【文章內(nèi)容簡介】 評估會對自我評估過程起到很好的參考和推動作用，自我評估過程經(jīng)常會借助外部評估的結(jié)論來修正完善自己的評估結(jié)果。（一）風險與控制的自我評估評估的內(nèi)容和范圍風險控制與自我評估的內(nèi)容主要包括固有風險、控制風險、剩余風險三部分。自我評估應涵蓋所有的業(yè)務部門，通常在產(chǎn)品線層次上進行，評估的范圍應包括每個產(chǎn)品線的各個流程。①固有風險。固有風險是指在沒有任何管理控制措施的情況下，經(jīng)營管理過程本身具有的風險。銀行通常要評估所有重要產(chǎn)品、活動、程序和系統(tǒng)中固有的操作風險，在新產(chǎn)品、新活動、新流程和新系統(tǒng)投產(chǎn)或投入運營之前，也要充分評估其固有風險；②控制風險?？刂骑L險是指對操作風險沒有良好的內(nèi)部控制，或內(nèi)部控制無效，致使經(jīng)驗活動中的操作風險不能被及時發(fā)現(xiàn)而造成損失。這要求銀行應建立良好的內(nèi)控機制和有效的內(nèi)控措施，以保證充分識別經(jīng)營過程中的固有風險，并對已識別風險及時采取適當?shù)目刂拼胧?，控制措施應合理到位，能夠有效緩解或?guī)避風險。③剩余風險。剩余風險是指在實施了旨在改變風險可能性和影響程度的管理控制活動后，仍保留的風險。上述三者一般關系是：固有風險－控制風險＝剩余風險，剩余風險的大小反映了銀行內(nèi)部控制程序未能有效控制的風險，一般會成為銀行操作風險管理的重點。評估方法自我評估方法主要有檢查法、敘述法、工作間交流等。檢查表法是最常用的方法。它是將事先設計好的問卷分發(fā)到各個業(yè)務或職能部門，幫助其確認風險水平和相應的控制措施。有些檢查表非常簡短，僅僅包括治理結(jié)構(gòu)、執(zhí)行情況、流程、人員和技術(shù)等一些寬泛的目錄；有些檢查表這相當詳細，要求列出詳細的控制清單。經(jīng)理人的答案將有代表性地顯示指定風險對其流程的影響程度。這同時也表明風險頻率、強度、影響以及相應的控制措施的水平。銀行還可用它分辨出內(nèi)在風險度和實際控制之后的風險水平。敘述法通常從業(yè)務部門界定目標和風險開始。各部門均要對采取的控制措施進行答辯，代替對預期控制的檢查。對于控制的空白之處也要以相似的方法進行敘述。這種方法需要付出更多的努力，但結(jié)果將會引發(fā)對業(yè)務操作和風險管理框架的更具有創(chuàng)造性的想法。工作間交流法是指讓員工在一起討論風險暴露、控制措施和相應的改進之處。通過跨部門員工的交流有助于推進工作間工作，讓不同的觀點進行碰撞，有助于共同決策審查方法和對已執(zhí)行的決策進行確認。為集中進行研究，工作間交流法可以與檢查表法和敘述法結(jié)合起來使用。評估自動化工具可以支持評估過程、記錄評估結(jié)果并提供報告，這些工具可以對企業(yè)組織結(jié)構(gòu)的再現(xiàn)、對操作風險進程和內(nèi)在風險的界定以及證明控制措施的有效性發(fā)揮良好的作用。評估應考慮的因素控訴、評估操作風險時，銀行一般要特別關注那些對操作封信大小有重要影響以及容易引發(fā)操作風險事件的誘發(fā)性因素，因為這些因素將從可能性和強度方面影響到風險的水平。具體來說，主要包括：①銀行發(fā)生的實際損失和已經(jīng)招致的重大損失但損失被僥幸避免的事件；②同業(yè)操作風險損失或操作風險暴露情況；③銀行業(yè)務經(jīng)營環(huán)境的變化；④其他風險誘因，如顧客雇員離職、系統(tǒng)錯誤、系統(tǒng)的不正常運行等。評估實施的程序自我評估一般是由操作風險管理部門牽頭，由各業(yè)務部門具體組織實施，通常在產(chǎn)品線層次上進行實際評估。評估程序一般包括評估準備階段、評估實施階段和后續(xù)處理階段。準備階段有風險管理部門完成，包括審核操作風險目錄、收集相關信息、制定評估方案、編寫檢查表等內(nèi)容；實施階段包括填寫檢查表、整理檢查結(jié)果、進行評估分析等內(nèi)容；后續(xù)處理階段包括審核風險問題和控制弱點、與業(yè)務管理層協(xié)商行動計劃、編寫評估報告等內(nèi)容。具體評估通常從兩個方面來進行：可能性和影響強度。可能性是指每一種識別出的風險暴露或每一類主要的風險事件類型在未來一定時期內(nèi)發(fā)生的概率的大小。影響強度是指特定的操作風險事件發(fā)生的情況下，銀行可能蒙受的損失，一般描述為一個數(shù)量化區(qū)間。對可能性和影響強度的估計通常借助于業(yè)務管理者對業(yè)務的理解和經(jīng)驗，這時，它們的大小往往不是具體數(shù)字，而是用級別或范圍來表示，如非常大、大、一般、小、非常小等，由此得出的結(jié)果往往過于模糊，只能用于定性目的。如果能夠方便、經(jīng)濟地獲得充足可信的數(shù)據(jù)，而且分析這些數(shù)據(jù)的成本也可以接受，銀行往往樂意采用定量評估的方法，借助一些數(shù)學模型將風險的大小數(shù)量化。（二）獨立第三方評估獨立第三方評估主要是指監(jiān)管當局、外部審計師、內(nèi)部審計等部門和人員對銀行有關操作風險的政策、程序和做法等內(nèi)容進行的評估。由外部監(jiān)管、外部審計部門和獨立性較強的內(nèi)部審計部門定期對銀行操作風險管理系統(tǒng)進行評估，一方面有助于銀行董事會和高層管理者全面了解本行操作風險的真實狀況，及時應對操作風險的變化，及時修訂本行操作風險管理系統(tǒng)；另一方面也可以促進操作風險管理系統(tǒng)各相關部門認真履行職責，為操作風險自我評估過程提供參照，幫助其客觀評價操作風險狀況。操作風險獨立評估的主要內(nèi)容包括：銀行風險管理程序的有效性。銀行是否有良好的操作風險控制環(huán)境；是否有有健全的組織治理結(jié)構(gòu)和良好的風險控制文化；是否有完善的操作風險管理系統(tǒng)，操作風險管理系統(tǒng)能否達到預期目的。銀行風險控制措施的健全性。銀行是否建立了完善的內(nèi)部控制體系；是否有必要的監(jiān)督、制約機制；是否有適當?shù)膶彶楹蛯徲嫵绦颉ｃy行風險控制措施的遵從性。內(nèi)部控制措施是否得到一貫的執(zhí)行，如有不一致，有無產(chǎn)生潛在的風險。銀行監(jiān)測和報告系統(tǒng)的運行情況。銀行有無定期監(jiān)測操作風險狀況和重大風險損失的程序，監(jiān)測和報告操作風險狀況的方法是否適當；能否向高級管理層和董事會定期報告有關信息，高級管理層和董事會對重大操作風險是否加以足夠關注并采取適當措施。銀行應對操作風險的方法。包括銀行及時有效解決操作風險事件和薄弱環(huán)節(jié)的步驟；銀行緩釋操作風險的措施及其效果；銀行災難恢復和業(yè)務連續(xù)方案的質(zhì)量和全面性。銀行操作風險資本金評估分配情況。銀行根據(jù)其風險狀況和其內(nèi)部資本目標。評估操作風險資本充足率的程序是否恰當；資本金水平是否符合規(guī)定。九、操作風險控制和緩釋。有些操作風險可以通過各種方法加以控制，有的就只能加以緩釋，下面介紹德意志銀行操作風險的控制和緩釋措施。（一）操作風險管理策略的選擇對已識別的操作風險，德銀通常會根據(jù)所評估的風險影響程度，采用適當?shù)娘L險管理策略和措施加以管理。一般來說。在管理操作風險方面銀行可以采用四種策略：避免、緩釋、轉(zhuǎn)移和承擔。何時應用這四種策略取決于德銀的風險偏好和風險容忍度，以及德銀對操作風險控制/緩釋措施的成本收益分析。風險偏好和風險容忍度一般在德銀操作風險管理戰(zhàn)略中明確說明。風險偏好是指德銀對待操作風險的態(tài)度，應說明是否愿意承擔風險，愿意承擔何種類型的風險。風險容忍度是指德銀對風險的接受程度，通常表示為一定的金額。成本收益分析是指擬采取措施的成本進行評估，并將其與控制風險所減少的損失或降低的風險暴露水平進行對比，評價措施是否具有經(jīng)濟性。擬采取措施的成本因措施不同，有不同的表現(xiàn)形式，保險成本主要指保費，外包成本為外包產(chǎn)生的費用，信息技術(shù)成本為系統(tǒng)投資額。有時，一項支出可能不單純?yōu)榱朔婪兑环N風險，評估時應注意使成本和收益相匹配。對發(fā)生頻率和影響強度都較高的風險，由于風險通常超過了德銀的承受能力，一般采取避免的方式。在實施行動前，德銀首先要進行成本收益分析如果德銀沒有能力控制風險或控制風險的成本很高，德銀會決定是否調(diào)整自己的風險容忍度接受這些風險，還是減少相關的業(yè)務活動程度，或完全停做此類業(yè)務。通常完全避免此類風險是非常困難的，有時避免風險所發(fā)生的成本是如此之高以至于從成本收益角度衡量，德銀會發(fā)現(xiàn)該項行動不具有可行性，從而將此業(yè)務種類分離出去，集中精神從事核心業(yè)務。對發(fā)生頻率高、影響強度小的風險，德銀通常采用緩釋的方法。這是銀行最常用的方式，包括加強內(nèi)部控制、加大技術(shù)投入等措施，它涉及業(yè)務程序完善、員工培訓、技術(shù)方案的改進、企業(yè)文化建設等多個方面。通常，緩釋的成本是較低的，而帶來的風險預期損失減少額是可觀的。對于發(fā)生頻率低、影響強度大的風險，德銀應采取轉(zhuǎn)移策略。如業(yè)務外包、保險等。對于發(fā)生頻率和影響強度都較小的風險，由于風險在德銀的風險容忍限度內(nèi)或是出于無奈，德銀會采取承擔策略，保留一定水平的操作風險或自我防范此類風險。有時，這是德銀在風險管理第一循環(huán)就主動作出的，有時是在經(jīng)歷幾個風險管理循環(huán)后，在承擔剩余風險。如果風險重大，那么保留或自我防范風險的決定在德銀內(nèi)應該是透明的，并且與德銀的整體業(yè)務戰(zhàn)略和對風險的偏好吻合。當然，上述策略的適用并不是一成不變的。有時在一種情形下，可以采用多種控制方法。如，對小概率的惡性事件，德銀既可以采用保險的方法將風險轉(zhuǎn)移，也可以啟動應急機制，最大限度地降低影響強度。同樣，同一種控制技術(shù)也可能適用于幾種策略，如加強內(nèi)部控制和信息系統(tǒng)建設等措施，既可以作為緩釋工具，也可以作為避免控制工具。（二）幾種常用的風險控制/緩釋工具內(nèi)部控制 相對于市場風險和信用風險，操作風險通常被認為是一種可控制的內(nèi)部風險，因此內(nèi)部控制是操作風險控制的最佳方法。良好的內(nèi)部控制可以降低重大人為錯誤以及過程和系統(tǒng)方面違規(guī)行為發(fā)生的可能性，即使錯誤和違規(guī)發(fā)生，良好的內(nèi)控也有助于及時發(fā)現(xiàn)。德銀都非常重視培養(yǎng)風險意識、貫徹全面風險管理理念、健全治理結(jié)構(gòu)、完善內(nèi)部控制，以從根本上減少操作風險發(fā)生的可能性。與操作風險有效管理有關的內(nèi)部控制關鍵因素包括：（1）良好的控制環(huán)境。包括相互獨立的董事會、監(jiān)事會和審計委員會，有效組織結(jié)構(gòu)，成熟的管理哲學和正常的經(jīng)營周期等，為了保證內(nèi)部控制制定的有效性，審計委員會直接向董事會報告。（2）有效的風險控制體系。風險控制作為一項系統(tǒng)工程，牽涉風險信息系統(tǒng)、報告系統(tǒng)和相應的行動等，應遵循以下三個原則：管理制度不應過度束縛風險承擔活動；生成風險的業(yè)務經(jīng)營部門應與監(jiān)管和控制風險的部門明確分離；應鼓勵各部門對存在的風險進行披露。（3）有效的內(nèi)部控制措施。這些內(nèi)部控制措施主要包括:適當?shù)穆氊煼蛛x，避免利益沖突產(chǎn)生的操作風險；密切監(jiān)測風險限額的遵守情況；對接觸和使用德銀資產(chǎn)和記錄進行安全保護；確保員工擁有適當?shù)募寄芎团嘤?；識別業(yè)務線和產(chǎn)品線的異?；貓蟋F(xiàn)象；定期對交易和賬戶進行復核和對賬等。（4）完善的內(nèi)部信息管理體系。德意志銀行通常都建立了良好的操作風險數(shù)據(jù)庫，并保證它們的有效運行，及時全面地給決策人員提供真實的數(shù)據(jù)，確保整個銀行經(jīng)營管理的透明和高效。保險一些重大操作風險發(fā)生的概率雖低，但潛在的財務影響卻非常大，保險可以使這種潛在的“低頻率、高損失”的操作風險損失具體化，因此，保險成為國外銀行管理操作風險的一種常用工具。保險公司、經(jīng)紀人和銀行根據(jù)不同的操作風險種類，一起合作研究、開發(fā)了諸多保險保障產(chǎn)品，其中包括銀行一攬子保險、錯誤與遺漏保險、經(jīng)理與高級職員責任險、商業(yè)綜合責任險、財產(chǎn)險、雇員行為責任險、未授權(quán)交易保險以及計算機犯罪保險、因特網(wǎng)責任保險等。下面簡要介紹幾種保險產(chǎn)品涵蓋的操作風險范圍：（1）銀行一攬子保險。主要承保的是銀行內(nèi)部盜竊和欺詐，以及外部欺詐風險。具體而言，銀行內(nèi)部欺詐，包括信用欺詐、盜竊、貪污、賄賂、逃稅、資產(chǎn)的非法占有、惡意的資產(chǎn)破壞、未授權(quán)的資金轉(zhuǎn)移、內(nèi)部交易損失等風險；內(nèi)部計算機犯罪行為，包括盜竊信息、操縱數(shù)據(jù)、防火墻癱瘓、密碼錯誤、網(wǎng)頁錯誤等。（2）錯誤與遺漏保險。主要承保的是無法為客戶提供專業(yè)服務，或在提供服務過程中出現(xiàn)的過失風險，被保險人包括銀行附屬機構(gòu)、經(jīng)理、高級職員以及一般雇員等。（3）經(jīng)理與高級職員責任險。主要承保的是銀行經(jīng)理與高級職員操縱市場、洗錢、未對敏感信息進行披露、不當利用重要信息等行為給銀行造成潛在損失的風險。（4）未授權(quán)交易保險。主要承保的風險包括未報告交易、未授權(quán)的交易、超過限額的交易風險等。未授權(quán)交易，指的是那些不在銀行允許的業(yè)務范圍內(nèi)，或是與未被贊成的一方所從事的交易，且該項交易被隱瞞未報，或被錯誤地記錄在案。（5）電子保險。主要承保的是銀行在經(jīng)營過程中由于運用計算機和網(wǎng)絡，客觀或人為地造成銀行損失的電子網(wǎng)絡技術(shù)風險。保險雖然是銀行常用的風險管理工具，但也具有很大的局限性。比如承包人為了緩解銀行道德風險的影響和限制自己的賠付成本，保單中通常包含一項扣減和一個責任上限，這意味著這兩部分風險沒有得到保險。另外，很多保單將特定風險事件排除在保險范圍外，如自然災害、戰(zhàn)爭和核攻擊等。因此，并非所有的風險事件都能夠被控制，銀行必須正確識別與保險相聯(lián)系的剩余風險，采取一定的措施，對保障范圍之外的剩余風險進行有效管理。信息技術(shù)系統(tǒng)信息技術(shù)和互聯(lián)網(wǎng)技術(shù)的發(fā)展，使銀行的職能、業(yè)務結(jié)構(gòu)、業(yè)務模式和組織框架等，發(fā)生了根本變化，也給銀行的管理帶來了新的風險、自動化水平提升可以把高頻率、低數(shù)額的損失風險轉(zhuǎn)換為低頻率、高數(shù)額的損失風險。后者的原因可能是由內(nèi)部或超出銀行直接控制的因素（如，外部事件）而造成的損失或長時間的服務中斷。此類問題會給銀行造成嚴重困難，并且可能損害一家機構(gòu)從事主要業(yè)務活動的能力。因此，對適當?shù)?