自全球金融危机以来的十年里，银行及其监管者越来越注意到管理风险的必要性。然而，尽管银行已开发出控制金融风险的复杂系统，但它们一直难以有效应对操作风险。

金融风险包括信用风险(借款人偿还贷款的可能性)、市场风险(证券价值波动的可能性)和流动性风险(银行对存款人和交易对手履行义务的能力)。操作风险(OR)是由人、内部流程、系统或外部事件造成的错误、破坏、中断或损坏(有意或意外)造成的损失风险。

这些操作风险事件造成的损失可能是灾难性的，不仅从严格的货币意义上讲，而且从对银行整体业务和声誉的影响来看，有时甚至威胁到银行的生存。近年来，世界各地的银行都卷入了一些引人注目的丑闻，这些丑闻是由于未能控制操作风险而引发的。从2011年到2016年，各大银行因操作风险遭受了近2100亿美元的损失(见图1)。这些损失大多源于员工和系统与客户交互时犯下的可避免的错误、交易处理方式的缺陷或彻底的欺诈。

监管机构定期审查银行对操作风险的脆弱性。就像处理金融风险一样，监管机构要求银行保持资本缓冲，以便在“或”事件发生时帮助它们管理。因此，监管机构对银行控制或能力的评估，可以直接影响银行有多少资本可以进行正常的银行活动。当操作风险事件真的发生时，可能会产生深远、持久的溢出效应。例如，银行信贷承销过程中的错误或欺诈可能导致银行信贷成本上升。

简而言之，银行完全有动力遏制OR。然而，他们经常发现这很难做到。与财务风险相比，经营风险更加复杂，监控和管理更具挑战性。尽管OR可以对银行产生广泛的经济影响，但银行一直在努力将操作风险管理(ORM)集成到企业风险管理(ERM)的总体框架中。

许多银行很难理解、衡量和管理导致操作风险的相互关联的因素，包括人类行为、组织流程和IT系统。他们发现，要建立能够系统地控制这些风险的文化、治理和管理结构是很有挑战性的。他们没有采取一种深度集成的、主动的和长期的方法来管理ORM，而是用反应性的、短期的措施来管理操作风险。

银行在ORM方面取得了进展。随着银行变得更加以客户为中心，客户越来越多地使用数字渠道，银行可以更清楚地了解客户、员工和IT系统在做什么，并更好地了解可能出现的问题。通过数字化和直通式处理，银行可以减少或消除对许多交易的人为干预，从而遏制员工失误和欺诈的风险。而且，由于精简和较少官僚主义的组织和敏捷的工作方式，经理们能够识别并迅速应对威胁。

然而，以客户为中心、数字化和敏捷方法并不是万灵药。在某些方面，这些措施可能会增加操作风险，甚至产生新的风险。随着权力下放，银行最终可能会减少对其中央ORM职能的控制，而将更多的控制权下放给业务部门。高管们可能会发现，他们对较低层次的商业决策的透明度更低，而不是更高;他们可能会发现自己正在追赶一个快速创新的前线。

虽然以前手工完成的流程可以减少人工操作风险，但如果监控不当，可能会放大网络安全风险。此外，银行可能过于热衷于削减成本和提高效率，以致于它实际上损害了ORM工作的质量。

在ORM方面，银行仍有很大的改进空间。潜在的回报是巨大的。近年来,操作风险的损失在全球主要银行急剧下降,从2011年总收入的6.2%的峰值水平到2016年的1.6%,根据ORX,一个组织跟踪操作风险(见图2),采取措施进一步降低这些损失,银行可以产生直接的、可衡量的影响他们的底线。例如，将2016年的损失率提高20%，将相当于净利润率提高32个基点。然而，在更好地管理操作风险方面，真正的力量在于防止近年来重创各大银行的那种灾难性事件。

管理操作风险:需要注意的四个方面

采取全面的ORM方法的银行认识到需要注意四个广泛的领域。首先是人。即使在数字时代，员工(以及与他们打交道的客户)在无意或有意做错事情时，也可能造成重大损害。问题可能是由多种因素共同造成的，包括故意和非法违反政策和规则，草率执行，缺乏知识和培训，以及不明确，有时相互矛盾的程序。例如，未经授权的交易可能导致数十亿美元的直接损失，以及数百万美元的监管、法律和重组成本。

第二个领域是IT。系统可能被入侵和破坏;数据可能被破坏或被盗。银行面临的风险还包括第三方IT供应商，许多银行现在都依赖第三方IT供应商提供基于云计算的存储和其他服务。系统可能会变慢或崩溃，导致客户无法访问自动取款机或移动应用程序。即使是技术变革的速度也存在操作风险。随着网络环境的迅速发展，银行可能难以跟上新的威胁。

第三个方面没有前两个那么明显，但同样重要:组织结构。通过设定激进的销售目标，并根据员工完成目标的情况给予奖励，银行管理层可以鼓励，甚至在某些情况下，明确纵容不恰当的冒险行为。这种行为一旦暴露，可能会导致管理层变动、股东损失和监管罚款。

令ORM规划者苦恼的第四个方面是监管。自全球金融危机以来，监管机构增加了银行必须遵守的规则的数量和复杂性。在多个司法管辖区经营的银行可能面临重叠、不一致和冲突的监管制度。失误可能代价高昂且令人尴尬，会引发监管制裁和客户流失。与技术一样，监管改革的速度和规模可能令人生畏。即使银行在努力控制成本，它们也必须投资于人员、系统和流程，以促进合规。

对ORM采取全面的方法

了解驱动操作风险的关键领域的银行可以建立一个ORM框架，该框架由四个指导原则支持:

• 他们在所有业务领域全面实施ORM，并将其集成到银行的整体ERM结构中。
• 他们在整个银行中明确定义了ORM的角色，并为其配备了合适的人才。
• 他们在ORM组织中嵌入反馈循环，以确保从成功和失败中不断学习。
• 他们定期验证他们的方法，并在必要时重新校准指标和激励措施。

建立有效的ORM能力的第一步是全面评估银行现有的风险概况，然后构建一个数据库和所有内部和外部OR风险事件的地图。然后，银行开发关键风险指标(KRI)，作为潜在问题的早期预警信号。管理层在组织内发布其中一些KRIs，并将其他KRIs作为其正在进行的ORM监视的一部分。一旦银行识别和分类每个风险，它就可以决定缓解方案。

其次，银行明确表达了其总体风险偏好。这在一定程度上是为金融措施设定目标的一种实践，比如银行愿意——并被监管者允许——承担风险的资本数量，但它同样是建立银行文化和治理优先级的问题。管理层通过其行为、决策和行动定下基调。

有效的ORM的关键是培训人们预测可能出现的问题，特别是当业务部门准备做一些新的事情时，比如引入一个产品、改变客户界面、改变员工获得报酬的方式，或者将核心业务流程的部分或全部外包。

随着银行越来越多地利用敏捷团队进行创新，他们可以确保ORM专家参与其中。例如，一家欧洲主要银行在其创新园区将ORM员工作为敏捷团队的不可或缺的成员，在这里开发和测试新的业务实践和产品。另一家欧洲银行已经建立了一个专门的网络风险团队，模拟真实的网络攻击场景，并采取行动防止它们发生。

随着银行围绕客户体验重新定位，预测和主动阻止操作风险事件变得尤为重要。银行对客户、创建和发布新产品或瞄准新客户的方式的任何改变都有可能产生新的操作风险或减轻现有的操作风险。在敏捷团队中嵌入ORM专家有助于确保这些潜在的风险触发器被及早检测和处理。

然而，识别和降低操作风险的任务太大，也太重要，不能只留给ORM专家。一线经理可以通过审查一份简短的问题清单，充当ORM的耳目，从他们的业务部门是否参与了可能对其运营方式产生重大影响的变化开始。这些问题包括:

• 您的团队对业务领域的操作风险偏好指导方针、阈值和监管要求了解程度如何?
• 您是否绘制了将会受到您提出的变更影响的银行系统?
• 您是否知道近年来在您的业务中发生的风险/违规事件?
• 您提出的修改会如何影响银行在您所在地区定期跟踪的KRIs ?

由风险监测

银行传统上依靠一系列小样本审计和抽查来发现操作风险。有了审计，银行就会深入挖掘一个特定的业务领域，目标是发现并纠正过度的风险暴露和彻底的不当行为。这种方法可能是有效的，但根据定义，它的范围是有限的。

主要银行现在使用技术来补充，有时甚至取代审计。他们利用先进的分析和机器学习，利用其巨大的数据宝库，连续自动地对整个银行的业务进行筛查。他们利用这种持续监测的洞察力来快速开发和适应KRIs。

自动监控系统在后台持续运行，当有异常或可疑的东西出现时，就会提醒管理人员——就像信用卡公司在持卡人的账户有异常活动时提醒他们一样。通过自动筛选，银行可以指导ORM员工专注于高价值、高风险的领域，而不是让他们进行随机、狭窄、耗时且往往毫无结果的审计。

操作风险无处不在——人、流程和系统。风险很高。首先，操作风险事件会带来明显的短期后果:财务损失、法律成本和监管罚款。此外，还有一些间接影响，可能持续时间更长，危害更大:信贷成本上升，风险加权资产门槛强制提高，声誉受损，这些都会对客户、股东、监管机构和交易对手对银行的看法产生不可磨灭的影响。

运营风险是由复杂的、相互关联的因素驱动的，这些因素可能很难理清，包括人类行为、组织过程、变更议程和文化问题。制定成功的ORM方法的银行会创建一种风险文化，其基础是有关治理和资本要求的正式规则，以及培训和以身作则等无形元素。他们利用先进的分析和机器学习来持续监控OR，并不断从经验中学习。在管理组织风险方面具有综合性和前瞻性的银行，可以实现真正的财务利益，更重要的是，有助于防止那种可能在未来数年造成后果的灾难。

塞巴斯蒂安·弗里茨-摩根塔尔(Sebastian Fritz-Morgenthal)是贝恩资本(Bain)金融BOB体育app服务部门的专家负责人，总部位于法兰克福。简-亚历山大•胡贝尔(Jan-Alexander Huber)和达尼埃尔•富纳罗(Daniele Funaro)是金融服务部门的合伙人，分别在柏林和米兰工作。