操作风险简易版课件

61、辍学如磨刀之石，不见其损，日有所亏。62、奇文共欣赞，疑义相与析。63、暧暧远人村，依依墟里烟，狗吠深巷中，鸡鸣桑树颠。64、一生复能几，倏如流电惊。65、少无适俗韵，性本爱丘山。操作风险简易版操作风险简易版61、辍学如磨刀之石，不见其损，日有所亏。62、奇文共欣赞，疑义相与析。63、暧暧远人村，依依墟里烟，狗吠深巷中，鸡鸣桑树颠。64、一生复能几，倏如流电惊。65、少无适俗韵，性本爱丘山。操作风险简易版2361、辍学如磨刀之石，不见其损，日有所亏。操作风险简易版操作1操作风险简易版课件2操作风险简易版课件3操作风险简易版课件4操作风险简易版课件52.2市场风险制度与流程规划

62.2市场风险制度与流程规划

62.3操作风险制度与流程规划

流程描述风险识别固有风险评估固有风险水平现有控制分析控制评估（制度设计）可能性后果剩余风险评估剩余风险水平可能性后果12345672.3操作风险制度与流程规划

流程描述风险识别固有风险2.4银行账户利率风险与流动性风险制度与流程规划

82.4银行账户利率风险与流动性风险制度与流程规划

82.5其他重大风险政策与流程规划

92.5其他重大风险政策与流程规划

93.方法论与模型规划103.方法论与模型规划10操作风险分类11操作风险分类11巴塞尔新资本协议的资本计量要求资本计量—基本指标法银行越大，非利息收入越高，操作风险就越大，分配的经济资本就越多；3年总收入的平均值作为衡量指标：操作风险的监管成本＝(前三年的总收入X固定百分比加总)÷3；提取总收入的15%作为资本：总收入＝净利息收入＋净非利息收入不包括保险收入、银行账户上出售证券实现的盈利12巴塞尔新资本协议的资本计量要求资本计量—基本指标法12巴塞尔新资本协议的资本计量要求资本计量—标准法将整个业务分成8条产品线，度量每个业务线的风险，再把风险加总；巴塞尔设定了8种产品线每个产品线的β值（商业银行在特定产品线的操作风险损失经营值与该产品线总收入之间的关系）；计提的总资本等于各业务分别计提的资本之和；采用标准法的基本要求：董事会和高管层应当积极参与监督操作风险管理架构；具完整而且切实可行的操作风险的管理系统；该拥有充足的资源来支持在主要产品线上和控制及审计领域采用该方法。业务种类

财务指标计提因子(%)企业融资

总收入

18贸易和销售

总收入

18零售银行业务

总收入

12商业银行业务

总收入

15支付和结算

总收入

18代理服务和托管

总收入

15零售经纪

总收入

12资产管理

总收入

1213巴塞尔新资本协议的资本计量要求资本计量—标准法业务种类资本计量—高级计量法a.资格要求；b.定性标准：设置独立的操作风险管理岗位，负责设计和实施操作风险管理框架；在全行范围内对主要业务条线分配操作风险资本。必须以正式文件形式制定内部操作风险管理政策、制度和流程，并在文件中明确规定对违规的处理办法；c.定量标准：表明采用的操作风险计量方法考虑到了潜在的较为严重的概率分布“尾部”损失事件；无论采用哪种方法，必须表明操作风险计量方法，与信用风险的内部评级法具有相当的稳健标准；任何操作风险内部计量系统，必须提供与巴塞尔委员会所规定的操作风险范围和损失事件类型一致的操作风险分类数据；例外：在内部业务实践过程中，能够足以准确的计算出预期损失；d.内部数据要求：无论是用于损失计量还是用于验证，具有至少五年的内部损失数据。对于初次使用高级计量法的商业银行要求可以适度放宽，允许使用三年的历史数据；e.外部数据要求：对外部数据配合专家的情景分析，求出严重风险事件下的风险暴露，这相当于一个极端情况下的压力测试；f.业务经营环境和内部控制因素。14资本计量—高级计量法a.资格要求；d.内部数据要求：14资本计量—高级计量法15资本计量—高级计量法15操作风险衡量模型计量模型基本指标法标准法内部衡量法高级计量法（损失分布法、极值模型法及其他）业务类型和损失事件类型单一业务类别8各业务类别8各业务类别，7个损失事件类型，共56个组合多个业务类别，多个损失事件类型银行自主划定模型结构∑（系数X风险暴露X风险分布调整指数）使用损失频率和损失幅度分布来估计操作风险的风险价值（VaR）；PE、LGE、EI有银行自定，资本要求转换系数r由监管当局确定参数选择单一风险暴露指标EI、比例指标α多个EI（PE、LGE、RPI）多个风险资本比例β监管机构统一划定监管资本高较高较低

16操作风险衡量模型计量模型基本指标法标准法内部衡量法高级计量法操作风险管理流程识别RSA/ORAP/Riskmap测量LDC监督和报告KRI控制KORC/CSA操作风险管理流程识别测量监督和报告控制17操作风险管理的方法论关键风险指标风险自我评估其他风险审批过程关键操作风险控制损失数据库风险环境控制环境历史损失数据调整后分布业务和控制环境预测损失分布模型基于预期ultult历史损失分布基于事实LikelihoodImpactLossesabsorbedbylossprovisionsLossesabsorbedbycapitalLossesnotabsorbedbycapitalExpectedlossUnexpectedlossCatastrophiclossDefault支柱1：最低资金要求支柱2：监督审查治理结构与政策/框架风险组织架构及原则稳健原则原则5：银行应定期监督操作风险的轮廓原则4：银行应识别并评估所有产品、活动和系统的固有操作风险原则4：银行应确保在新的产品、活动、流程以及系统出现之前，已对操作风险进行充分的评估原则6：银行应该定期审查其风险限额和控制策略，依据适当的策略调整风险状况。原则5：银行应制定一套程序来定期监测操作风险状况和重大损失风险原则1：董事会应清楚银行操作风险的主要方面，并将其作为一个独特的风险类别进行管理，定期核准和监测银行操作风险管理的框架。原则3：应坚持在整个银行实施这个结构，各级工作人员应该了解自己在操作风险管理中的职责。工具包连接AMA资本计算操作风险管理的方法论关键风险指标风险自我评估其他风险审批过程18操作风险管理框架管理对象ORM治理结构、政策和程序ORM风险偏好识别和评估监测和报告告测量实施和控制基础框架管理工具IT系统模型管理信息资本计量风险自评(RSA)评审程序(ORAP)损失数据库(CLD)关键风险控制(KORC)关键风险指(KRI)业务持续性管理(BCM)ED&PMIn-FraudEx-FraudEP&WSCP&BPDPABD&SF北京天津上海浙江广东四川风险类型业务线分支行公司融资交易销售商业银行零售银行支付结算代理服务资产管理操作风险管理框架管理对象ORM治理结构、政策和程序ORM19控制自评：操作风险控制自我评估（RCSA）操作风险控制自我评估（RCSA）

根据操作风险管理的基本原理，按照规定的工作流程，采用一定的方法，对操作风险状况与控制效果进行的内部评价活动，是操作风险管理持续改进的基础工作和关键环节控制自评：操作风险控制自我评估（RCSA）操作风险控制自我评20操作风险控制自我评估的程序不充分的风险识别和评估事故原因问题解决直接诱因缺乏控制风险根源存在事故险情最高限度操作风险控制自我评估的程序不充分的风险识别和评估事故原因问题21与RCSA有关的定义(一)可能性用作对事件发生概率或频率的定性描述。频率：是以规定的时间内发生次数来表达事件发生率的量度。概率：是以特定事件或结果与可能发生事件或结果的总数之比来量度的特定事件或结果的可能性。概率用数字0至1来表达，0表示一个不可能的事件或结果，而1表示一个必然的事件或结果。影响以定量或定性的方式表示的一个事件的结果（一个事件可能有多个与其相关的结果）

。与RCSA有关的定义(一)可能性22与RCSA有关的定义(二)风险点指操作风险因素在业务流程中环节的反映和表现。损失指任何财务或其他方面的负面影响。固有风险指在没有考虑控制活动的有效性或其他减小风险的措施没有付诸实施之前已经存在的操作风险。剩余风险指在采取控制活动或其他风险减轻措施后所剩余的操作风险。与RCSA有关的定义(二)风险点23操作风险损失事件分类内部欺诈外部欺诈雇佣关系客户关系，产品及业务操作对物理资产的损害业务中断和系统失灵实施、交付和流程管理操作风险损失事件分类内部欺诈24流程图：流程描述流程图：流程描述25风险识别事件分类（一级）事件分类（二级）事件分类（三级）提示：风险可能发生的环节：职能接口的环节流程衔接的环节人机交互的环节风险识别事件分类（一级）事件分类（二级）事件分类（三级）提示26风险识别——风险点与流程对应关系事件类型（一级）事件类型（二级）事件类型（二级）风险点1风险点2风险点3风险点4风险点n风险识别——风险点与流程对应关系事件类型（一级）事件类型（二27固有风险评估——可能性可能性：用作对事件发生的概率或频率的定性描述。【注1】频率（frequency）是以规定的时间内发生次数来表达事件发生率的量度。【注2】概率（probability）是以特定事件或结果与可能发生事件或结果的总数之比来量度的特定事件或结果的可能性。概率用数字0至1来表达，0表示一个不可能的事件或结果，而1表示一个必然的事件或结果。可能性评估值解释损失事件发生频率（参考）极少发生

1在某种情况下能够发生，但可能性较小；或偶尔发生10年以上很少发生2在某种情况下可能发生；1-10年（含）间歇性发生3在某种情况下很可能会发生；或发生过几次1个月-1年（含）常见的4在大多数情况下很可能会发生；或经常发生1周-1个月（含）经常周期性发生的5预期大多数情况下发生；或总是发生1周以内（含）固有风险评估——可能性可能性：用作对事件发生的概率或频率的定28固有风险评估——影响后果评估值财务损失

(人民币)其他相关方对损失事件的反应及对公司造成的影响媒体的态度监管机构行动法律行动员工信息系统很小1较小的财务损失，参考数量级：10万元级无负面报道或在报纸或网络上对公司进行简单的报道监管者认为合规或未发现不合规对公司采取法律行为的可能性很小，或对方胜诉可能性很小员工没有受到影响，或影响很小信息系统运行安全、稳定，或对偶尔出现的不稳定现象能够及时处理中等2无法忽略的损失，参考数量级：100万元级在报纸、电视或网络上发表批评意见，引起部分负面公众影响，潜在的导致单一客户群体的丧失个别方面不合规或偶尔不合规，监管者对公司进行口头警告对公司违约事件采取单个诉讼，可能庭外和解员工可能受到轻微伤害或者占用正常非工作时间无法登陆信息系统；部分信息被泄漏较大3超乎寻常的损失，参考数量级：1000万元级多家媒体和/或国家电视台进行负面报道，引起较广范围的负面公众影响，潜在的导致一些客户或业务的丧失部分方面不合规或时常不合规，监管者对公司进行监管调查并发出书面整改函对公司违约情况采取单个或数个诉讼，但快速解决的可能性较小不止一个员工受伤，并需要治疗；本地裁员信息系统遭到入侵，对业务产生较大影响严重4非常严重的损失，参考数量级：1亿元级多家媒体和/或者国家电视台的主要新闻节目连续几天负面报道，引起非常大范围的负面公众影响，潜在的导致一些关键客户或业务的丧失在重要方面不合规，或大范围、持续不合规，导致监管者对公司进行处罚对公司重大违约事件采取集体诉讼，公司败诉可能性很大，且会遭受重大声誉损失或经济损失重伤，可能有死亡；大量裁员系统或其中的数据遭到破坏，对业务产生严重影响灾难性的5很可能导致破产的损失，参考数量级：10亿元级对政府或政治产生影响；公众对其失去信心严重不合规，监管者对公司勒令停业或限制业务、吊销经营业务牌照（资格）或高额罚款，若构成刑事责任则移交司法机构对公司重大违约事件采取集体诉讼，公司胜诉可能性很小，会遭受严重声誉损失或经济损失，很可能导致公司破产出现死亡或者对员工生命产生重大影响；大规模裁员系统瘫痪，导致业务中断后果：

以定量或定性的方式表示的一个事件的影响程度。【注】一个事件可能有多个与其相关的后果。

固有风险评估——影响后果评估值财务损失

(人民币)其他相关方29固有风险评估——风险等级风险等级含义极高风险E－Extreme不可接受风险，控制无效。此类风险要求立即引起董事会、公司高层的注意和重视，应立即采取控制措施，这样的风险极有可能发生并有不可挽回的负面影响；超出公司可承受的能力，形成巨大的财务损失。高风险H－High不可接受风险，控制基本无效。此类风险要求立即引起公司高层的注意和重视，应及时决定适当的控制措施，这样的风险发生频率高影响等级较小或不大可能发生但影响等级严重；形成较大的财务损失。中等风险M－Moderate不可接受风险，控制不足。此类风险需要进行监控和处理，应采取控制措施，这样的风险极有可能发生但影响很小或影响严重但几乎不可能发生；有一定的财务损失。低风险L－Low基本可接受风险，控制基本有效。此类风险被视为非常轻微，在现有的控制下可选择补救方案，发生的频率较低或影响性较小；形成较小的财务损失。极低风险N－negligible可接受风险，控制有效。此类风险可以视为极小，现有控制措施即可，这类风险不大可能发生并且影响性很小或较小；极小的财务损失，几乎没什么影响。固有风险评估——风险等级风险等级含义极高风险不可接受风险，控30风险地图：固有风险评估——风险水平确定将风险事件的可能性和影响性评估后的两个评分等级相乘得出的风险等级

后果等级可能性等级1-很小2-较小3-中等4-较大5-严重5-极有可能中等风险

(5×1=5)高风险

(5×2=10)极高风险

(5×3=15)极高风险

(5×4=20)极高风险

(5×5=25)4-很可能低风险

(4×1=4)中等风险

(4×2=8)高风险

(4×3=12)极高风险

(4×4=16)极高风险

(4×5=20)3-比较可能低风险

(3×1=3)中等风险

(3×2=6)高风险

(3×3=9)高风险

(3×4=12)极高风险

(3×5=15)2-不大可能极小风险

(2×1=2)低风险

(2×2=4)中等风险

(2×3=6)中等风险

(2×4=8)高风险

(2×5=10)1-几乎不可能极小风险

(1×1=1)极小风险

(1×2=2)低风险

(1×3=3)低风险

(1×4=4)中等风险

(1×5=5)风险地图：固有风险评估——风险水平确定将风险事件的可能性和影31在多人参与操作风险评估时，一般采取折衷原则（取平均值），但对于风险较大的领域，可以采取悲观原则（取最大值），一般不采取乐观原则（取最小值）。固有风险总体分布平均分布固有风险评估在多人参与操作风险评估时，一般采取折衷原则（取平均值），但对32控制2控制1控制31432控制45非流程控制5流程内控制控制与风险重合控制环节前置控制环节后置流程外控制其他流程控制（如监控流程控制）非流程控制（如政策控制、责任控制）政策

与流程职责

分离双重

控制授权

委托确认财务

核对合规性

检查合同与

交易的

限额控制账实

核对实施

独立的

内部审计招募

可靠

人员信息

系统

控制现有控制分析——正式控制与非正式控制控制2控制1控制31432控制45非流程控制5流程内控制政策33现有控制分析——控制类型（仅供确定控制措施时参考）控制类型控制措施描述管理层审查管理层对相关业务或经营情况进行审查和检查，如本年度上年度对比，本行与同业的对比分析结果，掌握公司经营及内部控制整体状况。不相容职务分离全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。授权审批根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。权限控制根据风险偏好和风险容忍度，对不同级别员工分配不同的权限，如不同信贷审批人员的授信审批权限、资金交易员的交易权限等会计系统控制严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。财产保护控制建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。运营分析建立运营情况分析制度，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。预算控制实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。绩效考评控制建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。现有控制分析——控制类型（仅供确定控制措施时参考）控制类型控34固有风险剩余风险剩余风险总体分布风险的变迁剩余风险评估固有风险剩余风险剩余风险总体分布风险的变迁剩余风险评估35现有控制评估（设计层面）控制有效当采取控制措施后，风险从不可接受（E、H、M）达到I（极小风险）时，可以认为控制有效。控制基本有效当采取控制措施后，风险从不可接受（E、H、M）达到L（低风险）时，可以认为控制基本有效。控制不足当采取控制措施后，风险水平虽有所降低，等级仍处于不可接受（E、H、M）时，可以认为控制不足，需要进一步采取控制措施。控制过度当采取控制措施后，风险水平能够从不可接受（E、H、M）达到基本可接受或可接受（L或I），但为此付出的控制的成本过高，适当减少控制时仍能使风险处于可接受状态，此时可以认为控制过度。现有控制评估（设计层面）控制有效36操作风险管理工具的定义操作风险管理工具的定义37操作风险管理工具的目的与各部门的责任操作风险管理工具工具目的风险管理部的责任业务单位的责任工具所提供的结果风险自我评估(RSA)确认现有业务中合适的风险改善计划提供识别方法、架构、原则识别风险及拟定改善计划现有业务经营风险及其改善方案风险地图(RiskMap)有效识别汇总各类风险点确认各类风险点识别风险点并提交操作风险整体分布二维图表损失数据库(LED)籍由历史损失识别操作风险损失资料分析、维护、呈报记录及通报损失事件操作损失季报(业务单位)操作损失季报(管理单位)关键操作风险控制(KORC)检查重要流程的控制点保存最近的控制点资料识别流程主要控制点重要业务流程的主要控制点清单关键风险指标(KRI)监控操作风险风险敞口情况提供风险评估架构及规范监督风险变化情况控制点评估报表操作风险评估程序(ORAP)识别适合新业务的风险改善计划提供风险评估架构及规范取得相关部门的意见新业务经营风险及其改善方案操作风险管理工具的目的与各部门的责任操作风险工具目的风险管理38重点：控制重点：

风险重点：

损失关键操作风险控制(KORC)关键风险指标(KRI)风险自我评估(RSA)风险地图（RiskMap）损失数据库(LED)操作风险评估程序(ORAP)每一种工具的其重点与优势操作风险管理工具的重点与使用39重点：控制重点：

风险重点：

损失关键操作风险控制(KORC31、只有永远躺在泥坑里的人，才不会再掉进坑里。——黑格尔

32、希望的灯一旦熄灭，生活刹那间变成了一片黑暗。——普列姆昌德

33、希望是人生的乳母。——科策布

34、形成天才的决定因素应该是勤奋。——郭沫若

35、学到很多东西的诀窍，就是一下子不要学很多。——洛克31、只有永远躺在泥坑里的人，才不会再掉进坑里4061、辍学如磨刀之石，不见其损，日有所亏。62、奇文共欣赞，疑义相与析。63、暧暧远人村，依依墟里烟，狗吠深巷中，鸡鸣桑树颠。64、一生复能几，倏如流电惊。65、少无适俗韵，性本爱丘山。操作风险简易版操作风险简易版61、辍学如磨刀之石，不见其损，日有所亏。62、奇文共欣赞，疑义相与析。63、暧暧远人村，依依墟里烟，狗吠深巷中，鸡鸣桑树颠。64、一生复能几，倏如流电惊。65、少无适俗韵，性本爱丘山。操作风险简易版2361、辍学如磨刀之石，不见其损，日有所亏。操作风险简易版操作41操作风险简易版课件42操作风险简易版课件43操作风险简易版课件44操作风险简易版课件452.2市场风险制度与流程规划

462.2市场风险制度与流程规划

62.3操作风险制度与流程规划

流程描述风险识别固有风险评估固有风险水平现有控制分析控制评估（制度设计）可能性后果剩余风险评估剩余风险水平可能性后果123456472.3操作风险制度与流程规划

流程描述风险识别固有风险2.4银行账户利率风险与流动性风险制度与流程规划

482.4银行账户利率风险与流动性风险制度与流程规划

82.5其他重大风险政策与流程规划

492.5其他重大风险政策与流程规划

93.方法论与模型规划503.方法论与模型规划10操作风险分类51操作风险分类11巴塞尔新资本协议的资本计量要求资本计量—基本指标法银行越大，非利息收入越高，操作风险就越大，分配的经济资本就越多；3年总收入的平均值作为衡量指标：操作风险的监管成本＝(前三年的总收入X固定百分比加总)÷3；提取总收入的15%作为资本：总收入＝净利息收入＋净非利息收入不包括保险收入、银行账户上出售证券实现的盈利52巴塞尔新资本协议的资本计量要求资本计量—基本指标法12巴塞尔新资本协议的资本计量要求资本计量—标准法将整个业务分成8条产品线，度量每个业务线的风险，再把风险加总；巴塞尔设定了8种产品线每个产品线的β值（商业银行在特定产品线的操作风险损失经营值与该产品线总收入之间的关系）；计提的总资本等于各业务分别计提的资本之和；采用标准法的基本要求：董事会和高管层应当积极参与监督操作风险管理架构；具完整而且切实可行的操作风险的管理系统；该拥有充足的资源来支持在主要产品线上和控制及审计领域采用该方法。业务种类

财务指标计提因子(%)企业融资

总收入

18贸易和销售

总收入

18零售银行业务

总收入

12商业银行业务

总收入

15支付和结算

总收入

18代理服务和托管

总收入

15零售经纪

总收入

12资产管理

总收入

1253巴塞尔新资本协议的资本计量要求资本计量—标准法业务种类资本计量—高级计量法a.资格要求；b.定性标准：设置独立的操作风险管理岗位，负责设计和实施操作风险管理框架；在全行范围内对主要业务条线分配操作风险资本。必须以正式文件形式制定内部操作风险管理政策、制度和流程，并在文件中明确规定对违规的处理办法；c.定量标准：表明采用的操作风险计量方法考虑到了潜在的较为严重的概率分布“尾部”损失事件；无论采用哪种方法，必须表明操作风险计量方法，与信用风险的内部评级法具有相当的稳健标准；任何操作风险内部计量系统，必须提供与巴塞尔委员会所规定的操作风险范围和损失事件类型一致的操作风险分类数据；例外：在内部业务实践过程中，能够足以准确的计算出预期损失；d.内部数据要求：无论是用于损失计量还是用于验证，具有至少五年的内部损失数据。对于初次使用高级计量法的商业银行要求可以适度放宽，允许使用三年的历史数据；e.外部数据要求：对外部数据配合专家的情景分析，求出严重风险事件下的风险暴露，这相当于一个极端情况下的压力测试；f.业务经营环境和内部控制因素。54资本计量—高级计量法a.资格要求；d.内部数据要求：14资本计量—高级计量法55资本计量—高级计量法15操作风险衡量模型计量模型基本指标法标准法内部衡量法高级计量法（损失分布法、极值模型法及其他）业务类型和损失事件类型单一业务类别8各业务类别8各业务类别，7个损失事件类型，共56个组合多个业务类别，多个损失事件类型银行自主划定模型结构∑（系数X风险暴露X风险分布调整指数）使用损失频率和损失幅度分布来估计操作风险的风险价值（VaR）；PE、LGE、EI有银行自定，资本要求转换系数r由监管当局确定参数选择单一风险暴露指标EI、比例指标α多个EI（PE、LGE、RPI）多个风险资本比例β监管机构统一划定监管资本高较高较低

56操作风险衡量模型计量模型基本指标法标准法内部衡量法高级计量法操作风险管理流程识别RSA/ORAP/Riskmap测量LDC监督和报告KRI控制KORC/CSA操作风险管理流程识别测量监督和报告控制57操作风险管理的方法论关键风险指标风险自我评估其他风险审批过程关键操作风险控制损失数据库风险环境控制环境历史损失数据调整后分布业务和控制环境预测损失分布模型基于预期ultult历史损失分布基于事实LikelihoodImpactLossesabsorbedbylossprovisionsLossesabsorbedbycapitalLossesnotabsorbedbycapitalExpectedlossUnexpectedlossCatastrophiclossDefault支柱1：最低资金要求支柱2：监督审查治理结构与政策/框架风险组织架构及原则稳健原则原则5：银行应定期监督操作风险的轮廓原则4：银行应识别并评估所有产品、活动和系统的固有操作风险原则4：银行应确保在新的产品、活动、流程以及系统出现之前，已对操作风险进行充分的评估原则6：银行应该定期审查其风险限额和控制策略，依据适当的策略调整风险状况。原则5：银行应制定一套程序来定期监测操作风险状况和重大损失风险原则1：董事会应清楚银行操作风险的主要方面，并将其作为一个独特的风险类别进行管理，定期核准和监测银行操作风险管理的框架。原则3：应坚持在整个银行实施这个结构，各级工作人员应该了解自己在操作风险管理中的职责。工具包连接AMA资本计算操作风险管理的方法论关键风险指标风险自我评估其他风险审批过程58操作风险管理框架管理对象ORM治理结构、政策和程序ORM风险偏好识别和评估监测和报告告测量实施和控制基础框架管理工具IT系统模型管理信息资本计量风险自评(RSA)评审程序(ORAP)损失数据库(CLD)关键风险控制(KORC)关键风险指(KRI)业务持续性管理(BCM)ED&PMIn-FraudEx-FraudEP&WSCP&BPDPABD&SF北京天津上海浙江广东四川风险类型业务线分支行公司融资交易销售商业银行零售银行支付结算代理服务资产管理操作风险管理框架管理对象ORM治理结构、政策和程序ORM59控制自评：操作风险控制自我评估（RCSA）操作风险控制自我评估（RCSA）

根据操作风险管理的基本原理，按照规定的工作流程，采用一定的方法，对操作风险状况与控制效果进行的内部评价活动，是操作风险管理持续改进的基础工作和关键环节控制自评：操作风险控制自我评估（RCSA）操作风险控制自我评60操作风险控制自我评估的程序不充分的风险识别和评估事故原因问题解决直接诱因缺乏控制风险根源存在事故险情最高限度操作风险控制自我评估的程序不充分的风险识别和评估事故原因问题61与RCSA有关的定义(一)可能性用作对事件发生概率或频率的定性描述。频率：是以规定的时间内发生次数来表达事件发生率的量度。概率：是以特定事件或结果与可能发生事件或结果的总数之比来量度的特定事件或结果的可能性。概率用数字0至1来表达，0表示一个不可能的事件或结果，而1表示一个必然的事件或结果。影响以定量或定性的方式表示的一个事件的结果（一个事件可能有多个与其相关的结果）

。与RCSA有关的定义(一)可能性62与RCSA有关的定义(二)风险点指操作风险因素在业务流程中环节的反映和表现。损失指任何财务或其他方面的负面影响。固有风险指在没有考虑控制活动的有效性或其他减小风险的措施没有付诸实施之前已经存在的操作风险。剩余风险指在采取控制活动或其他风险减轻措施后所剩余的操作风险。与RCSA有关的定义(二)风险点63操作风险损失事件分类内部欺诈外部欺诈雇佣关系客户关系，产品及业务操作对物理资产的损害业务中断和系统失灵实施、交付和流程管理操作风险损失事件分类内部欺诈64流程图：流程描述流程图：流程描述65风险识别事件分类（一级）事件分类（二级）事件分类（三级）提示：风险可能发生的环节：职能接口的环节流程衔接的环节人机交互的环节风险识别事件分类（一级）事件分类（二级）事件分类（三级）提示66风险识别——风险点与流程对应关系事件类型（一级）事件类型（二级）事件类型（二级）风险点1风险点2风险点3风险点4风险点n风险识别——风险点与流程对应关系事件类型（一级）事件类型（二67固有风险评估——可能性可能性：用作对事件发生的概率或频率的定性描述。【注1】频率（frequency）是以规定的时间内发生次数来表达事件发生率的量度。【注2】概率（probability）是以特定事件或结果与可能发生事件或结果的总数之比来量度的特定事件或结果的可能性。概率用数字0至1来表达，0表示一个不可能的事件或结果，而1表示一个必然的事件或结果。可能性评估值解释损失事件发生频率（参考）极少发生

1在某种情况下能够发生，但可能性较小；或偶尔发生10年以上很少发生2在某种情况下可能发生；1-10年（含）间歇性发生3在某种情况下很可能会发生；或发生过几次1个月-1年（含）常见的4在大多数情况下很可能会发生；或经常发生1周-1个月（含）经常周期性发生的5预期大多数情况下发生；或总是发生1周以内（含）固有风险评估——可能性可能性：用作对事件发生的概率或频率的定68固有风险评估——影响后果评估值财务损失

(人民币)其他相关方对损失事件的反应及对公司造成的影响媒体的态度监管机构行动法律行动员工信息系统很小1较小的财务损失，参考数量级：10万元级无负面报道或在报纸或网络上对公司进行简单的报道监管者认为合规或未发现不合规对公司采取法律行为的可能性很小，或对方胜诉可能性很小员工没有受到影响，或影响很小信息系统运行安全、稳定，或对偶尔出现的不稳定现象能够及时处理中等2无法忽略的损失，参考数量级：100万元级在报纸、电视或网络上发表批评意见，引起部分负面公众影响，潜在的导致单一客户群体的丧失个别方面不合规或偶尔不合规，监管者对公司进行口头警告对公司违约事件采取单个诉讼，可能庭外和解员工可能受到轻微伤害或者占用正常非工作时间无法登陆信息系统；部分信息被泄漏较大3超乎寻常的损失，参考数量级：1000万元级多家媒体和/或国家电视台进行负面报道，引起较广范围的负面公众影响，潜在的导致一些客户或业务的丧失部分方面不合规或时常不合规，监管者对公司进行监管调查并发出书面整改函对公司违约情况采取单个或数个诉讼，但快速解决的可能性较小不止一个员工受伤，并需要治疗；本地裁员信息系统遭到入侵，对业务产生较大影响严重4非常严重的损失，参考数量级：1亿元级多家媒体和/或者国家电视台的主要新闻节目连续几天负面报道，引起非常大范围的负面公众影响，潜在的导致一些关键客户或业务的丧失在重要方面不合规，或大范围、持续不合规，导致监管者对公司进行处罚对公司重大违约事件采取集体诉讼，公司败诉可能性很大，且会遭受重大声誉损失或经济损失重伤，可能有死亡；大量裁员系统或其中的数据遭到破坏，对业务产生严重影响灾难性的5很可能导致破产的损失，参考数量级：10亿元级对政府或政治产生影响；公众对其失去信心严重不合规，监管者对公司勒令停业或限制业务、吊销经营业务牌照（资格）或高额罚款，若构成刑事责任则移交司法机构对公司重大违约事件采取集体诉讼，公司胜诉可能性很小，会遭受严重声誉损失或经济损失，很可能导致公司破产出现死亡或者对员工生命产生重大影响；大规模裁员系统瘫痪，导致业务中断后果：

以定量或定性的方式表示的一个事件的影响程度。【注】一个事件可能有多个与其相关的后果。

固有风险评估——影响后果评估值财务损失

(人民币)其他相关方69固有风险评估——风险等级风险等级含义极高风险E－Extreme不可接受风险，控制无效。此类风险要求立即引起董事会、公司高层的注意和重视，应立即采取控制措施，这样的风险极有可能发生并有不可挽回的负面影响；超出公司可承受的能力，形成巨大的财务损失。高风险H－High不可接受风险，控制基本无效。此类风险要求立即引起公司高层的注意和重视，应及时决定适当的控制措施，这样的风险发生频率高影响等级较小或不大可能发生但影响等级严重；形成较大的财务损失。中等风险M－Moderate不可接受风险，控制不足。此类风险需要进行监控和处理，应采取控制措施，这样的风险极有可能发生但影响很小或影响严重但几乎不可能发生；有一定的财务损失。低风险L－Low基本可接受风险，控制基本有效。此类风险被视为非常轻微，在现有的控制下可选择补救方案，发生的频率较低或影响性较小；形成较小的财务损失。极低风险N－negligible可接受风险，控制有效。此类风险可以视为极小，现有控制措施即可，这类风险不大可能发生并且影响性很小或较小；极小的财务损失，几乎没什么影响。固有风险评估——风险等级风险等级含义极高风险不可接受风险，控70风险地图：固有风险评估——风险水平确定将风险事件的可能性和影响性评估后的两个评分等级相乘得出的风险等级

后果等级可能性等级1-很小2-较小3-中等4-较大5-严重5-极有可能中等风险

(5×1=5)高风险

(5×2=10)极高风险

(5×3=15)极高风险

(5×4=20)极高风险

(5×5=25)4-很可能低风险

(4×1=4)中等风险

(4×2=8)高风险

(4×3=12)极高风险

(4×4=16)极高风险

(4×5=20)3-比较可能低风险

(3×1=3)中等风险

(3×2=6)高风险

(3×3=9)高风险

(3×4=12)极高风险

(3×5=15)2-不大可能极小风险

(2×1=2)低风险

(2×2=4)中等风险

(2×3=6)中等风险

(2×4=8)高风险

(2×5=10)1-几乎不可能极小风险

(1×1=1)极小风险

(1×2=2)低风险

(1×3=3)低风险

(1×4=4)中等风险

(1×5=5)风险地图：固有风险评估——风险水平确定将风险事件的可能性和影71在多人参与操作风险评估时，一般采取折衷原则（取平均值），但对于风险较大的领域，可以采取悲观原则（取最大值），一般不采取乐观原则（取最小值）。固有风险总体分布平均分布固有风险评估在多人参与操作风险评估时，一般采取折衷原则（取平均值），但对72控制2控制1控制31432控制45非流程控制5流程内控制控制与风险重合控制环节前置控制环节后置流程外控制其他流程控制（如监控流程控制）非流程控制（如政策控制、责任控制）政策

与流程职责

分离双重

控制授权

委托确认财务

核对合规性

检查合同与

交易的

限额控制账实

核对实施

独立的

内部审计招募

可靠

人员信息

系统

控制现有控制分析——正式控制与非正式控制控制2控制1控制31432控制45非流程控制5流程内控制政策73现有控制分析——控制类型（仅供确定控制措施时参考）控制类型控制措施描述管理层审查管理层对相关业务或经营情况进行审查和检查，如本年度上年度对比，本行与同业的对比分析结果，掌握公司经营及内部控制整体状况。不相容职务分离全面系统地分析、梳