操作風險管理講座看

1、2009年售前工作總結(zngji)和2010年工作規(guī)劃企業(yè)(qy)操作風險管理認證風險管理師培訓Operating Risk Management7/18/2022共九十六頁一、操作風險緒論二、操作風險管理三、操作風險評估四、操作風險應對五、操作風險監(jiān)測(jin c)與評價六、操作風險管理案例目錄(ml)7/18/2022共九十六頁 一、操作風險緒論企業(yè)(qy)操作風險管理7/18/2022共九十六頁一、操作風險緒論起源(qyun)與發(fā)展歷史上，人們首先重視的是市場(shchng)風險和信用風險，而操作風險直到1994年在瑞士巴塞爾銀行監(jiān)督管理委員會的文件中才正式提及，1997年巴塞爾銀行監(jiān)

2、督管理委員會在其有效銀行監(jiān)管的核心原則中，首次將銀行風險歸納為信用風險、國家和轉移風險、市場風險、利率風險、流動性風險、操作性風險、法律風險和聲譽風險2004年6月公布的巴塞爾新資本協(xié)議正式提出了操作風險管理的架構和方法，操作風險作為一個大的風險分類與信用風險、市場風險、流動性風險一道，成為商業(yè)銀行風險管理的重要內容中國學者對操作風險的研究大約始于2000年初，公認的初始文獻是2003年由中科院系統(tǒng)所的樊欣、楊曉光發(fā)表的中國商業(yè)銀行操作風險分析，2007年5月中國銀行監(jiān)督管理委員頒布的商業(yè)銀行操作風險管理指引 是中國第一個關于操作風險的綱領性文件，隨后在中國商業(yè)銀行中，關于操作風險管理的工作逐

3、步開展起來7/18/2022共九十六頁一、操作(cozu)風險緒論風險事件20022003200420052008聯(lián)合愛爾蘭銀行韓國信用卡危機星展銀行美國信用卡數(shù)據(jù)服務公司 Card Systems法國興業(yè)銀行外匯交易員欺詐，損失超7億美元惡性競爭，放松風險控制，最大的LG信用卡公司瀕臨破產83個客戶保管箱（存有客戶資產）被當作廢鐵運走，部分銷毀4000萬信用卡用戶資料被電腦黑客盜取交易員欺詐，損失74億美元國內*銀行國內*銀行國內*銀行國內*銀行大連分行2010年外匯寶交易系統(tǒng)漏洞，損失47萬美元系統(tǒng)升級不當，導致全國范圍內數(shù)個網(wǎng)點系統(tǒng)故障審計署公布查出各類涉嫌違法犯罪案件線索30起，涉案金

4、額69億元600萬美元銀行資金被挪用山東齊魯銀行票據(jù)欺詐案，險些造成銀行的擠兌7/18/20225共九十六頁一、操作風險(fngxin)緒論內控與操作風險如果將“內部控制”理解為操作風險的一部分，或者狹義的理解為操作風險就是強調道德風險的內部控制，則操作風險的歷史可以提前100年。實際上操作風險與內部控制有著密不可分的內在聯(lián)系，一種傾向性的意見是將內部控制是為操作風險的一部分（內控+業(yè)務連續(xù)性），在這樣的操作風險框架(kun ji)下，內部控制的COSO框架，實際上也適用于操作風險從風險處理的層面上去劃分內部控制與操作風險可能是一個比較清晰的方式，企業(yè)面臨的全部風險可以劃分為可控制的風險、不可

5、控制的預期損失風險、不可控制的非預期損失風險以及極端風險。在風險管理中我們一般不涉及處理極端風險，因此，在前三類風險中，內部控制主要來處理第一類風險，而操作風險管理則要涉及全部這三類風險如果將操作風險看作是“風險事件”管理的流程，那么就可以典型地將操作風險管理劃分為“事先事中事后”，而內控則是操作風險管理的事先部分風險事件內部控制風險事件事中監(jiān)控風險事件事后分析處理反饋、評估、修正共九十六頁一、操作風險緒論(xln)操作風險的定義機構操作風險定義IBM公司發(fā)起設立的操作風險論壇 遭受潛在經(jīng)濟損失的可能，是指由于客戶、設計不當?shù)目刂企w系、控制系統(tǒng)失靈及不可控事件導致的各類風險英國銀行家協(xié)會（BB

6、A） 由不足夠的或失敗的內部流程、人員和系統(tǒng)或外部事件造成的直接或間接損失的風險全球風險專業(yè)人員協(xié)會（GARP） 操作失敗風險和操作戰(zhàn)略風險。操作失敗風險來自操作業(yè)務過程中發(fā)生失敗的可能。操作戰(zhàn)略風險則來自一些環(huán)境因素。美國銀行 由于內部處理過程失誤或準備不足（流程風險），或由于人員、系統(tǒng)或外部事件引起的風險，還包括無力以成功、適時與重視成本效益的方式來貫徹戰(zhàn)略目標和計劃的風險花旗銀行 由于內部流程、人員或系統(tǒng)不完善或失敗以及外部事件而造成損失的風險。包括聲譽和授權風險德意志銀行 由員工、合同規(guī)定和檔案保存、技術、基礎設施故障和災禍、外部影響以及客戶關系等方面產生損失的潛在風險巴塞爾新資本協(xié)議

7、 指由于不完善或失靈的內部程序、人員和系統(tǒng)，或外部事件導致?lián)p失的風險。這一定義包括法律風險，但不包括策略風險和聲譽風險中國商業(yè)銀行操作風險管理指引 由不完善或有問題的內部程序、員工和信息科技系統(tǒng)，以及外部事件所造成損失的風險。包括法律風險，但不包括策略風險和聲譽風險7/18/2022共九十六頁一、操作風險緒論(xln)操作風險的定義操作風險定義指由于不完善或失靈的內部程序、人員和系統(tǒng)，或外部事件導致?lián)p失的風險。這一定義包括（或不包括）法律風險，但不包括策略風險和聲譽風險內部控制定義內部控制是由企業(yè)董事會、經(jīng)理階層和其他員工實施的，為資產的安全性、營運的效率效果、財務報告的可靠性、相關法令的遵循

8、性等目標的達成而提供合理保證的過程。定義(dngy)要義關注內部，特指業(yè)務運營部門的相關風險。內部操作失誤、內部業(yè)務流程缺陷、系統(tǒng)脆弱是重要的操作風險源內部人員效能和內部人員欺詐在操作風險中起重要作用，而外部欺詐、自然災害、交通事故、外包缺陷也是風險源7/18/2022共九十六頁一、操作(cozu)風險緒論操作風險與內控的關系事先(shxin)管理員工績效管理內部控制內控環(huán)境內控目標內控規(guī)則合規(guī)風險管理合規(guī)監(jiān)測預警風險暴露、經(jīng)濟資本、風險對沖風險與控制自評估操作風險/運營風險事中管理事后管理溝通與監(jiān)控7/18/20229共九十六頁一、操作風險(fngxin)緒論風險成因操作(cozu)風險形成

9、體制/組織缺陷流程設計管控缺陷內部人員效能及欺詐系統(tǒng)/技術缺陷外部欺詐及其他各種負面事件7/18/2022共九十六頁一、操作(cozu)風險緒論風險成因體制/組織缺陷主要包括：公司治理、各項管理經(jīng)營政策、機構設置、職務設置等方面的各種缺陷流程設計管控缺陷主要包括：業(yè)務工作流程設計、流程管控制度執(zhí)行、風險點發(fā)現(xiàn)與管理、風險應對等方面的各種缺陷系統(tǒng)/技術缺陷主要包括：內部業(yè)務之間協(xié)調調度、系統(tǒng)主體與各個分系統(tǒng)之間的配合、工藝流程技術的適應性、IT系統(tǒng)等方面的各種缺陷外部事件沖擊主要包括：政治、監(jiān)管、自然災害、業(yè)務外包、恐怖威脅、交通事故等外部事件的沖擊7/18/2022共九十六頁一、操作風險緒論(

10、xln)風險成因績效管理缺陷主要包括：員工績效管理、機構績效管理、業(yè)務條線績效管理、客戶績效管理等方面的各種缺陷欺詐(qzh)三角內外部欺詐欺詐動機欺詐時機自我合理化當欺詐三要素：動機、時機以及合理化的借口同時出現(xiàn)的話，欺詐必然發(fā)生7/18/2022共九十六頁一、操作風險緒論(xln)風險分類操作(cozu)風險細分按照操作風險損失事件導致?lián)p失發(fā)生的原因可以將操作風險細分為如下7類：內部欺詐外部欺詐就業(yè)政策及工作場所安全客戶、產品及業(yè)務操作實物資產損壞 業(yè)務中斷及系統(tǒng)失靈實施、交付及流程管理 7/18/2022共九十六頁一、操作風險(fngxin)緒論風險分類操作(cozu)風險細分按照操作風

11、險形成的主客觀因素，可以劃分為操作性杠桿風險和操作性失誤風險。操作性杠桿風險主要指外部因素引起的操作風險，例如監(jiān)管引發(fā)的合規(guī)風險、法律及政治環(huán)境引發(fā)的合同風險或法律風險、交通事故或自然災害引發(fā)的安全風險等。操作失誤性風險則包括：執(zhí)行風險信息風險法律風險人員風險關系風險 系統(tǒng)事件風險7/18/2022共九十六頁一、操作風險(fngxin)緒論風險分類操作(cozu)風險細分按照操作風險形成的主客觀因素，可以劃分為操作性杠桿風險和操作性失誤風險。操作性杠桿風險主要指外部因素引起的操作風險，例如監(jiān)管引發(fā)的合規(guī)風險、法律及政治環(huán)境引發(fā)的合同風險或法律風險、交通事故或自然災害引發(fā)的安全風險等。操作失誤性

12、風險則包括：執(zhí)行風險信息風險法律風險人員風險關系風險 系統(tǒng)事件風險7/18/2022共九十六頁一、操作(cozu)風險緒論風險分類操作(cozu)風險細分風險損失的概率分布2.1 操作風險損失分布圖從風險損失的角度，可分為可控制的損失、不可控制的預期損失、不可控制的非預期損失以及極端損失7/18/2022共九十六頁一、操作(cozu)風險緒論風險分類操作(cozu)風險細分內部風險外部風險人員流程信息技術及系統(tǒng)內部盜竊和欺詐未經(jīng)授權的活動勞動糾紛人員流失適當性、披露和信托責任不良業(yè)務或市場行為客戶選擇和風險暴露交易認定、執(zhí)行和維持實有資產損失工作場所安全系統(tǒng)中斷系統(tǒng)完備性外部盜竊和欺詐系統(tǒng)安全

13、性突發(fā)不可抗事件經(jīng)營環(huán)境惡化7/18/2022共九十六頁一、操作風險(fngxin)緒論風險特征廣泛性：多樣性：操作風險存在于企業(yè)經(jīng)營管理的各個環(huán)節(jié)，表現(xiàn)為各種形態(tài)。復雜性：早期操作風險被定義為除信用風險、市場風險以外(ywi)的所有風險，在企業(yè)的經(jīng)營 管理中，幾乎所有的活動都與操作風險有關。內生性：操作風險的誘因主要與企業(yè)的內部環(huán)境有關，主要由操作不合規(guī)引發(fā)因人性：損失事件很多都是由于人為操作因素引起，企業(yè)文化對操作風險有重大影響可歸因性：操作風險大多屬于內生性風險，一般可以明確地確定其風險源不對稱性：承擔操作風險一般不能帶來明顯的收益或者不能在短期顯現(xiàn)收益背景依存性：操作風險狀況通常與企業(yè)

14、管理水平有直接關系，隨著操作風險管理重視程度的加大，操作風險發(fā)生的可能性和損失強度都可能會降低（損失概率分布發(fā)生變化）可控性：操作風險主要源自員工、系統(tǒng)和流程，這些都由企業(yè)直接管理和控制，在這個意義上，可以認為操作風險是可控性風險。非財務性：信用風險、市場風險大多都與財務結果有直接聯(lián)系，而操作風險多不直接體現(xiàn)為財務風險7/18/2022共九十六頁 二、操作風險管理企業(yè)(qy)操作風險管理7/18/2022共九十六頁二、操作(cozu)風險管理基本概念操作風險管理是指在實現(xiàn)組織經(jīng)營目標(mbio)過程中，相關人員將組織的操作風險控制在組織可接受范圍之內的方法和過程，以保障組織經(jīng)營目標(mbio)

15、的實現(xiàn)。操作風險管理覆蓋面（一個簡約的框架）組織結構：包括治理結構、內部控制、組織文化人員：包括人員素質、人員穩(wěn)定性、薪酬結構、內部欺詐外部因素：包括外部欺詐、經(jīng)營產所安全性、外部突發(fā)事件業(yè)務流程：包括業(yè)務流程設計缺陷、業(yè)務流程執(zhí)行不規(guī)范系統(tǒng)：生產系統(tǒng)、管理系統(tǒng)7/18/2022共九十六頁二、操作風險管理管理(gunl)目標將業(yè)務操作風險控制在一個可以接受的范圍內，使得各類業(yè)務完成目標(mbio)之總和可以實現(xiàn)企業(yè)的總體經(jīng)營目標(mbio)，這是操作風險管理的總任務。在具體的任務分解上企業(yè)操作風險管理的目標(mbio)是：保證資產安全保證業(yè)務運轉連續(xù)性保證企業(yè)和業(yè)務的效益和效率保證經(jīng)營的合規(guī)性

16、操作風險管理的目標保證流程任務完成的正確性7/18/2022共九十六頁二、操作(cozu)風險管理管理原則企業(yè)操作風險管理的六條基本原則：（1）客觀性：以風險事件為管理的基礎。（2）一致性；建立統(tǒng)一的風險評估規(guī)則和計量口徑。（3）相關性：考慮各類風險事件的傳遞和關聯(lián)（4）透明性：建立公開的行政管理制度和規(guī)范（5）整體性：從體系的角度實現(xiàn)業(yè)務管理的協(xié)調(xitio)、關聯(lián)、和匹配（6）完整性：操作風險管理力爭做到全面覆蓋能有效降低操作風險，使內在風險-已降低風險=剩余風險最小化的操作風險管理的12條黃金法則（Hans-Ulrich Doerig， 瑞士信貸集團）：（1）戰(zhàn)略；（2）結構；（3）系

17、統(tǒng)化；（4）員工；（5）安全；（6）速度；（7）利益相關者；（8）共同價值觀；（9）技能；（10）象征；（11）風格；（12）同步7/18/2022共九十六頁二、操作(cozu)風險管理銀監(jiān)會操作風險管理13條原則（1）高度重視防范操作風險的規(guī)章制度建設；（2）切實加強稽核建設；（3）加強對基層行的合規(guī)性監(jiān)督；（4）訂立職責制，明確總行及各級分支機構的責任，形成明確的制度保障；（5）堅持相關的行務管理公開制度；（6）建立和實施基層主管輪崗輪調和強制性休假制度，并確保(qubo)這一安排納入總行及各級分支機構的人事管理制度；（7）嚴格規(guī)范重要崗位和敏感環(huán)節(jié)工作人員八小時內外的行為，建立相應的行為

18、失范監(jiān)察制度；7/18/2022共九十六頁二、操作(cozu)風險管理銀監(jiān)會操作風險管理13條原則（8）對舉報查實的案件，舉報人屬于來自基層的員工（包括合同工、臨時工）的，要予以重獎；（9）加強和完善銀行與客戶、銀行與銀行以及銀行內部業(yè)務臺賬與會計賬之間的適時對賬制度，對對賬頻率、對賬對象、可參與對賬人員等做出明確規(guī)定；（10）加強未達賬項和差錯處理的環(huán)節(jié)(hunji)控制，記賬崗位和對賬崗位必須嚴格分開，堅決做到對未達賬和賬款差錯的查核工作不返原崗處理（11）嚴格印章、密押、憑證的分管與分存及銷毀制度，堅決執(zhí)行制度規(guī)定，并對此進行嚴格檢查，對違規(guī)者進行嚴厲懲處（12）加強對可能發(fā)生的賬外經(jīng)營

19、的監(jiān)控（13）迅速改進科技信息系統(tǒng)，提高通過技術手段防范操作風險的能力，支持各類管理信息的適時、準確生成，為業(yè)務操作復核和稽核部門的稽查提供堅實基礎7/18/2022共九十六頁二、操作(cozu)風險管理管理框架Haubenstock （2004）操作(cozu)風險管理框架治理模型戰(zhàn)略政策風險識別控制框架評估監(jiān)測和度量報告基礎設施環(huán)境流程驗證和在評估7/18/2022共九十六頁二、操作風險管理管理(gunl)框架改進的 Haubenstock （2004）操作(cozu)風險管理框架經(jīng)濟體制風險管理外部環(huán)境外部監(jiān)管風險基礎內部組織信息風險管理內部環(huán)境風險識別風險度量風險控制風險監(jiān)測風險報告風

20、險戰(zhàn)略：風險偏好 管理目標 風險政策風險管理流程7/18/2022共九十六頁二、操作風險管理管理(gunl)框架全面(qunmin)風險管理框架內部環(huán)境目標設定事項評估風險評估風險應對控制活動信息溝通監(jiān)控戰(zhàn)營經(jīng)告報規(guī)合略子 公 司業(yè)務單元 分 部主體層次框架有三個維度，第一維是企業(yè)的目標;第二維是全面風險管理要素;第三維是企業(yè)的各個層級。第一維企業(yè)的目標有四個，即戰(zhàn)略目標、經(jīng)營目標、報告目標和合規(guī)目標。第二維全面風險管理要素有8個，即內部環(huán)境、目標設定、事件識別、風險評估、風險對策、控制活動、信息和交流、監(jiān)控。第三個維度是企業(yè)的層級，包括整個企業(yè)、各職能部門、各條業(yè)務線及下屬各子公司。EMR三

21、個維度的關系是，全面風險管理的8個要素都是為企業(yè)的四個目標服務的;企業(yè)各個層級都要堅持同樣的四個目標;每個層次都必須從以上8個方面進行風險管理。該框架適合各種類風險7/18/2022共九十六頁二、操作風險管理管理(gunl)框架德意志銀行操作(cozu)風險管理框架 方法及類別信息技術解決方案將操作風險納入資本計量溝通和培訓操作風險管理流程 操作風險定義主要原則標準組織架構、角色和責任報告和工具操作風險指標方針操作風險支持 識別控制/緩釋評估報告監(jiān)測操作風險 工具7/18/2022共九十六頁二、操作風險管理管理(gunl)框架國際商業(yè)銀行(shn y yn xn)操作風險管理框架風險分析與評價

22、7/18/2022共九十六頁二、操作風險管理管理(gunl)框架SUNAGARD操作(cozu)風險管理框架風險戰(zhàn)略與政策損失數(shù)據(jù)收集關鍵風險指標風險與控制自評估經(jīng)營管理流程7/18/2022共九十六頁二、操作(cozu)風險管理完整管理框架操作風險管理完整(wnzhng)框架制定明確的操作風險管理政策建立風險識別的一套公共語言構造最優(yōu)的操作風險計量方法構建適當?shù)臉I(yè)務流程建立實時的風險報告能力提供風險敞口管理進行風險分析（情景分析/壓力測試）分配經(jīng)濟資本7/18/2022共九十六頁二、操作風險管理完整管理流程(lichng)框架（續(xù)）操作風險(fngxin)偏好/戰(zhàn)略風險識別風險監(jiān)測與預警風險

23、分析風險評估風險敞口管理風險報告風險應對行動預案建立適當?shù)臉I(yè)務流程分配經(jīng)濟資本監(jiān)督、反饋、改進（稽核與審計）事先、事中、事后操作風險管理治理結構7/18/2022共九十六頁二、操作(cozu)風險管理機構及職責董事會集團行政(xngzhng)管理委員會集團風險管理委員會集團風險管理部部門操作風險管理團隊集團審計委員會部門風險委員會授權確定操作風險偏好建議戰(zhàn)略、批準控制、管理績效審核設計框架、趨勢和集團操作風險狀況監(jiān)控、質量評估添加部門管理層和業(yè)務控制環(huán)節(jié)、監(jiān)控部門操作風險狀況7/18/2022共九十六頁二、操作風險管理管理流程與主要(zhyo)工具識別(shbi)風險控制/緩釋風險監(jiān)測及報告衡

24、量與評估風險關鍵風險指標（KRI）內部控制（流程控制）保險 應急或連續(xù)運轉機制外包承擔風險承擔風險內部歷史事件歸納（內部損失事件數(shù)據(jù)庫）外部歷史事件歸納（外部損失事件數(shù)據(jù)庫）情景分析流程分析評估原則：自我評估為主，有時會采用獨立第三方評估評估內容：固有風險（無管理風險）、控制風險（控制失效風險）、剩余風險評估方法：檢查表法、敘述法、交流法、評估自動化工具、成熟度模型風險坐標圖風險監(jiān)測指標以及指數(shù)化預警調查問卷內控評價7/18/2022共九十六頁二、操作(cozu)風險管理管理流程業(yè)務流程分析確定風險點內部控制制度建立風險點管控規(guī)則風險評估風險敞口計量風險點監(jiān)控風險應對風險分析事先管理事中管理事

25、后管理上上島島上上島島7/18/2022共九十六頁二、操作風險管理主要管理(gunl)活動梳理操作風險管理環(huán)境，建立操作風險治理結構設計操作風險管理框架提取企業(yè)決策者操作風險管理策略建立企業(yè)內部控制體系收集、統(tǒng)計發(fā)生在企業(yè)內外的各種相關風險事件，建立風險事件數(shù)據(jù)庫根據(jù)業(yè)務流程中評測的風險點以及系統(tǒng)脆弱性評估，建立風險應對預案通過關鍵風險指標（KRI）的建立，實現(xiàn)對業(yè)務流程的實時監(jiān)測或階段(jidun)稽核通過風險事件的報告體系啟動風險應對和風險分析通過對風險事件的損失和發(fā)生頻率分析，計算操作風險的預期損失和非預期損失，從而建立操作風險的風險撥備和經(jīng)濟資本，以對沖風險7/18/2022共九十六頁

26、二、操作風險管理主要管理(gunl)活動操作(cozu)風險管理業(yè)務正確性管理業(yè)務的成本效益管理業(yè)務的合規(guī)性管理反欺詐內控體系建設風險敞口管理及經(jīng)濟資本計量外部沖擊與危機處置員工及組織的績效管理操作風險報告戰(zhàn)略目標風險偏好7/18/2022共九十六頁二、操作風險管理IT系統(tǒng)(xtng)框架操作(cozu)風險數(shù)據(jù)庫控制程序文件風險事件集合關鍵風險指標KRI風險應對預案KRI監(jiān)測預警與控制內控子系統(tǒng)業(yè)務正確性管理員工組織業(yè)務績效管理損失事件分析管理有效性評估風險敞口控制經(jīng)濟資本計量操作風險報告操作風險應對7/18/202238共九十六頁二、操作(cozu)風險管理業(yè)務連續(xù)性保障（IT系統(tǒng)）7/1

27、8/2022共九十六頁二、操作風險管理三大(sn d)工具損失(snsh)數(shù)據(jù)收集（LDC）關鍵風險指標（KRI）風險控制自我評估（RCSA）通過RCSA辨識損失數(shù)據(jù)通過LDC為RCSA提供風險點通過RCSA設置KRI通過KRI為RCSA提供途徑KRI異常提示風險損失數(shù)據(jù)LDC分析提供KRI設置共九十六頁 三、操作風險評估企業(yè)(qy)操作風險管理7/18/2022共九十六頁三、操作風險(fngxin)評估基本概念操作風險評估是企業(yè)操作風險的管理者，依據(jù)企業(yè)董事會或企業(yè)決策者的風險管理戰(zhàn)略(zhnl)或風險管理偏好，所開展的操作風險識別、操作風險分析以及風險評價的全過程風險管理戰(zhàn)略操作風險識別操

28、作風險分析操作風險評價7/18/2022共九十六頁三、操作(cozu)風險評估風險識別流程操作(cozu)風險識別的主要步驟明確主要業(yè)務和重點環(huán)節(jié)識別操作風險系統(tǒng)整體特征識別關鍵風險誘因確定風險事件選擇關鍵風險指標確定風險暴露7/18/2022共九十六頁三、操作(cozu)風險評估風險識別原則系統(tǒng)性：不局限在特定業(yè)務、部門、人員、標的物，研究企業(yè)范圍內的全部風險。連續(xù)性：不斷分析企業(yè)面臨各類風險及其變化規(guī)律，特別是由于環(huán)境變化新產生的風險。制度性：使風險識別(shbi)成為有組織、有制度的常規(guī)性工作。風險因素風險事件損失/收益風險識別三要素：7/18/2022共九十六頁三、操作風險評估(pn

29、)風險識別之環(huán)境因素關鍵風險誘因（KRD）的構成 引發(fā)操作風險的重要影響因素稱為關鍵風險誘因（KRD）。這些影響因素的變化會導致操作風險發(fā)生或已有操作風險損失的變化，KRD可以定性或定量描述。7/18/2022共九十六頁三、操作風險評估(pn )風險識別之環(huán)境因素關鍵風險誘因（KRD）的形成機理1、風險管理文化缺失 風險管理文化決定企業(yè)經(jīng)營管理過程的風險管理觀念和行為方式。部分企業(yè)高級管理者在業(yè)務經(jīng)營管理中，以人情代替制度，重信任輕原則，導致授權過大或越權行為，引發(fā)大量的操作風險損失。由于歷史和體制的原因，大部分中國企業(yè)風險管理意識薄弱，操作風險管理帶有外部驅動的特點，操作風險管理不能適應業(yè)務

30、快速發(fā)展、風險日益變化(binhu)的需要。 7/18/2022共九十六頁三、操作風險(fngxin)評估風險識別之環(huán)境因素管理(gunl)體系：不是垂直管理管理職則：分散組織架構：不清晰內部監(jiān)督：總行缺乏力度外部監(jiān)管：手段技術落后缺乏整體規(guī)劃和系統(tǒng)性管理方法落后內控建設缺乏前瞻性監(jiān)管制度不完善內部管理制度缺陷7/18/2022共九十六頁三、操作風險評估(pn )風險識別之環(huán)境因素3、人力資源狀況欠佳：中國企業(yè)體制改革不斷深化，重組、裁員、改制、分流，給員工帶來的安全感降低，忠誠(zhngchng)與信任度下降，員工在長期較大的環(huán)境壓力下，表現(xiàn)出普遍的心理焦慮問題，潛藏著操作失誤的風險隱患。具

31、體如下圖： 恐懼下崗心理、前途無望心理、疲勞厭倦心理、安于現(xiàn)狀心理、大膽冒險心理三角理論：基層業(yè)務機構壓力、對基層疏于控制產生機會、為欺詐行為找到借口用人失察、凝聚力不強、放松思想、價值觀扭曲道德缺失職業(yè)舞弊人力資源管理不到位操作風險共九十六頁三、操作(cozu)風險評估風險識別之環(huán)境因素4、操作風險信息不對稱（1）業(yè)務管理流程中的信息不對稱（2）風險披露中的信息不對稱5、技術和設備相對落后。 主要表現(xiàn)為信息系統(tǒng)部門割據(jù)、流程中斷，阻礙了企業(yè)內部(nib)和企業(yè)之間的信息共享，弱化了風險識別和控制功能；此外，部分企業(yè)的硬件和軟件設備落后，不標準系統(tǒng)和低標準系統(tǒng)之間的不協(xié)調也是主要的誘因。 7/

32、18/2022共九十六頁三、操作(cozu)風險評估風險識別之環(huán)境因素6、轉型期的社會環(huán)境及市場變動相對復雜從各國的經(jīng)驗來看，當一個社會的人均GDP處于1000-3000美元的時候，正是這個社會的經(jīng)濟變化最劇烈的時期。這一階段既是中國經(jīng)濟發(fā)展的黃金時期，也是社會矛盾凸顯時期。（1）外部：針對企業(yè)的搶劫、詐騙、盜竊等犯罪活動突出；（2）內部：國有企業(yè)的改革和其它所有權形式的發(fā)展過程中出現(xiàn)的同業(yè)競爭不規(guī)范、各商業(yè)企業(yè)市場定位不明確、產品服務同質化現(xiàn)象嚴重 7、金融生態(tài)環(huán)境不理想（1）社會信用秩序比較混亂(hnlun)（2）企業(yè)客戶選擇權極為有限 7/18/2022共九十六頁三、操作風險評估風險識別

33、之關鍵(gunjin)風險誘因7/18/2022共九十六頁三、操作(cozu)風險評估風險識別之方法論慣性原理 任何事件在其發(fā)展過程中，都有從過去到現(xiàn)在及延伸到將來的可能性。量變到質變原理 風險事件從潛在危機到形成損失一般存在風險因素發(fā)生和積累從量變到質變的規(guī)律。 多米諾骨牌原理 風險的發(fā)生是由一系列“事故”的第次反應導致的，這些事故可以形象地看作立著的多米諾骨牌，一個骨牌倒下會引起連鎖反應；每一個因素依賴于前面的因素。能量釋放原理 風險的產生是因為對財產和人員施加(shji)的壓力超過其可以承受的極限，能量失去控制所至。能量失控導致火災、事故、工業(yè)傷害和其他損失發(fā)生的情形。 7/18/202

34、2共九十六頁三、操作風險評估(pn )風險識別之方法論目標導向風險識別：組織或項目小組有目標。任何可能危及部分目標獲得的事件都被識別為風險。目標導向是COSO的基礎。情景導向風險識別：在情景分析中，創(chuàng)造出不同的情境。情景可以是達到目的的不同方式，或作用力交互作用的分析。如市場、戰(zhàn)爭。任何觸發(fā)不希望情景的事件都被識別為風險。分類(fn li)導向風險識別：此處的分類是可能風險源的一個事故結果。依據(jù)分類和實踐的知識，編輯一個問題集合。對問題的回答反映出風險。7/18/2022共九十六頁三、操作(cozu)風險評估風險識別之方法論經(jīng)驗導向風險識別：經(jīng)驗化為知識庫，如對常見(chn jin)風險作成檢

35、查表，進行對照。在一些行業(yè)，可以列出已知風險。表中的每項風險可以有相應的對策。流程導向風險識別：對企業(yè)或組織的主要業(yè)務流程進行分解，發(fā)現(xiàn)每個流程的，各個環(huán)節(jié)是否存在風險因素，可同時進行業(yè)務流程優(yōu)化。事件導向風險識別： 基于已發(fā)生事件（基于理賠、專項調查），針對風險事件的資料情況，找出共性的風險因素。專業(yè)機構或專門組織分析完成，需大量占有事件資料。7/18/2022共九十六頁三、操作風險(fngxin)評估風險識別之方法論識別操作風險就是要回答以下問題(wnt)：在業(yè)務運行過程中，本組織面臨哪些操作風險？操作風險的驅動因素有哪些？什么是潛在事項？哪些潛在事項可能引發(fā)操作風險？操作風險的損失和收益

36、結果是什么？什么是關聯(lián)風險、關聯(lián)風險因素、關聯(lián)事件和關聯(lián)事件可能產生的后果? 操作風險的誘發(fā)原因是什么？操作風險可能發(fā)生的地點？操作風險可能發(fā)生的時間？識別操作風險需要考慮的問題7/18/2022共九十六頁三、操作風險評估(pn )風險識別之方法論產品分類業(yè)務流程梳理風險點發(fā)現(xiàn)風險敞口分析與計量操作風險經(jīng)濟資本配置風險管理戰(zhàn)略風險辨識風險評估內部控制風險應對信息交換與溝通風險管理系統(tǒng)運行監(jiān)控RCSA-Risk and Control Self-assessmnet共九十六頁三、操作(cozu)風險評估風險識別方法風險(fngxin)識別方法事故樹和事件樹調查問卷法抽樣訪談法比較分析法檢查表法保

37、護層分析法蝶形圖分析法專家評估法人工智能技術7/18/2022共九十六頁三、操作風險(fngxin)評估風險識別方法欺詐壓力自我合理化機會財務欺詐是指會計活動中相關當事人為了逃避納稅、分取高額紅利、提取秘密公積金等謀取私利的目的，事前經(jīng)過周密安排而故意制造虛假會計信息的行為。欺詐概率為：P(F)=f ( M , O , R) , 其中M為動機，O為機會，R為理性程度或者P(F)=f( G , O , N, E)，其中G為貪婪，O為機會，N為需要，E為揭露。財務欺詐(qzh)風險識別7/18/2022共九十六頁三、操作風險評估(pn )風險分析風險分析的目的是了解風險，即了解風險的影響和了解風險

38、發(fā)生的頻度，了解風險嚴重性的級別(jbi)，以便決定它的可容忍性或可接受性，從而研究和選擇治理風險的最好策略和途徑風險分析確定已識別出風險事件的影響結果及其發(fā)生的可能性考慮現(xiàn)在有無任何控制措施和現(xiàn)有控制措施風險發(fā)生的效果根據(jù)可能性和影響結果確定風險水平估計風險敞口及發(fā)生頻率估計無風險緩釋的風險危害估計風險發(fā)生的嚴重程度7/18/2022共九十六頁三、操作(cozu)風險評估風險分析方法操作風險分析的方法可以分為：定性分析、半定量分析、定量分析三類。各類分析方法所依據(jù)的事實和數(shù)據(jù)主要來自于一下幾個方面：（1）過去的記錄；（2）相關的的實踐經(jīng)歷；（3）相關的文章和資料；（4）市場測試和研究；（5）

39、公共咨詢或調查結果；（6）試驗和樣板典型；（7）社會經(jīng)濟模型、工程技術模型或其他模型；（8）特種(tzhng)專才或專家評判。7/18/2022共九十六頁三、操作風險(fngxin)評估風險分析方法操作(cozu)風險分析定性方法調查問卷法專家會商法自我評價法情景分析法風險敞口發(fā)生頻率定性法的主要缺陷是“受制于專家的主觀判斷”和“缺乏統(tǒng)一標準，而導致結果變化莫測”。但由于客觀上缺乏操作風險的損失數(shù)據(jù)和無法找到某些操作風險的風險因素與其發(fā)生概率和損失大小之間的清晰關系，定性分析方法雖然有難以克服的缺點，仍然是一種常用的風險分析工具。7/18/2022共九十六頁三、操作(cozu)風險評估風險分析

40、方法操作風險分析(fnx)定量方法歷史風險事件統(tǒng)計回歸分析情景模擬技術蒙特卡洛模擬風險敞口發(fā)生頻率7/18/2022共九十六頁三、操作風險(fngxin)評估風險分析方法操作(cozu)風險價值與經(jīng)濟資本計量方法操作風險經(jīng)濟資本計量：基礎法標準法內部度量法 操作風險價值計量：損失分布法記分卡方法蒙特卡洛模擬法極值理論方法貝葉斯方法方差協(xié)方差方法統(tǒng)計回歸方法7/18/2022共九十六頁三、操作風險評估(pn )風險評價風險評價就是在風險識別、風險分析的基礎上完成以下(yxi)工作:當前的風險是否需要管理？風險的重要性如何？管理的次序怎樣？如何管理？管理的備選方案有哪些？7/18/2022共九十六

41、頁 四、操作風險應對企業(yè)(qy)操作風險管理7/18/2022共九十六頁四、操作風險(fngxin)應對應對策略操作風險應對(yngdu)是指風險管理者通過各種可能的操作或措施抑制、緩釋、對沖、轉移操作風險，使其最終造成的損失控制在可以接受的范圍內，并且對企業(yè)的經(jīng)營目標的實現(xiàn)、品牌聲譽、監(jiān)管要求不造成明顯的負面影響。操作風險應對策略避免風險分擔風險轉移風險保留風險減緩風險改變風險消除風險源共九十六頁四、操作(cozu)風險應對風險治理操作風險治理(zhl)方法之“內部控制”企業(yè)內部控制體系設計程序：戰(zhàn)略目標分解為經(jīng)營目標，經(jīng)營目標分解為操作目標財務類目標操作類目標管理類目標工作流程設計風險節(jié)點

42、控制控制程序文件控制管理規(guī)范流程管理重新設計（測試與調整）風險控制文檔解決內控組織執(zhí)行問題解決內控標準控制依據(jù)問題解決內控執(zhí)行基礎問題7/18/2022共九十六頁四、操作(cozu)風險應對風險治理操作風險治理(zhl)方法之“事中監(jiān)控”業(yè)務運行的循環(huán)圈中提取關鍵風險指標KRI（基于事先的風險識別）在業(yè)務運轉的流程中進行風險預警（基于KRI的閾值）根據(jù)事先設計的風險應對措施實施風險抑制操作案例：系統(tǒng)信息安全監(jiān)控7/18/2022共九十六頁四、操作風險(fngxin)應對風險治理操作(cozu)風險治理方法之“風險轉移”當操作風險評估確認風險無法自行承擔時可以實施風險轉移的策略通過購買保險轉移風

43、險通過業(yè)務外包轉移風險7/18/2022共九十六頁四、操作風險應對(yngdu)風險治理操作風險治理(zhl)方法之“風險承擔”當操作風險評估確認風險法自行承擔時可以實施風險對沖處置策略通過操作風險撥備對沖預期風險通過操作風險經(jīng)濟資本對沖非預期風險7/18/2022共九十六頁 五、操作風險監(jiān)測和評價企業(yè)(qy)操作風險管理7/18/2022共九十六頁五、操作風險監(jiān)測(jin c)與評價操作風險的監(jiān)測與評價是操作風險管理的事后處理，它是針對已經(jīng)發(fā)生的風險事件或系統(tǒng)運行的狀況，完成以下工作(gngzu)：（1）分析事件、變化和趨勢，并從中吸取經(jīng)驗教訓；（2）檢討風險管控的機制和措施的有效性，改進風

44、險管控的機制和風險應對的策略；（3）識別正在暴露的和潛在的風險，以及新風險；（4）風險應對分析收集已發(fā)生的風險事件審查當前系統(tǒng)的脆弱性分析風險事件屬性和特征研究其發(fā)展趨勢和變化改進風險管控機制和措施識別潛在的新風險風險應對以及風險對沖緩釋效果分析7/18/2022共九十六頁五、操作(cozu)風險監(jiān)測與評價監(jiān)測機制風險監(jiān)測通常由兩種主要的形式，即外部監(jiān)測或外部風險審計和內部監(jiān)測或內部風險審計外部審計通常由會計師事務所、律師事務所、風險管理咨詢公司承擔；內部審計或風險監(jiān)測則由企業(yè)內審部門或企業(yè)風險管理部門承擔監(jiān)測或審計的目的是對企業(yè)風險管理體系的效用評價，即是對企業(yè)因應規(guī)避、減輕、轉移、控制運行

45、風險而建立的風險管理體系或方法的完備性、有效性進行評估，幫助企業(yè)或企業(yè)監(jiān)管單位進一步改進該風險管理體系，所進行的對體系設計、建設、管理和運行情況水平的全面分析和評估企業(yè)風險管理系統(tǒng)效用評價在形態(tài)上表現(xiàn)為一個知識體系，通過指標的獲得，指標的量化，指標的判斷(pndun)和對指標的綜合評價，得到所評價的企業(yè)風險管理系統(tǒng)的效用等級。評價者的背景在體系中所發(fā)揮的作用，取決于對系統(tǒng)所使用的應用參數(shù)的修訂能力，或修訂的必要性。而系統(tǒng)應用參數(shù)的建立主要是通過對有豐富企業(yè)管理經(jīng)驗的專家的采樣來獲得7/18/202273共九十六頁五、操作風險監(jiān)測與評價(pngji)審計與評價企業(yè)(qy)風險管理有效性評價觸及核

46、心風險的全面評價容易掌握的程序化的操作方法定性評價與定量評價相結合結果和結構透明公平公正公開7/18/2022共九十六頁五、操作風險監(jiān)測與評價(pngji)審計與評價通過設置的一系列指標來觀測企業(yè)風險管理的質量，并從中發(fā)現(xiàn)企業(yè)可能面臨的風險，這是一種直接而有效的方法。企業(yè)風險管理體系運行有效性評價指標體系包括： （1）體系完備性 （2）系統(tǒng)深入(shnr)性 （3）管理詳細性 （4）目標達成性 （5）運行有效性 （6）持續(xù)維護性最為重要的監(jiān)測與評價就是對已發(fā)生的風險事件和風險表征指標的觀測與分析！7/18/2022共九十六頁五、操作(cozu)風險監(jiān)測與評價風險報告企業(yè)應對操作風險狀況和實質性

47、風險損失進行定期監(jiān)控。監(jiān)控結果應以適當方式向管理層和董事會報告，以支持積極的操作風險管理工作。風險報告應做到：（1）及時(jsh)；（2）準確；（3）清晰；（4）一致；（5）持續(xù)風險報告的分類：操作風險報告按照反映風險內容的不同，可以分為：預測型的操作風險報告：各種操作風險的趨勢匯報；監(jiān)控型的操作風險報告：各種操作風險關鍵控制指標的報告評估型的操作風險報告：自我評估檢查、獨立專家評估等周期型操作風險報告：用于各期的比較分析，Benchmarking等專項操作風險報告：用于特定運營項目或者運營條件下7/18/2022共九十六頁五、操作(cozu)風險監(jiān)測與評價風險報告典型的操作(cozu)風險報

48、告框架風險分類下當前的操作風險水平（監(jiān)測）已發(fā)生風險事件的統(tǒng)計分析風險事件評估系統(tǒng)脆弱性評估風險應對建議及效用分析風險緩釋工具使用風險撥備與經(jīng)濟資本占用7/18/2022共九十六頁五、操作風險(fngxin)監(jiān)測與評價風險報告7/18/2022共九十六頁五、操作風險(fngxin)監(jiān)測與評價風險報告7/18/2022共九十六頁 六、操作風險管理案例企業(yè)(qy)操作風險管理7/18/2022共九十六頁六、企業(yè)(qy)操作風險管理案例操作風險事后管理(gunl)案例法律風險管控操作風險事中管理案例網(wǎng)上銀行欺詐風險管控7/18/2022共九十六頁六、企業(yè)(qy)操作風險管理案例IT系統(tǒng)操作(cozu

49、)風險管理數(shù)據(jù)庫風險數(shù)據(jù)收集風險識別流程梳理自我評估風險監(jiān)控關鍵指標風險緩釋控制經(jīng)濟資本計量機構風險評級風險報告損失事件風險辨識方法風險計量模型風險應對策略外部數(shù)據(jù)內部業(yè)務部數(shù)據(jù)7/18/2022共九十六頁控制(kngzh)工作進度和質量發(fā)現(xiàn)(fxin)和培養(yǎng)人才檢討環(huán)節(jié)領導的工作決策失誤全面監(jiān)測和分析企業(yè)的薪酬福利政策崗位能力分析與配置（組織成熟度）績效管理使企業(yè)業(yè)績得以改善和提升強化員工向心力保證持續(xù)發(fā)展六、企業(yè)操作風險管理案例（1） 操作風險識別（績效管理）7/18/2022共九十六頁？個性、興趣、氣質工作特長、工作能力、工作態(tài)度個人發(fā)展規(guī)劃家庭狀況、家庭負擔綜合素質、專業(yè)技能任何(rnh)時點的工作內容、工作情況領導能力、交際能力合作能力影響崗位安排合理性不利人才培養(yǎng)限制員工發(fā)揮低效工作控制降低團隊效率企業(yè)