操作风险广泛存在于金融机构的各业务和管理的各个领域,具有普遍性和非营利性,不能给金融机构带来盈利。其具有如下特征:
一
具体性
操作风险不能用一种方法对其进行准确的识别和计量,因为其存在于金融机构的各类业务操作中,涵盖所有业务,操作风险事件前后之间有关联,但是单个的操作风险因素与操作性损失之间并不存在可以定量界定的数量关系,个体性较强。
二
分散性
操作风险与各类风险相互交叠,涉及面广,因此操作风险管理不可能由一个部门完成,必须建立操作风险管理的框架体系
三
差异性
不同业务领域操作风险的表现方式不同,业务规模小、交易量小、结构变化不太迅速的业务领域,操作风险造成的损失不一定低,但是发生操作风险的频率相对较低;而业务规模大、交易量大、结构变化迅速的业务领域,受到操作风险冲击的可能性也大
四
复杂性
引起操作风险的因素较复杂,如产品的复杂性、产品营销渠道的拓展、人员流动以及规章制度的变化等都可能引起操作风险,而通常可以监测和识别的操作风险,与由此可能导致损失的规模、频率之间不存在直接关系,常常带有鲜明的个案特征
五
内生性
六
转化性
操作风险是基础性风险,对其他类别风险,如信用风险、市场风险等有重要影响,操作风险管理不善,将会引起风险的转化,导致其他风险的产生
金融机构对其面临的各项操作风险进行正确分类,是建立有效的操作风险识别体系的重要基础。按照操作风险损失事件类型,操作风险可分为七大类:
内部欺诈
故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失,此类事件至少涉及内部一方,但不包括歧视及差别待遇事件
1、故意隐瞒交易
3、故意错误估价
4、其他
盗窃和欺诈
1、欺诈、信用欺诈、不实存款
2、盗窃、勒索、挪用公款、抢劫
3、盗用资产
4、恶意损坏资产
5、伪造
6、支票欺诈
7、走私
8、窃取账户资金、假账、假冒开户人等
9、违规纳税、故意逃税
10、贿赂、回扣
11、内幕交易
12、其他
外部欺诈
第三方故意骗取、盗用财产或逃避法律导致的损失
1、盗窃、抢劫
2、伪造
3、支票诈骗
系统安全性
1、黑客攻击损失
2、窃取信息造成资金损失
3、其他
就业制度和工作场所安全事件
违反劳动合同法、就业、健康或安全方面的法规或协议,个人工伤赔付或因歧视及差别待遇事件导致的损失
劳资关系
1、薪酬、福利、劳动合同终止后的安排
2、有组织的工会活动
环境安全性
1、一般性责任
2、违反员工健康及安全规定
3、劳方索偿
歧视及差别待遇事件
客户、产品和业务活动事件
因未按有关规定造成未对特定客户履行份内义务(如诚信责任和适当性要求)或产品性质或设计缺陷导致的损失事件
适当性、披露和诚信事件
1、违背诚信责任、违反规章制度
2、适当性及披露问题
3、未尽向客户进行信息披露
4、泄露隐私
5、强制推销
6、为多收手续费反复操作客户账户
7、保密信息使用不当
8、其他
不良的业务和市场行为
1、垄断
2、不良交易和市场行为
3、操纵市场
4、内幕交易
5、未经有效批准的业务活动
6、洗钱
7、其他
产品瑕疵
1、产品缺陷
2、模型错误
客户选择、业务推介和风险暴露
1、未按照规定审查客户信用
2、对客户超风险限额
咨询业务
实物资产的损坏
因自然灾害或其他事件(如恐怖袭击)导致实物资产丢失或毁坏的损失事件
自然灾害
外力(恐怖袭击、故意破坏)造成的人员伤亡和损失
信息科技系统事件
因信息科技系统生产运行、应用开发、安全管理以及由于软件产品、硬件设备、服务提供商等第三方因素,造成系统无法正常办理业务或系统速度异常所导致的损失事件
硬件
软件
网络或通讯线路
动力输送损耗或中断
其他
七
执行、交割和流程管理事件
因交易处理或流程管理失败,以及与交易对手方、外部供应商及销售商发生纠纷导致的损失事件
交易认定、执行和维护
1、错误传达信息
2、数据录入、维护或登载错误
3、超过最后期限或未履行义务
4、模型/系统误操作
5、账务处理错误、交易归属错误
6、其他任务履行错误
7、交割错误
8、担保品管理失效
10、其他
监控和报告
1、未履行强制报告职责
2、外部报告不准确导致损失
招揽客户和文件记录
2、法律文件缺失/不全备
个人/企业客户账户管理
1、未经批准登陆账户
2、客户信息记录错误导致损失
3、因疏忽导致客户资产损失
交易对手方
1、与同业交易处理不当
2、与同业交易对手方的争议
外包纠纷与风险
操作风险损失一般包括直接损失和间接损失,一起操作风险损失事件可能发生多形态的损失。
法律成本
因发生操作风险事件引发法律诉讼或仲裁,在诉讼或仲裁过程中依法支出的诉讼费用、仲裁费用及其他法律成本。如违反知识产权保护规定等导致的诉讼费、外聘律师代理费、评估费、鉴定费等
监管罚没
因操作风险事件所遭受的监管部门或有权机关罚款及其他处罚。如违反产业政策、监管法规等所遭受的罚款、吊销执照等
资产损失
由于疏忽、事故或自然灾害等事件造成实物资产的直接毁坏和价值的减少。如火灾、洪水、地震等自然灾害所导致的账面价值减少等
对外赔偿
由于内部操作风险事件,导致金融机构未能履行应承担的责任造成对外的赔偿。如因金融机构自身业务中断、交割延误、内部案件造成客户资金或资产等损失的赔偿金额
追索失败
账面减值
其他损失
由于操作风险事件引起的其他损失
操作风险管理首先从识别金融机构业务活动、政策和流程中的风险开始。操作风险识别对开发操作风险监测和控制系统至关重要,可以对风险控制或缓释机制的建立,保证管理当局了解操作风险事件起到重要作用。
操作风险识别是指通过一定的标准和手段,鉴别分析业务活动中可能导致操作风险的隐患和产生风险的环节点,确定风险的性质、种类以及风险产生的原因与影响程度的过程。
操作风险识别应该以当前和未来潜在的操作风险两方面为重点,考虑潜在操作风险的整体情况、金融机构运行所处的内外部环境、银行的战略目标、银行提供的产品和服务、银行的独特环境因素、内外部的变化以及变化的速度等。
金融机构操作风险识别包括事前识别和事后识别。事前识别是操作风险事件还没有发生时,在内含风险暴露基础上进行的识别,主要通过对每个产品线的操作流程以及工作人员、技术、外部环境进行分析,找出存在潜在风险的环节和部位。事后识别是在操作风险事件发生后,根据金融机构操作风险定义和事件分类标准,确定风险事件是否为操作风险及其所属类别,并分析发生的原因和产生的影响。
金融机构可借助因果分析模型,对所有业务岗位和流程中的操作风险进行全面且有针对性的识别,并建立操作风险成因和损失事件之间的关系。
在综合自我评估结果和各类操作风险报告的基础上,利用因果分析模型能够对风险损失、风险成因和风险类别进行逻辑分析和数据统计,进而形成三者之间相互关联的多元分布。
因果分析模型可以识别哪些风险因素与风险损失具有最高的关联度,使得操作风险识别、评估、控制和监测流程变得更加有针对性和效率。在实践中,商业银行通常先收集损失事件,然后识别导致损失的风险成因,方法包括实证分析法、与业务管理部门会谈等,最终获得损失事件与风险成因之间的因果关系。
风险识别的内容主要包括对潜在风险的识别和已暴露风险的识别。潜在风险识别是对金融机构业务活动中的潜在风险点进行的识别,包括内部流程、人员、技术中的弱点和不足,也包括外部环境可能对经营活动产生的潜在不利影响。金融机构通常会对所有重要产品、活动、程序和系统中内含的潜在操作风险进行定期识别。在引进新产品、采取新程序和系统之前,或者上述内容发生重大变化时,须对其潜在操作风险进行单独识别。已暴露风险的识别主要是针对已发生的风险事件所做的鉴别分析,识别的内容不仅包括事件的性质,还包括事件是否会造成影响,可能造成什么影响,是直接损失还是间接损失,以及事件产生的深层次原因。
风险与控制自我评估(RCSA)是主流的操作风险评估工具,旨在防患于未然,对操作风险管理和内部控制的适当程度及有效性进行检查和评估。金融机构对自身经营管理中存在的操作风险点进行识别,评估固有风险,再通过分析现有控制活动的有效性,评估剩余风险,进而提出控制优化措施的工作。风险与控制自我评估的内容主要包括固有风险、控制措施、剩余风险三个组成部分,其原理为“固有风险-控制措施=剩余风险”:
固有风险
在没有任何管理控制措施的情况下,经营管理过程本身所具有的风险。金融机构通常要评估所有重要产品、活动、程序和系统中固有的操作风险,在新产品、新活动、新流程和新系统投产或引入前,也要充分评估其固有风险
控制措施
通过建立良好的内部控制机制和有效的内部控制手段,以保证充分识别经营过程中的固有风险,并对已识别风险及时进行适当控制。银行的控制措施应合理到位,才能够有效缓解或规避风险
剩余风险
在实施了旨在改变风险可能性和影响强度的管理控制活动后,仍然保留的风险
操作风险评估包括准备、评估和报告三个步骤。
准备阶段
1.制定评估计划
2.识别评估对象
操作风险评估的对象通常为“业务流程”和“管理活动”,在特定情况下,也可能是某个特定的操作风险事件。
3.绘制流程图
应遵循业务步骤的逻辑顺序,标明手工或自动化操作环节、运用的系统名称、与
外部供应商或其他业务流程的交接点等信息。
4.收集评估背景信息
评估前应收集尽可能多的操作风险信息,包括内外部损失数据、检查发现的问题、重大风险事件、监管机构的风险提示等。
评估阶段
1、识别主要风险点
2、召开会议
3、开展评估
一是固有风险评估。对金融机构所面临的每个操作风险点都必须进行固有风险分析。通常用发生频率和损失严重度矩阵来分析固有风险。
二是控制有效性评估。固有风险评级后,需要识别有助于减少其发生频率和严重度的控制活动。评估控制活动有效性要从控制的设计和控制的实施两方面进行,确定控制有效性评级。
三是剩余风险评估。综合考虑固有风险评级和控制有效性评级,根据“固有风险暴露-控制有效性=剩余风险暴露”原则确定剩余风险评级。
4、制定改进方案
根据风险和收益匹配原则,对不同水平的剩余风险相应采取规避风险、转移风险、降低风险和承担风险等措施。
报告阶段
1、整合结果
2、双线报告
各部门自我评估后,应填制操作风险自我评估工作表,向上级对口部门和同级操作风险管理部门报告,商业银行总行操作风险管理部门负责整理全行自我评估报告。
操作风险监测是针对评估发现的关键风险单元,通过设计关键风险指标及门槛值,对关键风险因素进行量化、跟踪,及时掌握风险大小的变化和发布操作风险提示信息,以降低损失事件发生频率和影响程度的过程。
金融机构建立关键风险指标开展操作风险监测工作,关键风险指标是代表某一业务领域操作风险变化情况的统计指标,是识别操作风险的重要工具。关键风险指标通常包括交易量、员工水平、技能水平、客户满意度、市场变动、产品成熟度、地区数量、变动水平、产品复杂程度和自动化水平等。设计良好的关键风险指标体系要满足整体性、重要性、敏感性、可靠性原则,且须明确数据口径、门槛值、报告路径等要素。
一是在整体性方面,监测工作要能够反映操作风险全局状况及变化趋势,揭示诱发操作风险的系统性原因,实现对金融机构操作风险状况的预警。
二是在重要性方面,监测工作要提示重点地区、重点业务、关键环节的操作风险隐患,反映金融机构操作风险的主要特征。
五是在有效性方面,监测工作要根据经营发展和风险管理战略不断发展和完善,指标是开放的、动态调整的,监测工作要持续、有效。
关键风险指标法可选择已经识别出来的主要操作风险因素,并结合金融机构的内、外部操作风险损失事件数据形成统计分析指标,用于评估金融机构整体的操作风险水平。这一方法的难点在于对各项关键指标设定合理的阈值,即风险指标处于何种范围之内可以被认为是处于较低风险水平、中等风险水平或较高风险水平,并针对不同评估结果采取何种适当的风险控制措施。具体来看,关键风险指标监测由设置关键风险指标,监测分析、报告关键风险指标,更新关键风险指标等步骤组成。具体步骤如下:
识别与定义关键风险指标
对所选取的每一个关键风险信息设置足够的备选关键风险指标,以便后续阶段从备选关键风险指标中筛选可供执行的关键风险指标
设置关键风险指标阈值
指标管理部门根据业务实践和管理经验,判断关键风险指标所对应的阈值模式,并设置关键风险指标阈值。指标管理部门需结合业务实践和管理经验,本着谨慎性原则设定关键风险指标阈值,并依据关键风险指标实际表现及一段时期内变动趋势,对关键风险指标阀值进行调整和改进
确认关键风险指标
指标管理部门对最终选取的关键风险指标信息要素(包括定义、数据和阀值等信息)进行确认,并明确后续监测和报告工作的要点,主要包括记录所设定的关键风险指标、完成关键风险指标信息模板、审批关键风险指标等三个步骤
监测和分析关键风险指标
指标管理部门定期计算关键风险指标的结果,并对指标结果进行分析,以了解关键风险指标的表现及其所反映的操作风险管理现状。关键风险指标数据的收集及监测频率应满足风险监测的需要,原则上不低于每季度一次,并尽量采取更高的监测频率
制订优化或整改方案
指标管理部门依据关键风险指标的监测结果及预警信号,对所有关键风险指标突破阈值的情况进行分析,判断是否需要制订优化或整改方案
报告关键风险指标
指标管理部门按照一定频率定期报告关键风险指标的监测和分析结果(及制订的优化或整改方案)
关键风险指标更新
指标管理部门对关键风险指标要素(指标名称、内容、阀值和数据要求等)及体系运行的质量和效果进行验证,对关键风险指标的工作流程进行检查
一是重要性原则。在统计操作风险损失事件时,要对损失金额较大和发生频率较高的操作风险损失事件进行重点审查和确认,要对重点地区、重要业务线及产品的操作风险损失事件进行认真识别和监测。
二是准确性原则。应及时确认、完整记录、准确统计因操作风险事件导致的实际资产损失,避免因提前或延后造成当期统计数据不准确。对因操作风险损失事件带来的声誉影响,要及时分析和报告,但不要求量化损失。
三是统一性原则。操作风险损失事件的统计标准、范围、程序和方法要保持一致,以确保统计结果客观、准确及可比。
四是谨慎性原则。对操作风险损失进行确认时,要保持必要的谨慎,应进行客观、公允统计,准确计量损失金额,不得出现多计或少计操作风险损失的情况。
损失收集工作要明确损失的定义、损失形态、统计标准、职责分工和报告路径等内容、保障损失数据统计工作的规范性。为确保数据收集的审慎性、准确性和适当性,银行须从以下方面进一步规范数据管理工作。
二是要建立适当的数据阈值,可就数据收集和建模制定不同阈值,但应避免建模阈值大大高于收集阈值,并就阈值情况进行合理解释说明。
三是分析不同数据采集时点的差异,包括发生日、发现日、核算日(准备计提日)等。
四是明确合并及分拆规则,如一次事件多次损失、有因果关系的多次损失等。
金融机构应确定操作风险损失数据收集的流程及报送路线,并对涉及的各个环节进行详细说明,损失数据收集主要包括如下核心环节。
一是损失事件识别。主要是明确损失数据收集范围,同时判断损失金额是否达到损失数据收集门槛;只有属于是由操作风险引起且事件的损失金额达到损失数据收集门槛的,才予以收集。
四是损失事件信息审核。确认损失事件信息的要素是否完整、描述性信息是否全面、内容是否准确。操作风险管理牵头部门应对每个损失事件信息的完整性和事件属性的准确性进行审核。损失事件的更新信息及结束信息的审核遵循初次填报相同的审核要求。
根据风险和收益匹配原则,金融机构一般选择四种策略控制操作风险。即降低风险(通过风险管理、内部控制程序对各风险环节进行控制,减少操作风险发生的可能性,降低风险损失的严重程度);承受风险(对无法降低又无法避免的风险,如人员、流程、系统等引起的操作风险,采取承担并通过定价、拨备、资本等方式进行主动管理);转移或缓释风险(通过外包、保险、专门协议等工具,将损失全部或部分转移至第三方);回避风险(通过撤销危险地区网点、关闭高风险业务等方式进行规避)。
操作风险缓释是在量化分析风险点分布、发生概率和损失程度的基础上,采用适当的缓释工具,限制、降低或分散操作风险。目前,主要的操作风险缓释手段有业务连续性管理计划、商业保险和业务外包等。
业务连续性管理计划
当金融机构的营业场所、电力、通信、技术设备等因不可抗力事件而严重受损或无法使用时,金融机构可能因无力履行部分或全部业务职责遭受重大经济损失,甚至个别金融机构的业务中断可能造成更广泛的系统性瘫痪。面临此类低频高损事件的威协,金融机构应当建立完备的灾难应急恢复和业务连续性管理应急计划,涵盖可能遭受的各种意外冲击,明确那些对迅速恢复服务至关重要的关键业务程序,包括依赖外包商服务,明确在中断事件中恢复服务的备用机制。
巴塞尔委员会2006年发布了《业务连续性业务原则》,要求商业银行董事会和高管层共同承担银行业务连续性管理职责;各金融机构应对可能发生的重大业务中断有青晰的思考和计划,并将其包括在业务连续性管理中;金融机构应建立明确的恢复目标;金融机构应对业务连续性计划进行测试,评价有效性,进行更新。《商业银行操作风险管理指引》中指出,“商业银行应当制定与其业务规模和复杂性相适应的应急和业务连续方案”。《商业银行资本管理办法(试行)》也规定“商业银行应当制定全行统一的业务连续性管理政策措施,建立业务连续性管理应急计划”。
业务连续性计划是指为实现业务连续性而制定的各类规划及实施的各项流程。业务连续性计划应当是一个全面的计划,与金融机构经营的规模和复杂性相适应,强调操作风险识别、缓释、恢复以及持续计划,具体包括业务和技术风险评估、面对灾难时的风险缓释措施、常年持续性/经营性的恢复程序和计划、恰当的治理结构、危机和事故管理、持续经营意识培训等方面。
金融机构应定期检查灾难恢复和业务连续性管理方案,保证其与目前的经营和业务战略吻合,并对这些方案进行定期测试,确保商业银行发生业务中断时,能够迅速执行既定方案。
商业保险
在金融机构投保前,不论是金融机构还是保险机构都要充分评估金融机构操作风险的状况、风险管理能力及财务承受能力,最终确定金融机构自担风险还是保险机构承保。国内金融机构在利用保险进行操作风险缓释方面还处于探索阶段。
业务外包
操作风险资本计量方法包括基本指标法、标准法和高级计量法,以及2017年《巴塞尔Ⅲ最终方案》提出的新标准法。操作风险计提资本不是目的,关键是通过计提和分配资本以推动商业银行改进操作风险管理。
金融机构自主决定是否采用基本指标法计量操作风险资本要求。基本指标法以总收入为计量基础,总收入定义为金融机构的净利息收入与净非利息收入之和。基本指标法操作风险资本等于金融就前三年总收入的平均值乘上一个固定比例(用a表示)。资本计量公式为:
其中,KBIA为按基本指标法计量的操作风险资本要求,GI为过去三年中每年正的总收入,n为过去三年中总收入为正的年数。α为15%。
总体上看,基本指标法计量方法简单,资本与收入呈线性分布,金融机构的收入越高,操作风险资本要求越大,资本对风险缺乏敏感性,对改进风险管理作用不大。基本指标法实施的基础条件:基本指标法比较简单,监管当局未对采用该方法的银行提出具体要求。
标准法以各业务条线的总收入为计量基础,与基本指标法类似,总收入是个广义的指标,代表业务经营规模,因此也大致代表了各业务条线的操作风险暴露。标准法操作风险资本等于金融机构各条线前三年总收入的平均值乘上一个固定的比例(用βi表示)再加总,计算公式为:
其中,KTSA为标准法计量的操作风险资本要求,
代表各年为正的操作风险资本要求,GIi为各业务条线总收入,βi为各业务条线的操作风险资本系数。以商业银行为例,公司金融β系数为18%,交易和销售β系数为18%,零售银行业务β系数为12%,商业银行β系数为15%,支付和清算β系数为18%,代理服务β系数为15%,资产管理β系数为12%,零售经纪β系数为12%,其他业务β系数为18%。
实施标准法必须至少符合监管当局的以下规定:董事会和高级管理层适当积极参与操作风险管理框架的监督;操作风险管理系统概念稳健,执行正确有效;有充足的资源支持在主要产品线上和控制及审计领域采用标准法。除此以外,还需满足下列更高要求。
一是操作风险管理系统必须对操作风险管理功能进行明确的职责界定,包括开发识别、监测、控制/缓释操作风险的策略;制定金融机构的操作风险管理和控制的政策和程序;设计并实施金融机构的操作风险评估方法;设计并实施操作风险报告系统。
三是银行必须定期向业务管理层、高级管理层和董事会报告操作风险暴露情况,包括重大操作损失。必须制定流程,规定如何针对管理报告中反映的信息采取适当行动。
四是金融机构的操作风险管理系统必须文件齐备,必须有日常程序确保符合操作风险管理系统内部政策、控制和流程等文件的规定,且应规定如何对不符合规定的情况进行处理。
五是金融机构的操作风险管理流程和评估系统必须接收验证和定期独立审查,这些审查必须明确业务部门的活动和操作风险管理岗位的情况。
六是金融机构操作风险评估系统必须接受外部审计师和监管当局的定期审查。
高级计量法(AdvancedMeasurementApproach,简称AMA),是金融机构根据业务性质、规模和产品复杂程度以及风险管理水平,基于内部损失数据、外部损失数据、情景分析、业务经营环境和内部控制因素,建立操作风险计量模型以计算操作风险的实际情况。金融机构采用高级计量法,建立模型使用的内部损失数据应充分反映本行操作风监管资本的方法。高级计量法体系中含有损失分布法(LDA)、内部衡量法(IMA)和打分卡法(SCA)三种计量模型。
高级计量法风险敏感度高,具有资本激励和管理激励效应,实现了风险计量和风险管理有机结合,有助于展示金融机构风险管理成效。随着实施机构的不断增多,高级计量法体系的一些缺点逐步显现:一是实施成本较高,开发难度大,透明度较差,监管核准的流程相对较长;二是大部分金融机构缺乏尾部数据建模基础,数据源重复;三是不同金融机构之间的模型基础和数据严重不可比。就银行类金融机构而言,2016年3月,巴塞尔委员会正式公开建议取消高级计量法。
2017年《巴塞尔Ⅲ最终方案》将原有的三种操作风险计量方法统一为一种,要求所有银行均执行标准法,即“新标准法”。新标准法主要由两个部分构成:一是业务指标部分(BIC);二是内部损失乘数(ILM)。
业务指标(BI)由三个部分相加得到,包括利息、租赁及股利部分(ILDC),服务部分(SC)及金融部分(FC)。各个组成部分的定义如下:
ILDC=Min[Abs(利息收入-利息支出),2.25%×生息资产]+股息收入
SC=Max[其他营业收入,其他营业支出]+Max[手续费收入,手续费支出]FC=Abs(交易账簿净损益)+Abs(银行账簿净损益)
在上述公式中,术语中的该数值是按3年的平均值计算:t、t-1及1-2,首先逐年计算各项净值(例如,利息收入一利息支出)的绝对值,逐年计算之后方可计算3年的平均值,
业务指标部分(BIC)由业务指标(BI)乘以边际系数αi得出。边际系数随着BI规模的增加而增加,每单位BI数值乘以相应区段的百分比(区段1为12%,区段2为15%,区段3为18%)之后,再相加就得出BIC。
金融机构的内部操作风险损失会通过内部损失乘数影响操作风险资本的计算。ILM的定义如下:
其中,损失部分(LC)等于过去10年年均操作风险损失的15倍,如损失部分与业务指标部分(BIC)相等,则LIM为1。如LC大于BIC,则LIM大于1。换言之,如金融机构的损失高于BIC,则金融机构需要持有较多资本,相反,如LC低于BIC,则LIM少于1。换言之,如果金融就的损失低于BIC,则金融机构只需要持有较少资本。
针对银行类金融机构,为降低实施成本,《巴塞尔III最终方案》规定,对于BI小于10亿欧元的小银行,ILM设定为1;同时,监管当局有权自主决定是否将其他所有银行的ILM也设定为1。内部损失乘数的提出,对各银行在操作风险事件的记录、分类、数据收集方面提出了更高的要求,将促使商业银行在数据基础设施建设、信息系统建设方面打好基础,做好内部损失数据的收集工作。
操作风险最低资本要求(ORC)由业务指标部分乘以内部损失乘数计算得出,对应公式为:
ORC=BIC×ILM
外包是指金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。服务提供商包括独立第三方,金融机构母公司或其所属集团设立子公司、关联公司或附属机构。外包不能消灭风险,但通过将该业务的管理置于经验和技能更丰富的第三方手中,可以降低金融机构的原有风险。
外包管理团队负责执行外包风险管理的政策、操作流程和内控制度;负责外包活动的日常管理,包括尽职调查、合同执行情况的监督及风险状况的监督;向高级管理层提出有关外包活动发展和风险管控的意见和建议;在发现外包服务提供商业的业务活动存在缺陷时,采取及时有效的措施。
金融机构应将外包风险管理纳人全面风险管理体系,建立严格的客户信息保密制度,并做好以下工作:
外包风险评估
在制定外包活动政策时,应当评估以下风险因素:外包活动的战略风险、法律风险、声誉风险、合规风险、操作风险、国别风险等风险;影响外包活动的外部因素;本机构对外包活动的风险管控能力;服务提供商的技术能力及专业能力,业务策略和业务规模,业务连续性及破产风险,风险控制能力及外包服务的集中度。
尽职调查
金融机构在进行外包活动时还应当对服务提供商进行尽职调查,尽职调查应当包括管理能力和行业地位;财务稳健性;经营声誉和企业文化;技术实力和服务质量;突发事件应对能力;对金融机构所在行业的熟悉程度;对其他同业提供服务的情况;其他重要事项;外包活动涉及多个服务提供商时,应当对这些服务提供商进行关联关系的调查。
外包协议管理
金融机构开展外包活动时应当签订书面合同或协议,明确双方的权利义务。合同或协议应当包括但不限于以下内容:外包服务的范围和标准;外包服务的保密性和安全性的安排;外包服务的业务连续性的安排;外包服务的审计和检查;外包争端的解决机制;合同或协议变更或终止的过渡安排;违约责任。对于具有专业技术性的外包活动,可签订服务标准协议。
外包服务承诺
金融机构在外包合同中应当要求外包服务提供商承诺以下事项:定期通报外包活动的有关事项;及时通报外包活动的突发性事件;配合金融机构接受监督管理机构的检查;保障客户信息的安全性,当客户信息不安全或客户权利受到影响时,金融机构有权随时终止外包合同;不得以金融机构的名义开展活动。
分包风险管理
跨境外包管理
金融机构在开展跨境外包活动时,应当遵守以下原则:审慎评估法律和管制风险;确保客户信息的安全;选择境外服务提供商时,应当明确其所在国家或地区监管当局已与我国监督管理机构签订谅解备忘录或双方认可的其他约定。
其他事项
金融机构应当事先制定和建立外包突发事件应急预案和机制。通过采取替代方案、寻求合同项下的保险安排等措施,确保业务活动的正常经营。应当定期对外包括动进行全面审计与评价。
信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在金融机构业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制定完善的管理制度和流程。信息科技风险是指信息科技在金融机构运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。信息科技风险具有特征:
一是隐蔽性强。金融机构许多业务流程已经实现了信息化,如果系统的设计者对具体业务流程不熟悉或对风险点考虑不周,可能在系统设计之初留下隐患,随着内外部环境的发展和变化,如果不采取风险缓释措施,可能会发生衍生风险事件。
二是突发性强,应急处置难度大。信息科技风险是唯一能够导致金融机构瞬间瘫痪的风险,外部因素的突然变化可能导致风险事件的发生,如黑客攻击、地震、火灾等,这些因素变化事前难以预测,一旦发生就可能失去控制、迅速蔓延,对金融机构的应急处置能力提出了很大的挑战。
三是影响范围广,后果具有灾难性。信息科技风险贯穿于金融机构各部门和各条线的管理和业务流程之中,一旦核心系统和主干网络发生故障,可能引发连锁反应,造成整个金融机构的业务停顿、资金损失和客户流失,甚至可能导致机构倒闭等灾难性后果。
信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
金融机构应在建立良好公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。
金融机构应制定符合该机构总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划,确保配置足够人力、财力资源,维持稳定、安全的信息科技环境。金融机构应制定全面的信息科技风险管理策略,包括信息分级与保护、信息系统开发、测试和维护、信息科技运行和维护、访问控制、物理安全、人员安全、业务连续性计划与应急处置。
金融机构应制定持续的风险识别和评估流程,确定信息科技中存在隐患的区域,评价风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别(包括外包供应商、产品供应商和服务商)。
金融机构应依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。防范措施应包括:明确的信息科技风险管理制度、技术标准和操作规程等,定期进行更新和公示;确定潜在风险区域,并对这些区域进行详细和独立的监控,实现风险最小化;建立适当的控制框架,以便于检查和平衡风险;定义每个业务级别的控制内容。
金融机构应建立持续的信息科技风险计量和监测机制,其中应包括:建立信息科技项目实施前及实施后的评价机制;建立定期检查系统性能的程序和标准;建立信息科技服务投诉和事故处理的报告机制;建立内部审计、外部审计和监管发现问题的整改处理机制;安排供应商和业务部门对服务水平协议的完成情况进行定期审查;定期评估新技术发展可能造成的影响和已使用软件面临的新威胁;定期进行运行环境下操作风险和管理控制的检查;定期进行信息科技外包项目的风险状况评价。在境外设立机构的金融机构,应当遵守境内外监管机构关于信息科技风险管理的要求,并防范因监管差异所造成的风险。
金融机构信息科技部门负责建立和实施信息分类和保护体系,使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程:
落实信息安全管理职能
包括建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,并定期向信息科技管理委员会提交本银行信息安全评估报告。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。信息安全策略应涉及以下领域:安全制度管理、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务连续性管理、合规性管理。
建立有效管理用户认证和访问控制的流程
划分为不同的逻辑安全域
对安全因素进行评估,并根据安全级别定义和评估结果实施有效的安全控制,如对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等
确保计算机操作系统和软件系统安全
信息系统安全
管理生产系统活动日志
采取加密技术
采取加密技术,防范涉密信息在传输、处理、存储过程中出现泄露或被篡改的风险,并建立密码设备管理制度,确保使用符合国家要求的加密技术和加密设备;管理、使用密码设备的员工经过专业培训和严格审查;加密强度满足信息机密性的要求;制定并落实有效的管理流程,尤其是密钥和证书生命周期管理。
八
系统配套
配备切实有效的系统,确保所有终端用户设备的安全,并定期对所有设备应进行安全检查,包括台式个人计算机(PC)、便携式计算机、柜员终端、自动柜员机(ATM)、存折打印机、读卡器、销售终端(POS)和个人数字助理(PDA)等
九
制度建设
十
培训
对所有员工进行必要培训,使其充分掌握信息科技封信啊管理制度和流程,了解违反规定的后果,并对违反安全规定的行为采取零容忍政策
金融机构要对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废,制定制度和流程,管理信息科技项目的优先排序、立项、审批和控制。项目实施部门应定期向信息科技管理委员会提交重大信息科技项目的进度报告,由其进行审核,进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况。
金融机构管理信息科技运行时,应满足以下要求:
在选择数据中心的地理位置时,应充分考虑环境威胁(如是接近自然灾害多发区、危险或有害设施、繁忙或主要公路),采取物理控制措施,监控对信息处理设备运行构成威胁的环境状况,并防止因意外断电或供电干扰影响数据中心的正常运行。
将信息科技运行与系统开发和维护分离,确保信息科技部门内部的岗位制约;对数据中心的岗位和职责作出明确规定
按照有关法律法规要求保存交易记录,采取必要的程序和技术,确保存档数据的完整性,满足安全保存和可恢复要求
制定详尽的信息科技运行操作说明。如在信息科技运行手册中说明计算机操作人员的任务、工作日程、执行步骤,以及生产与开发环境中数据、软件的现场及非现场备份流程和要求(即备份的频率、范围和保留周期)
制定容量规划,以适应由于外部环境变化产生的业务发展和交易量增长
十一
制定有效的变更管理流程,以确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志,由信息科技部门和业务部门共同审核签字,并事先进行备份,以便必要时可以恢复原来的系统版本和数据文件。紧急变更成功后,应通过正常的验收测试和变更管理流程,采用恰当的修正以取代紧急变更
内部审计方面,应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。外部审计方面,金融机构可以在符合法律、法规和监管要求的情况下,委托具备相应资质的外部审计机构进行信息科技外部审计。在委托审计过程中,应确保外部审计机构能够对金融机构的硬件、软件、文档和数据进行检查,以发现信息科技存在的风险,国家法律、法规及监管部门规章、规范性文件规定的重要商业、技术保密信息除外。在实施外部审计前应与外部审计机构进行充分沟通,详细确定审计范围,不应故意隐瞒事实或阻挠审计检查。