银行从业《风险管理》知识点及例题解析(5)-电信下载

银行从业《风险管理》知识点及例题解析(5)

第5章 操作风险管理

5.1 操作风险识别

巴塞尔委员会将操作风险定义为“由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险”。本定义所指操作风险包括法律风险，但不包括声誉风险和战略风险。 本节从人员因素、内部流程、系统缺陷和外部事件四个方面对操作风险形成的原因、损失种类及特征进行分析。 5.1.1 人员因素

操作风险的人员因素主要是指因商业银行员工发生内部欺诈、失职违规，以及因员工的知识/技能匮乏、核心员工流失、商业银行违反用工法等造成损失或者不良影响而引起的风险。

1. 内部欺诈

内部欺诈是指员工故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失。 2. 失职违规

商业银行内部员工因过失没有按照雇用合同、内部员工守则、相关业务及管理规定操作或者办理业务造成的风险，主要包括因过失、未经授权的业务或交易行为以及超越授权的活动。员工越权行为包括滥用职权、对客户交易进行误导或者支配超出其权限的资金额度，或者从事未经授权的交易等，致使商业银行发生损失的风险。商业银行应对员工越权行为导致的操作风险予以高度关注。 3. 知识/技能匮乏

①在工作中，自己意识不到缺乏必要的知识，按照自己认为正确而实际错误的方式工作; ②意识到自己缺乏必要的知识，但是由于颜面或者其他原因而不向管理层提出或者声明其无法胜任某一工作或者不能处理面对的情况;

③意识到本身缺乏必要的知识，并进而利用这种缺陷。 4. 核心雇员流失

核心雇员流失体现为对关键人员依赖的风险，包括缺乏足够的后援/替代人员，相关信息缺乏共享和文档记录，缺乏岗位轮换机制等。 5. 违反用工法

违反用工法是指违反就业、健康或安全方面的法律或协议，包括劳动法、合同法等，造成个人工伤赔付或因性别/种族歧视事件导致的损失。 5.1.2 内部流程

内部流程引起的操作风险是指由于商业银行业务流程缺失、设计不完善，或者没有被严格执行而造成的损失。 1.财务/会计错误

2.文件/合同缺陷。主要表现为抵押权证、房产证丢失等。 3.产品设计缺陷

4.错误监控/报告。错误监控/报告是指商业银行监控/报告流程不明确、混乱，负责监控/报告的部门的职责不清晰，有关数据不全面、不及时、不准确，造成未履行必要的汇报义务或者对外部汇报不准确(发生损失)。 5.结算/支付错误 6.交易/定价错误

5.1.3 系统缺陷

系统缺陷引发的操作风险是指由于信息科技部门或服务供应商提供的计算机系统或设备发生故障或其他原因，商业银行不能正常提供部分、全部服务或业务中断而造成的损失。 1.数据/信息质量 2.违反系统安全规定 3.系统设计/开发的战略风险 4.系统的稳定性、兼容性、适宜性 5.1.4 外部事件 1.外部欺诈/盗窃

外部欺诈是指外部人员故意骗取、盗用财产或逃避法律而给商业银行造成损失的行为，包括外部的盗窃、抢劫、涉枪行为;伪造、变造多户头支票，骗贷等欺诈行为。该类风险是给商业银行造成损失最大、发生次数最多的操作风险之一。 2.洗钱 3.政治风险 4.监管规定 5.业务外包 6.自然灾害 7.恐怖威胁 操作风险事件类型

巴塞尔委员会规定的可能造成实质性损失的操作风险事件类型： (1) 内部欺诈; (2) 外部欺诈;

(3) 员工行为和工作场所问题; (4) 客户、产品和经营行为; (5) 实物资产的损毁;

(6) 经营的中断和系统的瘫痪; (7) 执行、交货和流程管理。

5.2 操作风险计量及经济资本配置

巴塞尔委员会根据目前商业银行的实际做法，在《巴塞尔新资本协议》中为商业银行提供三种可供选择的操作风险经济资本计量方法，即基本指标法、标准法和高级计量法。这三种计算方法在复杂性和风险敏感性上是逐渐增强的，那些操作风险管理仍处于较低水平的、尚未达到量化阶段的商业银行可以选择较为简单的基本指标法和标准法，我国商业银行也可以由此开始。不过商业银行采取基本指标法和标准法计算操作风险资本金只是过渡阶段的选择，一方面，这两种方法是针对操作风险较低的商业银行设计的;另一方面，高级计量法的风险敏感度更高，采用这种方法更能反映商业银行操作风险的真实状况，因此包括中国银行业在内的所有商业银行均应努力向高级计量法靠近。 5.2.1 基本指标法 资本计算公式如下： 其中：

KBIA表示基本指标法需要的资本;

GI表示前三年中各年为正的总收入; n表示前三年中总收入为正数的年数;

这个固定比例由巴塞尔委员会设定，将行业范围的监管资本要求与行业范围的指标联系起来。

巴塞尔委员会会把总收入定义为：净利息收入加上非利息收入，不包括银行账户上出售证券实现的盈利，不包括保险收入。

由于基本指标法比较简单，《巴塞尔新资本协议》中未对采用该方法提出具体标准。但是，巴塞尔委员会鼓励采用此方法的商业银行遵循委员会于2003年2月发布的《操作风险管理和监管的稳健做法》。 5.2.2 标准法

标准法的原理是，将商业银行的所有业务划分为8类产品线，对每一类产品线规定不同的操作风险资本要求系数，并分别求出对应的资本，然后加总8类产品线的资本，即可得到商业银行总体操作风险资本要求。

在标准法中，8类银行产品线分别为公司金融、交易和销售、零售银行业务、商业银行业务、支付和结算、代理服务、资产管理和零售经济。

在标准法中，总资本要求是各产品线监管资本的简单加总，其计算公式如下： 其中：

表示标准法计算的资本要求;

表示8类产品线中各产品线过去3年的年均总收入; 表示由巴塞尔委员会设定的固定百分数。

巴塞尔委员会提出，未具备使用标准法的资格，商业银行必须至少满足如下条件： ①董事会和高级管理层应当积极参与监督操作风险管理架构; ②银行应当拥有完整且确实可行的操作风险管理系统;

③银行应当拥有充足的资源支持在主要产品线上和控制及审计领域采用该方法。 5.2.3 高级计量法

高级计量法是指商业银行在满足巴塞尔委员会提出的资格要求以及定性和定量标准的前提下，通过内部操作风险计量系统计算监管资本要求。使用高级计量法需得到监管当局的批准，且一旦商业银行采用了高级计量法，未经监管当局批准不可退回使用相对简单的方法。 业界比较流行的高级计量法主要有内部横量法、损失分步法、以及记分卡等。 巴塞尔委员会对实施高级计量法提出了具体标准。 (1) 资格要求

(2) 定性标准。商业银行必须设置独立的操作风险管理岗位，负责设计和实施商业银行的操作风险管理框架。

(3) 定量标准。商业银行在开发系统的过程中，必须有操作风险模型开发和模型独立验证的严格程序。

(4) 内部数据要求。无论用于损失计量还是用于验证，商业银行必须具备至少5年的内部损失数据。对初次使用高级计量法的商业银行，允许使用3年的历史数据。

(5) 外部数据要求。商业银行的操作风险计量系统必须利用相关的外部数据，尤其是预期将会发生非经常性、潜在的严重损失时，商业银行必须建立标准的程序，规定在什么情况下必须使用外部数据以及使用外部数据的方法。 (6) 业务经营环境和内部控制因素

5.3 操作风险评估与控制 5.3.1 风险评估与控制环境 1.公司治理

良好的公司治理目标：

①完善股东大会、董事会、监事会及其下设的议事和决策机构，建立议事规则和决策程序;

②明确董事会和董事、监事会和监事、高级管理层和高级经理人员在组织管理中的责任; ③建立独立董事制度，对董事会讨论事项发表客观公正的意见;

④建立外部监视制度，对董事会、董事、高级管理层及其成员进行监督。

董事会、监事会和高级管理层及内部相关部门在防范和控制操作风险方面所承担的职责。

2.内部控制

健全的内部控制体系是商业银行有效识别和防范操作风险的重要手段。加强内部控制建设是商业银行管理操作风险的基础，巴塞尔委员会认为，资本约束并不是控制操作风险的最好方法，对付操作风险的第一道防线是严格的内部控制。 3.合规管理文化

目前，违规、内部欺诈等损失事件在我国商业银行操作风险中占比超过80%，这说明我国商业银行内部控制存在的最严重问题是制度的遵循性，也就是内部控制的符合性或者合规性问题。

健康有效的合规管理文化至少包括以下几方面的内容：

一是要树立正确的合规管理理念;二是加强管理层的驱动作用;三是充分发挥人的主导作用;四是创建学习型组织。 4.信息系统

商业银行信息系统包括主要面向客户的业务处理系统和主要供内部管理使用的管理信息系统。

5.3.2 风险评估要素、原则和方法 1.风险评估要素

一是内部操作风险损失事件数据。内部操作风险损失数据收集是商业银行对内部操作风险损失事件形成的损失信息记录、汇总、分析的过程。操作风险损失数据的收集要遵循客观性、全面性、动态性、标准化的原则。 客观性 全面性 动态性 标准化

(1)损失数据收集的内容 ①总损失数额信息;

②损失事件发生的时间、发生的单位信息; ③总损失中收回部分信息;

④损失事件发生的主要原因的描述信息(描述信息的详细程度应与总损失规模相称)。 (2)损失数据收集的流程 (3)损失数据收集的步骤

二是外部数据。由于那些可能危及商业银行安全的低频率、高损失事件是很稀少的，所

以，必须利用相关的外部数据(无论是公开数据还是行业整合数据)来解决多数商业银行评估操作风险时因内部损失数据有限、样本数过少而导致统计结果失真的问题。

使用外部数据必须配合采用专家的情景分析，求出严重风险事件下的风险暴露。 三是业务环境和内部控制因素。

为了满足监管资本的要求，商业银行在风险计量框架中使用这些因素时，须符合以下标准;

①要将每一个因素调整为有意义的风险要素，应基于实际经验，并征求专家对相关业务领域的意见。

②在风险评估中，商业银行对这些因素变动的敏感度和不同因素相对权重的设定必须合理。

③该框架及各种实施情况，包括针对实际评估作出调整的理由，都应当有文件支持，并接受商业银行内部和监管当局的独立审查。 2.风险评估原则

由表及里原则。具体可以划分为：非流程风险、流程环节风险和控制派生风险。 自上而下原则。 从已知到未知原则。 3.风险评估方法

操作风险识别与评估的主要方法包括自我评估法、损失事件数据方法和流程图等。其中，运用最广泛、方法最成熟的自我评估法被称为操作管理的三大基础管理工具之一。 (1)自我评估法的原则

自我评估法就是在商业银行内部控制体系的基础上，通过开展全员风险识别，识别出全行经营管理中存在的风险点，并从损失金额和发生概率两个角度来评估风险大小。 自我评估的主要目标是鼓励各级机构承担责任及主动对操作风险进行识别和管理。 (2)自我评估的作用 (3)自我评估的工具和方法 (4)自我评估的工作流程

第一阶段：全员风险识别与报告。

第二阶段：作业流程分析和风险识别与评估。作业流程分析和风险识别与评估是进行控制措施识别与评估的基础和前提。 第三阶段：控制活动识别与评估。

第四阶段：制定与实施控制优化方案。自我评估的最终目的是优化控制措施，解决没有控制、控制不足以及控制过度问题。

第五阶段：报告自我评估工作和日常监控。

5.3.3 主要业务风险控制 1.柜台业务

柜台业务泛指通过商业银行柜面办理的业务，是商业银行各项业务操作的集中体现，也是最容易引发操作风险的业务环节。柜台业务范围较广，包括账户管理、存取款、现金库箱、印押证管理、票据凭证审核、会计核算、帐务处理等各项操作。 (1)主要操作风险点

①账户开立、使用、变更与撤销; ②现金存取款;

本文来源：https://www.bwwdw.com/article/lbnt.html