操作风险管理.ppt

《操作风险管理.ppt》由会员分享，可在线阅读，更多相关《操作风险管理.ppt（116页珍藏版）》请在三一办公上搜索。

1、1,企业操作风险管理模块考试大纲,CERM 注册企业风险管理师培训专用课件,2,一、考试目的,本模块测试考生对企业操作风险管理基本理论和专业知识的掌握情况，考核考生在操作风险管理方面的综合思维，考核考生运用操作风险管理基本理论和专业知识分析解决企业实际问题的能力，考核考生在综合分析诊断企业全面和系统性风险问题时运用操作风险管理基本思维和基本知识的能力。,3,二、考试基本要求,2.1 掌握以下内容2.1.1 操作风险及其成因2.1.2 操作风险的分类2.1.3 操作风险管理的概念2.1.4 操作风险管理在企业全面风险管理中的意义2.1.5 操作风险管理的目标2.1.6 操作风险管理原则2.1.7

2、 操作风险管理结构和过程框架2.1.8 操作风险管理的实施思路,4,二、考试基本要求,2.1.9 企业操作风险评估1.风险识别2.风险分析3.风险评价2.1.10 操作风险应对策略和措施1.操作风险应对策略2.操作风险应对措施 2.1.11 操作风险监控和评价1.监控机制和监控活动2.操作风险报告3.操作风险管理评价2.1.12 操作风险危机管理与商务可持续性计划,5,二、考试基本要求,2.2 了解以下内容2.2.1 操作风险管理发展的现状和趋势2.2.2 重要商务领域的操作风险管理2.2.3 制造业和服务业的操作风险管理2.2.4 企业操作风险的计量、操作风险定价和经济资本配置,6,三、要点

3、内容,3.1 操作风险及其成因,7,3.1.1 操作风险的概念,操作风险（Operation Risk）又称为运营风险，是一个古老的风险，人们对它既熟悉又陌生。自人类社会诞生伊始就伴随其左右，并时时刻刻存在于人们一切活动的过程中。企业对操作风险的管理可以分为传统的分离式操作风险管理和当代概念下的集成式操作风险管理，分离式的操作风险管理是以各自独立的治理操作层面的单一风险为特征，例如企业进行单一的质量风险管理、安全风险管理或员工行为风险管理等，而当今集成操作风险管理则是用系统性的、关联性的集成思维和方法生成操作风险管理的综合治理方案，以达到成本最小和操作风险治理效果最佳目标。人们对集成概念下的操

4、作风险的普遍关注和强化管理是20世纪末开始的，也可以说企业对集成概念的操作风险的关注与企业对全面风险管理的关注是同步起始的。信息技术的发展支持了操作风险的综合评估技术，企业全面风险管理体系建设和风险文化建设为操作风险治理奠定了结构与环境基础，企业利益相关者（例如监管方或投资方）对操作风险治理水平的日益关注均成为当今世界操作风险管理新意迭出的基础,8,3.1.1 操作风险的概念,1.组织的运营及其风险 操作风险随着组织的产生而产生，也随着组织的发展而发展。并时时刻刻存在于组织的运营过程中，影响着组织目标的实现。在经济全球化和市场一体化的新时代，随着IT，特别是计算机技术的普遍应用，组织的分工协作

5、、相互依存、相互影响的程度也越来越高；组织的运营系统对组织目标的实现程度，对组织内外部价值链上的主体都会产生影响；一个组织的运营系统发生危害事件，不仅会威胁到该组织的发展和生存，也会危害到更多组织和公众的利益。当今世界，人们一方面在享受全球化运营带来的好处，另一方面也生活在更大的危险当中。由于各种重大危害事件的不断发生，几乎使所有的组织对全面风险管理越来越重视。随着对操作风险认识的不断加深，必须对其进行有效的管理已经成为普遍的共识。因此，自20世纪90年代以来，有关于操作风险管理的理论和实践也开始迅速地发展起来。,9,3.1.1 操作风险的概念,2.操作风险的定义 本大纲中的定义：不确定性对运

6、营目标的影响。巴塞尔（Basel）银行监管委员会的定义：由于不完善或有问题的内部操作流程、人员、系统或外部事件而导致的直接或间接损失的风险。本大纲认为，上述巴塞尔条约给出的有关操作风险定义不仅适合于银行界，也适合于其它所有行业。本大纲推介的定义应包含以下特征：它是根据国际标准化组织（ISO）对风险所作的定义而延伸出来的。具有ISO定义的高度概括性、简练性、全面性和通用性。操作风险可以用由组织的过程（流程）、人员、系统或外部事件影响实现运营目标的事件和环境变化（或二者的组合）所造成的结果及其可能性来表达。,10,3.1.1 操作风险的概念,3.操作风险的性质 异质性 操作风险由于覆盖范围广泛，诱

7、发因素多种多样，不同操作风险之间表现出明显的性质差异。外部欺诈、计算机病毒引发的系统崩溃、质量缺陷、地震以及恐怖袭击等尽管都同属于操作风险，但显然其诱发因素和性质的差异是很大的。这种性质差异导致了操作风险的管理从量化到管理控制、监测等各个方面都具有很大的挑战性。普遍性 操作风险不仅存在于业务流程之中，也存在于风险管理本身的实施过程之中，一个大型制造业企业的操作风险可达上千种之多，操作风险遍及企业运营过程中。不对称性 操作风险从发生频率和损失严重程度上看可以分为两类：一是发生频率高、造成损失相对较小的日常业务流程处理上的小错误；二是发生频率低但造成的损失相对大的自然灾害、大规模舞弊等。这使得操作

8、风险在分布上呈现出肥尾的非对称特征。因此，试图用一种方法来覆盖操作风险的所有领域几乎是不可能的。,11,3.1.1 操作风险的概念,非盈利性 绝大多数情况下，操作风险不是投机性风险，而是纯风险，只会产生损失而不会带来收益，因此不具有盈利性。这时，应对操作风险的基本策略就是尽可能降低，然而却必须受到成本支出的约束，因而需要追求的是降低操作风险和增加管理成本之间的平衡。可转化性 例如在商业银行，操作风险通常可以转化为市场风险和信用风险。可控性 操作风险多数与人的行为相关联，可以说操作风险的产生是直接或间接人为的作用结果，因此多数情况下操作风险是可控制的风险（外部突发事件除外）。行业差异性 操作风险

9、具有鲜明的行业特点，不同行业所呈现的操作风险特征差异巨大，因而相应的具体管理方法也因行业不同而不同。随机性 操作风险与人的行为紧密相连，由于人的行为具有随机性的特点，注定了操作风险的随机性。,12,3.1.1 操作风险的概念,4.操作风险的分类 操作风险的分类多数围绕着上文所谈到的操作风险的成因而分为几个组别：组织、政策/过程、技术、人员和外部事件等。本大纲分类：控制风险、过程风险、人员风险、合规风险、营销风险、操作性技术风险、营运能力风险、质量风险、安全风险、环境风险、供应商风险、项目运行风险、效率风险、成本风险、人员行为风险、信息系统风险、财务管理风险、报告风险、突发事件令业务中断风险（例

10、如自然灾害风险）等。巴塞尔委员会的分类（例如针对银行业）：内部欺诈外部欺诈就业政策和工作场所安全性客户、产品及业务操作实体资产损坏业务中断和系统失败执行、交割及流程管理,13,3.1.2 操作风险的成因,操作风险的成因可归纳为组织、政策/过程、技术、人员和外部事件等五个方面。1.组织 组织的含义 组织是指职责、权限和相互关系得到安排的一组人员及设施。例如，公司、集团、商行、企事业单位、研究机构、慈善机构、代理商、社团或上述组织的部分或组合。组织结构是指人员的职责、权限和相互关系的安排。组织的功能主要是通过组织结构来推动和实现的。组织因素风险 优秀的组织，其上下级之间、部门之间、各岗位之间均配合

11、默契，所有成员的能力都能互补，使整个组织决策和解决问题的能力与系统运营达到最佳水平。组织/组织结构因素风险主要是由于部门和岗位设置的缺陷、部门和岗位职责及其权限规定的不够合理、部门和岗位之间相互关系界定得不清晰或接口不严密等原因造成的。例如，组织结构不能充分反映组织活动的目标和规划；组织结构不能很好地反映出组织各层次可使用的职权范围；组织结构不能适应环境的变化；业务活动的划分和权限的设置与人员的数量、技能和习惯不够匹配：等等 COSO的研究报告将组织层级的风险成因分为外来因素和内在因素两大类。,14,3.1.2 操作风险的成因,2.政策/过程 政策因素风险 风险管理政策（方针）是经组织的最高管

12、理层正式批准的管理风险的全部意图、方向和原则。操作风险政策就是组织对操作风险管理中各相关部门所负有的职责、所采用的技术和方法等问题的具体规定。因此，政策因素导致操作风险的原因主要有：操作风险管理的目标有偏差；操作风险定义及其管理的基本理论不完善；对操作风险管理架构及其相应的作用、责任规定得不够明确；风险政策未能描绘或规范出操作风险管理工具和报告运用的预期效果；未能完善地制定并严格地执行一套与风险政策相配套的制度。为确保风险政策得到有效执行，这一套制度至少应涵盖以下四方面内容：高层管理者对操作风险管理目标执行情况的定期审查制度；风险管理部门对操作风险管理控制措施遵守情况的检查制度；审查、处理和解

13、决违规问题的相关政策、程序和步骤；确保有一套各操作风险管理层责任明确的成文的审批和授权制度。,15,3.1.2 操作风险的成因,过程（流程）因素风险 任何使用资源将输入转化为输出的活动或一组活动都可视为一个过程。通常，一个过程的输出将直接成为下一个过程的输入。组织的运营便是由许许多多相互关联和相互作用的过程组成的。系统地识别和管理运营所履行的过程，特别是这些过程之间的相互关联和相互作用是有效地实施操作风险管理的关键所在。过程因素风险主要是由于过程缺失、过程设计不合理、过程执行不严格、管理信息不准确或不及时等等方面的原因造成的。典型事例主要有：作业层级 作业层级风险是组织内各部门在其日常例行的运

14、营活动过程中，所遭受不利事件或行动影响的可能性。一般均依企业管理职能，识别其可能的风险，例如：生产因素 合格的供应商数量不足；产品品质未能符合市场需求；产能调整需时太长；设备损坏后，维修成本很高；人工短缺的风险；等等 营销因素客户取消订单；应收帐款呆帐；销售目标未能实现；销售策略失败；价格高度竞争，引发价格战；等等,16,3.1.2 操作风险的成因,财务/会计错误 财务管理和会计账务处理方面存在错误造成的风险，主要体现在财会制度不完善，管理流程不清晰，财会系统建设存在缺陷等。任何风险对企业财务损失的影响，最后都会反映在财务及会计资讯上。但是并不是所有风险的不利影响都能够予以量化，而且有些影响也

15、非短期内就会浮现。而且，每一种风险对企业的财务影响（包括收入、成本、盈余）的敏感性及程度，很难一概而论。例如：丧失商机、成本提高、产品售价下滑、意外灾害损失、及营业中断。文件/合同缺陷 文件/合同缺陷也称文件/合同瑕疵，是指各类文件档案的制定、管理不善，包括不合适的或者不健全的文档结构，以及协议中出现错误或者缺乏协议等，例如表现为：抵押权证、房产证丢失等。产品服务缺陷 为客户提供的产品在业务管理框架、权力义务机构、风险管理要求等方面存在不完善、不健全等问题而造成的风险。错误监控/报告 因监控/报告流程不明确、混乱，监控/报告部门的职责不清晰，有关数据不全面、不及时、不准确，未严格履行报告职责或

16、报告内容不准确等等都将造成重大损失。,17,3.1.2 操作风险的成因,3.技术 技术因素风险系支持组织运营的技术系统（设施、设备、机器、仪表等及其软件）的故障、差错或其他原因所产生的风险。主要是由于技术系统的设计、使用和维护不完善造成的。包括数据/信息质量风险、未严格执行系统程序或操作规程、系统设计/开发中的风险，以及系统的稳定性、兼容性、适宜性方面存在的风险。数据/信息质量风险 主要是指组织对各类文件档案的制定、管理不善，业务操作中的数据出现差错；或者缺乏数据/信息，以及数据/信息的质量不符合要求。可操作性设计不完善 技术系统的可操作性设计不完善，例如，缺乏周密的防误操作措施，或应有的安全

17、性措施，人员在执行系统程序或操作规程时，就容易出现差错或造成故障，甚至发生安全事故，最终导致系统无法正常运行，将会产生难以预料的各种损失。,18,3.1.2 操作风险的成因,系统安全防护不充分 系统安全包括外部系统安全、内部系统安全、对计算机病毒的防护、对第三方程序欺诈的防护等。系统安全风险主要表现在：突破系统存储限制、系统信息传递/系统修改信息传送失败、第三方界面失败、系统无法完成任务、数据崩溃、系统崩溃重新存储、请求批处理失败、对账错误等。系统开发中的风险 技术系统项目在立项、开发、验收、运行和维护等各环节中都存在着形形色色的风险。美国国防部采办风险管理、NASA风险管理和中国航天项目风险

18、管理的经验均给出了技术系统开发中的主要风险及其成因。系统的稳定性 兼容性 适宜性 IT技术部门应当与业务部门进行协调，确保IT系统的整体稳定运行，确保核心系统与相关系统的有效兼容，确保业务需求和管理需求相适宜。,19,3.1.2 操作风险的成因,4.人员 人员因素风险主要是由员工内部欺诈等违法行为，失职、越权等违规行为，因知识/技能匮乏而操作失误，违反用工法等人事管理问题，核心员工流失或其他劳动力中断等所造成的损失或者不良影响而引发的风险。例如：内部欺诈 失职违规 未严格执行系统程序或操作规程 知识/技能匮乏 核心员工流失 违反用工法,20,3.1.2 操作风险的成因,5.外部事件 外部事件包

19、括外部“人祸”事件和外部环境变化产生的事件等。由于外界人士故意欺诈、骗取或盗用本组织资产或违反法律而对客户、员工、财务资源或声誉已经或可能造成负面影响的事件，这些事件可能使内部控制失败或失灵；另外，外部事件也包括多种企业不可控制的并对企业运营或声誉造成“威胁”的意外事件。例如：外部欺诈/盗窃 政治风险 监管规定 业务外包 自然灾害 恐怖威胁,21,3.2 操作风险管理的概念,22,3.2.1 操作风险管理的定义,操作风险管理是指在实现组织经营目标过程中，相关人员将组织的操作风险控制在组织可接受范围之内的方法和过程，以保障组织经营目标的实现。,23,3.2.2 操作风险管理特点,1.对组织的所有

20、过程起到集成的作用。操作风险管理是管理职责的一部分，它的根本作用是把正常的各类的组织过程集成起来，同时也把所有的业务、项目和变革管理的过程集成起来。操作风险管理绝不能变成游离于组织主要活动和过程的单独行动。2.操作风险管理应能明确地找到不确定之处：哪些是不确定的，不确定的性质和水平，以及可能在什么地方发生。3.操作风险管理应该是系统化、结构化和及时化的。系统化、及时化和结构化方法能为风险管理贡献有效、协调、可比、可靠的结果。4.操作风险管理必须以最好的可用信息为基础。管理操作风险过程的输入只能建立在诸如经验、反馈、观察、预测和专家判断之类的信息资源的基础上。不管用何种方法，决策者都应当获得并考

21、虑所使用数据或模型的限制，考虑专家之间分歧的可能性。,24,3.2.2 操作风险管理特点,5.操作风险管理应该是可以剪裁的。操作风险管理是由组织的外部链接关系、内部管理脉络、业务性质及范围，以及其操作风险剖面等个性化因素决定的。因此，每个组织的操作风险管理体系都必须量身定做。6.操作风险管理必须纳入人文因素。组织的操作风险管理应当重视内外部人员的能力、感觉和意图对达到组织目标的促进或干扰。人在操作风险管理中发挥着关键的作用。虽说操作风险被定义为来自于人员、系统流程和外部事件等多方面因素，但在操作风险管理中，人的因素始终是决定性的因素。7.操作风险管理必须是动态的、迭代（反复）的和响应变化的。当

22、诸如内外部事件发生、关系脉络和知识变化、监控和评审进行、新风险暴露、某些变化和其他状况消失时，组织应当确保操作风险管理能持续地感识和响应这些变化。8.操作风险管理应能推动组织的持续改进和增强。,25,3.2.3 操作风险管理的任务及其基础建设,1.操作风险管理的主要任务（活动）建立操作风险管理的总体框架，制定清晰的操作风险管理政策以及制定相应的管理制度和流程，制定操作风险管理计划；分析一切影响操作风险管理的内外部链接关系，并确立操作风险基准与准则；识别、分析、评价、治理、监控和审核操作风险；贯穿一切管理过程的，与所有的利益相关者进行适当而及时的沟通与磋商；建立组织的内外部关系脉络；记录和报告结

23、果。,26,3.2.3 操作风险管理的任务及其基础建设,2.操作风险管理主要基础工作 确立操作风险准则 操作风险准则是根据相关标准、法律、组织风险偏好和风险管理方针等导出的赖以识别和分析操作风险，以及评价操作风险重要性的条件。因而，它是实施操作风险管理的基础和基本条件，它的确立应该建立在组织内外部关系脉络，即弄清一切影响操作风险管理的内外部链接关系的基础上，并定期进行评审，以确保其持续适当。建立操作风险指标 操作风险指标是指用来考察组织的操作风险状况的统计数据和指标；包括财务和非财务的。科学而恰当地建立操作风险指标，并对这些指标定期进行评审，是保证操作风险管理有效性的关键环节。这些指标通常包括

24、员工流动比率、操作失败的次数、质量达标指标、错误和遗漏的频率和严重程度等。,27,3.2.3 操作风险管理的任务及其基础建设,建立和完善操作风险信息库 可利用的、高质量的信息是实施操作风险管理的基础。因此，必须通过收集诸如经验、反馈、观察、预测和专家判断之类的信息资源，来建立和不断完善操作风险信息库。为此，必须持续、系统和全面地收集相关信息，其中包括企业的历史数据和对未来的预测数据。操作风险的数据一般散落在各业务单位和部门中，收集难度较大，且数据普遍偏少（特别是信息系统发展落后的企业或操作风险管理基础差的企业）。所以，尤其要用心地去收集，才能满足要求。内部损失数据、外部损失数据、情景分析数据、

25、自我评估数据、关键风险指标数据以及风险缓释数据等用于操作风险计量的数据是收集的重点。一般可按照内部要素和外部环境两大范畴收集信息。还可按照企业发展和经营的基本职能及其行为重点收集可能诱发操作风险因素之信息。应用逻辑方法和系统方法 注重运用系统化、及时化和结构化的方法，并把操作风险的管理活动充分地集成（整合）到组织正常运营管理的一切过程中去，也是操作风险管理成功的关键环节之一。,28,3.3 操作风险管理的目标,1.保障企业战略和经营目标实现；2.确保操作过程的合规合法；3.确保操作风险管理的有效性；4.确保业务记录和其他管理信息的及时、真实和完整；5.确保可靠/正确的操作风险报告被及时传递给正

26、确的人；6.实施损失最小化管理；7.平衡风险与成本，实现成本最小化和收益最大化；8.实现业绩稳定性和可预见性目标；9.实现商务可持续目标；10.实现效率和绩效最优化。,29,3.4操作风险管理原则,1以整合性、关联性和系统性观念实施操作风险管理；2在企业全面风险管理的框架下，为操作风险管理制定清晰的目标、清晰的政策、清晰的过程和明确的合规标准；3.理顺操作风险管理的结构保障，分清操作风险管理的权限和责任；4.实施对操作风险的过程管理，并对实施效果进行监控和评审；5.将操作风险管理与业务过程管理相结合；6.将操作风险管理与绩效评价相结合；7.计提操作风险所需要的资本。,30,3.5 企业操作风险

27、管理框架,企业中任何一个管理层面或任何单一风险的管理过程均遵从ISO31000所给出的风险管理框架，操作风险管理也不例外。操作风险是一类汇聚了企业经营层面多种风险的集成风险。在企业全面风险管理的基本框架和环境下，在操作风险管理的总体政策与原则基础上，实施企业的操作风险管理。操作风险管理的基本过程包括：定义操作风险的内容、沟通与协商、操作风险评估（其中包括风险识别、风险分析和风险评价）、操作风险应对、监督与审核、持续改进。根据ISO31000“风险管理原则和实施指引”绘制出操作风险管理框架，如下图所示。,31,3.5 企业操作风险管理框架,32,3.6 操作风险管理在企业全面风险管理中的意义,操

28、作风险管理是企业实施全面风险管理的核心板块之一。落实企业全面风险管理使命时，通常会把损失最小化管理、业绩稳定可预见、持续运营和保障组织经营目标的实现等主要目标分解给操作风险管理。在考虑到风险的关联性、资源分配的有效性、操作风险的系统性、和操作风险可能的量化发展趋势等情况之下，在信息技术的发展令操作风险的管理水平跃进到一个崭新的整合性台阶的情况下，在20世纪90年代初操作风险管理思维、方法和实践首先在金融界浮出水面之时，企业对操作层面各类风险的治理，就从过去的条块或局部治理，开始走向实施综合关联策略的整体性操作风险管理的时代。由于操作风险对企业的运营系统目标实现有重要的影响，可能使企业的利益相关

29、方的利益产生重大的波动。所以，这些利益相关方越来越关注企业操作风险的管理和控制。事实上，建立和健全一种高水平的操作风险管理体系，是提高客户满意度、提高利益相关方满意度和提升企业的持续稳健运营的基础，优秀的操作风险管理已成为卓越管理或优秀企业的象征。,33,3.7 操作风险管理的实施思路,操作风险管理从分立式（例如质量、安全、环境、信息系统审核及内控等）走向集成管理的概念，首先是源自于金融界的实践。以系统性的视角、最小成本、综合性的方法试图对操作风险实施管理，来减小损失的不确定性和增加业绩的可预见性与稳定性是操作风险管理的主要目标。因此，国际上第一个给出操作风险定义的行业是出台巴塞尔条约的银行业

30、：操作风险是指由于不完善或有问题的内部操作流程、人员、系统或外部事件而导致的直接或间接损失的风险。由于考虑到目前银行业对操作风险的定义也对其他行业具有较好的适用性，由于迄今从跨行业的角度对操作风险的定义还有待于进一步研究发展，因此本大纲也积极推荐巴塞尔（Basel）银行监管委员会对操作风险的定义。另外，本大纲还推荐，设计操作风险管理的整体思路时，也可一定程度地参照银行业的实践经验。,34,3.7 操作风险管理的实施思路,1.基于巴塞尔协议条约的实施思路 就不同行业来讲，操作风险的管理过程设计应是大体一致的，但实施操作风险管理所运用的具体方法和对策则会呈现较大差异。另外，就风险管理过程而言，不同

31、行业的重点关注环节也会呈现各自的特点，例如对于商业银行而言，其操作风险管理主要关注的几个环节包括：操作风险的识别与评估、监测与报告、信息披露和资本计量等几个过程。操作风险的识别与评估建立全行统一的操作风险识别与自我评估的流程、标准和工具模板；让业务部门成为风险与内控自评主体，将自评作为识别和管理操作风险的有效工具；建立统一的操作风险管理信息系统，规范地收集风险识别和评估数据。操作风险的监测与报告建立多维度、多层次、覆盖不同风险类别的操作风险关键指标体系；建立多层面和多维度的操作风险报告体系，针对董事会、高级管理层、分行、业务单元等不同层面定期生成操作风险管理报告；从风险成因、损失事件和业务线等

32、不同维度定期报告操作风险的状况和可能导致重大损失的风险暴露。,35,3.7 操作风险管理的实施思路,操作风险信息披露 按照新资本协议第三支柱的要求，建立操作风险信息披露的制度、管理流程、内容、披露方式、数据来源和模板；按照监管要求，定期生成信息披露报告，并对外披露。操作风险的资本计量 建立产品和服务的统一定义，将产品和服务分别与巴塞尔新资本协议所规定的8个业务线相对应；对8个业务线的收入进行测算，进而完成对操作风险资本的标准法计量；建立操作风险高级法计量方法体系，在不断积累足够数据的基础上，逐步实现高级法计量；将操作风险与资本相联系，试图从资本的角度保障对操作风险的抵御或应对能力。操作风险缓释

33、 以风险评估结果为依据，以风险管理策略为指导，企业选用具体的风险管理措施、手段或工具（例如采用内部控制、保险转移或合同外包等措施）实施对操作风险的系统化和规范化治理，以缓释或改善操作风险，这事实上就是将操作风险解决方案付诸于实施。,36,3.7 操作风险管理的实施思路,2.基于内部控制的管理框架设计 COSO认为企业整体内部控制具有四个目标：战略目标、操作目标、报告目标与合规目标。显然，以支持企业操作风险管理为目的的操作风险内控目标为上述后三个目标，这三个目标可实施进一步细化与分解。COSO认为内部控制框架有下述五个要素组成部分：内部环境：控制环境是提供控制人员进行各项活动及进行监控活动的基础

34、，既包括企业的诚信度和道德观，也包括员工的道德标准和能力。风险评估：风险评估就是识别和分析实现目标的过程中存在的重要风险，它是决定管理何种风险和如何管理风险的基础。控制活动：控制活动就是帮助、确保管理层指示得到实施的政策和程序。COSO认为，控制活动分为三种类型：经营控制活动、财务控制活动和遵守法律控制活动。信息与沟通：信息与沟通是将上述三项活动联系在一起的桥梁和纽带，也是人们获得和交流业务经营、管理与控制信息的保障。监督：企业或银行业务运营的全过程必须置于监控之下，并能在必要时进行调整。这样，控制系统就可以动态反馈，并在授权范围内及时做出调整。企业的操作风险多数源自于有相当可控性的人的因素，

35、因此采用COSO的内控框架实施对操作风险的识别、分析、评价和应对是一种较好的实践。,37,3.8 操作风险评估,38,3.8.1 操作风险管理的过程与评估的实施步骤,1.操作风险管理过程 操作风险管理策划。操作风险管理的负责人及其团队应充分了解相关的信息，理清思路，建立必要的风险管理工作基础，例如明确责任分工、调研和收集信息、制定和系统化风险评价指标等；操作风险评估。通过对操作风险的识别、分析和评价过程实施操作风险评估，对操作风险的严重性进行排序；识别和评价对操作风险治理的策略；选择和执行治理操作风险的策略；评价实施操作风险治理策略后的剩余风险状况是否在可接受的范围之内；持续的协商和沟通，以及

36、持续的监控和改进贯穿于上述5个过程的始终；描述操作风险，并记录过程。,39,3.8.1 操作风险管理的过程与评估的实施步骤,2.操作风险评估的实施步骤 操作风险评估是操作风险管理过程中的核心部分，它包括操作风险识别、操作风险分析和操作风险评价的全部过程（如操作风险管理过程所示）。确定操作风险评估的任务和目标；与相关方充分沟通与磋商；建立操作风险评估的程序和工作流程，定义评估操作风险的基本参数和设定其他评估过程相关的范围及准则；确定操作风险评估的负责和参与人员，确定分工和责任；实施风险评估，得出风险评估结论。,40,3.8.2 操作风险评估的前期准备,了解和掌握被管理对象的宽泛而充分的信息是进行

37、操作风险评估的基础。因此，必须持续、系统和全面地收集相关信息，其中包括组织的历史数据和对未来的预测数据。可按照内外部关系两大脉络来收集信息。也可按照组织发展和经营的基本职能及其行为重点收集可能诱发操作风险因素之信息。例如至少重点收集本企业、本行业相关的以下信息：1.企业发展战略与目标，组织现有的风险管理状况和风险管理能力，包括公司治理、内部控制、危机管理和审计等状况，以及风险管理人员、策划和报告等能力；2.决策者的风险价值观和风险偏好，组织提高决策质量的空间大小，管理不确定性的能力与规划；3.现有业务流程和信息系统操作运行情况，以及相应的监管、运行评价及持续改进能力；4.营销、供应、生产、人力

38、资源、财务等管理状况及其存在的问题；5.组织成本管理、资金结算和现金管理中的常见问题与突出问题；,41,3.8.2 操作风险评估的前期准备,6.组织的盈利能力，影响企业盈利能力的因素和风险事件等；7.新市场开发，市场营销策略，包括产品或服务定价与销售渠道，市场营销环境状况等；8.企业组织效能、管理现状、企业文化，高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验；9.组织的人员素质和结构，领导的风格、道德观和风险偏好，员工的道德操守和遵纪守法状况；10.产品结构、新产品研发；11.质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节；12.因企业内、外部人员的道德风险

39、致使企业遭受损失或业务控制系统失灵；13.操作风险历史发生事件及其原因教训，组织以往的损失信息和数据；14.环境信息与评价，评估可能发生的外部突发事件；15.与操作风险管理相关的行业信息；16.企业利益相关方对操作风险管理状况的关注。,42,3.8.3 风险评估方法论概述,ISO/IEC 31010在附件中介绍了风险识别、风险分析和风险评价的31种常见方法，其中包括：“头脑风暴法”、“结构化或半结构化会谈”、“德尔菲法”、“检查表”、“预先危险分析（PHA：Preliminary Hazard Analysis）”、“危险与可操作性研究（HAZOP：Hazard and Operability

40、）”、“危险分析与关键控制点（HACCP：Hazard Analysis and Critical Control Points）”、“环境风险评估”、“假设推断（SWIFT：Structured What-if）”、“情景（局面）分析（Scenario Analysis）”、“业务影响分析（BIA：Business Impact Analysis）”、“根原分析（Root cause analysis）”、“故障模式与影响分析（FMEA 或 FMECA故障模式影响及危害度分析）”、“故障树分析（FTA：Fault Tree Analysis）”、“事件树分析法（ETA：event Tree

41、Analysis）”、“因果分析（cause consequence Analysis）”、原因及其影响分析（Cause-and-effect analysis）”、“保护层分析（LOPA：Layer of Protection Analysis）”、“决策树分析”“人的可靠性评估”、“蝴蝶结分析”、“以可靠性为中心的设备保养”、“潜通路分析”、“马尔可夫分析”、“蒙特卡洛仿真”、“贝叶斯统计和贝叶斯网络”、“风险控制的有效性”、“FN 曲线”、“风险指数”、“结果可能性矩阵”、“成本受益分析”等方法。,43,3.8.4 风险识别,操作风险识别是发现、认可和记录操作风险的过程。其主要任务有：识

42、别内外部影响组织实现目标的事项，由于操作风险的纯风险特性，因此识别出的操作风险基本上是负面风险。识别事项的驱动因素。一般从经济、自然环境、政治、社会与技术五个外部因素和从基础机构、人员、流程与技术四个内部因素来识别操作风险的驱动因素。显然，从操作风险的发生频度而言，内部因素是招致操作风险的主要诱因。建立一个设计合理、系统和完整的风险识别方法框架是有效进行操作风险识别的前提。该框架主要包括：操作风险识别类别框架、有效发挥功能的技术和工具框架以及包括情境假设的问题框架等。有效的发挥这套框架功能还需要充足的并具有现实时效的信息支持和训练有素的掌握这种方法学技术的人。,44,3.8.4 风险识别,1.

43、操作风险识别导向框架 企业全面风险管理框架下的风险识别，需要的是能够识别出企业所有风险的框架。在当代实践中，企业往往是采用多个框架来识别企业的风险。AARCM将目前通用的各类风险识别导向框架归类为如下四大类：目标导向风险识别 情景导向风险识别 分类导向风险识别 经验导向风险识别,45,3.8.4 风险识别,除了考虑采用以上列出的操作风险识别框架之外，企业还可以根据自身的特点发展具有另类思维的操作风险识别框架来，总之其目的则是：令客观存在的主要操作风险能得到充分和全面的识别，令相关的诱因能够得到充分的了解。显然，操作风险识别的框架应建立在操作层面，与企业整体风险识别框架相比较，操作风险识别框架还

44、往往包括以下特定识别思路和方法，例如：目标风险识别、自我评估控制、流程分析、损失归类和绩效分析等方法定性或半定量分析风险。,46,3.8.4 风险识别,2.识别操作风险必须考虑的问题识别操作风险就是要回答以下问题：在业务运行过程中，本组织面临哪些操作风险？操作风险的驱动因素有哪些？什么是潜在事项？哪些潜在事项可能引发操作风险？操作风险的损失和收益结果是什么？什么是关联风险、关联风险因素、关联事件和关联事件可能产生的后果?操作风险的诱发原因是什么？操作风险可能发生的地点？操作风险可能发生的时间？,47,3.8.4 风险识别,例如，对“操作风险的诱发原因是什么？”的问题，可以从下列方面去分析：外部

45、环境的变化；人的行为失误（商务操作过程不规范或有缺陷，延误）；商务活动管理不善（如资产保管防护不力，人的技能局限、沟通不畅，企业内部控制实施不力）；信息来源不可靠；企业决策失误；机会成本（人力与财力资源配置不佳，决策失误造成的潜在损失）；商务欺诈、舞弊、造假；操作意外事件（设备不正常，灾害等）；组织结构、体系、流程、系统或技术缺陷或选择不当。,48,3.8.4 风险识别,3.识别操作风险的方法 概括地说，识别风险的方法主要有迹象法（例如，检查表和历史数据回顾等方法）、系统团队法（专家组遵循一个系统性的程序依靠一套结构化的提示或问题来识别风险）和归纳推论法（诸如事件树之类的逻辑图）。综合运用各种

46、不同的方法（包括头脑风暴法和德尔菲法）可以改良风险识别的准确性和完全性。在ISO/IEC31010“风险管理风险评估技术”中列出了多种有关风险识别的方法，其中很多适合于操作风险识别的应用，具体请参阅本考试大纲相关部分所陈述的内容。,49,3.8.5 风险分析,1.分析的内容 风险分析的目的是了解风险，了解风险的影响和了解风险发生的频度，了解风险严重性的级别，以便决定它的可容忍性或可接受性，从而研究和选择治理风险的最好策略和途径。风险分析主要由下列三部分内容组成：确定已识别出风险事件的影响结果及其发生的可能性；考虑现在有无任何控制措施和现有控制措施的效果；根据可能性和影响结果确定风险水平。在分析

47、操作风险时，获取尽可能充分的信息是关键。例如，可以从澳大利亚/新西兰AS/NZE 4360标准所推荐的风险管理信息框架的中下列方面寻找参考信息：过去的纪录；相关的实践经历；相关的文章和资料；市场测试和研究；公共咨询或调查结果；试验和样板典型；社会经济模型、工程技术模型或其他模型；特种专才或专家评判。,50,3.8.5 风险分析,2.分析的方法 概述 依照ISO/IEC31010的指引，常用的风险分析方法可按定性、半定量和定量方法分类。风险分析人员究竟使用何种分析方法则取决于风险分析的目的，被分析风险的特性、信息和可得的资源。就复杂程度和成本而言，定性风险分析为最低，定性分析操作相对简单快捷和视

48、野覆盖面较宽。因此，定性分析基本上是必用的风险分析方法。一般用定性方法进行风险的大体分类，从而揭示主要的风险问题。对某些已识别出的特定风险，在认为必要和有条件的情况下，通常实施定量分析。因为，定量分析的成本在各类风险分析法中是最高的。一般情况下，在实际操作风险管理中，只有少数风险才实施进一步的量化分析，甚至建立量化模型分析。另外，也可以按概率方法和非概率方法分类，或者按统计和非统计方法分类。,51,3.8.5 风险分析,定性分析法 定性分析常用语言的方式描述潜在结果的严重性和这些结果产生的可能性。定性往往产生描述性的估测的风险等级结果。例如，通过定性分析可实施对某些风险可控制与不可控制的分类。

49、以下列出了一些常用的操作风险定性分析方法。问卷调查法 问卷调查是识别和分析风险最常用的简易方法。进行问卷调查，首先要根据 调查目的设计出问卷；然后向符合统计要求的对象发放问卷并指导他们正确 填写问卷；最后，对回收的问卷进行统计分析，从而得出调查结果。一般的问卷都分为前言、主体和结语三个部分。设计问卷一般应该遵循下列原则：调查的目的和主题明确；调查的对象明确；具有逻辑性和规范性；客观、无暗示诱导、不提敏感问题；具有统计意义。,52,3.8.5 风险分析,检查表法 检查表又称调查表，统计分析表等。它以简单的数据，用较容易理解的方式，制成图形或表格，必要时记上检查记号，并加以统计整理，作为进一步分析

50、或核对检查之用。操作风险检查表法是将一系列的操作风险因素列出检查表进行分析，以识别组织的操作风险状态。自我评价法 通过问卷调查或系列讨论会等方式得到需要的操作风险分析资料后，对经营和业务活动中可能发生的潜在操作风险进行评估，并且经常通过列出清单、使用工作组的形式来评估组织中各部门的特征及其风险状况，从而识别出组织中的重要风险。例如，根据组织的业务特点和现有的风险管理措施，并结合有关操作风险的界定，将每一种业务中的潜在操作风险分离出来，并进行分类。然后，设计相应的检查表，评估风险状况及其控制措施的效用，尤其是评估风险频率、影响、严重级次以及相应控制措施的水平。此方法对识别重要风险很有效，但主观色