第9章操作風險管理本章預覽本章對金融機構的操作風險進行講解。首先介紹了操作風險的概念、特征及成因；其次具體講解了操作風險的定性及定量度量方法，如關自我評估法、計分卡法、基本指標法、標準法、替代標準法及高級計量法等；最后講解了操作風險管理原則、組織及具體管理流程。9.1操作風險概述9.2操作風險的度量方法9.3操作風險的管理目錄CONTENTS操作風險概述9.1操作風險的概念所謂操作風險就是除去信用風險、市場風險后金融機構所承擔的左右風險。操作風險即是金融機構業務操作造成的風險，包括交易、支付等過程中由于出現失誤而造成損失的可能。包括內部與外部風險兩部分。其中內部風險即是指由機構自身可以掌控的部分，諸如系統選擇、員工雇傭、內部風險控制制度等；而外部風險則涵蓋了由外部事件引發的風險。技術水平不足引發的操作風險業務能力不足引發的操作風險道德風險引發的操作風險腐敗引發的操作風險操作風險的成因操作風險的特征（1）風險來源以內生為主（2）風險涵蓋范圍廣，具有普遍性（3）風險收益不對稱（4）損失表現出后尾特征操作風險損失事件類型實物資產損壞客戶、產品及業務活動就業制度及工作場所安全業務中斷及系統故障事件外部欺詐內部欺詐是指故意騙取、盜用財產或規避、違反監管規章、法律法規或公司政策而導致的損失，此類事件至少涉及內部一方（不包括歧視及差別待遇事件）。下設未授權行為、盜竊及欺詐行為。未經授權行為盜竊及欺詐行為執行、交割及流程管理操作風險損失事件類型實物資產損壞客戶、產品及業務活動就業制度及工作場所安全業務中斷及系統故障事件外部欺詐是指第三方故意騙取、盜用財產或規避法律法規導致的損失。細分為：盜竊和欺詐、系統安全。盜竊和欺詐系統安全執行、交割及流程管理操作風險損失事件類型實物資產損壞客戶、產品及業務活動就業制度及工作場所安全業務中斷及系統故障事件是指違反就業、健康或安全方面的法律法規或協議，個人工傷賠付或因歧視及差別待遇事件造成的損失。細分為：勞資關系、安全環境、歧視及差別待遇。勞資關系安全環境歧視及差別待遇執行、交割及流程管理操作風險損失事件類型實物資產損壞客戶、產品及業務活動業務中斷及系統故障事件是指因疏忽未對特定客戶履行專業義務（如誠信義務及適當性要求），或產品性質或設計缺陷導致的損失。細分為：適當性、披露及誠信義務；不良的業務或市場行為；產品瑕疵；客戶選擇、業務開展和風險暴露；咨詢業務。適當性、披露及誠信義務不良的業務或市場行為產品瑕疵客戶選擇、業務開展和風險暴露咨詢業務執行、交割及流程管理操作風險損失事件類型實物資產損壞業務中斷及系統故障事件是指實物資產因自然災害或其他事件丟失或毀壞導致的損失。災害及其他事件包括：自然災禍損失；外力（恐怖襲擊、故意破壞）造成的人員傷亡和損失。執行、交割及流程管理操作風險損失事件類型業務中斷及系統故障事件主要對因系統問題事件。包括：硬件；軟件；網絡與通信；動力輸送損耗/中斷執行、交割及流程管理操作風險損失事件類型是指交易處理或流程管理失敗和因與交易對手及外部銷售商關系導致的損失。細分為：交易認定、執行和維護；監控和報告；招攬客戶和文件記錄；客戶賬戶管理；交易對手；外部銷售商和供應商。交易認定、執行和維護監控和報告招攬客戶和文件記錄客戶賬戶管理交易對手外部銷售商和供應商執行、交割及流程管理操作風險的度量方法9.2（一）自我評估法（二）關鍵風險指標法（三）計分卡法（一）自上而下法（二）自下而上法定性分析定量分析自我評估法

自我評估是金融機構內部稽核識別及評估潛在操作風險的管理工具。它評估的內容包含了金融機構的所有業務部門，既涉及營運管理、人力資源及信息系統等內部風險，也涉產業結構、市場環境及科技進步等外部風險。調查問卷法敘述法專家預測法定性分析關鍵風險指標法

關鍵風險指標是指能夠揭示特定風險變化狀況并實現定期監控的統計指標。通過這些統計指標通過向操作風險管理人員提供相關數據，從而幫助其能夠明確知道機構目前面對的主要風險是什么，可能造成的風險損失是多少，進而采取針對性的風險管理措施減低風險發生的可能及造成的損失。定性分析計分卡法

計分卡法是金融機構對自身操作風險與內部控制水平的自我評估。通過記分卡的方式對機構面對的風險事件、風險發生概率、潛在損失及風險控制能力等方面進行評估，對不同的風險事件發生的可能性或損失進行賦分，進而通過分數對不同風險事件進行排序、比較及分析，最后對不同操作風險進行經濟資本分配。定性分析自上而下法

該方法主要是從宏觀層面對機構的操作風險進行計量。通過估計股票收益、收益及成本等經濟變量變化無法由外部宏觀因素解釋的部分作為機構內部所面臨的操作風險。定性的自上而下法定量的自上而下法定量分析自下而上法

從微觀入手針對各業務進行風險識別與評估，最后將結果匯總計算總風險損失。其優點在于對每個業務風險進行分析時能有效區分不同類型的風險事件，能夠診斷出機構操作風險中存在薄弱環節，從而采取有針對性的處理。定性的自下而上法定量的自下而上法定量分析基本指標法標準法高級計量法替代標準法1234操作風險評估與度量亦稱為單一指標法，是巴塞爾委員會提供的適用于初階操作風險評估的方法。基本指標法其中

為機構前三年總收入的均值；

為固定乘數，通過統計數據巴塞爾委員會發現基本指標法下監管資本應是現行最小值的12%。結合行業因素，目前

通常設定在17%-20%的區間內。對金融機構的業務進行了劃分，通過機構每個業務條線的總收入乘以適用于該業務的

，從而計算該業務的資本需求。總資本要求即為所有業務資本需求的和。具體表示如下：標準法需要特別注意的是這種評估操作風險的方法并不適用于所有金融機構，只要滿足一定標準的銀行才可以使用。一般標準國際活躍銀行標準標準法一級目錄二級目錄業務公司金融公司金融兼并與收購、證券化、私有化、承銷、債務、股本、銀團、IPO、配股等市政/政府金融商人銀行咨詢服務交易和銷售銷售股權、商品、外匯、固收、融資、信貸、自營頭寸、經紀、貸款及回購等做市自營頭寸資金業務零售銀行業務零售銀行業務零售貸款及存款、銀行服務、信托及不動產私人銀行業務私人貸款及存款、銀行服務、信托及不動產、投資咨詢銀行卡服務商戶/商業/公司卡、零售店品牌、零售業務商業銀行業務商業銀行業務項目融資、不動產、出口融資、貿易融資、保理、匯票、擔保等支付和清算外部客戶支付和托收、資金轉賬、清算及結算代理服務托管第三方托管、存托憑證、證券貸出、公司行為公司代理發行和支付代理公司信托

資產管理可支配基金管理集合、分散、零售、機構、封閉式、開放式、私募基金非可支配基金管理集合、分散、零售、機構、封閉式、開放式零售經紀零售經紀業務執行指令等全套服務標準法業務線值（%）業務線值（%）公司金融18支付與清算18交易和銷售18代理服務15零售銀行12資產管理12商業銀行15零售經紀12標準法業務線值（%）業務線值（%）公司金融18支付與清算18交易和銷售18代理服務15零售銀行12資產管理12商業銀行15零售經紀12替代標準法替代標準法在標準法的基礎上進行了一定的修正，《巴塞爾新資本協議》指出如各國監管當局認為使用替代標準法更為有效時，則允許銀行使用這一方法。其相對于標準法修正的地方在于零售銀行及商業銀行業務條線的總收入使用前三年貸款余額的算數平均，其對應的

值再乘以一個尺度因素設置為3.5%。而其余業務條線監管資本既可以使用標準法計算，也可以使用其他業務線總收入的和乘以18%。相較于原本的標準法，由于替代標準法進一步考量了業務線操作風險的披露程度，因此該方法在準確性上要更勝一籌。替代標準法不足方面，標準法與替代標準法共同存在以下問題：①采用業務線的總收入，沒有考慮不同機構業務線的對特新，因此針對各機構操作風險的敏感性仍較弱②各業務線間存在關聯，使得這種匯總的方式會高估風險資本③不適用于大型國際活躍銀行高級計量法為了解決上述方法存在的敏感性不足的問題，巴塞爾委員會提出了高級計量法，是指銀行運用一定的定性、定量標準，通過內部操作風險評估系統計算監管資本的方法。高級計量法由于高級計量法賦予了銀行在操作風險衡量中更大的靈活性，因此能夠使用這一方法的銀行除要滿足使用標準法的條件外還要滿足以下要求：①所采用的風險內部計量系統需與巴塞爾委員會規定的操作風險范圍、《巴塞爾新資本協議》規定的損失事件類型一致。②銀行應通過計算預期損失及非預期損失的和計算監管資本要求。③所采用的的風險計量系統能夠估計影響損失分布尾部形態的主要風險因素。④銀行必須通過將操作風險估計結果匯總計算最低監管資本，只有能夠向監管當局證實機構所采用的估計系統能夠準確、有效的估計各操作風險損失間的相關性，那么方可在計算風險損失時使用其所確定的相關系數。⑤其他要素。操作風險的管理9.3操作風險管理原則1098董事會應了解本行的主要操作風險所在，把它作為一種必須管理的主要風險類別，核準并定期審核本行的操作風險管理系統。董事會要確保本行的操作風險管理系統受到內審部門全面、有效的監督。內審部門必須擁有一支獨立運作、訓練有素、業務精良的內審隊伍。高級管理層應負責執行經董事會批準的操作風險管理系統。銀行應該制定控制和/或緩釋重大操作風險的政策、程序和步驟。銀行應該制定應急和連續營業方案，以確保在嚴重的業務中斷事件中連續經營并控制住損失。銀行監管者應該要求所有的銀行，不管其大小，制定有效的制度來識別、評估、監測和控制/緩釋重大操作風險，并且作為全面風險管理方法的一部分。1234576銀行應該識別和評估所有重要產品、活動、程序和系統中固有的操作風險。銀行應該制定一套程序來定期監測操作風險狀況和重大損失風險。監管者應該直接或間接地對銀行有關操作風險的政策、程序和做法進行定期的獨立評估。監管者應該確保有適當的機制保證他們知悉銀行的進展情況。銀行應該進行足夠的信息披露，允許市場參與者評估銀行的操作風險管理方法。操作風險管理的組織為實現操作風險管理措施的有效實施，就需要金融機構設置與之匹配的責任與任務清晰的組織結構。這就要求所建立的組織結構符合下述原則：建立操作風險防范三道防線確保風險管理條線的獨立性建立平行作業的管理模式目前使用較為廣泛的操作風險管理組織模式包括集權式分權式內部稽核功能引導式操作風險識別操作風險監測操作風險評估操作風險控制操作風險報告操作風險管理流程（1）操作風險識別操作風險識別即是指金融機構在其經營管理及業務流程中對潛在的操作風險事件進行識別并分類的過程。主要包括兩方面主要工作：一是確定操作風險；二是定位風險。

具體識別過程包括：①業務、管理領域識別②業務、管理流程識別③關鍵環節識別④流程中固有風險識別⑤固有風險控制點識別⑥監控并報告識別進度（1）操作風險識別巴塞爾委員會給出的各類操作風險發生頻率及損失程度類型頻率損失程度內部欺詐低高外部欺詐高/中低/中就業政策及工作場所安全低低客戶、產品及業務操作低/中高/中實物資產損壞低低業務中斷及系統失敗低低執行、交付及管理流程高/中低（2）操作風險評估

在識別操作風險完成后，就可以對相應操作風險進行計量和評估。金融機構需要根據統一的評估標準對潛在風險事件的固有風險暴露、剩余風險暴露及控制有效性進行計量估計。通過對操作風險進行評估，幫助管理層實現對現行操作風險管理有效性進行分析；篩選出哪些風險是不可接受的，應列入風險緩釋、進行排序，并選擇相應緩釋機制。（3）操作風險監測

操作風險監測是指對與操作風險相關的各類信息、指標等進行日常監測，以實現了解及分析金融機構風險狀況，同時檢測風險控制有效性，及時發現流程、制度內控等存在的問題從而進行優化。常用的監測工具包括：關鍵風險指標（KRI）、損失數據收集（LDC）。

金融機構在對操作風行進行監測時應，因遵守如下原則：重要性原則及時性原則統一性原則謹慎性原則（4）操作風險控制

目前，金融機構主要采用的控制方法包括風險回避、風險緩釋、風險承擔及風險轉移。針對不同的頻率及損失程度的操作風險機構可以選擇不同的方法進行風險控制。（5）操作風險報告

風險報告是整個操作風險管理的最后一環，是對風險整體情況、風險事件進行描述、分析及評價，并向管理層進行反饋的過程。報告內容要涵蓋：風險評估、風險事件、風險誘因、控制狀況、KRI、資本金水平及