*,Click to edit Master title style,Click to edit Master text styles,Second level,Third,Forth,德勤管理咨询(上海)有限公司,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third,Forth,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,操作风险管理框架,操作风险管理三大工具一览,风险控制自我评估(,RCSA,),损失数据收集(,LDC,),关键风险指标(,KRI,),目录,法律风险,包括但不限于下列风险:,商业银行签订的合同因违反法律或行政法规可能被依法撤销或者确认无效的,商业银行因违约、侵权或者其他事由被提起诉讼或者申请仲裁,依法可能承担赔偿责任的,商业银行的业务活动违反法律或行政法规,依法可能承担行政责任或者刑事责任的(,摘自,银监会操作风险管理指引,),策略风险:,由于无效的或有问题的策略而遭受损失的风险,声誉风险:,是指有关一家机构业务活动的负面宣传,不论其真假,都会引起该机构的客户流失、收入下降或花费高昂的诉讼费用(摘自,银监会非现场监管指引(试行),),操作风险定义,操作风险,是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险,但不包括策略风险和声誉风险,从定义看,操作风险,遍及,银行内部各产品线、各个操作环节,及,各个业务层面,四大风险因素和七大损失类型,人员,内部流程,IT,系统,外部事件,指故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失事件,此类事件至少涉及内部一方,但不包括歧视及差别待遇事件,指违反就业、健康或安全方面的法律或协议,个人工伤赔付或者因歧视及差别待遇导致的损失事件,指因未按有关规定造成未对特定客户履行份内义务(如诚信责任和适当性要求)或产品性质或设计缺陷导致的损失事件,因交易处理或流程管理失败,以及与交易对手方、外部供应商及销售商发生纠纷导致的损失事件,因信息科技系统生产运行、应用开发、安全管理以及由于软件产品、硬件设备、服务提供商等第三方因素,造成系统无法正常办理业务或系统速度异常所导致的损失事件,指第三方故意骗取、盗用、抢劫财产、伪造文件、攻击商业银行信息科技系统或逃避法律监管导致的损失事件,因自然灾害或其他事件(如恐怖袭击)导致实物资产丢失或毁坏的损失事件,风险,因素,内部欺诈,就业制度和工作场所安全事件,客户、产品和业务活动事件,执行、交割和流程管理事件,信息科技,系统事件,外部欺詐,实物资产的损坏,损,失,类,型,操作风险损失形态,损失形态,1.,法律成本,具体描述,因商业银行发生操作风险事件引发法律诉讼或仲裁,在诉讼或仲裁过程中依法支出的诉讼费用、仲裁费用及其他法律成本。如违反知识产权保护规定等导致的诉讼费、外聘律师代理费、评估费、鉴定费等,由于疏忽、事故或自然灾害等事件造成实物资产的直接毁坏和价值的减少。如火灾、洪水、地震等自然灾害所导致的账面价值减少等,由于内部操作风险事件,导致商业银行未能履行应承担的责任造成对外的赔偿。如因银行自身业务中断、交割延误、内部案件造成客户资金或资产等损失的赔偿金额,由于偷盗、欺诈、未经授权活动等操作风险事件所导致的资产账面价值直接减少。如内部欺诈导致的销账、外部欺诈和偷盗导致的账面资产,/,收入损失,以及未经授权或超授权交易导致的账面损失等,由于操作风险事件引起的其他损失,因操作风险事件所遭受的监管部门或有权机关罚款及其他处罚。如违反产业政策、监管法规等所遭受的罚款、吊销执照等,2.,监管罚没,3.,资产损失,4.,对外赔偿,5.,追索失败,6.,账面减值,7.,其它损失,由于工作失误、失职或内部事件,使原本能够追偿但最终无法追偿所导致的损失,或因有关方不履行相应义务导致追索失败所造成的损失。如资金划转错误、相关文件要素缺失、跟踪监测不及时所带来的损失等,操作风险管理架构及流程,风险管理架构,策略和,政策,治理和,组织,流程,数据,计量,披露,银行的目标,和策略,操作风险策略和风险容忍度,验证、重估,持续改进,操作风险管理流程,三道防线,风 险 管 理 报 告,董事会,高级管理层,第一道防线,第二道防线,第三道防线,业务部门,公司金融,零售,资产管理,支持部门,人力资源,IT,法律合规,安全保障,独立的,风险管理部门,独立风险,管理空能,内部审计,独立稽核功能,日常风险管控,风险策略、架构及监控,独立审核,操作风险缓释架构,严重性,发生频率,接受,转移,控制,规避,低,高,高,1,2,3,4,对于风险的缓释,银行可采取接受、控制、转移和规避四种策略,接受:,对于发生频率低、严重性较低的操作风险,银行一般采取接受风险的策略,主要原因是风险缓释的成本往往超过了该风险所可能引起的损失,控制:,对于发生频率高,但严重性较低的操作风险,银行一般采用控制风险的缓释策略。该部分风险往往由银行的日常经营造成,因此必须为其设计专门的控制程序,转移:,对于发生频率低,但严重性较高的操作风险,银行一般采取转移风险的缓释策略。该部分风险较为典型的是自然灾害等外部事件,银行一般采用的转移方式为保险等措施,规避:,对于发生频率高,严重性也较高的操作风险,规避措施已没有意义,因此银行应避免涉足该类业务。,操作风险管理三大工具一览,三大工具之间紧密联系,协同支持操作风险管理,风险控制自我评估,RCSA,损失数据收集,LDC,通过,RCSA,对风险的辨识,对寻找损失数据提供了依据,关键风险指标,KRI,真实的损失数据对,RCSA,风险点的评估提供了参考,真实的损失数据为,KRI,设置提供了参考,KRI,异常往往指向真实的损失事件,RCSA,的评估结果为,KRI,提供了额外的操作风险信息,成为,KRI,设置的参考,KRI,的异常可成为,RCSA,的驱动力之一,什么是风险控制自我评估(,RCSA,),RCSA(,风险与控制自我评估,),是操作风险管理框架中重要的组成部分,RCSA,是一种通过调查金融机构管理层和员工有关对操作风险损失事项发生可能性和严重性的估计,将调查结果与未来预计损失进行匹配,(Mapping),的方法,目前,RCSA,的目的单纯集中在估计预期损失,(Expected Loss,EL),,只有在实行操作风险高级计量法,(Advanced Measurement Approach,AMA),后,才能对非预期损失进行计量,事件发生的频率,(Frequency),和损失的严重性,(Severity),是评估现有风险因素管理和操作风险控制质量的关键信息,为什么要进行,RCSA,额外的操作风险管理信息来源:,仅仅依靠对真实发生的损失事件进行收集不足以评估银行的操作风险暴露,,RCSA,可以使银行建立额外的操作风险管理信息来源,对操作风险管理环境变化作及时的调整:,当银行的业务环境发生改变时(如推出新产品,员工数量发生显著增长),特定的,RCSA,制度可及时对其引起的操作风险暴露变化进行反映,为管理层的决策提供参考,定期辨识潜在的操作风险暴露:,常规的,RCSA,制度可以对银行的操作风险环境进行定期的评估,有助于管理层及时辨识是否需要改变现有的流程和控制政策,以规避潜在的操作风险损失,RCSA,在操作风险资本计量中扮演的角色,RCSA,是计量主观风险资本的主要工具,在操作风险资本的高级计量法中,,RCSA,是银行估量主观风险资本的主要工具,与此同时,银行通过真实的损失数据估量历史风险成本。对主观风险资本和历史风险资本进行整合和调整后,可获得最终所需的操作风险资本。,计量,指标,数据集中,风险自我评估,业务环境,损失数据收集,识别模型,损失事件类型模型,风险因素模型,指标模型,损失影响类型模型,组织模型,历史风险资本,主观风险资本,整合的,CaOR,贝耶斯整合,操作风险资本,调整,测算,环境评分,内部损失数据,外部损失数据,主观估计,控制与风险因素评分,RCSA,的组织架构,评估小组与业务人员进行访谈,RCSA,是以组织架构为基础去执行并以,分行业务部门作为最主要的执行单位,,这是“自我评估”的意义所在,,也有助于提升全行的风险文化氛围,风险管理部门在,RCSA,组织架构中承担指导、监督、协调的作用,风险,流程,/,活动,流程目标,主要内部控制,达成流程目标的障碍,内部控制主要的目标,/,原因,风险焦点,控制焦点,分行业务,部门,总行业务部门,分行风险管理部门,总行风险管理部门,评估小组将对其他操作风险数据,以及偏差分析进行一致性查证,RCSA,方法论,识别模型的标准分类,操作风险识别模型,是所有操作风险计量方法论的基础,这些方法论使得数据收集变得有序、结构化和连贯,操作风险识别模型由如下模块构成,组织模型,损失事件模型,风险因素模型,指标模型,影响模型,对所有可能的损失事件类型进行识别和分类,对分析下的组织维度进行识别和定义,对导致损失事件的所有可能原因,/,因素进行识别和分类,对支持合理的主观估计的信息和指标进行识别,对一个事件的所有可能影响进行识别和分类,根据银行的特点,应对各模型的细部层级进行客制化,这需要行内各相关部门的外部输入。,模型细部层级的内容主要依赖于银行各部门的收集和整理,在日常操作风险管理中,各相关部门应注意收集相关数据,对各模型进行整理、更新和维护,RCSA,方法论,将识别模型应用到,RCSA,识别模型,损失事件类型模型,风险因素模型,影响模型,组织模型,范围定义,设置和参数化,执行,审阅和调整,指标模型,报告,方法定义(自上而下,vs.,自下而上;整体,vs.,部分),识别,RCSA,涉及的业务单元,针对每份问卷定义问题,选择评估方法论,定义阈值,总行操作风险管理部进行结果分析,由内审部门进行检查,与业务单元进行讨论,调整结果和评级,针对业务单元经理的问卷的执行,定量答案收集(平均频率,平均严重性,最坏情况),风险因素识别,报告的准备和分发,问卷信息准备,创建问卷,建立和执行,RCSA,访谈,访谈结果分析与后续追踪,RCSA,的具体步骤,汇报与后续工作规划,RCSA,能识别、管理以及控制风险,并能管理所有部门的控制信息。这些信息将在全行间进行分享,并以合理与系统化的方式协助目标被有效的达成,投入:,每个部门指派负责人员,需求信息,部门:,角色与责任信息、,事业单位必要的投入与产出等,其它信息来源,:,内部,审计部门、信息部门、合规部门,等,产出:,RCSA,报告,设定新的操作风险容忍度水平,主要风险指标,(,KRI),资料,KRI,报告,RCSA,的关键成功因素,关键成功因素,拥有一致且易于执行,RCSA,的程序,拥有标准的,RCSA,方法论与工具,拥有清晰的,RCSA,执行、监督和检查的权责划分,RCSA,过程与结果与绩效考核相挂钩,跨部门的合作,各业务部门高层的重视,损失数据用途,损失数据将作为风险估计实证分析和验证的基础,损失数据作为实际损失与风险管理、控制决策之间的桥梁,操作损失,(,operational losses):,因发生,损害性事项,而导致的损失,该损害性事项对衡量银行所受损失具有,经济影响,。“操作损失应包括下列因发生损害性事项而导致的支出,:,与该事项相关的全部已发生支出,但不包括投资项目支出,机会成本或预知收入”,(巴塞尔资本协议,定量影响测算,,2001.5,),操作风险损失:是指由不完善或有问题的内部程序、人员、系统以及外部事件所造成的损失,损失数据收集,损失定义,损失数据收集流程应包括具有高质量标准的操作损失的识别、录入、验证、管理和报告等环节,并达到以下标准:,完备性,所收集损失的整体情况,及时性,损失事件记录的时间点,可获得性,获取信息的成本,收集信息的数量和质量,损失的时间、性质、数量,风险暴露的信息,评级信息,损失数据收集的关键点:,通过各业务单元参与损失数据收集工作以及