操作風險框架梳理

什么是操作風險？編輯課件時間發(fā)布組織文件名稱定義1998年巴塞爾委員會《操作風險管理調查報告》市場風險和信用風險以外的其他風險。2001年英國銀行業(yè)協(xié)會《操作風險管理調查報告》由于內部程序、人員、系統(tǒng)的不完善或失誤，或外部事件造成直接損失或間接損失的風險。2001年巴塞爾委員會《巴塞爾新資本協(xié)議》（征求意見稿）由于內部的程序、人員、系統(tǒng)不充足或運行失當以及因為外部事件的沖擊等導致直接損失或間接損失的可能性的風險。該定義包括法律風險，但排除政策性風險與聲譽風險。2003年巴塞爾委員會《操作風險管理與監(jiān)管的穩(wěn)健做法》由于不當或失敗的內部程序、人員和系統(tǒng)或因外部事件導致?lián)p失的風險。2004年巴塞爾委員會《巴塞爾新資本協(xié)議》由不完善或有問題的內部程序、人員及系統(tǒng)或外部事件所造成損失的風險。本定義包括法律風險，但不包括策略風險和聲譽風險。2007年中國銀監(jiān)會《商業(yè)銀行操作風險管理指引》由不完善或有問題的內部程序、員工和信息科技系統(tǒng)，以及外部事件所造成損失的風險。本定義所指操作風險包括法律風險，但不包括策略風險和聲譽風險。操作風險的定義編輯課件四大風險因素和七大損失類型人員內部流程IT系統(tǒng)外部事件指成心騙取、盜用財產或違反監(jiān)管規(guī)章、法律或公司政策導致的損失事件，此類事件至少涉及內部一方，但不包括歧視及差異待遇事件指違反就業(yè)、健康或平安方面的法律或協(xié)議，個人工傷賠付或者因歧視及差異待遇導致的損失事件指因未按有關規(guī)定造成未對特定客戶履行份內義務〔如誠信責任和適當性要求〕或產品性質或設計缺陷導致的損失事件因交易處理或流程管理失敗，以及與交易對手方、外部供給商及銷售商發(fā)生糾紛導致的損失事件因信息科技系統(tǒng)生產運行、應用開發(fā)、平安管理以及由于軟件產品、硬件設備、效勞提供商等第三方因素,造成系統(tǒng)無法正常辦理業(yè)務或系統(tǒng)速度異常所導致的損失事件指第三方成心騙取、盜用、搶劫財產、偽造文件、攻擊商業(yè)銀行信息科技系統(tǒng)或逃避法律監(jiān)管導致的損失事件因自然災害或其他事件〔如恐怖襲擊〕導致實物資產喪失或毀壞的損失事件風險因素內部欺詐就業(yè)制度和工作場所平安事件客戶、產品和業(yè)務活動事件執(zhí)行、交割和流程管理事件信息科技

系統(tǒng)事件外部欺詐實物資產的損壞損失類型編輯課件操作風險損失形態(tài)損失形態(tài)具體描述因商業(yè)銀行發(fā)生操作風險事件引發(fā)法律訴訟或仲裁，在訴訟或仲裁過程中依法支出的訴訟費用、仲裁費用及其他法律本錢。如違反知識產權保護規(guī)定等導致的訴訟費、外聘律師代理費、評估費、鑒定費等由于疏忽、事故或自然災害等事件造成實物資產的直接毀壞和價值的減少。如火災、洪水、地震等自然災害所導致的賬面價值減少等由于內部操作風險事件，導致商業(yè)銀行未能履行應承擔的責任造成對外的賠償。如因銀行自身業(yè)務中斷、交割延誤、內部案件造成客戶資金或資產等損失的賠償金額由于偷盜、欺詐、未經授權活動等操作風險事件所導致的資產賬面價值直接減少。如內部欺詐導致的銷賬、外部欺詐和偷盜導致的賬面資產/收入損失，以及未經授權或超授權交易導致的賬面損失等由于操作風險事件引起的其他損失因操作風險事件所遭受的監(jiān)管部門或有權機關罰款及其他處分。如違反產業(yè)政策、監(jiān)管法規(guī)等所遭受的罰款、撤消執(zhí)照等2.監(jiān)管罰沒

3.資產損失4.對外賠償5.追索失敗6.賬面減值7.其它損失由于工作失誤、失職或內部事件，使原本能夠追償?shù)罱K無法追償所導致的損失，或因有關方不履行相應義務導致追索失敗所造成的損失。如資金劃轉錯誤、相關文件要素缺失、跟蹤監(jiān)測不及時所帶來的損失等1.法律本錢編輯課件操作風險結構起因事件結果事件類別：內部詐欺外部欺詐雇用慣例和工作場所安全客戶、產品及營業(yè)行為人員或資產損失營運中斷與系統(tǒng)當機執(zhí)行、運送及操作流程的管理結果類別：影響損益賬戶沖銷喪失追索權法律責任賠償資產遺失或損壞主管機關的監(jiān)管行動客戶投訴信譽受損其它影響起因類別：組織信息科技信息、資料人力資源操作流程外部事件荷蘭銀行的操作風險結構重點在于區(qū)分“起因〞,“事件〞及“結果〞三個關鍵因素，因為每一個關鍵因素都可能被使用作為分析操作風險的起點。

5編輯課件一、操作風險緒論—風險特征1.具體性。不同類型的操作風險具有各自具體的特性，難以用一種方法對各類操作風險進行準確的識別和計量，原因在于操作風險中的風險因素主要存在于銀行的業(yè)務操作中，幾乎涵蓋了銀行的所有業(yè)務，操作風險事件前后之間有關聯(lián)，但是單個的操作風險因素與操作性損失之間并不存在可以定量界定的數(shù)量關系，個體性較強。2.分散性。試圖用一種方法來覆蓋操作風險管理的所有領域幾乎是不可能的，原因在于操作風險管理實際上覆蓋了銀行經營管理中幾乎所有方面的不同風險，既包括發(fā)生頻率高、造成損失相對較低的日常業(yè)務流程處理上的小錯誤，也包括發(fā)生頻率低、造成損失相對較高的大規(guī)模舞弊、自然災害等，而且操作風險與各類風險相互交疊，涉及面廣。同時操作風險管理不可能由一個部門完成，必須建立操作風險管理的框架體系。3.差異性。不同業(yè)務領域操作風險的表現(xiàn)方式存在差異，原因在于業(yè)務規(guī)模小、交易量小、結構變化不太迅速的業(yè)務領域，雖然操作風險造成的損失不一定低，但是發(fā)生操作風險的頻率相對較低；而業(yè)務規(guī)模大、交易量大、結構變化迅速的業(yè)務領域，受到操作風險沖擊的可能性也大。4.復雜性。銀行風險管理部門難以確定哪些因素對于操作風險管理來說是最重要的，原因在于引起操作風險的因素較復雜，如產品的復雜性、產品營銷渠道的拓展、人員流動以及規(guī)章制度的變化等都可能引起操作風險，而通常可以監(jiān)測和識別的操作風險，與由此可能導致的損失的規(guī)模、頻率之間不存在直接關系，常常帶有鮮明的個案特征。5.內生性。除自然災害、恐怖襲擊等外部事件外，操作風險的風險因素很大比例上來源于銀行的業(yè)務操作，屬于銀行的內生風險。6.轉化性。操作風險是根底性風險，對其他類別風險，如信用風險、市場風險等有重要影響，操作風險管理不善，將會引起風險的轉化，導致其他風險的產生，2021年爆發(fā)的金融危機為我們分析風險之間的轉化機制提供了很好的樣本。操作風險的特點編輯課件操作風險事件案例2021年1月法國興業(yè)銀行爆發(fā)全球金融史上最大弊案，一位年輕交易員越權作多歐洲股價指數(shù)期貨，造成該行虧損49億歐元〔72億美元〕，使得興業(yè)銀行當年全年營收凈利剩下9.47億歐元，比前年下跌82%。2001年11月UBS交易員把「每股61萬日圓，賣出16股」打成「每股16日圓，賣出61萬股」，在幾秒鐘內使公司損失7,100萬英鎊。1995年1月巴林銀行(Barings)倒閉之案例：→流程控管的監(jiān)督失衡:總行稽核與里森間的信任與放任→系統(tǒng)控管:超過限額的風險預警機制未發(fā)揮作用→系統(tǒng)平安:李森同時具有設定系統(tǒng)權限與限額的能力。2006年交行某分行發(fā)生一起涉案金額約2億元人民幣的客戶資金詐騙案。2021年12月底某基金公司“烏龍門〞事件(申購贖回清單計算偏差)。編輯課件操作風險事件案例2001年美國911事件，許多設在世界貿易中心的金融公司喪失了大量財產、員工與數(shù)據(jù)數(shù)據(jù)。2006年12月26日晚間恒春大地震造成國際海纜中斷，臺灣及東亞各地網絡與效勞都因此受到嚴重影響。2021年汶川大地震造成在地震受災嚴重地區(qū)，銀行運營活動停止(綿竹市某家大型商業(yè)銀行營業(yè)網點)編輯課件如何管理操作風險？編輯課件二、操作風險管理——根本概念操作風險管理是指在實現(xiàn)組織經營目標過程中，相關人員將組織的操作風險控制在組織可接受范圍之內的方法和過程，以保障組織經營目標的實現(xiàn)。組織結構：包括治理結構、內部控制、組織文化人員：包括人員素質、人員穩(wěn)定性、績效及薪酬結構、內部欺詐外部因素：包括外部欺詐、經營產所平安性、外部突發(fā)事件業(yè)務流程：包括業(yè)務流程設計缺陷、業(yè)務流程執(zhí)行不標準信息科技系統(tǒng)：計算機硬件、計算機軟件、通信編輯課件二、操作風險管理—管理目標操作風險管理的總目標：將業(yè)務操作風險控制在一個可以接受的范圍內，使得各類業(yè)務完成目標之總和可以為企業(yè)的總體經營目標的實現(xiàn)提供操作保障。保證資產平安保證業(yè)務運轉連續(xù)性保證企業(yè)和業(yè)務的效益和效率保證經營的合規(guī)性保證流程任務完成的正確性編輯課件操作風險管理原那么企業(yè)操作風險管理的六條根本原那么：〔1〕客觀性：以風險事件為管理的根底?！?〕一致性；建立統(tǒng)一的風險評估規(guī)那么和計量口徑?！?〕相關性：考慮各類風險事件的傳遞和關聯(lián)〔4〕透明性：建立公開的行政管理制度和標準〔5〕整體性：從體系的角度實現(xiàn)業(yè)務管理的協(xié)調、關聯(lián)、和匹配〔6〕完整性：操作風險管理力爭做到全面覆蓋能有效降低操作風險，使內在風險-已降低風險=剩余風險最小化的操作風險管理的12條黃金法那么〔Hans-UlrichDoerig，瑞士信貸集團〕：〔1〕戰(zhàn)略；〔2〕結構；〔3〕系統(tǒng)化；〔4〕員工；〔5〕平安；〔6〕速度；〔7〕利益相關者；〔8〕共同價值觀；〔9〕技能；〔10〕象征；〔11〕風格；〔12〕同步編輯課件銀監(jiān)會操作風險管理13條原那么〔1〕高度重視防范操作風險的規(guī)章制度建設；〔2〕切實加強稽核建設；〔3〕加強對基層行的合規(guī)性監(jiān)督；〔4〕訂立職責制，明確總行及各級分支機構的責任，形成明確的制度保障；〔5〕堅持相關的行務管理公開制度；〔6〕建立和實施基層主管輪崗輪調和強制性休假制度，并確保這一安排納入總行及各級分支機構的人事管理制度；〔7〕嚴格標準重要崗位和敏感環(huán)節(jié)工作人員八小時內外的行為，建立相應的行為失范監(jiān)察制度；〔8〕對舉報查實的案件，舉報人屬于來自基層的員工〔包括合同工、臨時工〕的，要予以重獎；〔9〕加強和完善銀行與客戶、銀行與銀行以及銀行內部業(yè)務臺賬與會計賬之間的適時對賬制度，對對賬頻率、對賬對象、可參與對賬人員等做出明確規(guī)定；〔10〕加強未達賬項和過失處理的環(huán)節(jié)控制，記賬崗位和對賬崗位必須嚴格分開，堅決做到對未達賬和賬款過失的查核工作不返原崗處理〔11〕嚴格印章、密押、憑證的分管與分存及銷毀制度，堅決執(zhí)行制度規(guī)定，并對此進行嚴格檢查，對違規(guī)者進行嚴厲懲罰〔12〕加強對可能發(fā)生的賬外經營的監(jiān)控〔13〕迅速改進科技信息系統(tǒng)，提高通過技術手段防范操作風險的能力，支持各類管理信息的適時、準確生成，為業(yè)務操作復核和稽核部門的稽查提供堅實根底編輯課件操作風險管理流程識別評估監(jiān)測緩釋流程分析風險控制識別RSACSAKRILDC行動計劃識別從業(yè)務流程出發(fā)，分析業(yè)務中的關鍵風險點；使用流程圖法、流程分析法等工具。評估以業(yè)務流程為基點，對風險與控制進行自我評估；使用風險地圖、問卷調查法等工具。風險控制和緩釋在評估結果的基礎上，根據(jù)可選方案對風險進行控制和緩釋；使用行動計劃、控制措施優(yōu)化、保險等措施。監(jiān)控、計量和報告對風險和控制情況進行監(jiān)控、計量和報告；使用關鍵風險指標、操作風險報表/報告、資本計量等工具。編輯課件操作風險管理工具體系操作風險管理三大工具：風險與控制自我評估(RCSA)、損失數(shù)據(jù)收集〔LDC)和關鍵風險指標〔KRI)。三大工具貫穿操作風險管理始終，為高效率、系統(tǒng)化的操作風險管理提供幫助。風險識別風險評估風險監(jiān)測風險控制流程分析：識別主要業(yè)務流程或業(yè)務活動中固有的操作風險事件以及目前本行具備的相應控制措施損失數(shù)據(jù)收集〔LDC)：針對操作風險事件的相關信息，進行數(shù)據(jù)收集、內容分析、整改分析設計與執(zhí)行、損失分配、內外部報告等程序風險與控制自我評估(RCSA)：通過流程分析，識別和評估流程中潛在操作風險以及自身業(yè)務活動的控制措施、適當程度及有效性的操作風險管理工具。關鍵風險指標〔KRI)：代表某一風險領域變化情況并可定期監(jiān)控的統(tǒng)計指標,可用于監(jiān)測可能造成損失事件的各項風險及控制措施，并作為反映風險變化情況的早期預警指標。行動方案：通過三大工具的應用，根據(jù)對風險暴露嚴重程度的判斷，采取相應的措施，將風險暴露降低到可接受的水平編輯課件操作風險管理三大工具的相互作用風險控制自我評估RCSA損失數(shù)據(jù)收集LDC通過RCSA對風險的辨識，對尋找損失數(shù)據(jù)提供了依據(jù)關鍵風險指標KRI真實的損失數(shù)據(jù)對RCSA風險點的評估提供了參考真實的損失數(shù)據(jù)為KRI設置提供了參考KRI異常往往指向真實的損失事件RCSA的評估結果為KRI提供了額外的操作風險信息,成為KRI設置的參考KRI的異?？沙蔀镽CSA的驅動力之一編輯課件操作風險管理三大工具——目錄-風險與控制自我評估〔RCSA〕-關鍵風險指標〔KRI〕-損失數(shù)據(jù)收集〔LDC〕編輯課件風險與控制自我評估〔RCSA〕RCSA是一種通過調查金融機構管理層和員工有關對操作風險損失事項發(fā)生可能性和嚴重性的估計，將調查結果與未來預計損失進行匹配(Mapping)的方法目前RCSA的目的單純集中在估計預期損失(ExpectedLoss,EL)，只有在實行操作風險高級計量法(AdvancedMeasurementApproach,AMA)后，才能對非預期損失進行計量事件發(fā)生的頻率(Frequency)和損失的嚴重性(Severity)是評估現(xiàn)有風險因素管理和操作風險控制質量的關鍵信息編輯課件額外的操作風險管理信息來源：僅僅依靠對真實發(fā)生的損失事件進行收集缺乏以評估銀行的操作風險暴露，RCSA可以使銀行建立額外的操作風險管理信息來源對操作風險管理環(huán)境變化作及時的調整：當銀行的業(yè)務環(huán)境發(fā)生改變時〔如推出新產品，員工數(shù)量發(fā)生顯著增長〕，特定的RCSA制度可及時對其引起的操作風險暴露變化進行反映，為管理層的決策提供參考定期辨識潛在的操作風險暴露：常規(guī)的RCSA制度可以對銀行的操作風險環(huán)境進行定期的評估，有助于管理層及時辨識是否需要改變現(xiàn)有的流程和控制政策，以躲避潛在的操作風險損失為什么要進行RCSA編輯課件計量指標數(shù)據(jù)集中風險自我評估業(yè)務環(huán)境損失數(shù)據(jù)收集識別模型損失事件類型模型風險因素模型指標模型損失影響類型模型組織模型歷史風險資本主觀風險資本整合〔貝葉斯方法〕操作風險資本調整測算環(huán)境評分內部損失數(shù)據(jù)外部損失數(shù)據(jù)主觀估計控制與風險因素評分RCSA在操作風險資本計量中扮演的角色編輯課件RCSA的根底——三大清單在全行統(tǒng)一進行流程、風險點及控制措施清單梳理，將其作為風險與控制自我評估架構的根底。梳理銀行產品及虛擬產品（非產品）流程，作為風險識別的第一步，并作為將來銀行開展RCSA工作的基礎。流程清單以流程為基礎，識別流程環(huán)節(jié)中的關鍵風險點。風險點清單針對風險點采用合適的控制措施，以增強各業(yè)務單位控制自評估的有效性?？刂拼胧┣鍐尉庉嬚n件流程風險點損失事件類型控制措施流動資金貸款客戶申請客戶提供虛假材料外部欺詐客戶經理和經辦雙方復核確認復印件真實性………………………………放款審核未及時辦理抵質押手續(xù)執(zhí)行、交付和流程管理設立專門的抵質押登記崗負責抵質押手續(xù)辦理……授信后管理崗定期督促對抵質押辦理完成率進行考核……………………例如流程清單風險點清單控制措施清單RCSA的根底——三大清單編輯課件操作風險識別模型是所有操作風險計量方法論的根底，這些方法論使得數(shù)據(jù)收集變得有序、結構化和連貫操作風險識別模型由如下模塊構成組織模型損失事件模型風險因素模型指標模型影響模型對所有可能的損失事件類型進行識別和分類對分析下的組織維度進行識別和定義對導致?lián)p失事件的所有可能原因/因素進行識別和分類對支持合理的主觀估計的信息和指標進行識別對一個事件的所有可能影響進行識別和分類根據(jù)銀行的特點，應對各模型的細部層級進行客制化，這需要行內各相關部門的外部輸入。模型細部層級的內容主要依賴于銀行各部門的收集和整理，在日常操作風險管理中，各相關部門應注意收集相關數(shù)據(jù)，對各模型進行整理、更新和維護RCSA方法論——識別模型的標準分類編輯課件識別模型損失事件類型模型風險因素模型影響模型組織模型范圍定義設置和參數(shù)化執(zhí)行審閱和調整指標模型報告方法定義〔自上而下vs.自下而上；整體vs.局部〕識別RCSA涉及的業(yè)務單元針對每份問卷定義問題選擇評估方法論定義閾值總行操作風險管理部進行結果分析由內審部門進行檢查與業(yè)務單元進行討論調整結果和評級針對業(yè)務單元經理的問卷的執(zhí)行定量答案收集〔平均頻率，平均嚴重性，最壞情況〕風險因素識別報告的準備和分發(fā)RCSA方法論——將識別模型應用到RCSA編輯課件風險自評估的運行模式與機制總行操作風險管理部門定期或不定期，牽頭組織總行業(yè)務部門對內控梳理的固有風險和剩余風險開展自評估工作。評估內容：需要對操作風險進行定性、定量評估。實施范圍：參與人員與相關職責：操作風險管理部門〔專職崗位〕：負責牽頭組織、協(xié)調本級的自評工作，并在業(yè)務部門自評估工作中給予支持和指導；業(yè)務部門〔兼職崗位〕：負責組織本部門相關人員通過工作組會議形式開展自評估，并在系統(tǒng)中錄入評估結果；業(yè)務部門〔業(yè)務專家/流程負責人〕：參與相關的自評估工作組會議，并在會議中提供自評估的專家經驗和建議；業(yè)務部門〔部門負責人/政策負責人〕：負責最終審核和確認通過工作組會議確定的自評估結果。總行部門需要開展固有風險自評估；總行部門需要開展剩余風險自評估；分行部門需要開展剩余風險自評估。編輯課件風險自評估的運行模式與機制評估頻率：5.評估方案：定期：每年〔固有風險和剩余風險〕不定期：當發(fā)生以下情形時，會啟動固有風險和剩余風險的自評估工作：同業(yè)發(fā)生重大案件；本條線發(fā)生重大操作風險事件；總行信息系統(tǒng)發(fā)生重大變化；總行推行新產品、新業(yè)務、新流程；監(jiān)管機構發(fā)布重大操作風險提示；監(jiān)管機構或者管理層要求發(fā)起的。總行操作風險管理部門負責制定全行年度風險自評〔固有風險和剩余風險〕的總體工作方案；總行業(yè)務部門依據(jù)全行年度工作方案，制定本部門的風險自評〔固有風險和剩余風險〕工作方案；分行業(yè)務部門依據(jù)上級歸口部門制定的年度自評工作方案，制定本部門的剩余風險自評工作方案；分行操作風險管理部門負責匯總分行業(yè)務部門制定的年度自評工作方案，并在分行范圍內進行協(xié)調和確認。編輯課件風險自評估的運行模式與機制6.工作開展模式：風險自評主要采用：線下開展工作組討論會議+兼職崗位線上錄入結果的方式，具體開展模式舉例說明如下所示：以總行部門流程層級風險自評估為例〔從固有風險和剩余風險的角度評估操作風險〕：主流程部門兼職崗位負責組織該主流程牽頭部門和參與部門相關的業(yè)務專家召開工作組討論會議，共同對該主流程在內控梳理中所識別的流程層級的風險進行討論和評分，該兼職崗位當場記錄評分結果信息并請與會人員簽字確認，會后由牽頭部門的部門負責人或政策負責人對評分結果做最終審核和確認，并由該兼職崗位在系統(tǒng)中錄入最終評分結果信息。編輯課件操作風險暴露的評估規(guī)那么操作風險暴露（RE，RiskExposure）風險嚴重程度-直接損失（S，Severity）風險發(fā)生頻率（F，F(xiàn)requency）=×剩余風險暴露評估規(guī)則未來一年內，可能承受的操作風險損失未來一年內，該操作風險可能發(fā)生的次數(shù)平均而言，上述風險所造成的財務損失定義依據(jù)目前內外部環(huán)境、控制措施的有效性，估算可能發(fā)生的頻率。依據(jù)目前內外部環(huán)境、控制措施的有效性，估算若這類風險發(fā)生，可能會帶來多大的財務損失。參考依據(jù)歷史損失數(shù)據(jù)業(yè)務量依據(jù)行內業(yè)務專家的經驗歷史損失數(shù)據(jù)目前平均的業(yè)務或交易金額目前平均的損失回收率編輯課件操作風險暴露的評估標準〔直接損失〕頻率等級發(fā)生頻率1至少每天發(fā)生一次2至少每周發(fā)生一次3至少每月發(fā)生一次4至少每季發(fā)生一次5至少每半年發(fā)生一次6至少每年發(fā)生一次7至少每3年發(fā)生一次8至少每5年發(fā)生一次9至少10年發(fā)生一次1030年以上發(fā)生一次嚴重度等級可能造成的損失（RMB）10-5,00025,000-10,000310,000-20,000420,000-50,000550,000-100,0006100,000-200,0007200,000-500,0008500,000-1,000,00091,000,000-2,000,000102,000,000-4,500,000114,500,000-9,500,000129,500,000-20,000,0001320,000,000-45,000,0001445,000,000-95,000,0001595,000,000-200,000,00016>200,000,000操作風險發(fā)生頻率評估表操作風險嚴重程度評估表〔直接損失〕發(fā)生頻率-未來一年內，評估某個操作風險發(fā)生的頻率，假設發(fā)生頻率介于兩個等級間，選擇頻率較高者。嚴重度-某個操作風險假設一旦發(fā)生時，平均而言，估算銀行可能蒙受的財務損失。編輯課件操作風險暴露的評估標準〔間接損失〕等級描述1影響5%的客戶服務質量2影響20%的客戶服務質量3影響50%以上的客戶服務質量等級描述1中斷1日2中斷1周3中斷1個月以上等級描述1負面信息于省內散播2負面信息于國內散播3負面信息于國際散播等級描述1造成員工輕微受傷2造成員工嚴重受傷3危機員工生命等級描述1監(jiān)管部門口頭警告2監(jiān)管部門進場加強查核3監(jiān)管部門強制銀行停止業(yè)務間接損失評估表-聲譽受損間接損失評估表-運營中斷間接損失評估表-廣大客戶服務質量間接損失評估表-監(jiān)管行動間接損失評估表-員工安全編輯課件風險地圖風險地圖是將風險自評估中操作風險暴露評估結果與采取應對措施的聯(lián)結工具，其主要目的在于為操作風險暴露的評估結果帶來管理上的意義。30,000,00060,000,00099,000,000300,000,000600,000,0001,200,000,0003,600,000,00015,600,000,000109,500,000,00013,456,70026,931,40044,368,100134,657,000269,314,000538,628,0001,615,884,0007,002,164,00049,149,805,0004,666,9009,333,80015,40,77046,669,00093,338,000186,676,000560,028,0002,426,788,00017,034,185,0001,617,4003,234,8005,337,42016,174,00032,348,00064,696,000194,088,000841,048,0005,903,510,000560,5001,211,0001,849,6505,605,00011,210,00022,420,00067,260,000291,460,0002,045,825,000194,300388,600641,1901,943,0003,886,0007,772,00023,316,000101,036,000709,195,00067,300134,600222,090673,0001,346,0002,692,0008,076,00034,996,000245,645,00023,30046,60076,890233,000466,000932,0002,796,00012,116,00085,045,0008,10016,20026,73081,000162,000324,000972,0004,212,00029,565,0002,8005,6009,24028,00056,000112,000336,0001,456,00010,220,0001,0002,0003,30010,00020,00040,000120,000520,0003,650,0003006009903,0006,00012,00036,000156,0001,095,000示例操作風險可能發(fā)生的頻率（未來一年內發(fā)生的次數(shù)）操作風險可能帶來的財務損失綠色區(qū)域〔可容忍，不需另外采取應對措施〕：操作風險暴露落在平安區(qū)域，基于風險管理、本錢與效益的考慮，視該操作風險暴露為業(yè)務經營的操作風險本錢。黃色區(qū)域〔可容忍，但應該加強監(jiān)控〕：表示操作風險暴露落在需加強監(jiān)控的范圍內，相關單位應加強管理與監(jiān)控的力度。橙色區(qū)域〔可容忍，但應該采取應對措施〕：操作風險暴露已落在警戒范圍內，相關單位應該立刻采取應對措施，以將操作風險暴露迅速降低至平安區(qū)域〔綠色或黃色區(qū)域〕。紅色區(qū)域〔不可容忍，特別關注并采取應對措施〕：操作風險暴露已落在不可忍受的范圍內，應特別關注，并采取強度較大的應對措施，將操作風險迅速降低至平安區(qū)域〔綠色或黃色區(qū)域〕。編輯課件風險評估的覆蓋面及執(zhí)行方式風險類型評估標的評估方式/頻率總行分行固有風險剩余風險固有風險剩余風險操作風險識別的操作風險點研討會/年√√×√研討會進行方式：由流程主辦部門的業(yè)務條線兼職崗位牽頭，召集本部門流程負責人、業(yè)務骨干及協(xié)辦部門流程負責人、業(yè)務骨干進行討論，并將討論結果錄入系統(tǒng)。編輯課件控制措施有效性評估標準〔控制設計〕級別評估標準標準說明1必要且有效控制措施設計能針對操作風險進行良好的管控。2必要但部分有效控制措施設計能針對操作風險發(fā)生管控效果，但管控方式仍有些許改善的空間。3必要但無效雖為必要的控制措施，但管控方式有很大的改善空間。4不必要控制措施為多余且無用。編輯課件控制措施有效性評估標準〔控制運行〕級別評估標準標準說明1絕對有效所有執(zhí)行人員擁有專業(yè)勝任能力；控制落實程度為100%。（以上條款缺一不可）2通常有效多數(shù)執(zhí)行人員具有專業(yè)勝任能力；控制落實程度為85%至99%。（以上條款只需其一）3基本有效部分執(zhí)行人員具有專業(yè)勝任能力；控制落實程度為70%至84%。（以上條款只需其一）4偶爾有效個別執(zhí)行人員具有專業(yè)勝任能力；控制落實程度為50%至69%。（以上條款只需其一）5無效執(zhí)行人員均不具有專業(yè)勝任能力；控制落實程度為50%以上未落實。（以上條款只需其一）編輯課件控制措施有效性評估標準〔控制運行〕考慮到控制運行失效所造成的后果，對運行有效性的評估標準做如下定性判斷說明：假設偏離控制措施行為導致如下后果，評估結論應為無效：偏離控制措施本身已形成重大缺陷，或與其他控制缺陷共同構成重大缺陷；偏離控制措施的行為導致重大操作風險事件發(fā)生，該控制措施的運行有效性結論應為無效。假設偏離控制措施行為導致如下后果，評估結論不得高于偶爾有效：偏離控制措施本身已形成重大缺陷，或與其他控制措施共同構成重要缺陷；偏離控制措施的行為導致一般操作風險事件發(fā)生，該控制措施的運行有效性結論不得高于偶爾有效。假設偏離控制措施行為導致如下后果，評估結論不得高于根本有效：被監(jiān)管機構檢查發(fā)現(xiàn)的問題，并責令整改；被媒體曝光，對本行形象造成不良影響；被條線檢查〔二道防線檢查〕或審計檢查發(fā)現(xiàn)缺陷。編輯課件控制措施有效性評估結果的應對方案

〔控制設計〕級別評估標準應對方案1必要且有效（重點關注）該類控制措施能夠合理保證控制目標的實現(xiàn)；能夠有效管控風險并且具有不可替代的作用；應重點測試該類控制措施運行的有效性。2必要但部分有效（可以接受）識別補充的控制措施，以合理保證實現(xiàn)控制目標并有效管控風險；鑒于該類控制措施的必要性，應測試運行有效性。3必要但無效（必須整改）需要啟動整改，使其成為“必要但部分”或“必要且有效”的控制措施。4不必要（完全移除）冗余控制措施，可刪除。編輯課件控制措施有效性評估結果的應對方案

〔控制運行〕級別評估標準應對方案1絕對有效對于多次自評為“絕對有效”的控制措施，可降低自評實施的頻率；第三道防線需對此類的控制措施予以特別關注。2通常有效分析導致偏離控制措施行為的原因，有針對性的采取整改行動；可不再執(zhí)行第三道防線測評。3基本有效4偶爾有效5無效編輯課件控制自評估的運行模式與機制總行操作風險管理部門定期或不定期，牽頭組織總行、分行、支行各級業(yè)務部門開展控制設計和運行有效性的自評估工作：評估內容：實施范圍：針對內控梳理中識別的控制措施開展自評估工作；控制措施需要從控制設計有效性和運行有效性的兩方面自評估?？刂圃O計有效性自評：總行業(yè)務部門；控制運行有效性自評：總行、分行、支行業(yè)務部門。編輯課件控制自評估的運行模式與機制3.評估頻率：4.參與人員與相關職責：控制設計有效性自評：定期〔年度〕、不定期〔觸發(fā)情形與風險自評相同〕；控制運行有效性自評：定期〔半年〕、不定期〔觸發(fā)情形與風險自評相同〕。總行操作風險管理部門〔專職崗位〕：制定全行年度控制自評估總體工作方案，負責牽頭組織、協(xié)調本級的自評估工作；負責復評全行業(yè)務部門的控制自評估結果，完成全行控制自評估結果報告；負責培訓、指導總行業(yè)務部門的自評估工作。分行操作風險管理部門〔專職崗位〕：匯總分行業(yè)務部門年度控制自評估工作方案，負責牽頭組織、協(xié)調本級的自評估工作；負責復評分行業(yè)務部門的控制自評估結果，完成分行控制自評估結果報告；負責培訓、指導分行業(yè)務部門的自評估工作。業(yè)務部門〔兼職崗位〕：負責定期〔每年/月〕組織本部門的相關人員開展控制自評估工作；收集、整理相關人員的控制自評估結果，并在系統(tǒng)中錄入評估結果。編輯課件控制自評估的運行模式與機制業(yè)務部門〔操作人員/業(yè)務專家/流程負責人〕：負責定期〔每年/月〕評估該部門兼職崗位提供的問卷。業(yè)務部門〔部門負責人/政策負責人〕：負責定期〔每年/月〕最終審核和確認本部門的控制自評估結果。5.評估方案：總行操作風險管理部門負責牽頭制定全行年度控制自評〔設計有效性和運行有效性〕工作方案；總行業(yè)務部門依據(jù)操作風險管理部門總體要求，制定本部門的控制自評〔設計有效性和運行有效性〕工作方案；分行業(yè)務部門依據(jù)上級歸口部門制定的年度自評工作方案，制定本部門的控制自評工作方案；分行操作風險管理部門負責匯總分行業(yè)務部門制定的年度自評工作方案，并在分行范圍內進行協(xié)調和確認；業(yè)務部門控制設計有效性和控制運行有效性的自評模式與風險自評相同。編輯課件控制復評的運行模式與機制為滿足操作風險管理指引需求，操作風險管理部門需實施充分且有代表性的評估和測試，詢問政策和控制程序存在的缺陷，并進行相應的調查。復評內容：實施范圍：評估頻率：針對業(yè)務板塊，對CSA的規(guī)劃、過程及結果〔非針對單點的控制〕進行整體評估，主要包括以下要點：各部門是否按規(guī)劃執(zhí)行控制自評工作，包括日程、覆蓋面、開展方式〔例如：是否召開研討會〕等；針對控制設計缺陷或執(zhí)行不到位的，各部門是否積極應對，啟動行動方案；在合理性分析的根底上評估控制自評結果與條線、合規(guī)檢查的結果是否存在重大偏離，假設存在偏離，是否有合理的解釋?？刂茝驮u工作針對總行、分行及其轄內機構的內控自評工作開展。半年〔每個條線的控制評估覆蓋完成一次時〕。編輯課件控制復評的運行模式與機制〔續(xù)〕參與人員與相關職責：評估方案：6.工作開展模式：總行操作風險管理部門：評估總行各部門的控制自評工作執(zhí)行情況；及監(jiān)督分行操作風險管理部門的復評執(zhí)行情況。分行操作風險管理部門：評估本級分行及所轄支行的控制自評工作執(zhí)行情況?？傂胁僮黠L險管理部門需根據(jù)總行各業(yè)務部門的自評方案制定總行的控制復評方案；分行操作風險管理部門需根據(jù)分行各業(yè)務部門的自評方案制定本分行的控制復評方案。通過報表的方式對總、分行及其轄內機構的控制自評工作進行全面的復核和分析；必要時還可以對相關人員實施訪談，并調閱相關資料；對復評結果出具總結性意見。編輯課件風險自評估〔RSA〕與其他相關要素的關系一道防線和二道防線的相關業(yè)務和管理部門，對內控梳理中識別的風險開展定期或不定期自我評估，風險自評模塊〔RSA〕與其他模塊之間的關系如下：風險自評（RSA）是建立在全行統(tǒng)一內控梳理的標準上，將識別的風險與控制庫、流程庫、產品庫、崗位庫進行匹配，并依據(jù)評估標準庫中相應評估標準，對識別的風險從頻率和影響程度兩個維度進行評估，并估算剩余風險暴露值。風險自評（RSA）主要對內控梳理成果——風險點，以定性和定量的方式，評估風險的暴露或等級。分析剩余風險暴露值落在風險地圖的警戒范圍或不能容忍范圍的原因，并采取相應的行動方案。編輯課件控制自評估〔CSA〕與其他相關要素的關系一道防線和二道防線的相關業(yè)務和管理部門對內控梳理中識別的控制措施開展定期或不定期的自我評估〔CSA〕，評估主要從控制設計有效性和運行有效性兩個維度開展?？刂谱栽u模塊〔CSA〕與其他模塊之間的關系如下：控制自評（CSA）是建立在全行統(tǒng)一內控梳理的標準上，將識別的控制與風險庫、流程庫、產品庫、崗位庫、內部規(guī)范及外部規(guī)章庫匹配?？刂谱栽u（CSA）主要對內控梳理成果——控制措施，依據(jù)評估標準庫中相應的評估標準，對識別的控制從設計有效性和運行有效性兩個維度進行自我評估。編輯課件操作風險管理三大工具——目錄-風險與控制自我評估〔RCSA〕-關鍵風險指標〔KRI〕-損失數(shù)據(jù)收集〔LDC〕編輯課件關鍵風險指標〔KRI〕關鍵風險指標〔KRI，KeyRiskIndicator〕，是指能夠代表操作風險狀況或者內控管理水平變化情況，并可定期進行監(jiān)控的統(tǒng)計指標。關鍵風險指標用于監(jiān)測可能造成操作風險損失事件的各項風險、相應的控制措施，以反映操作風險狀況或內控管理水平變化情況的早期預警。編輯課件關鍵風險指標〔KRI〕的篩選原那么關鍵風險指標的篩選，主要依據(jù)指標相關的數(shù)據(jù)可獲取性〔是否易取得/更新〕、指標特性〔屬性/周期是否適宜〕及專家意見，從候選指標列表中挑選出可立即使用的關鍵風險指標。實際應用的指標具備以下特點：屬于候選列表的關鍵風險指標可立即應用的關鍵風險指標數(shù)據(jù)機密性高（例如高管薪酬增長率）數(shù)據(jù)可獲取性低（例如客戶經理個人股票持有數(shù)額）數(shù)據(jù)收集成本高數(shù)據(jù)更新頻率低（例如指標數(shù)據(jù)每年才變動一次）指標實際參考性低數(shù)據(jù)機密性低數(shù)據(jù)可獲取性高數(shù)據(jù)收集成本不高數(shù)據(jù)更新頻率高指標實際參考性高編輯課件關鍵風險指標〔KRI〕的篩選例如風險指標機密性低數(shù)據(jù)可獲取性高數(shù)據(jù)收集成本不高數(shù)據(jù)更新頻率高新上崗人員的平均專業(yè)培訓時數(shù)√√√√柜員的平均交易筆數(shù)√√√√柜員平均加班時數(shù)√√√√未來三個月關鍵崗位空缺數(shù)√×√√客戶投訴數(shù)√√√√長期不動戶重新啟用件數(shù)√√√√核心系統(tǒng)未經授權嘗試登入的次數(shù)√×√√柜員更正交易比率√√√√控制指標機密性低數(shù)據(jù)可獲取性高數(shù)據(jù)收集成本不高數(shù)據(jù)更新頻率高柜員錯賬比例√√√√柜員培訓時數(shù)達成率√√√√會計主管復核時及時發(fā)現(xiàn)的錯誤筆數(shù)√××√日終檢查出的問題交易比例√√√√列為候選指標，暫時不使用。例如編輯課件關鍵風險指標〔KRI〕門檻值設定的參考依據(jù)關鍵風險指標門檻值的設定可依循以下四項原那么，不同原那么所設定的門檻值可同時存在于一個指標之內：依據(jù)操作風險偏好與容忍度與操作風險偏好相關的指標，可以依據(jù)操作風險容忍度設置該指標的門檻值，例如：監(jiān)管處罰的事件數(shù)量（門檻=0）核心系統(tǒng)宕機后的恢復時間（門檻=2小時）依據(jù)現(xiàn)狀或歷史數(shù)據(jù)與操作質量或運作效能相關，且歷史數(shù)據(jù)相對齊備的指標，在指標運作的初期，可依據(jù)當前的水平，設定指標門檻值。例如：柜員處理單筆交易的平均花費時間（門檻=5分鐘）ATM交易未成功筆數(shù)（門檻=50筆/臺/月）依據(jù)設定的管理目標與業(yè)務管理、人力資源管理或其它管理目標相結合的指標，可依據(jù)既定的管理目標，設置關鍵風險指標的門檻值。例如：正式員工的平均訓練成本（門檻=RMB10000