第一節 操作風險概述(★★★★★)

　　一、操作風險的定義與特點

　　1．定義

　　操作風險是指由不完善或有問題的內部程序、員工、信息科技系統以及外部事件所造成損失的風險。本定義所指操作風險包括法律風險，但不包括策略風險和聲譽風險。

　　2．特點

　　(1)具體性。不同類型的操作風險具有各自具體的特性，難以用一種方法對各類操作風險進行準確的識別和計量。

　　(2)分散性。試圖用一種方法來覆蓋操作風險管理的所有領域幾乎是不可能的。(3)差異性。不同業務領域操作風險的表現方式存在差異。

　　(4)復雜性。銀行風險管理部門難以確定哪些因素對于操作風險管理來說是最重要的。

　　(5)內生性。除自然災害、恐怖襲擊等外部事件外，操作風險的風險因素很大比例上來源于銀行的業務操作，屬于銀行的內生風險。

　　(6)轉化性。操作風險是基礎性風險。

　　二、操作風險相關概念辨析

　　1．COS0委員會和巴塞爾委員會于2004年在“內部控制”和“全面風險管理”的理解上趨于一致，操作風險屬于全面風險管理的組成部分。

　　內部控制與操作風險管理的發展歷程如圖5—1所示。

　　2．合規是操作風險的管理目標，二者在管理實踐中存在重疊。

　　三、操作風險的監管規則

　　1．國際監管規則

　　操作風險主要是巴塞爾委員的監管規則，主要有《有效銀行監管的核心原則》、《操作風險管理》、《操作風險管理與監管的穩健辦法》、《巴塞爾新資本協議》等文件。

　　2．國內監管規則

　　操作風險主要執行的是銀監會的一系列監管規定，主要有《關于加大防范操作風險工作力度的通知》(“操作風險13條”)、《商業銀行操作風險管理指引》、《商業銀行資本管理辦法(試行)》等文件。

　　四、操作風險分類(見表5—2)

　　在商業銀行的操作風險管理實踐中，還可以從原因、損失事件、影響等角度進行多維度分類和評級，以便運用于風險與控制評估、關鍵風險指標、損失數據收集、檢查、整改及操作風險報告等操作風險管理流程，提升管理效率。

　　1．操作風險原因，是指誘發操作風險轉變為操作風險損失事件的緣由，通常一個操作風險損失事件可由一個或多個操作風險原因引發

　　2．操作風險損失事件分類援用了銀監會的操作風險損失事件分類

　　3．操作風險影響分類操作風險影響是指操作風險損失事件發生后對銀行造成的負面影響，包括可用經濟指標衡量的財務影響及無法用經濟指標量化的非財務影響。

　　4．操作風險嚴重度評級

　　操作風險嚴重度可以誦討等級矩陣講行評級。

　　五、操作風險識別方法

　　商業銀行通常借助自我評估法和因果分析模型，對所有業務崗位和流程中的操作風險進行全面且有針對性的識別，并建立操作風險成因和損失事件之間的關系。

　　(一)自我評估法

　　自我評估法是在商業銀行內部控制體系的基礎上，通過開展全員風險識別，識別出全行經營管理中存在的風險點，并從影響程度和發生概率兩個角度來評估操作風險的重要程度。

　　商業銀行進行操作風險自我評估的主要目的是鼓勵各級機構主動承擔責任，加強對操作風險識別、評估、控制和監測流程的有效管理。

　　(二)因果分析模型

　　在綜合自我評估結果和各類操作風險報告的基礎上，利用因果分析模型能夠對風險成因、風險指標和風險損失進行邏輯分析和數據統計，進而形成三者之間相互關聯的多元分布。

　　實踐中，商業銀行通常先收集損失事件，然后識別導致損失的風險成因，方法包括實證分析法、與業務管理部門會談等，最終獲得損失事件與風險成因之間的因果關系。

第二節 操作風險評估(★★★)

　　一、操作風險評估的定義與原理

　　1．操作風險評估(RCSA)，是指操作風險所有人持續識別、評估并報告業務流程的操作風險及其控制狀況的過程。

　　2．操作風險評估(RCSA)是一種銀行操作風險管理手段。

　　3．商業銀行通常采用定性與定量相結合的方法來評估操作風險。

　　二、操作風險評估原則

　　1．業務流程所有人負第一評估責任原則：業務流程的所有人(即“風險所有人”)需對風險與控制的評估工作承擔第一評估責任。

　　2．動態管理原則：既要有定期的年度評估，又要根據內部風險管理需要和外部風險信息等情況，開展動態的觸發式評估工作。

　　3．重要性原則：應優先識別和評估對業務目標和管理目標有重大影響的操作風險。

　　三、操作風險評估的步驟

　　操作風險評估包括準備、評估和報告三個步驟。準備階段：包括確認評估對象、繪制流程圖、收集整理操作風險信息；評估階段：包括識別和評估固有風險、識別和評估現有控制、評估剩余風險、提出優化方

　　案；報告階段：包括整合評估成果和提交報告兩個步驟。

　　四、操作風險評估的價值

　　商業銀行在全行范圍內開展操作風險的自我評估，有助予：

　　(1)建立覆蓋商業銀行各項經營管理活動和業務環節的操作風險動態識別和評估機制，實現操作風險的主動識別與內部控制持續優化；

　　(2)優化和完善各項作業流程，平衡風險與收益，提高服務效率和盈利能力；

　　(3)在自我評估的基礎上建立操作風險事件數據庫，構建操作風險管理的基礎平臺；

　　(4)為建立操作風險管理的關鍵風險指標體系和操作風險計量奠定基礎；

　　(5)風險關口前移，在風險事件發生和風險惡化前對風險進行識別并推動對其進行防范，從源頭上控制風險隱患；

　　(6)促進風險管理文化的轉變，提高員工參與操作風險管理的主動性和積極性。

　　五、操作風險評估與其他管理流程的結合應用

　　RACA對操作風險進行主動的識別和評估，識別控制失當的風險，是操作風險管理過程的開端，后續管理流程——包括檢查、整改和考核——都與之緊密聯系，后續管理流程產生的信息可為RACA提供識別、評估課題和依據。同時，RACA形成關鍵風險和關鍵控制清單，為操作風險管理和內部控制報告提供統一語言。

第三節 操作風險控制

　　一、操作風險控制環境(★)

　　商業銀行的整體風險控制環境包括公司治理、內部控制和風險文化等要素，對有效管理與控制操作風險至關重要。

　　二、操作風險緩釋(★)

　　根據商業銀行的資本金水平和操作風險管理能力，可以將操作風險劃分為可規避的操作風險、可降低的操作風險、可緩釋的操作風險和應承擔的操作風險。商業銀行可根據不同的操作風險類型采取相應的管理策略。

　　(一)業務連續性管理計劃

　　連續營業方案應當是一個全面的計劃，與商業銀行經營的規模和復雜性相適應，強調操作風險識別、緩釋、恢復以及持續計劃，具體包括：業務和技術風險評估、面對災難時的風險緩釋措施、常年持續性／經營性的恢復程序和計劃、恰當的治理結構、危機和事故管理、持續經營意識培訓等方面。

　　(二)商業保險

　　購買商業保險作為操作風險緩釋的有效手段，一直是商業銀行管理操作風險的重要工具。國內商業銀行在利用保險進行操作風險緩釋方面還處于探索階段。

　　購買保險只是操作風險緩釋的一種措施，預防和減少操作風險事件的發生，根本上還是要靠商業銀行不斷提高自身的風險管理水平。

　　(三)業務外包

　　商業銀行可以將某些業務外包給具有較高技能和規模的其他機構來管理，用以轉移操作風險。同時，外包非核心業務有助于商業銀行將重點放在核心業務上，從而提高效率、降低成本。

　　三、主要業務操作風險控制(★★★★★)

　　(一)柜臺業務

　　柜臺業務泛指通過商業銀行柜面辦理的業務，是商業銀行各項業務操作的集中體現，也是最容易引發操作風險的業務環節。柜臺業務范圍廣泛，包括賬戶管理、存取款、現金庫箱、印押證管理、票據憑證審核、會計核算、賬務處理等各項操作。

　　(二)法人信貸業務

　　法人信貸業務是我國商業銀行最主要的業務種類之一，包括法人客戶貸款業務、貼現業務、銀行承兌匯票等業務。按照法人信貸業務的流程，可大致分為評級授信、貸前調查、信貸審查、信貸審批、貸款發放、貸后管理六個環節。

　　(三)個人信貸業務

　　個人信貸業務是國內商業銀行競相發展的零售銀行業務，包括個人住房按揭貸款、個人大額耐用消

　　費品貸款、個人生產經營貸款和個人質押貸款等業務品種。(四)資金交易業務

　　商業銀行為滿足客戶保值或提高自身資金收益或防范市場風險等方面的需要，利用各種金融工具進行的資金和交易活動，包括資金管理、資金存放、資金拆借、債券買賣、外匯買賣、黃金買賣、金融衍生產品交易等業務。從資金交易業務流程來看，可分為前臺交易、中臺風險管理、后臺結算／清算三個環節。

　　(五)代理業務

　　商業銀行接受客戶委托，代為辦理客戶指定的經濟事務、提供金融服務并收取一定費用，包括代理政策性銀行業務、代理中央銀行業務、代理商業銀行業務、代收代付業務、代理證券業務、代理保險業務、代理其他銀行的銀行卡收單業務等。

第四節 操作風險監測與報告(★★★★★)

　　一、關鍵風險指標法

　　1．關鍵風險指標的定義操作風險關鍵指標是指對一個或多個操作風險敞口，通過反映操作風險發生可能性或影響度或某一

　　控制有效性，對該風險或控制進行定性或定量跟蹤監測的操作風險管理流程。關鍵風險指標通常包括交易量、員工水平、技能水平、客戶滿意度、市場變動、產品成熟度、地區數量、變動水平、產品復雜程度和自動化水平等。

　　2．關鍵風險指標監控的原則

　　關鍵風險指標監控應遵循整體性、重要性、敏感性、可靠性和有效性原則。

　　3．關鍵風險指標法的應用流程

　　關鍵風險指標法可選擇已經識別出來的主要操作風險因素，并結合商業銀行的內、外部操作風險損失事件數據形成統計分析指標，用于評估商業銀行整體的操作風險水平。

　　4．關鍵風險指標監控的價值

　　商業銀行通過監控和分析不同時期自身關鍵風險指標的變化，并與同類金融機構進行橫向比較，有

　　助于深入理解操作風險狀況的變化趨勢，為操作風險管理提供早期預警。5．關鍵風險指標與其他管理流程的結合應用

　　KRl數據能夠監測和預警關鍵風險、控制措施及其變化，并提示管理層對超過數據門檻的風險變化采取相關管理措施。

　　二、損失數據收集

　　1．損失數據收集的定義

　　操作風險損失數據收集指操作風險損失數據(包括損失事件信息和會計記錄中確認的財務影響)的搜集、匯總、監控、分析和報告工作。

　　2．損失數據收集的原則

　　損失數據收集應遵循如下原則：

　　(1)重要性原則；

　　(2)準確性原則；

　　(3)統一性原則；

　　(4)謹慎性原則。

　　3．損失數據收集的步驟

　　損失數據收集主要包括如下核心環節：

　　(1)損失事件識別；

　　(2)損失事件填報；

　　(3)損失金額確定；

　　(4)損失事件信息審核；

　　(5)損失數據收集驗證。

　　4．損失數據收集的價值

　　5．關鍵風險指標與其他管理流程的結合應用

　　LDC是對操作風險損失事件的跟蹤和記錄，客觀反映全行操作風險的實際損失和分布，為RACA流程產生的評估的風險敞口提供實際損失數據驗證。

　　三、風險報告

第五節 操作風險資本計量

　　根據《商業銀行資本管理辦法(試行)》第九十五條的規定，“商業銀行可采用基本指標法、標準法或高級計量法計量操作風險資本要求。”

　　一、基本指標法