操作风险管理概论及三大工具(PPT 36张)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 操作风险管理框架 • • 操作风险管理三大工具一览 • • 风险控制自我评估(RCSA) • • 损失数据收集(LDC) •
操作风险定义
操作风险 是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所
造成损失的风险。本定义所指操作风险包括法律风险,但不包括策略风险和声誉风险
从定义看,操作风险遍及银行内部各产品线、各个操作环节及各个业务层面
四大风险因素和七大损失类型
风险 因素
人员
内部流程
IT系统
外部事件
内部欺诈
就业制度和 工作场所安
全事件
客户、产品 和业务活动
事件
执行、交割 和流程管理
事件
信息科技 系统事件
外部欺詐
实物资产的 损坏
损
因信息科技系
失 类 型
指故意骗取、 盗用财产或违 反监管规章、 法律或公司政 策导致的损失 事件,此类事 件至少涉及内 部一方,但不 包括歧视及差 别待遇事件
件
损失形态
1.法律成本 2.监管罚没 3.资产损失 4.对外赔偿 5.追索失败 6.账面减值 7.其它损失
操作风险损失形态
具体描述
因商业银行发生操作风险事件引发法律诉讼或仲裁,在诉讼或仲裁过程中依法支出的诉讼费用、仲 裁费用及其他法律成本。如违反知识产权保护规定等导致的诉讼费、外聘律师代理费、评估费、鉴 定费等
指违反就业、 健康或安全方 面的法律或协 议,个人工伤 赔付或者因歧 视及差别待遇 导致的损失事 件
指因未按有关 规定造成未对 特定客户履行 份内义务(如 诚信责任和适 当性要求)或 产品性质或设 计缺陷导致的 损失事件
因交易处理或
流程管理失败 ,以及与交易 对手方、外部 供应商及销售 商发生纠纷导 致的损失事件
独立风险 管理空能
第三道防线
内部审计
独立稽核功能
日常风险管控
风险策略、架构及监控
独立审核
操作风险缓释架构
高 3
严
重
性
1
转移 接受
4
规避
2
控制
低
发生频率
对于风险的缓释,银行可采取接受、控制 移和规避四种策略
1.接受:对于发生频率低、严重性较低的 风险,银行一般采取接受风险的策略,主 因是风险缓释的成本往往超过了该风险所 引起的损失
由于操作风险事件引起的其他损失
操作风险管理架构及流程
银行的目标 和策略
操作风险策 略和风险容
忍度
操作风险管理流程
策略和 政策
治理和 组织
流程
数据
计量
披露
风险管理架构
三道防线
董事会
高级管理层
风
险
第一道防线
管
业务部门
支持部门
理
报
公司金融
人力资源
零售
IT
告百度文库
资产管理
法律合规
……
安全保障
……
第二道防线
独立的 风险管理部门
因操作风险事件所遭受的监管部门或有权机关罚款及其他处罚。如违反产业政策、监管法规等所遭 受的罚款、吊销执照等
由于疏忽、事故或自然灾害等事件造成实物资产的直接毁坏和价值的减少。如火灾、洪水、地震等 自然灾害所导致的账面价值减少等
由于内部操作风险事件,导致商业银行未能履行应承担的责任造成对外的赔偿。如因银行自身业务 中断、交割延误、内部案件造成客户资金或资产等损失的赔偿金额
由于工作失误、失职或内部事件,使原本能够追偿但最终无法追偿所导致的损失,或因有关方不 履行相应义务导致追索失败所造成的损失。如资金划转错误、相关文件要素缺失、跟踪监测不及 时所带来的损失等
由于偷盗、欺诈、未经授权活动等操作风险事件所导致的资产账面价值直接减少。如内部欺诈导致 的销账、外部欺诈和偷盗导致的账面资产/收入损失,以及未经授权或超授权交易导致的账面损失等
法律风险 - 包括但不限于下列风险: •商业银行签订的合同因违反法律或行政法规可能被依法撤销或者确认无效的 •商业银行因违约、侵权或者其他事由被提起诉讼或者申请仲裁,依法可能承担赔偿责任的 •商业银行的业务活动违反法律或行政法规,依法可能承担行政责任或者刑事责任的(摘自《银监会操作风险管理 指引》) 策略风险 : •由于无效的或有问题的策略而遭受损失的风险 声誉风险 : •是指有关一家机构业务活动的负面宣传,不论其真假,都会引起该机构的客户流失、收入下降或花费高昂的诉讼 费用(摘自《银监会非现场监管指引(试行)》)
操作风险管理三大工具一览
三大工具之间紧密联系,协同支持操作风险管理
风险控制自我评估 RCSA
损失数据收集 LDC
KRI异常往往指向真实的损失事件 真实的损失数据为KRI设置提供了参考
关键风险指标 KRI
什么是风险控制自我评估(RCSA)
• RCSA (风险与控制自我评估)是操作风险管理框架中重要的组成部分 • RCSA是一种通过调查金融机构管理层和员工有关对操作风险损失事项发生可能
统生产运行、 应用开发、安 全管理以及由 于软件产品、 硬件设备、服 务提供商等第 三方因素,造成 系统无法正常 办理业务或系 统速度异常所 导致的损失事
指第三方故意 骗取、盗用、 抢劫财产、伪 造文件、攻击 商业银行信息 科技系统或逃 避法律监管导 致的损失事件
因自然灾害或
其他事件(如 恐怖袭击)导 致实物资产丢 失或毁坏的损 失事件
为什么要进行RCSA
额外的操作风险管理 信息来源:
仅仅依靠对真实发生的损 失事件进行收集不足以评 估银行的操作风险暴露, RCSA可以使银行建立额 外的操作风险管理信息来 源
定期辨识潜在的操作 风险暴露:
常规的RCSA制度可以对 银行的操作风险环境进行 定期的评估,有助于管理 层及时辨识是否需要改变 现有的流程和控制政策, 以规避潜在的操作风险损 失
2.控制:对于发生频率高,但严重性较低 作风险,银行一般采用控制风险的缓释策 该部分风险往往由银行的日常经营造成, 必须为其设计专门的控制程序
3.转移:对于发生频率低,但严重性较高 作风险,银行一般采取转移风险的缓释策 该部分风险较为典型的是自然灾害等外部 银行一般采用的转移方式为保险等措施
4.规避:对于发生频率高,严重性也较高 作风险,规避措施已没有意义,因此银行 免涉足该类业务。 高
性和严重性的估计,将调查结果与未来预计损失进行匹配(Mapping)的方法 • 目前RCSA的目的单纯集中在估计预期损失(Expected Loss, EL),只有在实行操
作风险高级计量法 (Advanced Measurement Approach, AMA)后,才能对非预期 损失进行计量
• 事件发生的频率(Frequency)和损失的严重性(Severity)是评估现有风险因素管理 和操作风险控制质量的关键信息
操作风险定义
操作风险 是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所
造成损失的风险。本定义所指操作风险包括法律风险,但不包括策略风险和声誉风险
从定义看,操作风险遍及银行内部各产品线、各个操作环节及各个业务层面
四大风险因素和七大损失类型
风险 因素
人员
内部流程
IT系统
外部事件
内部欺诈
就业制度和 工作场所安
全事件
客户、产品 和业务活动
事件
执行、交割 和流程管理
事件
信息科技 系统事件
外部欺詐
实物资产的 损坏
损
因信息科技系
失 类 型
指故意骗取、 盗用财产或违 反监管规章、 法律或公司政 策导致的损失 事件,此类事 件至少涉及内 部一方,但不 包括歧视及差 别待遇事件
件
损失形态
1.法律成本 2.监管罚没 3.资产损失 4.对外赔偿 5.追索失败 6.账面减值 7.其它损失
操作风险损失形态
具体描述
因商业银行发生操作风险事件引发法律诉讼或仲裁,在诉讼或仲裁过程中依法支出的诉讼费用、仲 裁费用及其他法律成本。如违反知识产权保护规定等导致的诉讼费、外聘律师代理费、评估费、鉴 定费等
指违反就业、 健康或安全方 面的法律或协 议,个人工伤 赔付或者因歧 视及差别待遇 导致的损失事 件
指因未按有关 规定造成未对 特定客户履行 份内义务(如 诚信责任和适 当性要求)或 产品性质或设 计缺陷导致的 损失事件
因交易处理或
流程管理失败 ,以及与交易 对手方、外部 供应商及销售 商发生纠纷导 致的损失事件
独立风险 管理空能
第三道防线
内部审计
独立稽核功能
日常风险管控
风险策略、架构及监控
独立审核
操作风险缓释架构
高 3
严
重
性
1
转移 接受
4
规避
2
控制
低
发生频率
对于风险的缓释,银行可采取接受、控制 移和规避四种策略
1.接受:对于发生频率低、严重性较低的 风险,银行一般采取接受风险的策略,主 因是风险缓释的成本往往超过了该风险所 引起的损失
由于操作风险事件引起的其他损失
操作风险管理架构及流程
银行的目标 和策略
操作风险策 略和风险容
忍度
操作风险管理流程
策略和 政策
治理和 组织
流程
数据
计量
披露
风险管理架构
三道防线
董事会
高级管理层
风
险
第一道防线
管
业务部门
支持部门
理
报
公司金融
人力资源
零售
IT
告百度文库
资产管理
法律合规
……
安全保障
……
第二道防线
独立的 风险管理部门
因操作风险事件所遭受的监管部门或有权机关罚款及其他处罚。如违反产业政策、监管法规等所遭 受的罚款、吊销执照等
由于疏忽、事故或自然灾害等事件造成实物资产的直接毁坏和价值的减少。如火灾、洪水、地震等 自然灾害所导致的账面价值减少等
由于内部操作风险事件,导致商业银行未能履行应承担的责任造成对外的赔偿。如因银行自身业务 中断、交割延误、内部案件造成客户资金或资产等损失的赔偿金额
由于工作失误、失职或内部事件,使原本能够追偿但最终无法追偿所导致的损失,或因有关方不 履行相应义务导致追索失败所造成的损失。如资金划转错误、相关文件要素缺失、跟踪监测不及 时所带来的损失等
由于偷盗、欺诈、未经授权活动等操作风险事件所导致的资产账面价值直接减少。如内部欺诈导致 的销账、外部欺诈和偷盗导致的账面资产/收入损失,以及未经授权或超授权交易导致的账面损失等
法律风险 - 包括但不限于下列风险: •商业银行签订的合同因违反法律或行政法规可能被依法撤销或者确认无效的 •商业银行因违约、侵权或者其他事由被提起诉讼或者申请仲裁,依法可能承担赔偿责任的 •商业银行的业务活动违反法律或行政法规,依法可能承担行政责任或者刑事责任的(摘自《银监会操作风险管理 指引》) 策略风险 : •由于无效的或有问题的策略而遭受损失的风险 声誉风险 : •是指有关一家机构业务活动的负面宣传,不论其真假,都会引起该机构的客户流失、收入下降或花费高昂的诉讼 费用(摘自《银监会非现场监管指引(试行)》)
操作风险管理三大工具一览
三大工具之间紧密联系,协同支持操作风险管理
风险控制自我评估 RCSA
损失数据收集 LDC
KRI异常往往指向真实的损失事件 真实的损失数据为KRI设置提供了参考
关键风险指标 KRI
什么是风险控制自我评估(RCSA)
• RCSA (风险与控制自我评估)是操作风险管理框架中重要的组成部分 • RCSA是一种通过调查金融机构管理层和员工有关对操作风险损失事项发生可能
统生产运行、 应用开发、安 全管理以及由 于软件产品、 硬件设备、服 务提供商等第 三方因素,造成 系统无法正常 办理业务或系 统速度异常所 导致的损失事
指第三方故意 骗取、盗用、 抢劫财产、伪 造文件、攻击 商业银行信息 科技系统或逃 避法律监管导 致的损失事件
因自然灾害或
其他事件(如 恐怖袭击)导 致实物资产丢 失或毁坏的损 失事件
为什么要进行RCSA
额外的操作风险管理 信息来源:
仅仅依靠对真实发生的损 失事件进行收集不足以评 估银行的操作风险暴露, RCSA可以使银行建立额 外的操作风险管理信息来 源
定期辨识潜在的操作 风险暴露:
常规的RCSA制度可以对 银行的操作风险环境进行 定期的评估,有助于管理 层及时辨识是否需要改变 现有的流程和控制政策, 以规避潜在的操作风险损 失
2.控制:对于发生频率高,但严重性较低 作风险,银行一般采用控制风险的缓释策 该部分风险往往由银行的日常经营造成, 必须为其设计专门的控制程序
3.转移:对于发生频率低,但严重性较高 作风险,银行一般采取转移风险的缓释策 该部分风险较为典型的是自然灾害等外部 银行一般采用的转移方式为保险等措施
4.规避:对于发生频率高,严重性也较高 作风险,规避措施已没有意义,因此银行 免涉足该类业务。 高
性和严重性的估计,将调查结果与未来预计损失进行匹配(Mapping)的方法 • 目前RCSA的目的单纯集中在估计预期损失(Expected Loss, EL),只有在实行操
作风险高级计量法 (Advanced Measurement Approach, AMA)后,才能对非预期 损失进行计量
• 事件发生的频率(Frequency)和损失的严重性(Severity)是评估现有风险因素管理 和操作风险控制质量的关键信息