第十四章 风险管理
第五节 操作风险管理
考点:操作风险的分类和管控手段【点击试听>>听老师讲解】
(一)操作风险的分类
根据操作风险引起原因的不同。操作风险可以分为由人员、系统、流程和外部事件所引发的四类风险。
1.人员因素
人员因素主要是因银行内部员工发生内部欺诈、失职违规,以及因员工的知识/技能匮乏、关键人员流失、违反用工法、劳动力中断等造成损失或者不良影响的风险。
2.内部流程
内部流程是指由于商业银行业务流程缺失、流程设计不合理,或者没有被严格执行而造成损失的风险,主要包括:财务/会计错误、文件/合同缺陷、产品设计缺陷、结算/支付错误、错误监控/报告、交易/定价错误六个方面。
3.系统因素
系统因素是指由于IT系统开发不完善、系统(软硬件)失灵或瘫痪、系统功能漏洞等导致银行不能正常提供服务或业务中断.以及由于系统数据风险影响业务正常运行而导致损失的风险。
4.外部事件
外部事件是指由于外部主观或客观的破坏性因素导致损失的风险。外部事件引起银行损失的范围非常广泛,包括自然灾害、政治风险、外部欺诈、外部人员犯罪等。
根据引发操作风险的事件类型,可以分为七种表现形式:内部欺诈事件,外部欺诈事件,就业制度和工作场所安全事件,客户、产品和业务活动事件,实物资产的损坏事件,信息科技系统事件,执行、交割和流程管理事件。
(二)操作风险的管控手段
1.操作风险管理工具
操作风险管理工具和手段主要有操作风险与控制自评估(RCSA)、关键风险指标(KRI)、损失数据库(1D)等。
(1)操作风险与控制自评估。主要包括风险评估和控制评价。风险评估是根据一定的标准对操作风险的发生频率、影响程度进行判断。并确定风险等级的过程:控制评价是根据一定标准对现有控制活动的质量和执行程度进行评价,确定控制效果等级,并对控制活动进行优化改进的过程。
(2)关键风险指标。关键风险指标是指对业务活动和控制环境进行日常监控的指标体系,能够反映系统、流程、产品、人员等风险信息的变化情况,对于风险预警、日常监控具有重要作用。
(3)损失数据库。损失数据库是在标准化的操作风险事件分类基础上。对银行已发生的风险事件进行确认和记录.并采用结构化的方式进行存储。操作风险损失数据一般通过日常的风险报告制度、检查审计、历史损失数据收集等内部方式来积累,银行也可获取一些外部数据来弥补自身数据的不足。
2.业务连续性管理
业务连续性管理是指为有效应对突发事件导致的重要业务运营中断。建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括组织架构、策略、预案体系、资源保障、演练和应急处置等。
备考提示
实施业务连续性管理首先需要识别重要业务及其恢复的优先顺序,明确恢复的时间目标。银行各级机构、各相关部门需要针对突发事件的影响范围,在职责权限内建立不同层级的业务连续性策略和预案,明确应急处理流程和机制;此外,还应定期组织培训和演练,确保突发事件发生时各项预案得到及时正确的执行。
