一、单项选择题
1.B[解析]内部欺诈事件指故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失事件,此类事件至少涉及内部一方,但不包括歧视及差别待遇事件。外部欺诈事件指第三方故意骗取、盗用、抢劫财产、伪造要件、攻击商业银行信息科技系统或逃避法律监管导致的损失事件。B项正确。客户、产品和业务活动事件指因未按有关规定造成未对特定客户履行分内义务(如诚信责任和适当性要求)或产品性质或设计缺陷导致的损失事件。执行、交割和流程管理事件指因交易处理或流程管理失败,以及与交易对手方、外部供应商及销售商发生纠纷导致的损失事件。
2.D[解析]账面减值是指由于偷盗、欺诈、未经授权活动等操作风险事件所导致的资产账面价值直接减少。追索失败是指由于工作失误、失职或内部事件,使原本能够追偿但最终无法追偿所导致的损失,或因有关方不履行相应义务导致追索失败所造成的损失。对外赔偿是指由于内部操作风险事件,导致商业银行未能履行应承担的责任造成对外的赔偿。资产损失是指由于疏忽、事故或自然灾害等事件造成实物资产的直接毁坏和价值的减少。故选D。
3.D[解析]操作风险按照损失形态的分类包括:法律成本、监管罚没、资产损失、对外赔偿、追索失败、账面减值、其他损失。选项D属于操作风险按照损失事件类型分类。
4.A[解析]内部审计部门负责监督评价操作风险治理架构的合理性、内控体系的有效性及管理流程的适用性。选项A属于商业银行高管层及高管层风险管理委员会的职责。
5.D[解析]商业银行应建设操作风险应用管理系统,系统要支持损失事件收集、操作风险与控制自我评估和关键风险指标等操作风险管理工具的电子化操作,同时支持操作风险监管资本的自动化计量。
6.C[解析]商业银行在进行风险与控制自我评估工作时应坚持全面性、及时性、客观性、前瞻性和重要性原则。全面性,即自我评估范围应包括各级行的操作风险相关机构,原则上覆盖所有业务品种。
7.B[解析]情景分析的原则有:①满足全面性;②满足前瞻性;③体现客观性;④具有动态性。
8.C[解析]柜面业务范围广泛,包括账户管理、存取款、现金库箱、印押证管理、票据凭证审核、会计核算、账务处理等各项操作。选项c属于法人信贷业务。
9.A[解析]个人信贷业务操作风险的控制措施有:①实行个人信贷业务集约化管理,提升管理层次,实现审贷部门分离;②成立个人信贷业务中心,由中心进行统一调查和审批,实现专业化经营和管理;③优化产品结构,改进操作流程,重点发展以质押和抵押为担保方式的个人贷款,审慎发展个人信用贷款和自然人保证担保贷款;④加强规范化管理,理顺个人贷款前台和后台部门之间的关系。完善业务转授权制度,加强法律审查,实行档案集中管理,加快个人信贷电子化建设;⑤切实做好个人信贷贷前调查、贷时审查、贷后检查各个环节的规范操作,防范信贷业务操作风险;⑥强化个人贷款发放责任约束机制,细化个人贷款责任追究办法,推行不良贷款定期问责制度、到期示制度、逾期警示制度和不良责任追究制度;⑦在建立责任制的同时配之以奖励制度,将客户经理的贷款发放质量与其收入挂钩。
10.C[解析]商业银行外包管理的组织架构包括董事会、高级管理层及外包管理团队。
11.D[解析]商业银行高级管理层负责制定外包战略发展规划;制定外包风险管理的政策、操作流程和内控制度;确定外包业务的范围及相关安排;确定外包管理团队职责,并对其行为进行有效监督。选项D属于董事会的职责。
12.B[解析]商业银行在进行外包活动时还应当对服务提供商进行尽职调查,尽职调查应当包括:①管理能力和行业地位;②财务稳健性;③经营声誉和企业文化;④技术实力和服务质量;⑤突发事件应对能力;⑥对银行业的熟悉程度;⑦对其他商业银行提供服务的情况;⑧商业银行认为重要的其他事项;⑨外包活动涉及多个服务提供商时,应当对这些服务提供商进行关联关系的调查。
13.B[解析]信息科技部门承担本银行的信息科技职责,履行信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。
14.C[解析]商业银行制定全面的信息科技风险管理策略,包括信息分级与保护、信息系统开发、测试和维护、信息科技运行和维护、访问控制、物理安全、人员安全、业务连续性计划与应急处置。
15.C[解析]商业银行信息安全主要管理要素包括:信息科技部门负责落实信息安全管理职能,包括建立信息安全计划和保持长效的管理机制;有效管理用户认证和访问控制的流程,用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度;根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域);确保所有计算机操作系统和系统软件的安全;确保所有信息系统的安全;制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和预防欺诈;应采取加密技术,防范涉密信息在传输、处理、存储过程中出现泄露或被篡改的风险,并建立密码设备管理制度,确保使用符合国家要求的加密技术和加密设备;配备切实有效的系统,确保所有终端用户设备的安全,并定期对所有设备进行安全检查;制定相关制度和流程,严格管理客户信息的采集、处理、存储、传输、分发、备份、恢复、清理和销毁;对所有员工进行必要的培训,使其充分掌握信息科技风险管理制度和流程,了解违反规定的后果,并对违反安全规定的行为采取零容忍政策。
16.C[解析]内部审计方面,商业银行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率,但至少应每3年进行一次全面审计。
17.A[解析]项目实施部门应定期向信息科技管理委员会提交重大信息科技项目的进度报告,由其进行审核,进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况。
18.D[解析]商业银行内部信息科技审计的责任包括:制定、实施和调整审计计划,检查和评估商业银行信息科技系统和内控机制的充分性和有效性;提出整改意见;检查整改意见是否得到落实;执行信息科技专项审计。
19.A[解析]代理业务指商业银行接受客户委托,代为办理客户指定的经济事务、提供金融服务并收取一定费用。
20.B[解析]代理业务操作风险的成因包括:①风险防范意识不足,认为即使发生操作风险,损失也不大;②监督管理滞后,内部控制薄弱,部门及岗位设置不合理,规章制度滞后;③业务管理分散,缺乏统筹管理;④电子化建设缓慢,缺乏相应的代理业务系统等。
二、多项选择题
1.ABC[解析]操作风险基于损失事件类型的分类包括:内部欺诈事件;外部欺诈事件;就业制度和工作场所安全事件;客户、产品和业务活动事件;实物资产的损坏;信息科技系统事件;执行、交割和流程管理事件。
2.ACD[解析]高管层及高管层风险管理委员会要负责执行董事会批准的操作风险战略和体系,审议操作风险管理的重大事项,解决操作风险管理中出现的重大问题。操作风险管理的牵头部门要负责统筹和协调全行操作风险计量和管理工作。各专业部门按职能分工,分别负责相关业务条线的操作风险管理。故选A、C、D。
3.ABCE [解析]在损失事件收集工作中,要坚持以下原则:①重要性,即在统计操作风险损失事件时,要对损失金额较大和发生频率较高的操作风险损失事件进行重点关注和确认;②及时性,即及时确认、完整记录、准确统计操作风险损失事件所导致的直接财务损失,避免因时效问题造成当期统计数据不准确;③统一性,即操作风险损失事件的统计标准、范围、程序和方法要保持相对一致,以确保统计结果客观、准确和具有可比性;④谨慎性,即对操作风险损失事件进行确认时,要谨慎、客观、公允地进行统计,准确计量损失金额。
4.ABCDE[解析]损失收集工作要明确损失事件的定义、损失形态、统计标准、职责分工和报告路径等内容,保障损失数据统计工作的规范性。
5.ADE[解析]自我评估工作要坚持的原则有:①全面性。自我评估范围应包括各级行的操作风险相关机构,原则上覆盖所有业务品种。②及时性。自我评估工作应及时开展,评估结果应及时报送,管理行动应及时实施,对实施效果应及时追踪。③客观性。自我评估工作应当谨慎、客观,从而保证做出恰当的决策并采取适当的管理行动。④前瞻性。自我评估应当充分考虑本行内、外部环境变化因素。⑤重要性。自我评估应以操作风险管理薄弱或者风险易发、高发环节为主。
6.BCD[解析]设计良好的关键风险指标体系要满足整体性、重要性、敏感性、可靠性原则,且须明确数据口径、门槛值、报告路径等要素。选项A、E属于损失事件工作应明确的内容。
7.ABCD[解析]按照法人信贷业务的流程,可大致分为评级授信、贷前调查、信贷审查、信贷审批、贷款发放、贷后管理六个环节。
8.ABCDE[解析]法人信贷业务操作风险的控制措施有:①牢固树立审核稳健的信贷经营理念,坚决杜绝各类短期行为和粗放管理;②倡导新型的企业信贷文化,在业务办理过程中,加入法的精神和硬性约束,实现以人为核心向以制度为核心转变,建立有效的信贷决策机制;③改革信贷经营管理模式;④明确主责任人制度,对银行信贷所涉及的调查、审查、审批、签约、贷后管理等环节。明确主责任人及其责任,强化信贷人员责任和风险意识;⑤加快信贷电子化建设,运用现代信息技术。把信贷日常业务处理、决策管理流程、贷款风险分类预警、信贷监督检查等行为全部纳入计算机处理,形成覆盖信贷业务全过程的科学体系;⑥提高信贷人员综合素质,造就一支具有风险意识、良好职业道德、扎实信贷业务知识、过硬风险识别能力的高素质队伍;⑦把握关键环节,有针对性地对重要环节和步骤加强管理,切实防范信贷业务操作风险;⑧提高法律介入程度。将法律支持深入到信贷业务各环节,形成法律支持的全程制度化流程管理。
9.BD[解析]商业银行董事会负责审议批准外包的战略发展规划;审议批准外包的风险管理制度;审议批准本机构的外包范围及相关安排;定期审阅本机构外包活动相关报告;定期安排内部审计,确保审计范围涵盖所有的外包安排。选项A、C、E属于高级管理层的职责。
10.ABCD[解析]代理业务操作风险的控制措施包括:①强化风险意识,了解并重视代理业务中的操作风险点,完善业务操作流程与操作管理制度;②加强基础管理,坚持委托一代理业务合同书面化,并对合同和委托凭证严格审核,业务手续费收入必须纳入银行经营收入大账;③加强业务宣传及营销管理,坚守诚实守信原则,遏制误导性宣传和错误销售,对业务风险进行必要的风险提示,维护商业银行信誉和品牌形象;④加强产品开发管理,编制新产品开发报告,建立新产品风险跟踪评估制度,在新产品推出后,对新产品的风险状况进行定期评估;⑤提高电子化水平,充分利用本行已有的网络系统、技术设备与被代理单位的数据库进行对接,积极研究开发银行与被代理单位的实时链接系统,促成双向联网操作,实现代理业务电子化操作;⑥设立专户核算代理资金,完善代理资金的拨付、回收、核对等手续,防止代理资金被挤占挪用,确保专款专用;⑦遵守委托一代理协议,按照代理协议约定办理资金划转手续,遵守银行不垫款原则,不介入委托人与其他人的交易纠纷。
三、判断题
1.A[解析]一起操作风险损失事件可能发生多形态的损失,如信息系统发生故障,可能引起监管罚没、对外赔偿、法律成本等多种形态的损失。
2.B[解析]商业银行董事会及董事会风险管理委员会承担操作风险管理的最终责任。
3.A[解析]柜面业务泛指通过商业银行柜面办理的业务,是商业银行各项业务操作的集中体现,也是最容易引发操作风险的业务环节。
4.A[解析]商业银行开展外包活动时应当签订书面合同或协议,明确双方的权利义务。合同或协议应当包括但不限于以下内容:①外包服务的范围和标准;②外包服务的保密性和安全性的安排;③外包服务的业务连续性的安排;④外包服务的审计和检查;⑤外包争端的解决机制;⑥合同或协议变更或终止的过渡安排;⑦违约责任。对于具有专业技术性的外包活动,可签订服务标准协议。
5.B[解析]自我评估工作应坚持前瞻性原则,是指自我评估应当充分考虑本行内、外部环境变化因素。