《企业操作风险管理》模块考试大纲.ppt

企业操作风险管理 模块考试大纲 CERM注册企业风险管理师培训专用课件 一 考试目的 本模块测试考生对企业操作风险管理基本理论和专业知识的掌握情况 考核考生在操作风险管理方面的综合思维 考核考生运用操作风险管理基本理论和专业知识分析解决企业实际问题的能力 考核考生在综合分析诊断企业全面和系统性风险问题时运用操作风险管理基本思维和基本知识的能力 二 考试基本要求 2 1掌握以下内容2 1 1操作风险及其成因2 1 2操作风险的分类2 1 3操作风险管理的概念2 1 4操作风险管理在企业全面风险管理中的意义2 1 5操作风险管理的目标2 1 6操作风险管理原则2 1 7操作风险管理结构和过程框架2 1 8操作风险管理的实施思路 二 考试基本要求 2 1 9企业操作风险评估1 风险识别2 风险分析3 风险评价2 1 10操作风险应对策略和措施1 操作风险应对策略2 操作风险应对措施2 1 11操作风险监控和评价1 监控机制和监控活动2 操作风险报告3 操作风险管理评价2 1 12操作风险危机管理与商务可持续性计划 二 考试基本要求 2 2了解以下内容2 2 1操作风险管理发展的现状和趋势2 2 2重要商务领域的操作风险管理2 2 3制造业和服务业的操作风险管理2 2 4企业操作风险的计量 操作风险定价和经济资本配置 三 要点内容 3 1操作风险及其成因 3 1 1操作风险的概念 操作风险 OperationRisk 又称为运营风险 是一个古老的风险 人们对它既熟悉又陌生 自人类社会诞生伊始就伴随其左右 并时时刻刻存在于人们一切活动的过程中 企业对操作风险的管理可以分为传统的分离式操作风险管理和当代概念下的集成式操作风险管理 分离式的操作风险管理是以各自独立的治理操作层面的单一风险为特征 例如企业进行单一的质量风险管理 安全风险管理或员工行为风险管理等 而当今集成操作风险管理则是用系统性的 关联性的集成思维和方法生成操作风险管理的综合治理方案 以达到成本最小和操作风险治理效果最佳目标 人们对集成概念下的操作风险的普遍关注和强化管理是20世纪末开始的 也可以说企业对集成概念的操作风险的关注与企业对全面风险管理的关注是同步起始的 信息技术的发展支持了操作风险的综合评估技术 企业全面风险管理体系建设和风险文化建设为操作风险治理奠定了结构与环境基础 企业利益相关者 例如监管方或投资方 对操作风险治理水平的日益关注均成为当今世界操作风险管理新意迭出的基础 3 1 1操作风险的概念 1 组织的运营及其风险操作风险随着组织的产生而产生 也随着组织的发展而发展 并时时刻刻存在于组织的运营过程中 影响着组织目标的实现 在经济全球化和市场一体化的新时代 随着IT 特别是计算机技术的普遍应用 组织的分工协作 相互依存 相互影响的程度也越来越高 组织的运营系统对组织目标的实现程度 对组织内外部价值链上的主体都会产生影响 一个组织的运营系统发生危害事件 不仅会威胁到该组织的发展和生存 也会危害到更多组织和公众的利益 当今世界 人们一方面在享受全球化运营带来的好处 另一方面也生活在更大的危险当中 由于各种重大危害事件的不断发生 几乎使所有的组织对全面风险管理越来越重视 随着对操作风险认识的不断加深 必须对其进行有效的管理已经成为普遍的共识 因此 自20世纪90年代以来 有关于操作风险管理的理论和实践也开始迅速地发展起来 3 1 1操作风险的概念 2 操作风险的定义 本大纲中的定义 不确定性对运营目标的影响 巴塞尔 Basel 银行监管委员会的定义 由于不完善或有问题的内部操作流程 人员 系统或外部事件而导致的直接或间接损失的风险 本大纲认为 上述巴塞尔条约给出的有关操作风险定义不仅适合于银行界 也适合于其它所有行业 本大纲推介的定义应包含以下特征 它是根据国际标准化组织 ISO 对风险所作的定义而延伸出来的 具有ISO定义的高度概括性 简练性 全面性和通用性 操作风险可以用由组织的过程 流程 人员 系统或外部事件影响实现运营目标的事件和环境变化 或二者的组合 所造成的结果及其可能性来表达 3 1 1操作风险的概念 3 操作风险的性质 异质性操作风险由于覆盖范围广泛 诱发因素多种多样 不同操作风险之间表现出明显的性质差异 外部欺诈 计算机病毒引发的系统崩溃 质量缺陷 地震以及恐怖袭击等尽管都同属于操作风险 但显然其诱发因素和性质的差异是很大的 这种性质差异导致了操作风险的管理从量化到管理控制 监测等各个方面都具有很大的挑战性 普遍性操作风险不仅存在于业务流程之中 也存在于风险管理本身的实施过程之中 一个大型制造业企业的操作风险可达上千种之多 操作风险遍及企业运营过程中 不对称性操作风险从发生频率和损失严重程度上看可以分为两类 一是发生频率高 造成损失相对较小的日常业务流程处理上的小错误 二是发生频率低但造成的损失相对大的自然灾害 大规模舞弊等 这使得操作风险在分布上呈现出肥尾的非对称特征 因此 试图用一种方法来覆盖操作风险的所有领域几乎是不可能的 3 1 1操作风险的概念 非盈利性绝大多数情况下 操作风险不是投机性风险 而是纯风险 只会产生损失而不会带来收益 因此不具有盈利性 这时 应对操作风险的基本策略就是尽可能降低 然而却必须受到成本支出的约束 因而需要追求的是降低操作风险和增加管理成本之间的平衡 可转化性例如在商业银行 操作风险通常可以转化为市场风险和信用风险 可控性操作风险多数与人的行为相关联 可以说操作风险的产生是直接或间接人为的作用结果 因此多数情况下操作风险是可控制的风险 外部突发事件除外 行业差异性操作风险具有鲜明的行业特点 不同行业所呈现的操作风险特征差异巨大 因而相应的具体管理方法也因行业不同而不同 随机性操作风险与人的行为紧密相连 由于人的行为具有随机性的特点 注定了操作风险的随机性 3 1 1操作风险的概念 4 操作风险的分类操作风险的分类多数围绕着上文所谈到的操作风险的成因而分为几个组别 组织 政策 过程 技术 人员和外部事件等 本大纲分类 控制风险 过程风险 人员风险 合规风险 营销风险 操作性技术风险 营运能力风险 质量风险 安全风险 环境风险 供应商风险 项目运行风险 效率风险 成本风险 人员行为风险 信息系统风险 财务管理风险 报告风险 突发事件令业务中断风险 例如自然灾害风险 等 巴塞尔委员会的分类 例如针对银行业 内部欺诈 外部欺诈 就业政策和工作场所安全性 客户 产品及业务操作 实体资产损坏 业务中断和系统失败 执行 交割及流程管理 3 1 2操作风险的成因 操作风险的成因可归纳为组织 政策 过程 技术 人员和外部事件等五个方面 1 组织 组织的含义组织是指职责 权限和相互关系得到安排的一组人员及设施 例如 公司 集团 商行 企事业单位 研究机构 慈善机构 代理商 社团或上述组织的部分或组合 组织结构是指人员的职责 权限和相互关系的安排 组织的功能主要是通过组织结构来推动和实现的 组织因素风险优秀的组织 其上下级之间 部门之间 各岗位之间均配合默契 所有成员的能力都能互补 使整个组织决策和解决问题的能力与系统运营达到最佳水平 组织 组织结构因素风险主要是由于部门和岗位设置的缺陷 部门和岗位职责及其权限规定的不够合理 部门和岗位之间相互关系界定得不清晰或接口不严密等原因造成的 例如 组织结构不能充分反映组织活动的目标和规划 组织结构不能很好地反映出组织各层次可使用的职权范围 组织结构不能适应环境的变化 业务活动的划分和权限的设置与人员的数量 技能和习惯不够匹配 等等COSO的研究报告将组织层级的风险成因分为外来因素和内在因素两大类 3 1 2操作风险的成因 2 政策 过程 政策因素风险风险管理政策 方针 是经组织的最高管理层正式批准的管理风险的全部意图 方向和原则 操作风险政策就是组织对操作风险管理中各相关部门所负有的职责 所采用的技术和方法等问题的具体规定 因此 政策因素导致操作风险的原因主要有 操作风险管理的目标有偏差 操作风险定义及其管理的基本理论不完善 对操作风险管理架构及其相应的作用 责任规定得不够明确 风险政策未能描绘或规范出操作风险管理工具和报告运用的预期效果 未能完善地制定并严格地执行一套与风险政策相配套的制度 为确保风险政策得到有效执行 这一套制度至少应涵盖以下四方面内容 高层管理者对操作风险管理目标执行情况的定期审查制度 风险管理部门对操作风险管理控制措施遵守情况的检查制度 审查 处理和解决违规问题的相关政策 程序和步骤 确保有一套各操作风险管理层责任明确的成文的审批和授权制度 3 1 2操作风险的成因 过程 流程 因素风险任何使用资源将输入转化为输出的活动或一组活动都可视为一个过程 通常 一个过程的输出将直接成为下一个过程的输入 组织的运营便是由许许多多相互关联和相互作用的过程组成的 系统地识别和管理运营所履行的过程 特别是这些过程之间的相互关联和相互作用是有效地实施操作风险管理的关键所在 过程因素风险主要是由于过程缺失 过程设计不合理 过程执行不严格 管理信息不准确或不及时等等方面的原因造成的 典型事例主要有 作业层级作业层级风险是组织内各部门在其日常例行的运营活动过程中 所遭受不利事件或行动影响的可能性 一般均依企业管理职能 识别其可能的风险 例如 生产因素合格的供应商数量不足 产品品质未能符合市场需求 产能调整需时太长 设备损坏后 维修成本很高 人工短缺的风险 等等 营销因素客户取消订单 应收帐款呆帐 销售目标未能实现 销售策略失败 价格高度竞争 引发价格战 等等 3 1 2操作风险的成因 财务 会计错误财务管理和会计账务处理方面存在错误造成的风险 主要体现在财会制度不完善 管理流程不清晰 财会系统建设存在缺陷等 任何风险对企业财务损失的影响 最后都会反映在财务及会计资讯上 但是并不是所有风险的不利影响都能够予以量化 而且有些影响也非短期内就会浮现 而且 每一种风险对企业的财务影响 包括收入 成本 盈余 的敏感性及程度 很难一概而论 例如 丧失商机 成本提高 产品售价下滑 意外灾害损失 及营业中断 文件 合同缺陷文件 合同缺陷也称文件 合同瑕疵 是指各类文件档案的制定 管理不善 包括不合适的或者不健全的文档结构 以及协议中出现错误或者缺乏协议等 例如表现为 抵押权证 房产证丢失等 产品服务缺陷为客户提供的产品在业务管理框架 权力义务机构 风险管理要求等方面存在不完善 不健全等问题而造成的风险 错误监控 报告因监控 报告流程不明确 混乱 监控 报告部门的职责不清晰 有关数据不全面 不及时 不准确 未严格履行报告职责或报告内容不准确等等都将造成重大损失 3 1 2操作风险的成因 3 技术技术因素风险系支持组织运营的技术系统 设施 设备 机器 仪表等及其软件 的故障 差错或其他原因所产生的风险 主要是由于技术系统的设计 使用和维护不完善造成的 包括数据 信息质量风险 未严格执行系统程序或操作规程 系统设计 开发中的风险 以及系统的稳定性 兼容性 适宜性方面存在的风险 数据 信息质量风险主要是指组织对各类文件档案的制定 管理不善 业务操作中的数据出现差错 或者缺乏数据 信息 以及数据 信息的质量不符合要求 可操作性设计不完善技术系统的可操作性设计不完善 例如 缺乏周密的防误操作措施 或应有的安全性措施 人员在执行系统程序或操作规程时 就容易出现差错或造成故障 甚至发生安全事故 最终导致系统无法正常运行 将会产生难以预料的各种损失 3 1 2操作风险的成因 系统安全防护不充分系统安全包括外部系统安全 内部系统安全 对计算机病毒的防护 对第三方程序欺诈的防护等 系统安全风险主要表现在 突破系统存储限制 系统信息传递 系统修改信息传送失败 第三方界面失败 系统无法完成任务 数据崩溃 系统崩溃重新存储 请求批处理失败 对账错误等 系统开发中的风险技术系统项目在立项 开发 验收 运行和维护等各环节中都存在着形形色色的风险 美国国防部采办风险管理 NASA风险管理和中国航天项目风险管理的经验均给出了技术系统开发中的主要风险及其成因 系统的稳定性兼容性适宜性IT技术部门应当与业务部门进行协调 确保IT系统的整体稳定运行 确保核心系统与相关系统的有效兼容 确保业务需求和管理需求相适宜 3 1 2操作风险的成因 4 人员人员因素风险主要是由员工内部欺诈等违法行为 失职 越权等违规行为 因知识 技能匮乏而操作失误 违反用工法等人事管理问题 核心员工流失或其他劳动力中断等所造成的损失或者不良影响而引发的风险 例如 内部欺诈 失职违规 未严格执行系统程序或操作规程 知识 技能匮乏 核心员工流失 违反用工法 3 1 2操作风险的成因 5 外部事件外部事件包括外部 人祸 事件和外部环境变化产生的事件等 由于外界人士故意欺诈 骗取或盗用本组织资产或违反法律而对客户 员工 财务资源或声誉已经或可能造成负面影响的事件 这些事件可能使内部控制失败或失灵 另外 外部事件也包括多种企业不可控制的并对企业运营或声誉造成 威胁 的意外事件 例如 外部欺诈 盗窃 政治风险 监管规定 业务外包 自然灾害 恐怖威胁 3 2操作风险管理的概念 3 2 1操作风险管理的定义 操作风险管理是指在实现组织经营目标过程中 相关人员将组织的操作风险控制在组织可接受范围之内的方法和过程 以保障组织经营目标的实现 3 2 2操作风险管理特点 1 对组织的所有过程起到集成的作用 操作风险管理是管理职责的一部分 它的根本作用是把正常的各类的组织过程集成起来 同时也把所有的业务 项目和变革管理的过程集成起来 操作风险管理绝不能变成游离于组织主要活动和过程的单独行动 2 操作风险管理应能明确地找到不确定之处 哪些是不确定的 不确定的性质和水平 以及可能在什么地方发生 3 操作风险管理应该是系统化 结构化和及时化的 系统化 及时化和结构化方法能为风险管理贡献有效 协调 可比 可靠的结果 4 操作风险管理必须以最好的可用信息为基础 管理操作风险过程的输入只能建立在诸如经验 反馈 观察 预测和专家判断之类的信息资源的基础上 不管用何种方法 决策者都应当获得并考虑所使用数据或模型的限制 考虑专家之间分歧的可能性 3 2 2操作风险管理特点 5 操作风险管理应该是可以剪裁的 操作风险管理是由组织的外部链接关系 内部管理脉络 业务性质及范围 以及其操作风险剖面等个性化因素决定的 因此 每个组织的操作风险管理体系都必须量身定做 6 操作风险管理必须纳入人文因素 组织的操作风险管理应当重视内外部人员的能力 感觉和意图对达到组织目标的促进或干扰 人在操作风险管理中发挥着关键的作用 虽说操作风险被定义为来自于人员 系统流程和外部事件等多方面因素 但在操作风险管理中 人的因素始终是决定性的因素 7 操作风险管理必须是动态的 迭代 反复 的和响应变化的 当诸如内外部事件发生 关系脉络和知识变化 监控和评审进行 新风险暴露 某些变化和其他状况消失时 组织应当确保操作风险管理能持续地感识和响应这些变化 8 操作风险管理应能推动组织的持续改进和增强 3 2 3操作风险管理的任务及其基础建设 1 操作风险管理的主要任务 活动 建立操作风险管理的总体框架 制定清晰的操作风险管理政策以及制定相应的管理制度和流程 制定操作风险管理计划 分析一切影响操作风险管理的内外部链接关系 并确立操作风险基准与准则 识别 分析 评价 治理 监控和审核操作风险 贯穿一切管理过程的 与所有的利益相关者进行适当而及时的沟通与磋商 建立组织的内外部关系脉络 记录和报告结果 3 2 3操作风险管理的任务及其基础建设 2 操作风险管理主要基础工作 确立操作风险准则操作风险准则是根据相关标准 法律 组织风险偏好和风险管理方针等导出的赖以识别和分析操作风险 以及评价操作风险重要性的条件 因而 它是实施操作风险管理的基础和基本条件 它的确立应该建立在组织内外部关系脉络 即弄清一切影响操作风险管理的内外部链接关系的基础上 并定期进行评审 以确保其持续适当 建立操作风险指标操作风险指标是指用来考察组织的操作风险状况的统计数据和指标 包括财务和非财务的 科学而恰当地建立操作风险指标 并对这些指标定期进行评审 是保证操作风险管理有效性的关键环节 这些指标通常包括员工流动比率 操作失败的次数 质量达标指标 错误和遗漏的频率和严重程度等 3 2 3操作风险管理的任务及其基础建设 建立和完善操作风险信息库可利用的 高质量的信息是实施操作风险管理的基础 因此 必须通过收集诸如经验 反馈 观察 预测和专家判断之类的信息资源 来建立和不断完善操作风险信息库 为此 必须持续 系统和全面地收集相关信息 其中包括企业的历史数据和对未来的预测数据 操作风险的数据一般散落在各业务单位和部门中 收集难度较大 且数据普遍偏少 特别是信息系统发展落后的企业或操作风险管理基础差的企业 所以 尤其要用心地去收集 才能满足要求 内部损失数据 外部损失数据 情景分析数据 自我评估数据 关键风险指标数据以及风险缓释数据等用于操作风险计量的数据是收集的重点 一般可按照内部要素和外部环境两大范畴收集信息 还可按照企业发展和经营的基本职能及其行为重点收集可能诱发操作风险因素之信息 应用逻辑方法和系统方法注重运用系统化 及时化和结构化的方法 并把操作风险的管理活动充分地集成 整合 到组织正常运营管理的一切过程中去 也是操作风险管理成功的关键环节之一 3 3操作风险管理的目标 1 保障企业战略和经营目标实现 2 确保操作过程的合规合法 3 确保操作风险管理的有效性 4 确保业务记录和其他管理信息的及时 真实和完整 5 确保可靠 正确的操作风险报告被及时传递给正确的人 6 实施损失最小化管理 7 平衡风险与成本 实现成本最小化和收益最大化 8 实现业绩稳定性和可预见性目标 9 实现商务可持续目标 10 实现效率和绩效最优化 3 4操作风险管理原则 1 以整合性 关联性和系统性观念实施操作风险管理 2 在企业全面风险管理的框架下 为操作风险管理制定清晰的目标 清晰的政策 清晰的过程和明确的合规标准 3 理顺操作风险管理的结构保障 分清操作风险管理的权限和责任 4 实施对操作风险的过程管理 并对实施效果进行监控和评审 5 将操作风险管理与业务过程管理相结合 6 将操作风险管理与绩效评价相结合 7 计提操作风险所需要的资本 3 5企业操作风险管理框架 企业中任何一个管理层面或任何单一风险的管理过程均遵从ISO 31000所给出的风险管理框架 操作风险管理也不例外 操作风险是一类汇聚了企业经营层面多种风险的集成风险 在企业全面风险管理的基本框架和环境下 在操作风险管理的总体政策与原则基础上 实施企业的操作风险管理 操作风险管理的基本过程包括 定义操作风险的内容 沟通与协商 操作风险评估 其中包括风险识别 风险分析和风险评价 操作风险应对 监督与审核 持续改进 根据ISO 31000 风险管理原则和实施指引 绘制出操作风险管理框架 如下图所示 3 5企业操作风险管理框架 3 6操作风险管理在企业全面风险管理中的意义 操作风险管理是企业实施全面风险管理的核心板块之一 落实企业全面风险管理使命时 通常会把损失最小化管理 业绩稳定可预见 持续运营和保障组织经营目标的实现等主要目标分解给操作风险管理 在考虑到风险的关联性 资源分配的有效性 操作风险的系统性 和操作风险可能的量化发展趋势等情况之下 在信息技术的发展令操作风险的管理水平跃进到一个崭新的整合性台阶的情况下 在20世纪90年代初操作风险管理思维 方法和实践首先在金融界浮出水面之时 企业对操作层面各类风险的治理 就从过去的条块或局部治理 开始走向实施综合关联策略的整体性操作风险管理的时代 由于操作风险对企业的运营系统目标实现有重要的影响 可能使企业的利益相关方的利益产生重大的波动 所以 这些利益相关方越来越关注企业操作风险的管理和控制 事实上 建立和健全一种高水平的操作风险管理体系 是提高客户满意度 提高利益相关方满意度和提升企业的持续稳健运营的基础 优秀的操作风险管理已成为卓越管理或优秀企业的象征 3 7操作风险管理的实施思路 操作风险管理从分立式 例如质量 安全 环境 信息系统审核及内控等 走向集成管理的概念 首先是源自于金融界的实践 以系统性的视角 最小成本 综合性的方法试图对操作风险实施管理 来减小损失的不确定性和增加业绩的可预见性与稳定性是操作风险管理的主要目标 因此 国际上第一个给出操作风险定义的行业是出台巴塞尔条约的银行业 操作风险是指由于不完善或有问题的内部操作流程 人员 系统或外部事件而导致的直接或间接损失的风险 由于考虑到目前银行业对操作风险的定义也对其他行业具有较好的适用性 由于迄今从跨行业的角度对操作风险的定义还有待于进一步研究发展 因此本大纲也积极推荐巴塞尔 Basel 银行监管委员会对操作风险的定义 另外 本大纲还推荐 设计操作风险管理的整体思路时 也可一定程度地参照银行业的实践经验 3 7操作风险管理的实施思路 1 基于巴塞尔协议条约的实施思路就不同行业来讲 操作风险的管理过程设计应是大体一致的 但实施操作风险管理所运用的具体方法和对策则会呈现较大差异 另外 就风险管理过程而言 不同行业的重点关注环节也会呈现各自的特点 例如对于商业银行而言 其操作风险管理主要关注的几个环节包括 操作风险的识别与评估 监测与报告 信息披露和资本计量等几个过程 操作风险的识别与评估 建立全行统一的操作风险识别与自我评估的流程 标准和工具模板 让业务部门成为风险与内控自评主体 将自评作为识别和管理操作风险的有效工具 建立统一的操作风险管理信息系统 规范地收集风险识别和评估数据 操作风险的监测与报告 建立多维度 多层次 覆盖不同风险类别的操作风险关键指标体系 建立多层面和多维度的操作风险报告体系 针对董事会 高级管理层 分行 业务单元等不同层面定期生成操作风险管理报告 从风险成因 损失事件和业务线等不同维度定期报告操作风险的状况和可能导致重大损失的风险暴露 3 7操作风险管理的实施思路 操作风险信息披露 按照新资本协议第三支柱的要求 建立操作风险信息披露的制度 管理流程 内容 披露方式 数据来源和模板 按照监管要求 定期生成信息披露报告 并对外披露 操作风险的资本计量 建立产品和服务的统一定义 将产品和服务分别与巴塞尔新资本协议所规定的8个业务线相对应 对8个业务线的收入进行测算 进而完成对操作风险资本的标准法计量 建立操作风险高级法计量方法体系 在不断积累足够数据的基础上 逐步实现高级法计量 将操作风险与资本相联系 试图从资本的角度保障对操作风险的抵御或应对能力 操作风险缓释以风险评估结果为依据 以风险管理策略为指导 企业选用具体的风险管理措施 手段或工具 例如采用内部控制 保险转移或合同外包等措施 实施对操作风险的系统化和规范化治理 以缓释或改善操作风险 这事实上就是将操作风险解决方案付诸于实施 3 7操作风险管理的实施思路 2 基于内部控制的管理框架设计COSO认为企业整体内部控制具有四个目标 战略目标 操作目标 报告目标与合规目标 显然 以支持企业操作风险管理为目的的操作风险内控目标为上述后三个目标 这三个目标可实施进一步细化与分解 COSO认为内部控制框架有下述五个要素组成部分 内部环境 控制环境是提供控制人员进行各项活动及进行监控活动的基础 既包括企业的诚信度和道德观 也包括员工的道德标准和能力 风险评估 风险评估就是识别和分析实现目标的过程中存在的重要风险 它是决定管理何种风险和如何管理风险的基础 控制活动 控制活动就是帮助 确保管理层指示得到实施的政策和程序 COSO认为 控制活动分为三种类型 经营控制活动 财务控制活动和遵守法律控制活动 信息与沟通 信息与沟通是将上述三项活动联系在一起的桥梁和纽带 也是人们获得和交流业务经营 管理与控制信息的保障 监督 企业或银行业务运营的全过程必须置于监控之下 并能在必要时进行调整 这样 控制系统就可以动态反馈 并在授权范围内及时做出调整 企业的操作风险多数源自于有相当可控性的人的因素 因此采用COSO的内控框架实施对操作风险的识别 分析 评价和应对是一种较好的实践 3 8操作风险评估 3 8 1操作风险管理的过程与评估的实施步骤 1 操作风险管理过程 操作风险管理策划 操作风险管理的负责人及其团队应充分了解相关的信息 理清思路 建立必要的风险管理工作基础 例如明确责任分工 调研和收集信息 制定和系统化风险评价指标等 操作风险评估 通过对操作风险的识别 分析和评价过程实施操作风险评估 对操作风险的严重性进行排序 识别和评价对操作风险治理的策略 选择和执行治理操作风险的策略 评价实施操作风险治理策略后的剩余风险状况是否在可接受的范围之内 持续的协商和沟通 以及持续的监控和改进贯穿于上述5个过程的始终 描述操作风险 并记录过程 3 8 1操作风险管理的过程与评估的实施步骤 2 操作风险评估的实施步骤操作风险评估是操作风险管理过程中的核心部分 它包括操作风险识别 操作风险分析和操作风险评价的全部过程 如操作风险管理过程所示 确定操作风险评估的任务和目标 与相关方充分沟通与磋商 建立操作风险评估的程序和工作流程 定义评估操作风险的基本参数和设定其他评估过程相关的范围及准则 确定操作风险评估的负责和参与人员 确定分工和责任 实施风险评估 得出风险评估结论 3 8 2操作风险评估的前期准备 了解和掌握被管理对象的宽泛而充分的信息是进行操作风险评估的基础 因此 必须持续 系统和全面地收集相关信息 其中包括组织的历史数据和对未来的预测数据 可按照内外部关系两大脉络来收集信息 也可按照组织发展和经营的基本职能及其行为重点收集可能诱发操作风险因素之信息 例如至少重点收集本企业 本行业相关的以下信息 1 企业发展战略与目标 组织现有的风险管理状况和风险管理能力 包括公司治理 内部控制 危机管理和审计等状况 以及风险管理人员 策划和报告等能力 2 决策者的风险价值观和风险偏好 组织提高决策质量的空间大小 管理不确定性的能力与规划 3 现有业务流程和信息系统操作运行情况 以及相应的监管 运行评价及持续改进能力 4 营销 供应 生产 人力资源 财务等管理状况及其存在的问题 5 组织成本管理 资金结算和现金管理中的常见问题与突出问题 3 8 2操作风险评估的前期准备 6 组织的盈利能力 影响企业盈利能力的因素和风险事件等 7 新市场开发 市场营销策略 包括产品或服务定价与销售渠道 市场营销环境状况等 8 企业组织效能 管理现状 企业文化 高 中层管理人员和重要业务流程中专业人员的知识结构 专业经验 9 组织的人员素质和结构 领导的风格 道德观和风险偏好 员工的道德操守和遵纪守法状况 10 产品结构 新产品研发 11 质量 安全 环保 信息安全等管理中曾发生或易发生失误的业务流程或环节 12 因企业内 外部人员的道德风险致使企业遭受损失或业务控制系统失灵 13 操作风险历史发生事件及其原因教训 组织以往的损失信息和数据 14 环境信息与评价 评估可能发生的外部突发事件 15 与操作风险管理相关的行业信息 16 企业利益相关方对操作风险管理状况的关注 3 8 3风险评估方法论概述 ISO IEC31010在附件中介绍了风险识别 风险分析和风险评价的31种常见方法 其中包括 头脑风暴法 结构化或半结构化会谈 德尔菲法 检查表 预先危险分析 PHA PreliminaryHazardAnalysis 危险与可操作性研究 HAZOP HazardandOperability 危险分析与关键控制点 HACCP HazardAnalysisandCriticalControlPoints 环境风险评估 假设推断 SWIFT StructuredWhat if 情景 局面 分析 ScenarioAnalysis 业务影响分析 BIA BusinessImpactAnalysis 根原分析 Rootcauseanalysis 故障模式与影响分析 FMEA或FMECA 故障模式影响及危害度分析 故障树分析 FTA FaultTreeAnalysis 事件树分析法 ETA eventTreeAnalysis 因果分析 causeconsequenceAnalysis 原因及其影响分析 Cause and effectanalysis 保护层分析 LOPA LayerofProtectionAnalysis 决策树分析 人的可靠性评估 蝴蝶结分析 以可靠性为中心的设备保养 潜通路分析 马尔可夫分析 蒙特卡洛仿真 贝叶斯统计和贝叶斯网络 风险控制的有效性 FN曲线 风险指数 结果可能性矩阵 成本受益分析 等方法 3 8 4风险识别 操作风险识别是发现 认可和记录操作风险的过程 其主要任务有 识别内外部影响组织实现目标的事项 由于操作风险的纯风险特性 因此识别出的操作风险基本上是负面风险 识别事项的驱动因素 一般从经济 自然环境 政治 社会与技术五个外部因素和从基础机构 人员 流程与技术四个内部因素来识别操作风险的驱动因素 显然 从操作风险的发生频度而言 内部因素是招致操作风险的主要诱因 建立一个设计合理 系统和完整的风险识别方法框架是有效进行操作风险识别的前提 该框架主要包括 操作风险识别类别框架 有效发挥功能的技术和工具框架以及包括情境假设的问题框架等 有效的发挥这套框架功能还需要充足的并具有现实时效的信息支持和训练有素的掌握这种方法学技术的人 3 8 4风险识别 1 操作风险识别导向框架企业全面风险管理框架下的风险识别 需要的是能够识别出企业所有风险的框架 在当代实践中 企业往往是采用多个框架来识别企业的风险 AARCM将目前通用的各类风险识别导向框架归类为如下四大类 目标导向风险识别 情景导向风险识别 分类导向风险识别 经验导向风险识别 3 8 4风险识别 除了考虑采用以上列出的操作风险识别框架之外 企业还可以根据自身的特点发展具有另类思维的操作风险识别框架来 总之其目的则是 令客观存在的主要操作风险能得到充分和全面的识别 令相关的诱因能够得到充分的了解 显然 操作风险识别的框架应建立在操作层面 与企业整体风险识别框架相比较 操作风险识别框架还往往包括以下特定识别思路和方法 例如 目标风险识别 自我评估控制 流程分析 损失归类和绩效分析等方法定性或半定量分析风险 3 8 4风险识别 2 识别操作风险必须考虑的问题识别操作风险就是要回答以下问题 在业务运行过程中 本组织面临哪些操作风险 操作风险的驱动因素有哪些 什么是潜在事项 哪些潜在事项可能引发操作风险 操作风险的损失和收益结果是什么 什么是关联风险 关联风险因素 关联事件和关联事件可能产生的后果 操作风险的诱发原因是什么 操作风险可能发生的地点 操作风险可能发生的时间 3 8 4风险识别 例如 对 操作风险的诱发原因是什么 的问题 可以从下列方面去分析 外部环境的变化 人的行为失误 商务操作过程不规范或有缺陷 延误 商务活动管理不善 如资产保管防护不力 人的技能局限 沟通不畅 企业内部控制实施不力 信息来源不可靠 企业决策失误 机会成本 人力与财力资源配置不佳 决策失误造成的潜在损失 商务欺诈 舞弊 造假 操作意外事件 设备不正常 灾害等 组织结构 体系 流程 系统或技术缺陷或选择不当 3 8 4风险识别 3 识别操作风险的方法概括地说 识别风险的方法主要有迹象法 例如 检查表和历史数据回顾等方法 系统团队法 专家组遵循一个系统性的程序依靠一套结构化的提示或问题来识别风险 和归纳推论法 诸如事件树之类的逻辑图 综合运用各种不同的方法 包括头脑风暴法和德尔菲法 可以改良风险识别的准确性和完全性 在ISO IEC 31010 风险管理 风险评估技术 中列出了多种有关风险识别的方法 其中很多适合于操作风险识别的应用 具体请参阅本考试大纲相关部分所陈述的内容 3 8 5风险分析 1 分析的内容风险分析的目的是了解风险 了解风险的影响和了解风险发生的频度 了解风险严重性的级别 以便决定它的可容忍性或可接受性 从而研究和选择治理风险的最好策略和途径 风险分析主要由下列三部分内容组成 确定已识别出风险事件的影响结果及其发生的可能性 考虑现在有无任何控制措施和现有控制措施的效果 根据可能性和影响结果确定风险水平 在分析操作风险时 获取尽可能充分的信息是关键 例如 可以从澳大利亚 新西兰AS NZE4360标准所推荐的风险管理信息框架的中下列方面寻找参考信息 过去的纪录 相关的实践经历 相关的文章和资料 市场测试和研究 公共咨询或调查结果 试验和样板典型 社会经济模型 工程技术模型或其他模型 特种专才或专家评判 3 8 5风险分析 2 分析的方法 概述依照ISO IEC31010的指引 常用的风险分析方法可按定性 半定量和定量方法分类 风险分析人员究竟使用何种分析方法则取决于风险分析的目的 被分析风险的特性 信息和可得的资源 就复杂程度和成本而言 定性风险分析为最低 定性分析操作相对简单快捷和视野覆盖面较宽 因此 定性分析基本上是必用的风险分析方法 一般用定性方法进行风险的大体分类 从而揭示主要的风险问题 对某些已识别出的特定风险 在认为必要和有条件的情况下 通常实施定量分析 因为 定量分析的成本在各类风险分析法中是最高的 一般情况下 在实际操作风险管理中 只有少数风险才实施进一步的量化分析 甚至建立量化模型分析 另外 也可以按概率方法和非概率方法分类 或者按统计和非统计方法分类 3 8 5风险分析 定性分析法定性分析常用语言的方式描述潜在结果的严重性和这些结果产生的可能性 定性往往产生描述性的估测的风险等级结果 例如 通过定性分析可实施对某些风险可控制与不可控制的分类 以下列出了一些常用的操作风险定性分析方法 问卷调查法问卷调查是识别和分析风险最常用的简易方法 进行问卷调查 首先要根据调查目的设计出问卷 然后向符合统计要求的对象发放问卷并指导他们正确填写问卷 最后 对回收的问卷进行统计分析 从而得出调查结果 一般的问卷都分为前言 主体和结语三个部分 设计问卷一般应该遵循下列原则 调查的目的和主题明确 调查的对象明确 具有逻辑性和规范性 客观 无暗示诱导 不提敏感问题 具有统计意义 3 8 5风险分析 检查表法检查表又称调查表 统计分析表等 它以简单的数据 用较容易理解的方式 制成图形或表格 必要时记上检查记号 并加以统计整理 作为进一步分析或核对检查之用 操作风险检查表法是将一系列的操作风险因素列出检查表进行分析 以识别组织的操作风险状态 自我评价法通过问卷调查或系列讨论会等方式得到需要的操作风险分析资料后 对经营和业务活动中可能发生的潜在操作风险进行评估 并且经常通过列出清单 使用工作组的形式来评估组织中各部门的特征及其风险状况 从而识别出组织中的重要风险 例如 根据组织的业务特点和现有的风险管理措施 并结合有关操作风险的界定 将每一种业务中的潜在操作风险分离出来 并进行分类 然后 设计相应的检查表 评估风险状况及其控制措施的效用 尤其是评估风险频率 影响 严重级次以及相应控制措施的水平 此方法对识别重要风险很有效 但主观色彩浓 因此 需要注意下列问题 确保评估公平 有效 要考虑节约成本 在自我评估的基础上制定风险审计计划 3 8 5风险分析 目标风险识别法目标风险识别法是COSO ERM 2004框架中所大力倡导的一种识别风险的方法 该方法围绕着企业的某一特定目标寻找影响这一目标实现的潜在风险 同时 也识别围绕着目标的相关机会 进而 将识别出的不利风险与企业预先设定的风险忍受度相比较 并决定识别出来的这些风险是否可以接受 或者识别出来的风险是不是需要进一步治理 目标风险识别法的特点是 在识别出关键负面风险后 还要制定相应的治理措施和紧急应对措施 此外 在众多识别风险的方法中 这种识别风险的方法局限性较小 关键业绩指标识别法这是一种识别关键性风险的方法 它围绕着企业的关键业绩识别相关风险 在平衡记分卡上为每一个关键业绩绘制风险图 这种方法的局限性在于 与业绩不具有直接关联的 但对企业的生存有重大影响的关键性风险不易识别出来 3 8 5风险分析 流程分析法从任务层面上对公司的运作流程进行分析 以明确在流程 执行 和相关过程方面的误差可能导致的风险 用详细的工作流程及控制图来编制出一份清单 列出关键的控制点和流程中相关的风险 作为流程中任务和控制绩效指南 这种方法的局限性是文件复杂 主观性较强 局限在流程内 诸如外部事件影响等因素容易疏漏 损失归类法操作风险一般的损失分类为 人 物理因素 技术 流程 外部因素 一般根据这几种分类建立损失数据库 包括损失的属性描述及损失的解释 因此这种方法的客观性较强 这种方法的局限性表现在 易产生损失重叠计算而不能根据给出的条件找出损失的原因 绩效分析绩效度量反映了业务活动和公司收益之间的因果关系 绩效波动性度量则反映出业务活动和收益风险之间的因果关系 这种方法的局限性在于 关注的是绩效而非绩效波动因素 且会造成风险分类的重叠 3 8 5风险分析 情景分析法情景分析法系指专家根据自身的专业知识和丰富的经验 对未来可能出现的情景做出假设 并判断该情景出现的可能性和可能的损失 这种方法主要解决数据收集困难或者数据不充分 不能使用量化方法 问题 事件树分析事件树分析 EventTreeAnalysis 简称ETA 是一种按风险发展的时间顺序由初始事件开始推论各种可能的后果 从而辨识出所有风险源的方法 它用图说明某些事件向风险和危机发展时在系统内传播的路径 从每个初始事件开始进行 前向思考 辩识潜在的风险事件 并设计成一棵判定风险事件顺序及确定初始事件与后续事件时序关系的事件树 对风险进行排序 以确定最重大的风险 3 8 5风险分析 预先危险分析 PHA PreliminaryHazardAnalysis 预先危险性分析主要被用于辨识系统中潜在的危险 有害因素 确定其危险等级 并制定相应的安全对策措施 防止事故发生 它是进一步进行危险分析的先导 属于定性的早期辨识危险的方法 其方法简单易行 经济 有效 能为产品的最初设计或系统开发分析提供指南 能识别出与原材料 部件 设备 系统 接口 工作环境 运行和维护过程 以及安全设备有关的可能之危险 并且用很少的费用 时间就可以实现改进 可用来制定设计管理方法和制定技术责任 并可编制成安全检查表以保证实施 定性分析法的缺陷定性法的主要缺陷是 受制于专家的主观判断 和 缺乏统一标准 而导致结果变化莫测 但由于客观上缺乏操作风险的损失数据和无法找到某些操作风险的风险因素与其发生概率和损失大小之间的清晰关系 定性分析方法虽然有难以克服的缺点 仍然是一种常用的风险分析工具 特别是 当风险分析的客观信息不充实时 当仅仅定性分析就足够支持决策时 当仅仅需粗略了解分析时 或者当某种情景仅需要定性分析时 则考虑使用定性风险分析方法 3 8 5风险分析 半定量分析法 概述半定量分析则是在定性分析产生出风险等级的基础上 扩充至一定程度的定量内容 这种程度的定量为实施风险排序提供了方便 半定性方法中的数据往往是人们依据某种推断而分配的 给出的风险程度和发生频率常常推算的数据 显然 基于这种推算的排序的准确性会受到相当的限制 因此 这种方法反映的风险程度与发生频率的可信度也不高 并且 这种方法可能导致不适宜的 反常的和不一致的分析结果的产生 3 8 5风险分析 管理疏忽与风险树分析管理疏忽与风险树 MORT ManagementOversightRiskTree 分析诞生于美国事故居高不下的70年代 由美国能源开发总署提供资金 美国全国安全协会开发 经美国系统安全开发中心进一步研究和推广而成为美国通用的风险分析方法 MORT的用途 预防与管理的疏忽 失误 差错和管理系统缺陷有关的事故 评价现有的安全系统 分析和确定事故因素 把剩余风险安排在适当的管理阶段 优化分配各有关因素 以利实施安全计划和风险管理 对已发生的事故进行全面细致的调查分析 探求事故发生的过程 澄清事故发生的原因 为善后处理决策提供支持 MORT的主要内容 对安全管理系统进行全面的分析和检查 防止事故发生 假定某些风险问题已存在 通过MORT找出解决该问题的最佳手段和方法 事故发生之后 对事故发生的原因从管理的角度进行全面的调查分析 MORT计算机程序的设计与应用 3 8 5风险分析 故障模式及影响分析 故障模式影响及危害度分析 FMEA FMECA FMEA 故障模式影响分析 是一组系统性的活动 辨认和评价一个产品或过程的潜在故障及其影响 识别可以消除或减少潜在故障发生的活动 并把这个过程形成文件 由于产品故障可能与设计 制造过程 使用 承包商 供应商以及服务有关 因此FMEA又细分为设计FMEA 过程FMEA 使用FMEA和服务FMEA四类 其中设计FMEA和过程FMEA最为常用 FMECA 故障模式影响和危害度分析 是针对产品所有可能的故障 进行故障模式分析 确定每种故障模式对产品工作的影响 找出单点故障 并按故障模式的严重度及其发生概率确定其危害性 所谓单点故障指的是引起产品故障的 且没有冗余或替代的工作程序作为补救的局部故障 FMECA包括故障模式及影响分析 FMEA 和危害性分析 CA FMEA FMECA方法具有原理简单 方法成熟 技术规范 易于操作 收效显著等特点 3 8 5风险分析 风险坐标图风险 坐标 图的制作是把风险发生的可能性作为一轴 风险对企业及其目标的可能影响作为另一轴 绘制成直角坐标系 然后 根据对一项风险经识别与分析得到的可能性大小和影响大小将该风险在直角坐标系上描绘出来 这样就形成了风险坐标图 根据不同的具体问题 对风险发生的可能性与风险对目标的影响这两方面的评估和描述有各种不同的定性 定量方法以及称谓 定性方法是直接用文字或者定序数字描述风险发生可能性的高低 风险对企业及其目标影响的程度 如用 极低 低 中等 高 极高 或者 1 2 3 4 5 等等 定量方法是对风险发生可能性的大小 风险对目标影响的大小用定距数字或定比数字描述 例如 风险发生可能性的大小用频数或概率来表示 风险对目标影响的大小用货币金额来表示等等 一般而言 在一家企业初次制作风险图时 较多使用定性方法对风险进行识别与分析 制作风险坐标图可以基于企业整体层面风险或基于操作层面风险或基于关键业绩范畴等 好的风险坐标图应能体现准确性 全面性 一致性和职责性的特征 3 8 5风险分析 记分卡法记分卡法的实质就是组织对操作风险进行自我评估 并赋予每个操作风险损失事件一个数值 或者是损失事件的影响值 或者是损失事件发生的可能性 给每个操作风险赋值之后 银行就可以对其进行排序 比较和分析 更进一步则可估计出操作风险的预期损失 即量化操作风险 记分卡法的关键在于找出与操作风险相关的风险因素 然后设计出一系列衡量操作风险影响或发生可能性的指标 在此基础上由专家对其打分 最终估计出操作风险的影响或发生频率 按照评估对象的不同 记分卡法又分为影响记分卡和频率记分卡 3 8 5风险分析 影响记分卡所谓影响记分卡就是在自我评估的基础上找出银行潜在的操作风险及风险因素 并对其分类 针对每一种操作风险 设计一套衡量其可能影响的指标 由风险管理专家对其打分 最终估计出每一种潜在操作风险可能给银行造成的损失 频率记