企业操作风险管理教材_2

《企业操作风险管理教材_2》由会员分享，可在线阅读，更多相关《企业操作风险管理教材_2（93页珍藏版）》请在金锄头文库上搜索。

1、2009年售前工作总结和2010年工作规划,企业操作风险管理 认证风险管理师培训,一、操作风险绪论 二、操作风险管理 三、操作风险评估 四、操作风险应对 五、操作风险监测与评价 六、操作风险管理案例,目录,企业操作风险管理,一、操作风险绪论起源与发展,历史上，人们首先重视的是市场风险和信用风险，而操作风险直到1994年在瑞士巴塞尔银行监督管理委员会的文件中才正式提及，1997年巴塞尔银行监督管理委员会在其有效银行监管的核心原则中，首次将银行风险归纳为信用风险、国家和转移风险、市场风险、利率风险、流动性风险、操作性风险、法律风险和声誉风险 2004年6月公布的巴塞尔新资本协议正式提出了操作风险管

2、理的架构和方法，操作风险作为一个大的风险分类与信用风险、市场风险、流动性风险一道，成为商业银行风险管理的重要内容 中国学者对操作风险的研究大约始于2000年初，公认的初始文献是2003年由中科院系统所的樊欣、杨晓光发表的中国商业银行操作风险分析，2007年5月中国银行监督管理委员颁布的商业银行操作风险管理指引 是中国第一个关于操作风险的纲领性文件，随后在中国商业银行中，关于操作风险管理的工作逐步开展起来,一、操作风险绪论风险事件,一、操作风险绪论内控与操作风险,如果将“内部控制”理解为操作风险的一部分，或者狭义的理解为操作风险就是强调道德风险的内部控制，则操作风险的历史可以提前100年。实际上

3、操作风险与内部控制有着密不可分的内在联系，一种倾向性的意见是将内部控制是为操作风险的一部分，在这样的操作风险框架下，内部控制的COSO框架，实际上也适用于操作风险 从风险处理的层面上去划分内部控制与操作风险可能是一个比较清晰的方式，企业面临的全部风险可以划分为可控制的风险、不可控制的预期损失风险、不可控制的非预期损失风险以及极端风险。在风险管理中我们一般不涉及处理极端风险，因此，在前三类风险中，内部控制主要来处理第一类风险，而操作风险管理则要设计全部这三类风险 如果将操作风险看作是“风险事件”管理的流程，那么就可以典型地将操作风险管理划分为“事先事中事后”，而内控则是操作风险管理的事先部分,风

4、险事件内部控制,风险事件事中监控,风险事件事后分析处理,反馈、评估、修正,一、操作风险绪论操作风险的定义,一、操作风险绪论操作风险的定义,定义要义,关注内部，特指业务运营部门的相关风险。内部操作失误、内部业务流程缺陷、系统脆弱是重要的操作风险源,内部人员效能和内部人员欺诈在操作风险中起重要作用，而外部欺诈、自然灾害、交通事故、外包缺陷也是风险源,一、操作风险绪论风险成因,操作风险形成,体制/组织缺陷,流程设计管控缺陷,内部人员效能及欺诈,系统/技术缺陷,外部欺诈及其他各种负面事件,一、操作风险绪论风险成因,一、操作风险绪论风险成因,欺诈三角,内外部欺诈,欺诈动机,欺诈时机,自我合理化,当欺诈三

5、要素：动机、时机以及合理化的借口同时出现的话，欺诈必然发生,一、操作风险绪论风险分类,操作风险细分,按照操作风险损失事件导致损失发生的原因可以将操作风险细分为如下7类： 内部欺诈 外部欺诈 就业政策及工作场所安全 客户、产品及业务操作 实物资产损坏 业务中断及系统失灵 实施、交付及流程管理,一、操作风险绪论风险分类,操作风险细分,按照操作风险形成的主客观因素，可以划分为操作性杠杆风险和操作性失误风险。操作性杠杆风险主要指外部因素引起的操作风险，例如监管引发的合规风险、法律及政治环境引发的合同风险或法律风险、交通事故或自然灾害引发的安全风险等。操作失误性风险则包括： 执行风险 信息风险 法律风险

6、 人员风险 关系风险 系统事件风险,一、操作风险绪论风险分类,操作风险细分,按照操作风险形成的主客观因素，可以划分为操作性杠杆风险和操作性失误风险。操作性杠杆风险主要指外部因素引起的操作风险，例如监管引发的合规风险、法律及政治环境引发的合同风险或法律风险、交通事故或自然灾害引发的安全风险等。操作失误性风险则包括： 执行风险 信息风险 法律风险 人员风险 关系风险 系统事件风险,一、操作风险绪论风险分类,操作风险细分,风险损失的概率分布,2.1 操作风险损失分布图,从风险损失的角度，可分为可控制的损失、不可控制的预期损失、不可控制的非预期损失以及极端损失,一、操作风险绪论风险分类,操作风险细分,

7、内部风险,外部风险,人员,流程,信息技术及系统,内 部 盗 窃 和 欺 诈,未 经 授 权 的 活 动,劳 动 纠 纷,人 员 流 失,适 当 性 、 披 露 和 信 托 责 任,不 良 业 务 或 市 场 行 为,客 户 选 择 和 风 险 暴 露,交 易 认 定 、 执 行 和 维 持,实 有 资 产 损 失,工 作 场 所 安 全,系 统 中 断,系 统 完 备 性,外 部 盗 窃 和 欺 诈,系 统 安 全 性,突 发 不 可 抗 事 件,经 营 环 境 恶 化,一、操作风险绪论风险特征,广泛性：多样性：操作风险存在于企业经营管理的各个环节，表现为各种形态。 复杂性：早期操作风险被定义

8、为除信用风险、市场风险以外的所有风险，在企业的经营 管理中，几乎所有的活动都与操作风险有关。 内生性：操作风险的诱因主要与企业的内部环境有关，主要由操作不合规引发 因人性：损失事件很多都是由于人为操作因素引起，企业文化对操作风险有重大影响 可归因性：操作风险大多属于内生性风险，一般可以明确地确定其风险源 不对称性：承担操作风险一般不能带来明显的收益或者不能在短期显现收益 背景依存性：操作风险状况通常与企业管理水平有直接关系，随着操作风险管理重视程度的加大，操作风险发生的可能性和损失强度都可能会降低（损失概率分布发生变化） 可控性：操作风险主要源自员工、系统和流程，这些都由企业直接管理和控制，在

9、这个意义上，可以认为操作风险是可控性风险。 非财务性：信用风险、市场风险大多都与财务结果有直接联系，而操作风险多不直接体现为财务风险,企业操作风险管理,二、操作风险管理基本概念,操作风险管理是指在实现组织经营目标过程中，相关人员将组织的操作风险控制在组织可接受范围之内的方法和过程，以保障组织经营目标的实现。,操作风险管理 覆盖面 （一个简约的框架）,组织结构：包括治理结构、内部控制、组织文化,人员：包括人员素质、人员稳定性、薪酬结构、内部欺诈,外部因素：包括外部欺诈、经营产所安全性、外部突发事件,业务流程：包括业务流程设计缺陷、业务流程执行不规范,系统：计算机硬件、计算机软件、通信,二、操作风

10、险管理管理目标,将业务操作风险控制在一个可以接受的范围内，使得各类业务完成目标之总和，可以实现企业的总体经营目标，这是操作风险管理的总任务。在具体的任务分解上企业操作风险管理的目标是：,保证资产安全,保证业务运转连续性,保证企业和业务的效益和效率,保证经营的合规性,操作风险管理的目标,保证流程任务完成的正确性,二、操作风险管理管理原则,企业操作风险管理的六条基本原则： （1）客观性：以风险事件为管理的基础。 （2）一致性；建立统一的风险评估规则和计量口径。 （3）相关性：考虑各类风险事件的传递和关联 （4）透明性：建立公开的行政管理制度和规范 （5）整体性：从体系的角度实现业务管理的协调、关联

11、、和匹配 （6）完整性：操作风险管理力争做到全面覆盖,能有效降低操作风险，使内在风险-已降低风险=剩余风险最小化的操作风险管理的12条黄金法则（Hans-Ulrich Doerig， 瑞士信贷集团）：（1）战略；（2）结构；（3）系统化；（4）员工；（5）安全；（6）速度；（7）利益相关者；（8）共同价值观；（9）技能；（10）象征；（11）风格；（12）同步,二、操作风险管理银监会操作风险管理13条原则,（1）高度重视防范操作风险的规章制度建设； （2）切实加强稽核建设； （3）加强对基层行的合规性监督； （4）订立职责制，明确总行及各级分支机构的责任，形成明确的制度保障； （5）坚持相关的

12、行务管理公开制度； （6）建立和实施基层主管轮岗轮调和强制性休假制度，并确保这一安排纳入总行及各级分支机构的人事管理制度； （7）严格规范重要岗位和敏感环节工作人员八小时内外的行为，建立相应的行为失范监察制度；,二、操作风险管理银监会操作风险管理13条原则,（7）严格规范重要岗位和敏感环节工作人员八小时内外的行为，建立相应的行为失范监察制度； （8）对举报查实的案件，举报人属于来自基层的员工（包括合同工、临时工）的，要予以重奖； （9）加强和完善银行与客户、银行与银行以及银行内部业务台账与会计账之间的适时对账制度，对对账频率、对账对象、可参与对账人员等做出明确规定； （10）加强未达账项和差错

13、处理的环节控制，记账岗位和对账岗位必须严格分开，坚决做到对未达账和账款差错的查核工作不返原岗处理 （11）严格印章、密押、凭证的分管与分存及销毁制度，坚决执行制度规定，并对此进行严格检查，对违规者进行严厉惩处 （12）加强对可能发生的账外经营的监控 （13）迅速改进科技信息系统，提高通过技术手段防范操作风险的能力，支持各类管理信息的适时、准确生成，为业务操作复核和稽核部门的稽查提供坚实基础,二、操作风险管理管理框架,Haubenstock （2004）操作风险管理框架,治理模型,战略,政策,风险识别,控制框架,评估,监测和度量,报告,流程,验证和在评估,二、操作风险管理管理框架,改进的 Hau

14、benstock （2004）操作风险管理框架,二、操作风险管理管理框架,全面风险管理框架,框架有三个维度，第一维是企业的目标;第二维是全面风险管理要素;第三维是企业的各个层级。第一维企业的目标有四个，即战略目标、经营目标、报告目标和合规目标。第二维全面风险管理要素有8个，即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。第三个维度是企业的层级，包括整个企业、各职能部门、各条业务线及下属各子公司。EMR三个维度的关系是，全面风险管理的8个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上8个方面进行风险管理。该框架适合各种类风

15、险,二、操作风险管理管理框架,德意志银行操作风险管理框架,二、操作风险管理管理框架,国际商业银行操作风险管理框架,风险分析与评价,二、操作风险管理管理框架,SUNAGARD操作风险管理框架,风险战略与政策,损失数据收集,关键风险指标,风险与控制自评估,经营管理流程,二、操作风险管理完整管理框架,操作风险管理 完整框架,制定明确的操作风险 管理政策,建立风险识别的 一套公共语言,构造最优的 操作风险计量方法,构建适当的业务流程,建立适时的风险报告能力,提供风险敞口管理,进行风险分析 （情景分析/压力测试）,分配经济资本,二、操作风险管理完整管理框架（续）,操作风险 偏好/战略,风险识别,风险监测

16、与预警,风险分析,风险评估,风险敞口管理,风险报告,风险应对,行动预案,建立适当的业务流程 分配经济资本,监督、反馈、改进 （稽核与审计）,事先、事中、事后,操作风险管理治理结构,二、操作风险管理机构及职责,董事会,集团行政管理委员会,集团风险管理委员会,集团风险管理部,部门操作风险管理团队,集团审计委员会,部门风险委员会,授权,确定操作风险偏好,建议战略、批准控制、管理绩效审核,设计框架、趋势和集团操作风险状况监控、质量评估,添加部门管理层和业务控制环节、监控部门操作风险状况,二、操作风险管理管理流程与主要工具,识别风险,控制/缓释风险,监测及报告,衡量与评估风险,关键风险指标（KRI）,内部历史事件归纳（内部损失事件数据库） 外部历史事件归纳（外部损失事件数据库） 情景分析 流程分析,评估原则：自我评估为主，有时会采用独立第三方评估 评估内容：固有风险（无管理风险）、控制风险