银行操作风险管理监管与计量讲座课件

操作风险管理、监管与计量罗猛操作风险小组《核心原则》的基本架构（一）目标、独立性、权力、透明度与合作——原则1（二）发照和结构——原则2至5（三）审慎规章及要求——原则6至18（四）持续监管的手段——原则18至21（五）信息要求——原则22（六）监管的正式权力——原则23（七）并表和跨境监管——原则23至25审慎规章及要求原则15：操作风险银行监管当局必须满意地看到，银行具备与其规模及复杂程度相匹配的识别、评价、监测和缓解操作风险的风险管理政策和程序。目录♦操作风险定义9什么是操作风险？¾历史演变¾操作风险与信用风险、市场风险的区别¾操作风险与内部控制的关系♦操作风险监管要求比较♦操作风险管理♦操作风险计量与资本配置巴塞尔委员会对操作风险的定义操作风险是指由不完善或有问题的内部程序、内部程序、人员、系统人员、系统或或外部事件所造成损失的风险外部事件所造成损失的风险,包括法律风险法律风险，但不包括策略和声誉风险。---巴塞尔银行监管委员会法律风险：因无法履行的合同（全部或部分）、诉讼、不利的判决或其他法律程序使银行的业务中断或对银行状况造成不利影响而带来的风险。声誉风险：公众对某家银行做法持负面评价（无论真实与否），从而导致其客户群缩小、发生昂贵的诉讼及/或使其收入下降的可能性。策略风险：来源于不合适的业务战略，或与该战略有关的假设条件、参数、目标以及其它特征有了负面的改变。操作风险三段论原因为什么发生？人员违规、程序不合理、系统故障、外部冲击事件*发生了什么？欺诈、交易记录输入错误、系统数据丢失影响结果如何？资金损失、声誉受损、罚款*：事件是指已经成为现实的损失，不涵盖潜在损失。操作风险的特殊性利润的上升并不需要操作风险敞口的增加利润风险信用市场操作操作风险与内部控制的关系♦纠结，纠结，还是纠结♦COSO内部控制框架与全面风险管理框架时间文件目标要素模式区别1994内部控制-整体框架经营目标、财务报告目标和遵守目标内部控制环境、内部控制策划、实施和运行、监测评价与持续改进、信息交流与反馈策划-实施-检查-改进内控仅是管理的一种职能2004全面风险管理框架战略目标、经营目标、报告目标和合规目标内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控目标-要素-层级三维立体涵盖内部控制、风险范围扩展、引进风险偏好、风险容忍度、风险对策和情景分析等方法操作风险与内部控制的关系（续）操作风险十三条（操作风险十三条（20052005年）年）内控的要求及有关措施内控的要求及有关措施规章制度和稽核建设对基层行的合规性监督问责制,行务管理合规制对银行机构提出内部控制的要求组织结构和控制文化建设审批与授权责处与问责轮岗轮调和强制休假制度行为失范的适时检查制度奖励和保护举报员工对人员的内部控制要求不兼容岗位的适当分离行为控制对银行账户管理的内部控制要求验证与核实实务控制高技术环境下的控制适时有效的对账制度，未达账项和差错处理的环节控制，严格印章、密押、凭证的分管分存及销毁制度，账外经营的监控,改进科技信息系统操作风险与内部控制的关系（续）操作风险管理指引商业银行内部控制指引企业内部控制基本规范基本要素：董事会的监督控制；高级管理层的职责；适当的组织架构；操作风险管理政策、方法和程序；计提操作风险所需资本的规定基本要素：内部控制环境；风险识别与评估；内部控制措施；信息交流与反馈基本要素：内部环境；风险评估；控制活动；信息与沟通；内部监督明确职责分工授信的内部控制不相容职务分离控制监测风险限额资金业务的内部控制授权审批控制安全监控记录存款和柜台业务的内部控制会计系统控制强制休假与离岗审计中间业务的内部控制财产保护控制八小时以外行为规范会计的内部控制预算控制举报激励与保护制度计算机信息系统的内部控制运营分析控制案件的双重考核制度内部控制的监督与纠正绩效考评控制案件及信息披露激励约束机制目录♦操作风险定义♦操作风险监管要求比较9主要监管规定列表9主要监管要求对比♦操作风险管理♦操作风险计量与资本配置主要监管规定列表监管规定时间关于加大防范操作风险工作力度的通知2005.3.22合规风险指引2006.10.25操作风险管理指引2007.5.14内控指引2007.7．3操作风险监管资本计量指引2008.9.18信息科技风险管理指引2009.6.1声誉风险管理指引2009.8.25高级法验证指引——操作风险模块2009.11.23金融服务外包2005.2新资本协议（修订版）2006.6高级法关键要素实践2006.10高级法下的母国东道国监管合作原则2007.11操作风险损失数据收集作业2008.7操作风险保险的风险缓释效应确认建模2010.10操作风险稳健管理原则2011.6高级法监管指引2011.6巴塞尔委员会银监会操作风险管理体系基本要素营造合适的操作风险管理环境操作风险管理程序信息披露的作用****原则1-5董事会和高管层职责；框架原则6-10识别与评估；监测和报告；控制和缓释；业务弹性和可持续性原则11充分的对外信息披露操作风险管理与监管的稳健做法操作风险管理指引营造合适的操作风险管理环境资本计提规定****董事会的监督控制高管层职责适当的组织结构**政策方法程序缓释手段资本计提操作风险管理政策、方法和程序*****：表示稳健做法里不涵盖；***：表示是对稳健做法相应原则的扩展；****：表示相互存在差异。操作风险监管要求基本要素比对目录♦操作风险定义♦操作风险监管政策与监管环境♦操作风险管理9管理流程与基本要素9中国银行业操作风险管理实践♦操作风险计量与资本配置操作风险管理流程风险识别评估/计量控制/缓释检验/再评估监测报告反馈操作风险管理是一个连续的过程操作风险管理三大工具RCSAKRILDC流程梳理风险识别控制措施识别监控与报告损失数据搜集监控数据收集损失识别主要执行步骤工具风险与控制有效性评估指标设计三大工具架构及执行程序行动方案设计与执行（含控制措施改善）操作风险管理三大工具（续）•识别操作控制环境的强弱•例如，由业务线回答的一般的具体的问题•揭示薄弱环节。帮助优化随后采取的管理行动•将风险类型与业务部门、组织职能或流程对应起来•确立关键控制标准，实施操作风险控制与缓释•领先及滞后指标•失败的交易数额、员工流失率和繁锁出错的频率和严重程度关键风险指标(KRI)损失数据库风险与自控评估识别和评估、监测、控制和缓释操作风险的工具操作风险自评估♦自我评估：是在银行内部控制体系基础上，通过开展全员风险识别，识别出全行经营管理中存在的风险点，并从损失金额和发生概率两个角度来评估风险度大小。♦自我评估的主要目标：是鼓励各级机构承担责任及主动对操作风险进行识别管理。♦自我评估通常的方法：流程分析法、情景模拟法、引导会议法、德尔菲法（专家预测法）、调查问卷法等。风险识别固有风险评估固有风险水平现有控制分析控制评估（设计）可能性后果剩余风险评估剩余风险水平可能性后果12345产品/流程风险及控制评估（RCSA）自评估流程作业流程分析和风险识别与评估全员风险识别与报告控制活动识别与评估制定与实施控制优化方案报告自我评估工作与日常监控LMMLLLLLLLLLLLeg;日常操作失误MLLLLHMMLLHHHMMHeg:员工重大操作失误Heg:系统主要故障HHM影响11概率34523425应极力避免的可承担/不承担：外包或保险可承担：内控、系统、稽核、合规可承担/不承担：外包或保险操作风险自评估矩阵损失数据库（LDC）♦操作风险损失事件的定义？¾显性损失VS隐性损失¾财务损失VS非财务损失¾损失阀值VS风险管理VS风险计量♦操作风险损失数据应收集哪些信息？¾事件本身：日期；金额；原因；业务条线；启动的控制措施；是否促发监管要求；是否采取缓释措施；追索等¾隐性损失：近损失事件（nearmiss）VS风险管理VS风险计量；现有风险管理VS管理标准；隐性损失计量的难度VS作用¾四大数据要素：内部，外部，内控环境，情景分析VS混合使用♦操作风险损失数据收集流程¾制定统一的数据收集标准和模板¾下发各条线和各分支行试收集数据并提出修改意见¾将试收集的数据和意见反馈给操作风险管理牵头部门以完善标准和模板¾下发标准和模板统一收集数据¾对数据勾稽关系的核验和数据质量的检查¾对外部数据（公开媒体收集、共享、购买外部数据）以及内控环境、情景分析数据的整合♦操作风险损失数据的应用¾风险管理：挽回损失；分析漏洞；完善管理；采取应对措施（内控、保险、外包、BCP等）¾风险计量：掌握风险分布形态；计量资本（经济资本和监管资本）；绩效考核风险缓释-保险保险覆盖的范围有多大？保险路线图OrganisationalLiabilityNon-FinancialPropertyAllRisks0%操作风险保护100%对冲BBBD&OECCPPI典型BBBD&OECCPEPL高级PI外部欺诈员工风险技术风险物理资产风险关系风险领先水平外部欺诈员工风险技术风险资本物理资产所有风险关系风险未来PropertyAllRisksGeneral&OtherLiabilityGeneral&OtherLiabilityUnauthorisedTrading注：具体可参见2010年10月巴塞尔发布的保险缓释文件。应急预案管理应急预案政策详细要求危机管理持续经营灾难恢复管理工具危机管理事故指挥中心部门持续经营计划IT灾难恢复维护测试分级流程高级管理层（政策）操作风险部(流程)操作风险部(帮助与指南)关键风险指标的主要作用9帮助执行部门保持操作风险管理流程的有效性，确保操作风险特征信息反映银行的实际状况；9帮助各级管理层监控操作风险与控制的有效性，积极的采取具体措施，对操作风险进行管理；9可作为具体业务和管理过程中潜在风险与控制问题的预警指标；9反映银行/分行的操作风险偏好关键风险指标是一系列的参数，用来监控银行整体操作风险状况的变化，或特定的业务单元、流程和系统内操作风险状况的变化。•与揭示风险有关的指标，如信用卡发卡量异常变动情况•与损失有关的指标，如客户投诉的数量•与成因相关的指标，如员工周转情况手工交易的百分比%人员交易量和数目病假和年假时间（按日计算）到位及能力发挥情况手工交易量和职工加班时间200,000250,000300,000350,000400,000JanMarMayJulSepNovTrxAmtRM'00019,00021,50024,00026,50029,00031,50034,000No.TrxManualTrxAmtAutoTrxAmtNo.Trx11,50012,50013,50014,50015,50016,50017,500JanMarMayJulSepNovManualTrxAmt(RM'000)100200300400500600700800Overtime(hrs)OvertimeHrsManualTrxAmt/Employee92.0093.0094.0095.0096.0097.0098.00JanMarMayJulSepNov%ManualTrx14,00015,00016,00017,00018,00019,00020,00021,00022,000TotalNo.Trx%ManualTrxNo.ManualTrx151719212325JanMarMayJulSepNovNo.Employees-10203040506070LeaveDaysSickLeaveAnnualLeaveNo.Employee关键风险指标设定♦共识别出关键指标60个，涉及26个风险事件，涵盖了识别出的全部45个风险事件的58%；关键指标个数涉及的风险事件个数占已识别风险事件总数的百分比总体602658%陕西分行23941%吉林分行371774%♦42％的操作风险事件由于无法量化或数据难以获得而无法设定量化的监控指标；♦A分行设定23个关键指标，涉及9个操作风险事件，占识别出的22个风险事件的41％；♦A分行设定37个关键指标，涉及17个操作风险事件，占识别出的