操作风险评估管理培训资料

江苏银行操作风险管理理论培训材料

——操作风险管理营运部2024/10/151操作风险管理发展阶段稳健做法管理框架风险战略管理流程风险识别风险评估控制/缓释监测/计量风险报告基础设施风险环境操作风险管理差距目录2024/10/152CompanyLogo发展阶段传统阶段识别阶段监测阶段定量阶段整合阶段123452024/10/153CompanyLogo只有内部控制，缺乏正规的操作风险管理架构传统阶段专人负责操作风险管理，制定了相应的制度，能实施自我评估，收集损失事件的数据识别阶段能跟踪收集相关数据，制定了定性和定量指标，实施打分卡策略，形成综合报告体系，系统性培训监测阶段具备全面综合的数据库，能借助数理模型深入分析带来的影响定量阶段操作风险管理、战略规划、质量控制和经济资本管理有机结合，提高股东价值整合阶段发展阶段2024/10/154CompanyLogo稳健做法2024/10/155CompanyLogo管理框架2024/10/156CompanyLogo风险战略风险偏好——核心内容根据发展规划和现有的业务能力和风险控制能力，银行确定下来的风险容忍程度。一般可分为积极型、中性和保守型。积极型风险偏好：是指银行制定积极型发展规划，在推行这一规划时同时主动积极的承担相应的风险，进行风险套利，推进风险主动动态配置。中性风险偏好：是指银行制定比较稳妥的发展规划，在推行这一规划的同时承担相应的风险，不进行风险套利，也不主动规避某些风险，推进风险中性配置。保守型风险偏好：是指银行制定比较保守的发展规划，在推行这一规划的同时尽量规避相应的风险，不进行风险套利，推进风险被动保守配置。2024/10/157CompanyLogo风险战略风险分解根据业务发展战略和风险战略，结合风险控制能力，将操作风险目标任务根据不同的划分方法分解，将操作风险目标任务直接落实到员工和业务条线上。分解方法：将操作风险视为流程风险，根据既定的目标，按照事件类型、业务条线、影响程度等划分方法对涉及这一管理流程上的所有环节和要素及因素进行相应的划分并配置相应的操作风险管理任务和风险值，确保操作风险管理任务得到有效落实。2024/10/158CompanyLogo风险战略风险政策是指对操作风险管理中各个相关部门所负有的职责、所采用的技术和方法等问题的具体规定。政策应包括以下内容操作风险管理目标操作风险定义及其管理流程操作风险管理架构及其相应的作用、责任操作风险管理工具和报告运用的预期效果与之配套的制度银行高层对银行风险管理目标执行情况的定期审查制度风险管理部门对风险管理控制措施遵守情况的检查制度审查、处理和解决违规问题的相关政策、程序和步骤操作风险各管理层责任明确的成文的审批和授权制度2024/10/159CompanyLogo管理流程风险识别风险评估控制/缓释检验/再评估监测/计量风险报告反馈操作风险管理流程（循环）2024/10/1510CompanyLogo风险识别风险识别：是指通过一定得标准和手段，鉴别分析业务活动中一切可能导致操作风险的因素和产生风险的环节点，确定风险的性质和种类以及风险产生的原因与影响的过程。事前识别事后识别识别内容潜在风险识别：银行通常会对所有重要产品、活动、程序和系统中内含的潜在操作风险进行定期识别；在引进新产品、采取新程序和系统之前，或者上述内容发生重大变化时，须对其潜在操作风险进行单独识别。已暴露风险识别：银行针对已发生的风险事件所做的鉴别分析，包括事件性质、造成影响（直接或间接损失）、以及事件产生的深层次原因。找出风险产生的原因是风险识别的重点，将对缓释控制风险有重要的导向作用。识别依据明确的操作风险定义科学的操作风险事件分类体系2024/10/1511CompanyLogo风险识别第一条主线第二条主线第三条主线风险因素识别（原因）风险事件识别（类型）风险影响识别（后果）。。。风险所在和事件性质。。。风险识别方法分层次、分步骤逐步深入分析2024/10/1512CompanyLogo风险识别风险识别考虑的因素潜在操作风险的整体情况银行运行所处的内外部环境银行的战略目标银行提供的产品和服务银行独特的环境内外部的变化以及变化的速度风险识别的常用工具内部损失/事件数据库外部损失/事件数据库情景分析流程图2024/10/1513CompanyLogo风险评估风险评估：是指根据损失经验、假设分析等逐一测评所有被识别出来的内部或外部操作风险因素的影响程度，以确定哪些风险可接受，哪些风险不可接受，需加以控制或转移。评估内容固有风险：指在没有任何管理控制措施的情况下，经营管理过程本身所具有的风险。它是与业务经营或管理活动相伴存在的，是内部控制活动的对象。控制风险：指对操作风险没有良好的内部控制，或内部控制无效，导致经营活动中的操作风险不能被及时发现而造成损失。剩余风险：指在实施了旨在改变风险可能性和影响强度的管理控制活动后，仍然保留的风险。固有风险-控制风险=剩余风险评估依据风险识别结果2024/10/1514CompanyLogo风险评估风险评估应考虑的因素操作风险因素的发生频率操作风险因素的影响程度操作风险等级风险的可接受程度控制的有效性操作风险的评估过程一般以业务管理和风险管理两个层面相结合展开，在定性分析的基础上，对操作风险因素可能损失的合理估计。操作风险识别与评估的一般原则由表及里自下而上从已知到未知操作风险识别与评估方法操作风险与内部控制自我评估损失事件数据方法流程图2024/10/1515CompanyLogo风险评估评估方法之——自我评估是在银行内部控制体系基础上，通过开展全员风险识别，识别出全行经营管理中存在的风险点，并从损失金额和发生概率两个角度来评估风险度大小。同时，识别这些风险点是否有控制活动，并评估控制活动质量，进而提出优化控制活动的方案。自我评估目标：鼓励各级机构承担责任及主动对操作风险进行识别管理。自我评估运用方法流程分析法情景模拟法引导会议法德尔菲法调查问卷法借助资料和工具操作风险定义及损失事件分类操作风险损失事件历史数据各类业务检查报告内部审计报告外部监管、审计报告2024/10/1516CompanyLogo风险评估全员风险识别与报告作业流程分析和风险识别与评估控制活动识别与评估制定与实施控制优化方案报告自我评估工作于日常监控自我评估工作流程2024/10/1517CompanyLogo风险评估等级描述词详细描述概率参考值（会计业务条线）范围说明1极可能预计大多数情况下发生；或现实中大量发生(0.01，1]发生概率大于0.012很可能很可能会发生；或现实中经常发生(0.001，0.01]发生概率在0.001与0.01（含）之间3可能在某种情况下可能发生；或现实中发生过几次(0.0003,0.001]发生概率在0.0003与0.001（含）之间4不太可能在某种情况下能够发生，但可能性小；现实中偶尔发生(0.00001,0.0003]发生概率在0.00001与0.0003（含）之间5罕见仅在例外情形下发生；或很多年发生一次(0，0.00001]发生概率不大于0.00001操作风险事件发生频率或可能性评估表2024/10/1518CompanyLogo风险评估等级描述词详细描述损失金额参考值（会计业务条线）范围说明1极大极大的损失金额[100，∞)损失金额在100万元（含）以上2较大较大的损失金额[10，100)损失金额在10万元（含）与100万元之间3中等中等的损失金额[1，10)损失金额在1万元（含）与10万元之间4较小较小的损失金额[0.1，1)损失金额在0.1万元（含）与1万元之间5极小极小的损失金额(0，0.1)损失金额在0与0.1万元之间操作风险事件影响程度评估表2024/10/1519CompanyLogo风险评估 影响程度发生频率5-极小4-较小3-中等2-较大1-极大1-极可能322112-很可能332113-可能433214-不太可能443215-罕见54432操作风险等级矩阵表1-extreme,极大风险，不可接受；2-high,高风险，不可接受；3-medium,中等风险，不可接受；4-low,低风险，可接受；5-ignore,极小风险，可接受。2024/10/1520CompanyLogo风险评估现有控制质量评估表等级描述词详细描述1控制有效Optimized监控机制确保标准化操作程序的执行，监控反馈的信息被有效用于优化和增进控制措施以适应环境变化。当采取控制措施后，风险等级从不可接受（1、2、3级）降至5级（极小风险）时，可以认为控制有效。2控制基本有效Managed对标准化的控制措施配套了有效的监控机制，监控所获信息被用于优化控制。当采取控制措施后，风险等级从不可接受（1、2、3级）降至4级（低风险）时，可以认为控制基本有效。3控制不足Initial临时性控制或者当采取控制措施后，风险等级仍处于不可接受（1、2、3级）时，可以认为控制不足，需要进一步采取控制措施。4控制过度Over-control当采取控制措施后，风险等级从不可接受（1、2、3级）降至可接受（4、5级），但为此付出的控制的成本过高，适当减少控制时仍能使风险处于可接受状态，此时可以认为控制过度。2024/10/1521CompanyLogo风险评估序号风险点编号风险点描述所在业务流程风险类型固有风险等级流程内控制措施流程外控制措施残余风险等级是否需要控制优化1DKJ7212-02-01-1票据真实性现金支票业务2.1.2：外部欺诈-盗窃和欺诈-伪造、诈骗3-中等风险复核、即时业务授权会计稽核、会计检查4-低风险

2DKJ7212-02-01-2记账错误现金支票业务7.2.1：流程管理和执行合规性-交易执行-交易数据记录错误3-中等风险复核、即时业务授权会计稽核、会计检查4-低风险

3DKJ7212-02-01-3付款错误现金支票业务

4-低风险双人付款录像监控5-极小风险是4DKJ7212-02-01-4违反监管规定现金支票业务

3-中等风险票据审查、授权会计稽核、会计检查4-低风险是5DKJ-YW-01印鉴卡保管非流程风险

3-中等风险无分岗保管、主管检查4-低风险

6DKJ-XT-01系统缺陷非流程风险6.1.2：系统失灵和设备故障-IT系统-软件2-高风险无无2-高风险是7DKJ-RY-01混岗操作非流程风险

3-中等风险无无3-中等风险是…

…

操作风险与内部控制自我评估工作汇总表2024/10/1522CompanyLogo风险评估低频率/高影响（LFHI）高频率/高影响（HFHI）低频率/低影响（LFLI）高频率/低影响（HFLI）低高低高频率影响严重关注、彻底避免积极重视、强化管理作为日常管理、列入成本引入外部数据库，保险，进行风险转移风险评估结果的意义2024/10/1523CompanyLogo控制/缓释控制/缓释：是指根据操作风险识别评估的结果，结合发展战略、业务规模与复杂性，通过采取流程控制、行为监控、电子化、保险等一系列控制/缓释方法，将其调整到可接受的风险水平。控制/缓释工具：内部控制良好的控制环境有效的风险控制体系有效的内部控制措施完善的内部信息管理体系保险一揽子保险错误与遗漏保险经理与高级职员责任险未授权交易保险电子保险信息技术系统应急和连续营业机制外包组织文化2024/10/1524CompanyLogo控制/缓释成本——收益决策控制成本增加的处理时间实施的成本效率的损失对客户使用该服务能力的潜在影响银行需确保风险控制水平与所面临的风险相匹配，并且实施的成本能够由程序改善所带来的收益弥补。不恰当的控制成本超过了潜在损失导致客户流失未能改善高成本高风险的低效程序2024/10/1525CompanyLogo控制/缓释全过程分析根据业务目标，将客户服务（过程）从起始一直分析到结束。全过程分析要分析客户服务中的所有活动，而不仅仅是单一业务过程。就客户而言，服务过程应该是无缝的，而不是一系列不相关的事件。服务链的任何中断都会对客户产生直接影响。全过程分析的典型方法六西格玛，它是一种基于统计学的方法，用来计量业务过程中“缺陷”的个数，并系统地消除每个缺陷。2024/10/1526CompanyLogo控制/缓释低频率/高影响（LFHI）高频率/高影响（HFHI）低频率/低影响（LFLI）高频率/低影响（HFLI）低高低高频率影响避免策略（调整风险容忍度、减少或停做此类业务）缓释策略(加强内部控制、加大技术投入）承担策略转移策略（业务外包、保险）控制/缓释一般性策略选择2024/10/1527CompanyLogo控制/缓释*：参照1998年9月的BCBS的《银行内部控制基本原则》，引自《商业银行操作风险管理指引》2024/10/1528CompanyLogo控制/缓释应急和连续营业机制*制定与其业务规模和复杂性相适应的应急和业务连续方案

建立恢复服务和保证业务连续运行的备用机制

定期检查、测试其灾难恢复和业务连续机制

确保在出现灾难和业务严重中断时这些方案和机制的正常执行

*：引自《商业银行操作风险管理指引》2024/10/1529CompanyLogo控制/缓释风险缓释*商业银行应当制定与外包业务有关的风险管理政策，确保业务外包有严谨的合同和服务协议、各方的责任义务规定明确。商业银行可购买保险以及与第三方签订合同，并将其作为缓释操作风险的一种方法，但不应因此忽视控制措施的重要作用。购买保险等方式缓释操作风险的商业银行，应当制定相关的书面政策和程序。*：引自《商业银行操作风险管理指引》2024/10/1530CompanyLogo监测/计量风险监测：是指通过对各类风险指标的日常监测，对操作风险状况及其控制/缓释措施的质量实施动态、持续的监测。监测目的对银行面临的所有类型操作风险的定性和定量评估进行监控评估缓释活动是否有效和适当，包括可识别的风险能在多大程度上被转移至银行外部确保控制充分、风险管理系统的正常运行监测工具风险图：是一组用以描述风险种类及其发生频率和强度的散点图，其数据主要来源于自我评估结果或损失事件历史数据。风险图中的数据通常采用对数表示。风险监测指标：在对风险点准确识别的基础上，通过设定一些可度量的变量来反映特定风险的暴露情况，变量值的变化反映风险水平的变化。监测指标一般都设有门槛值，称作“放大机制”、“触发水平”，表示指标的变化限度或容忍限度。监测指标的标准有效性可比性敏感性便用性2024/10/1531CompanyLogo监测/计量风险计量自上而下法：是将操作风险与总收入、总支出等目标变量相联系，根据两者之间确定的函数关系来计量操作风险值的方法。自下而上法：是将目标变量分解为一个个具体的目标变量，分别考虑风险因素和损失事件对它们的影响，分别估计操作风险值，然后再计算总体操作风险值的方法。《新资本协议》提供了三种操作风险计算方法基本指标法标准法高级计量法内部衡量法损失分布法极值理论模型记分卡法2024/10/1532CompanyLogo监测/计量操作风险度量模型分类比较度量模型基本指标法标准法高级计量法内部衡量法损失分布法极值理论模型记分卡法其他业务类别和事故类型单一业务类型多个业务类型（8个）多个业务类型、多个事故类型由监管机构统一划定银行自主划定结构∑（系数×风险暴露指标）使用损失频率和损失幅度的概率分布来估计操作风险的在险价值（VaR）使用的参数单一的风险暴露指标（EI）多个EI(PE\LGE\RPI)监管机构统一划定监管资本高较高较低2024/10/1533CompanyLogo监测/计量损失事件数据库（LED）：在标准化的操作风险事件分类基础上，对银行已发生的风险事件进行确认和记录，并采用结构化的方式进行存储。内部损失数据库外部损失数据库发生时间风险事件类型风险点发生时间地点损失金额产品线风险成因损失回收发生损失事件的业务范围损失金额损失起因2024/10/1534CompanyLogo监测/计量1、内部数据和外部数据的收集、分析和检验对数据的一致性、完整性和相关性进行检查剔除重复数据2、使内部数据和外部数据相匹配、整合情景分析方法补充损失数据3、运用损失数据进行操作风险的量化、自我评估、风险分析和报告风险侧面图损失事件数据库LED运作程序2024/10/1535CompanyLogo监测/计量风险原因人员程序系统外部事件风险事件风险影响内部欺诈外部欺诈就业政策和工作场所安全实物资产损坏业务中断和系统失败客户、产品和业务操作执行、交付和流程管理法律责任调整、服从和税收惩罚资产损失或损害赔偿丧失追索权丧失信誉风险损失数据分类2024/10/1536CompanyLogo监测/计量损失事件数据库功能对经营管理中主要的操作风险点进行分类，识别操作风险中的“热点”问题作为数据输入建立操作风险的量化模型，并用于监管资本和经济资本计算有效地对整体操作风险状况进行自我评估，并在总结探索的基础上提出有价值建议使银行的操作风险损失具有透明度，作为历史资料还可以用于经验分析与同业状况进行比较，有利于引导正确的行动以改善控制环境为国际性学术交流和管理实践提供帮助为有关管理报告提供基础性的、具有较高实用性信息，提高决策的针对性和有效性吸收和引进外部数据，在多家银行间实现数据共享比较准确反映银行操作风险管理的状况和进展多层面加深全员对操作风险源的认识，增强风险意识和责任意识最终降低未来操作风险损失的频率和严重性，实践操作风险管理和控制的预期目标2024/10/1537CompanyLogo监测/计量关键风险监测指标（KRI）：是一些可以用来考察和掌握银行操作风险状况的统计数字——财务方面，这些指标被周期性审查，以使银行对可能存在的操作风险变化保持警觉。KRI体系建立原则重要性原则指标选择覆盖当前整体范围内的操作风险重点环节，必须抓住操作风险易发的区域或风险严重的区域开放性原则根据银行业务发展和风险偏好的转移，不断调整和完善相应指标事前预警和事后计量结合原则部分指标要对操作风险有预先警示作用，部分指标要在事后对操作风险事件的损失情况有所计量风险容忍原则对部分操作风险可以不进行监测但其损失必须进行计量2024/10/1538CompanyLogo监测/计量业务线、风险分类和业务功能单位三维模式KRI实质上是一个三维模型，模型中的每一个组合决定一个操作风险点，每一个风险点都对应一个KRI，对该风险点风险水平进行度量，反映风险发生的频率或损失强度或兼而有之。2024/10/1539CompanyLogo风险报告风险报告：在对自身的操作风险进行识别、评估、监测和缓释等相关管理工作时，形成的文档化材料或电子材料，按照相关程序报送相关部门或负责人，使得相关部门或负责人可以及时有效地对操作风险状况进行了解和控制管理的行为。为确保风险报告的有效执行，须确定操作风险报告方式、频率、路径、内容、载体和负责人等相关事宜。报告内容定性信息：是对操作风险暴露的评论和对风险的主观评价。定量信息：是基于数量指标，并附有建立于风险容忍度和门槛值基础上的客观评价。2024/10/1540CompanyLogo风险报告内部损失数据风险指标风险评估风险识别风险评估损失事件风险诱因关键指标资本分析压力测试外部损失数据同业比较资本分析业务目标分析制定/调整政策配置资源跟踪反馈风险财务策略业务部门操作风险报告高级管理层操作风险报告流程风险管理部门2024/10/1541CompanyLogo风险报告定期报告种类频率负责人报告路线报告内容载体日报每日1次风险管理部门牵头，业务部门参与，相关配套部门支持负责人——上级主管——牵头操作风险管理的风险管理部门日常风险状况和态势、相关风险点情况电子周报每周1次风险管理部门牵头，业务部门参与，相关配套部门支持负责人——上级主管——牵头操作风险管理的风险管理部门每周风险状况和态势、相关风险点情况电子和书面季报每季1次风险管理部门牵头，业务部门参与，相关配套部门支持负责人——上级主管——牵头操作风险管理的风险管理部门——高管层每季风险状况和态势、相关风险点情况、相关风险分析电子和书面年报每年1次风险管理部门牵头，业务部门参与，相关配套部门支持负责人——上级主管——牵头操作风险管理的风险管理部门——高管层——董事会、监事会、股东大会每年风险状况和态势、相关风险点情况、相关风险分析、下年风险预测电子和书面专题报告自我评估报告不定期风险管理部门牵头，业务部门参与，相关配套部门支持负责人——上级主管——风险主管——高管层风险节点、管控措施、整改措施有效性和操作风险管理战略规划有效性的评估电子和书面风险总报告不定期风险管理部门牵头，业务部门参与，相关配套部门支持负责人——上级主管——风险主管——高管层——董事会、监事会、股东大会整体风险概况评估、风险规划和风险管理措施评估等电子和书面信贷环节报告不定期风险管理部门牵头，业务部门参与，相关配套部门支持负责人——上级主管——风险主管——高管层整个信贷环节的操作风险状况和管理措施的评估电子和书面市场交易报告不定期风险管理部门牵头，业务部门参与，相关配套部门支持负责人——上级主管——风险主管——高管层整个市场交易环节的操作风险状况和管理措施的评估电子和书面风险事件报告不定期风险管理部门牵头，业务部门参与，相关配套部门支持负责人——上级主管——风险主管——高管层——董事会根据规定要上报的严重操作风险损失事件电子和书面2024/10/1542CompanyLogo基础设施操作风险管理基础设施是构成操作风险管理框架的基础，是操作风险管理活动赖以开展的前提条件，为操作风险管理过程提供组织的、数据的、方法的、操作的、系统的支持。基础设施包括内容一个完整且权责明确的风险管理组织结构，该结构应包含一个独立的操作风险管理中心（部门）。真实、准确的风险数据和信息，可能要求银行建立必要的数据库。一致的风险测量和管理方法。广泛的管理报告交流风险状况。风险管理所需要的信息技术。2024/10/1543CompanyLogo基础设施商业银行董事会层级1层级2商业银行高管层层级3负责操作风险管理的相关部门或牵头部门*内审部门或外审法律、合规、信息科技、安保、人力资源部门业务部门业务部门业务部门业务部门业务部门业务部门业务部门业务部门*：考虑到中国商业银行现状，我们对商业银行不作单独设立操作风险管理部门的硬性要求，但商业银行必须有相应的部门或牵头部门独立行使操作风险管理职能-引自《商业银行操作风险管理指引》组织架构参考示意图2024/10/1544CompanyLogo基础设施董事会总行总行风险管理委员会总行操作风险管理部操作风险管理部分行总行其它业务部门其它业务部门操作风险管理岗分行其它业务部门其它业务部门操作风险管理岗基层其它业务部门其它业务部门操作风险管理岗操作风险管理部基层行操作风险总监操作风险主管操作风险经理操作风险管理总体组织架构图2024/10/1545CompanyLogo基础设施董事会主要职责*承担监控操作风险管理有效性的最终责任制定审查审阅了解确保操作风险管理战略、总体政策以及奖惩制度等高管层的操作风险职责、权限和报告制度高管层提交的操作风险报告操作风险管理的总体情况、高管层处理重大操作风险事件的有效性全行的操作风险管理决策体系的有效性；本行从事的各项业务面临的操作风险控制在可以承受的范围内；高管层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险；操作风险管理体系接受内审部门的有效审查与监督；全行范围有效地推动操作风险管理体系地建设。*：引自《商业银行操作风险管理指引》2024/10/1546CompanyLogo基础设施高级管理层主要职责*负责执行董事会批准的操作风险管理战略、总体政策及体系在操作风险的日常管理方面，对董事会负最终责任根据董事会制定的操作风险管理战略及总体政策，负责制定、定期审查和监督执行操作风险管理的政策、程序和具体的操作规程，并定期向董事会提交操作风险总体情况的报告全面掌握本行操作风险管理的总体状况，特别是各项重大的操作风险事件或项目明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容，督促各部门切实履行操作风险管理职责，以确保操作风险管理体系的正常运行为操作风险管理配备适当的资源，包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险管理人员履行职务所必需的权限等及时对操作风险管理体系进行检查和修订，以便有效地应对内部程序、产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化而所造成的操作风险损失事件*：引自《商业银行操作风险管理指引》2024/10/1547CompanyLogo基础设施操作风险管理牵头部门主要职责**：引自《商业银行操作风险管理指引》2024/10/1548CompanyLogo基础设施业务部门主要职责**：引自《商业银行操作风险管理指引》2024/10/1549CompanyLogo基础设施其他支持部门主要职责*法律合规信息科技安全保卫人力资源内部控制内部审计人员人员在管理好本部门操作风险的同时，应在涉及其职责分工及专业特长的范围内为其他部门管理操作风险提供相关资源和支持。*：引自《商业银行操作风险管理指引》2024/10/1550CompanyLogo基础设施内审部门不直接负责或参与其他部门的操作风险管理定期检查评估本行的操作风险管理体系运作情况监督操作风险管理政策的执行情况对新出台的操作风险管理政策、程序和具体的操作规程进行独立评