5.2操作风险评估

学习目的

◆理解并掌握操作风险评估的四项要素和三项原则

◆理解并掌握如何利用自我评估法和关键风险指标法评估操作风险

 

5.2.1 操作风险评估要素和原则

1．操作风险评估要素

（1）内部操作风险损失事件数据

包括操作风险损失事件发生后可以识别、计量和描述该风险事件的各项数据信息，如风险损失发生的部门、部门所有人、归属的法律实体、风险事件描述、损害事件的类型、损失事件分类、原因分类、发生时间、发现时间、结束时间、潜在损失的相关要素、潜在挽回的相关要素、财务影响的相关要素、声誉影响的相关要素等，涵盖商业银行所有机构和所有重要的业务活动，反映商业银行的操作风险状况。

（2）外部相关损失数据

包括实际损失的金额数据、发生损失事件的业务范围信息、损失事件发生的原因和情况，以及其他有助于评估商业银行损失事件的信息。

（3）情景分析

情景分析主要依靠经验丰富的专业人员进行定性分析，情景分析评估结果应与实际损失对比，并随时进行验证和重新评估，以确保情景分析的合理性。

（4）业务经营环境和内部控制因素

2.操作风险评估通常从业务管理和风险管理两个角度开展，遵循由表及里、自下而上、从已知到未知的原则。

原则	释义
由表及里	操作风险遍布商业银行各项经营管理活动和业务环节，因此必须运用系统性的分析与评估方法，从经营管理活动和业务环节的不同层面，由表及里逐层深入识别和评估操作风险因素
自下而上	绝大部分操作风险事件发生于商业银行的基层机构和经营管理流程的基础环节，因此，应当将风险管理的关口前移，自下而上逐级开展操作风险的识别和评估
从已知到未知	操作风险评估应当从已知风险逐步（如本行或其他行已真实发生的风险事件）延伸到未知风险（未识别或尚存争议的潜在风险）

 

 

5.2.2 操作风险评估方法

1.自我评估法

（1）操作风险识别与评估的主要方法包括自我评估法、损失分布法和风险地图法等。其中，运用最广泛、方法最成熟的自我评估法被称为操作管理的三大基础管理工具之一。

在操作风险自我评估过程中，可依据评审对象的不同，采用流程分析法、情景模拟法、引导会议法、调查问卷法等方法，并借助操作风险定义及损失事件分类、操作风险损失事件历史数据、各类业务检查报告等相关资料进行操作风险自我评估。

自我评估的工作流程：

第一阶段：全员风险识别与报告。

第二阶段：作业流程分析和风险识别与评估。作业流程分析和风险识别与评估是进行控制措施识别与评估的基础和前提。

第三阶段：控制活动识别与评估。

第四阶段：制定与实施控制优化方案。自我评估的最终目的是优化控制措施，解决没有控制、控制不足以及控制过度问题。

第五阶段：报告自我评估工作和日常监控。

（2）商业银行在全行范围内开展操作风险的自我评估的作用（教材205页，有6点）

2.关键风险指标法

（1）选择关键风险指标的基本原则

相关性	关键风险指标与操作风险状况之间存在明显的相关性，关键风险指标能够真实反映操作风险水平
可计量性	能够根据现有的数据/信息和技术条件对关键风险指标进行准确量化
风险敏感性	关键风险指标的变动能够及时、准确反映操作风险的变化情况
实用性	关键风险指标能够满足风险管理和各业务部门的现实需要

 

（2）确定关键风险指标的步骤

①了解业务和流程

②确定并理解主要风险领域

③定义风险指标并按其重要程度进行优先排序

④设定关键风险指标

（3）关键风险指标示例（教材207页）

①人员在当前部门的从业年限

②员工人均培训费用

③客户投诉占比

④交易结果和财务核算结果间的差异

⑤前后台交易不匹配占比

⑥系统故障时间

⑦系统数量

⑧反洗钱警报占比

5.3操作风险控制

学习目的

◆了解操作风险控制环境的四项主要因素

◆了解操作风险缓释的三种常用手段

◆理解并掌握我国商业银行主要业务的操作风险控制措施

 

5.3.1操作风险控制环境

商业银行的整体风险控制环境包括公司治理、内部控制、合规文化及信息系统四项要素。

1．公司治理

完善的公司治理结构师现代商业银行控制操作风险的基石。最高管理层及相关部门在控制操作风险方面承担重要责任

①操作风险管理委员会及操作风险管理部门，负责商业银行操作风险管理体系的建立和实施，确保全行范围内操作风险管理的一致性和有效性。

②业务部门对操作风险的管理情况负直接责任，应指定专人负责操作风险管理。

③内部审计部门负责定期检查评估商业银行操作风险管理体系的运作情况，监督操作风险管理政策的执行情况，对新出台的操作风险管理方案进行独立评估，直接向董事会报告操作风险管理体系运行效果的评估状况。

2．内部控制

健全的内部控制体系是商业银行有效识别和防范操作风险的重要手段。加强内部控制建设是商业银行管理操作风险的基础，巴塞尔委员会认为，资本约束并不是控制操作风险的最好方法，对付操作风险的第一道防线是严格的内部控制。

3．合规管理文化

根据调查分析，违规操作、内部欺诈等损失事件在我国商业银行操作风险中占比超过80%，这说明我国商业银行在日常经营管理活动中存在相当严重的“有令不行，有禁不止”的违规现象。

健康有效的合规管理文化至少包括以下几方面的内容：一是要树立正确的合规管理理念；二是加强管理层的驱动作用；三是充分发挥人的主导作用；四是创建学习型组织。

4．信息系统

商业银行信息系统包括主要面向客户的业务处理系统和主要供内部管理使用的管理信息系统。

 

5.3.2 风险缓释

根据商业银行管理和控制操作风险的能力，可以将操作风险划分为四大类：可规避的操作风险、可降低的操作风险、可缓释的操作风险和应承担的操作风险。

1．连续营业方案

为解决商业银行的营业场所、电力、通讯、技术设备等因不可抗力事件，建立完善的灾难应急恢复和连续经营方案，涵盖可能遭受的各种意外冲级，明确恢复服务至关重要的关键业务程序。

2．商业保险

购买保险是操作风险缓释的一种措施，但从根本上还是要靠商业银行不断提高自身的风险管理水平。

背景知识：

①商业银行一揽子保险

②错误与遗漏保险

③经理与高级职员责任险

④未授权交易保险

⑤财产保险

⑥营业中断保险

⑦商业综合责任保险

⑧电子保险

⑨计算机犯罪保险

3．业务外包

商业银行业务外包通常有以下几类：技术外包、处理程序外包、业务营销外包、某些专业性服务外包、后勤性事务外包。

从本质上说，操作或服务虽然可以外包，但其最终责任并未被“包”出去。业务外包并不能减少董事会和高级管理层确保第三方行为的安全稳健以及遵守相关法律的责任。外包服务的最终责任人仍是商业银行，对客户和监管者仍承担着保证服务质量、安全、透明度和管理的责任汇报的责任。