操作风险简易版

目录1.风险管理治理架构规划第4页2.制度与流程规划第4页3.方法论与模型规划第7页4.风险引擎规划第12页5.风险限额方法论与流程设定规划6.数据治理与IT系统的规划7.报告体系与信息披露的规划8.资本管理的规划第32页9.基于经济资本的RAROC管理体系建设规划第44页10.资产增长与结构调整的规划第59页11.风险管理治理架构规划22.制度与流程规划2.1信用风险制度与流程规划2.2市场风险制度与流程规划2.3操作风险制度与流程规划2.4银行账户利率风险与流动性风险制度与流程规划2.5其他重大风险政策与流程规划32.1信用风险制度与流程规划42.2市场风险制度与流程规划

风险战略设定制定业务战略确定风险总暴露风险概念定义确定资本充足率区分银行和交易账户预算分配止损限额预算分配确定止损限额风险分析衡量方法风险价值盯市价值风险评估限额设定情景分析确定暴露限额确定风险价值限额风险汇报路径设定制定风险制度监控和管理制度风险限额监控计算限额占用值提交风险监控报告定期检查检查限额占用情况考察投资环境变化考察监管政策变化事件调整评估紧急事件影响重设限额52.3操作风险制度与流程规划

6流程描述风险识别固有风险评估固有风险水平现有控制分析控制评估（制度设计）可能性后果剩余风险评估剩余风险水平可能性后果1234562.4银行账户利率风险与流动性风险制度与流程规划

72.5其他重大风险政策与流程规划

IT应急计划用一套计划对IT系统、业务程序和设备的破坏及时作出响应，并为恢复正常运行做适当准备。业务持续性计划集中于维持灾难中和灾难后机构的业务功能，可以宝航全部的重要业务程序。业务恢复计划指出了紧急事件后业务流程的恢复，要与灾难恢复计划保持一致。灾难恢复计划主要涉及IT操作，以恢复事故后在备用站点的目标系统、应用程序或电脑设备可操作性。运作持续性计划集中与恢复机构总部在预备站点的重要功能，并在恢复正常运作前的1个月内履行职能。危机沟通计划派专人作为有关灾难相应的发言人，还包括对发布情况声明的程序以及发布新闻的模板。支持IT应急计划一般支持系统的支持计划和主要应用程序的应急计划，考虑支持计划持续性。电脑事故相应计划建立一定程序以找出对IT系统所进行的攻击，使安全人会员找出事故原因以尽快恢复运行。居住者应急计划提供对员工、环境或财产的健康和安全受到威胁（火灾、飓风、犯罪）情况下的响应程序。83.方法论与模型规划9操作风险分类流程风险：财务/会计错误文件/合同缺陷交易/定价错误结算/支付错误错误监控/报告产品设计缺陷人员风险内部欺诈违反用工法失职违规知识/技能匮乏核心雇员流失外部风险恐怖威胁外部欺诈/盗窃洗钱政治风险监管规定业务外包自然灾害系统风险系统稳定性、兼容性、适宜性系统设计/开发的战略风险违反系统安全规定数据/信息质量10操作风险流程风险外部风险系统风险人员风险巴塞尔新资本协议的资本计量要求资本计量—基本指标法银行越大，非利息收入越高，操作风险就越大，分配的经济资本就越多；3年总收入的平均值作为衡量指标：操作风险的监管成本＝(前三年的总收入X固定百分比加总)÷3；提取总收入的15%作为资本：总收入＝净利息收入＋净非利息收入不包括保险收入、银行账户上出售证券实现的盈利11基本指标法标准法高级计量法巴塞尔新资本协议的资本计量要求资本计量—标准法将整个业务分成8条产品线，度量每个业务线的风险，再把风险加总；巴塞尔设定了8种产品线每个产品线的β值（商业银行在特定产品线的操作风险损失经营值与该产品线总收入之间的关系）；计提的总资本等于各业务分别计提的资本之和；采用标准法的基本要求：董事会和高管层应当积极参与监督操作风险管理架构；具完整而且切实可行的操作风险的管理系统；该拥有充足的资源来支持在主要产品线上和控制及审计领域采用该方法。12业务种类

财务指标计提因子(%)企业融资

总收入

18贸易和销售

总收入

18零售银行业务

总收入

12商业银行业务

总收入

15支付和结算

总收入

18代理服务和托管

总收入

15零售经纪

总收入

12资产管理

总收入

12资本计量—高级计量法a.资格要求；b.定性标准：设置独立的操作风险管理岗位，负责设计和实施操作风险管理框架；在全行范围内对主要业务条线分配操作风险资本。必须以正式文件形式制定内部操作风险管理政策、制度和流程，并在文件中明确规定对违规的处理办法；c.定量标准：表明采用的操作风险计量方法考虑到了潜在的较为严重的概率分布“尾部”损失事件；无论采用哪种方法，必须表明操作风险计量方法，与信用风险的内部评级法具有相当的稳健标准；任何操作风险内部计量系统，必须提供与巴塞尔委员会所规定的操作风险范围和损失事件类型一致的操作风险分类数据；例外：在内部业务实践过程中，能够足以准确的计算出预期损失；d.内部数据要求：无论是用于损失计量还是用于验证，具有至少五年的内部损失数据。对于初次使用高级计量法的商业银行要求可以适度放宽，允许使用三年的历史数据；e.外部数据要求：对外部数据配合专家的情景分析，求出严重风险事件下的风险暴露，这相当于一个极端情况下的压力测试；f.业务经营环境和内部控制因素。13资本计量—高级计量法运用操作风险高级计量模型6项标准要求内部数据要求一般标准外部数据要求情景分析要求定性标准定量标准操作风险高级计量法内部衡量法（InternalMeasurementApproaches，IMA）损失分布法（LossDistributionApproach，LDA）评分卡法（ScorecardApproach，SCA）情景高级法（Scenario—basedAMA）因果模型法（CausalModelingApproaches）极值理论（ExtremeValueTheory，EVT）14操作风险衡量模型计量模型基本指标法标准法内部衡量法高级计量法（损失分布法、极值模型法及其他）业务类型和损失事件类型单一业务类别8各业务类别8各业务类别，7个损失事件类型，共56个组合多个业务类别，多个损失事件类型银行自主划定模型结构∑（系数X风险暴露X风险分布调整指数）使用损失频率和损失幅度分布来估计操作风险的风险价值（VaR）；PE、LGE、EI有银行自定，资本要求转换系数r由监管当局确定参数选择单一风险暴露指标EI、比例指标α多个EI（PE、LGE、RPI）多个风险资本比例β监管机构统一划定监管资本高较高较低

15操作风险管理流程识别RSA/ORAP/Riskmap测量LDC监督和报告KRI控制KORC/CSA操作风险管理的方法论关键风险指标风险自我评估其他风险审批过程关键操作风险控制损失数据库风险环境控制环境历史损失数据调整后分布业务和控制环境预测损失分布模型基于预期ultult历史损失分布基于事实LikelihoodImpactLossesabsorbedbylossprovisionsLossesabsorbedbycapitalLossesnotabsorbedbycapitalExpectedlossUnexpectedlossCatastrophiclossDefault支柱1：最低资金要求支柱2：监督审查治理结构与政策/框架风险组织架构及原则稳健原则原则5：银行应定期监督操作风险的轮廓原则4：银行应识别并评估所有产品、活动和系统的固有操作风险原则4：银行应确保在新的产品、活动、流程以及系统出现之前，已对操作风险进行充分的评估原则6：银行应该定期审查其风险限额和控制策略，依据适当的策略调整风险状况。原则5：银行应制定一套程序来定期监测操作风险状况和重大损失风险原则1：董事会应清楚银行操作风险的主要方面，并将其作为一个独特的风险类别进行管理，定期核准和监测银行操作风险管理的框架。原则3：应坚持在整个银行实施这个结构，各级工作人员应该了解自己在操作风险管理中的职责。工具包连接AMA资本计算操作风险管理框架管理对象ORM治理结构、政策和程序ORM风险偏好识别和评估监测和报告告测量实施和控制基础框架管理工具IT系统模型管理信息资本计量风险自评(RSA)评审程序(ORAP)损失数据库(CLD)关键风险控制(KORC)关键风险指(KRI)业务持续性管理(BCM)ED&PMIn-FraudEx-FraudEP&WSCP&BPDPABD&SF北京天津上海浙江广东四川风险类型业务线分支行公司融资交易销售商业银行零售银行支付结算代理服务资产管理控制自评：操作风险控制自我评估（RCSA）操作风险控制自我评估（RCSA）

根据操作风险管理的基本原理，按照规定的工作流程，采用一定的方法，对操作风险状况与控制效果进行的内部评价活动，是操作风险管理持续改进的基础工作和关键环节操作风险控制自我评估的程序不充分的风险识别和评估事故原因问题解决直接诱因缺乏控制风险根源存在事故险情最高限度与RCSA有关的定义(一)可能性用作对事件发生概率或频率的定性描述。频率：是以规定的时间内发生次数来表达事件发生率的量度。概率：是以特定事件或结果与可能发生事件或结果的总数之比来量度的特定事件或结果的可能性。概率用数字0至1来表达，0表示一个不可能的事件或结果，而1表示一个必然的事件或结果。影响以定量或定性的方式表示的一个事件的结果（一个事件可能有多个与其相关的结果）

。与RCSA有关的定义(二)风险点指操作风险因素在业务流程中环节的反映和表现。损失指任何财务或其他方面的负面影响。固有风险指在没有考虑控制活动的有效性或其他减小风险的措施没有付诸实施之前已经存在的操作风险。剩余风险指在采取控制活动或其他风险减轻措施后所剩余的操作风险。操作风险损失事件分类内部欺诈外部欺诈雇佣关系客户关系，产品及业务操作对物理资产的损害业务中断和系统失灵实施、交付和流程管理流程图：流程描述风险识别风险点/riskpoints专业经验/professionalexperience本行历史事件/banksevents其他银行历史事件/otherbanks’events损失事件分类表/losseventscategories事件分类（一级）事件分类（二级）事件分类（三级）提示：风险可能发生的环节：职能接口的环节流程衔接的环节人机交互的环节风险识别——风险点与流程对应关系事件类型（一级）事件类型（二级）事件类型（二级）风险点1风险点2风险点3风险点4风险点n固有风险评估——可能性可能性：用作对事件发生的概率或频率的定性描述。【注1】频率（frequency）是以规定的时间内发生次数来表达事件发生率的量度。【注2】概率（probability）是以特定事件或结果与可能发生事件或结果的总数之比来量度的特定事件或结果的可能性。概率用数字0至1来表达，0表示一个不可能的事件或结果，而1表示一个必然的事件或结果。可能性评估值解释损失事件发生频率（参考）极少发生

1在某种情况下能够发生，但可能性较小；或偶尔发生10年以上很少发生2在某种情况下可能发生；1-10年（含）间歇性发生3在某种情况下很可能会发生；或发生过几次1个月-1年（含）常见的4在大多数情况下很可能会发生；或经常发生1周-1个月（含）经常周期性发生的5预期大多数情况下发生；或总是发生1周以内（含）固有风险评估——影响后果评估值财务损失

(人民币)其他相关方对损失事件的反应及对公司造成的影响媒体的态度监管机构行动法律行动员工信息系统很小1较小的财务损失，参考数量级：10万元级无负面报道或在报纸或网络上对公司进行简单的报道监管者认为合规或未发现不合规对公司采取法律行为的可能性很小，或对方胜诉可能性很小员工没有受到影响，或影响很小信息系统运行安全、稳定，或对偶尔出现的不稳定现象能够及时处理中等2无法忽略的损失，参考数量级：100万元级在报纸、电视或网络上发表批评意见，引起部分负面公众影响，潜在的导致单一客户群体的丧失个别方面不合规或偶尔不合规，监管者对公司进行口头警告对公司违约事件采取单个诉讼，可能庭外和解员工可能受到轻微伤害或者占用正常非工作时间无法登陆信息系统；部分信息被泄漏较大3超乎寻常的损失，参考数量级：1000万元级多家媒体和/或国家电视台进行负面报道，引起较广范围的负面公众影响，潜在的导致一些客户或业务的丧失部分方面不合规或时常不合规，监管者对公司进行监管调查并发出书面整改函对公司违约情况采取单个或数个诉讼，但快速解决的可能性较小不止一个员工受伤，并需要治疗；本地裁员信息系统遭到入侵，对业务产生较大影响严重4非常严重的损失，参考数量级：1亿元级多家媒体和/或者国家电视台的主要新闻节目连续几天负面报道，引起非常大范围的负面公众影响，潜在的导致一些关键客户或业务的丧失在重要方面不合规，或大范围、持续不合规，导致监管者对公司进行处罚对公司重大违约事件采取集体诉讼，公司败诉可能性很大，且会遭受重大声誉损失或经济损失重伤，可能有死亡；大量裁员系统或其中的数据遭到破坏，对业务产生严重影响灾难性的5很可能导致破产的损失，参考数量级：10亿元级对政府或政治产生影响；公众对其失去信心严重不合规，监管者对公司勒令停业或限制业务、吊销经营业务牌照（资格）或高额罚款，若构成刑事责任则移交司法机构对公司重大违约事件采取集体诉讼，公司胜诉可能性很小，会遭受严重声誉损失或经济损失，很可能导致公司破产出现死亡或者对员工生命产生重大影响；大规模裁员系统瘫痪，导致业务中断后果：

以定量或定性的方式表示的一个事件的影响程度。【注】一个事件可能有多个与其相关的后果。

固有风险评估——风险等级风险等级含义极高风险E－Extreme不可接受风险，控制无效。此类风险要求立即引起董事会、公司高层的注意和重视，应立即采取控制措施，这样的风险极有可能发生并有不可挽回的负面影响；超出公司可承受的能力，形成巨大的财务损失。高风险H－High不可接受风险，控制基本无效。此类风险要求立即引起公司高层的注意和重视，应及时决定适当的控制措施，这样的风险发生频率高影响等级较小或不大可能发生但影响等级严重；形成较大的财务损失。中等风险M－Moderate不可接受风险，控制不足。此类风险需要进行监控和处理，应采取控制措施，这样的风险极有可能发生但影响很小或影响严重但几乎不可能发生；有一定的财务损失。低风险L－Low基本可接受风险，控制基本有效。此类风险被视为非常轻微，在现有的控制下可选择补救方案，发生的频率较低或影响性较小；形成较小的财务损失。极低风险N－negligible可接受风险，控制有效。此类风险可以视为极小，现有控制措施即可，这类风险不大可能发生并且影响性很小或较小；极小的财务损失，几乎没什么影响。风险地图：固有风险评估——风险水平确定将风险事件的可能性和影响性评估后的两个评分等级相乘得出的风险等级

后果等级可能性等级1-很小2-较小3-中等4-较大5-严重5-极有可能中等风险

(5×1=5)高风险

(5×2=10)极高风险

(5×3=15)极高风险

(5×4=20)极高风险

(5×5=25)4-很可能低风险

(4×1=4)中等风险

(4×2=8)高风险

(4×3=12)极高风险

(4×4=16)极高风险

(4×5=20)3-比较可能低风险

(3×1=3)中等风险

(3×2=6)高风险

(3×3=9)高风险

(3×4=12)极高风险

(3×5=15)2-不大可能极小风险

(2×1=2)低风险

(2×2=4)中等风险

(2×3=6)中等风险

(2×4=8)高风险

(2×5=10)1-几乎不可能极小风险

(1×1=1)极小风险

(1×2=2)低风险

(1×3=3)低风险

(1×4=4)中等风险

(1×5=5)在多人参与操作风险评估时，一般采取折衷原则（取平均值），但对于风险较大的领域，可以采取悲观原则（取最大值），一般不采取乐观原则（取最小值）。固有风险总体分布平均分布固有风险评估控制2控制1控制31432控制45非流程控制5流程内控制控制与风险重合控制环节前置控制环节后置流程外控制其他流程控制（如监控流程控制）非流程控制（如政策控制、责任控制）政策

与流程职责

分离双重

控制授权

委托确认财务

核对合规性

检查合同与

交易的

限额控制账实

核对实施

独立的

内部审计招募

可靠

人员信息

系统

控制现有控制分析——正式控制与非正式控制现有控制分析——控制类型（仅供确定控制措施时参考）控制类型控制措施描述管理层审查管理层对相关业务或经营情况进行审查和检查，如本年度上年度对比，本行与同业的对比分析结果，掌握公司经营及内部控制整体状况。不相容职务分离全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。授权审批根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。权限控制根据风险偏好和风险容忍度，对不同级别员工分配不同的权限，如不同信贷审批人员的授信审批权限、资金交易员的交易权限等会计系统控制严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。财产保护控制建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。运营分析建立运营情况分析制度，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。预算控制实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。绩效考评控制建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。固有风险剩余风险剩余风险总体分布风险的变迁剩余风险评估现有控制评估（设计层面）控制有效当采取控制措施后，风险从不可接受（E、H、M）达到I（极小风险）时，可以认为控制有效。控制基本有效当采取控制措施后，风险从不可接受（E、H、M）达到L（低风险）时，可以认为控制基本有效。控制不足当采取控制措施后，风险水平虽有所降低，等级仍处于不可接受（E、H、M）时，可以认为控制不足，需要进一步采取控制措施。控制过度当采取控制措施后，风险水平能够从不可接受（E、H、M）达到基本可接受或可接受（L或I），但为此付出的控制的成本过高，适当减少控制时仍能使风险处于可接受状态，此时可以认为控制过度。操作风险管理工具的定义风险地图(RiskMap)通过产品、活动、流程、职能、区域等多个维度确立评估单元