操作風險案件防控

操作風險案件防控培訓

內容◆操作風險的定義和內涵◆我國銀行業(yè)操作風險事件特征分析◆操作風險管理工具◆關于案件防控治理的建議

第一部分◆操作風險的定義和內涵巴塞爾委員會定義：由不完善或有問題的內部程序、人員及系統(tǒng)或外部事件所造成損失的風險。本定義包括法律風險，但不包括策略風險和聲譽風險。

法律風險*策略風險*聲譽風險*因無法履行的合同（全部或部分）、訴訟、不利的判決或其他法律程序使銀行的業(yè)務中斷或對銀行狀況造成不利影響而帶來的風險。

公眾對某家銀行做法持負面評價（無論真實與否），從而導致其客戶群縮小、發(fā)生昂貴的訴訟及/或使其收入下降的可能性

。來源于不合適的業(yè)務戰(zhàn)略，或與該戰(zhàn)略有關的假設條件、參數(shù)、目標以及其它特征有了負面的改變。

*以上定義引自FSIConnect文件

-客戶、產品和業(yè)務實踐與滿意度、忠誠缺失、銷售業(yè)務等相關的成本和法律責任黑客、分支行搶劫-外部欺詐前臺/中臺/后臺執(zhí)行錯誤、程序故障-執(zhí)行和程序錯誤-雇傭和工作場所安全自然災害和人為破壞-實物資產損耗風險事件案例-內部欺詐-業(yè)務中斷和系統(tǒng)故障軟件、硬件和電信問題雇員盜取，頭寸錯報與不正當?shù)剞o退職工、騷擾、薪酬等相關的成本和法律責任

巴塞爾新資本協(xié)議的操作風險分類

按照我國銀行管理實踐的分類

-外部事件風險指直接來自外部的主客觀因素給銀行帶來的損失和影響，包括犯罪、法律糾紛、災害、政治事件等。指銀行管理制度、業(yè)務流程存在缺陷、漏洞，導致員工操作差錯或不法分子蓄意犯罪而造成的損失。-流程風險-IT系統(tǒng)及技術風險風險分類定義-人員風險指銀行員工違法違規(guī)挪用、盜用、詐騙銀行資產；或由于自身素質、能力達不到崗位要求、工作不盡職造成的損失。指銀行內部IT系統(tǒng)不完善、軟件硬件故障，不能形成對風險的技術預警、控制，或影響正常運行造成的損失。

案件與操作風險的關系

·操作風險是產生銀行案件的主要根源，案件是操作風險的主要表現(xiàn)形式?！ゃy行案件風險屬于操作風險的范疇，是銀行工作人員發(fā)生違法違規(guī)違紀案件，或內外勾結，及外部侵害（詐騙、盜竊、搶劫等）案件造成銀行資金財產損失和聲譽損失的風險。內部欺詐外部欺詐第一類案件第二類案件

數(shù)據來源說明◆中國金融網與中國銀監(jiān)會網站1987年至2009年的操作風險事件713起根據發(fā)現(xiàn)時間進行分類事件類型：內部欺詐；外部欺詐；雇員行為和工作場所安全；客戶、產品和業(yè)務活動；實體資產損失；業(yè)務中斷與系統(tǒng)失誤;執(zhí)行、交割和流程管理7種參考資料：陳平，戴偉光.經濟視角，2011（11）。

事件類型內部欺詐外部欺詐雇員行為和工作場所安全客戶、產品和業(yè)務活動實體資產損失業(yè)務中斷與系統(tǒng)失誤執(zhí)行、交割和流程管理損失額（萬元）63280392564036103004944351815949254432761損失強度（%）63.1525.590.104.941.810.094.32事件頻數(shù)5051392275530事件頻率（%）70.8319.490.283.790.700.704.21每件損失額（萬元/件）12530.7718446.305150.0018312.4136318.81850.8014425.372.操作風險事件類型分析

2.操作風險事件的地域分布序號事件頻數(shù)排序損失總額排序省份事件數(shù)（件）省份損失總額（萬元）1北京79廣東27898402廣東77北京13722573河南55江蘇7301334湖南35吉林6383795浙江34上海6004536上海32山西4721917江蘇31遼寧4104388四川28黑龍江3060569山東26四川28975810湖北26河南279851

3.事件類型與地域交叉分布特征◆（1）沿海地區(qū)沿海地區(qū)商業(yè)銀行操作風險事件不僅案發(fā)數(shù)量大，而且涉及所有的事件類型。（2）中部地區(qū)三省份中部地區(qū)商業(yè)銀行操作風險事件頻率與損失強度較大的省份有湖南、湖北和山西。這3個省份發(fā)生的操作風險事件共80件，占全國操作風險事件總數(shù)的11.2%。

3.事件類型與地域交叉分布特征（3）云貴川渝地區(qū)云南發(fā)生操作風險事件24件。貴州發(fā)生操作風險事件15件。四川發(fā)生操作風險事件27。重慶發(fā)生操作風險事件13件。云貴川渝地區(qū)發(fā)生的操作風險事件共79件，占全國操作風險事件總數(shù)的11.08%。

3.事件類型與地域交叉分布特征◆（4）東北三省吉林省每件損失均額53198萬元，僅次于香港居第二位，東北三省商業(yè)銀行操作風險事件的損失總額與每件損失均額排序多居前列。東北三省商業(yè)銀行操作風險事件案發(fā)的主要原因為內部欺詐，其次為外部欺詐，由內、外部欺詐引起的事件數(shù)占東北三省商業(yè)銀行操作風險事件總數(shù)的98.11%。

LDC（操作風險損失數(shù)據）RCSA（操作風險自評估）RISKMAP（風險地圖）KRI（關鍵風險指標）BCM（業(yè)務持續(xù)性管理）

第三部分操作風險管理工具15監(jiān)測及報告識別風險控制/緩釋風險衡量與評估RCSA--①KRI--②LDC--③BCM--④RiskMap--⑤①①③②①④⑤③16過去現(xiàn)在未來操作風險損失數(shù)據（LDC）自評估（RCSA）關鍵風險指標（KRI）

損失數(shù)據庫是記錄銀行與操作風險有關的損失數(shù)據的工具主要作用：反映過去操作風險的損失狀況和分布情況提示管理層注意風險高發(fā)部位，并有針對性地采取措施為計量操作風險資本提供數(shù)據基礎存在問題：數(shù)據質量問題：全面性、準確性、及時性數(shù)據標準問題：日期、金額、范圍分配原則：一個事件導致多個業(yè)務條線損失邊界：信用風險、市場風險

1.操作風險損失數(shù)據(LDC)

常見的操作風險損失與信用風險有關操作風險損失事件（一）貸款欺詐：通過偽造虛假材料等外部欺詐或內外勾結等手段非法獲取貸款而形成信貸資產損失、票據詐騙等。（二）員工違規(guī)：因未辦理擔保登記或未對抵質押物進行必要監(jiān)控，或貸款文件存在法律問題，或因逆程序、越程序、超授權、授信條件不落實等違規(guī)辦理貸款造成信貸資產損失，經信貸責任認定為存在主觀原因的事件。

常見的操作風險損失監(jiān)管處罰—監(jiān)管罰沒自然災害造成的實物資產損失、維修費用投入—資產損失因操作風險事件引發(fā)的訴訟和仲裁費用，如銀行做為被告—法律成本對客戶或交易對手的賠償—對外賠償案件—內部欺詐、外部欺詐、搶劫等員工操作差錯、賬務差錯、系統(tǒng)故障等造成的損失202.操作風險自評估（RCSA）風險評估—RA控制評估—CA情景分析風險與控制自我評估－RCSA風險與控制評估—RCA各類機構使用過與風險控制自我評估(RCSA)相類似的方法至今，未形成RCSA的行業(yè)標準21基礎的操作風險管理工具－自評估了解身邊的風險；發(fā)現(xiàn)問題，解決問題，促進制度和流程的優(yōu)化業(yè)務流程的參與者、活動的實施者采用一定的方法對業(yè)務流程、活動中存在的操作風險的狀況以及控制活動的效果進行定性或定量評價的活動。推動經營管理活動的主體承擔責任、主動管理操作風險促進健康的風險文化（機構關注風險收益平衡、人員關注身邊的風險）目的1目的2目的3操作風險自評估（RCSA）

1.中國銀監(jiān)會關于印發(fā)《商業(yè)銀行操作風險管理指引》的通知-銀監(jiān)發(fā)〔2007〕42號2.中國銀行業(yè)監(jiān)督管理委員會關于加大防范操作風險工作力度的通知-銀監(jiān)發(fā)〔2005〕17號(防范操作風險十三條）3.防范操作風險內控“十個配套與聯(lián)動”、“八個重要環(huán)節(jié)”以及干部交流、崗位輪換、親屬回避和強制休假四項制度

操作風險相關監(jiān)管法規(guī)233.風險地圖（RiskMap）24．０.1萬元1萬元10萬元100萬元1%0.1%0.01%0.001%⑥②⑧⑤③①④⑦⑨風險地圖示例重點管理不可接受可以忽略風險地圖（RiskMap）254.關鍵風險指標（KRI）

關鍵風險指標是用來持續(xù)監(jiān)測銀行操作風險狀況變化的工具主要作用：風險預警突出變化，對銀行的風險水平給出清晰的視圖動態(tài)持續(xù)監(jiān)測控制的有效性重要的KRI標準：與關鍵風險的相關性—指標的變動可以揭示風險變化情況可度量—能夠利用現(xiàn)有資源和系統(tǒng)對其進行度量26KRI（指標范例）定義：人員流動率=當月離職員工人數(shù)/員工總人數(shù)關鍵風險指標管理流程：

1.記錄每月離職員工人數(shù)，并計算各月人員流動率。

2.設定門檻標準，如，人員流動率的門檻為10%，當超過此門檻標準時，相關機構應當引起關注并采取應對措施。

3.追綜人員流動率趨勢分析并形成圖表(見下圖)。

4.定期進行各關鍵風險指標的趨勢分析，以下圖為例，在3、4月時人員流動率超過設定門檻，機構應當查找原因并采取應對措施。月份人員流動率275.業(yè)務持續(xù)性管理（BCM）高頻低損規(guī)律性強,歷史經驗和損失數(shù)據對管理該類事件有幫助可通過產品定價解決,如信用卡欺詐“業(yè)務成本”高頻高損絕對不能發(fā)生

低頻低損可以忽略不計

低頻高損規(guī)律性不強，事前難以發(fā)現(xiàn)發(fā)生頻率影響程度282001年9月11日，恐怖份子襲擊了紐約世界貿易中心，造成3棟塔樓倒塌，近3000人失蹤和死亡。德意志銀行：93年開始風險分析，并建立了一整套完整的業(yè)務連續(xù)性計劃（BCP），以應對突發(fā)事件或災難；災難發(fā)生后，德意志銀行調動4000多名員工及全球分行的資源，短時間內在距離紐約30公里的地方恢復了業(yè)務運行；911后，員工和客戶對德意志銀行都更加有信心。紐約銀行：為自己的客戶提供證券買賣服務；為集團內其他銀行提供資金調撥服務（FR)；數(shù)據中心位于災場附近；通訊線路全部中斷；造成連鎖反應；紐約銀行聲明，恐怖襲擊破壞了部分計算機系統(tǒng)，一些分支機構被迫關閉，其第三季度的利潤因此下降了33％。業(yè)務持續(xù)性管理（BCM）292007年8月15日，工行個人業(yè)務系統(tǒng)故障。2007年9月12—13日，滬中行銀證轉賬系統(tǒng)故障。2008年4月，由于中國移動系統(tǒng)問題對用戶充值、話費查詢及通話造成影響。2008年1月—2月，貴州、湖南、湖北等省份遭遇20年罕見的雪災，給銀行正常運行帶來影響。

2008年3月14日，拉薩打砸搶燒事件影響部分銀行的正常經營。業(yè)務持續(xù)性管理（BCM）30業(yè)務持續(xù)性管理(BusinessContinuityManagement，BCM):當業(yè)務中斷事件發(fā)生時，為確保關鍵業(yè)務能在一定時間內持續(xù)運營或及時恢復的一整套管理辦法。有效的業(yè)務持續(xù)性管理體系包括：政策制度與組織體系，需求分析，策略與資源的確定，預案制定，演練/維護/評估，培訓。業(yè)務持續(xù)性管理（BCM）31操作風險管理與監(jiān)管的穩(wěn)健做