5.1 操作風險識別

　　巴塞爾委員會將操作風險定義為“由不完善或有問題的內部程序、人員及系統或外部事件所造成損失的風險”。本定義所指操作風險包括法律風險，但不包括聲譽風險和戰略風險。

　　本節從人員因素、內部流程、系統缺陷和外部事件四個方面對操作風險形成的原因、損失種類及特征進行分析。

　　5.1.1 人員因素

　　操作風險的人員因素主要是指因商業銀行員工發生內部欺詐、失職違規，以及因員工的知識/技能匱乏、核心員工流失、商業銀行違反用工法等造成損失或者不良影響而引起的風險。

　　1. 內部欺詐

　　內部欺詐是指員工故意騙取、盜用財產或違反監管規章、法律或公司政策導致的損失。

　　2. 失職違規

　　商業銀行內部員工因過失沒有按照雇用合同、內部員工守則、相關業務及管理規定操作或者辦理業務造成的風險，主要包括因過失、未經授權的業務或交易行為以及超越授權的活動。員工越權行為包括濫用職權、對客戶交易進行誤導或者支配超出其權限的資金額度，或者從事未經授權的交易等，致使商業銀行發生損失的風險。商業銀行應對員工越權行為導致的操作風險予以高度關注。

　　3. 知識/技能匱乏

　　①在工作中，自己意識不到缺乏必要的知識，按照自己認為正確而實際錯誤的方式工作；

　　②意識到自己缺乏必要的知識，但是由于顏面或者其他原因而不向管理層提出或者聲明其無法勝任某一工作或者不能處理面對的情況；

　　③意識到本身缺乏必要的知識，并進而利用這種缺陷。

　　4. 核心雇員流失

　　核心雇員流失體現為對關鍵人員依賴的風險，包括缺乏足夠的后援/替代人員，相關信息缺乏共享和文檔記錄，缺乏崗位輪換機制等。

　　5. 違反用工法

　　違反用工法是指違反就業、健康或安全方面的法律或協議，包括勞動法、合同法等，造成個人工傷賠付或因性別/種族歧視事件導致的損失。

　　5.1.2 內部流程

　　內部流程引起的操作風險是指由于商業銀行業務流程缺失、設計不完善，或者沒有被嚴格執行而造成的損失。

　　1.財務/會計錯誤

　　2.文件/合同缺陷。主要表現為抵押權證、房產證丟失等。

　　3.產品設計缺陷

　　4.錯誤監控/報告。錯誤監控/報告是指商業銀行監控/報告流程不明確、混亂，負責監控/報告的部門的職責不清晰，有關數據不全面、不及時、不準確，造成未履行必要的匯報義務或者對外部匯報不準確（發生損失）。

　　5.結算/支付錯誤

　　6.交易/定價錯誤

　　5.1.3 系統缺陷

　　系統缺陷引發的操作風險是指由于信息科技部門或服務供應商提供的計算機系統或設備發生故障或其他原因，商業銀行不能正常提供部分、全部服務或業務中斷而造成的損失。

　　1.數據/信息質量

　　2.違反系統安全規定

　　3.系統設計/開發的戰略風險

　　4.系統的穩定性、兼容性、適宜性

　　5.1.4 外部事件

　　1.外部欺詐/盜竊

　　外部欺詐是指外部人員故意騙取、盜用財產或逃避法律而給商業銀行造成損失的行為，包括外部的盜竊、搶劫、涉槍行為；偽造、變造多戶頭支票，騙貸等欺詐行為。該類風險是給商業銀行造成損失最大、發生次數最多的操作風險之一。

　　2.洗錢

　　3.政治風險

　　4.監管規定

　　5.業務外包

　　6.自然災害

　　7.恐怖威脅

　　操作風險事件類型

　　巴塞爾委員會規定的可能造成實質性損失的操作風險事件類型：

　　（1） 內部欺詐；

　　（2） 外部欺詐；

　　（3） 員工行為和工作場所問題；

　　（4） 客戶、產品和經營行為；

　　（5） 實物資產的損毀；

　　（6） 經營的中斷和系統的癱瘓；

　　（7） 執行、交貨和流程管理。