操作风险管理概论及三大工具.pptx

内控应贯彻的原则 • 健全性 • 有效性 • 独立性 • 及时性 • 相互制约性 • 成本收益性
内控程序
• 控制环境 • 风险评估 • 控制活动：会计控制、行政控制 • 信息沟通 • 内部检测
二、完善我国操作风险管理
• 银行树立良好的风险管理文化 • 全面梳理银行的业务流程，对产品线（业务线）与损失事件进行定位 • 建立关键指标体系 • 建立操作风险损失数据库
感谢下 载
感谢下 载
公司金融－公司金融、政府金融、商人银行、咨询服务 交易和销售－销售、自营头寸、资金业务 零售银行业务－零售银行业务、私人银行业务、银行卡
业务 商业银行业务－ 支付和结算－外部客户 代理服务－托管、公司代理、公司信托 资产管理－可支配基金管理、非可支配基金管理 零售经纪
• 与基本指标法相比，标准化法细化了银行的业务部门，不同的业务部门被赋 予不同的操作风险权重，但并不意味着标准化法具有更高的风险敏感度。
第二节 操作风险的衡量
1、基本指标法
• K=GI*a • K为基本指标法要求的资本金，GI为总收入；a＝15% • 总收入的定义：净利息收入加上非利息收入 • 仅适用于简单业务的小银行
• 2、标准法 • 银行的业务分为标准的业务部门和业务类型 • 银行业务分为八个产品线，在各产品线中总收入代表业务经营规模 • 各产品线的资本要求=银行的总收入*适用的系数
局部使用
• 选部分业务使用高级计量模型 • 由监管部门批准使用 • 计量方法不得随意改动
第三节 操作风险的管理
一、完善内控机制 内控机制是金融机构的一种自律行为，是金融机构为完成既定的工作目标和防范
风险，对内部各职能部门及其工作人员从事的业务活动进行风险控制、制度 管理和相互制约的方法、措施和程序的综合

操作风险管理概论与三大工具介绍
培训材料
1
目录
操作风险管理框架 操作风险管理三大工具一览 风险控制自我评估（RCSA） 损失数据收集（LDC） 关键风险指标（KRI）
操作风险定义
操作风险 是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所
造成损失的风险。本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险
和的
损失数据作 实 损失与风险管理、控制 策 的
损失数据收集 —— 介绍
损失数据收集流程应包括具有高质量标 的操作损失的识别、录入、 、管理和 等 环节, 到以下标 ：
完备性
及时性
收集信息 的数量和
质量
可性
完备性 —— 所收集损失的 体 及时性 —— 损失事件 录的时 可 性 —— 取信息的成本 收集信息的数量和质量 —— 损失的时 、性质、数量
指因未按有关 规定造成未对 特定客户履行 份内义务（如 诚信责任和适 当性要求）或 产品性质或设 计缺陷导致的 损失事件
因交易处理或
流程管理失败 ，以及与交易 对手方、外部 供应商及销售 商发生纠纷导 致的损失事件
统生产运行、 应用开发、安 全管理以及由 于软件产品、 硬件设备、服 务提供商等第 三方因素,造成 系统无法正常 办理业务或系 统速度异常所 导致的损失事
行 ， 是 自我评估 的意义
所在， 有助于提 全行的风险文
化
风险管理部门在RCSA组织架构中 承担指导、监 、协 的作用
风险
内部控制 要的目标/原因
成流程目标的
评估 组与业务人员 行
评估 组 对其他操作风险数据
以及 差
行一致性
RCSA方法论——识别 型的标 类

致的损失。
信息技术安全
加强信息技术安全控制，防止因 系统故障、黑客攻击等原因导致
的损失。
内部控制措施优化
风险评估
定期对内部控制措施进行评估，确保其有效性。
审计监督
通过内部审计和外部审计，对内部控制的有效性 进行监督和评价。
持续改进
根据风险评估和审计监督的结果，对内部控制措 施进行持续改进和优化。
06
环境因素
外部环境的变化，如政策调整、市场 竞争等，可能对企业的运营产生影响 ，进而引发操作风险。
02
操作风险的识别与评估
风险识别方法
风险清单法
通过列举可能的风险因 素，形成风险清单，以 便全面了解潜在风险。
流程图法
通过绘制业务流程图， 识别流程中可能出现的
风险点。
事件树分析法
通过分析可能导致风险 事件的初始事件，逐步 展开事件链，识别潜在
组织架构
明确各部门职责，建立风险管理 部门，负责操作风险的识别、评
估和控制。
制度建设
制定风险管理政策和程序，确保内 部控制的有效执行。
人员培训
提高员工的风险意识和风险管理能 力，确保内部控制得到有效执行。
关键风险点控制
资金管理
加强对资金流入、流出的监控， 防止资金被非法挪用或转移。
交易管理
规范交易流程，确保交易的合规 性和准确性，防止因操作失误导
形成风险矩阵。
压力测试法
通过模拟极端情况下的风险因 素，评估企业在压力情况下的
风险承受能力。
敏感性分析法
分析关键风险因素的变化对整 体风险的影响程度，为制定应
对措施提供依据。
蒙特卡洛模拟法
通过模拟大量可能的风险情景 ，评估企业在各种情景下的风

• 以上列举的不同操作风险均被包含在巴塞尔银行监管委员 会在2001年给出的操作风险的定义中
8
操作风险的定义
• 由不当或者失效的内部控制过程、人员和系统以及外部事 件所造成的损失。
巴塞尔银行监管委员会2001年1月
9
操作风险包括什么？
• 定义包括人员风险、技术和过程风险、自然风险、法律风 险等
• 定义并不包括声誉风险及业务策略风险
– 而操作风险可能只影响某一家银行，因为银行业竞争激烈， 银行在下一年无法增加服务费。
6
不同操作风险定义观点
第1节、操作风险概述
• 操作风险是指除市场风险及信用风险之外的所有风险，
– 估计操作风险数量：在盈利收人中扣除信用损失的影响以及由 市场风险暴露带来的损益，剔除信用风险及市场风险内容后的 收人浮动应归咎于操作风险。
3
• 对实有资产的破坏: 纽约银行(Bank of New York)因为 2001年9月11日恐怖分子袭击造成的设施的损失高达1. 4 亿美元。
• 业务中断以及系统故障: 所罗门兄弟( Solomon Brothers) 因为更换计算技术而损失了3. 03亿美元。
• 交易的执行、交付和过程管理: 美洲银行(Bank of America)和富国( Wells Fargo)因为系统合并和交易处理 过程中的错误分别损失2. 25亿美元及1. 5亿美元。
• 易于操作；各机构的特点和需要无法得到充分反映。 • 适于只做简单业务的小银行
– 标准法
• 将每个业务类别赋予不同的百分比，计算各产品部门的监管资 本，而总资本要求是各产品线监管资本的简单加总
– 高级测量法（AMA）
17
• 总资本要求是各产品线监 管资本的简单加总。总资 本要求公式：

.
操作风险的概念
• 2.狭义的操作风险概念
• 狭义的观点认为，只有与金融机构中运营部门相关的风险 才是操作风险，即由于控制、系统及运营过程中的错误或 疏忽而可能引致的潜在损失的风险。包括控制性风险、流 程风险、人力资源风险、安全性。
.
操作风险的概念
• 3.战略操作风险概念 • 这种观点首先区分为可控事件和由于外部实体的影响而难
•。
.
• 2.其次，巴林银行的内部审计极其松散，在损失 达到5，000万英镑时，巴林银行总部曾派人调查 里森的账目，资产负债表也明显记录了这些亏损， 但巴林银行高层对资产负债表反映出的问题视而 不见，轻信了里森的谎言。里森假造花旗银行有5， 000万英镑存款，也没有人去核实一下花旗银行 的账目。监管不力不仅导致了巴林银行的倒闭， 也使其3名高级管理人员受到法律惩处。
这则消息让全世界为之震惊，因为巴林银行是英 国举世闻名的老牌商业银行。说起巴林银行破产 的原因，更加让人难以置信；它竟葬送在巴林银 行新加坡分行的一名普通职员之手!
• 1992年，里森加入巴林银行并被派往新加坡分行 ，负责新加坡分行的金融衍生品交易。里森的主
要工作是在日本的大阪及新加坡进行日经指数期 货的套利活动。然而过于自负的里森并没有严格 按照规则去做，他判断日经指数期货将要上涨， 伪造文件、私设账户挪用大量的资金买进日经指
金
零售经纪
零售经纪业务
执行指令等全套服务
.
企业风险管理对内部控制要素的发展
• 1.内控对象应从低层、中层转向高层。 • 2.应建立内控失效后的补救措施。 • 3.建立有效的风险处理机制，增强抗险能力。 • 4.建设财务风险制度文化，增强风险防范意识。
.
案例：英国巴林银行倒闭事件

管理课件
6
第一节 操作风险识别
人员因素引起的操作风险包括内部欺诈、外部欺诈、就
业制度和工作场所安全三种类型操作风险。
系统因素引起的操作风险包括营业中断和信息技术系统
瘫痪这一类型操作风险。
内部流程引起的操作风险包括执行、交割和流程管理，
客户、产品和业的操作风险包括实物资产的损坏这一类型
管理课件
18
一、人员因素
1
内部欺诈
2
失职违规
分析框架
3知识/技 能匮乏
4 核心雇
5
违反用工法
员流失
核心雇员流失体现为对关键人员依赖 的风险，包括缺乏足够的后援/替代 人员，相关信息缺乏共享和文档记录， 缺乏岗位轮换机制等。
管理课件
19
一、人员因素
1
内部欺诈
2
失职违规
缺陷。
管理课件
17
一、人员因素
抵押案例
某橡胶厂为了获得贷款引进一条生产线，将自己所拥有的 一项价值1000万元的房产抵押给银行，取得贷款300万元， 贷款方考虑到该房产的价值及所处环境，认为没有还款风 险，与该厂签订了借款合同及抵押担保合同，但实际在该 房产上，抵押人已设置了2个抵押权，合同期满后该橡胶 厂因经营不善无力偿还贷款，该银行才知道实际情况但已 无可奈何，该房产变卖后按顺序偿还贷款，银行蒙受了巨 大损失
操作风险。
管理课件
7
增加操作风险的原因
在过去的十几年间，银行业产生至少100次损失超过1 亿美元的操作风险损失。国际清算银行分类：
内部欺诈：爱尔兰联合银行、巴林银行、大和证券由 于诈骗性交易分别损失7亿、10亿、14亿美元
外部欺诈：纽约共和银行因为外部托管客户的诈骗行 为而损失6.11亿美元

章操作风险管理
操作风险

2004年《巴塞尔新资本协议》率先将操作风险 的衡量和管理纳入金融机构的风险管理框架中， 并要求金融机构为操作风险配置相应的资本。
操作风险管理
ቤተ መጻሕፍቲ ባይዱ
操作风险——由不完善或有问题的内部程序、人员及 系统或外部事件所造成损失的风险。 《巴塞尔新资本协议》率先将操作风险的衡量与管理 纳入金融机构的风险管理框架中，并要求金融机构为 操作风险配置相应的资本。 资本充足比率＝总资本/（信用风险＋市场风险＋操 作风险）
1.1.3 系统缺陷
1.一 些计算机系统中，对于闰年的计 算和识别出现问题，不能把2000年 识别为闰年，即在该计算机系统的日 历中没有2000年2月29日这一天，而 是直接由2000年2月28日过渡到了 2000年3月1 日； 2.在一些比较老的计算机系统中，在 程序中使用了数字串99(或99/99等) 来表示文件结束、永久性过期、删除 等一些特殊意义的自动操作，这样当 1999年9月9日(或1999年4 月9日即 1999年的第99天)来临时，计算机系 统在处理到内容中有日期的文件时， 就会遇到99或99/99等数字串，从而 将文件误认为已经过期或者将文件删 除等错误操作，引发系统混乱甚至崩 溃等故障。


操作风险基本架构
操作风险
风险识别
风险计量
风险评估与控制
风险监测与报告
1.1操作风险的识别

主要内容： 形成操作风险的人员因素、内部流程、系统缺 陷以及外部事件的种类与内容。
1.1.1人员因素

操作风险中的人员因素主要指因商业银行员工 发生内部欺诈、失职违规以及因员工的知识技 能匮乏、核心员工流失、商业银行违反用工法 等造成损失或者不良影响而引起的风险。

露等。
3
自然因素
例如，自然灾害、恶劣天气、供应链 中断等。
操作风险案例
案例一：交易错误
由于操作员输入错误的交易信息，导致金融机构遭受巨额损失。
案例二：网络攻击
黑客入侵银行系统，窃取客户信息并进行非法转账。
案例三：自然灾害
地震导致生产设备损毁，造成生产中断和物资短缺。
操作风险管理原则
1 风险识别和评估
行业中常见的操作风险
例如，金融机构中存在的交易错误、系统故障以及员工疏忽等。
操作风险定义
操作风险是指在组织的日常运营中，由于内部或外部因素导致的损失发生的 风险，主要包括人为因素、技术因素和自然因素。
操作风险分类
1Leabharlann 人为因素例如，员工疏忽、操作错误、欺诈行
技术因素
2
为等。
例如，系统故障、网络攻击、数据泄
使用风险管理软件，对操作风 险进行全面管理和控制。
通过调查和分析，识别潜在的操作风险，并进行风险评估和量化。
2 风险控制和监测
制定详细的操作风险控制措施，并通过监测和反馈机制进行风险管控。
3 风险预警和应急响应
建立操作风险预警系统，并及时采取应急措施以防止风险的发生。
操作风险控制措施
培训和教育
通过提供培训和教育，提高 员工的操作技能和风险意识。
审查和监督
建立审查和监督机制，监督 操作过程并发现潜在风险。
自动化和数字化
采用自动化和数字化工具， 减少人为因素的操作风险。
操作风险预警系统
数据监测与预警
利用数据分析和监测工具，实 时监测业务数据，预警潜在的 操作风险。
安全摄像监控
通过安全摄像监控设施，对关 键环节进行实时监视，防范风 险事件的发生。

2006 版
20
金
三、标准法
融
• 将机构业务分为不同的标准类型，为每一类型的业务
风
设定财务指标和平均的业务量指标及其系数，进而计
险
量操作风险
• 公式：
管
KTSA GiIi
理
KTS表 A 示标准法下险 的资 操本 作，需 风求
GiI表示所选取，的 i为 指设 标定的系数
2006 版
21
金
三、标准法
理
补旧账，寅吃卯粮。直到2001年10月12日，中国银行将过去全 国多达1040处的电脑中心统一成一套系统，集中设置在33个中
心，这一天中国银行正在集中的各分支机构的电脑中心反映出
来的账目出现了4.83亿美元的亏空。案发地被确定在开平。
2006 版
33
金
三、操作风险的应急处理
融
风
• 金融机构应该识别那些迅速对恢复服务至关重要 的关键业务程序，包括那些依赖外部供应商或其
融
巴塞尔关于产品线及其权重的规定：
风
产品线
权重%
公司金融
险
交易和销售
18
管
支付和清算 商业银行业务
理
代理服务
15
零售银行业务
资产管理
12
2006 版
零售经纪
22
金
三、标准法
融
风
优势：
能够更好地反映不同业务特点银行的不同风险，
险
提高了操作风险计量的敏感度。
管
劣势：
产品线的划分及指标系数的确定仍存在较大的
2006 版
• 确认 • 清算
29
金
二、操作风险的缓释与转移
融

▪ 2.合规是操作风险的管理目标，二者在实 践中存在重叠。
5.1.3操作风险的监管规则
1.国际监管规则 ▪ 主要是巴塞尔委员会的监管规则，主要有《有效银
行监管的核心原则》、《操作风险管理》、《操作 风险管理与监管的稳健办法》、《巴塞尔新资本协 议》等文件。 2.国内监管规则 ▪ 主要执行的是银监会的系列监管规定，主要有《关 于加大防范操作风险工作力度的通知》（“操作风 险13条”）、《商业银行操作风险管理管理指引》、 《商业银行资本管理办法（试行）》等文件。
应用
5.2.1 操作风险评估的定义与原理
▪ 操作风险评估(RCSA)，是指操作风险所有 人持续识别、评估并报告业务流程的操作 风险及其控制状况的过程。
▪ 原理：固有风险-控制措施=剩余风险 ▪ 采取定性和定量相结合的方法
5.2.2操作风险评估的原则
▪ 1.业务流程所有人负第一评估责任原则 ▪ 2.动态管理原则 ▪ 3.重要性原则
2. 内部流程
▪ 内部流程因素引起的操作风险是指由于商 业银行业务流程缺失、设计不完善，或者 没有被严格执行而造成的损失，主要包括 财务/会计错误、文件/合同缺陷、产品设计 缺陷、错误监控/报告、结算/支付错误、交 易/定价错误六个方面。
3. 系统缺陷
▪ 是指由于信息科技部门或服务供应商提供 的计算机系统或设备发生故障或其他原因， 导致商业银行不能正常提供全部/部分服务 或业务中断而造成的损失。系统缺陷引发 的风险包括系统设计不完善和系统维护不 完善所产生的风险，具体表现为数据/信息 质量、违反系统安全规定、系统设计/开发 的战略风险，以及系统的稳定性、兼容性、 适宜性方面的问题。
（2）失职违规
▪ 商业银行内部员工因过失没有按照雇佣合 同、内部员工守则、相关业务及管理规定 操作或者办理业务造成的风险，主要包括 过失、未经授权的业务以及超越授权的活 动。员工越权行为包括滥用职权、对客户 进行误导、支配超出其权限的资金额度， 致使商业银行发生损失的风险。