文章作者：刘吕科 陈忠阳

与其他风险类别相比，操作风险具有普遍性、内生性和易传染性的特点，国际国内诸多陷入经营困境的银行，很多都是操作风险管理不善、缺乏足够的运营韧性导致的。在巴塞尔协议框架下，国际监管机构在对操作风险出台系列指导性文件的同时，修正了操作风险资本计量标准，提高了操作风险计量与管理的全面性与可靠性。

对于我国商业银行尤其是中小银行来说，操作风险管理水平和能力在很大程度上能够体现银行整体的风险管理能力和水平。2023年7月28日，国家金融监督管理总局公布了《银行保险机构操作风险管理办法（征求意见稿）》（以下简称《征求意见稿》），并向社会公开征求意见。《征求意见稿》分为6章50条，体系化地明确了操作风险管理的治理架构、管理流程、监督管理，是未来商业银行做好操作风险管理的指引与纲领性文件。可以预期，办法正式发布后，我国商业银行操作风险管理将更加规范和完善，我国银行业整体运营韧性将会进一步提高。

本文结合国际监管改革系列文件及我国银行业现实情况，系统分析《征求意见稿》的内容及影响，以期为商业银行操作风险管理提供参考和借鉴。

国际监管改革进展

（

操作风险管理由于其内生性、普遍性和复杂性，相伴业务产生并且伴随着业务衍变不断衍生出新的形态和形式。国际监管机构从良好标准实践、增强运营韧性、改革资本计量方法等多个方面建立并持续修订操作风险监管标准，为国际银行业操作风险监管提供了指引和方向。

确立并持续修订操作风险管理良好实践基本原则

巴塞尔委员会于2003年首次发布了《操作风险管理良好实践的基本原则》（Principles for the Sound Management of Operational Risk ）（以下简称《基本原则》），并针对上轮金融危机中暴露出的操作风险管理的主要缺陷，于2011年对其进行了修订。为了进一步评估全球操作风险管理对《基本原则》的实施程度，识别主要差距并找出原《基本原则》未能覆盖的重要风险因素，2014年巴塞尔委员会对《基本原则》进行了重检。

2014年的重检发现了一些基本原则并没有被充分实施，需要修订以适应新形势下的操作风险管理需求。巴塞尔委员会认为2011年版《基本原则》对以下问题覆盖不足：一是风险识别与评估工具，包括操作风险控制与自我评估（Risk and Control Self-Assessment，RCSA)、重要风险指标、外部损失数据、业务流程映射、多元比较分析和对行动计划的监测等；二是变更管理及其有效监测；三是对三道风险防线的实施，尤其在任务分配与职责分工方面；四是董事会及高管层的监督管理；五是操作风险偏好和容忍度陈述书的清晰阐释；六是风险信息披露。

同时，巴塞尔委员会认为2011年版《基本原则》未能很好地捕捉到特定的新型操作风险因素，尤其是信息与通信技术(Information and Communication Technology，ICT)风险，且2011年版不能较好地体现和衔接2017年版巴塞尔协议关于操作风险资本计量方法的改革。基于此，巴塞尔委员会于2021年发布了修订后的《基本原则》。

修订后的《基本原则》包括12条基本原则，系统论述了操作风险管理良好实践标准的治理架构与职责分工；提出了良好操作风险管理环境的具体标准，具体包括识别与评估、监测与报告、控制与缓释；同时，对信息与通信技术、业务连续性管理、信息披露、监督检查进行了明确要求。

《基本原则》是操作风险管理和监管的纲领性文件，各个国家在制定操作风险管理框架时均在很大程度上借鉴并吸收了《基本原则》的精神和要求。

增强银行业的运营韧性

认识到银行能从全球性流行疾病、自然灾害、网络或系统安全事件中迅速恢复或保持持续经营非常重要，巴塞尔委员会于2021年发布了《运营韧性原则》（Principles for Operational Resilience），重点聚焦治理、操作风险管理、业务连续性计划及测试、内部关联与外部依赖的捕捉、第三方独立性管理、事件管理、网络与信息技术安全。

运营韧性和操作风险管理框架是互不冲突且相互促进的两个管理框架，增强运营韧性有利于完善操作风险管理基础，同时完备的操作风险管理也会显著提高运营韧性。

改革操作风险资本计量方法

金融危机暴露出操作风险资本计量的诸多缺陷，包括高级计量方法过于复杂，结果不透明、不可比；标准方法仅仅和业务规模挂钩，但很多情况下越大规模的银行操作风险管理水平越高，不能仅仅因为规模过大而计提较高的操作风险资本。巴塞尔委员会于2017年12月颁布了《巴塞尔协议Ⅲ：金融危机后改革的最终方案》（Basel Ⅲ: Finalising Post-crisis Reforms），明确取消了资本高级计量方法，只保留了标准化方法，并在标准化方法中引入了内部损失乘数，提高了操作风险资本计量的风险敏感性。

《征求意见稿》的主要内容及影响

作为巴塞尔银行监管委员会成员国之一，我国监管部门也积极推动国际监管标准在我国的落地实施。操作风险监管也是我国银行业监管环节中的重要一环，原银监会、原保监会分别于2007年、2008年颁布了《商业银行操作风险管理指引》《保险公司偿付能力监管规则》，对银行保险机构的操作风险进行了规定和要求。

本次发布的《征求意见稿》是国家金融监督管理总局挂牌后，首次对银行保险机构操作风险监管规则进行整合，吸收国际监管改革经验，并根据操作风险防控新形势制定的整合性监管规则。与原《商业银行操作风险管理指引》相比，《征求意见稿》具有以下特点。

完善了操作风险偏好与操作风险管理流程。《征求意见稿》明确提出银行保险机构要制定好、传导好、监测好操作风险偏好，并结合我国国情和国际监管标准，对业务连续性管理、变更管理和压力测试提出了监管要求，进一步完善了操作风险全流程管理。

突出“三道防线”的划分及各自职能。尽管“三道防线”的理念在银行业、保险业已经根植于心，但部分机构的部分业务环节中，还存在第一、二道防线界定不清晰的情形，对“三道防线”角色和责任的混淆很大程度上会降低操作风险管理的有效性。《征求意见稿》进一步明确了“三道防线”各自的角色和职责，厘清了操作风险管理不同角色的职责边界。

重视网络与信息技术等新型操作风险管理。《征求意见稿》第五条规定了要统筹协调业务连续性、外包风险管理、网络安全、数据安全管理和突发事件应对等机制，第二十九条明确要求银行保险机构“应当制定数据安全管理制度，对数据进行分类分级管理，采取保护措施，保护数据免遭篡改、破坏、泄露、丢失或者被非法获取、非法利用，重点加强个人信息保护，规范数据处理活动，促进依法合理利用数据”。《征求意见稿》将网络安全管理与数据安全管理作为银行保险机构操作风险管理的重要内容之一，该要求将和《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》一起，进一步规范银行保险机构信息传递、使用与保护全流程安全管理。

更加强调“运营韧性”。《征求意见稿》明确规模较大的银行保险机构应当“基于良好的治理架构，加强操作风险管理，统筹协调业务连续性、外包风险管理、网络安全、数据安全管理和突发事件应对等机制，结合恢复与处置计划工作，提升运营韧性，具备在发生重大风险和外部事件时持续提供关键业务和服务的能力”，为银行增强运营韧性提供了方向和指引。

更加注重差异化监管。《征求意见稿》在基本原则里强调操作风险管理“应当与机构发展战略、经营规模、复杂性和风险状况相适应”，并在具体管理要求上，充分考虑不同规模银行的实施能力，差异化地设定监管规则。对于规模较大的机构，即并表调整后表内外资产（杠杆率分母）达到3000亿元人民币（含等值外币）及以上的银行机构，以及按照并表口径（境内外）表内总资产达到2000亿元人民币（含等值外币）及以上的保险机构，提出较为严格的监管标准，如该类机构应当至少每三年一次委托第三方机构对其操作风险管理情况进行审计和评价；对规模较小的机构则适当放宽监管标准，如规模较小的银行保险机构可不设立《征求意见稿》规定的操作风险管理专岗，并且对规模较小的银行保险机构执行操作风险治理架构和风险管理基本要求的相关规定有两年过渡期。

主要意见及建议

继《商业银行资本管理办法（征求意见稿）》（2023年2月18日发布）对操作风险资本计量标准进行明确后，《征求意见稿》进一步明确了操作风险管理体系框架及标准，补齐了我国银行业操作风险管理中最基础也最重要的一环，在一定程度上标志着我国商业银行操作风险管理迈入新时代。

但无论对于监管部门还是银行保险机构，新形势下的操作风险监管和管理都有较高的难度和复杂程度，需要在借鉴国际良好实践的同时，结合我国国情完善并细化监管标准，并监测好、执行好、运用好监管标准，增强我国银行业的运营韧性和抵御风险能力，牢牢守住不发生系统性风险的底线。

对于监管部门来说，要继续完善操作风险管理政策标准，确保监管标准既充分吸收国际监管的良好标准，体现操作风险监管与实践发展趋势，又符合中国特色实践，满足新形势下管控风险的现实需要。一是要统筹好操作风险管理标准与案件管理、合规管理的关系，以全局思维、系统化思维做好操作风险监管标准体系建设；二是要衔接好操作风险管理体系内资本计量、压力测试、三大操作风险管理工具、业务连续性管理等各个环节，确保监管标准在考虑全面的同时实现衔接得“严丝合缝”；三是要细化好操作风险管理重点环节的具体标准，如《征求意见稿》虽提出了增强运营韧性要求以及数据安全管理要求，但对具体标准没有清晰界定，建议细化要求，给银行保险机构予以更明确的指引。

对于银行保险机构来说，应积极分析影响，主动做好实施新规的准备，以实施新监管标准为契机，进一步夯实自身操作风险管理的基础。在此过程中，银行保险机构一是要统筹考虑，对操作风险管理新规、巴Ⅲ资本计量标准、操作风险三大工具、外包及连续性管理等进行体系化考虑，在确保机构内部各环节充分衔接的同时，避免重复建设，增强各管理环节的内在一致性；二是要构建数字化工具，通过操作风险管理智能工具体系建设，做好损失数据收集、管理与应用，提高管理的准确性与效率，并管理好相伴而来的操作风险；三是要用好操作风险管理的实施成果，不能将其仅用来满足监管要求，也要深入广泛地应用于业务流程中，不仅将操作风险管理作为风险经营中的“防波堤”，也要将其作为“监视仪”和“放大镜”，及时发现业务经营中的薄弱环节，扎紧扎实全面风险管理的“篱笆”。（作者单位：中国民生银行风险管理部，中国人民大学财政金融学院，其中陈忠阳系中国人民大学财政金融学院教授、博士生导师）