（导航）商业银行操作风险管理——导航

4、商业银行操作风险管理 #

（一）操作风险的主要特征

（一）操作风险主要来源于银行业务经营，操作风险大多是银行可控范围内的内生风险。 #

（2）对于信用风险和市场风险，风险和收益之间存在一一对应关系，但这种关系并不一定适用于操作风险。 大多数情况下，操作风险损失与收益的产生并不必然相关。 #

（3）操作风险包括多种不同类型，如信息技术风险、欺诈风险等，使其成为难以界定的残值风险，并且许多新的风险将不断纳入其中。

中国银监会2007年5月发布的《商业银行操作风险管理指引》将操作风险定义为因内部程序、员工和信息技术系统不完善或有问题以及外部事件造成损失的风险。 本定义所称操作风险包括法律风险，但不包括战略风险和声誉风险。 #

（二）操作风险的主要类型 #

根据风险发生的频率和损失的大小，巴塞尔委员会将操作风险分为七类：①内部欺诈。 金融机构内的个人参与欺诈、盗窃资产或违反法规、法律或政策而造成的损失。 ②外部欺诈。 因第三方欺诈、挪用资产或违法行为造成的损失。 ③劳动合同和工作条件引起的风险。 因违反雇佣、健康和安全法律或协议而造成的损失，以及人身伤害赔偿、差别待遇索赔。 ④由客户、产品和业务活动引起的风险。 由于疏忽或粗心、无法满足客户的特定需求、或者由于产品性质或设计问题而导致的错误。 ⑤有形资产损失。 由于灾难或其他事件造成的有形财产损失。 ⑥业务中断和系统错误。 业务异常、系统错误造成的损失。 ⑦涉及执行、交付和流程管理的风险。 因交易处理或流程管理失误以及交易对手关系破裂而造成的损失。 #

（3）操作风险计量指标 #

操作风险指标衡量由不完善的内部程序、操作员错误或欺诈以及外部事件引起的风险。 表示为操作风险损失率，即操作造成的损失与前三个时期净利息收入加非利息收入平均数的比率。 。 #

（四）操作风险管理措施

#

2010年12月，巴塞尔银行监管委员会（BCBS）在总结近年来操作风险管理和监管实践经验的基础上，发布了《操作风险管理和监管良好实践》，明确了监管机构对操作风险的认识。 。 监管责任，指出银行应建立应对操作风险的三道防线。

一、监管机构的任务

（一）建立评价机制。 监管机构应建立适当的机制，直接或间接地对银行涉及操作风险的政策、程序和系统进行定期、独立的评估，并了解银行的发展情况。 #

（二）监管评估范围。 操作风险的监督评估应涵盖理论上涉及操作风险管理的所有领域。 如果被监管银行是金融集团的成员，监管机构应督促该金融集团采取适当、统一的方法来管理操作风险。 在进行此类评估时，监管机构需要与其他监管机构合作并交换信息，或者选择使用外部审计师来完成此类评估。 #

（三）制定监管措施。 监管机构可以通过一系列监管措施纠正监管评估过程中发现的银行操作风险管理缺陷。 因此，监管机构必须使用与银行及其经营相匹配的监管工具，并应建立银行和外部审计机构的报告机制，确保其能够及时获取操作风险的相关信息。 #

（四）鼓励银行不断完善内部管理。 监管机构可以对银行操作风险管理的开展情况进行监测和评价，分析影响其有效性的原因，并与其他银行的情况进行比较后提供反馈，帮助银行了解和改进自身的管理状况。 #

2、银行操作风险管理的三道防线

#

(1)业务条线管理。 即明确各业务部门人员识别和管理银行产品、服务和活动固有风险的职责。 这是操作风险管理的第一道防线。 #

（二）独立的法人操作风险管理部门。 公司操作风险管理部门作为业务条线管理的有效补充银行风险管理，是操作风险管理的第二道防线。 其独立程度根据银行规模而有所不同，其主要职责是审查业务线的输入和输出、银行的风险管理、风险计量和报告系统。 #

（三）独立评估和审查。 操作风险管理的第三道防线是对银行的操作、操作风险管理程序和系统进行独立评估和审查。 进行此类评估和审查的人员必须经过培训并且是独立的。 必要时银行风险管理，银行可引入有资质的外部机构参与评估和审核。

#

决定上述三道防线的结构和活动的因素包括：银行产品和服务的资产组合； 银行的规模； 以及银行的风险管理方法。 此外，浓厚的风险文化、三道防线的协调性以及内部审计的独立性和实力对银行操作风险管理的有效性也有重要影响。