1.2.3  商业银行研发风险在全面风险管理体系中的位置

1.2.3 商业银行研发风险在全面风险管理体系中的位置

商业银行自诞生至今，收益与风险始终互相伴随。收益是商业银行追求的目标，但是风险却是为追求收益而付出的代价。要想得到高收益就必须承担高风险，如果不想承担风险，就只能获得一个平均的收益。因此，如何在追求高收益过程中更好地防范和降低风险，是所有商业银行经营努力的方向。

商业银行风险是商业银行在经营过程中，由于受不确定性因素的影响，使得银行实际收益偏离预期收益，从而导致遭受损失或获取额外收益的可能。商业银行风险管理是指商业银行通过风险识别、风险估计、风险处理等方法，预测、回避、分散或转移经营中的风险。

风险管理关系到银行体系稳定，影响国家金融安全，攸关经济长远发展。建立有效的风险防控机制，是我国商业银行面临的重要任务。为了统筹管理商业银行经营过程中的各种风险，目前商业银行普遍建立了全面风险管理体系。研发风险作为商业银行风险的一个分支，在商业银行全面风险管理体系中也占有一席之地。

1.商业银行全面风险管理体系

（1）全面风险管理的概念 商业银行属于经营风险的企业，商业银行所面对的风险包括信用风险、操作风险、市场风险等，这些风险时常相互影响、相互作用、相互推动，商业银行的风险管理必须每时每刻同时关注所有这些风险，忽略了任何方面，都有可能给商业银行带来巨大损失。1995年，巴林银行倒闭属于操作风险引起的；2007年开始的美国金融危机同时引爆了美国和世界部分银行的信用、市场和流动性风险。银行业对风险的认识是伴随着银行业市场的发展而发展的，巴塞尔委员会出台银行业风险的各项监管协议过程大致反映了这一发展历程。2006年实施的《巴塞尔协议Ⅱ》和2013年开始实施的《巴塞尔协议Ⅲ》用包含信用风险、市场风险和操作风险的全面风险管理框架替代了原来《巴塞尔协议Ⅰ》中以信用风险为核心的监管模式^[10]。

全面风险管理是一种可以有效整合各种风险管理的综合性风险管理方法。与传统风险管理方法相比，全面风险管理在范围、人员、流程、策略、方法等方面均要求做到全面覆盖，以将风险控制在企业的风险偏好内。其核心理念是，对商业银行面临的所有风险做出连贯一致、准确和及时的度量；建立一种严密的程序以分析总风险在交易、资产组合和各种经营活动范围内是如何分布的，对不同类型的风险进行评价和合理配置资本^[11]。

（2）商业银行风险分类 当前全球银行业执行的全面风险管理是以巴塞尔资本协议为基本框架。巴塞尔委员会根据商业银行的业务特征及诱发风险的原因，把商业银行面临的风险分为8类：信用风险、市场风险、操作风险、流动性风险、国家风险、声誉风险、法律风险和战略风险。其中，信用风险、市场风险、操作风险为商业银行最主要的三大风险^[16]。

1）信用风险。指债务人或者交易对手未能履行合同所规定的义务或信用质量发生变化，从而给银行带来损失的可能性。对大多数商业银行来说，贷款是最大、最明显的信用风险来源。但是事实上，信用风险几乎存在于商业银行所有业务中，既存在于传统的贷款、债券投资等表内业务，也存在于信用担保、贷款承诺等表外业务，还存在于场外衍生品交易中。信用风险是商业银行最为复杂的风险，也是商业银行面临的最主要的风险^[12]。

2）市场风险。是指因市场价格（包括利率、汇率、股票价格和商品价格）的不利变动而使银行表内和表外业务发生损失的风险。市场风险包括利率风险、汇率风险、股票价格风险和商品价格风险四大类，分别指由于利率、汇率、股票价格和商品价格的不利变动而引起的风险^[16]。

3）操作风险。是指由不完善或者有问题的程序、人员以及系统或外部事件造成损失的风险。操作风险普遍存在于银行业务和管理的各个方面，而且具有可转化性，即在实践中通常可以转化为市场风险、信用风险等其他风险。因此，人们往往难以将其与其他风险严格区分开来^[16]。

4）流动性风险。是指银行所掌握可用于及时支付的流动资产不足以满足支付的需要，从而使银行丧失清偿能力的可能性。即当银行流动性不足时，它无法以合理的成本迅速增加负债或变现资产获得足够的资金，从而会引发流动性支付危机导致挤兑情况发生。

5）国家风险。是指由于借款国的宏观经济、政治、社会环境的影响导致商业银行在该国客户或交易对方不能偿还债务的可能性。

6）声誉风险。是指负面的公众观点对银行收益和资本所产生的现期和长远的影响。声誉风险对银行的损害极大，会从根本上动摇存款人、贷款人甚至整个市场的信心。

7）法律风险。是指商业银行在日常经营活动或各类交易中，因为无法满足或违反法律要求，导致商业银行不能履行合同，发生争议、诉讼或其他法律纠纷，而可能给商业银行造成经济损失的风险。

8）战略风险。是指商业银行在追求短期商业目的和长期发展目标的系统化管理过程中，因不适当的未来发展规划和战略决策可能造成损失或不利影响的风险。

（3）全面风险管理体系的特点和内容 商业银行全面风险管理体系指的是商业银行在风险管理过程中将各种风险管理方法、手段以及理念等有机地结合在一起，使之形成一种有效机制，来预防、控制和处理商业银行面临的或已经发生的所有风险。它包含两个核心理念：一个是“体系”，另一个是“全面”。

全面风险管理体系的范围涵盖商业银行风险管理相关的所有组织和流程（包括总、分行，前、中、后台，业务、管理和监督系统的组织和流程）、业绩管理（包括业绩指标、考评体系、员工发展等机制）、模型和工具（包括信贷风险、市场风险、操作风险的评估和计量工具，经济资本、RAROC、ALM等的计算和管理工具）以及IT系统（业务和管理流程及工具的电子化、ALM和经济资本的分析系统、业绩考核系统等）。

在我国，商业银行全面风险管理体系的组织架构普遍采取由总行统一集中管理的方式，其中风险总监代表行长或董事会领导下的风险管理委员会全面负责全行的各项风险管理并向行长和董事会直接汇报；总行风险管理部在风险总监的领导下执行风险管理委员会的决策并对全行风险进行统一管理和汇报，下设独立的机构管理信用风险、市场风险和操作风险；此外，在地区和分行层面上设置与总行相对应的风险管理部门，实行垂直的条线化管理；全行风险管理接受董事会、监事会的监督^[13]。

2.操作风险

（1）操作风险的定义 巴塞尔委员会对操作风险的界定是在不断认识的基础上逐渐形成的。巴塞尔委员会发布的一系列文件逐步完善和丰富了操作风险的定义。1997年9月，巴塞尔委员会在《有效银行监管的核心原则》中首次对操作风险进行了简单的界定。1999年6月，巴塞尔委员会公布了《新巴塞尔协议》第一次征求意见稿，明确将操作风险视为信用风险、市场风险之后的第三大风险。巴塞尔委员会在2001年9月发布的“Working Paper on the Regulatory Treatment of Operational Risk”中首次对操作风险进行了明确的界定，提出操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险，包括法律风险，但不包括策略风险和声誉风险^[14]。

（2）操作风险的分类 巴塞尔委员会在2004年发布的《新资本协议》中对操作风险按照事件原因或风险因素分为以下7类^[15]。

1）内部欺诈（Internal Fraud）。是指由机构内部人员参与的诈骗、盗用资产、违反法律及银行规章制度的行为，如故意误报头寸、员工偷窃、员工通过自己账户进行内部交易。

2）外部欺诈（External Fraud）。是指第三方的欺诈、盗用资产、违反法律的行为，如抢劫、伪造、空头支票、黑客行为对计算机系统的破坏。

3）由于就业政策和工作场所安全（Employ Practices & Workplace Safety）引起的赔偿要求。是指由于不履行合同或不符合劳动健康、安全法规所引起的赔偿要求。

4）由于客户、产品和业务操作（Client，Product and Business Practice）造成的损失。是指在履行对特定客户的职责（包括委托和适宜性要求）的过程中，由于非主观故意的失误或由于自然因素或由于产品设计造成的损失。

5）实物资产的损坏（Damage to Physical Assets）。是指由于自然灾害或其他事件造成的实物资产的损失或损害。

6）由于业务中断和系统失灵（Business Disruption and System Failure）造成的损失。是指由于业务流程被中断或系统失效造成的损失。

7）由于执行、交割及流程管理（Execution Delivery and Process Management）造成的损失。是指由于交易过程失效或对交易的管理失效造成的损失，以及由于和交易对手和供应商的关系而造成的损失。

（3）操作风险的特点 操作风险日益受到银行业界的高度重视。这主要是因为银行机构越来越庞大，产品越来越多样化和复杂化。银行业务对以计算机为代表的IT技术的高度依赖，还有金融业和金融市场的全球化趋势，使得一些“操作”上的失误，可能带来很大的甚至是极其严重的后果。与信用风险、市场风险相比，操作风险具有以下特点^[12]：

1）操作风险中的风险因素很大比例上来源于银行的业务操作，属于银行可控范围内的内部风险。单个操作风险因素与损失之间并不存在清晰的、可以界定的数量关系。

2）从覆盖范围看，操作风险管理几乎覆盖了银行经营管理所有方面的不同风险。既包括发生频率高、但损失相对较低的日常业务流程处理上的小纰漏，也包括发生频率低、但一旦发生就会造成极大损失，甚至危及银行存亡的自然灾害、大规模舞弊等。因此，试图用一种方法来覆盖操作风险的所有领域几乎是不可能的。

3）对于信用风险和市场风险而言，风险与报酬存在一一映射关系，但这种关系并不一定适用于操作风险。

4）业务规模大、交易量大、结构变化迅速的业务领域，受操作风险影响的可能性最大。

5）操作风险涉及面非常广，几乎涉及银行内部的所有部门。因此，操作风险管理不仅仅是风险管理部门和内部审计部门的事情。

（4）操作风险的管理流程 随着操作风险的频繁发生以及损失数额的不断增大，商业银行开始重视对操作风险的管理。新巴塞尔协议也明确提出，要求商业银行对操作风险分配资本。操作风险的管理主要分为风险的识别、评估、计量和控制。

1）操作风险识别。从商业银行外部纷杂的风险环境和内部经营环境中识别出可能对银行经营带来意外损失的风险因素。这是商业银行操作风险管理的第一步，也是最重要的一步。

2）操作风险评估。商业银行进行风险识别后，评估风险在量上可能达到的程度，可采用定性评估和定量评估两种方法，如自我评估、风险映射、关键风险指标、情景分析等。

3）操作风险计量。《新资本协议》给出了从简单到复杂的三种风险计量方法，即基本指标法、标准法和高级计量法，并允许银行使用自己的操作风险计量方法。

4）操作风险控制。商业银行操作风险具体的控制措施有风险规避、风险缓释、损失降低、风险转移等。

3.信息科技风险

随着业务的快速发展和数据的不断集中，商业银行信息系统的运行环境日益庞大和复杂，信息科技风险也日益集中、不断增大。与此同时，在全球范围内，计算机病毒、网络攻击、网络窃密等事件不断发生，商业银行的网络和信息系统已经成为不法分子攻击破坏的主要目标之一，其攻击手段层出不穷，攻击技术不断发展演变。商业银行的信息安全形势日益严峻。目前，在商业银行的各类风险中，信息科技风险可以说是唯一能够导致商业银行全部业务在瞬间瘫痪的风险。信息科技风险已经成为银行机构的主要风险之一，信息科技风险防范已成为银行业全面风险管理的重要任务。

（1）信息科技风险的定义 中国银行业监督管理委员会指出，信息科技风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力^[14]。

（2）信息科技风险的分类 信息科技风险按管理领域可划分为开发风险、运维风险、信息安全风险、外包风险、业务连续性风险等；按风险来源可划分为自然原因导致的风险、系统风险、管理缺陷导致的风险、人员违规操作引起的风险等；按影响对象可划分为数据风险、运行平台风险、物理环境风险；按对组织的影响可划分为安全风险、可用性风险、绩效风险、合规风险。

（3）信息科技风险的特点 当前银行业信息科技风险特点主要表现在以下几个方面：

1）信息科技风险专业性强、复杂程度高，新技术运用产生了新的风险。作为金融业务和信息技术结合的产物，银行业信息科技风险不但兼具两者的专业性特点，还衍生出新的特性，特别是随着云计算、互联网金融、大数据等新兴技术的出现，对传统风险防范体系提出了挑战。

2）信息科技风险的影响范围广，破坏性强。在数据大集中背景下，一旦总行核心系统和主干网络出现故障或受到攻击，可能立刻传导到各分支机构，引发连锁反应，造成全行性业务停顿的灾难性后果。

3）信息科技风险突发性强，应急处置难度增大。外部因素突然变化往往突然触发风险事件，如自然灾害、电力中断等。这些因素变化难以预测，但事件发生后影响巨大，银行必须在短时间内做出快速响应，对银行的应急处理能力提出了较高要求。

4）信息科技风险隐蔽性强。存在于信息系统中的风险往往在设计之初就留下缺陷或隐患，日常管理和维护很难发现，在经过长期大规模应用后才能显现出来，具有较强的隐蔽性。

（4）信息科技风险的管理流程 为保证对信息科技风险的有效管理，国内领先的大型商业银行和股份制商业银行都已建立了职责明确的信息科技风险管理组织架构，涵盖董事会、风险管理委员会、高级管理层、独立的信息科技部门和内审部门，并在全行层面提出信息科技风险管理策略，用于指导、开展并监督全行信息科技风险管理工作^[14]。

银行业信息科技风险管理流程一般包括信息科技风险识别和评估、风险监测、风险控制和报告。

1）信息科技风险识别和评估。是指识别银行在信息技术应用和管理过程中存在的潜在风险和威胁，并通过恰当的风险评估标准和机制，对潜在的风险进行评估。

2）信息科技风险监测。基于信息科技风险识别和评估结果，对关键的信息科技风险设置相应的指标和阈值进行日常监测，同时每年结合监测情况和风险变化情况，对监测指标内容和阈值进行优化。

3）信息科技风险控制和报告。制定一系列信息科技管理制度和流程，以实现对信息科技风险的有效管控，包括IT战略规划、信息安全、系统开发和变更、系统运行和维护、业务连续性管理、IT外包管理、IT审计等。同时，定期制定银行信息科技风险管理报告，并向内部风险管理委员会和外部监管机构报告。

4.研发风险在全面风险管理体系中的位置

（1）操作风险和全面风险管理的关系 2004年发布的巴塞尔新资本协议将操作风险纳入监管范围。从概念上讲，操作风险属于全面风险管理中的重要组成部分之一。三大风险中操作风险与信用风险、市场风险之间的差异主要体现在两个方面。

1）就信用风险和市场风险而言，风险是个中性概念，既包含潜在的损失，也意味着潜在的盈利机会，而操作风险纯粹意味着损失，是一种管理成本，而非利润来源。

2）对于信用风险和市场风险，银行可以借助业务产品组合的多样化效果降低整体风险，但对于操作风险来说，多样化不仅不会降低风险，反而会放大风险，因为业务越复杂，操作难度越大，发生损失的概率就越大。

尽管巴塞尔委员会的一系列指引文件逐步明确了操作风险的定义，但是操作风险与其他风险之间的边界仍然存在模糊地带。在实践中，很多损失的原因仍然非常模糊，并且难以确定一些损失实际是由操作风险直接导致还是间接导致。如由于抵押品管理不善导致的信用风险损失，新资本协议中应属于信用风险，但是抵押品管理在操作风险中也应纳入流程梳理并进行风险点分析，因此是否仅将由此造成的损失认为是信用风险损失就存在不同的理解^[15]。

（2）信息科技风险和操作风险的关系 按照巴塞尔委员会的定义，操作风险可被认为是商业银行全面风险中除去信用风险、市场风险、战略风险与声誉风险以外的其他风险的总和。在新资本协议关注的三大风险中，信息科技风险被默认为操作风险的一部分，未对信息科技风险的管理提出具体要求。但是信息科技风险与操作风险中的其他内容相比也存在一些特殊性^[14]。

1）在管理体系方面，信息科技风险体现出技术导向和控制导向特性，形成了以风险导向的识别、评估和应对的相对成熟的风险管理体系，但在风险监测、计量方面尚不成熟，缺乏独立的信息科技风险监测和计量的理论方法和工具支持。

2）在管理方法方面，信息科技风险除了关注业务流程中的信息科技风险外，还涵盖了信息科技治理层面以及具体信息科技管理层面的风险，包括信息科技治理架构以及信息安全、系统开发和测试、系统运行维护等具体领域。这些领域中存在的风险区别与业务流程层面的风险，虽然不直接影响具体业务，但是其风险管控结果将直接影响信息系统稳定性，进而影响业务连续性。而对于这部分信息科技风险，很难用一般操作风险方法进行管理。

3）在风险计量方面，一般操作风险的损失可以与该业务条线的资金敞口、收入、利润等联系，其资本计量方法经多年研究已基本成熟，但信息科技风险通常不直接产生风险损失，因此，往往难以使用货币金额进行计量，其计量方法还处于探索和讨论阶段。

（3）研发风险和信息科技风险的关系 研发风险是在信息系统研发阶段可能引入的，导致信息系统安全问题的风险。商业银行研发风险的内容基本被信息科技风险囊括，属于信息科技风险的一个子集。研发风险与信息科技风险的其他内容相比，主要区别在以下方面：

1）在管理体系方面，目前商业银行的信息科技风险管理体系相对健全。这个大的体系涵盖了信息系统的研发、测试、运维、外包等领域，涵盖了物理、网络、系统、应用、数据等技术要求。这些领域的管理边界相对清晰、人员相对稳定、要求基本明确，因此又形成许多各自独立的小体系。而信息系统安全问题由于其跨领域性和跨阶段性的特点，需要一个统筹规划、协调合作的机制来解决，这就决定了研发风险管控体系必须抽取各领域中与信息系统研发风险相关的内容，成为在一个大体系下，融合多个领域安全相关内容的综合体系。

2）在管理范围方面，研发风险管控着眼于在信息系统研发阶段解决安全问题，因此其组织范围基本限于信息系统研发的项目组；其管理阶段基本限于信息系统投产上线前的需求、设计、开发、测试阶段工作；其技术领域虽然涉及物理、网络、系统、应用、数据等各领域，但以应用软件开发为主要范围，其他领域如系统、网络均以服务安全设计开发为主，不涉及其日常安全运维工作。

3）在管理流程方面，与信息科技风险管理相比，研发风险管控的对象不是已存在的或通过风险评估发现的风险点，而是信息系统研发过程中随时可能会出现的风险点，因此研发风险管控工作流程必须与信息系统项目研发流程保持同步，即在信息系统研发的各阶段同步开展安全相关工作，包括安全需求分析、安全设计、安全编码、安全测试等。

（4）研发风险的定位 基于以上论述，深入思考商业银行信息系统研发风险与信息科技风险、操作风险的关系，针对研发风险在全面风险管理体系中的定位，可以总结得出以下结论：

1）从研发风险的重要性来看，目前新资本协议下的全面风险管理体系并未对信息科技风险给予足够的重视。研发风险作为信息科技风险的内容之一，虽然其管控水平直接影响商业银行信息系统的安全可靠性，进而影响其业务连续性，但在商业银行全面风险管理体系中仍处于较深层次的位置。

2）从研发风险的特殊性来看，研发风险虽然属于信息科技风险，但由于其关注点集中于提高信息系统的安全性，而信息系统安全问题又具有一定的复杂性，因此其管理范围、管理流程、管理方法与信息科技风险具有一定的差异。

3）从研发风险的管理实践上来看，研发风险管控偏重于运用信息安全技术加强信息系统的安全设计和研发，其管控过程与信息系统研发过程紧密结合，且集中于信息系统研发阶段，具有紧凑、密集的特点。经过多年的发展，信息系统研发项目管理方法和信息安全技术都相对成熟，使研发风险管控在各领域中的管理要求具有被提炼出来单独、统筹管理的基础。

综上所述，研发风险在全面风险管理体系中的定位如图1-11所示。

图1-11 研发风险在全面风险管理体系中的定位