操作风险管理概论及三大工具(某全国性股份制商业银行内

•操作风险管理框架操作风险管理三大工具一览风险控制自我评估（RCSA）损失数据收集（LDC）关键风险指标（KRI）目录法律风险－包括但不限于下列风险：•商业银行签订的合同因违反法律或行政法规可能被依法撤销或者确认无效的•商业银行因违约、侵权或者其他事由被提起诉讼或者申请仲裁，依法可能承担赔偿责任的•商业银行的业务活动违反法律或行政法规，依法可能承担行政责任或者刑事责任的（摘自《银监会操作风险管理指引》）策略风险：•由于无效的或有问题的策略而遭受损失的风险声誉风险：•是指有关一家机构业务活动的负面宣传，不论其真假，都会引起该机构的客户流失、收入下降或花费高昂的诉讼费用（摘自《银监会非现场监管指引（试行）》）操作风险定义操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险从定义看，操作风险遍及银行内部各产品线、各个操作环节及各个业务层面四大风险因素和七大损失类型人员内部流程IT系统外部事件指故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失事件，此类事件至少涉及内部一方，但不包括歧视及差别待遇事件指违反就业、健康或安全方面的法律或协议，个人工伤赔付或者因歧视及差别待遇导致的损失事件指因未按有关规定造成未对特定客户履行份内义务（如诚信责任和适当性要求）或产品性质或设计缺陷导致的损失事件因交易处理或流程管理失败，以及与交易对手方、外部供应商及销售商发生纠纷导致的损失事件因信息科技系统生产运行、应用开发、安全管理以及由于软件产品、硬件设备、服务提供商等第三方因素,造成系统无法正常办理业务或系统速度异常所导致的损失事件指第三方故意骗取、盗用、抢劫财产、伪造文件、攻击商业银行信息科技系统或逃避法律监管导致的损失事件因自然灾害或其他事件（如恐怖袭击）导致实物资产丢失或毁坏的损失事件风险因素内部欺诈就业制度和工作场所安全事件客户、产品和业务活动事件执行、交割和流程管理事件信息科技系统事件外部欺詐实物资产的损坏损失类型操作风险损失形态损失形态1.法律成本具体描述因商业银行发生操作风险事件引发法律诉讼或仲裁，在诉讼或仲裁过程中依法支出的诉讼费用、仲裁费用及其他法律成本。如违反知识产权保护规定等导致的诉讼费、外聘律师代理费、评估费、鉴定费等由于疏忽、事故或自然灾害等事件造成实物资产的直接毁坏和价值的减少。如火灾、洪水、地震等自然灾害所导致的账面价值减少等由于内部操作风险事件，导致商业银行未能履行应承担的责任造成对外的赔偿。如因银行自身业务中断、交割延误、内部案件造成客户资金或资产等损失的赔偿金额由于偷盗、欺诈、未经授权活动等操作风险事件所导致的资产账面价值直接减少。如内部欺诈导致的销账、外部欺诈和偷盗导致的账面资产/收入损失，以及未经授权或超授权交易导致的账面损失等由于操作风险事件引起的其他损失因操作风险事件所遭受的监管部门或有权机关罚款及其他处罚。如违反产业政策、监管法规等所遭受的罚款、吊销执照等2.监管罚没3.资产损失4.对外赔偿5.追索失败6.账面减值7.其它损失由于工作失误、失职或内部事件，使原本能够追偿但最终无法追偿所导致的损失，或因有关方不履行相应义务导致追索失败所造成的损失。如资金划转错误、相关文件要素缺失、跟踪监测不及时所带来的损失等操作风险管理架构及流程风险管理架构策略和政策治理和组织流程数据计量披露银行的目标和策略操作风险策略和风险容忍度操作风险管理流程三道防线风险管理报告董事会高级管理层第一道防线第二道防线第三道防线业务部门公司金融零售资产管理……支持部门人力资源IT法律合规安全保障……独立的风险管理部门独立风险管理空能内部审计独立稽核功能日常风险管控风险策略、架构及监控独立审核操作风险缓释架构严重性发生频率接受转移控制规避低高高1234对于风险的缓释，银行可采取接受、控制、转移和规避四种策略1.接受：对于发生频率低、严重性较低的操作风险，银行一般采取接受风险的策略，主要原因是风险缓释的成本往往超过了该风险所可能引起的损失2.控制：对于发生频率高，但严重性较低的操作风险，银行一般采用控制风险的缓释策略。该部分风险往往由银行的日常经营造成，因此必须为其设计专门的控制程序3.转移：对于发生频率低，但严重性较高的操作风险，银行一般采取转移风险的缓释策略。该部分风险较为典型的是自然灾害等外部事件，银行一般采用的转移方式为保险等措施4.规避：对于发生频率高，严重性也较高的操作风险，规避措施已没有意义，因此银行应避免涉足该类业务。操作风险管理三大工具一览三大工具之间紧密联系，协同支持操作风险管理风险控制自我评估RCSA损失数据收集LDC关键风险指标KRI真实的损失数据为KRI设置提供了参考KRI异常往往指向真实的损失事件什么是风险控制自我评估（RCSA）•RCSA(风险与控制自我评估)是操作风险管理框架中重要的组成部分•RCSA是一种通过调查金融机构管理层和员工有关对操作风险损失事项发生可能性和严重性的估计，将调查结果与未来预计损失进行匹配(Mapping)的方法•目前RCSA的目的单纯集中在估计预期损失(ExpectedLoss,EL)，只有在实行操作风险高级计量法(AdvancedMeasurementApproach,AMA)后，才能对非预期损失进行计量•事件发生的频率(Frequency)和损失的严重性(Severity)是评估现有风险因素管理和操作风险控制质量的关键信息为什么要进行RCSA额外的操作风险管理信息来源：仅仅依靠对真实发生的损失事件进行收集不足以评估银行的操作风险暴露，RCSA可以使银行建立额外的操作风险管理信息来源对操作风险管理环境变化作及时的调整：当银行的业务环境发生改变时（如推出新产品，员工数量发生显著增长），特定的RCSA制度可及时对其引起的操作风险暴露变化进行反映，为管理层的决策提供参考定期辨识潜在的操作风险暴露：常规的RCSA制度可以对银行的操作风险环境进行定期的评估，有助于管理层及时辨识是否需要改变现有的流程和控制政策，以规避潜在的操作风险损失RCSA在操作风险资本计量中扮演的角色RCSA是计量主观风险资本的主要工具在操作风险资本的高级计量法中，RCSA是银行估量主观风险资本的主要工具，与此同时，银行通过真实的损失数据估量历史风险成本。对主观风险资本和历史风险资本进行整合和调整后，可获得最终所需的操作风险资本计量指标数据集中风险自我评估业务环境损失数据收集识别模型损失事件类型模型风险因素模型指标模型损失影响类型模型组织模型历史风险资本主观风险资本整合的CaOR贝耶斯整合操作风险资本调整测算环境评分内部损失数据外部损失数据主观估计控制与风险因素评分RCSA的组织架构评估小组与业务人员进行访谈RCSA是以组织架构为基础去执行并以分行业务部门作为最主要的执行单位，这是“自我评估”的意义所在，也有助于提升全行的风险文化氛围风险管理部门在RCSA组织架构中承担指导、监督、协调的作用风险流程/活动流程目标主要内部控制达成流程目标的障碍内部控制主要的目标/原因风险焦点控制焦点分行业务部门总行业务部门分行风险管理部门总行风险管理部门评估小组将对其他操作风险数据以及偏差分析进行一致性查证RCSA方法论——识别模型的标准分类•操作风险识别模型是所有操作风险计量方法论的基础，这些方法论使得数据收集变得有序、结构化和连贯•操作风险识别模型由如下模块构成组织模型损失事件模型风险因素模型指标模型影响模型对所有可能的损失事件类型进行识别和分类对分析下的组织维度进行识别和定义对导致损失事件的所有可能原因/因素进行识别和分类对支持合理的主观估计的信息和指标进行识别对一个事件的所有可能影响进行识别和分类•根据银行的特点，应对各模型的细部层级进行客制化，这需要行内各相关部门的外部输入。•模型细部层级的内容主要依赖于银行各部门的收集和整理，在日常操作风险管理中，各相关部门应注意收集相关数据，对各模型进行整理、更新和维护RCSA方法论——将识别模型应用到RCSA识别模型损失事件类型模型风险因素模型影响模型组织模型范围定义设置和参数化执行审阅和调整指标模型报告•方法定义（自上而下vs.自下而上；整体vs.部分）•识别RCSA涉及的业务单元•针对每份问卷定义问题•选择评估方法论•定义阈值•总行操作风险管理部进行结果分析•由内审部门进行检查•与业务单元进行讨论•调整结果和评级•针对业务单元经理的问卷的执行•定量答案收集（平均频率，平均严重性，最坏情况）•风险因素识别•报告的准备和分发•问卷信息准备•创建问卷•建立和执行RCSA访谈•访谈结果分析与后续追踪RCSA的具体步骤•汇报与后续工作规划RCSA能识别、管理以及控制风险，并能管理所有部门的控制信息。这些信息将在全行间进行分享，并以合理与系统化的方式协助目标被有效的达成投入:•每个部门指派负责人员•需求信息–部门:角色与责任信息、事业单位必要的投入与产出等其它信息来源:内部审计部门、信息部门、合规部门等产出:•RCSA报告•设定新的操作风险容忍度水平•主要风险指标(KRI)资料KRI报告RCSA的关键成功因素关键成功因素拥有一致且易于执行RCSA的程序拥有标准的RCSA方法论与工具拥有清晰的RCSA执行、监督和检查的权责划分RCSA过程与结果与绩效考核相挂钩跨部门的合作各业务部门高层的重视损失数据用途损失数据将作为风险估计实证分析和验证的基础损失数据作为实际损失与风险管理、控制决策之间的桥梁操作损失（operationallosses):因发生损害性事项而导致的损失,该损害性事项对衡量银行所受损失具有经济影响。“操作损失应包括下列因发生损害性事项而导致的支出:与该事项相关的全部已发生支出,但不包括投资项目支出,机会成本或预知收入”（巴塞尔资本协议，定量影响测算，2001.5）操作风险损失：是指由不完善或有问题的内部程序、人员、系统以及外部事件所造成的损失损失数据收集——损失定义损失数据收集流程应包括具有高质量标准的操作损失的识别、录入、验证、管理和报告等环节,并达到以下标准：完备性——所收集损失的整体情况及时性——损失事件记录的时间点可获得性——获取信息的成本收集信息的数量和质量——损失的时间、性质、数量风险暴露的信息评级信息损失数据收集的关键点：•通过各业务单元参与损失数据收集工作以及参与数据收集过程的定义等环节，在银行内部创建浓厚的损失数据收集文化氛围•损失数据收集过程为识别、录入、验证、管理和报告等环节的统一•损失数据收集是动态的实施过程，该过程应能够不断对信息源进行更新并能根据商业环境的发展正确反应银行操作风险暴露的情况损失数据收集——介绍完备性及时性可获得性收集信息的数量和质量损失数据收集标准损失类型信息种类阈值特别案例分类指南方法程序流程与其他系统的连接变革管理培训信息源映射软件解决方案人员（Who）内容（Which）来源（Where）方式（How）分支的风险管理AREA1AREA2AREA…AREAnLegenda:OperationalRiskemployeeofAreanOperationalRiskemployeeofarchiveSourceofData资本的风险管理资本的内部审计•Definitionofthearchivesfortheinformation•Analysisofoperationallosses•Improvementsandchangestothearchives•Definitionofthecensuscriteriainorderto:•Ensureaccuracyoftheinformation•Timelinessofinformation•Auditabilityoftheentireprocess•Completionofnecessarydata•Documentaryevidenceofinformation•Reportingtoseniormanagem