【正文】 作風險的方法有很多，如管理洞察力、信息處理、行為監(jiān)控、自動化操作、流程控制、責任分離、政策等等。 經(jīng)驗顯示，那些有效的風險管理方案會針對每一業(yè)務流程提出最優(yōu)的控制方法，并將其列入風險管理進程或政策。在這些控制方法中，最常用的就是職責分離。 控制／管理 除了職責分離，銀行還可以采用以下方法來控制操作風險：n 密切監(jiān)測遵守制定風險限度或權(quán)限（限額）的情況；n 對接觸和使用銀行資產(chǎn)的記錄進行安全防衛(wèi)；n 確保員工擁有適當?shù)募寄芎团嘤枺籲 識別某些回報似乎與合理預期不符的業(yè)務系列或產(chǎn)品（如，某種低風險、低收益的交易活動出現(xiàn)高回報，就要懷疑此類交易是否存在違規(guī)）；n 定期對交易和賬戶進行復核和對賬。操作風險流程168。監(jiān)測／度量 操作風險管理實踐中常常對以下內(nèi)容進行監(jiān)測：n風險誘因 n風險指標 風險指標的選擇應遵循 3項原則：168。這些指標應該具有前瞻性，并且可以反映操作風險潛在的原因，例如推廣新產(chǎn)品、員工流動、交易中斷、系統(tǒng)檢修等。168。這些指標必須具有風險敏感性，能深入分析損失組合的變動情況。168。指標必須能滿足使用者的需要。 監(jiān)測／度量n損失事件 n因果模型 通過對上述 4個方面的監(jiān)控，將有助于銀行的管理層了解現(xiàn)有風險狀況，包括它如何發(fā)生變化和值得注意的風險警告。 操作風險流程168。風險報告 風險報告的目的在于向高級管理層揭示以下信息：n銀行的主要風險源及整體風險狀況n風險的發(fā)展趨勢n將來值得關注的地方 根據(jù)巴塞爾委員會的有關規(guī)定及銀行業(yè)的實際做法，風險報告大致包括 ：風險報告風險報告n風險評估結(jié)果 n損失事件n風險誘因 n風險指標 n資本金水平 風險報告 業(yè)務部門 操作風險報告 高級管理層內(nèi)部損失數(shù)據(jù)風險指標風險評估風險識別外部損失數(shù)據(jù)同業(yè)比較資本分析業(yè)務目標分析風險評估損失事件風險誘因關鍵指標資本分析壓力測試制定 /調(diào)整政策配置資源跟蹤反饋風險財務策略風險管理部門操作風險管理報告流程0 20 40 60 80 100 120 發(fā)生頻率 （ log分布）10203040506070損失強度－零售金融 －操作行為 － 公司金融 操作風險圖樣本操作風險管理框架n 基礎設施 操作風險管理基礎設施是構(gòu)成操作風險管理框架的基礎，是操作風險管理活動賴以開展的前提條件，為操作風險管理過程提供組織的、數(shù)據(jù)的、方法的、操作的和系統(tǒng)的支持。具體來看，操作風險管理基礎設施包括以下內(nèi)容：基礎設施168。操作風險管理組織結(jié)構(gòu)n恰當?shù)牟僮黠L險管理組織結(jié)構(gòu)應將所有相關部門和人員涵蓋在內(nèi)。 n在操作風險管理的各個部分設置一名操作風險經(jīng)理，這些風險經(jīng)理統(tǒng)一向首席風險官報告。n將操作風險管理職責賦予一個委員會通常要比單個部門管理風險更有效。n有效的操作風險管理組織結(jié)構(gòu)往往會明確規(guī)定銀行內(nèi)部各部門的作用、權(quán)限及責任。首席風險官信用風險 市場風險 操作風險風險管理委員會風險經(jīng)理 風險經(jīng)理 風險經(jīng)理董事會 /CEO事務部門 內(nèi)部審計法律部門信息部門保險其他操作風險管理組織結(jié)構(gòu)范例一董事會高層管理操作風險管理委員會首席風險官操作風險主管總行操作風險人員分支機構(gòu)操作風險人員操作風險相關人員功能?和規(guī)?人事?保險?信息技術(shù)?法律分支機構(gòu)管理操作風險管理組織結(jié)構(gòu)范例二內(nèi)部審計操作風險管理組織結(jié)構(gòu)168。數(shù)據(jù)和信息168。系統(tǒng)168。方法168。政策與程序操作風險管理框架n 環(huán)境基礎 所謂風險管理環(huán)境是指風險管理活動所影響的范圍或風險管理行為所面臨的境況。包括： 168。風險管理文化168。交流與溝通168。責任與意識168。人員培訓等內(nèi)容操作風險管理的 8個關鍵因素n 制定明確的、有針對性的操作風險政策n 建立風險識別的通用標準n 對每項業(yè)務繪制業(yè)務流程圖將有助于風險管理人員識別和管理操作風險n 建立一個詳細的操作風險分類表（如表 43所示）對操作風險進行界定和分類操作風險管理最優(yōu)實踐1. 政策2. 風險識別3. 業(yè)務流程4. 測度方法5. 風險敞口管理6. 風險報告7. 風險分析8. 經(jīng)濟資本操作風險管理的 8個關鍵因素衍生產(chǎn)品中的操作風險存在哪里？顯然，操作風險自始至終都存在（交易之前、之中、之后）之前識別客戶要求風險：起關鍵作用的關鍵人物，特別是與重要客戶的溝通之中結(jié)構(gòu)交易風險：模型風險披露挪用之后交割產(chǎn)品風險：監(jiān)控方面的不足模型風險關鍵人物任期的連續(xù)性衍生商品業(yè)務中的操作風險操作風險管理的 8個關鍵因素n 開發(fā)易于理解的操作風險評估框架n 準確管理和報告操作風險敞口井采取適當行動對風險進行保值n 開發(fā)使用的風險分析工具和方法n 開發(fā)將操作風險測度結(jié)果轉(zhuǎn)換為經(jīng)濟資本需求量的技術(shù) 續(xù)前表獨立的操作風險管理部門花旗集團首席操作風險監(jiān)控官花旗集團的合規(guī)管理人員和首席會計師共同制定風險自我測試與控制的政策（ RCSA）花旗銀行的操作風險政策（包括 RCSA的標準）由各個業(yè)務部門具體組織實施根據(jù)業(yè)務部門各自的治理結(jié)構(gòu)、政策和管理流程每個員工的崗位的操作風險管理，包括風險自我測試與控制（ RCSA）外部審計人員獨立審計操作風險報告花旗集團管理層 花旗集團董事會花旗集團操作風險管理基礎架構(gòu)第五講 操作風險測度重點：n定性測度操作風險n量化方法測度操作風險n測度操作風險的四個步驟前言 在操作風險管理實踐中，商業(yè)銀行的高級管理層更希望風險管理部門將那些抽象、復雜的操作風險轉(zhuǎn)變?yōu)橹庇^、簡單的數(shù)字。即量化操作風險。如此一來，它們可以直觀地看出銀行目前面臨的操作風險現(xiàn)狀，并很容易觀察出操作風險的變動趨勢。不幸的是，由于操作風險損失數(shù)據(jù)的缺乏以及風險因素與發(fā)生的可能性和損失大小之間的關系捉摸不定，量化操作風險是一件十分困難的事情。相比較而言，操作風險的定性測量方法雖簡單易行，但在為操作風險分配資本面前卻無能為力。 定性測度操作風險n 定量法的困難168。操作風險損失數(shù)據(jù)缺乏168。某些操作風險的風險因素與風險發(fā)生的概率和損失大小之間并無清晰的關系。n 定性法的缺陷168。受制于專家的主觀判斷168。缺乏統(tǒng)一標準而導致結(jié)果變化莫測為什么用定性法？測度操作風險的關鍵 巴賽爾委員會于 1998年 9月在關于銀行監(jiān)管的報告中對 30家主要銀行進行了調(diào)查。調(diào)查顯示測度操作風險的 4個關鍵環(huán)節(jié)是：168。 選擇一種方法，清晰地描述操作風險敞口、風險因素及潛在損失168。 在風險敞口、風險因素和潛在損失之間建立聯(lián)系168。 對高頻率、低影響的事件和低頻率、高影響的事件區(qū)別對待168。 將判定操作風險損失的模型和報告納入銀行的核心業(yè)務運營和管理環(huán)節(jié)基于內(nèi)部控制的定性測度 銀行業(yè)在測度操作風險過程中，一種常用的辦法是首先了解某項業(yè)務（或部門）的操作風險管理辦法，然后請經(jīng)驗豐富的專家或風險管理人員在做出 “客觀 ”判斷的基礎上對操作風險進行評估。這就是基于內(nèi)部控制的操作風險測度方法。 這種測度方法是建立在若干審計標準和指南基礎上的。不同國家有不同的內(nèi)部控制框架：內(nèi)部控制的基本原理n 內(nèi)部牽制n 內(nèi)部控制n 內(nèi)部控制結(jié)構(gòu)n 內(nèi)部控制的完整框架（舊 COSO報告）n 企業(yè)風險管理（新 COSO報告）內(nèi)部牽制n 1905年， （Internal Check），他認為，內(nèi)部牽制由三個要素構(gòu)成： 職責分工；會計記錄；人員輪換職責分工；會計記錄；人員輪換 。n 1930年， Gee 念，他于 1930年給內(nèi)部牽制制度下了一個完整的定義：內(nèi)部牽制是帳戶和程序組成的協(xié)作系統(tǒng)，這個系統(tǒng)使得員工在從事本身工作時，獨立地對其他員工的工作進行連續(xù)性的檢查，以確定其舞弊的可能性。內(nèi)部控制n 1949年，年， AICPA的審計程序委員會發(fā)布了一分特的審計程序委員會發(fā)布了一分特別報告別報告 “內(nèi)部控制內(nèi)部控制 ———— 一種協(xié)調(diào)制度要素及其對管一種協(xié)調(diào)制度要素及其對管理當局和獨立審計人員的重要性理當局和獨立審計人員的重要性 ”。該報告第一次。該報告第一次給給 內(nèi)部控制內(nèi)部控制 制度下了如下權(quán)威定義：制度下了如下權(quán)威定義：168。內(nèi)部控制由組織的計劃和組織內(nèi)部為保護其財產(chǎn)安內(nèi)部控制由組織的計劃和組織內(nèi)部為保護其財產(chǎn)安全、檢查其會計資料的準確性和可靠性，提高經(jīng)營效全、檢查其會計資料的準確性和可靠性，提高經(jīng)營效率，保證既定的管理政策得以實施而采取的所有方法率，保證既定的管理政策得以實施而采取的所有方法和措施。和措施。內(nèi)部控制結(jié)構(gòu)控制環(huán)境控制環(huán)境會計系統(tǒng)會計系統(tǒng)控制程序控制程序內(nèi)部控制的完整框架n 1985年，由 AICPA、 IIA、 FEI、 AAA、 IMA等共同發(fā)起成立了 “全國舞弊性財務報告委員會 ”（即Treadway委員會）。兩年后，根據(jù)該會的建議，其贊助機構(gòu)又成立了專門研究內(nèi)部控制問題的組織，即 COSO委員會。 1992年美國國會的 “反對虛假財務報告委員會 ”（ NCFR）下屬的由AAA、 AICPA、 IIA、 FEI和 IMA等專業(yè)團體組織參與的 “發(fā)起組織委員會（ COSO） ”美國 COSO內(nèi)部控制框架 1992年 9月，美國的 COSO提出了 “內(nèi)部控制整體框架 ”。 COSO認為，內(nèi)部控制是一個由一系列行為組成的過程，這些行為涉及整個公司運作的方方面面。具體來講，內(nèi)部控制框架有 5個組成部分：內(nèi)部控制的完整框架n 內(nèi)部控制n 內(nèi)部環(huán)境n 風險評估n 控制活動n 信息與溝通n 監(jiān)督美國 COSO內(nèi)部控制框架n 控制環(huán)境 控制環(huán)境是提供控制人員進行各項活動及進行監(jiān)控活動的基礎，既包括企業(yè)的誠信度和道德觀，也包括員工的道德標準和能力。n 風險評估 風險評估就是識別和分析實現(xiàn)目標的過程中存在的重要風險，它是決定如何管理風險的基礎。n 控制活動 控制活動就是幫助、確保管理層指示得到實施的政策和程序。 COSO認為，控制活動分為三種類型：經(jīng)營控制活動、財務控制活動和遵守法律控制活動。美國 COSO內(nèi)部控制框架n 信息與溝通 信息與溝通是將上述三項活動聯(lián)系在一起的橋梁和紐帶，也是人們獲得和交流業(yè)務經(jīng)營、管理與控制信息的保障。 企業(yè)的所有層次都需要大量的財務和經(jīng)營信息，以下幾方面內(nèi)容相當重要：168。 來自內(nèi)部和外部的財務和非財務信息對實現(xiàn)所有類型的目標都很重要；168。 人工的和自動化的信息系統(tǒng)都用于處理內(nèi)部和外部信息。信息系統(tǒng)168。 可以是正式的，也可以是非正式的；168。 信息系統(tǒng)支持戰(zhàn)略創(chuàng)新并和經(jīng)營緊密結(jié)合在一起；168。 信息質(zhì)量影響管理層做出正確決策的能力。美國 COSO內(nèi)部控制框架 溝通是信息系統(tǒng)的固有部分，其目的在于確保所有人員都能接 受 來自高級管理層對控制責任和內(nèi)部控制重要性的認識。企業(yè)應注意以下內(nèi)容：168。 個人應該知道如何處理意外情況；168。 人們應該知道他們的工作和其他人的工作之間的關系；168。 應該存在允許向上溝通的渠道；168。 雇員應該相信不會因為交流重要信息遭到報復；168。 實體內(nèi)外應該存在適當?shù)臏贤?。n 監(jiān)督 企業(yè)或銀行業(yè)務運營的全過程必須置于監(jiān)控之下，并能在必要時進行調(diào)整。這樣，控制系統(tǒng)就可以動態(tài)反饋，并在授權(quán)范圍內(nèi)即使做出調(diào)整。內(nèi)部控制的完整框架n 1994年進行了增補。 COSO報告提出內(nèi)部控制的目標有三個：168。提高經(jīng)營效率，取得好的經(jīng)營效果；168。合理保證財務報告的可靠性；168。遵循有關的法規(guī)制度。企業(yè)風險管理n 2023年年 7月美國月美國 COSO頒布頒布 了了 企業(yè)風險管理企業(yè)風險管理框架框架 的討論稿，并于的討論稿，并于2023年年 4月頒布正文。月頒布正文。同同 1992年的年的 COSO報報告相比，新的告相比，新的 COSO報告增加了一個觀報告增加了一個觀念、一個目標、兩個念、一個目標、兩個概念和三個要素。概念和三個要素。內(nèi)部控制的主要內(nèi)容n 根據(jù)內(nèi)部控制的新發(fā)展，企業(yè)風險管理框架的內(nèi)容主要包括控制目標和要素。 n 風險管理的定義168。一個由企業(yè)的董事會、管理層和其他員工共同參與的，應用于企業(yè)戰(zhàn)略制定和企業(yè)內(nèi)部各個層次和部門的，用于識別可能對企業(yè)造成潛在影響的事項并在其風險偏好范圍內(nèi)