Identify examples of tools which can be used to identify and assess operational risk.

這個考綱的中文翻譯如下：

辨認可用來辨認與評估作業風險的工具之例子。

辨認與評估作業風險的工具包括：

1.稽核結果：

雖然稽核結果著重在內控的缺失與傷害，也可提供內部或外部因素所產生的固有風險之看法。

2.內部損失資料的收集與分析：

內部作業損失資料可提供評估銀行的作業曝險及內控有效性之有意義資料。損失事件的分析可提供大額損失的原因之看法及內控失靈是獨立事件或系統事件的資訊。銀行也發現內部損失資料對掌握與監控作業風險是源自於與信用及市場風險有關的損失有用，以取得對作業曝險額較廣泛的看法。

3.外部資料的收集與分析：

外部資料元素包括銀行以外的組織所發生的作業損失事件之毛作業損失金額、日期、回收及相關原因之資訊。可用外部損失資料來與內部損失資料比較或用來探討內控環境的可能缺失或考量之前未辨認到的曝險額。

4.風險評估：

風險評估又稱為「風險自我評估」(Risk Self Assessments, RSA)，係指銀行以一序列的潛在威脅與傷害來評估作業的程序，並考量其潛在衝擊。另外有一個類似的方法，又稱為「風險控制自我評估」(Risk Control Self Assessments, RCSA)。該法評估固有的風險(實施內控前的風險)，內控環境的有效性及「剩餘風險」(residual risk) (實施內控後的風險)。根據風險控制自我評估的「計分卡」(scorecards)，是藉由權衡剩餘風險，以提供一個將風險控制自我評估的產出轉換成內控環境的相對排序之衡量的工具

5.業務程序映射：

業務程序映射辨認業務程序、活動及組織功能的關鍵步驟。也可以辨認整體業務程序的關鍵風險點。程序映射也可揭露個別風險、風險互相依賴及內控範圍或風險管理的缺點。也有助於後續管理措施的優先劣後排序。

6.風險與績效的指標：

風險與績效的指標是風險衡量與/或提供銀行曝險額看法的統計。風險指標又稱為「關鍵風險指標」(Key Risk Indicators, KRIs)，乃用來監控與關鍵風險有關的曝險額驅動者。績效指標又稱為「關鍵績效指標」(Key Performance Indicators, KPIs)，此可提供作業程序現狀的看法，此也可提供作業缺失、失靈及潛在損失的看法。在風險水準接近或超過門檻或限制，且加速減緩計畫時，風險與績效的指標可成對提高警訊的層級。

7.「情境分析」(Scenario Analysis)：

情境分析是一個取得業務線與風險經理人的專家意見之程序，以找出潛在作業風險事件及評估其潛在結果。情境分析是一個考量潛在重大作業風險的來源及需要額外風險控制或減緩的解決方案之有效工具。由於情境程序比較主觀，因此一個健全的治理架構，以確保該程序的完整與一致性，就很重要。

8.衡量：

大型銀行使用風險評估工具的輸出做為評估作業風險的模型之輸入，以量化曝險額很有用。可使用該模型的結果在經濟資本程序，而且可配置資本到業務線，以連結風險與報酬。

9.比較分析：

比較分析包括比較各種評估工具的結果，以提供該銀行一個比較完整的作業風險輪廓之看法。例如以風險控制自我評估比較內部資料的次數與金額，有助於該銀行判斷自我評估程序是否有效運作。拿情境資料與內部及外部資料比較，以了解該銀行對潛在風險事件的曝險之嚴重性。