强监管形势下，中小商业银行如何管理操作风险？

文 / 泸州市商业银行副行长、首席信息官 成安华

通付盾创始人 、董事长兼CEO 汪德嘉

泸州市商业银行副行长 首席信息官  成安华

近年来，中国金融业有了巨大的发展，各种金融创新层出不穷。然而，金融业兴旺蓬勃发展的背后，却隐藏着各金融机构多年来追求业务、忽视风险的做法，扰乱了金融行业市场的稳定。2018年初，银保监会下发《关于进一步深化整治银行业市场乱象的通知》，增强了监管规模和执法力度，细化了银行业乱象整治工作的重点。

监管部门之所以对操作风险愈加重视，是因为与其他风险类型相比较，操作风险分布于银行业的各个经营管理层次，贯穿于经营管理活动的始终。合理、严格的操作风险管理体系的建立、执行，是现代商业银行综合竞争力的重要方面，是银行长远发展的奠基石。

中小商业银行操作风险管理的最新探索

面对中小商业银行操作风险监测的普遍难题和挑战，泸州市商业银行成立了操作风险课题研究小组，从中小商业银行角度出发研究操作风险管理体系的实现方式，优化当前的操作风险管理组织架构，完成对操作风险事前、事中、事后的监督工作，从本质上提高操作风险管控的能力。

泸州商业银行结合国内中小商行操作风险普遍情况，建立了 “2H + 4象限”，2个H指“合（Hé）规”及“活（Huó）动”，两个H的互相关系，构成了人类活动的4象限，如图1所示。

图1 风险的2H + 4象限表示方法

第一象限：做了该做的。当已做的比该做的多，或者少，则构成风险事件。该类事件可以通过信息系统的各种数据的分析来监测和防范。

第二象限：该做的没做。构成风险事件。该类事件可以通过信息系统的事件记录，部门日志文件等来觉察和防范。

第三象限：不该做的没做。不构成风险事件。但该象限包含隐藏的风险，比如有违法的计划但未实施等。对此类无法用信息系统监测的潜在风险，操作风险的制度建设也应包括法规及道德的教育，防范风险于未然。

第四象限：不该做的做了。构成风险事件。该类事件可以通过信息系统的事件记录，部门日志文件等来觉察和防范。

操作风险实际上可分为人、信息系统（以下简称系统）两个实体元素、以及流程和外部事件。分类如图2所示：

图2 结合中小商行情况的操作风险分类

具体包括：

（1）对于人的活动，分为未执行规定、执行规定外的操作、未按要求执行规定3种类型。

①未执行规定又分为2类，一类是借助于系统交易进行的活动，比如每日扎账，对该类风险可使用监测系统进行监测查看是否完成；另一类是依据法律法规、合同、内部规章进行的活动，此类可将其添加进监测系统设为任务，用系统监测是否完成，比如合同规定的巡检，巡检完成后要求在系统中销号。

②执行规定外的操作。比如扎账每天只能1次，结果在短时间内轧了2次账等，此类风险可通过监测系统监测。

③未按要求执行规定。此类风险可能需要进行事后评价，比如需定期数据清理，结果发现短时间内系统容量不够，需监测系统进行监测。

（2）信息系统类的操作风险，此类风险可采用日志监测、交易监测等措施。

（3）流程类实际上是融入到了人、信息系统两大类活动当中，需要通过计量系统使用AI的方法从这些活动中抽象出来。

（4）外部事件除了对反欺诈、反洗钱、反舞弊一类系统进行研究，还需研究其他外部事件，如：竞争对手的价格战、消费者权益方面的诉讼、市场环境的变化等等。将其添加到计量系统中作为宏观因素，赋予影响权重，计算影响结果。

根据目前泸州市商业银行在当前管理模式下的数据收集、风险项整理和分析，项目基于流程银行制度建设情况的监督，对操作风险进行量化的分析评估。具体来说，包括：

（1）对组织架构和制度体系的优化。通过对操作风险成因和现状的认识，深入分析其背后的组织架构和制度体系。未来应设立专门的中台部门来管理和构建完整的操作风险监测体系，以优化目前分散在集中作业中心、呼叫中心、中心机房、运行管理部检查科、内控合规部、反欺诈系统、反洗钱系统、稽查大队等各个部门的操作风险项目的现状。更好地明确授权体系和职责边界，使得信息沟通更通畅、决策更高效、对风险的判断更及时。

（2）在操作风险监测中引入人工智能技术。在比较成熟的运维系统、反欺诈系统、反洗钱系统等的基础上，通过引入基于大数据的人工智能技术更新和改进风险管理模型，并应用到宏观风险监控和微观业务流程的监测和管理。

（3）建立操作风险计量系统。从前期风险清单的收集，到确定数据来源，明确量化指标，在一定数据量的基础上，运用机器学习的方法计算量化模型，之后根据这个模型达到监测和报告的效果，可以帮助我们预测不同情景下的操作风险估计，能够很好地降低银行资本消耗。

操作风险管理组织架构制度体系建设

操作风险遍布于商业银行的前台业务部门和后台信息科技部门，对于大部分中小商业银行而言，最根本的操作风险管理体系的实现方式，是通过设立专门的中台部门来管理和构建完整的操作风险监测计量体系，整合优化目前分散在各个部门条线的操作风险。

由于商业银行的操作风险涉及到各条线业务的方方面面，因此各银行在对操作风险的管理方面要确保操作风险管理制度的全面性、灵活性、前瞻性，使得涉及商业银行操作风险的各个风险点、各个细节都有相应的规章制度进行管理约束。

针对授权体系而言，需要体现责权利三者有机的统一，权限大小应按标准计量。一是按照经济资本计量思维，科学测算多维度限额，以此为基准，进行适量授权；二是根据被授权人的区域差异、自控及抗风险能力等进行适度授权；三是针对被授权人的盈利能力、效益增长和风险降低等因素，适时调整授权。通过建立数据模型、设置参数变量等实现对授权权限的科学计量，从风险管理的角度对授权的权限和内容进行良好的监管。通过系统管理工具，实现权限的查询，管理部门可以对授权情况进行监测分析，提高授权管理力度，规范授权管理，在有效规避风险的同时，促进业务健康发展。此外，授权管理系统应具有前瞻性。随着业务的发展，系统应支持通过配置的方式增加数据源，有效地支持授权变更工作。

总的来说，适应操作风险管理的组织架构应遵行独立、集中、垂直的风险管理理念。其中独立指的是业务操作部门是与风险管理部门相互间独立的，这样从源头上保证操作风险管理的客观性。同时，风险管理委员会集中履行全行风险管理职能，其专业化程度可以满足对操作风险管理工作的指导监督检查。垂直的管理模式有利于打通上下级之间操作风险管理报告的通道，使得风险预警响应机制的运行效率有制度的保证。

以构建由中台部门统一管理的操作风险治理架构的主体目标，根据研究的内容及范围，应分阶段进行相应的工作。

首先建立中台管理的操作风险治理构架，整合集中作业中心、对账中心、呼叫中心、中心机房、反洗钱、反欺诈等作为中台管理，并建立操作风险实时监测系统以及操作风险计量系统，构建操作风险分析体系；

其次按照治理架构进行实施其他业务条线铺开操作风险中台管理，拓展业务监测范围。此外在操作风险实时监测系统和计量系统运行的更新维护等的基础上对操作风险事件做到逐步的监控管理；

最后在充分研究测试的基础上，最终实现全面有效的操作风险防控。

中小商业银行操作风险智能化管理信息系统

以泸州市商业银行对操作风险的监测和计量为例，一个智能化的操作风险管理信息系统，能对中小商业银行治理操作风险提供决策支持解决其操作风险管理和业务快速扩展不匹配的矛盾。对于操作风险的监测和防控，由于认识不足、执行力度不够、检测范围不全等各种原因，执行难度很大，因此新兴的金融科技手段对检测和防控意义重大。

（一）针对实时的操作风险监测：在银行现有的运维系统、反欺诈系统、反洗钱系统等的基础上，通过引入基于大数据的人工智能技术更新和改进风控模型，并应用到宏观风险监控和微观业务流程的监测和管理。以新兴的金融科技的手段，建立具有通用性、先进性、功能完整的平台，能更加有效地识别并防控操作风险、洗钱、外部欺诈、内部欺诈等风险，并且能快速对应监管合规需求。提供时间、位置、设备、行为、关系、偏好等多维度的监控手段，具有名单功能、语义化配置功能，并兼具有可扩展性。落地的智能风控实时系统具备实时风控大盘、风险阻断处理、风险策略管理、风险事件管理、风险地图、角色权限管理、可视化报表、自定义名单、案件管理和用户关系网模型等功能。

通过对历史欺诈数据进行数据拆分、清洗、整理、打标签、浓缩、分析，进行特征工程以及特征提取，从而提炼出新规则。通过大数据的分析比较经过机器学习模型调整后的新规则集和旧规则集的识别效果，一旦新规则集识别效果优于线上旧规则集，则可将机器学习离线学习的阈值、权重和新规则同步至线上，提高整体的准确率。

（二）针对后台的操作风险计量：整个系统设计和运行的过程如下：

第一，收集整理各部门的工作日志，总结相关信息，根据各个风险项目的严重性制定了量化的评分，并在此基础上将事件在一定时间内发生的次数作为一个指标来衡量事件的风险性，建立完整的操作风险清单，作为整个操作风险计量系统的基础。

第二，从操作风险事件所对应的部门、机构、风险类别分类、引起操作风险事件的风险因子以及所造成操作风险事件结果的风险性质等多维度对风险清单中的事件进行分类，全面地展现操作风险现状。之后以及完整的操作风险清单建立合适的数据库结构，记录每个风险事件对应的发生机构和发生部门、事件类型、风险描述、严重性和次数估计等后期建模所需的量化指标。

第三，从实施的角度明确操作风险清单中各风险事件的数据来源，包括结构化数据和非结构化日志数据，尤其对于承担着各相关业务系统的实时日志数据采集，系统自身的运行需要直观的展现。系统需要监控交易数据的处理量、频度和风险事件。需要监控各个日志数据来源采集器的工作情况，和展示采集的数据统计情况需要可视化展示操作风险实时规则运算结果和模型运算结果。

第四，预测。主要建立在机器学习的基础上，使用机器学习建立操作风险事件发生频率和因变量之间的模型关系，以便有效地预测未来的操作风险事件发生频率。将有效性和精确性作为主要考虑因素，选用最适合历史数据的在险价值VaR，使用蒙特卡罗模型结合泊松分布测算数据集特征及计算在险价值。利用指数分布构建事件发生的时间，利用泊松分布预测事件在单位时间内的发生次数，利用风险价值衡量风险事件的严重性。系统定期（每天凌晨）运行，将采集到的风险事件的次数与之前时间范围内每个类型风险的平均值进行比较。根据新的数据更新泊松分布的参数，应用蒙特卡洛模拟，对事件发生频率和严重性的百分位重新估计，更新总体严重性的风险价值。

第五，从宏观的内部控制环境因素的角度量化其对操作风险事件估计的影响。因为商业银行操作风险管理与内部控制的关系是一个相互依存、相互促进、相互补充的有机整体，在研究操作风险的时候，不能忽视内部控制的宏观因素对于操作风险的影响以及经济形势、监管政策等外部因素。

相比起传统的操作风险管理模式，这种智能化的操作风险监测计量系统有以下几点优势：

（1）基于客观数据操作风险模型分析的量化管理系统。通过给定各类风险事件赋予严重性评分，将操作风险量化，便于后期模型统计监测及展现。

（2）规范操作风险监测流程，覆盖操作风险全过程。及时将操作风险数据上传进系统，有助于管理人员了解整体情况，便于把控操作风险现状，做出合理判断。

（3）改变手工操作模式，提高操作风险管理工作效果。操作风险监测防范技术从早期的全手工方式，到中期计算机辅助方式，一直到当前计算机综合模式，使得监测更为合理有效。

（4）实现操作风险指标预警监测。提前发现风险，对风险进行预测，可以做到提前准备，减少风险造成的损失。

总的来讲，中小商业银行的操作风险量化分析管理任重而道远。随着国内银行业监管力度的加强以及银行自身业务的迅速发展，操作风险管理的重要性越发突出。应用金融科技的手段进行操作风险的管理，在高风险领域进行科技化、自动化、智能化的监控，建立新型的人工智能风控模式，是未来发展的必然趋势。

声明：本文来自金融电子化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。