省分行操作风险培训2关键指标010课件.ppt

1、风险管理部风险管理部2010.2 成都KRI、LDC、RCSAv关键风险指标（关键风险指标（KRIKRI）v损失数据库（损失数据库（LDCLDC）v控制自我评估（控制自我评估（RCSARCSA）2KRI、LDC、RCSA一、关键风险指标（一、关键风险指标（KRI）：定义）：定义3什么是指标？指标是对客观世界的数字化描述。KRI、LDC、RCSA一、关键风险指标（一、关键风险指标（KRI）：定义）：定义4KRI(key risk indicator)用数字掌控风险 操作风险关键风险指标数字通过设置统计变量，即风险指标，对风险成因、风险控制、风险结果等事项进行跟踪测量，通过这些指标的数量大小及数量

2、变化，反映风险状况、预测风险趋势、识别风险征兆。KRI、LDC、RCSA一、关键风险指标（一、关键风险指标（KRI）：定义）：定义5l 06年年6月至月至08年年1月，风控系统对科维尔的各种交易发出了月，风控系统对科维尔的各种交易发出了75次警报次警报，07年发现可疑交易年发现可疑交易67次，随着交易量膨胀，警报越来越频繁，平次，随着交易量膨胀，警报越来越频繁，平均每月均每月5次以上。次以上。案例案例如果指标设计适当，指标可以与风险产生联系，从而预测、预警风险KRI、LDC、RCSA一、关键风险指标（一、关键风险指标（KRI）：定义）：定义6n 风险指标是指用来考察银行的风险状况的统计数据和或

3、指标，对这些指标风险指标是指用来考察银行的风险状况的统计数据和或指标，对这些指标要进行定期审查，以提醒注意银行有关风险的可能变化要进行定期审查，以提醒注意银行有关风险的可能变化 。巴塞尔委员会操作风险管理与监管的稳健做法 n 代表某一风险领域变化情况并可定期监控的统计指标代表某一风险领域变化情况并可定期监控的统计指标 。银监会商业银行操作风险管理指引 KRI、LDC、RCSA一、关键风险指标（一、关键风险指标（KRI）：定义）：定义7频率严重程度广泛来说，任何能反映某一风险信息的变量都可以作为风险指标。那么什么是“关键”的风险？ATM侧录信用卡虚假申请、套现挪用、受贿、内部欺诈低频高损低频低损

4、高频低损高频高损KRI、LDC、RCSA一、关键风险指标（一、关键风险指标（KRI）：定义）：定义8怎样算“很好地”监测某类风险？有效性可比性易用性与风险相关，至少能够针对一种风险或风险的某个方面。客观，用数字说话。时间可比性、空间可比性。标准统一。容易理解，便于沟通。KRI、LDC、RCSA一、关键风险指标（一、关键风险指标（KRI）：意义）：意义9l由定性向定量转变l由事后向事前转变l由孤立向联系转变好坏亡羊补牢未雨绸缪KRI、LDC、RCSA一、关键风险指标（一、关键风险指标（KRI）：分类）：分类10成因控制影响风险事件成因指标控制指标结果指标按因果维度分类：例：ATM侧录卡片、ATM

5、存在隐患对ATM巡视检查不到位客户索赔、起诉媒体报导卡片信息被盗离行式ATM数量IC卡比例视频监控覆盖率日巡查次数被盗卡片数诉讼标的金额固有风险-控制=剩余风险KRI、LDC、RCSA一、关键风险指标（一、关键风险指标（KRI）：分类）：分类11时间风险事件发生事前指标事后指标事中指标按时间维度分类：例：DDoS攻击DDoS攻击发生网络流量CPU占用率业务中断时间延迟交易笔数时间KRI、LDC、RCSA一、关键风险指标（一、关键风险指标（KRI）：分类）：分类12按综合/具体分类：银行外部环境KRIKRI银行KRIKRIKRI、LDC、RCSA一、关键风险指标（一、关键风险指标（KRI）：分类

6、）：分类13公司金融商业银行零售银行支付结算按业务产品分类：内部欺诈外部欺诈.KRIKRIKRIKRIKRIKRI、LDC、RCSA一、关键风险指标（一、关键风险指标（KRI）：分类）：分类14人均柜面业务量全行人均柜面业务量支行人均柜面业务量监测层级高低总体一般状况个别极端情况发现高风险个体按监测层级分类在操作风险管理信息系统中，指标的监测层级包括支行、二级分行、一级分行、支行四种KRI、LDC、RCSA一、关键风险指标（一、关键风险指标（KRI）：）：KPI和和KRIv 关键绩效指标法关键绩效指标法(KPI)(KPI)是检测并促进宏观战略决策执行效果的一种绩效考评方是检测并促进宏观战略决策

7、执行效果的一种绩效考评方法法,它首先是企业根据宏观的战略目标它首先是企业根据宏观的战略目标,经过层层分解后经过层层分解后,提出的具有可操提出的具有可操作性的战术目标，并将其转化为若干个考评指标，然后借用这些指标，从事作性的战术目标，并将其转化为若干个考评指标，然后借用这些指标，从事前、事中和事后多个维度，对组织或员工个人的绩效进行全面跟踪、监测和前、事中和事后多个维度，对组织或员工个人的绩效进行全面跟踪、监测和反馈。反馈。v KPI-KPI-业务发展速度如何？业务发展速度如何？KRI-KRI-业务面临什么风险？业务面临什么风险？v 一些指标既可以作为绩效指标也可以作为风险指标，一些指标既可以作

8、为绩效指标也可以作为风险指标，KRIKRI与与KPIKPI的边界存在一的边界存在一定的重合。全面的绩效考核体系应当包含部分风险指标。在实施定的重合。全面的绩效考核体系应当包含部分风险指标。在实施KRIKRI的阶段，的阶段，可以将一些可以将一些KRIKRI（特别是结果类指标、控制类指标）纳入绩效考核，进一步提（特别是结果类指标、控制类指标）纳入绩效考核，进一步提高各级行、各部门自觉管控风险的意识，从而促进先导指标、成因指标的实高各级行、各部门自觉管控风险的意识，从而促进先导指标、成因指标的实施。施。15KRI、LDC、RCSA一、关键风险指标（一、关键风险指标（KRI）：实施原则）：实施原则v

9、KRIKRI的实施必须立足于我行实际情况。的实施必须立足于我行实际情况。v 准确性是准确性是KRIKRI的灵魂。的灵魂。尽量通过系统来获取数据。尽量获取能够被验证的数据。v KRIKRI的实施必须保证动态性和灵活性。的实施必须保证动态性和灵活性。风险在不断变化。信息基础在不断变化。指标需要不断改进。16KRI、LDC、RCSA一、关键风险指标（一、关键风险指标（KRI）：实施阶段）：实施阶段17近期远期定量反映风险因素定量描绘风险轮廓持续监测风险指标事前预警重大风险中期阀值调节风险控制定量落实风险偏好阀值3阀值2阀值1措施1：开窗户措施2：开电扇措施3：开空调系统建设获取数据数学、统计、调研K

10、RI、LDC、RCSA一、关键风险指标（一、关键风险指标（KRI）：实施流程）：实施流程18指标设计指标使用 指标验证预警值确定删除修改KRI系统KRI、LDC、RCSA一、关键风险指标（一、关键风险指标（KRI）：职责）：职责v 一级分行风险管理部门的职责：一级分行风险管理部门的职责：v 1 1、负责辖域内、负责辖域内KRIKRI系统模块用户角色的管理。系统模块用户角色的管理。v 2 2、监测辖域各关键风险指标的数值，对指标值出现异常或发生预警的辖域机、监测辖域各关键风险指标的数值，对指标值出现异常或发生预警的辖域机构、业务产品、管理活动要及时调查分析，必要时要采取相应的措施。构、业务产品、

11、管理活动要及时调查分析，必要时要采取相应的措施。v 3 3、在季度、年度风险分析报告中，要描述主要指标的数值、指标值变化趋势、在季度、年度风险分析报告中，要描述主要指标的数值、指标值变化趋势、对异常指标值、指标预警的分析以及采取的措施。、对异常指标值、指标预警的分析以及采取的措施。v 4 4、在系统中及时录入需要一级分行录入的基础数据信息。录入本级机构的关、在系统中及时录入需要一级分行录入的基础数据信息。录入本级机构的关键岗位人员基本信息（关键岗位人员的判定参照键岗位人员基本信息（关键岗位人员的判定参照中国农业关键岗位人员岗中国农业关键岗位人员岗位轮换和强制休假管理办法（试行）位轮换和强制休假

12、管理办法（试行）。）。v 5 5、监督辖域各机构对基础数据信息、关键岗位人员基本信息的录入，保证录、监督辖域各机构对基础数据信息、关键岗位人员基本信息的录入，保证录入的及时性、准确性。入的及时性、准确性。v 6 6、向总行提供对指标使用情况的反馈意见，推荐系统中尚未建立的指标。、向总行提供对指标使用情况的反馈意见，推荐系统中尚未建立的指标。19KRI、LDC、RCSA一、关键风险指标（一、关键风险指标（KRI）：职责）：职责v 二级分行风险管理部门（或风险主管）的职责：二级分行风险管理部门（或风险主管）的职责：v 1 1、负责辖域内、负责辖域内KRIKRI系统模块用户角色的管理。系统模块用户角

13、色的管理。v 2 2、监测辖域各关键风险指标的数值，对指标值出现异常或发生预警的辖域机、监测辖域各关键风险指标的数值，对指标值出现异常或发生预警的辖域机构、业务产品、管理活动要及时调查分析，必要时要采取相应的措施。构、业务产品、管理活动要及时调查分析，必要时要采取相应的措施。v 3 3、在系统中及时录入需要二级分行录入的基础数据信息。录入本级机构的关、在系统中及时录入需要二级分行录入的基础数据信息。录入本级机构的关键岗位人员基本信息（关键岗位人员的判定以键岗位人员基本信息（关键岗位人员的判定以中国农业关键岗位人员岗位中国农业关键岗位人员岗位轮换和强制休假管理办法（试行）轮换和强制休假管理办法（

14、试行）。）。v 4 4、监督辖域各机构对基础数据信息、关键岗位人员基本信息的录入，保证录、监督辖域各机构对基础数据信息、关键岗位人员基本信息的录入，保证录入的及时性、准确性。入的及时性、准确性。20KRI、LDC、RCSA一、关键风险指标（一、关键风险指标（KRI）：职责）：职责v 支行风险经理的职责：支行风险经理的职责：v 1 1、监测辖域各关键风险指标的数值，对指标值出现异常或发生预警的辖域机、监测辖域各关键风险指标的数值，对指标值出现异常或发生预警的辖域机构、业务产品、管理活动要及时调查分析，必要时要采取相应的措施。构、业务产品、管理活动要及时调查分析，必要时要采取相应的措施。v 2 2

15、、在系统中及时录入需要、在系统中及时录入需要支行支行录入的基础数据信息。录入录入的基础数据信息。录入支行本级及网点支行本级及网点的的关键岗位人员基本信息（关键岗位人员的判定以关键岗位人员基本信息（关键岗位人员的判定以中国农业关键岗位人员岗中国农业关键岗位人员岗位轮换和强制休假管理办法（试行）位轮换和强制休假管理办法（试行）。）。21KRI、LDC、RCSA一、关键风险指标（一、关键风险指标（KRI）：系统）：系统22基础数据池指标管理器ARMS反洗钱系统人事管理系统客服座席系统手工录入KRI尽可能全面地获取相关数据并进行标准化灵活地选取数据建立、维护指标KRI、LDC、RCSA一、关键风险指标

16、（一、关键风险指标（KRI）：系统）：系统v对于每个机构，对于每个机构，录入员角色只能建立一个录入员角色只能建立一个，风险部管理员角色可以建立一个或多个。，风险部管理员角色可以建立一个或多个。v数据录入：数据录入：基础数据录入：频率为月或周（绝大多数是按月录入）。系统目前没有设置审核流程，但上级行可以查看下级行录入的数值。关键岗位人员信息录入：录入的频率为月。系统设置了审核的流程。关键岗位人员详见中国农业关键岗位人员岗位轮换和强制休假管理办法（试行）。如果某数据当期没有录入，下一期可以补录，但系统会作为一次“上期缺失”统计。如果该数据在下一期补录，则系统不会将其计入“累计缺失”。如果在下一期仍

17、没有补录，则系统将其计入“累计缺失”。对基础数据录入缺失的考核以“累计缺失”为准。已录入的信息会保留在界面上，随时可以增、改、删，但每月1-5号可以提交（如果审核不通过要再次提交），如果5号没有提交，则系统自动提交，并算作一次缺失。23KRI、LDC、RCSA一、关键风险指标（一、关键风险指标（KRI）：常用指标）：常用指标v 人力资源指标：会计主管连续任职时间、支行行长连续任职时间、二级分行人力资源指标：会计主管连续任职时间、支行行长连续任职时间、二级分行行长连续任职时间、分行辖域关键岗位未轮岗人数、分行辖域未轮岗率、初行长连续任职时间、分行辖域关键岗位未轮岗人数、分行辖域未轮岗率、初中及以

18、下学历员工比例、四十五岁以上员工比例中及以下学历员工比例、四十五岁以上员工比例v 客服信息指标：投诉服务态度次数、投诉违规操作次数、投诉网点营业秩序客服信息指标：投诉服务态度次数、投诉违规操作次数、投诉网点营业秩序次数、投诉业务差错次数、投诉规章制度次数、错帐查询次数、咨询机具作次数、投诉业务差错次数、投诉规章制度次数、错帐查询次数、咨询机具作案次数、周每万笔交易被投诉次数、周每千人被投诉次数案次数、周每万笔交易被投诉次数、周每千人被投诉次数v 会计监控：支行周抹账次数、支行周冲正次数、支行周抹账率、支行周冲正会计监控：支行周抹账次数、支行周冲正次数、支行周抹账率、支行周冲正率、日终存在运送途

19、中现金次数、休假柜员现金箱超限额次数率、日终存在运送途中现金次数、休假柜员现金箱超限额次数v 反洗钱指标：支行周本币大额交易笔数、支行周外币大额交易笔数、支行周反洗钱指标：支行周本币大额交易笔数、支行周外币大额交易笔数、支行周可疑交易笔数可疑交易笔数24KRI、LDC、RCSA一、关键风险指标（一、关键风险指标（KRI）：事后评价指标）：事后评价指标25指标名称指标名称指标说明指标说明亿元资产案件损失率亿元资产案件损失率亿元资产案件损失率=本年度案件造成的各类损失总计总资产平均余额 100%。千人发案率千人发案率本年度案件总数在岗员工人数(单位：千)100%。操作风险损失率操作风险损失率本年度

20、操作风险事件造成的损失前三期总收入平均值100%。亿元资产操作风险事件亿元资产操作风险事件损失率损失率亿元资产操作风险事件损失率=本年度操作风险事件造成的损失总资产平均余额100%。案件风险率案件风险率案件风险金额期末总资产余额100%操作风险事件风险率操作风险事件风险率操作风险事件风险率=操作风险事件风险金额/总资产 经济资本覆盖度经济资本覆盖度经济资本覆盖度=操作风险事件风险金额/经济资本KRI、LDC、RCSA一、关键风险指标（一、关键风险指标（KRI）：回顾刚才的内容）：回顾刚才的内容v定义、意义、分类。定义、意义、分类。v实施的阶段、原则、流程。实施的阶段、原则、流程。v各部门职责、

21、系统。各部门职责、系统。v常用指标和事后评价指标。常用指标和事后评价指标。26KRI、LDC、RCSA二、损失数据库（二、损失数据库（LDC）：定义）：定义27人员流程外部事件系统 损失数据库是在标准化的操作风险事件分类基础上，对银行已发生损失数据库是在标准化的操作风险事件分类基础上，对银行已发生的风险事件进行确认和记录，并采用结构化的方式进行存储。损失数据的风险事件进行确认和记录，并采用结构化的方式进行存储。损失数据的每条数据记录至少应反映风险事件的类型、发生时间、损失金额、产的每条数据记录至少应反映风险事件的类型、发生时间、损失金额、产生原因、重要细节描述等主要属性。生原因、重要细节描述等

22、主要属性。KRI、LDC、RCSA二、损失数据库（二、损失数据库（LDC）：构成）：构成28低频率，严重的影响高频率，微弱的影响中等频率，中等影响高频率，微弱的影响中等频率，中等影响损失外部损失数据-公众可获得的外部损失数据-行业共享内部损失数据损失数据包括内部损失数据和外损失数据包括内部损失数据和外部损失数据。部损失数据。内部损失数据是收集的重点。内部损失数据是收集的重点。外部损失数据主要通过公开出版外部损失数据主要通过公开出版物或数据协会或行业协会提供的物或数据协会或行业协会提供的损失数据。损失数据。损失可能性 损失严重程度 极端损失 99.9%需要外部数据KRI、LDC、RCSA二、损失

23、数据库（二、损失数据库（LDC）：与风险报告的关系）：与风险报告的关系29报告系统损失数据库VS收集外部损失数据偏重于损失金额的管理，对损失进行修正对操作风险事件的标准化处理报告系统中的操作风险事件都会转入损失数据库数据的时间范围要大于报告系统报告系统除了操作风险事件，还包括潜在风险等事项KRI、LDC、RCSA二、损失数据库（二、损失数据库（LDC）：作用）：作用30监管合规基础及高级计量法模型的数据基础 定量评估操作风险状况的数据基础业务部门诊断损失产生机理，分析损失分布123风险控制风险点固有风险-控制=剩余风险KRI、LDC、RCSA二、损失数据库（二、损失数据库（LDC）：难点）：难

24、点v 损失数据的分散性，以案件、法律纠纷、违规、群体性事损失数据的分散性，以案件、法律纠纷、违规、群体性事件等表现形式分散在各个部门，收集的困难很大。件等表现形式分散在各个部门，收集的困难很大。v 损失数据的滞后性，操作风险事件的损失逐步暴露或不断损失数据的滞后性，操作风险事件的损失逐步暴露或不断变化，很多案件、诉讼纠纷都持续了很多年。变化，很多案件、诉讼纠纷都持续了很多年。v 同时以违规、案件或纠纷多种形式发生，可能存在重复。同时以违规、案件或纠纷多种形式发生，可能存在重复。v 信贷违规都以不良贷款的形式出现，违规因素很难认定。信贷违规都以不良贷款的形式出现，违规因素很难认定。v 很多资料没

25、有记载，时间越往前难度越大。很多资料没有记载，时间越往前难度越大。31KRI、LDC、RCSA二、损失数据库（二、损失数据库（LDC）：实施）：实施32一级分行组织，二级分行为单位具体实施KRI、LDC、RCSA二、损失数据库（二、损失数据库（LDC）：职责）：职责33风险管理部门组织试点工作，全程参与损失数据收集、分析和验证监察、法律事务、安全保卫、内控合规、信息科技提供本条线管理的损失数据财务会计部门确认财务实际核算损失，验证损失事件收集是否全面KRI、LDC、RCSA二、损失数据库（二、损失数据库（LDC）：范围、原则、步骤）：范围、原则、步骤v 范围：范围：20052005年以来发生或

26、发现的操作风险事件。年以来发生或发现的操作风险事件。根据收集情况确定损失确认、风险分析的起点金额。包含与信贷、金融市场等其他风险相关的操作风险损失事件。收集的事件发生时间或发现时间为2005年1月1日后。“零起点”收集事件。操作风险事件的定义同操作风险报告管理办法。v 原则：全面性、统一性、准确性。原则：全面性、统一性、准确性。v 步骤：收集事件清单、损失确认步骤：收集事件清单、损失确认 、风险分析、验证。、风险分析、验证。34KRI、LDC、RCSA二、损失数据库（二、损失数据库（LDC）：收集思路）：收集思路35收集思路KRI、LDC、RCSA二、损失数据库（二、损失数据库（LDC）：具体

27、实施）：具体实施36损失金额“零起点”1重点使用各类事件管理系统2从损益明细账中获取3关键在于“找出来，收上来”损失数据类别损失数据类别主管部门主管部门系统系统/档案档案违法违纪案件监察部门违法违纪案件管理系统刑事案件安全保卫部门安全保卫系统违规事件监察部门、内控合规部门违法违纪案件管理系统、计算机辅助审计系统及检查、审计底稿被诉案件法律事务部门法律事务系统信息安全事件信息科技部门信息安全事件报告、运行日志自然灾害和意外事故办公室、安全保卫部突发事件报告、社会治安灾害报告群体性事件办公室/操作风险损失财务会计部门损益表、业务状况表收集标准+组织方式KRI、LDC、RCSA二、损失数据库（二、损

28、失数据库（LDC）：流程）：流程37整理损失事件清单确定需要确认损失的事件范围损失确认风险分析验证收集全面性和准确性补充损失事件【1】【2】【3】【4】【5】【6】KRI、LDC、RCSA二、损失数据库（二、损失数据库（LDC）：步骤）：步骤1-确认事件清单确认事件清单38l 收集掌握的违法违纪案件、违规、经济纠纷、刑事案件、信息安全事件等操作风险事件，形成操作风险事件清单l 从本机构或本部门所掌握的法律成本、资产损失、监管罚没、对外赔偿、追索失败、账面减值等六类损失作为损失数据线索操作风险事件清单KRI、LDC、RCSA二、损失数据库（二、损失数据库（LDC）：步骤）：步骤1-确认事件清单确

29、认事件清单v监察部门：监察部门：从违法违纪案件管理系统及档案资料中收集违法违纪案件、移交监察查处的违规问题（含信贷违规问题从违法违纪案件管理系统及档案资料中收集违法违纪案件、移交监察查处的违规问题（含信贷违规问题）。）。包括包括贪污、受贿、挪用及其他内部人员等职务犯罪等违法违纪案件；贪污、受贿、挪用及其他内部人员等职务犯罪等违法违纪案件；2005 2005年年1 1月月1 1日后移交监察进行责任处理日后移交监察进行责任处理的其他违规问题（不含信贷）。信贷管理部从的其他违规问题（不含信贷）。信贷管理部从CMSCMS信息查询系统中查询出信息查询系统中查询出20052005年以后新发放（含还旧借新）

30、的法人年以后新发放（含还旧借新）的法人、自然人不良贷款清单提供给监察部，由监察部负责将其中认定责任人的不良贷款按户填写。、自然人不良贷款清单提供给监察部，由监察部负责将其中认定责任人的不良贷款按户填写。v内控合规部门：内控合规部门：从从审计系统中收集审计系统中收集20052005年以来审计、检查发现的违规问题。年以来审计、检查发现的违规问题。v安全保卫部门：安全保卫部门：从安全保卫信息系统及档案资料中收集刑事案件、自然灾害、意外事故等。包括从安全保卫信息系统及档案资料中收集刑事案件、自然灾害、意外事故等。包括20052005年后发生或发年后发生或发现的盗窃、抢劫、诈骗等刑事案件；现的盗窃、抢劫

31、、诈骗等刑事案件；20052005年后发生的水灾、雪灾、地震、台风等自然灾害对我行造成财物损失或人年后发生的水灾、雪灾、地震、台风等自然灾害对我行造成财物损失或人员伤亡的事件，以及造成我行财物损失或人员伤亡的火灾、交通事故等意外事故。员伤亡的事件，以及造成我行财物损失或人员伤亡的火灾、交通事故等意外事故。v法律事务部门：法律事务部门：从经济诉讼案件管理系统（法律事务系统）和档案资料中收集诉讼案件。包括从经济诉讼案件管理系统（法律事务系统）和档案资料中收集诉讼案件。包括20052005年后以我行为被年后以我行为被告（含仲裁）的事件；告（含仲裁）的事件；20052005年后发生的我行垫付诉讼费形成

32、损失的主诉事件，包括已经剥离的垫付诉讼费。年后发生的我行垫付诉讼费形成损失的主诉事件，包括已经剥离的垫付诉讼费。v信息技术部门：信息技术部门：20052005年后发生的需要上报省行、总行的信息系统中断事件或总行、省行通报中反映的信息系统中断年后发生的需要上报省行、总行的信息系统中断事件或总行、省行通报中反映的信息系统中断事件；因系统中断、堵塞或交易处理错误（如网银重复扣款）而产生的与客户纠纷；因外部病毒攻击或者第三方程事件；因系统中断、堵塞或交易处理错误（如网银重复扣款）而产生的与客户纠纷；因外部病毒攻击或者第三方程序的后门、木马等等造成的事件；因意外事故（雷击、洪水、断电）、人为破坏（内部、

33、外部都有）等原因产生序的后门、木马等等造成的事件；因意外事故（雷击、洪水、断电）、人为破坏（内部、外部都有）等原因产生ITIT设备损坏事件。设备损坏事件。v综合管理部门：地震、洪水、台风等；造成我行财产损失、人员伤亡或对外赔偿的火灾、交通事故；造成我行员工综合管理部门：地震、洪水、台风等；造成我行财产损失、人员伤亡或对外赔偿的火灾、交通事故；造成我行员工伤亡的公共卫生事件；暴力造成我行财产损失、人员伤亡的事件；群体性事件；金融挤兑。伤亡的公共卫生事件；暴力造成我行财产损失、人员伤亡的事件；群体性事件；金融挤兑。v财务会计部门：按照财务会计部门：按照20052005年、年、20062006年、年

34、、20072007年、年、20082008年、年、20092009年年度损益表的年年度损益表的931011931011、93101129310112、931013931013、93101389310138、934011934011、934012934012、934042934042、935011935011下余额逐笔找出核算对应的事件。按照下余额逐笔找出核算对应的事件。按照20052005年、年、20062006年、年、20072007年、年、20082008年、年、20092009年业务状况表中年业务状况表中3530135301、3530235302、3530335303、353043530

35、4、3530535305、3539935399、3540135401、3549935499、3599935999项下按本期借方发生额项下按本期借方发生额逐笔找出核算对应的事件。财务会计部门将逐笔找出核算对应的事件。财务会计部门将20052005年至今未在以上业务状况表科目中反映的，但确属操作风险损失的年至今未在以上业务状况表科目中反映的，但确属操作风险损失的数据，找出核算对应的事件。财务会计部门将上述收集到的三类事件进行汇总，形成数据，找出核算对应的事件。财务会计部门将上述收集到的三类事件进行汇总，形成表表2-1 2-1 财务会计报表反映的财务会计报表反映的操作风险损失事件清单操作风险损失事件

36、清单。39KRI、LDC、RCSA二、损失数据库（二、损失数据库（LDC）：步骤）：步骤1-确认事件清单确认事件清单v 在在20052005年后形成的凡是存在认定存在违规行为的不良贷款属于此次收集范围年后形成的凡是存在认定存在违规行为的不良贷款属于此次收集范围。商业银行操作风险资本计量指引：对因操作风险事件(如抵押品管理缺陷)引起的信用风险损失，如已将其反映在信用风险数据库中，应视其为信用风险损失，不纳入操作风险监管资本计量，但应将此类事件在操作风险内部损失数据库中单独做出标记说明。v 对不良贷款中按与操作风险的相关性分配损失。对不良贷款中按与操作风险的相关性分配损失。第一类：操作风险是不良贷

37、款产生的直接原因或主因。如由于欺诈、抵质押品管理失败产生的不良贷款（进行了责任人处理）。第二类：不良贷款中存在违规因素，但不是主要原因（检查、审计中发现违规行为，但免于责任处理）。已剥离的因操作风险事件产生的不良贷款也属于收集范围。40KRI、LDC、RCSA二、损失数据库（二、损失数据库（LDC）：步骤）：步骤1-确认事件清单确认事件清单v 风险管理部门合并清单：风险管理部门合并清单：1、重复的事件只保留一件。2、删除掉发生时间和发现时间都早于2005年1月1日的事件。3、删除掉事件清单中会计科目中反映出遗属补助、取暖费明显不属于操作风险事件范畴。4、确认为操作风险事件后需要补充资料并填写台

38、账。v 风险管理部门风险管理部门把需要确认损失和分析的事件发给各部门。把需要确认损失和分析的事件发给各部门。需要确认损失和分析的事件不包括：垫付诉讼费形成损失的主诉事件；事实经过简单、损失明晰的外部罚款；内控部门提供的违规问题中没有涉及金额或没有形成风险金额的一般违规问题。41KRI、LDC、RCSA二、损失数据库（二、损失数据库（LDC）：步骤）：步骤2-确认损失确认损失v 各负责部门按照风险管理部分配的事件清单，收集事件背各负责部门按照风险管理部分配的事件清单，收集事件背景材料，要描述清楚操作风险事件发生的时间、经过和当景材料，要描述清楚操作风险事件发生的时间、经过和当前状况，前状况，“一

39、事一单一事一单”填写填写操作风险损失事件台账操作风险损失事件台账，如果事件经过复杂的，需要另附文字材料说明。如果事件经过复杂的，需要另附文字材料说明。v 各负责部门要确认事件当前的涉及金额、风险金额和损失各负责部门要确认事件当前的涉及金额、风险金额和损失金额、损失挽回额（不含保险回收）和保险回收金额和非金额、损失挽回额（不含保险回收）和保险回收金额和非财务影响。财务影响。42KRI、LDC、RCSA二、损失数据库（二、损失数据库（LDC）：步骤）：步骤2-确认损失确认损失43涉及金额风险金额核算金额损失挽回损失金额l涉及金额指操作风险事件发生时直接涉及到的金额l风险金额操作风险事件发现时的所有

40、仍未确定收回的金额，即风险暴露金额l损失挽回额（不含保险回收）指事件处理过程中通过追索、当事人赔付、资产冻结等手段收回的金额l损失金额损失金额指事件在处理完毕后仍产生的直接的（如固定资产损毁）或需现款支付的费用l保险回收金额指事件处理过程中通过保险公司赔付而收回的金额KRI、LDC、RCSA二、损失数据库（二、损失数据库（LDC）：步骤）：步骤2-确认损失确认损失损失确认范围损失确认范围44实物资产损坏使使损失恢复正常状态的重置成本直接经济损失成本准备金为了防止损失事件再一次发生而产生的费用 潜在收入减少 包括不包括KRI、LDC、RCSA二、损失数据库（二、损失数据库（LDC）：步骤）：步骤

41、2-确认损失确认损失损失形态损失形态45损失形态1法律成本 2监管罚没6账面减值3资产损失5追索失败4对外赔偿KRI、LDC、RCSA二、损失数据库（二、损失数据库（LDC）：步骤）：步骤3-风险分析风险分析v 确定需分析的事件范围。确定需分析的事件范围。先将损失事件清单按损失情况大小依序排列，确定需要进行分析的损失起点。（损失起点按涉及金额、风险金额或损失金额根据情况确定）。v 补充待分析事件的材料，识别风险点，分析风险防控体系被突破的原补充待分析事件的材料，识别风险点，分析风险防控体系被突破的原因。因。v 分析事件发生的成因、事件类型、涉及到产品线。分析事件发生的成因、事件类型、涉及到产品

42、线。v 填写填写操作风险损失事件台帐操作风险损失事件台帐。46KRI、LDC、RCSA二、损失数据库（二、损失数据库（LDC）：步骤）：步骤3-风险分析风险分析4721030202客户提供虚假资料21030209虚构贷款用途21030215质押物虚假21030204客户无准入资格21030205财务信息不真实调查失实【2】【4】【1】【3】【5】21030304调查方法缺陷未异议21030305客户资料明显虚假无异议审查失效审议失效21030406过而不议审批失效21030506盲目审批用信/贷后管理失效21030702资金监管不到位21030707风险预警不到位21030703贷后检查不到位

43、21030603未落实贷款批复要求4000万仓单质押流动资金贷款被骗【6】【7】【8】【9】【10】【11】【12】【13】KRI、LDC、RCSA二、损失数据库（二、损失数据库（LDC）：步骤）：步骤3-风险分析风险分析48操作风险点分析示意图挪用资金将代收供电局电费存入个人控制帐户挪用供电公司540万资金【2】冒购转帐支票，挪用财政局资金掩盖之前挪用开立冒名虚假帐户银企对帐失效私刻印章购买支票冒名支票转帐凌驾控制，员工不敢抵制轮岗、交流、考核防控失效收款不入账70350301印签不符70350401制作虚假对帐单85060104计划外用工50010102虚开存折50020204虚假入账50

44、020202虚假印签、凭证70300302冒领重要空白凭证50020204代理客户办理结算业务授权控制失效ARMS监控失效70090101未严格审批授权70400301监控不力70400304监管员核销内容未真实反映预警信息会计监管失效85040901凌驾控制实施舞弊85060701未对员工进行职业道德操守教育85060201对金库管理等重要岗位人员未严格把关85060801员工行为排查不尽职85060401未按规定及时轮岗85040201应交流未交流85040601未按期进行年度或任期考核70410201监管检查流于形式70410202发现疑点不深查【1】【3】【4】【5】【6】【7】【8】

45、【9】KRI、LDC、RCSA二、损失数据库（二、损失数据库（LDC）：步骤）：步骤3-风险分析风险分析49序号序号事件名称事件名称风险金额风险金额损失金额损失金额业务及管业务及管理领理领域域业务产品业务产品/管管理活动理活动业务流程业务流程/操操作环节作环节风险点名称风险点名称1 1XX分行支行李某贪污污公款1,905,865.00 0.00 个人金融借记卡存款空存资金运 营安全认证卡和密码管理安全认证卡和密码使用飞卡或明码授权2 2某某分行某某支行客户经理范某违规发放贷款311,000.00 251,000.00 个人信贷/调查编造贷款用途审查贷款用途审查不严风险点分析结果要填写风险点识别

46、统计分析表。KRI、LDC、RCSA二、损失数据库（二、损失数据库（LDC）：步骤）：步骤4-验证验证50l 为确保损失事件收集全面和准确，通过各职能管理部门掌握的事件及财务会计核算操作风险损失的科目进行验证。验证由风险管理部门组织监察、安全保卫、法律事务、内控合规、财务会计等部门进行。l 实施小组必须组织省行相关部门对于此类事件必须逐一核实，检查试点二级分行是否存在遗漏 l 实施小组必须将试点分行报送的损失数据与该行的会计科目中核算的损失进行核对 各试点二级分行收集的事件 省分行监察、保卫、法律、审计等部门掌握的事件 各类事件、案件管理系统KRI、LDC、RCSA二、损失数据库（二、损失数据

47、库（LDC）：回顾刚才的内容）：回顾刚才的内容v损失数据库（损失数据库（LDCLDC）的定义、构成、与风险报告的）的定义、构成、与风险报告的关系、作用、难点。关系、作用、难点。v损失数据库（损失数据库（LDCLDC）的实施流程、各部门职责、范）的实施流程、各部门职责、范围、原则、步骤。围、原则、步骤。v流程详解。流程详解。51KRI、LDC、RCSA三、三、RCSA：定义、目的、意义、作用：定义、目的、意义、作用v操作风险与控制自我评估（操作风险与控制自我评估（RCSARCSA）是指业务及管理部门按照操作风险管理的基本原理与标准，采用）是指业务及管理部门按照操作风险管理的基本原理与标准，采用规

48、范化的方法和手段，评估业务及经营管理活动各流程环节中操作风险大小，评价控制活动效果，规范化的方法和手段，评估业务及经营管理活动各流程环节中操作风险大小，评价控制活动效果，并对控制活动进行优化改进的过程。并对控制活动进行优化改进的过程。v目的：目的：评估业务及经营管理活动各流程环节中的操作风险大小，对操作风险进行等级划分，区分高频低损、低频高损等风险，便于根据实际风险大小采取针对性控制。分析现有控制措施的实际执行情况，查找和评估现有控制措施的缺陷和不足，综合评价现有控制措施的不足或过度状况，便于采取更贴切和有效的控制。根据业务发展战略、风险偏好、盈利状况以及评估与评价结果，提出优化和改进控制活动

49、的方案，并最终实施优化方案。v意义：意义：开展RCSA是银行实施新资本协议，开展操作风险监管资本计量必须要满足的基本要求。开展RCSA是银行加快业务发展、提高运行效率、提升服务能力和收益的内在要求。从同业竞争方面，必须加快RCSA的推广和运用。v作用：作用：根据评估后的风险大小来确定控制活动，可以避免控制不足和控制过度，有助于优化业务及管理流程，提升服务效率和盈利能力。为案件防查工作提供方法和技术支持，从根源上查找并弥补控制缺陷，有效控制案件隐患及风险损失。建立覆盖全行各业务及经营管理活动的操作风险动态评估机制，实现操作风险控制的主动持续优化。为建立操作风险管理的关键风险指标（KRI）和操作风

50、险计量奠定基础。提高员工参与操作风险管理的主动性和积极性，促进操作风险管理文化的形成。52KRI、LDC、RCSA三、三、RCSA：与其他管理方式的差异：与其他管理方式的差异-内控评价内控评价53内控评价 测试、校验整个内控体系建设是否符合监管要求、运行是否有效，是对整个内部控制体系进行的评价，与对整个风险管理体系有效性的评价相同。银行界现今基本采用全面风险管理体系，内部控制评价已被融合在对风险管理体系的评价中。目的方面RCSA 发现具体的业务及管理活动中的风险、改进控制措施，避免控制不足和过度，要解决的是业务中的具体问题。KRI、LDC、RCSA三、三、RCSA：与其他管理方式的差异：与其他