《企業(yè)操作風險管理》模塊考試大綱課件

《企業(yè)操作風險管理》模塊考試大綱

CERM注冊企業(yè)風險管理師培訓專用課件《企業(yè)操作風險管理》模塊考試大綱一、考試目的本模塊測試考生對企業(yè)操作風險管理基本理論和專業(yè)知識的掌握情況，考核考生在操作風險管理方面的綜合思維，考核考生運用操作風險管理基本理論和專業(yè)知識分析解決企業(yè)實際問題的能力，考核考生在綜合分析診斷企業(yè)全面和系統(tǒng)性風險問題時運用操作風險管理基本思維和基本知識的能力。一、考試目的本模塊測試考生對企業(yè)操作風險二、考試基本要求2.1掌握以下內(nèi)容2.1.1操作風險及其成因2.1.2操作風險的分類2.1.3操作風險管理的概念2.1.4操作風險管理在企業(yè)全面風險管理中的意義2.1.5操作風險管理的目標2.1.6操作風險管理原則2.1.7操作風險管理結(jié)構(gòu)和過程框架2.1.8操作風險管理的實施思路二、考試基本要求2.1掌握以下內(nèi)容二、考試基本要求2.1.9企業(yè)操作風險評估1.風險識別2.風險分析3.風險評價2.1.10操作風險應對策略和措施1.操作風險應對策略2.操作風險應對措施2.1.11操作風險監(jiān)控和評價1.監(jiān)控機制和監(jiān)控活動2.操作風險報告3.操作風險管理評價2.1.12操作風險危機管理與商務可持續(xù)性計劃二、考試基本要求2.1.9企業(yè)操作風險評估二、考試基本要求2.2了解以下內(nèi)容2.2.1操作風險管理發(fā)展的現(xiàn)狀和趨勢2.2.2重要商務領(lǐng)域的操作風險管理2.2.3制造業(yè)和服務業(yè)的操作風險管理2.2.4企業(yè)操作風險的計量、操作風險定價和經(jīng)濟資本配置二、考試基本要求2.2了解以下內(nèi)容三、要點內(nèi)容3.1操作風險及其成因三、要點內(nèi)容3.1.1操作風險的概念操作風險（OperationRisk）又稱為運營風險，是一個古老的風險，人們對它既熟悉又陌生。自人類社會誕生伊始就伴隨其左右，并時時刻刻存在于人們一切活動的過程中。企業(yè)對操作風險的管理可以分為傳統(tǒng)的分離式操作風險管理和當代概念下的集成式操作風險管理，分離式的操作風險管理是以各自獨立的治理操作層面的單一風險為特征，例如企業(yè)進行單一的質(zhì)量風險管理、安全風險管理或員工行為風險管理等，而當今集成操作風險管理則是用系統(tǒng)性的、關(guān)聯(lián)性的集成思維和方法生成操作風險管理的綜合治理方案，以達到成本最小和操作風險治理效果最佳目標。人們對集成概念下的操作風險的普遍關(guān)注和強化管理是20世紀末開始的，也可以說企業(yè)對集成概念的操作風險的關(guān)注與企業(yè)對全面風險管理的關(guān)注是同步起始的。信息技術(shù)的發(fā)展支持了操作風險的綜合評估技術(shù)，企業(yè)全面風險管理體系建設和風險文化建設為操作風險治理奠定了結(jié)構(gòu)與環(huán)境基礎(chǔ)，企業(yè)利益相關(guān)者（例如監(jiān)管方或投資方）對操作風險治理水平的日益關(guān)注均成為當今世界操作風險管理新意迭出的基礎(chǔ)3.1.1操作風險的概念操作風險3.1.1操作風險的概念1.組織的運營及其風險操作風險隨著組織的產(chǎn)生而產(chǎn)生，也隨著組織的發(fā)展而發(fā)展。并時時刻刻存在于組織的運營過程中，影響著組織目標的實現(xiàn)。在經(jīng)濟全球化和市場一體化的新時代，隨著IT，特別是計算機技術(shù)的普遍應用，組織的分工協(xié)作、相互依存、相互影響的程度也越來越高；組織的運營系統(tǒng)對組織目標的實現(xiàn)程度，對組織內(nèi)外部價值鏈上的主體都會產(chǎn)生影響；一個組織的運營系統(tǒng)發(fā)生危害事件，不僅會威脅到該組織的發(fā)展和生存，也會危害到更多組織和公眾的利益。當今世界，人們一方面在享受全球化運營帶來的好處，另一方面也生活在更大的危險當中。由于各種重大危害事件的不斷發(fā)生，幾乎使所有的組織對全面風險管理越來越重視。隨著對操作風險認識的不斷加深，必須對其進行有效的管理已經(jīng)成為普遍的共識。因此，自20世紀90年代以來，有關(guān)于操作風險管理的理論和實踐也開始迅速地發(fā)展起來。3.1.1操作風險的概念1.組織的運營及其風險3.1.1操作風險的概念2.操作風險的定義⑴本大綱中的定義：不確定性對運營目標的影響。⑵巴塞爾（Basel）銀行監(jiān)管委員會的定義：由于不完善或有問題的內(nèi)部操作流程、人員、系統(tǒng)或外部事件而導致的直接或間接損失的風險。本大綱認為，上述巴塞爾條約給出的有關(guān)操作風險定義不僅適合于銀行界，也適合于其它所有行業(yè)。本大綱推介的定義應包含以下特征：—它是根據(jù)國際標準化組織（ISO）對風險所作的定義而延伸出來的。具有ISO定義的高度概括性、簡練性、全面性和通用性?！僮黠L險可以用由組織的過程（流程）、人員、系統(tǒng)或外部事件影響實現(xiàn)運營目標的事件和環(huán)境變化（或二者的組合）所造成的結(jié)果及其可能性來表達。3.1.1操作風險的概念2.操作風險的定義3.1.1操作風險的概念3.操作風險的性質(zhì)⑴異質(zhì)性

操作風險由于覆蓋范圍廣泛，誘發(fā)因素多種多樣，不同操作風險之間表現(xiàn)出明顯的性質(zhì)差異。外部欺詐、計算機病毒引發(fā)的系統(tǒng)崩潰、質(zhì)量缺陷、地震以及恐怖襲擊等盡管都同屬于操作風險，但顯然其誘發(fā)因素和性質(zhì)的差異是很大的。這種性質(zhì)差異導致了操作風險的管理從量化到管理控制、監(jiān)測等各個方面都具有很大的挑戰(zhàn)性。⑵普遍性操作風險不僅存在于業(yè)務流程之中，也存在于風險管理本身的實施過程之中，一個大型制造業(yè)企業(yè)的操作風險可達上千種之多，操作風險遍及企業(yè)運營過程中。⑶不對稱性操作風險從發(fā)生頻率和損失嚴重程度上看可以分為兩類：一是發(fā)生頻率高、造成損失相對較小的日常業(yè)務流程處理上的小錯誤；二是發(fā)生頻率低但造成的損失相對大的自然災害、大規(guī)模舞弊等。這使得操作風險在分布上呈現(xiàn)出肥尾的非對稱特征。因此，試圖用一種方法來覆蓋操作風險的所有領(lǐng)域幾乎是不可能的。3.1.1操作風險的概念3.操作風險的性質(zhì)3.1.1操作風險的概念⑷非盈利性絕大多數(shù)情況下，操作風險不是投機性風險，而是純風險，只會產(chǎn)生損失而不會帶來收益，因此不具有盈利性。這時，應對操作風險的基本策略就是盡可能降低，然而卻必須受到成本支出的約束，因而需要追求的是降低操作風險和增加管理成本之間的平衡。⑸可轉(zhuǎn)化性例如在商業(yè)銀行，操作風險通?？梢赞D(zhuǎn)化為市場風險和信用風險。⑹可控性操作風險多數(shù)與人的行為相關(guān)聯(lián)，可以說操作風險的產(chǎn)生是直接或間接人為的作用結(jié)果，因此多數(shù)情況下操作風險是可控制的風險（外部突發(fā)事件除外）。⑺行業(yè)差異性操作風險具有鮮明的行業(yè)特點，不同行業(yè)所呈現(xiàn)的操作風險特征差異巨大，因而相應的具體管理方法也因行業(yè)不同而不同。⑻隨機性操作風險與人的行為緊密相連，由于人的行為具有隨機性的特點，注定了操作風險的隨機性。3.1.1操作風險的概念⑷非盈利性絕大多數(shù)情況下，3.1.1操作風險的概念4.操作風險的分類操作風險的分類多數(shù)圍繞著上文所談到的操作風險的成因而分為幾個組別：組織、政策/過程、技術(shù)、人員和外部事件等。本大綱分類：控制風險、過程風險、人員風險、合規(guī)風險、營銷風險、操作性技術(shù)風險、營運能力風險、質(zhì)量風險、安全風險、環(huán)境風險、供應商風險、項目運行風險、效率風險、成本風險、人員行為風險、信息系統(tǒng)風險、財務管理風險、報告風險、突發(fā)事件令業(yè)務中斷風險（例如自然災害風險）等。巴塞爾委員會的分類（例如針對銀行業(yè)）：——內(nèi)部欺詐——外部欺詐——就業(yè)政策和工作場所安全性——客戶、產(chǎn)品及業(yè)務操作——實體資產(chǎn)損壞——業(yè)務中斷和系統(tǒng)失敗——執(zhí)行、交割及流程管理3.1.1操作風險的概念4.操作風險的分類3.1.2操作風險的成因操作風險的成因可歸納為組織、政策/過程、技術(shù)、人員和外部事件等五個方面。1.組織⑴組織的含義組織是指職責、權(quán)限和相互關(guān)系得到安排的一組人員及設施。例如，公司、集團、商行、企事業(yè)單位、研究機構(gòu)、慈善機構(gòu)、代理商、社團或上述組織的部分或組合。組織結(jié)構(gòu)是指人員的職責、權(quán)限和相互關(guān)系的安排。組織的功能主要是通過組織結(jié)構(gòu)來推動和實現(xiàn)的。⑵組織因素風險優(yōu)秀的組織，其上下級之間、部門之間、各崗位之間均配合默契，所有成員的能力都能互補，使整個組織決策和解決問題的能力與系統(tǒng)運營達到最佳水平。組織/組織結(jié)構(gòu)因素風險主要是由于部門和崗位設置的缺陷、部門和崗位職責及其權(quán)限規(guī)定的不夠合理、部門和崗位之間相互關(guān)系界定得不清晰或接口不嚴密等原因造成的。例如，——組織結(jié)構(gòu)不能充分反映組織活動的目標和規(guī)劃；——組織結(jié)構(gòu)不能很好地反映出組織各層次可使用的職權(quán)范圍；——組織結(jié)構(gòu)不能適應環(huán)境的變化；——業(yè)務活動的劃分和權(quán)限的設置與人員的數(shù)量、技能和習慣不夠匹配：等等COSO的研究報告將組織層級的風險成因分為外來因素和內(nèi)在因素兩大類。3.1.2操作風險的成因操作風險的成因可歸納為組織3.1.2操作風險的成因2.政策/過程⑴政策因素風險風險管理政策（方針）是經(jīng)組織的最高管理層正式批準的管理風險的全部意圖、方向和原則。操作風險政策就是組織對操作風險管理中各相關(guān)部門所負有的職責、所采用的技術(shù)和方法等問題的具體規(guī)定。因此，政策因素導致操作風險的原因主要有：①操作風險管理的目標有偏差；②操作風險定義及其管理的基本理論不完善；③對操作風險管理架構(gòu)及其相應的作用、責任規(guī)定得不夠明確；④風險政策未能描繪或規(guī)范出操作風險管理工具和報告運用的預期效果；⑤未能完善地制定并嚴格地執(zhí)行一套與風險政策相配套的制度。為確保風險政策得到有效執(zhí)行，這一套制度至少應涵蓋以下四方面內(nèi)容：——高層管理者對操作風險管理目標執(zhí)行情況的定期審查制度；——風險管理部門對操作風險管理控制措施遵守情況的檢查制度；——審查、處理和解決違規(guī)問題的相關(guān)政策、程序和步驟；——確保有一套各操作風險管理層責任明確的成文的審批和授權(quán)制度。3.1.2操作風險的成因2.政策/過程3.1.2操作風險的成因

⑵過程（流程）因素風險任何使用資源將輸入轉(zhuǎn)化為輸出的活動或一組活動都可視為一個過程。通常，一個過程的輸出將直接成為下一個過程的輸入。組織的運營便是由許許多多相互關(guān)聯(lián)和相互作用的過程組成的。系統(tǒng)地識別和管理運營所履行的過程，特別是這些過程之間的相互關(guān)聯(lián)和相互作用是有效地實施操作風險管理的關(guān)鍵所在。過程因素風險主要是由于過程缺失、過程設計不合理、過程執(zhí)行不嚴格、管理信息不準確或不及時等等方面的原因造成的。典型事例主要有：①作業(yè)層級作業(yè)層級風險是組織內(nèi)各部門在其日常例行的運營活動過程中，所遭受不利事件或行動影響的可能性。一般均依企業(yè)管理職能，識別其可能的風險，例如：Ⅰ生產(chǎn)因素合格的供應商數(shù)量不足；產(chǎn)品品質(zhì)未能符合市場需求；產(chǎn)能調(diào)整需時太長；設備損壞后，維修成本很高；人工短缺的風險；等等Ⅱ營銷因素客戶取消訂單；應收帳款呆帳；銷售目標未能實現(xiàn)；銷售策略失敗；價格高度競爭，引發(fā)價格戰(zhàn)；等等3.1.2操作風險的成因⑵過程（流程）因素風險3.1.2操作風險的成因②財務/會計錯誤財務管理和會計賬務處理方面存在錯誤造成的風險，主要體現(xiàn)在財會制度不完善，管理流程不清晰，財會系統(tǒng)建設存在缺陷等。任何風險對企業(yè)財務損失的影響，最后都會反映在財務及會計資訊上。但是并不是所有風險的不利影響都能夠予以量化，而且有些影響也非短期內(nèi)就會浮現(xiàn)。而且，每一種風險對企業(yè)的財務影響（包括收入、成本、盈余）的敏感性及程度，很難一概而論。例如：喪失商機、成本提高、產(chǎn)品售價下滑、意外災害損失、及營業(yè)中斷。③文件/合同缺陷文件/合同缺陷也稱文件/合同瑕疵，是指各類文件檔案的制定、管理不善，包括不合適的或者不健全的文檔結(jié)構(gòu)，以及協(xié)議中出現(xiàn)錯誤或者缺乏協(xié)議等，例如表現(xiàn)為：抵押權(quán)證、房產(chǎn)證丟失等。④產(chǎn)品服務缺陷為客戶提供的產(chǎn)品在業(yè)務管理框架、權(quán)力義務機構(gòu)、風險管理要求等方面存在不完善、不健全等問題而造成的風險。⑤錯誤監(jiān)控/報告因監(jiān)控/報告流程不明確、混亂，監(jiān)控/報告部門的職責不清晰，有關(guān)數(shù)據(jù)不全面、不及時、不準確，未嚴格履行報告職責或報告內(nèi)容不準確等等都將造成重大損失。3.1.2操作風險的成因②財務/會計錯誤3.1.2操作風險的成因3.技術(shù)技術(shù)因素風險系支持組織運營的技術(shù)系統(tǒng)（設施、設備、機器、儀表等及其軟件）的故障、差錯或其他原因所產(chǎn)生的風險。主要是由于技術(shù)系統(tǒng)的設計、使用和維護不完善造成的。包括數(shù)據(jù)/信息質(zhì)量風險、未嚴格執(zhí)行系統(tǒng)程序或操作規(guī)程、系統(tǒng)設計/開發(fā)中的風險，以及系統(tǒng)的穩(wěn)定性、兼容性、適宜性方面存在的風險。⑴數(shù)據(jù)/信息質(zhì)量風險主要是指組織對各類文件檔案的制定、管理不善，業(yè)務操作中的數(shù)據(jù)出現(xiàn)差錯；或者缺乏數(shù)據(jù)/信息，以及數(shù)據(jù)/信息的質(zhì)量不符合要求。⑵可操作性設計不完善技術(shù)系統(tǒng)的可操作性設計不完善，例如，缺乏周密的防誤操作措施，或應有的安全性措施，人員在執(zhí)行系統(tǒng)程序或操作規(guī)程時，就容易出現(xiàn)差錯或造成故障，甚至發(fā)生安全事故，最終導致系統(tǒng)無法正常運行，將會產(chǎn)生難以預料的各種損失。3.1.2操作風險的成因3.技術(shù)3.1.2操作風險的成因⑶系統(tǒng)安全防護不充分系統(tǒng)安全包括外部系統(tǒng)安全、內(nèi)部系統(tǒng)安全、對計算機病毒的防護、對第三方程序欺詐的防護等。系統(tǒng)安全風險主要表現(xiàn)在：突破系統(tǒng)存儲限制、系統(tǒng)信息傳遞/系統(tǒng)修改信息傳送失敗、第三方界面失敗、系統(tǒng)無法完成任務、數(shù)據(jù)崩潰、系統(tǒng)崩潰重新存儲、請求批處理失敗、對賬錯誤等。⑷系統(tǒng)開發(fā)中的風險技術(shù)系統(tǒng)項目在立項、開發(fā)、驗收、運行和維護等各環(huán)節(jié)中都存在著形形色色的風險。美國國防部采辦風險管理、NASA風險管理和中國航天項目風險管理的經(jīng)驗均給出了技術(shù)系統(tǒng)開發(fā)中的主要風險及其成因。⑸系統(tǒng)的穩(wěn)定性兼容性適宜性IT技術(shù)部門應當與業(yè)務部門進行協(xié)調(diào)，確保IT系統(tǒng)的整體穩(wěn)定運行，確保核心系統(tǒng)與相關(guān)系統(tǒng)的有效兼容，確保業(yè)務需求和管理需求相適宜。3.1.2操作風險的成因⑶系統(tǒng)安全防護不充分3.1.2操作風險的成因4.人員人員因素風險主要是由員工內(nèi)部欺詐等違法行為，失職、越權(quán)等違規(guī)行為，因知識/技能匱乏而操作失誤，違反用工法等人事管理問題，核心員工流失或其他勞動力中斷等所造成的損失或者不良影響而引發(fā)的風險。例如：⑴內(nèi)部欺詐⑵失職違規(guī)⑶未嚴格執(zhí)行系統(tǒng)程序或操作規(guī)程⑷知識/技能匱乏⑸核心員工流失⑹違反用工法3.1.2操作風險的成因4.人員3.1.2操作風險的成因5.外部事件外部事件包括外部“人禍”事件和外部環(huán)境變化產(chǎn)生的事件等。由于外界人士故意欺詐、騙取或盜用本組織資產(chǎn)或違反法律而對客戶、員工、財務資源或聲譽已經(jīng)或可能造成負面影響的事件，這些事件可能使內(nèi)部控制失敗或失靈；另外，外部事件也包括多種企業(yè)不可控制的并對企業(yè)運營或聲譽造成“威脅”的意外事件。例如：⑴外部欺詐/盜竊⑵政治風險⑶監(jiān)管規(guī)定⑷業(yè)務外包⑸自然災害⑹恐怖威脅3.1.2操作風險的成因5.外部事件3.2操作風險管理的概念《企業(yè)操作風險管理》模塊考試大綱課件3.2.1操作風險管理的定義操作風險管理是指在實現(xiàn)組織經(jīng)營目標過程中，相關(guān)人員將組織的操作風險控制在組織可接受范圍之內(nèi)的方法和過程，以保障組織經(jīng)營目標的實現(xiàn)。3.2.1操作風險管理的定義操作風險3.2.2操作風險管理特點1.對組織的所有過程起到集成的作用。操作風險管理是管理職責的一部分，它的根本作用是把正常的各類的組織過程集成起來，同時也把所有的業(yè)務、項目和變革管理的過程集成起來。操作風險管理絕不能變成游離于組織主要活動和過程的單獨行動。2.操作風險管理應能明確地找到不確定之處：哪些是不確定的，不確定的性質(zhì)和水平，以及可能在什么地方發(fā)生。3.操作風險管理應該是系統(tǒng)化、結(jié)構(gòu)化和及時化的。系統(tǒng)化、及時化和結(jié)構(gòu)化方法能為風險管理貢獻有效、協(xié)調(diào)、可比、可靠的結(jié)果。4.操作風險管理必須以最好的可用信息為基礎(chǔ)。管理操作風險過程的輸入只能建立在諸如經(jīng)驗、反饋、觀察、預測和專家判斷之類的信息資源的基礎(chǔ)上。不管用何種方法，決策者都應當獲得并考慮所使用數(shù)據(jù)或模型的限制，考慮專家之間分歧的可能性。3.2.2操作風險管理特點1.對組織的所有過程起到集成的3.2.2操作風險管理特點5.操作風險管理應該是可以剪裁的。操作風險管理是由組織的外部鏈接關(guān)系、內(nèi)部管理脈絡、業(yè)務性質(zhì)及范圍，以及其操作風險剖面等個性化因素決定的。因此，每個組織的操作風險管理體系都必須量身定做。6.操作風險管理必須納入人文因素。組織的操作風險管理應當重視內(nèi)外部人員的能力、感覺和意圖對達到組織目標的促進或干擾。人在操作風險管理中發(fā)揮著關(guān)鍵的作用。雖說操作風險被定義為來自于人員、系統(tǒng)流程和外部事件等多方面因素，但在操作風險管理中，人的因素始終是決定性的因素。7.操作風險管理必須是動態(tài)的、迭代（反復）的和響應變化的。當諸如內(nèi)外部事件發(fā)生、關(guān)系脈絡和知識變化、監(jiān)控和評審進行、新風險暴露、某些變化和其他狀況消失時，組織應當確保操作風險管理能持續(xù)地感識和響應這些變化。8.操作風險管理應能推動組織的持續(xù)改進和增強。3.2.2操作風險管理特點5.操作風險管理應該是可以剪裁3.2.3操作風險管理的任務及其基礎(chǔ)建設1.操作風險管理的主要任務（活動）—建立操作風險管理的總體框架，制定清晰的操作風險管理政策以及制定相應的管理制度和流程，制定操作風險管理計劃；—分析一切影響操作風險管理的內(nèi)外部鏈接關(guān)系，并確立操作風險基準與準則；—識別、分析、評價、治理、監(jiān)控和審核操作風險；—貫穿一切管理過程的，與所有的利益相關(guān)者進行適當而及時的溝通與磋商；—建立組織的內(nèi)外部關(guān)系脈絡；—記錄和報告結(jié)果。3.2.3操作風險管理的任務及其基礎(chǔ)建設1.操作風險管3.2.3操作風險管理的任務及其基礎(chǔ)建設2.操作風險管理主要基礎(chǔ)工作⑴確立操作風險準則操作風險準則是根據(jù)相關(guān)標準、法律、組織風險偏好和風險管理方針等導出的賴以識別和分析操作風險，以及評價操作風險重要性的條件。因而，它是實施操作風險管理的基礎(chǔ)和基本條件，它的確立應該建立在組織內(nèi)外部關(guān)系脈絡，即弄清一切影響操作風險管理的內(nèi)外部鏈接關(guān)系的基礎(chǔ)上，并定期進行評審，以確保其持續(xù)適當。⑵建立操作風險指標操作風險指標是指用來考察組織的操作風險狀況的統(tǒng)計數(shù)據(jù)和指標；包括財務和非財務的?？茖W而恰當?shù)亟⒉僮黠L險指標，并對這些指標定期進行評審，是保證操作風險管理有效性的關(guān)鍵環(huán)節(jié)。這些指標通常包括員工流動比率、操作失敗的次數(shù)、質(zhì)量達標指標、錯誤和遺漏的頻率和嚴重程度等。3.2.3操作風險管理的任務及其基礎(chǔ)建設2.操作風險管3.2.3操作風險管理的任務及其基礎(chǔ)建設⑶建立和完善操作風險信息庫可利用的、高質(zhì)量的信息是實施操作風險管理的基礎(chǔ)。因此，必須通過收集諸如經(jīng)驗、反饋、觀察、預測和專家判斷之類的信息資源，來建立和不斷完善操作風險信息庫。為此，必須持續(xù)、系統(tǒng)和全面地收集相關(guān)信息，其中包括企業(yè)的歷史數(shù)據(jù)和對未來的預測數(shù)據(jù)。操作風險的數(shù)據(jù)一般散落在各業(yè)務單位和部門中，收集難度較大，且數(shù)據(jù)普遍偏少（特別是信息系統(tǒng)發(fā)展落后的企業(yè)或操作風險管理基礎(chǔ)差的企業(yè)）。所以，尤其要用心地去收集，才能滿足要求。內(nèi)部損失數(shù)據(jù)、外部損失數(shù)據(jù)、情景分析數(shù)據(jù)、自我評估數(shù)據(jù)、關(guān)鍵風險指標數(shù)據(jù)以及風險緩釋數(shù)據(jù)等用于操作風險計量的數(shù)據(jù)是收集的重點。一般可按照內(nèi)部要素和外部環(huán)境兩大范疇收集信息。還可按照企業(yè)發(fā)展和經(jīng)營的基本職能及其行為重點收集可能誘發(fā)操作風險因素之信息。⑷應用邏輯方法和系統(tǒng)方法注重運用系統(tǒng)化、及時化和結(jié)構(gòu)化的方法，并把操作風險的管理活動充分地集成（整合）到組織正常運營管理的一切過程中去，也是操作風險管理成功的關(guān)鍵環(huán)節(jié)之一。3.2.3操作風險管理的任務及其基礎(chǔ)建設⑶建立和完善操3.3操作風險管理的目標1.保障企業(yè)戰(zhàn)略和經(jīng)營目標實現(xiàn)；2.確保操作過程的合規(guī)合法；3.確保操作風險管理的有效性；4.確保業(yè)務記錄和其他管理信息的及時、真實和完整；5.確?？煽?正確的操作風險報告被及時傳遞給正確的人；6.實施損失最小化管理；7.平衡風險與成本，實現(xiàn)成本最小化和收益最大化；8.實現(xiàn)業(yè)績穩(wěn)定性和可預見性目標；9.實現(xiàn)商務可持續(xù)目標；10.實現(xiàn)效率和績效最優(yōu)化。3.3操作風險管理的目標1.保障企業(yè)戰(zhàn)略和經(jīng)營目標實現(xiàn)；3.4操作風險管理原則1．以整合性、關(guān)聯(lián)性和系統(tǒng)性觀念實施操作風險管理；2．在企業(yè)全面風險管理的框架下，為操作風險管理制定清晰的目標、清晰的政策、清晰的過程和明確的合規(guī)標準；3.理順操作風險管理的結(jié)構(gòu)保障，分清操作風險管理的權(quán)限和責任；4.實施對操作風險的過程管理，并對實施效果進行監(jiān)控和評審；5.將操作風險管理與業(yè)務過程管理相結(jié)合；6.將操作風險管理與績效評價相結(jié)合；7.計提操作風險所需要的資本。3.4操作風險管理原則1．以整合性、關(guān)聯(lián)性和系統(tǒng)性觀念實施操3.5企業(yè)操作風險管理框架企業(yè)中任何一個管理層面或任何單一風險的管理過程均遵從ISO—31000所給出的風險管理框架，操作風險管理也不例外。操作風險是一類匯聚了企業(yè)經(jīng)營層面多種風險的集成風險。在企業(yè)全面風險管理的基本框架和環(huán)境下，在操作風險管理的總體政策與原則基礎(chǔ)上，實施企業(yè)的操作風險管理。操作風險管理的基本過程包括：定義操作風險的內(nèi)容、溝通與協(xié)商、操作風險評估（其中包括風險識別、風險分析和風險評價）、操作風險應對、監(jiān)督與審核、持續(xù)改進。根據(jù)ISO—31000“風險管理原則和實施指引”繪制出操作風險管理框架，如下圖所示。3.5企業(yè)操作風險管理框架企業(yè)中任3.5企業(yè)操作風險管理框架

3.5企業(yè)操作風險管理框架3.6操作風險管理在企業(yè)全面風險管理中的意義操作風險管理是企業(yè)實施全面風險管理的核心板塊之一。落實企業(yè)全面風險管理使命時，通常會把損失最小化管理、業(yè)績穩(wěn)定可預見、持續(xù)運營和保障組織經(jīng)營目標的實現(xiàn)等主要目標分解給操作風險管理。在考慮到風險的關(guān)聯(lián)性、資源分配的有效性、操作風險的系統(tǒng)性、和操作風險可能的量化發(fā)展趨勢等情況之下，在信息技術(shù)的發(fā)展令操作風險的管理水平躍進到一個嶄新的整合性臺階的情況下，在20世紀90年代初操作風險管理思維、方法和實踐首先在金融界浮出水面之時，企業(yè)對操作層面各類風險的治理，就從過去的條塊或局部治理，開始走向?qū)嵤┚C合關(guān)聯(lián)策略的整體性操作風險管理的時代。由于操作風險對企業(yè)的運營系統(tǒng)目標實現(xiàn)有重要的影響，可能使企業(yè)的利益相關(guān)方的利益產(chǎn)生重大的波動。所以，這些利益相關(guān)方越來越關(guān)注企業(yè)操作風險的管理和控制。事實上，建立和健全一種高水平的操作風險管理體系，是提高客戶滿意度、提高利益相關(guān)方滿意度和提升企業(yè)的持續(xù)穩(wěn)健運營的基礎(chǔ)，優(yōu)秀的操作風險管理已成為卓越管理或優(yōu)秀企業(yè)的象征。3.6操作風險管理在企業(yè)全面風險管理中的意義操3.7操作風險管理的實施思路操作風險管理從分立式（例如質(zhì)量、安全、環(huán)境、信息系統(tǒng)審核及內(nèi)控等）走向集成管理的概念，首先是源自于金融界的實踐。以系統(tǒng)性的視角、最小成本、綜合性的方法試圖對操作風險實施管理，來減小損失的不確定性和增加業(yè)績的可預見性與穩(wěn)定性是操作風險管理的主要目標。因此，國際上第一個給出操作風險定義的行業(yè)是出臺巴塞爾條約的銀行業(yè)：操作風險是指由于不完善或有問題的內(nèi)部操作流程、人員、系統(tǒng)或外部事件而導致的直接或間接損失的風險。由于考慮到目前銀行業(yè)對操作風險的定義也對其他行業(yè)具有較好的適用性，由于迄今從跨行業(yè)的角度對操作風險的定義還有待于進一步研究發(fā)展，因此本大綱也積極推薦巴塞爾（Basel）銀行監(jiān)管委員會對操作風險的定義。另外，本大綱還推薦，設計操作風險管理的整體思路時，也可一定程度地參照銀行業(yè)的實踐經(jīng)驗。3.7操作風險管理的實施思路操作風險3.7操作風險管理的實施思路1.基于巴塞爾協(xié)議條約的實施思路就不同行業(yè)來講，操作風險的管理過程設計應是大體一致的，但實施操作風險管理所運用的具體方法和對策則會呈現(xiàn)較大差異。另外，就風險管理過程而言，不同行業(yè)的重點關(guān)注環(huán)節(jié)也會呈現(xiàn)各自的特點，例如對于商業(yè)銀行而言，其操作風險管理主要關(guān)注的幾個環(huán)節(jié)包括：操作風險的識別與評估、監(jiān)測與報告、信息披露和資本計量等幾個過程。⑴操作風險的識別與評估——建立全行統(tǒng)一的操作風險識別與自我評估的流程、標準和工具模板；——讓業(yè)務部門成為風險與內(nèi)控自評主體，將自評作為識別和管理操作風險的有效工具；——建立統(tǒng)一的操作風險管理信息系統(tǒng)，規(guī)范地收集風險識別和評估數(shù)據(jù)。⑵操作風險的監(jiān)測與報告——建立多維度、多層次、覆蓋不同風險類別的操作風險關(guān)鍵指標體系；——建立多層面和多維度的操作風險報告體系，針對董事會、高級管理層、分行、業(yè)務單元等不同層面定期生成操作風險管理報告；——從風險成因、損失事件和業(yè)務線等不同維度定期報告操作風險的狀況和可能導致重大損失的風險暴露。3.7操作風險管理的實施思路1.基于巴塞爾協(xié)議條約的實3.7操作風險管理的實施思路⑶操作風險信息披露—按照新資本協(xié)議第三支柱的要求，建立操作風險信息披露的制度、管理流程、內(nèi)容、披露方式、數(shù)據(jù)來源和模板；—按照監(jiān)管要求，定期生成信息披露報告，并對外披露。⑷操作風險的資本計量—建立產(chǎn)品和服務的統(tǒng)一定義，將產(chǎn)品和服務分別與巴塞爾新資本協(xié)議所規(guī)定的8個業(yè)務線相對應；—對8個業(yè)務線的收入進行測算，進而完成對操作風險資本的標準法計量；—建立操作風險高級法計量方法體系，在不斷積累足夠數(shù)據(jù)的基礎(chǔ)上，逐步實現(xiàn)高級法計量；—將操作風險與資本相聯(lián)系，試圖從資本的角度保障對操作風險的抵御或應對能力。⑸操作風險緩釋以風險評估結(jié)果為依據(jù)，以風險管理策略為指導，企業(yè)選用具體的風險管理措施、手段或工具（例如采用內(nèi)部控制、保險轉(zhuǎn)移或合同外包等措施）實施對操作風險的系統(tǒng)化和規(guī)范化治理，以緩釋或改善操作風險，這事實上就是將操作風險解決方案付諸于實施。3.7操作風險管理的實施思路⑶操作風險信息披露3.7操作風險管理的實施思路2.基于內(nèi)部控制的管理框架設計COSO認為企業(yè)整體內(nèi)部控制具有四個目標：戰(zhàn)略目標、操作目標、報告目標與合規(guī)目標。顯然，以支持企業(yè)操作風險管理為目的的操作風險內(nèi)控目標為上述后三個目標，這三個目標可實施進一步細化與分解。COSO認為內(nèi)部控制框架有下述五個要素組成部分：——內(nèi)部環(huán)境：控制環(huán)境是提供控制人員進行各項活動及進行監(jiān)控活動的基礎(chǔ)，既包括企業(yè)的誠信度和道德觀，也包括員工的道德標準和能力?！L險評估：風險評估就是識別和分析實現(xiàn)目標的過程中存在的重要風險，它是決定管理何種風險和如何管理風險的基礎(chǔ)。——控制活動：控制活動就是幫助、確保管理層指示得到實施的政策和程序。COSO認為，控制活動分為三種類型：經(jīng)營控制活動、財務控制活動和遵守法律控制活動?！畔⑴c溝通：信息與溝通是將上述三項活動聯(lián)系在一起的橋梁和紐帶，也是人們獲得和交流業(yè)務經(jīng)營、管理與控制信息的保障?！O(jiān)督：企業(yè)或銀行業(yè)務運營的全過程必須置于監(jiān)控之下，并能在必要時進行調(diào)整。這樣，控制系統(tǒng)就可以動態(tài)反饋，并在授權(quán)范圍內(nèi)及時做出調(diào)整。企業(yè)的操作風險多數(shù)源自于有相當可控性的人的因素，因此采用COSO的內(nèi)控框架實施對操作風險的識別、分析、評價和應對是一種較好的實踐。3.7操作風險管理的實施思路

3.8操作風險評估《企業(yè)操作風險管理》模塊考試大綱課件3.8.1操作風險管理的過程與評估的實施步驟1.操作風險管理過程⑴操作風險管理策劃。操作風險管理的負責人及其團隊應充分了解相關(guān)的信息，理清思路，建立必要的風險管理工作基礎(chǔ)，例如明確責任分工、調(diào)研和收集信息、制定和系統(tǒng)化風險評價指標等；⑵操作風險評估。通過對操作風險的識別、分析和評價過程實施操作風險評估，對操作風險的嚴重性進行排序；⑶識別和評價對操作風險治理的策略；⑷選擇和執(zhí)行治理操作風險的策略；⑸評價實施操作風險治理策略后的剩余風險狀況是否在可接受的范圍之內(nèi)；⑹持續(xù)的協(xié)商和溝通，以及持續(xù)的監(jiān)控和改進貫穿于上述5個過程的始終；⑺描述操作風險，并記錄過程。3.8.1操作風險管理的過程與評估的實施步驟1.操作風險3.8.1操作風險管理的過程與評估的實施步驟2.操作風險評估的實施步驟操作風險評估是操作風險管理過程中的核心部分，它包括操作風險識別、操作風險分析和操作風險評價的全部過程（如操作風險管理過程所示）。⑴確定操作風險評估的任務和目標；⑵與相關(guān)方充分溝通與磋商；⑶建立操作風險評估的程序和工作流程，定義評估操作風險的基本參數(shù)和設定其他評估過程相關(guān)的范圍及準則；⑷確定操作風險評估的負責和參與人員，確定分工和責任；⑸實施風險評估，得出風險評估結(jié)論。3.8.1操作風險管理的過程與評估的實施步驟2.操作風3.8.2操作風險評估的前期準備了解和掌握被管理對象的寬泛而充分的信息是進行操作風險評估的基礎(chǔ)。因此，必須持續(xù)、系統(tǒng)和全面地收集相關(guān)信息，其中包括組織的歷史數(shù)據(jù)和對未來的預測數(shù)據(jù)?？砂凑諆?nèi)外部關(guān)系兩大脈絡來收集信息。也可按照組織發(fā)展和經(jīng)營的基本職能及其行為重點收集可能誘發(fā)操作風險因素之信息。例如至少重點收集本企業(yè)、本行業(yè)相關(guān)的以下信息：1.企業(yè)發(fā)展戰(zhàn)略與目標，組織現(xiàn)有的風險管理狀況和風險管理能力，包括公司治理、內(nèi)部控制、危機管理和審計等狀況，以及風險管理人員、策劃和報告等能力；2.決策者的風險價值觀和風險偏好，組織提高決策質(zhì)量的空間大小，管理不確定性的能力與規(guī)劃；3.現(xiàn)有業(yè)務流程和信息系統(tǒng)操作運行情況，以及相應的監(jiān)管、運行評價及持續(xù)改進能力；4.營銷、供應、生產(chǎn)、人力資源、財務等管理狀況及其存在的問題；5.組織成本管理、資金結(jié)算和現(xiàn)金管理中的常見問題與突出問題；3.8.2操作風險評估的前期準備了解和3.8.2操作風險評估的前期準備6.組織的盈利能力，影響企業(yè)盈利能力的因素和風險事件等；7.新市場開發(fā)，市場營銷策略，包括產(chǎn)品或服務定價與銷售渠道，市場營銷環(huán)境狀況等；8.企業(yè)組織效能、管理現(xiàn)狀、企業(yè)文化，高、中層管理人員和重要業(yè)務流程中專業(yè)人員的知識結(jié)構(gòu)、專業(yè)經(jīng)驗；9.組織的人員素質(zhì)和結(jié)構(gòu)，領(lǐng)導的風格、道德觀和風險偏好，員工的道德操守和遵紀守法狀況；10.產(chǎn)品結(jié)構(gòu)、新產(chǎn)品研發(fā)；11.質(zhì)量、安全、環(huán)保、信息安全等管理中曾發(fā)生或易發(fā)生失誤的業(yè)務流程或環(huán)節(jié)；12.因企業(yè)內(nèi)、外部人員的道德風險致使企業(yè)遭受損失或業(yè)務控制系統(tǒng)失靈；13.操作風險歷史發(fā)生事件及其原因教訓，組織以往的損失信息和數(shù)據(jù)；14.環(huán)境信息與評價，評估可能發(fā)生的外部突發(fā)事件；15.與操作風險管理相關(guān)的行業(yè)信息；16.企業(yè)利益相關(guān)方對操作風險管理狀況的關(guān)注。3.8.2操作風險評估的前期準備6.組織的盈利能力，影響3.8.3風險評估方法論概述ISO/IEC31010在附件中介紹了風險識別、風險分析和風險評價的31種常見方法，其中包括：“頭腦風暴法”、“結(jié)構(gòu)化或半結(jié)構(gòu)化會談”、“德爾菲法”、“檢查表”、“預先危險分析（PHA：PreliminaryHazardAnalysis）”、“危險與可操作性研究（HAZOP：HazardandOperability）”、“危險分析與關(guān)鍵控制點（HACCP：HazardAnalysisandCriticalControlPoints）”、“環(huán)境風險評估”、“假設推斷（SWIFT：StructuredWhat-if）”、“情景（局面）分析（ScenarioAnalysis）”、“業(yè)務影響分析（BIA：BusinessImpactAnalysis）”、“根原分析（Rootcauseanalysis）”、“故障模式與影響分析（FMEA或FMECA－故障模式影響及危害度分析）”、“故障樹分析（FTA：FaultTreeAnalysis）”、“事件樹分析法（ETA：eventTreeAnalysis）”、“因果分析（causeconsequenceAnalysis）”、原因及其影響分析（Cause-and-effectanalysis）”、“保護層分析（LOPA：LayerofProtectionAnalysis）”、“決策樹分析”“人的可靠性評估”、“蝴蝶結(jié)分析”、“以可靠性為中心的設備保養(yǎng)”、“潛通路分析”、“馬爾可夫分析”、“蒙特卡洛仿真”、“貝葉斯統(tǒng)計和貝葉斯網(wǎng)絡”、“風險控制的有效性”、“FN曲線”、“風險指數(shù)”、“結(jié)果可能性矩陣”、“成本受益分析”等方法。3.8.3風險評估方法論概述ISO3.8.4風險識別操作風險識別是發(fā)現(xiàn)、認可和記錄操作風險的過程。其主要任務有：識別內(nèi)外部影響組織實現(xiàn)目標的事項，由于操作風險的純風險特性，因此識別出的操作風險基本上是負面風險。識別事項的驅(qū)動因素。一般從經(jīng)濟、自然環(huán)境、政治、社會與技術(shù)五個外部因素和從基礎(chǔ)機構(gòu)、人員、流程與技術(shù)四個內(nèi)部因素來識別操作風險的驅(qū)動因素。顯然，從操作風險的發(fā)生頻度而言，內(nèi)部因素是招致操作風險的主要誘因。建立一個設計合理、系統(tǒng)和完整的風險識別方法框架是有效進行操作風險識別的前提。該框架主要包括：操作風險識別類別框架、有效發(fā)揮功能的技術(shù)和工具框架以及包括情境假設的問題框架等。有效的發(fā)揮這套框架功能還需要充足的并具有現(xiàn)實時效的信息支持和訓練有素的掌握這種方法學技術(shù)的人。3.8.4風險識別操作風險識別是發(fā)現(xiàn)、3.8.4風險識別1.操作風險識別導向框架企業(yè)全面風險管理框架下的風險識別，需要的是能夠識別出企業(yè)所有風險的框架。在當代實踐中，企業(yè)往往是采用多個框架來識別企業(yè)的風險。AARCM將目前通用的各類風險識別導向框架歸類為如下四大類：⑴目標導向風險識別⑵情景導向風險識別⑶分類導向風險識別⑷經(jīng)驗導向風險識別3.8.4風險識別1.操作風險識別導向框架3.8.4風險識別除了考慮采用以上列出的操作風險識別框架之外，企業(yè)還可以根據(jù)自身的特點發(fā)展具有另類思維的操作風險識別框架來，總之其目的則是：令客觀存在的主要操作風險能得到充分和全面的識別，令相關(guān)的誘因能夠得到充分的了解。顯然，操作風險識別的框架應建立在操作層面，與企業(yè)整體風險識別框架相比較，操作風險識別框架還往往包括以下特定識別思路和方法，例如：目標風險識別、自我評估控制、流程分析、損失歸類和績效分析等方法定性或半定量分析風險。3.8.4風險識別除了考慮采用以上列3.8.4風險識別2.識別操作風險必須考慮的問題識別操作風險就是要回答以下問題：——在業(yè)務運行過程中，本組織面臨哪些操作風險？——操作風險的驅(qū)動因素有哪些？——什么是潛在事項？哪些潛在事項可能引發(fā)操作風險？——操作風險的損失和收益結(jié)果是什么？——什么是關(guān)聯(lián)風險、關(guān)聯(lián)風險因素、關(guān)聯(lián)事件和關(guān)聯(lián)事件可能產(chǎn)生的后果?——操作風險的誘發(fā)原因是什么？——操作風險可能發(fā)生的地點？——操作風險可能發(fā)生的時間？3.8.4風險識別2.識別操作風險必須考慮的問題3.8.4風險識別例如，對“操作風險的誘發(fā)原因是什么？”的問題，可以從下列方面去分析：——外部環(huán)境的變化；——人的行為失誤（商務操作過程不規(guī)范或有缺陷，延誤）；——商務活動管理不善（如資產(chǎn)保管防護不力，人的技能局限、溝通不暢，企業(yè)內(nèi)部控制實施不力）；——信息來源不可靠；——企業(yè)決策失誤；——機會成本（人力與財力資源配置不佳，決策失誤造成的潛在損失）；——商務欺詐、舞弊、造假；——操作意外事件（設備不正常，災害等）；——組織結(jié)構(gòu)、體系、流程、系統(tǒng)或技術(shù)缺陷或選擇不當。3.8.4風險識別例如，對“操作風險的誘發(fā)原因是什么？”的3.8.4風險識別3.識別操作風險的方法概括地說，識別風險的方法主要有跡象法（例如，檢查表和歷史數(shù)據(jù)回顧等方法）、系統(tǒng)團隊法（專家組遵循一個系統(tǒng)性的程序依靠一套結(jié)構(gòu)化的提示或問題來識別風險）和歸納推論法（諸如事件樹之類的邏輯圖）。綜合運用各種不同的方法（包括頭腦風暴法和德爾菲法）可以改良風險識別的準確性和完全性。在ISO/IEC—31010“風險管理—風險評估技術(shù)”中列出了多種有關(guān)風險識別的方法，其中很多適合于操作風險識別的應用，具體請參閱本考試大綱相關(guān)部分所陳述的內(nèi)容。3.8.4風險識別3.識別操作風險的方法3.8.5風險分析1.分析的內(nèi)容風險分析的目的是了解風險，了解風險的影響和了解風險發(fā)生的頻度，了解風險嚴重性的級別，以便決定它的可容忍性或可接受性，從而研究和選擇治理風險的最好策略和途徑。風險分析主要由下列三部分內(nèi)容組成：——確定已識別出風險事件的影響結(jié)果及其發(fā)生的可能性；——考慮現(xiàn)在有無任何控制措施和現(xiàn)有控制措施的效果；——根據(jù)可能性和影響結(jié)果確定風險水平。在分析操作風險時，獲取盡可能充分的信息是關(guān)鍵。例如，可以從澳大利亞/新西蘭AS/NZE4360標準所推薦的風險管理信息框架的中下列方面尋找參考信息：——過去的紀錄；——相關(guān)的實踐經(jīng)歷；——相關(guān)的文章和資料；——市場測試和研究；——公共咨詢或調(diào)查結(jié)果；——試驗和樣板典型；——社會經(jīng)濟模型、工程技術(shù)模型或其他模型；——特種專才或?qū)＜以u判。3.8.5風險分析1.分析的內(nèi)容3.8.5風險分析2.分析的方法⑴概述依照ISO/IEC31010的指引，常用的風險分析方法可按定性、半定量和定量方法分類。風險分析人員究竟使用何種分析方法則取決于風險分析的目的，被分析風險的特性、信息和可得的資源。就復雜程度和成本而言，定性風險分析為最低，定性分析操作相對簡單快捷和視野覆蓋面較寬。因此，定性分析基本上是必用的風險分析方法。一般用定性方法進行風險的大體分類，從而揭示主要的風險問題。對某些已識別出的特定風險，在認為必要和有條件的情況下，通常實施定量分析。因為，定量分析的成本在各類風險分析法中是最高的。一般情況下，在實際操作風險管理中，只有少數(shù)風險才實施進一步的量化分析，甚至建立量化模型分析。另外，也可以按概率方法和非概率方法分類，或者按統(tǒng)計和非統(tǒng)計方法分類。3.8.5風險分析2.分析的方法3.8.5風險分析⑵定性分析法定性分析常用語言的方式描述潛在結(jié)果的嚴重性和這些結(jié)果產(chǎn)生的可能性。定性往往產(chǎn)生描述性的估測的風險等級結(jié)果。例如，通過定性分析可實施對某些風險可控制與不可控制的分類。以下列出了一些常用的操作風險定性分析方法。——問卷調(diào)查法問卷調(diào)查是識別和分析風險最常用的簡易方法。進行問卷調(diào)查，首先要根據(jù)調(diào)查目的設計出問卷；然后向符合統(tǒng)計要求的對象發(fā)放問卷并指導他們正確填寫問卷；最后，對回收的問卷進行統(tǒng)計分析，從而得出調(diào)查結(jié)果。一般的問卷都分為前言、主體和結(jié)語三個部分。設計問卷一般應該遵循下列原則：調(diào)查的目的和主題明確；調(diào)查的對象明確；具有邏輯性和規(guī)范性；客觀、無暗示誘導、不提敏感問題；具有統(tǒng)計意義。3.8.5風險分析⑵定性分析法3.8.5風險分析——檢查表法檢查表又稱調(diào)查表，統(tǒng)計分析表等。它以簡單的數(shù)據(jù)，用較容易理解的方式，制成圖形或表格，必要時記上檢查記號，并加以統(tǒng)計整理，作為進一步分析或核對檢查之用。操作風險檢查表法是將一系列的操作風險因素列出檢查表進行分析，以識別組織的操作風險狀態(tài)?！晕以u價法通過問卷調(diào)查或系列討論會等方式得到需要的操作風險分析資料后，對經(jīng)營和業(yè)務活動中可能發(fā)生的潛在操作風險進行評估，并且經(jīng)常通過列出清單、使用工作組的形式來評估組織中各部門的特征及其風險狀況，從而識別出組織中的重要風險。例如，根據(jù)組織的業(yè)務特點和現(xiàn)有的風險管理措施，并結(jié)合有關(guān)操作風險的界定，將每一種業(yè)務中的潛在操作風險分離出來，并進行分類。然后，設計相應的檢查表，評估風險狀況及其控制措施的效用，尤其是評估風險頻率、影響、嚴重級次以及相應控制措施的水平。此方法對識別重要風險很有效，但主觀色彩濃。因此，需要注意下列問題：確保評估公平，有效；要考慮節(jié)約成本；在自我評估的基礎(chǔ)上制定風險審計計劃。3.8.5風險分析——檢查表法3.8.5風險分析——目標風險識別法目標風險識別法是COSO—ERM：2004框架中所大力倡導的一種識別風險的方法。該方法圍繞著企業(yè)的某一特定目標尋找影響這一目標實現(xiàn)的潛在風險，同時，也識別圍繞著目標的相關(guān)機會；進而，將識別出的不利風險與企業(yè)預先設定的風險忍受度相比較，并決定識別出來的這些風險是否可以接受？或者識別出來的風險是不是需要進一步治理？目標風險識別法的特點是，在識別出關(guān)鍵負面風險后，還要制定相應的治理措施和緊急應對措施。此外，在眾多識別風險的方法中，這種識別風險的方法局限性較小?！P(guān)鍵業(yè)績指標識別法這是一種識別關(guān)鍵性風險的方法。它圍繞著企業(yè)的關(guān)鍵業(yè)績識別相關(guān)風險，在平衡記分卡上為每一個關(guān)鍵業(yè)績繪制風險圖。這種方法的局限性在于，與業(yè)績不具有直接關(guān)聯(lián)的、但對企業(yè)的生存有重大影響的關(guān)鍵性風險不易識別出來。3.8.5風險分析——目標風險識別法3.8.5風險分析——流程分析法從任務層面上對公司的運作流程進行分析，以明確在流程、執(zhí)行、和相關(guān)過程方面的誤差可能導致的風險。用詳細的工作流程及控制圖來編制出一份清單，列出關(guān)鍵的控制點和流程中相關(guān)的風險，作為流程中任務和控制績效指南。這種方法的局限性是文件復雜，主觀性較強，局限在流程內(nèi)；諸如外部事件影響等因素容易疏漏。——損失歸類法操作風險一般的損失分類為：人、物理因素、技術(shù)、流程、外部因素。一般根據(jù)這幾種分類建立損失數(shù)據(jù)庫(包括損失的屬性描述及損失的解釋)。因此這種方法的客觀性較強。這種方法的局限性表現(xiàn)在：易產(chǎn)生損失重疊計算而不能根據(jù)給出的條件找出損失的原因?！冃Х治隹冃Ф攘糠从沉藰I(yè)務活動和公司收益之間的因果關(guān)系?？冃Р▌有远攘縿t反映出業(yè)務活動和收益風險之間的因果關(guān)系。這種方法的局限性在于，關(guān)注的是績效而非績效波動因素，且會造成風險分類的重疊。3.8.5風險分析——流程分析法3.8.5風險分析——情景分析法情景分析法系指專家根據(jù)自身的專業(yè)知識和豐富的經(jīng)驗，對未來可能出現(xiàn)的情景做出假設，并判斷該情景出現(xiàn)的可能性和可能的損失。這種方法主要解決數(shù)據(jù)收集困難或者數(shù)據(jù)不充分（不能使用量化方法）問題。——事件樹分析事件樹分析（EventTreeAnalysis，簡稱ETA）是一種按風險發(fā)展的時間順序由初始事件開始推論各種可能的后果，從而辨識出所有風險源的方法。它用圖說明某些事件向風險和危機發(fā)展時在系統(tǒng)內(nèi)傳播的路徑，從每個初始事件開始進行“前向思考”，辯識潛在的風險事件；并設計成一棵判定風險事件順序及確定初始事件與后續(xù)事件時序關(guān)系的事件樹，對風險進行排序，以確定最重大的風險。3.8.5風險分析——情景分析法3.8.5風險分析——預先危險分析（PHA：PreliminaryHazardAnalysis）預先危險性分析主要被用于辨識系統(tǒng)中潛在的危險、有害因素；確定其危險等級，并制定相應的安全對策措施，防止事故發(fā)生。它是進一步進行危險分析的先導，屬于定性的早期辨識危險的方法。其方法簡單易行、經(jīng)濟、有效；能為產(chǎn)品的最初設計或系統(tǒng)開發(fā)分析提供指南；能識別出與原材料、部件、設備、系統(tǒng)、接口、工作環(huán)境、運行和維護過程，以及安全設備有關(guān)的可能之危險，并且用很少的費用、時間就可以實現(xiàn)改進；可用來制定設計管理方法和制定技術(shù)責任，并可編制成安全檢查表以保證實施?！ㄐ苑治龇ǖ娜毕荻ㄐ苑ǖ闹饕毕菔恰笆苤朴趯＜业闹饔^判斷”和“缺乏統(tǒng)一標準，而導致結(jié)果變化莫測”。但由于客觀上缺乏操作風險的損失數(shù)據(jù)和無法找到某些操作風險的風險因素與其發(fā)生概率和損失大小之間的清晰關(guān)系；定性分析方法雖然有難以克服的缺點，仍然是一種常用的風險分析工具。特別是，當風險分析的客觀信息不充實時，當僅僅定性分析就足夠支持決策時，當僅僅需粗略了解分析時，或者當某種情景僅需要定性分析時，則考慮使用定性風險分析方法。3.8.5風險分析——預先危險分析（PHA：Prelimi3.8.5風險分析⑶半定量分析法——概述半定量分析則是在定性分析產(chǎn)生出風險等級的基礎(chǔ)上，擴充至一定程度的定量內(nèi)容。這種程度的定量為實施風險排序提供了方便。半定性方法中的數(shù)據(jù)往往是人們依據(jù)某種推斷而分配的，給出的風險程度和發(fā)生頻率常常推算的數(shù)據(jù)。顯然，基于這種推算的排序的準確性會受到相當?shù)南拗?。因此，這種方法反映的風險程度與發(fā)生頻率的可信度也不高。并且，這種方法可能導致不適宜的、反常的和不一致的分析結(jié)果的產(chǎn)生。3.8.5風險分析⑶半定量分析法3.8.5風險分析——管理疏忽與風險樹分析管理疏忽與風險樹（MORT：ManagementOversightRiskTree）分析誕生于美國事故居高不下的70年代，由美國能源開發(fā)總署提供資金、美國全國安全協(xié)會開發(fā)，經(jīng)美國系統(tǒng)安全開發(fā)中心進一步研究和推廣而成為美國通用的風險分析方法。①MORT的用途—預防與管理的疏忽、失誤、差錯和管理系統(tǒng)缺陷有關(guān)的事故；—評價現(xiàn)有的安全系統(tǒng)，分析和確定事故因素，把剩余風險安排在適當?shù)墓芾黼A段；—優(yōu)化分配各有關(guān)因素，以利實施安全計劃和風險管理；—對已發(fā)生的事故進行全面細致的調(diào)查分析，探求事故發(fā)生的過程，澄清事故發(fā)生的原因，為善后處理決策提供支持。②MORT的主要內(nèi)容—對安全管理系統(tǒng)進行全面的分析和檢查，防止事故發(fā)生；—假定某些風險問題已存在，通過MORT找出解決該問題的最佳手段和方法；—事故發(fā)生之后，對事故發(fā)生的原因從管理的角度進行全面的調(diào)查分析；—MORT計算機程序的設計與應用。3.8.5風險分析——管理疏忽與風險樹分析3.8.5風險分析——故障模式及影響分析/故障模式影響及危害度分析（FMEA/FMECA）FMEA（故障模式影響分析）是一組系統(tǒng)性的活動，辨認和評價一個產(chǎn)品或過程的潛在故障及其影響，識別可以消除或減少潛在故障發(fā)生的活動，并把這個過程形成文件。由于產(chǎn)品故障可能與設計、制造過程、使用、承包商/供應商以及服務有關(guān)，因此FMEA又細分為設計FMEA、過程FMEA、使用FMEA和服務FMEA四類。其中設計FMEA和過程FMEA最為常用。FMECA（故障模式影響和危害度分析）是針對產(chǎn)品所有可能的故障，進行故障模式分析，確定每種故障模式對產(chǎn)品工作的影響，找出單點故障，并按故障模式的嚴重度及其發(fā)生概率確定其危害性。所謂單點故障指的是引起產(chǎn)品故障的，且沒有冗余或替代的工作程序作為補救的局部故障。FMECA包括故障模式及影響分析（FMEA）和危害性分析（CA）。FMEA/FMECA方法具有原理簡單、方法成熟、技術(shù)規(guī)范、易于操作、收效顯著等特點。3.8.5風險分析——故障模式及影響分析/故障模式影響3.8.5風險分析——風險坐標圖風險（坐標）圖的制作是把風險發(fā)生的可能性作為一軸、風險對企業(yè)及其目標的可能影響作為另一軸，繪制成直角坐標系，然后，根據(jù)對一項風險經(jīng)識別與分析得到的可能性大小和影響大小將該風險在直角坐標系上描繪出來，這樣就形成了風險坐標圖。根據(jù)不同的具體問題，對風險發(fā)生的可能性與風險對目標的影響這兩方面的評估和描述有各種不同的定性、定量方法以及稱謂。定性方法是直接用文字或者定序數(shù)字描述風險發(fā)生可能性的高低、風險對企業(yè)及其目標影響的程度，如用“極低”、“低”、“中等”、“高”、“極高”或者“1”、“2”、“3”、“4”、“5”等等。定量方法是對風險發(fā)生可能性的大小、風險對目標影響的大小用定距數(shù)字或定比數(shù)字描述，例如，風險發(fā)生可能性的大小用頻數(shù)或概率來表示；風險對目標影響的大小用貨幣金額來表示等等。一般而言，在一家企業(yè)初次制作風險圖時，較多使用定性方法對風險進行識別與分析。制作風險坐標圖可以基于企業(yè)整體層面風險或基于操作層面風險或基于關(guān)鍵業(yè)績范疇等。好的風險坐標圖應能體現(xiàn)準確性、全面性、一致性和職責性的特征。3.8.5風險分析——風險坐標圖3.8.5風險分析——記分卡法記分卡法的實質(zhì)就是組織對操作風險進行自我評估，并賦予每個操作風險損失事件一個數(shù)值，或者是損失事件的影響值，或者是損失事件發(fā)生的可能性。給每個操作風險賦值之后，銀行就可以對其進行排序、比較和分析，更進一步則可估計出操作風險的預期損失，即量化操作風險。記分卡法的關(guān)鍵在于找出與操作風險相關(guān)的風險因素，然后設計出一系列衡量操作風險影響或發(fā)生可能性的指標，在此基礎(chǔ)上由專家對其打分，最終估計出操作風險的影響或發(fā)生頻率。按照評估對象的不同，記分卡法又分為影響記分卡和頻率記分卡。3.8.5風險分析——記分卡法3.8.5風險分析①影響記分卡所謂影響記分卡就是在自我評估的基礎(chǔ)上找出銀行潛在的操作風險及風險因素，并對其分類，針對每一種操作風險，設計一套衡量其可能影響的指標，由風險管理專家對其打分，最終估計出每一種潛在操作風險可能給銀行造成的損失。②頻率記分卡頻率記分卡是通過對某一操作風險所有風險因素的綜合分析，進而評估其發(fā)生頻率（或稱為發(fā)生可能性）的方法。③記分卡的延伸操作風險的損失可統(tǒng)一到預期損失和非預期損失的風險度量框架下。預期損失用公式來表示就是：操作風險預期損失＝風險暴露×損失事件發(fā)生頻率×損失程度例如，銀行利用記分卡估計出每類操作風險事件的發(fā)生頻率和損失程度，經(jīng)過匯總之后，分別代入上面的公式，就可得出某一時期操作風險的預期總損失。3.8.5風險分析①影響記分卡3.8.5風險分析⑷定量分析法定量法風險分析是用數(shù)值來描述風險的影響結(jié)果和發(fā)生的可能性。有時定量分析只分析其程度或只分析其可能性。定量分析的質(zhì)量取決于數(shù)據(jù)的準確性、完整性和可靠性以及所選用模型的合理性和有效性。在實際應用上，用模型的方法模擬一種事件或一組事件產(chǎn)生的結(jié)果測出風險影響程度，或者用過去的數(shù)據(jù)或一系列的試驗而推斷風險影響程度。風險影響程度往往被表達為財務貨幣計量單位，有時也表示對環(huán)境、人身或合規(guī)的影響，例如風險價值計算就是這種道理。實踐中，一般用風險影響程度和發(fā)生的可能性這兩方面數(shù)值的共同表達來指示某一風險的水平尺度，這種水平往往可以直觀的反應在風險圖譜上，但有時企業(yè)僅僅關(guān)心風險的影響程度而并不在意風險發(fā)生的頻率。另外，常常用置信度表達方法來將風險影響結(jié)果和結(jié)果發(fā)生可能性的不確定性量化的表達出來。以下列出幾類定量風險分析法，有關(guān)此類方法的具體介紹詳見本考試大綱的《風險評估》模塊。3.8.5風險分析⑷定量分析法3.8.5風險分析—基本指標法（basicindicatorapproach）—標準法（StandardizedApproach）—高級衡量法（AdvancedMeasurementApproach）①內(nèi)部衡量法（InternalMeasurementApproach）②損失分布法（LossDistributionApproach）③VaR模型法—風險收益（EaR）法—現(xiàn)金流量風險值（CFaR）法—系統(tǒng)仿真法①模擬和仿真的異同②仿真的一般步驟③蒙特卡羅仿真模型④系統(tǒng)動力學仿真模型3.8.5風險分析—基本指標法（basicindicat3.8.5風險分析⑸定量與定性相結(jié)合的方法風險管理專家普遍認為，對風險進行分析和度量，最適合于應用定性和定量相結(jié)合的方法。但長期以來，人們一直是依靠專家經(jīng)驗，根據(jù)實際情況，把一定的定性方法和可供采用的定量方法，綜合集成使用。沒有形成一種固定的途徑和模式，特別是就各行各業(yè)操作風險的分析度量而言未來研究發(fā)展的空間很大。20世紀末專家曾提出了從定性到定量的綜合集成研討廳體系。該方法論體系將科學理論、經(jīng)驗知識、專家判斷力相結(jié)合，用半理論半經(jīng)驗的方法來處理具有復雜行為的系統(tǒng)。該體系是下列系統(tǒng)工程成功實踐經(jīng)驗的匯總和升華：3.8.5風險分析⑸定量與定性相結(jié)合的方法3.8.5風險分析①幾十年來世界上開展學術(shù)討論的Seminar經(jīng)驗；②從定性到定量綜合集成方法；③C3I作戰(zhàn)模擬；④情報信息技術(shù)；⑤人工智能；⑥靈境（VirtualReality）技術(shù)；⑦人機結(jié)合的智能系統(tǒng)；⑧系統(tǒng)學；⑨第五次產(chǎn)業(yè)革命中的其他技術(shù)。這個研討廳體系由以計算機為核心的現(xiàn)代高新技術(shù)的集成與融合所構(gòu)成的機器體系、專家體系和知識體系三個部分組成；其中專家體系和機器體系是知識體系的載體。三個體系構(gòu)成高度智能化的人機結(jié)合體系，不僅具有知識與信息采集、存儲、傳遞、調(diào)用、分析與綜合的功能，更重要的是具有產(chǎn)生新知識和智慧的功能?？梢灶A料該體系將在未來持續(xù)發(fā)展研究的操作風險分析度量中發(fā)揮出色作用。3.8.5風險分析①幾十年來世界上開展學術(shù)討論的Semi3.8.5風險分析⑹概率方法和非概率方法——概率方法概率方法是根據(jù)分布假設，來分析影響目標實現(xiàn)的所有事項及其所造成的后果，并考慮這些事項發(fā)生的可能性。依據(jù)歷史數(shù)據(jù)或利用對未來的假設模擬，對風險的可能性和影響程度進行評估。概率方法常用于對價值范圍的估測，概率方法還可以評估期望的和平均的結(jié)果，概率方法也可以評估極端的或非期望的影響。使用概率方法進行風險分析的例子包括：分析風險價值、風險現(xiàn)金流量、風險收益、信貸或經(jīng)營損失分布分析和事后檢驗分析等。然而，概率方法往往由于歷史數(shù)據(jù)不足夠等原因而在某些情形下難以使用或降低可信度。——非概率方法非概率方法是根據(jù)特定主觀假設，來量化潛在風險事項的影響程度，而不關(guān)注事項發(fā)生的可能性(僅量化事項的影響程度而不量化事項的可能性)。敏感度分析、情景分析和壓力測試等方法就屬于非概率方法。其中，敏感性分析常用以驗證數(shù)據(jù)或模型假設不確定性的效果，并且也往往測試控制手段和風險治理策略的合理性和有效性。另外，敏感性分析還常常用以測定宏觀經(jīng)濟指標波動可能造成的影響，例如利率調(diào)整可能產(chǎn)生的影響。情景分析則一般用以評估某個或多個事項對目標的影響。而壓力測試方法往往用以評估事項出現(xiàn)極端影響的情形。3.8.5風險分析⑹概率方法和非概率方法3.8.5風險分析盡管目前操作風險的計量技術(shù)仍然存在較大誤差，但要求準確地評估操作風險，并對不同業(yè)務分配資本金等已為西方金融機構(gòu)普遍接受。確保銀行有足夠的資本金來抵御不可預測的損失事件的發(fā)生，是良好的操作風險管理的根本目的。巴塞爾委員會提出了資本彈性結(jié)構(gòu)（Flexiblestructure）管理的理念，即鼓勵商業(yè)銀行不斷改進風險管理，確保按審慎原則開展業(yè)務經(jīng)營。巴塞爾委員會對操作風險的計量提出了多種方法，既包括初級簡單的基本指標法，也包括高級而嚴格的損失分布法。目前計量方法主要有基本指標法（BIA）、標準化方法（SA）、內(nèi)部衡量法（IMA）、損失分布法（LDA）、極值理論法（EVT）、記分卡法（SCA）和混合法（MA）等。其中，后五種方法稱為高級法。目前非金融企業(yè)操作風險的計量尚屬于一種有待發(fā)展領(lǐng)域，原因：一是由于操作風險的隨機性、差異性、復雜性、涉及領(lǐng)域?qū)挿盒院腿说男袨橄嚓P(guān)性，使得對操作風險精確計量的必要性和相應成本不得不做權(quán)衡；二是目前非金融行業(yè)操作風險計量的實踐尚不成熟和未普及，這使得目前各行業(yè)的監(jiān)管也難以學習銀行業(yè)監(jiān)管的做法而推動一種成熟的標準要求。然而，從操作風險系統(tǒng)關(guān)聯(lián)的角度或從組合集成的角度來看，就不少行業(yè)來講尋求對操作風險的某種量化是有其特別價值的，相信以系統(tǒng)工程和新技術(shù)為支持的操作風險計量的未來發(fā)展空間是巨大的。3.8.5風險分析盡管目前操作風險的3.8.5風險分析4.操作風險經(jīng)濟資本配置經(jīng)濟資本是企業(yè)在一定時間內(nèi)為防止或緩釋（在一定置信水平條件下）非預期損失導致的支付危機所需的資本金量。操作風險經(jīng)濟資本則是減緩非預期的操作風險損失及其所帶來的支付困難。置信的水平越高，所需的經(jīng)濟資本數(shù)量越多；損失積累的時間越長，所需的經(jīng)濟資本數(shù)量越多。操作風險的資本計量與相應的資本配置是建立在操作風險計量技術(shù)基礎(chǔ)之上的。從各行業(yè)對操作風險的資本配置的科學實踐來看，最為成熟的實踐是在銀行業(yè)。例如在銀行業(yè)，基本指標法、標準法適合于操作風險的監(jiān)管資本計量，其數(shù)據(jù)要求較低，精確度和敏感性差；又如SCA是計量經(jīng)濟資本的一種過渡方案，數(shù)據(jù)要求和精確度適中，適合于中等管理水平的銀行；再如IMA、LDA和EVT適合于操作風險經(jīng)濟資本計量，其數(shù)據(jù)要求高，精確度和敏感性較好?？傊瑢⒉僮黠L險、操作風險的計量、資本配置與操作風險防范相關(guān)聯(lián)，以達到對操作風險預先的科學的準備和防范是操作風險管理的目標之一。3.8.5風險分析4.操作風險經(jīng)濟資本配置3.8.6風險評價操作風險評價就是對照風險標準判斷操作風險級別和判斷操作風險類型的重要性。操作評價時的決策事項主要有：——現(xiàn)有風險的管理水平；——風險是否需要處理；——處理措施的優(yōu)先級；——活動是否應被執(zhí)行；——應遵循那些路線。對識別出的風險實施治理，提出的治理目標應與企業(yè)的風險管理目標、企業(yè)的發(fā)展戰(zhàn)略目標以及與企業(yè)利益相關(guān)者的期望目標保持一致，并且與企業(yè)的風險偏好和與企業(yè)利益相關(guān)者的風險容忍度相吻合。另外評價時要考慮企業(yè)道德和法律等因素，在實施風險評價的過程中，對那些與企業(yè)目標和關(guān)鍵業(yè)績相關(guān)聯(lián)的高程度的操作風險要給予特別關(guān)注和考慮。3.8.6風險評價操作風險評價就是對照風險標準判3.9操作風險應對策略和措施《企業(yè)操作風險管理》模塊考試大綱課件3.9.1操作風險應對策略1.操作風險應對策略企業(yè)在制定操作風險的應對策略時，應運用風險管理一般通用的“避免、保留、改善、轉(zhuǎn)移和分擔”等對策的基本原則，根據(jù)企業(yè)的發(fā)展戰(zhàn)略目標和風險管理目標，以及企業(yè)攜帶的風險類別及其特征，制定出應對操作風險的有效策略。⑴避免風險。通過決定是否中止或啟動導致風險的業(yè)務或活動來避免該操作風險。⑵分擔風險。即考慮與另一方或多方協(xié)議共擔風險。在商務中，主要通過合約結(jié)構(gòu)調(diào)整；如合伙或合資等共擔責任、成本和風險。⑶轉(zhuǎn)移風險。將不喜歡的操作層面的純風險通過合約轉(zhuǎn)移出去。這種合約包括保險合約或其他風險轉(zhuǎn)移合約。其目標是通過盡量小的成本而獲得一個大的風險保障。⑷保留風險。對實施改善、轉(zhuǎn)移和分擔之后仍舊殘留的風險，對認為沒有必要去治理的一些次級風險，對管理者尚無能力找出好的治理方法的風險，對認為治理某些風險的成本比不治理還大的風險，則選擇承擔這些風險，并將損失記錄在財務賬目中。3.9.1操作風險應對策略1.操作風險應對策略3.9.1操作風險應對策略⑸減緩風險。消除所有的操作風險是不切實際的，也是近乎不可能的。所以，應該盡可能地采取一切減緩風險的措施，運用最小成本方法來實現(xiàn)最合適的控制，將操作風險降低到一個可接受的級別，使得造成的負面影響最小化。⑹改變風險。改善風險可能的屬性和量級，改變結(jié)果。⑺消除風險源。消除或轉(zhuǎn)移該操作風險源。選擇最合適的操作風險治理方案就是要以法律、調(diào)整、其他需求、社會責任以及自然環(huán)境保護等所關(guān)注的利益為背景，去平衡執(zhí)行它的成本和成就。同時，也應該考慮到可以批準的在經(jīng)濟上不合理的風險治理活動的風險，比如，那些嚴重（大的負面后果）但鮮見（低的可能性）的風險。很多治理方案可以考慮單獨應用，也可以合并一起應用。選擇治理方案時，組織還應該考慮到利益相關(guān)者的評價和感知，并以最合適的方式和他們溝通。如果治理資源有限，治理計劃就應該分清楚優(yōu)先次序。3.9.1操作風險應對策略⑸減緩風險。消除所有的操作風3.9.1操作風險應對策略風險治理本身也能引入風險．一種重大的風險可能是風險治理測量的失敗或無效。確保測量有效的監(jiān)控是風險治理不可或缺的部分。風險治理也能帶來二次風險，必須加以評估、處理、監(jiān)控和評審。有的二次風險應該和原風險合成一體進入同一治理計劃，有的則作為未治理的新風險，但這兩類二次風險之間的鏈接應加以識別。決策者和其他利益相關(guān)方應當知道風險治理后的殘余風險的性質(zhì)和程度。殘余風險應記錄在案，并受到監(jiān)控、審查和適當?shù)倪M一步治理。3.9.1操作風險應對策略風險治理3.9.2操作風險應對措施企業(yè)評價和選擇應對風險的策略時，應同時評價和選擇落實這些策略的最佳措施、手段或工具。一般來講，供企業(yè)實施全面風險治理的措施或手段有四大類：一是內(nèi)部控制，二是使用轉(zhuǎn)移工具例如保險，三是選用衍生工具做對沖，四是采用合同方式的風險管理。而用于治理操作層面風險的常見措施則一般包括：企業(yè)內(nèi)部控制、保險轉(zhuǎn)移和合同方式的風險管理（例如利用簽訂外包合同而實現(xiàn)風險分擔）。3.9.2操作風險應對措施企業(yè)評價3.9.2操作風險應對措施1.內(nèi)部控制內(nèi)部控制是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。依據(jù)COSO—“內(nèi)部控制整合框架”（1992）和依據(jù)COSO—“企業(yè)風險管理框架”（2004），本大綱認同的內(nèi)控三個目標是：經(jīng)營目標，報告可靠性目標，合規(guī)目標。內(nèi)控五要素是：控制環(huán)境，風險評估，控制活動，信息與溝通，監(jiān)控。有關(guān)于上述三個目標和五要素的詳細內(nèi)容請參看《企業(yè)內(nèi)部控制》考試大綱模塊中的闡述，從中可進一步理解企業(yè)內(nèi)部控制對治理操作風險的作用和意義。企業(yè)在實施了風險轉(zhuǎn)移或外包處理風險等措施之后，決定保留下來而承擔的操作風險基本上均需要使用內(nèi)部控制的方法將操作風險控制在企業(yè)可接受的范圍之內(nèi)，以保障企業(yè)目標的實現(xiàn)。內(nèi)部控制是操作風險管理的基礎(chǔ)和基本應對措施，這一措施在風險應對策略中是擔當具體落實“改善”、“緩釋”或減小操作風險的作用，顯然內(nèi)部控制做得好，操作風險發(fā)生的概率就會大大減少。從傳統(tǒng)的意義上講，內(nèi)部控制是為系統(tǒng)性治理操作風險而產(chǎn)生的，當今意義上企業(yè)的內(nèi)部控制還需服務于企業(yè)對