农行四川分行操作风险培训

1、风险管理部风险管理部 2010.2 成都 操作风险基础 v概概 述述 v风险报告风险报告 v风险识别风险识别 2 操作风险基础 一、概述一、概述 巴塞尔新资本协议的三大支柱：巴塞尔新资本协议的三大支柱： 最低资本充足要求（minimum capital requirements） 监察审理程序（supervisory review process） 市场制约机能，即市场自律（market discipline） 全面风险管理：全面风险管理： 信用风险管理 市场风险管理 操作风险管理 3 操作风险基础 一、概述：三大风险一、概述：三大风险 信用风险信用风险 信用风险又称违约风险，是指交易对手未能

2、履行约定契约中的义务而 造成经济损失的风险，即受信人不能履行还本付息的责任而使授信人 的预期收益与实际收益发生偏离的可能性，它是金融风险的主要类型。 市场风险市场风险 市场风险指因股市价格、利率、汇率等的变动而导致价值未预料到的 潜在损失的风险。因此，市场风险包括权益风险、汇率风险、利率风 险以及商品风险，主要归纳为价格风险和流动性风险。 操作风险操作风险 操作风险是指由于客户、设计不当的控制体系、控制系统失灵以及不 可控事件导致的各类风险。损失可能来自于内部或外部事件、宏观趋 势以及不能为公司决策机构和内部控制体系、信息系统、行政机构组 织、道德准则或其他主要控制手段和标准所洞悉并组织的变动

3、。它不 包括已经存在的其他风险种类如市场风险、信用风险及决策风险。 4 操作风险基础 一、概述：操作风险管理与新巴塞尔协议一、概述：操作风险管理与新巴塞尔协议 v 操作风险管理在新巴塞尔协议的三大支柱中都有其关键角色操作风险管理在新巴塞尔协议的三大支柱中都有其关键角色: : v 巴塞尔委员会希望借助第一支柱最低资本要求规范和一系列风险测量巴塞尔委员会希望借助第一支柱最低资本要求规范和一系列风险测量 与管理的定性和定量规范与管理的定性和定量规范, ,判定银行是否取得特定评估方法的使用资判定银行是否取得特定评估方法的使用资 格。格。 v 巴塞尔委员会建议监管机构透过第二支柱巴塞尔委员会建议监管机构

4、透过第二支柱, ,依据各个机构控制环境进依据各个机构控制环境进 行评估行评估, ,并加以定量规范。并加以定量规范。 v 第三支柱市场纪律强调透过资本配置和其他监管途径第三支柱市场纪律强调透过资本配置和其他监管途径, ,提升银行和金提升银行和金 融体系安全和稳健运营的能力。市场纪律提供银行以安全、稳健及有融体系安全和稳健运营的能力。市场纪律提供银行以安全、稳健及有 效率的态度经营业务效率的态度经营业务, ,并持有适量资本对抗未来因风险导致机构蒙受并持有适量资本对抗未来因风险导致机构蒙受 潜在损失等诱因。潜在损失等诱因。 5 操作风险基础 一、概述：操作风险管理和第一支柱一、概述：操作风险管理和第

5、一支柱-资本充足率资本充足率 v在新巴塞尔协议第一支柱中在新巴塞尔协议第一支柱中,明确提出了将操作风险作为银行资本比率分母的一部分。明确提出了将操作风险作为银行资本比率分母的一部分。 协议也提供了三种计算操作风险资本金的方法协议也提供了三种计算操作风险资本金的方法:基本指标法、标准法以及高级衡量法。基本指标法、标准法以及高级衡量法。 监管当局的任务是根据严格的标准认定银行使用操作风险资本计提的资格监管当局的任务是根据严格的标准认定银行使用操作风险资本计提的资格,并始终监管并始终监管 其操作风险资本配置过程。其操作风险资本配置过程。 资本充足率公式：资本充足率公式：资本充足率资本充足率= =资本

6、风险资本风险=(=(核心资本核心资本+ +附属资本附属资本)/)/信用风险加权资产信用风险加权资产 +(+(市场风险所需资本市场风险所需资本+ +操作风险所需资本操作风险所需资本) )12.512.5 v基本指标法：银行所持有的操作风险资本配置应等于前三年总收入的平均值乘上一个基本指标法：银行所持有的操作风险资本配置应等于前三年总收入的平均值乘上一个 固定比例固定比例 v标准法：对公司金融、交易和销售、零售银行业务、商业银行业务、支付和清算、代标准法：对公司金融、交易和销售、零售银行业务、商业银行业务、支付和清算、代 理服务、资产管理以及零售经纪这理服务、资产管理以及零售经纪这8个银行业务类别

7、每一业务类别适用一个特定系数，个银行业务类别每一业务类别适用一个特定系数， 资本计算公式为各类业务以特定系数为权重的加权平均。实施标准法的前提是必须满资本计算公式为各类业务以特定系数为权重的加权平均。实施标准法的前提是必须满 足一系列标准足一系列标准,以便于监管部门监管。以便于监管部门监管。 v高级衡量法高级衡量法(advanced measurement approachadvanced measurement approach):包括内部衡量法、损失分布法和计分卡包括内部衡量法、损失分布法和计分卡 法。细节包括法。细节包括(1)内部数据内部数据,当银行首次使用当银行首次使用ama的时候的时

8、候,三年的历史数据是最起码的前三年的历史数据是最起码的前 提；提；(2)外部数据外部数据,这些外部数据库应该包括损失的真实量这些外部数据库应该包括损失的真实量,时间造成的影响的范围、原时间造成的影响的范围、原 因和环境因素等信息；因和环境因素等信息；(3)情景分析情景分析,银行必须使用专家通过外部数据分析得出的情景分银行必须使用专家通过外部数据分析得出的情景分 析来衡量自身遭受严重损失的可能性；析来衡量自身遭受严重损失的可能性；(4)风险缓释风险缓释,在使用高级衡量法时在使用高级衡量法时,银行必须被银行必须被 允许使用保险来缓解风险以满足最低资本要求。但用作缓冲基金的资金不能超过银行允许使用保

9、险来缓解风险以满足最低资本要求。但用作缓冲基金的资金不能超过银行 最低资本准备的最低资本准备的20；(5)保险工具的运用保险工具的运用,新巴塞尔要求保险公司的评级至少是新巴塞尔要求保险公司的评级至少是a,且保且保 险政策至少已经有一年的实践期。险政策至少已经有一年的实践期。 6 操作风险基础 一、概述：操作风险管理和第二支柱一、概述：操作风险管理和第二支柱-监管原则监管原则 v任何对于操作风险的监管评估必须包括任何对于操作风险的监管评估必须包括:(1):(1)反映行业真实情况并且与良好的行业惯例反映行业真实情况并且与良好的行业惯例 相一致；相一致；(2)(2)从监管者的角度来看是可行的。任何可

10、行的操作风险管理措施必须考虑到从监管者的角度来看是可行的。任何可行的操作风险管理措施必须考虑到 一系列高级但又基础的因素。关键的监管措施应该符合六方面的原则：一系列高级但又基础的因素。关键的监管措施应该符合六方面的原则： v可测量性。无论对于小型机构还是大型机构可测量性。无论对于小型机构还是大型机构, ,监管方法必须是可行的监管方法必须是可行的, ,并且复杂程度有并且复杂程度有 所区别。所以所区别。所以, ,监管方法应当以机构的复杂程度为基础进行区分监管方法应当以机构的复杂程度为基础进行区分, ,允许机构对不同的业允许机构对不同的业 务类型选择不同的定量工具。务类型选择不同的定量工具。 v执行

11、条件。监管方法必须在不同文化和法律环境的国家中都适用执行条件。监管方法必须在不同文化和法律环境的国家中都适用, ,依据不同处理方法使依据不同处理方法使 用不同的监管工具用不同的监管工具, ,提供一种清晰透明的机制使监管者可以判断机构的操作风险控制情提供一种清晰透明的机制使监管者可以判断机构的操作风险控制情 况。况。 v平等的竞争环境。监管者必须最大程度地保证判断和执行方法保持一致。具体来说平等的竞争环境。监管者必须最大程度地保证判断和执行方法保持一致。具体来说, ,监监 管方法应提供一种明确的方法识别操作风险。同时管方法应提供一种明确的方法识别操作风险。同时, ,监管者必须看到绝大多数的机构将

12、监管者必须看到绝大多数的机构将 会使用基本指标法和标准法会使用基本指标法和标准法, ,这两种方法之间转换的定性标准应当以明确的清单表示。这两种方法之间转换的定性标准应当以明确的清单表示。 v灵活性。考虑到一系列潜在的方法灵活性。考虑到一系列潜在的方法, ,监管可以灵活实行监管可以灵活实行, ,如监管者认识到达成一个目标如监管者认识到达成一个目标 可以使用多种不同的方法。同样可以使用多种不同的方法。同样, ,也可以使用独立的内部信息如内部审计和监察功能。也可以使用独立的内部信息如内部审计和监察功能。 v简易性与复杂性的平衡。一种过度技术性的方法可能给机构和监管者带来负担简易性与复杂性的平衡。一种

13、过度技术性的方法可能给机构和监管者带来负担, ,而不是而不是 相应地增加监管益处。与此同时相应地增加监管益处。与此同时, ,监管方法又要求足够复杂以区别不同机构的风险。监管方法又要求足够复杂以区别不同机构的风险。 v良好风险管理的动机。在机构中鼓励稳健的风险管理良好风险管理的动机。在机构中鼓励稳健的风险管理, ,需要清晰地展示通过风险控制的需要清晰地展示通过风险控制的 改进而获得的益处。同样地改进而获得的益处。同样地, ,监管方法需要与在操作风险领域新兴的行业标准相一致监管方法需要与在操作风险领域新兴的行业标准相一致: : 选择实行良好风险管理的机构选择实行良好风险管理的机构, ,可以以获准使

14、用更复杂的工具来计算资本要求作为回报可以以获准使用更复杂的工具来计算资本要求作为回报 。 7 操作风险基础 一、概述：操作风险管理和第二支柱一、概述：操作风险管理和第二支柱-内部控制框架内部控制框架 v框架至少包括三个要素框架至少包括三个要素: v组织结构,包括董事的角色和责任,公司治理机制和 操作风险管理的分工以及职能部门 v操作风险管理的战略和政策 v操作风险管理流程,包括识别风险、评估风险、管 理和缓释风险以及监测和报告风险的全过程 8 操作风险基础 一、概述：操作风险管理和第二支柱一、概述：操作风险管理和第二支柱-内部控制框架内部控制框架 v操作风险管理流程：操作风险管理流程： v1、

15、风险策略：一家银行的操作风险策略对于管理框架的其他部分有驱动作用。它需要、风险策略：一家银行的操作风险策略对于管理框架的其他部分有驱动作用。它需要 对风险偏好和忍受度、风险管理政策、每日风险管理过程提供清晰的指导。对风险偏好和忍受度、风险管理政策、每日风险管理过程提供清晰的指导。 v2、组织结构：银行的组织结构是所有操作风险管理活动的基础。组织结构应该将操作、组织结构：银行的组织结构是所有操作风险管理活动的基础。组织结构应该将操作 风险管理绩效与银行目标及员工表现相联系。风险管理绩效与银行目标及员工表现相联系。 v3、报告：操作风险能够影响所有的商业单位，操作风险管理报告比传统的市场风险和、报

16、告：操作风险能够影响所有的商业单位，操作风险管理报告比传统的市场风险和 信用风险报告有更大的作用。它需要包含两个方面：第一，传达明确界定的相关的操信用风险报告有更大的作用。它需要包含两个方面：第一，传达明确界定的相关的操 作风险信息。第二，按照业务类型和事件类型向董事会，管理层及风险管理委员会报作风险信息。第二，按照业务类型和事件类型向董事会，管理层及风险管理委员会报 告操作风险信息。第一种类型的信息包括大多数未经调整的损失数据，第二种类型的告操作风险信息。第一种类型的信息包括大多数未经调整的损失数据，第二种类型的 反映了结构性的，经过分析的损失信息以取得更好的操作风险管理水平。反映了结构性的

17、，经过分析的损失信息以取得更好的操作风险管理水平。 v4、定义：银行需要一种共同的语言来描述操作风险和损失事件、原因和影响以达到监、定义：银行需要一种共同的语言来描述操作风险和损失事件、原因和影响以达到监 管要求。操作风险定义的发展能使银行达到更有效的风险识别、评估和报告过程。定管要求。操作风险定义的发展能使银行达到更有效的风险识别、评估和报告过程。定 义的主要困难在于区分操作风险和其他风险，指导银行使用一种明确的操作风险定义义的主要困难在于区分操作风险和其他风险，指导银行使用一种明确的操作风险定义 对损失数据库的建立至关重要。对损失数据库的建立至关重要。 v5、损失数据：银行需要建立一套收集

18、、评估、监测和报告损失数据的系统。除了收集、损失数据：银行需要建立一套收集、评估、监测和报告损失数据的系统。除了收集 内部数据之外，由于大多数的机构没有经历过操作风险的灾难性损失，低频高危的数内部数据之外，由于大多数的机构没有经历过操作风险的灾难性损失，低频高危的数 据通常无法纳入到内部数据库中，需要外部数据补充。收集内部数据的过程需要得到据通常无法纳入到内部数据库中，需要外部数据补充。收集内部数据的过程需要得到 银行各个部门的支持，间接损失等都应该纳入到损失数据库中，损失数量的变化、保银行各个部门的支持，间接损失等都应该纳入到损失数据库中，损失数量的变化、保 险偿付和附加的赔偿要求应加以审计

19、。险偿付和附加的赔偿要求应加以审计。 9 操作风险基础 一、概述：操作风险管理和第二支柱一、概述：操作风险管理和第二支柱-内部控制框架内部控制框架 v操作风险管理流程：操作风险管理流程： v6、风险评估：风险评估为银行提供一种定量衡量操作风险的方法。作为一种识别操作、风险评估：风险评估为银行提供一种定量衡量操作风险的方法。作为一种识别操作 风险近工具，并且在有限的程度内可以当作计量操作风险的工具，风险评估在损失数风险近工具，并且在有限的程度内可以当作计量操作风险的工具，风险评估在损失数 据较少的时候发挥了关键的作用，以建立一种前瞻性的风险敏感的识别系统。据较少的时候发挥了关键的作用，以建立一种

20、前瞻性的风险敏感的识别系统。 v7、关键风险指标（、关键风险指标（kri）：银行应当在能够反映系统、过程、产品、人员等风险预警）：银行应当在能够反映系统、过程、产品、人员等风险预警 主要风险指标的基础上评估操作风险。与损失数据一样，主要风险指标的基础上评估操作风险。与损失数据一样，kri建立在现有数据的基础建立在现有数据的基础 之上，与损失数据不同的是，之上，与损失数据不同的是，kri不是简单得假设历史将会重演，而是试图预测到潜不是简单得假设历史将会重演，而是试图预测到潜 在的风险。确定相关的风险指标将十分复杂，因为它与真实风险暴露的关系只能由内在的风险。确定相关的风险指标将十分复杂，因为它与

21、真实风险暴露的关系只能由内 部损失数据得到。银行可以结合几种首要的直接的风险指标来建立风险预警系统。部损失数据得到。银行可以结合几种首要的直接的风险指标来建立风险预警系统。 v8、缓释：一旦银行识别和量化了风险，就可以使用合适的政策、过程、系统和控制方、缓释：一旦银行识别和量化了风险，就可以使用合适的政策、过程、系统和控制方 法来缓释风险。银行应该设计并实施具有成本效益的风险缓释工具，使操作风险降低法来缓释风险。银行应该设计并实施具有成本效益的风险缓释工具，使操作风险降低 到能够接受的水平。到能够接受的水平。 v9、资本模型：资本模型包含了监管资本和经济资本的计算，它需要借助内部数据、外、资本

22、模型：资本模型包含了监管资本和经济资本的计算，它需要借助内部数据、外 部数据、情景分析、行业环境、风险控制因子及各种辅助信息如保险因素等，通过数部数据、情景分析、行业环境、风险控制因子及各种辅助信息如保险因素等，通过数 学和统计方法来测量操作风险。学和统计方法来测量操作风险。 v10、信息技术：适当的信息技术是操作风险管理框架的基础，管理者应当能使用、信息技术：适当的信息技术是操作风险管理框架的基础，管理者应当能使用it系系 统丰富、维持和更新操作风险信息，使用数据管理和报告系统能优化资本配置，使资统丰富、维持和更新操作风险信息，使用数据管理和报告系统能优化资本配置，使资 本回报最大化并且支持

23、其他业务活动。本回报最大化并且支持其他业务活动。 10 操作风险基础 一、概述：操作风险管理和第二支柱一、概述：操作风险管理和第二支柱-独立评估框架独立评估框架 v监管者应该直接或间接地对银行有关操作风险的政策、程序和做法进行定期的独立评监管者应该直接或间接地对银行有关操作风险的政策、程序和做法进行定期的独立评 估估,确保有适当的机制保证他们知悉银行的进展情况。确保有适当的机制保证他们知悉银行的进展情况。 v第一第一,银行风险管理程序的有效性以及有关操作风险的全面控制环境。银行监测和报告银行风险管理程序的有效性以及有关操作风险的全面控制环境。银行监测和报告 其操作风险状况的方法其操作风险状况的

24、方法,包括操作风险损失数据和其他潜在操作风险指标包括操作风险损失数据和其他潜在操作风险指标;银行及时有效银行及时有效 解决操作风险事件和薄弱环节的步骤解决操作风险事件和薄弱环节的步骤;银行为保证全面操作风险管理程序的完整性的内银行为保证全面操作风险管理程序的完整性的内 控、审查和审计程序控、审查和审计程序;银行努力缓释操作风险的效果银行努力缓释操作风险的效果,例如使用保险的效果例如使用保险的效果;银行灾难恢银行灾难恢 复和业务连续方案的质量和全面性复和业务连续方案的质量和全面性;银行根据其风险状况和其内部资本目标银行根据其风险状况和其内部资本目标,评估操作风评估操作风 险的整体资本充足率水平。

25、险的整体资本充足率水平。 v第二第二,如果银行是一家金融集团的一部分如果银行是一家金融集团的一部分,监管者应该努力确保它已经制定了一些步骤来监管者应该努力确保它已经制定了一些步骤来 保证操作风险的管理适宜于整个集团并且得到有机结合。在执行此类评估时保证操作风险的管理适宜于整个集团并且得到有机结合。在执行此类评估时,有必要根有必要根 据现有步骤与其他监管者进行合作和信息交流。一些监管者或许会选择外部审计师来据现有步骤与其他监管者进行合作和信息交流。一些监管者或许会选择外部审计师来 完成这些评估程序。完成这些评估程序。 v第三第三,监管检查中发现的缺陷应该通过一系列行动来处理。监管者应该挑选最适合

26、银行监管检查中发现的缺陷应该通过一系列行动来处理。监管者应该挑选最适合银行 特殊情况和经营环境的工具。为了使监管者及时收到有关操作风险的信息特殊情况和经营环境的工具。为了使监管者及时收到有关操作风险的信息,可以提出直可以提出直 接与银行和外部审计师建立报告机制接与银行和外部审计师建立报告机制(例如例如,银行内部有关操作风险管理的报告可以定期银行内部有关操作风险管理的报告可以定期 呈送监管者呈送监管者)。 11 操作风险基础 一、概述：操作风险管理与第三支柱一、概述：操作风险管理与第三支柱-市场约束市场约束 v 迄今为止迄今为止,巴塞尔委员会关于操作风险和第三支柱之间的关系巴塞尔委员会关于操作风

27、险和第三支柱之间的关系,规定得规定得 不够充分不够充分,它反映了该委员会试图确立一个使信息披露数量应与银行它反映了该委员会试图确立一个使信息披露数量应与银行 经营的规模、风险状况和复杂性相适应的激励相容框架。在第三支柱经营的规模、风险状况和复杂性相适应的激励相容框架。在第三支柱 中中,巴塞尔委员会提出全面信息披露的理念巴塞尔委员会提出全面信息披露的理念,认为不仅要披露风险和资认为不仅要披露风险和资 本充足状况的信息本充足状况的信息,而且要披露风险评估和管理过程、资本结构以及而且要披露风险评估和管理过程、资本结构以及 风险与资本匹配状况的信息风险与资本匹配状况的信息;不仅要披露定性的信息不仅要披

28、露定性的信息,而且要披露定量而且要披露定量 的信息的信息;不仅要披露核心信息不仅要披露核心信息,而且要披露附加信息而且要披露附加信息;不仅要考虑强化市不仅要考虑强化市 场约束场约束,规范经营管理的因素规范经营管理的因素,而且要考虑到信息披露的安全性与可行而且要考虑到信息披露的安全性与可行 性。性。 v 操作风险的监管在如何披露信息的领域操作风险的监管在如何披露信息的领域,目前尚未规定好目前尚未规定好,主要是因为主要是因为 银行还正在开发操作风险评估的技巧银行还正在开发操作风险评估的技巧,但一家银行始终应当向公众披但一家银行始终应当向公众披 露的信息应该包括露的信息应该包括:为每种业务类型配置的

29、监管资本为每种业务类型配置的监管资本;计量资本配置的计量资本配置的 具体方法具体方法;管理和控制操作风险过程的详细信息。管理和控制操作风险过程的详细信息。 12 操作风险基础 一、概述：操作风险管理的目标一、概述：操作风险管理的目标 v 对灾难性事件有准备更充分对灾难性事件有准备更充分 v 减少操作风险损失和收入的不稳定性减少操作风险损失和收入的不稳定性 v 优化完善作业流程优化完善作业流程 v 减少资本的要求减少资本的要求 v 更精确的风险定价能力更精确的风险定价能力 v 提高客户的忠诚度和满意度，提高声誉提高客户的忠诚度和满意度，提高声誉 v 通过早期预警制度，降低人员风险通过早期预警制度

30、，降低人员风险 v 提高股东价值提高股东价值 v 保证银行良好的信用评级保证银行良好的信用评级 v 满足监管要求满足监管要求 v 注意：操作风险管理的目标不是消灭操作风险（未来具有不确定性）注意：操作风险管理的目标不是消灭操作风险（未来具有不确定性） 13 操作风险基础 一、概述：回顾刚才的内容一、概述：回顾刚才的内容 v巴塞尔协议与全面风险管理巴塞尔协议与全面风险管理 v操作风险管理与新巴塞尔协议的三大支柱操作风险管理与新巴塞尔协议的三大支柱 v操作风险管理的目标操作风险管理的目标 14 操作风险基础 二、风险报告二、风险报告 v 风险风险监测是指运用各类监测手段，持续对各种可量化的关键风险

31、指标监测是指运用各类监测手段，持续对各种可量化的关键风险指标 以及不可量化的风险因素进行监测，动态捕捉风险变化和发展趋势的以及不可量化的风险因素进行监测，动态捕捉风险变化和发展趋势的 过程。过程。 v 风险报告是有关风险信息的获取、分析、判断及传导过程。各级行有风险报告是有关风险信息的获取、分析、判断及传导过程。各级行有 关部门和经营单位及时发现并准确反映本行信用风险、市场风险、操关部门和经营单位及时发现并准确反映本行信用风险、市场风险、操 作风险、流动性风险等风险状况，使高级管理层及外部监管部门及时作风险、流动性风险等风险状况，使高级管理层及外部监管部门及时 掌握全面风险状况并做出相应决策的

32、管理活动。掌握全面风险状况并做出相应决策的管理活动。 v 风险监测报告是全面风险管理体系的重要组成部分。风险管理战略政风险监测报告是全面风险管理体系的重要组成部分。风险管理战略政 策是监测报告的基准，组织体系是监测报告的依托，计量工具和信息策是监测报告的基准，组织体系是监测报告的依托，计量工具和信息 系统是监测报告的手段，良好的风险管理文化是监测报告的支持保障系统是监测报告的手段，良好的风险管理文化是监测报告的支持保障 。 15 操作风险基础 二、风险报告二、风险报告 16 资资 本本 操作风险操作风险 信用风险信用风险 市场风险市场风险 其他风险其他风险 银行账户的银行账户的 利率风险利率风

33、险 流动性风险流动性风险 资本是抵御风险的最后一道屏障，资本是抵御风险的最后一道屏障， 尽管尽管“微观微观”风险监测有着各自风险监测有着各自 不同的目的、意义和作用，全面不同的目的、意义和作用，全面 风险监测的根本目的是评估资本。风险监测的根本目的是评估资本。 以资本为核心的全面风险监测分析 尽管无法包括所有的风险，风险尽管无法包括所有的风险，风险 监测分析考虑下列风险：信用风监测分析考虑下列风险：信用风 险、市场风险、操作风险、流动险、市场风险、操作风险、流动 性风险、银行账户的利率风险、性风险、银行账户的利率风险、 其他风险。其他风险。 操作风险基础 二、风险报告二、风险报告 v报告形式和

34、内容报告形式和内容 17 形式形式 内容内容 报告内容包括检查单 位、被检查单位、检 查内容、检查时间、 范围、方式、发现问 题、整改要求等。 宏观经济风险、政策风 险、法律风险、产行业 风险、区域风险、产品 风险、客户群风险、业 务管理风险、人员风险、 信息系统风险等。 报告要求及时，可分 为信用风险事件、市 场风险事件、操作风 险事件、流动性风险 事件。首次报告、后 续报告。 全面风险分析报告： 总体风险状况、采取 的主要措施、当前面 临的主要风险因素、 风险趋势及对策建议； 部门分析报告：本部 门业务条线风险状况。 操作风险基础 二、风险报告：操作风险报告在管理流程中的位置二、风险报告：

35、操作风险报告在管理流程中的位置 18 操作风险管理操作风险管理 流程流程 评估评估/计量计量 控制控制/缓释缓释 监测监测 报告报告 识别识别 报告 识别评估控制/缓释监测 操作风险基础 二、二、风险报告：监管机构的要求风险报告：监管机构的要求 19 “必须建立对董事会、高级管理层和业务单元经理有关操作风险的日常报告制度必须建立对董事会、高级管理层和业务单元经理有关操作风险的日常报告制度” 新资本协议新资本协议 银监会在商业银行操作风险管理指引中要求更为银监会在商业银行操作风险管理指引中要求更为 明确：明确： 1、高级管理层应定期向董事会提交操作风险总体情况的报告。 2、操作风险管理政策中应明

36、确操作风险报告程序，其中包括报告的责 任、路径、频率，以及对各部门的其他具体要求。 3、商业银行应当制定有效的程序，定期监测并报告操作风险状况和重 大损失情况。应针对潜在损失不断增大的风险，建立早期的操作风险 预警机制，以便及时采取措施控制、降低风险，降低损失事件的发生 频率及损失程度。 4、重大操作风险事件应当根据本行操作风险管理政策的规定及时向董 事会、高级管理层和相关管理人员报告。 “银行应该制定一套程序来定期监测操作风险状况和重大损失风险。对积极支持操银行应该制定一套程序来定期监测操作风险状况和重大损失风险。对积极支持操 作风险管理的高级管理层和董事会，应该定期报告有关信息。作风险管理

37、的高级管理层和董事会，应该定期报告有关信息。” 操作风险管理与监管的稳健做法操作风险管理与监管的稳健做法 操作风险基础 二、二、风险报告：操作风险报告体系风险报告：操作风险报告体系 20 l 操作风险报告制 度、办法 l 覆盖各级机构的 报告系统 l 垂直的风险管理 条线 操作风险基础 二、二、风险报告：操作风险报告体系风险报告：操作风险报告体系 21 中国农业银行操作风险报 告管理办法（试行） 通过notes手工报告 1 操作风险监测与报告管 理办法及操作风险分 类分级标准 3 2010年1月5日，操作风险 管理信息系统上线 3 总行组建风险管理部 1 一级分行、二级分行组建 风险管理部 2

38、 派驻风险经理（风险主管） 3 操作风险报告系统（一期） 上线 2 2 各级行执行案件、突发事 件报告制度 1 组织体系报告工具报告程序 不断完善 操作风险报告体系 操作风险基础 二、二、风险报告：系统和办法的变化风险报告：系统和办法的变化 22 正在修订中国农业银行监测与报告管理办正在修订中国农业银行监测与报告管理办 法，制定操作风险分类分级标准。已经推广上法，制定操作风险分类分级标准。已经推广上 线操作风险管理信息系统线操作风险管理信息系统 v事发部门报告事件经过及损失情况，风险管理部事发部门报告事件经过及损失情况，风险管理部 门进行事件类型、产品线分类。门进行事件类型、产品线分类。 v操

39、作风险报告内容扩充了操作风险事项报告操作风险报告内容扩充了操作风险事项报告 v风险报告要由风险管理部门进行审核风险报告要由风险管理部门进行审核 v总行对操作事件报告进行评分总行对操作事件报告进行评分 v与会计监控、法律、审计、保卫、客服信息共享与会计监控、法律、审计、保卫、客服信息共享 ，并可转入为操作风险事件。，并可转入为操作风险事件。 v增加风险经理报告增加风险经理报告 旧办法，旧系统 新办法，新系统 vs 下发中国农业银行操作风险报告管理 办法（试行），推广上线操作风险 报告系统。 v首次提出了操作风险的定义，规定了 操作风险报告的范围、内容、主体、 路径和时限。 v形成了事件报告、分析

40、报告为主体的 报告体系 v建立了通过操作风险报告系统上报的 机制 操作风险基础 二、二、风险报告：系统和办法的变化风险报告：系统和办法的变化 v 第一，办法的名称改为第一，办法的名称改为中国农业银行操作风险监测与报告管理办法中国农业银行操作风险监测与报告管理办法，监，监 测要求分行风险管理部门对测要求分行风险管理部门对armsarms、反洗钱、法律、客服、审计等系统每日提、反洗钱、法律、客服、审计等系统每日提 取的风险信息的日常监测。取的风险信息的日常监测。 v 第二，把一期报告系统里的潜在风险事项报告明确要求为操作风险事项报告第二，把一期报告系统里的潜在风险事项报告明确要求为操作风险事项报告

41、 ，且细分为违规事项、客服事项、媒体负面信息和潜在风险。值得注意的是，且细分为违规事项、客服事项、媒体负面信息和潜在风险。值得注意的是 ，新办法中潜在风险的是指制度、流程和系统中的缺陷、漏洞，还没有因此，新办法中潜在风险的是指制度、流程和系统中的缺陷、漏洞，还没有因此 引发事实风险。引发事实风险。 v 第三，报告的流程发生了变化，事发单位报告后，必须报给风险管理部门逐第三，报告的流程发生了变化，事发单位报告后，必须报给风险管理部门逐 级审核，且审核工作是新的报告系统中的必须动作。级审核，且审核工作是新的报告系统中的必须动作。 v 第四，报告分工有所调整。事发部门侧重于报告事件基本情况、损失情况

42、，第四，报告分工有所调整。事发部门侧重于报告事件基本情况、损失情况， 而事件类型、产品线分类由风险部门负责。而事件类型、产品线分类由风险部门负责。 v 第五，把报告办法的附件的分类分级内容作为操作风险分类分级标准，单独第五，把报告办法的附件的分类分级内容作为操作风险分类分级标准，单独 制定，且对分级标准作了修订，如被诉案件不再全部是重大事件。制定，且对分级标准作了修订，如被诉案件不再全部是重大事件。 v 第六，对迟报、瞒报时限重新进行了界定。迟报，重大事件为第六，对迟报、瞒报时限重新进行了界定。迟报，重大事件为3 3天，一般事件天，一般事件 为为5 5天，瞒报一律为天，瞒报一律为1515天。天

43、。 23 操作风险基础 二、二、风险报告：系统的特点风险报告：系统的特点 24 l谁发生，谁报告谁发生，谁报告 l双线报告双线报告 l分类分级报告分类分级报告 l风险经理报告风险经理报告 l标准化、规范化报告标准化、规范化报告 l与法律、安全保卫、内控等部门风险信与法律、安全保卫、内控等部门风险信 息有效核对息有效核对 事件发生单位 风险管理部门业务管理部门 操作风险基础 二、二、风险报告：报告类别风险报告：报告类别 25 报告类别报告子类报告时限报告路线 重大操作风险事件 首次报告 事发3日内 事发单位向风险管理部 门上报 事件台账 后续报告 一般操作风险事件 事件台账 事发5日内 事发单位

44、向风险管理部 门上报 后续报告 操作风险事项 违规问题 事发10日内 事发单位向风险管理部 门上报 潜在风险 媒体负面信息 客服事项 操作风险分析报告操作风险分析报告季后10日内 业务部门向风险部门报 告，风险管理部门向上 级行风险管理部报告 操作风险基础 二、二、风险报告：报告路径风险报告：报告路径 26 谁发生，谁报告 双线报告 操作风险基础 二、二、风险报告：报告路径风险报告：报告路径 27 事发单位报告事发单位报告 二级分行风险管理二级分行风险管理 部门审核并风险分析部门审核并风险分析 总行风险管理部门评分总行风险管理部门评分 一级风险管理部门一级风险管理部门 审核修改审核修改 事发单

45、位审核事发单位审核 操作风险基础 二、二、风险报告：风险经理报告路径风险报告：风险经理报告路径 28 会计主管 风险经理 分理处主任 报告长短款等会 计结算、运营操 作风险 报告其他操作风 险 风险事件随时报，风险事项定期报 接受举报或检查 操作风险管理信息系统 操作风险事件 操作风险事项 事发单位 报告 风险经理报告 v支行在报告时限内未上报 v风险经理督促支行报告无效 的，风险经理直接通过操作风 险管理信息系统事件报告/事项 报告向上级行进行报告 操作风险基础 二、二、风险报告：风险报告：操作风险报告中存在的问题操作风险报告中存在的问题 29 报告中存在的问题1 迟报、瞒报情况屡有发生 l

46、未立案的案件线索没有上报。2009年案件集中排查、内控大检 查、集中审计都发现了很多案件线索，最终没有立案的案件线索 都没有上报。 l产生挪用的但追回损失的事件没有上报。 l一些被诉案件没有上报。 在操作风险管理信息系统上线后，提取了2009年法律事 务、安全保卫、审计等系统数据，将和报告系统进行核 对，漏报的事件全部补录入系统。 操作风险基础 二、二、风险报告：风险报告：操作风险报告中存在的问题操作风险报告中存在的问题 30 报告中存在的问题2 事件影响程度分级不准，导致“该报的不报，不该按事件的作为事件上报” l把符合报告标准的操作风险事件作为潜在风险上报。如 “收贷资金长期被非法占用或挪

47、作他用，涉及金额630万元” 的事件应为三级事件，但被作为了潜在风险上报。 l未达到报告标准的事项作为操作风险事件上报。比较常见 的是把审计、检查发现的违规问题作为操作风险事件上报。 如“未复印客户身份证”、“转账支票未背书签字”等潜 在风险事项作为事件上报。在操作风险报告系统一期向 orms系统数据移植时进行了初步梳理，约有30%的没有 构成事件的违规问题当作事件进行报告。 l事件分级不准。 操作风险基础 二、二、风险报告：风险报告：操作风险报告中存在的问题操作风险报告中存在的问题 31 报告中存在的问题3 事件报告内容粗略，事实描述不清。 l事件命名不规范比如“省分行自律监管检查”、“审

48、计反映重大问题之十五” l事件情况描述不清 事件描述过于简单 直接摘录、复制其他报告，事件来龙去脉没有交代清楚 l后续报告率低后续报告率低 操作风险基础 二、二、风险报告：风险报告：操作风险报告中存在的问题操作风险报告中存在的问题 32 报告中存在的问题4 涉及金额、风险金额等漏填或填报错误 l缺少涉及金额、风险金额。有的是首次报告因为不掌握具 体损失情况而没有填写，但此后一直不补报相应金额，有 的在损失描述中有涉及金额、风险金额等数字，但在相应 的金额栏中空缺。 l对涉及金额和风险金额的定义不准。 l输入错误。一些事件在报告时误将金额单位“万元”当作 “元”，出现过“上亿”，“十几亿”的事件

49、。 操作风险基础 二、二、风险报告：风险报告：操作风险报告中存在的问题操作风险报告中存在的问题 33 报告中存在的问题5 风险点分析不认真或未进行分析 l没有进行风险点分析。一些事件首次报告时因为事实不清 而未进行风险分析，但此后一直没有跟踪事态变化来进行 分析。 l风险点存在遗漏，没有逐流程查找风险因素。只填写了最 主要的风险点，比如事件描述为“通过虚列支出、截留收 入等方式设立小金库，转入冒名开立的存款账户中”， 明显存在多个风险点，但报告中只填写了一个风险点。 操作风险基础 二、二、风险报告：风险报告：操作风险报告中存在的问题操作风险报告中存在的问题 34 报告中存在的问题6 涉及业务条

50、线划分有误 l管理职责交叉的业务。比如atm安装摄像头和读卡器窃取 银行卡资金，有的行认为atm属于安全保卫部门管理，将 银行卡划为安全保卫，有的行认为归根到底属于银行卡资 金被盗，又划分为个人金融。 l引起法律诉讼的事件。有划分到法律事务条线的，有按照 法律诉讼的性质划分到具体的业务条线。（储蓄纠纷划分 到信贷业务）。 l审计、检查发现的违规问题。有的直接按照事件来源选择 条线为审计或者内控。 l员工个人违法违纪和欺诈行为或劳务纠纷。有的按照员工 所属部门划分，有的是划分为人事管理。 操作风险基础 二、二、风险报告：风险管理部门的措施风险报告：风险管理部门的措施 35 风险管理部门 审核报告

51、 分析 事件类型、 产品线 对报告质 量打分 操作风险基础 二、二、风险报告：评分流程风险报告：评分流程 36 事发单位报告 同级风险管理部门审核 系统打分 总行风险管理部门评分 手工打分 更新 更新 一级风险管理部门审核 修改 v总行会对每一件操作 风险事件进行评分 v手工得分为报告最终 得分 操作风险基础 二、二、风险报告：评分的影响风险报告：评分的影响 v 操作风险报告得分占比为辅助评分的操作风险报告得分占比为辅助评分的50%50%，辅助评分占总分的，辅助评分占总分的40%40%，也，也 就是说操作风险报告得分占最终各分行的得分的就是说操作风险报告得分占最终各分行的得分的20%20% v

52、 经济资本的调整系数为最低为经济资本的调整系数为最低为0.82.890.82.89，对分行的经济资本可以，对分行的经济资本可以 放大到放大到2.892.89倍倍 v 今年对迟报、瞒报的认定非常严格，超过今年对迟报、瞒报的认定非常严格，超过1515天未报告，或从法律事务天未报告，或从法律事务 系统、审计、保卫系统中转入的事件超过该系统上报日期系统、审计、保卫系统中转入的事件超过该系统上报日期1515天的，也天的，也 认定为瞒报，报告率是报告得分的核心内容。认定为瞒报，报告率是报告得分的核心内容。 v 评分是逐级的，总行对一级分行评分，一级分行对二级分行、支行评评分是逐级的，总行对一级分行评分，一

53、级分行对二级分行、支行评 分，各支行自己报告的情况决定了各支行的报告得分，影响到该行的分，各支行自己报告的情况决定了各支行的报告得分，影响到该行的 经济资本，进而影响到该行的考核。经济资本，进而影响到该行的考核。 37 操作风险基础 二、二、风险报告：填报规范风险报告：填报规范 38 l 把握操作风险事件、事项报告标准把握操作风险事件、事项报告标准 人员流程外部事件 系统 操作风险？ 操作风险事件操作风险事项 1、事件性质属于刑事案件、违法违 纪案件、被诉案件、信息安全事件 2、风险金额0 3、需要上报监管部门或受到监管处 罚 1、未形成风险金额的违规事项 2、制度、办法或系统的风险隐患 3、

54、网络负面媒体信息 4、客户投诉 操作风险基础 二、二、风险报告：填报规范风险报告：填报规范 l 事件名称须完整、简要、清晰事件名称须完整、简要、清晰，能反映事件发生属地、涉及人员、事，能反映事件发生属地、涉及人员、事 件类型和特点件类型和特点 l 一级分行名称一级分行名称二级分行名称二级分行名称支行名称支行名称 涉及人员涉及人员 事件类型事件类型 特点特点 l 例如：例如：xx省省xx市市xx支行因储蓄（抵押物支行因储蓄（抵押物/劳动劳动/）纠纷被）纠纷被xx人人/公公 司起诉。司起诉。xx省省xx市市xx支行支行xx人挪用（盗取）资金人挪用（盗取）资金xx万。万。xx省省xx市市xx 支行支

55、行atm机被改装盗取客户资金。机被改装盗取客户资金。 l 对于同一事件的对于同一事件的首次报告、事件台帐、后续报告，事件名称要一致首次报告、事件台帐、后续报告，事件名称要一致 39 操作风险基础 二、二、风险报告：填报规范风险报告：填报规范 l 事件描述应详细准确。事件描述应详细准确。首次报告时对事件情况暂不清楚时，应初步描述事件 时间、地点和涉及人员等基本要素，并跟踪事态发展，在后续报告中详细描 述 l 业务条线归类准确是按条线分析的前提。业务条线是指操作风险事件、事项业务条线归类准确是按条线分析的前提。业务条线是指操作风险事件、事项 损失发生的业务条线，损失发生的业务条线，划分时注意： 1

56、、存在两个部门职责交叉时，以事件涉及的业务或产品的主管部门为主， 比如atm被安装读卡器，最终导致的是银行卡资金被盗，应归入个人金融业务 条线。 2、被诉案件、审计、检查发现的问题，业务条线不能填写法律事务、内控 合规，而是应填写被诉事件、违规问题本身所发生的业务条线。 3、资产处置中引起的纠纷，一是处置标的物本身存在瑕疵的，业务条线应 归为标的物所属的条线，比如对公贷款处置属于公司业务，二是资产处置不 合规的，属于资产处置。 4、员工贪污、受贿等职务犯罪，应按照员工所在业务条线划分。 5、劳资纠纷划分到人力资源。 40 操作风险基础 二、二、风险报告：填报规范风险报告：填报规范 l涉及金额涉

57、及金额指操作风险事件中累计涉及的金额。如挪用客户资金类事件指累计挪用金额 。 l风险金额指风险金额指操作风险事件发生或发现时有可能损失的部分，即风险暴露金额。 l如报告时暂无法掌握涉及金额、风险金额的，要及时根据事态变化补充填报。如报告时暂无法掌握涉及金额、风险金额的，要及时根据事态变化补充填报。 刑事案件中，盗窃、抢劫、诈骗的涉案金额为涉及金额，最终形成的风险敞口为风险金额。 违法违纪案件中，贪污、受贿案件累计涉案金额为涉及金额，而由于此案件贪污、受贿的金额 不是银行本身的损失，而贪污、受贿造成的间接损失，很难具体估量，不算作风险金额。挪用案件 的累计挪用金额为涉及金额，最终形成挪用的资金缺

58、口为风险金额。 被诉案件中，被诉标的金额等于涉及金额和风险金额。 违规事件中，违规行为过程中涉及到业务金额，金额与行为直接关联（比如传票未专夹保管， 传票的票面金额和保管的行为没有必然联系，所以该事件没有涉及金额）。违规行为导致可能损失 的金额为风险金额，比如违规放贷，如果该贷款形成不良，预计损失额即为风险金额。（注意，存 在违规行为，但贷款形态正常的，只有涉及金额，没有风险金额。） 信息安全事件、群体性事件等其他操作风险事件，涉及金额和风险金额按照其产生的客户索赔 、实物资产损坏的金额确定。如主机损坏，涉及金额和风险金额同时为主机的成本。 风险金额是我们事件发现时产生的风险金额，比如经过几个

59、月后，损失全部收回的不能认为该 事件的风险金额为0，作为不报告的理由。 41 操作风险基础 二、二、风险报告：填报规范风险报告：填报规范 l 案件指上报银监会、中纪委的违法违纪案件、刑事案件。案件指上报银监会、中纪委的违法违纪案件、刑事案件。 案件中不包括法律诉讼案件。 与监察部、安全保卫部上报银监会的口径一致。 未立案的贪污、受贿、挪用的案件线索必须作为操作风险事件上报，不得隐 瞒。 l 操作风险事件按件报告。操作风险事件按件报告。 法律事务系统中，反诉、多次起诉多作为多件事情统计，但在操作风险报告 时应注意同一起诉事由产生的多次诉讼作为一个事件报告。 从分析和今后损失数据收集的要求来看，同

60、一原因（如制度、系统缺、模型 错误）或同一不法分子（团伙）连续作案的，作为一件风险事件上报。例如 ，在2009年银行卡资金被盗案件中，应以一台atm被不法分子安装读卡器制作 的所有伪卡盗取事件作为一起事件上报，而不是该行一段期间内该行所有被 盗卡事件打包作为一件事件上报，或者按每张卡作为一个事件单独上报。 42 操作风险基础 二、二、风险报告：风险分类分级标准风险报告：风险分类分级标准 要解决的问题：要解决的问题： l 统一操作风险标准，形成各业务条线共同管理操作风险的平台。统一操作风险标准，形成各业务条线共同管理操作风险的平台。 l 统一的操作风险数据标准，为定量管理和高级法计量奠定基础。统