操作风险管理概述与实务讲座课件.ppt

操作风险管理概述与实务,不断加剧的操作风险,一体化程度越来越高,更高的业绩压力,复杂的业务,违法行为,依赖于技术,实务操作和诉讼,交易量增大，速度加快,流程流程缺失、不合理等。,引发操作风险的因素,人员操作失误、违法行为、越权行为、违反用工法、关键人员流失、关键岗位空缺等。,系统系统失灵、软硬件故障、系统漏洞等。,外部事件外部欺诈、外部突发事件、外部经营环境的不利变化等。,4,某商业银行操作风险统计情况,注：根据某商业银行操作风险损失数据整理。,主要内容,一、操作风险概述二、操作风险监管发展历程三、操作风险管理实务,一、操作风险概述,1、广义定义市场风险和信用风险以外的风险。2、巴塞尔委员会定义由于不完善或有问题的内部程序、人员以及系统或外部事件所造成损失的风险。包括法律风险，但不包括策略风险和声誉风险。,（一）操作风险定义,3、花旗集团定义由于内部流程、人员或系统不完善或失败以及外部事件而造成损失的风险。包括与业务操作和市场行为相关联的声誉和特许经营风险。4、中国银监会定义由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险。5、中国工商银行定义由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险，包括法律风险，但不包括战略风险和声誉风险。,因无法履行的合同（全部或部分）、诉讼、不利的判决或其他法律程序使银行的业务中断或对银行状况造成不利影响而带来的风险。,公众对某家银行做法持负面评价（无论真实与否），从而导致其客户群缩小、发生昂贵的诉讼及/或使其收入下降的可能性。,来源于不合适的业务战略，或与该战略有关的假设条件、参数、目标以及其它特征有了负面的改变。,法律风险,声誉风险,策略风险,信用风险和市场风险一般都和收益成正比例关系，而操作风险不存在这种相关性，无法通过承担更多的操作风险来增加收益，操作风险纯粹意味着损失。,风险与收益不匹配分散性内生性多样性,操作风险覆盖面广，存在于银行各个部门，风险事件的发生难于预测，导致难以通过数学模型进行管理。由于操作风险不易量化和缓释，通常高级管理层较少关注这一风险。,除自然灾害、恐怖袭击等外部事件外，操作风险大部分为内生风险，人员因素导致的操作风险占大多数。,引发操作风险的因素复杂多样，既有员工、场所，还有系统、程序等。,（二）操作风险的特征,三种风险比较,（三）操作风险事件类型*,*巴塞尔委员会操作风险损失事件类型,二、操作风险监管发展历程,（一）国际银行业操作风险监管,1、前新资本协议时期,（1）有效银行监管核心原则(1997年月)原则13：该原则强调监管者要确保银行建立全面的风险管理程序以识别、计量、监测和控制各项重大的风险并适时设立资本金。,监管者应督促检查银行是否建立了有效的内控系统并保持有效运转，一旦发现违规迹象，应立即采取监管措施，并建议充分利用审计信息，进行现场检查等以保证监管效率。,（2）内部控制系统的评估框架（1998年）,内控失效的5个表现,3类内控目标,改进措施,1）银行内部缺少控制观念导致管理疏忽2）缺少对表内外业务特定活动的风险评估3）对组织架构和职责以及绩效考核缺乏关键的控制或控制失效4）沟通不畅5）审计程序其它监管行为缺乏效率,1）内部控制的效率和效果2）财务和管理信息的可靠性与完整性3）严格遵守监管法规,（3）操作风险的管理与监管的稳健做法（2003年月）,营造适宜的风险管理环境1、操作风险管理体系2、内部审计3、执行的职责,风险管理活动4、识别、评估操作风险5、监控操作风险6、控制/减缓操作风险7、应急和连续经营方案,信息披露的作用10、公开披露,监管者的作用8、对风险管理体系的监管审查9、独立评估,（1）新资本协议（2004年6月）,2、新资本协议时期,第一支柱首次纳入资本计提范畴计算方法监管,第二支柱比照严格管理监管评估开发管理框架,第三支柱质的披露要求量的披露要求,原则15操作风险：银行监管当局必须满意地看到，银行应具备与其规模及复杂程度相匹配的识别、评价、监测和控制/缓解操作风险的风险管理政策和程序。,（2）新版有效银行监管核心原则（2006年10月）,（3）操作风险管理和监管的良好作法（2010年12月）,2）银行操作风险管理的三道防线业务条线管理独立的法人操作风险管理部门独立的评估与审查,1）监管机构的任务建立评估机制监管评估的范围监管措施的制定鼓励银行持续改善内部管理,3）银行操作风险管理原则,基本原则1、“高层声音”2、操作风险框架,公司治理3、操作风险管理框架建立及监督4、操作风险偏好和容忍度报告5、高级管理层,风险管理环境6、内在操作风险的识别和评估7、评估的正式程序8、重要风险敞口监测9、操作风险管理体系10、业务弹性和连续性方案,信息披露的作用11、公开信息披露,（3）操作风险管理和监管的良好作法（续）,（二）我国银行业操作风险监管,20世纪90年代中期至2002年左右监管部门和银行内部主要侧重于研究与银行盈利能力密切相关的信用风险和市场风险，操作风险的监管政策在我国仍然是一片空白。但少数学者已经开始探索操作风险管理和监管问题。,1、萌芽阶段,2、起步阶段,2002年至2006年,（1）商业银行内部控制指引（2002年9月）全文有五处明确提到操作风险，其中有两处表述为“操作性风险”，也是操作风险的一类，且大量的内容体现的是操作风险的管理理念。如第四章“资金业务的内部控制”中强调统一授信和前后台职责分离，防止越权交易和欺诈行为等，都是典型的防范操作风险的手段。,（2）关于加大防范操作风险工作力度的通知（2005年3月）简称“操作风险十三条”机构管理方面：涉及规章制度建设、稽核体制建设、基层行合规性监督、订立职责制、行务管理公开等。人员管理方面：涉及轮岗论调与强制休假、重要岗位人员监控、举报人员的奖励机制等。账户管理方面：涉及对账制度、未达账项管理、印押证管理、账外经营监控、信息科技系统改进等。,2、起步阶段（续）,3、发展完善阶段,（1）中国银行业实施新资本协议指导意见（2007年2月）要求银行制定切实可行的新资本协议实施规划首次提出银行应对操作风险计提资本此外还指出银监会将加快操作风险资本监管的研究和规制的进程，并将公布符合我国商业银行实际的操作风险资本计算方法,2007年至今,（2）商业银行操作风险管理指引（2007年5月）首次在正式中文文件中给出操作风险的定义和操作风险事件的分类明确要求商业银行为操作风险管理提供组织和职能保证强调加强内部控制对降低操作风险的重要意义,3、发展完善阶段（续）,（3）商业银行操作风险监管资本计量指引（2008年10月）,我国商业银行只能选择标准法、替代标准法和高级计量法明确了商业银行使用标准法时总收入的范围，并制定了业务条线的归类原则制定了商业银行操作风险损失数据收集统计原则提出了商业银行操作风险损失事件统计的主要内容,3、发展完善阶段（续）,（4）商业银行资本管理办法（2年1号令）,以巴塞尔新资本协议（BaselII）三大支柱为基础，统筹考虑第三版巴塞尔协议（BaselIII）的新要求，构建了符合国内银行业实际的资本监管框架办法分10章、180条和17个附件，其中第六章对操作风险加权资产计量进行了规范,3、发展完善阶段（续）,三、操作风险管理实务,以某商业银行操作风险管理项目为例,（一）名词解释,操作风险偏好是对操作风险的基本态度和公司管理层对操作风险管理的承诺。是银行根据发展规划以及业务能力和风险控制能力，确定下来的风险容忍程度和风险远景规划，是战略层面的内容。,操作风险容忍度是将战略层面的操作风险偏好转化至实际管理层面的管理工具，是风险偏好更为具体的表现。,操作风险偏好,操作风险容忍度,操作风险容忍度区分,操作风险容忍度分为四个等级，分别以绿色、黄色、橙色、红色加以区分。绿色表示安全区域，黄色表示应加强监控的区域；橙色表示应予警戒的区域，红色表示不可忍受区域。,操作风险地图为一个由频率横轴以及严重度（金额）纵轴所组合成的二维象限，当中每一格区域代表不同的操作风险暴露值（即频率与严重度的乘积）；而通过边界值的设置可以将该二维象限划分成不同的区域，对映至不同的操作风险容忍度。,分为固有风险暴露评估和剩余风险暴露评估。其中，固有风险暴露是指假设不存在任何控制措施，未来一年内发生操作风险损失的可能性和金额。剩余风险暴露是指考虑相关控制措施的影响，即操作风险事件发生的可能性和严重程度在控制措施后有可能降低的情况下，未来一年内发生操作风险损失的可能性和金额。,操作风险地图,风险暴露评估,操作风险管理的三项工具,操作风险管理LDC损失数据收集(反思操作风险管理或缓释方案失效的原因并思考新的应对方案)KRI关键风险指标设计与监控(通过预警信息的监控以即时采取行动方案)RCSA风险与控制自我评估(流程改善或控制措施改进的依据),人体健康管理病史及发病纪录(反思发病原因并采取新的应对方案)血压血糖体重等健康指标监控(警戒信息产生时，立即采取应对手段)定期身体健康评估(调整用药、加强运动等控制措施的依据),操作风险管理的流程,风险识别,评估/计量,缓释/控制,检验/再评估,监测,报告,反馈,风险识别流程分析：识别主要业务流程或业务活动中固有的操作风险事件以及目前本行具备的相应控制措施。损失数据收集：针对操作风险事件的相关信息，进行数据收集、内容分析、整改分析设计与执行、损失分配、内外部报告等程序。,风险评估风险与控制自我评估：通过流程分析，识别和评估流程中潜在操作风险以及自身业务活动的控制措施、适当程度及有效性的操作风险管理工具。,风险监测关键风险指标：代表某一风险领域变化情况并可定期监控的统计指标,可用于监测可能造成损失事件的各项风险及控制措施，并作为反映风险变化情况的早期预警指标。,风险控制行动计划：通过三大工具的应用，根据对风险暴露严重程度的判断，采取相应的措施，将风险暴露降低到可接受的水平。,（二）操作风险识别,1、流程分析,梳理每个子流程所包含的流程步骤，识别涉及的人员和系统。,识别每个步骤中的控制措施。,识别每项控制措施所针对的风险事件和风险因子。,生成综合说明表,进一步流程分析过程及结果,（1）,（2）,（3）,（4）,综合说明表示例（会计业务-重要空白凭证出入库管理）,2、损失数据收集(LDC),（1）收集范围,类型一：重大操作风险事件,即银监会规定范围及该行特别关注的重大操作风险事件。,1银监会规定应收集的事件。,2该行特别关注的事件。包含：监管机关处分事件、员工欺诈事件、员工安全事件、核心业务服务中断事件、重大信息系统安全或中断事件、影响该行对广大客户的服务质量以及严重影响该行声誉的事件。,类型二：损失金额达认定起点的事件,即非第一类事件但总损失金额达到认定起点以上的事件。,除第一类事件外，该行的损失数据收集至少应涵盖外部欺诈事件、实体资产损坏事件、操作失误事件。各业务条线部门可依据自身的管理需求，调低操作失误事件认定起点和/或扩大收集范围。,（1）收集范围（续）,（2）事件收集执行程序,事件识别1-1事件发掘,数据收集2-1信息收集,事件处理3-1事件分析,验证及管理4-1数据验证,监控与报告5-1总体性监控,1-2,沟通与汇报,2-2数据录入,3-2改善行动,4-2损失分配,5-2监管报表报送,3-3缓释处理,4-3事件追踪,信息反馈,信息反馈,信息反馈,损失事件帐务处理,（三）操作风险评估,频率严重度固有风险暴露,控制措施1-2,有效性,控制措施2,有效性,固有风险暴露,控制措施的效果,剩余风险暴露,操作风险事件,控制措施-1,设计,操作风险事件,1、操作风险评估整体框架,自行评估依逻辑自动计算,频率严重度剩余风险暴露风险地图落点总体控制有效性,落实度,设计,落实度,设计,落实度,风险识别环节的流程分析结果是构成RCSA问卷的主体，RCSA问卷是在流程综合说明表的基础上转换而来。,2、风险与控制自我评估（RCSA）问卷,流程分析:流程综合说明表,RCSA问卷,=,X,定义,3、评估工作程序（1）剩余风险暴露评估,风险暴露（RE,RiskExposure）未来一年内，可能承受的操作风险损失,事件发生频率（F,Frequency）未来一年内，某类型的操作风险事件可能发生的次数,事件严重程度（S,Severity）平均而言，上述事件所可能造成的财务损失,参考依据,依据目前的内外部环境，预测各项风险事件可能发生的频率。例如每年发生3次、每年发生1次、每10年发生1次(每年0.1次)。,依据目前的内外部环境，若这类风险事件发生，可能会带来多大的财务损失。,历史损失数据业务量依据行内业务专家的经验,历史损失数据单项业务或交易金额依据行内业务专家的经验,事件发生频率和严重度评估,操作风险事件发生频率评估表,频率至少每天发生一次至少每周发生一次至少每月发生一次至少每季发生一次至少每半年发生一次至少每年发生一次至少每3年发生一次至少每5年发生一次10年以上发生一次30年以上发生一次,等级12345678910,操作风险事件严重程度评估表(财务损失),严重性等级12345678910111213141516,可能造成的损失（RMB）0-5,0005,000-10,00010,000-20,00020,000-50,00050,000-100,000100,000-200,000200,000-500,000500,000-1,000,0001,000,000-2,000,0002,000,000-4,500,0004,500,000-9,500,0009,500,000-20,000,00020,000,000-45,000,00045,000,000-95,000,00095,000,000-200,000,000200,000,000,事件发生频率和严重度评估示例,高频低损会计差错、操作失误等在银行发生频率比较高，但最终给银行造成的损失并不大发生频率：3至少每月发生一次严重度：10-5,000低频高损外部欺诈事件在银行发生频率比较低，一旦发生金额相对比较大发生频率：910年以上发生一次严重度：1595,000,000-200,000,000,1,1,2,2,3,3,事件间接影响效果评估,间接损失评估表运营中断,间接损失评估表广大客户服务质量,等级,描述,等级,描述,中断1日中断1周中断一个月以上,影响5%的客户服务质量影响20%的客户服务质量影响50%以上的客户服务质量,除了直接的财务损失外，若操作风险事件发生，可能带来什么样的负面效果?,控制措施在制度设计层面，对于操作风险的管控效果,控制被遵循与落实的程度,3、评估工作程序（2）控制有效性评估,控制有效性,包含,控制设计有效性,以及,控制落实度,规章制度文件是否齐备与完善控制措施是否具可操作性控制措施是否对操作风险有很好的管控效果,控制措施是否被执行相关岗位执行时的认真程度控制措施的执行的覆盖程度,评估时的考量要素参考依据,对于目前制度规章齐备程度与完善程度的了解业务专家对于控制措施的可操作性及管控效果的反馈,相关岗位对于日常工作是否落实的反馈条线检查或是内审检查对于落实状况的评估结果,控制措施对于操作风险管控的效果,3、评估工作程序,固有风险暴露为控制措施完全失效的状况下所面对的操作风险暴露。,控制措施效果主要是降低操作风险事件的发生频率，而对事件发生时的影响效果可能无控制能力或控制能力较弱。,依据造成操作风险的原因，思考若控制措施完全失效，事件发生频率可能升高的幅度。例如可能由1年发生1次，变为每个月发生1次。,（3）固有风险暴露评估,4、设定及调整风险地图,风险地图是反映操作风险评估结果的重要载体。不同的业务条线或单位，由于运营规模不同，对于操作风险的容忍度会有相当的差异，因此应适用不同轮廓的风险地图来协助判断特定风险的暴露是否维持在可容忍的范围之内，通常采用综合判断方式设定容忍度边界,甲分行,乙分行,频率,频率,严重度,严重度,风险地图的意义,高,低,影响,低频高损,高频高损,低频低损,高频低损,高,低,频率,严重关注，彻底避免,作为日常管理，列入成本,积极重视，强化