操作风险管理办法来了，信托公司怎么办？

来源：上海信托圈

现代服务业建立起“以顾客为中心”的质量管理标准，按照SERVQUAL模型的体系架构，企业可围绕客户感知、可靠性、响应能力、公信力、同理心五个维度提升服务质量，即对外增强实力，对内打好内功。所谓的内功恰恰是筑建牢固的防线，保障质量体系始终处于安全、正常、连续的运行状态。

当我们把视角切换到风险管理领域，操作风险管理就成了“内功”中的制胜法宝。

2023年7月28日，国家金融监督管理总局就《银行保险机构操作风险管理办法（征求意见稿）》公开征求意见中，操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险，包括法律风险，但不包括策略风险和声誉风险。

基于上述操作风险管理办法，结合金融机构实践，探究信托公司操作风险管理相关话题。

/

壹

/

从概念出发，解读操作风险要素

操作风险是“起因”+“事件”+“损失”的有机结合。

从风险起因看，包括人员因素、内部流程因素、信息系统因素和外部事件因素。

从操作风险事件看，根据新巴III的定义，可以分为内部舞弊、外部舞弊、就业政策和工作场所安全性、实物资产安全、业务中断和系统、客户产品和业务操作、执行交割和流程管理七大种类。

从风险损失和影响看，操作风险事件发生后，会给金融机构带来监管处罚、资产损失、对外赔偿、账面减值、声誉受损、客户流失等负面影响。

/

贰

/

从案例出发，探寻操作风险管理经验

授权管理是门精细活。

巴林银行倒闭事件中，新加坡分行负责人理森未经授权就以银行名义认购了70亿美元的日经期货，同时做空200亿美元的短期利率债券，最终由于阪神地震后日本债券市场持续走熊，导致巴林银行不得不清算倒闭。

瑞士联合银行巨亏事件中，伦敦投资银行部一名交易员滥用职权从事欺诈和伪造账目，导致瑞银产生20亿美元损失。

系统缺陷不容小觑。

法兴银行舞弊案中，一名交易员为了躲避内部控制系统的监测，操作了一笔多头欧洲股指期货的同时 ，虚构了另一笔空头交易，然而头寸的抵消并没有被系统发现，最终导致银行亏损72亿美元。

光大乌龙指事件是国内经典的操作风险案例，由于套利策略系统的设计缺陷，导致光大被动下单230亿元，成交72亿元，直接盯市损失1.94亿元。

某银行内部数据泄露事件，涉及操作风险的多个方面。

某银行的一名员工通过获取未经授权的访问权限，窃取了大量客户的敏感信息，并将这些信息出售给第三方，以牟取非法利益。

其中涉及多个方面的风险：

1.内部失控风险。银行的内部控制体系存在缺陷，未能有效监测和防范员工的不当行为。

2.人员风险。员工滥用职权，窃取客户敏感数据并泄露给犯罪分子，从而导致内部数据泄露事件的发生。

3.技术风险。银行的信息系统安全措施不足，无法及时检测和阻止未经授权的访问行为。

4.法律合规风险。银行未能建立健全的内部监管机制，未能及时发现和纠正员工违规行为。

5.信用风险。客户的敏感信息泄露可能导致客户遭受金融欺诈或身份盗窃，进而影响银行声誉和客户信任。

信托行业的操作风险处罚情况。

根据不完全统计，2016年至2022年间信托行业监管处罚有281宗事项,其中多项与操作风险有关，涉及系统建设、业务制度建设、第三方管理、产品销售、风险隔离等方面。主要源于信托公司原有商业模式为非标债权融资业务为主，更关注信用风险和合规风险，对操作风险事件影响因素重视度不够。

/

叁

/

从现状出发，尝试建立信托公司操作风险管理体系

信托公司商业模式和核心竞争力正在发生转变。

商业模式正在从融资类业务为主，转变为资产管理、财富管理和资产服务信托为主。

核心竞争力正在从业务资源获取能力，转变为“研究创造价值”，“服务创造价值”，展业过程中更加注重“胜率”、“赔率”、“服务能力”和“客户挖掘能力”等。

问题一：操作风险为什么被认定为信托公司主要风险？

从业务逻辑层面看，资产服务信托及慈善公益信托本质上均要求信托公司按照委托人意愿，承担受托人职责；资产管理信托应当执行资管新规的规定，打破刚兑，净值化管理，并且信托公司应履行“卖者尽责”的义务。何为尽责，如何自证尽责，操作风险管理给出了一个基于流程的标准化答案，即站在受托人立场为自身、客户和合作方建立了预防性的风险管理机制。

从业务流程层面看，本次操作风险管理办法将银行划分为八大业务，如果进行一一对标，信托公司的业务主要集中于交易和销售、资产管理（含财富管理的概念）两大板块，加上信托公司特有的服务信托板块，这些业务对内部职责分工、授权控制、审核批准控制、财产保护控制、信息披露、信息系统控制天然就有较高要求，倒逼信托公司不得不完善相关机制建设，无独有偶，这些机制正好是操作风险管理的核心范畴，即建立以流程为核心的风险防控体系。

问题二：实践中，银行的操作风险管理体系是什么样的？

经调研，我们尝试用五层四块的金字塔结构图来说明。

问题三：面对复杂的竞争环境，品类繁多的业务品类，信托公司的操作风险体系该如何建立？

遵循“治理-制度-工具 –系统-监督”的管理思路，信托公司应建立一个完善的操作风险管理体系，以有效识别、评估、控制和监控操作风险。

从体系建设的目标出发，应包括如下方面：

1.符合监管要求。构建符合监管要求的操作风险管理体系，确保操作风险合规达标且按时成功的验收。

2.提高操作风险管理水平。通过对政策制度的整合统一以及管理工具的优化和补充将操作风险管理能力进一步推进；借鉴国内外先进机构的成熟经验，建立既与国际接轨又符合信托公司实际的操作风险管理体系。

3.节约监管资本。对操作风险管理工具的进一步完善，从而实现操作风险管理、计量和缓释的动态管理的管理体系；加强经济资本管理，深化“资本约束”的管理理念，实现操作风险监管资本的合理节约。

4.有效控制损失程度。建立三道防线在事前、事中、事后对风险进行监控；完善应急方案，定期检查、测试其灾难恢复和业务连续机制，确保在出现灾难和业务严重中断时这些方案和机制的正常执行，减少损失程度。

从体现建设的内容出发，应包括如下方面：

1.风险识别和评估。通过对更新风险分类清单、流程图、风险指标等工具，以帮助发现潜在的操作风险。

2.建立内部控制和风险管理框架。制定明确的政策和程序、分工明确的职责和权限、风险管理流程以及内部审计机制等，确保控制措施发挥实效，减少操作风险。

3.建立有效的风险监控和报告机制，及时跟踪和监测操作风险。可采用定期收集和分析风险数据、设立风险指标和警示线、建立风险报告系统等，以便管理层能够及时了解风险状况并采取相应措施。

4.定期回顾和评估。以便发现存在的问题，持续改进，提高操作风险管理体系的有效性和适应性。

5.定期培训和教育。让员工了解操作风险管理的重要性，提高员工对操作风险的识别能力。

6.加强外部合作和监管配合。通过与专业机构、风险咨询公司等合作，获取外部的支持和建议。

问题到这里并没有结束，还有许多待探讨。

操作风险管理如何与内部控制管理相结合？

信托公司操作风险三大工具具体如何应用？

信托公司操作风险数据与系统应当如何建立？

良好操作风险管理如何为信托公司“受托职责 ”提供明证？

特别声明：文章为作者工作学习思考的内容，不代表任何单位或机构观点，如有任何问题，请随时联系作者或咨询专业机构。

联合作者：张亚东，风险管理部（金融实验室）风险管理主管，香港城市大学应用经济学硕士 、FRM 、CIA，曾任国际咨询公司金融风险管理咨询师。

海量资讯、精准解读，尽在新浪财经APP