2018年银行从业资格考试风险管理知识点5

　　操作风险识别

　　5.1 操作风险识别(要求不高，只需做到一一对应)

　　风险管理是由于不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。

　　所指操作风险包括一些法律风险，但不包括声誉风险和战略风险。

　　5.1.1 人员因素

　　1.内部欺诈

　　2.失职违规

　　3.知识/技能匮乏：含欺诈项

　　4.核心雇员流失

　　5.违反用工法：《劳动合同法》

　　5.1.2 内部流程

　　1.财务/会计错误

　　主要是新的会计准则实施之后，上市商业银行在不良贷款拨备方面的处理，也是银监会监管的重点。

　　2.文件/合同缺陷

　　作为关键流程的有效控制与否的证据，文件/合同历来是各商业银行加强档案管理的一个重点。

　　3.产品设计缺陷

　　产品设计主要是指银行开发的金融产品方面，在管理框架上，风险管理上，和管理权利义务结构上，存在的一些不健全，不完善的地方。产品的竞争是各商业银行市场竞争的一个体现。

　　4.错误监控/报告

　　5.结算/支付错误

　　6.交易/定价错误

　　5.1.3 系统缺陷

　　1.数据/信息质量

　　2.违反系统安全规定

　　3.系统设计/开发的战略风险

　　4.系统稳定性、兼容性、适宜性

　　5.1.4 外部事件

　　1.外部欺诈/盗窃

　　2.洗钱(重点了解含义)把违法、非法所得变成合法的过程就是洗钱

　　3.政治风险

　　4.监管规定

　　5.业务外包

　　6.自然灾害

　　7.恐怖威胁

　　5.2 操作风险计量与经济资本配置

　　巴塞尔新资本协议对操作风险经济资本的计量主要有三种方法：第一个是基本指标法，第二个是标准法，第三个是高级计量法，这三种方法在复杂性和风险敏感性方面是逐渐增强的。

　　5.2.1 基本指标法

　　(1)以单一的指标作为衡量银行整体操作风险的尺度，并以此为基础配置操作风险资本的方法。

　　(2)理由是银行越大，非利息收入越高，操作风险就越大，分配的经济资本就越多。

　　操作风险的监管成本=[前三年的总收入*固定百分比加总]/3

　　总收入=净利息收入+净非利息收入，不包括保险收入、银行账户上出售证券实现的盈利，固定百分比为15%。

　　5.2.2 标准法

　　(1)将整个业务分成8条产品线，度量每个业务线的风险，再把风险加总。

　　(2)标准法中银行的产品线：公司融资、交易和销售、零售银行业务、商业银行业务、支付和清算、代理服务、资产管理、零售经纪，巴塞尔设定了每个产品线的β值。β值代表商业银行在特定产品线的操作风险损失经营值与该产品线总收入之间的关系。

　　(3)采用标准法的基本要求：三条(多选题)

　　1.董事会和高管层应当积极参与监督操作风险管理架构。

　　2.应当具备完整而且切实可行的操作风险的管理系统。

　　3.银行应该拥有充足的资源来支持这种方法的开展。

　　5.2.3高级计量法

　　高级计量法就是通过精确化的模型，把实际需要的经济资本计算出来，高级计量法需要得到监管部门的批准之后才可以使用。一旦通过批准使用了高级计量法，没有经过监管部门的批准，不能从高级计量法退回到标准法或者是单一指标法。

　　(1)内部衡量法

　　(2)损失分布法

　　巴塞尔委员会对实施高级计量法提出了具体标准。包括：

　　(1)资格要求

　　(2)定性标准

　　商业银行必须设置独立的操作风险管理岗位，负责设立和实施商业银行的操作风险管理框架。

　　商业银行必须在全行范围内对主要业务条线分配操作风险资本。必须以正式文件形式制定内部操作风险管理政策、制度和流程，并在文件中明确规定对违规的处理办法。

　　(3)定量标准

　　商业银行必须能够证明或者表明，它所采用的这种操作风险计量方法，已经充分的考虑到了一些潜在的较为严重的概率分布，也就是说，无论采用哪种方法，商业银行必须表明操作风险计量方法，与信用风险的内部评级法具有相当的稳健标准。任何操作风险内部计量系统，必须提供与巴塞尔委员会所规定的操作风险范围和损失事件类型一致的操作风险分类数据。除非商业银行表明，在内部业务实践过程中，能够足以准确的计算出预期损失，即：若要只基于非预期损失，而计算出最低监管资本，商业银行必须有充足的理由和证据，来说服监管当局，它在计算监管资本要求时，已经充分的考虑到了预期损失.也就是商业银行的风险计量系统必须足够分散，这样就可以将影响预期损失估计分布尾部形态的主要操作风险考虑在内。

　　(4)内部数据

　　无论是用于损失计量还是用于验证，商业银行必须具有至少五年的内部损失数据。对于初次使用高级计量法的商业银行要求可以适度放宽，允许使用三年的历史数据.

　　(5)外部数据的

　　商业银行必须对外部数据配合专家的情景分析，求出严重风险事件下的风险暴露，这相当于一个极端情况下的压力测试。

　　(6)业务经营环境和内部控制因素

　　5.3 操作风险评估与控制

　　商业银行通过内部管理能够有效的防范操作风险，但是并非所有的操作风险都能够被控制和防止。对于巨灾可以通过风险转移。

　　5.3.1 风险评估与控制环境

　　1.公司治理

　　公司治理是现代商业银行稳健运营的核心;完善的公司治理结构，是商业银行有效的防范和控制操作风险的前提。

　　良好的公司治理目标：

　　建立独立董事制度，对董事会讨论事项发表客观公正的意见。

　　建立外部监事制度，对董事会、董事、高级管理层及其成员进行监督。

　　必须明确董事会、监事会、高管层和内部相关部门在控制操作风险的职责：

　　第一，高管层负责具体执行董事会批准的操作风险管理系统。

　　第二，风险管理部门具体执行操作风险管理系统。

　　第三，业务管理部门要定期的向风险管理部门就操作风险状况进行报告。

　　第四，内部审计部门要监督操作风险管理措施的贯彻落实，确保业务管理者将操作风险保持在可容忍的程度以下，以及要保证风险控制措施的有效性和完整性。

　　2.内部控制

　　加强内部控制是商业银行管理操作风险的基础。巴塞尔委员会认为，资本约束并不是控制操作风险的最好方法。对付操作风险的第一道防线，应该是操作风险的内部控制。

　　3.合规管理文化

　　合规问题是我国商业银行操作风险管理的核心问题。内部控制体系和风险管理文化，是操作风险管理的基础。

　　健康有效的合规管理文化包括以下内容：

　　1.树立正确的合规管理理念

　　2.加强管理层的驱动作用

　　3.充分发挥人的主导作用

　　4.信息系统

　　5.3.2 风险评估要素、原则和方法

　　目前商业银行一般采用定性方法和定量方法相结合来评估操作风险。

　　1.风险评估要素

　　一、内部操作风险损失事件数据

　　内部操作风险损失数据主要包括操作风险损失事件发生后的，可以标记，可以计量，可以描述的各项数据信息。

　　内部操作风险损失事件收集的内容：

　　总损失数据;

　　损失事件发生的时间、发生的单位信息;

　　总损失中收回部分;

　　损失的原因。

　　二、外部数据

　　使用外部数据进行分析的时候，必须配合专家情景分析法。求出在严重的风险事件下，也就是小概率的极端事件下风险的暴露。情景分析主要是依靠有经验的业务经理和风险管理专家的知识水平进行定性分析。

　　三、业务环境和内部控制因素

　　(1)要将因素调整为有意义的风险要素(应基于实际经验、并征求专家意见);

　　(2)在风险评估中，银行对这些因素变动的敏感度和不同因素相对权重的设定必须合理。

　　(3)风险评估框架及各种实施情况，包括针对实际评估作出调整的理由，都应当有文件支持，并接受银行内部和监管当局的独立审查。

　　2.风险评估原则

　　两个层面：业务管理和风险管理;

　　三种原则：由表及里、自下而上、从已知到未知。

　　由表及里的识别操作风险因素包括非流程的风险，流程环节的风险以及控制派生风险。

　　非流程风险就是由政策管理模式等系统性因素所产生的。流程环节风险是流程环节所固有的一些风险，可以通过流程环节的改进、提升，有效的识别和规避。第三种风险是控制派生风险。如增加人工授权控制环节后所派生出来的内部欺诈等风险。

　　第二个原则就是自下而上原则。操作风险一般发生在基层机构和经营管理的基础环节。所以操作风险控制的关口应该前移，自下而上逐级的来开展操作风险的识别控制。

　　第三个原则就是由已知到未知原则。操作风险识别与评估要从已知的风险逐步延伸到未知的风险。

　　3.风险评估方法

　　1.自我评估法

　　自我评估法就是银行在加强内控体系的基础之上，通过开展一种全员的风险识别，识别出全行经营管理中存在的风险点，并从损失金额和发生概率两个角度来评估风险大小。同时，识别这些风险点是否有控制措施，并评估控制措施质量，进而提出优化控制措施的方案，不仅要对没有控制措施或控制不足而具有潜在风险的环节进行修订完善，补足控制措施，更要对控制过度引起服务效率低下的环节进行修订和完善。

　　风险评估的工作流程：

　　全员风险识别与报告，作业流程分析和风险识别与评估，控制活动识别与评估，制定与实施控制优化方案以及报告自我评估工作与日常监控五个阶段。

　　5.3.3 主要业务风险控制

　　巴塞尔规定了8个产品线，国内银行分为5个业务。

　　业务主要分为：柜台业务，法人信贷业务，个人信贷业务，资金交易任务，代理业务。

　　(1)柜台业务

　　柜台业务泛指通过商业银行柜面办理的业务，是商业银行各项业务操作的集中体现，也是最容易引发操作风险的业务环节。

　　柜台业务的风险点：现金存取款。

　　操作风险的形成原因：柜台人员安全意识不强，缺乏岗位制约和自我保护意识;柜台工作强度大，但收入不高，工作缺乏热情和责任感等等。

　　操作风险控制要点注意的细节：首先严格执行各柜台业务规定，严禁不经授权办理业务查询;有价单证应该视同现金管理，有价单证应该按照“专人管理，柜员领用”的要求，业务的印章遵循“归口管理，分级负责”的原则，只能在业务办理的时候使用，不能预先加盖业务印章。印、押、和证相互分管使用，严禁混岗操作。库房管理要求“双人库管，同进同出”。

　　(2)法人信贷业务

　　法人信贷业务是国内企业/机构类业务最重要的部分，也是国内商业银行最主要的商业银行业务。

　　(3)个人信贷业务

　　个人信贷业务的主要风险点：个人住房按揭贷款的风险点主要包括房地产开发商与客户串通，或直接使用虚假客户资料骗取个人住房按揭贷款;未核实第一还款来源或在第一还款来源不充足的情况下，向客户发放个人住房贷款;房产中介机构以虚假购房人名义申请二手房贷款，骗取商业银行信用;内部勾结编造客户资料骗取商业银行贷款等等。

　　对于个人信贷要严格做好三查制度即：贷前的调查，贷时或贷中的审查以及贷后的检查。

　　(4)资金交易业务

　　三台职责分工：1.前台交易;2.中台风险管理;3.后台结算清算。

　　主要操作风险点：体现权限等级，部门分工，职责分离原则，做到前台交易和后台结算分离，自营业务与代客业务分离，业务操作和风险监控分离，建立岗位和部门之间的监督约束机制。

　　(5)代理业务

　　是商业银行中间操作的一种。

　　5.3.4 风险缓释

　　风险缓释是风险管理和风险操作的有效办法。可以将操作风险划分为四大类：可以规避的操作风险、可降低的操作风险、可缓释的操作风险、应承担的操作风险。风险缓释，是目前巴塞尔协议和我国银监会都重点强调的一种风险管理方法。

　　1.连续营业方案

　　连续营业方案就是使得银行在实际的业务构成中，不中断实现连续的营业。这主要通过建立灾难应急恢复和业务连续方案，明确在中断事件中恢复服务的备用机制，确保商业银行在低概率的严重业务中断事件发生时能够执行这些方案。

　　2.保险

　　保险作为操作风险缓释的有效手段，一直是西方商业银行操作风险管理的重要工具。主要包括：第一、商业银行一揽子保险。主要承担商业银行内部盗窃和欺诈以及外部欺诈风险。第二、经理与高级职员责任险。第三、财产保险，主要承保由于火灾、雷电、爆炸、碰撞等自然灾害引起的银行的财产损失。第四、营业中断保险，主要承保因设备瘫痪、电信中断等事件所导致的营业中断引发的损失。另外一些就是责任保险等。我国对于银行操作风险类的保险主要是意外事故险和财产险。

　　保险只是操作风险管理的补充手段之一，预防和减少操作风险的发生，最终还是要靠商业银行自身加强风险管理。

　　3.业务外包

　　业务外包就是把一些自身可能会出现操作风险的业务流程，或者一些机构方面的职责外包出去。从本质上说，操作或服务虽然可以外包，但其最终责任并未被"包"出去，外包服务的最终责任人仍然是商业银行。对客户和监管者仍然承担着保证服务质量、安全、透明度和管理汇报的责任。所以，一些关键过程和核心的业务，如账务系统、资金交易业务等不应外包出去。过多的外包也会产生额外的操作风险或其它隐患，即流程中的派生风险。

　　中国银行监督管理委员会《关于加大防范操作风险工作管理力度的通知》是2005年三月份公布的，是第一个关于操作风险的管理指引。银行界把它称为十三条。强调两点：1、建立和实施基层主管的轮岗轮调和强制休假制度，同时要进行有效的审计跟踪。2、严格规范重要岗位和敏感环节工作人员8小时内外的行为，建立相应的行为失范监察制度。

　　5.4 操作风险监测与报告

　　5.4.1 风险监测

　　1.风险诱因/环节

　　从内部因素来看，主要是包括人员、流程、系统等这些方面带来的操作风险，外部因素比如外部欺诈等等。实际操作中，要对内外因素同时加以防范。

　　2.关键风险指标

　　(1)KRI是用来考察银行风险状况的统计数据或指标。

　　(2)选择风险指标的原则：

　　相关性、可测量性、风险敏感性、实用性。

　　(3)确定风险指标的步骤

　　了解业务和流程;

　　确定并理解主要风险领域;

　　操作风险关键指标强调：一个是前后台交易不匹配占比，即前台和后台没有匹配的交易数据，。另外一个是反洗钱警报占比，这是对洗钱风险的度量指标。

　　3.因果分析模型

　　为了量化操作风险，邓肯·威尔逊开发出了"因果关系模型"方法，运用VaR技术对操作风险进行计量。

　　5.4.2 风险报告程序

　　1.岗位设置及职责

　　(1)各部门对操作风险的管理情况负直接责任，应指定专人负责操作风险管理。

　　(2)设置独立的操作风险管理部门，负责全行的操作风险管理;这就为操作风险的防范和控制设立了一个机构保障。

　　(3)设立独立的内审部门，负责对操作管理系统的监督。内部审计部门是直接向董事会来报告操作风险管理体系的运行效果的评估。内审部门不直接负责或参与其它部门的操作风险管理。

　　2.报告路径

　　一般而言，各业务部门负责收集相关数据和信息，并报告至风险管理部门，风险管理部门分析整理后，上报高管层。

　　5.4.3 风险报告内容

　　1.风险状况

　　风险状况描述的形式是风险图或者风险表，二者没有优劣之分，对于揭示风险的状况以及风险的迁移变化的效果是一样的。

　　2.重大损失事件

　　3.诱因与对策

　　对于可以转移的操作风险，可以在报告中通过建议，运用一定的风险缓释工具，来降低操作风险。

　　4.关键风险指标

　　5.操作风险资本水平

　　按国际惯例，30%给操作风险、30%给市场风险、40%给信用风险，这里指的是增量，指银行需要额外增加的那部分资本占总资本的比例。这里的百分比比率不是总量上的指标，而是对业务开展额外增加的部分的资本占总资本的比率。它是一个增量指标，而不是总量指标。按照巴塞尔协议，商业银行应该为操作风险配置相应的资本