第五章操作風險管理

　　考點5.1操作風險概述

　　1.操作風險是指由不完善或有問題的內部程序、員工、信息科技系統以及外部事件所造成損失的風險。

　　【本定義所指操作風險包括法律風險，但不包括策略風險和聲譽風險。】

　　2.根據操作風險的定義，商業銀行的操作風險可按人員因素、內部流程、系統缺陷和外部事件四大類分類。

　　3.人員因素主要是指因商業銀行員工發生內部欺詐、失職違規，以及因員工的知識/技能匱乏、核心員工流失、商業銀行違反用工法等造成損失或者不良影響而引起的風險；

　　①內部欺詐：指員工故意騙取、盜用財產或違反監管規章、法律或公司政策導致的損失；【分類有未經授權交易、盜竊和欺詐；】

　　②失職違規：員工因過失沒有按照雇用合同、內部員工守則、相關業務及管理規定操作或者辦理業務造成的風險，主要包括因過失、未經授權的業務或交易行為以及超越授權的活動。員工越權行為包括濫用職權、對客戶交易進行誤導或者支配超出其權限的資金額度，或者從事未經授權的交易等，致使商業銀行發生損失的風險。商業銀行應對員工越權行為導致的操作風險予以高度關注。

　　③知識/技能匱乏分為三種：

　　在工作中，自己意識不到缺乏必要的知識，按照自己認為正確而實際錯誤的方式工作；

　　意識到自己缺乏必要的知識，但是由于顏面或者其他原因而不向管理層提出或者聲明其無法勝任某一工作或者不能處理面對的情況；

　　意識到本身缺乏必要的知識，并進而利用這種缺陷。

　　④核心雇員流失：體現為對關鍵人員依賴的風險，包括缺乏足夠的后援/替代人員，相關信息缺乏共享和文檔記錄，缺乏崗位輪換機制等；

　　⑤違反用工法：指違反就業、健康或安全方面的法律或協議，包括勞動法、合同法等，造成個人工傷賠付或因性別/種族歧視事件導致的損失；

　　4.內部流程：指由于商業銀行業務流程缺失、設計不完善，或者沒有被嚴格執行而造成的損失；

　　①財務/會計錯誤；

　　②文件/合同缺陷：主要表現為抵押權證、房產證丟失等；

　　③產品設計缺陷：在業務管理框架、權利義務結構、風險管理要求等方面不完善、不健全；

　　④錯誤監控/報告；

　　⑤結算/支付錯誤；

　　⑥交易/定價錯誤；

　　5.系統缺陷：指由于信息科技部門或服務供應商提供的計算機系統或設備發生故障或其他原因，商業銀行不能正常提供部分、全部服務或業務中斷而造成的損失；

　　具體表現：①數據/信息質量；②違反系統安全規定；③系統設計/開發的戰略風險；④系統穩定性、兼容性、適宜性。

　　6.外部事件：

　　①外部欺詐：指第三方故意騙取、盜用財產或逃避法律，包括外部盜竊欺詐、系統安全性兩類；

　　【該類風險是給商業銀行造成損失最大、發生次數最多的操作風險之一。】

　　②洗錢；③政治風險；④監管規定；⑤業務外包；⑥自然災害；⑦恐怖威脅

　　7.操作風險影響：包括可用經濟指標衡量的財務影響以及無法用經濟指標量化的非財務影響；

　　8.操作風險等級矩陣通過風險概率和影響兩個維度來度量風險的嚴重度。

　　考點5.2操作風險識別方法

　　1.自我評估法：自我評估法是在商業銀行內部控制體系的基礎上，通過開展全員風險識別，識別出全行經營管理中存在的風險點，并從影響程序和發生概率兩個角度來評估操作風險的重要程度；目的是鼓勵各級機構主動承擔責任，加強對操作風險識別、評估、控制和監測流程的有效管理；

　　2.因果分析模型：在綜合自我評估結果和各類操作風險報告的基礎上，利用因果分析模型能夠對風險成因、風險指標和風險損失進行邏輯分析和數據統計，進而形成三者之間相互關聯的多元分布；實踐中，商業銀行通常先收集損失事件，然后識別導致損失的風險成因，方法包括實證分析法、與業務管理部門會談等，最終獲得損失事件與風險成因之間的因果關系。

　　考點5.3操作風險評估

　　1.操作風險評估是指操作風險所有人持續識別、評估并報告業務流程的操作風險及其控制狀況的過程；原理是按照“固有風險-控制措施=剩余風險”的方法；操作風險是一種銀行操作風險管理手段，通常采用定性與定量相結合的方法來評估操作風險；

　　2.操作風險評估的原則：業務流程所有人負第一評估責任原則；動態管理原則；重要性原則；

　　3.操作風險評估的步驟：準備、評估和報告三個步驟；

　　4.操作風險評估的價值：

　　①建立覆蓋商業銀行各類經營管理的操作風險動態識別評估機制，實現操作風險的主動識別與內部控制持續優化；

　　②優化和完善各類作業流程，平衡風險與收益，提升商業銀行服務效率和盈利能力；

　　③在自我評估基礎上建立操作風險事件數據庫，構建操作風險日常管理的基礎平臺；

　　④為建立操作風險管理的關鍵風險指標體系和操作風險計量奠定基礎；

　　⑤風險關口前移，從源頭上控制風險隱患；來源：233網校

　　⑥促進操作風險管理文化的轉變，通過全員風險識別，提高員工參與操作風險管理的主動性和積極性

　　5.RACA對操作風險進行主動的識別和評估，識別控制失當的風險，是對風險管理過程的開端；

　　RACA形成關鍵風險和關鍵控制清單，為操作風險管理和內部控制報告提供統一語言。

　　考點5.4操作風險緩釋

　　1.管理和控制操作風險通常需要較高的投入，銀行在制定操作風險管理方案時，應當有效平衡成本與收益；

　　2.操作風險的主要緩釋手段有業務連續性管理計劃、商業保險和業務外包；

　　3.在商業銀行投保前，商業銀行和保險機構都要充分評估商業銀行操作風險的狀況、風險管理能力及財務承受能力，最終確定商業銀行自擔風險還是保險機構承保；購買保險只是操作風險緩釋的一種措施，預防和減少操作風險事件的發生，根本上還是要靠商業銀行不斷提高自身的風險管理水平。

　　4.可供商業銀行購買的保險產品：

　　①商業銀行一攬子保險【承擔內部盜竊和內外部欺詐風險】；

　　②錯誤與遺漏保險；

　　③經理與高級職員責任險；

　　④未授權交易保險；

　　⑤財產保險；

　　⑥營業中斷保險；

　　⑦商業綜合責任保險；

　　⑧電子保險；

　　⑨計算機犯罪保險【保險的緩釋最高不超過操作風險監管資本要求的20%】。

　　5.外包非核心業務有助于商業銀行將重心放在核心業務上，從而提有效率、降低成本；主要有技術外包、處理程序外包、業務營銷外包、專業性服務外包、后勤性事務外包；業務操作雖然可以外包，但是最終責任人還是商業銀行；外包服務實施流程為：立項、采購、合同管理、持續管理與監督。

　　考點5.5主要業務操作風險控制

　　1.柜臺業務：是商業銀行各項業務操作的集中體現，也是最容易引發操作風險的業務環節。

　　柜臺業務范圍廣泛，包括賬戶管理、存取款、現金庫箱、印押證管理、票據憑證審核、會計核算、賬務處理等各項操作。

　　2.法人信貸業務：包括法人客戶貸款業務、貼現業務、銀行承兌匯票等業務；按照法人的信貸業務的流程，可大致分為評級授信、貸前調查、信貸審查、信貸審批、貸款發放、貸后管理六個環節。

　　3.個人信貸業務；

　　4.資金交易業務：包括資金管理、資金存放、資金拆借、債券買賣、外匯買賣、黃金買賣、金融衍生產品交易等業務。從資金交易業務流程來看，可分為前臺交易、中臺風險管理、后臺結算/清算三個環節；

　　5.代理業務。

　　考點5.6操作風險監控與報告

　　1.關鍵風險指標示例：人員在當前部門的從業年限、員工人均培訓費用、客戶投訴占比、交易結果和財務核算結果間的差異、前后臺交易不匹配占比、系統故障時間、系統數量、反洗錢警報占比；

　　2.損失數據收集的價值：把握操作風險損失的情況、發現內部薄弱環節、符合巴塞爾的標準、可提供數據；

　　3.風險報告：包括風險狀況、損失事件、誘因與對策、關鍵風險指標、資本水平五個部分；商業銀行的業務單位、內部職能部門、操作風險管理部門和內部審計部門可單獨向高級管理層報告。

　　考點5.7操作風險資本計量

　　1.商業銀行可采用基本指標法、標準法或高級計量法計量操作風險資本要求；

　　2.基本指標法：以總收入為基礎計量操作風險資本要求；巴塞爾委員會建議基本指標法適用范圍是小型的、業務范圍限于某一國家或地區內的商業銀行。

　　3.標準法：將商業銀行劃分為九條業務線；【公司金融、交易和銷售、零售銀行、商業銀行、支付和結算、代理服務、資產管理、零售經紀、其他業務】β代表商業銀行在特定產品線的潛在操作風險損失與該產品線總收入之間的關系：

　　①零售銀行、資產管理和零售經紀業務條線的操作風險資本系數為12%；

　　②商業銀行和代理服務業務條線的操作風險資本系數為15%；

　　③公司金融、支付和清算、交易和銷售以及其他業務條線的操作風險資本系數為18%

　　4.高級計量法基于內部損失數據、外部損失數據、情景分析、業務經營環境和內部控制因素建立計量模型；

　　巴塞爾委員會鼓勵商業銀行自助開發適合自身特點的AMA模型，并建議了損失分步法LDA【主流選擇】、內部衡量法IMA和打分卡法SCA三種計量模型，模型的置信度99.9%，觀測期為1年；根據銀監會要求，商業銀行應具備至少5年觀測期的內部損失數據，初次使用高計量法的商業銀行，可使用3年期的內部損失數據；AMA資本計量的相關性主要包括頻率相關性、嚴重度相關性和累計損失相關性三類。