5.1 操作风险识别
巴塞尔委员会将操作风险定义为“由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险”。本定义所指操作风险包括法律风险,但不包括声誉风险和战略风险。
本节从人员因素、内部流程、系统缺陷和外部事件四个方面对操作风险形成的原因、损失种类及特征进行分析。
5.1.1 人员因素
操作风险的人员因素主要是指因商业银行员工发生内部欺诈、失职违规,以及因员工的知识/技能匮乏、核心员工流失、商业银行违反用工法等造成损失或者不良影响而引起的风险。
1. 内部欺诈
内部欺诈是指员工故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失。
2. 失职违规
商业银行内部员工因过失没有按照雇用合同、内部员工守则、相关业务及管理规定操作或者办理业务造成的风险,主要包括因过失、未经授权的业务或交易行为以及超越授权的活动。员工越权行为包括滥用职权、对客户交易进行误导或者支配超出其权限的资金额度,或者从事未经授权的交易等,致使商业银行发生损失的风险。商业银行应对员工越权行为导致的操作风险予以高度关注。
3. 知识/技能匮乏
①在工作中,自己意识不到缺乏必要的知识,按照自己认为正确而实际错误的方式工作;
②意识到自己缺乏必要的知识,但是由于颜面或者其他原因而不向管理层提出或者声明其无法胜任某一工作或者不能处理面对的情况;
③意识到本身缺乏必要的知识,并进而利用这种缺陷。
4. 核心雇员流失
核心雇员流失体现为对关键人员依赖的风险,包括缺乏足够的后援/替代人员,相关信息缺乏共享和文档记录,缺乏岗位轮换机制等。
5. 违反用工法
违反用工法是指违反就业、健康或安全方面的法律或协议,包括劳动法、合同法等,造成个人工伤赔付或因性别/种族歧视事件导致的损失。
5.1.2 内部流程
内部流程引起的操作风险是指由于商业银行业务流程缺失、设计不完善,或者没有被严格执行而造成的损失。
1. 财务/会计错误
2. 文件/合同缺陷。主要表现为抵押权证、房产证丢失等。
3. 产品设计缺陷
4. 错误监控/报告。错误监控/报告是指商业银行监控/报告流程不明确、混乱,负责监控/报告的部门的职责不清晰,有关数据不全面、不及时、不准确,造成未履行必要的汇报义务或者对外部汇报不准确(发生损失)。
5. 结算/支付错误
6. 交易/定价错误
5.1.3 系统缺陷
系统缺陷引发的操作风险是指由于信息科技部门或服务供应商提供的计算机系统或设备发生故障或其他原因,商业银行不能正常提供部分、全部服务或业务中断而造成的损失。
1. 数据/信息质量
2. 违反系统安全规定
3. 系统设计/开发的战略风险
4. 系统的稳定性、兼容性、适宜性
5.1.4 外部事件
1.外部欺诈/盗窃
外部欺诈是指外部人员故意骗取、盗用财产或逃避法律而给商业银行造成损失的行为,包括外部的盗窃、抢劫、涉枪行为;伪造、变造多户头支票,骗贷等欺诈行为。该类风险是给商业银行造成损失最大、发生次数最多的操作风险之一。
2.洗钱
3.政治风险
4.监管规定
5.业务外包
6.自然灾害
7.恐怖威胁
操作风险事件类型
巴塞尔委员会规定的可能造成实质性损失的操作风险事件类型:
(1) 内部欺诈;
(2) 外部欺诈;
(3) 员工行为和工作场所问题;
(4) 客户、产品和经营行为;
(5) 实物资产的损毁;
(6) 经营的中断和系统的瘫痪;
(7) 执行、交货和流程管理。
巴塞尔委员会根据目前商业银行的实际做法,在《巴塞尔新资本协议》中为商业银行提供三种可供选择的操作风险经济资本计量方法,即基本指标法、标准法和高级计量法。这三种计算方法在复杂性和风险敏感性上是逐渐增强的,那些操作风险管理仍处于较低水平的、尚未达到量化阶段的商业银行可以选择较为简单的基本指标法和标准法,我国商业银行也可以由此开始。不过商业银行采取基本指标法和标准法计算操作风险资本金只是过渡阶段的选择,一方面,这两种方法是针对操作风险较低的商业银行设计的;另一方面,高级计量法的风险敏感度更高,采用这种方法更能反映商业银行操作风险的真实状况,因此包括中国银行业在内的所有商业银行均应努力向高级计量法靠近。