凡益之道，与时偕行—— 高质量发展时期金融机构操作风险管理的升级与优化

随着我国经济从高速增长向高质量发展阶段的转变，金融机构的操作风险管理体系也面临着升级优化的挑战。监管机构也在酝酿从操作风险监管制度上进行全面升级。因此，金融机构亟需针对操作风险管理梳理现状与识别不足，规划未来优化升级的方向，并推进与落实具体举措。

操作风险监管的演进脉络与趋势

银行业和保险业操作风险监管的演进脉络简要梳理如下（图1）：

图1：银行保险机构操作风险监管脉络

注：浅灰底色表示已失效，黄底色表示现行有效

银行业

原银监会自2007年开始陆续发布了《商业银行操作风险管理指引》等一系列操作风险相关的监管指引，指导银行业建立规范的操作风险管理体系，提升操作风险管理水平，将操作风险纳入第一支柱监管并科学计算操作风险资本占用。此外，现行监管规则还包括专项强化对业务连续性管理及信息科技外包风险的管理。

当前，融合新巴塞尔协议Ⅲ要求的《商业银行资本管理办法》预期将在不久后发布生效，其大幅调整了操作风险资本计量的要求，形成了基于不同收入规模的差异化机构监管要求，并通过在新标准法中引入内部损失乘数（ILM），使得历史操作风险的损失数据可以直接影响当前资本计量的结果，进一步强化了银行资本稳健性和运营稳健性之间的平衡。

保险业

对于保险机构而言，监管机构暂未发布操作风险的专项监管指引。2010年，原保监会出台的《人身保险公司全面风险管理实施指引》（目前已废止），初步对人身保险公司全面风险管理（包括操作风险）提出要求。

2015年和2021年，监管机构分别出台了“偿二代”一期及二期监管规则，虽然没有如欧洲和美国监管规则纳入第一支柱，但通过“偿付能力风险要求与评估”（SARMRA）和“风险综合评级”（IRR）两个技术指引进一步强化、细化对操作风险的专项管理要求。

操作风险管理的缺陷，不仅会导致保险机构监管资本要求的上升，还使得公司风险综合评级受损，并可能进一步触发监管行动，以及引发投资者和消费者用脚投票的反应。

展望未来，银保监会或将考虑出台针对银行和保险机构整合的操作风险管理监管标准，一方面，可对银行业已经实施15年的操作风险管理实施指引进行升级，并适当补充近年来的新兴风险，譬如模型风险、网络与数据安全风险等；另一方面，或将为保险业制定针对操作风险的专项监管制度，并加速行业的操作风险管理体系建立与完善，实现跨越式提升。

金融机构操作风险管理的痛点

当前，许多金融机构已初步建立了操作风险管理的组织职能部门、政策制度、管理工具、指标与报告，以及信息系统，但总体来看，多为事后管理，主观性较强，缺乏有效的识别、计量及监测方法，管理工具运用效果也并不理想。

分行业来看，多数商业银行在初始建立操作风险管理体系后并未持续更新迭代，管理架构、工具手段、流程机制已滞后于当前的内外部环境和业务的创新发展，存在不少管理盲区；而大多数保险公司的操作风险管理仍停留在以满足监管合规为主，管理机制不到位，体系不健全。

治理模式与组织分工不健全，协同能力有限

横向：三道防线未能有效履职，无法形成整体合力

第一道防线主动意识不强：仅仅停留在配合的角度工作，倾向与二道防线“风险共担”一同解决风险问题，或把实质风险工作“分包”转移回二道防线。

第二道防线管理职责不清：部门间存在扯皮、踢皮球的问题，导致实际的大部分工作和管理职责落在二道防线。操作风险管理部门缺乏管理抓手，风险管理过于“被动”。

第三道防线监督效力不够：对于屡查屡犯问题、深层次的风控机制建设等较难发挥作用，无法真正起到对一、二道防线的监督和评价效果。

纵向：传导渠道不畅，效力逐层递减，基层事件频发

研究发现，很多金融机构的操作风险管控举措传导渠道不畅，操作风险管理效力逐层递减，基层操作风险事件仍屡见不鲜。

传统管理工具运用不足，风控效果不佳

操作风险管理三个传统工具的“多口径”、“两张皮”、“管不住”等问题长期困扰着金融机构，相比于银行业，保险业因为起步更晚基础更弱，问题也更显著。

风险与控制自我评估（RCSA）：工作环节多，工具使用难，结果准确度差

目前行业还是主要采用主观和定性的方式，剩余操作风险的敞口与等级主要依赖于评估者的主观感受和经验积累；

缺乏完整有效的复核校验机制，无法准确认知评估风险；评估工作量繁杂，评估人员疲于应付，较难做到主动有效发现风险隐患。

关键风险指标（KRI）：指标不合理，阈值缺乏敏感性，数据基础无保障

照搬同业做法，出现监测空白，或指标过度冗余；

阈值设置的科学性及合理性存在挑战，与风险偏好难以有效衔接；

设计指标时未考虑底层数据基础的可靠性，大量依赖人工补录风险数据或人为把控数据口径，无法发挥预警提示功效。

损失数据收集（LDC）：填报少错漏，损失发现迟又缓，整改缺乏强抓手

银行保险机构普遍缺少系统化、自动化的风险事件发现机制，第一道防线出于对上报风险事件可能带来负面影响的顾虑，以及对操作风险事件报告机制或填报工具不熟悉等；

重数据收集而轻分析管理，未充分考虑有效的管理闭环抓手，造成了存量操作风险难以及时有效得到整改。

数字化平台与工具严重滞后，与业务创新进度不符

数字化技术采用进度滞后

行业整体的数字化技术平台建设进度滞后于业务的创新和风险的变化。部分公司建立了以三大工具和报表报告为主要功能的操作风险管理信息系统，技术上停留在展现为主，缺乏基于风险信息和数据的自动提取、分类、总结、归因和决策支持等分析功能，对第一道防线开展操作风险管理工作的指导意义也非常有限。

数字化工具缺乏实时性和前瞻性

数据滞后、管控被动、数据割裂、模型缺乏学习能力和扩展能力、系统陈旧等问题严重制约了操作风险管理的实时性和前瞻性，管理节点也无法实现前置。

多措并举，升级优化操作风险管理体系，促进质效提升

普华永道持续跟踪操作风险管理领域的监管趋势变化，基于成熟的操作风险管理整体框架（图2），围绕行业当下面临的操作风险痛点,分享管理提升建议。

图2：普华永道操作风险管理整体框架

注：BCP-业务连续性计划，DRP-灾难恢复计划

夯实基础，厘清职责，完善操作风险治理与管控架构

图3：操作风险管理的“四层三道”架构

高层的声音尤为重要

金融机构需要落实和细化“三会一层”对于操作风险管理的决策、审批、监督等职责，由董事会承担管理的最终责任，监事会承担监督责任，高级管理层承担管理的实施责任；

横向：操作风险管理的端口前移

压实第一道防线的识别评估、监测、控制缓释、报告等职责，巩固第二道防线的指导、协助、督促等职责，强化第三道防线的检查评估、监督执行等职责。并通过整合三道防线的检查防控资源，推进操作风险管理效能不断提升；

进一步明确界定第一道防线，可将总部专业职能部门（如财务部、运营管理部等）的业务管理与运营相关的部分职能也包含在第一道防线内，并提升第一道防线的主动管理能力及意识。

纵向：操作风险管理纵向延伸

搭建“总部+分支机构+附属机构”穿透式的操作风险治理架构，确保总部的制度和流程可以贯穿到底；

强化分支机构及附属机构的操作风险管控意识，结合机构现状及自身业务特点合理构建操作风险管理体系，提升“本地化”的识别能力及管理水平。

练好“内功”，让数据说话，提升操作风险量化分析能力

图4：基于数据的操作风险分析与量化能力三角

通过多维度数据分析，聚焦高风险领域，优化管理能力

通过比例及趋势等分析，聚焦操作风险的高风险领域管控薄弱环节，以便采取更有针对性的管控；

结合针对事件管理信息的分析，评估操作风险管理成效，不断提高操作风险管理能力。

借助统计分析与压力测试，优化风险偏好传导，提供管理决策支持

金融机构结合数据积累及配套量化工具建设，通过回归分析及统计拟合等方法分析风险相关性及规律，并可进一步借助情景分析与压力测试等手段进行风险模拟，实现：

向管理层展示更为直观丰富的风险评估及前瞻性预测结果，提供管理决策支持；

结合有效的模型方法优化操作风险偏好量化传导机制，设置操作风险容忍度、风险限额及指标阈值，并向不同业务条线及机构延伸。

以实际业务场景为切入点，利用数据分析赋能风控

结合行业先进实践经验，可通过数据发现风险机制，针对某一重要特定风险场景，设置多个KRI开展指标联合监测。

此外，银行保险机构在实际业务场景下，还可充分利用风险画像、知识图谱、机器学习等方式，借助科技赋能，实现更为自动化、智能化的风险分析与预测。

统一标准、深度融合、建立抓手，健全管理工具与平台

图5：操作风险管理工具的三大“破题之策”

统一标准

金融机构需统一操作风险的基础定义及各类数据标准，消除对评判标尺和语言不一致问题，并为操作风险管理有效交流沟通、整合推进、量化分析打下坚实基础。

深度融合

建议金融机构应站在全面整合的角度统筹工具建设：

确保RCSA对监管要求和对各业务、各流程的全覆盖；

确保KRI聚焦重点业务场景、关键流程环节、核心风险领域和关键人员岗位；

确保LDC闭环管理可对尾部风险事件进行捕捉、跟踪、处置和化解，并指导公司有的放矢地完善流程环节及风险控制；

在前述工具完善的基础上，应进一步加强内控协同。将主动型的RCSA与防范型的内控检查有机整合，进一步形成RCSA、KRI、LDC与内控评价等相互借鉴、双向验证的闭环流程；将内部控制措施作为操作风险管理的有效手段，嵌入模型和系统，进一步提升管理质效与运营效率。

建立抓手

建议以“管理实效”为原则，设计差异化、兼顾管理过程与结果的考核指标与考核权重，并与内控合规管理工作形成有机结合，通过引入正向激励、负向扣分的双向考核方式，形成有效的管理抓手。

以结果为导向，提升业务连续性管理与运营韧性

对于系统重要性金融机构

充分考虑整体战略规划、数字化转型发展要求和现行的风险管理框架，精心制定方案和做好落实规划，综合运用战略解码和风险偏好指标体系推动落地；

在现有的业务连续性体系基础上，开展对运营韧性七大原则的评估，识别不足，制定专项提升计划，提升机构整体运营韧性能力。

对于非系统重要性金融机构

重新审视业务连续性管理体系的完整性和有效性，分析业务连续性管理体系相关的应急响应、恢复机制和管理能力框架；

通过全面验证来查缺补漏，提高全员应急意识及处置能力，确保业务连续性计划满足业务恢复目标、有效应对外部威胁。

智能手段升级风险管理，提升操作风险前瞻预判能力

利用因子体系识别管控重点

搭建操作风险因子体系，建立识别规则，如销售误导、财务欺诈、黑产团伙、内部舞弊等。利用大数据和人工智能技术构建算法模型，对潜在风险、疑似案件、核心规则进行输出，开展持续的评估监控；并内嵌至各个业务环节和业务系统，实现动态交互，对过程中的操作风险做出实时判断以及干预。

提升监测效率与预警效果

持续完善公司重大操作风险监测预警机制，通过实时动态数据提升监测效率，并可以引入智能风控模型，充分利用各类数据来提高预测的全面性，预警排查高效化以便及时化解重大操作风险。

搭建操作风险画像平台

针对人、流程、事件和机构等，均可以建立操作风险的画像平台，实现操作风险的动态化可视化管理。分数据准备、特征工程、模型训练、模型验证等步骤，分阶段实现从基础数据到风险画像。通过算法技术对各类风险特征进行降维、总结、归纳，得到一目了然的特征标签，形成操作风险特征画像。

结语

良好的公司治理基础、主动管理思维的转变、管控有效性的提升、数字化转型的探索，对于有效的操作风险管理而言缺一不可。银行保险机构需要探索新思路、新举措，形成一套行之有效、符合自身发展特点且富有韧性的操作风险管理模式，进一步提升操作风险管理的精细化、精准化、智能化水平，推动银行保险机构在新时代下的可持续高质量发展。