發生的可能性或損失的后果，因此，還常常需要依賴業務管理人員的經驗判斷。管理者可以將實際存在的風險與事先制定的操作風險戰略和政策進行比較，找出那些不能接受或超出機構承受能力的風險暴露。主要信息應該包括但不限于以下內容：（1）內部損失數據和外部損失數據。（2）最近幾期（如兩期）評估結果及重要信息。（3）評估期內的各項與操作風險有關的檢查報告：包括各項業務檢查報告、內外部審計報告以及監管機構的檢查報告。內控檢查和自查問題：可以從內部整改問題庫中篩選獲得。（4）其他各類反饋信息，如客戶投訴內容、員工提出的建設性意見等。

2.控制點的確認

此過程中，各業務單位、機構職能部門或程序流程都與風險類別之間建立起對應關系。這一行動可以暴露弱點所在，并且有助于提出相應的控制措施。

3.分類評估

評估各類操作風險在下一年發生的可能性和影響強度，以不同的級別表示，操作風險各類別之間具有聯結性和相互依存性。

具體的評估過程分為三個步驟:

（1）評估固有風險。在假設沒有控制措施存在的情況下，評估各類主要操作風險的固有風險發生的可能性和影響強度。對固有風險的描述應準確、完整，包括風險涉及的產品、發生的環節、涉及的人員（包括內部人員和外部人員）、發生情況及其后果影響等。（2）評估現有管理控制措施。控制措施的有效性應從設計和執行兩方面綜合評估，評估結果分為有效、部分有效、無效三個等級。控制設計評估是評估控制的設計是否能夠對相關風險進行有效管控，分為設計合理、部分合理、不合理三個等級。控制執行評估是考察控制是否按照設計的要求得到切實執行，分為執行、部分執行、未執行三個等級。（3）評估剩余風險。在考慮現有控制及其作用后，評估各類主要操作風險的剩余風險發生的可能性和影響強度。評估剩余風險時應注意不同類型的控制措施對風險作用亦不相同：預防性控制可以降低風險發生概率，減損性控制可以降低風險發生的影響。

4.查找操作風險的原因

引發操作風險的原因非常復雜，每項操作風險都有一個或幾個引致原因，對于多個原因可以采取列舉方式。實際工作中應對識別出來的風險事件深入分析其產生的原因。

5.結果報告及反饋

（1）復核評估結果、得到操作風險損失結果后，操作風險管理部門同高層業務部門主管和重要職員一起復查評估結果，通過投票決定風險評級報告。（2）提交操作風險評估報告：操作風險的最終評估應以風險報告形式提交業務管理層、決策層以及銀行內部審計部門。操作風險報告可以為管理層提供信息，改善風險管理決策；更好地分配資本；促使銀行采用更有效的管理活動：投資分散化、緊急控制、保險/風險融資等。

（四）剩余風險評估模型

在利用自我評估流程估算出各個業務條線每個操作風險事件剩余風險的影響強度和發生可能性后，即可利用以下公式計算操作風險預期損失：

EL表示估計的操作風險預期損失；Iji表示j業務條線第i個操作風險事件剩余風險的影響強度；P表示j業務條線第i個操作風險事件發生的可能性。

四、實證研究

（一）實證數據描述

表3 某商業銀行2011年度自我評估操作風險事件嚴重程度統計分布表 單位：個/占比%

表4 某商業銀行2012年度自我評估操作風險事件嚴重程度統計分布表 單位：個/占比%

以某商業銀行2011—2013年三年間結合內外審計部門的各項檢查發現的基礎上，對未來一年操作風險自我評估結果為樣本來進行分析。該銀行的操作風險自我評估涉及同業往來、單位存款、網上銀行、信用卡、理財產品銷售、公司貸款、個人貸款、個人匯款、外幣兌換等43個業務流程，參與的分支機構網點達400多家，操作風險損失事件涉及公司金融、交易與銷售、零售銀行業務、商業銀行業務、支付和結算代理服務等六個業務條線。上述三年間評估過程中共發現該銀行各業務條線潛在操作風險事件分別為1634個、1306個、1329個，它們在風險事件嚴重程度等級中的分布情況如下。

表5 某商業銀行2013年度自我評估操作風險事件嚴重程度統計分布表 單位：個/占比%

表6 操作風險事件在下一年發生的可能性

表7 單個操作風險事件剩余風險的影響強度（預期平均損失程度）

（二）影響程度和發生可能性等級劃分

該商業銀行根據歷史經驗數據確定的操作風險事件剩余風險影響程度和發生可能性的等級劃分情況如表6和表7所示。

（三）操作風險預期損失估計

將表3-5中包含的該商業銀行2011—2013年度每個操作風險事件的真實情況與表6-7相對照以確定其剩余風險影響程度和發生可能性，然后計算出二者的乘積作為該風險事件的預期損失金額，最后按業務條線和影響程度匯總出每個年度的操作風險預期損失如下：

表8 某商業銀行2011年度自我評估操作風險預期損失分布表 單位：萬元

表9 某商業銀行2012年度自我評估操作風險預期損失分布表 單位：萬元

（四）評估及計量結果的經濟信息

表10 某商業銀行2013年度自我評估操作風險預期損失分布表 單位：萬元

（1）風險事件數在業務條線分布的評估結果表明：操作風險事件廣泛分布在商業銀行的各個機構網點、各個業務條線部門的每個業務流程之中。2011—2013年度某銀行的4269個操作風險事件涉及400多家分支機構網點、6個業務條線的43個業務流程；商業銀行業務條線和零售銀行業務條線穩居潛在操作風險事件數的前兩位。如2011年度，該銀行的商業銀行業務條線和零售銀行業務條線的操作風險事件數分別為1047件（占比64.1%）和497件（占比30.4%），分列第一位和第二位，二者合計占比高達94.5%，2012年度和2013年度二者合計占比也都在80%以上。

（2）風險事件數在嚴重程度分布的評估結果表明：風險事件嚴重程度高低與風險事件數的多少呈反方向變動關系，即嚴重程度越低的風險事件數就越多。如2011年度，隨著風險事件嚴重程度從高風險往下逐步過渡到很低風險，風險事件數則從2件快速上升到915件，占比由0.1%迅速攀升至56.0%，2012年度和2013年度的情況亦然；嚴重程度為中風險及其以上的操作風險事件為低頻事件。2011年度、2012年度和2013年度的中風險及其以上的操作風險事件數和占比分別為160件和9.8%、78件和6%、92件和6%，占比均不超過10%。

（3）風險事件數在嚴重程度和業務條線的聯合分布的評估結果表明：為數極少的嚴重程度為高風險及很高風險的操作風險事件均出現在商業銀行業務條線，反映出該銀行的商業銀行業務條線相較其他業務條線發生嚴重操作風險事件的可能性更大。

（4）預期損失在業務條線分布的計量結果表明：同風險事件數的分布一樣，商業銀行業務條線和零售銀行業務條線仍然穩居操作風險預期損失金額的頭兩位。如2011年度，該銀行的商業銀行業務條線和零售銀行業務條線的操作風險預期損失金額分別為11952.5萬元（占比42.3%）和14290.8萬元（占比50.6%），二者合計占比高達92.9%，2012年度和2013年度二者合計占比也都在80%以上；零售銀行業務條線的操作風險預期損失金額和占比均呈現出逐年遞減的趨勢。考察期內，該銀行零售銀行業務條線的操作風險預期損失金額和占比分別從2011年度的11952.5萬元和42.3%，下降到2012年度的5177.8萬元和28.5%，并進一步下降到2013年度的3849.6萬元和24.0%。原因是該銀行零售銀行業務條線針對特定操作風險事項采取了更多的風險防控措施。

（5）預期損失在影響程度分布的計量結果表明：與嚴重程度為中風險及其以上的操作風險事件為低頻事件的情況相反，它們的預期損失金額和占比卻是高居榜首。2011年度、2012年度和2013年度的中風險及其以上的操作風險事件預期損失金額和占比分別為26526萬元和93.9%、16588萬元和91.5%、14912.5萬元和93.1%，占比均超過90%。

（6）預期損失在不同年度分布的計量結果表明：三年來該銀行的操作風險預期損失呈現逐年下降趨勢。該商業銀行2011—2013年操作風險自我評估預期總損失金額分別為2.82億元、1.81億元、1.6億元，出現逐年下降趨勢。從條線分布情況看，零售業務條線的下降幅度更是明顯；從嚴重程度分布情況看，沒有哪個等級嚴重程度的操作風險事件有明顯下降趨勢，大都呈現出上下波動狀態。

五、研究結論及政策建議

通過運用自我評估法對某商業銀行2011年1月份至2013年期間的4269個操作風險事件建模并估算出相應的年度操作風險預期損失，本文得出以下主要結論：

第一，使用自我評估法對商業銀行的操作風險預期損失進行計量可以得到較為準確的結果。自我評估法的潛在優點是對于歷史損失數據不夠充分的商業銀行采取定性分析后利用風險矩陣圖將定性分析轉化為量化計算同樣可以加總出操作風險預期損失。利用商業銀行自身風險控制狀況進行定性分析，有利于體現各銀行的風險特征，其測算的結果比較切合商業銀行自身實際情況。

第二，中國商業銀行操作風險事件仍然集中于傳統業務領域。國內商業銀行操作風險在業務條線之間的分布也是極不平衡的，大多數損失事件數和損失金額集中分布在商業銀行業務條線和零售銀行業務條線等少數業務條線中，即發生在零售銀行業務和商業銀行業務條線的損失事件是我國商業銀行面臨的主要操作風險。根據巴塞爾新資本協議的規定，商業銀行業務包括項目融資、房地產、出口融資、貿易融資、保理、租賃、貸款、保函、匯票；零售銀行業務包括零售存款與貸款、私人銀行服務、私人信托與不動產、私人投資顧問、商戶/商務/公司卡、私人銀行卡。從中國商業銀行實際情況看，賺取存貸款的利差仍然是銀行實現盈利的最重要方式，這就注定了零售銀行業務和商業銀行業務條線目前還是中國商業銀行賺錢的部門，包括資產管理、零售經紀在內其他業務條線的作用相對而言就顯得微不足道了。

第三，操作風險事件在商業銀行內部具有廣泛性和普遍性。根據巴塞爾委員會的定義，流程、人員、系統及外部事件是引發操作風險的四大因素，而這些因素中的每一個環節都有產生失敗的可能性。英國銀行家協會（1997）從商業銀行內部對操作風險進行管理的角度，對上述四個操作風險因素進行分類界定，操作性更強。其中，人員因素包括雇員欺詐/犯罪、越權行為/欺詐交易/操作失誤、違反用工法、勞動中斷/關鍵人員流失或缺乏；流程因素包括支付清算/傳輸風險、文件/合同風險、估價/定價風險、內部/外部報告風險、執行、策略風險/管理變動、出售風險；系統因素包括科技投資風險、系統開發和執行、系統功能、系統失敗、系統安全；外部因素包括外部事件：法律/公共責任、犯罪、外部采購/供應商風險、外部開發風險、災難/基礎設施、政策調整、政治/政府風險。因此，操作風險在商業銀行內部具有廣泛性和普遍性。并且操作風險與商業銀行所面臨的其他風險關聯度較大，往往與信用風險、市場風險等相伴產生[7]。

第四，商業銀行操作風險事件損失分布具有厚尾性。在正常的市場條件下，在較高的置信水平和一定的時期里,由于操作風險、市場風險或信用風險發生而導致的最大潛在損失是不同的，相對而言，操作風險是一種發生頻率較低但造成的損失更嚴重的一種風險，用統計學的語言來說，其損失分布具有鮮明的厚尾性特點[8]。如欺詐交易、重大訴訟、自然災害等低頻高損操作風險事件雖然很少發生，但由于單個風險事件就會給銀行帶來巨大的經濟損失，嚴重的話，甚至會造成銀行的破產和倒閉。實際操作中，低頻高損操作風險事件被視為高風險類型，它們集中在損失分布的尾端，形成厚尾形狀。

針對以上實證研究的主要結論，本文提出以下幾點政策建議：（1）操作風險自我評估要堅持定期評估和動態管理相結合的原則。在操作風險管理中，自我評估不是只進行一次，而是要定期進行。在實踐中，大銀行通常是一年進行一次，小銀行的評估頻率要高些，至少在任何重點變化（如重組或引入新產品）發生時都要進行重新評估。當發現重大操作風險事件、外部極端操作風險事件、重大內部控制問題,以及新產品投產或系統、流程重大變化等情況，商業銀行應及時開展動態的觸發式評估工作，對相應業務流程進行評估，以強化、完善風險控制。（2）轉變銀行經營模式，大力發展中間業務，打破操作風險集中于傳統業務領域的現狀。中國商業銀行應在人民幣利率和匯率加速放開的時期，致力于開拓金融業務范圍度做大中間業務和新業務，大力發展電子銀行業務，做強投資銀行業務，優化結算業務，提速發展信用卡業務，并提升國際業務發展水平。充分發揮人民幣業務優勢，促進本外幣業務互相帶動、協調發展。這樣，商業銀行在增加利潤增長點、提高盈利水平的同時，還能達到改善業務結構、分散風險、從而最終增強對包括操作風險在內的各類風險的承受能力的目的。（3）建立全覆蓋的操作風險評估和監測系統。中國商業銀行應該按照巴塞爾新資本協議的要求，借鑒國際先進經驗，運用先進科技手段，從操作風險的組織流程、計量模型、損失數據庫、管理信息系統等方面，逐步建立涵蓋所有業務的操作風險的評價系統，并進行持續的監測和定期評估。同時，應充分利用現代化信息處理和通訊技術，建立靈敏的信息收集、加工、反饋系統和完整的信息交流渠道，使各項決策和業務經營活動建立在充分的信息支持的基礎上。利用各種信息及時調整業務經營方針和發展戰略，加強決策和經營管理活動的針對性和主動性，及時協調解決內部控制中的問題，消除信息傳導失真，有效防范和控制操作風險。（4）在分析操作風險事件嚴重程度的基礎上，銀行可以根據評估結果有針對性地采取各項風險管理措施以有效降低操作風險損失。一是對于低頻高損操作風險事件采取轉移風險策略。即通過采取有針對性的保險或業務外包來有效管理風險。二是對于高頻低損操作風險采取降低風險策略，即采用商業銀行業務流程再造、員工的風險培訓、建立風險報告制度等加強內部控制手段，通過降低業務操作失誤率和減少重復勞動等各種方式來降低此類操作風險造成的損失。三是對于低頻低損操作風險采取承擔風險策略，可以由擬定的商業銀行營運計劃或預防措施加以承擔，并且由預先提取的風險資本來覆蓋風險的發生和所造成的損失。

[1]銀監會.商業銀行操作風險管理指引[C]. 2007，（6）：1.

[2]汪建峰.商業銀行操作風險管理實務[M].北京：中國工商出版社，2005.

[3]張新福，原永中.商業銀行操作風險管理體系建設研究[J].山西財經大學學報，2007，（7）：91-95.

[4]溫紅梅.商業銀行操作風險計量與控制[M].北京：中國財政經濟出版社，2008.

[5]Ali Samad-Khan.Modern Operational Risk Management[EB/OL].Emphasis 2008(2):26-29.http:// www.gimanagement.com/pdf.

[6]Alberto Balestra.Quantification of Operational Risk[EB/OL].http://www.globalriskguard.com/resources/oper/op9.

[7]鄭良芳.商業銀行操作風險的防范與控制[J].金融理論與實踐，2008，（3）：114-116.

[8]陳學華，楊輝耀，黃向陽.POT模型在商業銀行操作風險計量中的應用[J].管理科學，2003，（2）：49-52.

（責任編輯：王淑云）

1003-4625（2014）11-0057-06

F832.33

A

2014-09-09

林龍騰（1972-），男，福建福州人，博士研究生；沈利生（1946-），男，江蘇張家港人，華僑大學特聘教授，中國社會科學院數量經濟與技術研究所研究員。