第五章操作風險管理第一頁，共八十八頁。操作風險2004年《巴塞爾新資本協議》率先將操作風險的衡量和管理納入金融機構的風險管理框架中，并要求金融機構為操作風險配置相應的資本。第二頁，共八十八頁。操作風險管理操作風險——由不完善或有問題的內部程序、人員及系統或外部事件所造成損失的風險。《巴塞爾新資本協議》率先將操作風險的衡量與管理納入金融機構的風險管理框架中，并要求金融機構為操作風險配置相應的資本。資本充足比率＝總資本/（信用風險＋市場風險＋操作風險）第三頁，共八十八頁。操作風險基本架構操作風險風險識別風險計量風險評估與控制風險監測與報告第四頁，共八十八頁。1.1操作風險的識別主要內容：形成操作風險的人員因素、內部流程、系統缺陷以及外部事件的種類與內容。第五頁，共八十八頁。1.1.1人員因素操作風險中的人員因素主要指因商業銀行員工發生內部欺詐、失職違規以及因員工的知識技能匱乏、核心員工流失、商業銀行違反用工法等造成損失或者不良影響而引起的風險。第六頁，共八十八頁。人員因素—內部欺詐內部欺詐是指員工故意騙取、盜用財產或者違反監管規章、法律或公司政策導致的損失。員工違法行為：內部人員作案以及內外勾結作案。第七頁，共八十八頁。人員因素—內部欺詐原因類別原因示例未經授權的活動盜竊或欺詐交易不報告交易品種未經授權（存在資金損失）頭寸計價錯誤（故意）欺詐/信貸欺詐/假存款盜竊/挪用公款/搶劫盜用資產，惡意損毀資產偽造多戶頭支票欺詐等賄賂/回扣/內幕交易等第八頁，共八十八頁。人員因素—失職違規失職違規主要指商業銀行內部員工因過失沒有按照雇傭合同、內部員工準則、相關業務及管理規定操作或者辦理業務造成的風險。主要表現：濫用職權、對客戶交易進行誤導、支配超出期限的資金額度或從事未經授權的交易等。在各商業銀行完成股改上市后，為了發展業務，可能造成基層分支機構以越權放款或化整為零，短貸長用、借新還舊等方式規避上級監管，追求片面的信貸業務增長，忽略長期風險的控制。第九頁，共八十八頁。人員因素—知識/技能匱乏意識不到專業知識的匱乏，按照主觀判斷進行工作意識到專業知識的缺乏，礙于顏面或其他原因未向管理層反映意識到本身知識上的缺乏，并據此利用該缺陷三種行為模式給商業銀行帶來經濟或者聲譽方面的損失屬于欺詐第十頁，共八十八頁。人員因素—核心雇員損失核心雇員具備商業銀行普通人員不具備的知識，掌握商業銀行大量技術和關鍵信息，如交易員、高級客戶經理等。核心雇員流失體現為對關鍵人員依賴的風險，包括缺乏足夠的后援/替代人員，相關信息缺乏共享和文檔記錄，缺乏崗位輪換機制等。第十一頁，共八十八頁。人員因素—違反員工法違反員工法是指違法就業、健康或者安全方面的法律或協議，包括勞動法，合同法等，造成個人工傷賠付或因性別/種族歧視事件導致的損失。第十二頁，共八十八頁。人員因素—違反用工法原因分析原因類別原因示例勞資關系安全/環境性別、種族歧視薪酬、福利、雇傭合同終止后的安排有組織的勞工運動一般責任，包括墜落、滑倒等違反員工健康及安全規定事件工人的勞保開支所有涉及歧視的案件第十三頁，共八十八頁。1.1.2內部流程內部流程引起的操作風險是指由于商業銀行業務流程缺失、設計不完善、或者沒有嚴格執行而造成的損失。財務/會計錯誤文件/合同缺陷產品設計缺陷錯誤監控/報告結算/支付錯誤交易/定價錯誤內部流程缺陷主要包括：第十四頁，共八十八頁。內部流程—財務/會計錯誤商業銀行內部在財務管理和會計財務處理方面存在流程錯誤，主要原因是財會制度不完善，管理流程不明晰，財會系統建設存在缺陷等。商業銀行從2007年開始根據新的會計準則進行財務制度的設計和相應管理流程的調整，有必要對相應操作風險予以關注，尤其是上市商業銀行在不良貸款撥備方面的處理。第十五頁，共八十八頁。內部流程—文件/合同缺陷文件/合同缺陷又稱為文件/合同瑕疵，是指各類文件檔案的制定、管理不善，包括不合適的或者不健全的文檔結構，以及協議中出現錯誤或者缺乏協議等，主要表現為抵押權證、房產證丟失等。作為關鍵流程的有效控制與否的證據，文件/合同歷來是各商業銀行加強檔案管理的重點。第十六頁，共八十八頁。內部流程—產品設計缺陷產品設計缺陷是指商業銀行為公司、個人、金融機構等客戶提供的產品在業務管理框架、權利義務結構、風險管理要求等方面存在不完善、不健全等問題。隨著外資商業銀行的進入，發達國家的先進金融工具會直接在我國轉化并進入市場。為了滿足客戶要求，各商業銀行會競相模仿甚至在條件方面更優惠客戶、流程更簡單，但若產品設計不合理或者執行不到位，將造成更嚴重的風險。第十七頁，共八十八頁。內部流程—錯誤監控/報告錯誤監控/報告是指商業銀行監控/報告流程不明確、混亂，負責監控/報告的部門的職責不明晰，有關數據不全面、不及時、不準確，造成未履行必要的匯報義務或者對外部匯報不準確（發生損失）。第十八頁，共八十八頁。內部流程—結算/支付錯誤結算/支付錯誤是指因商業銀行結算支付系統失靈或延遲，如現金未及時送達網點以及對方商業銀行等。國內外商業銀行均在大力推進運營與后臺支持的集中化，在流程方面即加強對前臺和中臺的控制，又重視對商業銀行總體管理的流程重整。第十九頁，共八十八頁。內部流程—交易/定價錯誤交易/定價錯誤是指在交易過程中，因未遵循操作規定，交易和定價產生錯誤。第二十頁，共八十八頁。1.1.3系統缺陷系統缺陷引發的操作風險是指由于信息科技部門或服務供應商提供的計算機系統或設備發生故障或其他原因，商業銀行不能正常提供部分、全部服務或業務中斷而造成的損失。包括系統設計不完善和系統維護不完善所產生的風險。第二十一頁，共八十八頁。1.1.3系統缺陷1.一些計算機系統中，對于閏年的計算和識別出現問題，不能把2000年識別為閏年，即在該計算機系統的日歷中沒有2000年2月29日這一天，而是直接由2000年2月28日過渡到了2000年3月1日；2.在一些比較老的計算機系統中，在程序中使用了數字串99(或99/99等)來表示文件結束、永久性過期、刪除等一些特殊意義的自動操作，這樣當1999年9月9日(或1999年4月9日即1999年的第99天)來臨時，計算機系統在處理到內容中有日期的文件時，就會遇到99或99/99等數字串，從而將文件誤認為已經過期或者將文件刪除等錯誤操作，引發系統混亂甚至崩潰等故障。第二十二頁，共八十八頁。1.1.3系統缺陷數據/信息質量風險違反系統安全規定系統設計/開發戰略風險系統的穩定性、兼容性、適宜性系統設計不完善系統維護不完善系統缺陷引發的操作風險第二十三頁，共八十八頁。系統缺陷—數據/信息質量商業銀行對數據/信息質量的管理主要是防止各類文件檔案的制定、管理不善，業務操作中的數據出現差錯，如金額、幣別等輸入錯誤。企業級數據庫的建設，如核心銀行系統、管理信息系統、全面集成的報告體系都離不開數據，數據/信息的質量是風險防范的重點之一。第二十四頁，共八十八頁。系統缺陷—違反系統安全規定系統安全包括外部系統安全、內部系統安全以及對計算機病毒和對第三方程序欺詐的防范等。違反系統安全突破存儲限制系統信息傳遞/系統修改信息傳送失敗第三方界面失敗系統無法完成任務數據、系統崩潰主要表現第二十五頁，共八十八頁。系統缺陷—

系統設計/開發的戰略風險商業銀行應當對信息系統的項目立項、開發、驗收、運行和維護實施有效管理，不能片面追求快速見效或者貪大求全，超越本行業務要求，要在戰略高度評價經營管理的需求，要慎重對待系統設計、開發全過程。第二十六頁，共八十八頁。系統缺陷—

系統的穩定性、兼容性、適宜性技術部門應當與業務部門互相協調，確保系統的整體穩定運行，核心銀行系統與相關系統有效兼容，與業務需求和管理需求保持相當的適宜性。第二十七頁，共八十八頁。1.1.2外部事件商業銀行的經營在一定的政治、經濟和社會環境中發生的，經營環境的變化，外部突發事件等都會影響商業銀行的正常經營活動，甚至發生損失。具體而言，包括外部人員故意欺詐，騙取或盜用銀行資產及違反法律而對商業銀行的客戶、員工、財務資源或聲譽可能或已造成負面影響的事件，這類事件是內部控制失敗或內部控制的薄弱環節，或是外部因素對商業銀行運作或聲譽造成的威脅。第二十八頁，共八十八頁。外部事件—外部欺詐/盜竊外部欺詐是指外部人員故意盜取、盜用財產或逃避法律而給商業銀行造成損失的行為，包括外部的盜竊、搶劫、涉槍行為；偽造、變造多戶頭支票，騙貸等行為。該類風險是給商業銀行造成損失最大、發生次數最多的操作風險。第二十九頁，共八十八頁。外部事件—洗錢洗錢是指通過各種手段將違法所得合法化的行為，例如毒品犯罪洗錢等。目前，全球反恐的推進，對商業銀行在經營過程中設定相應程序、政策以對付恐怖融資和洗錢行為提出了更高的要求。第三十頁，共八十八頁。外部事件—政治風險政治風險是指由于戰爭、征用、罷工和政府行為、公共利益集團或極端分子活動而引起的活動。例如，本國政府或者商業銀行海外機構所在地政府新興的立法，公共利益集團的持續壓力，極端組織的行動，政變、政府更替等。第三十一頁，共八十八頁。外部事件—監管規定監管規定是指未遵照金融監管當局的規定而引起的風險。在出臺新的進入監管規定或者金融監管加強，新的金融監管者發生改變，出現新的金融監管重點時，較易出現此方面的風險。具體表現主要有違反監管規定，未按時提供監管報表；國家進行宏觀調控期間，商業銀行應當及時調整有關政策，避免市場變化而給商業銀行造成風險。第三十二頁，共八十八頁。外部事件—業務外包業務外包引起的操作風險是指由于供應商的過錯而造成服務或供應中斷或者撤銷而引發的風險。具體表現為商業銀行提供產品或服務的供應商中斷，或者拒絕產品或服務的供應。例如，供電局拉閘限電，供應商破產等。第三十三頁，共八十八頁。外部事件—自然災害由于自然因素造成商業銀行財產損失，包括火災、洪水、地震等。例如，2006年中國臺灣地區地震造成海底光纜斷裂，使大陸多家商業銀行的通信和業務受到影響。第三十四頁，共八十八頁。外部事件—恐怖威脅顧名思義，恐怖活動、綁架或者爆炸等人為因素都會造成商業銀行的財產損失。第三十五頁，共八十八頁。操作風險計量與經濟資本配置巴塞爾委員會根據目前商業銀行風險經濟資本計量方法，即基本指標法、標準法和高級計量法。三種計算方法在復雜性和風險敏感性上是逐漸增強的，對于較低操作風險管理水平、尚未到達量化階段的商業銀行可以選擇簡單的指標法和標準法。高級計量法的風險敏感度相對其他兩種方法更，采用這種方法更能反映商業銀行操作風險的真實狀況，因此包括中國銀行業在內的所有商業銀行均應努力向高級計量法靠近。第三十六頁，共八十八頁。基本指標法基本指標法是以單一的指標作為衡量商業銀行整體操作風險的尺度，并以此為基礎配置操作風險資本的方法。資本計算公式：是基本指標法需要的資本表示前三年中各年為正的總收入表示前三年中總收入為正數的年數

第三十七頁，共八十八頁。標準法標準法的計量原理：將所有業務劃分為8類產品線，對每一類產品線規定不同的操作風險資本要求系數，并分別求出對應的資本，然后加總八類產品線的資本，即可得到商業銀行總體操作風險資本要求。8類產品線：公司金融、交易和銷售、零售銀行業務、商業銀行業務、支付和結算、代理服務、資產管理、零售經紀第三十八頁，共八十八頁。標準法的計量方法總資本的計量公式：表示8類產品線中各產品線過去3年的平均總收入表示由巴塞爾委員會設定的固定百分數。要求：銀行應該擁有充足的資源支持在主要產品線上和控制及審計領域采用該方法。應該擁有完整且確實可行的操作風險管理系統第三十九頁，共八十八頁。高級計量法1.商業銀行在滿足巴塞爾委員會提出的資格要求以及定性和定兩標準的前提下，通過內部操作風險計量系統計算監管資本要求。2.使用高級計量法之后，未經監管當局批準不可退回使用相對簡單的方法。3.方法主要有：內部衡量法、損失分布法、記分卡法等。第四十頁，共八十八頁。高級計量法4.高級計量法的使用要求：資格要求定性標準定量標準內部數據要求外部數據要求業務經營環境和內部控制因素第四十一頁，共八十八頁。風險評估與控制商業銀行應該制定操作風險控制程序、步驟以及方法和措施，并且以制度形式確保有關風險管理系統的內部政策能被遵循。公司治理結構、內部控制體系、合規文虎和信息系統建設對商業銀行控制操作風險至關重要。第四十二頁，共八十八頁。風險評估與控制的環境1.公司治理良好的公司治理目標：1.完善股東大會、董事會、監事會及其下設的議事和決策機構，建立議事規則和決策程序；2.明確董事會和董事、監事會和監事、高級管理層和高級經理人員在組織管理中的責任。3.建立獨立董事制度，對董事會討論事項發表客觀公正的意見。4.建立外部監事制度、對董事會、董事、高級管理層及其成員進行監督。第四十三頁，共八十八頁。風險評估與控制的環境董事會、監事會和高級管理層及相關部門職責：董事會負責批準在全行范圍內采用操作風險管理系統，并將操作風險作為主要風險來管理；負責制定風險流程每個步驟的原則或指示，并擬定相應政策；負責建立整體架構；負責管理系統的定期檢查。監事會負責對銀行遵守法規以及董事會、高管層履行職責的情況進行監督，并通過審計等手段對本行的經營決策、風險管理和內部控制等內容進行監督。第四十四頁，共八十八頁。風險評估與控制的環境高級管理層負責具體執行經董事會批準的操作風險管理系統；確保本行業務經營管理崗位稱職及權利的獨立性；確保商業銀行的薪酬政策與其風險偏好相適應；負責制定操作風險管理的政策及相關文件。風險管理部門具體執行操作風險管理系統，并制定相應的政策、程序和步驟；指導并定期檢查、評估業務條線的操作風險管理狀況；為操作風險管理開發相應的技術和方法。第四十五頁，共八十八頁。風險評估與控制的環境2.內部控制健全的內部控制是商業銀行有效識別和防范操作風險的重要手段，應該是不同要素、不同環節組成的有機體。從要素方面看，內部控制包括：內部控制環境、風險識別與評估、內部控制措施、信息交流與反饋以及監督評價與糾正五個要素。從運行方面看，內部控制是一個由決策、建設與管理、執行與操作、監督與評價、改進五個環節組成的有機系統。第四十六頁，共八十八頁。風險評估與控制的環境健全完善的商業銀行內部控制體系至少包括：1.強化內控意識，樹立內控優先的理念2.完善激勵約束機制3.提高內控制度的執行力4.加強對關鍵崗位和人員的監督約束5.提高內部審計的獨立性和有效性6.強化責任追究7.不斷完善內部控制制度和措施8.健全信息管理系統9.強化評估和反饋制度10.加強信息交流與溝通第四十七頁，共八十八頁。風險評估與控制的環境3.合規管理文化目前，違規、內部欺詐等損失事件在我國商業銀行操作風險中占比超過80%。商業銀行內控存在的最嚴重問題：內部控制的合規性問題。商業銀行應從操作風險理念的培養入手，培養合規文化，增強風險意識。第四十八頁，共八十八頁。風險評估與控制的環境合規管理文化是商業銀行在長期的發展過程中形成的，是全體員工統一于風險管理方向上的某種思想理念、價值標準、道德規范和行為方式的集合。有效的合規管理文化以商業銀行整體文化為背景，以經營價值最大化為目標，貫穿以人為本的經驗理念，有機地融合先進的風險管理技術和科學的風險管理手段。第四十九頁，共八十八頁。風險評估與控制的環境健康有效的合規管理文化包括：1.樹立正確的合規管理理念2.加強管理層的驅動作用3.充分發揮人的主導作用4.創建學習型組織第五十頁，共八十八頁。風險評估與控制的環境4.信息系統信息系統包括：主要面向客戶的業務處理系統主要供內部管理使用的管理信息系統。在操作風險管理中，信息系統的主要作用在于支持風險評估、建立損失數據庫、風險指標收集與報告、風險管理和建立資本模型等。第五十一頁，共八十八頁。某商業銀行的操作風險管理團隊操作風險管理負責人技術程序支持災難備份風險報告資本分配咨詢師技術支持行政助理災難備份咨詢程序質量保證合規監管項目管理行政助理咨詢師分析師咨詢師分析師第五十二頁，共八十八頁。風險評估要素、原則和方法商業銀行需根據情景分析等方法，綜合商業銀行業務環境和內部控制因素，對所有被識別的商業銀行所面臨的操作風險因素進行測評，以決定哪些風險可以接受，哪些風險不可接受，并加以控制或轉移。1.風險評估要素一般包括：內部操作風險損失數據、外部數據以及商業銀行業務環境和內部控制因素等方面第五十三頁，共八十八頁。風險評估要素、原則和方法1.內部操作風險損失事件數據是銀行對內部操作風險損失事件形成的損失信息進行記錄、匯總、分析的過程。損失信息包括：操作風險損失事件發生后可以標識、計量和描述該風險事件的各項數據信息。操作風險損失數據的收集要遵循：客觀性、全面性、動態性、標準化的原則。第五十四頁，共八十八頁。風險評估要素、原則和方法2.外部數據商業銀行需利用相關的外部數據來解決多數商業銀行評估操作風險時因內部損失數據有限、樣本數過少而導致統計結果失真的問題。外部數據信息應包括：實際損失金額數據、發生損失事件的業務范圍信息、損失事件發生的原因和情況，或者其他有助于評估商業銀行損失事件的業務范圍信息。第五十五頁，共八十八頁。風險評估要素、原則和方法3.業務環境和內部控制環境為了滿足監管資本的要求，商業銀行需符合：將每一個因素調整為有意義的風險要素，應基于實際經驗，并征求專家對相關業務領域的意見。商業銀行對這些因素變動的敏感度和不同因素相對權重的設定必須合理。該框架及各種實施情況，包括針對實際評估做出調整的理由，都應當有文件支持，并接受商業銀行內部和監管當局的獨立審查。第五十六頁，共八十八頁。風險評估的原則操作風險評估過程一般從業務管理和風險管理兩個層面開展，其遵循的原則一般包括由表及里、自下而上和從已知到未知三種。1.由表及里原則。具體劃分為：非流程風險、流程環節風險、控制派生風險非流程風險：由政策、管理模型等系統性原因產生，如人力資源配置不當等風險。流程環節風險：是流程環節所固有的操作風險因素，如欺詐、操作失誤等風險。控制派生風險：流動中控制環境所派生的操作風險因素，如增加人工授權環境后所派生的內部欺詐風險。第五十七頁，共八十八頁。風險評估的原則2.自下而上原則商業銀行的基層機構和經營管理過程中的基礎環節。3.從已知到未知原則操作風險識別與評估要從已知的風險逐步延伸到未知的風險。第五十八頁，共八十八頁。風險評估的方法操作風險識別與評估的主要方法包括自我評估法、損失時間數據方法和流程圖等。自我評估法是在商業銀行內控體系上，通過開展全員風險識別、識別出全行經營管理中存在的風險點，并從損失金額和發生概率兩個角度評估風險大小。自我評估的主要目標是鼓勵各級機構承擔責任及主動對操作風險進行識別和管理。第五十九頁，共八十八頁。風險評估的方法自我評估的作用開展操作風險和內部控制的自我評估，對商業銀行經營管理將起到以下幾個方面的作用：1.建立覆蓋商業銀行各類經營管理的操作風險動態識別評估機制，實現操作風險的主動識別和內部控制持續優化2.不斷優化和完善各類經營管理作用流程，平衡風險與收益，提升商業服務效率和盈利能力3.在自我評估基礎上，可以建立操作風險事件數據庫，構建操作風險日常監測的基礎平臺第六十頁，共八十八頁。風險評估的方法4.為建立操作風險管理的關鍵風險指標體系和操作風險計量奠定基礎5.為案件防差工作提供方法和技術支持，使案件專項治理工作成為長期任務融入商業銀行日常管理之中，從源頭上控制案件隱患及風險損失6.促進操作風險管理文化的轉變，通過全員風險識別，提高員工參與操作風險管理的主動性和積極性。第六十一頁，共八十八頁。風險評估的方法自我評估的工具和方法在開展操作風險與內部控制評估工作的過程中，可以依據評審對象的不同，將各種方法結合使用。通過操作風險與內控控制自我評估運用的方法：流程分析法、情景模擬法、引導會議法、德爾菲法以及調查問卷法等。在操作風險與內部控制評估過程中，可以借助的資料和工具有：操作風險定義及損失事件分類、操作風險損失事件歷史數據、各類業務檢查報告等。第六十二頁，共八十八頁。風險評估的方法自我評估的工作流程：1.全員風險識別與報告2.作業流程分析和風險識別與評估3.控制活動識別與評估4.報告自我評估工作和日常監控5.報告自我評估工作和日常監控第六十三頁，共八十八頁。主要業務風險控制根據商業銀行目前的業務范圍和各商業銀行的業務運作架構，本部分從柜臺業務、法人信貸業務、個人信貸業務、資金交易業務和代理業務五個方面縫分析商業銀行的操作風險點及其控制措施。第六十四頁，共八十八頁。主要業務操作風險控制1.柜臺業務商業銀行柜面辦理的業務，是商業銀行各項業務操作的集中體現，也是最容易引發操作風險的業務環節。柜臺業務范圍較廣，包括：賬戶管理、存取款、現金庫箱、印押證管理、票據憑證審核、會計核算、賬務處理等各項操作。第六十五頁，共八十八頁。主要業務操作風險控制柜臺業務的各項操作風險點：1.賬戶開立、使用、變更與撤銷2.現金存取款3.柜員管理4.重要憑證和重要物品管理5.現金庫箱管理6.平帳和賬務可對7.抹帳、錯賬沖正、掛帳、掛失業務第六十六頁，共八十八頁。主要業務操作風險控制柜臺業務操作風險的成因：輕視柜臺業務內控管理和風險防范規章制度和業務操作流程本身存在漏洞因人手緊張而未嚴格執行換人復核制度柜臺人員安全意識不強，缺乏崗位制約和自我保護意識柜員工作強度大，收入不高，工作缺乏熱情和責任感第六十七頁，共八十八頁。主要業務操作風險控制柜臺業務操作風險控制要點:1.完善規章制度和業務操作流程，不斷細化操作細則，并建立崗位操作規范和操作手冊2.加強業務系統建設，盡可能將業務納入系統處理，并在系統中自動設立風險監控要點，發現操作中的風險點能及時提供警示信息。3.加強崗位培訓，特別是新業務和新產品培訓，不斷提高柜員操作技能和業務水平，同時培養柜員崗位安全意識和自我保護意識4.強化一線實時監督，促進事后監督向專業化、規范化邁進，改進檢查監督方法5.嚴格執行各項柜臺業務規定。第六十八頁，共八十八頁。主要業務操作風險控制2.法人信貸業務商業銀行經營的以企業/機構客戶為服務對象的信貸業務，包括法人客戶貸款業務、貼現業務、商業銀行承兌匯票等業務。按照法人信貸業務的流程，可分為評級授信、信貸調查、信貸審查、信貸審批、貸款發放、貸后管理六個環節。風險成因：片面追求信貸市場份額；信貸制度不完善，缺乏監督制約機制；信貸操作不規范，依法管貸意識不強等第六十九頁，共八十八頁。主要業務操作風險控制3.個人信貸業務包括個人住房按揭貸款、個人大額耐用消費品貸款、個人生產經營貸款和個人質押貸款等多個業務品種。主要操作風險點：個人住房按揭貸款：未盡職調查客戶資料而發放貸款個人大額耐用消費品貸款：內部人員編造、竊取客戶資料，冒名騙取貸款個人生產經營貸款：不了解貸款申請人的生產經營狀況和信用狀況個人質押貸款：未對保單等質押物進行真實性驗證第七十頁，共八十八頁。主要業務操作風險控制4.資金交易業務商業銀行為滿足客戶保值或提高自身資金收益或防范市場風險等方面的需要，利用各種金融工具進行的資金或交易活動，包括資金管理、資金存放、資金拆借、債券買賣、外匯買賣、黃金買賣、金融衍生產品交易等業務。從資金交易業務流程來看，可分為前臺交易、中臺風險管理、后臺清算三個環節。第七十一頁，共八十八頁。主要業務操作風險控制主要操作風險點：前臺交易：交易員超過交易授權或超過限額交易；交易員虛假交易和未報告的交易中臺風險管理：交易協議審查不嚴，簽訂不利于己方的合同條款；為及時檢測和報告交易員的超權限奇偶阿姨和重大頭寸變化后臺結算清算：交易結算不及時或交易清算交割金額計算有誤；因錄入錯誤而錯誤清算資金第七十二頁，共八十八頁。主要業務操作風險控制資金交易業務的操作風險成因：風險防范意識不足，認為資金交易業務主要是市場風險，操作風險不大；內控薄弱，部門及崗位設置不合理，規章制度滯后；電子化建設緩慢，缺乏相應的業務處理系統和風險管理系統等。第七十三頁，共八十八頁。主要業務操作風險控制5.代理業務商業銀行接受客戶委托，代為辦理客戶指定的經濟事務、提供金融服務并收取一定費用的業務，包括代理政策性銀行業務、代理中國人民銀行業務、代理商業銀行業務、代收代付業務、代理證券業務、代理保險業務、代理其他銀行的銀行卡收單業務等。第七十四頁，共八十八頁。主要業務操作風險控制代理業務的主要操作風險點：人員因素：業務人員貪污或截留手續費外部事件：委托方偽造收付款憑證騙取資金內部流程：未對業務中的風險進行披露，不當利用重要內幕信息建議他人買賣證券等。系統缺陷：計算機系統缺陷、業務應急計劃不力造成代理業務中的數據丟失而引發損失。第七十五頁，共八十八頁。操作風險的分類根據商業銀行管理和控制操作風險的能力，可將操作風險劃分為：1.可規避的操作風險2.可降低的操作風險3.可緩釋的操作風險4.應承擔的操作風險第七十六頁，共八十八頁。操作風險的分類可規避的操作風險：商業銀行可以通過調整業務規模、改變市場定位、放棄某些產品等措施讓不再出現的操作風險。可降低的操作風險：可以通過采取有力的內控措施來降低風險發生頻率。如輪崗制、差錯率考核等可緩釋的操作風險：商業銀行往往很難規避和降低，當可以通過制定應急和連續營業方案、購買保險、業務外包等方式將風險轉移或緩釋。如搶劫、高管欺詐等。第七十七頁，共八十八頁。風險緩釋連續營業方案：由于不可控制的因素，引起商業銀行無法履行部分或全部業務職責，從而帶來重大經濟損失。要求商業銀行監理災難應急恢復和業務連續方案，考慮商業銀行可能遭受的各種可能情形，同時，方案應該與商業銀行經營的規模和復雜性相適應。持續經營計劃應是一個全面的計劃，強調操作風險識別、緩釋、恢復以及持續計劃，具體包括業務和技術風險評估、面對災難時的風險緩釋措施、常年持續性的恢復程序和計劃、恰當的治理結構等方面。第七十八頁，共八十八頁。風險緩釋保險：保險作為操作風險緩釋的有效手段，一直是西方商業銀行操作風險管理的重要工具。雖然沒有一種保險產品能夠覆蓋所有操作風險，但很多操作風險能夠被特定的保險產品所轉移。商業銀行一攬子保險：承保商業銀行內部盜竊和欺詐以及外部欺風險。財產保險：承保由于火災、雷電、爆炸等自然災害引起的被保人財產損失、電子保險：承保由于電子設備自身的脆弱性所引發的風險損失。第七十九頁，共八十八頁。風險緩釋業務外包：將相關業務轉交給較高技能和規模的其他機構來管理。商業銀行業務外包主要有：技術外包、處理程序外包、業務營銷外包、某些專業性外包、后勤性事務外包。業務外包不能減少董事會和高級管理層確保第三方行為的安全穩健及遵守相關