操作風險框架梳理

什么是操作風險？時間發(fā)布組織文件名稱定義1998年巴塞爾委員會《操作風險管理調查報告》市場風險和信用風險以外的其他風險。2001年英國銀行業(yè)協(xié)會《操作風險管理調查報告》由于內部程序、人員、系統(tǒng)的不完善或失誤，或外部事件造成直接損失或間接損失的風險。2001年巴塞爾委員會《巴塞爾新資本協(xié)議》（征求意見稿）由于內部的程序、人員、系統(tǒng)不充足或運行失當以及因為外部事件的沖擊等導致直接損失或間接損失的可能性的風險。該定義包括法律風險，但排除政策性風險與聲譽風險。2003年巴塞爾委員會《操作風險管理與監(jiān)管的穩(wěn)健做法》由于不當或失敗的內部程序、人員和系統(tǒng)或因外部事件導致?lián)p失的風險。2004年巴塞爾委員會《巴塞爾新資本協(xié)議》由不完善或有問題的內部程序、人員及系統(tǒng)或外部事件所造成損失的風險。本定義包括法律風險，但不包括策略風險和聲譽風險。2007年中國銀監(jiān)會《商業(yè)銀行操作風險管理指引》由不完善或有問題的內部程序、員工和信息科技系統(tǒng)，以及外部事件所造成損失的風險。本定義所指操作風險包括法律風險，但不包括策略風險和聲譽風險。操作風險的定義四大風險因素和七大損失類型人員內部流程IT系統(tǒng)外部事件指故意騙取、盜用財產(chǎn)或違反監(jiān)管規(guī)章、法律或公司政策導致的損失事件，此類事件至少涉及內部一方，但不包括歧視及差別待遇事件指違反就業(yè)、健康或安全方面的法律或協(xié)議，個人工傷賠付或者因歧視及差別待遇導致的損失事件指因未按有關規(guī)定造成未對特定客戶履行份內義務（如誠信責任和適當性要求）或產(chǎn)品性質或設計缺陷導致的損失事件因交易處理或流程管理失敗，以及與交易對手方、外部供應商及銷售商發(fā)生糾紛導致的損失事件因信息科技系統(tǒng)生產(chǎn)運行、應用開發(fā)、安全管理以及由于軟件產(chǎn)品、硬件設備、服務提供商等第三方因素,造成系統(tǒng)無法正常辦理業(yè)務或系統(tǒng)速度異常所導致的損失事件指第三方故意騙取、盜用、搶劫財產(chǎn)、偽造文件、攻擊商業(yè)銀行信息科技系統(tǒng)或逃避法律監(jiān)管導致的損失事件因自然災害或其他事件（如恐怖襲擊）導致實物資產(chǎn)丟失或毀壞的損失事件

風險因素內部欺詐就業(yè)制度和工作場所安全事件客戶、產(chǎn)品和業(yè)務活動事件執(zhí)行、交割和流程管理事件信息科技

系統(tǒng)事件外部欺詐實物資產(chǎn)的損壞損失類型操作風險損失形態(tài)損失形態(tài)具體描述因商業(yè)銀行發(fā)生操作風險事件引發(fā)法律訴訟或仲裁，在訴訟或仲裁過程中依法支出的訴訟費用、仲裁費用及其他法律成本。如違反知識產(chǎn)權保護規(guī)定等導致的訴訟費、外聘律師代理費、評估費、鑒定費等由于疏忽、事故或自然災害等事件造成實物資產(chǎn)的直接毀壞和價值的減少。如火災、洪水、地震等自然災害所導致的賬面價值減少等由于內部操作風險事件，導致商業(yè)銀行未能履行應承擔的責任造成對外的賠償。如因銀行自身業(yè)務中斷、交割延誤、內部案件造成客戶資金或資產(chǎn)等損失的賠償金額由于偷盜、欺詐、未經(jīng)授權活動等操作風險事件所導致的資產(chǎn)賬面價值直接減少。如內部欺詐導致的銷賬、外部欺詐和偷盜導致的賬面資產(chǎn)/收入損失，以及未經(jīng)授權或超授權交易導致的賬面損失等由于操作風險事件引起的其他損失因操作風險事件所遭受的監(jiān)管部門或有權機關罰款及其他處罰。如違反產(chǎn)業(yè)政策、監(jiān)管法規(guī)等所遭受的罰款、吊銷執(zhí)照等2.監(jiān)管罰沒

3.資產(chǎn)損失4.對外賠償5.追索失敗6.賬面減值7.其它損失由于工作失誤、失職或內部事件，使原本能夠追償?shù)罱K無法追償所導致的損失，或因有關方不履行相應義務導致追索失敗所造成的損失。如資金劃轉錯誤、相關文件要素缺失、跟蹤監(jiān)測不及時所帶來的損失等1.法律成本

5操作風險結構起因事件結果事件類別：內部詐欺外部欺詐雇用慣例和工作場所安全客戶、產(chǎn)品及營業(yè)行為人員或資產(chǎn)損失營運中斷與系統(tǒng)當機執(zhí)行、運送及操作流程的管理結果類別：影響損益賬戶沖銷喪失追索權法律責任賠償資產(chǎn)遺失或損壞主管機關的監(jiān)管行動客戶投訴信譽受損其它影響起因類別：組織信息科技信息、資料人力資源操作流程外部事件荷蘭銀行的操作風險結構重點在于區(qū)分“起因”,“事件”及“結果”三個關鍵因素，因為每一個關鍵因素都可能被使用作為分析操作風險的起點。

一、操作風險緒論—風險特征1.具體性。不同類型的操作風險具有各自具體的特性，難以用一種方法對各類操作風險進行準確的識別和計量，原因在于操作風險中的風險因素主要存在于銀行的業(yè)務操作中，幾乎涵蓋了銀行的所有業(yè)務，操作風險事件前后之間有關聯(lián)，但是單個的操作風險因素與操作性損失之間并不存在可以定量界定的數(shù)量關系，個體性較強。2.分散性。試圖用一種方法來覆蓋操作風險管理的所有領域幾乎是不可能的，原因在于操作風險管理實際上覆蓋了銀行經(jīng)營管理中幾乎所有方面的不同風險，既包括發(fā)生頻率高、造成損失相對較低的日常業(yè)務流程處理上的小錯誤，也包括發(fā)生頻率低、造成損失相對較高的大規(guī)模舞弊、自然災害等，而且操作風險與各類風險相互交疊，涉及面廣。同時操作風險管理不可能由一個部門完成，必須建立操作風險管理的框架體系。3.差異性。不同業(yè)務領域操作風險的表現(xiàn)方式存在差異，原因在于業(yè)務規(guī)模小、交易量小、結構變化不太迅速的業(yè)務領域，雖然操作風險造成的損失不一定低，但是發(fā)生操作風險的頻率相對較低；而業(yè)務規(guī)模大、交易量大、結構變化迅速的業(yè)務領域，受到操作風險沖擊的可能性也大。4.復雜性。銀行風險管理部門難以確定哪些因素對于操作風險管理來說是最重要的，原因在于引起操作風險的因素較復雜，如產(chǎn)品的復雜性、產(chǎn)品營銷渠道的拓展、人員流動以及規(guī)章制度的變化等都可能引起操作風險，而通常可以監(jiān)測和識別的操作風險，與由此可能導致的損失的規(guī)模、頻率之間不存在直接關系，常常帶有鮮明的個案特征。5.內生性。除自然災害、恐怖襲擊等外部事件外，操作風險的風險因素很大比例上來源于銀行的業(yè)務操作，屬于銀行的內生風險。6.轉化性。操作風險是基礎性風險，對其他類別風險，如信用風險、市場風險等有重要影響，操作風險管理不善，將會引起風險的轉化，導致其他風險的產(chǎn)生，2008年爆發(fā)的金融危機為我們分析風險之間的轉化機制提供了很好的樣本。操作風險的特點操作風險事件案例2008年1月法國興業(yè)銀行爆發(fā)全球金融史上最大弊案，一位年輕交易員越權作多歐洲股價指數(shù)期貨，造成該行虧損49億歐元（72億美元），使得興業(yè)銀行當年全年營收凈利剩下9.47億歐元，比前年下跌82%。2001年11月UBS交易員把「每股61萬日圓，賣出16股」打成「每股16日圓，賣出61萬股」，在幾秒鐘內使公司損失7,100萬英鎊。1995年1月巴林銀行(Barings)倒閉之案例：→流程控管的監(jiān)督失衡:總行稽核與里森間的信任與放任→系統(tǒng)控管:超過限額的風險預警機制未發(fā)揮作用→系統(tǒng)安全:李森同時具有設定系統(tǒng)權限與限額的能力。

2006年交行某分行發(fā)生一起涉案金額約2億元人民幣的客戶資金詐騙案。2009年12月底某基金公司“烏龍門”事件(申購贖回清單計算偏差)。操作風險事件案例2001年美國911事件，許多設在世界貿易中心的金融公司喪失了大量財產(chǎn)、員工與數(shù)據(jù)數(shù)據(jù)。

2006年12月26日晚間恒春大地震造成國際海纜中斷，臺灣及東亞各地網(wǎng)絡與電話服務都因此受到嚴重影響。2008年汶川大地震造成在地震受災嚴重地區(qū)，銀行運營活動停止(綿竹市某家大型商業(yè)銀行營業(yè)網(wǎng)點)如何管理操作風險？二、操作風險管理——基本概念操作風險管理是指在實現(xiàn)組織經(jīng)營目標過程中，相關人員將組織的操作風險控制在組織可接受范圍之內的方法和過程，以保障組織經(jīng)營目標的實現(xiàn)。操作風險管理覆蓋面組織結構：包括治理結構、內部控制、組織文化人員：包括人員素質、人員穩(wěn)定性、績效及薪酬結構、內部欺詐外部因素：包括外部欺詐、經(jīng)營產(chǎn)所安全性、外部突發(fā)事件業(yè)務流程：包括業(yè)務流程設計缺陷、業(yè)務流程執(zhí)行不規(guī)范信息科技系統(tǒng)：計算機硬件、計算機軟件、通信二、操作風風險管理—管理目標操作風險管管理的總目目標：將業(yè)務操作風風險控制在在一個可以以接受的范范圍內，使使得各類業(yè)業(yè)務完成目目標之總和和可以為企企業(yè)的總體體經(jīng)營目標標的實現(xiàn)提提供操作保障。保證資產(chǎn)安安全保證業(yè)務運運轉連續(xù)性性保證企業(yè)和和業(yè)務的效效益和效率率保證經(jīng)營的的合規(guī)性操作風險管管理的目標標保證流程任任務完成的正確確性操作風險管理原則企業(yè)操作風風險管理的的六條基本本原則：（1）客觀性：：以風險事事件為管理理的基礎。。（2）一致性；；建立統(tǒng)一一的風險評評估規(guī)則和和計量口徑徑。（3）相關性：：考慮各類類風險事件件的傳遞和和關聯(lián)（4）透明性：：建立公開開的行政管管理制度和和規(guī)范（5）整體性：：從體系的的角度實現(xiàn)現(xiàn)業(yè)務管理理的協(xié)調、、關聯(lián)、和和匹配（6）完整性：：操作風險險管理力爭爭做到全面面覆蓋能有效降低低操作風險險，使內在在風險-已降低風險險=剩余風險最最小化的操操作風險管管理的12條黃金法則則（Hans-UlrichDoerig，瑞士信貸貸集團）：（1）戰(zhàn)略；（（2）結構；（（3）系統(tǒng)化；；（4）員工；（（5）安全；（（6）速度；（（7）利益相關關者；（8）共同價值值觀；（9）技能；（（10）象征；（（11）風格；（（12）同步銀監(jiān)會操作風風險管理13條原則（1）高度重視防防范操作風風險的規(guī)章章制度建設設；（2）切實加強強稽核建設設；（3）加強對基基層行的合合規(guī)性監(jiān)督督；（4）訂立職責責制，明確確總行及各各級分支機機構的責任任，形成明明確的制度度保障；（5）堅持相關關的行務管管理公開制制度；（6）建立和實實施基層主主管輪崗輪輪調和強制制性休假制制度，并確確保這一安安排納入總總行及各級級分支機構構的人事管管理制度；；（7）嚴格規(guī)范范重要崗位位和敏感環(huán)環(huán)節(jié)工作人人員八小時時內外的行行為，建立立相應的行行為失范監(jiān)監(jiān)察制度；（8）對舉報查查實的案件件，舉報人人屬于來自自基層的員員工（包括括合同工、、臨時工））的，要予予以重獎；；（9）加強和完完善銀行與與客戶、銀銀行與銀行行以及銀行行內部業(yè)務務臺賬與會會計賬之間間的適時對對賬制度，，對對賬頻頻率、對賬賬對象、可可參與對賬賬人員等做做出明確規(guī)規(guī)定；（10）加強未達達賬項和差差錯處理的的環(huán)節(jié)控制制，記賬崗崗位和對賬賬崗位必須須嚴格分開開，堅決做做到對未達達賬和賬款款差錯的查查核工作不不返原崗處處理（11）嚴格印章章、密押、、憑證的分分管與分存存及銷毀制制度，堅決決執(zhí)行制度度規(guī)定，并并對此進行行嚴格檢查查，對違規(guī)規(guī)者進行嚴嚴厲懲處（12）加強對可可能發(fā)生的的賬外經(jīng)營營的監(jiān)控（13）迅速改進進科技信息息系統(tǒng)，提提高通過技技術手段防防范操作風風險的能力力，支持各各類管理信信息的適時時、準確生生成，為業(yè)業(yè)務操作復復核和稽核核部門的稽稽查提供堅堅實基礎操作風險管管理流程識別評估監(jiān)測緩釋流程分析風險控制識別RSACSAKRILDC行動計劃識別從業(yè)務流程出發(fā)，分析業(yè)務中的關鍵風險點；使用流程圖法、流程分析法等工具。評估以業(yè)務流程為基點，對風險與控制進行自我評估；使用風險地圖、問卷調查法等工具。風險控制和緩釋在評估結果的基礎上，根據(jù)可選方案對風險進行控制和緩釋；使用行動計劃、控制措施優(yōu)化、保險等措施。監(jiān)控、計量和報告對風險和控制情況進行監(jiān)控、計量和報告；使用關鍵風險指標、操作風險報表/報告、資本計量等工具。操作風險管理工工具體系操作風險管理三三大工具：風險險與控制自我我評估(RCSA)、損失數(shù)據(jù)據(jù)收集（LDC)和關鍵風險險指標（KRI)。三大工具具貫穿操作作風險管理理始終，為為高效率、、系統(tǒng)化的的操作風險險管理提供供幫助。風險識別風險評估風險監(jiān)測風險控制流程分析：：識別主要業(yè)業(yè)務流程或或業(yè)務活動動中固有的的操作風險險事件以及及目前本行行具備的相相應控制措措施損失數(shù)據(jù)收收集（LDC)：針對操作風風險事件的的相關信息息，進行數(shù)數(shù)據(jù)收集、、內容分析析、整改分分析設計與與執(zhí)行、損損失分配、、內外部報報告等程序序風險與控制制自我評估(RCSA)：通過流程分分析，識別別和評估流流程中潛在在操作風險險以及自身身業(yè)務活動動的控制措措施、適當當程度及有有效性的操操作風險管管理工具。。關鍵風險指指標（KRI)：代表某一風風險領域變變化情況并并可定期監(jiān)監(jiān)控的統(tǒng)計計指標,可用用于于監(jiān)監(jiān)測測可可能能造造成成損損失失事事件件的的各各項項風風險險及及控控制制措措施施，，并并作作為為反反映映風風險險變變化化情情況況的的早早期期預預警警指指標標。。行動動計計劃劃：：通過過三三大大工工具具的的應應用用，，根根據(jù)據(jù)對對風風險險暴暴露露嚴嚴重重程程度度的的判判斷斷，，采采取取相相應應的的措措施施，，將將風風險險暴暴露露降降低低到到可可接接受受的的水水平平操作作風風險險管管理理三三大大工工具具的的相相互互作作用用風險險控控制制自自我我評評估估RCSA損失失數(shù)數(shù)據(jù)據(jù)收收集集LDC通過過RCSA對風風險險的的辨辨識識，，對對尋尋找找損損失失數(shù)數(shù)據(jù)據(jù)提提供供了了依依據(jù)據(jù)關鍵鍵風風險險指指標標KRI真實實的的損損失失數(shù)數(shù)據(jù)據(jù)對對RCSA風險險點點的的評評估估提提供供了了參參考考真實實的的損損失失數(shù)數(shù)據(jù)據(jù)為為KRI設置置提提供供了了參參考考KRI異常常往往往往指指向向真真實實的的損損失失事事件件RCSA的評評估估結結果果為為KRI提供供了了額額外外的的操操作作風風險險信信息息,成為為KRI設置置的的參參考考KRI的異異常常可可成成為為RCSA的驅驅動動力力之之一一操作作風風險險管管理理三三大大工工具具———目錄錄-風險險與與控控制制自自我我評評估估（（RCSA）-關鍵鍵風風險險指指標標（（KRI）-損失失數(shù)數(shù)據(jù)據(jù)收收集集（（LDC）風險險與與控控制制自自我我評評估估（（RCSA）RCSA是一一種種通通過過調調查查金金融融機機構構管管理理層層和和員員工工有有關關對對操操作作風風險險損損失失事事項項發(fā)發(fā)生生可可能能性性和和嚴嚴重重性性的的估估計計，，將將調調查查結結果果與與未未來來預預計計損損失失進進行行匹匹配配(Mapping)的方法法目前前RCSA的目目的的單單純純集集中中在在估估計計預預期期損損失失(ExpectedLoss,EL)，只只有有在在實實行行操操作作風風險險高高級級計計量量法法(AdvancedMeasurementApproach,AMA)后，，才才能能對對非非預預期期損損失失進進行行計量量事件件發(fā)發(fā)生生的的頻頻率率(Frequency)和損損失失的的嚴嚴重重性性(Severity)是評評估估現(xiàn)現(xiàn)有有風風險險因因素素管管理理和和操操作作風風險險控控制制質質量量的的關關鍵鍵信信息息額外外的的操操作作風風險險管管理理信信息息來來源源：：僅僅僅依依靠靠對對真真實實發(fā)發(fā)生生的的損損失失事事件件進進行行收收集集不不足足以以評評估估銀銀行行的的操操作作風風險險暴暴露露，，RCSA可以以使使銀銀行行建建立立額額外外的的操操作作風風險險管管理理信信息息來來源源對操操作作風風險險管管理理環(huán)環(huán)境境變變化化作作及及時時的的調調整整：：當銀銀行行的的業(yè)業(yè)務務環(huán)環(huán)境境發(fā)發(fā)生生改改變變時時（（如如推推出出新新產(chǎn)產(chǎn)品品，，員員工工數(shù)數(shù)量量發(fā)發(fā)生生顯顯著著增增長長）），，特特定定的的RCSA制度度可可及及時時對對其其引引起起的的操操作作風風險險暴暴露露變變化化進進行行反反映映，，為為管管理理層層的的決決策策提提供供參參考考定期期辨辨識識潛潛在在的的操操作作風風險險暴暴露露：：常規(guī)規(guī)的的RCSA制度度可可以以對對銀銀行行的的操操作作風風險險環(huán)環(huán)境境進進行行定定期期的的評評估估，，有有助助于于管管理理層層及及時時辨辨識識是是否否需需要要改改變變現(xiàn)現(xiàn)有有的的流流程程和和控控制制政政策策，，以以規(guī)規(guī)避避潛潛在在的的操操作作風風險險損損失失為什什么么要要進進行行RCSA計量量指標標數(shù)據(jù)據(jù)集集中中風險險自自我我評評估估業(yè)務務環(huán)環(huán)境境損失失數(shù)數(shù)據(jù)據(jù)收收集集識別別模模型型損失失事事件件類類型型模模型型風險險因因素素模模型型指標標模模型型損失失影影響響類類型型模模型型組織織模模型型歷史史風風險險資資本本主觀觀風風險險資資本本整合合（（貝貝葉葉斯斯方方法法））操作作風風險險資資本本調整整測算算環(huán)境境評評分分內部部損損失失數(shù)數(shù)據(jù)據(jù)外部部損損失失數(shù)數(shù)據(jù)據(jù)主觀觀估估計計控制制與與風風險險因因素素評評分分RCSA在操操作作風風險險資資本本計計量量中中扮扮演演的的角角色色RCSA的基基礎礎———三大大清清單單在全全行行統(tǒng)統(tǒng)一一進進行行流流程程、、風風險險點點及及控控制制措措施施清清單單梳梳理理，，將將其其作作為為風風險險與與控控制制自自我我評評估估架架構構的的基基礎礎。。梳理銀行產(chǎn)品及虛擬產(chǎn)品（非產(chǎn)品）流程，作為風險識別的第一步，并作為將來銀行開展RCSA工作的基礎。流程清單以流程為基礎，識別流程環(huán)節(jié)中的關鍵風險點。風險點清單針對風險點采用合適的控制措施，以增強各業(yè)務單位控制自評估的有效性?？刂拼胧┣鍐瘟鞒田L險點損失事件類型控制措施流動資金貸款客戶申請客戶提供虛假材料外部欺詐客戶經(jīng)理和經(jīng)辦雙方復核確認復印件真實性………………………………放款審核未及時辦理抵質押手續(xù)執(zhí)行、交付和流程管理設立專門的抵質押登記崗負責抵質押手續(xù)辦理……授信后管理崗定期督促對抵質押辦理完成率進行考核……………………示例例流程清單風險點清單控制措施清單RCSA的基基礎礎———三大大清清單單操作作風風險險識識別別模模型型是所所有有操操作作風風險險計計量量方方法法論論的的基基礎礎，，這這些些方方法法論論使使得得數(shù)數(shù)據(jù)據(jù)收收集集變變得得有有序序、、結結構構化化和和連連貫貫操作作風風險險識識別別模模型型由由如如下下模模塊塊構構成成組織織模模型型損失失事事件件模模型型風險險因因素素模模型型指標標模模型型影響響模模型型對所所有有可可能能的的損損失失事事件件類類型型進進行行識識別別和和分分類類對分析下的組組織維度進行行識別和定義義對導致?lián)p失事事件的所有可可能原因/因素進行識別別和分類對支持合理的的主觀估計的的信息和指標標進行識別對一個事件的的所有可能影影響進行識別別和分類根據(jù)銀行的特特點，應對各各模型的細部部層級進行客客制化，這需需要行內各相相關部門的外外部輸入。模型細部層級級的內容主要要依賴于銀行行各部門的收收集和整理，，在日常操作作風險管理中中，各相關部部門應注意收收集相關數(shù)據(jù)據(jù)，對各模型型進行整理、、更新和維護護RCSA方法論——識別模型的標標準分類識別模型損失事件類型型模型風險因素模型型影響模型組織模型范圍定義設置和參數(shù)化化執(zhí)行審閱和調整指標模型報告方法定義（自自上而下vs.自下而上；整整體vs.部分）識別RCSA涉及的業(yè)務單單元針對每份問卷卷定義問題選擇評估方法法論定義閾值總行操作風險險管理部進行行結果分析由內審部門進進行檢查與業(yè)務單元進進行討論調整結果和評評級針對業(yè)務單元元經(jīng)理的問卷卷的執(zhí)行定量答案收集集（平均頻率率，平均嚴重重性，最壞情情況）風險因素識別別報告的準備和和分發(fā)RCSA方法論——將識別模型應應用到RCSA風險自評估的的運行模式與與機制總行操作風險險管理部門定定期或不定期期，牽頭組織織總行業(yè)務部部門對內控梳梳理的固有風風險和剩余風險開展自評評估工作。評估內容：需需要對操作風風險進行定性性、定量評估估。實施范圍：參與人員與相相關職責：操作風險管理理部門（專職職崗位）：負負責牽頭組織織、協(xié)調本級級的自評工作作，并在業(yè)務務部門自評估估工作中給予予支持和指導導；業(yè)務部門（兼兼職崗位）：：負責組織本本部門相關人人員通過工作作組會議形式式開展自評估估，并在系統(tǒng)統(tǒng)中錄入評估估結果；業(yè)務部門（業(yè)業(yè)務專家/流程負責人））：參與相關關的自評估工工作組會議，，并在會議中中提供自評估估的專家經(jīng)驗驗和建議；業(yè)務部門（部部門負責人/政策負責人））：負責最終終審核和確認認通過工作組組會議確定的的自評估結果果。總行部門需要要開展固有風風險自評估；；總行部門需要要開展剩余風風險自評估；；分行部門需要要開展剩余風風險自評估。。風險自評估的的運行模式與與機制評估頻率：5.評估計劃：定期：每年（（固有風險和和剩余風險））不定期：當發(fā)發(fā)生以下情形形時，會啟動動固有風險和和剩余風險的的自評估工作作：同業(yè)發(fā)生重大大案件；本條線發(fā)生重重大操作風險險事件；總行信息系統(tǒng)統(tǒng)發(fā)生重大變變化；總行推行新產(chǎn)產(chǎn)品、新業(yè)務務、新流程；；監(jiān)管機構發(fā)布布重大操作風風險提示；監(jiān)管機構或者者管理層要求求發(fā)起的。總行操作風險險管理部門負負責制定全行行年度風險自自評（固有風風險和剩余風風險）的總體體工作計劃；；總行業(yè)務部門門依據(jù)全行年年度工作計劃劃，制定本部部門的風險自自評（固有風風險和剩余風風險）工作計計劃；分行業(yè)務部門門依據(jù)上級歸歸口部門制定定的年度自評評工作計劃，，制定本部門門的剩余風險險自評工作計計劃；分行操作風險險管理部門負負責匯總分行行業(yè)務部門制制定的年度自自評工作計劃劃，并在分行行范圍內進行行協(xié)調和確認認。風險自評估的的運行模式與與機制6.工作開展模式式：風險自評主要要采用：線下下開展工作組組討論會議+兼職崗位線上上錄入結果的的方式，具體體開展模式舉舉例說明如下所示：：以總行部門流流程層級風險險自評估為例例（從固有風風險和剩余風風險的角度評評估操作風險險）：主流程部門兼兼職崗位負責責組織該主流流程牽頭部門門和參與部門門相關的業(yè)務務專家召開工工作組討論會會議，共同對該主流程程在內控梳理理中所識別的的流程層級的的風險進行討討論和評分，，該兼職崗位位當場記錄評評分結果信息并請與會會人員簽字確確認，會后由由牽頭部門的的部門負責人人或政策負責責人對評分結結果做最終審審核和確認，并由該兼兼職崗位在系系統(tǒng)中錄入最最終評分結果果信息。操作風險暴露露的評估規(guī)則則操作風險暴露（RE，RiskExposure）風險嚴重程度-直接損失（S，Severity）風險發(fā)生頻率（F，F(xiàn)requency）=×剩余風險暴露評估規(guī)則未來一年內，可能承受的操作風險損失未來一年內，該操作風險可能發(fā)生的次數(shù)平均而言，上述風險所造成的財務損失定義依據(jù)目前內外部環(huán)境、控制措施的有效性，估算可能發(fā)生的頻率。依據(jù)目前內外部環(huán)境、控制措施的有效性，估算若這類風險發(fā)生，可能會帶來多大的財務損失。參考依據(jù)歷史損失數(shù)據(jù)業(yè)務量依據(jù)行內業(yè)務專家的經(jīng)驗歷史損失數(shù)據(jù)目前平均的業(yè)務或交易金額目前平均的損失回收率操作風險暴露露的評估標準準（直接損失失）頻率等級發(fā)生頻率1至少每天發(fā)生一次2至少每周發(fā)生一次3至少每月發(fā)生一次4至少每季發(fā)生一次5至少每半年發(fā)生一次6至少每年發(fā)生一次7至少每3年發(fā)生一次8至少每5年發(fā)生一次9至少10年發(fā)生一次1030年以上發(fā)生一次嚴重度等級可能造成的損失（RMB）10-5,00025,000-10,000310,000-20,000420,000-50,000550,000-100,0006100,000-200,0007200,000-500,0008500,000-1,000,00091,000,000-2,000,000102,000,000-4,500,000114,500,000-9,500,000129,500,000-20,000,0001320,000,000-45,000,0001445,000,000-95,000,0001595,000,000-200,000,00016>200,000,000操作風險發(fā)生生頻率評估表表操作風風險嚴嚴重程程度評評估表表（直直接損損失））發(fā)生頻頻率-未來一一年內內，評評估某某個操操作風風險發(fā)發(fā)生的的頻率率，若若發(fā)生生頻率率介于于兩個個等級級間，，選擇擇頻率率較高高者。。嚴重度度-某個操操作風風險若若一旦旦發(fā)生生時，，平均均而言言，估估算銀銀行可可能蒙蒙受的的財務務損失失。操作風風險暴暴露的的評估估標準準（間間接損損失））等級描述1影響5%的客戶服務質量2影響20%的客戶服務質量3影響50%以上的客戶服務質量等級描述1中斷1日2中斷1周3中斷1個月以上等級描述1負面信息于省內散播2負面信息于國內散播3負面信息于國際散播等級描述1造成員工輕微受傷2造成員工嚴重受傷3危機員工生命等級描述1監(jiān)管部門口頭警告2監(jiān)管部門進場加強查核3監(jiān)管部門強制銀行停止業(yè)務間接損失評估表-聲譽受損間接損失評估表-運營中斷間接損失評估表-廣大客戶服務質量間接損失評估表-監(jiān)管行動間接損失評估表-員工安全風險地地圖風險地地圖是是將風風險自自評估估中操操作風風險暴暴露評評估結結果與與采取取應對對措施施的聯(lián)聯(lián)結工工具，，其主主要目目的在于于為操操作風風險暴暴露的的評估估結果果帶來來管理理上的的意義義。30,000,00060,000,00099,000,000300,000,000600,000,0001,200,000,0003,600,000,00015,600,000,000109,500,000,00013,456,70026,931,40044,368,100134,657,000269,314,000538,628,0001,615,884,0007,002,164,00049,149,805,0004,666,9009,333,80015,40,77046,669,00093,338,000186,676,000560,028,0002,426,788,00017,034,185,0001,617,4003,234,8005,337,42016,174,00032,348,00064,696,000194,088,000841,048,0005,903,510,000560,5001,211,0001,849,6505,605,00011,210,00022,420,00067,260,000291,460,0002,045,825,000194,300388,600641,1901,943,0003,886,0007,772,00023,316,000101,036,000709,195,00067,300134,600222,090673,0001,346,0002,692,0008,076,00034,996,000245,645,00023,30046,60076,890233,000466,000932,0002,796,00012,116,00085,045,0008,10016,20026,73081,000162,000324,000972,0004,212,00029,565,0002,8005,6009,24028,00056,000112,000336,0001,456,00010,220,0001,0002,0003,30010,00020,00040,000120,000520,0003,650,0003006009903,0006,00012,00036,000156,0001,095,000示例操作風險可能發(fā)生的頻率（未來一年內發(fā)生的次數(shù)）操作風險可能帶來的財務損失綠色區(qū)區(qū)域（（可容容忍，，不需需另外外采取取應對對措施施）：：操作作風險險暴露露落在在安全全區(qū)域域，基基于風風險管管理、、成本本與效效益的的考慮慮，視視該操操作風風險暴暴露為為業(yè)務務經(jīng)營營的操操作風風險成成本。。黃色區(qū)區(qū)域（（可容容忍，，但應應該加加強監(jiān)監(jiān)控））：表表示操操作風風險暴暴露落落在需需加強強監(jiān)控控的范范圍內內，相相關單單位應應加強強管理理與監(jiān)監(jiān)控的的力度度。橙色區(qū)域（（可容忍，，但應該采采取應對措措施）：操操作風險暴暴露已落在在警戒范圍圍內，相關關單位應該該立刻采取取應對措施施，以將操操作風險暴暴露迅速降降低至安全全區(qū)域（綠綠色或黃色色區(qū)域）。。紅色區(qū)域（（不可容忍忍，特別關關注并采取取應對措施施）：操作作風險暴露露已落在不不可忍受的的范圍內，，應特別關關注，并采采取強度較較大的應對對措施，將將操作風險險迅速降低低至安全區(qū)區(qū)域（綠色色或黃色區(qū)區(qū)域）。風險評估的的覆蓋面及及執(zhí)行方式式風險類型評估標的評估方式/頻率總行分行固有風險剩余風險固有風險剩余風險操作風險識別的操作風險點研討會/年√√×√研討會進行行方式：由由流程主辦辦部門的業(yè)業(yè)務條線兼兼職崗位牽牽頭，召集集本部門流流程負責人人、業(yè)務骨骨干及協(xié)辦辦部門流程程負責人、、業(yè)務骨干干進行討論論，并將討討論結果錄錄入系統(tǒng)。?？刂拼胧┯杏行栽u估估標準（控控制設計））級別評估標準標準說明1必要且有效控制措施設計能針對操作風險進行良好的管控。2必要但部分有效控制措施設計能針對操作風險發(fā)生管控效果，但管控方式仍有些許改善的空間。3必要但無效雖為必要的控制措施，但管控方式有很大的改善空間。4不必要控制措施為多余且無用?？刂拼胧┯杏行栽u估估標準（控控制運行））級別評估標準標準說明1絕對有效所有執(zhí)行人員擁有專業(yè)勝任能力；控制落實程度為100%。（以上條款缺一不可）2通常有效多數(shù)執(zhí)行人員具有專業(yè)勝任能力；控制落實程度為85%至99%。（以上條款只需其一）3基本有效部分執(zhí)行人員具有專業(yè)勝任能力；控制落實程度為70%至84%。（以上條款只需其一）4偶爾有效個別執(zhí)行人員具有專業(yè)勝任能力；控制落實程度為50%至69%。（以上條款只需其一）5無效執(zhí)行人員均不具有專業(yè)勝任能力；控制落實程度為50%以上未落實。（以上條款只需其一）控制措施有有效性評估估標準（控控制運行））考慮到控制制運行失效效所造成的的后果，對對運行有效效性的評估估標準做如如下定性判斷說明：：若偏離控制制措施行為為導致如下下后果，評評估結論應應為無效：：偏離控制措措施本身已已形成重大大缺陷，或或與其他控控制缺陷共共同構成重重大缺陷；；偏離控制措措施的行為為導致重大大操作風險險事件發(fā)生生，該控制制措施的運運行有效性性結論應為為無效。若偏離控制制措施行為為導致如下下后果，評評估結論不不得高于偶偶爾有效：：偏離控制措措施本身已已形成重大大缺陷，或或與其他控控制措施共共同構成重重要缺陷；；偏離控制措措施的行為為導致一般般操作風險險事件發(fā)生生，該控制制措施的運運行有效性性結論不得得高于偶爾爾有效。若偏離控制制措施行為為導致如下下后果，評評估結論不不得高于基基本有效：：被監(jiān)管機構構檢查發(fā)現(xiàn)現(xiàn)的問題，，并責令整整改；被媒體曝光光，對本行行形象造成成不良影響響；被條線檢查查（二道防防線檢查））或審計檢檢查發(fā)現(xiàn)缺缺陷?？刂拼胧┯杏行栽u估估結果的應應對方案（控制設計計）級別評估標準應對方案1必要且有效（重點關注）該類控制措施能夠合理保證控制目標的實現(xiàn)；能夠有效管控風險并且具有不可替代的作用；應重點測試該類控制措施運行的有效性。2必要但部分有效（可以接受）識別補充的控制措施，以合理保證實現(xiàn)控制目標并有效管控風險；鑒于該類控制措施的必要性，應測試運行有效性。3必要但無效（必須整改）需要啟動整改，使其成為“必要但部分”或“必要且有效”的控制措施。4不必要（完全移除）冗余控制措施，可刪除?？刂拼胧┯杏行栽u估估結果的應應對方案（控制運行行）級別評估標準應對方案1絕對有效對于多次自評為“絕對有效”的控制措施，可降低自評實施的頻率；第三道防線需對此類的控制措施予以特別關注。2通常有效分析導致偏離控制措施行為的原因，有針對性的采取整改行動；可不再執(zhí)行第三道防線測評。3基本有效4偶爾有效5無效控制自評估估的運行模模式與機制制總行操作風風險管理部部門定期或或不定期，，牽頭組織織總行、分分行、支行行各級業(yè)務務部門開展展控制設計和運行行有效性的的自評估工工作：評估內容：：實施范圍：：針對內控梳梳理中識別別的控制措措施開展自自評估工作作；控制措施需需要從控制制設計有效效性和運行行有效性的的兩方面自自評估。控制設計有有效性自評評：總行業(yè)業(yè)務部門；；控制運行有有效性自評評：總行、、分行、支支行業(yè)務部部門?？刂谱栽u估估的運行模模式與機制制3.評估頻率：：4.參與人員與與相關職責責：控制設計有有效性自評評：定期（（年度）、、不定期（（觸發(fā)情形形與風險自自評相同））；控制運行有有效性自評評：定期（（半年）、、不定期（（觸發(fā)情形形與風險自自評相同））?？傂胁僮黠L風險管理部部門（專職職崗位）：：制定全行年年度控制自自評估總體體工作計劃劃，負責牽牽頭組織、、協(xié)調本級級的自評估估工作；負責復評全全行業(yè)務部部門的控制制自評估結結果，完成成全行控制制自評估結結果報告；；負責培訓、、指導總行行業(yè)務部門門的自評估估工作。分行操作風風險管理部部門（專職職崗位）：：匯總分行業(yè)業(yè)務部門年年度控制自自評估工作作計劃，負負責牽頭組組織、協(xié)調調本級的自自評估工作作；負責復評分分行業(yè)務部部門的控制制自評估結結果，完成成分行控制制自評估結結果報告；；負責培訓、、指導分行行業(yè)務部門門的自評估估工作。業(yè)務部門（（兼職崗位位）：負責定期（（每年/月）組織本本部門的相相關人員開開展控制自自評估工作作；收集、整理理相關人員員的控制自自評估結果果，并在系系統(tǒng)中錄入入評估結果果?？刂谱栽u估估的運行模模式與機制制業(yè)務部門（（操作人員員/業(yè)務專家/流程負責人人）：負責責定期（每每年/月）評估該該部門兼職職崗位提供供的問卷。。業(yè)務部門（（部門負責責人/政策負責人人）：負責責定期（每每年/月）最終審審核和確認認本部門的的控制自評評估結果。。5.評估計劃：：總行操作風風險管理部部門負責牽牽頭制定全全行年度控控制自評（（設計有效效性和運行行有效性））工作計劃劃；總行業(yè)務部部門依據(jù)操操作風險管管理部門總總體要求，，制定本部部門的控制制自評（設設計有效性性和運行有有效性）工工作計劃；；分行業(yè)務部部門依據(jù)上上級歸口部部門制定的的年度自評評工作計劃劃，制定本本部門的控控制自評工工作計劃；；分行操作風風險管理部部門負責匯匯總分行業(yè)業(yè)務部門制制定的年度度自評工作作計劃，并并在分行范范圍內進行行協(xié)調和確確認；業(yè)務部門控控制設計有有效性和控控制運行有有效性的自自評模式與與風險自評評相同?？刂茝驮u的的運行模式式與機制為滿足操作作風險管理理指引需求求，操作風風險管理部部門需實施施充分且有有代表性的的評估和測測試，詢問政政策和控制制程序存在在的缺陷，，并進行相相應的調查查。復評內容：實施范圍：評估頻率：：針對業(yè)務板板塊，對CSA的規(guī)劃、過過程及結果果（非針對對單點的控控制）進行行整體評估估，主要包包括以下要要點：各部門是否否按規(guī)劃執(zhí)執(zhí)行控制自自評工作，，包括日程程、覆蓋面面、開展方方式（例如如：是否召召開研討會會）等；針對控制設設計缺陷或或執(zhí)行不到到位的，各各部門是否否積極應對對，啟動行行動計劃；；在合理性分分析的基礎礎上評估控控制自評結結果與條線線、合規(guī)檢檢查的結果果是否存在在重大偏離離，若存在在偏離，是是否有合理理的解釋。?？刂茝驮u工工作針對總總行、分行行及其轄內內機構的內內控自評工工作開展。。半年（每個個條線的控控制評估覆覆蓋完成一一次時）。?？刂茝驮u的的運行模式式與機制（（續(xù)）參與人員與相關關職責：評估計劃：6.工作開展模模式：總行操作風風險管理部部門：評估估總行各部部門的控制制自評工作作執(zhí)行情況況；及監(jiān)督督分行操作作風險管理理部門的復復評執(zhí)行情情況。分行操作風風險管理部部門：評估估本級分行行及所轄支支行的控制制自評工作作執(zhí)行情況況?？傂胁僮黠L風險管理部部門需根據(jù)據(jù)總行各業(yè)業(yè)務部門的的自評計劃劃制定總行行的控制復復評計劃；；分行操作風風險管理部部門需根據(jù)據(jù)分行各業(yè)業(yè)務部門的的自評計劃劃制定本分分行的控制制復評計劃劃。通過報表的的方式對總總、分行及及其轄內機機構的控制制自評工作作進行全面面的復核和和分析；必要時還可可以對相關關人員實施施訪談，并并調閱相關關資料；對復評結果果出具總結結性意見。。風險自評估估（RSA）與其他相相關要素的的關系一道防線和和二道防線線的相關業(yè)業(yè)務和管理理部門，對對內控梳理理中識別的的風險開展展定期或不定期期自我評評估，風風險自評評模塊（（RSA）與其他他模塊之之間的關關系如下下：風險自評（RSA）是建立在全行統(tǒng)一內控梳理的標準上，將識別的風險與控制庫、流程庫、產(chǎn)品庫、崗位庫進行匹配，并依據(jù)評估標準庫中相應評估標準，對識別的風險從頻率和影響程度兩個維度進行評估，并估算剩余風險暴露值。風險自評（RSA）主要對內控梳理成果——風險點，以定性和定量的方式，評估風險的暴露或等級。分析剩余風險暴露值落在風險地圖的警戒范圍或不能容忍范圍的原因，并采取相應的行動方案?？刂谱栽u評估（CSA）與其他他相關要要素的關關系一道防線線和二道道防線的的相關業(yè)業(yè)務和管管理部門門對內控控梳理中中識別的的控制措措施開展展定期或不定定期的自自我評估估（CSA），評估估主要從從控制設設計有效效性和運運行有效效性兩個個維度開展展?？刂浦谱栽u模模塊（CSA）與其他他模塊之之間的關關系如下下：控制自評（CSA）是建立在全行統(tǒng)一內控梳理的標準上，將識別的控制與風險庫、流程庫、產(chǎn)品庫、崗位庫、內部規(guī)范及外部規(guī)章庫匹配。控制自評（CSA）主要對內控梳理成果——控制措施，依據(jù)評估標準庫中相應的評估標準，對識別的控制從設計有效性和運行有效性兩個維度進行自我評估。操作風險險管理三三大工具具——目錄-風險與控控制自我我評估（（RCSA）-關鍵風險險指標（（KRI）-損失數(shù)據(jù)據(jù)收集（（LDC）關鍵風險險指標（（KRI）關鍵風險險指標（（KRI，KeyRiskIndicator），是指指能夠代代表操作風險險狀況或者內控管理理水平變變化情況況，并可定期進進行監(jiān)控控的統(tǒng)計指指標。關關鍵風險險指標用用于監(jiān)測測可能造造成操作作風險損損失事件件的各項項風險、、相應的的控制措措施，以以反映操操作風險險狀況或或內控管管理水平平變化情情況的早早期預警警。關鍵風險險指標（（KRI）的篩選選原則關鍵風險險指標的的篩選，，主要依依據(jù)指標標相關的的數(shù)據(jù)可可獲取性性（是否否易取得得/更新）、、指標特特性（屬性/周期是否否合適））及專家家意見，，從候選選指標列列表中挑挑選出可可立即使使用的關關鍵風險險指標。。實際應用用的指標標具備以以下特點點：屬于候選列表的關鍵風險指標可立即應用的關鍵風險指標數(shù)據(jù)機密性高（例如高管薪酬增長率）數(shù)據(jù)可獲取性低（例如客戶經(jīng)理個人股票持有數(shù)額）數(shù)據(jù)收集成本高數(shù)據(jù)更新頻率低（例如指標數(shù)據(jù)每年才變動一次）指標實際參考性低數(shù)據(jù)機密性低數(shù)據(jù)可獲取性高數(shù)據(jù)收集成本不高數(shù)據(jù)更新頻率高指標實際參考性高關鍵風險險指標（（KRI）的篩選選示例風險指標機密性低數(shù)據(jù)可獲取性高數(shù)據(jù)收集成本不高數(shù)據(jù)更新頻率高新上崗人員的平均專業(yè)培訓時數(shù)√√√√柜員的平均交易筆數(shù)√√√√柜員平均加班時數(shù)√√√√未來三個月關鍵崗位空缺數(shù)√×√√客戶投訴數(shù)√√√√長期不動戶重新啟用件數(shù)√√√√核心系統(tǒng)未經(jīng)授權嘗試登入的次數(shù)√×√√柜員更正交易比率√√√√控制指標機密性低數(shù)據(jù)可獲取性高數(shù)據(jù)收集成本不高數(shù)據(jù)更新頻率高柜員錯賬比例√√√√柜員培訓時數(shù)達成率√√√√會計主管復核時及時發(fā)現(xiàn)的錯誤筆數(shù)√××√日終檢查出的問題交易比例√√√√列為候選選指標，，暫時不不使用。。示例關鍵風險險指標（（KRI）門檻值值設定的的參考依依據(jù)關鍵風險險指標門門檻值的的設定可可依循以以下四項項原則，，不同原原則所設設定的門門檻值可可同時存存在于一一個指標標之內：：依據(jù)操作風險偏好與容忍度與操作風險偏好相關的指標，可以依據(jù)操作風險容忍度設置該指標的門檻值，例如：監(jiān)管處罰的事件數(shù)量（門檻=0）核心系統(tǒng)宕機后的恢復時間（門檻=2小時）依據(jù)現(xiàn)狀或歷史數(shù)據(jù)與操作質量或運作效能相關，且歷史數(shù)據(jù)相對齊備的指標，在指標運作的初期，可依據(jù)當前的水平，設定指標門檻值。例如：柜員處理單筆交易的平均花費時間（門檻=5分鐘）ATM交易未成功筆數(shù)（門檻=50筆/臺/月）依據(jù)設定的管理目標與業(yè)務管理、人力資源管理或其它管