操作风险管理概论及三大工具(某全国性股份制商业银行内.ppt

,操作风险管理框架操作风险管理三大工具一览风险控制自我评估（RCSA）损失数据收集（LDC）关键风险指标（KRI）,目录,法律风险包括但不限于下列风险：商业银行签订的合同因违反法律或行政法规可能被依法撤销或者确认无效的商业银行因违约、侵权或者其他事由被提起诉讼或者申请仲裁，依法可能承担赔偿责任的商业银行的业务活动违反法律或行政法规，依法可能承担行政责任或者刑事责任的（摘自银监会操作风险管理指引）策略风险：由于无效的或有问题的策略而遭受损失的风险声誉风险：是指有关一家机构业务活动的负面宣传，不论其真假，都会引起该机构的客户流失、收入下降或花费高昂的诉讼费用（摘自银监会非现场监管指引（试行）,操作风险定义,操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险,从定义看，操作风险遍及银行内部各产品线、各个操作环节及各个业务层面,四大风险因素和七大损失类型,人员,内部流程,IT系统,外部事件,指故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失事件，此类事件至少涉及内部一方，但不包括歧视及差别待遇事件,指违反就业、健康或安全方面的法律或协议，个人工伤赔付或者因歧视及差别待遇导致的损失事件,指因未按有关规定造成未对特定客户履行份内义务（如诚信责任和适当性要求）或产品性质或设计缺陷导致的损失事件,因交易处理或流程管理失败，以及与交易对手方、外部供应商及销售商发生纠纷导致的损失事件,因信息科技系统生产运行、应用开发、安全管理以及由于软件产品、硬件设备、服务提供商等第三方因素,造成系统无法正常办理业务或系统速度异常所导致的损失事件,指第三方故意骗取、盗用、抢劫财产、伪造文件、攻击商业银行信息科技系统或逃避法律监管导致的损失事件,因自然灾害或其他事件（如恐怖袭击）导致实物资产丢失或毁坏的损失事件,风险因素,内部欺诈,就业制度和工作场所安全事件,客户、产品和业务活动事件,执行、交割和流程管理事件,信息科技系统事件,外部欺詐,实物资产的损坏,损失类型,操作风险损失形态,损失形态,1.法律成本,具体描述,因商业银行发生操作风险事件引发法律诉讼或仲裁，在诉讼或仲裁过程中依法支出的诉讼费用、仲裁费用及其他法律成本。如违反知识产权保护规定等导致的诉讼费、外聘律师代理费、评估费、鉴定费等,由于疏忽、事故或自然灾害等事件造成实物资产的直接毁坏和价值的减少。如火灾、洪水、地震等自然灾害所导致的账面价值减少等,由于内部操作风险事件，导致商业银行未能履行应承担的责任造成对外的赔偿。如因银行自身业务中断、交割延误、内部案件造成客户资金或资产等损失的赔偿金额,由于偷盗、欺诈、未经授权活动等操作风险事件所导致的资产账面价值直接减少。如内部欺诈导致的销账、外部欺诈和偷盗导致的账面资产/收入损失，以及未经授权或超授权交易导致的账面损失等,由于操作风险事件引起的其他损失,因操作风险事件所遭受的监管部门或有权机关罚款及其他处罚。如违反产业政策、监管法规等所遭受的罚款、吊销执照等,2.监管罚没,3.资产损失,4.对外赔偿,5.追索失败,6.账面减值,7.其它损失,由于工作失误、失职或内部事件，使原本能够追偿但最终无法追偿所导致的损失，或因有关方不履行相应义务导致追索失败所造成的损失。如资金划转错误、相关文件要素缺失、跟踪监测不及时所带来的损失等,操作风险管理架构及流程,风险管理架构,策略和政策,治理和组织,流程,数据,计量,披露,银行的目标和策略,操作风险策略和风险容忍度,验证、重估,持续改进,操作风险管理流程,三道防线,风险管理报告,董事会,高级管理层,第一道防线,第二道防线,第三道防线,业务部门,公司金融零售资产管理,支持部门,人力资源IT法律合规安全保障,独立的风险管理部门,独立风险管理空能,内部审计,独立稽核功能,日常风险管控,风险策略、架构及监控,独立审核,操作风险缓释架构,1,2,3,4,对于风险的缓释，银行可采取接受、控制、转移和规避四种策略接受：对于发生频率低、严重性较低的操作风险，银行一般采取接受风险的策略，主要原因是风险缓释的成本往往超过了该风险所可能引起的损失控制：对于发生频率高，但严重性较低的操作风险，银行一般采用控制风险的缓释策略。该部分风险往往由银行的日常经营造成，因此必须为其设计专门的控制程序转移：对于发生频率低，但严重性较高的操作风险，银行一般采取转移风险的缓释策略。该部分风险较为典型的是自然灾害等外部事件，银行一般采用的转移方式为保险等措施规避：对于发生频率高，严重性也较高的操作风险，规避措施已没有意义，因此银行应避免涉足该类业务。,操作风险管理三大工具一览,三大工具之间紧密联系，协同支持操作风险管理,风险控制自我评估RCSA,损失数据收集LDC,通过RCSA对风险的辨识，对寻找损失数据提供了依据,关键风险指标KRI,真实的损失数据对RCSA风险点的评估提供了参考,真实的损失数据为KRI设置提供了参考,KRI异常往往指向真实的损失事件,RCSA的评估结果为KRI提供了额外的操作风险信息,成为KRI设置的参考,KRI的异常可成为RCSA的驱动力之一,什么是风险控制自我评估（RCSA）,RCSA(风险与控制自我评估)是操作风险管理框架中重要的组成部分RCSA是一种通过调查金融机构管理层和员工有关对操作风险损失事项发生可能性和严重性的估计，将调查结果与未来预计损失进行匹配(Mapping)的方法目前RCSA的目的单纯集中在估计预期损失(ExpectedLoss,EL)，只有在实行操作风险高级计量法(AdvancedMeasurementApproach,AMA)后，才能对非预期损失进行计量事件发生的频率(Frequency)和损失的严重性(Severity)是评估现有风险因素管理和操作风险控制质量的关键信息,为什么要进行RCSA,额外的操作风险管理信息来源：仅仅依靠对真实发生的损失事件进行收集不足以评估银行的操作风险暴露，RCSA可以使银行建立额外的操作风险管理信息来源,对操作风险管理环境变化作及时的调整：当银行的业务环境发生改变时（如推出新产品，员工数量发生显著增长），特定的RCSA制度可及时对其引起的操作风险暴露变化进行反映，为管理层的决策提供参考,定期辨识潜在的操作风险暴露：常规的RCSA制度可以对银行的操作风险环境进行定期的评估，有助于管理层及时辨识是否需要改变现有的流程和控制政策，以规避潜在的操作风险损失,RCSA在操作风险资本计量中扮演的角色,RCSA是计量主观风险资本的主要工具在操作风险资本的高级计量法中，RCSA是银行估量主观风险资本的主要工具，与此同时，银行通过真实的损失数据估量历史风险成本。对主观风险资本和历史风险资本进行整合和调整后，可获得最终所需的操作风险资本,计量,指标,数据集中,风险自我评估,业务环境,损失数据收集,识别模型,损失事件类型模型,风险因素模型,指标模型,损失影响类型模型,组织模型,历史风险资本,主观风险资本,整合的CaOR贝耶斯整合,操作风险资本,调整,测算,环境评分,内部损失数据,外部损失数据,主观估计,控制与风险因素评分,RCSA的组织架构,评估小组与业务人员进行访谈,RCSA是以组织架构为基础去执行并以分行业务部门作为最主要的执行单位，这是“自我评估”的意义所在，也有助于提升全行的风险文化氛围风险管理部门在RCSA组织架构中承担指导、监督、协调的作用,风险,流程/活动,流程目标,主要内部控制,达成流程目标的障碍,内部控制主要的目标/原因,风险焦点,控制焦点,分行业务部门,总行业务部门,分行风险管理部门,总行风险管理部门,评估小组将对其他操作风险数据以及偏差分析进行一致性查证,RCSA方法论识别模型的标准分类,操作风险识别模型是所有操作风险计量方法论的基础，这些方法论使得数据收集变得有序、结构化和连贯操作风险识别模型由如下模块构成,组织模型,损失事件模型,风险因素模型,指标模型,影响模型,对所有可能的损失事件类型进行识别和分类,对分析下的组织维度进行识别和定义,对导致损失事件的所有可能原因/因素进行识别和分类,对支持合理的主观估计的信息和指标进行识别,对一个事件的所有可能影响进行识别和分类,根据银行的特点，应对各模型的细部层级进行客制化，这需要行内各相关部门的外部输入。模型细部层级的内容主要依赖于银行各部门的收集和整理，在日常操作风险管理中，各相关部门应注意收集相关数据，对各模型进行整理、更新和维护,RCSA方法论将识别模型应用到RCSA,识别模型,损失事件类型模型,风险因素模型,影响模型,组织模型,范围定义,设置和参数化,执行,审阅和调整,指标模型,报告,方法定义（自上而下vs.自下而上；整体vs.部分）识别RCSA涉及的业务单元,针对每份问卷定义问题选择评估方法论定义阈值,总行操作风险管理部进行结果分析由内审部门进行检查与业务单元进行讨论调整结果和评级,针对业务单元经理的问卷的执行定量答案收集（平均频率，平均严重性，最坏情况）风险因素识别,报告的准备和分发,问卷信息准备,创建问卷,建立和执行RCSA访谈,访谈结果分析与后续追踪,RCSA的具体步骤,汇报与后续工作规划,RCSA能识别、管理以及控制风险，并能管理所有部门的控制信息。这些信息将在全行间进行分享，并以合理与系统化的方式协助目标被有效的达成,投入:每个部门指派负责人员需求信息部门:角色与责任信息、事业单位必要的投入与产出等其它信息来源:内部审计部门、信息部门、合规部门等,产出:RCSA报告设定新的操作风险容忍度水平主要风险指标(KRI)资料KRI报告,RCSA的关键成功因素,关键成功因素,拥有一致且易于执行RCSA的程序,拥有标准的RCSA方法论与工具,拥有清晰的RCSA执行、监督和检查的权责划分,RCSA过程与结果与绩效考核相挂钩,跨部门的合作,各业务部门高层的重视,损失数据用途损失数据将作为风险估计实证分析和验证的基础损失数据作为实际损失与风险管理、控制决策之间的桥梁,操作损失（operationallosses):因发生损害性事项而导致的损失,该损害性事项对衡量银行所受损失具有经济影响。“操作损失应包括下列因发生损害性事项而导致的支出:与该事项相关的全部已发生支出,但不包括投资项目支出,机会成本或预知收入”（巴塞尔资本协议，定量影响测算，2001.5）操作风险损失：是指由不完善或有问题的内部程序、人员、系统以及外部事件所造成的损失,损失数据收集损失定义,损失数据收集流程应包括具有高质量标准的操作损失的识别、录入、验证、管理和报告等环节,并达到以下标准：,完备性所收集损失的整体情况及时性损失事件记录的时间点可获得性获取信息的成本收集信息的数量和质量损失的时间、性质、数量风险暴露的信息评级信息,损失数据收集的关键点：通过各业务单元参与损失数据收集工作以及参与数据收集过程的定义等环节，在银行内部创建浓厚的损失数据收集文化氛围损失数据收集过程为识别、录入、验证、管理和报告等环节的统一损失数据收集是动态的实施过程，该过程应能够不断对信息源进行更新并能根据商业环境的发展正确反应银行操作风险暴露的情况,损失数据收集介绍,完备性,及时性,可获得性,收集信息的数量和质量,损失数据收集标准损失类型信息种类阈值特别案例分类指南,方法程序流程与其他系统的连接变革管理培训,信息源映射软件解决方案,人员（Who）,内容（Which）,来源（Where）,方式（How）,角色和职责,损失数据收集章程,损失数据收集框架,对于利润和损失金额有直接影响的损失,只有影响损益账目的直接损失才是在金融机构损失数据收集过程中尤为重要的损失。该定义指出应区分银行战略结果与操作风险的影响的不同,预知收入,如果不经历操作损失，它们就是公司将来能够获取的利润,替代成本,当公司决定不执行时，可从替代投资中获取的利润,近乎发生的损失,未引发真正损失的事件,损失类别,损失价值标准：从会计角度,实际损失是实际记录的损失，即使在较短会计期间内也是如此。实际损失是由非系统化损害事件造成的。同时，由于这些损失能够一直在银行的会计系统中被直接跟踪，而且在任何情况下都可以根据对利润和损失金额的影响来被分离和评估，因此实际损失是客观的、可衡量的。此外，我们认为，这些损失应该包括所有与损害事件以及可能获得的补偿（如保险或其他赔偿）相联系的费用,实际损失,预计损失,当损失金额不确定时将产生预计损失，但基于实际发生的会计准则将被迫进行预测。在这种情况下，将考虑具体的风险数量来进行会计记录,损失数据收集损失类别、价值标准,对于所有需收集的损失事件应设置一定的数据项，至少应包括：,损失数据收集收集信息设定,损失数据收集辨识信息来源,信息源的识别在损失数据收集过程中是重要的一步信息源是银行内某些可以发现操作风险损失的“单位”在损失数据收集中，需要确定“哪些是主要的信息来源？”,损失数据收集的信息源,总帐,其他来源,损失的信息可通过损益表的负数反映,用于将财务报表无法识别的损失有效区分和收集,既有系统,独立存档,电子或纸质存档，如客服部门的客诉记录等,如银行现有数据记录系统,损失数据收集信息源的定义,信息源的定义我们可以从“操作风险损失列表”开始，在列表中操作风险损失可根据BaselII（银监会）中对损态类型的规定进行划分该列表的“行”为损失类型；“列”为针对各损失类型所识别的信息源（银行相关业务单元），通过使用“操作风险损失列表”，我们可以综观银行操作风险损失信息源的总体情况,领先实践样例,样例,对于收集损失信息，有两种不同的方法：,事件驱动,会计驱动,当事件发生，损失数据通过损失事件发生的相关业务单元的现有系统进行收集损失事件的相关信息应从损失事件发生的业务单元/业务条线获取,数据在总帐中进行收集需将损失事件的类型映射到会计科目中所收集的损失数据需进行一定的人工信息调节,损失数据收集信息收集方法,损失数据收集“事件驱动”,业务与支持单元,总账,会计程序,损失数据库,在损失数据库输入,业务与支持单元,损失信息发送到本地的操作风险管理系统,25,操作风险管理部门,调节（reconciliation),风险代表,损失数据收集“会计驱动”,业务与支持单元,总账,损失信息发送到本地的操作风险管理系统,业务与支持单元,损失数据库,自动从总账录入到损失数据库,损失账户,手工填充,26,操作风险管理部门,风险代表,损失数据收集信息收集方法,在实际中考虑到下面的因素，使用多重方法是很正常的,目标,数量,完全性/损失次数,及时性,收集成本,信息收集的完整性,低,低,低,高,低,会计驱动,事件驱动,损失数据收集的流程应结合监管要求、银行自身实际情况和内部管理的需求,损失数据收集流程介绍,损失数据信息源的维护（信息源的审阅、回顾）,识别,录入,验证,管理,报告,损失数据收集方法框架的维护,损失数据收集的流程,数据分析和会计索引,集团层面数据验证,公司层面数据验证,内部报告,外部报告,分类和数据录入,信息收集,操作损失识别,新损失类型的交流,数据管理,社会关系管理,相关事件分析,KRI定义、对银行风险管理的意义及分类,关键风险指标（KRI）是指代表某一风险领域变化情况并可定期监控的统计指标。（引自商业银行操作风险管理指引，银监会）,KRI定义,早期预警，触发行动，预防损失长期追踪操作风险暴露状况早期预警信号(earlywarningsignals)为预警方案的启动设定定量的标准,KRI对银行风险管理的意义,根据银行业领先实践，KRI体系具有不同的层次，指标可依不同维度进行分类，例如：通用KRI:适用于全行不同业务部门的指标。如，百万元以上案件发生频率特殊KRI:适用于特定业务部门或业务流程的指标。如，异常信用卡审批人员中涉嫌欺诈的人数（适用于信用卡部）,KRI一般分类,KRI管理职责分工,董事会/高级管理层,总行风险管理委员会,总行风险管理部门,总行支持部门例如，内审、法律合规、人力资源和IT部门,分行风险管理部门,分行支持部门例如，内审、法律合规、人力资源和IT部门,最终审批KRI管理政策和修改方案,审批KRI管理政策和KRI修改方案,负责KRI管理政策的全面执行负责全行层面KRI的设计、使用、维护、监控和更新审批分行的KRI清单的修改,负责KRI管理政策在分行层面的执行负责设定分行层面的KRI清单对KRI进行监控，向总行提交KRI分析报告及更新申请,协助KRI清单的制定，就本部门所掌握的信息提供相关意见在KRI使用阶段，提出调整和修改意见,就本部门所掌握的信息，为分行风险管理部门制定KRI清单提出意见在KRI使用阶段，提出调整和修改意见,KRI管理重要环节,指标选取,阈值设定,录入、监测、报告,跟进、调整,KRI管理选取原则和选取流程,全面覆盖：指标应当全面地覆盖四大风险因素、七大类损失事件类型、八大业务条线数据可得：指标应当与潜在风险高度相关并可测，选取的指标应能持续地获得完整的数据支持指标可控：选取的指标应当可以通过可选的管控措施进行有效的控制,选取原则,选取流程,收集信息，分析并识别潜在风险,分析潜在风险，建立指标长名单,根据全面覆盖的原则，收集各业务部门内部信息，如历史损失数据和RCSA结果，进行汇总和整理全面分析业务流程和内部信息，识别潜在风险,分析识别得到的潜在风险，明确风险点，确定对应的风险指标，建立风险指标长名单,由长名单筛选出关键风险指标,根据数据可得的原则，剔除数据可得性较差的指标根据指标可控性选择，剔除难以被有效控制的指标整理具备良好数据可得性、可控性的指标，建立KRI清单,定义驱动、阈值和监测方式，进行初始验证,针对KRI清单中的每一个KRI，定义指标的驱动根据历史损失数据和RCSA结果，借鉴领先实践