企业操作风险管理教材(PPT 93页)bsgz.ppt
-
资源ID:87486600
资源大小:2.13MB
全文页数:94页
- 资源格式: PPT
下载积分:20金币
快捷下载
会员登录下载
微信登录下载
三方登录下载:
微信扫一扫登录
友情提示
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
|
企业操作风险管理教材(PPT 93页)bsgz.ppt
20092009年售前工作总结和年售前工作总结和20102010年工作规划年工作规划企业操作风险管理认证风险管理师培训一、操作风险绪论二、操作风险管理三、操作风险评估四、操作风险应对五、操作风险监测与评价六、操作风险管理案例目录目录企业操作风险管理企业操作风险管理一、操作风险绪论一、操作风险绪论起源与发展起源与发展u历史上,人们首先重视的是市场风险和信用风险,而操作风险直到1994年在瑞士巴塞尔银行监督管理委员会的文件中才正式提及,1997年巴塞尔银行监督管理委员会在其有效银行监管的核心原则中,首次将银行风险归纳为信用风险、国家和转移风险、市场风险、利率风险、流动性风险、操作性风险、法律风险和声誉风险u2004年6月公布的巴塞尔新资本协议正式提出了操作风险管理的架构和方法,操作风险作为一个大的风险分类与信用风险、市场风险、流动性风险一道,成为商业银行风险管理的重要内容u中国学者对操作风险的研究大约始于2000年初,公认的初始文献是2003年由中科院系统所的樊欣、杨晓光发表的中国商业银行操作风险分析,2007年5月中国银行监督管理委员颁布的商业银行操作风险管理指引 是中国第一个关于操作风险的纲领性文件,随后在中国商业银行中,关于操作风险管理的工作逐步开展起来一、操作风险绪论一、操作风险绪论风险事件风险事件20022003200420052008联合爱尔兰银行联合爱尔兰银行韩国信用卡危机韩国信用卡危机星展银行星展银行美国信用卡数据服务美国信用卡数据服务公司公司 Card SystemsCard Systems法国兴业银行法国兴业银行外汇交易员欺诈,损失超7亿美元恶性竞争,放松风险控制,最大的LG信用卡公司濒临破产83个客户保管箱(存有客户资产)被当作废铁运走,部分销毁4000万信用卡用户资料被电脑黑客盗取交易员欺诈,损失74亿美元国内国内*银行银行国内国内*银行银行国内国内*银行银行国内国内*银行大连分行银行大连分行2010年外汇宝交易系统漏洞,损失47万美元系统升级不当,导致全国范围内数个网点系统故障审计署公布查出各类涉嫌违法犯罪案件线索30起,涉案金额69亿元600万美元银行资金被挪用山东齐鲁银行票据欺诈案,险些造成银行的挤兑一、操作风险绪论一、操作风险绪论内控与操作风险内控与操作风险u如果将“内部控制”理解为操作风险的一部分,或者狭义的理解为操作风险就是强调道德风险的内部控制,则操作风险的历史可以提前100年。实际上操作风险与内部控制有着密不可分的内在联系,一种倾向性的意见是将内部控制是为操作风险的一部分,在这样的操作风险框架下,内部控制的COSO框架,实际上也适用于操作风险u从风险处理的层面上去划分内部控制与操作风险可能是一个比较清晰的方式,企业面临的全部风险可以划分为可控制的风险、不可控制的预期损失风险、不可控制的非预期损失风险以及极端风险。在风险管理中我们一般不涉及处理极端风险,因此,在前三类风险中,内部控制主要来处理第一类风险,而操作风险管理则要设计全部这三类风险u如果将操作风险看作是“风险事件”管理的流程,那么就可以典型地将操作风险管理划分为“事先事中事后”,而内控则是操作风险管理的事先部分风险事件内部控制风险事件事中监控风险事件事后分析处理反馈、评估、修正一、操作风险绪论一、操作风险绪论操作风险的定义操作风险的定义机构机构操作风险定义操作风险定义IBM公司发起设立的操作风险论坛 遭受潜在经济损失的可能,是指由于客户、设计不当的控制体系、控制系统失灵及不可控事件导致的各类风险英国银行家协会(BBA)由不足够的或失败的内部流程、人员和系统或外部事件造成的直接或间接损失的风险全球风险专业人员协会(GARP)操作失败风险和操作战略风险。操作失败风险来自操作业务过程中发生失败的可能。操作战略风险则来自一些环境因素。美国银行 由于内部处理过程失误或准备不足(流程风险),或由于人员、系统或外部事件引起的风险,还包括无力以成功、适时与重成本效益的方式来贯彻战略目标和计划的风险花旗银行 由于内部流程、人员或系统不完善或失败以及外部事件而造成损失的风险。包括声誉和授权风险德意志银行 由员工、合同规定和档案保存、技术、基础设施故障和灾祸、外部影响以及客户关系等方面产生损失的潜在风险巴塞尔新资本协议 指由于不完善或失灵的内部程序、人员和系统,或外部事件导致损失的风险。这一定义包括法律风险,但不包括策略风险和声誉风险中国商业银行操作风险管理指引 由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。包括法律风险,但不包括策略风险和声誉风险一、操作风险绪论一、操作风险绪论操作风险的定义操作风险的定义操作风险定义指由于不完善或失灵的内部程序、人员和系统,或外部事件导致损失的风险。这一定义包括法律风险,但不包括策略风险和声誉风险内部控制定义内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。定义要义关注内部,特指业务运营部门的相关风险。内部操作失误、内部业务流程缺陷、系统脆弱是重要的操作风险源内部人员效能和内部人员欺诈在操作风险中起重要作用,而外部欺诈、自然灾害、交通事故、外包缺陷也是风险源一、操作风险绪论一、操作风险绪论风险成因风险成因操作风险形成体制/组织缺陷流程设计管控缺陷内部人员效能及欺诈系统/技术缺陷外部欺诈及其他各种负面事件一、操作风险绪论一、操作风险绪论风险成因风险成因体制/组织缺陷主要包括:公司治理、各项管理经营政策、机构设置、职务设置等方面的各种缺陷流程设计管控缺陷主要包括:业务工作流程设计、流程管控制度执行、风险点发现与管理、风险应对等方面的各种缺陷系统/技术缺陷主要包括:内部业务之间协调调度、系统主体与各个分系统之间的配合、工艺流程技术的适应性、IT系统等方面的各种缺陷外部事件冲击主要包括:政治、监管、自然灾害、业务外包、恐怖威胁、交通事故等外部事件的冲击一、操作风险绪论一、操作风险绪论风险成因风险成因绩效管理缺陷主要包括:员工绩效管理、机构绩效管理、业务条线绩效管理、客户绩效管理等方面的各种缺陷欺诈三角内外部欺诈欺诈动机欺诈时机自我合理化当欺诈三要素:动机、时机以及合理化的借口同时出现的话,欺诈必然发生一、操作风险绪论一、操作风险绪论风险分类风险分类操作风险细分u按照操作风险损失事件导致损失发生的原因可以将操作风险细分为如下7类:1.内部欺诈2.外部欺诈3.就业政策及工作场所安全4.客户、产品及业务操作5.实物资产损坏6.业务中断及系统失灵7.实施、交付及流程管理 一、操作风险绪论一、操作风险绪论风险分类风险分类操作风险细分u按照操作风险形成的主客观因素,可以划分为操作性杠杆风险和操作性失误风险。操作性杠杆风险主要指外部因素引起的操作风险,例如监管引发的合规风险、法律及政治环境引发的合同风险或法律风险、交通事故或自然灾害引发的安全风险等。操作失误性风险则包括:1.执行风险2.信息风险3.法律风险4.人员风险5.关系风险6.系统事件风险一、操作风险绪论一、操作风险绪论风险分类风险分类操作风险细分u按照操作风险形成的主客观因素,可以划分为操作性杠杆风险和操作性失误风险。操作性杠杆风险主要指外部因素引起的操作风险,例如监管引发的合规风险、法律及政治环境引发的合同风险或法律风险、交通事故或自然灾害引发的安全风险等。操作失误性风险则包括:1.执行风险2.信息风险3.法律风险4.人员风险5.关系风险6.系统事件风险一、操作风险绪论一、操作风险绪论风险分类风险分类操作风险细分风险损失的概率分布风险损失的概率分布2.1 2.1 操作风险损失分布图操作风险损失分布图从风险损失的角度,可分为可控制的损失、不可控制的预期损失、不可控制的非预期损失以及极端损失一、操作风险绪论一、操作风险绪论风险分类风险分类操作风险细分内部风险外部风险人员流程信息技术及系统内部盗窃和欺诈未经授权的活动劳动纠纷人员流失适当性、披露和信托责任不良业务或市场行为客户选择和风险暴露交易认定、执行和维持实有资产损失工作场所安全系统中断系统完备性外部盗窃和欺诈系统安全性突发不可抗事件经营环境恶化一、操作风险绪论一、操作风险绪论风险特征风险特征1.广泛性:多样性:操作风险存在于企业经营管理的各个环节,表现为各种形态。2.复杂性:早期操作风险被定义为除信用风险、市场风险以外的所有风险,在企业的经营 管理中,几乎所有的活动都与操作风险有关。3.内生性:操作风险的诱因主要与企业的内部环境有关,主要由操作不合规引发4.因人性:损失事件很多都是由于人为操作因素引起,企业文化对操作风险有重大影响5.可归因性:操作风险大多属于内生性风险,一般可以明确地确定其风险源6.不对称性:承担操作风险一般不能带来明显的收益或者不能在短期显现收益7.背景依存性:操作风险状况通常与企业管理水平有直接关系,随着操作风险管理重视程度的加大,操作风险发生的可能性和损失强度都可能会降低(损失概率分布发生变化)8.可控性:操作风险主要源自员工、系统和流程,这些都由企业直接管理和控制,在这个意义上,可以认为操作风险是可控性风险。9.非财务性:信用风险、市场风险大多都与财务结果有直接联系,而操作风险多不直接体现为财务风险企业操作风险管理企业操作风险管理二、操作风险管理二、操作风险管理基本概念基本概念u操作风险管理是指在实现组织经营目标过程中,相关人员将组织的操作风险控制在组织可接受范围之内的方法和过程,以保障组织经营目标的实现。操作风险管理覆盖面(一个简约的框架)组织结构:包括治理结构、内部控制、组织文化人员:包括人员素质、人员稳定性、薪酬结构、内部欺诈外部因素:包括外部欺诈、经营产所安全性、外部突发事件业务流程:包括业务流程设计缺陷、业务流程执行不规范系统:计算机硬件、计算机软件、通信二、操作风险管理二、操作风险管理管理目标管理目标将业务操作风险控制在一个可以接受的范围内,使得各类业务完成目标之总和,可以实现企业的总体经营目标,这是操作风险管理的总任务。在具体的任务分解上企业操作风险管理的目标是:保证资产安全保证业务运转连续性保证企业和业务的效益和效率保证经营的合规性操作风险管理的目标保证流程任务完成的正确性二、操作风险管理二、操作风险管理管理原则管理原则u企业操作风险管理的六条基本原则:(1)客观性:以风险事件为管理的基础。(2)一致性;建立统一的风险评估规则和计量口径。(3)相关性:考虑各类风险事件的传递和关联(4)透明性:建立公开的行政管理制度和规范(5)整体性:从体系的角度实现业务管理的协调、关联、和匹配(6)完整性:操作风险管理力争做到全面覆盖能有效降低操作风险,使内在风险-已降低风险=剩余风险最小化的操作风险管理的12条黄金法则(Hans-Ulrich Doerig,瑞士信贷集团):(1)战略;(2)结构;(3)系统化;(4)员工;(5)安全;(6)速度;(7)利益相关者;(8)共同价值观;(9)技能;(10)象征;(11)风格;(12)同步二、操作风险管理二、操作风险管理银监会操作风险管理银监会操作风险管理13条条原则原则(1)高度重视防范操作风险的规章制度建设;(2)切实加强稽核建设;(3)加强对基层行的合规性监督;(4)订立职责制,明确总行及各级分支机构的责任,形成明确的制度保障;(5)坚持相关的行务管理公开制度;(6)建立和实施基层主管轮岗轮调和强制性休假制度,并确保这一安排纳入总行及各级分支机构的人事管理制度;(7)严格规范重要岗位和敏感环节工作人员八小时内外的行为,建立相应的行为失范监察制度;二、操作风险管理二、操作风险管理银监会操作风险管理银监会操作风险管理13条条原则原则(7)严格规范重要岗位和敏感环节工作人员八小时内外的行为,建立相应的行为失范监察制度;(8)对举报查实的案件,举报人属于来自基层的员工(包括合同工、临时工)的,要予以重奖;(9)加强和完善银行与客户、银行与银行以及银行内部业务台账与会计账之间的适时对账制度,对对账频率、对账对象、可参与对账人员等做出明确规定;(10)加强未达账项和差错处理的环节控制,记账岗位和对账岗位必须严格分开,坚决做到对未达账和账款差错的查核工作不返原岗处理(11)严格印章、密押、凭证的分管与分存及销毁制度,坚决执行制度规定,并对此进行严格检查,对违规者进行严厉惩处(12)加强对可能发生的账外经营的监控(13)迅速改进科技信息系统,提高通过技术手段防范操作风险的能力,支持各类管理信息的适时、准确生成,为业务操作复核和稽核部门的稽查提供坚实基础二、操作风险管理二、操作风险管理管理框架管理框架Haubenstock(2004)操作风险管理框架治理模型战略政策风险识别控制框架评估监测和度量报告基础设施环境流程验证和在评估二、操作风险管理二、操作风险管理管理框架管理框架改进的 Haubenstock(2004)操作风险管理框架经济体制风险管理外部环境外部监管风险基础内部组织信息风险管理内部环境风险识别风险度量风险控制风险监测风险报告风险战略:风险偏好 管理目标 风险政策风险管理流程二、操作风险管理二、操作风险管理管理框架管理框架全面风险管理框架内部环境目标设定事项评估风险评估风险应对控制活动信息沟通监控战营经告报规合略子 公 司业务单元 分 部主体层次框架有三个维度,第一维是企业的目标;第二维是全面风险管理要素;第三维是企业的各个层级。第一维企业的目标有四个,即战略目标、经营目标、报告目标和合规目标。第二维全面风险管理要素有8个,即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。第三个维度是企业的层级,包括整个企业、各职能部门、各条业务线及下属各子公司。EMR三个维度的关系是,全面风险管理的8个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上8个方面进行风险管理。该框架适合各种类风险二、操作风险管理二、操作风险管理管理框架管理框架德意志银行操作风险管理框架 方 法 及类别信息技术解决方案将操作风险纳入资本计量沟通和培训操作风险管理流程 操作风险定义主要原则标准组织架构、角色和责任报告和工具操作风险指标方针操作风险支持 识别控制/缓释评估报告监测操作风险 工具二、操作风险管理二、操作风险管理管理框架管理框架国际商业银行操作风险管理框架风险分析与评价风险分析与评价二、操作风险管理二、操作风险管理管理框架管理框架SUNAGARD操作风险管理框架风险战略风险战略与政策与政策损失数据收集损失数据收集关键风险指标关键风险指标风险与控制自评估风险与控制自评估经营管理流程经营管理流程二、操作风险管理二、操作风险管理完整管理框架完整管理框架操作风险管理完整框架制定明确的操作风险管理政策建立风险识别的一套公共语言构造最优的操作风险计量方法构建适当的业务流程建立适时的风险报告能力提供风险敞口管理进行风险分析(情景分析/压力测试)分配经济资本二、操作风险管理二、操作风险管理完整管理框架(续)完整管理框架(续)操作风险偏好/战略风险识别风险监测与预警风险分析风险评估风险敞口管理风险报告风险应对行动预案建立适当的业务流程分配经济资本监督、反馈、改进(稽核与审计)事先、事中、事后操作风险管理治理结构二、操作风险管理二、操作风险管理机构及职责机构及职责授权确定操作风险偏好建议战略、批准控制、管理绩效审核设计框架、趋势和集团操作风险状况监控、质量评估添加部门管理层和业务控制环节、监控部门操作风险状况二、操作风险管理二、操作风险管理管理流程与主要工具管理流程与主要工具识别风险控制/缓释风险监测及报告衡量与评估风险关键风险指标(KRI)内部控制(流程控制)保险 应急或连续运转机制外包承担风险承担风险u内部历史事件归纳(内部损失事件数据库)u外部历史事件归纳(外部损失事件数据库)u情景分析u流程分析u评估原则:自我评估为主,有时会采用独立第三方评估u评估内容:固有风险(无管理风险)、控制风险(控制失效风险)、剩余风险u评估方法:检查表法、叙述法、交流法、评估自动化工具、成熟度模型u风险坐标图u风险监测指标以及指数化预警u调查问卷u内控评价二、操作风险管理二、操作风险管理管理流程管理流程业务流程分析确定风险点内部控制制度建立风险点管控规则风险评估风险敞口计量风险点监控风险应对风险分析事先管理事中管理事后管理上上岛岛上上岛岛二、操作风险管理二、操作风险管理主要管理活动主要管理活动1.梳理操作风险管理环境,建立操作风险治理结构2.设计操作风险管理框架3.提取企业决策者操作风险管理策略4.建立企业内部控制体系5.收集、统计发生在企业内外的各种相关风险事件,建立风险事件数据库6.根据业务流程中评测的风险点以及系统脆弱性评估,建立风险应对预案7.通过关键风险指标(KRI)的建立,实现对业务流程的实时监测或阶段稽核8.通过风险事件的报告体系启动风险应对和风险分析9.通过对风险事件的损失和发生频率分析,计算操作风险的预期损失和非预期损失,从而建立操作风险的风险拨备和经济资本,以对冲风险二、操作风险管理二、操作风险管理主要管理活动主要管理活动操作风险管理业务正确性管理业务的成本效益管理业务的合规性管理反欺诈内控体系建设风险敞口管理及经济资本计量外部冲击与危机处置员工及组织的绩效管理操作风险报告战略目标风险偏好二、操作风险管理二、操作风险管理ITIT系统框架系统框架操作风险数据库控制程序文件风险事件集合关键风险指标KRI风险应对预案KRI监测预警与控制内控子系统业务正确性管理员工组织业务绩效管理损失事件分析管理有效性评估风险敞口控制经济资本计量操作风险报告操作风险应对二、操作风险管理二、操作风险管理ITIT系统框架系统框架企业操作风险管理企业操作风险管理三、操作风险评估三、操作风险评估基本概念基本概念u操作风险评估是企业操作风险的管理者,依据企业董事会或企业决策者的风险管理战略或风险管理偏好,所开展的操作风险识别、操作风险分析以及风险评价的全过程风险管理战略操作风险识别操作风险分析操作风险评价三、操作风险评估三、操作风险评估风险识别流程风险识别流程u操作风险识别的主要步骤三、操作风险评估三、操作风险评估风险识别原则风险识别原则系统性:不局限在特定业务、部门、人员、标的物,研究企业范围内的全部风险。连续性:不断分析企业面临各类风险及其变化规律,特别是由于环境变化新产生的风险。制度性:使风险识别成为有组织、有制度的常规性工作。风险因素风险事件损失/收益风险识别三要素:三、操作风险评估三、操作风险评估风险识别之环境因素风险识别之环境因素u关键风险诱因(KRD)的构成 引发操作风险的重要影响因素称为关键风险诱因(KRD)。这些影响因素的变化会导致操作风险发生或已有操作风险损失的变化,KRD可以定性或定量描述。三、操作风险评估三、操作风险评估风险识别之环境因素风险识别之环境因素u关键风险诱因(KRD)的形成机理1、风险管理文化缺失 风险管理文化决定商业银行经营管理过程的风险管理观念和行为方式。部分企业高级管理者在业务经营管理中,以人情代替制度,重信任轻原则,导致授权过大或越权行为,引发大量的操作风险损失。由于历史和体制的原因,大部分中国企业风险管理意识薄弱,操作风险管理带有外部驱动的特点,操作风险管理不能适应业务快速发展、风险日益变化的需要。三、操作风险评估三、操作风险评估风险识别之环境因素风险识别之环境因素管理体系:不是垂直管理管理职则:分散组织架构:不清晰内部监督:总行缺乏力度外部监管:手段技术落后缺乏整体规划和系统性管理方法落后内控建设缺乏前瞻性监管制度不完善三、操作风险评估三、操作风险评估风险识别之环境因素风险识别之环境因素3、人力资源状况欠佳:中国企业体制改革不断深化,重组、裁员、改制、分流,给员工带来的安全感降低,忠诚与信任度下降,员工在长期较大的环境压力下,表现出普遍的心理焦虑问题,潜藏着操作失误的风险隐患。具体如下图:恐惧下岗心理、前途无望心理、疲劳厌倦心理、安于现状心理、大胆冒险心理三角理论:基层业务机构压力、对基层疏于控制产生机会、为欺诈行为找到借口用人失察、凝聚力不强、放松思想、价值观扭曲道德缺失职业舞弊人力资源管理不到位操作风险三、操作风险评估三、操作风险评估风险识别之环境因素风险识别之环境因素4、操作风险信息不对称(1)业务管理流程中的信息不对称(2)风险纰漏中的信息不对称5、技术和设备相对落后。主要表现为信息系统部门割据、流程中断,阻碍了企业内部和企业之间的信息共享,弱化了风险识别和控制功能;此外,部分企业的硬件和软件设备落后,不标准系统和低标准系统之间的不协调也是主要的诱因。三、操作风险评估三、操作风险评估风险识别之环境因素风险识别之环境因素6、转型期的社会环境及市场变动相对复杂从各国的经验来看,当一个社会的人均GDP处于1000-3000美元的时候,正是这个社会的经济变化最剧烈的时期。2008年中国的人均GDP2460美元,这一阶段既是中国经济发展的黄金时期,也是社会矛盾凸显时期。(1)外部:针对银行的抢劫、诈骗、盗窃等犯罪活动突出;(2)内部:国有企业的改革和其它所有权形式的发展过程中出现的同业竞争不规范、各商业企业市场定位不明确、产品服务同质化现象严重 7、金融生态环境不理想(1)社会信用秩序比较混乱(2)商业银行客户选择权极为有限 三、操作风险评估三、操作风险评估风险识别之关键风险诱因风险识别之关键风险诱因三、操作风险评估三、操作风险评估风险识别之方法论风险识别之方法论u惯性原理 任何事件在其发展过程中,都有从过去到现在及延伸到将来的可能性。u量变到质变原理 风险事件从潜在危机到形成损失一般存在风险因素发生和积累从量变到质变的规律。u 多米诺骨牌原理 风险的发生是由一系列“事故”的第次反应导致的,这些事故可以形象地看作立着的多米诺骨牌,一个骨牌倒下会引起连锁反应;每一个因素依赖于前面的因素。u能量释放原理 风险的产生是因为对财产和人员施加的压力超过其可以承受的极限,能量失去控制所至。能量失控导致火灾、事故、工业伤害和其他损失发生的情形。三、操作风险评估三、操作风险评估风险识别之方法论风险识别之方法论目标导向风险识别目标导向风险识别:组织或项目小组有目标。任何可能危及部分目标获得的事件都被识别为风险。目标导向是COSO的基础。情景导向风险识别情景导向风险识别:在情景分析中,创造出不同的情境。情景可以是达到目的的不同方式,或作用力交互作用的分析。如市场、战争。任何触发不希望情景的事件都被识别为风险。分类导向风险识别分类导向风险识别:此处的分类是可能风险源的一个事故结果。依据分类和实践的知识,编辑一个问题集合。对问题的回答反映出风险。三、操作风险评估三、操作风险评估风险识别之方法论风险识别之方法论经验导向风险识别经验导向风险识别:经验化为知识库,如对常见风险作成检查表,进行对照。在一些行业,可以列出已知风险。表中的每项风险可以有相应的对策。流程导向风险识别流程导向风险识别:对企业或组织的主要业务流程进行分解,发现每个流程的,各个环节是否存在风险因素,可同时进行业务流程优化。事件导向风险识别事件导向风险识别:基于已发生事件(基于理赔、专项调查),针对风险事件的资料情况,找出共性的风险因素。专业机构或专门组织分析完成,需大量占有事件资料。三、操作风险评估三、操作风险评估风险识别之方法论风险识别之方法论识别操作风险就是要回答以下问题:在业务运行过程中,本组织面临哪些操作风险?操作风险的驱动因素有哪些?什么是潜在事项?哪些潜在事项可能引发操作风险?操作风险的损失和收益结果是什么?什么是关联风险、关联风险因素、关联事件和关联事件可能产生的后果?操作风险的诱发原因是什么?操作风险可能发生的地点?操作风险可能发生的时间?识别操作风险需要考虑的问题三、操作风险评估三、操作风险评估风险识别之方法论风险识别之方法论产品分类业务流程梳理风险点发现风险敞口分析与计量操作风险经济资本配置风险管理战略风险辨识风险评估内部控制风险应对信息交换与沟通风险管理系统运行监控RCSA-Risk and Control Self-assessmnet三、操作风险评估三、操作风险评估风险识别方法风险识别方法风险识别方法事故树和事件树调查问卷法抽样访谈法比较分析法检查表法保护层分析法蝶形图分析法专家评估法人工智能技术三、操作风险评估三、操作风险评估风险识别方法风险识别方法欺诈压力自我合理化机会财务欺诈是指会计活动中相关当事人为了逃避纳税、分取高额红利、提取秘密公积金等谋取私利的目的,事前经过周密安排而故意制造虚假会计信息的行为。欺诈概率为:P(F)=f(M,O,R),其中M为动机,O为机会,R为理性程度或者P(F)=f(G,O,N,E),其中G为贪婪,O为机会,N为需要,E为揭露。财务欺诈风险识别三、操作风险评估三、操作风险评估风险分析风险分析风险分析的目的是了解风险,了解风险的影响和了解风险发生的频度,了解风险严重性的级别,以便决定它的可容忍性或可接受性,从而研究和选择治理风险的最好策略和途径风险分析确定已识别出风险事件的影响结果及其发生的可能性考虑现在有无任何控制措施和现有控制措施风险发生的效果根据可能性和影响结果确定风险水平估计风险敞口及发生频率估计无风险缓释的风险危害估计风险发生的严重程度三、操作风险评估三、操作风险评估风险分析方法风险分析方法操作风险分析的方法可以分为:定性分析、半定量分析、定量分析三类。各类分析方法所依据的事实和数据主要来自于一下几个方面:(1)过去的记录;(2)相关的的实践经历;(3)相关的文章和资料;(4)市场测试和研究;(5)公共咨询或调查结果;(6)试验和样板典型;(7)社会经济模型、工程技术模型或其他模型;(8)特种专才或专家评判。三、操作风险评估三、操作风险评估风险分析方法风险分析方法操作风险分析定性方法调查问卷法专家会商法自我评价法情景分析法风险敞口发生频率定性法的主要缺陷是“受制于专家的主观判断”和“缺乏统一标准,而导致结果变化莫测”。但由于客观上缺乏操作风险的损失数据和无法找到某些操作风险的风险因素与其发生概率和损失大小之间的清晰关系,定性分析方法虽然有难以克服的缺点,仍然是一种常用的风险分析工具。三、操作风险评估三、操作风险评估风险分析方法风险分析方法操作风险分析定量方法历史风险事件统计回归分析情景模拟技术蒙特卡洛模拟风险敞口发生频率三、操作风险评估三、操作风险评估风险分析方法风险分析方法操作风险价值与经济资本计量方法操作风险经济资本计量:1.基础法2.标准法3.内部度量法 操作风险价值计量:1.损失分布法2.记分卡方法3.蒙特卡洛模拟法4.极值理论方法5.贝叶斯方法6.方差协方差方法7.统计回归方法三、操作风险评估三、操作风险评估风险评价风险评价风险评价就是在风险识别、风险分析的基础上完成以下工作:当前的风险是否需要管理?风险的重要性如何?管理的次序怎样?如何管理?管理的备选方案有哪些?企业操作风险管理企业操作风险管理四、操作风险应对四、操作风险应对应对策略应对策略操作风险应对是指风险管理者通过各种可能的操作或措施抑制、缓释、对冲、转移操作风险,使其最终造成的损失控制在可以接受的范围内,并且对企业的经营目标的实现、品牌声誉、监管要求不造成明显的负面影响。操作风险应对策略避免风险分担风险转移风险保留风险减缓风险改变风险消除风险源四、操作风险应对四、操作风险应对风险治理风险治理1.操作风险治理方法之“内部控制”企业内部控制体系设计程序:战略目标分解为经营目标,经营目标分解为操作目标财务类目标操作类目标管理类目标工作流程设计风险节点控制控制程序文件控制管理规范流程管理重新设计(测试与调整)风险控制文档解决内控组织执行问题解决内控标准控制依据问题解决内控执行基础问题四、操作风险应对四、操作风险应对风险治理风险治理2.操作风险治理方法之“事中监控”业务运行的循环圈中提取关键风险指标KRI(基于事先的风险识别)在业务运转的流程中进行风险预警(基于KRI的阈值)根据事先设计的风险应对措施实施风险抑制操作案例:系统信息安全监控四、操作风险应对四、操作风险应对风险治理风险治理3.操作风险治理方法之“风险转移”当操作风险评估确认风险无法自行承担时可以实施风险转移策略通过购买保险转移风险通过业务外包转移风险四、操作风险应对四、操作风险应对风险治理风险治理4.操作风险治理方法之“风险承担”当操作风险评估确认风险法自行承担时可以实施风险对冲处置策略通过操作风险拨备对冲预期风险通过操作风险经济资本对冲非预期风险企业操作风险管理企业操作风险管理五、操作风险监测与评价五、操作风险监测与评价操作风险的监测与评价是操作风险管理的事后处理,它是针对已经发生的风险事件或系统运行的状况,完成以下工作:(1)分析事件、变化和趋势,并从中吸取经验教训;(2)检讨风险管控的机制和措施的有效性,改进风险管控的机制和风险应对的策略;(3)识别正在暴露的和潜在的风险,以及新风险;(4)风险应对分析收集已发生的风险事件审查当前系统的脆弱性分析风险事件属性和特征研究其发展趋势和变化改进风险管控机制和措施识别潜在的新风险风险应对以及风险对冲缓释效果分析五、操作风险监测与评价五、操作风险监测与评价监测机制监测机制u风险监测通常由两种主要的形式,即外部监测或外部风险审计和内部监测或内部风险审计u外部审计通常由会计师事务所、律师事务所、风险管理咨询公司承担;内部审计或风险监测则由企业内审部门或企业风险管理部门承担u监测或审计的目的是对企业风险管理体系的效用评价,即是对企业因应规避、减轻、转移、控制运行风险而建立的风险管理体系或方法的完备性、有效性进行评估,帮助企业或企业监管单位进一步改进该风险管理体系,所进行的对体系设计、建设、管理和运行情况水平的全面分析和评估u企业风险管理系统效用评价在形态上表现为一个知识体系,通过指标的获得,指标的量化,指标的判断和对指标的综合评价,得到所评价的企业风险管理系统的效用等级。评价者的背景在体系中所发挥的作用,取决于对系统所使用的应用参数的修订能力,或修订的必要性。而系统应用参数的建立主要是通过对有丰富企业管理经验的专家的采样来获得五、操作风险监测与评价五、操作风险监测与评价审计与评价审计与评价企业风险管理有效性评价触及核心风险的全面评价容易掌握的程序化的操作方法定性评价与定量评价相结合结果和结构透明公平公正公开五、操作风险监测与评价五、操作风险监测与评价审计与评价审计与评价v通过设置的一系列指标来观测企业风险管理的质量,并从中发现企业可能面临的风险,这是一种直接而有效的方法。v企业风险管理体系运行有效性评价指标体系包括:(1)体系完备性 (2)系统深入性 (3)管理详细性 (4)目标达成性 (5)运行有效性 (6)持续维护性最为重要的监测与评价就是对已发生的风险事件和风险表征指标的观测与分析!五、操作风险监测与评价五、操作风险监测与评价风险报告风险报告企业应对操作风险状况和实质性风险损失进行定期监控。监控结果应以适当方式向管理层和董事会报告,以支持积极的操作风险管理工作。风险报告应做到:(1)及时;(2)准确;(3)清晰;(4)一致;(5)持续风险报告的分类:操作风险报告按照反映风险内容的不同,可以分为:1.预测型的操作风险报告:各种操作风险的趋势汇报;2.监控型的操作风险报告:各种操作风险关键控制指标的报告3.评估型的操作风险报告:自我评估检查、独立专家评估等4.周期型操作风险报告:用于各期的比较分析,Benchmarking等5.专项操作风险报告:用于特定运营项目或者运营条件下五、操作风险监测与评价五、操作风险监测与评价风险报告风险报告典型的操作风险报告框架风险分类下当前的总体操作风险水平(监测)已发生发生风险事件的统计分析风险事件评估系统脆弱性评估风险应对建议及效用分析风险缓释工具使用风险拨备与经济资本占用五、操作风险监测与评价五、操作风险监测与评价风险报告风险报告五、操作风险监测与评价五、操作风险监测与评价风险报告风险报告企业操作风险管理企业操作风险管理六、企业操作风险管理案例六、企业操作风险管理案例操作风险事后管理案例法律风险管控操作风险事中管理案例网上银行欺诈风险管控六、企业操作风险管理案例六、企业操作风险管理案例ITIT系统系统操作风险管理数据库风险数据收集风险识别流程梳理自我评估风险监控关键指标风险缓释控制经济资本计量机构风险评级风险报告损失事件风险辨识方法风险计量模型风险应对策略外部数据内部业务部数据控制工作进度和质量发现和培养人才检讨环节领导的工作决策失误全面监测和分析企业的薪酬福利政策岗位能力分析与配置(组织成熟度)绩效管理使企业业绩得以改善和提升强化员工向心力保证持续发展六、企业操作风险管理案例(六、企业操作风险管理案例(1 1)操作风险识别(绩效管理)?个性、兴趣、气质工作特长、工作能力、工作态度个人发展规划家庭状况、家庭负担综合素质、专业技能任何时点的工作内容、工作情况领导能力、交际能力合作能力影响岗位安排合理性不利人才培养限制员工发挥低效工作控制降低团队效率企业并不真正了解自己的员工六、企业操作风险管理案例(六、企业操作风险管理案例(1 1)操作风险识别(绩效管理)绩效管理人力资源战略企业经营战略没有清晰可操作的经营发展战略 没有清晰务实的人力资源战略绩效管理不体现战略企业战略体现不清晰 操作风险识别(绩效管理)六、企业操作风险管理案例六、企业操作风险管理案例?个人职业规划员工能力评估任务达成率比较绩效指数比较激励与补偿政策不利于人才培养不能形成良性竞争限制员工主动发挥降低团队效率绩效管理缺乏透明度六、企业操作风险管理案例(六、企业操作风险管理案例(1 1)操作风险识别(绩效管理)员工综合素质评估个人职业规划工作价值评分任务达成率个人绩效指数其他个人评估绩效管理不具备人才发现机制六、企业操作风险管理案例(六、企业操作风险管理案例(1 1)操作风险识别(绩效管理)不能使用合适的人到适当的岗位决策轻率,朝令夕改任人唯亲,压制人才缺乏总体连贯性构想,不能进行有效的积累项目开展无显著意义,造成组织整体效率低下经营或专业素养不全面,造成发展潜力障碍绩效管理不能监测环节领导的失误六、企业操作风险管理案例(六、企业操作风险管理案例(1 1)操作风险识别(绩效管理)KPI指标360度全方位考核各种考核表单员工自评部门领导评语人力资源部门汇总排序填写各种调查表平衡记分卡激励补偿计算考核申诉处理高成本的绩效考核操作严重挫伤绩效管理的积极性 采用自动化技术让绩效管理融入企业日常工作方是正途六、企业操作风险管理案例六、企业操作风险管理案例 操作风险识别(绩效管理)矛盾与冲突企业文化氛围员工工作风格企业职位竞争团队和谐与配合企业发展员工个人发展沟通交流反馈自省企业文化氛围阻碍企业绩效六、企业操作风险管理案例(六、企业操作风险管理案例(1 1)操作风险识别(绩效管理)?高才低用或低才高用不能进行有效的职位配置不能发现人才使用人才没有员工培训和淘汰机制没有清晰的职位说明没有完善的员工能力评估体系六、企业操作风险管理案例(六、企业操作风险管理案例(1 1)操作风险识别(绩效管理)绩效管理预警工作进度员工绩效项目开展薪酬政策环节领导沟通与反馈没有绩效管理预警机制六、企业操作风险管理案例(六、企业操作风险管理案例(1 1)操作风险识别(绩效管理)资源输入绩效计划绩效辅导效益输入反馈与沟通总结与预警绩效考核消除文化隔阂协调工作风格发现存在问题提升企业向心力没有积极有效的反馈沟通机制六、企业操作风险管理案例(六、企业操作风险管理案例(1 1)操作风险识别(绩效管理)组织成熟度组织绩效的水平组织达成任务的能力评价组织中岗位配置的合理性组织中员工专业水平的等齐度没有常规的组织有效性评价六、企业操作风险管理案例(六、企业操作风险管理案例(1 1)操作风险识别(绩效管理)Q&AThanksThanks演讲完毕,谢谢观看!