企业集团财务公司操作风险管控研究

杨向东

（供销集团财务有限公司，北京 100053）

风险就是不确定性，这种不确定性可能触发风险事件，导致出现与预期不一致的风险结果，进而形成损失。作为为企业集团成员单位提供财务管理服务的非银行金融机构，企业集团财务公司（以下简称财务公司）面临的风险与银行业金融机构较为相似，银行业经历了较长的发展过程，风险管理框架更为完善、风险管控能力更具优势，特别是巴塞尔银行监管委员会（以下简称巴塞尔委员会）经过多年对银行业金融机构的监管和审查，结合市场环境变化和各类风险的影响程度，逐渐规范信用风险（1988年巴塞尔协议Ⅰ）、市场风险（1996年巴塞尔协议Ⅰ修订）、操作风险（2006年巴塞尔协议Ⅱ）和流动性风险（2010年巴塞尔协议Ⅲ）的管理原则，不仅为银行业管控风险明确了标准，也为财务公司管控风险提供了重要借鉴。本文结合银行业操作风险管控的主要做法，以及巴塞尔委员会对操作风险管理的要求，分析财务公司如何更为有效地管理操作风险。

一、操作风险相关概念

1.基本概念

根据原中国银监会《商业银行操作风险管理指引》（银监发〔2007〕42号），操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险，包括法律风险，但不包括策略风险和声誉风险。该定义与巴塞尔委员会对操作风险（Operational Risk）的定义一致。

2.操作风险的两类事件

操作风险是所有金融产品、活动、流程和系统中固有的风险，在任何部门都有可能发生，但其发生和损失程度不可预测。为了识别操作风险，一般将操作风险分为高频低损和低频高损两类风险事件，高频低损类主要日常工作容易发生，但发生时造成的损失较小的风险事件，比如交易记录误差、资金清算失误、上报信息错误等；低频高损类主要指极端事件，虽然极少发生，但发生时会造成较大损失的风险事件，如内部人员未经授权动用大额头寸、长期掩盖大额损失等。近些年，国内外金融机构均受到低频高损类风险事件的影响，并导致大额紧急损失。

3.主要评估方法

操作风险评估可分为自上而下和自下而上两种方法，自上而下方法是由公司层面主导的一项回测方法，结合历史数据进行简单的分析判断，对高频低损和低频高损类风险事件也不做区分，比较容易实施；而自下而上方法则需要各业务条线根据自身的实际情况，结合集中收集的数据，通过区分高频低损和低频高损风险事件，对操作风险进行的前瞻性分析，再汇总到整个公司层面，结果更为可靠，但对人员、数据的要求更高，实施难度更大。

4.操作风险的计量

为了有效应对操作风险，2006年巴塞尔协议Ⅱ明确了针对银行业操作风险资本支出（Capital Charge）的计量方法，包括基本指标法（Basic Indicator Approach）、标准法（Standardized Approach）和高级计量法（Advanced Measurement Approach）。

基本指标法不区分银行的业务类型，以最近三年的营业收入加总（负值可抵扣）与固定系数（15%）的乘积计算操作风险资本。

标准法则将银行的业务分成8种类型，每个业务类型最近三年的营业收入加总（负值按0计算）与对应系数的乘积计算操作风险资本，其中公司金融、贸易和销售、结算和支付活动三类业务的系数为18%，商业银行、代理服务两类业务的系数为15%，零售银行、资产管理、零售经纪三类业务的系数为12%。

高级计量法在标准法8类业务的基础上，又将操作风险细分为客户、产品和商业活动，内部欺诈，外部欺诈，实物资产受损，执行、交付和流程管理，业务中断和系统故障，雇佣惯例和工作场所安全等7类，进而形成56种潜在操作风险事件，逐一计算操作风险资本支出。

二、操作风险典型案例分析

结合操作风险的相关概念，以及公开披露的低频高损类风险事件，对相关操作风险典型案例进行简要分析。

1.国外操作风险典型案例

1994年10月，美国信孚银行（Bankers Trust）由于不合理的衍生产品销售，给客户造成损失，随后被客户提起诉讼，引发市场关注，并造成该行经济损失1.5亿美元。此案例是金融机构在销售产品时，未明确说明潜在风险，导致客户因市场的极端事件而出现较大损失，属于客户、产品和商业活动相关的操作风险。

1995年2月，巴林银行（Barings Bank）一名衍生品交易员连续两年隐瞒交易损失，造成该行经济损失13亿美元，并导致该行破产；1995年9月，日本大和银行（Daiwa Bank）美国子公司的一名债券交易员隐瞒经济损失超过11年，造成该行经济损失11亿美元，并导致该行丧失偿付能力；1996年6月，住友银行的一名铜期货交易员隐瞒交易损失超过3年，此后因伪造签字和欺诈被判入狱，造成该行经济损失超过26亿美元；2002年2月，爱尔兰联合银行（Allied Irish Banks）美国子公司一名交易员连续三年隐瞒日元兑美元的汇率损失，造成该行经济损失近7亿美元，并导致该行声誉受损。此类案例中员工为了个人获得高额收入，掩盖损失、虚报收益，正是利用了机构内外部审计不严格、不到位的缺陷，属于内部欺诈，执行、交付和流程管理相关的操作风险。

1997年3月，国民西敏寺银行（Nat West）一名互换交易员通过错误定价和高估期权合约，造成该行经济损失1.26亿美元并显著影响该行声誉；2008年1月，法国兴业银行（SocGen）一名交易员通过系统缺陷，未经授权动用该行股指期货头寸，造成该行经济损失49亿欧元，并导致该行声誉严重受损。此类案例中问题员工利用系统缺陷，属于客户、产品和商业活动，内部欺诈，执行、交付和流程管理，业务中断和系统故障相关的操作风险。

2.国内操作风险典型案例

国内方面比较典型就是光大证券乌龙指事件，2013年8月光大证券策略投资部门自营业务使用独立的套利系统发生问题，2秒内瞬时重复生成26082笔预期外市价委托订单，导致上证指数出现大幅拉升，后被法院判罚425万元。该案例属于业务中断和系统故障相关的操作风险。此外，我们在新闻报道中也可以看到银行内部员工挪用资金、与借款人合谋骗贷、利用银行职员身份从事欺诈活动等内部欺诈，外部欺诈，执行、交付和流程管理等相关的操作风险。出现这些操作风险问题的实质是缺乏操作风险管控意识，制度制定或者制度执行及检查不到位。

因此，金融机构越来越重视对操作风险的管理和控制，通过完善的风险控制体系，减少操作风险发生的可能性，并及时、有效应对可能出现的操作风险，降低操作风险事件带来的影响和损失。

三、银行业操作风险管理的主要做法

银行业的网点、人员更多，表内外融产品更为多样，面临的操作风险更为复杂、多样，历史上也出现过多起操作风险事件，给涉事金融机构造成较大损失。为此，原中国银监会通过下发《商业银行操作风险管理指引》加强商业银行的操作风险管理，推动商业银行进一步完善公司治理结构，提升风险管理能力。在外部监管压力和内部发展动力的双重推动下，银行业持续优化操作风险管理体系，操作风险的管理水平显著提升。

1.建立符合要求的公司治理结构

每家银行的公司治理结构可能存在一定的差异，但基本都将操作风险纳入全面风险管理体系，在核心部门设置和主要工作安排上也大同小异，一般包括董事会、高管层、监事会、风险管理委员会、内控与合规委员会、风控部门、稽核审计部门等职能机构。

董事会是操作风险的最高决策机构，负责批准实施全行操作风险管理框架，提出明确的方向性指导意见，批准操作风险管理相关办法，监督高管层履职。高管层负责组织设计并执行全行操作风险管理框架，制定办法，明确分工。监事会应监督董事会和高管层操作风险管理的履行情况。风险管理委员会属于董事会下设机构，负责审核操作风险管理办法，对实施情况及效果进行监督、评价，定期评估操作风险管理状况和承受能力。内控与合规委员会，审议操作风险识别、评估、监测、控制、缓释等具体管理制度和报告制度，对发生重大操作风险事件提出应急处理方案。风控部门是操作风险管理的牵头部门，负责设计操作风险管理框架，建立操作风险控制标准，对操作风险进行管控和自我评估。稽核审计部门负责对操作风险管控情况定期开展独立评价。

2.持续提升操作风险管理水平

为构建操作风险管理框架，管控操作风险，银行一般建立三道防线，即业务部门及支付部门日常管控的第一道防线，独立的风控部门管控的第二道方案和内部审计部门独立审核的第三道方案。银行还会根据实际情况，不断优化三道防线的职能，充分提升三道风险对操作风险的管理水平，并对操作风险关键指标监测体系以及风险事件报告收集机制进行重检完善，持续改善操作风险管理能力。

3.较为完善的跟踪检查、信息披露和信息系统

风控部门和稽核审计部门，都会根据自身职能，定期或不定期针对操作风险相关制度执行、操作风险情况及敞口等情况组织开展检查、评估，从前端预防和管控操作风险，同时根据监管要求和实际情况充分披露操作管理和风险状况。

此外，银行业的信息系统、数据库较为完备，通过逐级授权和流程管控，利用信息化技术，有效管控人为的操作风险；比较完善的灾备系统，也对业务正常运营和业务连续性具有重要的保障作用。

4.有效计量操作风险

根据巴塞尔协议Ⅱ的要求，为了更好地识别和计量操作风险，银行都会根据自身情况，结合关于操作风险资本计量的三种方法的要求，明确操作风险资本支出计量标准。将操作风险与市场风险的资本支出同样按照12.5倍的标准计入风险加权资产，并以此计算实际的资本充足率。

四、健全的操作风险管理原则

巴塞尔委员会2003年2月出版《操作风险管理和监督的健全实践》，首次阐明操作风险管理的原则框架（以下简称“原则”），并在2006年发布《资本计量和资本标准的国际融合修订框架》（即巴塞尔协议II）中予以明确。结合2007年金融危机的教训，巴塞尔委员会于2011年对原则进行了修订。同时，巴塞尔委员会也结合银行对原则的执行情况进行跟进审查，并结合审查发现的问题和外部形势的变化，对原则进行持续的完善。特别是出现新冠疫情后，巴塞尔委员会认为大流行病、自然灾害、破坏性网络安全事件或技术故障等不可抗因素对银行业务造成的重大影响正在逐渐增加，巴塞尔委员会2021年再次对原则进行了修订。

新修订的原则共包括12项，涵盖治理体系、风险管理环境、信息和通信技术、业务连续性规划和信息披露等五个方面，12项原则应纳入操作风险管理框架（Operational Risk Management Framework）和整体风险管理框架（Overall Risk Management Framework）。从12项原则的执行主体看，主要分为董事会、高管层和公司内部三个层面，在董事会层面：应建立有效的，由高管层实施的风险管理文化，为专业和负责任的行为制定标准和激励措施，并确保员工接受适当的风险管理和道德培训，即可避免发生操作风险事件，也能更好地应对操作风险事件；将操作风险管理框架纳入全面风险管理流程；批准并定期审查操作风险管理框架，确保高管层在所有决策层面有效执行操作风险管理框架的政策、流程和系统；批准并定期审查列明愿意承担的操作风险性质、类型和水平的风险偏好和容忍度报告。在高管层面：应制定职责范围准确、透明、一致，内容明确、有效、稳健的治理结构；全面识别和评估所有产品、活动、过程和系统中固有的操作风险；确保变更管理流程全面且在相关防线之间占用资源适当并充有效阐明；实施定期监测操作风险状况及重大风险敞口的流程。在公司层面：应拥有利用政策、流程和系统的环境，适当的内部控制，以及缓释或转移风险的策略；根据操作风险管理框架实施健全的信息通讯技术管理计划；制定与操作风险管理框架挂钩的业务连续性计划，以确保持续运营，并在发生严重业务中断时降低损失；公开披露的信息应允许利益相关方评估其操作风险管理方法和风险敞口。

五、财务公司操作风险管控建议

财务公司在加强企业集团资金集中管理、提高资金使用效率、降低资金使用成本和优化集团内部资金结构方面具有积极作用，自1987年国内首家企业集团财务公司成立以来，企业集团设立财务公司的数量大幅提升，在册财务公司已经超过250家，财务公司整体的运营能力和风险管控水平也随着行业的发展显著提升，对操作风险的管理也持续优化，但相较于银行业操作风险的做法以及健全的操作风险管理原则，财务公司的操作风险管理还存在一定的改善空间，需要充分学习借鉴行业有效做法，不断提高自身操作风险管理水平。

1.持续完善公司治理结构

完善的公司治理结构是有效操作风险管理框架的基础，能够为风险管控制定制度依据，推动财务公司全面的风险管理体制有效实施。一是董事会和高管层应推动建设并实施清晰明确的风险管理文化，实践中具备强健风险管理文化和商业道德的金融机构，较少发生破坏性的操作风险事件，并且可以有效地处理应对操作风险事件；二是操作风险管理完全融入企业的全面风险管理架构并确保两者有效衔接、协调一致，为操作风险设定容易理解的风险偏好和容忍度，设置有效可执行的激励约束机制，让风险管理意识深入人心；三是部门间明确职责分工，避免业务交叉、冲突，同时部门内人员也应有设置复核、审查机制，降低操作风险出现的可能性。

2.营造操作风险管理环境

营造良好的操作风险管理环境应注重做好三个方面：一是开展操作风险的识别和评估，全面识别与企业操作风险有关的内外部因素，以更好地了解企业风险状况，制定相应的风险管理策略，分配合理的风险管理资源，这是操作风险管理的基础特征；二是做好操作风险的监控与报告，对各部门、各产品进行全面、准备、一致的监控，编制正常测试和压力测试下的监控报告，通过提供内部财务、运营和合规指标，以及与决策相关的外部和环境信息，充分描述操作风险状况；三是进行操作风险控制与缓释，制定健全包括风险评估、控制活动、信息通讯以及监控活动的内部控制方案，在内部控制无法充分处理风险的情况，通过保险等手段转移风险。

3.强化人才以及信息系统建设

人才是财务公司高质量发展的重要资源，信息系统是财务公司高效运营的重要保障，两者支撑着财务公司的运营，但也是公司内部潜在、重要的操作风险点，需要通过持续的人才和信息系统建设，管控操作风险。一是强化员工岗位技能、操作流程和规章制度培训，持续提升员工执业水平和风险管理意识，有效规避高频低损类风险事件的发生；二是注重员工职业道德和安全保密教育，加大专业风险管控人员的培养力度，做好重点岗位轮岗论调、强制性休假，通过自律和他律，从源头控制低频高损类风险事件发生的可能性；三是逐步完善信息系统建设，提升业务流程的信息化水平，实现数据的信息化、流程的规范化，降低人工处理和人为干预，减少因人员工作疏忽导致的操作风险，必要时建立灾备系统，提高系统的安全性、可靠性。

4.做好制度的建设、执行和检查

制度是财务公司良好运营和发展的坚实基础，只要严格执行才能充分发挥制度的作用。一是将公司治理结构、企业风险文化、风险管理环境等内部规范化、制度化，制定内部规章制度，确保制度能够覆盖所有部门和业务领域；二是组织风控、稽核审计等相关部门对操作风险管理情况进行全面、动态监督和评估，提出优化操作风险管理的建议，及时将相关情况结果上报董事会、高管层，董事会、高管层针对性批准实施更加完备的操作风险管理标准；三是开展必要的压力测试，分析重大操作风险事件对公司业务和经营的影响程度。

5.逐步做好信息披露工作

参照银行业的实际，逐步做好操作风险相关的信息披露工作。一是制定正式的信息披露制度，该制度可以包括操作风险信息披露的方法、内部控制要求及相应程序；二是结合公司规模、风险状况及其复杂程度，及时披露操作风险相关信息，以便相关方有效识别、评估、监控、控制或缓释操作风险；三是模拟银行业的做法，尝试计算操作风险资本支出，并在必要时纳入资本充足率计算，以更好地反映财务公司的资本充足率水平。