ICBRR操作风险管理课程精华要点讲解.docx

操作风险 1. 操作风险的定义 早期，操作风险管理被定义为没有包括在市场风险管理和信用风险管理之内的事项。 巴塞尔资本协议Ⅱ的操作风险定义：由于不健全的或者失败的内部程序、人员、系统以及外部事件所导致的风险，包括法律风险，但不包括战略、声誉风险。 巴塞尔资本协议Ⅱ的法律风险定义：监管措施以及私下和解导致的罚款、罚金或惩罚性损失赔偿的风险。 操作风险主要有两个方面组成，操作风险管理与操作风险计量。两者之间既有互相排斥，也有互相重叠。资本要求是操作风险计量的核心，需要定量的方法。巴塞尔Ⅱ要求持有覆盖操作风险的资本并提供了几种可行的计算方法 操作风险管理必须像管理市场风险、信用风险一样严格，也必须建立风险偏好政策，该类政策必须落成文字并概述出银行用以“识别、评估、检测和控制”的方法。 操作风险管理的工具箱具体包括5个分别是：损失数据收集、风险控制与自我评估、情景分析、关键风险指标以及强大的报告体系。 2. 操作风险管理和其他风险类型的关系 所有风险类型都互相关联，操作风险通常也是由于存在其他类型的风险而出现。操作风险事件的大小也可能受到市场风险和信用风险大小的影响。、 3个内圈风险5个外圈风险。 企业风险管理当中包括：市场风险、信用风险、操作风险、战略风险和流动性风险这些类型。 风险之轮中从里到外三圈分别是，企业风险管理、声誉风险、地缘政治风险。 企业风险管理体系风险轮形象地说明了所有风险类型之间的关系，风险轮内圈的风险可以影响到风险轮外圈的风险。风险轮只是用来表示各种风险类型之间关系的一种可行的模型，直接体现了有效企业风险管理的复杂性。 3. 操作风险管理的驱动因素 推动机构操作风险管理的驱动因素主要三个方面：监管机构、高级管理层和第三方机构。 除了巴塞尔协议Ⅱ，还有一些其他的监管要求也推动这企业的操作风险管理，如：清偿能力Ⅱ、欧洲的金融工具市场指南、美国的塞班斯法案。 此外，高级管理层在咱略业务决策时也需要了解操作风险潜在影响的全面信息。 外部的第三方机构（评级机构、投资者和研究分析师）需要有效操作风险管理框架和充足操作风险资本的证据。 4. 操作风险架构概览 操作风险管理体系应确保操作风险能够被识别、计量、监督、控制和降低。 操作风险管理的架构具体包括5个，分别是：损失数据收集、风险控制与自我评估、情景分析、关键风险指标以及强大的报告体系。 操作风险管理框架的各个要素实施顺序以及在框架中的相对比重依赖于银行的文化以及监管以及业务驱动因素。 “治理”和“文化和意识”始终是最先需要说明的要素。这两个要素推动了操作风险管理框架整体层面的设计和验收。 5. 治理 适当的治理是有效操作风险管理的核心，没有治理的话，负责操作风险管理体系的人员就无法产生正面积极的推动。 企业必须由员工承担其操作风险的管理职能。操作风险管理职能有三个重要特性：独立性、重要性、相关性。治理结构必须确保其操作风险管理职能的独立性，必须赋予该管理职能适当的重要性，必须证明与其机构的相关性。 根据公司的企业文化和业务结构，操作风险管理职能可以由首席风险官、首席运营官或者首席财务官、首席合规官负责。操作风险由首席风险官担任对于企业风险全面把控效果最佳，但操作风险的重要性可能也会被忽视。若操作风险由首席运营官负责则对于操作风险跨部门协调和提高重视程度最佳，但独立性可能无法确保。若操作风险由首席合规官负责则确保独立性之余能够更有效体现企业的合规管理。操作风险不能向内审部门进行汇报。 另外值得一提的是，巴塞尔Ⅱ明确禁止，操作风险管理向审计部门汇报，该职能必须保持独立于审计部门。 可以向中央操作风险管理职能汇报的各个领域具体包括：1、其他操作风险管理团队；2、嵌入式操作风协调员/专家/经理；3、持续经营计划BCP，通常是企业原有最为完善的操作风险管理职能。确保在可能引起业务中断事件后能够持续有效的推进计划；4、信息安全，信息安全只能最好设置在IT部门外部；5、塞班斯-奥克斯利法案SOX，是对美国公开市场交易的企业在财务报表准确性方面提出了操作风险的管理要求；6、新业务审批和新产品审批。 6. 文化和意识 要获得成功，操作风险必须可以在公司各个层面被识别、评估、监督、控制和降低，而这只能通过一个充满活力的组合变革方案才能得以实现。 操作风险需要在企业每个角落进行有效管理，因此有必要推动公司范围内的人员和团队培训。 银行内部必须采取三项活动来建立操作风险框架：1、营销和沟通，通常包括海报、电子邮件群发、会堂介绍以及面对面的会谈；2、规划，制定明确的目标、现实的里程碑和实现的任务交付；3、培训，包括让员工了解操作风险的基础模块，并确保所有员工了解一旦发现风险该如何做。 7. 政策和程序 操作风险管理框架需要配套的政策和程序，企业的审计部门就是依照这些来进行审核的。 操作风险政策可能