操作风险管理培训资料

江苏银行操作风险管理实际培训资料

——操作风险管理营运部2024/2/41操作风险管理开展阶段稳健做法管理框架风险战略管理流程风险识别风险评价控制/缓释监测/计量风险报告根底设备风险环境操作风险管理差距目录2024/2/42CompanyLogo开展阶段传统阶段识别阶段监测阶段定量阶段整合阶段123452024/2/43CompanyLogo只需内部控制，缺乏正规的操作风险管理架构传统阶段专人担任操作风险管理，制定了相应的制度，能实施自我评价，搜集损失事件的数据识别阶段能跟踪搜集相关数据，制定了定性和定量目的，实施打分卡战略，构成综合报告体系，系统性培训监测阶段具备全面综合的数据库，能借助数理模型深化分析带来的影响定量阶段操作风险管理、战略规划、质量控制和经济资本管理有机结合，提高股东价值整合阶段开展阶段2024/2/44CompanyLogo稳健做法2024/2/45CompanyLogo管理框架2024/2/46CompanyLogo风险战略风险偏好——中心内容根据开展规划和现有的业务才干和风险控制才干，银行确定下来的风险容忍程度。普通可分为积极型、中性和保守型。积极型风险偏好：是指银行制定积极型开展规划，在推行这一规划时同时自动积极的承当相应的风险，进展风险套利，推进风险自动动态配置。中性风险偏好：是指银行制定比较稳妥的开展规划，在推行这一规划的同时承当相应的风险，不进展风险套利，也不自动躲避某些风险，推进风险中性配置。保守型风险偏好：是指银行制定比较保守的开展规划，在推行这一规划的同时尽量躲避相应的风险，不进展风险套利，推进风险被动保守配置。2024/2/47CompanyLogo风险战略风险分解根据业务开展战略和风险战略，结合风险控制才干，将操作风险目的义务根据不同的划分方法分解，将操作风险目的义务直接落实到员工和业务条线上。分解方法：将操作风险视为流程风险，根据既定的目的，按照事件类型、业务条线、影响程度等划分方法对涉及这一管理流程上的一切环节和要素及要素进展相应的划分并配置相应的操作风险管理义务和风险值，确保操作风险管理义务得到有效落实。2024/2/48CompanyLogo风险战略风险政策是指对操作风险管理中各个相关部门所负有的职责、所采用的技术和方法等问题的详细规定。政策应包括以下内容操作风险管理目的操作风险定义及其管理流程操作风险管理架构及其相应的作用、责任操作风险管理工具和报告运用的预期效果与之配套的制度银行高层对银行风险管理目的执行情况的定期审查制度风险管理部门对风险管理控制措施遵守情况的检查制度审查、处置和处理违规问题的相关政策、程序和步骤操作风险各管理层责任明确的成文的审批和授权制度2024/2/49CompanyLogo管理流程风险识别风险评价控制/缓释检验/再评价监测/计量风险报告反响操作风险管理流程〔循环〕2024/2/410CompanyLogo风险识别风险识别：是指经过一定得规范和手段，鉴别分析业务活动中一切能够导致操作风险的要素和产生风险的环节点，确定风险的性质和种类以及风险产生的缘由与影响的过程。事前识别事后识别识别内容潜在风险识别：银行通常会对一切重要产品、活动、程序和系统中内含的潜在操作风险进展定期识别；在引进新产品、采取新程序和系统之前，或者上述内容发生艰苦变化时，须对其潜在操作风险进展单独识别。已暴露风险识别：银行针对已发生的风险事件所做的鉴别分析，包括事件性质、呵斥影响〔直接或间接损失〕、以及事件产生的深层次缘由。找出风险产生的缘由是风险识别的重点，将对缓释控制风险有重要的导向作用。识别根据明确的操作风险定义科学的操作风险事件分类体系2024/2/411CompanyLogo风险识别第一条主线第二条主线第三条主线风险要素识别〔缘由〕风险事件识别〔类型〕风险影响识别〔后果〕。。。风险所在和事件性质。。。风险识别方法分层次、分步骤逐渐深化分析2024/2/412CompanyLogo风险识别风险识别思索的要素潜在操作风险的整体情况银行运转所处的内外部环境银行的战略目的银行提供的产品和效力银行独特的环境内外部的变化以及变化的速度风险识别的常用工具内部损失/事件数据库外部损失/事件数据库情景分析流程图2024/2/413CompanyLogo风险评价风险评价：是指根据损失阅历、假设分析等逐一测评一切被识别出来的内部或外部操作风险要素的影响程度，以确定哪些风险可接受，哪些风险不可接受，需加以控制或转移。评价内容固有风险：指在没有任何管理控制措施的情况下，运营管理过程本身所具有的风险。它是与业务运营或管理活动相伴存在的，是内部控制活动的对象。控制风险：指对操作风险没有良好的内部控制，或内部控制无效，导致运营活动中的操作风险不能被及时发现而呵斥损失。剩余风险：指在实施了旨在改动风险能够性和影响强度的管理控制活动后，依然保管的风险。固有风险-控制风险=剩余风险评价根据风险识别结果2024/2/414CompanyLogo风险评价风险评价应思索的要素操作风险要素的发生频率操作风险要素的影响程度操作风险等级风险的可接受程度控制的有效性操作风险的评价过程普通以业务管理和风险管理两个层面相结合展开，在定性分析的根底上，对操作风险要素能够损失的合理估计。操作风险识别与评价的普通原那么由表及里自下而上从知到未知操作风险识别与评价方法操作风险与内部控制自我评价损失事件数据方法流程图2024/2/415CompanyLogo风险评价评价方法之——自我评价是在银行内部控制体系根底上，经过开展全员风险识别，识别出全行运营管理中存在的风险点，并从损失金额和发生概率两个角度来评价风险度大小。同时，识别这些风险点能否有控制活动，并评价控制活动质量，进而提出优化控制活动的方案。自我评价目的：鼓励各级机构承当责任及自动对操作风险进展识别管理。自我评价运用方法流程分析法情景模拟法引导会议法德尔菲法调查询卷法借助资料和工具操作风险定义及损失事件分类操作风险损失事件历史数据各类业务检查报告内部审计报告外部监管、审计报告2024/2/416CompanyLogo风险评价全员风险识别与报告作业流程分析和风险识别与评价控制活动识别与评价制定与实施控制优化方案报告自我评价任务于日常监控自我评估工作流程2024/2/417CompanyLogo风险评价等级描述词详细描述概率参考值（会计业务条线）范围说明1极可能预计大多数情况下发生；或现实中大量发生(0.01，1]发生概率大于0.012很可能很可能会发生；或现实中经常发生(0.001，0.01]发生概率在0.001与0.01（含）之间3可能在某种情况下可能发生；或现实中发生过几次(0.0003,0.001]发生概率在0.0003与0.001（含）之间4不太可能在某种情况下能够发生，但可能性小；现实中偶尔发生(0.00001,0.0003]发生概率在0.00001与0.0003（含）之间5罕见仅在例外情形下发生；或很多年发生一次(0，0.00001]发生概率不大于0.00001操作风险事件发生频率或可能性评估表2024/2/418CompanyLogo风险评价等级描述词详细描述损失金额参考值（会计业务条线）范围说明1极大极大的损失金额[100，∞)损失金额在100万元（含）以上2较大较大的损失金额[10，100)损失金额在10万元（含）与100万元之间3中等中等的损失金额[1，10)损失金额在1万元（含）与10万元之间4较小较小的损失金额[0.1，1)损失金额在0.1万元（含）与1万元之间5极小极小的损失金额(0，0.1)损失金额在0与0.1万元之间操作风险事件影响程度评估表2024/2/419CompanyLogo风险评价 影响程度发生频率5-极小4-较小3-中等2-较大1-极大1-极可能322112-很可能332113-可能433214-不太可能443215-罕见54432操作风险等级矩阵表1-extreme,极大风险，不可接受；2-high,高风险，不可接受；3-medium,中等风险，不可接受；4-low,低风险，可接受；5-ignore,极小风险，可接受。2024/2/420CompanyLogo风险评价现有控制质量评估表等级描述词详细描述1控制有效Optimized监控机制确保标准化操作程序的执行，监控反馈的信息被有效用于优化和增进控制措施以适应环境变化。当采取控制措施后，风险等级从不可接受（1、2、3级）降至5级（极小风险）时，可以认为控制有效。2控制基本有效Managed对标准化的控制措施配套了有效的监控机制，监控所获信息被用于优化控制。当采取控制措施后，风险等级从不可接受（1、2、3级）降至4级（低风险）时，可以认为控制基本有效。3控制不足Initial临时性控制或者当采取控制措施后，风险等级仍处于不可接受（1、2、3级）时，可以认为控制不足，需要进一步采取控制措施。4控制过度Over-control当采取控制措施后，风险等级从不可接受（1、2、3级）降至可接受（4、5级），但为此付出的控制的成本过高，适当减少控制时仍能使风险处于可接受状态，此时可以认为控制过度。2024/2/421CompanyLogo风险评价序号风险点编号风险点描述所在业务流程风险类型固有风险等级流程内控制措施流程外控制措施残余风险等级是否需要控制优化1DKJ7212-02-01-1票据真实性现金支票业务2.1.2：外部欺诈-盗窃和欺诈-伪造、诈骗3-中等风险复核、即时业务授权会计稽核、会计检查4-低风险

2DKJ7212-02-01-2记账错误现金支票业务7.2.1：流程管理和执行合规性-交易执行-交易数据记录错误3-中等风险复核、即时业务授权会计稽核、会计检查4-低风险

3DKJ7212-02-01-3付款错误现金支票业务

4-低风险双人付款录像监控5-极小风险是4DKJ7212-02-01-4违反监管规定现金支票业务

3-中等风险票据审查、授权会计稽核、会计检查4-低风险是5DKJ-YW-01印鉴卡保管非流程风险

3-中等风险无分岗保管、主管检查4-低风险

6DKJ-XT-01系统缺陷非流程风险6.1.2：系统失灵和设备故障-IT系统-软件2-高风险无无2-高风险是7DKJ-RY-01混岗操作非流程风险

3-中等风险无无3-中等风险是…

…

操作风险与内部控制自我评价任务汇总表2024/2/422CompanyLogo风险评价低频率/高影响（LFHI）高频率/高影响（HFHI）低频率/低影响（LFLI）高频率/低影响（HFLI）低高低高频率影响严重关注、彻底防止积极注重、强化管理作为日常管理、列入本钱引入外部数据库，保险，进展风险转移风险评价结果的意义2024/2/423CompanyLogo控制/缓释控制/缓释：是指根据操作风险识别评价的结果，结合开展战略、业务规模与复杂性，经过采取流程控制、行为监控、电子化、保险等一系列控制/缓释方法，将其调整到可接受的风险程度。控制/缓释工具：内部控制良好的控制环境有效的风险控制体系有效的内部控制措施完善的内部信息管理体系保险一揽子保险错误与脱漏保险经理与高级职员责任险未授权买卖保险电子保险信息技术系统应急和延续营业机制外包组织文化2024/2/424CompanyLogo控制/缓释本钱——收益决策控制本钱添加的处置时间实施的本钱效率的损失对客户运用该效力才干的潜在影响银行需确保风险控制程度与所面临的风险相匹配，并且实施的本钱可以由程序改善所带来的收益弥补。不恰当的控制本钱超越了潜在损失导致客户流失未能改善高本钱高风险的低效程序2024/2/425CompanyLogo控制/缓释全过程分析根据业务目的，将客户效力〔过程〕从起始一直分析到终了。全过程分析要分析客户效力中的一切活动，而不仅仅是单一业务过程。就客户而言，效力过程应该是无缝的，而不是一系列不相关的事件。效力链的任何中断都会对客户产生直接影响。全过程分析的典型方法六西格玛，它是一种基于统计学的方法，用来计量业务过程中“缺陷〞的个数，并系统地消除每个缺陷。2024/2/426CompanyLogo控制/缓释低频率/高影响（LFHI）高频率/高影响（HFHI）低频率/低影响（LFLI）高频率/低影响（HFLI）低高低高频率影响防止战略〔调整风险容忍度、减少或停做此类业务〕缓释战略(加强内部控制、加大技术投入〕承当战略转移战略〔业务外包、保险〕控制/缓释普通性战略选择2024/2/427CompanyLogo控制/缓释*：参照1998年9月的BCBS的<银行内部控制根本原那么>，引自<商业银行操作风险管理指引>2024/2/428CompanyLogo控制/缓释应急和连续营业机制*制定与其业务规模和复杂性相顺应的应急和业务延续方案建立恢复效力和保证业务延续运转的备用机制定期检查、测试其灾难恢复和业务延续机制确保在出现灾难和业务严重中断时这些方案和机制的正常执行*：引自<商业银行操作风险管理指引>2024/2/429CompanyLogo控制/缓释风险缓释*商业银行该当制定与外包业务有关的风险管理政策，确保业务外包有严谨的合同和效力协议、各方的责任义务规定明确。商业银行可购买保险以及与第三方签署合同，并将其作为缓释操作风险的一种方法，但不应因此忽视控制措施的重要作用。购买保险等方式缓释操作风险的商业银行，该当制定相关的书面政策和程序。*：引自<商业银行操作风险管理指引>2024/2/430CompanyLogo监测/计量风险监测：是指经过对各类风险目的的日常监测，对操作风险情况及其控制/缓释措施的质量实施动态、继续的监测。监测目的对银行面临的一切类型操作风险的定性和定量评价进展监控评价缓释活动能否有效和适当，包括可识别的风险能在多大程度上被转移至银行外部确保控制充分、风险管理系统的正常运转监测工具风险图：是一组用以描画风险种类及其发生频率和强度的散点图，其数据主要来源于自我评价结果或损失事件历史数据。风险图中的数据通常采用对数表示。风险监测目的：在对风险点准确识别的根底上，经过设定一些可度量的变量来反映特定风险的暴露情况，变量值的变化反映风险程度的变化。监测目的普通都设有门槛值，称作“放大机制〞、“触发程度〞，表示目的的变化限制或容忍限制。监测目的的规范有效性可比性敏感性便用性2024/2/431CompanyLogo监测/计量风险计量自上而下法：是将操作风险与总收入、总支出等目的变量相联络，根据两者之间确定的函数关系来计量操作风险值的方法。自下而上法：是将目的变量分解为一个个详细的目的变量，分别思索风险要素和损失事件对它们的影响，分别估计操作风险值，然后再计算总体操作风险值的方法。<新资本协议>提供了三种操作风险计算方法根本目的法规范法高级计量法内部衡量法损失分布法极值实际模型记分卡法2024/2/432CompanyLogo监测/计量操作风险度量模型分类比较度量模型基本指标法标准法高级计量法内部衡量法损失分布法极值理论模型记分卡法其他业务类别和事故类型单一业务类型多个业务类型（8个）多个业务类型、多个事故类型由监管机构统一划定银行自主划定结构∑（系数×风险暴露指标）使用损失频率和损失幅度的概率分布来估计操作风险的在险价值（VaR）使用的参数单一的风险暴露指标（EI）多个EI(PE\LGE\RPI)监管机构统一划定监管资本高较高较低2024/2/433CompanyLogo监测/计量损失事件数据库〔LED〕：在规范化的操作风险事件分类根底上，对银行已发生的风险事件进展确认和记录，并采用构造化的方式进展存储。内部损失数据库外部损失数据库发生时间风险事件类型风险点发生时间地点损失金额产品线风险成因损失回收发生损失事件的业务范围损失金额损失原因2024/2/434CompanyLogo监测/计量1、内部数据和外部数据的搜集、分析和检验对数据的一致性、完好性和相关性进行检查剔除反复数据2、使内部数据和外部数据相匹配、整合情景分析方法补充损失数据3、运用损失数据进展操作风险的量化、自我评价、风险分析和报告风险侧面图损失事件数据库LED运作程序2024/2/435CompanyLogo监测/计量风险缘由人员程序系统外部事件风险事件风险影响内部欺诈外部欺诈就业政策和任务场所平安实物资产损坏业务中断和系统失败客户、产品和业务操作执行、交付和流程管理法律责任调整、服从和税收惩罚资产损失或损害赔偿丧失追索权丧失信誉风险损失数据分类2024/2/436CompanyLogo监测/计量损失事件数据库功能对运营管理中主要的操作风险点进展分类，识别操作风险中的“热点〞问题作为数据输入建立操作风险的量化模型，并用于监管资本和经济资本计算有效地对整体操作风险情况进展自我评价，并在总结探求的根底上提出有价值建议使银行的操作风险损失具有透明度，作为历史资料还可以用于阅历分析与同业情况进展比较，有利于引导正确的行动以改善控制环境为国际性学术交流和管理实际提供协助为有关管理报告提供根底性的、具有较高适用性信息，提高决策的针对性和有效性吸收和引进外部数据，在多家银行间实现数据共享比较准确反映银行操作风险管理的情况和进展多层面加深全员对操作风险源的认识，加强风险认识和责任认识最终降低未来操作风险损失的频率和严重性，实际操作风险管理和控制的预期目的2024/2/437CompanyLogo监测/计量关键风险监测目的〔KRI〕：是一些可以用来调查和掌握银行操作风险情况的统计数字——财务方面，这些目的被周期性审查，以使银行对能够存在的操作风险变化坚持警惕。KRI体系建立原那么重要性原那么目的选择覆盖当前整体范围内的操作风险重点环节，必需抓住操作风险易发的区域或风险严重的区域开放性原那么根据银行业务开展和风险偏好的转移，不断调整和完善相应目的事前预警和事后计量结合原那么部分目的要对操作风险有预先警示作用，部分目的要在事后对操作风险事件的损失情况有所计量风险容忍原那么对部分操作风险可以不进展监测但其损失必需进展计量2024/2/438CompanyLogo监测/计量业务线、风险分类和业务功能单位三维方式KRI本质上是一个三维模型，模型中的每一个组合决议一个操作风险点，每一个风险点都对应一个KRI，对该风险点风险程度进展度量，反映风险发生的频率或损失强度或兼而有之。2024/2/439CompanyLogo风险报告风险报告：在对本身的操作风险进展识别、评价、监测和缓释等相关管理任务时，构成的文档化资料或电子资料，按照相关程序报送相关部门或担任人，使得相关部门或担任人可以及时有效地对操作风险情况进展了解和控制管理的行为。为确保风险报告的有效执行，须确定操作风险报告方式、频率、途径、内容、载体和担任人等相关事宜。报告内容定性信息：是对操作风险暴露的评论和对风险的客观评价。定量信息：是基于数量目的，并附有建立于风险容忍度和门槛值根底上的客观评价。2024/2/440CompanyLogo风险报告内部损失数据风险目的风险评价风险识别风险评价损失事件风险诱因关键目的资本分析压力测试外部损失数据同业比较资本分析业务目的分析制定/调整政策配置资源跟踪反响风险财务战略业务部门操作风险报告高级管理层操作风险报告流程风险管理部门2024/2/441CompanyLogo风险报告定期报告种类频率负责人报告路线报告内容载体日报每日1次风险管理部门牵头，业务部门参与，相关配套部门支持负责人——上级主管——牵头操作风险管理的风险管理部门日常风险状况和态势、相关风险点情况电子周报每周1次风险管理部门牵头，业务部门参与，相关配套部门支持负责人——上级主管——牵头操作风险管理的风险管理部门每周风险状况和态势、相关风险点情况电子和书面季报每季1次风险管理部门牵头，业务部门参与，相关配套部门支持负责人——上级主管——牵头操作风险管理的风险管理部门——高管层每季风险状况和态势、相关风险点情况、相关风险分析电子和书面年报每年1次风险管理部门牵头，业务部门参与，相关配套部门支持负责人——上级主管——牵头操作风险管理的风险管理部门——高管层——董事会、监事会、股东大会每年风险状况和态势、相关风险点情况、相关风险分析、下年风险预测电子和书面专题报告自我评估报告不定期风险管理部门牵头，业务部门参与，相关配套部门支持负责人——上级主管——风险主管——高管层风险节点、管控措施、整改措施有效性和操作风险管理战略规划有效性的评估电子和书面风险总报告不定期风险管理部门牵头，业务部门参与，相关配套部门支持负责人——上级主管——风险主管——高管层——董事会、监事会、股东大会整体风险概况评估、风险规划和风险管理措施评估等电子和书面信贷环节报告不定期风险管理部门牵头，业务部门参与，相关配套部门支持负责人——上级主管——风险主管——高管层整个信贷环节的操作风险状况和管理措施的评估电子和书面市场交易报告不定期风险管理部门牵头，业务部门参与，相关配套部门支持负责人——上级主管——风险主管——高管层整个市场交易环节的操作风险状况和管理措施的评估电子和书面风险事件报告不定期风险管理部门牵头，业务部门参与，相关配套部门支持负责人——上级主管——风险主管——高管层——董事会根据规定要上报的严重操作风险损失事件电子和书面2024/2/442CompanyLogo根底设备操作风险管理根底设备是构成操作风险管理框架的根底，是操作风险管理活动赖以开展的前提条件，为操作风险管理过程提供组织的、数据的、方法的、操作的、系统的支持。根底设备包括内容一个完好且权责明确的风险管理组织构造，该构造应包含一个独立的操作风险管理中心〔部门〕。真实、准确的风险数据和信息，能够要求银行建立必要的数据库。一致的风险丈量和管理方法。广泛的管理报告交流风险情况。风险管理所需求的信息技术。2024/2/443CompanyLogo根底设备商业银行董事会层级1层级2商业银行高管层层级3担任操作风险管理的相关部门或牵头部门*内审部门或外审法律、合规、信息科技、安保、人力资源部门业务部门业务部门业务部门业务部门业务部门业务部门业务部门业务部门*：思索到中国商业银行现状，我们对商业银行不作单独设立操作风险管理部门的硬性要求，但商业银行必需有相应的部门或牵头部门独立行使操作风险管理职能-引自<商业银行操作风险管理指引>组织架构参考示意图2024/2/444CompanyLogo根底设备董事会总行总行风险管理委员会总行操作风险管理部操作风险管理部分行总行其它业务部门其它业务部门操作风险管理岗分行其它业务部门其它业务部门操作风险管理岗基层其它业务部门其它业务部门操作风险管理岗操作风险管理部基层行操作风险总监操作风险主管操作风险经理操作风险管理总体组织架构图2024/2/445CompanyLogo根底设备董事会主要职责*承当监控操作风险管理有效性的最终责任制定审查审阅了解确保操作风险管理战略、总体政策以及奖惩制度等高管层的操作风险职责、权限和报告制度高管层提交的操作风险报告操作风险管理的总体情况、高管层处置艰苦操作风险事件的有效性全行的操作风险管理决策体系的有效性；本行从事的各项业务面临的操作风险控制在可以接受的范围内；高管层采取必要的措施有效地识别、评价、监测和控制/缓释操作风险；操作风险管理体系接受内审部门的有效审查与监视；全行范围有效地推进操作风险管理体系地建立。*：引自<商业银行操作风险管理指引>2024/2/446CompanyLogo根底设备高级管理层主要职责*担任执行董事会同意的操作风险管理战略、总体政策及体系在操作风险的日常管理方面，对董事会负最终责任根据董事会制定的操作风险管理战略及总体政策，担任制定、定期审查和监视执行操作风险管理的政策、程序和详细的操作规程，并定期向董事会提交操作风险总体情况的报告全面掌握本行操作风险管理的总体情况，特别是各项艰苦的操作风险事件或工程明确界定各部门的操作风险管理职责以及操作风险报告的途径、频率、内容，督促各部门真实履行操作风险管理职责，以确保操作风险管理体系的正常运转为操作风险管理配备适当的资源，包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需的权限等及时对操作风险管理体系进展检查和修订，以便有效地应对内部程序、产品、业务活动、信息科技系统、员工及外部事件和其他要素发生变化而所呵斥的操作风险损失事件*：引自<商业银行操作风险管理指引>2024/2/447CompanyLogo根底设备操作风险管理牵头部门主要职责**：引自<商业银行操作风险管理指引>2024/2/448CompanyLogo根底设备业务部门主要职责**：引自<商业银行操作风险管理指引>2024/2/449CompanyLogo根底设备其他支持部门主要职责*法律合规信息科技平安捍卫人力资源内部控制内部审计人员人员在管理好本部门操作风险的同时，应在涉及其职责分工及专业特长的范围内为其他部门管理操作风险提供相关资源和支持。*：引自<商业银行操作风险管理指引>2024/2/450CompanyLogo根底设备内审部门不直接担任或参与其他部门的操作风险管理定期检查评价本行的操作风险管理体系运作情况监视操作风险管理政策的执行情况对新出台的操作风险管理政策、程序和详细的操作规程进展独立评价向董事会报告操作