4.3 中國銀監會對操作風險的監管要求

中國銀監會于2007年5月頒布了《商業銀行操作風險管理指引》，該指引提出商業銀行應當建立與該行的業務性質、規模和復雜程度相適應的操作風險管理體系，有效地識別、評估、監測和控制/緩釋操作風險。對于操作風險管理體系的具體形式沒有作具體要求，但至少應包括以下基本要素：董事會的監督控制；高級管理層的職責；適當的組織架構；操作風險管理政策、方法和程序；計提操作風險所需資本的規定。

在2008年9月頒布的《商業銀行操作風險監管資本計量指引》中，明確了計量監管資本的方法為：標準法、替代標準法和高級計量法。

為了達到巴塞爾協議Ⅲ的資本監管要求，2011年8月12日，中國銀監會發布了《商業銀行資本管理辦法(征求意見稿)》(以下簡稱《意見稿》)，擬在社會各界征求意見后自2012年1月1日起實施。該《意見稿》取消了2008年《商業銀行操作風險監管資本計量指引》中的替代標準法，增加了基本指標法，將商業銀行操作風險資本的計量確定為：基本指標法、標準法或高級計量法。

4.3.1 基本指標法

商業銀行采用基本指標法，以總收入作為其操作風險暴露指標，并應按照以下公式計量操作風險資本要求：

(4.19)

式中，K_BIA為商業銀行用基本指標法計算的操作風險資本要求。GI為過去三年中每年正的總收入，總收入為凈利息收入和凈非利息收入之和?？偸杖敕秶鷧⒄赵撧k法附件11^注9的規定。n為過去三年中總收入為正的年數。α為18%。

總收入定義為凈利息收入加上凈非利息收入。總收入未扣除營業費用，應扣除銀行賬戶上“持有至到期日”和“可供出售”兩類證券出售實現的損益，扣除保險業務收入。各業務總收入組成項目應遵循相關的企業會計準則。表4—3為總收入的構成說明。

表4—3總收入的范圍

資料來源：中國銀監會：《商業銀行資本管理辦法(征求意見稿)》，2011-08-12。

4.3.2 標準法

商業銀行采用標準法，應將其業務劃分為公司金融、交易和銷售、零售銀行、商業銀行、支付和清算、代理服務、資產管理、零售經紀和其他業務等9個業務條線。

標準法計算操作風險監管資本的公式為：

(4.20)

的含義是前三年操作風險監管資本的算術平均數；的含義是當年的操作風險資本要求為負數的，用零表示；涉及的業務條線GI有9個：公司金融、交易和銷售、零售銀行、商業銀行、支付和清算、代理服務、資產管理、零售經紀、其他業務。GI為各業務條線當年的總收入，總收入為凈利息收入和凈非利息收入之和，總收入范圍與基本指標法規定的總收入范圍相同。β_k是各業務條線對應的系數(見表4—4)。與表4—1相比，中國銀監會規定的β系數比巴塞爾委員會的β系數多了一個——其他業務，這是指未能劃入公司金融等8類業務條線的其他業務。

表4—4各業務條線對應的β系數

與基本指標法一樣，總收入指凈利息收入加上凈非利息收入?？偸杖胛纯鄢隣I業費用，應扣除銀行賬戶上“持有至到期日”和“可供出售”兩類證券出售實現的損益，扣除保險業務收入。各業務總收入組成項目，應遵循相關的企業會計準則。總收入的具體構成見表4—3。

對于業務條線的劃分，《商業銀行操作風險監管資本計量指引》也作了明確規定(見表4—5)。

表4—5業務條線的劃分

續前表

資料來源：中國銀監會：《商業銀行資本管理辦法(征求意見稿)》，2011-08-12。

中國銀監會發布的《意見稿》規定，商業銀行使用標準法計量操作風險資本要求，應符合以下條件：

(1)商業銀行應建立清晰的操作風險管理組織架構、政策、工具、流程和報告路線。董事會應承擔監控操作風險管理有效性的最終責任，高級管理層應負責執行董事會批準的操作風險管理策略、總體政策及體系。商業銀行應指定部門專門負責全行操作風險管理體系的建設，組織實施操作風險的識別、監測、評估、計量、控制、緩釋、監督與報告等。商業銀行應在全行范圍內建立激勵機制鼓勵改進操作風險管理。

(2)商業銀行應建立與本行的業務性質、規模和產品復雜程度相適應的操作風險管理系統。該管理系統應能夠記錄和存儲與操作風險損失相關的數據和操作風險事件信息，能夠支持操作風險及控制措施的自我評估和對關鍵風險指標的監測。該管理系統應配備完整的制度文件，規定對未遵守制度的情況進行合理的處置和補救。

(3)商業銀行應系統性地收集、跟蹤和分析與操作風險相關的數據，包括各業務條線的操作風險損失金額和損失頻率。商業銀行收集內部損失數據應符合相關規定。

(4)商業銀行應制定操作風險評估制度，將風險評估整合入業務處理流程，建立操作風險和控制自我評估或其他評估工具，定期評估主要業務條線的操作風險，并將評估結果應用到風險考核、流程優化和風險報告中。

(5)商業銀行應建立關鍵風險指標體系，實時監測相關指標，并建立指標突破閾值情況的處理流程，積極開展風險預警管控。

(6)商業銀行應制定全行統一的業務連續性管理政策措施，建立業務連續性管理應急計劃。

(7)商業銀行負責操作風險管理的部門應定期向業務管理部門、高級管理層和董事會提交全行的操作風險管理與控制情況報告，報告中應包括主要操作風險事件的詳細信息、已確認或潛在的重大操作風險損失等信息、操作風險及控制措施的評估結果、關鍵風險指標監測結果，并制定流程對報告中反映的信息采取有效行動。

(8)商業銀行的操作風險管理系統和流程應接受內部獨立審查，內部審查應覆蓋業務部門活動和全行各層次的操作風險管理活動。

(9)商業銀行應投入充足的人力和物力支持在業務條線實施操作風險管理，并確保內部控制和內部審計的有效性。

(10)商業銀行的操作風險管理體系及其審查情況應接受銀監會的監督檢查。

4.3.3 高級計量法

與巴塞爾協議一樣，中國銀監會對于高級計量法只給出了使用要求和原則，沒有提出具體的計量方法?！渡虡I銀行資本管理辦法(征求意見稿)》(2011)規定：商業銀行采用高級計量法，可根據業務性質、規模和產品復雜程度以及風險管理水平自行選擇操作風險計量模型，可選用的計量模型包括內部度量模型、損失分布模型、打分卡模型及其他模型等；用于計量操作風險資本要求的模型的置信度應為99.9%，觀測期為1年；商業銀行采用高級計量法，其建模應基于內部損失數據、外部損失數據、情景分析以及業務經營環境和內部控制因素四項要素；商業銀行用于建模的內部損失數據應充分反映本行操作風險實際情況。

在使用高級計量法的前提條件方面，中國銀監會從治理結構、數據處理和模型建立等三方面提出了要求。

(1)治理結構。

①商業銀行的操作風險計量應成為操作風險管理流程的重要組成部分，相關計量體系應能促進商業銀行改進全行和各業務條線的操作風險管理，支持向各業務條線配置相應的資本。

②商業銀行應根據《資本計量高級方法驗證要求》(《商業銀行資本管理辦法(征求意見稿)》(2011)的附件13)的要求，建立對操作風險資本計量系統嚴格的獨立驗證程序。驗證應包括操作風險高級計量模型及支持體系，證明高級計量模型能夠充分反映低頻率/高損失事件風險，審慎計量操作風險的監管資本。商業銀行的操作風險管理系統和流程應接受第三方的驗證，驗證應覆蓋業務條線和全行的操作風險管理，驗證的標準和程序應符合本辦法的規定。

(2)數據處理。

商業銀行操作風險計量系統的建立應基于內部損失數據、外部損失數據、情景分析、業務經營環境和內部控制等四個基本要素，并對其操作風險計量系統中的作用和權重做出書面合理界定。上述四項基本要素應至少分別符合以下要求：

①內部損失數據。

1)商業銀行應具備至少5年觀測期的內部損失數據。初次使用高級計量法的商業銀行，可使用3年期的內部損失數據。

2)商業銀行應書面規定對內部損失數據進行加工、調整的方法、程序和權限，有效處理數據質量問題。

3)商業銀行的內部損失數據應全面覆蓋對全行風險評估有重大影響的所有重要業務活動，并應設置合理的損失事件統計金額起點。

4)商業銀行操作風險計量系統使用的內部損失數據應與規定的業務條線歸類目錄和損失事件類型目錄建立對應關系。

5)商業銀行除應收集損失金額信息外，還應收集損失事件發生時間、損失事件發生的原因等信息。

6)商業銀行對由一個中心控制部門(如信息科技部門)或由跨業務條線及跨期事件引起的操作風險損失，應制定合理具體的損失分配標準。

7)商業銀行應建立對損失事件的跟蹤和檢查機制，及時更新損失事件狀態和損失金額等的變化情況。

8)商業銀行應收集記錄沒有造成任何損失影響或帶來收益的事件，此類事件可不用于建模，但應通過情景分析等方法評估其風險及損失。

9)商業銀行對因操作風險事件(如抵押品管理缺陷)引起的信用風險損失，如已將其反映在信用風險數據庫中，應視其為信用風險損失，不納入操作風險監管資本計量，但應將此類事件在操作風險內部損失數據庫中單獨做出標記說明。

10)商業銀行對因操作風險事件引起的市場風險損失，應反映在操作風險的內部損失數據庫中，納入操作風險監管資本計量。

11)商業銀行的操作風險內部損失數據收集情況及評估結果應接受銀監會的監督檢查。

②外部損失數據。

1)商業銀行的操作風險計量系統應使用相關的外部數據，包括公開數據、銀行業共享數據等。

2)商業銀行應書面規定外部數據加工、調整的方法、程序和權限，有效處理外部數據應用于本行的適應性問題。

3)外部數據應包含實際損失金額、發生損失事件的業務規模、損失事件的原因和背景等信息。

4)實施高級計量法的商業銀行之間可以以適當的形式共享內部數據，作為操作風險計量的外部數據來源。商業銀行之間匯總、管理和共享使用內部數據，應遵循事先確定的書面規則。有關規則和運行管理機制應事先報告銀監會。

5)商業銀行對外部數據的使用情況應接受銀監會的監督檢查。

③情景分析及業務經營環境和內部控制因素。

1)商業銀行應綜合運用外部數據及情景分析來估計潛在的操作風險大額損失。

2)商業銀行應對操作風險計量系統所使用的相關性假設進行情景分析。商業銀行應及時將事后真實的損失結果與情景分析進行對比，不斷提高情景分析的合理性。

3)商業銀行在運用內部、外部損失數據和情景分析方法計量操作風險時，還應考慮到可能使操作風險狀況發生變化的業務經營環境、內部控制因素，并將這些因素轉換成為可計量的定量指標納入操作風險計量系統。

(3)模型建立和計量。

①操作風險計量系統應具有較高的精確度，考慮到非常嚴重和極端損失事件發生的頻率和損失的金額。

②商業銀行如不能向銀監會證明已準確計算出了預期損失并充分反映在當期損益中，就應在計量操作風險監管資本時綜合考慮預期損失和非預期損失之和。

③商業銀行在加總不同類型的操作風險監管資本時，可以自行確定相關系數，但要書面證明所估計的各項操作風險損失之間相關系數的合理性。

④商業銀行可以將保險作為操作風險高級計量法的緩釋因素。保險的緩釋最高不超過操作風險監管資本要求的20%。