5.1 操作風險識別

　　巴塞爾委員會將操作風險定義為“由不完善或有問題的內部程序、人員及系統或外部事件所造成損失的風險”。本定義所指操作風險包括法律風險，但不包括聲譽風險和戰略風險。

　　本節從人員因素、內部流程、系統缺陷和外部事件四個方面對操作風險形成的原因、損失種類及特征進行分析。

　　5.1.1 人員因素

　　操作風險的人員因素主要是指因商業銀行員工發生內部欺詐、失職違規，以及因員工的知識/技能匱乏、核心員工流失、商業銀行違反用工法等造成損失或者不良影響而引起的風險。

　　1. 內部欺詐

　　內部欺詐是指員工故意騙取、盜用財產或違反監管規章、法律或公司政策導致的損失。

　　2. 失職違規

　　商業銀行內部員工因過失沒有按照雇用合同、內部員工守則、相關業務及管理規定操作或者辦理業務造成的風險，主要包括因過失、未經授權的業務或交易行為以及超越授權的活動。員工越權行為包括濫用職權、對客戶交易進行誤導或者支配超出其權限的資金額度，或者從事未經授權的交易等，致使商業銀行發生損失的風險。商業銀行應對員工越權行為導致的操作風險予以高度關注。

　　3. 知識/技能匱乏

　　①在工作中，自己意識不到缺乏必要的知識，按照自己認為正確而實際錯誤的方式工作;

　　②意識到自己缺乏必要的知識，但是由于顏面或者其他原因而不向管理層提出或者聲明其無法勝任某一工作或者不能處理面對的情況;

　　③意識到本身缺乏必要的知識，并進而利用這種缺陷。

　　4. 核心雇員流失

　　核心雇員流失體現為對關鍵人員依賴的風險，包括缺乏足夠的后援/替代人員，相關信息缺乏共享和文檔記錄，缺乏崗位輪換機制等。

　　5. 違反用工法

　　違反用工法是指違反就業、健康或安全方面的法律或協議，包括勞動法、合同法等，造成個人工傷賠付或因性別/種族歧視事件導致的損失。

　　5.1.2 內部流程

　　內部流程引起的操作風險是指由于商業銀行業務流程缺失、設計不完善，或者沒有被嚴格執行而造成的損失。

　　1.財務/會計錯誤

　　2.文件/合同缺陷。主要表現為抵押權證、房產證丟失等。

　　3.產品設計缺陷

　　4.錯誤監控/報告。錯誤監控/報告是指商業銀行監控/報告流程不明確、混亂，負責監控/報告的部門的職責不清晰，有關數據不全面、不及時、不準確，造成未履行必要的匯報義務或者對外部匯報不準確(發生損失)。

　　5.結算/支付錯誤

　　6.交易/定價錯誤

　　5.1.3 系統缺陷

　　系統缺陷引發的操作風險是指由于信息科技部門或服務供應商提供的計算機系統或設備發生故障或其他原因，商業銀行不能正常提供部分、全部服務或業務中斷而造成的損失。

　　1.數據/信息質量

　　2.違反系統安全規定

　　3.系統設計/開發的戰略風險

　　4.系統的穩定性、兼容性、適宜性

　　5.1.4 外部事件

　　1.外部欺詐/盜竊

　　外部欺詐是指外部人員故意騙取、盜用財產或逃避法律而給商業銀行造成損失的行為，包括外部的盜竊、搶劫、涉槍行為;偽造、變造多戶頭支票，騙貸等欺詐行為。該類風險是給商業銀行造成損失最大、發生次數最多的操作風險之一。

　　2.洗錢

　　3.政治風險

　　4.監管規定

　　5.業務外包

　　6.自然災害

　　7.恐怖威脅

　　操作風險事件類型

　　巴塞爾委員會規定的可能造成實質性損失的操作風險事件類型：

　　(1) 內部欺詐;

　　(2) 外部欺詐;

　　(3) 員工行為和工作場所問題;

　　(4) 客戶、產品和經營行為;

　　(5) 實物資產的損毀;

　　(6) 經營的中斷和系統的癱瘓;

　　(7) 執行、交貨和流程管理。

　　5.2 操作風險計量及經濟資本配置

　　巴塞爾委員會根據目前商業銀行的實際做法，在《巴塞爾新資本協議》中為商業銀行提供三種可供選擇的操作風險經濟資本計量方法，即基本指標法、標準法和高級計量法。這三種計算方法在復雜性和風險敏感性上是逐漸增強的，那些操作風險管理仍處于較低水平的、尚未達到量化階段的商業銀行可以選擇較為簡單的基本指標法和標準法，我國商業銀行也可以由此開始。不過商業銀行采取基本指標法和標準法計算操作風險資本金只是過渡階段的選擇，一方面，這兩種方法是針對操作風險較低的商業銀行設計的;另一方面，高級計量法的風險敏感度更高，采用這種方法更能反映商業銀行操作風險的真實狀況，因此包括中國銀行業在內的所有商業銀行均應努力向高級計量法靠近。

　　5.2.1 基本指標法

　　資本計算公式如下：

　　其中：

　　KBIA表示基本指標法需要的資本;

　　GI表示前三年中各年為正的總收入;

　　n表示前三年中總收入為正數的年數;

　　，這個固定比例由巴塞爾委員會設定，將行業范圍的監管資本要求與行業范圍的指標聯系起來。

　　巴塞爾委員會會把總收入定義為：凈利息收入加上非利息收入，不包括銀行賬戶上出售證券實現的盈利，不包括保險收入。

　　由于基本指標法比較簡單，《巴塞爾新資本協議》中未對采用該方法提出具體標準。但是，巴塞爾委員會鼓勵采用此方法的商業銀行遵循委員會于2003年2月發布的《操作風險管理和監管的穩健做法》。

　　5.2.2 標準法

　　標準法的原理是，將商業銀行的所有業務劃分為8類產品線，對每一類產品線規定不同的操作風險資本要求系數，并分別求出對應的資本，然后加總8類產品線的資本，即可得到商業銀行總體操作風險資本要求。

　　在標準法中，8類銀行產品線分別為公司金融、交易和銷售、零售銀行業務、商業銀行業務、支付和結算、代理服務、資產管理和零售經濟。

　　在標準法中，總資本要求是各產品線監管資本的簡單加總，其計算公式如下：

　　其中：

　　表示標準法計算的資本要求;

　　表示8類產品線中各產品線過去3年的年均總收入;

　　表示由巴塞爾委員會設定的固定百分數。

　　巴塞爾委員會提出，未具備使用標準法的資格，商業銀行必須至少滿足如下條件：

　　①董事會和高級管理層應當積極參與監督操作風險管理架構;

　　②銀行應當擁有完整且確實可行的操作風險管理系統;

　　③銀行應當擁有充足的資源支持在主要產品線上和控制及審計領域采用該方法。

　　5.2.3 高級計量法

　　高級計量法是指商業銀行在滿足巴塞爾委員會提出的資格要求以及定性和定量標準的前提下，通過內部操作風險計量系統計算監管資本要求。使用高級計量法需得到監管當局的批準，且一旦商業銀行采用了高級計量法，未經監管當局批準不可退回使用相對簡單的方法。

　　業界比較流行的高級計量法主要有內部橫量法、損失分步法、以及記分卡等。

　　巴塞爾委員會對實施高級計量法提出了具體標準。

　　(1) 資格要求

　　(2) 定性標準。商業銀行必須設置獨立的操作風險管理崗位，負責設計和實施商業銀行的操作風險管理框架。

　　(3) 定量標準。商業銀行在開發系統的過程中，必須有操作風險模型開發和模型獨立驗證的嚴格程序。

　　(4) 內部數據要求。無論用于損失計量還是用于驗證，商業銀行必須具備至少5年的內部損失數據。對初次使用高級計量法的商業銀行，允許使用3年的歷史數據。

　　(5) 外部數據要求。商業銀行的操作風險計量系統必須利用相關的外部數據，尤其是預期將會發生非經常性、潛在的嚴重損失時，商業銀行必須建立標準的程序，規定在什么情況下必須使用外部數據以及使用外部數據的方法。

　　(6) 業務經營環境和內部控制因素

　　5.3 操作風險評估與控制

　　5.3.1 風險評估與控制環境

　　1.公司治理

　　良好的公司治理目標：

　　①完善股東大會、董事會、監事會及其下設的議事和決策機構，建立議事規則和決策程序;

　　②明確董事會和董事、監事會和監事、高級管理層和高級經理人員在組織管理中的責任;

　　③建立獨立董事制度，對董事會討論事項發表客觀公正的意見;

　　④建立外部監視制度，對董事會、董事、高級管理層及其成員進行監督。

　　董事會、監事會和高級管理層及內部相關部門在防范和控制操作風險方面所承擔的職責。

　　2.內部控制

　　健全的內部控制體系是商業銀行有效識別和防范操作風險的重要手段。加強內部控制建設是商業銀行管理操作風險的基礎，巴塞爾委員會認為，資本約束并不是控制操作風險的最好方法，對付操作風險的第一道防線是嚴格的內部控制。

　　3.合規管理文化

　　目前，違規、內部欺詐等損失事件在我國商業銀行操作風險中占比超過80%，這說明我國商業銀行內部控制存在的最嚴重問題是制度的遵循性，也就是內部控制的符合性或者合規性問題。

　　健康有效的合規管理文化至少包括以下幾方面的內容：

　　一是要樹立正確的合規管理理念;二是加強管理層的驅動作用;三是充分發揮人的主導作用;四是創建學習型組織。

　　4.信息系統

　　商業銀行信息系統包括主要面向客戶的業務處理系統和主要供內部管理使用的管理信息系統。

　　5.3.2 風險評估要素、原則和方法

　　1.風險評估要素

　　一是內部操作風險損失事件數據。內部操作風險損失數據收集是商業銀行對內部操作風險損失事件形成的損失信息記錄、匯總、分析的過程。操作風險損失數據的收集要遵循客觀性、全面性、動態性、標準化的原則。

　　客觀性

　　全面性

　　動態性

　　標準化

　　(1)損失數據收集的內容

　　①總損失數額信息;

　　②損失事件發生的時間、發生的單位信息;

　　③總損失中收回部分信息;

　　④損失事件發生的主要原因的描述信息(描述信息的詳細程度應與總損失規模相稱)。

　　(2)損失數據收集的流程

　　(3)損失數據收集的步驟

　　二是外部數據。由于那些可能危及商業銀行安全的低頻率、高損失事件是很稀少的，所以，必須利用相關的外部數據(無論是公開數據還是行業整合數據)來解決多數商業銀行評估操作風險時因內部損失數據有限、樣本數過少而導致統計結果失真的問題。

　　使用外部數據必須配合采用老師的情景分析，求出嚴重風險事件下的風險暴露。

　　三是業務環境和內部控制因素。

　　為了滿足監管資本的要求，商業銀行在風險計量框架中使用這些因素時，須符合以下標準;

　　①要將每一個因素調整為有意義的風險要素，應基于實際經驗，并征求老師對相關業務領域的意見。

　　②在風險評估中，商業銀行對這些因素變動的敏感度和不同因素相對權重的設定必須合理。

　　③該框架及各種實施情況，包括針對實際評估作出調整的理由，都應當有文件支持，并接受商業銀行內部和監管當局的獨立審查。

　　2.風險評估原則

　　由表及里原則。具體可以劃分為：非流程風險、流程環節風險和控制派生風險。

　　自上而下原則。

　　從已知到未知原則。

　　3.風險評估方法

　　操作風險識別與評估的主要方法包括自我評估法、損失事件數據方法和流程圖等。其中，運用最廣泛、方法最成熟的自我評估法被稱為操作管理的三大基礎管理工具之一。

　　(1)自我評估法的原則

　　自我評估法就是在商業銀行內部控制體系的基礎上，通過開展全員風險識別，識別出全行經營管理中存在的風險點，并從損失金額和發生概率兩個角度來評估風險大小。

　　自我評估的主要目標是鼓勵各級機構承擔責任及主動對操作風險進行識別和管理。

　　(2)自我評估的作用

　　(3)自我評估的工具和方法

　　(4)自我評估的工作流程

　　第一階段：全員風險識別與報告。

　　第二階段：作業流程分析和風險識別與評估。作業流程分析和風險識別與評估是進行控制措施識別與評估的基礎和前提。

　　第三階段：控制活動識別與評估。

　　第四階段：制定與實施控制優化方案。自我評估的最終目的是優化控制措施，解決沒有控制、控制不足以及控制過度問題。

　　第五階段：報告自我評估工作和日常監控。

　　5.3.3 主要業務風險控制

　　1.柜臺業務

　　柜臺業務泛指通過商業銀行柜面辦理的業務，是商業銀行各項業務操作的集中體現，也是最容易引發操作風險的業務環節。柜臺業務范圍較廣，包括賬戶管理、存取款、現金庫箱、印押證管理、票據憑證審核、會計核算、帳務處理等各項操作。

　　(1)主要操作風險點

　　①賬戶開立、使用、變更與撤銷;

　　②現金存取款;

　　③柜員管理;

　　④重要憑證和重要物品管理;

　　⑤現金庫箱管理;

　　⑥平賬和賬務核對;

　　⑦抹賬、錯賬沖正、掛賬、掛失業務。

　　(2)操作風險成因

　　(3)操作風險控制要點

　　①完善規章制度和業務操作流程，不斷細化操作細則，并建立崗位操作規范和操作手冊，通過制度規范來防范操作風險。

　　②加強業務系統建設，盡可能將業務納入系統處理，并在系統中自動設立風險監控要點，發現操作中的風險點能及時提供警示信息。

　　③加強崗位培訓，特別是新業務和新產品培訓，不斷提高柜員操作技能和業務水平，同時培養柜員崗位安全意識和自我保護意識。

　　④強化一線實施監督檢查，促進事后監督向專業化、規范化邁進，改進檢查監督方法，同時充分發揮各專業部門的指導、檢查和督促作用。

　　⑤嚴格執行各項柜臺業務規定。

　　2.法人信貸業務

　　法人信貸業務是國內企業/機構類業務最重要的部分，也是國內商業銀行最主要的商業銀行業務。法人信貸業務是商業銀行經營的以企業/機構客戶為服務對象的信貸業務，包括法人客戶貸款業務、貼現業務、商業銀行承兌匯票等業務。按照法人信貸業務的流程，可分為評級授信、信貸調查、信貸審查、信貸審批、貸款發放、貸后管理六個環節。

　　(1)主要操作風險點

　　①評級授信

　　②信貸調查

　　③信貸審查

　　④信貸審批

　　⑤信貸放款

　　⑥貸后管理

　　(2)操作風險成因

　　(3)操作風險控制要點

　　①牢固樹立審慎穩健的信貸經營理念，堅決杜絕各類短期行為和粗放管理。

　　②倡導新型的企業信貸文化。

　　③改革信貸經營管理模式。

　　④明確主責任人制度。

　　⑤加快信貸電子化建設。

　　⑥提高信貸從業人員綜合素質。

　　⑦把握關鍵環節。

　　⑧提高法律介入程度。

　　3.個人信貸業務

　　(1)主要操作風險點

　　①個人住房按揭貸款

　　②個人大額耐用消費品貸款

　　③個人生產經營貸款

　　④個人質押貸款

　　(2)操作風險成因

　　(3)操作風險控制要點

　　①牢固樹立個人信貸業務科學發展觀。

　　②實行個人信貸業務集約化管理。

　　③優化產品結構，改進操作流程。

　　④加強規范化管理。

　　⑤切實做好個人信貸貸款前調查、貸時審查、貸后檢查各個環節的規范操作，防范信貸業務操作風險。

　　⑥強化個人貸款發放責任約束機制。

　　4.資金交易業務

　　資金交易業務是商業銀行中間業務的一類，指商業銀行為滿足客戶保值或提高自身資金收益或防范市場風險等方面的需要，利用各種金額工具進行的資金和交易活動，包括資金管理、資金存放、資金拆借、債券買賣、外匯買賣、黃金買賣、金融衍生產品交易等業務。從資金交易業務流程來看，可分為前臺交易、中臺風險交易、后臺清算三個環節。

　　(1)主要操作風險點

　　①前臺交易

　　②中臺風險管理

　　③后臺結算清算

　　(2)操作風險成因

　　(3)操作風險控制要點

　　①樹立全面全程的風險管理理念。

　　②建立并完善資金業務組織結構。

　　③實行嚴格的前中后臺職責分離制度。

　　④總行適當核定分支機構的資金業務經營權限，并定期進行檢查。

　　⑤完善資金營運內部控制。

　　⑥加強交易權限管理。

　　⑦建立資金交易風險和市值的內部報告制度。

　　⑧代客資金業務應當了解客戶從事資金交易的權限和能力。

　　⑨建立資金業務的風險責任制。

　　⑩開發和運用風險量化模型。

　　5.代理業務

　　(1)主要操作風險點

　　①人員因素

　　②外部事件

　　③內部流程

　　④系統缺陷

　　(2)操作風險成因

　　(3)操作風險控制要點

　　①強化風險意識

　　②加強基礎管理

　　③加強業務宣傳及營銷管理

　　④加強產品及開發管理

　　⑤提高電子化水平

　　⑥設計專戶核算代理資金

　　⑦遵守委托――代理協議

　　⑧進一步完善業務操作流程與操作管理制度

　　5.3.4 風險緩釋

　　根據商業銀行管理和控制操作風險的能力，可以將操作風險劃分為四大類：可規避的操作風險、可降低的操作風險、可緩釋的操作風險和應承擔的操作風險。

　　1.連續營業方案

　　2.保險

　　①商業銀行一攬子保險

　　②錯誤與遺落保險

　　③經理與高級職員責任險

　　④未授權交易保險

　　⑤財產保險

　　⑥營業中斷保險

　　⑦商業綜合責任保險

　　⑧電子保險

　　⑨計算機犯罪保險

　　3.業務外包

　　商業銀行業務外包通常有以下幾類：技術外包、處理程序外包、業務營銷外包、某些專業性服務外包、后勤性事務外包。

　　從本質上說，操作或服務雖然可以外包，但其最終責任并未被“包”出去。業務外包并不能減少董事會和高級管理層確保第三方行為的安全穩健以及遵守相關法律的責任。外包服務的最終責任人仍是商業銀行，對客戶和監管者仍承擔著保證服務質量、安全、透明度和管理的責任匯報的責任。

　　5.4 操作風險監測與報告

　　5.4.1 風險監測

　　1.風險誘因/環節

　　2.關鍵風險指標

　　關鍵風險指標的選擇應遵循以下四個原則：

　　① 相關性

　　② 可測量性

　　③ 風險敏感性

　　④ 實用性

　　確定關鍵風險指標的三個步驟為：

　　第一步，了解業務和流程;

　　第二步，確定并理解主要風險領域;

　　第三步，定義風險指標并按其重要程度進行排序，確定主要的風險指標。

　　根據操作風險的識別特征，操作風險關鍵指標包括包括人員風險指標、流程風險指標、系統風險指標和外部風險指標。

　　① 人員在當前部門的從業年限

　　② 員工人均培訓費用

　　③ 客戶投訴占比

　　④ 失敗交易數量占比

　　⑤ 柜臺平均工作量

　　⑥ 交易結果和財務核算結果間的差異

　　⑦ 前后臺交易不匹配占比

　　⑧ 系統故障時間

　　⑨ 系統數量

　　⑩ 反洗錢警報占比

　　3.因果分析模型

　　因果分析模型就是對風險誘因、風險指標和損失事件進行歷史統計，并形成相互關聯的多元分布。

　　為量化操作風險，鄧肯?威爾遜開發出了“因果關系模型”方法，運用VaR技術對操作風險進行計量。

　　5.4.2 風險報告程序

　　1.崗位設置及職責

　　①各部門對操作風險的管理情況負直接責任。

　　②設置獨立的操作風險管理部門或操作風險管理委員會。

　　③建立獨立的內部審計部門。

　　2.報告路徑

　　一般而言，各業務部門負責收集相關數據和信息，并報告至風險管理部門，風險管理部門進行分析、評估后，形成最終報告，并呈送高級管理層。

　　需要注意的是，風險報告在完成后到報送至高級管理層及其他相關部門之間，還需要必要的檢查和確認，以保證報告的內容以及風險評估的流程與實際情況和相關規定相符。

　　5.4.3 風險報告內容

　　風險報告內容大致包括風險狀況、損失事件、誘因及對策、關鍵風險指標、資本金水平五個部分。

　　1.風險狀況

　　風險評估結果通常以風險圖、風險表等形式來展示。

　　2.定損事件

　　3.誘因與對策

　　4.關鍵風險指標

　　5.操作風險資本水平