基于巴塞尔协议III的我国商业银行操作风险计量与管理研究

根据中国银监会给出的定义，由不完善或有问题的内部程序、人员和信息科技系统或外部事件所造成损失的风险（包括法律风险，但不包括策略风险和声誉风险）均属于操作风险。这一定义与巴塞尔协议基本上一致。根据定义，若实施新标准法则所需数据来源非常有限，除16家上市银行以外的银行内部损失数据多有缺失。因此，本文将基于对极值理论和极值模型的研究基础，采用高级计量法中的POT模型对我国商业银行操作风险进行实证研究，以期了解我国商业银行操作风险的相关动态和规律，获取操作风险监管和计量的相关经验，进而提出相应完善对策。

一、数据来源

由于长期以来对操作风险损失事件重视程度的缺失，目前，我国仅有个别商业银行拥有自己的操作风险损失数据库，操作风险损失事件尚未在我国整个银行业形成系统的数据库，银行因而缺失完整的事件记录和历史资料，而仅有的数据库一般也只供银行自身内部参考。加之信息披露制度的不健全，外界获取数据的难度非常大。鉴于这一现状，本文采取从权威媒体杂志、门户网站和金融监管机构（如《财经》、《金融时报》杂志；新浪、网易、金融界网站；审计署、人民银行、银监会等机构）等公开披露信息中收集的方式，获取进行我国操作风险实证研究所需的操作风险损失数据，同时，也从不同于以往研究的检察日报社官方网站、法院判决书等法律角度同时切入。一方面，凡是经媒体和官方公开披露的事件，大部分都是数额较大、性质较为严重的，这与本文重点研究操作风险的低频高危类型事件相契合，有利于收集到更多的有效数据；另一方面，检察院和法院渠道有利于扩充事件的搜索范围，并且强化获取事件和数据的可信度与准确度。

在对数据的处理方式上，我们遵循以下的原则。案发时间方面，对于经过多年才被披露的案件，以实际案发时间而非披露时间为准；对于年度跨度较大的案件，为满足操作风险一年期的计量要求，采用案件的实际终止年度作为案发时间；损失金额方面，对于没有结案或无法确定具体损失额度的案件，使用涉案金额作为损失金额；对于用外币衡量的损失金额，按案发当时的汇率换算为人民币记载；此外，对于不同报道中有数额或时间差异的损失数据，一律采用最新、最权威的披露信息，任何案件都一律采用最终的损失总金额。

我们在遵循以上原则的基础上进行数据收集，同时参考了厉吉斌（2008）、李扬（2009）、王薇（2013）的研究样本。最后共收集到1987-2015年间的768起操作风险损失事件，剔除掉没有涉及商业银行所属类别和具体金额的数据，总计703个有效数据。样本共涉及173家商业银行，包括：四大国有银行（工、农、中、建）、12家股份制银行（交通银行、浦发银行、光大银行、中信银行等）、47家城市商业银行、29家邮政储蓄银行（含邮政局）、20家农村商业银行以及61家地方信用社。这些数据分别描述了每例操作风险损失事件的具体涉案银行、实际案发时间（非报道披露时间）、具体损失金额、以及该事件归属于按新巴塞尔协议划分的何种损失类型。

二、损失数据的基本统计分析

1、频数分布分析

根据所得数据，我们分别从按损失金额区间、损失事件频数、银行类型和损失事件类型进行分类的四个角度做频数分布分析。

操作风险的损失金额频数图可看出，在我们获得的样本数据中，损失金额低于1亿的操作风险事件多达557起，约占总样本的80%，而损失金额高于10亿的事件仅23起，高于100亿的只有1起。这表明，操作风险损失样本数据由低频高危和高频低危两类事件共同构成，并且具有明显的尖峰厚尾特征。

反映了从1987年到2015年的近30年间，我国商业银行操作风险损失事件数量的变化轨迹，即整体呈现迅猛增加—骤然减少—平稳上升的态势。可以看出，最频发的时期集中于2003-2006年，并在2004年达到71件的最严重程度。而1995年以前的操作风险事件发生频率最小，尤其是在1987-1990年，由于业务复杂程度和电子商务技术等方面因素的制约，以及信息披露的缺失，仅统计到4起。随着我国银监部门对操作风险监管强度的不断加深，以及管理水平的不断加强，我国商业银行操作风险案件的发生率呈总体大幅下降的趋势。但由于本文所研究数据的范围选取到2015年底，数据的收集工作截止于2016年初，考虑到其中可能存在的事件爆发和披露的时滞性影响，不排除最近几年操作风险事件的实际数量还会有所增加。

从操作风险涉案银行的种类来看，四大银行的操作风险损失事件的数量和金额最多。其中，统计到的工商银行案件数量为近30年间共104起，损失金额达到278亿之高，位列所有银行之首；农业银行共159起损失事件，损失金额为105亿，数量位于四大银行之首，损失金额却最少；中国银行和建设银行的损失事件数量相当，分别为73起和80起，损失金额上，中国银行却以236亿远远高出建设银行的179亿。由此可以推断，农业银行每起操作风险事件的平均损失金额较小，而中国银行、建设银行的平均损失金额较高，工商银行则处于中间水平。12家股份制银行可统计到的操作风险损失事件共110起，损失238亿。从数据整理的结果来看，涉及最多的为交通银行、中信银行、民生银行、光大银行、浦发银行、广发银行等，分别达到10件以上，其余银行仅有寥寥几件。而邮储银行、城商行、农商行以及信用社的操作风险事件数分别都较少，除了与其资产、业务规模较小有关，与受关注程度不高而导致信息披露的缺失和滞后也有一定关系。在损失金额方面，邮储银行、农商行和信用社依然很小，说明其所发生的操作风险事件大多为小数额事件；而城商行的损失金额高达521亿，甚至远高于工商银行，其操作风险管理水平值得引起相应的重视。

最后，从根据操作风险损失类型进行分类的可看出，我国商业银行在1987-2015年间的操作风险损失事件绝大多数属于内部欺诈的类型，其次为外部欺诈类型，分别占到事件总数的64.5%和20.3%。其损失金额也分别高达损失总金额的44.4%和36%。而从损失金额的平均水平来看，由业务中断和系统失败、内外勾结欺诈这两种事件类型导致的损失金额最大，分别达到了平均每起事件损失11亿和7亿之多，也亟需重点管理和防范。

2、描述性统计分析

考虑到有些银行数据可得性的限制，我们将样本数据共分为以下六组，以便于之后将进行的损失数据尾部参数的估计。首先，鉴于四大银行操作风险事件的数量和损失金额较大，关注程度普遍较高，所以将工商银行、农业银行、中国银行、建设银行各自作为一组进行分析；其次，把我国12家中小型股份制商业银行作为一组；而鉴于邮储银行（包括邮政局）、城商行、农商行以及信用社的操作风险损失案件一般仅发生1-3件，发生率比较低，关注程度也相对不高，因而可获取的样本数量有限，故共同列入“其他银行”组作为一个整体考虑。

偏度系数主要用来衡量数据分布的不对称或偏斜程度。当偏度系数大于0时，损失数据为右偏分布，位于均值右侧的数据少于左侧，右侧尾部相对较长。峰度系数用来衡量数据尾部的分散性以及分布形态的陡峭程度，当峰度大于3时，即峰度过高，数据的分布形态陡峭且厚尾。J-B统计量用来检验给定的样本数据是否来自正态分布，当J-B值较大时，表示数据不服从正态分布。表5.1中的描述性统计结果显示，我国商业银行各分组数据的偏度均大于0，峰度均大于3，J-B值非常大，且中位数小于平均值，可以更为直观地看出，我国商业银行在1987-2015年间的操作风险事件损失数据呈明显的尖峰厚尾分布特征，并且符合低频高危与高频低危损失事件相结合的特点。此外，较大数值的标准差，表明我国不同的商业银行操作风险事件之间存在损失金额的较大差异的另一特点。比如，1987-2015年间单起事件的损失金额最多到达328亿元，最少的仅有100元。

三、实证分析

1、损失数据的厚尾判断

在应用POT模型对各类银行进行操作风险资本计量之前，首先需要判断损失数据是否具有厚尾性质。上节所做的基本统计分析，可较为直观地发现我国商业银行操作风险的样本损失数据符合尖峰厚尾的分布特征。要做出更加精确的数据厚尾性分析，可以通过Q-Q图（Quantile-Quantile Plot）和超额均值函数图（MeanExcess Function Plot）这两种方法。

（1）Q-Q图法

如果样本总体服从正态分布，则样本数据点将散布在直线附近，Q-Q图大致呈现出一条直线的形状。而当样本来自其他分布时，数据点则呈弯曲状，其中，向上弯曲表示样本数据服从厚尾分布，向下弯曲则为薄尾分布。

（2）超额均值函数图

当样本数据服从指数分布时，超额均值函数图表现为一条水平线，当超额均值函数图表现为整体斜率为正时，说明样本数据的分布为厚尾分布；而当超额均值函数图表现为整体斜率为负，则说明是薄尾。

根据图5和图6，6组银行数据的Q-Q图均在右端弯曲且向上，而超额均值函数图总体上呈现的斜率均为正。由此可断定，我国商业银行操作风险损失事件的样本数据是服从厚尾分布的。

首先，我们根据图6所示的超额均值函数图，对每组银行分别判断并选取使得曲线基本上开始呈线性变化的起始点，将其对应的横坐标作为阈值，记作μ1；然后，利用收集获得的我国商业银行操作风险的损失数据，按照Matlab编程分别生成6组银行对应的Hill图（见图7）并进行阈值判断，根据γ开始趋于稳定时的点，对照其横坐标k所对应的由样本数据得出的次序统计量，选取Xk作为阈值，记作μ2；最后，根据峰度法的公式和定义，得到Matlab的编程，将样本数据代入，运行得出6组银行分别对应的阈值，记作μ3。

2、POT模型参数估计及最优阈值的确定

首先，分别将每组银行的μi，i=1，2，3代入对数似然函数中。我们采用Matlab编程（详见附录）将似然函数极大化，据此求出每组银行在三种阈值选取方法下对

应的和估计值。然后，再次利用Matlab编程（详见附录），对每组银行初步选

出的三个阈值μ1、μ2、μ3做μ2拟合优度检验，分别选出最小μ2值所对应的阈值，作为该组银行的最优阈值。各组银行在超额均值函数法、Hill图法和峰度法下

选出的阈值、根据μ2确定的最优阈值以及参数估计结果，均见下表2。

3、我国商业银行操作风险VaR和ES值的估计

由POT模型估计出操作风险损失分布δ的和θ参数，并经卡方检验选取出最优阈值后，将之前算出的各组δ的和θ参数代入公式中，即可得出各组商业银行操作风险的在险价值（VaR），以及超过VaR的期望损失（ES）。根据BCBS的要求，操作风险、市场风险和信用风险的计量必须持有相同的稳健标准，即必须处于同一臵信水平——99.9%。因此，我们只计算99.9%的臵信度下对应的VaR和ES估计值，对各银行操作风险的资本金拨备情况进行分析。

由表3的结果可以看出，在α＝99.9%时，各组银行的在险价值和期望损失之间有较大差距。例如，工、农、中、建四大行需要配臵的操作风险资本VaR分别是216.7573亿元、71.0254亿元、165.7780亿元和185.2362亿元；99.9%以外的期望损失ES，即条件在险价值，分别有可能达到396.3244亿元、251.1485亿元、338.1164亿元和374.1006亿元。其中，工商银行的VaR和ES均为最高，农业银行的VaR和ES最低，工商银行所需的资本金配臵甚至达到农业银行的3倍之多。12家股份制银行的操作风险资本配臵为111.0232亿元，99.9%以外的平均损失程度可能达到245.6128亿元。而其他银行组的操作风险资本为362.6482亿元，99.9%以外可能的操作风险损失高达2742.9572亿元，由图5.3的银行分类占比来看，应该是城商行需要配臵的操作风险资本最高。

四、我国商业银行操作风险监管框架的实施及政策建议

1、我国银行业操作风险监管框架的实施

（1）巴塞尔操作风险监管框架在我国的实施进展

我国银行业的操作风险监管萌芽于20世纪90年代金融业改革开放之初，起步于2002年到2006年间，在这一阶段中国人民银行和中国银监会发布的《商业银行内部控制指引》和《关于加大防范操作风险工作力度的通知》中，操作风险概念才正式提出。然而，这些文件关于操作风险的监管只是针对某些局部具体环节，仍是治标不治本。2007年至今，我国商业银行操作风险监管开始迈入发展完善的阶段，并先后出台了《中国银行业实施新资本协议指导意见》、《商业银行操作风险管理指引》、《商业银行操作风险监管资本计量指引》等一系列重要文件,充分表明操作风险已成为我国金融监管中的重要一部分。这些文件吸纳了巴塞尔资本协议中对操作风险监管的要求，规范完善着我国银行业的操作风险监管。

其中，银监会于2012年发布的《商业银行资本管理办法（试行）》文件，标志着巴塞尔协议Ⅲ在我国的开端，我国商业银行从此有了针对自身实际情况的规范文件。该《办法》规定，我国商业银行可采用的操作风险计量方法有基本指标法、标准法和高级计量法三种。采用标准法或高级计量法时，必须符合附加规定并经银监会核准。而一旦确定操作风险资本计量方法，就不得变更。根据自身发展情况，我国现行的操作风险资本计量模型相较巴塞尔协议中的规定作出了以下几处调整：一是将基本指标法中的总收入GI定义为净利息收入和净非利息收入之和；二是标准法中按公司业务条线划分的操作风险分类增加了“其他业务”项，所以共有9条业务条线。

（2）巴塞尔Ⅲ下操作风险管理框架的不足与争议

巴塞尔委员会最新发布的操作风险系列相关政策，虽然为包括我国在内的各国银行业的操作风险监管实践塑造了新模板，但这些政策尚未完全成熟，仍存在一些不足和争议。

一是关于银行实施《操作风险健全管理原则》最不彻底的四项原则问题。如操作风险识别与评估原则中，部分银行表示，已实施的工具很大程度上是用于风险资本计量和分配，并未有效用于风险管理的目的；变更管理原则中，许多银行操作风险的分类不适用、或不总是适用于新产品、活动、流程和系统等各种变化；操作风险偏好与容忍度原则中，为建立操作风险偏好与容忍度声明的银行加入的指标（如操作亏损占总收入的百分比）往往落后而不具前瞻性等。

二是关于操作风险计量方法的问题。第一，新标准法能否在简单性、可比性和风险敏感性的目标中达到适度平衡仍待考查；第二，使用基于银行规模的分段系数代替公司业务条线是否合适、BI监管系数的分段方法是否恰当仍在探讨；第三，BI的结构设计旨在获取全能银行的操作风险概况，而该结构可能无法准确地用于高度专业化的银行主要从事的收费活动，这一问题将通过委员会进一步的数据收集工作予以证明，BI指标或许仍需改进。

2、我国商业银行操作风险管理存在的问题

就操作风险管理实践而言，我国商业银行与巴塞尔监管要求以及国际先进银行之间仍存在很大差距，主要体现在以下几个方面：

（1）管理架构问题

其一，操作风险管理体系尚不健全。根据巴塞尔委员会《操作风险健全管理原则》所期望，董事会和高级管理层应当积极参与操作风险管理，充分发挥其主导作用，履行其应尽的职责。然而我国大多商业银行没有单独设立操作风险管理职能部门，各部门进行自律监管，并且各部门职责可能存在有所交叉。内部监督一旦得不到有效发挥，便容易造成操作风险管控力度不足，管理职责分散，董事会和高层便很难对银行整体的操作风险状况做出准确的把握和统一的战略部署。

其二，操作风险监管制度尚不完备。目前，我国大多数银行的操作风险制度覆盖范围多局限于一线业务人员而非管理层人员，缺乏对管理人员的权力制衡，以及对一线人员的有力监控，并且难以做到对银行员工工作以外时间的行为监督，这尤其为由内外部欺诈造成的操作风险损失事件提供了发生机会。

其三，考核激励机制不合理。目前，我国商业银行在对员工的绩效考核和激励机制方面不尽合理。员工为了追求更高的绩效成绩，很可能会遗漏和忽略对操作风险事件的观察和捕捉，或是产生较多的操作失误。激励机制的实施不足，则存在引发员工利用职务之便进行恶意欺诈行为的可能性。最后，加之部门间相关利益的错综关系，无疑会弱化风险管控效率，同时提升了管理成本。

（2）数据收集问题

目前，我国在操作风险损失数据的收集和整理工作相对薄弱。数据的缺失是银行在进行操作风险量化时面临的最严重的障碍，由于我国目前普遍尚未建立起商业银行的操作风险数据库系统，获取操作风险数据大多只能局限在官方媒体和公开信息披露的渠道，这十分不利于实现全行范围的操作风险识别、评估和监测等等。操作风险损失数据的质量、完整性和时效性得不到有力保证，无疑会阻碍对操作风险资本计量方法所用指标的定期、有效监测。

（3）管理理念问题

一方面，基层人员和管理层人员的风险防范意识和风险理念淡薄。操作风险意识的缺失容易导致人员对操作风险的监管忽略或是有意侥幸逃避，而由于我国商业银行部门间权责划分的不明确，造成风险责任的缺失，在一定程度上助长了操作风险事件的爆发。

另一方面，国内商业银行在操作风险管理的理念上存在偏差。例如，对操作风险事件宁愿被动接受并事后进行严加查处，而不选择在风险事件有可能发生以前主动积极地做好风险防范工作；对于平时鲜少发生的操作风险损失事件类型不予以重视，却过度地偏重常见的内外部欺诈和实际操作类型事件，导致操作风险的管理工作重心在各类型事件中的分配严重不均；对操作风险的认识太片面化，仅仅理解为字面之意，即“操作中的风险”，故把操作风险的监督管理局限于柜台、营销等直接具有操作性的岗位，此外，对操作风险的理解不全面还会造成操作风险管理工具和制度设计的不合理。

（4）计量与模型问题

一方面，我国操作风险的资本计量水平参差不齐。由于长期缺失相关操作风险的度量模型和历史损失数据，目前仍处于操作风险量化起步期的中国还不能满足采用巴塞尔协议推荐的高级计量法的要求。当前，我国基础较差的中小银行仍在使用基本指标法，而工、农、中、建、交通和招商六家大中型商业银行，于2014年4月24日刚刚获得了银监会批准实施操作风险标准法（TSA），各银行之间的计量水平存在一定差距。

另一方面，资本计量的手段有限。当前，我国商业银行对操作风险高级计量法的运用，更多的是处于一种理论探讨与实证分析相互映证的状态，几乎还没有对操作风险资本计量模型的开发和应用成果。由于高级计量法的手段暂时无法实现，各商业银行现阶段对操作风险资本的计量便有所高估。

3、强化我国商业银行操作风险监管的政策建议

根据本文的定量研究和定性分析，结合操作风险管理在全球银行业受到的关注和争议，我国银行业应当不断吸取国际经验教训，努力寻求当前在实施操作风险监管框架过程中存在的进步空间。为此，本文针对性地提出了关于强化我国商业银行操作风险监管的几点政策建议。

（1）健全操作风险管理制度体系

董事会、高级管理层应发挥其主导及监督作用，构建与商业银行自身规模、特点、复杂性、业务活动性质和风险暴露相称的操作风险管理体系。首先，可建立诸如操作风险管理委员会之类的专职管理部门，解决操作风险管理权责分散的问题。其次，建立与完善激励约束机制与监督机制，进一步将操作风险的管理程序整合到银行的战略决策过程中去。再次，坚持内部管理与外部监管相结合。鉴于上一章实证结果中城商行过高的操作风险资本配臵情况，我国城市商业银行更应着重加强自身的操作风险管理体系建设，从严监督和约束从董事会、高级管理层到一线基层各级员工的行为，我国银监部门也应重点关注城商行在操作风险上的发展动态，审视并推动其操作风险管理制度的建设，促进其管理水平的提升。

（2）加强操作风险内部数据建设

损失数据的缺失是银行在进行操作风险量化时面临的最严重的障碍，为保证并提高数据收集的质量、完整性和时效性，商业银行应当逐步开展最新的操作风险损失数据收集工作（特别是在需要开发或测试的压力状态下），进而才有可能实现操作风险指标的定期、有效监测。与此同时，还应完善操作风险识别和评估工具的实施，能够确保来自这些工具的行动计划得以监测。

（3）确保操作风险管理和计量的前瞻性

金融领域的发展瞬息万变，我国商业银行应该确保操作风险管理和计量紧随政策，并具有一定的前瞻性。一方面，我国商业银行应在确保可操作性的前提下，不断优化操作风险工作的管理工具，并及时更新操作风险监管资本的计量方法。另一方面，应在同时将操作风险的监管制度建设进一步精细化，两者的结合，有助于把操作风险的计量结果更好地融入到操作风险的管理决策中去，并有可能及早实现从“事后管理”向“事前防范”模式的逐步转变。

（4）完善操作风险信息披露机制

我国商业银行操作风险损失数据的缺失，一部分原因是来自信息披露机制的不完善与执行不力。在本文的实证研究中，由于信息披露不完善和内部数据的缺失，一定程度上也导致了邮储银行、城商行和农商行（包括信用社）等只能一并放到“其他银行”组进行分析，相应地，实证结果和意义也会因此打折扣。我国商业银行应当开发一个综合全面的信息披露机制，该机制由董事会批准和监督，并接受独立审查，能够披露真实、全面、及时、准确的商业银行信息。同时，还应加强关于操作风险管理状态、以及银行如何管理操作风险暴露角度的信息披露，以便更好地约束商业银行的操作行为。

（5）强化员工的操作风险意识

鉴于基层人员和管理层人员在风险防范意识方面的淡薄，银行的高级管理层应及早把提高员工的操作风险识别能力、培养风险防范意识列入到下一步的工作计划中来。具体可以通过开展更深入、频繁的操作风险培训和宣传教育，以及组织集中学习的形式实现。另外，从开发专业人才的角度切入，扩充高学历、年轻化的监管人员队伍，提高全员素质，可有效避免因不能识别操作风险带来的银行损失。