操作风险意指不充分的信息系统、操作/交易问题（涉及服务或产品的问题）、违反内控规定、欺诈或不可预见的自然灾害对一家机构造成的不可预计的损失。

1、操作风险水平评估要素

操作风险评估包括对产品因素和机构因素的具体分析。产品因素包括市场上该类产品的期限、对大额资金流动的需求、职责分工不明产生的影响、市场的复杂程度和创新水平。机构因素可以显著地增加或降低操作风险，这些因素包括：

●审计职能和审计计划的质量

●由系统开发程度和容量决定的交易数量

●与系统开发程度和容量相比，交易处理和服务提供的复杂性

●交易处理中的手工化程度

●政策和会计控制中出现特例的数量。产品处理方面存在较高的错误水平或出现大量的偏差都表明存在较高的操作风险

●由以下几方面因素形成的潜在的财务损失：

- 人为错误或欺诈。大多数机构都会时常因职员操作错误而造成财务损失，但这类损失总体而言金额不大。相反，由于内部或外部欺诈而造成的损失往往金额巨大，尽管这类损失发生的频率较低。

- 处于竞争劣势的机构为赢得市场份额往往会超出其经营能力而采取过激的经营举动。

- 客户信息和内部记录的缺失有可能导致交易处理错误和相应的损失。

- 如果缺乏充分的备份系统，因系统故障而产生的操作中断不能在最短的时间内解决，将导致严重损失。

- 机构被牵涉到操作诉讼案件中一般都意味着较高的损失概率。

- 外包操作的数量和相关控制的充分性。如果机构将大量的业务操作实行外包，同时对外包服务提供商缺乏有力控制，将不可避免出现财务损失。

- 在同一时间推出数项新产品会导致发生超出系统能力的超载情况。

- 为维持高水平、高质量和零错误的操作环境，需要进行职工轮岗，但这种轮换会引起经验和技能的损失。

- 持续的加班需求表明手工操作程度超出了期望的要求，这容易引发错误。

2、操作风险水平评估结论

高风险：交易处理数量和系统开发的程度有可能导致机构遭受重大声誉损害或财务损失。机构曾有交易处理失败的记录。由于缺乏有效的内部控制，机构仍存在较高的发生交易处理失败的概率。

中度风险：系统开发的程度能够对交易处理提供充分支持。然而，机构的经营规模和复杂性使其面临某种程度的风险。发生财务损失的可能性依然存在，但强有力的内部控制可以减低这种风险。

低风险：交易处理数量和复杂性均处于低水平，并且得到了系统开发的有力支持。出现声誉损害或财务损失的可能性很小。机构有着良好的操作记录。由于内部控制得力，未来发生交易处理失败的可能性很小。

3、操作风险管理评估要素

在评估机构的操作风险管理水平时，需要对构成健全的风险管理系统的四方面因素进行评价，具体详见附件《风险控制评估要素说明》。

4、操作风险管理评估结论

弱：机构的管理层不理解或干脆忽视主要的操作风险因素。管理层不能采取有预见的或及时的行动应对市场和技术性的变化。操作风险的控制政策缺失或不充分。机构的操作系统、信息系统、内控制度、内/外部审计制度或应急计划存在严重缺陷和不足。有关交易处理的管理信息存在严重缺陷。由于缺乏计划或尽职调查，机构在推出新产品和新服务或从事业务收购方面存在风险敞口。机构在将新收购的业务操作系统与现行系统相整合，或将现行系统进行转换时，由于转换管理能力薄弱，而面临操作风险。机构的管理层在采取整改措施或改善交易处理风险控制方面缺乏承诺。

可接受：管理层能够正确理解主要的操作风险因素，并能充分应对市场和技术性变化。管理层能够识别和计量主要的交易处理风险。机构建立了重大的交易处理风险控制制度。机构的业务程序存在轻微的不足。机构具备充分的操作和信息处理系统、内控制度、审计制度和应急计划。有关交易和信息处理活动的管理信息可能存在瑕疵。

强：管理层能够充分理解各个层面的操作风险。机构能够预测和有效应对业务活动、经济和市场环境，以及技术性的变化。管理层有完备的政策来处理操作风险。这些政策的实施计划不但清晰而且环环相扣。机构具有完善的风险控制文化，从而确保了系统、内部控制、审计和应急计划的合理性。管理层在业务收购和开发新产品和新服务方面表现出很强的管理能力。管理层能够很快识别薄弱点并采取适当的整改行动。