银行操作风险管理与监管讲座课件

操作风险管理与监管操作风险管理与监管核心原则的基本架构核心原则的基本架构（一）目标、独立性、权力、透明度与合作原则1 （二）发照和结构原则2至5 （三）审慎规章及要求原则6至18（四）持续监管的手段原则18至21 （五）信息要求原则22 （六）监管的正式权力原则23 （七）并表和跨境监管原则23至25 审慎规章及要求审慎规章及要求原则原则1515：操作风险：操作风险 银行监管当局必须满意地看到，银行具备与其规模及复杂程度相匹配的识别、评价、监测和缓解操作风险的风险管理政策和程序。目录目录操作风险定义什么是操作风险？历史演变操作风险与信用风险、市场风险的区别操作风险与内部控制的关系操作风险监管要求比较操作风险管理操作风险计量与资本配置巴塞尔委员会对操作风险的定义巴塞尔委员会对操作风险的定义操作风险是指由不完善或有问题的,包括，但不包括策略和声誉风险。-巴塞尔银行监管委员会法律风险法律风险：因无法履行的合同（全部或部分）、诉讼、不利的判决或其他法律程序使银行的业务中断或对银行状况造成不利影响而带来的风险。声誉风险声誉风险：公众对某家银行做法持负面评价（无论真实与否），从而导致其客户群缩小、发生昂贵的诉讼及/或使其收入下降的可能性。策略风险：策略风险：来源于不合适的业务战略，或与该战略有关的假设条件、参数、目标以及其它特征有了负面的改变。操作风险三段论操作风险三段论原因原因为什么发生？人员违规、程序不合理、系统故障、外部冲击事件事件*发生了什么？欺诈、交易记录输入错误、系统数据丢失影响影响结果如何？资金损失、声誉受损、罚款*：事件是指已经成为现实的损失，不涵盖潜在损失。操作风险的特殊性操作风险的特殊性利润的上升并不需要操作风险敞口的增加利润风险信用市场操作操作风险与内部控制的关系操作风险与内部控制的关系纠结，纠结，还是纠结COSO内部控制框架与全面风险管理框架时间文件目标要素模式区别1994内部控制-整体框架经营目标、财务报告目标和遵守目标内部控制环境、内部控制策划、实施和运行、监测评价与持续改进、信息交流与反馈策划-实施-检查-改进内控仅是管理的一种职能2004全面风险管理框架战略目标、经营目标、报告目标和合规目标内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控目标-要素-层级三维立体涵盖内部控制、风险范围扩展、引进风险偏好、风险容忍度、风险对策和情景分析等方法操作风险与内部控制的关系（续）操作风险与内部控制的关系（续）规章制度和稽核建设对基层行的合规性监督问责制,行务管理合规制对银行机构提出内部控制的要求组织结构和控制文化建设审批与授权责处与问责轮岗轮调和强制休假制度行为失范的适时检查制度奖励和保护举报员工对人员的内部控制要求不兼容岗位的适当分离行为控制对银行账户管理的内部控制要求验证与核实实务控制高技术环境下的控制适时有效的对账制度，未达账项和差错处理的环节控制，严格印章、密押、凭证的分管分存及销毁制度，账外经营的监控,改进科技信息系统操作风险与内部控制的关系（续）操作风险与内部控制的关系（续）操作风险管理指引操作风险管理指引商业银行内部控制指引商业银行内部控制指引企业内部控制基本规范企业内部控制基本规范基本要素：董事会的监督控制；高级管理层的职责；适当的组织架构；操作风险管理政策、方法和程序；计提操作风险所需资本的规定基本要素：内部控制环境；风险识别与评估；内部控制措施；信息交流与反馈基本要素：内部环境；风险评估；控制活动；信息与沟通；内部监督明确职责分工授信的内部控制不相容职务分离控制监测风险限额资金业务的内部控制授权审批控制安全监控记录存款和柜台业务的内部控制会计系统控制强制休假与离岗审计中间业务的内部控制财产保护控制八小时以外行为规范会计的内部控制预算控制举报激励与保护制度计算机信息系统的内部控制运营分析控制案件的双重考核制度内部控制的监督与纠正绩效考评控制案件及信息披露激励约束机制目录目录操作风险定义操作风险监管要求比较主要监管规定列表主要监管要求对比操作风险管理操作风险计量与资本配置主要监管规定列表主要监管规定列表监管规定时间银监会关于加大防范操作风险工作力度的通知2005.3.22合规风险指引2006.10.25操作风险管理指引2007.5.14内控指引2007.73操作风险监管资本计量指引2008.9.18信息科技风险管理指引2009.6.1声誉风险管理指引2009.8.25高级法验证指引操作风险模块2009.11.23巴塞尔委员会金融服务外包2005.2新资本协议（修订版）2006.6高级法关键要素实践2006.10高级法下的母国东道国监管合作原则2007.11操作风险损失数据收集作业2008.7操作风险保险的风险缓释效应确认建模2010.10操作风险稳健管理原则2011.6高级法监管指引2011.6操作风险管理体系基本要素操作风险管理体系基本要素营造合适的操作风险管理环境操作风险管理程序信息披露的作用*原则1-5 董事会和高管层职责；框架原则6-10识别与评估；监测和报告；控制和缓释；业务弹性和可持续性原则11充分的对外信息披露操作风险管理与监管的稳健做法操作风险管理指引营造合适的操作风险管理环境资本计提规定*董事会的监督控制高管层职责适当的组织结构*政策方法 程序缓释手段资本计提操作风险管理政策、方法和程序*：表示稳健做法里不涵盖；*：表示是对稳健做法相应原则的扩展；*：表示相互存在差异。操作风险监管要求基本要素比对操作风险监管要求基本要素比对目录目录操作风险定义操作风险监管政策与监管环境操作风险管理管理流程与基本要素中国银行业操作风险管理实践操作风险计量与资本配置操作风险管理流程操作风险管理流程风险识别评估/计量控制/缓释检验/再评估监测报告反馈 操作风险管理是一个连续的过程操作风险管理三大工具操作风险管理三大工具RCSARCSAKRIKRILDCLDC流程梳理流程梳理风险识别风险识别控制措控制措施识别施识别监监控控与与报报告告损失损失数据数据搜集搜集监控监控数据数据收集收集损失识别损失识别主要执行步骤主要执行步骤工具工具风险与控风险与控制有效性制有效性评估评估指指标标设设计计三大工具架构及执行程序行动方案行动方案设计设计与执行与执行（含控制措施改（含控制措施改善）善）操作风险管理三大工具（续）操作风险管理三大工具（续）识别操作控制环境的强弱 例如，由业务线回答的一般的具体的问题 揭示薄弱环节。帮助优化随后采取的管理行动 将风险类型与业务部门、组织职能或流程对应起来 确立关键控制标准，实施操作风险控制与缓释 领先及滞后指标 失败的交易数额、员工流失率和繁锁出错的频率和严重程度关键风险指标(KRI)损失数据库风险与自控评估识别和评估、监测、控制和缓释操作风险的工具操作风险自评估操作风险自评估自我评估：是在银行内部控制体系基础上，通过开展全员风险识别，识别出全行经营管理中存在的风险点，并从损失金额和发生概率两个角度来评估风险度大小。自我评估的主要目标：是鼓励各级机构承担责任及主动对操作风险进行识别管理。自我评估通常的方法：流程分析法、情景模拟法、引导会议法、德尔菲法（专家预测法）、调查问卷法等。风险识别固有风险评估固有风险水平现有控制分析控制评估（设计）可能性后果剩余风险评估剩余风险水平可能性后果12345产品产品/流程风险及控制评估（流程风险及控制评估（RCSARCSA）自评估流程自评估流程作业流程分析和风险识别与评估全员风险识别与报告控制活动识别与评估制定与实施控制优化方案报告自我评估工作与日常监控LMMLLLLLLL LL LL LL LL eg;L eg;日常操作失日常操作失误误M ML LL LL LL LH HM MM ML LL LH HH HH HM MM MH H eg:eg:员工重大操作失员工重大操作失误误H H eg:eg:系统主要故障系统主要故障H HH HM M影响影响11概率概率34523425应极力避免的可承担/不承担：外包或保险可承担/不承担：外包或保险可承担：内控、系统、稽核、合规操作风险自评估矩阵操作风险自评估矩阵损失数据库（损失数据库（LDCLDC）操作风险损失事件的定义？显性损失VS隐性损失财务损失VS非财务损失损失阀值VS风险管理VS风险计量操作风险损失数据应收集哪些信息？事件本身：日期；金额；原因；业务条线；启动的控制措施；是否促发监管要求；是否采取缓释措施；追索等隐性损失：近损失事件（near miss）VS风险管理VS风险计量；现有风险管理VS管理标准；隐性损失计量的难度VS作用四大数据要素：内部，外部，内控环境，情景分析VS混合使用操作风险损失数据收集流程制定统一的数据收集标准和模板下发各条线和各分支行试收集数据并提出修改意见将试收集的数据和意见反馈给操作风险管理牵头部门以完善标准和模板下发标准和模板统一收集数据对数据勾稽关系的核验和数据质量的检查对外部数据（公开媒体收集、共享、购买外部数据）以及内控环境、情景分析数据的整合操作风险损失数据的应用风险管理：挽回损失；分析漏洞；完善管理；采取应对措施（内控、保险、外包、BCP等）风险计量：掌握风险分布形态；计量资本（经济资本和监管资本）；绩效考核风险缓释风险缓释-保险保险保险覆盖的范围有多大？保险覆盖的范围有多大？保险路线图保险路线图OrganisationalLiabilityNon-FinancialPropertyAll Risks0%操作风险保护操作风险保护100%对冲对冲BBBD&OECCPPI典型典型BBBD&OECCPEPL高级高级PI外部欺诈外部欺诈员工风险员工风险技术风险技术风险物理资产风险物理资产风险关系风险关系风险领先领先水平水平外部欺诈外部欺诈员工风险员工风险 技术风险技术风险资本资本物理资产物理资产所有风险所有风险关系风险关系风险未来未来PropertyAll RisksGeneral&Other LiabilityGeneral&OtherLiabilityUnauthorisedTrading注：具体可参见2010年10月巴塞尔发布的保险缓释文件。应急预案管理应急预案管理关键风险指标的主要作用关键风险指标的主要作用帮助执行部门保持操作风险管理流程的有效性，确保操作风险特征信息反映银行的实际状况；帮助各级管理层监控操作风险与控制的有效性，积极的采取具体措施，对操作风险进行管理；可作为具体业务和管理过程中潜在风险与控制问题的预警指标预警指标；反映银行/分行的操作风险偏好关键风险指标是一系列的参数，用来监控银行整体操作风险状况的变化，或特定的业务单元、流程和系统内操作风险状况的变化。与揭示风险有关的指标，如信用卡发卡量异常变动情况与损失有关的指标，如客户投诉的数量与成因相关的指标，如员工周转情况手工交易的百分比手工交易的百分比%人员人员交易量和数目交易量和数目病假和年假时间（按日计算）病假和年假时间（按日计算）到位及能力发挥情况手工交易量和职工加班时间手工交易量和职工加班时间200,000250,000300,000350,000400,000Jan MarMay Jul SepNovTrx Amt RM00019,00021,50024,00026,50029,00031,50034,000No.TrxManual Trx AmtAuto Trx AmtNo.Trx11,500 12,500 13,500 14,500 15,500 16,500 17,500 Jan MarMay Jul SepNovManual Trx Amt(RM000)100 200 300 400 500 600 700 800 Overtime(hrs)Overtime HrsManual Trx Amt/Employee92.00 93.00 94.00 95.00 96.00 97.00 98.00 Jan MarMay Jul SepNov%Manual Trx14,000 15,000 16,000 17,000 18,000 19,000 20,000 21,000 22,000 Total No.Trx%Manual TrxNo.Manual Trx151719212325Jan Mar May JulSep NovNo.Employees-10 20 30 40 50 60 70 Leave DaysSick LeaveAnnual LeaveNo.Employee报告内容和频率报告内容和频率董事会董事会执行委员会（例如，操作风险管理委员会）业务经理员工问题：是否制定举报机制的政策董事会应该获取信息清楚全面操作风险，及关注重要的策略性的业务意图高级管理层操作风险操作风险报告样本报告样本专业专业工作工作站站 报告报告风险风险状况状况 标准报告 排名前10位的剩余风险 排名靠前的损失 仪表板 关键控制点 关键风险指标外部事件项目状态损失数据报告样本按业务条线分类的损失按业务条线分类的损失-2007-20070123456零售公司保险贸易总的净损失总的净损失 (百万元百万元)其他系统员工流程外部事件目录目录操作风险定义操作风险监管政策与监管环境操作风险管理管理流程与基本要素中国银行业操作风险管理实践操作风险计量与资本配置第一阶段是传统阶段：只有内部控制，缺乏正规的操作风险管理架构。第二阶段是识别阶段：专人负责操作风险管理，制定了相应的制度，能实施自我评估，收集损失事件的数据。第三阶段是监测阶段：能跟踪收集相关数据，制定了定性和定量指标，实施打分卡策略，形成综合报告体系，系统性培训。第四阶段是定量阶段：具备全面综合的数据库，能借助数理模型深入分析带来的影响。第五阶段是整合阶段：操作风险管理、战略规划、质量控制和经济资本管理有机结合，提高股东价值。操作风险管理的发展阶段操作风险管理的发展阶段我国银行操作风险管理差距我国银行操作风险管理差距操作风险管理内容国际大银行的标准我国银行目前的差距理念和政策统一明确的管理政策；明确界定和分类；并在全行范围内建立综合统一的方法和流程来监测、预防对缺乏统一的认识；什么是或不是操作风险？要不要对操作风险进行统一管理？没有成文的管理政策、流程治理结构董事会批准的统一的管理框架；完全独立的审计部门监督和汇报操作政策和程序是否有效实施；集中的风险管理部门负责维护管理工具、协调和汇报风险，业务部门负责具体监控，数据收集和工具的实施尚没有董事会或对等机构来批准统一的管理框架；总行相关部门分布负责一些工作，但部门之间缺乏协调和清楚的报告关系（管理部门内分别向各自上级汇报）风险评估银行采取一种或多种方法评估：风险自评、流程风险映射、关键风险指标、风险打分卡、历史跟踪和量化风险数据尚未做过正式的自评；未建立正式的关键风险指标体系，更无与其挂钩的风险预警；尚未设计和实施打分卡风险缓释工具的使用应急方案及业务恢复计划银行投入适当的风险缓释工具，如保险、系统安全技术和服务外包等对风险缓释工具的效果进行系统的评价，对外部服务质量严格控制并有备用方案对使用流程技术和保险来缓释风险的举措缺乏统一规定，个别分行有一定的措施对风险缓释的效果无系统的跟踪评价我国银行操作风险管理差距（续）我国银行操作风险管理差距（续）操作风险管理内容国际大银行的标准我国银行目前的差距与管理流程整合定期报告，报告应传达给所有相关的管理层和部门；银行应有一整套的监控流程和程序来保证内控政策得到遵守和实施没有合规披露及监管披露管理的制和方式，以足够使投资者能够对其管理效果做出合理判断尚没有披露机制和方式、系统和数据业务部门没有关于操作风险的报告；目前的审计报告缺乏连续性和全面性，主要侧重已出现问题的业务应急方案及业务恢复计划针对银行可能面对的不同灾害情况，制定相应的应急方案和业务恢复计划，对业务恢复计划进行定期评价和修订在对服务外包商的尽职调查和准备应急方案方面无统一规定；没有较完整的应急方案和业务恢复计划系统和数据建立集中式的中央数据库，并与分析工具、映射工具和文件报告工具联系；存储足够历史数据以支持对模型的后台测试尚没有的信息系统和数据支持目录目录操作风险定义及漫谈操作风险监管政策与监管环境操作风险管理操作风险计量与资本配置基本指标法标准法资本要求是根据前三年的实际年总收入(GI)的固定百分比的平均值计算的 没有统一标准鼓励参照稳健原则中的做法 GI:净利息收入+净非利息收入 根据一国监管当局或会计准则规定 =15%不期望国际活跃银行和有重大操作风险暴露的银行使用资资 本本 要要 求求 基本指标法基本指标法基本指标法示例基本指标法示例例子银行 X第 1年第 2年第3年总收入1800600(-100)Alpha15%15%15%资本要求基本指标法示例（续）基本指标法示例（续）基本指标方法同类银行分析：银行 X第1年第2年第3年总收入1800600(-100)Alpha15%15%15%资本要求27090-银行 Y第1年第2年第3年总收入200015001800Alpha15%15%15%资本要求300225270银行 Z第1年第2年第3年总收入160010001400Alpha15%15%15%资本要求240150210180265200年总收入为负数或零的数字不应包括在内，如果误报支柱1的资本要求，则考虑启动支柱2的要求。标准法标准法 银行经营活动划分成8条业务线 通过指标乘以分配给该业务线的因子，计算每条业务线的资本要求-指标:年总收入(与基本指标法同)通过三年中每年每条业务线的资本要求的简单算术平均，计算总的资本要求-因子:beta()由巴塞尔银行监管委员会给出资本要求=years 1-3max(GI1-8 x 1-8),0/3标准法准入资格标准法准入资格使用该法的要求参照巴塞尔委员会标准和本国监管当局其他标准巴塞尔委员会标准是对国际活跃银行的关键标准：充分的治理结构和风险管理系统 划分业务线和活动的政策和文件标准独立的操作风险管理职责 通过业务线跟踪操作风险数据（包括实质损失）向业务管理部门、高管层和董事会报告操作风险暴露 确认和规范操作风险的独立检查标准法的特点标准法的特点 一些业务线的负资本要求不受限制地抵消一些业务线的正资本要求（各国随意，可能有更严格的要求）所有业务线的资本要求总和是负数，则该年的分子为零。如果误报支柱1的资本要求，则考虑执行支柱2的要求总收入不是风险的敏感器；系数值是否合适？标准法下的业务条线划分标准法下的业务条线划分18%18%12%15%18%15%12%12%标准法案例标准法案例100X 18%=18100X 18%=18300X 12%=36300X 15%=45100X 18%=18100X 15%=15100X 12%=12100X 12%=1212001200174174谢谢！谢谢！请批评指正！