第4章 操作风险管理

  由于不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险

  4.1.1人员因素

  1.内部欺诈

  2.失职违规

  3.知识/技能匮乏

  4.核心雇员流失

  5.违反用工法

  1.财务/会计错误

  2.文件/合同缺陷

  3.产品设计缺陷

  4.错误监控/报告

  5.结算/支付错误

  6.交易/定价错误

  1.数据/信息质量

  2.违反系统安全规定

  3.系统设计/开发的战略风险

  4.系统的稳定性、兼容性、适宜性

  1.外部欺诈/盗窃

  2.洗钱

  3.政治风险

  4.监管规定

  5.业务外包

  6.自然灾害

  7.恐怖威胁

  4.2 操作风险评估和计量

  4.2.1风险评估要素

  风险损失数据收集要遵循客观性、全面性、动态性,标准化的原则

  1.内部操作风险损失事件数据

  内部操作风险损失事件收集(operation risk loss data collection,LDC)

  (1)收集内容

  总损失数据

  损失事件发生的时间、发生的单位信息

  总损失中收回部分

  损失的原因

  (2)损失数据收集的流程

  覆盖所有的业务领域

  明确损失所有者

  找到同一损失的业务单位和法律实体归属

  对所有财物损失发生的相关损失事件、潜在损失和损失发生日进行描述

  找出对应的损失发生原因、损失事件和影响度类别

  对所有部门的操作风险进行集中管理分析、统一管理

  (3)损失数据收集的步骤

  损失事件发生部门的相关业务人员确认损失事件并收集损失数据信息

  会同本部门操作风险管理人员以及财务部门相关人员何核实失数据

  损失部门向本部门/机构的操作风险管理人员提交损失数据信息

  操作风险管理人员就数据的完整性、合规性作出最后审查

  操作风险管理人员完成损失数据的录入、上报

  2.外部数据

  类似内部数据

  3.业务环境和内部控制因素

  (1)要将因素调整为有意义的风险要素(因基于实际经验、并征求专家意见)

  (2)在风险评估中,银行对这些因素变动的敏感度和不同因素相对权重的设定必须合理

  (3)风险评估框架及各种实施情况,包括针对实际评估做出调整的理由,都应当有文件支持,并接受银行内部和监管当局的独立审查

  注:美国反欺诈财务报告委员会(COSO)提出了“内部控制整体控制框架”,框架分为5部分,控制环境、风险评估、控制活动、信息沟通、监督