5.3 操作风险评估与控制

5.3.1 风险评估与控制环境

1.公司治理

良好的公司治理目标：

①完善股东大会、董事会、监事会及其下设的议事和决策机构，建立议事规则和决策程序;

②明确董事会和董事、监事会和监事、高级管理层和高级经理人员在组织管理中的责任;

③建立独立董事制度，对董事会讨论事项发表客观公正的意见;

④建立外部监视制度，对董事会、董事、高级管理层及其成员进行监督。

董事会、监事会和高级管理层及内部相关部门在防范和控制操作风险方面所承担的职责。

2.内部控制

健全的内部控制体系是商业银行有效识别和防范操作风险的重要手段。加强内部控制建设是商业银行管理操作风险的基础，巴塞尔委员会认为，资本约束并不是控制操作风险的最好方法，对付操作风险的第一道防线是严格的内部控制。

3.合规管理文化

目前，违规、内部欺诈等损失事件在我国商业银行操作风险中占比超过80%，这说明我国商业银行内部控制存在的最严重问题是制度的遵循性，也就是内部控制的符合性或者合规性问题。

健康有效的合规管理文化至少包括以下几方面的内容：

一是要树立正确的合规管理理念;二是加强管理层的驱动作用;三是充分发挥人的主导作用;四是创建学习型组织。

4.信息系统

商业银行信息系统包括主要面向客户的业务处理系统和主要供内部管理使用的管理信息系统。

1.风险评估要素

一是内部操作风险损失事件数据。内部操作风险损失数据收集是商业银行对内部操作风险损失事件形成的损失信息记录、汇总、分析的过程。操作风险损失数据的收集要遵循客观性、全面性、动态性、标准化的原则。

客观性

全面性

动态性

标准化

(1)损失数据收集的内容

①总损失数额信息;

②损失事件发生的时间、发生的单位信息;

③总损失中收回部分信息;

④损失事件发生的主要原因的描述信息(描述信息的详细程度应与总损失规模相称)。

(2)损失数据收集的流程

(3)损失数据收集的步骤

二是外部数据。由于那些可能危及商业银行安全的低频率、高损失事件是很稀少的，所以，必须利用相关的外部数据(无论是公开数据还是行业整合数据)来解决多数商业银行评估操作风险时因内部损失数据有限、样本数过少而导致统计结果失真的问题。

使用外部数据必须配合采用专家的情景分析，求出严重风险事件下的风险暴露。

三是业务环境和内部控制因素。

为了满足监管资本的要求，商业银行在风险计量框架中使用这些因素时，须符合以下标准;

①要将每一个因素调整为有意义的风险要素，应基于实际经验，并征求专家对相关业务领域的意见。

②在风险评估中，商业银行对这些因素变动的敏感度和不同因素相对权重的设定必须合理。

③该框架及各种实施情况，包括针对实际评估作出调整的理由，都应当有文件支持，并接受商业银行内部和监管当局的独立审查。

2.风险评估原则

由表及里原则。具体可以划分为：非流程风险、流程环节风险和控制派生风险。

自上而下原则。

从已知到未知原则。

3.风险评估方法

操作风险识别与评估的主要方法包括自我评估法、损失事件数据方法和流程图等。其中，运用最广泛、方法最成熟的自我评估法被称为操作管理的三大基础管理工具之一。

(1)自我评估法的原则

自我评估法就是在商业银行内部控制体系的基础上，通过开展全员风险识别，识别出全行经营管理中存在的风险点，并从损失金额和发生概率两个角度来评估风险大小。

自我评估的主要目标是鼓励各级机构承担责任及主动对操作风险进行识别和管理。

(2)自我评估的作用

(3)自我评估的工具和方法

(4)自我评估的工作流程

第一阶段：全员风险识别与报告。

第二阶段：作业流程分析和风险识别与评估。作业流程分析和风险识别与评估是进行控制措施识别与评估的基础和前提。