操作风险管理培训资料

CompanyName2020/7/41江苏银行操作风险管理理论培训材料——操作风险管理营运部2020/7/4操作风险管理发展阶段稳健做法管理框架–风险战略–管理流程风险识别风险评估控制/缓释监测/计量风险报告–基础设施–风险环境操作风险管理差距目录2020/7/4只有内部控制，缺乏正规的操作风险管理架构传统阶段专人负责操作风险管理，制定了相应的制度，能实施自我评估，收集损失事件的数据识别阶段能跟踪收集相关数据，制定了定性和定量指标，实施打分卡策略，形成综合报告体系，系统性培训监测阶段具备全面综合的数据库，能借助数理模型深入分析带来的影响定量阶段操作风险管理、战略规划、质量控制和经济资本管理有机结合，提高股东价值整合阶段发展阶段2020/7/4管理框架2020/7/4风险战略风险偏好——核心内容根据发展规划和现有的业务能力和风险控制能力，银行确定下来的风险容忍程度。一般可分为积极型、中性和保守型。♦积极型风险偏好：是指银行制定积极型发展规划，在推行这一规划时同时主动积极的承担相应的风险，进行风险套利，推进风险主动动态配置。♦中性风险偏好：是指银行制定比较稳妥的发展规划，在推行这一规划的同时承担相应的风险，不进行风险套利，也不主动规避某些风险，推进风险中性配置。♦保守型风险偏好：是指银行制定比较保守的发展规划，在推行这一规划的同时尽量规避相应的风险，不进行风险套利，推进风险被动保守配置。2020/7/4风险战略风险分解根据业务发展战略和风险战略，结合风险控制能力，将操作风险目标任务根据不同的划分方法分解，将操作风险目标任务直接落实到员工和业务条线上。分解方法：将操作风险视为流程风险，根据既定的目标，按照事件类型、业务条线、影响程度等划分方法对涉及这一管理流程上的所有环节和要素及因素进行相应的划分并配置相应的操作风险管理任务和风险值，确保操作风险管理任务得到有效落实。2020/7/4风险战略风险政策是指对操作风险管理中各个相关部门所负有的职责、所采用的技术和方法等问题的具体规定。政策应包括以下内容–操作风险管理目标–操作风险定义及其管理流程–操作风险管理架构及其相应的作用、责任–操作风险管理工具和报告运用的预期效果与之配套的制度–银行高层对银行风险管理目标执行情况的定期审查制度–风险管理部门对风险管理控制措施遵守情况的检查制度–审查、处理和解决违规问题的相关政策、程序和步骤–操作风险各管理层责任明确的成文的审批和授权制度2020/7/4管理流程风险识别风险评估控制/缓释检验/再评估监测/计量风险报告反馈操作风险管理流程（循环）2020/7/4风险识别风险识别：是指通过一定得标准和手段，鉴别分析业务活动中一切可能导致操作风险的因素和产生风险的环节点，确定风险的性质和种类以及风险产生的原因与影响的过程。–事前识别–事后识别识别内容–潜在风险识别：银行通常会对所有重要产品、活动、程序和系统中内含的潜在操作风险进行定期识别；在引进新产品、采取新程序和系统之前，或者上述内容发生重大变化时，须对其潜在操作风险进行单独识别。–已暴露风险识别：银行针对已发生的风险事件所做的鉴别分析，包括事件性质、造成影响（直接或间接损失）、以及事件产生的深层次原因。找出风险产生的原因是风险识别的重点，将对缓释控制风险有重要的导向作用。识别依据–明确的操作风险定义–科学的操作风险事件分类体系2020/7/4风险识别第一条主线第二条主线第三条主线风险因素识别（原因）风险事件识别（类型）风险影响识别（后果）。。。风险所在和事件性质。。。风险识别方法分层次、分步骤逐步深入分析2020/7/4风险识别风险识别考虑的因素–潜在操作风险的整体情况–银行运行所处的内外部环境–银行的战略目标–银行提供的产品和服务–银行独特的环境–内外部的变化以及变化的速度风险识别的常用工具–内部损失/事件数据库–外部损失/事件数据库–情景分析–流程图2020/7/4风险评估风险评估：是指根据损失经验、假设分析等逐一测评所有被识别出来的内部或外部操作风险因素的影响程度，以确定哪些风险可接受，哪些风险不可接受，需加以控制或转移。评估内容–固有风险：指在没有任何管理控制措施的情况下，经营管理过程本身所具有的风险。它是与业务经营或管理活动相伴存在的，是内部控制活动的对象。–控制风险：指对操作风险没有良好的内部控制，或内部控制无效，导致经营活动中的操作风险不能被及时发现而造成损失。–剩余风险：指在实施了旨在改变风险可能性和影响强度的管理控制活动后，仍然保留的风险。–固有风险-控制风险=剩余风险评估依据–风险识别结果2020/7/4风险评估风险评估应考虑的因素–操作风险因素的发生频率–操作风险因素的影响程度–操作风险等级–风险的可接受程度–控制的有效性操作风险的评估过程一般以业务管理和风险管理两个层面相结合展开，在定性分析的基础上，对操作风险因素可能损失的合理估计。操作风险识别与评估的一般原则–由表及里–自下而上–从已知到未知操作风险识别与评估方法–操作风险与内部控制自我评估–损失事件数据方法–流程图2020/7/4风险评估评估方法之——自我评估是在银行内部控制体系基础上，通过开展全员风险识别，识别出全行经营管理中存在的风险点，并从损失金额和发生概率两个角度来评估风险度大小。同时，识别这些风险点是否有控制活动，并评估控制活动质量，进而提出优化控制活动的方案。自我评估目标：鼓励各级机构承担责任及主动对操作风险进行识别管理。自我评估运用方法–流程分析法–情景模拟法–引导会议法–德尔菲法–调查问卷法借助资料和工具–操作风险定义及损失事件分类–操作风险损失事件历史数据–各类业务检查报告–内部审计报告–外部监管、审计报告2020/7/4风险评估等级描述词详细描述概率参考值（会计业务条线）范围说明1极可能预计大多数情况下发生；或现实中大量发生(0.01，1]发生概率大于0.012很可能很可能会发生；或现实中经常发生(0.001，0.01]发生概率在0.001与0.01（含）之间3可能在某种情况下可能发生；或现实中发生过几次(0.0003,0.001]发生概率在0.0003与0.001（含）之间4不太可能在某种情况下能够发生，但可能性小；现实中偶尔发生(0.00001,0.0003]发生概率在0.00001与0.0003（含）之间5罕见仅在例外情形下发生；或很多年发生一次(0，0.00001]发生概率不大于0.00001操作风险事件发生频率或可能性评估表2020/7/4风险评估等级描述词详细描述损失金额参考值（会计业务条线）范围说明1极大极大的损失金额[100，∞)损失金额在100万元（含）以上2较大较大的损失金额[10，100)损失金额在10万元（含）与100万元之间3中等中等的损失金额[1，10)损失金额在1万元（含）与10万元之间4较小较小的损失金额[0.1，1)损失金额在0.1万元（含）与1万元之间5极小极小的损失金额(0，0.1)损失金额在0与0.1万元之间操作风险事件影响程度评估表2020/7/4极大风险，不可接受；2-high,高风险，不可接受；3-medium,中等风险，不可接受；4-low,低风险，可接受；5-ignore,极小风险，可接受。2020/7/4监控机制确保标准化操作程序的执行，监控反馈的信息被有效用于优化和增进控制措施以适应环境变化。当采取控制措施后，风险等级从不可接受（1、2、3级）降至5级（极小风险）时，可以认为控制有效。2控制基本有效Managed对标准化的控制措施配套了有效的监控机制，监控所获信息被用于优化控制。当采取控制措施后，风险等级从不可接受（1、2、3级）降至4级（低风险）时，可以认为控制基本有效。3控制不足Initial临时性控制或者当采取控制措施后，风险等级仍处于不可接受（1、2、3级）时，可以认为控制不足，需要进一步采取控制措施。4控制过度Over-control当采取控制措施后，风险等级从不可接受（1、2、3级）降至可接受（4、5级），但为此付出的控制的成本过高，适当减少控制时仍能使风险处于可接受状态，此时可以认为控制过度。2020/7/4：外部欺诈-盗窃和欺诈-伪造、诈骗3-中等风险复核、即时业务授权会计稽核、会计检查4-低风险2DKJ7212-02-01-2记账错误现金支票业务7.2.1：流程管理和执行合规性-交易执行-交易数据记录错误3-中等风险复核、即时业务授权会计稽核、会计检查4-低风险3DKJ7212-02-01-3付款错误现金支票业务4-低风险双人付款录像监控5-极小风险是4DKJ7212-02-01-4违反监管规定现金支票业务3-中等风险票据审查、授权会计稽核、会计检查4-低风险是5DKJ-YW-01印鉴卡保管非流程风险3-中等风险无分岗保管、主管检查4-低风险6DKJ-XT-01系统缺陷非流程风险6.1.2：系统失灵和设备故障-IT系统-软件2-高风险无无2-高风险是7DKJ-RY-01混岗操作非流程风险3-中等风险无无3-中等风险是……操作风险与内部控制自我评估工作汇总表2020/7/4风险评估低频率/高影响（LFHI）高频率/高影响（HFHI）低频率/低影响（LFLI）高频率/低影响（HFLI）低高低高频率影响严重关注、彻底避免积极重视、强化管理作为日常管理、列入成本引入外部数据库，保险，进行风险转移风险评估结果的意义2020/7/4