新资本协议操作风险管理培训材料.ppt

新资本协议操作风险管理培训材料,内部资料注意保密,操作风险的定义,操作风险管理产生的背景,操作风险管理三大工具,操作风险管理工具在我行的实施,操作风险是指由不完善或有问题的内部程序、人员、系统以及外部事件所造成损失的风险。其包括法律风险，但不包括策略风险和声誉风险。,控制,操作风险的定义,操作风险管理是指对操作风险进行主动识别、评估、控制或缓释、监测和报告的过程。,操作风险,预防,识别,减损,操作风险已被视为银行三大风险之一，其造成的损失可能大大高于信用风险和市场风险；行业内曾发生过许多重大操作风险事件，其中最为典型的有巴林银行倒闭案、法国兴业银行欺诈案等。,操作风险已被视为银行三大风险之一,操作风险就在我们身边,内部欺诈,有机构内部人员参与的诈骗、盗用资产、违犯法律以及公司的规章制度的行为。,外部欺诈,第三方故意骗取、盗用财产或逃避法律导致的损失。,就业制度和工作场所安全事件,由于不履行合同，或者不符合劳动健康、安全法规所引起的赔偿要求。,客户、产品和业务活动事件,有意或无意造成的无法满足某一顾客的特定需求,或者是由于产品的性质、设计问题造成的失误。,实体资产损坏,实体资产因自然灾害或其他事件丢失或毁坏导致的损失。,信息科技系统事件,业务中断或系统失败导致的损失。,执行、交割和流程管理事件,交易处理或流程管理失败和因交易对手方及外部销售商关系导致的损失。,2008年法兴银行内部欺诈案件、利用卡折合一业务截留借记卡密码。,国际贸易业务中客户使用伪造、变造的信用证或附随的单据。,网点柜员被试图抢劫银行的歹徒伤害。,违规披露零售客户信息、超过客户的风险限额放款。,地震、火灾导致的财产损失。,软件或者硬件错误、通信问题以及设备老化。,与合作伙伴的合作失败、交易数据输入错误、不完备的法律文件、未经批准访问客户账户，以及卖方纠纷等。,说明,示例,操作风险特点,与信用风险、市场风险相比，操作风险具有以下特点：,理解操作风险特点有助于明确操作风险管理原则和治理方法，如建立操作风险三道防线、收益与成本匹配原则等。,操作风险的定义,操作风险管理产生的背景,操作风险管理三大工具,操作风险管理工具在我行的实施,监管背景,巴塞尔资本协议II,银监会对我国银行业操作风险管理的要求,巴塞尔资本协议产生背景及发展历程,重要里程碑事件1988年拟定巴塞尔资本协议（简称BaselI），统一国际银行资本衡量和资本标准；1996年增加关于市场风险补充规定，强调了市场风险的管理；1999年发布新资本充足框架（巴塞尔新资本协议草案），提出三大支柱框架；2004年6月正式发布巴塞尔新资本协议（简称BaselII）。重要背景20世纪80年代以来，国际银行业的不平等竞争；20世纪80年代初，爆发的国际债务危机；金融操作与金融工具的创新，资本市场之间的联系越来越紧密，凸显风险管理重要性；多起重大操作风险事件。,1988.7公布巴塞尔资本协议,1988,1996.1公布补充协议，增加关于市场风险补充规定,1999.6公布巴塞尔新资本协议征求意见稿（第一稿）,2001.1公布第二稿征求意见稿,2001.11对第二稿征求意见稿进行修订,2002.10第二次进行商业银行资本充足率定量影响测算（QIS2）,2003.4公布第三稿征求意见稿,2004.6公布巴塞尔新资本协议,2005.10新协议对交易活动和双重违约效应的修订,2008金融危机爆发后对整体框架、流动性风险、市场风险、压力测试等方面内容进行了修订或补充,2013,没有操作风险资本要求,较低的风险敏感性,BaselI,仅有部分监管机构要求银行进行整体风险评估,有限的披露要求,明确提出操作风险资本要求,较高的披露要求,明确的整体风险/资本评估要求,较高的风险敏感性,BaselII,1988年,2004年,新资本协议明确提出操作风险资本要求,新资本协议将操作风险作为三大风险之一，在三大支柱中均对其提出明确的管理要求。,巴塞尔新资本协议与操作风险,最低资本要求,监管部门的监督检查,市场纪律约束,对操作风险的要求,三大支柱,商业银行应当将操作风险作为主要风险进行管理；将操作风险纳入资本充足率（即监管资本/风险加权资产）计算公式，并且规定资本充足率不得低于8%；规定了三种操作风险资本计量方法。,从监督检查的四项主要原则出发，对可能低估操作风险的资本要求的情形，进一步作出监督要求。,对操作风险管理提出定性与定量的信息披露要求，尤其是对采用操作风险高级计量方法的银行，提出严格的披露要求。,12,第一支柱操作风险,首次要求实施新资本协议的银行或其他相关金融机构为操作风险计提资本；对于操作风险管理，新协议包含了定性和定量两方面的要求：风险战略风险的识别和控制风险监控风险计量数据应用资本建模和信息披露,13,13,净利息收入+其他收入乘以15%计算3年的平均值,基于内部、外部损失数据以及情景分析等要素的内部模型通常采用损失分布法、打分卡法、情景分析法,新协议提出的操作风险资本计量方法,基本指标法,标准法,高级计量法,净利息收入+净非利息收入按监管要求的业务条线归类按业务条线的不同乘以12-18%计算3年的平均值,14,操作风险管理的定性要求,基本指标法,高级计量法,标准法,操作风险的稳健做法,三种方法都鼓励遵守“操作风险管理与监管的稳健做法”（巴塞尔委员会，2003年2月）。对高级计量法的资格要求大部分也在“操作风险管理与监管的稳健做法”或标准法中亦有涉及。高级计量法的主要区别在于:操作风险建模（如情景分析，加工内部损失数据,使用外部损失数据，参数的验证）数据和分析的深度,巴塞尔委员会提出的操作风险管理“稳健做法”，是普遍适用的操作风险管理定性要求。,操作风险管理稳健做法,来源:操作风险管理与监管的稳健做法，巴塞尔委员会，2003年2月,风险管理方法和程序,识别评估监测缓释/控制、BCP,建立适当的风险管理环境,董事会应审批建立操作风险管理框架，确保管理框架得到独立审计高级管理层负责落实操作风险管理框架,信息披露,充分的信息披露，以便让市场评估风险管理方法,监管检查,监管机构应确保银行建立有效操作风险管理框架还应定期评估银行操作风险管理情况,操作风险管理稳健做法,1,4,2,3,原则1：银行应具备一整套程序，用于评估与其风险状况相适应的总体资本水平，并制定保持资本水平的战略。董事会及高级管理层的监督健全的资本评估-与当前及未来风险相关联对所有重大风险的全面评估监控和报告内部控制评估。,内部资本充足率评估程序(ICAAP),第二支柱监督检查的四项主要原则,在操作风险基本指标法和标准法中所运用的总收入只是衡量银行操作风险敞口的一项替代性指标，在某些情况下（比如对于低利润或低盈利水平的银行）会低估操作风险所需的资本；监管当局将审阅银行计算出的操作风险资本要求（无论采用基本指标法、标准法还是高级计量法）的可信度，特别是与同类银行进行比较。如果可信度不足，则会考虑采取第2支柱下的适当监管措施。,原则2：监管当局应检查和评价银行内部资本充足率的评估情况及战略，及其满足监管资本比率的能力。若对检查结果不满意，监管当局应采取适当的监管措施。原则3：监管当局应鼓励银行的资本水平高于最低监管资本比率，可以要求银行持有超出最低要求的资本。原则4：监管当局应尽早采取干预措施，防止银行的资本水平降至最低要求之下，并要求银行迅速采取补救措施。,监管检查及评估程序(SREP),第三支柱操作风险的披露,银行被批准采用的操作风险资本计量方法，以及操作风险资本要求一般定性披露要求：银行必须描述其风险管理的目标和政策，包括战略及流程；相关风险管理职能的组织和架构;风险报告/衡量体系的范围及性质;风险规避/缓释的政策，以及监控规避/缓释有效性的策略和流程。如果银行采用高级计量法:对高级计量法进行说明，包括计量方法所使用的相关内部和外部因素;如果是部分采用高级计量法，需提供各种方法的覆盖范围。关于运用保险进行操作风险缓释的说明。,目前，与银行操作风险管理关系最为密切的监管政策主要是指银监会颁发的商业银行操作风险管理指引、商业银行操作风险资本计量指引。,我国监管机构针对银行操作风险管理出台的政策,银监会已出台的相关政策有：关于加大防范操作风险工作力度的通知；中国银行业实施新资本协议指导意见；商业银行操作风险管理指引；商业银行操作风险资本计量指引：资本充足率监督检查指引；资本充足率信息披露指引；商业银行内部控制指引；商业银行内部控制评价试行办法等。其他相关的政策有：财政部发布的企业内部控制基本规范；上海证券交易所发布的上市公司内部控制指引等。,要求商业银行应当建立与本行的业务性质、规模和复杂程度相适应的操作风险管理体系，有效地识别、评估、监测和控制/缓释操作风险。操作风险管理体系的具体形式不要求统一，但至少应包括以下基本要素：董事会的监督控制；高级管理层负责执行董事会批准的操作风险管理框架；建立适当的组织架构；建立一系列操作风险管理方法和程序；为操作风险提取充足的资本。,操作风险管理指引,风险治理,操作风险管理体系,要与本行的业务性质、规模和复杂程度相适应的；要能有效地识别、评估、监测和控制/缓释操作风险。,董事会,将操作风险作为商业银行面对的一项主要风险；承担监控操作风险管理有效性的最终责任。,高级管理层,执行董事会批准的操作风险管理战略、总体政策及体系。,操作风险管理部门,指定部门专门负责全行操作风险管理体系的建立和实施。,其他管理部门,明确其他部门的管理职责。,操作风险管理政策,制定适用于全行的操作风险管理政策；应当与银行的业务性质、规模、复杂程度和风险特征相适应。,管理办法,报告要求,商业银行应当选择适当的方法对操作风险进行管理（三大工具、新产品审批、业务连续性方案、外包管理、保险的运用等）；业务复杂及规模较大的商业银行，应采用更加先进的风险管理方法。,商业银行应当制定有效的程序，定期监测并报告操作风险状况和重大损失情况；重大操作风险事件应当根据本行操作风险管理政策的规定及时向董事会、高级管理层和相关管理人员报告。,其它要求,将加强内部控制作为操作风险管理的有效手段；建立完善操作风险管理信息系统；为承担的操作风险提取充足资本。,注：主要内容可以对应到巴塞尔委员会的操作风险管理与监管的稳健做法,操作风险管理指引（续）,标准法需要的资本要求=（前3年各业务条线的总收入*对应系数）/3,将操作风险管理作为主要风险管理职能纳入全行风险管理体系；董事会和高级管理层的职责；建立与本行业务性质、规模和产品复杂程度相适应的操作风险管理系统，支持：风险与控制措施的自我评估；关键风险指标的检测；损失数据的收集。建立清晰的内部报告线路；投入充足的人力和物力；接受验证和审查。,计量方法,定性要求,巴塞尔未明确提出对三大工具的要求，银监会对其进行了明确,标准法,高级计量法是商业银行通过内部操作风险计量系统计算监管资本的方法；商业银行可根据本行业务性质、规模和产品复杂程度以及风险管理水平自行选择操作风险计量模型；定性要求符合标准法的所有资格要求；操作风险计量应成为操作风险管理流程的重要组成部分，相关计量系统应能促进商业银行改进全行和各业务条线的操作风险管理，支持向各业务条线配置相应的资本；操作风险计量系统应通过验证，验证的标准和程序应符合银监会的有关规定。,高级计量法定性要求,计量系统应具有较高的精确度，考虑到了非常严重损失事件发生的频率和损失的金额；应具备操作风险计量系统的模型开发和模型独立验证的严格程序；如不能向银监会证明已准确计算出了预期损失并充分反映在当期损益中，就应在计量操作风险监管资本时综合考虑预期损失和非预期损失之和；在加总不同类型的操作风险监管资本时，可以自行确定相关系数，但要书面证明所估计的各项操作风险损失之间相关系数的合理性；计量系统的建立应基于内部积累的损失数据、外部相关损失数据、情景分析、本行的业务经营环境和内部控制等四个基本要素；对上述四个基本要素在操作风险计量系统中的作用和权重做出书面合理界定。,高级计量法定量要求,应具备至少5年观测期的内部损失数据，初次使用可使用3年期的内部损失数据；书面规定对内部损失数据进行加工、调整的方法、程序和权限；收集内部损失数据应设置合理的损失事件统计金额起点（Threshold）；内部损失数据应与业务条线归类目录和损失事件类型目录建立对应关系；应全面覆盖对全行风险评估有重大影响的所有重要的业务活动；对因操作风险事件（如抵押品管理缺陷）引起的信用风险损失，如已将其反映在信用风险数据库中，应视其为信用风险损失，不纳入操作风险监管资本计量，但应将此类事件在操作风险内部损失数据库中单独做出标记说明；对因操作风险事件引起的市场风险损失，应反映在操作风险的内部损失数据库中，纳入操作风险监管资本计量。,高级计量法内部损失数据,银监会对操作风险管理合规达标提出以下检查要点：,合规达标监管检查要点,损失事件类型目录,注：2级目录下，还有更细的3级目录。银监会在各个2级目录下，都增加了一个3级目录“其他”，从而保证所有事件都能进行归类。,收集统计原则,重要性原则,及时性原则,统一性原则,谨慎性原则,合理区分操作风险损失、信用风险损失和市场风险损失界限，对于跨区域、跨业务种类的操作风险损失事件，合理确定损失统计原则，避免重复统计。,至少包含：损失事件发生的时间、发现的时间及损失确认时间、业务条线名称、损失事件类型、涉及金额、损失金额、非财务影响、与信用风险和市场风险的交叉关系等,范围界定,主要内容,损失数据收集,高级管理层,董事会,信用风险,风险管理部,市场风险,风险管理部,操作风险,境内分行,海外分行,分行风险管理部门,总行的业务部门,业务部门风险管理职能,董事会,高级管理层,风险部门,分行、子公司与业务条线,操作风险作为三大主要风险之一，纳入到全面风险管理体系中，在组织架构上与全面风险管理体系保持结构统一。,操作风险纳入全面风险管理体系,法律与合规部,董事会：将操作风险作为一项主要风险，确保高级管理层采取必要的措施有效地识别、评估、监测、控制或缓释操作风险，确保本行操作风险管理框架接受内审部门的有效审查与监督董事会风险政策委员会：对董事会负责，负责审议重大的操作风险政策和制度并监督执行情况,董事会、高级管理层、各条线部门一起构成操作风险公司治理三层架构；各条线部门及分支机构分别发挥操作风险三道防线作用。,操作风险公司治理、三道防线,稽核委员会：独立于中行其他专业委员会，按照董事会授权在财务报告、财务报告编制程序及相关内部控制、财务报表审计审阅、会计政策、信息披露、内部审计、外部审计方面履行独立监督职责的委员会。稽核委员会对董事会负责，并向董事会直接进行报告,法律与合规部：牵头负责全行操作风险管理框架的建立和实施，促进全行范围内操作风险管理的一致性和有效性,董事会及下设委员会,董事会,风险政策委员会,高级管理层及下设委员会,稽核委员会,高级管理层（集团执行委员会）,反洗钱工作委员会,风险与内部控制委员会,第一道防线,业务经营机构,第二道防线,牵头部门,专门职能部门,法规部,第三道防线,稽核部,业务管理部门,所有员工,其他相关部门（业务部门）,内控及操作风险管理团队或岗位,办公室,信息科技部,保卫部,董事会秘书部,监察部,人力资源部,战略发展部,集中采购部,高级管理层（行领导）：负责执行董事会批准的操作风险管理战略和政策框架,专门职能部门：就涉及其职责分工及专业特长的范围内为其他相关部门管理操作风险提供相关资源和支持,其他相关部门：作为操作风险所有人，采用嵌入式操作风险管理团队或岗位，对本部门的操作风险进行管理,各业务条线采用嵌入式操作风险管理模式，在本条线内设置操作风险管理团队或岗位，牵头本条线的操作风险管理工作。,业务条线采用嵌入式操作风险管理模式,公司业务部,操作风险管理团队,董事会,风险政策委员会,管理层,分行法律与合规部操作风险管理团队,一级分行管理层,分行内控委员会,公司业务,操作风险管理团队,法律与合规部操作风险管理团队,二道防线,执行委员会,内部控制委员会,内控合规部操作风险管理岗,二级分行管理层,内控负责人,派驻经理,基础机构负责人,国内结算部,操作风险管理团队,国内结算,操作风险管理团队,国际结算部,操作风险管理团队,国际结算,操作风险管理团队,个人金融部,操作风险管理团队,个人金融,操作风险管理团队,运营服务总部,操作风险管理团队,运营服务,操作风险管理团队,.,.,操作风险管理团队嵌入主要业务条线和专门职能部门嵌入团队就操作风险事项向分管行领导及总行条线汇报，同时向分行法律与合规部汇报,总行,基层机构,二级分行,一级分行,报告路线条块结合双线报告模式：分行部门内的操作风险管理团队或岗位向分管行领导及总行条线总经理室汇报，同时向分行法律与合规部汇报，分行法律与合规部向总行法律与合规部汇报。,操作风险报告机制,条线主动进行操作风险管理和报告在嵌入式的操作风险管理团队和岗位的推动下，各业务条线主动进行操作风险管理，并遵循统一的报告模板、按照条块结合的双线报告模式进行操作风险报告。,支持各级管理决策操作风险报告分为整合了多方面操作风险管理信息的综合报告，以及针对单个操作风险管理工具或专项操作风险管理活动的专门报告。,操作风险管理文化,操作风险管理文化含义以银行企业文化为背景，贯穿以人为本的经营理念，在操作风险管理活动中凝炼并通过由企业文化的精神层面、制度层面、行为层面和物质层面共同体现，为广大员工认同并自觉遵守的操作风险管理理念、操作风险价值观念和操作风险管理行为规范。中行操作风险管理文化培育指导性原则总行各条线管理部门和境内外分支机构应重视操作风险管理，贯彻以人为本的经营理念，建立科学、有效激励约束机制，营造全员共同参与的全面操作风险管理环境，通过持续宣传、培训、研讨，引导员工树立正确的操作风险管理价值观念、树立“基于诚信、积极主动”的操作风险管理行为准则，提高员工的风险意识和职业道德素质，实现“无意料之外的损失”。,中行操作风险管理文化主要表现,中行董事会和高级管理层重视操作风险管理，坚持“以人为本”的管理理念，秉持“全面管理、及时调整、成本与收益匹配”的操作风险管理原则，全员共同参与操作风险管理、肯定操作风险管理价值、坚持“基于诚信、积极主动”的操作风险管理行为准则，实现“无意料之外的损失”。,四层级的政策制度体系，从上到下分别为政策框架、操作风险管理办法、各工具管理办法和操作指引，涵盖了操作风险管理各个方面。,操作风险管理政策与制度,中国银行股份有限公司操作风险管理政策框架是由中行董事会批准发布的关于中行操作风险管理的最根本的制度提出了中行操作风险管理的基本原则、要求和管理框架，为全行实施操作风险管理确立了基调和方向。,RACA,操作指引明确管理流程的未尽事宜，清晰回答具体操作问题，在操作层面指导开展日常操作风险管理工作。操作指引主要采用宣传手册、流程指引的体例。,KRI,LDC,重大事件报告,检查,整改,考核,新产品,外包,BCP,报告,资本计量,分类办法,中国银行股份有限公司内部控制与操作风险管理手册是我行内部控制与操作风险管理的说明性文件，旨在明确我行内部控制与操作风险管理关键术语、基本理念和管理原则，全面、系统地说明相关规章制度的内容要点及内在联系，为各级管理者及全体员工提供本行内部控制与操作风险管理的“全貌”或“全景图”。,明确各管理工具的职责分工、主要步骤和管理标准,用于指导落实各管理工具的操作,确立基本管理原则,为落实政策框架作出安排，并对管理流程提出基本要求,中国银行股份有限公司操作风险管理办法是由中行高级管理层批准发布，是对政策框架中原则性指引的丰富确定我行操作风险管理体系框架。,操作风险的定义,操作风险管理产生的背景,操作风险管理三大工具,操作风险管理工具在我行的实施,操作风险管理三大工具,风险与控制评估（RiskAndControlSelf-Assessment，简称RACA),关键风险指标（KeyRiskIndicator，简称KRI),损失数据收集（LossDataCollection，简称LDC),风险与控制评估（RACA）可以看作是健康评测仪，它可以帮助我们进行肌肉脂肪评估、营养评估等，让我们更了解自身的身体状况。关键风险指标（KRI）可以看作是血压计，通过日常对血压的监控，可以及时发现身体某些方面的异常情况。损失数据收集（LDC）可以看作是病历，通过对病史及病状的记录，避免今后类似疾病的发生。,提早发现病症,及时发现身体异常状况,提醒什么情况下容易犯病,操作风险管理三大工具,中行操作风险管理框架,操作风险管理能力评价与考核,操作风险治理操作风险文化、操作风险偏好、组织架构与职责分工（含报告路线）、政策与制度,操作风险管理信息系统,验证和审查,治理,管理方法与流程,基础设施,操作风险资本计量,操作风险分类标准,操作风险与控制评估（RACA）内控措施检查新产品操作风险评估,操作风险损失数据收集（LDC）关键风险指标（KRI）操作风险重大事件报告（SERP）内控措施检查操作风险报告,操作风险整改跟踪业务持续经营计划和业务应急方案服务外包管理,操作风险与控制评估（RACA）内控措施检查新产品操作风险评估,三大工具发现的问题为制定内控检查方案提供重要依据；内控措施检查对三大工具结果进行审视、验证，进一步确认和评估内控措施的有效性、充分性。,内控措施检查与三大工具的相互应用,操作风险管理三大工具,内控措施检查,作为制定检查方案依据,运用工具后获得的信息,通过检查对工具结果进行审视、验证,操作风险与控制评估（RACA）,操作风险与控制评估是指各业务条线和分行通过自我观察、分析和判断，对自身可能蒙受的操作风险及控制问题进行持续识别、评估和报告，并提出优化方案，使防范风险、扼制重大操作风险事件的关口前移。,操作风险与控制评估,操作风险损失数据收集（LDC）关键风险指标（KRI）内控措施检查操作风险重大事件报告（SERP）操作风险报告,操作风险整改跟踪业务应急预案和业务连续性计划服务外包管理,操作风险与控制评估,银行内部人员可能将承兑汇票假作废、真盗用。,示例,原因,在管理循环中的直接主要作用,定期评估,触发式评估,日常评估,影响,控制,自我评估,优先识别主要风险,客观分析和评估,提早发现病症,多重方式,RACA工作流程,确认评估对象,绘制流程图,收集整理操作风险信息,提出优化方案,评估剩余风险,识别和评估现有控制,识别和评估固有风险,提交报告,整合结果,准备阶段,评估阶段,报告阶段,收集整理操作风险信息,收集整理操作风险信息,RACA历史信息,重大风险事件信息,监管提示,内外部损失数据,二级分行反馈信息,检查、自查结果,内外审报告,填写：操作风险信息模板、二级分行信息收集模板,参与RACA讨论组会议的人员要求,识别固有风险,风险描述,风险分类,风险原因,风险发生的环节、相关人员、具体情况,将识别的风险按照操作风险分类办法进行归类,原因有八大类别：IT、流程、人员、经营活动、环境、政治、监管、外部破环活动,控制无效或者失败是引起风险的原因，而非风险本身,评估固有风险,发生概率,影响,严重度,基于经验分析该风险在流程中发生的概率水平,基于经验从财务影响和非财务影响两个方面评估,根据概率和影响评估结果确定风险严重度,固有风险严重度矩阵,风险概率,风险影响,识别和评估现有控制,控制设计,控制执行,合理部分合理不合理,执行部分执行未执行,注：描述的是已有的控制，而非计划执行的控制描述应当力求具体、避免使用空洞的描述,评估剩余风险,关键风险指标（KRI）,关键风险指标是指反映关键操作风险状况的一系列统计数据，定量跟踪监测风险发生可能性、影响度或某一控制有效性，确保潜在风险或风险事件及时得到控制。,操作风险与控制评估内控措施检查新产品操作风险评估,关键风险指标,操作风险整改跟踪业务应急预案和业务连续性计划服务外包管理,操作风险与控制评估内控措施检查新产品操作风险评估,在管理循环中的直接主要作用,及时发现身体异常状况,KRI阀值设定,损失数据收集（LDC）,操作风险与控制评估内控措施检查新产品操作风险评估,操作风险损失数据收集,操作风险与控制评估内控措施检查新产品操作风险评估,操作风险损失数据收集是指操作风险损失数据的识别、收集、汇总、分析和报告，借此改善内部管理，并为实施操作风险高级计量法积累数据。,在管理循环中的直接主要作用,操作风险整改跟踪业务应急预案和业务连续性计划服务外包管理,节约资本,与日常管理衔接,有利于绩效考核,操作风险高级计量法,改善内部管理,吸取经验教训,提升RACA效果,触发和验证整改,LDC的主要作用,提醒什么情况下容易犯病,LDC的作用为高级计量法积累数据,至少具备5年观测期的内部损失数据；初次使用具备3年损失数据。,损失数据积累年限,操作风险高级计量法,有利于银行声誉,资本要求与银行操作风险状况的联系更紧密,经济资本分配和考核,节约资本,积累一定年限的内部损失数据是启动操作风险高级计量法的必要条件。,损失数据收集基本原则,广泛性原则,所有机构和部门都要收集操作风险损失数据。,重要性原则,收集的损失事件的毛损失金额要达到或超过损失数据收集门槛。同时，要对损失金额较大和发生频率较高的操作风险损失事件进行重点关注和确认。,统一性原则,要遵循全行一致的损失数据收集标准、范围、程序和方法，以确保结果客观、准确及可比。,及时性原则,损失事件发生后，要及时确认、记录和报送损失数据，避免因处理延后造成当期统计数据不准确。,谨慎性原则,在对操作风险损失进行确认时，要保持必要的谨慎，进行客观、公允统计，准确计量损失金额，避免出现多计或少计操作风险损失的情况。,收集对象,信用风险或市场风险损失是否都不需收集？,？,是否仅收集操作性失误导致的损失？,所有金额的损失都要收集？,损失全部挽回，或净损失很低，是否可不收集？,损失金额尚未确定，是否可暂不收集，而是等到金额确定后再收集？,收集对象（续）,需涵盖由不完善或有问题的内部程序、人员、系统以及外部事件造成的损失。,操作风险损失包括多种多样的形式，例如：,操作失误（常见的如短款、出纳错误）、涉及内部人员的案件等；外部行为或破坏造成的损失，例如偷窃、抢劫、外部欺诈、恶意破坏；自然灾害造成的损失，例如地震、台风、暴雨等造成的资产和人员损失；意外造成的损失，例如工作场所受伤、工作用车交通事故、意外丢失客户资料导致的赔偿或罚款；解决劳动争议的损失、外包公司或中介机构带来的损失、客户索偿导致的损失；处理事件、挽回损失、恢复影响所付出的成本。,是否仅收集操作性失误导致的损失？,收集对象（续）,所有金额的损失都要收集？,当损失达到10,000元人民币（称为“损失数据收集门槛”）时才要收集。,损失预计或已经全部挽回，或净损失金额很低，是否可不收集？例如初始损失为10万元，后续通过保险赔付加上员工赔偿已全部挽回。在该例子中，若损失挽回了绝大部分，净损失已低于10,000元，还要收集吗？,决定损失事件是否要收集的不扣减挽回金额的损失及成本总额，即毛损失金额。只要毛损失金额达到10,000元人民币，即使损失全部挽回，也要收集。本例子中毛损失金额为10万元，因此需要收集。,毛损失金额达到10,000元人民币（含等值的外币）的操作风险损失事件,收集对象（续）,损失金额尚未确定，是否可暂不收集？例如事件还未调查完成，或正在进行诉讼，相关的损失金额不能确定，是否等到金额确定后再收集？,发现损失事件后，只要预计损失金额会达到10,000元就要进行收集。不要等到事件调查或处理完成，损失金额确定后再收集。在初次填报时应对损失金额进行谨慎估计，并在后续根据事件调查和处理的情况，更新事件的损失金额。,收集的主体,是不是由法律与合规部统一收集？是不是由账务部门统一收集？,由发生损失的部门（主收集部门）进行调查和填报，操作风险管理牵头部门、账务部门及其他有关部门提供协助。相对于RACA及KRI，二级分行将承担更多的LDC工作。,判断是否达到收集门槛的要点,只要毛损失金额达到收集门槛就要收集。即使损失全部挽回，最终没有净损失发生时，也是如此；,既包含事件带来的损失，也包括处理事件发生的成本或支出。对于没有初始财务损失、只有处理事件的成本和支出的事件，只要成本和支出达到收集门槛就要进行收集；,如果一个事件会产生多次的损失或成本，不论单次损失的金额有多少，只要所有的损失和成本加总后达到收集门槛，就要进行收集。,损失,成本,挽回,损失1损失2.损失N,成本1成本2.成本N,挽回1挽回2.挽回N,净损失,损失金额,达到门槛？,毛损失,收集,与信用及市场风险损失的关系,信用风险或市场风险损失是否都不需收集？,当操作风险是直接造成信用或市场风险损失的主要原因时，需要收集。否则不需收集。,信用风险损失：由于客户欺诈、内部人员违纪或重大违规而发放的贷款出现损失；由于合同文本缺陷、抵质押品管理不善等造成违约贷款无法收回；,在出现损失后，事后往往都能找到原来程序上的一些缺陷。只要这些缺陷不是造成信贷损失或交易损失的直接及主要原因，则该损失就不要当作操作风险损失数据进行收集。,市场风险损失：超限额、未及时止损、交易要素出错等操作风险因素引起的交易损失。,时间要求单个事件报送,根据有关规定不宜遵循上述填报时限要求的损失事件，可暂不报送。主收集部门要随时关注事件进展，并及时与相关处理单位确认报送的适当时机，确保相关信息最终得到收集和报告。,全行LDC实施安排,总行部门,1月,2月,3月,4月,5月,-,10年,收集新发现的数据，转变为日常工作,收集既往数据,培训,收集的数据阶段性总结报告,首批分行（四川、黑龙江、广东）,12月,1月,2月,3月,4月,5月,-,10年,收集既往数据,验证,收集新发现的数据，转变为日常工作,培训,既往数据,验证后数据阶段性总结报告,第二批分行,1月,2月,3月,4月,5月,-,10年,验证,收集新发现的数据，转变为日常工作,收集既往数据,培训,既往数据,验证后数据阶段性总结报告,参与验证分行数据,当前进度,需收集的损失数据范围,收集方式,收集对象,既往损失数据,新发现的损失数据,2008年以来发生的损失事件，以及2008年以前发生但在2008年及以后发现的损失事件数据。,在LDC实施以后发现的预计或实际的毛损失金额达到或超过损失数据收集门槛的操作风险损失事件。,采取灵活、实际的方式。,按照损失数据收集管理办法和损失数据收集流程指引；发现一笔，记录并报告一笔。,总行/一级分行各部门的LDC工作内容,收集既往损失数据；收集新发现的损失数据。,收集总行/一级分行本级的损失数据,法律与合规部将把收集到的损失数据，根据与各部门的相关性提供给相应部门；各部门判断本条线的损失数据收集是否全面、完整和准确，并将发现的漏报、信息记录不准确、不符合填报要求等情况反馈给法律与合规部。,协助对收集的数据进行把关,法律与合规部将牵头组织损失数据收集工作的验证；各部门配合进行本条线的验证。,参与验证损失数据,操作风险管理三大工具分别从未来、现在、过去的完整视角对操作风险进行管理，并相互衔接、相互作用。,操作风险管理三大工具相互关系,风险与控制评估（RACA）,关键风险指标（KRI）,损失数据收集（LDC）,记录与验证,风险监控,风险识别与评估,未来视角,当前视角,历史视角,验证,监控,RACA为KRI指标的识别提供信息基础和依据,KRI指标值的变化能够反映风险特征信息的变动，对RACA结果进行验证。KRI指标值可以用于对损失情况进行跟踪和监控。,LDC是RACA的重要信息来源，并可用于验证RACA结果的适当性。LDC可用于验证KRI指标和阀值设置的适当性。,验证,触发,整改问题源自各种操作风险管理和内部控制工具、监管、审计、日常监控发现的问题。,各类问题来源,通过操作风险管理工具识别整改问题,整改问题库,事件,风险,整改跟踪,将各类问题登记到整改问题库中,监管,RACA,KRI,LDC,重大事件报告等,一道防线自查,新产品,财政等,外审,内审,二道防线检查,银监会,审计,检查自查,监测报告,各种操作风险和内部控制管理工具,三大工具发现的问题为制定内控检查方案提供重要依据；内控措施检查对三大工具结果进行审视、验证，进一步确认和评估内控措施的有效性、充分性。,内控措施检查与三大工具的相互应用,操作风险管理三大工具,内控措施检查,作为制定检查方案依据,运用工具后获得的信息,通过检查对工具结果进行审视、验证,操作风险报告,操作风险与控制评估内控措施检查新产品操作风险评估,操作风险报告,操作风险整改跟踪业务应急预案和业务连续性计划服务外包管理,操作风险与控制评估内控措施检查新产品操作风险评估,操作风险报告是指各级机构和部门对各类操作风险及管理信息进行收集、分析和组织，并向有关单位或管理人员报告，以支持业务经营和决策。,综合性报告,专项报告、信息或数据,内部控制及操作风险管理报告,工作计划及总结,按固定频率报告,按相关要求不定期报告,RACA分析总结,LDC分析总结,检查总结,其他,KRI数据,重大事件,检查项目,专项整改,其他,触发式RACA,在管理循环中的直接主要作用,其他操作风险管理工具,新产品操作风险评估是新产品开发管理流程中的重要组成部分，依托于操作风险与控制评估流程，在新产品开发阶段，对该新产品的操作流程、固有风险、控制措施和剩余风险进行识别和评估，使防范风险、扼制重大操作风险事件发生的关口前移。服务外包管理旨在对我行外包业务活动进行决策、选择、评估、管理和监督，确保外包业务有严谨的合同和服务协议、各方的责任义务规定明确。业务持续经营计划和业务应急方案旨在确保经营管理活动关键业务流程能够得到持续执行，提高处置与应对突发事件的能力，使关键业务得以持续运作，最大程度减少突发事件给我行带来的负面影响。其他,各操作风险管理工具和流程相互衔接、相互作用，一并构成完整的持续运行系统。,操作风险管理工具总体框架,验证,监控,操作风险整改跟踪,业务应急方案和业务持续经营计划,服务外包管理,新产品操作风险评估,操作风险重大事件报告,整改,内控措施检查与确认,检查,风险与控制评估,关键风险指标,损失数据收集,验证,应用,操作风险管理三大工具,新产品风险管理,重大事件上报,验证,应用,验证,BCP,外包,触发,应用,应用,应用,验证,验证,操作风险管理的“共同语言”和统一标准,操作风险管理报告,操作风险的定义,操作风险管理产生的背景,操作风险管理三大工具,操作风险管理工具在我行的实施,操作风险项目进入全行实施推广阶段,我行新资本协议操作风险项目于2009年4月正式启动，拟于2010年底前满足操作风险标准法监管要求。目前，已完成调研访谈、操作风险资本测算、管理方案设计、论证及试点、合规达标预评估等工作，现进入全行实施推广阶段。,针对中行操作风险管理现状，进行差距分析,调研,方案设计,试点,反馈并修改方案,全行实施推广,申请合规,合规达标,操作风险管理方案设计操作风险资本测算,在选定业务条线和分行进行试点,根据试点反馈信息，修改方案,当前，在操作风险治理、管理工具和流程、风险报告等方面，已完成方案设计、试点和初步实施，具备了全行推广实施基础；资本计量方面，已完成方案并实施了两轮测算；IT系统方面，已完成功能需求并着手准备软件开发，拟于年中投产上线。,向银监会提交合规达标申请,通过银监会关于标准法合规达标评估,2010年底前,2010年6月,当前,合规达标预评估,依照银监会要求，完成合规达标预评估。银监会对我行操作风险管理比较认可。,2009年11月,预评估总结出我行尚需完善的重点问题,预评估总结出我行的一些重点问题,主要操作风险管理工具在我行的实际应用IT蓝图新线上线后由于业务流程和系统变化而导致的主要风险各级机构和部门管理层对操作风险报告的响应度建立操作风险管理专才队伍各级分行在操作风险管理的参与度,提高工具在我行的实际应用,通过前期银监会要求的合规达标预评估，总结出我行操作风险管理上的一些重点问题，这对接下来的操作风险项目全行实施提出了要求，各条线部门和分行应当力求解决这些重点问题。,控制IT蓝图上线引发的风险,应用风险报告进行管理决策,健全操作风险管理岗位,加强操作风险管理培训,要求我