商业银行操作风险控制自我评估实证研究

林龙腾，沈利生

（华侨大学 经济与金融学院，福建 泉州 362021）

商业银行操作风险控制自我评估实证研究

林龙腾，沈利生

（华侨大学 经济与金融学院，福建 泉州 362021）

实证研究显示，操作风险自我评估以及根据评估结果采取的各项风险管理切实可行的措施，对降低风险损失发挥了相当重要的作用，这为我国商业银行操作风险控制评价提供了一个将定性分析转化为量化评估的计量方法。

商业银行；操作风险；量化评估

一、引言

作为与信用风险和市场风险并列的商业银行面临的三大风险之一，操作风险日益成为商业银行必须面对的重要风险因素，它是为谋取利润而承担的业务经营管理活动风险中不可分割的一部分。根据巴塞尔委员会的定义，操作风险是指由于不完善或有问题的内部流程、人员及系统或外部事件所造成的风险，操作风险包括法律风险，但不包括战略风险和声誉风险。操作风险管理流程一般包括风险识别、评估、计量和控制。对于操作风险评估而言，自我风险评估是商业银行用于评估操作风险的常用工具之一[1]。国际银行实践经验表明，操作风险自我评估是加强操作风险管理的重要手段之一。

二、文献综述

汪建峰（2005）认为风险评估多用频率和强度来加以描述，或以高、中、低进行定性或定量分析[2]。张新福、原永中（2007）认为操作风险定性分析可以借助风险矩阵来综合分析风险发生的概率和冲击程度。操作风险评估结果可以用风险矩阵描述风险暴露程度[3]。温红梅（2008）认为操作风险自我评估池的评估程序一般包括评估准备阶段、评估实施阶段和风险处理阶段。评估准备阶段主要是信息收集；评估实施阶段包括对操作风险防控制点的确定、分类计量；风险处理阶段包括查找风险原因、结果报告及反馈[4]。袁吉伟（2011）介绍了花旗银行的风险控制自我评估的主要步骤，包括：识别重大风险、识别和评估关键内控措施，对剩余风险进行评级，制定修正方案和报告评估结果。上述文献的不足之处在于未将操作风险自我评估方法在我国商业银行中进行实证研究。

本文在综合前人研究的基础上，运用自我评估法对某商业银行的年度操作风险状况以及由此产生的潜在预期损失的计量结果进行实证研究。在实证研究中将操作风险评估过程分为信息收集和整理、控制点的确认、分类评估、查找操作风险原因、结果报告及反馈等，使用剩余风险评估模型来计量操作风险的预期损失。实证中使用的数据是某商业银行2011年至2013年期间的操作风险自我评估中获得的存在剩余风险的4269个操作风险事件。

三、理论框架

（一）操作风险分类

1.按业务条线分类

巴塞尔委员会根据操作风险事件发生的业务条线不同，将操作风险分为与商业银行有关的八类主要业务：公司金融、交易和销售、零售银行业务、商业银行业务、支付和结算、代理服务、资产管理、零售经纪。巴塞尔委员会还规定所有业务活动必须按照以上规定的八个业务条线对应归类，相互不重合，列举必须穷尽。

2.按发生频率和损失程度分类

从理论上说，操作风险事件按发生频率和损失程度可以分为四种类型：高频高损事件、低频低损事件、高频低损事件和低频高损事件。但在实践中，高频高损事件是不切实际、难以置信的，低频低损事件银行通常可以将其作为成本或费用轻易予以消化了事。商业银行业要减少操作风险造成的损失，真正应该重点关注的是后两类损失事件，一是高频低损事件，如日常结算错误、信用卡违规透支等；二是低频高损事件，如欺诈交易、重大诉讼、自然灾害等。前者单个事件损失较低，但由于发生次数多，累计损失可能较大；后者虽然很少发生，但由于单次损失金额大，通常会给银行带来严重的经济损失，甚至会造成巨大的破坏性后果，实际中这类风险被视为高风险类型[5]。因此，根据损失事件发生频率和损失程度的关系特征，银行通常将操作风险划分为高频低损事件和低频高损事件。高频低损事件往往大量发生，出现频率很高，构成了操作风险损失分布的主体；而低频高损事件的发生频率则很低，集中在损失分布的尾端[6]。

表1 操作风险业务条线类别对应表

（二）自我评估的内涵与风险矩阵图

操作风险自我评估，也称风险控制自我评估（Risk ControlSelf-assessment，RCSA），是指在分析各业务条线的风险点及风险点控制方法基础上，从风险可能性和影响强度两个角度分析控制活动的质量。可能性是指某种操作风险事件类型在未来一定时期内转化为实际损失的概率大小；影响强度是指某一特定操作风险事件发生的情况下，如果不对潜在风险实施任何控制措施，风险实际发生可能对机构造成的影响。为了能够获得满意的效果，自我评估需要进行精心的准备，评估参与者都要经过精心挑选和培训，他们必须熟悉本银行组织架构里操作风险的界定及其他与操作风险管理相关的因素。操作风险自我评估涵盖了所有的业务部门，在产品层次上展开，包括每个产品线的每个流程中的固有风险、控制风险和剩余风险。其中，固有风险是指在没有任何管理控制措施的情况下，经营管理过程本身所具有的风险；控制风险是指由于对操作风险没有良好的内部控制或内部控制无效，致使经营活动中的操作风险不能被及时发现而造成损失的可能性；剩余风险是指在实施了旨在改变风险可能性和影响强度的管理控制活动后仍然保留的风险。固有风险、控制风险和剩余风险三者的关系如下：

剩余风险发生的可能性及其影响强度综合作用形成剩余风险严重程度。剩余风险发生的可能性、影响强度与严重程度三者自身均可按强度大小分为五个等级：很高、高、中、低、很低。三者之间的关系情况可用风险矩阵图表示如表2。

表2 剩余风险严重程度等级矩阵表

表2中剩余风险严重程度表示：E-extreme,很高风险；H-high，高风险；M-medium，中风险；L-low，低风险；I-ignore，很低风险。

（三）自我评估过程

包括评估准备阶段、评估实施阶段和风险处理阶段。评估准备阶段主要是信息收集和整理；评估实施阶段包括对操作风险控制点的确认、分类评估；风险处理阶段包括查找风险原因、结果报告及反馈。

1.信息收集和整理

信息来源于业务部门的工作流程和风险评估工具的汇总，整理已获取的信息可以发现缺少哪些数据。一般情况下可能没有充分、可靠的历史数据来准确反映操作风险损失事件发生的可能性或损失的后果，因此，还常常需要依赖业务管理人员的经验判断。管理者可以将实际存在的风险与事先制定的操作风险战略和政策进行比较，找出那些不能接受或超出机构承受能力的风险暴露。主要信息应该包括但不限于以下内容：（1）内部损失数据和外部损失数据。（2）最近几期（如两期）评估结果及重要信息。（3）评估期内的各项与操作风险有关的检查报告：包括各项业务检查报告、内外部审计报告以及监管机构的检查报告。内控检查和自查问题：可以从内部整改问题库中筛选获得。（4）其他各类反馈信息，如客户投诉内容、员工提出的建设性意见等。

2.控制点的确认

此过程中，各业务单位、机构职能部门或程序流程都与风险类别之间建立起对应关系。这一行动可以暴露弱点所在，并且有助于提出相应的控制措施。

3.分类评估

评估各类操作风险在下一年发生的可能性和影响强度，以不同的级别表示，操作风险各类别之间具有联结性和相互依存性。

具体的评估过程分为三个步骤:

（1）评估固有风险。在假设没有控制措施存在的情况下，评估各类主要操作风险的固有风险发生的可能性和影响强度。对固有风险的描述应准确、完整，包括风险涉及的产品、发生的环节、涉及的人员（包括内部人员和外部人员）、发生情况及其后果影响等。（2）评估现有管理控制措施。控制措施的有效性应从设计和执行两方面综合评估，评估结果分为有效、部分有效、无效三个等级。控制设计评估是评估控制的设计是否能够对相关风险进行有效管控，分为设计合理、部分合理、不合理三个等级。控制执行评估是考察控制是否按照设计的要求得到切实执行，分为执行、部分执行、未执行三个等级。（3）评估剩余风险。在考虑现有控制及其作用后，评估各类主要操作风险的剩余风险发生的可能性和影响强度。评估剩余风险时应注意不同类型的控制措施对风险作用亦不相同：预防性控制可以降低风险发生概率，减损性控制可以降低风险发生的影响。

4.查找操作风险的原因

引发操作风险的原因非常复杂，每项操作风险都有一个或几个引致原因，对于多个原因可以采取列举方式。实际工作中应对识别出来的风险事件深入分析其产生的原因。

5.结果报告及反馈

（1）复核评估结果、得到操作风险损失结果后，操作风险管理部门同高层业务部门主管和重要职员一起复查评估结果，通过投票决定风险评级报告。（2）提交操作风险评估报告：操作风险的最终评估应以风险报告形式提交业务管理层、决策层以及银行内部审计部门。操作风险报告可以为管理层提供信息，改善风险管理决策；更好地分配资本；促使银行采用更有效的管理活动：投资分散化、紧急控制、保险/风险融资等。

（四）剩余风险评估模型

在利用自我评估流程估算出各个业务条线每个操作风险事件剩余风险的影响强度和发生可能性后，即可利用以下公式计算操作风险预期损失：

EL表示估计的操作风险预期损失；Iji表示j业务条线第i个操作风险事件剩余风险的影响强度；P表示j业务条线第i个操作风险事件发生的可能性。

四、实证研究

（一）实证数据描述

表3 某商业银行2011年度自我评估操作风险事件严重程度统计分布表 单位：个/占比%

表4 某商业银行2012年度自我评估操作风险事件严重程度统计分布表 单位：个/占比%

以某商业银行2011—2013年三年间结合内外审计部门的各项检查发现的基础上，对未来一年操作风险自我评估结果为样本来进行分析。该银行的操作风险自我评估涉及同业往来、单位存款、网上银行、信用卡、理财产品销售、公司贷款、个人贷款、个人汇款、外币兑换等43个业务流程，参与的分支机构网点达400多家，操作风险损失事件涉及公司金融、交易与销售、零售银行业务、商业银行业务、支付和结算代理服务等六个业务条线。上述三年间评估过程中共发现该银行各业务条线潜在操作风险事件分别为1634个、1306个、1329个，它们在风险事件严重程度等级中的分布情况如下。

表5 某商业银行2013年度自我评估操作风险事件严重程度统计分布表 单位：个/占比%

表6 操作风险事件在下一年发生的可能性

表7 单个操作风险事件剩余风险的影响强度（预期平均损失程度）

（二）影响程度和发生可能性等级划分

该商业银行根据历史经验数据确定的操作风险事件剩余风险影响程度和发生可能性的等级划分情况如表6和表7所示。

（三）操作风险预期损失估计

将表3-5中包含的该商业银行2011—2013年度每个操作风险事件的真实情况与表6-7相对照以确定其剩余风险影响程度和发生可能性，然后计算出二者的乘积作为该风险事件的预期损失金额，最后按业务条线和影响程度汇总出每个年度的操作风险预期损失如下：

表8 某商业银行2011年度自我评估操作风险预期损失分布表 单位：万元

表9 某商业银行2012年度自我评估操作风险预期损失分布表 单位：万元

（四）评估及计量结果的经济信息

表10 某商业银行2013年度自我评估操作风险预期损失分布表 单位：万元

（1）风险事件数在业务条线分布的评估结果表明：操作风险事件广泛分布在商业银行的各个机构网点、各个业务条线部门的每个业务流程之中。2011—2013年度某银行的4269个操作风险事件涉及400多家分支机构网点、6个业务条线的43个业务流程；商业银行业务条线和零售银行业务条线稳居潜在操作风险事件数的前两位。如2011年度，该银行的商业银行业务条线和零售银行业务条线的操作风险事件数分别为1047件（占比64.1%）和497件（占比30.4%），分列第一位和第二位，二者合计占比高达94.5%，2012年度和2013年度二者合计占比也都在80%以上。

（2）风险事件数在严重程度分布的评估结果表明：风险事件严重程度高低与风险事件数的多少呈反方向变动关系，即严重程度越低的风险事件数就越多。如2011年度，随着风险事件严重程度从高风险往下逐步过渡到很低风险，风险事件数则从2件快速上升到915件，占比由0.1%迅速攀升至56.0%，2012年度和2013年度的情况亦然；严重程度为中风险及其以上的操作风险事件为低频事件。2011年度、2012年度和2013年度的中风险及其以上的操作风险事件数和占比分别为160件和9.8%、78件和6%、92件和6%，占比均不超过10%。

（3）风险事件数在严重程度和业务条线的联合分布的评估结果表明：为数极少的严重程度为高风险及很高风险的操作风险事件均出现在商业银行业务条线，反映出该银行的商业银行业务条线相较其他业务条线发生严重操作风险事件的可能性更大。

（4）预期损失在业务条线分布的计量结果表明：同风险事件数的分布一样，商业银行业务条线和零售银行业务条线仍然稳居操作风险预期损失金额的头两位。如2011年度，该银行的商业银行业务条线和零售银行业务条线的操作风险预期损失金额分别为11952.5万元（占比42.3%）和14290.8万元（占比50.6%），二者合计占比高达92.9%，2012年度和2013年度二者合计占比也都在80%以上；零售银行业务条线的操作风险预期损失金额和占比均呈现出逐年递减的趋势。考察期内，该银行零售银行业务条线的操作风险预期损失金额和占比分别从2011年度的11952.5万元和42.3%，下降到2012年度的5177.8万元和28.5%，并进一步下降到2013年度的3849.6万元和24.0%。原因是该银行零售银行业务条线针对特定操作风险事项采取了更多的风险防控措施。

（5）预期损失在影响程度分布的计量结果表明：与严重程度为中风险及其以上的操作风险事件为低频事件的情况相反，它们的预期损失金额和占比却是高居榜首。2011年度、2012年度和2013年度的中风险及其以上的操作风险事件预期损失金额和占比分别为26526万元和93.9%、16588万元和91.5%、14912.5万元和93.1%，占比均超过90%。

（6）预期损失在不同年度分布的计量结果表明：三年来该银行的操作风险预期损失呈现逐年下降趋势。该商业银行2011—2013年操作风险自我评估预期总损失金额分别为2.82亿元、1.81亿元、1.6亿元，出现逐年下降趋势。从条线分布情况看，零售业务条线的下降幅度更是明显；从严重程度分布情况看，没有哪个等级严重程度的操作风险事件有明显下降趋势，大都呈现出上下波动状态。

五、研究结论及政策建议

通过运用自我评估法对某商业银行2011年1月份至2013年期间的4269个操作风险事件建模并估算出相应的年度操作风险预期损失，本文得出以下主要结论：

第一，使用自我评估法对商业银行的操作风险预期损失进行计量可以得到较为准确的结果。自我评估法的潜在优点是对于历史损失数据不够充分的商业银行采取定性分析后利用风险矩阵图将定性分析转化为量化计算同样可以加总出操作风险预期损失。利用商业银行自身风险控制状况进行定性分析，有利于体现各银行的风险特征，其测算的结果比较切合商业银行自身实际情况。

第二，中国商业银行操作风险事件仍然集中于传统业务领域。国内商业银行操作风险在业务条线之间的分布也是极不平衡的，大多数损失事件数和损失金额集中分布在商业银行业务条线和零售银行业务条线等少数业务条线中，即发生在零售银行业务和商业银行业务条线的损失事件是我国商业银行面临的主要操作风险。根据巴塞尔新资本协议的规定，商业银行业务包括项目融资、房地产、出口融资、贸易融资、保理、租赁、贷款、保函、汇票；零售银行业务包括零售存款与贷款、私人银行服务、私人信托与不动产、私人投资顾问、商户/商务/公司卡、私人银行卡。从中国商业银行实际情况看，赚取存贷款的利差仍然是银行实现盈利的最重要方式，这就注定了零售银行业务和商业银行业务条线目前还是中国商业银行赚钱的部门，包括资产管理、零售经纪在内其他业务条线的作用相对而言就显得微不足道了。

第三，操作风险事件在商业银行内部具有广泛性和普遍性。根据巴塞尔委员会的定义，流程、人员、系统及外部事件是引发操作风险的四大因素，而这些因素中的每一个环节都有产生失败的可能性。英国银行家协会（1997）从商业银行内部对操作风险进行管理的角度，对上述四个操作风险因素进行分类界定，操作性更强。其中，人员因素包括雇员欺诈/犯罪、越权行为/欺诈交易/操作失误、违反用工法、劳动中断/关键人员流失或缺乏；流程因素包括支付清算/传输风险、文件/合同风险、估价/定价风险、内部/外部报告风险、执行、策略风险/管理变动、出售风险；系统因素包括科技投资风险、系统开发和执行、系统功能、系统失败、系统安全；外部因素包括外部事件：法律/公共责任、犯罪、外部采购/供应商风险、外部开发风险、灾难/基础设施、政策调整、政治/政府风险。因此，操作风险在商业银行内部具有广泛性和普遍性。并且操作风险与商业银行所面临的其他风险关联度较大，往往与信用风险、市场风险等相伴产生[7]。

第四，商业银行操作风险事件损失分布具有厚尾性。在正常的市场条件下，在较高的置信水平和一定的时期里,由于操作风险、市场风险或信用风险发生而导致的最大潜在损失是不同的，相对而言，操作风险是一种发生频率较低但造成的损失更严重的一种风险，用统计学的语言来说，其损失分布具有鲜明的厚尾性特点[8]。如欺诈交易、重大诉讼、自然灾害等低频高损操作风险事件虽然很少发生，但由于单个风险事件就会给银行带来巨大的经济损失，严重的话，甚至会造成银行的破产和倒闭。实际操作中，低频高损操作风险事件被视为高风险类型，它们集中在损失分布的尾端，形成厚尾形状。

针对以上实证研究的主要结论，本文提出以下几点政策建议：（1）操作风险自我评估要坚持定期评估和动态管理相结合的原则。在操作风险管理中，自我评估不是只进行一次，而是要定期进行。在实践中，大银行通常是一年进行一次，小银行的评估频率要高些，至少在任何重点变化（如重组或引入新产品）发生时都要进行重新评估。当发现重大操作风险事件、外部极端操作风险事件、重大内部控制问题,以及新产品投产或系统、流程重大变化等情况，商业银行应及时开展动态的触发式评估工作，对相应业务流程进行评估，以强化、完善风险控制。（2）转变银行经营模式，大力发展中间业务，打破操作风险集中于传统业务领域的现状。中国商业银行应在人民币利率和汇率加速放开的时期，致力于开拓金融业务范围度做大中间业务和新业务，大力发展电子银行业务，做强投资银行业务，优化结算业务，提速发展信用卡业务，并提升国际业务发展水平。充分发挥人民币业务优势，促进本外币业务互相带动、协调发展。这样，商业银行在增加利润增长点、提高盈利水平的同时，还能达到改善业务结构、分散风险、从而最终增强对包括操作风险在内的各类风险的承受能力的目的。（3）建立全覆盖的操作风险评估和监测系统。中国商业银行应该按照巴塞尔新资本协议的要求，借鉴国际先进经验，运用先进科技手段，从操作风险的组织流程、计量模型、损失数据库、管理信息系统等方面，逐步建立涵盖所有业务的操作风险的评价系统，并进行持续的监测和定期评估。同时，应充分利用现代化信息处理和通讯技术，建立灵敏的信息收集、加工、反馈系统和完整的信息交流渠道，使各项决策和业务经营活动建立在充分的信息支持的基础上。利用各种信息及时调整业务经营方针和发展战略，加强决策和经营管理活动的针对性和主动性，及时协调解决内部控制中的问题，消除信息传导失真，有效防范和控制操作风险。（4）在分析操作风险事件严重程度的基础上，银行可以根据评估结果有针对性地采取各项风险管理措施以有效降低操作风险损失。一是对于低频高损操作风险事件采取转移风险策略。即通过采取有针对性的保险或业务外包来有效管理风险。二是对于高频低损操作风险采取降低风险策略，即采用商业银行业务流程再造、员工的风险培训、建立风险报告制度等加强内部控制手段，通过降低业务操作失误率和减少重复劳动等各种方式来降低此类操作风险造成的损失。三是对于低频低损操作风险采取承担风险策略，可以由拟定的商业银行营运计划或预防措施加以承担，并且由预先提取的风险资本来覆盖风险的发生和所造成的损失。

[1]银监会.商业银行操作风险管理指引[C]. 2007，（6）：1.

[2]汪建峰.商业银行操作风险管理实务[M].北京：中国工商出版社，2005.

[3]张新福，原永中.商业银行操作风险管理体系建设研究[J].山西财经大学学报，2007，（7）：91-95.

[4]温红梅.商业银行操作风险计量与控制[M].北京：中国财政经济出版社，2008.

[5]Ali Samad-Khan.Modern Operational Risk Management[EB/OL].Emphasis 2008(2):26-29.http:// www.gimanagement.com/pdf.

[6]Alberto Balestra.Quantification of Operational Risk[EB/OL].http://www.globalriskguard.com/resources/oper/op9.

[7]郑良芳.商业银行操作风险的防范与控制[J].金融理论与实践，2008，（3）：114-116.

[8]陈学华，杨辉耀，黄向阳.POT模型在商业银行操作风险计量中的应用[J].管理科学，2003，（2）：49-52.

（责任编辑：王淑云）

1003-4625（2014）11-0057-06

F832.33

A

2014-09-09

林龙腾（1972-），男，福建福州人，博士研究生；沈利生（1946-），男，江苏张家港人，华侨大学特聘教授，中国社会科学院数量经济与技术研究所研究员。