1.商业银行操作风险管理指引的附录
《商业银行操作风险管理指引》有关名词的说明
操作风险事件是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部因素所造成财务损失或影响银行声誉、客户和员工的操作事件,具体事件包括:内部欺诈,外部欺诈,就业制度和工作场所安全,客户、产品和业务活动,实物资产的损坏,营业中断和信息技术系统瘫痪,执行、交割和流程管理七种类型(进一步的信息可参阅《统一资本计量和资本标准的国际协议:修订框架》,即巴塞尔新资本协议的“附录7:损失事件分类详表”)。 商业银行用于识别、评估操作风险的常用工具。
(一)自我风险评估
自我风险评估是指商业银行识别和评估潜在操作风险以及自身业务活动的控制措施、适当程度及有效性的操作风险管理工具。
(二)关键风险指标
关键风险指标是指代表某一风险领域变化情况并可定期监控的统计指标。关键风险指标可用于监测可能造成损失事件的各项风险及控制措施,并作为反映风险变化情况的早期预警指标(高级管理层可据此迅速采取措施),具体指标例如:每亿元资产损失率、每万人案件发生率、百万元以上案件发生比率、超过一定期限尚未确认的交易数量、失败交易占总交易数量的比例、员工流动率、客户投诉次数、错误和遗漏的频率以及严重程度等。 法律风险包括但不限于下列风险:1.商业银行签订的合同因违反法律或行政法规可能被依法撤销或者确认无效的;2.商业银行因违约、侵权或者其他事由被提起诉讼或者申请仲裁,依法可能承担赔偿责任的;3.商业银行的业务活动违反法律或行政法规,依法可能承担行政责任或者刑事责任的。
2.商业银行操作风险管理指引的第一章
总 则
第一条 为加强商业银行的操作风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他有关法律法规,制定本指引。
第二条 在中华人民共和国境内设立的中资商业银行、外商独资银行和中外合资银行适用本指引。
第三条 本指引所称操作风险是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险,但不包括策略风险和声誉风险。
第四条 中国银行业监督管理委员会(以下简称银监会)依法对商业银行的操作风险管理实施监督检查,评价商业银行操作风险管理的有效性。
3.银行内控管理、合规风险管理、操作风险管理
操作风险是银行需面对的主要风险类型之一,也是银监会根据巴塞尔协议确认的银行三大风险之一,即信用风险、市场风险和操作风险。操作风险指:由不完善或又问题的内部程序、员工和信息科技系统以及外部事件所造成的风险。
内控和合规关系较为密切,内控的概念较大,风险管理的合规管理以及稽核评价都可称为内部控制,也就是内控管理;合规管理可分为对内合规与对外合规,对内主要是对银行体系内部执行规章制度情况的管理,对外合规主要是符合监管部门和其他上级部门的管理。合规风险也就是出现不合规事件给银行带来潜在损失,如监管处罚等的风险。
4.商业银行管理中,什么是操作风险
商业银行操作风险:
根据巴塞尔委员会(以下简称委员会)在协议第644段所给的定义,操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。该定义不包括策略风险和声誉风险,但包括法律风险。一般意义而言,一家银行不断地出现这样或那样由于操作原因而导致的损失,必然会对该银行的声誉产生负面影响。而委员会之所以提出操作风险不包括策略风险和声誉风险的主要考虑是,因经营策略不当和声誉出现问题所引起的损失增加或收益下降在现阶段是无法量化的,所以不纳入风险资本的监管范围。从委员会给出的定义可以看出,操作风险损失是指与操作风险事件相联系,并且按照通用会计准则被反映在银行财务报表上的财务损失,包括所有与该操作风险事件有联系的成本支出,但不包括机会成本、损失挽回、为避免后续操作风险损失而采取措施所带来的相关成本。
从商业银行管理的角度而言,对于操作风险的管理最重要的是要解决两个问题,其一是如何准确地测量风险;其二是通过何种手段或方法防范操作风险可能带来的损失。目前,国际金融界对操作风险的防控尚处于起步探索阶段,由于经营环境不同,数据的完整性、可信性不足而没有形成公认的、成熟的能够准确测量操作风险的技术方法。所以,委员会在协议中鼓励各国银行积极地开发这方面的技术。
协议中提出了三种测量风险的方法:基本指标法、标准法和高级计量法。在这三种方法中只有高级计量法是委员会允许商业银行利用本行自己的操作风险损失数据、外部损失数据、情景分析和定性指标自主开发操作风险的计量模型。除此以外,基本指标法和标准法确切地讲还称不上是计量操作风险的方法。这两种方法实质上是委员会人为地设定一定的风险权重,再根据银行的收入通过判断直接得出防范操作风险可能的损失所需要占用的资本数额。
操作风险与内部控制
通过何种手段或方法防范操作风险可能带来的损失是商业银行操作风险管理要解决的关键问题之一。操作风险不同于信用风险和市场风险,有其自身的特殊性质。商业银行在经营活动中自身内部需要进行各种不同类型的业务操作,而这种业务操作遍布商业银行内部各业务环节、产品线和不同的管理层面。由于各种不确定因素的存在,这些操作过程本身存在着失误的可能性;而绝大多数的操作风险都是可以避免的,即使是不可避免的操作风险也可以通过保险或其他风险转移机制加以缓释。虽然业务操作与其相关的业务活动会为银行带来价值,但是承担操作失误风险本身并不会创造价值。操作风险的这种特殊性质决定了商业银行要注重防范损失的发生,而损失发生的减少就意味着收益的增加。为了防范银行内部的利益冲突,科学地控制风险和测量风险,商业银行内部控制防范操作风险和测量操作风险是由两个部门分别承担的。银行内控委员会负责操作风险的控制和防范职能;银行的风险管理委·员会负责操作风险的测量和资本配置工作。
商业银行内控委员会是通过内部控制系统防范操作风险的。由于操作风险的分散性、多样性特征,要求商业银行内部各产品线管理部门、各个操作环节、各个业务层面的管理者都要承担起自身创造价值各环节的操作风险管理职责。委员会在1998年对商业银行内控体系的建设、风险测量、内部审计及外部监管问题从管理者监察、内控文化、风险评估、控制活动、信息交换、监测和监管部门对内部控制系统的评价等六个方面提出了14项十分具体的基本原则,以规范和指导商业银行内部控制体系的建设。中国银行业监督管理委员会也于2004年末颁布了《商业银行内部控制评价试行办法》,共设八章七十二条,从评价目标和原则、评价内容、评价程序和方法、评价标准和评价等级、组织和实施及罚则等六个方面对商业银行内部控制管理问题进行了全面的规范,是中国银行业走向科学化管理、完善自我约束机制的一部具有现实意义的指导性文件。
5.求银行操作风险管理的案例
商业银行操作风险管理的国际案例
案例一:巴林银行。1995年2月英国中央银行英格兰银行宣布了一条消息:巴林银行不得继续从事交易活动并将申请资产清理。10天后,以1英镑的象征性价格被荷兰国际集团收购。巴林银行总损失为13亿美元;资本损失100%;从违规到灾难发生的时间为三年;违规内容是未经授权及隐匿的期权和期货交易、隐匿亏损;违规者为新加坡附属机构交易员;操作风险发生的原因在组织因素上,治理、管理、文化多元、沟通失败;在政策因素上,违反政策、不合规、职责不清;在人员因素上,雇员不当、雇主判断失误。
具体分析巴林银行倒闭的原因
首先,巴林银行没有将交易与清算业务分开,允许里森既作为首席交易员,又负责其交易的清算工作。在大多数银行,这两项业务是分立的。因为让一个交易员清算自己的交易会使其很容易隐瞒交易风险或亏掉的金钱。这是一种制度上的缺陷。
其次,巴林银行的内部审计极其松散,在损失达到5,000万英镑时,巴林银行总部曾派人调查里森的账目,资产负债表也明显记录了这些亏损,但巴林银行高层对资产负债表反映出的问题视而不见,轻信了里森的谎言。里森假造花旗银行有5,000万英镑存款,也没有人去核实一下花旗银行的账目。
监管不力不仅导致了巴林银行的倒闭,也使其3名高级管理人员受到法律惩处。
6.商业银行操作风险管理指引的第二章
操作风险管理 第五条 商业银行应当按照本指引要求,建立与本行的业务性质、规模和复杂程度相适应的操作风险管理体系,有效地识别、评估、监测和控制/缓释操作风险。
操作风险管理体系的具体形式不要求统一,但至少应包括以下基本要素:(一)董事会的监督控制;(二)高级管理层的职责;(三)适当的组织架构;(四)操作风险管理政策、方法和程序;(五)计提操作风险所需资本的规定。第六条 商业银行董事会应将操作风险作为商业银行面对的一项主要风险,并承担监控操作风险管理有效性的最终责任。
主要职责包括:(一)制定与本行战略目标相一致且适用于全行的操作风险管理战略和总体政策;(二)通过审批及检查高级管理层有关操作风险的职责、权限及报告制度,确保全行的操作风险管理决策体系的有效性,并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内;(三)定期审阅高级管理层提交的操作风险报告,充分了解本行操作风险管理的总体情况、高级管理层处理重大操作风险事件的有效性以及监控和评价日常操作风险管理的有效性;(四)确保高级管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险;(五)确保本行操作风险管理体系接受内审部门的有效审查与监督;(六)制定适当的奖惩制度,在全行范围有效地推动操作风险管理体系地建设。第七条 商业银行的高级管理层负责执行董事会批准的操作风险管理战略、总体政策及体系。
主要职责包括:(一)在操作风险的日常管理方面,对董事会负最终责任;(二)根据董事会制定的操作风险管理战略及总体政策,负责制定、定期审查和监督执行操作风险管理的政策、程序和具体的操作规程,并定期向董事会提交操作风险总体情况的报告;(三)全面掌握本行操作风险管理的总体状况,特别是各项重大的操作风险事件或项目;(四)明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容,督促各部门切实履行操作风险管理职责,以确保操作风险管理体系的正常运行;(五)为操作风险管理配备适当的资源,包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需的权限等;(六)及时对操作风险管理体系进行检查和修订,以便有效地应对内部程序、产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化所造成的操作风险损失事件。第八条 商业银行应指定部门专门负责全行操作风险管理体系的建立和实施。
该部门与其他部门应保持独立,确保全行范围内操作风险管理的一致性和有效性。主要职责包括:(一)拟定本行操作风险管理政策、程序和具体的操作规程,提交高级管理层和董事会审批;(二)协助其他部门识别、评估、监测、控制及缓释操作风险;(三)建立并组织实施操作风险识别、评估、缓释(包括内部控制措施)和监测方法以及全行的操作风险报告程序;(四)建立适用全行的操作风险基本控制标准,并指导和协调全行范围内的操作风险管理;(五)为各部门提供操作风险管理方面的培训,协助各部门提高操作风险管理水平、履行操作风险管理的各项职责;(六)定期检查并分析业务部门和其他部门操作风险的管理情况;(七)定期向高级管理层提交操作风险报告;(八)确保操作风险制度和措施得到遵守。
第九条 商业银行相关部门对操作风险的管理情况负直接责任。主要职责包括:(一)指定专人负责操作风险管理,其中包括遵守操作风险管理的政策、程序和具体的操作规程;(二)根据本行统一的操作风险管理评估方法,识别、评估本部门的操作风险,并建立持续、有效的操作风险监测、控制/缓释及报告程序,并组织实施;(三)在制定本部门业务流程和相关业务政策时,充分考虑操作风险管理和内部控制的要求,应保证各级操作风险管理人员参与各项重要的程序、控制措施和政策的审批,以确保与操作风险管理总体政策的一致性;(四)监测关键风险指标,定期向负责操作风险管理的部门或牵头部门通报本部门操作风险管理的总体状况,并及时通报重大操作风险事件。
第十条 商业银行法律、合规、信息科技、安全保卫、人力资源等部门在管理好本部门操作风险的同时,应在涉及其职责分工及专业特长的范围内为其他部门管理操作风险提供相关资源和支持。第十一条 商业银行的内审部门不直接负责或参与其他部门的操作风险管理,但应定期检查评估本行的操作风险管理体系运作情况,监督操作风险管理政策的执行情况,对新出台的操作风险管理政策、程序和具体的操作规程进行独立评估,并向董事会报告操作风险管理体系运行效果的评估情况。
鼓励业务复杂程度较高和规模较大的商业银行委托社会中介机构对其操作风险管理体系定期进行审计和评价。第十二条 商业银行应当制定适用于全行的操作风险管理政策。
操作风险管理政策应当与银行的业务性质、规模、复杂程度和风险特征相适应。主要内容包括:(一)操作风险的定义;(二)适当的操作风险管理组织架构、权限和责任;(三)操作风险。
7.银行管理者如何培训员工《银行合规操作及法律风险防范》
您好,郭耀峰,男,法学和会计学双学士,经济法硕士,现任教于某高校。
长期从事银行业方面的法律教学、研究和培训,经验丰富,能从实践当中进行理论总结,在培训中深入浅出、举一反三、寓教于乐,侧重于农村商业银行、农村合作银行和农村信用社的信贷业务法律风险防范、柜员业务法律风险防范、客户经理法律知识、银行从业人员职业操守和合规业务法律知识、以及商业银行基础法律知识的培训等。 目前从教10年,已经培训、服务客户120多家。
核心课程: 【商业银行系列】 《商业银行合规操作及法律风险防范》、《商业银行客户经理法律知识培训》; 《商业银行柜员业务法律风险防范》、《商业银行信贷业务中的法律风险防范》; 《商业银行法律基础知识》; 【农信社、农商行、合行系列】 《农村商业银行、农村合作银行、农村信用社合规操作及法律风险防范》; 《农村商业银行、农村合作银行、农村信用社信贷业务中的法律风险防范》; 《农村商业银行、农村合作银行、农村信用社客户经理法律知识培训》; 《农村商业银行、农村合作银行、农村信用社柜员业务法律风险防范》; 《农村商业银行、农村合作银行、农村信用社法律基础知识培训》; 郭老师曾服务过,中国人民银行忻州支行、阳泉支行(全员岗位任职资格金融法律法规培训);建设银行太原分行;邮政储蓄银行太谷支行;晋商银行;黄河农村商业银行;贵阳市乌当区农村信用社;甘肃农村信用社、兰州市农村商业银行;宁夏农村信用社、临泽农村合作银行;山西全省一百多家农村商业银行、农村合作银行、农村信用社。 周 周 13989871931 立足行业、精耕专业! 微信&QQ:58588541 。
8.银行操作系统风险
网络银行:风险管理不容忽视 在黑客、病毒侵袭网络银行的情况下,如果银行方面能够证明在自身系统方面采取了应尽的防范义务,是可以视为不可抗力的,但现在银行想证明这一点很困难,因为中国目前还没有关于网络银行安全标准和技术标准的法律规定 网络银行的出现,拓宽了传统的银行业务经营方式,商业银行与客户之间的法律关系较传统业务下的法律关系有所改变。
依据现有民事法律规定,商业银行在开展网上银行业务时,将有可能对客户承担下列民事责任。 技术风险 网络银行最大的优点在于虚拟性,它无须考虑银行的物理结构,只需设置虚拟的互联网站点。
整个交易过程几乎全部在网上完成,突破了时间和地域的限制。但是,这种虚拟性的达成依赖于自动化程度较高的技术和设备。
而这些复杂的技术和设备又不可能绝对不出问题。因此,和传统的银行相比较,技术风险成为网络银行所面临的最大、最特殊的风险,在具体的网络银行业务中,常常会转化为法律风险,并使商业银行承担相应的民事责任。
一、因网络银行硬件系统出现问题给客户造成损失应承担的民事责任 硬件系统是网络银行存在的物质基础,如果银行由于硬件系统出现技术故障而对客户的利益造成了损失,那么商业银行对客户的损失负有赔偿责任。这就要求商业银行在采购硬件系统时应对硬件系统的质量给予充分的注意。
如果硬件系统供应商提供的硬件设备确有质量问题,商业银行可以向供应商行使追索权,但这不影响商业银行对客户的损失负全部赔偿责任。 二、因网络银行的技术软件原因对客户造成损失应承担的民事责任 商业银行在决定某软件系统时,应对该技术软件的整体技术能力作深入的调查,以确保对客户的服务质量。
如果网络技术能力不足以支持网络银行的运作,导致支付、结算等业务出现过错而给客户造成损失或影响到服务质量的,商业银行有义务赔偿客户的损失,客户有权要求商业银行履行赔偿责任,即使该软件不是商业银行自行开发设计的,也应推定商业银行在软件及软件技术的选择上存在过错。 三、因客户操作上的失误产生损失而使商业银行承担民事责任 所有的硬件系统、软件系统都是商业银行提供的,所以商业银行应向客户详细说明有关软件、硬件的操作方法,否则,如果客户操作上失误并带来损失,商业银行应对客户的损失依据过错的大小承担一定的赔偿责任,而且这也将影响到网上银行的信誉和客户的信心。
安全系统运行风险 这里所说的网络银行安全系统造成的客户损失包括两个方面:一是由于安全认证系统出现故障而给客户造成的损失。因为网络的虚拟性,交易双方都无法确保对方的身份的真实性,尤其是当当事人仅仅通过互联网交流时。
在这种情况下,要建立交易双方的信用感和安全感非常困难。于是,人们在实践中发展出一种切实有效的方法来解决这个问题,电子认证应运而生。
简而言之,电子认证是以特定的机构对电子签名及其签署者的真实性进行验证的具有法律意义的服务。在电子认证过程中,有一个把电子签名和特定的人或者实体加以联系的管理机构,即认证机构(CA)。
如果安全认证系统出现故障,商业银行将与提供认证服务的一方一起承担民事法律责任。因为银行负有维护网络安全的义务,违反了这种义务,即应承担一定范围内的民事法律责任; 二是黑客、病毒的侵袭而给客户造成的损失。
在中国,几乎所有的网上银行服务协议中都约定了遇到不可抗力或者其他不可归因于银行的情况时,银行如没有执行客户的指令,可以不承担任何责任。而根据《合同法》的规定,因不可抗力不能履行合同的,根据不可抗力的影响,部分或全部免除责任。
由此可见,在发生不可抗力的情况下,不能履约的一方并不一定能够全部地免除责任。 另外,服务协议里约定的不可抗力均未具体指明什么情况发生时可以视作发生不可抗力。
在网络银行业务这样的新型服务模式中,出现了许多新的情况,例如,银行计算机系统遭到网络黑客、病毒的袭击,致使银行无法完成客户的指令时,是否可以视作不可抗力? 在黑客、病毒侵袭网络银行的情况下,如果银行方面能够证明在自身系统方面采取了应尽的防范义务,是可以视为不可抗力的,但现在银行想证明这一点很困难,因为中国目前还没有关于网络银行安全标准和技术标准的法律规定。即使银行无过错,但根据民法有关无过错责任的归责原则,银行也应对客户负责,分担客户的部分损失,以充分保护作为相对弱小方的客户的利益。
另外,出现了不可抗力的情况,银行应及时通知客户,以减轻客户的损失,否则会因延误通知而使自己承担民事责任。 管理风险 中国的网络银行是传统银行与高新电子技术结合的产物,面对复杂的网络技术,网络银行的管理能否适应?这就存在着对复杂技术、复杂系统的管理风险,商业银行在计算机系统的日常维护管理及客户商业资料的保密方面未尽到认真和谨慎义务的,给客户造成损失的,商业银行是要承担民事责任的。
另外,还存在着网络银行管理人员和操作人员的道德风险。 综上所述,为了避免或减少承担网。
