操作风险管理三大工具.doc

目录 操作风险管理框架p操作风险管理三大工具一览p风险控制自我评估（RCSA）p损失数据收集（LDC）p关键风险指标（KRI）操作风险定义操作风险 是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险从定义看，操作风险遍及银行内部各产品线、各个操作环节及各个业务层面法律风险 包括但不限于下列风险：商业银行签订的合同因违反法律或行政法规可能被依法撤销或者确认无效的商业银行因违约、侵权或者其他事由被提起诉讼或者申请仲裁，依法可能承担赔偿责任的商业银行的业务活动违反法律或行政法规，依法可能承担行政责任或者刑事责任的（摘自银监会操作风险管理指引）策略风险 ：由于无效的或有问题的策略而遭受损失的风险声誉风险 ：是指有关一家机构业务活动的负面宣传，不论其真假，都会引起该机构的客户流失、收入下降或花费高昂的诉讼费用（摘自银监会非现场监管指引（试行）四大风险因素和七大损失类型风险因素人员内部流程IT系统外部事件内部欺诈就业制度和工作场所安全事件客户、产品和业务活动事件执行、交割和流程管理事件信息科技系统事件外部欺詐实物资产的损坏损失类型指故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失事件，此类事件至少涉及内部一方，但不包括歧视及差别待遇事件指违反就业、健康或安全方面的法律或协议，个人工伤赔付或者因歧视及差别待遇导致的损失事件指因未按有关规定造成未对特定客户履行份内义务（如诚信责任和适当性要求）或产品性质或设计缺陷导致的损失事件因交易处理或流程管理失败，以及与交易对手方、外部供应商及销售商发生纠纷导致的损失事件因信息科技系统生产运行、应用开发、安全管理以及由于软件产品、硬件设备、服务提供商等第三方因素,造成系统无法正常办理业务或系统速度异常所导致的损失事指第三方故意骗取、盗用、抢劫财产、伪造文件、攻击商业银行信息科技系统或逃避法律监管导致的损失事件因自然灾害或其他事件（如恐怖袭击）导致实物资产丢失或毁坏的损失事件件操作风险损失形态损失形态1.法律成本2.监管罚没3.资产损失4.对外赔偿5.追索失败6.账面减值7.其它损失具体描述因商业银行发生操作风险事件引发法律诉讼或仲裁，在诉讼或仲裁过程中依法支出的诉讼费用、仲裁费用及其他法律成本。如违反知识产权保护规定等导致的诉讼费、外聘律师代理费、评估费、鉴定费等因操作风险事件所遭受的监管部门或有权机关罚款及其他处罚。如违反产业政策、监管法规等所遭受的罚款、吊销执照等由于疏忽、事故或自然灾害等事件造成实物资产的直接毁坏和价值的减少。如火灾、洪水、地震等自然灾害所导致的账面价值减少等由于内部操作风险事件，导致商业银行未能履行应承担的责任造成对外的赔偿。如因银行自身业务中断、交割延误、内部案件造成客户资金或资产等损失的赔偿金额由于工作失误、失职或内部事件，使原本能够追偿但最终无法追偿所导致的损失，或因有关方不履行相应义务导致追索失败所造成的损失。如资金划转错误、相关文件要素缺失、跟踪监测不及时所带来的损失等由于偷盗、欺诈、未经授权活动等操作风险事件所导致的资产账面价值直接减少。如内部欺诈导致的销账、外部欺诈和偷盗导致的账面资产/收入损失，以及未经授权或超授权交易导致的账面损失等由于操作风险事件引起的其他损失操作风险管理架构及流程银行的目标和策略操作风险策略和风险容忍度操作风险管理流程策略和政策治理和组织流程数据计量披露风险管理架构三道防线董事会高级管理层风险第一道防线第二道防线第三道防线管理报告业务部门l公司金融l零售l资产管理l支持部门l人力资源lITl法律合规l安全保障独立的风险管理部门独立风险管理空能内部审计独立稽核功能l日常风险管控风险策略、架构及监控独立审核操作风险缓释架构对于风险的缓释，银行可采取接受、控制、转高移和规避四种策略严3转移4规避1.接受：对于发生频率低、严重性较低的操作风险，银行一般采取接受风险的策略，主要原因是风险缓释的成本往往超过了该风险所可能引起的损失2.控制：对于发生频率高，但严重性较低的操作风险，银行一般采用控制风险的缓释策略。重性12该部分风险往往由银行的日常经营造成，因此必须为其设计专门的控制程序3.转移：对于发生频率低，但严重性较高的操接受控制作风险，银行一般采取转移风险的缓释策略。该部分风险较为典型的是自然灾害等外部事件，银行一般采用的转移方式为保险等措施4.规避：对于发生频率高，严重性也较高的操作风险，规避措施已没有意义，因此银行应避低发生频率高免涉足该类业务。操作风险管理三大工具一览三大工具之间紧密联系，协同支持操作风险管理风险控制自我评估RCSA损失数据收集LDCKRI异常往往指向真实的损失事件真实的损失数据为KRI设置提供了参考关键风险指标KRI什么是风险控制自我评估（RCSA） RCSA (风险与控制自我评估)是操作风险管理框架中重要的组成部分 RCSA是一种通过调查金融机构管理层和员工有关对操作风险损失事项发生可能性和严重性的估计，将调查结果与未来预计损失进行匹配(Mapping)的方法 目前RCSA的目的单纯集中在估计预期损失(Expected Loss, EL)，只有在实行操作风险高级计量法 (Advanced Measurement Approach, AMA)后，才能对非预期损失进行计量 事件发生的频率(Frequency)和损失的严重性(Severity)是评估现有风险因素管理和操作风险控制质量的关键信息为什么要进行RCSA额外的操作风险管理信息来源：仅仅依靠对真实发生的损失事件进行收集不足以评估银行的操作风险暴露，RCSA可以使银行建立额外的操作风险管理信息来源定期辨识潜在的操作风险暴露：常规的RCSA制度可以对银行的操作风险环境进行定期的评估，有助于管理层及时辨识是否需要改变现有的流程和控制政策，以规避潜在的操作风险损失对操作风险管理环境变化作及时的调整：当银行的业务环境发生改变时（如推出新产品，员工数量发生显著增长），特定的RCSA制度可及时对其引起的操作风险暴露变化进行反映，为管理层的决策提供参考RCSA在操作风险资本计量中扮演的角色损失数据收集识别模型损失事件类型模型数据集中风险因素模型风险自我评估损失影响类型 模型业务环境组织模型RCSA是计量主观风险资本的主要工具内部损失数据外部损失数据主观估计控制与风险因素 评分在操作风险资指标历史风险资本主观风险资本测算环境评分本的高级计量法中，RCSA是银行估量主观风险资本的主要工具，计量整合的CaOR贝耶斯整合调整操作风险资本与此同时，银行通过真实的损失数据估量历史风险成本。对主观指标模型RCSA的组织架构RCSA是以组织架构为基础去执行总行业务部门分行业务部门流程/活动控制焦点风险焦点总行风险管理部门分行风险管理部门主要内部控制流程目标并以分行业务部门作为最主要的执行单位 ，这是“自我评估”的意义所在，也有助于提升全行的风险文化氛围风险管理部门在RCSA组织架构中承担指导、监督、协调的作用风险内部控制主要的目标/原因达成流程目标的障碍评估小组与业务人员进行访谈评估小组将对其他操作风险数据以及偏差分析进行一致性查证RCSA方法论识别模型的标准分类 操作风险识别模型是所有操作风险计量方法论的基础，这些方法论使得数据收集变得有序、结构化和连贯 操作风险识别模型由如下模块构成损失事件模型对所有可能的损失事件类型进行识别和分类组织模型对分析下的组织维度进行识别和定义风险因素模型对导致损失事件的所有可能原因/因素进行识别和分类指标模型对支持合理的主观估计的信息和指标进行识别影响模型对一个事件的所有可能影响进行识别和分类 根据银行的特点，应对各模型的细部层级进行客制化，这需要行内各相关部门的外部输入。 模型细部层级的内容主要依赖于银行各部门的收集和整理，在日常操作风险管理中，各相关部门应注意收集相关数据，对各模型进行整理、更新和维护RCSA方法论将识别模型应用到RCSA识别模型组织模型范围定义风险因素模型设置和参数化损失事件类型模型执行影响模型审阅和调整指标模型报告 方法定义（自上而下 vs. 自下而上； 针对每份问卷定义问题针对业务单元经理的问卷的执行 总行操作风险管理部进行结果分析 报告的准备和分发整体 vs. 部分） 由内审部门进行检 选择评估方法论 定量答案收集（平查 识别RCSA涉及的均频率，平均严重与业务单元进行业务单元定义阈值性，最坏情况）讨论 风险因素识别调整结果和评级RCSA的具体步骤投入: 每个部门指派负责人员 需求信息 部门:角色与责任信息、 问卷信息准备RCSA能识别、管理以及控制风险，事业单位必要的投入与产出等其它信息来源:内部审计部门、信息部门、合规部门等 创建问卷 建立和执行RCSA访谈并能管理所有部门的控制信息。这些信息将在全行间进行分享，并以合理与系统化的方式协助目标被有效的达成 访谈结果分析与后续追踪产出: RCSA报告 设定新的操作风险容忍度水平 主要风险指标(KRI)资料KRI报告 汇报与后续工作规划RCSA的关键成功因素拥有一致且易于执行RCSA的程序各业务部门高层的重视拥有标准的RCSA方法论与工具拥有清晰的RCSA执行、监督和检查的权责划分关键成功因素跨部门的合作RCSA过程与结果与绩效考核相挂钩损失数据收集 损失定义操作损失（operational losses): 因发生损害性事项而导致的损失, 该损害性事项对衡量银行所受损失具有经济影响。“操作损失应包括下列因发生损害性事项而导致的支出: 与该事项相关的全部已发生支出, 但不包括投资项目支出,机会成本或预知收入” （巴塞尔资本协议，定量影响测算，2001.5）操作风险损失：是指由不完善或有问题的内部程序、人员、系统以及外部事件所造成的损失损失数据用途 损失数据将作为风险估计实证分析和验证的基础 损失数据作为实际损失与风险管理、控制决策之间的桥梁损失数据收集 介绍损失数据收集流程应包括具有高质量标准的操作损失的识别、录入、验证、管理和报告等环节,并达到以下标准：完备性及时性完备性及时性可获得性 所收集损失的整体情况 损失事件记录的时间点 获取信息的成本收集信息的数量和质量 损失的时间、性质、数量收集信息的数量和质量可获得性风险暴露的信息评级信息 损失数据收集的关键点： 通过各业务单元参与损失数据收集工作以及参与数据收集过程的定义等环节，在银行内部创建浓厚的损失数据收集文化氛围 损失数据收集过程为识别、录入、验证、管理和报告等环节的统一 损失数据收集是动态的实施过程，该过程应能够不断对信息源进行更新并能根据商业环境的发展正确反应银行操作风险暴露的情况损失数据收集 框架内容（Which）来源（Where）方式（How）人员（Who） 损失数据收集标准 损失类型 信息种类 阈值 特别案例 分类指南 信息源映射 软件解决方案 方法 程序 流程 与其他系统的连接 变革管理 培训资本的内部审计 角色和职责资本的风险管理分支的风险管理损失事件来源1AREA 1AREA 2AREA AREA n来源2来源3管理来源损失数据收集章程损失影响会计会计来源Legenda:OperationalRiskemployeeofAreanOperationalRiskemployeeofarchiveSourceofData调查 Definition ofthe archives forthe information Analysis ofoperational审查 Definition of thecensus criteria in orderto: Ensure accuracy ofthe information验证 Completion ofnecessary data Documentaryevidence ofinformation监督Verifying the regularityprocess of LDCEnsuring that qualityand completeness ofdata is maintained报告 Reporting toseniormanagement Reporting to theaffiliated bankslosses Improvementsand changes tothe archives Timeliness ofinformation Auditability of theentire process损失影响管理自上而下方法自下而上方法损失数据收集 损失类别、价值标准损失类别对于利润和损失金额有直接影响的损失 只有影响损益账目的直接损失才是在金融机构损失数据收集过程中尤预知收入 如果不经历操作损失，它们就是公司将来能够获取的利润替代成本 当公司决定不执行时，可从替代投资中获取的利润近乎发生的损失 未引发真正损失的事件为重要的损失。该定义指出应区分银行战略结果与操作风险的影响的不同损失价值标准：从会计角度 实际损失是实际记录的损失，即使在较短会计期间内也是如此。实际损失是由非系统化损害事件造成的。同时，由于这些损失能够一直在银行的会计系统中被直接跟踪，而且在任何情况下实际损失预计损失都可以根据对利润和损失金额的影响来被分离和评估，因此实际损失是客观的、可衡量的。此外，我们认为，这些损失应该包括所有与损害事件以及可能获得的补偿（如保险或其他赔偿）相联系的费用 当损失金额不确定时将产生预计损失，但基于实际发生的会计准则将被迫进行预测。在这种情况下，将考虑具体的风险数量来进行会计记录损失数据收集 收集信息设定对于所有需收集的损失事件应设置一定的数据项，至少应包括：数据项描述损失额每笔损失总额/ 可能的保险偿付金额/ 可能的非保险偿付金额日期损失事件发生日期/ 损失事件发现日期/ 损失事件录入日期/损失记账日期损失事件类型参照银监会损失事件类型分类损失形态参照银监会损失形态分类组织维度损失发生的业务条线（可不同于遭受损失的业务单位）/遭受损失的业务条线（损失被记录的业务条线）/遭受损失的业务条线所对应的按巴塞尔要求划分的业务条线风险因素引起风险的可能性因素，如：人员/系统/内部程序/外部事件其他损失事件发生的地点/ 事件发生的分配渠道/ 事件状态/ 最后获得保险偿付日期损失数据收集 辨识信息来源信息源的识别在损失数据收集过程中是重要的一步信息源是银行内某些可以发现操作风险损失的“单位”在损失数据收集中，需要确定“哪些是主要的信息来源？”损失数据收集的信息源总帐其他来源损失的信息可通过损益表的负数反映用于将财务报表无法识别的损失有效区分和收集独立存档既有系统电子或纸质存档，如客服部门的客诉记录等如银行现有数据记录系统损失数据收集 信息源的定义 信息源的定义我们可以从“操作风险损失列表”开始，在列表中操作风险损失可根据Basel II（银监会） 中对损态类型的规定进行划分 该列表的“行”为损失类型；“列”为针对各损失类型所识别的信息源（银行相关业务单元），通过使用“操作风险损失列表”，我们可以综观银行操作风险损失信息源的总体情况领先实践样例损失数据收集 信息收集方法对于收集损失信息，有两种不同的方法：事件驱动 当事件发生，损失数据通过损失事件发生的相关业务单元的现有系统进行收集 损失事件的相关信息应从损失事件发生的业务单元/业务条线获取 数据在总帐中进行收集 需将损失事件的类型映射到会计科目中 所收集的损失数据需进行一定的人工信息调节会计驱动损失数据收集 “事件驱动”会计程序业业务与支持单元总账务与支持单损失信息发送到本地的操作风险管理系统调节（reconciliation)元在损失数据库输入损失数据库25风险代表操作风险管理部门损失数据收集 “会计驱动”操作风险管理部门业务与支持单元损失信息发送到本地的操作风险管理系统手工填充业务与支持单元损失数据库损失账户自动从总账录入到损失数据库总账26风险代表损失数据收集 信息收集方法在实际中考虑到下面的因素，使用多重方法是很正常的目标数量完全性/损失次数信息收集的完整性及时性收集成本低会计驱动事件驱动高低低低损失数据收集 流程介绍 损失数据收集的流程应结合监管要求、银行自身实际情况和内部管理的需求损失数据收集的流程识别操作损失识别新损失类型的交流录入信息收集分类和数据录入验证数据分析和会计索引公司层面数据验证管理数据管理相关事件分析报告内部报告外部报告集团层面数据验证社会关系管理损失数据收集方法框架的维护损失数据信息源的维护（信息源的审阅、回顾）KRI定义、对银行风险管理的意义及分类关键风险指标（KRI）是指代表某一风险领域变化情况并可定期监控的统计指标。KRI定义KRI对银行风险管理的意义KRI一般分类（引自商业银行操作风险管理指引，银监会）早期预警，触发行动，预防损失长期追踪操作风险暴露状况早期预警信号(early warning signals)为预警方案的启动设定定量的标准根据银行业领先实践，KRI体系具有不同的层次，指标可依不同维度进行分类，例如：通用KRI:适用于全行不同业务部门的指标。如，百万元以上案件发生频率特殊KRI:适用于特定业务部门或业务流程的指标。如，异常信用卡审批人员中涉嫌欺诈的人数（适用于信用卡部）KRI管理 职责分工董事会/高级管理层总行风险管理委员会总行风险管理部门总行支持部门例如，内审、法律合规、人力资源和IT部门分行风险管理部门分行支持部门例如，内审、法律合规、人力资源和IT部门 最终审批KRI管理政策和修改方案 审批KRI管理政策和KRI修改方案 负责KRI管理政策的全面执行 负责全行层面KRI的设计、使用、维护、监控和更新 审批分行的KRI清单的修改 协助KRI清单的制定，就本部门所掌握的信息提供相关意见 在KRI使用阶段，提出调整和修改意见 负责KRI管理政策在分行层面的执行 负责设定分行层面的KRI清单 对KRI进行监控，向总行提交KRI分析报告及更新申请 就本部门所掌握的信息，为分行风险管理部门制定KRI清单提出意见 在KRI使用阶段，提出调整和修改意见KRI管理 重要环节q指标选取q阈值设定q录入、监测、报告q跟进、调整KRI管理 选取原则和选取流程全面覆盖：指标应当全面地覆盖四大风险因素、七大类损失事件类型、八大业务条线选取原则数据可得：指标应当与潜在风险高度相关并可测，选取的指标应能持续地获得完整的数据支持指标可控：选取的指标应当可以通过可选的管控措施进行有效的控制收集信息，分析并识别潜在风险 根据全面覆盖的原则，收集各业务部门内部信息，如历分析潜在风险，建立指标长名单 分析识别得到的潜在风险，明确风险点，确定对应的风由长名单筛选出关键风险指标 根据数据可得的原则，剔除数据可得性较差的指标定义驱动、阈值和监测方式，进行初始验证 针对KRI清单中的每一个KRI，定义指标的驱动指标审批和验证 将选取的KRI清单、阈值、监测方式等相关文件上报银选取流程史损失数据和RCSA结果，进行汇总和整理 全面分析业务流程和内部信息，识别潜在风险险指标，建立风险指标长名单 根据指标可控性选择，剔除难以被有效控制的指标 整理具备良好数据可得性、可控性的指标，建立KRI清单 根据历史损失数据和RCSA结果，借鉴领先实践，设定指标阈值 制定指标监测方式，包括频率 在KRI提交审批前行高级管理层审阅，经由董事会审批生效 在KRI审批生效后，启动指标监测工作。参考监测结果，定期对KRI指标体系进行验证，以进行初始验证，测试选定指标的有效性保证其有效性KRI管理 阈值设定阈值设定：基于历史数据和专家意见，设计KRI的最大容忍值和预警值的范围设定最大容忍值和预警值所对应的信号灯，并且设定激发预警警示的数值单向KRI绿色：KRI值 预警值；良好，持续观察黄色：预警值=KRI值=最大容忍值；立即采取改善措施例如：前台交易出单错误率双向 KRI绿色：KRI值预警值2；良好，持续观察黄色：预警值1=KRI值 =KRI值2最大容忍值2；分析状况判断应采取何种行动红色：KRI值=最大容忍值1或KRI值 =最大容忍值2；立即采取改善措施例如：员工流动比率0.5%2%261020持续观察分析错误率升高产生 立即启动预设的行动的原因和判断应采取 方案，例如加强对前何种行动 台交易的监督、对前台人员的培训、将出错率纳