操作风险管理概论及三大工具

操作风险管理概论及三大工具法律风险－包括但不限于下列风险：商业银行签订的合同因违反法律或行政法规可能被依法撤销或者确认无效的商业银行因违约、侵权或者其他事由被提起诉讼或者申请仲裁，依法可能承担赔偿责任的商业银行的业务活动违反法律或行政法规，依法可能承担行政责任或者刑事责任的（摘自《银监会操作风险管理指引》）策略风险：由于无效的或有问题的策略而遭受损失的风险声誉风险：是指有关一家机构业务活动的负面宣传，不论其真假，都会引起该机构的客户流失、收入下降或花费高昂的诉讼费用（摘自《银监会非现场监管指引（试行）》）操作风险定义操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险从定义看，操作风险遍及银行内部各产品线、各个操作环节及各个业务层面四大风险因素和七大损失类型人员内部流程IT系统外部事件指故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失事件，此类事件至少涉及内部一方，但不包括歧视及差别待遇事件指违反就业、健康或安全方面的法律或协议，个人工伤赔付或者因歧视及差别待遇导致的损失事件指因未按有关规定造成未对特定客户履行份内义务（如诚信责任和适当性要求）或产品性质或设计缺陷导致的损失事件因交易处理或流程管理失败，以及与交易对手方、外部供应商及销售商发生纠纷导致的损失事件因信息科技系统生产运行、应用开发、安全管理以及由于软件产品、硬件设备、服务提供商等第三方因素,造成系统无法正常办理业务或系统速度异常所导致的损失事件指第三方故意骗取、盗用、抢劫财产、伪造文件、攻击商业银行信息科技系统或逃避法律监管导致的损失事件因自然灾害或其他事件（如恐怖袭击）导致实物资产丢失或毁坏的损失事件风险因素内部欺诈就业制度和工作场所安全事件客户、产品和业务活动事件执行、交割和流程管理事件信息科技

系统事件外部欺詐实物资产的损坏损失类型操作风险损失形态损失形态1.法律成本具体描述因商业银行发生操作风险事件引发法律诉讼或仲裁，在诉讼或仲裁过程中依法支出的诉讼费用、仲裁费用及其他法律成本。如违反知识产权保护规定等导致的诉讼费、外聘律师代理费、评估费、鉴定费等由于疏忽、事故或自然灾害等事件造成实物资产的直接毁坏和价值的减少。如火灾、洪水、地震等自然灾害所导致的账面价值减少等由于内部操作风险事件，导致商业银行未能履行应承担的责任造成对外的赔偿。如因银行自身业务中断、交割延误、内部案件造成客户资金或资产等损失的赔偿金额由于偷盗、欺诈、未经授权活动等操作风险事件所导致的资产账面价值直接减少。如内部欺诈导致的销账、外部欺诈和偷盗导致的账面资产/收入损失，以及未经授权或超授权交易导致的账面损失等由于操作风险事件引起的其他损失因操作风险事件所遭受的监管部门或有权机关罚款及其他处罚。如违反产业政策、监管法规等所遭受的罚款、吊销执照等2.监管罚没

3.资产损失4.对外赔偿5.追索失败6.账面减值7.其它损失由于工作失误、失职或内部事件，使原本能够追偿但最终无法追偿所导致的损失，或因有关方不履行相应义务导致追索失败所造成的损失。如资金划转错误、相关文件要素缺失、跟踪监测不及时所带来的损失等操作风险管理架构及流程风险管理架构策略和

政策治理和

组织流程数据计量披露银行的目标

和策略操作风险策略和风险容忍度验证、重估持续改进操作风险管理流程三道防线风险管理报告董事会高级管理层第一道防线第二道防线第三道防线业务部门公司金融零售资产管理……支持部门人力资源IT法律合规安全保障……独立的

风险管理部门独立风险

管理空能内部审计独立稽核功能日常风险管控风险策略、架构及监控独立审核操作风险缓释架构严重性发生频率接受转移控制规避低高高1234对于风险的缓释，银行可采取接受、控制、转移和规避四种策略接受：对于发生频率低、严重性较低的操作风险，银行一般采取接受风险的策略，主要原因是风险缓释的成本往往超过了该风险所可能引起的损失控制：对于发生频率高，但严重性较低的操作风险，银行一般采用控制风险的缓释策略。该部分风险往往由银行的日常经营造成，因此必须为其设计专门的控制程序转移：对于发生频率低，但严重性较高的操作风险，银行一般采取转移风险的缓释策略。该部分风险较为典型的是自然灾害等外部事件，银行一般采用的转移方式为保险等措施规避：对于发生频率高，严重性也较高的操作风险，规避措施已没有意义，因此银行应避免涉足该类业务。操作风险管理三大工具一览三大工具之间紧密联系，协同支持操作风险管理风险控制自我评估RCSA损失数据收集LDC通过RCSA对风险的辨识，对寻找损失数据提供了依据关键风险指标KRI真实的损失数据对RCSA风险点的评估提供了参考真实的损失数据为KRI设置提供了参考KRI异常往往指向真实的损失事件RCSA的评估结果为KRI提供了额外的操作风险信息,成为KRI设置的参考KRI的异常可成为RCSA的驱动力之一什么是风险控制自我评估（RCSA）

RCSA(风险与控制自我评估)是操作风险管理框架中重要的组成部分RCSA是一种通过调查金融机构管理层和员工有关对操作风险损失事项发生可能性和严重性的估计，将调查结果与未来预计损失进行匹配(Mapping)的方法目前RCSA的目的单纯集中在估计预期损失(ExpectedLoss,EL)，只有在实行操作风险高级计量法(AdvancedMeasurementApproach,AMA)后，才能对非预期损失进行计量事件发生的频率(Frequency)和损失的严重性(Severity)是评估现有风险因素管理和操作风险控制质量的关键信息为什么要进行RCSA额外的操作风险管理信息来源：仅仅依靠对真实发生的损失事件进行收集不足以评估银行的操作风险暴露，RCSA可以使银行建立额外的操作风险管理信息来源对操作风险管理环境变化作及时的调整：当银行的业务环境发生改变时（如推出新产品，员工数量发生显著增长），特定的RCSA制度可及时对其引起的操作风险暴露变化进行反映，为管理层的决策提供参考定期辨识潜在的操作风险暴露：常规的RCSA制度可以对银行的操作风险环境进行定期的评估，有助于管理层及时辨识是否需要改变现有的流程和控制政策，以规避潜在的操作风险损失RCSA在操作风险资本计量中扮演的角色RCSA是计量主观风险资本的主要工具在操作风险资本的高级计量法中，RCSA是银行估量主观风险资本的主要工具，与此同时，银行通过真实的损失数据估量历史风险成本。对主观风险资本和历史风险资本进行整合和调整后，可获得最终所需的操作风险资本。计量指标数据集中风险自我评估业务环境损失数据收集识别模型损失事件类型模型风险因素模型指标模型损失影响类型模型组织模型历史风险资本主观风险资本整合的CaOR贝耶斯整合操作风险资本调整测算环境评分内部损失数据外部损失数据主观估计控制与风险因素评分RCSA的组织架构评估小组与业务人员进行访谈RCSA是以组织架构为基础去执行并以分行业务部门作为最主要的执行单位，这是“自我评估”的意义所在，也有助于提升全行的风险文化氛围风险管理部门在RCSA组织架构中承担指导、监督、协调的作用风险流程/活动流程目标主要内部控制达成流程目标的障碍内部控制主要的目标/原因风险焦点控制焦点分行业务部门总行业务部门分行风险管理部门总行风险管理部门评估小组将对其他操作风险数据以及偏差分析进行一致性查证RCSA方法论——识别模型的标准分类操作风险识别模型是所有操作风险计量方法论的基础，这些方法论使得数据收集变得有序、结构化和连贯操作风险识别模型由如下模块构成组织模型损失事件模型风险因素模型指标模型影响模型对所有可能的损失事件类型进行识别和分类对分析下的组织维度进行识别和定义对导致损失事件的所有可能原因/因素进行识别和分类对支持合理的主观估计的信息和指标进行识别对一个事件的所有可能影响进行识别和分类根据银行的特点，应对各模型的细部层级进行客制化，这需要行内各相关部门的外部输入。模型细部层级的内容主要依赖于银行各部门的收集和整理，在日常操作风险管理中，各相关部门应注意收集相关数据，对各模型进行整理、更新和维护RCSA方法论——将识别模型应用到RCSA识别模型损失事件类型模型风险因素模型影响模型组织模型范围定义设置和参数化执行审阅和调整指标模型报告方法定义（自上而下vs.自下而上；整体vs.部分）识别RCSA涉及的业务单元针对每份问卷定义问题选择评估方法论定义阈值总行操作风险管理部进行结果分析由内审部门进行检查与业务单元进行讨论调整结果和评级针对业务单元经理的问卷的执行定量答案收集（平均频率，平均严重性，最坏情况）风险因素识别报告的准备和分发问卷信息准备创建问卷建立和执行RCSA访谈访谈结果分析与后续追踪RCSA的具体步骤汇报与后续工作规划RCSA能识别、管理以及控制风险，并能管理所有部门的控制信息。这些信息将在全行间进行分享，并以合理与系统化的方式协助目标被有效的达成投入:每个部门指派负责人员需求信息– 部门:角色与责任信息、事业单位必要的投入与产出等 其它信息来源:内部审计部门、信息部门、合规部门等产出:RCSA报告设定新的操作风险容忍度水平主要风险指标(KRI)资料KRI报告RCSA的关键成功因素关键成功因素拥有一致且易于执行RCSA的程序拥有标准的RCSA方法论与工具拥有清晰的RCSA执行、监督和检查的权责划分RCSA过程与结果与绩效考核相挂钩跨部门的合作各业务部门高层的重视损失数据用途损失数据将作为风险估计实证分析和验证的基础损失数据作为实际损失与风险管理、控制决策之间的桥梁操作损失（operationallosses):因发生损害性事项而导致的损失,该损害性事项对衡量银行所受损失具有经济影响。“操作损失应包括下列因发生损害性事项而导致的支出:与该事项相关的全部已发生支出,但不包括投资项目支出,机会成本或预知收入”

（巴塞尔资本协议，定量影响测算，2001.5）操作风险损失：是指由不完善或有问题的内部程序、人员、系统以及外部事件所造成的损失

损失数据收集——损失定义损失数据收集流程应包括具有高质量标准的操作损失的识别、录入、验证、管理和报告等环节,并达到以下标准：完备性——所收集损失的整体情况及时性——损失事件记录的时间点可获得性——获取信息的成本收集信息的数量和质量——损失的时间、性质、数量风险暴露的信息评级信息损失数据收集的关键点：通过各业务单元参与损失数据收集工作以及参与数据收集过程的定义等环节，在银行内部创建浓厚的损失数据收集文化氛围损失数据收集过程为识别、录入、验证、管理和报告等环节的统一损失数据收集是动态的实施过程，该过程应能够不断对信息源进行更新并能根据商业环境的发展正确反应银行操作风险暴露的情况损失数据收集——介绍完备性及时性可获得性收集信息的数量和质量损失数据收集标准损失类型信息种类阈值特别案例分类指南方法程序流程与其他系统的连接变革管理培训信息源映射软件解决方案人员（Who）内容（Which）来源（Where）方式（How）分支的风险管理AREA1AREA2AREA…AREAnLegenda:OperationalRiskemployeeofAreanOperationalRiskemployeeofarchiveSourceofData资本的风险管理资本的内部审计DefinitionofthearchivesfortheinformationAnalysisofoperationallossesImprovementsandchangestothearchivesDefinitionofthecensuscriteriainorderto:EnsureaccuracyoftheinformationTimelinessofinformationAuditabilityoftheentireprocessCompletionofnecessarydataDocumentaryevidenceofinformationReportingtoseniormanagementReportingtotheaffiliatedbanks调查审查验证报告监督VerifyingtheregularityprocessofLDCEnsuringthatqualityandcompletenessofdataismaintained会计来源损失事件来源1来源2来源3损失影响管理损失影响会计自下而上方法自上而下方法管理来源角色和职责损失数据收集章程损失数据收集——框架对于利润和损失金额有直接影响的损失只有影响损益账目的直接损失才是在金融机构损失数据收集过程中尤为重要的损失。该定义指出应区分银行战略结果与操作风险的影响的不同预知收入如果不经历操作损失，它们就是公司将来能够获取的利润替代成本当公司决定不执行时，可从替代投资中获取的利润近乎发生的损失未引发真正损失的事件损失类别损失价值标准：从会计角度实际损失是实际记录的损失，即使在较短会计期间内也是如此。实际损失是由非系统化损害事件造成的。同时，由于这些损失能够一直在银行的会计系统中被直接跟踪，而且在任何情况下都可以根据对利润和损失金额的影响来被分离和评估，因此实际损失是客观的、可衡量的。此外，我们认为，这些损失应该包括所有与损害事件以及可能获得的补偿（如保险或其他赔偿）相联系的费用实际损失预计损失当损失金额不确定时将产生预计损失，但基于实际发生的会计准则将被迫进行预测。在这种情况下，将考虑具体的风险数量来进行会计记录损失数据收集——损失类别、价值标准数据项描述损失额每笔损失总额/可能的保险偿付金额/可能的非保险偿付金额日期损失事件发生日期/损失事件发现日期/损失事件录入日期/损失记账日期损失事件类型参照银监会损失事件类型分类损失形态参照银监会损失形态分类组织维度损失发生的业务条线（可不同于遭受损失的业务单位）/遭受损失的业务条线（损失被记录的业务条线）/遭受损失的业务条线所对应的按巴塞尔要求划分的业务条线风险因素引起风险的可能性因素，如：人员/系统/内部程序/外部事件其他损失事件发生的地点/事件发生的分配渠道/事件状态/最后获得保险偿付日期对于所有需收集的损失事件应设置一定的数据项，至少应包括：损失数据收集——收集信息设定损失数据收集——辨识信息来源信息源的识别在损失数据收集过程中是重要的一步信息源是银行内某些可以发现操作风险损失的“单位”在损失数据收集中，需要确定“哪些是主要的信息来源？”损失数据收集的信息源总帐其他来源损失的信息可通过损益表的负数反映用于将财务报表无法识别的损失有效区分和收集既有系统独立存档电子或纸质存档，如客服部门的客诉记录等如银行现有数据记录系统损失数据收集——信息源的定义信息源的定义我们可以从“操作风险损失列表”开始，在列表中操作风险损失可根据BaselII（银监会）中对损态类型的规定进行划分该列表的“行”为损失类型；“列”为针对各损失类型所识别的信息源（银行相关业务单元），通过使用“操作风险损失列表”，我们可以综观银行操作风险损失信息源的总体情况领先实践样例样例对于收集损失信息，有两种不同的方法：事件驱动会计驱动当事件发生，损失数据通过损失事件发生的相关业务单元的现有系统进行收集损失事件的相关信息应从损失事件发生的业务单元/业务条线获取数据在总帐中进行收集需将损失事件的类型映射到会计科目中所收集的损失数据需进行一定的人工信息调节损失数据收集——信息收集方法损失数据收集——“事件驱动”业务与支持单元总账会计程序损失数据库在损失数据库输入业务与支持单元损失信息发送到本地的操作风险管理系统25操作风险管理部门调节（reconciliation)风险代表损失数据收集——“会计驱动”业务与支持单元总账损失信息发送到本地的操作风险管理系统业务与支持单元损失数据库自动从总账录入到损失数据库损失账户手工填充26操作风险管理部门风险代表损失数据收集——信息收集方法在实际中考虑到下面的因素，使用多重方法是很正常的目标数量完全性/损失次数及时性收集成本信息收集的完整性低低低高低会计驱动事件驱动损失数据收集的流程应结合监管要求、银行自身实际情况和内部管理的需求损失数据收集——流程介绍损失数据信息源的维护（信息源的审阅、回顾）识别录入验证管理报告损失数据收集方法框架的维护损失数据收集的流程数据分析和会计索引集团层面数据验证公司层面数据验证内部报告外部报告分类和数据录入信息收集操作损失识别新损失类型的交流数据管理社会关系管理相关事件分析KRI定义、对银行风险管理的意义及分类关键风险指标（KRI）是指代表某一风险领域变化情况并可定期监控的统计指标。

（引自《商业银行操作风险管理指引》，银监会）KRI定义早期预警，触发行动，预防损失长期追踪操作风险暴露状况早期预警信号(earlywarningsignals)为预警方案的启动设定定量的标准KRI对银行风险管理的意义根据银行业领先实践，KRI体系具有不同的层次，指标可依不同维度进行分类，例如：通用KRI:适用于全行不同业务部门的指标。如，百万元以上案件发生频率特殊KRI:适用于特定业务部门或业务流程的指标。如，异常信用卡审批人员中涉嫌欺诈的人数（适用于信用卡部）KRI一般分类KRI管理——职责分工董事会/高级管理层总行风险管理委员会总行风险管理部门总行支持部门例如，内审、法律合规、人力资源和IT部门分行风险管理部门分行支持部门例如，内审、法律合规、人力资源和IT部门最终审批KRI管理政策和修改方案审批KRI管理政策和KRI修改方案负责KRI管理政策的全面执行负责全行层面KRI的设计、使用、维护、监控和更新审批分行的KRI清单的修改负责KRI管理政策在分行层面的执行负责设定分行层面的KRI清单对KRI进行监控，向总行提交KRI分析报告及更新申请协助KRI清单的制定，就本部门所掌握的信息提供相关意见在KRI使用阶段，提出调整和修改意见就本部门所掌握的信息，为分行风险管理部门制定KRI清单提出意见在KRI使用阶段，提出调整和修改意见KRI管理——重要环节指标选取阈值设定录入、监测、报告跟进、调整KRI管理——选取原则和选取流程全面覆盖：指标应当全面地覆盖四大风险因素、七大类损失事件类型、八大业务条线数据可得：指标应当与潜在风险高度相关并可测，选取的指标应能持续地获得完整的数据支持指标可控：选取的指标应当可以通过可选的管控措施进行有效的控制选取原则选取流程收集信息，分析并识别潜在风险分析潜在风险，建立指标长名单根据全面覆盖的原则，收集各业务部门内部信息，如历史损失数据和RCSA结果，进行汇总和整理全面分析业务流程和内部信息，识别潜在风险分析识别得到的潜在风险，明确风险点，确定对应的风险指标，建立风险指标长名单由长名单筛选出关键风险指标根据数据可得的原则，剔除数据可得性较差的指标根据指标可控性选择，剔除难以被有效控制的指标整理具备良好数据可得性、可控性的指标，建立KRI清单定义驱动、阈值和监测方式，进行初始验证针对KRI清单中的每一个KRI，定义指标的驱动根据历史损失数据和RCSA结果，借鉴领先实践，设定指标阈值制定指标监测方式，包括频率在KRI提交审批前进行初始验证，测试选定指标的有效性指标审批和验证将选取的KRI清单、阈值、监测方式等相关文件上报银行高级管理层审阅，经由董事会审批生效在KRI审批生效后，启动指标监测工作。参考监测结果，定期对KRI指标体系进行验证，以保证其有效性阈值设定：基于历史数据和专家意见，设计KRI的最大容忍值和预警值的范围设定最大容忍值和预警值所对应的信号