操作风险管理概述与实务不断加剧的不断加剧的操作风险操作风险一体化程度越来越高更高的业绩压力复杂的业务违法行为依赖于技术实务操作和诉讼交易量增大，速度加快流程流程流程缺失、不合理等。引发操作风险的因素引发操作风险的因素人员人员操作失误、违法行为、越权行为、违反用工法、关键人员流失、关键岗位空缺等。系统系统系统失灵、软硬件故障、系统漏洞等。外部事件外部事件外部欺诈、外部突发事件、外部经营环境的不利变化等。某商业银行操作风险统计情况某商业银行操作风险统计情况注：根据某商业银行操作风险损失数据整理。损失原因笔数笔数占比金额占比人员因素198241.44%54.66%内部流程175636.71%32.69%外部事件52510.96%12.55%系统因素52110.89%0.10%4主要内容一、操作风险概述二、操作风险监管发展历程三、操作风险管理实务一、操作风险概述1 1、广义定义、广义定义市场风险和信用风险以外的风险。2 2、巴塞尔委员会定义、巴塞尔委员会定义由于不完善或有问题的内部程序、人员以及系统或外部事件所造成损失的风险。包括法律风险，但不包括策略风险和声誉风险。（一）操作风险定义（一）操作风险定义3 3 3 3、花旗集团定义花旗集团定义花旗集团定义花旗集团定义由于内部流程、人员或系统不完善或失败以及外部事件而造成损失的风险。包括与业务操作和市场行为相关联的声誉和特许经营风险。4 4 4 4、中国银监会定义、中国银监会定义、中国银监会定义、中国银监会定义由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险。5 5 5 5、中国工商银行定义、中国工商银行定义、中国工商银行定义、中国工商银行定义由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险，包括法律风险，但不包括战略风险和声誉风险。因无法履行的合同（全部或部分）、诉讼、不利的判决或其他法律程序使银行的业务中断或对银行状况造成不利影响而带来的风险。 公众对某家银行做法持负面评价（无论真实与否），从而导致其客户群缩小、发生昂贵的诉讼及/或使其收入下降的可能性 。来源于不合适的业务战略，或与该战略有关的假设条件、参数、目标以及其它特征有了负面的改变。 法律风险声誉风险策略风险信用风险和市场风险一般都和收益成正比例关系，而操作风险不存在这种相关性，无法通过承担更多的操作风险来增加收益，操作操作风险纯粹意味着损失。风险纯粹意味着损失。风险与收益不匹配分散性内生性多样性操作风险覆盖面广，存在于银行各个部门操作风险覆盖面广，存在于银行各个部门，风险事件的发生难于预测，导致难以通过数学模型进行管理。由于操作风险不易量化和缓释，通常高级管理层较少关注这一风险。除自然灾害、恐怖袭击等外部事件外，操作风险大部分为内生风险，人员因素导致的操人员因素导致的操作风险占大多数作风险占大多数。引发操作风险的因素复杂多样引发操作风险的因素复杂多样，既有员工、场所，还有系统、程序等。（二）操作风险的特征（二）操作风险的特征利润的上升并不需要操作风险敞口的增加风险信用市场操作利润三三种种风风险险比比较较（三）操作风险事件类型（三）操作风险事件类型* *内部欺诈未经授权的活动、盗窃或者欺诈，且这些事件至少涉及银行内部一方。外部欺诈由银行之外的第三方实施的偷盗或欺诈。用工制度和工作场所安全与劳资关系、工作环境安全性以及各种歧视相关的各种事件。客户、产品和业务活动 未能对客户完全履行义务，以及产品性质或设计存在缺陷。实物资产的损坏 自然灾害或其他有关的事件。营业中断和系统瘫痪业务中断或系统失败导致的损失。执行、交割和流程管理 与交易处理或流程管理、交易对手和外部供应商有关的事件。*巴塞尔委员会操作风险损失事件类型二、操作风险监管发展历程（一）国际银行业操作风险监管（一）国际银行业操作风险监管1、前新资本协议时期、前新资本协议时期 （1）有效银行监管核心原则有效银行监管核心原则(1997(1997年月年月) ) 原则13：该原则强调监管者要确保银行建立全面的风险管理程序以识别、计量、监测和控制各项重大的风险并适时设立资本金。 监管者应督促检查银行是否建立了有效的内控系统并保持有效运转，一旦发现违规迹象，应立即采取监管措施，并建议充分利用审计信息，进行现场检查等以保证监管效率。（2）内部控制系统的评估框架内部控制系统的评估框架（19981998年）年）内控失效的5个表现 3类内控目标 改进措施1）银行内部缺少控制观念导致管理疏忽2）缺少对表内外业务特定活动的风险评估3）对组织架构和职责以及绩效考核缺乏关键的控制或控制失效4）沟通不畅5）审计程序其它监管行为缺乏效率1）内部控制的效率和效果2）财务和管理信息的可靠性与完整性3）严格遵守监管法规（3）操作风险的管理与监管的稳健做法操作风险的管理与监管的稳健做法（20032003年年月）月）营造适宜的风险管理环境营造适宜的风险管理环境1、操作风险管理体系2、内部审计3、执行的职责风险管理活动风险管理活动4、识别、评估操作风险5、监控操作风险6、控制/减缓操作风险7、应急和连续经营方案信息披露的作用信息披露的作用10、公开披露监管者的作用监管者的作用8、对风险管理体系的监管审查9、独立评估（1）新资本协议新资本协议（20042004年年6 6月）月）2、新资本协议时期、新资本协议时期第一支柱第一支柱首次纳入资本计提范畴计算方法监管第二支柱第二支柱比照严格管理监管评估开发管理框架第三支柱第三支柱质的披露要求量的披露要求原则15 操作风险：银行监管当局必须满意地看到，银行应具备与其规模及复杂程度相匹配的识别、评价、监测和控制/缓解操作风险的风险管理政策和程序。（2 2）新版）新版有效银行监管核心原则有效银行监管核心原则 （20062006年年1010月）月）（3 3）操作风险管理和监管的良好作法操作风险管理和监管的良好作法（20102010年年1212月）月） 2）银行操作风险管理的三道防线）银行操作风险管理的三道防线业务条线管理独立的法人操作风险管理部门独立的评估与审查1）监管机构的任务）监管机构的任务建立评估机制监管评估的范围监管措施的制定鼓励银行持续改善内部管理3）银行操作风险管理原则）银行操作风险管理原则基本原则基本原则1、 “高层声音”2、操作风险框架公司治理公司治理3、操作风险管理框架建立及监督4、操作风险偏好和容忍度报告5、高级管理层风险管理环境风险管理环境6、内在操作风险的识别和评估7、评估的正式程序8、重要风险敞口监测9、操作风险管理体系10、业务弹性和连续性方案信息披露的作用信息披露的作用11、公开信息披露（3 3）操作风险管理和监管的良好作法操作风险管理和监管的良好作法（续）（续）（二）我国银行业操作风险监管（二）我国银行业操作风险监管20世纪90年代中期至2002年左右监管部门和银行内部主要侧重于研究与银行盈利能力密切相关的信用风险和市场风险，操作风险的监管政策在我国仍然是一片空白。但少数学者已经开始探索操作风险管理和监管问题。1 1、萌芽阶段、萌芽阶段2 2、起步阶段、起步阶段2002年至2006年（1 1）商业银行内部控制指引商业银行内部控制指引（20022002年年9 9月）月）全文有五处明确提到操作风险，其中有两处表述为“操作性风险”，也是操作风险的一类，且大量的内容体现的是操作风险的管理理念。如第四章“资金业务的内部控制”中强调统一授信和前后台职责分离，防止越权交易和欺诈行为等，都是典型的防范操作风险的手段。（2 2）关于加大防范操作风险工作力度的通知关于加大防范操作风险工作力度的通知（20052005年年3 3月）月） 简称“操作风险十三条” 机构管理方面：机构管理方面：涉及规章制度建设、稽核体制建设、基层行合规性监督、订立职责制、行务管理公开等。人员管理方面：人员管理方面：涉及轮岗论调与强制休假、重要岗位人员监控、举报人员的奖励机制等。账户管理方面：账户管理方面：涉及对账制度、未达账项管理、印押证管理、账外经营监控、信息科技系统改进等。2 2、起步阶段（续）、起步阶段（续）3 3、发展完善阶段、发展完善阶段（1 1）中国银行业实施新资本协议指导意见中国银行业实施新资本协议指导意见（20072007年年2 2月）月）要求银行制定切实可行的新资本协议实施规划首次提出银行应对操作风险计提资本此外还指出银监会将加快操作风险资本监管的研究和规制的进程，并将公布符合我国商业银行实际的操作风险资本计算方法2007年至今（2 2）商业银行操作风险管理指引商业银行操作风险管理指引（20072007年年5 5月）月）首次在正式中文文件中给出操作风险的定义和操作风险事件的分类明确要求商业银行为操作风险管理提供组织和职能保证强调加强内部控制对降低操作风险的重要意义3 3、发展完善阶段（续）、发展完善阶段（续）（3 3）商业银行操作风险监管资本计量指引商业银行操作风险监管资本计量指引（20082008年年1010月）月）我国商业银行只能选择标准法、替代标准法和高级计量法明确了商业银行使用标准法时总收入的范围，并制定了业务条线的归类原则制定了商业银行操作风险损失数据收集统计原则提出了商业银行操作风险损失事件统计的主要内容3 3、发展完善阶段（续）、发展完善阶段（续）（4 4）商业银行资本管理办法商业银行资本管理办法（2 2年年1 1号令）号令）以巴塞尔新资本协议（Basel II）三大支柱为基础，统筹考虑第三版巴塞尔协议（Basel III）的新要求，构建了符合国内银行业实际的资本监管框架办法分10章、180条和17个附件，其中第六章对操作风险加权资产计量进行了规范3 3、发展完善阶段（续）、发展完善阶段（续）三、操作风险管理实务以某商业银行操作风险管理项目为例（一）名词解释（一）名词解释操作风险偏好是对操作风险的基本态度和公司管理层对操作风险管理的承诺。是银行根据发展规划以及业务能力和风险控制能力，确定下来的风险容忍程度和风险远景规划，是战略层面的内容。操作风险容忍度是将战略层面的操作风险偏好转化至实际管理层面的管理工具，是风险偏好更为具体的表现。操作风险偏好操作风险容忍度操作风险容忍度区分操作风险容忍度分为四个等级，分别以绿色、黄色、橙色、红色加以区分。绿色表示安全区域，黄色表示应加强监控的区域；橙色表示应予警戒的区域，红色表示不可忍受区域。操作风险地图为一个由频率横轴以及严重度（金额）纵轴所组合成的二维象限，当中每一格区域代表不同的操作风险暴露值（即频率与严重度的乘积）；而通过边界值的设置可以将该二维象限划分成不同的区域，对映至不同的操作风险容忍度。分为固有风险暴露评估和剩余风险暴露评估。其中，固有风险暴露是指假设不存在任何控制措施，未来一年内发生操作风险损失的可能性和金额。剩余风险暴露是指考虑相关控制措施的影响，即操作风险事件发生的可能性和严重程度在控制措施后有可能降低的情况下，未来一年内发生操作风险损失的可能性和金额。操作风险地图风险暴露评估操作风险管理的三项工具操作风险管理的三项工具 操作风险管理LDC损失数据收集(反思操作风险管理或缓释方案失效的原因并思考新的应对方案)KRI关键风险指标设计与监控(通过预警信息的监控以即时采取行动方案)RCSA风险与控制自我评估(流程改善或控制措施改进的依据)人体健康管理病史及发病纪录(反思发病原因并采取新的应对方案)血压血糖体重等健康指标监控(警戒信息产生时，立即采取应对手段)定期身体健康评估(调整用药、加强运动等控制措施的依据)操作风险管理的流程操作风险管理的流程风险识别评估 / 计量缓释/ 控制检验/再评估监测报告反馈风险识别流程分析：识别主要业务流程或业务活动中固有的操作风险事件以及目前本行具备的相应控制措施。损失数据收集：针对操作风险事件的相关信息，进行数据收集、内容分析、整改分析设计与执行、损失分配、内外部报告等程序。风险评估风险与控制自我评估：通过流程分析，识别和评估流程中潜在操作风险以及自身业务活动的控制措施、适当程度及有效性的操作风险管理工具。风险监测关键风险指标：代表某一风险领域变化情况并可定期监控的统计指标,可用于监测可能造成损失事件的各项风险及控制措施，并作为反映风险变化情况的早期预警指标。风险控制行动计划：通过三大工具的应用，根据对风险暴露严重程度的判断，采取相应的措施，将风险暴露降低到可接受的水平。（二）操作风险识别（二）操作风险识别1、流程分析、流程分析板块板块业务类别业务类别主流程主流程子流程子流程主流程主流程牵头部门牵头部门子流程子流程负责部门负责部门依据业务属性，将流程划分为以下7大业务板块：公司业务国际业务会计业务零售业务资金业务离岸业务其他业务板块大类的子项。例如，公司业务板块就下设了10余个业务类别：公司授信公司理财票据贴现银团贷款资产保全企业现金管理 在业务类别项下遵循切割原则所梳理出的流程项目。例如公司授信业务类别对应的主流程有：公司授信（截至批复前）流程 一般授信提款流程 贷后管理流程 主流程项下，主要的执行环节。例如贷后管理主流程下设的子流程有：贷后日常监控贷后预警五级分类抵质押物出库主流程的业务设计部门或制度设计部门。子流程主要环节的执行部门。梳理每个子流程所包含的流程步骤，识别涉及的人员和系统。识别每个步骤中的控制措施。识别每项控制措施所针对的风险事件和风险因子。生成综合说明表进一步流程分析过程及结果进一步流程分析过程及结果（1）（2）（3）（4）综合说明表示例（会计业务综合说明表示例（会计业务-重要空白凭证出入库管理）重要空白凭证出入库管理）子流程使用文件流程步骤控制类型控制措施风险识别执行人员风险事件类型风险因子类型(1)风险因子类型(2)网点或库房上级部门凭证柜员凭证库管员账户管理员会计主管管理人员重要空白凭证库房管理凭证调出单、空白重要（面额）凭证领用（入库）书、印鉴出库银行财产及抵质押物清点、记录确认的权责划分 分行凭证库房须由分行指定部门负责管理，相关帐务处理须由帐务中心负责处理内部人员窃取有价证券/单证/卡片/钥匙/印章不当的薪酬体系（基本工资）不当的道德概念（员工个人不当的道德问题）*对人员的业务能力定期或不定期进行培训上级管理部门（包括人力资源部门、安全保卫部门、内控合规部门）须定期或不定期对凭证库管员、凭证柜员和会计主管对重要空白凭证的管理进行培训内部人员伪冒申请业务或服务不当的薪酬体系（基本工资）不当的道德概念（员工个人不当的道德问题）*最终交易/利息计算/入帐及扣帐错误或延误不当的培训制度流程规范化缺乏/不当*2、损失数据收集、损失数据收集(LDC) （1 1）收集范围）收集范围 类型一：重大操作风险事件即银监会规定范围及该行特别关注的重大操作风险事件。1 银监会规定应收集的事件。2 该行特别关注的事件。包含：监管机关处分事件、员工欺诈事件、员工安全事件、核心业务服务中断事件、重大信息系统安全或中断事件、影响该行对广大客户的服务质量以及严重影响该行声誉的事件。 类型二：损失金额达认定起点的事件即非第一类事件但总损失金额达到认定起点以上的事件。除第一类事件外，该行的损失数据收集至少应涵盖外部欺诈事件、实体资产损坏事件、操作失误事件。各业务条线部门可依据自身的管理需求，调低操作失误事件认定起点和/或扩大收集范围。 （1 1）收集范围（续）收集范围（续）（2）事件收集执行程序）事件收集执行程序事件识别1-1事件发掘数据收集2-1信息收集事件处理 3-1事件分析验证及管理 4-1数据验证监控与报告5-1总体性监控1-2沟通与汇报2-2数据录入3-2改善行动4-2 损失分配5-2 监管报表报送3-3缓释处理4-3事件追踪信息 反馈信息 反馈信息 反馈损失事件帐务处理（三）操作风险评估（三）操作风险评估频率 严重度固有风险暴露控制措施1-2有效性控制措施 2有效性固有风险暴露控制措施的效果剩余风险暴露操作风险事件控制措施-1设计操作风险事件1、操作风险评估整体框架、操作风险评估整体框架自行评估依逻辑自动计算频率 严重度剩余风险暴露风险地图落点总体控制有效性落实度设计落实度设计落实度风险识别环节的流程分析结果是构成RCSA问卷的主体，RCSA问卷是在流程综合说明表的基础上转换而来。 2、风险与控制自我评估（、风险与控制自我评估（RCSA）问卷）问卷流程分析 : 流程综合说明表RCSA问卷子流程步骤控制类型风险事件类型风险因子类型重要空白凭证出入库管理出库岗位分离内部人员窃取有价证券不当的薪酬体系风险事件类型 控制类型风险因子类型子流程固有风险暴露评分剩余风险暴露评分控制有效性评分内部人员窃取有价证券 岗位分离 不当的薪酬体系 重要空白凭证入库管理 =X定义3、评估工作程序、评估工作程序 （1）剩余风险暴露评估）剩余风险暴露评估风险暴露（RE, Risk Exposure）未来一年内，可能承受的操作风险损失事件发生频率（F, Frequency）未来一年内，某类型的操作风险事件可能发生的次数 事件严重程度（S, Severity）平均而言，上述事件所可能造成的财务损失参考依据依据目前的内外部环境，预测各项风险事件可能发生的频率。例如每年发生3次、每年发生1次、每10年发生1次(每年0.1次)。依据目前的内外部环境，若这类风险事件发生，可能会带来多大的财务损失。 历史损失数据 业务量 依据行内业务专家的经验 历史损失数据 单项业务或交易金额 依据行内业务专家的经验事件发生频率和严重度事件发生频率和严重度评估评估操作风险事件发生频率评估表频率至少每天发生一次至少每周发生一次至少每月发生一次至少每季发生一次 至少每半年发生一次 至少每年发生一次 至少每3年发生一次 至少每5年发生一次 10年以上发生一次 30年以上发生一次等级12345678910操作风险事件严重程度评估表(财务损失)严重性等级12345678910111213141516可能造成的损失（RMB）0-5,0005,000-10,00010,000-20,00020,000-50,00050,000-100,000100,000-200,000200,000-500,000500,000-1,000,0001,000,000-2,000,0002,000,000-4,500,0004,500,000-9,500,0009,500,000-20,000,00020,000,000-45,000,00045,000,000-95,000,00095,000,000-200,000,000200,000,000事件发生频率和严重度事件发生频率和严重度评估示例评估示例高频低损高频低损 会计差错、操作失误等在银行发生频率比较高，但最终给银行造成的损失并不大发生频率：3 至少每月发生一次严重度： 1 0-5,000低频高损低频高损 外部欺诈事件在银行发生频率比较低，一旦发生金额相对比较大发生频率：9 10年以上发生一次严重度： 15 95,000,000-200,000,000112233事件间接影响效果评估事件间接影响效果评估间接损失评估表 运营中断间接损失评估表 广大客户服务质量等级描述等级描述中断1日中断1周中断一个月以上影响5%的客户服务质量影响20%的客户服务质量影响50%以上的客户服务质量除了直接的财务损失外，若操作风险事件发生，可能带来什么样的负面效果 ?控制措施在制度设计层面，对于操作风险的管控效果控制被遵循与落实的程度3、评估工作程序、评估工作程序 （2）控制有效性评估控制有效性评估控制有效性包含控制设计有效性以及控制落实度 规章制度文件是否齐备与完善 控制措施是否具可操作性 控制措施是否对操作风险有很好的管控效果 控制措施是否被执行 相关岗位执行时的认真程度 控制措施的执行的覆盖程度评估时的考量要素参考依据 对于目前制度规章齐备程度与完善程度的了解 业务专家对于控制措施的可操作性及管控效果的反馈 相关岗位对于日常工作是否落实的反馈 条线检查或是内审检查对于落实状况的评估结果控制措施对于操作风险管控的效果3、评估工作程序、评估工作程序固有风险暴露为控制措施完全失效的状况下所面对的操作风险暴露。 控制措施效果主要是降低操作风险事件的发生频率，而对事件发生时的影响效果可能无控制能力或控制能力较弱。 依据造成操作风险的原因，思考若控制措施完全失效，事件发生频率可能升高的幅度。 例如可能由1年发生1次，变为每个月发生1次。（3）固有风险暴露评估）固有风险暴露评估4、设定及调整风险地图、设定及调整风险地图风险地图是反映操作风险评估结果的重要载体。不同的业务条线或单位，由于运营规模不同，对于操作风险的容忍度会有相当的差异，因此应适用不同轮廓的风险地图来协助判断特定风险的暴露是否维持在可容忍的范围之内，通常采用综合判断方式设定容忍度边界甲分行乙分行频率频率严重度 严重度 风险地图的意义风险地图的意义高低影响低频高损 高频 高损低频低损 高频 低损高低频率严重关注，彻底避免作为日常管理，列入成本 积极重视，强化管理引入外部数据库、保险，进行风险转移风险地图示例风险地图示例不能容忍范围警戒范围加强监控范围安全范围1内部人员窃取有价证券（四）操作风险监测（四）操作风险监测 1、关键风险指标（关键风险指标（KRI）的类型）的类型 关键风险指标( key risk indicator)是指能代表操作风险水平变化情况并可定期监控的统计指标。（1）依据层级划分：分为银行层级和流程层级。（2）依据警示内容划分：分为风险指标、控制指标和暴露指标。风险指标 (RI)控制指标 (CI)暴露指标(EI)银行层级以总体的角度，依据操作风险偏好/容忍度，监控银行所关注的焦点流程层级监控在流程分析的过程中所识别的风险点与控制点以及实际的损失状况o 反映风险因子变化状况指标o 反映异常状况指标o 反映差错状况指标o 反映控制落实状况指标o 反映检查结果指标o 控制落实度评估汇总结果*o 操作风险事件件数*o 操作风险事件损失金额合计数*o 操作风险评估汇总结果*(*)由RCSA结果反馈，(*)由LDC结果反馈板块指标名称指标类型指标值更新频率指标说明个金业务个金客户经理销售违规受处罚的次数风险指标反映异常状况每月每月统计个金客户经理销售违规受处罚的次数单位高端客户经理平均管理高端客户数控制指标反映控制落实度状况每月每月统计单位个金客户经理平均管理客户数国际业务国际业务条线员工离职率风险指标反映因子变化状况每季每季度定期统计岗位上员工离职比例国际业务结算系统当日取消记帐比率控制指标反映差错状况每周每周定期统计结算系统中当日取消记帐次数占当日业务笔数比例关键风险指标示例例2、关键风险指标（、关键风险指标（KRI）的意义）的意义关键风险指标是监测操作风险状况的主要工具，也是 支持风险识别和评估的重要手段之一，主要源于其具有使用上的便利性。银行层级银行层级KRI 的意义：的意义：可以了解银行所关注的操作风险的风险暴露，是否控制在可以容忍的范围内，并可在预警信息产生时，及时采取应对方案。流程层级流程层级KRI 的意义：的意义：可以通过指标值的监控与行动方案的及时启动，将操作风险暴露控制在特定业务领域可以接受的范围之内。有效的关键风险指标应当具备以下特征：有效的关键风险指标应当具备以下特征： 关键性、容易获取 与风险驱动因素或风险暴露相关 是可以量化的指标 与目标和风险拥有者相联系 在预警信息产生后，立刻启动行动方案原可能发生的损失事件可能因此而未发生关键风险指标（关键风险指标（KRI）的意义）的意义谢谢大家！