ICBRR操作风险管理课程精华要点.docx

1、操作风险 1. 操作风险的定义 早期，操作风险管理被定义为没有包括在市场风险管理和信用风险管理之内的事项。 巴塞尔资本协议II的操作风险定义：由于不健全的或者失败的内部程序、人员、系统以及外部事件所导致的风险,包括法律风险，但不包括战略、声誉风险。 巴塞尔资本协议II的法律风险定义：监管措施以及私下和解导致的罚款、罚金或惩罚性损失赔偿的风险。 操作风险主要有两个方面组成，操作风险管理与操作风险计量.两者之间既有互相排斥，也有互相重叠。资本要求是操作风险计量的核心，需要定量的方法。巴塞尔II要求持有覆盖操作风险的资本并提供了几种可行的计算方法 操作风险管理必须像管理市场风险、信用风险

2、一样严格，也必须建立风险偏好政策，该类政策必须落成文字并概述出银行用以“识别、评估、检测和控制”的方法。 操作风险管理的工具箱具体包括5个分别是:损失数据收集、风险控制与自我评估、情景分析、关键风险指标以及强大的报告体系。 2. 操作风险管理和其他风险类型的关系 所有风险类型都互相关联，操作风险通常也是由于存在其他类型的风险而出现.操作风险事件的大小也可能受到市场风险和信用风险大小的影响。、 3个内圈风险5个外圈风险. 企业风险管理当中包括：市场风险、信用风险、操作风险、战略风险和流动性风险这些类型。 风险之轮中从里到外三圈分别是，企业风险管理、声誉风险、地缘政治风险. 企业风险

3、管理体系风险轮形象地说明了所有风险类型之间的关系，风险轮内圈的风险可以影响到风险轮外圈的风险。风险轮只是用来表示各种风险类型之间关系的一种可行的模型,直接体现了有效企业风险管理的复杂性。 3. 操作风险管理的驱动因素 推动机构操作风险管理的驱动因素主要三个方面：监管机构、高级管理层和第三方机构。 除了巴塞尔协议II，还有一些其他的监管要求也推动这企业的操作风险管理，如:清偿能力II、欧洲的金融工具市场指南、美国的塞班斯法案。 此外,高级管理层在咱略业务决策时也需要了解操作风险潜在影响的全面信息。 外部的第三方机构（评级机构、投资者和研究分析师）需要有效操作风险管理框架和充足操作风险资

4、本的证据。 4. 操作风险架构概览 操作风险管理体系应确保操作风险能够被识别、计量、监督、控制和降低. 操作风险管理的架构具体包括5个，分别是：损失数据收集、风险控制与自我评估、情景分析、关键风险指标以及强大的报告体系. 政策和流程 文化和意诅 操作风险管理框架的各个要素实施顺序以及在框架中的相对比重依赖于银行的文化以及监管以及业务驱动因素。 “治理"和“文化和意识"始终是最先需要说明的要素.这两个要素推动了操作风险管理框架整体层面的设计和验收。 5. 治理 适当的治理是有效操作风险管理的核心,没有治理的话，负责操作风险管理体系的人员就无法产生正面积极的推动。 企业

5、必须由员工承担其操作风险的管理职能。操作风险管理职能有三个重要特性:独立性、重要性、相关性。治理结构必须确保其操作风险管理职能的独立性，必须赋予该管理职能适当的重要性,必须证明与其机构的相关性。 根据公司的企业文化和业务结构，操作风险管理职能可以由首席风险官、首席运营官或者首席财务官、首席合规官负责.操作风险由首席风险官担任对于企业风险全面把控效果最佳，但操作风险的重要性可能也会被忽视。若操作风险由首席运营官负责则对于操作风险跨部门协调和提高重视程度最佳，但独立性可能无法确保。若操作风险由首席合规官负责则确保独立性之余能够更有效体现企业的合规管理。操作风险不能向内审部门进行汇报. 另外值得

6、一提的是，巴塞尔II明确禁止，操作风险管理向审计部门汇报，该职能必须保持独立于审计部门。 可以向中央操作风险管理职能汇报的各个领域具体包括：1、其他操作风险管理团队；2、嵌入式操作风协调员/专家/经理；3、持续经营计划BCP,通常是企业原有最为完善的操作风险管理职能。确保在可能引起业务中断事件后能够持续有效的推进计划；4、信息安全，信息安全只能最好设置在IT部门外部；5塞班斯噢克斯利法案SOX,是对美国公开市场交易的企业在财务报表准确性方面提出了操作风险的管理要求;6新业务审批和新产品审批。 6. 文化和意识 要获得成功，操作风险必须可以在公司各个层面被识别、评估、监督、控制和降低，而这

7、只能通过一个充满活力的组合变革方案才能得以实现。 操作风险需要在企业每个角落进行有效管理，因此有必要推动公司范围内的人员和团队培训。 银行内部必须采取三项活动来建立操作风险框架：1、营销和沟通，通常包括海报、电子邮件群发、会堂介绍以及面对面的会谈;2、规划，制定明确的目标、现实的里程碑和实现的任务交付；3、培训，包括让员工了解操作风险的基础模块，并确保所有员工了解一旦发现风险该如何做。 7. 政策和程序 操作风险管理框架需要配套的政策和程序，企业的审计部门就是依照这些来进行审核的。 操作风险政策可能是整体风险政策的一部分，也可能是一个独立的政策，具体可以包括：1、企业操作风险的定义；

8、2、操作风险的治理，包括：谁负责、负责什么以及问题是如何升级管理的；3操作风险管理职能所管理的主要活动/要素。 8. 内部损失数据或者操作风险事件 操作风险四大核心要素：1、损失数据收集；2、风险与控制自我评估；3、情景分析；4、关键风险指标 损失数据有称为操作风险事件数据，可以由内部事件或者外部事件所引发。 损失数据收集需要考虑5个W，who\what\where\when\why,谁负责收集、收集什么、从哪里收集、什么时候收集、为什么要收集。 收集和分析操作风险事件可以让操作风险管理职能部门深入了解当前公司的操作风险暴露。 WHY —-有效损失数据程序的设计都反映了公司特定目标

9、和文化，这些目标包括：1、为操作风险资本模型收集数据；2、识别控制缺陷和风险减缓活动；3、评估风险事件和结果；4、理解当前操作风险暴露和过度风险领域。 WHO ——指定特定代表，以确保这些损失数据被收集。 WHAT 风险事件分类 最低损失数据标准 损失分配到业务线或中心职能部门的标准 内部欺诈 数据的全面性 所有受影响的部门 外部欺诈 损失报告的阈值 边界事件的识别 雇佣行为和工作场所安全 损失金额 行动项目 客户、产品和商业惯例 回收金额 非财务影响 有形资产损毁 日期 间接成本 业务中断和系统故障 描述和成因 收益 执行、交割和流程失败

10、 会计调整 —险事件分类 巴塞尔II协议规定需要录入到损失时间数据库并满足报告要求的操作风险损失事件包括：1、内 部欺诈；2、外部欺诈；3、雇佣行为和工作场所安全；4、客户、产品和商业管理；5、有形资 产损失；6、业务中断和系统故障；7、执行、交割和流程失败。 第一层级 第二层级 内部欺诈 未经授权的行为 盗窃和舞弊 外部欺诈 盗窃和舞弊 系统安全 雇佣行为和工作场所安全 雇员关系 环境安全 差异化和歧视性 客户、产品和商业惯例 适合性、信息披露和受托责任 不正当的商业或市场惯例 选择、发起和暴露 咨询活动 有形资产损毁 灾害和其他事件 业务

11、中断和系统故障 系统 执行、交割和流程失败 交易获取、执行和维持 监督和报告 新增客户和归档 客户账户管理 交易对手 供应商 一-最低损失数据标准，巴塞尔II设定了最低损失数据标准 WHERE —损失数据通常来自于与风险与控制自我评估、关键风险指标体系、情景分析和资本计算系统共享数据。摩根大通一凤凰系统 WHEN-—企业往往制定标准来要求及时报告事件，但即便如此，从录入数据到最终确认可能需要很长时间。 HOW —损失数据收集工作流程依赖于公司的政策和流程。 边界事件对机构风险计量可能会导致不同的结果，有时高、有时低。 9. 外部损失数据 外部损失事件数据可以通

12、过订阅数据库或从银行联盟的数据库获得，这些数据以损失事件个案为基础，为公司面临的操作风险提供了有价值的深入见解，并可以作为基准工具，为操作风险资本计算提供数据。 虽然外部损失数据存在着一些偏差，但却有助于风险和控制自我评估活动，并为情景分析和关键风险指标提供样本数据. 来自不同数据库的信息需要进行评估和斟酌，以充分考虑到信息来源和所隐含的潜在偏差.此外，如果外部数据来自于新闻报道，就会存在报道偏见。这就产生了事件的违法性偏差和戏剧性偏差. 10. 风险和控制自我评估 风险和控制自我评估程序通过分析各个风险类别或业务流程来帮助公司深入了解其所面临的风险，并为公司的操作风险管理活动提供了

13、一致和透明的方法。 采用巴塞尔II操作风险资本高级计量方法的公司必须标明他们在这些方法中已经包括了经营环境和内部控制因素。 风险和控制自我评估是一个主观的看法，因此准确度要低于客观的外部评估。 风险和控制自我评估主要有三种方法： 1、问卷调查法，使用一个标准化模板来展示目前普遍接受的风险和控制问题。 2、专题讨论会法，是以小组为单位对每个风险和相关控制措施进行讨论、评分和评估。 3、混合法，结合上述两种方法. 上述不同的方法各自具有优缺点。 控制有效性乾 风险影响备 k 概率或频率 > 妆行情割 髯响类型' 频率 风险和控制自我评估的评分方法集中在控制有

14、效性、风险影响评分、概率或者频率评分以及风险严重程度评分,以确保公司面临的每个操作风险事件都被充分地描述、管理、计量和监督。评分方法通常是一个关注严重程度和发生频率的矩阵。 对于操作风险部门来说，要想在风险和控制自我评估程序的实施中获得成功，就需要做好充足的准备，这包括审阅其他只能部门已有的背景数据、以前的风险和控制自我评估结果、现有其他业务线的风险和控制自我评估结果和内部级外部损失数据. 风险影响评分 影响类型 低 中 财务 <10万美元 10〜1万美元 > 1万美元 声誉 地方性负面声誉影响 区域性 全球性 法律或法规 违反合同或监管责任，不承担任何费用

15、 承担一些成本或被谴责 导致重大诉讼、罚款或严重谴责 客户 非关键客户轻度服务失误 非关键中度或关键轻度 关键中度或非关键重大 生命安全 1位轻度受伤或生病 〉1受伤或生病 严重受伤或生命损失 事件之间的长度：低〉5年、中>1年&〈5年、高<1年。 11. 情景分析 巴塞尔II要求实施高级计量法的公司必须在计算操作风险资本时使用情景分析。 情景分析的方法包括：1、专题讨论会法；2、访谈法。当然，所有方法都会导致偏差进入到操作风险管理程序. 此外，银行必须结合针对外部数据的专家意见来进行情景分析，并使用情景分析来评估其所面临的高严重性事件暴露。 判断偏差，是指专

16、家被背景数据和问题形式左右和受到影响。 动机偏差，是由估计程序的参与者受其个人利益影响，而非数据影响所导致的。==“钻空子”确保资本的分配不仅由情景分析来决定是避免判断偏差和动机偏差的最有效方法。 在设计形成肥尾估计时，情景分析通常也需要确定应该采取的重大风险减缓活动来降低已识别的风险。 情景分析还应该被用来评估多个操作风险损失事件同时发生而产生的潜在风险. 不同的操作风险数据分析和评估方法产生了不同的结果，这些结果必须和情景分析的目标一致，已形成对可能严重损失的理性评估。 12. 关键风险指标 关键风险指标KRIs在操作风险框架中是被用来检测外部风险因素、内部风险因素和控制环境的

17、关键绩效指标KRIs测量的是业绩和效率，所面的挑战在于如何正确测量业绩和风险。 关键控制指标KCIs测量的是控制措施的有效性. 企业可以选择关键控制指标和关键绩效指标。 关键风险指标的设定原则，SMART原则，1、具体的Specif ic2、可衡量的Measurable; 3可实 现的 Attainable 4、相关的 Relevant 5、及时的 Timely 操作风险部门必须检测每个关键风险指标，并为关键风险指标设定最低标准。 对于每一个关键风险指标，都必须设定如下标准： 1、指标名称；2、被检测的风险；3、计算方法；4、关键风险指标负责人;5亮红、黄、绿的阈值分别是多少；

18、6、报告周期. 如果没有行业基准，公司的关键风险指标只能与其自身进行比较，这可能会产生错误的安全感.将关键风险指标与从风险和控制自我评估程序中确定的风险和控制联系在一起，是一种良好的做法，并被视为操作风险管理的关键。 13. 报告 操作风险报告是操作风险管理程序能否成功的关键措施。具体包括：1、损失数据报告；2、行动跟踪报告；3、风险和控制自我评估报告；4、关键风险指标报告. 损失数据报告是操作风险管理职能的中心报告活动，报告应具体包括：盈利或损失的影响、损失的趋势、回收的分析、以及损失的风险类别和业务条线。 此外,外部损失数据可以对内部数据形成补充。 14. 操作风险资本模型

19、巴塞尔II提供了三种复杂程度不断上升的方法来计量操作风险的资本要求: 1、基本指标法BIA，过去三年平均收入总额乘以15%. （收入=利息收入利息成本+非息收入，若过去3年中有1年的收入为负数，则平均另外盈利的2年） 2、标准法SA,不同业务条线平均总收入乘以不同的乘数因子，该乘数因子由业务条线的不同风险程度来决定。标准法要求银行内部操作风险数据系统必须包括损失在内的所有业务部门。 业务条线 乘数因子 公司金融 18% 交易销售 18% 支付结算 18% 商业银行 15% 代理服务 15% 零售银行 12% 资产管理 12% 零售经纪 12% 3

20、高级计量法AMA，允许银行建立自己的模型来计算操作风险资本。高级计量法反映银行内部和外部的操作风险损失数据、业务环境、内部控制因素以及情景分析的结果。 高级计量法包括了三种建模的方法，具体为：1、损失数据法LDA,数据收集时间较短、无法反映肥尾事件）；其对于数据的依赖和要求也是最高的，要求的置信度达到了 99。9%;2、情景分析法（数据过于主观且样本较少）；3、结合上述两种建模方法的混合法。 高级计量法中，模型必须能够衡量预期损失、非预期损失以及尾部事件的损失. 采用巴塞尔II操作风险资本高级计量法的公司必须已经包括了经营环境和内部控制因素. 不管模型最终采用哪种方法，都必须通过压力

21、测试和回返测试来验证其有效性。 巴塞尔II规定，实施高级计量法的公司可以通过保险来降低操作风险的资本要求，但降低幅度最多不超过20%。 15. 风险偏好 与其他风险类别不同，操作风险是只要公司存在就会存在的固有风险，因此如何表达操作风险的偏好是具有挑战性的。 操作风险框架支持了公司操作风险偏好的演变。阀值和评分会根据风险偏好的变化进行调整。 16. 治理、风险和合规 操作风险管理的兴起导致治理、风险和合规GRC的出现以及风险管理集中化的尝试,这些激起了对企业风险管理ERM的讨论。 治理、风险和合规程序的目标就是把操作风险活动与框架之外、但与操作风险有关的活动进行整合。 这些活动

22、范围包括持续经营计划BCP、信息安全、合规审阅、法律事件监测、审计报告和塞班斯方案评估等。 17. 其他操作风险的最佳实践 巴塞尔II的三大支柱中， 第一支柱涉及到市场风险、信用风险和操作风险的适当资本计算，并列出了这些风险管理类别的最低定性标准。--最低资本要求。 第二支柱涉及到确保符合第一支柱而应实施的监管检查，同时还增加了额外的要求，以确保公司可以不受第一支柱以外风险的影响.一一外部监管。 第三支柱是指企业需要采用披露要求，包括如何在年度报告中报告风险管理的实践和资本。一一市场约束。银行的信息披露有时无需经过内部和外部的审计核准。 巴塞尔II的操作风险定义明确不包括战略风险和

23、声誉风险，但要求在第二支柱框架中考虑这些风险,而且应该针对这些风险准备相应的资本。 第二支柱特别适合处理三个主要领域：1、第一支柱考虑了但没有充分覆盖的风险，如信用集中度风险；2、第一支柱没有考虑的风险，如银行账户的利率风险、战略风险；3、银行外部风险，如商业周期影响。 此外，本章节所介绍的最佳实践包括：1、新产品审批；2、供应商和第三方风险；3、法律风险管理；4、监管风险管理；5、人员风险管理；6、舞弊风险管理;7、技术风险管理；8、天气风险；9、传染病应对方案；10、战略风险和声誉风险。 18. 操作风险管理主要针对低频率/高影响以及高频率/低影响的风险类别 19. 下列哪个不属于

24、操作风险2,1、某银行由于交易部门没有执行头寸限额管理而被监管部门处罚；2、银行持有某公司债券因为该公司违反环保规定受到处罚导致债券价格下跌. 20. 操作风险最难于计量和管理。 21. 从风险管理的实践来看，银行必须设立独立的风险管理部门，确保部门的独立性和专业性。 22. 操作风险的三个层级分类 第一层级 第二层级 第三层级 内部欺诈 未经授权的行为 交易未报告（故意） 未经授权的交易（产生资金损失） 盗窃和舞弊 错报头寸（故意） 欺诈/信用欺诈/虚假定金 盗窃/勒索/贪污/抢劫 挪用资产 恶意破坏资产 造假 空头支票诈骗 走私 账户接管/假冒等

25、税项不合规/逃税（故意） 贿赂/回扣 内幕交易（非公司账户） 外部欺诈 盗窃和舞弊 盗窃/抢劫 造假 空头支票诈骗 系统安全 黑客侵害 信息被盗（产生资金损失） 雇佣行为和工作场所安全 雇员关系 薪酬、福利和终止问题 有组织的劳工活动 环境安全 一般法律责任（滑倒等） 员工的健康和安全规则事件 工人赔偿 差异化和歧视性 各种歧视事件 客户、产品和商业惯例 适合性、信息披露和受托责任 违反受托责任/违反指南 适当性/披露问题（了解你的客户KYC等） 零售客户信息披露违规 违反隐私 过激销售 来回倒账虚设交易 滥用机密信息 贷款人责任

26、不正当的商业或市场惯例 反垄断 不当交易/市场惯例 市场操纵 内幕交易（公司账户上） 无照经营 洗钱 产品缺陷（未授权等） 模型错误 选择、发起和暴露 没有按照指南要求调查客户 第一层级 第二层级 第三层级 超过客户暴露上限 咨询活动 咨询活动业绩争端 有形资产损毁 灾害和其他事件 自然灾害损失 外部来源（恐怖主义，蓄意破坏）导致的人员损失 业务中断和系统故障 系统 硬件 软件 电信 电力断供/中断 执行、交割和流程失败 交易获取，执行和维持 错误沟通 数据的录入、维护或加载错误 错过截止期或没有履行责任 模型/系统误

27、操作 会计错误/实体归属错误 其他任务误执行 交付失败 抵押品管理失败 监督和报告 参考的数据维护 法定报告义务失败 不准确的外部报告（产生损失） 新增客户和归档 客户权限/免责声明缺失 法律文件缺失/不完整 客户账户管理 未经批准的账户访问 错误的客户记录（产生损失） 客户资产疏忽损失或损害 交易对手 非客户交易对手错误交易 非客户交易对手杂项纠纷 供应商 外包 供应商纠纷 23.具体风险的分类，需要看风险之轮 内圈风险3 外圈风险5 外围风险 企业风险管理 声誉风险 地缘政治风险 市场风险7 利率风险 外汇风险 股权价格风

28、险 商品价格风险 利差风险 模型风险 事件风险 流动性风险1 融资风险 信用风险3 交易风险 内圈风险3 外圈风险5 外围风险 交易对手风险 集中度风险 战略风险3 保险风险 业务风险 养老金责任风险 操作风险7+1 法律和合规风险 内部欺诈风险 外部欺诈风险 雇佣行为和环境安全风险 客户、产品和商业惯例风险 有形资产损毁风险 业务中断和系统故障风险 执行、交割和流程失败风险风险 24. 巴塞尔II协议引入了操作风险VAR发来计量操作风险。 25. 高影响高频率的事件一般会直接导致银行很快破产;低影响高频率的事件一般会被理解;高影响 低频率的事件一般会由外部事件引起的;低频率低影响的事件一般会被银行所忽视。 26. 损失数据的收集程序必须要确保机构各个部门，包括新并购的部门.