14
业务 部门
H1 H2 H3 H4 H5 H6 H7 H8 H9 合计
操作风险损失事件及损失程度分布矩阵（单位：次、百万欧元）
事件 内部欺诈 类型
外部欺诈
雇用合同以 客户、产品 有形资产的 经营中断和 涉及执行、 无事件类型
及工作状况 以及商业行
损失
系统出错 交割以及交
信息
带来的风险 为引起的风
对辨识出的风险及其特征进行明确的定 义描述，分析描述风险发生可能性的高低， 风险发生的条件。
3. 风险评价
评估风险对企业实现目标的影响程度、 风险的价值等。
保险公司的风险评估包括如下三个步骤： 1. 风险识别
识别经营活动及业务流程中是否存在风 险以及存在何种风险。 2. 风险分析
对识别出的风险进行分析，判断风险发 生的可能性及风险发生的条件。 3. 风险评价
风险识别与评估
1
COSO 框架简介
1992年版 COSO内部控制整体框架
2004年版 COSO全面风险管理框架
2
《央企全面风险管理指引》VS 《保险公司风险管理指引（试行）》
风险评估的三个主要步骤：
1. 风险辨识
查找企业各业务单元、各项重要经营活 动、业务流程中有无风险，有哪些风险。
2. 风险分析
罚款，甚至责令公司停业整顿或吊销公司经营许可证。
★4
☆
3
2
☆
1
ABC D
纵轴表示风险影响程度（严重程度由高到低依次4321）；横轴表示风险发生频率（可能性由高
到低DCBA）。
风险评估
驱动因素
何种原因 影响该风险发生 的可能性及影响程度
对相关法律、法规的重要性认识不足，日常工作中没有引起足够 的重视，以及管理中的疏忽 利益驱使
157.9(2.03%) 8.0(0.10%)
0.5(0.01%)
108(0.23%) 33(0.07%)
137(0.29%)
193.4(2.48%) 87.9(1.13%) 17.6(0.23%)
2125(4.50%) 520(1.10%) 163(0.34%)
254.1(3.26%) 87.5(1.12%) 26.5(0.34%)
时间表？
未依法建立健全公司反洗钱内控制度和专门机构、未依法按时报 送大额交易和可疑交易数据信息、未执行客户身份识别和客户身 份资料及交易记录保存制度、未开展反洗钱知识的宣传培训工作 等。如出现以上情形之一的，人行将会依照相关法律、法规的规 (G)固有风险级别:★ 定对公司、直接负责的董事、高级管理人员和直接责任人员处以 (N)剩余风险级别:☆
财务影响 声誉损失 监管影响
固有风险 严重
非常严重 非常严重
剩余风险 严重 严重 严重
运作影响
非常严重
严重
风险分类
操作风险
政策/过程
合规
时间特性 32
等级
很可能 高
可能 12
高
③ 风险点历史资料
影响程度\发生频率\其他说 明
XX分公司,07年,检查未过,被罚款50万
⑤ 风险编号:
**管理部
1
风险管理措施 现有制度及措施
影响程度 特大 大 中等 小 微小
财务的直接影响 > 5%去年净利 〈 5%去年净利 〈 2%去年净利 〈 1%去年净利 〈 0．1%去年净利
正常运作的影响 公司不能正常运作〉三天 公司不能正常运作〈三天 公司不能正常运作〈两天 公司不能正常运作〈一天 公司不能正常运作〈四小 时
对公司财务的直接影响
0.7
0.6
GPD
0.5
0.4
0.3
0.2
0.1
0
0
500
1000
1500
损失量
Severity distribution
超临界峰值方法（POT）：
对特定门槛值之上的大损失值进行GPD拟合
广义帕累托分布（GPD）
形状参数、尺度参数
Percentile
99% 95% 90%
0.35
0.3
0.25
0.2
0.15
0.1
0.05
0
0
5
10
15
20
25
30
35
40
Frequency distribution
Poisson 分布
USD thousand 62 365 12 749 7 764
17
风险识别和评估案例
① 具体风险点
未依法履行金融机构反洗钱法定义务
②
具体风险点描述
什么情形？ 可能会发生什么？ 会造成什么影响？
评估风险可能产生损失的大小， 及对 保险公司实现经营目标的影响程度。
3
识别风险
风险识别要基于过去也要着眼未来。 风险识别的目的是系统分析风险发生的原因、风险的驱动因素和条件等，对 风险进行描述。
4
内外部因素
自然因Ev素aluation公司治理
外部
因 素
责任人
④
制订了《反洗钱内部控制办法》、《客户身份识别
和客户身份资料及交易记录保存实施细则》等。
有效程度 几乎无效
风险控制单位: 风险责任人:
**管理部
将采取的其他措施
责任人
自主开发研制反洗钱管理报表系统附着于核心业务
系统中等等
时限 XX
直接责任人 指标
观察人员
18
操作风险管理系统简介
XX（全称，集成信息系统体系结构) 系统，基于对营运过程的整体分析。 营运过程组成要素：每一个工作流为何产生（事件），如何进行（行动），由谁执行（组织单位）， 采用何种工具（信息技术资源），风险存在于何处（风险点）以及它们之间的内部关系。
极高 极高 高 高 中等
极高 极高 极高 高 高
风险重要性可分为以下四级：
低 中等 高 极高
11
评估包含的内容——固有风险和剩余风险
发生机率渺茫
特大 大 中 小
微小
发生机率小 目标风险
发生机率中 发生机率高 肯定会发生 固有风险
剩余风险
风险容忍度边界
有效性评估包括控制有效性和执行有效性
行动计划
12
15
拟合统计分布的一般方法
选择分布 估计参数 拟合模型 检验模型
拒绝
接受模型
1）选择大量可能的分布 （厚尾或非厚尾）。 2）估计参数并拟合各自 分布，检验其与实际数据 的差异。 3）根据分析和图形检验， 选择对数据拟合的最优的 一个分布。
16
利用泊松分布和广义帕累托严重程度得到损失分布
1
0.9
0.8
324.9(4.17%) 20.4(0.26%)
322(0.68%) 54(0.11%)
21.0(0.27%) 11.6(0.15%)
15(0.03%)
19(0.04%)
3.9(0.05%) 7.6(0.10%)
44(0.09%)
39(0.08%)
4.6(0.06%) 10.2(0.13%)
20(0.04%)
在评估风险发生可能性时,保险公司可以参考历史数据和公司经验。
保险公司可以根据该风险的历史发生频率来确定发生可能性表。
科学与艺术
10
风险评估的两个维度—可能性和影响程度
发生机率渺茫
特大 大 中 小
微小
高 中等 中等 低 低
发生机率小
极高 高 中等 低 低
发生机率中 发生机率高 肯定会发生
极高 极高 高 中等 低
423(0.89%) 273.5(3.51%) 5132(10.86%) 1163.1(14.92%) 28882(61.10%) 2289.0(29.36%) 3414(7.22%) 2256.8(28.95%) 1852(3.92%) 253.4(3.25%) 1490(3.15%) 331.6(4.25%) 1109(2.35%) 216.5(2.78%) 3268(6.91%) 913.7(11.72%) 1699(3.59%) 97.9(1.26%) 47269(100%) 7795.5(100%)
易过程管理
合计
事件
险事件
17(0.04%) 49.4(0.63%) 47(0.10%) 59.5(0.76%) 1268(2.68%) 331.9(4.26%) 84(0.18%) 21.2(0.27%) 23(0.05%) 23.0(0.29%) 3(0.01%) 0.2(0.00%) 28(0.06%) 6.4(0.08%) 59(0.12%) 61.5(0.79%) 35(0.07%) 10.5(0.13%) 1564(3.31%) 563.5(7.23%)
54(0.11%)
13(0.03%)
6(0.01%)
11.5(0.15%) 6.7(0.09%)
0.7(0.01%)
3390(7.17%) 662(1.40%) 541(1.14%)
1024.5(13.14%) 1893.4(24.29%) 212.5(2.73%)
214(0.45%) 2(0.00%) 49.6(0.64%) 0.6(0.01%) 4603(9.74%) 8(0.02%) 698.4(8.96%) 1.1(0.1%) 5289(11.19%) 347(0.73%) 424.5(5.45%) 37.4(0.48%) 1012(2.14%) 32(0.07%) 619.4(7.95%) 23.2(0.30%) 1334(2.82%) 3(0.01%) 93.5(1.20%) 0.3(0.00%) 1381(2.92%) 5(0.01%) 174.1(2.23%) 0.8(0.01%) 837(1.77%) 8(0.02%) 113.2(1.45%) 0.05(0.00%) 1773(3.75%) 26(0.06%) 97.1(1.25%) 3.4(0.04%) 135(0.29%) 36(0.08%) 22.7(0.29%) 3.8(0.05%) 16578(35.07%) 467(0.99%) 2292.6(29.41%) 71.1(0.91%)