搜索
金融风险管理事业部产品研发系列培训新资本协议与操作风险管理(2013年06月)---深圳市非凡信息技术有限公司内部研究资料,请勿传播4操作风险管理背景与概览123操作风险管理进阶操作风险的三个工具国内操作风险的思考目录操作风险背景:全面风险管理及三大支柱巴塞尔协议III新增监管标准简要说明2010年9月12日,通过《巴塞尔协议III》,2010年11月G20通过,中国是巴3的制定参与者,巴3明确要求各国银行提高资本金比例,提高抵御风险的能力巴3为解决流动性监管匹配问题新增流动性覆盖率、净稳定融资率、为约束表外业务过渡扩展增加杆杠率等监管指标巴3要求信贷在经济上行周期应计反周期超额资本,建议比例为0-2.5%之间新资本协议是一个不断发展的过程深圳市非凡信息技术有限公司操作风险背景:银行业操作风险管理“源动力”金融创新引发新的操作风险概率操作风险数据质量和流程优化能力的提升操作风险量化及精确化能力全面风险管理纳入了操作风险管理深圳市非凡信息技术有限公司关注操作风险关键词汇风险(Risk)影响(impact)概率/频率(likelihood)风险原因(riskcause)风险事件(riskevent)控制(control)设计(design)绩效(performance)指标(indicator)关键风险指标(KRI)关键控制指标(KCI)损失(loss)间接损失(indirectloss)几近损失(nearloss)情景(scenario)关注操作风险关键动作识别(Identification)评估(Assessment)监测(Monitor)缓释(RiskMitigation)行动(Action)业务连续性(BCM)外包(OutSourcing)保险(Insurance)内部控制、合规风险和操作风险管理的比较深圳市非凡信息技术有限公司内部控制合规风险操作风险含义一个单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率和效果而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总和银行未能遵循法律法规、监管要求、规则、自律性组织制定的有关准则、已经适用于银行自身业务活动的行为准则,而可能遭受到法律制裁或监管处罚、重大财务损失或声誉损失的风险由于内部程序、人员和系统的不完备或失败或由于外部事件造成损失的风险。这一定义包含了法律风险,但不包含政策性风险和声誉风险来源COSO新巴塞尔协议新巴塞尔协议主要内容内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素合规风险管理包括识别、评估、监测、报告和控制操作风险管理包括风险识别、评估、监测、控制/缓释、报告内部控制侧重于风险管理机制建设和优化,覆盖面最广也涵盖了合规风险与操作风险,而合规风险和操作风险是内部控制在某一风险管理领域的深化或具体化;合规风险与操作风险的区别:划分标准不同:合规风险是从守法与违法的角度出发,不考虑资本充足率操作风险跟信用风险、市场风险一样是从可能对银行的资本造成损失的角度出发风险触发因素不同:合规风险是因为违反法律法规或相应制度或行为准则触发的操作风险是因为不完善的内、外部程序、人员、系统或外部事件触发的风险内涵不同:合规风险集中于银行的违法行为所导致的法律后果操作风险包括操作交易风险,还包括技术风险、内部欺诈、外部欺诈、盗抢等风险银行需要的是合规风险与操作风险的整合方案国际上典型操作风险管理架构和框架流程深圳市非凡信息技术有限公司识别评估监测识别(风险识别与控制设计):从战略、流程和作业出发,分析业务目标中的关键风险点;使用流程图法、流程分析法等工具;评估(RSA&CSA):对风险与控制自我评估,使用问卷调查法等;监测(监控、计量和报告):对风险和控制情况进行监控、计量和报告;使用关键风险指标、操作风险报表/报告、资本计量等工具;行动计划:在评估结果的基础上,根据可选方案对风险进行控制和缓释;使用行动计划、控制措施优化、外包、保险等措施。典型的操作风险管理框架操作风险管理四大因子内部程序:由于现有程序的不足或缺失而招致的损失,可能由某一现有程序下非故意的人为差错或失误导致系统:由现有系统或技术的奔溃而产生的非故意损失,如果发生故意或跟技术有关则应归于人员或外部损失外部事件:自然或人为力量或第三方行为间接结果导致的损失人员:与现有或原有员工故意违反内部政策有关的损失银行业操作风险四大因子深圳市非凡信息技术有限公司员工方面表现为内部欺诈、失职违规、违反用工法律等等;程序方面表现为内部流程不健全、流程执行失效、控制和报告不力、文件或合同缺陷、担保品管理不当、产品服务缺陷、泄密、与客户纠纷等等;系统方面表现为信息科技系统与一般配套设备不完善等;外部事件表现为外部欺诈、自然灾害、交通事故、外包商不负责等;…4操作风险管理背景与概览123操作风险管理进阶操作风险的三个工具国内操作风险的思考目录操作风险管理架构与银行操作风险三大工具深圳市非凡信息技术有限公司风险与控制自我评估(RCSA,RiskandControlSelfAssessment)的标的源自于内控梳理的工作成果。在风险自评方面,针对操作风险做全行范围内的自评;在控制自评方面,则针对各层级的控制(总行制定的标准控制和分行本地化后的控制)做全面的控制有效性自评。关键风险指标(KRI,KeyRiskIndicator),是指能够代表操作风险状况或者内控管理水平变化情况,并可定期进行监控的统计指标。关键风险指标用于监测可能造成操作风险损失事件的各项风险、相应的控制措施,以反映操作风险状况或内控管理水平变化情况的早期预警。损失数据收集(LDC,LossDataCollection)用来收集、存储和管理银监会监管要求的商业银行操作风险事件及一道防线自查发现的问题和二道防线检查中发现的控制缺失行动计划深圳市非凡信息技术有限公司风险与控制自我评估(RCSA)-评估基础风险和控制评估的目的是确定、测量和监督银行的风险与控制;风险和控制评估可以采用定性与定量相结合的方式;战略目标、业务流程和作业三个层级”流程”的风险与控制评估;战略流程作业战略风险战略控制流程风险流程控制作业风险作业控制银行统一进行“流程”、风险点及控制措施清单梳理,将其作为风险与控制自我评估架构的基础。风险与控制自我评估(RCSA)-基础数据流程风险点控制措施清单库梳理银行战略、流程和作业三个层级流程,作为风险识别的第一步,并作为将来银行开展RCSA工作的基础。以”流程”为基础,识别流程环节中的关键风险点。针对风险点采用合适的控制措施,以增强各业务单位控制自评估的有效性深圳市非凡信息技术有限公司外出办理信贷申请客户申请客户经理模拟办理过程并提供虚假材料内部欺诈提交客户信贷申请资料时,需要客户的手机短信校验才能提交申请,并且有照片及身份证的合影等………………………………放款审核未及时办理抵质押手续执行、交付和流程管理设立专门的抵质押登记岗负责抵质押手续办理……授信后管理岗定期督促对抵质押办理完成率进行考核……………………流程清单风险点清单控制措施清单风险与控制自我评估(RCSA)-范例数据深圳市非凡信息技术有限公司操作风险暴露(RE,RiskExposure)风险严重程度-直接损失(S,Severity)风险发生频率(F,Frequency)=×剩余风险暴露评估规则未来一年内,可能承受的操作风险损失未来一年内,该操作风险可能发生的次数平均而言,上述风险所造成的财务损失定义依据目前内外部环境、控制措施的有效性,估算可能发生的频率。依据目前内外部环境、控制措施的有效性,估算若这类风险发生,可能会带来多大的财务损失。参考依据•历史损失数据•业务量•依据行内业务专家的经验•历史损失数据•目前平均的业务或交易金额•目前平均的损失回收率风险与控制自我评估(RCSA)-风险暴露规则深圳市非凡信息技术有限公司年以上发生一次严重度等级可能造成的损失(RMB)10-5,00025,000-10,000310,000-20,000420,000-50,000550,000-100,0006100,000-200,0007200,000-500,0008500,000-1,000,00091,000,000-2,000,000102,000,000-4,500,000114,500,000-9,500,000129,500,000-20,000,0001320,000,000-45,000,0001445,000,000-95,000,0001595,000,000-200,000,00016200,000,000操作风险发生频率评估表操作风险严重程度评估表(直接损失)发生频率-未来一年内,评估某个操作风险发生的频率,若发生频率介于两个等级间,选择频率较高者。严重度-某个操作风险若一旦发生时,平均而言,估算银行可能蒙受的财务损失。风险与控制自我评估(RCSA)-直接损失深圳市非凡信息技术有限公司的客户服务质量2影响20%的客户服务质量3影响50%以上的客户服务质量等级描述1中断1日2中断1周3中断1个月以上等级描述1负面信息于省内散播2负面信息于国内散播3负面信息于国际散播等级描述1造成员工轻微受伤2造成员工严重受伤3危机员工生命等级描述1监管部门口头警告2监管部门进场加强查核3监管部门强制银行停止业务间接损失评估表-声誉受损间接损失评估表-运营中断间接损失评估表-广大客户服务质量间接损失评估表-监管行动间接损失评估表-员工安全风险与控制自我评估(RCSA)-间接损失深圳市非凡信息技术有限公司