操作風險評估與控制

5.3.1 風險評估與控制環境

1．公司治理

良好的公司治理目標：

①完善股東大會、董事會、監事會及其下設的議事和決策機構，建立議事規則和決策程序；

②明確董事會和董事、監事會和監事、高級管理層和高級經理人員在組織管理中的責任；

③建立獨立董事制度，對董事會討論事項發表客觀公正的意見；

④建立外部監視制度，對董事會、董事、高級管理層及其成員進行監督。

董事會、監事會和高級管理層及內部相關部門在防范和控制操作風險方面所承擔的職責。

2．內部控制

健全的內部控制體系是商業銀行有效識別和防范操作風險的重要手段。加強內部控制建設是商業銀行管理操作風險的基礎，巴塞爾委員會認為，資本約束并不是控制操作風險的最好方法，對付操作風險的第一道防線是嚴格的內部控制。

3．合規管理文化

目前，違規、內部欺詐等損失事件在我國商業銀行操作風險中占比超過80%，這說明我國商業銀行內部控制存在的最嚴重問題是制度的遵循性，也就是內部控制的符合性或者合規性問題。

健康有效的合規管理文化至少包括以下幾方面的內容：

一是要樹立正確的合規管理理念；二是加強管理層的驅動作用；三是充分發揮人的主導作用；四是創建學習型組織。

4．信息系統

商業銀行信息系統包括主要面向客戶的業務處理系統和主要供內部管理使用的管理信息系統。

5.3.2 風險評估要素、原則和方法

1．風險評估要素

一是內部操作風險損失事件數據。內部操作風險損失數據收集是商業銀行對內部操作風險損失事件形成的損失信息記錄、匯總、分析的過程。操作風險損失數據的收集要遵循客觀性、全面性、動態性、標準化的原則。

客觀性

全面性

動態性

標準化

（1）損失數據收集的內容

①總損失數額信息；

②損失事件發生的時間、發生的單位信息；

③總損失中收回部分信息；

④損失事件發生的主要原因的描述信息（描述信息的詳細程度應與總損失規模相稱）。

（2）損失數據收集的流程

（3）損失數據收集的步驟

二是外部數據。由于那些可能危及商業銀行安全的低頻率、高損失事件是很稀少的，所以，必須利用相關的外部數據（無論是公開數據還是行業整合數據）來解決多數商業銀行評估操作風險時因內部損失數據有限、樣本數過少而導致統計結果失真的問題。

使用外部數據必須配合采用專家的情景分析，求出嚴重風險事件下的風險暴露。

三是業務環境和內部控制因素。

為了滿足監管資本的要求，商業銀行在風險計量框架中使用這些因素時，須符合以下標準；

①要將每一個因素調整為有意義的風險要素，應基于實際經驗，并征求專家對相關業務領域的意見。

②在風險評估中，商業銀行對這些因素變動的敏感度和不同因素相對權重的設定必須合理。

③該框架及各種實施情況，包括針對實際評估作出調整的理由，都應當有文件支持，并接受商業銀行內部和監管當局的獨立審查。

2．風險評估原則

由表及里原則。具體可以劃分為：非流程風險、流程環節風險和控制派生風險。

自上而下原則。

從已知到未知原則。

3．風險評估方法

操作風險識別與評估的主要方法包括自我評估法、損失事件數據方法和流程圖等。其中，運用最廣泛、方法最成熟的自我評估法被稱為操作管理的三大基礎管理工具之一。

（1）自我評估法的原則

自我評估法就是在商業銀行內部控制體系的基礎上，通過開展全員風險識別，識別出全行經營管理中存在的風險點，并從損失金額和發生概率兩個角度來評估風險大小。

自我評估的主要目標是鼓勵各級機構承擔責任及主動對操作風險進行識別和管理。

（2）自我評估的作用

（3）自我評估的工具和方法

（4）自我評估的工作流程

第一階段：全員風險識別與報告。

第二階段：作業流程分析和風險識別與評估。作業流程分析和風險識別與評估是進行控制措施識別與評估的基礎和前提。

第三階段：控制活動識別與評估。

第四階段：制定與實施控制優化方案。自我評估的最終目的是優化控制措施，解決沒有控制、控制不足以及控制過度問題。

第五階段：報告自我評估工作和日常監控。