胡老师操作风险

2009年售前工作总结和2010年工作规划企业操作风险管理认证风险管理师培训一、操作风险绪论二、操作风险管理三、操作风险评估四、操作风险应对五、操作风险监测与评价六、操作风险管理案例目录一、操作风险绪论企业操作风险管理一、操作风险绪论—起源与发展历史上，人们首先重视的是市场风险和信用风险，而操作风险直到1994年在瑞士巴塞尔银行监督管理委员会的文件中才正式提及，1997年巴塞尔银行监督管理委员会在其《有效银行监管的核心原则》中，首次将银行风险归纳为信用风险、国家和转移风险、市场风险、利率风险、流动性风险、操作性风险、法律风险和声誉风险2004年6月公布的《巴塞尔新资本协议》正式提出了操作风险管理的架构和方法，操作风险作为一个大的风险分类与信用风险、市场风险、流动性风险一道，成为商业银行风险管理的重要内容中国学者对操作风险的研究大约始于2000年初，公认的初始文献是2003年由中科院系统所的樊欣、杨晓光发表的《中国商业银行操作风险分析》，2007年5月中国银行监督管理委员颁布的《商业银行操作风险管理指引》是中国第一个关于操作风险的纲领性文件，随后在中国商业银行中，关于操作风险管理的工作逐步开展起来一、操作风险绪论—风险事件20022003200420052008联合爱尔兰银行韩国信用卡危机星展银行美国信用卡数据服务公司CardSystems法国兴业银行外汇交易员欺诈，损失超7亿美元恶性竞争，放松风险控制，最大的LG信用卡公司濒临破产83个客户保管箱（存有客户资产）被当作废铁运走，部分销毁4000万信用卡用户资料被电脑黑客盗取交易员欺诈，损失74亿美元国内**银行国内**银行国内**银行国内**银行大连分行2010年外汇宝交易系统漏洞，损失47万美元系统升级不当，导致全国范围内数个网点系统故障审计署公布查出各类涉嫌违法犯罪案件线索30起，涉案金额69亿元600万美元银行资金被挪用山东齐鲁银行票据欺诈案，险些造成银行的挤兑一、操作风险绪论—内控与操作风险如果将“内部控制”理解为操作风险的一部分，或者狭义的理解为操作风险就是强调道德风险的内部控制，则操作风险的历史可以提前100年。实际上操作风险与内部控制有着密不可分的内在联系，一种倾向性的意见是将内部控制是为操作风险的一部分，在这样的操作风险框架下，内部控制的COSO框架，实际上也适用于操作风险从风险处理的层面上去划分内部控制与操作风险可能是一个比较清晰的方式，企业面临的全部风险可以划分为可控制的风险、不可控制的预期损失风险、不可控制的非预期损失风险以及极端风险。在风险管理中我们一般不涉及处理极端风险，因此，在前三类风险中，内部控制主要来处理第一类风险，而操作风险管理则要设计全部这三类风险如果将操作风险看作是“风险事件”管理的流程，那么就可以典型地将操作风险管理划分为“事先—事中—事后”，而内控则是操作风险管理的事先部分风险事件内部控制风险事件事中监控风险事件事后分析处理反馈、评估、修正一、操作风险绪论——操作风险的定义机构操作风险定义IBM公司发起设立的操作风险论坛遭受潜在经济损失的可能，是指由于客户、设计不当的控制体系、控制系统失灵及不可控事件导致的各类风险英国银行家协会（BBA）由不足够的或失败的内部流程、人员和系统或外部事件造成的直接或间接损失的风险全球风险专业人员协会（GARP）操作失败风险和操作战略风险。操作失败风险来自操作业务过程中发生失败的可能。操作战略风险则来自一些环境因素。美国银行由于内部处理过程失误或准备不足（流程风险），或由于人员、系统或外部事件引起的风险，还包括无力以成功、适时与重成本效益的方式来贯彻战略目标和计划的风险花旗银行由于内部流程、人员或系统不完善或失败以及外部事件而造成损失的风险。包括声誉和授权风险德意志银行由员工、合同规定和档案保存、技术、基础设施故障和灾祸、外部影响以及客户关系等方面产生损失的潜在风险巴塞尔新资本协议指由于不完善或失灵的内部程序、人员和系统，或外部事件导致损失的风险。这一定义包括法律风险，但不包括策略风险和声誉风险中国《商业银行操作风险管理指引》由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。包括法律风险，但不包括策略风险和声誉风险一、操作风险绪论——操作风险的定义操作风险定义指由于不完善或失灵的内部程序、人员和系统，或外部事件导致损失的风险。这一定义包括法律风险，但不包括策略风险和声誉风险内部控制定义内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。定义要义关注内部，特指业务运营部门的相关风险。内部操作失误、内部业务流程缺陷、系统脆弱是重要的操作风险源内部人员效能和内部人员欺诈在操作风险中起重要作用，而外部欺诈、自然灾害、交通事故、外包缺陷也是风险源一、操作风险绪论—风险成因操作风险形成体制/组织缺陷流程设计管控缺陷内部人员效能及欺诈系统/技术缺陷外部欺诈及其他各种负面事件一、操作风险绪论—风险成因体制/组织缺陷主要包括：公司治理、各项管理经营政策、机构设置、职务设置等方面的各种缺陷流程设计管控缺陷主要包括：业务工作流程设计、流程管控制度执行、风险点发现与管理、风险应对等方面的各种缺陷系统/技术缺陷主要包括：内部业务之间协调调度、系统主体与各个分系统之间的配合、工艺流程技术的适应性、IT系统等方面的各种缺陷外部事件冲击主要包括：政治、监管、自然灾害、业务外包、恐怖威胁、交通事故等外部事件的冲击一、操作风险绪论—风险成因绩效管理缺陷主要包括：员工绩效管理、机构绩效管理、业务条线绩效管理、客户绩效管理等方面的各种缺陷欺诈三角内外部欺诈欺诈动机欺诈时机自我合理化当欺诈三要素：动机、时机以及合理化的借口同时出现的话，欺诈必然发生一、操作风险绪论—风险分类操作风险细分按照操作风险损失事件导致损失发生的原因可以将操作风险细分为如下7类：1.内部欺诈2.外部欺诈3.就业政策及工作场所安全4.客户、产品及业务操作5.实物资产损坏6.业务中断及系统失灵7.实施、交付及流程管理一、操作风险绪论—风险分类操作风险细分按照操作风险形成的主客观因素，可以划分为操作性杠杆风险和操作性失误风险。操作性杠杆风险主要指外部因素引起的操作风险，例如监管引发的合规风险、法律及政治环境引发的合同风险或法律风险、交通事故或自然灾害引发的安全风险等。操作失误性风险则包括：1.执行风险2.信息风险3.法律风险4.人员风险5.关系风险6.系统事件风险一、操作风险绪论—风险分类操作风险细分按照操作风险形成的主客观因素，可以划分为操作性杠杆风险和操作性失误风险。操作性杠杆风险主要指外部因素引起的操作风险，例如监管引发的合规风险、法律及政治环境引发的合同风险或法律风险、交通事故或自然灾害引发的安全风险等。操作失误性风险则包括：1.执行风险2.信息风险3.法律风险4.人员风险5.关系风险6.系统事件风险一、操作风险绪论—风险分类操作风险细分风险损失的概率分布2.1操作风险损失分布图从风险损失的角度，可分为可控制的损失、不可控制的预期损失、不可控制的非预期损失以及极端损失一、操作风险绪论—风险分类操作风险细分内部风险外部风险人员流程信息技术及系统内部盗窃和欺诈未经授权的活动劳动纠纷人员流失适当性、披露和信托责任不良业务或市场行为客户选择和风险暴露交易认定、执行和维持实有资产损失工作场所安全系统中断系统完备性外部盗窃和欺诈系统安全性突发不可抗事件经营环境恶化一、操作风险绪论—风险特征1.广泛性：多样性：操作风险存在于企业经营管理的各个环节，表现为各种形态。2.复杂性：早期操作风险被定义为除信用风险、市场风险以外的所有风险，在企业的经营管理中，几乎所有的活动都与操作风险有关。3.内生性：操作风险的诱因主要与企业的内部环境有关，主要由操作不合规引发4.因人性：损失事件很多都是由于人为操作因素引起，企业文化对操作风险有重大影响5.可归因性：操作风险大多属于内生性风险，一般可以明确地确定其风险源6.不对称性：承担操作风险一般不能带来明显的收益或者不能在短期显现收益7.背景依存性：操作风险状况通常与企业管理水平有直接关系，随着操作风险管理重视程度的加大，操作风险发生的可能性和损失强度都可能会降低（损失概率分布发生变化）8.可控性：操作风险主要源自员工、系统和流程，这些都由企业直接管理和控制，在这个意义上，可以认为操作风险是可控性风险。9.非财务性：信用风险、市场风险大多都与财务结果有直接联系，而操作风险多不直接体现为财务风险二、操作风险管理企业操作风险管理二、操作风险管理——基本概念操作风险管理是指在实现组织经营目标过程中，相关人员将组织的操作风险控制在组织可接受范围之内的方法和过程，以保障组织经营目标的实现。操作风险管理覆盖面（一个简约的框架）组织结构：包括治理结构、内部控制、组织文化人员：包括人员素质、人员稳定性、薪酬结构、内部欺诈外部因素：包括外部欺诈、经营产所安全性、外部突发事件业务流程：包括业务流程设计缺陷、业务流程执行不规范系统：计算机硬件、计算机软件、通信二、操作风险管理—管理目标将业务操作风险控制在一个可以接受的范围内，使得各类业务完成目标之总和，可以实现企业的总体经营目标，这是操作风险管理的总任务。在具体的任务分解上企业操作风险管理的目标是：保证资产安全保证业务运转连续性保证企业和业务的效益和效率保证经营的合规性操作风险管理的目标保证流程任务完成的正确性二、操作风险管理——管理原则企业操作风险管理的六条基本原则：（1）客观性：以风险事件为管理的基础。（2）一致性；建立统一的风险评估规则和计量口径。（3）相关性：考虑各类风险事件的传递和关联（4）透明性：建立公开的行政管理制度和规范（5）整体性：从体系的角度实现业务管理的协调、关联、和匹配（6）完整性：操作风险管理力争做到全面覆盖能有效降低操作风险，使内在风险-已降低风险=剩余风险最小化的操作风险管理的12条黄金法则（Hans-UlrichDoerig，瑞士信贷集团）：（1）战略；（2）结构；（3）系统化；（4）员工；（5）安全；（6）速度；（7）利益相关者；（8）共同价值观；（9）技能；（10）象征；（11）风格；（12）同步二、操作风险管理—银监会操作风险管理13条原则（1）高度重视防范操作风险的规章制度建设；（2）切实加强稽核建设；（3）加强对基层行的合规性监督；（4）订立职责制，明确总行及各级分支机构的责任，形成明确的制度保障；（5）坚持相关的行务管理公开制度；（6）建立和实施基层主管轮岗轮调和强制性休假制度，并确保这一安排纳入总行及各级分支机构的人事管理制度；（7）严格规范重要岗位和敏感环节工作人员八小时内外的行为，建立相应的行为失范监察制度；二、操作风险管理—银监会操作风险管理13条原则（7）严格规范重要岗位和敏感环节工作人员八小时内外的行为，建立相应的行为失范监察制度；（8）对举报查实的案件，举报人属于来自基层的员工（包括合同工、临时工）的，要予以重奖；（9）加强和完善银行与客户、银行与银行以及银行内部业务台账与会计账之间的适时对账制度，对对账频率、对账对象、可参与对账人员等做出明确规定；（10）加强未达账项和差错处理的环节控制，记账岗位和对账岗位必须严格分开，坚决做到对未达账和账款差错的查核工作不返原岗处理（11）严格印章、密押、凭证的分管与分存及销毁制度，坚决执行制度规定，并对此进行严格检查，对违规者进行严厉惩处（12）加强对可能发生的账外经营的监控（13）迅速改进科技信息系统，提高通过技术手段防范操作风险的能力，支持各类管理信息的适时、准确生成，为业务操作复核和稽核部门的稽查提供坚实基础二、操作风险管理——管理框架Haubenstock（2004）操作风险管理框架治理模型战略政策风险识别控制框架评估监测和度量报告基础设施环境流程验证和在评估二、操作风险管理——管理框架改进的Haubenstock（2004）操作风险管理框架经济体制风险管理外部环境外部监管风