2015年银行从业《风险管理》第五章讲义
第五章 操作风险管理
考点5.1 操作风险概述(P222-P248)1.操作风险是指由不完善或有问题的内部程序、员工、信息科技系统以及外部事件所造成损失的风险。
【本定义所指操作风险包括法律风险,但不包括策略风险和声誉风险。】
2.根据操作风险的定义,商业银行的操作风险可按人员因素、内部流程、系统缺陷和外部事件四大类分类。
3.人员因素主要是指因商业银行员工发生内部欺诈、失职违规,以及因员工的知识/技能匮乏、核心员工流失、商业银行违反用工法等造成损失或者不良影响而引起的风险;
①内部欺诈:指员工故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失;【分类有未经授权交易、盗窃和欺诈;】
②失职违规:员工因过失没有按照雇用合同、内部员工守则、相关业务及管理规定操作或者办理业务造成的风险,主要包括因过失、未经授权的业务或交易行为以及超越授权的活动。员工越权行为包括滥用职权、对客户交易进行误导或者支配超出其权限的资金额度,或者从事未经授权的交易等,致使商业银行发生损失的风险。商业银行应对员工越权行为导致的操作风险予以高度关注。
③知识/技能匮乏分为三种:
在工作中,自己意识不到缺乏必要的知识,按照自己认为正确而实际错误的方式工作;
意识到自己缺乏必要的知识,但是由于颜面或者其他原因而不向管理层提出或者声明其无法胜任某一工作或者不能处理面对的情况;
意识到本身缺乏必要的知识,并进而利用这种缺陷。
④核心雇员流失:体现为对关键人员依赖的风险,包括缺乏足够的后援/替代人员,相关信息缺乏共享和文档记录,缺乏岗位轮换机制等;
⑤违反用工法:指违反就业、健康或安全方面的法律或协议,包括劳动法、合同法等,造成个人工伤赔付或因性别/种族歧视事件导致的损失;
4.内部流程:指由于商业银行业务流程缺失、设计不完善,或者没有被严格执行而造成的损失;
①财务/会计错误;
②文件/合同缺陷:主要表现为抵押权证、房产证丢失等;
③产品设计缺陷:在业务管理框架、权利义务结构、风险管理要求等方面不完善、不健全;
④错误监控/报告;
⑤结算/支付错误;
⑥交易/定价错误;
5.系统缺陷:指由于信息科技部门或服务供应商提供的计算机系统或设备发生故障或其他原因,商业银行不能正常提供部分、全部服务或业务中断而造成的损失;
具体表现:①数据/信息质量;②违反系统安全规定;③系统设计/开发的战略风险;④系统稳定性、兼容性、适宜性。
6.外部事件:
①外部欺诈:指第三方故意骗取、盗用财产或逃避法律,包括外部盗窃欺诈、系统安全性两类;
【该类风险是给商业银行造成损失最大、发生次数最多的操作风险之一。】
②洗钱;③政治风险;④监管规定;⑤业务外包;⑥自然灾害;⑦恐怖威胁
7.操作风险影响:包括可用经济指标衡量的财务影响以及无法用经济指标量化的非财务影响;
8.操作风险等级矩阵通过风险概率和影响两个维度来度量风险的严重度。
考点5.2 操作风险识别方法(P248-P250)1.自我评估法:自我评估法是在商业银行内部控制体系的基础上,通过开展全员风险识别,识别出全行经营管理中存在的风险点,并从影响程序和发生概率两个角度来评估操作风险的重要程度;目的是鼓励各级机构主动承担责任,加强对操作风险识别、评估、控制和监测流程的有效管理;
2.因果分析模型:在综合自我评估结果和各类操作风险报告的基础上,利用因果分析模型能够对风险成因、风险指标和风险损失进行逻辑分析和数据统计,进而形成三者之间相互关联的多元分布;实践中,商业银行通常先收集损失事件,然后识别导致损失的风险成因,方法包括实证分析法、与业务管理部门会谈等,最终获得损失事件与风险成因之间的因果关系。
考点5.3 操作风险评估(P250-P254)1.操作风险评估是指操作风险所有人持续识别、评估并报告业务流程的操作风险及其控制状况的过程;原理是按照“固有风险-控制措施=剩余风险”的方法;操作风险是一种银行操作风险管理手段,通常采用定性与定量相结合的方法来评估操作风险;
2.操作风险评估的原则:业务流程所有人负第一评估责任原则;动态管理原则;重要性原则;
3.操作风险评估的步骤:准备、评估和报告三个步骤;
4.操作风险评估的价值:
①建立覆盖商业银行各类经营管理的操作风险动态识别评估机制,实现操作风险的主动识别与内部控制持续优化;
②优化和完善各类作业流程,平衡风险与收益,提升商业银行服务效率和盈利能力;
③在自我评估基础上建立操作风险事件数据库,构建操作风险日常管理的基础平台;
④为建立操作风险管理的关键风险指标体系和操作风险计量奠定基础;
⑤风险关口前移,从源头上控制风险隐患;来源:233网校
⑥促进操作风险管理文化的转变,通过全员风险识别,提高员工参与操作风险管理的主动性和积极性
5.RACA 对操作风险进行主动的识别和评估,识别控制失当的风险,是对风险管理过程的开端;
RACA 形成关键风险和关键控制清单,为操作风险管理和内部控制报告提供统一语言。
相关推荐: