商业银行是在一定的政治、经济和社会环境中运营的,经营环境的变化、外部突发事件等都会影响其正常的经营活动甚至造成损失。外部事件可能是内部控制失败或内部控制的薄弱环节,也可能是外部因素对商业银行运作或声誉造成的“威胁”。
(1)外部欺诈
外部欺诈是指第三方故意骗取、盗用财产或逃避法律。此类事件是商业银行损失最大、发生次数最多的操作风险之一。
外部欺诈示例:
外部盗窃和欺诈 | 盗窃/抢劫 |
伪造 | |
支票欺诈 | |
系统安全性 | 黑客攻击损失 |
窃取信息造成资金损失 |
(2)洗钱
洗钱是指违法分子通过各种手段将非法所得合法化的行为(如毒品犯罪洗钱等)。各国政府和监管机构都要求商业银行在经营过程中,必须设定相应的程序、政策,以严格控制恐怖融资和洗钱行为。
(3)政治风险
政治风险是指由于战争、征用、罢工和政府行为、公共利益集团或极端分子活动而给商业银行造成的损失。例如,本国政府或商业银行海外机构所在地政府诞生新的立法、公共利益集团的持续压力/运动、极端组织的行动/蓄意破坏、政变/政府更替等事件给商业银行造成经济损失。
(4)监管规定
监管规定是指商业银行未遵守金融监管当局的规定而可能造成的损失。在出台新的金融监管规定、金融监管加强、金融监管者发生改变、金融监管重点发生变化时,较易出现此方面的风险。例如,国家进行宏观调控期间,商业银行应当及时调整有关信贷政策,避免因监管规定的变化而给商业银行造成损失。
(5)业务外包
由于外部供应商的过错而导致服务或供应中断或撤销而造成的损失,例如供电局拉闸限电、系统服务外包机构破产等。
(6)自然灾害
由于自然因素造成商业银行的财产损失,包括火灾、洪水、地震等。例如,2008年汶川大地震给当地多家商业银行造成相当规模的损失。
(7)恐怖威胁
由于人为因素造成商业银行的财产损失,包括恐怖活动、绑架和爆炸等。最有代表性的美国“9.11”事件,给众多金融机构造成惨重的经济损失。
在商业银行的操作风险管理实践中,还可以从原因、损失事件、影响等角度进行多维度分类和评级,以便运用于风险与控制评估、关键风险指标、损失数据收集、检查、整改及操作风险报告等操作风险管理流程,提升管理效率。
1.操作风险原因,是指诱发操作风险转变为操作风险损失事件的缘由,通常一个操作风险损失事件可由一个或多个操作风险原因引发。
一级操作风险原因分类有信息科技系统、流程、人员、经营活动、环境、政治、监管和破坏或事故等八类。其中,信息科技系统、流程、人员属于导致操作风险损失事件发生的内部原因;经营活动、环境、政治、监管和破坏或事故属于导致操作风险损失事件发生的外部原因。
2.操作风险损失事件分类援用了银监会的操作风险损失事件分类
操作风险损失事件分类共有一级、二级和三级分类。在开展操作风险与控制评估、操作风险损失数据收集工作时,需要将识别的风险或发现的损失事件按照本事件分类进行归类。