15
风险自评估的运行模式与机制（续）
4. 评估频率：
• 定期：每年（固有风险和剩余风险） • 不定期：当发生以下情形时，会启动固有风险和剩余风险的自评估工作：
➢ 同业发生重大案件； ➢ 本条线发生重大操作风险事件； ➢ 总行信息系统发生重大变化； ➢ 总行推行新产品、新业务、新流程； ➢ 监管机构发布重大操作风险提示； ➢ 监管机构或者管理层要求发起的。
监测 KRI LDC
缓释 行动计划
评估
以业务流程为基点，对风 险与控制进行自我评估； 使用风险地图、问卷调查 法等工具。
监控、计量和报告
对风险和控制情况进行监 控、计量和报告； 使用关键风险指标、操作 风险报表/报告、资本计量 等工具。
4
操作风险管理——三大工具
5
目录
1
操作风险管理理念
-风险与控制自我评估（RCSA）
13,456,700
26,931,400
44,368,100
134,657,000
269,314,000
538,628,000
1,615,884,000
7,002,164,000
49,149,805,000
本。
操 作 风 险 可 能 带 来 的 财 务 损 失
4,666,900 1,617,400
560,500 194,300
针对风险点采用合 适的控制措施，以 增强各业务单位控 制自评估的有效性。
8
操作风险数据库——三大清单的连结
流程 客户申请 ……
流动资金贷款 放款审核
……
风险点
客户提供 虚假材料
……
未及时办理 抵质押手续
……
损失事件类型
控制措施
外部欺诈
……
执行、交付和流程 管理
客户经理和经办双方复核确认 复印件真实性
操作风险管理系统
LOGO
银丰科技操作风险管理系统
2011.11
目录
1
操作风险管理理念
2
操作风险管理系统
3
操作风险管理流程
识别 流程分析 风险控制识别
评估 RSA CSA
识别
从业务流程出发，分析业 务中的关键风险点； 使用流程图法、流程分析 法等工具。
风险控制和缓释
在评估结果的基础上，根 据可选方案对风险进行控 制和缓释； 使用行动计划、控制措施 优化、保险等措施。
5. 评估计划：
• 总行操作风险管理部门负责制定全行年度风险自评（固有风险和剩余风险）的总体工作计划； • 总行业务部门依据全行年度工作计划，制定本部门的风险自评（固有风险和剩余风险）工作计划； • 分行业务部门依据上级归口部门制定的年度自评工作计划，制定本部门的剩余风险自评工作计划； • 分行操作风险管理部门负责汇总分行业务部门制定的年度自评工作计划，并在分行范围内进行协
调和确认。
16
风险自评估的运行模式与机制（续）
6. 工作开展模式：
风险自评主要采用：线下开展工作组讨论会议+兼职岗位线上录入结果的方式，具体开展模式举例说 明如下所示： 以总行部门流程层级风险自评估为例（从固有风险和剩余风险的角度评估操作风险）： 主流程部门兼职岗位负责组织该主流程牵头部门和参与部门相关的业务专家召开工作组讨论会议，共 同对该主流程在内控梳理中所识别的流程层级的风险进行讨论和评分，该兼职岗位当场记录评分结果 信息并请与会人员签字确认，会后由牵头部门的部门负责人或政策负责人对评分结果做最终审核和确 认，并由该兼职岗位在系统中录入最终评分结果信息。
级 别
评估标准
标准说明
1. 所有执行人员拥有专业胜任能力；
1
绝对有效
2. 控制落实程度为100%。
（以上条款缺一不可）
1. 多数执行人员具有专业胜任能力；
2
通常有效
2. 控制落实程度为85%至99%。
（以上条款只需其一）
1. 部分执行人员具有专业胜任能力；
3
基本有效
2. 控制落实程度为70%至84%。
发生频率
1
至少每天发生一次
2
至少每周发生一次
3
至少每月发生一次
4
至少每季发生一次
5
至少每半年发生一次
6
至少每年发生一次
7
至少每3年发生一次
8
至少每5年发生一次
9
至少10年发生一次
10
30年以上发生一次
操作风险严重程度评估表（直接损失）
严重度等级 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
-关键风险指标（KRI）
-损失数据收集（LDC）
2
操作风险管理系统
6
风险与控制自我评估（RCSA）
• 风险与控制自我评估（ RCSA，Risk and Control Self Assessment ）的标 的源自于内控梳理的工作成果。在风险自评方面，针对操作风险做全行范围 内的自评；在控制自评方面，则针对各层级的控制（总行制定的标准控制和 分行本地化后的控制）做全面的控制有效性自评。
可能造成的损失（RMB） 0-5,000
5,000-10,000 10,000-20,000 20,000-50,000 50,000-100,000 100,000-200,000 200,000-500,000 500,000-1,000,000 1,000,000-2,000,000 2,000,000-4,500,000 4,500,000-9,500,000 9,500,000-20,000,000 20,000,000-45,000,000 45,000,000-95,000,000 95,000,000-200,000,000 >200,000,000
•绿色区域（可容忍，不需另外采取应对措施）：操作
30,000,000
60,000,000
99,000,000
300,000,000
600,000,000
1,200,000,000
3,600,000,000
15,600,000,000
109,500,000,000
风险暴露落在安全区域，基于风险管理、成本与效益 的考虑，视该操作风险暴露为业务经营的操作风险成
4,212,000
29,565,000
336,000
1,456,000
10,220,000
120,000
520,000
3,650,000
36,000
156,000
1,095,000
•黄色区域（可容忍，但应该加强监控）：表示操作风 险暴露落在需加强监控的范围内，相关单位应加强管 理与监控的力度。 •橙色区域（可容忍，但应该采取应对措施）：操作风 险暴露已落在警戒范围内，相关单位应该立刻采取应 对措施，以将操作风险暴露迅速降低至安全区域（绿 色或黄色区域）。 •红色区域（不可容忍，特别关注并采取应对措施）： 操作风险暴露已落在不可忍受的范围内，应特别关注， 并采取强度较大的应对措施，将操作风险迅速降低至
7
操作风险数据库——三大清单
• 在全行统一进行流程、风险点及控制措施清单梳理，将其作为风险与控制自 我评估架构的基础。
流程清单
风险点清单
控制措施清单
梳理银行产品及虚 拟产品（非产品） 流程，作为风险识 别的第一步，并作 为将来银行开展 RCSA工作的基础。
以流程为基础，识 别流程环节中的关 键风险点。
14
风险自评估的运行模式与机制
总行操作风险管理部门定期或不定期，牵头组织总行业务部门对内控梳理的固有风险和剩 余风险开展自评估工作。 1. 评估内容：需要对操作风险进行定性、定量评估。 2. 实施范围：
• 总行部门需要开展固有风险自评估； • 总行部门需要开展剩余风险自评估； • 分行部门需要开展剩余风险自评估。
•历史损失数据 •目前平均的业务或交易金额 •目前平均的损失回收率
10
操作风险暴露的评估标准（直接损失）
发生频率-未来一年内，评估某个操作风险发生的频率， 若发生频率介于两个等级间，选择频率较高者。 严重度-某个操作风险若一旦发生时，平均而言，估算 银行可能蒙受的财务损失。
操作风险发生频率评估表
频率等级
…… …… ……
设立专门的抵质押登记岗负责 抵质押手续办理
…… 授信后管理岗定期督促
对抵质押办理完成率进行考核
……
……
流程清单
风险点清单
控制措施清单 9
操作风险暴露的评估规则
操作风险暴露 =
（RE，Risk Exposure）
剩余风险暴露评估规则
风险发生频率 （F，Frequency）
风险严重程度-直接损失 ×
9,240 3,300
990
46,669,000 16,174,000 5,605,000 1,943,000
673,000 233,000
81,000 28,000 10,000
3,000
93,338,000 32,348,000 11,210,000 3,886,000 1,346,000
466,000 162,000
841,048,000
5,903,510,000
67,260,000
291,460,000
2,045,825,000
23,316,000
101,036,000
709,195,000
8,076,000
34,996,000
245,645,000
2,796,000
12,116,000
85,045,000
972,000
67,300 23,300
8,100 2,800 1,000
300
9,333,800 3,234,800 1,211,000