操作风险管理 (2).ppt

第五章操作风险管理,操作风险,2004年巴塞尔新资本协议率先将操作风险的衡量和管理纳入金融机构的风险管理框架中，并要求金融机构为操作风险配置相应的资本。,操作风险管理,操作风险由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。巴塞尔新资本协议率先将操作风险的衡量与管理纳入金融机构的风险管理框架中，并要求金融机构为操作风险配置相应的资本。资本充足比率总资本/（信用风险市场风险操作风险）,操作风险基本架构,操作风险,风险识别,风险计量,风险评估与控制,风险监测与报告,1.1操作风险的识别,主要内容：形成操作风险的人员因素、内部流程、系统缺陷以及外部事件的种类与内容。,1.1.1人员因素,操作风险中的人员因素主要指因商业银行员工发生内部欺诈、失职违规以及因员工的知识技能匮乏、核心员工流失、商业银行违反用工法等造成损失或者不良影响而引起的风险。,人员因素内部欺诈,内部欺诈是指员工故意骗取、盗用财产或者违反监管规章、法律或公司政策导致的损失。员工违法行为：内部人员作案以及内外勾结作案。,人员因素内部欺诈,原因类别,原因示例,未经授权的活动,盗窃或欺诈,交易不报告交易品种未经授权（存在资金损失）头寸计价错误（故意）,欺诈/信贷欺诈/假存款盗窃/挪用公款/抢劫盗用资产，恶意损毁资产伪造多户头支票欺诈等贿赂/回扣/内幕交易等,人员因素失职违规,失职违规主要指商业银行内部员工因过失没有按照雇佣合同、内部员工准则、相关业务及管理规定操作或者办理业务造成的风险。主要表现：滥用职权、对客户交易进行误导、支配超出期限的资金额度或从事未经授权的交易等。在各商业银行完成股改上市后，为了发展业务，可能造成基层分支机构以越权放款或化整为零，短贷长用、借新还旧等方式规避上级监管，追求片面的信贷业务增长，忽略长期风险的控制。,人员因素知识/技能匮乏,意识不到专业知识的匮乏，按照主观判断进行工作,意识到专业知识的缺乏，碍于颜面或其他原因未向管理层反映,意识到本身知识上的缺乏，并据此利用该缺陷,三种行为模式,给商业银行带来经济或者声誉方面的损失,属于欺诈,人员因素核心雇员损失,核心雇员具备商业银行普通人员不具备的知识，掌握商业银行大量技术和关键信息，如交易员、高级客户经理等。核心雇员流失体现为对关键人员依赖的风险，包括缺乏足够的后援/替代人员，相关信息缺乏共享和文档记录，缺乏岗位轮换机制等。,人员因素违反员工法,违反员工法是指违法就业、健康或者安全方面的法律或协议，包括劳动法，合同法等，造成个人工伤赔付或因性别/种族歧视事件导致的损失。,人员因素违反用工法,原因分析,原因类别,原因示例,劳资关系,安全/环境,性别、种族歧视,薪酬、福利、雇佣合同终止后的安排有组织的劳工运动,一般责任，包括坠落、滑倒等违反员工健康及安全规定事件工人的劳保开支,所有涉及歧视的案件,1.1.2内部流程,内部流程引起的操作风险是指由于商业银行业务流程缺失、设计不完善、或者没有严格执行而造成的损失。,财务/会计错误文件/合同缺陷产品设计缺陷错误监控/报告结算/支付错误交易/定价错误,内部流程缺陷,主要包括：,内部流程财务/会计错误,商业银行内部在财务管理和会计财务处理方面存在流程错误，主要原因是财会制度不完善，管理流程不明晰，财会系统建设存在缺陷等。商业银行从2007年开始根据新的会计准则进行财务制度的设计和相应管理流程的调整，有必要对相应操作风险予以关注，尤其是上市商业银行在不良贷款拨备方面的处理。,内部流程文件/合同缺陷,文件/合同缺陷又称为文件/合同瑕疵，是指各类文件档案的制定、管理不善，包括不合适的或者不健全的文档结构，以及协议中出现错误或者缺乏协议等，主要表现为抵押权证、房产证丢失等。作为关键流程的有效控制与否的证据，文件/合同历来是各商业银行加强档案管理的重点。,内部流程产品设计缺陷,产品设计缺陷是指商业银行为公司、个人、金融机构等客户提供的产品在业务管理框架、权利义务结构、风险管理要求等方面存在不完善、不健全等问题。随着外资商业银行的进入，发达国家的先进金融工具会直接在我国转化并进入市场。为了满足客户要求，各商业银行会竞相模仿甚至在条件方面更优惠客户、流程更简单，但若产品设计不合理或者执行不到位，将造成更严重的风险。,内部流程错误监控/报告,错误监控/报告是指商业银行监控/报告流程不明确、混乱，负责监控/报告的部门的职责不明晰，有关数据不全面、不及时、不准确，造成未履行必要的汇报义务或者对外部汇报不准确（发生损失）。,内部流程结算/支付错误,结算/支付错误是指因商业银行结算支付系统失灵或延迟，如现金未及时送达网点以及对方商业银行等。国内外商业银行均在大力推进运营与后台支持的集中化，在流程方面即加强对前台和中台的控制，又重视对商业银行总体管理的流程重整。,内部流程交易/定价错误,交易/定价错误是指在交易过程中，因未遵循操作规定，交易和定价产生错误。,1.1.3系统缺陷,系统缺陷引发的操作风险是指由于信息科技部门或服务供应商提供的计算机系统或设备发生故障或其他原因，商业银行不能正常提供部分、全部服务或业务中断而造成的损失。包括系统设计不完善和系统维护不完善所产生的风险。,1.1.3系统缺陷,1.一些计算机系统中，对于闰年的计算和识别出现问题，不能把2000年识别为闰年，即在该计算机系统的日历中没有2000年2月29日这一天，而是直接由2000年2月28日过渡到了2000年3月1日；2.在一些比较老的计算机系统中，在程序中使用了数字串99(或99/99等)来表示文件结束、永久性过期、删除等一些特殊意义的自动操作，这样当1999年9月9日(或1999年4月9日即1999年的第99天)来临时，计算机系统在处理到内容中有日期的文件时，就会遇到99或99/99等数字串，从而将文件误认为已经过期或者将文件删除等错误操作，引发系统混乱甚至崩溃等故障。,1.1.3系统缺陷,系统缺陷数据/信息质量,商业银行对数据/信息质量的管理主要是防止各类文件档案的制定、管理不善，业务操作中的数据出现差错，如金额、币别等输入错误。企业级数据库的建设，如核心银行系统、管理信息系统、全面集成的报告体系都离不开数据，数据/信息的质量是风险防范的重点之一。,系统缺陷违反系统安全规定,系统安全包括外部系统安全、内部系统安全以及对计算机病毒和对第三方程序欺诈的防范等。,违反系统安全,突破存储限制系统信息传递/系统修改信息传送失败第三方界面失败系统无法完成任务数据、系统崩溃,主要表现,系统缺陷系统设计/开发的战略风险,商业银行应当对信息系统的项目立项、开发、验收、运行和维护实施有效管理，不能片面追求快速见效或者贪大求全，超越本行业务要求，要在战略高度评价经营管理的需求，要慎重对待系统设计、开发全过程。,系统缺陷系统的稳定性、兼容性、适宜性,技术部门应当与业务部门互相协调，确保系统的整体稳定运行，核心银行系统与相关系统有效兼容，与业务需求和管理需求保持相当的适宜性。,1.1.2外部事件,商业银行的经营在一定的政治、经济和社会环境中发生的，经营环境的变化，外部突发事件等都会影响商业银行的正常经营活动，甚至发生损失。具体而言，包括外部人员故意欺诈，骗取或盗用银行资产及违反法律而对商业银行的客户、员工、财务资源或声誉可能或已造成负面影响的事件，这类事件是内部控制失败或内部控制的薄弱环节，或是外部因素对商业银行运作或声誉造成的威胁。,外部事件外部欺诈/盗窃,外部欺诈是指外部人员故意盗取、盗用财产或逃避法律而给商业银行造成损失的行为，包括外部的盗窃、抢劫、涉枪行为；伪造、变造多户头支票，骗贷等行为。该类风险是给商业银行造成损失最大、发生次数最多的操作风险。,外部事件洗钱,洗钱是指通过各种手段将违法所得合法化的行为，例如毒品犯罪洗钱等。目前，全球反恐的推进，对商业银行在经营过程中设定相应程序、政策以对付恐怖融资和洗钱行为提出了更高的要求。,外部事件政治风险,政治风险是指由于战争、征用、罢工和政府行为、公共利益集团或极端分子活动而引起的活动。例如，本国政府或者商业银行海外机构所在地政府新兴的立法，公共利益集团的持续压力，极端组织的行动，政变、政府更替等。,外部事件监管规定,监管规定是指未遵照金融监管当局的规定而引起的风险。在出台新的进入监管规定或者金融监管加强，新的金融监管者发生改变，出现新的金融监管重点时，较易出现此方面的风险。具体表现主要有违反监管规定，未按时提供监管报表；国家进行宏观调控期间，商业银行应当及时调整有关政策，避免市场变化而给商业银行造成风险。,外部事件业务外包,业务外包引起的操作风险是指由于供应商的过错而造成服务或供应中断或者撤销而引发的风险。具体表现为商业银行提供产品或服务的供应商中断，或者拒绝产品或服务的供应。例如，供电局拉闸限电，供应商破产等。,外部事件自然灾害,由于自然因素造成商业银行财产损失，包括火灾、洪水、地震等。例如，2006年中国台湾地区地震造成海底光缆断裂，使大陆多家商业银行的通信和业务受到影响。,外部事件恐怖威胁,顾名思义，恐怖活动、绑架或者爆炸等人为因素都会造成商业银行的财产损失。,操作风险计量与经济资本配置,巴塞尔委员会根据目前商业银行风险经济资本计量方法，即基本指标法、标准法和高级计量法。三种计算方法在复杂性和风险敏感性上是逐渐增强的，对于较低操作风险管理水平、尚未到达量化阶段的商业银行可以选择简单的指标法和标准法。高级计量法的风险敏感度相对其他两种方法更，采用这种方法更能反映商业银行操作风险的真实状况，因此包括中国银行业在内的所有商业银行均应努力向高级计量法靠近。,基本指标法,基本指标法是以单一的指标作为衡量商业银行整体操作风险的尺度，并以此为基础配置操作风险资本的方法。资本计算公式：是基本指标法需要的资本表示前三年中各年为正的总收入表示前三年中总收入为正数的年数,标准法,标准法的计量原理：将所有业务划分为8类产品线，对每一类产品线规定不同的操作风险资本要求系数，并分别求出对应的资本，然后加总八类产品线的资本，即可得到商业银行总体操作风险资本要求。8类产品线：公司金融、交易和销售、零售银行业务、商业银行业务、支付和结算、代理服务、资产管理、零售经纪,标准法的计量方法,总资本的计量公式：,表示8类产品线中各产品线过去3年的平均总收入,表示由巴塞尔委员会设定的固定百分数。,要求：银行应该拥有充足的资源支持在主要产品线上和控制及审计领域采用该方法。应该拥有完整且确实可行的操作风险管理系统,高级计量法,1.商业银行在满足巴塞尔委员会提出的资格要求以及定性和定两标准的前提下，通过内部操作风险计量系统计算监管资本要求。2.使用高级计量法之后，未经监管当局批准不可退回使用相对简单的方法。3.方法主要有：内部衡量法、损失分布法、记分卡法等。,高级计量法,4.高级计量法的使用要求：资格要求定性标准定量标准内部数据要求外部数据要求业务经营环境和内部控制因素,风险评估与控制,商业银行应该制定操作风险控制程序、步骤以及方法和措施，并且以制度形式确保有关风险管理系统的内部政策能被遵循。公司治理结构、内部控制体系、合规文虎和信息系统建设对商业银行控制操作风险至关重要。,风险评估与控制的环境,1.公司治理良好的公司治理目标：1.完善股东大会、董事会、监事会及其下设的议事和决策机构，建立议事规则和决策程序；2.明确董事会和董事、监事会和监事、高级管理层和高级经理人员在组织管理中的责任。3.建立独立董事制度，对董事会讨论事项发表客观公正的意见。4.建立外部监事制度、对董事会、董事、高级管理层及其成员进行监督。,风险评估与控制的环境,董事会、监事会和高级管理层及相关部门职责：董事会负责批准在全行范围内采用操作风险管理系统，并将操作风险作为主要风险来管理；负责制定风险流程每个步骤的原则或指示，并拟定相应政策；负责建立整体架构；负责管理系统的定期检查。监事会负责对银行遵守法规以及董事会、高管层履行职责的情况进行监督，并通过审计等手段对本行的经营决策、风险管理和内部控制等内容进行监督。,风险评估与控制的环境,高级管理层负责具体执行经董事会批准的操作风险管理系统；确保本行业务经营管理岗位称职及权利的独立性；确保商业银行的薪酬政策与其风险偏好相适应；负责制定操作风险管理的政策及相关文件。风险管理部门具体执行操作风险管理系统，并制定相应的政策、程序和步骤；指导并定期检查、评估业务条线的操作风险管理状况；为操作风险管理开发相应的技术和方法。,风险评估与控制的环境,2.内部控制健全的内部控制是商业银行有效识别和防范操作风险的重要手段，应该是不同要素、不同环节组成的有机体。从要素方面看，内部控制包括：内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈以及监督评价与纠正五个要素。从运行方面看，内部控制是一个由决策、建设与管理、执行与操作、监督与评价、改进五个环节组成的有机系统。,风险评估与控制的环境,健全完善的商业银行内部控制体系至少包括：1.强化内控意识，树立内控优先的理念2.完善激励约束机制3.提高内控制度的执行力4.加强对关键岗位和人员的监督约束5.提高内部审计的独立性和有效性6.强化责任追究7.不断完善内部控制制度和措施8.健全信息管理系统9.强化评估和反馈制度10.加强信息交流与沟通,风险评估与控制的环境,3.合规管理文化目前，违规、内部欺诈等损失事件在我国商业银行操作风险中占比超过80%。商业银行内控存在的最严重问题：内部控制的合规性问题。商业银行应从操作风险理念的培养入手，培养合规文化，增强风险意识。,风险评估与控制的环境,合规管理文化是商业银行在长期的发展过程中形成的，是全体员工统一于风险管理方向上的某种思想理念、价值标准、道德规范和行为方式的集合。有效的合规管理文化以商业银行整体文化为背景，以经营价值最大化为目标，贯穿以人为本的经验理念，有机地融合先进的风险管理技术和科学的风险管理手段。,风险评估与控制的环境,健康有效的合规管理文化包括：1.树立正确的合规管理理念2.加强管理层的驱动作用3.充分发挥人的主导作用4.创建学习型组织,风险评估与控制的环境,4.信息系统信息系统包括：主要面向客户的业务处理系统主要供内部管理使用的管理信息系统。在操作风险管理中，信息系统的主要作用在于支持风险评估、建立损失数据库、风险指标收集与报告、风险管理和建立资本模型等。,某商业银行的操作风险管理团队,操作风险管理负责人,技术程序支持,灾难备份,风险报告,资本分配,咨询师技术支持行政助理,灾难备份咨询程序质量保证合规监管项目管理行政助理,咨询师分析师,咨询师分析师,风险评估要素、原则和方法,商业银行需根据情景分析等方法，综合商业银行业务环境和内部控制因素，对所有被识别的商业银行所面临的操作风险因素进行测评，以决定哪些风险可以接受，哪些风险不可接受，并加以控制或转移。1.风险评估要素一般包括：内部操作风险损失数据、外部数据以及商业银行业务环境和内部控制因素等方面,风险评估要素、原则和方法,1.内部操作风险损失事件数据是银行对内部操作风险损失事件形成的损失信息进行记录、汇总、分析的过程。损失信息包括：操作风险损失事件发生后可以标识、计量和描述该风险事件的各项数据信息。操作风险损失数据的收集要遵循：客观性、全面性、动态性、标准化的原则。,风险评估要素、原则和方法,2.外部数据商业银行需利用相关的外部数据来解决多数商业银行评估操作风险时因内部损失数据有限、样本数过少而导致统计结果失真的问题。外部数据信息应包括：实际损失金额数据、发生损失事件的业务范围信息、损失事件发生的原因和情况，或者其他有助于评估商业银行损失事件的业务范围信息。,风险评估要素、原则和方法,3.业务环境和内部控制环境为了满足监管资本的要求，商业银行需符合：将每一个因素调整为有意义的风险要素，应基于实际经验，并征求专家对相关业务领域的意见。商业银行对这些因素变动的敏感度和不同因素相对权重的设定必须合理。该框架及各种实施情况，包括针对实际评估做出调整的理由，都应当有文件支持，并接受商业银行内部和监管当局的独立审查。,风险评估的原则,操作风险评估过程一般从业务管理和风险管理两个层面开展，其遵循的原则一般包括由表及里、自下而上和从已知到未知三种。1.由表及里原则。具体划分为：非流程风险、流程环节风险、控制派生风险非流程风险：由政策、管理模型等系统性原因产生，如人力资源配置不当等风险。流程环节风险：是流程环节所固有的操作风险因素，如欺诈、操作失误等风险。控制派生风险：流动中控制环境所派生的操作风险因素，如增加人工授权环境后所派生的内部欺诈风险。,风险评估的原则,2.自下而上原则商业银行的基层机构和经营管理过程中的基础环节。3.从已知到未知原则操作风险识别与评估要从已知的风险逐步延伸到未知的风险。,风险评估的方法,操作风险识别与评估的主要方法包括自我评估法、损失时间数据方法和流程图等。自我评估法是在商业银行内控体系上，通过开展全员风险识别、识别出全行经营管理中存在的风险点，并从损失金额和发生概率两个角度评估风险大小。自我评估的主要目标是鼓励各级机构承担责任及主动对操作风险进行识别和管理。,风险评估的方法,自我评估的作用开展操作风险和内部控制的自我评估，对商业银行经营管理将起到以下几个方面的作用：1.建立覆盖商业银行各类经营管理的操作风险动态识别评估机制，实现操作风险的主动识别和内部控制持续优化2.不断优化和完善各类经营管理作用流程，平衡风险与收益，提升商业服务效率和盈利能力3.在自我评估基础上，可以建立操作风险事件数据库，构建操作风险日常监测的基础平台,风险评估的方法,4.为建立操作风险管理的关键风险指标体系和操作风险计量奠定基础5.为案件防差工作提供方法和技术支持，使案件专项治理工作成为长期任务融入商业银行日常管理之中，从源头上控制案件隐患及风险损失6.促进操作风险管理文化的转变，通过全员风险识别，提高员工参与操作风险管理的主动性和积极性。,风险评估的方法,自我评估的工具和方法在开展操作风险与内部控制评估工作的过程中，可以依据评审对象的不同，将各种方法结合使用。通过操作风险与内控控制自我评估运用的方法：流程分析法、情景模拟法、引导会议法、德尔菲法以及调查问卷法等。在操作风险与内部控制评估过程中，可以借助的资料和工具有：操作风险定义及损失事件分类、操作风险损失事件历史数据、各类业务检查报告等。,风险评估的方法,自我评估的工作流程：1.全员风险识别与报告2.作业流程分析和风险识别与评估3.控制活动识别与评估4.报告自我评估工作和日常监控5.报告自我评估工作和日常监控,主要业务风险控制,根据商业银行目前的业务范围和各商业银行的业务运作架构，本部分从柜台业务、法人信贷业务、个人信贷业务、资金交易业务和代理业务五个方面缝分析商业银行的操作风险点及其控制措施。,主要业务操作风险控制,1.柜台业务商业银行柜面办理的业务，是商业银行各项业务操作的集中体现，也是最容易引发操作风险的业务环节。柜台业务范围较广，包括：账户管理、存取款、现金库箱、印押证管理、票据凭证审核、会计核算、账务处理等各项操作。,主要业务操作风险控制,柜台业务的各项操作风险点：1.账户开立、使用、变更与撤销2.现金存取款3.柜员管理4.重要凭证和重要物品管理5.现金库箱管理6.平帐和账务可对7.抹帐、错账冲正、挂帐、挂失业务,主要业务操作风险控制,柜台业务操作风险的成因：轻视柜台业务内控管理和风险防范规章制度和业务操作流程本身存在漏洞因人手紧张而未严格执行换人复核制度柜台人员安全意识不强，缺乏岗位制约和自我保护意识柜员工作强度大，收入不高，工作缺乏热情和责任感,主要业务操作风险控制,柜台业务操作风险控制要点:1.完善规章制度和业务操作流程，不断细化操作细则，并建立岗位操作规范和操作手册2.加强业务系统建设，尽可能将业务纳入系统处理，并在系统中自动设立风险监控要点，发现操作中的风险点能及时提供警示信息。3.加强岗位培训，特别是新业务和新产品培训，不断提高柜员操作技能和业务水平，同时培养柜员岗位安全意识和自我保护意识4.强化一线实时监督，促进事后监督向专业化、规范化迈进，改进检查监督方法5.严格执行各项柜台业务规定。,主要业务操作风险控制,2.法人信贷业务商业银行经营的以企业/机构客户为服务对象的信贷业务，包括法人客户贷款业务、贴现业务、商业银行承兑汇票等业务。按照法人信贷业务的流程，可分为评级授信、信贷调查、信贷审查、信贷审批、贷款发放、贷后管理六个环节。风险成因：片面追求信贷市场份额；信贷制度不完善，缺乏监督制约机制；信贷操作不规范，依法管贷意识不强等,主要业务操作风险控制,3.个人信贷业务包括个人住房按揭贷款、个人大额耐用消费品贷款、个人生产经营贷款和个人质押贷款等多个业务品种。主要操作风险点：个人住房按揭贷款：未尽职调查客户资料而发放贷款个人大额耐用消费品贷款：内部人员编造、窃取客户资料，冒名骗取贷款个人生产经营贷款：不了解贷款申请人的生产经营状况和信用状况个人质押贷款：未对保单等质押物进行真实性验证,主要业务操作风险控制,4.资金交易业务商业银行为满足客户保值或提高自身资金收益或防范市场风险等方面的需要，利用各种金融工具进行的资金或交易活动，包括资金管理、资金存放、资金拆借、债券买卖、外汇买卖、黄金买卖、金融衍生产品交易等业务。从资金交易业务流程来看，可分为前台交易、中台风险管理、后台清算三个环节。,主要业务操作风险控制,主要操作风险点：前台交易：交易员超过交易授权或超过限额交易；交易员虚假交易和未报告的交易中台风险管理：交易协议审查不严，签订不利于己方的合同条款；为及时检测和报告交易员的超权限奇偶阿姨和重大头寸变化后台结算清算：交易结算不及时或交易清算交割金额计算有误；因录入错误而错误清算资金,主要业务操作风险控制,资金交易业务的操作风险成因：风险防范意识不足，认为资金交易业务主要是市场风险，操作风险不大；内控薄弱，部门及岗位设置不合理，规章制度滞后；电子化建设缓慢，缺乏相应的业务处理系统和风险管理系统等。,主要业务操作风险控制,5.代理业务商业银行接受客户委托，代为办理客户指定的经济事务、提供金融服务并收取一定费用的业务，包括代理政策性银行业务、代理中国人民银行业务、代理商业银行业务、代收代付业务、代理证券业务、代理保险业务、代理其他银行的银行卡收单业务等。,主要业务操作风险控制,代理业务的主要操作风险点：人员因素：业务人员贪污或截留手续费外部事件：委托方伪造收付款凭证骗取资金内部流程：未对业务中的风险进行披露，不当利用重要内幕信息建议他人买卖证券等。系统缺陷：计算机系统缺陷、业务应急计划不力造成代理业务中的数据丢失而引发损失。,操作风险的分类,根据商业银行管理和控制操作风险的能力，可将操作风险划分为：1.可规避的操作风险2.可降低的操作风险3.可缓释的操作风险4.应承担的操作风险,操作风险的分类,可规避的操作风险：商业银行可以通过调整业务规模、改变市场定位、放弃某些产品等措施让不再出现的操作风险。可降低的操作风险：可以通过采取有力的内控措施来降低风险发生频率。如轮岗制、差错率考核等可缓释的操作风险：商业银行往往很难规避和降低，当可以通过制定应急和连续营业方案、购买保险、业务外包等方式将风险转移或缓释。如抢劫、高管欺诈等。,风险缓释,连续营业方案：由于不可控制的因素，引起商业银行无法履行部分或全部业务职责，从而带来重大经济损失。要求商业银行监理灾难应急恢复和业务连续方案，考虑商业银行可能遭受的各种可能情形，同时，方案应该与商业银行经营的规模和复杂性相适应。持续经营计划应是一个全面的计划，强调操作风险识别、缓释、恢复以及持续计划，具体包括业务和技术风险评估、面对灾难时的风险缓释措施、常年持续性的恢复程序和计划、恰当的治理结构等方面。,风险缓释,保险：保险作为操作风险缓释的有效手段，一直是西方商业银行操作风险管理