第 七章操作风险管理王立平

一、人员因素
（一）操作风险人员因素的概念 操作风险的人员因素主要是指因商业 银行员工发生内部欺诈、失职违规， 以及因员工的知识/技能匮乏、核心 员工流失、商业银行违反用工法等 造成损失或者不良影响而引起的风 险。
（二）操作风险人员因素的种类 1. 内部欺诈
内部欺诈是指员工故意骗取、盗用财产或违反监管规章、法律或 公司政策导致的损失。
二、内部流程
• （一）内部流程操作风险的概念 • 内部流程引起的操作风险是指由于商业银行业务 流程缺失、设计不完善，或者没有被严格执行而 造成的损失。
（二）内部流程操作风险的种类


1.财务/会计错误 2.文件/合同缺陷。主要表现为抵押权证、房产证丢失等。 3.产品设计缺陷 4.错误监控/报告。错误监控/报告是指商业银行监控/报告流 程不明确、混乱，负责监控/报告的部门的职责不清晰，有关 数据不全面、不及时、不准确，造成未履行必要的汇报义务 或者对外部汇报不准确(发生损失)。 5.结算/支付错误 6.交易/定价错误
18%×支付和清算总收入 15%×代理服务总收入
资产管理
零售经纪 其它项 合计
12%
12% 18% －
12%×资产管理总收入
12%×零售经纪总收入 18%×未能划入上述八类业务条线的总 收入 以上各项之和
巴塞尔委员会提出，未具备使用标准法的资格， 商业银行必须至少满足如下条件： ①董事会和高级管理层应当积极参与监督操作 风险管理架构; ②银行应当拥有完整且确实可行的操作风险管 理系统; ③银行应当拥有充足的资源支持在主要产品线 上和控制及审计领域采用该方法。
但是商业银行采取基本指标法和标准法计算操作风
险资本金只是过渡阶段的选择，一方面，这两种方
法是针对操作风险较低的商业银行设计的；另一方 面，高级计量法的风险敏感度更高，采用这种方法
更能反映商业银行操作风险的真实状况，因此包括
中国银行业在内的所有商业银行均应努力向高级计 量法靠近。
一、基本指标法

操作风险事件类型
巴塞尔委员会规定的可能造成实质性损失的操作 风险事件类型： (1) 内部欺诈; (2) 外部欺诈; (3) 员工行为和工作场所问题; (4) 客户、产品和经营行为; (5) 实物资产的损毁; (6) 经营的中断和系统的瘫痪; (7) 执行、交货和流程管理。
操作风险的特征
1、内生性 2、灾难风险多为外生风险 3、风险诱因与风险损失相关性复杂 4、风险与收益的对应关系不明显 5、风险不易风散
三、高级计量法
（一）概念 高级计量法是指商业银行在满足巴塞尔委员 会提出的资格要求以及定性和定量标准的前提下， 通过内部操作风险计量系统计算监管资本要求。 使用高级计量法需得到监管当局的批准，且一旦 商业银行采用了高级计量法，未经监管当局批准 不可退回使用相对简单的方法。 业界比较流行的高级计量法主要有内部横量 法、损失分步法、以及记分卡等。
2、失职违规
商业银行内部员工因过失没有按照雇用合同、内部员工守则、相 关业务及管理规定操作或者办理业务造成的风险，主要包括因过失、 未经授权的业务或交易行为以及超越授权的活动。员工越权行为包 括滥用职权、对客户交易进行误导或者支配超出其权限的资金额度， 或者从事未经授权的交易等，致使商业银行发生损失的风险。商业 银行应对员工越权行为导致的操作风险予以高度关注。
3. 知识/技能匮乏
①在工作中，自己意识不到缺乏必要的知识， 按照自己认为正确而实际错误的方式工作; ②意识到自己缺乏必要的知识，但是由于颜 面或者其他原因而不向管理层提出或者声明 其无法胜任某一工作或者不能处理面对的情 况; ③意识到本身缺乏必要的知识，并进而利用 这种缺陷。
4. 核心雇员流失 核心雇员流失体现为对关键人员依赖的风险， 包括缺乏足够的后援/替代人员，相关信 息缺乏共享和文档记录，缺乏岗位轮换机 制等。 5. 违反用工法 违反用工法是指违反就业、健康或安全方面 的法律或协议，包括劳动法、合同法等， 造成个人工伤赔付或因性别/种族歧视事 件导致的损失。
三、系统缺陷
（一）系统缺陷风险的定义 系统缺陷引发的操作风险是指由于信息科技部 门或服务供应商提供的计算机系统或设备发生 故障或其他原因，商业银行不能正常提供部分、 全部服务或业务中断而造成的损失。 （二）系统缺陷类型 1.数据/信息质量 2.违反系统安全规定 3.系统设计/开发的战略风险 4.系统的稳定性、兼容性、适宜性

பைடு நூலகம்
四、外部事件
1.外部欺诈/盗窃 外部欺诈是指外部人员故意骗取、盗用财产或逃避法律 而给商业银行造成损失的行为，包括外部的盗窃、抢劫、涉 枪行为;伪造、变造多户头支票，骗贷等欺诈行为。该类风险 是给商业银行造成损失最大、发生次数最多的操作风险之一。 2.洗钱 3.政治风险 4.监管规定 5.业务外包 6.自然灾害 7.恐怖威胁
例题： 如果某银行前三年的总收入分别为80万、 -20万、120万，根据基本指标法，该银行 需配置的操作风险资本为？
二、标准法
• （一）概念 • 标准法的原理是，将商业银行的所有业务划分为8 类产品线，对每一类产品线规定不同的操作风险 资本要求系数，并分别求出对应的资本，然后加 总8类产品线的资本，即可得到商业银行总体操作 风险资本要求。
关于各业务条线的监管资本，业务条线的总收入 各对应系数为：
业务条线收入 对应系数 单项资本要求
公司金融
交易和销售 零售银行业务
18%
18% 12%
18%×公司金融总收入
18%×交易和销售总收入 12%×零售银行业务总收入
商业银行业务
支付和清算 代理服务
15%
18% 15%
15%×商业银行业务总收入
第七章 操作风险的管理
第一节 第二节 第三节 第四节

操作风险的成因 操作风险计量 操作风险评估与控制 操作风险监测与报告经济资本配置
第一节 操作风险成因
• 巴塞尔委员会将操作风险定义为“由不完善或有问 题的内部程序、人员及系统或外部事件所造成损失 的风险”。本定义所指操作风险包括法律风险，但 不包括声誉风险和战略风险。 • 本节从人员因素、内部流程、系统缺陷和外部 事件四个方面对操作风险形成的原因、损失种类及 特征进行分析。
（二）产品线
1.公司金融 2.交易和销售 3.零售银行业务 4.商业银行业务 5.支付和结算 6.代理服务 7.资产管理 8.零售经纪。

在标准法中，总资本要求是各产品线监管资本的简单加 总，其计算公式如下：
其中： KTSA表示标准法计算的资本要求; GI1-8表示8类产品线中各产品线过去3年的年均 总收入; β 表示由巴塞尔委员会设定的固定百分数。
损失数据收集的内容 ①总损失数额信息; ②损失事件发生的时间、发生的单位信息; ③总损失中收回部分信息; ④损失事件发生的主要原因的描述信息(描 述信息的详细程度应与总损失规模相称)。
• 由于那些可能危及商业银行安全的低频率、高损 失事件是很稀少的，所以，必须利用相关的外部 数据(无论是公开数据还是行业整合数据)来解决 多数商业银行评估操作风险时因内部损失数据有 限、样本数过少而导致统计结果失真的问题。 • 使用外部数据必须配合采用专家的情景分析，求 出严重风险事件下的风险暴露。
（二）风险评估原则
• 1.由表及里原则。具体可以划分为：非流程风险、 流程环节风险和控制派生风险。 • 2.自上而下原则。 • 3.从已知到未知原则
（三）风险评估方法
操作风险识别与评估的主要方法包括自我评估法、损失事 件数据方法和流程图等。其中，运用最广泛、方法最成熟的自 我评估法被称为操作管理的三大基础管理工具之一。 (1)自我评估法的原则 自我评估法就是在商业银行内部控制体系的基础上，通过开展 全员风险识别，识别出全行经营管理中存在的风险点，并从损 失金额和发生概率两个角度来评估风险大小。 自我评估的主要目标是鼓励各级机构承担责任及主动对操作风 险进行识别和管理。 (2)自我评估的作用 (3)自我评估的工具和方法
为了满足监管资本的要求，商业银行在风险计量 框架中使用这些因素时，须符合以下标准; ①要将每一个因素调整为有意义的风险要素， 应基于实际经验，并征求专家对相关业务领域的意 见。 ②在风险评估中，商业银行对这些因素变动的敏 感度和不同因素相对权重的设定必须合理。 ③该框架及各种实施情况，包括针对实际评估作 出调整的理由，都应当有文件支持，并接受商业银 行内部和监管当局的独立审查。
（二）资格标准 1.银行的董事会和高级管理层适当积极参与操作 风险管理框架； 2.银行的风险管理系统概念健全，执行正确有效； 3.有充足的资源支持在主要产品线上的控制及审 计领域领域采用该方法。
（三）其他标准



1.定性标准。商业银行必须设置独立的操作风险管理岗位， 负责设计和实施商业银行的操作风险管理框架。 2.定量标准。商业银行在开发系统的过程中，必须有操作 风险模型开发和模型独立验证的严格程序。 3.内部数据要求。无论用于损失计量还是用于验证，商业 银行必须具备至少5年的内部损失数据。对初次使用高级 计量法的商业银行，允许使用3年的历史数据。 4.外部数据要求。商业银行的操作风险计量系统必须利用 相关的外部数据，尤其是预期将会发生非经常性、潜在的 严重损失时，商业银行必须建立标准的程序，规定在什么 情况下必须使用外部数据以及使用外部数据的方法。 5.业务经营环境和内部控制因素
3.合规文化
目前，违规、内部欺诈等损失事件在我国商业银行操作风 险中占比超过80%，这说明我国商业银行内部控制存在的最严 重问题是制度的遵循性，也就是内部控制的符合性或者合规性 问题。 健康有效的合规管理文化至少包括以下几方面的内容： 一是要树立正确的合规管理理念; 二是加强管理层的驱动作用; 三是充分发挥人的主导作用;四是创建学习型组织。
第三节 操作风险评估与控制