第十四章 風險管理

第五節(jié) 操作風險管理

考點：操作風險的分類和管控手段【點擊試聽>>聽老師講解】

(一)操作風險的分類

根據(jù)操作風險引起原因的不同。操作風險可以分為由人員、系統(tǒng)、流程和外部事件所引發(fā)的四類風險。

1．人員因素

人員因素主要是因銀行內部員工發(fā)生內部欺詐、失職違規(guī)，以及因員工的知識／技能匱乏、關鍵人員流失、違反用工法、勞動力中斷等造成損失或者不良影響的風險。

2．內部流程

內部流程是指由于商業(yè)銀行業(yè)務流程缺失、流程設計不合理，或者沒有被嚴格執(zhí)行而造成損失的風險，主要包括：財務／會計錯誤、文件／合同缺陷、產品設計缺陷、結算／支付錯誤、錯誤監(jiān)控／報告、交易／定價錯誤六個方面。

3．系統(tǒng)因素

系統(tǒng)因素是指由于IT系統(tǒng)開發(fā)不完善、系統(tǒng)(軟硬件)失靈或癱瘓、系統(tǒng)功能漏洞等導致銀行不能正常提供服務或業(yè)務中斷．以及由于系統(tǒng)數(shù)據(jù)風險影響業(yè)務正常運行而導致?lián)p失的風險。

4．外部事件

外部事件是指由于外部主觀或客觀的破壞性因素導致?lián)p失的風險。外部事件引起銀行損失的范圍非常廣泛，包括自然災害、政治風險、外部欺詐、外部人員犯罪等。

根據(jù)引發(fā)操作風險的事件類型，可以分為七種表現(xiàn)形式：內部欺詐事件，外部欺詐事件，就業(yè)制度和工作場所安全事件，客戶、產品和業(yè)務活動事件，實物資產的損壞事件，信息科技系統(tǒng)事件，執(zhí)行、交割和流程管理事件。

(二)操作風險的管控手段

1．操作風險管理工具

操作風險管理工具和手段主要有操作風險與控制自評估(RCSA)、關鍵風險指標(KRI)、損失數(shù)據(jù)庫(1D)等。

(1)操作風險與控制自評估。主要包括風險評估和控制評價。風險評估是根據(jù)一定的標準對操作風險的發(fā)生頻率、影響程度進行判斷。并確定風險等級的過程：控制評價是根據(jù)一定標準對現(xiàn)有控制活動的質量和執(zhí)行程度進行評價，確定控制效果等級，并對控制活動進行優(yōu)化改進的過程。

(2)關鍵風險指標。關鍵風險指標是指對業(yè)務活動和控制環(huán)境進行日常監(jiān)控的指標體系，能夠反映系統(tǒng)、流程、產品、人員等風險信息的變化情況，對于風險預警、日常監(jiān)控具有重要作用。

(3)損失數(shù)據(jù)庫。損失數(shù)據(jù)庫是在標準化的操作風險事件分類基礎上。對銀行已發(fā)生的風險事件進行確認和記錄．并采用結構化的方式進行存儲。操作風險損失數(shù)據(jù)一般通過日常的風險報告制度、檢查審計、歷史損失數(shù)據(jù)收集等內部方式來積累，銀行也可獲取一些外部數(shù)據(jù)來彌補自身數(shù)據(jù)的不足。

2．業(yè)務連續(xù)性管理

業(yè)務連續(xù)性管理是指為有效應對突發(fā)事件導致的重要業(yè)務運營中斷。建設應急響應、恢復機制和管理能力框架，保障重要業(yè)務持續(xù)運營的一整套管理過程，包括組織架構、策略、預案體系、資源保障、演練和應急處置等。

備考提示

實施業(yè)務連續(xù)性管理首先需要識別重要業(yè)務及其恢復的優(yōu)先順序，明確恢復的時間目標。銀行各級機構、各相關部門需要針對突發(fā)事件的影響范圍，在職責權限內建立不同層級的業(yè)務連續(xù)性策略和預案，明確應急處理流程和機制；此外，還應定期組織培訓和演練，確保突發(fā)事件發(fā)生時各項預案得到及時正確的執(zhí)行。