ICBRR操作风险管理课程精华要点

《ICBRR操作风险管理课程精华要点》由会员分享，可在线阅读，更多相关《ICBRR操作风险管理课程精华要点（13页珍藏版）》请在装配图网上搜索。

1、精品范文模板 可修改删除撰写人：_日 期：_操作风险1. 操作风险的定义早期，操作风险管理被定义为没有包括在市场风险管理和信用风险管理之内的事项。巴塞尔资本协议的操作风险定义：由于不健全的或者失败的内部程序、人员、系统以及外部事件所导致的风险，包括法律风险，但不包括战略、声誉风险。巴塞尔资本协议的法律风险定义：监管措施以及私下和解导致的罚款、罚金或惩罚性损失赔偿的风险。操作风险主要有两个方面组成，操作风险管理与操作风险计量。两者之间既有互相排斥，也有互相重叠。资本要求是操作风险计量的核心，需要定量的方法。巴塞尔要求持有覆盖操作风险的资本并提供了几种可行的计算方法操作风险管理必须像管理市场风险、

2、信用风险一样严格，也必须建立风险偏好政策，该类政策必须落成文字并概述出银行用以“识别、评估、检测和控制”的方法。操作风险管理的工具箱具体包括5个分别是：损失数据收集、风险控制与自我评估、情景分析、关键风险指标以及强大的报告体系。2. 操作风险管理和其他风险类型的关系所有风险类型都互相关联，操作风险通常也是由于存在其他类型的风险而出现。操作风险事件的大小也可能受到市场风险和信用风险大小的影响。、3个内圈风险5个外圈风险。企业风险管理当中包括：市场风险、信用风险、操作风险、战略风险和流动性风险这些类型。风险之轮中从里到外三圈分别是，企业风险管理、声誉风险、地缘政治风险。企业风险管理体系风险轮形象地

3、说明了所有风险类型之间的关系，风险轮内圈的风险可以影响到风险轮外圈的风险。风险轮只是用来表示各种风险类型之间关系的一种可行的模型，直接体现了有效企业风险管理的复杂性。3. 操作风险管理的驱动因素推动机构操作风险管理的驱动因素主要三个方面：监管机构、高级管理层和第三方机构。除了巴塞尔协议，还有一些其他的监管要求也推动这企业的操作风险管理，如：清偿能力、欧洲的金融工具市场指南、美国的塞班斯法案。此外，高级管理层在咱略业务决策时也需要了解操作风险潜在影响的全面信息。外部的第三方机构（评级机构、投资者和研究分析师）需要有效操作风险管理框架和充足操作风险资本的证据。4. 操作风险架构概览操作风险管理体系

4、应确保操作风险能够被识别、计量、监督、控制和降低。操作风险管理的架构具体包括5个，分别是：损失数据收集、风险控制与自我评估、情景分析、关键风险指标以及强大的报告体系。操作风险管理框架的各个要素实施顺序以及在框架中的相对比重依赖于银行的文化以及监管以及业务驱动因素。“治理”和“文化和意识”始终是最先需要说明的要素。这两个要素推动了操作风险管理框架整体层面的设计和验收。5. 治理适当的治理是有效操作风险管理的核心，没有治理的话，负责操作风险管理体系的人员就无法产生正面积极的推动。企业必须由员工承担其操作风险的管理职能。操作风险管理职能有三个重要特性：独立性、重要性、相关性。治理结构必须确保其操作风

5、险管理职能的独立性，必须赋予该管理职能适当的重要性，必须证明与其机构的相关性。根据公司的企业文化和业务结构，操作风险管理职能可以由首席风险官、首席运营官或者首席财务官、首席合规官负责。操作风险由首席风险官担任对于企业风险全面把控效果最佳，但操作风险的重要性可能也会被忽视。若操作风险由首席运营官负责则对于操作风险跨部门协调和提高重视程度最佳，但独立性可能无法确保。若操作风险由首席合规官负责则确保独立性之余能够更有效体现企业的合规管理。操作风险不能向内审部门进行汇报。另外值得一提的是，巴塞尔明确禁止，操作风险管理向审计部门汇报，该职能必须保持独立于审计部门。可以向中央操作风险管理职能汇报的各个领域

6、具体包括：1、其他操作风险管理团队；2、嵌入式操作风协调员/专家/经理；3、持续经营计划BCP，通常是企业原有最为完善的操作风险管理职能。确保在可能引起业务中断事件后能够持续有效的推进计划；4、信息安全，信息安全只能最好设置在IT部门外部；5、塞班斯-奥克斯利法案SOX，是对美国公开市场交易的企业在财务报表准确性方面提出了操作风险的管理要求；6、新业务审批和新产品审批。6. 文化和意识要获得成功，操作风险必须可以在公司各个层面被识别、评估、监督、控制和降低，而这只能通过一个充满活力的组合变革方案才能得以实现。操作风险需要在企业每个角落进行有效管理，因此有必要推动公司范围内的人员和团队培训。银行

7、内部必须采取三项活动来建立操作风险框架：1、营销和沟通，通常包括海报、电子邮件群发、会堂介绍以及面对面的会谈；2、规划，制定明确的目标、现实的里程碑和实现的任务交付；3、培训，包括让员工了解操作风险的基础模块，并确保所有员工了解一旦发现风险该如何做。7. 政策和程序操作风险管理框架需要配套的政策和程序，企业的审计部门就是依照这些来进行审核的。操作风险政策可能是整体风险政策的一部分，也可能是一个独立的政策，具体可以包括：1、企业操作风险的定义；2、操作风险的治理，包括：谁负责、负责什么以及问题是如何升级管理的；3、操作风险管理职能所管理的主要活动/要素。8. 内部损失数据或者操作风险事件操作风险

8、四大核心要素：1、损失数据收集；2、风险与控制自我评估；3、情景分析；4、关键风险指标损失数据有称为操作风险事件数据，可以由内部事件或者外部事件所引发。损失数据收集需要考虑5个W，whowhatwherewhenwhy，谁负责收集、收集什么、从哪里收集、什么时候收集、为什么要收集。收集和分析操作风险事件可以让操作风险管理职能部门深入了解当前公司的操作风险暴露。WHY-有效损失数据程序的设计都反映了公司特定目标和文化，这些目标包括：1、为操作风险资本模型收集数据；2、识别控制缺陷和风险减缓活动；3、评估风险事件和结果；4、理解当前操作风险暴露和过度风险领域。WHO-指定特定代表，以确保这些损失数

9、据被收集。WHAT风险事件分类最低损失数据标准损失分配到业务线或中心职能部门的标准内部欺诈数据的全面性所有受影响的部门外部欺诈损失报告的阈值边界事件的识别雇佣行为和工作场所安全损失金额行动项目客户、产品和商业惯例回收金额非财务影响有形资产损毁日期间接成本业务中断和系统故障描述和成因收益执行、交割和流程失败会计调整风险事件分类巴塞尔协议规定需要录入到损失时间数据库并满足报告要求的操作风险损失事件包括：1、内部欺诈；2、外部欺诈；3、雇佣行为和工作场所安全；4、客户、产品和商业管理；5、有形资产损失；6、业务中断和系统故障；7、执行、交割和流程失败。第一层级第二层级内部欺诈未经授权的行为盗窃和舞弊

10、外部欺诈盗窃和舞弊系统安全雇佣行为和工作场所安全雇员关系环境安全差异化和歧视性客户、产品和商业惯例适合性、信息披露和受托责任不正当的商业或市场惯例选择、发起和暴露咨询活动有形资产损毁灾害和其他事件业务中断和系统故障系统执行、交割和流程失败交易获取、执行和维持监督和报告新增客户和归档客户账户管理交易对手供应商最低损失数据标准，巴塞尔设定了最低损失数据标准WHERE损失数据通常来自于与风险与控制自我评估、关键风险指标体系、情景分析和资本计算系统共享数据。摩根大通凤凰系统WHEN-企业往往制定标准来要求及时报告事件，但即便如此，从录入数据到最终确认可能需要很长时间。HOW损失数据收集工作流程依赖于公

11、司的政策和流程。边界事件对机构风险计量可能会导致不同的结果，有时高、有时低。9. 外部损失数据外部损失事件数据可以通过订阅数据库或从银行联盟的数据库获得，这些数据以损失事件个案为基础，为公司面临的操作风险提供了有价值的深入见解，并可以作为基准工具，为操作风险资本计算提供数据。虽然外部损失数据存在着一些偏差，但却有助于风险和控制自我评估活动，并为情景分析和关键风险指标提供样本数据。来自不同数据库的信息需要进行评估和斟酌，以充分考虑到信息来源和所隐含的潜在偏差。此外，如果外部数据来自于新闻报道，就会存在报道偏见。这就产生了事件的违法性偏差和戏剧性偏差。10. 风险和控制自我评估风险和控制自我评估程

12、序通过分析各个风险类别或业务流程来帮助公司深入了解其所面临的风险，并为公司的操作风险管理活动提供了一致和透明的方法。采用巴塞尔操作风险资本高级计量方法的公司必须标明他们在这些方法中已经包括了经营环境和内部控制因素。风险和控制自我评估是一个主观的看法，因此准确度要低于客观的外部评估。风险和控制自我评估主要有三种方法：1、问卷调查法，使用一个标准化模板来展示目前普遍接受的风险和控制问题。2、专题讨论会法，是以小组为单位对每个风险和相关控制措施进行讨论、评分和评估。3、混合法，结合上述两种方法。上述不同的方法各自具有优缺点。风险和控制自我评估的评分方法集中在控制有效性、风险影响评分、概率或者频率评分

13、以及风险严重程度评分，以确保公司面临的每个操作风险事件都被充分地描述、管理、计量和监督。评分方法通常是一个关注严重程度和发生频率的矩阵。对于操作风险部门来说，要想在风险和控制自我评估程序的实施中获得成功，就需要做好充足的准备，这包括审阅其他只能部门已有的背景数据、以前的风险和控制自我评估结果、现有其他业务线的风险和控制自我评估结果和内部级外部损失数据。风险影响评分影响类型低中高财务10万美元10100万美元100万美元声誉地方性负面声誉影响区域性全球性法律或法规违反合同或监管责任，不承担任何费用承担一些成本或被谴责导致重大诉讼、罚款或严重谴责客户非关键客户轻度服务失误非关键中度或关键轻度关键中

14、度或非关键重大生命安全1位轻度受伤或生病1受伤或生病严重受伤或生命损失事件之间的长度：低5年、中1年&5年、高1年。11. 情景分析巴塞尔要求实施高级计量法的公司必须在计算操作风险资本时使用情景分析。情景分析的方法包括：1、专题讨论会法；2、访谈法。当然，所有方法都会导致偏差进入到操作风险管理程序。此外，银行必须结合针对外部数据的专家意见来进行情景分析，并使用情景分析来评估其所面临的高严重性事件暴露。判断偏差，是指专家被背景数据和问题形式左右和受到影响。动机偏差，是由估计程序的参与者受其个人利益影响，而非数据影响所导致的。=“钻空子”确保资本的分配不仅由情景分析来决定是避免判断偏差和动机偏差的

15、最有效方法。在设计形成肥尾估计时，情景分析通常也需要确定应该采取的重大风险减缓活动来降低已识别的风险。情景分析还应该被用来评估多个操作风险损失事件同时发生而产生的潜在风险。不同的操作风险数据分析和评估方法产生了不同的结果，这些结果必须和情景分析的目标一致，已形成对可能严重损失的理性评估。12. 关键风险指标关键风险指标KRIs，在操作风险框架中是被用来检测外部风险因素、内部风险因素和控制环境的。关键绩效指标KRIs，测量的是业绩和效率，所面的挑战在于如何正确测量业绩和风险。关键控制指标KCIs，测量的是控制措施的有效性。企业可以选择关键控制指标和关键绩效指标。关键风险指标的设定原则，SMART

16、原则，1、具体的Specific；2、可衡量的 Measurable；3、可实现的 Attainable；4、相关的 Relevant；5、及时的 Timely。操作风险部门必须检测每个关键风险指标，并为关键风险指标设定最低标准。对于每一个关键风险指标，都必须设定如下标准：1、指标名称；2、被检测的风险；3、计算方法；4、关键风险指标负责人；5、亮红、黄、绿的阈值分别是多少；6、报告周期。如果没有行业基准，公司的关键风险指标只能与其自身进行比较，这可能会产生错误的安全感。将关键风险指标与从风险和控制自我评估程序中确定的风险和控制联系在一起，是一种良好的做法，并被视为操作风险管理的关键。13.

17、报告操作风险报告是操作风险管理程序能否成功的关键措施。具体包括：1、损失数据报告；2、行动跟踪报告；3、风险和控制自我评估报告；4、关键风险指标报告。损失数据报告是操作风险管理职能的中心报告活动，报告应具体包括：盈利或损失的影响、损失的趋势、回收的分析、以及损失的风险类别和业务条线。此外，外部损失数据可以对内部数据形成补充。14. 操作风险资本模型巴塞尔提供了三种复杂程度不断上升的方法来计量操作风险的资本要求：1、基本指标法BIA，过去三年平均收入总额乘以15%。（收入=利息收入-利息成本+非息收入，若过去3年中有1年的收入为负数，则平均另外盈利的2年）2、标准法SA，不同业务条线平均总收入乘

18、以不同的乘数因子，该乘数因子由业务条线的不同风险程度来决定。标准法要求银行内部操作风险数据系统必须包括损失在内的所有业务部门。业务条线乘数因子公司金融18%交易销售18%支付结算18%商业银行15%代理服务15%零售银行12%资产管理12%零售经纪12%3、高级计量法 AMA，允许银行建立自己的模型来计算操作风险资本。高级计量法反映银行内部和外部的操作风险损失数据、业务环境、内部控制因素以及情景分析的结果。高级计量法包括了三种建模的方法，具体为：1、损失数据法LDA，（数据收集时间较短、无法反映肥尾事件）；其对于数据的依赖和要求也是最高的，要求的置信度达到了99.9%；2、情景分析法（数据过于

19、主观且样本较少）；3、结合上述两种建模方法的混合法。高级计量法中，模型必须能够衡量预期损失、非预期损失以及尾部事件的损失。采用巴塞尔操作风险资本高级计量法的公司必须已经包括了经营环境和内部控制因素。不管模型最终采用哪种方法，都必须通过压力测试和回返测试来验证其有效性。巴塞尔规定，实施高级计量法的公司可以通过保险来降低操作风险的资本要求，但降低幅度最多不超过20%。15. 风险偏好与其他风险类别不同，操作风险是只要公司存在就会存在的固有风险，因此如何表达操作风险的偏好是具有挑战性的。操作风险框架支持了公司操作风险偏好的演变。阀值和评分会根据风险偏好的变化进行调整。16. 治理、风险和合规操作风险

20、管理的兴起导致治理、风险和合规GRC的出现以及风险管理集中化的尝试，这些激起了对企业风险管理ERM的讨论。治理、风险和合规程序的目标就是把操作风险活动与框架之外、但与操作风险有关的活动进行整合。这些活动范围包括持续经营计划BCP、信息安全、合规审阅、法律事件监测、审计报告和塞班斯方案评估等。17. 其他操作风险的最佳实践巴塞尔的三大支柱中，第一支柱涉及到市场风险、信用风险和操作风险的适当资本计算，并列出了这些风险管理类别的最低定性标准。-最低资本要求。第二支柱涉及到确保符合第一支柱而应实施的监管检查，同时还增加了额外的要求，以确保公司可以不受第一支柱以外风险的影响。-外部监管。第三支柱是指企业

21、需要采用披露要求，包括如何在年度报告中报告风险管理的实践和资本。-市场约束。银行的信息披露有时无需经过内部和外部的审计核准。巴塞尔的操作风险定义明确不包括战略风险和声誉风险，但要求在第二支柱框架中考虑这些风险，而且应该针对这些风险准备相应的资本。第二支柱特别适合处理三个主要领域：1、第一支柱考虑了但没有充分覆盖的风险，如信用集中度风险；2、第一支柱没有考虑的风险，如银行账户的利率风险、战略风险；3、银行外部风险，如商业周期影响。此外，本章节所介绍的最佳实践包括：1、新产品审批；2、供应商和第三方风险；3、法律风险管理；4、监管风险管理；5、人员风险管理；6、舞弊风险管理；7、技术风险管理；8、

22、天气风险；9、传染病应对方案；10、战略风险和声誉风险。18. 操作风险管理主要针对低频率/高影响以及高频率/低影响的风险类别19. 下列哪个不属于操作风险2，1、某银行由于交易部门没有执行头寸限额管理而被监管部门处罚；2、银行持有某公司债券因为该公司违反环保规定受到处罚导致债券价格下跌。20. 操作风险最难于计量和管理。21. 从风险管理的实践来看，银行必须设立独立的风险管理部门，确保部门的独立性和专业性。22. 操作风险的三个层级分类第一层级第二层级第三层级内部欺诈未经授权的行为交易未报告（故意）未经授权的交易（产生资金损失）盗窃和舞弊错报头寸（故意）欺诈/信用欺诈/虚假定金盗窃/勒索/贪

23、污/抢劫挪用资产恶意破坏资产造假空头支票诈骗走私账户接管/假冒等税项不合规/逃税（故意）贿赂/回扣内幕交易（非公司账户）外部欺诈盗窃和舞弊盗窃/抢劫造假空头支票诈骗系统安全黑客侵害信息被盗（产生资金损失）雇佣行为和工作场所安全雇员关系薪酬、福利和终止问题有组织的劳工活动环境安全一般法律责任（滑倒等）员工的健康和安全规则事件工人赔偿差异化和歧视性各种歧视事件客户、产品和商业惯例适合性、信息披露和受托责任违反受托责任/违反指南适当性/披露问题（了解你的客户KYC等）零售客户信息披露违规违反隐私过激销售来回倒账虚设交易滥用机密信息贷款人责任不正当的商业或市场惯例反垄断不当交易/市场惯例市场操纵内幕交

24、易（公司账户上）无照经营洗钱产品缺陷（未授权等）模型错误选择、发起和暴露没有按照指南要求调查客户超过客户暴露上限咨询活动咨询活动业绩争端有形资产损毁灾害和其他事件自然灾害损失外部来源（恐怖主义，蓄意破坏）导致的人员损失业务中断和系统故障系统硬件软件电信电力断供/中断执行、交割和流程失败交易获取，执行和维持错误沟通数据的录入、维护或加载错误错过截止期或没有履行责任模型/系统误操作会计错误/实体归属错误其他任务误执行交付失败抵押品管理失败监督和报告参考的数据维护法定报告义务失败不准确的外部报告（产生损失）新增客户和归档客户权限/免责声明缺失法律文件缺失/不完整客户账户管理未经批准的账户访问错误的客

25、户记录（产生损失）客户资产疏忽损失或损害交易对手非客户交易对手错误交易非客户交易对手杂项纠纷供应商外包供应商纠纷23. 具体风险的分类，需要看风险之轮内圈风险 3外圈风险 5外围风险企业风险管理声誉风险地缘政治风险市场风险7利率风险外汇风险股权价格风险商品价格风险利差风险模型风险事件风险流动性风险1融资风险信用风险3交易风险交易对手风险集中度风险战略风险3保险风险业务风险养老金责任风险操作风险7+1法律和合规风险内部欺诈风险外部欺诈风险雇佣行为和环境安全风险客户、产品和商业惯例风险有形资产损毁风险业务中断和系统故障风险执行、交割和流程失败风险风险24. 巴塞尔协议引入了操作风险VAR发来计量操作风险。25. 高影响高频率的事件一般会直接导致银行很快破产；低影响高频率的事件一般会被理解；高影响低频率的事件一般会由外部事件引起的；低频率低影响的事件一般会被银行所忽视。26. 损失数据的收集程序必须要确保机构各个部门，包括新并购的部门。第 13 页 共 13 页免责声明：图文来源于网络搜集，版权归原作者所以若侵犯了您的合法权益，请作者与本上传人联系，我们将及时更正删除。