操作风险管理概论及三大工具

行 ， 是 自我评估 的意义
所在， 有助于提 全行的风险文
化
风险管理部门在RCSA组织架构中 承担指导、监 、协 的作用
风险
内部控制 要的目标/原因
成流程目标的
评估 组与业务人员 行
评估 组 对其他操作风险数据
以及 差
行一致性
RCSA方法论——识别 型的标 类
• 操作风险识别 型是所有操作风险计量方法论的 ， 方法论使 数据收集 有序、 构化 和
策略风险 ： • 由于无效的或有问题的策略而遭受损失的风险
声誉风险 ： • 是指有关一家机构业务活动的负面宣传，不论其真假，都会引起该机构的客户流失、收入下降或花费高昂的 诉讼费用（摘自《银监会非现场监管指引（试行）》）
四大风险因素和七大损失类型
风险 因素
人员
内部流程
IT系统
外部事件
内部欺诈
就业制度和 工作场所安
• 操作风险识别 型由如下 构成
损失事件 型
组织 型
风险因素 型
指标 型
型
对所有可能的损失事 件类型 行识别和
类
对 下的组织 度 行识别和定义
对导致损失事件的所有 可能原因/因素 行识别
和类
对支 合理的 估 对一个事件的所有
计的信息和指标 行 可能
行识别
识别
和类
• 据银行的特 ，应对各 型的 部层 行客制化， 要行内各相关部门的外部 入。 • 型 部层 的内容 要依 于银行各部门的收集和 理，在 常操作风险管理中，各相关部门应
由于内部操作风险事件，导致商业银行未能履行应承担的责任造成对外的赔偿。如因银行自身业务 中断、交割延误、内部案件造成客户资金或资产等损失的赔偿金额
由于工作失误、失职或内部事件，使原本能够追偿但最终无法追偿所导致的损失，或因有关方不 履行相应义务导致追索失败所造成的损失。如资金划转错误、相关文件要素缺失、跟踪监测不及 时所带来的损失等
指因未按有关 规定造成未对 特定客户履行 份内义务（如 诚信责任和适 当性要求）或 产品性质或设 计缺陷导致的 损失事件
因交易处理或
流程管理失败 ，以及与交易 对手方、外部 供应商及销售 商发生纠纷导 致的损失事件
统生产运行、 应用开发、安 全管理以及由 于软件产品、 硬件设备、服 务提供商等第 三方因素,造成 系统无法正常 办理业务或系 统速度异常所 导致的损失事
损失数据收集 ——框架
内容（Which）
来 （Where）
损失数据收集标 损失类型 信息 类
值 特别案
类指
损失数据收集章程
信息 软件
方案
损失事件
来1 来2 来3
损失 会计
管理来 会计来
损失 管理
自下而 方法 自 而下方法
方 （How）
ห้องสมุดไป่ตู้人员（Who）
方法 程序 流程 与其他系统的 接
管理 培训
资本的内部 计
部门的合作
有 的RCSA执行、监 和 的 权责划
RCSA过程与 与 效 相
目录
操作风险管理框架 操作风险管理三大工具一览 风险控制自我评估（RCSA） 损失数据收集（LDC） 关键风险指标（KRI）
损失数据收集 ——损失定义
操作损失（operational losses): 因发生损害性事 而导致的损失, 该损害性
和的
损失数据作 实 损失与风险管理、控制 策 的
损失数据收集 —— 介绍
损失数据收集流程应包括具有高质量标 的操作损失的识别、录入、 、管理和 等 环节, 到以下标 ：
完备性
及时性
收集信息 的数量和
质量
可性
完备性 —— 所收集损失的 体 及时性 —— 损失事件 录的时 可 性 —— 取信息的成本 收集信息的数量和质量 —— 损失的时 、性质、数量
从定义看，操作风险遍及银行内部各产品线、各个操作环节及各个业务层面
法律风险 － 包括但不限于下列风险： • 商业银行签订的合同因违反法律或行政法规可能被依法撤销或者确认无效的 • 商业银行因违约、侵权或者其他事由被提起诉讼或者申请仲裁，依法可能承担赔偿责任的 • 商业银行的业务活动违反法律或行政法规，依法可能承担行政责任或者刑事责任的（摘自《银监会操作风险 管理指引》）
策略。该部 风险
型的是自然灾害
等外部事件，银行一 用的转 方
保险等
4. 规避：对于发生 高， 性 高的
操作风险，规避
没有意义，因此银
高 行应避 涉 该类业务。
目录
操作风险管理框架 操作风险管理三大工具一览 风险控制自我评估（RCSA） 损失数据收集（LDC） 关键风险指标（KRI）
操作风险管理三大工具一览
由于偷盗、欺诈、未经授权活动等操作风险事件所导致的资产账面价值直接减少。如内部欺诈导致 的销账、外部欺诈和偷盗导致的账面资产/收入损失，以及未经授权或超授权交易导致的账面损失等
由于操作风险事件引起的其他损失
操作风险管理架构及流程
识别
银行的目标 和策略
操作风险策 略和风险容
忍度
操作风险管理流程
评估
监测和控制
• Analysis of operational losses
• Improvements and changes to the archives
• Definition of the census criteria in order to:
常规的RCSA制度可以对 银行的操作风险环 行 定 的评估，有助于管理 层及时 识是 要 现有的流程和控制政策， 以规避 在的操作风险损 失
对操作风险管理环 化作及时的 ：
当银行的业务环 发生
时（如 出 产品，员
工数量发生
），
特定的RCSA制度可及时
对其引起的操作风险 露
化 行反 ， 管理层
的 策提供
三大工具
系，协同支 操作风险管理
风险控制自我评估 RCSA
损失数据收集 LDC
KRI异常 指 真实的损失事件 真实的损失数据 KRI设 提供
关键风险指标 KRI
目录
操作风险管理框架 操作风险管理三大工具一览 风险控制自我评估（RCSA） 损失数据收集（LDC） 关键风险指标（KRI）
是风险控制自我评估（RCSA）
• RCSA (风险与控制自我评估)是操作风险管理框架中 要的组成部
• RCSA是一 过 金 机构管理层和员工有关对操作风险损失事 发生可能
性和 性的估计，
与未来 计损失 行 (Mapping)的方法
• 目前RCSA的目的 集中在估计 损失(Expected Loss, EL)， 有在实行操 作风险高 计量法 (Advanced Measurement Approach, AMA) ， 能对非 损失 行计量
全事件
客户、产品 和业务活动
事件
执行、交割 和流程管理
事件
信息科技 系统事件
外部欺詐
实物资产的 损坏
损
因信息科技系
失 类 型
指故意骗取、 盗用财产或违 反监管规章、 法律或公司政 策导致的损失 事件，此类事 件至少涉及内 部一方，但不 包括歧视及差 别待遇事件
指违反就业、 健康或安全方 面的法律或协 议，个人工伤 赔付或者因歧 视及差别待遇 导致的损失事 件
和职责
资本的风险管理 支的风险管理
ARE A1
ARE A2
ARE A…
ARE An
Legenda:
Operational Risk employee of Arean
Operational Risk employee of archive Source of Data
监
• Definition of the archives for the information
是银行估量 风险 资本的 要工具，与 此同时，银行 过真 实的损失数据估量
风险成本。对 风险资本和 风险 资本 行 合和
，可 最终所 的操作风险资本
RCSA的组织架构
行业务部门 行业务部门 流程/活动 控制 风险
行风险管理部门 行风险管理部门
要内部控制 流程目标
RCSA是以组织架构
执行
以 行业务部门作 最 要的执
指第三方故意 骗取、盗用、 抢劫财产、伪 造文件、攻击 商业银行信息 科技系统或逃 避法律监管导 致的损失事件
因自然灾害或
其他事件（如 恐怖袭击）导 致实物资产丢 失或毁坏的损 失事件
件
操作风险损失形态
损失形态
1.法律成本 2.监管罚没 3.资产损失 4.对外赔偿 5.追索失败 6.账面减值 7.其它损失
意收集相关数据，对各 型 行 理、 和 护
RCSA方法论—— 识别 型应用到RCSA
识别 型
组织 型
风险因素 型
损失事件类型 型
型
指标 型
定义
设 和 数化
执行
和
• 方法定义（自 而 下 vs. 自下而 体 vs. 部 ）
• 识别RCSA涉及的 业务
• 对 份问 定义 问题
•
评估方法论
• 定义 值
• 对业务 经 理的问 的执行
操作风险管理概论与三大工具介绍
培训材料
1
目录
操作风险管理框架 操作风险管理三大工具一览 风险控制自我评估（RCSA） 损失数据收集（LDC） 关键风险指标（KRI）
操作风险定义
操作风险 是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所
造成损失的风险。本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险
RCSA在操作风险资本计量中 的
损失数据收集
数据集中
风险自我评估
业务环
识别 型
损失事件类型 型
风险因素 型
指标 型
损失 类
型
型
组织 型
内部损失数据 指标
外部损失数据
风险资本
合的CaOR 合
计量
估计
控制与风险因 素评
测 风险资 本
环评
操作风险资本
RCSA是计量 风险资本的 要工 具
在操作风险资本的高 计量法中，RCSA
1. 接受：对于发生
、 性 的操
作风险，银行一 取接受风险的策略，
要原因是风险缓释的成本 超过 该
风险所可能引起的损失
2. 控制：对于发生 高，但 性 的
操作风险，银行一 用控制风险的缓释
策略。该部 风险 由银行的 常经
造成，因此
其设计 门的控制程序
3. 转 ：对于发生
，但 性 高的
操作风险，银行一 取转 风险的缓释
具体描述
因商业银行发生操作风险事件引发法律诉讼或仲裁，在诉讼或仲裁过程中依法支出的诉讼费用、仲 裁费用及其他法律成本。如违反知识产权保护规定等导致的诉讼费、外聘律师代理费、评估费、鉴 定费等
因操作风险事件所遭受的监管部门或有权机关罚款及其他处罚。如违反产业政策、监管法规等所遭 受的罚款、吊销执照等
由于疏忽、事故或自然灾害等事件造成实物资产的直接毁坏和价值的减少。如火灾、洪水、地震等 自然灾害所导致的账面价值减少等
事 对 量银行所受损失具有经
。 操作损失应包括下列因发生损害性
事 而导致的支出: 与该事 相关的全部 发生支出, 但不包括 资 目支出,
机会成本或 知收入 （
资本协议，定量 测 ，2001.5）
操作风险损失：是指由不完善或有问题的内部程序、人员、系统以及外部事件 所造成的损失
损失数据用
损失数据 作 风险估计实
• 要风险指标(KRI)资料 KRI
RCSA能识别、管 理以及控制风险，
能管理所有部门 的控制信息。 信息 在全行 行 ， 以合理 与系统化的方 协 助目标被有效的 成
与 追踪
与 工作规划
RCSA的关键成功因素
有一致 易于执行RCSA的程序
各业务部门高层的 视
有标 的RCSA方法论与工具
关键成功因素
• 定量 案收集（ ，
性，最坏 ）
• 风险因素识别
• 行操作风险管理
•
的 备和 发
部行
• 由内 部门 行
• 与业务
行
论
•
和评
RCSA的具体
入:
• 个部门指 负责人员
• 求信息 –
部门: 与责任信息、
事业
要的 入与产出等
其它信息来 :内部 计部门
、信息部门、合规部门等
问 信息 备 问 和执行
产出:
• RCSA • 设定 的操作风险容忍度水
• 事件发生的 (Frequency)和损失的 和操作风险控制质量的关键信息
性(Severity)是评估现有风险因素管理
要 行RCSA
额外的操作风险管理 信息来 ：
依 对真实发生的损 失事件 行收集不 以评 估银行的操作风险 露， RCSA可以使银行 额 外的操作风险管理信息来
定 识 在的操作 风险 露：
缓释
策略和 政策
治理和 组织
流程
数据
计量
披露
风险管理架构
三道防线
事会
高 管理层
风
险
第一道防线
第 道防线
管
理
业务部门
支 部门
的
风险管理部门
报
公司金
人力资
告
售
资产管理
法律合规 安全保
风险 管理 能
第三道防线
内部 计
功能
常风险管控
风险策略、架构及监控
操作风险缓释架构
高 3
转
性
1
接受
4
规避
2
控制
发生
对于风险的缓释，银行可 取接受、控制、转 和规避四 策略
风险 露的信息 评 信息
损失数据收集的关键 ：
• 过各业务
与损失数据收集工作以及 与数据收集过程的定义等环节，在银行内部
的损
失数据收集文化
• 损失数据收集过程 识别、录入、 、管理和 等环节的统一
• 损失数据收集是动态的实 过程，该过程应能够不断对信息 行
能 据商业环 的发 正确反
应银行操作风险 露的