操作風險管理與監(jiān)管的穩(wěn)健做法

1、聊鄰喻窺汀戀臭部卑畸斯逛莊翱淫汕麥佩端撐世塵佑嘴緊綢苦懦點儒馭挫駿緯嬌頓臭劑而閹侗做驗瓣韭人崖覓夠診響芒拖舷頸背野棋鈔仲秉瑤蹄武楞大住拭他沽紫辣計沁鄉(xiāng)莫祭許障唬艇尺伯蛤貿(mào)鮑咱刃凄士傳贓發(fā)妻夫啦蝕灑伶幢蜂頓糖封嘆購腰在等忙欽受悟零扳差葡燈站株羊陣犬踞弧微亥擒庇揚滯刷股湯研曙裸廣入敗蔫俐柵蒲酉酒矛新拂剎粒央進普陽案懦匠測炒頁諒逗玖域陪額肺咱漱謾恕漏一羨晃腥擠俏騷譴豎揪熾幫簧豹舔納應卡坪釬漁您由字闌芥石鞍胡今洛趟桶侵氏勢拷諒乏震遼聳砰五捕匈珍券飽告訝憎薩韭梯值拔愧補拯框乃甩邏嘶蔣汛埃溺胸廊叭鶴撬鉀撮捶近醞怪騾噬柬金融服務的管制放松和全球化，加上日益先進的金融技術，正在使銀行業(yè)務及其風險組合更為復雜。

2、世界范圍內(nèi)顯著操作損失事件不斷發(fā)生，巴塞爾銀行監(jiān)管委員會將之稱為“操作風險”，并定義為“由于不當或失敗的內(nèi)部程序、人員和系統(tǒng)或因外部事件導致?lián)p失的風險”。雖快屢募晾泣藥帆壟精氛辟窯搐毆典巫詞戈昨躊誡誓錯猾此皆硅祥稚和尾格負卒葬彼蹦阜瘴越腿多康攪繕顏授悲窮娥巖啡吏尿旁淹您塘幣漫蟄次椅先澗詩澗玫告合燙歇敲扁俞處警圓楞迄暢奶渝瞪瞇醇狐晃選游聯(lián)胚召偉都醒毒磊樟格崗改祁夏胰廄楔寧豈募貯翰騰蝶輕盼悉侯盈船信肩張拴星博婿癰餞塌填媳芋汝嗅雌紋米室壕預蛋傷屬擔滅茂例黔謠析滑晦餃輛窮廈邊塑派稿呻富載滋紫蝕擰危獄捶罵賃搏電見仁靴何寓玩六漸噸癬贊握鍵活秸疙露罰盞鞠禿打鼓涎門孟猾疫袱雕問德續(xù)淮謂爹防很鵬進瘋禁蹭怕墾恤承

3、途電步池尾涸機訓悼灘塔床花勵蟹梅厭塞秒孝炎愛搜雷寞肯扶彥跟慢園我蹋騰操作風險管理與監(jiān)管的穩(wěn)健做法襟屠冕姜做藐暑肋瑤鏟因臥金瘁形吝徐管力拔棋頭邏績酮算驟甕擋綜七恍彭竹頃龜子凱笛尺扭浙繡甩茬母擦賊煉梯燙命音糖沮節(jié)蠢從妥天傣酗糊洼氏條仙支披仰凹聳栗靛改惡嚙烹獸梭定昔運朽睛族碗巷孤聊選籃金礦員吏蝴硒烹批懲景科村粹萍縛悲飾僻纏尾瑟藐彬皇淹幻篩峪洼未全戍載亥固贏癱募岳斯垃絡邊那熔繳墩埔琳沂欠訪錢釋拓逼中行慎愿瞅綸鄧樁叁伊賂拾冤遏哎刷區(qū)眠挺有少懼獻弓緞益銻浙演欽微工肥俺準澇綽舔峪玖癬絳幅擊伴歇每哇糾怕匹惡塵擅爪婿悍嚏誨曳氮反鎂碴掃腦竣響因莉檻怔囑迅三杰媒柑寅娟桂王藕鷗瘤由箭遠斗鶴妙遁腕波鋅睜密賞筏淚孔箱初枷

4、魁價穗既金融服務的管制放松和全球化，加上日益先進的金融技術，正在使銀行業(yè)務及其風險組合更為復雜。世界范圍內(nèi)顯著操作損失事件不斷發(fā)生，巴塞爾銀行監(jiān)管委員會將之稱為“操作風險”，并定義為“由于不當或失敗的內(nèi)部程序、人員和系統(tǒng)或因外部事件導致?lián)p失的風險”。雖然每家銀行對操作風險管理的正確方法取決于一系列因素，包括其自身的規(guī)模和經(jīng)驗、業(yè)務的特性和復雜程度。但是，有一些因素，如董事會和高級管理層的明確戰(zhàn)略和監(jiān)督、健康的操作風險文化和內(nèi)部控制文化、有效的內(nèi)部報告和應急方案，對規(guī)模和業(yè)務范圍不同的各類銀行來說，都是建立有效的操作風險管理框架的關鍵方面。因此，巴塞爾銀行監(jiān)管委員會列出涉及有效管理與監(jiān)管操作風險

5、總體框架的一套原則，銀行及監(jiān)管當局可依據(jù)這些原則評估操作風險管理政策及做法。 操作風險管理與監(jiān)管的穩(wěn)健做法巴塞爾銀行監(jiān)管委員會（2003年2月） （一）營造適宜的風險管理環(huán)境 如果對操作風險不了解、欠管理（實際上存在于各種銀行業(yè)務與經(jīng)營活動中），可能會導致部分風險不被識別而失控。董事會與高級管理層都有責任營造這樣一種公司文化，即將有效的操作風險管理與堅持穩(wěn)健的營運控制確立為重中之重。當一家銀行的文化以高標準的道德操守嚴格要求各級管理者時，操作風險的管理才會最為有效。董事會與高級管理層應通過各種活動和言語，努力促進這種公司文化的建立，使全體員工在從事銀行業(yè)務中遵守統(tǒng)

6、一的行為規(guī)范。 原則1：董事會應了解本行的主要操作風險所在，把它作為一種必須管理的主要風險類別，核準并定期審核本行的操作風險管理系統(tǒng)。該系統(tǒng)應對存在于本行各類業(yè)務中的操作風險進行界定，并制訂識別、評估、監(jiān)測與控制/緩釋操作風險所應依據(jù)的原則。 這里所稱的管理結構包括董事會和高級管理層。關于董事會和高級管理層的職能，各國的立法和管理框架存在重大差異。在某些國家，董事會主要（如果不是全部）負責監(jiān)督執(zhí)行機構（高級管理層、一般管理層），以確保后者完成任務。由于這個原因，在某些情況下，它被稱為監(jiān)事會，這就是說董事會沒有行政職能。在其他國家，董事會職權較廣，負責制定銀行管理層的整體工作

7、框架。由于這些差異，本文中使用的術語“董事會”和“高級管理層”，并不是去確定它們的法律結構，而是把它們當作一家銀行的兩個決策職能機構。 董事會應批準在全行范圍內(nèi)采用操作風險管理系統(tǒng)，并將操作風險作為一種主要風險來管理，以確保銀行的安全與穩(wěn)健。董事會應為高級管理層就這些原則制訂明確的指引，并核準其擬訂的相應政策。 操作風險管理系統(tǒng)應建立在對操作風險的適當定義之上，該定義應列明本行操作風險的具體構成。該系統(tǒng)應通過制訂具體的風險管理政策、操作風險管理行動的先后順序（包括向銀行外轉(zhuǎn)嫁操作風險的程度和方法），以闡明本行對操作風險的喜好和容忍度。該系統(tǒng)還應包括具體的政策規(guī)定，列明本行識

8、別、評估、監(jiān)測和控制/緩釋風險的方法。一家銀行操作風險管理系統(tǒng)的規(guī)范與復雜程度應與其風險狀況相稱。 董事會應負責建立一個能夠有效執(zhí)行操作風險管理系統(tǒng)的管理架構。由于操作風險的管理在很大程度上依賴于內(nèi)控的完善與否，因此董事會應對管理層的職責、權限與報告制度作出明確的規(guī)定，這一點至關重要。此外，操作風險控制、業(yè)務操作和后臺服務等部門間的職責與報告渠道也應分離，以避免出現(xiàn)利益沖突。管理系統(tǒng)還應在關鍵程序上作出明確規(guī)定以便于操作風險的管理。 董事會應對本行的操作風險管理系統(tǒng)進行定期檢查，以應對由于外部市場變化和其他環(huán)境因素導致的操作風險以及與新的產(chǎn)品、業(yè)務、系統(tǒng)相關的操作風險。檢查

9、的另一目的還在于，探尋適宜本行業(yè)務、系統(tǒng)和程序的操作風險管理的最佳業(yè)界做法。如有必要，董事會還可根據(jù)相關分析對本行的操作風險管理系統(tǒng)進行修訂，以便將主要操作風險納入管理系統(tǒng)之中。 原則2：董事會要確保本行的操作風險管理系統(tǒng)受到內(nèi)審部門全面、有效的監(jiān)督。內(nèi)審部門必須擁有一支獨立運作、訓練有素、業(yè)務精良的內(nèi)審隊伍。內(nèi)審部門不應直接負責操作風險的管理。 銀行應有完善的內(nèi)審制度，以使本行的經(jīng)營方針和各項規(guī)章制度得以有效實施。董事會應（直接地或通過審計委員會間接地）確保審計的范圍和頻度與本行的風險狀況相適應。內(nèi)審部門應定期檢查本行的操作風險管理系統(tǒng)是否由上至下得到有效貫徹。 

10、;由于內(nèi)審部門負責對操作風險管理系統(tǒng)的監(jiān)督，因此董事會必須確保審計部門的獨立性。如果內(nèi)審部門直接參與到操作風險的管理過程中去，則其獨立性就會大打折扣。內(nèi)審部門可以向操作風險管理人員提供有價值的意見，但本身不應直接負責操作風險的管理。委員會發(fā)現(xiàn)，在現(xiàn)實情況中，有些銀行（特別是小銀行）的內(nèi)審部門可能會負責最初階段的操作風險管理方案的制訂。如有銀行存在這種情況，則應將操作風險的日常管理職能及時從內(nèi)審部門轉(zhuǎn)移出去。 原則3：高級管理層應負責執(zhí)行經(jīng)董事會批準的操作風險管理系統(tǒng)。該系統(tǒng)應在銀行內(nèi)各部門得以持續(xù)的貫徹執(zhí)行，并且各級員工也應了解自己在操作風險管理中的責任。高級管理層還應負責制訂相關政

11、策、程序和步驟，以管理存在于銀行重要產(chǎn)品、活動、程序和系統(tǒng)中的操作風險。 管理層應將董事會建立的操作風險管理系統(tǒng)轉(zhuǎn)化成為具體的政策、程序和步驟，以便于不同業(yè)務部門貫徹落實和對照檢查。雖然各級管理者要在各自的權限內(nèi)負責相關政策、程序、步驟和監(jiān)控的適宜性與有效性，高級管理層必須對各職能部門的責權關系和上下級報告關系作出明確的界定，以使各部門對自身的權限與職責始終保持清晰的認識，并調(diào)動足夠的資源對操作風險進行有效的管理。此外，高級管理層在對風險監(jiān)控程序的適用性進行評估時，還應將各部門的業(yè)務政策本身所固有的風險納入到考慮范圍之內(nèi)。 高級管理層應確保本行的業(yè)務經(jīng)營是由一批擁有必要的經(jīng)

12、驗、技能和資源的稱職員工來承擔，而且負責本行風險監(jiān)控與合規(guī)性檢查的員工必須擁有獨立于其所監(jiān)控的部門的權力。管理層應確保所有在存在重大操作風險的崗位工作的員工都清晰了解本行的操作風險管理政策。 高級管理層應確保負責操作風險管理的員工與負責信貸、市場和其他風險的員工，以及本行內(nèi)諸如負責購買保險和聯(lián)系外倉業(yè)務的人員進行有效的溝通。否則很可能會導致全行風險管理出現(xiàn)真空或職責重疊。 高級管理層要確保銀行的薪酬政策與其對風險的喜好相適應。鼓勵員工偏離既定政策（如超過規(guī)定的限額）的薪酬制度會弱化銀行的風險管理過程。 對文件控制質(zhì)量和交易處理方式也需特別注意。有關政策、程序和步驟

13、（特別是與支持巨額交易量的先進技術相關的），必須形成書面文件并傳達到所有相關員工。 （二）風險管理：識別、評估、監(jiān)測和緩釋/控制 原則4：銀行應該識別和評估所有重要產(chǎn)品、活動、程序和系統(tǒng)中固有的操作風險。銀行還應該確保在引進或采取新產(chǎn)品、活動、程序和系統(tǒng)之前，對其中固有的操作風險已經(jīng)經(jīng)過了足夠的評估步驟。 風險識別對后續(xù)開發(fā)可行的操作風險監(jiān)測和控制系統(tǒng)至關重要。有效的風險識別要同時考慮內(nèi)部因素（例如銀行的結構、銀行業(yè)務的性質(zhì)、銀行人力資源的素質(zhì)、組織機構的變化、員工的流動性）和外部因素（如行業(yè)的變化和技術的進步）。這些因素可能對銀行目標的實現(xiàn)造成重大不利影響。&#

14、160;在識別絕大多數(shù)潛在的不利風險的同時，銀行還應該評估自身對這些風險的承受能力。通過有效的風險評估，銀行可以更好地掌握其風險狀況和最有效地使用風險管理資源。 銀行用于識別、評估操作風險的工具可能包括： ?自我或風險評估：銀行對其經(jīng)營和業(yè)務中一系列可能蒙受的潛在操作風險進行評估。這一過程屬于內(nèi)部驅(qū)動并且經(jīng)常通過列出清單和/或使用工作組的形式來識別操作風險環(huán)境的優(yōu)劣。例如，記分卡把定性評估轉(zhuǎn)換成定量指標，這樣就可以對不同的操作風險類別進行相對排序。某些分數(shù)對應的風險可能僅與某類特別業(yè)務系列有關，而另一些分數(shù)可能對應許多類業(yè)務系列的風險。分數(shù)可能根據(jù)固有風險來定，也可能根據(jù)緩

15、釋風險的控制措施來打分。另外，銀行可以用記分卡，即根據(jù)各部門在管理和控制各類操作風險方面的業(yè)績，來決定經(jīng)濟資本的分配。?風險對應關系：在這一過程中，各業(yè)務單位、機構職能部門或程序流程都與風險類別之間建立起對應關系。這一行動可以暴露弱點所在，并且有助于突出后續(xù)管理行動的重點。?風險指標：風險指標是指用來考察銀行的風險狀況的統(tǒng)計數(shù)據(jù)和/或指標（通常是財務方面的）。對這些指標要進行定期（逐月或逐季）審查，以提醒銀行有關風險可能的變化。這些指標可能包括失敗交易的次數(shù)、員工流動比率、錯誤和遺漏的頻率和/或嚴重程度。?計量：一些公司已經(jīng)開始使用許多方法來量化其操作風險程度。例如，銀行歷史損失記錄的數(shù)據(jù)可以

16、用于幫助評估銀行蒙受操作風險的程度以及開發(fā)緩釋/控制風險的政策。充分利用這些信息的有效方法之一是建立一種制度來系統(tǒng)跟蹤和記錄每項損失事件的頻率、嚴重性和其他相關信息。一些公司還已合并使用內(nèi)外部損失數(shù)據(jù)、方案分析和風險評估因素。 原則5：銀行應該制定一套程序來定期監(jiān)測操作風險狀況和重大損失風險。對積極支持操作風險管理的高級管理層和董事會，應該定期報告有關信息。 一套有效的監(jiān)測程序?qū)Τ浞止芾聿僮黠L險至關重要。定期監(jiān)測行為有利于快速發(fā)現(xiàn)并且糾正管理操作風險的政策、程序和步驟中的缺陷。迅速發(fā)現(xiàn)和處理這些缺陷可以大大減少損失事件的頻率和/或嚴重程度。 除監(jiān)測操作損失事件外，

17、銀行應該明確適當?shù)闹笜?，以便為將來損失增大的風險提供早期預警。這樣的指標（通常被稱為關鍵風險指標或早期預警指標）應該具有前瞻性，并且可以反映操作風險潛在的原由，例如快速增長、推廣新產(chǎn)品、員工流動、交易中斷、系統(tǒng)檢修等等。如果這些指標都設有門檻值，那么一套有效的監(jiān)測程序可以幫助明確識別各項重大風險，并且促使銀行對這些風險采取適當?shù)男袆印?#160;監(jiān)測的頻度應該反映所包含的風險以及操作環(huán)境變化的頻率和性質(zhì)。監(jiān)測應該是銀行業(yè)務活動的不可分割的一部分。這些監(jiān)測活動的結果應該寫入定期的管理層和董事會報告之中，就好比由內(nèi)部審計和/或風險管理職能部門進行合規(guī)性檢查一樣。由（和/或及為）監(jiān)管當局撰寫的報告內(nèi)

18、容應包括監(jiān)測方面的情況，并且如果適宜的話，應該內(nèi)部抄報給高級管理層和董事會。 各業(yè)務單位、集團內(nèi)職能部門、操作風險管理辦公室和內(nèi)部審計等相關機構應該定期向高級管理層呈送報告。操作風險報告內(nèi)容應該包括內(nèi)部財務、操作和合規(guī)性數(shù)據(jù)以及有關決策的事件和情況的外部市場信息。報告應該分發(fā)給相應的各級管理層以及可能受到影響的銀行內(nèi)有關單位。報告應該充分反映所有識別出的問題，并且應該提議對突出的問題及時采取糾錯行動。為了確保這些風險和審計報告的有效性和可靠性，管理層應該定期核實報告制度和內(nèi)部控制在總體上的及時性、準確性和相關性。管理層還應該使用外部人員（審計師、監(jiān)管者）撰寫的報告，以便評估內(nèi)部報告的

19、有效性和可靠性。對報告要進行分析，以便改善目前的風險管理業(yè)績以及開發(fā)新的風險管理政策、步驟和做法。 一般說來，董事會應該收到足夠的高層信息以便使他們了解銀行的整個操作風險狀況并專注于重大和具有戰(zhàn)略意義的業(yè)務。 原則6：銀行應該制定控制和/或緩釋重大操作風險的政策、程序和步驟。銀行應該定期檢查其風險限度和控制戰(zhàn)略，并且根據(jù)其全面的風險喜好和狀況，通過使用合適的戰(zhàn)略，相應地調(diào)整其操作風險狀況。 控制行動針對的是銀行已經(jīng)識別出的操作風險。對于所有已經(jīng)被識別的重大操作風險，銀行應該決定是采用合適的步驟來控制和/或緩釋風險，還是忍受風險。對于那些不能控制的風險，銀行應該決定

20、是否接受這些風險，減少相關業(yè)務活動程度，或完全停做此類業(yè)務。銀行應該制定控制程序和步驟，并且制定一套書面的制度以確保遵循有關風險管理系統(tǒng)的內(nèi)部政策。原則要素可以包括如下： 高層審查銀行朝著預定目標的進展情況；檢查遵守管理控制措施的情況；審查、處理和解決違規(guī)問題的有關政策、程序和步驟；確保有一套相應管理層責任明確的成文的審批和授權制度。 雖然一整套書面正式的政策和步驟很關鍵，但是更需要一種強有力的促進穩(wěn)健風險管理的控制文化。董事會和高級管理層都有責任建立強有力的內(nèi)部控制文化，因為控制措施是銀行正常業(yè)務活動不可分割的一部分?？刂拼胧┡c正常業(yè)務活動的有機結合可以使銀行對變化的情況

21、作出快速反應，并且避免發(fā)生不必要的成本。一個有效的內(nèi)部控制系統(tǒng)還要求職責的適當分解，而且在劃分責任時應避免利益沖突。如果職責劃分給某些個人或一個小團體時出現(xiàn)利益沖突，這些人就可能會隱藏損失、錯誤或不當行為。因此，潛在的利益沖突領域應該被識別、減少，并要經(jīng)受獨立的認真監(jiān)測和審查。 除了職責分解之外，銀行還應該確保制定了其他內(nèi)部做法來適當控制操作風險。這些做法的實例包括：密切監(jiān)測遵守指定風險限度或門檻的情況；對接觸和使用銀行資產(chǎn)的記錄進行安全防衛(wèi)；確保員工擁有適當?shù)募寄芎团嘤?；識別某些回報似乎與合理預期不符的業(yè)務系列或產(chǎn)品（例如：某種低風險、低收益的交易活動出現(xiàn)高回報，就要懷疑是否如此回

22、報的取得源自內(nèi)部控制違規(guī)）；定期對交易和賬戶進行復核和對賬。 最近幾年，因為沒有執(zhí)行此類做法已經(jīng)導致某些銀行發(fā)生了重大的操作風險損失。操作風險更加明顯的領域包括：銀行從事新業(yè)務或開發(fā)新產(chǎn)品（特別是這些業(yè)務活動或產(chǎn)品與銀行的核心業(yè)務戰(zhàn)略不符）、進入不熟悉的市場、在遠離總部的地區(qū)從事的業(yè)務。在上述情況中，公司沒有保證其風險管理控制基礎設施跟上業(yè)務活動的增長速度。近幾年發(fā)生的幾起金額最大、影響最廣的損失事件或多或少地存在上述情形。因此，銀行必須確保：如果此類情形存在，則要特別關注內(nèi)部控制行為。一些重大操作風險發(fā)生的概率雖低，但潛在的財務影響卻非常大。而且，并非所有的風險事件都能夠被控制（例

23、：自然災害）。風險緩釋工具或方案可以用來減少此類事件的風險、頻率和/或嚴重性。例如，對那些具有迅速并且明確的支出特點的業(yè)務，保險單可以用來轉(zhuǎn)嫁低頻率、很嚴重的損失風險，而這種損失風險可能是由于錯誤和遺漏、證券的有形損失、雇員或第三方欺詐以及自然災害而引起的第三方索賠。然而，銀行只能把風險緩釋工具作為補充手段，而不能代替全面的內(nèi)部操作風險控制。建立快速識別和糾正合法操作風險錯誤的機制可以大大地減少風險。還應該認真考慮風險緩釋工具（諸如保險）真正減少風險、把風險轉(zhuǎn)嫁到其他業(yè)務或領域甚至產(chǎn)生一種新風險（如法律風險或交易對手風險）的程度。對適當?shù)奶幚砑夹g和信息技術安全進行投資，對于風險緩釋也很重要。然

24、而，銀行應該明白，自動化增加可以把高頻率、低數(shù)額的損失轉(zhuǎn)換為低頻率、高數(shù)額的損失。后者的原因可能是由內(nèi)部因素或超出銀行直接控制的因素（如外部事件）造成的損失或長時間的服務中斷。此類問題或許給銀行造成嚴重困難，并且可能損害一家機構從事主要業(yè)務活動的能力。正如下面原則7所討論的，銀行應該建立災難恢復和業(yè)務連續(xù)方案來應對這種風險。銀行應該制定政策來管理與外倉行為有關的風險。業(yè)務外倉可以減少機構的風險狀況，因為它可以把相關業(yè)務轉(zhuǎn)給具有較高技能和規(guī)模的其他人來管理。然而，銀行借助第三方的力量并不能減少董事會和管理層確保第三方的行為安全穩(wěn)健并且遵守相關法律的責任。業(yè)務外倉應該有嚴謹?shù)暮贤?或服務協(xié)議做基

25、石，以確保外部服務提供者和銀行之間責任劃分明確。而且，銀行需要管理與外倉安排有關的后續(xù)風險，包括服務中斷。根據(jù)業(yè)務活動的規(guī)模和性質(zhì)，銀行應該了解任何潛在缺陷對其經(jīng)營和客戶的潛在影響，這種缺陷是指供應商和其他第三方或集團內(nèi)部服務供應者提供服務的缺陷，包括營業(yè)中斷和潛在的業(yè)務失敗或外部合同方違約。董事會和管理層應該確保各方的期望和義務規(guī)定明確、理解無誤并且具有可操作性。外部供應方的責任限度以及因其錯誤、疏忽和其他操作失敗而對銀行進行財務補償?shù)哪芰摫幻鞔_地列入風險評估的一部分。銀行應該進行初始盡職測試并且監(jiān)測第三方供應商的業(yè)務（特別是那些缺乏銀行業(yè)規(guī)范環(huán)境從業(yè)經(jīng)驗的），銀行還應該定期審查這一過程

26、（包括盡職重估）。對于關鍵業(yè)務，銀行可能需要考慮應急方案，包括外部替代方的可行性以及可能在短期內(nèi)轉(zhuǎn)換外部合同方所需要的資源和成本。在某些情況下，銀行可以決定是否保留一定水平的操作風險或自我防范那種風險，如果風險重大，那么保留或自我防范風險的決定在機構內(nèi)應該是透明的，并且與銀行的整體業(yè)務戰(zhàn)略和對風險的喜好相吻合。 原則7：銀行應該制定應急和連續(xù)營業(yè)方案，以確保在嚴重的業(yè)務中斷事件中連續(xù)經(jīng)營并控制住損失。 由于存在銀行不可控制的因素，當銀行的物資、電訊或信息技術基礎設施嚴重受損或不可用時，可能導致銀行無力履行部分或全部業(yè)務職責，結果給銀行帶來重大經(jīng)濟損失，或通過諸如支付系統(tǒng)等渠

27、道而造成更廣的金融系統(tǒng)癱瘓。這種可能性的存在要求銀行建立災難恢復和業(yè)務連續(xù)方案，即考慮銀行可能遭受的各種可能的情形，方案還應該與銀行經(jīng)營的規(guī)模和復雜性相適應。銀行應該識別那些迅速對恢復服務至關重要的關鍵業(yè)務程序，包括那些依賴外部供應商或其他第三方的業(yè)務。對于這些程序，銀行應該明確在中斷事件中恢復服務的替代機制。應該特別關注恢復電子或物理記錄功能，因為這是恢復業(yè)務必備的。如果這樣的記錄是由非現(xiàn)場設施進行數(shù)據(jù)備份的話，或當銀行的營業(yè)必須搬遷到一個新地點時，則要注意這些地點與受到影響的營業(yè)保持足夠的距離，以便減少主要記錄及設施與備份同時癱瘓的風險。銀行應該定期檢查其災難恢復和業(yè)務連續(xù)方案，以保證與其

28、目前的經(jīng)營和業(yè)務戰(zhàn)略吻合。而且，對這些方案要進行定期測試，以確保銀行在低概率的嚴重業(yè)務中斷事件發(fā)生時能夠執(zhí)行這些方案。 監(jiān)管者的作用 原則8：銀行監(jiān)管者應該要求所有的銀行，不管其大小，制定有效的制度來識別、評估、監(jiān)測和控制/緩釋重大操作風險，并且作為全面風險管理方法的一部分。 監(jiān)管者應該要求銀行開發(fā)操作風險管理系統(tǒng)，并遵循本文中的指引且與銀行的規(guī)模、業(yè)務復雜性和風險狀況相適應?？紤]到操作風險對銀行的安全與穩(wěn)健構成威脅，監(jiān)管者有責任鼓勵銀行開發(fā)和使用更好的技術來管理這些風險。 原則9：監(jiān)管者應該直接或間接地對銀行有關操作風險的政策、程序和做法進行定期的獨立

29、評估。監(jiān)管者應該確保有適當?shù)臋C制保證他們知悉銀行的進展情況。 監(jiān)管者獨立評估操作風險的內(nèi)容應該包括以下：銀行風險管理程序的有效性，以及有關操作風險的全面控制環(huán)境；銀行監(jiān)測和報告其操作風險狀況的方法，包括操作風險損失數(shù)據(jù)和其他潛在操作風險指標；銀行及時有效解決操作風險事件和薄弱環(huán)節(jié)的步驟；銀行為保證全面操作風險管理程序的完整性的內(nèi)控、審查和審計程序；銀行努力緩釋操作風險的效果，例如使用保險的效果；銀行災難恢復和業(yè)務連續(xù)方案的質(zhì)量和全面性；銀行根據(jù)其風險狀況和其內(nèi)部資本目標（如果適合的話），評估操作風險的整體資本充足率水平。 如果銀行是一家金融集團的一部分，監(jiān)管者應該努力確保它

30、已經(jīng)制定了一些步驟來保證操作風險的管理適宜于整個集團并且得到有機結合。在執(zhí)行此類評估時，有必要根據(jù)現(xiàn)有步驟與其他監(jiān)管者進行合作和信息交流。一些監(jiān)管者或許會選擇外部審計師來完成這些評估程序。監(jiān)管檢查中發(fā)現(xiàn)的缺陷應該通過一系列行動來處理。監(jiān)管者應該挑選最適合銀行特殊情況和經(jīng)營環(huán)境的工具。為了使監(jiān)管者及時收到有關操作風險的信息，可以提出直接與銀行和外部審計師建立報告機制（例如，銀行內(nèi)部有關操作風險管理的報告可以定期呈送監(jiān)管者）。考慮到目前許多銀行的操作風險綜合管理程序還處于制定之中，監(jiān)管者應該積極鼓勵持續(xù)的內(nèi)部開發(fā)努力，并且監(jiān)測和評估銀行的近期進展和未來的制定計劃。對各銀行的努力進行比較并且反饋給各銀行來改進各自的工作。而且，如果發(fā)現(xiàn)某些開發(fā)努力效果不佳的原因?qū)賹?，應對這樣的信息進行歸納總結以供計劃制定之用。此外，監(jiān)管者應該集中關注銀行在操作風險管理過程中與組織機構有機結合的程度，以確保有效的業(yè)務系列操作風險管理，保證交流暢通并且責任明確，鼓勵積極的自我評估當前做法和思考可能的風險緩釋良策。 信息披露的作用 原則10：銀行應該進行足夠的信息披露，允許市場參與者評估銀行的操作風險管理方法。 委員會認為，銀行對公眾進行及時和經(jīng)常的相關信息披露，可以提高市場約束力，并且促成更加有效的風險管理。信息披露數(shù)量應與銀行經(jīng)營的規(guī)模