操作风险监测分析报告
单位名称(公章)
签发人:
主要内容:
一. 基本情况
(一)操作风险定义
银行办理业务或内部管理出了差错,必须做出补偿或赔偿;法律文书有漏洞,被人钻了空子;内部人员监守自盗,外部人员欺诈得手;电子系统硬件软件发生故障,网络遭到黑客侵袭;通信、电力中断;地震、水灾、火灾、恐怖袭击;等等,所有这些,都会给商业银行带来损失。这一类的银行风险,被统称为操作风险。
(二)操作风险管理组织架构,权限和责任
组织架构:各银监局,各政策性银行、国有商业银行、股份制商业银行,邮政储蓄银行
权限:中国银行业监督管理委员会(以下简称银监会)依法对商业银行的操作风险管理实施监督检查,评价商业银行操作风险管理的有效性。
责任:商业银行董事会应将操作风险作为商业银行面对的一项主要风险,并
承担监控操作风险管理有效性的最终责任。主要包括:
(1)制定与本行战略目标相一致且适用于全行的操作风险管理战略和总体政策;
(2)通过审批及检查高级管理层有关操作风险的职责、权限及报告制度,
确保全行的操作风险管理决策体系的有效性,并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内;
(3)定期审阅高级管理层提交的操作风险报告,充分了解本行操作风险管
理的总体情况、高级管理层处理重大操作风险事件的有效性以及监控和评价日常操作风险管理的有效性;
(4)确保高级管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险;
(5)确保本行操作风险管理体系接受内审部门的有效审查与监督;
(6)制定适当的奖惩制度,在全行范围有效地推动操作风险管理体系地建设。
(三)操作风险管理政策,方法,和程序
根据董事会制定的操作风险管理战略及总体政策,负责制定、定期审查和监督执行操作风险管理的政策、程序和具体的操作规程,并定期向董事会提交操作风险总体
情况的报告;
(1)全面掌握本行操作风险管理的总体状况,特别是各项重大的操作风险事件或项目;
(2)明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容,督促各部门切实履行操作风险管理职责,以确保操作风险管理体系的正常运行;
(3)为操作风险管理配备适当的资源,包括但不限于提供必要的经费、设
置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需的权限等;
(4)及时对操作风险管理体系进行检查和修订,以便有效地应对内部程序、
产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化所造成的操作风险损失事件。
具体的方法可包括:评估操作风险和内部控制、损失事件的报告和数据收集、关键风险指标的监测、新产品和新业务的风险评估、内部控制的测试和审查以及操作风险的报告。
商业银行应当制定有效的程序,定期监测并报告操作风险状况和重大损失情况。应针对潜在损失不断增大的风险,建立早期的操作风险预警机制,以便及时采取措施控制、降低风险,降低损失事件的发生频率及损失程度
(四)监测和报告操作风险的方法
商业银行应当将加强内部控制作为操作风险管理的有效手段,与此相关的内
部措施至少应当包括:
(1)部门之间具有明确的职责分工以及相关职能的适当分离,以避免潜在的利益冲突;
(2)密切监测遵守指定风险限额或权限的情况;
(3)对接触和使用银行资产的记录进行安全监控;
(4)员工具有与其从事业务相适应的业务能力并接受相关培训;
(5)识别与合理预期收益不符及存在隐患的业务或产品;
(6)定期对交易和账户进行复核和对账;
(7)主管及关键岗位轮岗轮调、强制性休假制度和离岗审计制度;
(8)重要岗位或敏感环节员工八小时内外行为规范;
(9)建立基层员工署名揭发违法违规问题的激励和保护制度;
(10)查案、破案与处分适时、到位的双重考核制度;
(五)处理操作风险事件和薄弱环节的措施
商业银行应及时向银监会或其派出机构报告下列重大操作风险事件:
(1)抢劫商业银行或运钞车、盗窃银行业金融机构现金30万元以上的案件,诈骗商业银行或其他涉案金额1000万元以上的案件;
(2)造成商业银行重要数据、账册、重要空白凭证严重损毁、丢失,造成
在涉及两个或两个以上省(自治区、直辖市)范围内中断业务3小时以上,在涉及一个省(自治区、直辖市)范围内中断业务6小时以上,严重影响正常工作开展的事件;
(3)盗窃、出卖、泄漏或丢失涉密资料,可能影响金融稳定,造成经济秩
序混乱的事件;
(4)高管人员严重违规;
(5)发生不可抗力导致严重损失,造成直接经济损失1000万元以上的事故、自然灾害;
(6)其他涉及损失金额可能超过商业银行资本净额 1 %o的操作风险事件;
(7)银监会规定其他需要报告的重大事件。
(六)操作风险管理程序中的内控,检查和内审程序
为有效地识别、评估、监测、控制和报告操作风险,商业银行应当建立并逐步完善操作风险管理信息系统。管理信息系统至少应当记录和存储与操作风险损失相关的数据和操作风险事件信息,支持操作风险和控制措施的自我评估,监测关键风险指标,并可提供操作风险报告的有关内容。
(七)灾难恢复和业务连续方案的安排
业银行应当制定与其业务规模和复杂性相适应的应急和业务连续方案,建立
恢复服务和保证业务连续运行的备用机制,并应当定期检查、测试其灾难恢复和业务连续机制,确保在出现灾难和业务严重中断时这些方案和机制的正常执行。
(八)计提操作风险所需资本的规定
商业银行初次计量操作风险监管资本,必须事先向银监会申请使用标准法(含标准法替代形式)或高低计量法,经批准后方可实施。经银监会审查不符合高级计量法资格标准的,应采用标准法(含标准法替代形式)计量操作风险监管资本,不符合标准法(含标准法替代形式)资格标准的,应采用基本指标法计量操作风险监管资本。(九)操作风险管理的其他情况
于银监会在监管中发现的有关操作风险管理的问题,商业银行应当在规定的
时限内,提交整改方案并采取整改措施。
对于发生重大操作风险事件而未在规定时限内采取有效整改措施的商业银
行,银监会将依法采取相关监管措施
一. 操作风险的特点及主要表现
(一)操作风险的特点
(1)操作风险中的风险因素很大比例上来源于银行的业务操作,属于银行可控范围内的内生风险。单个操作风险因素与操作损失之间并不存在清晰的、
可以界定的数量关系。
(2)从覆盖范围看,操作风险管理几乎覆盖了银行经营管理所有方面的不同风险。既包括发生频率高、但损失相对较低的日常业务流程处理上的小纰漏,也包括发生频率低、但一旦发生就会造成极大损失,甚至危及到银行存亡的自然灾害、大规模舞弊等。因此,试图用一种方法来覆盖操作风险的所有领域几乎是不可能的。
(3)对于信用风险和市场风险而言,风险与报酬存在一一映射关系,但这种关系并不一定适用于操作风险。
(4)业务规模大、交易量大、结构变化迅速的业务领域,受操作风险冲击的可能性最大。
(5)操作风险是一个涉及面非常广的范畴,操作风险管理几乎涉及银行内部的所有部门。因此,操作风险管理不仅仅是风险管理部门和内部审计部门的事情。
(二)操作风险的主要表现
(1)损失事件主要集中在商业银行业务和零售银行业务,主要可以归因于内部欺诈、外部欺诈,占到损失事件比例最大的是商业银行业务中的内部欺诈。
(2)单笔损失金额的均值相差很大,在度量操作风险时,应该分别考虑每个业务部门和每个风险事件组合下的损失分布情况。
(3)损失事件的多少与银行的总资产规模成正相关,但损失金额多少与总资产没有明显的相关性。
(4)从损失事件数目和损失金额的地区分布看,操作风险不一定发生在经济发达的分支机构,但是肯定会发生在管理薄弱、风险控制意识不强的地区三,操作风险管理中存在的问题和难点
公司治理结构不健全。一是所有者虚位,导致对代理人监督不够。二是内部制衡机制不完善。董事会、监事会、经营管理层之间的制衡机制还未真正建立起来。三是存在“内部人”控制现象
1.内控制度建设尚不完备。一是没有形成系统的内部控制制度,控制不足与控制分
散并存,业务开拓与内控制度建设缺乏同步性,特别是新业务的开展缺乏必要的制度保障,风险较大。二是内控制度的整体性不够。对所属分支机构控制不力,对决策管理层缺乏有效的监督。对业务人员监督得多,而对各级管理人员监督得较少、制约力不强。三是内控制度的权威性不强。审计资源配置效率低下,稽核
审计职能和权威性没有充分发挥,内部审计部门没有完全起到查错防漏、控制操作风险的作用
2.风险管理方法落后,信息技术的运用严重滞后。
4、员工队伍管理不到位。银行管理人员在日常工作中重业务开拓,轻队伍建
设;重员工使用,轻员工管理,对员工思想动态掌握不够,加之举报机制不健全,使本来可以超前防范的操作风险不能及时发现和制止。
5、与风险控制有冲突的考核激励政策容易诱导操作风险。
6社会转型及银行变革容易引发操作风险。当前社会治安形势仍然严峻,针对银行的抢劫、诈骗、盗窃等犯罪时有发生。从银行内部来看,国有银行正在进行股改,伴随机构撤并,也带来了大量富余人员消化问题,并导致各种矛盾的尖锐化。
四,下一步工作部署安排
加大改革力度
1、建立完善的公司法人治理结构。我国商业银行要建立规范的股东大会、
董事会、监事会制度,设立独立董事,构建以股东大会-董事会-监事会-行长经营层之间的权力划分和权力制衡有效结构,通过高级管理层权力制衡,抑制“内部人”控制、“道德风险”的发生。
2、按照“机构扁平化、业务垂直化”的要求,推进管理架构和业务流程再
造,从根本上解决操作风险的控制问题。
3、改革考核考评办法。正确引导分支机构在调整结构和防范风险的基础上
提高经营效益,防止重规模轻效益。要合理确定任务指标,把风险及内控管理纳入考核体系,切实加强和改善银行审慎经营和管理,严防操作风险。不能制定容易引发偏离既定经营目标或违规经营的激励机制。
不断完善内部控制制度
商业银行在坚持过去行之有效的内部控制制度的同时,要把握形势,紧贴业
务,不断研究新的操作风险控制点,完善内部控制制度,及时有效地评估并控制可能出现的操作风险,把各种安全隐患消除在萌芽状态。
当前,重点要在以下七个方面完善内部控制制度:一是建立相应的授权体系,
实行统一法人管理和法人授权;二是建立必要的职责分离,以及横向与纵向相互监督制约关系的制度;三是明确关键岗位、特殊岗位、不相容岗位及其控制要求;四是对于重要活动应实施连续记录和监督检查;五是对于产品、组织结构、流程、计算机系