風險管理第五章操作風險管理

1、第五章 操作風險管理主要內(nèi)容 5.1 操作風險概述 5.2 操作風險評估操作風險評估 5.3 操作風險控制操作風險控制 5.4 操作風險監(jiān)測與報告操作風險監(jiān)測與報告 5.5 操作風險資本計量操作風險資本計量 商業(yè)銀行資本管理辦法（試行）將信用風險、市場風險和操作風險同步納入銀行資本計量與監(jiān)管的范圍5.1 操作風險概述 5.1.1操作風險的定義與特點 5.1.2操作風險相關(guān)概念辨析 5.1.3操作風險的監(jiān)管規(guī)則 5.1.4操作風險的分類 5.1.5操作風險識別方法5.1.1操作風險的定義與特點 定義：是指由不完善或有問題的內(nèi)部程序、員工、信息科技系統(tǒng)以及外部事件所造成損失的風險。險包括法律風險，

2、但不包括聲譽風險和戰(zhàn)略風險。 特點： 具體性；分散性；差異性；復雜性；內(nèi)生性；轉(zhuǎn)化性5.1.2操作風險相關(guān)概念辨析 1.COSO委員會和巴塞爾委員會于2004年在“內(nèi)部控制”和“全面風險管理”的理解上趨于一致，操作風險屬于全面風險管理的組成部分。 2.合規(guī)是操作風險的管理目標，二者在實踐中存在重疊。5.1.3操作風險的監(jiān)管規(guī)則 1.國際監(jiān)管規(guī)則 主要是巴塞爾委員會的監(jiān)管規(guī)則，主要有有效銀行監(jiān)管的核心原則、操作風險管理、操作風險管理與監(jiān)管的穩(wěn)健辦法、巴塞爾新資本協(xié)議等文件。 2.國內(nèi)監(jiān)管規(guī)則 主要執(zhí)行的是銀監(jiān)會的系列監(jiān)管規(guī)定，主要有關(guān)于加大防范操作風險工作力度的通知（“操作風險13條”）、商業(yè)銀

3、行操作風險管理管理指引、商業(yè)銀行資本管理辦法（試行）等文件。5.1.4操作風險的分類 可按人員因素、內(nèi)部流程、系統(tǒng)缺陷和外部事件四大類別分類 1.人員因素人員因素 主要是指因商業(yè)銀行員工發(fā)生內(nèi)部欺詐、失職違規(guī)，以及因員工的知識技能匱乏、核心雇員流失、違反用工法等造成損失或者不良影響而引起的風險。 （1）內(nèi)部欺詐 是指故意騙取、盜用財產(chǎn)或違反監(jiān)管規(guī)章、法律或公司政策導致的損失，此類事件至少涉及內(nèi)部一方，但不包括歧視及差別待遇事件 主要集中于內(nèi)部人作案和內(nèi)外勾結(jié)作案兩種，屬于最常見的操作風險類型。 （2）失職違規(guī) 商業(yè)銀行內(nèi)部員工因過失沒有按照雇傭合同、內(nèi)部員工守則、相關(guān)業(yè)務(wù)及管理規(guī)定操作或者辦理

4、業(yè)務(wù)造成的風險，主要包括過失、未經(jīng)授權(quán)的業(yè)務(wù)以及超越授權(quán)的活動。員工越權(quán)行為包括濫用職權(quán)、對客戶進行誤導、支配超出其權(quán)限的資金額度，致使商業(yè)銀行發(fā)生損失的風險。 （3）知識/技能匱乏 主要有三種： 自己意識不到缺乏必要的知識技能，按照自己認為正確而實際錯誤的方式工作； 意識到自己缺乏必要的知識/技能，但由于顏面或其他原因，未向管理層提出或聲明其無法勝任或不能正確處理面對的情況； 意識到自己缺乏必要的知識/技能，并進而利用這種缺陷危害商業(yè)銀行的利益。 在前兩種情況下，如果其負責核心業(yè)務(wù)方面的工作，則很可能給商業(yè)銀行帶來經(jīng)濟或聲譽方面的損失。第三種情況則被認為屬于內(nèi)部欺詐。 （4）核心雇員流失 核

5、心雇員流失造成的風險體現(xiàn)為商業(yè)銀行對關(guān)鍵人員(如交易員、高級客戶經(jīng)理)過度依賴的風險，包括缺乏足夠的后備人員、關(guān)鍵信息缺乏共享和文檔記錄、缺乏崗位輪換機制等。 （5） 違反用工法 商業(yè)銀行因違反勞動合同法、就業(yè)、健康或安全方面的法規(guī)或協(xié)議等，造成個人工傷賠付或因歧視及差別待遇事件導致的損失。 2. 內(nèi)部流程內(nèi)部流程 內(nèi)部流程因素引起的操作風險是指由于商業(yè)銀行業(yè)務(wù)流程缺失、設(shè)計不完善，或者沒有被嚴格執(zhí)行而造成的損失，主要包括財務(wù)/會計錯誤、文件/合同缺陷、產(chǎn)品設(shè)計缺陷、錯誤監(jiān)控/報告、結(jié)算/支付錯誤、交易/定價錯誤六個方面 3. 系統(tǒng)缺陷系統(tǒng)缺陷 是指由于信息科技部門或服務(wù)供應(yīng)商提供的計算機系統(tǒng)

6、或設(shè)備發(fā)生故障或其他原因，導致商業(yè)銀行不能正常提供全部/部分服務(wù)或業(yè)務(wù)中斷而造成的損失。系統(tǒng)缺陷引發(fā)的風險包括系統(tǒng)設(shè)計不完善和系統(tǒng)維護不完善所產(chǎn)生的風險，具體表現(xiàn)為數(shù)據(jù)/信息質(zhì)量、違反系統(tǒng)安全規(guī)定、系統(tǒng)設(shè)計/開發(fā)的戰(zhàn)略風險，以及系統(tǒng)的穩(wěn)定性、兼容性、適宜性方面的問題。 4. 外部事件外部事件 商業(yè)銀行是在一定的政治、經(jīng)濟和社會環(huán)境中運營的，經(jīng)營環(huán)境的變化、外部突發(fā)事件等都會影響其正常的經(jīng)營活動甚至造成損失。外部事件可能是內(nèi)部控制失敗或內(nèi)部控制的薄弱環(huán)節(jié)，也可能是外部因素對商業(yè)銀行運作或聲譽造成的“威脅”. （1）外部欺詐（2）洗錢（3）政治風險 （4）監(jiān)管規(guī)定（5）業(yè)務(wù)外包 （6）自然災(zāi)害（7

7、）恐怖威脅 1.操作風險原因，是指誘發(fā)操作風險轉(zhuǎn)變?yōu)椴僮黠L險損失事件的原由，通常一個操作風險損失事件可由一個或多個操作風險原因引發(fā) 一級操作風險原因分類有信息科技系統(tǒng)、流程、人員、經(jīng)營活動、環(huán)境、政治、監(jiān)管和破壞或事故等八類。 2.操作風險損失事件分類援用了銀監(jiān)會的操作風險損失事件分類 分為一級、二級、三級 3.操作風險影響分類 是指操作風險損失事件發(fā)生后對銀行造成的負面影響，包括財務(wù)影響（表現(xiàn)為發(fā)生了實際或潛在核銷或財務(wù)賬戶項下費用）和非財務(wù)影響（客戶/服務(wù)、聲譽、員工及法律/監(jiān)管影響。 4.操作風險嚴重度評級 通過等級矩陣進行評級，通過風險概率和影響兩個維度來度量風險的嚴重度。5.1.5

8、操作風險的識別 1.自我評估法 是在商業(yè)銀行內(nèi)部控制體系的基礎(chǔ)上，通過開展全員風險識別，識別出全行經(jīng)營管理中存在的風險點，并從影響程度和發(fā)生概率兩個角度來評估操作風險的重要程度。 2.因果分析模型 在綜合自我評估結(jié)果和各類操作風險報告的基礎(chǔ)上，利用因果分析模型能夠?qū)︼L險損失、風險成因和風險類別進行邏輯分析和數(shù)據(jù)統(tǒng)計，進而形成三者之間相互關(guān)聯(lián)的多遠分布。案例篇5.2 操作風險評估操作風險評估 5.2.1 操作風險評估的定義與原理操作風險評估的定義與原理 5.2.2操作風險評估的原則操作風險評估的原則 5.2.3操作風險評估的步驟操作風險評估的步驟 5.2.4操作風險評估的價值操作風險評估的價值

9、5.2.5操作風險評估與其他管理流程的結(jié)合操作風險評估與其他管理流程的結(jié)合應(yīng)用應(yīng)用5.2.1 操作風險評估的定義與原理操作風險評估的定義與原理 操作風險評估(RCSA)，是指操作風險所有人持續(xù)識別、評估并報告業(yè)務(wù)流程的操作風險及其控制狀況的過程。原理：固有風險-控制措施=剩余風險 采取定性和定量相結(jié)合的方法5.2.2操作風險評估的原則操作風險評估的原則 1.業(yè)務(wù)流程所有人負第一評估責任原則 2.動態(tài)管理原則 3.重要性原則5.2.3操作風險評估的步驟操作風險評估的步驟 準備階段：包括確認評估對象、繪制流程圖、收集整理操作風險信息； 評估階段：包括識別和評估固有風險、識別和評估現(xiàn)有控制、評估剩余

10、風險、提出優(yōu)化方案； 報告階段：包括整合評估成果和提交報告兩個步驟5.3 操作風險控制操作風險控制 5.3.1 操作風險控制環(huán)境操作風險控制環(huán)境 5.3.2 操作風險緩釋操作風險緩釋 5.3.3 主要業(yè)務(wù)操作風險控制主要業(yè)務(wù)操作風險控制5.3.1 操作風險控制環(huán)境操作風險控制環(huán)境 包括公司治理、內(nèi)部控制和風險文化等要素。5.3.2 操作風險緩釋操作風險緩釋 1.業(yè)務(wù)連續(xù)性管理計劃（業(yè)務(wù)連續(xù)性管理計劃（BCP） 對于低頻高損事件 是指為實現(xiàn)業(yè)務(wù)連續(xù)性而制定的各類規(guī)劃及實施的各項流程。 商業(yè)銀行應(yīng)定期檢查災(zāi)難恢復和連續(xù)營業(yè)方案，保證其與目前的經(jīng)營和業(yè)務(wù)戰(zhàn)略吻合，并對這些方案進行定期測試，確保商業(yè)銀

11、行發(fā)生業(yè)務(wù)中斷時，能夠迅速執(zhí)行既定方案。 2. 商業(yè)保險商業(yè)保險 購買保險只是操作風險緩釋的一種措施。預防和減少操作風險事件的發(fā)生，根本上還是要靠商業(yè)銀行不斷提高自身的風險管理水平。 3. 業(yè)務(wù)外包業(yè)務(wù)外包 從本質(zhì)上說，業(yè)務(wù)操作或服務(wù)雖然可以外包，但其最終責任并未被“包”出去。外包并不能減少或免除董事會和高級管理層確保第三方行為的安全穩(wěn)健以及遵守相關(guān)法律的責任。過多的外包也會產(chǎn)生額外的操作風險或其他隱患 商業(yè)銀行仍然是外包過程中出現(xiàn)的操作風險的最終責任人，對客戶和監(jiān)管者承擔著保證服務(wù)質(zhì)量、安全、透明度和管理匯報的責任。 外包服務(wù)管理實施流程分立項、采購、合同管理、持續(xù)管理與監(jiān)督等四個環(huán)節(jié)5.3

12、.3 主要業(yè)務(wù)操作風險控制主要業(yè)務(wù)操作風險控制 1. 柜臺業(yè)務(wù)柜臺業(yè)務(wù) 2. 法人信貸業(yè)務(wù)法人信貸業(yè)務(wù) 大致分為評級授信、貸前調(diào)查、信貸審查、信貸大致分為評級授信、貸前調(diào)查、信貸審查、信貸審批、貸款發(fā)放、貸后管理六個環(huán)節(jié)。審批、貸款發(fā)放、貸后管理六個環(huán)節(jié)。 3. 個人信貸業(yè)務(wù)個人信貸業(yè)務(wù) 4. 資金交易業(yè)務(wù)資金交易業(yè)務(wù) 可分為前臺交易、中臺風險管理、后臺結(jié)算可分為前臺交易、中臺風險管理、后臺結(jié)算/清算清算環(huán)節(jié)環(huán)節(jié) 5. 代理業(yè)務(wù)代理業(yè)務(wù)5.4 操作風險監(jiān)測與報告操作風險監(jiān)測與報告 當前商業(yè)銀行操作風險監(jiān)控主要關(guān)鍵指標有：關(guān)鍵風險指標和損失數(shù)據(jù)搜集兩種 5.4.1關(guān)鍵風險指標法 5.4.2損失數(shù)

13、據(jù)的搜集 5.4.3風險報告5.4.1關(guān)鍵風險指標法 1.關(guān)鍵風險指標的定義（KRI） 是指對一個或多個操作風險敞口，通過反映操作風險發(fā)生可能性或影響度或某一控制有效性，對該風險或控制進行定性或定量跟蹤監(jiān)測的操作風險管理流程。 通常包括交易量、員工水平、技能水平、客戶滿意度、市場變動、產(chǎn)品成熟度、地區(qū)數(shù)量、變動水平、產(chǎn)品復雜程度和自動化水平等 2.關(guān)鍵風險指標監(jiān)控的原則 整體性 重要性 敏感性 可靠性 有效性 3.關(guān)鍵風險指標法的應(yīng)用流程 關(guān)鍵風險指標法可選擇已經(jīng)識別出來的主要操作風險因素，并結(jié)合商業(yè)銀行的內(nèi)、外部操作風險損失事件數(shù)據(jù)形成統(tǒng)計分析指標，用于評估商業(yè)銀行整體的操作風險水平。 關(guān)鍵

14、風險指標監(jiān)控由設(shè)置風險指標、監(jiān)控分析、報告關(guān)鍵風險指標、更新關(guān)鍵風險指標等步驟。 4.關(guān)鍵風險指標監(jiān)控的價值 商業(yè)銀行可自主選擇一些能夠充分反映本行經(jīng)營特色的關(guān)鍵風險指標，并為其設(shè)定閥值，同時根據(jù)這些關(guān)鍵風險指標所反映的風險狀況確定適當?shù)谋O(jiān)測頻率，使得操作風險管理部門能夠及時向高級管理層發(fā)出預警，及時對異常風險狀況采取行動。商業(yè)銀行通過監(jiān)控和分析不同時期自身關(guān)鍵風險指標的變化，并與同類金融機構(gòu)進行橫向比較，有助于深入理解操作風險狀況的變化趨勢，為操作風險管理提供早期預警。 5.關(guān)鍵風險指標與其他管理流程的結(jié)合應(yīng)用5.4.2損失數(shù)據(jù)收集 1.損失數(shù)據(jù)收集的定義（LDC） 指操作風險損失數(shù)據(jù)的搜集

15、、匯總、監(jiān)控、分析和報告工作。 2.損失數(shù)據(jù)收集的原則 重要性原則；準確性原則；統(tǒng)一性原則；謹慎性原則。 3.損失數(shù)據(jù)收集的步驟 （1）損失事件識別：主要是明確收集范圍和判斷損失金額是否達到收集門檻 （2）損失事件填報：事件的真實情況、總體的財務(wù)損失金額以及逐筆損失、成本或挽回的明細信息。 （3）損失金額確定：是指操作風險事件造成的直接損失和成本金額，也即事件直接導致的對銀行收益或股東權(quán)益造成的負面影響，或直接導致的運營成本或費用的額外增加。判斷是否應(yīng)納入的決定因素是：損失和成本是否直接由操作風險事件導致，或者與操作風險事件直接相關(guān)，且是真正的經(jīng)濟損失。 （4）損失事件信息審核：事件完整性和事

16、件屬性 （5）損失數(shù)據(jù)收集驗證 4.損失數(shù)據(jù)收集的價值 （1）全面了解一定損失規(guī)模以上的損失操作風險損失事件的定性信息和定量財務(wù)影響，幫助把握全行操作風險損失在損失額和損失發(fā)生頻率兩個維度的分布情況。 （2）識別、跟蹤操作風險損失金額較大和損失事件發(fā)生較為頻繁的部門和流程。 （3）符合巴塞爾新資本協(xié)議標準法的資本標準 （4）為實施巴塞爾新資本協(xié)議高級計量法計算操作風險監(jiān)管資本提供數(shù)據(jù)基礎(chǔ)。在高級計量法下，用于損失計量和驗證的內(nèi)部損失數(shù)據(jù)至少要有5年內(nèi)的觀測值，如果銀行初次使用高級計量法，允許使用3年的內(nèi)部歷史數(shù)據(jù)。 5.關(guān)鍵風險指標與其他管理流程的結(jié)合應(yīng)用 LDC是對操作風險損失事件的跟蹤和記

17、錄，客觀反映全行操作風險的實際損失和分布，為RACA流程產(chǎn)生的評估風險敞口提供實際損失數(shù)據(jù)驗證。實際發(fā)生的風險也可引起整改流程。操作風險重大事件報告（SERP）的財務(wù)損失數(shù)據(jù)是操作風險損失數(shù)據(jù)收集（LDC)的重要數(shù)據(jù)來源。損失數(shù)據(jù)也可為風險發(fā)生機構(gòu)的內(nèi)控考核提供依據(jù)。5.4.3風險報告 國際先進銀行普遍采用的操作風險報告路徑是：各業(yè)務(wù)部門負責收集與操作風險相關(guān)的內(nèi)部數(shù)據(jù)和信息，并報告至操作風險管理部門。操作風險管理部門集中處理、評估后，形成操作風險報告遞交管理層。而有些商業(yè)銀行的業(yè)務(wù)單位、內(nèi)部職能部門、操作風險管理部門和內(nèi)部審計部門均可單獨向高級管理層匯報。 內(nèi)容都應(yīng)當包括風險狀況、損失事件、

18、誘因與對策、關(guān)鍵風險指標、資本金水平五個主要部分5.5 操作風險資本計量操作風險資本計量 5.5.1 基本指標法基本指標法 5.5.2 標準法標準法 5.5.3 高級計量法高級計量法 商業(yè)銀行可以選擇基本指標法、標準法或高級計量法來計量操作風險資本要求。 銀行必須采用同信用風險和市場風險一樣的方式，對潛在的操作風險損失建立監(jiān)管資本。5.5.1 基本指標法 將商業(yè)銀行視為一個整體來衡量操作風險，只分析銀行整體的操作風險水平，而不對其構(gòu)成進行分析。 基本思路：銀行所持有的操作風險資本等于前三年總收入的平均值乘上一個固定比例（ ）。但這樣各銀行統(tǒng)一的 值，這樣具有不同風險特征和風險管理狀況的銀行每單

19、位的總收入被要求配置相同的監(jiān)管資本，無法實現(xiàn)監(jiān)管與激勵的相容。 巴塞爾委員會建議基本指標法的適用范圍是小型的、業(yè)務(wù)范圍限于某一國家或地區(qū)內(nèi)的商業(yè)銀行，對于業(yè)務(wù)復雜、規(guī)模龐大的國際活躍銀行，巴塞爾委員會建議選用更高級的計量方法。 以總收入為基礎(chǔ)計量操作風險資本要求。 其中， 為按基本指標法計量的操作風險資本要求。GI為過去三年中每年正的總收入。n為過去三年中總收入為正的年數(shù)。 為15% 總收入為凈利息收入與凈非利息收入之和。nGIKniiBIA)(1BIAK5.5.2 標準法標準法 標準法（Standardised Approach）將商業(yè)銀行的所有業(yè)務(wù)劃分為九條業(yè)務(wù)線，計算時需要獲得每個業(yè)務(wù)條

20、線的總收入，然后根據(jù)各條線不同的操作風險資本要求系數(shù)，分別求出對應(yīng)的資本，最后加總得到商業(yè)銀行總體操作風險資本要求。在各產(chǎn)品線中，總收入是個廣義的指標，代表業(yè)務(wù)經(jīng)營規(guī)模，因此也大致反映了各產(chǎn)品線的操作風險狀況。代表商業(yè)銀行在特定產(chǎn)品線的潛在操作風險損失與該產(chǎn)品線總收入之間的關(guān)系。 公式： 各業(yè)務(wù)條線的操作風險系數(shù)如下： （1）零售業(yè)務(wù)、資產(chǎn)管理和零售經(jīng)紀業(yè)務(wù)條線的操作風險資本系數(shù)為12% （2）商業(yè)銀行和代理服務(wù)業(yè)務(wù)條線的操作風險資本系數(shù)為15% （3）公司金融、支付和清算、交易和銷售以及其它業(yè)務(wù)條線的操作風險資本系數(shù)為18%。 商業(yè)銀行使用標準法計量操作風險資本應(yīng)當至少滿足以下條件： 1.

21、應(yīng)當建立清晰的操作風險管理組織架構(gòu)、政策、工具、流程和報告路線。 2.應(yīng)當建立與本行的業(yè)務(wù)性質(zhì)、規(guī)模和產(chǎn)品復雜程度相適應(yīng)的操作風險管理系統(tǒng)。 3.應(yīng)當系統(tǒng)地收集、跟蹤和分析與操作風險相關(guān)的數(shù)據(jù)，包括各業(yè)務(wù)條線的操作風險損失金額和損失頻率。 4.應(yīng)當制定操作風險評估機制，將風險評估整合入業(yè)務(wù)處理流程 5.應(yīng)當建立關(guān)鍵風險指標體系 6.建立全行統(tǒng)一的業(yè)務(wù)連續(xù)性管理政策措施，建立業(yè)務(wù)連續(xù)性管理應(yīng)急計劃 7.負責操作風險管理的部門應(yīng)定期向高級管理層和董事會提交全行的操作風險管理與控制情況報告 8.操作風險管理系統(tǒng)和流程應(yīng)接受內(nèi)部獨立審查 9.應(yīng)當投入充足的人力和物力支持在業(yè)務(wù)條線實施操作風險管理 10

22、.操作風險管理體系及其審查情況都應(yīng)接受銀監(jiān)會的監(jiān)督審查5.5.3 高級計量法高級計量法 高級計量法（Advanced Measurement Approach ,AMA）是銀行根據(jù)本行業(yè)務(wù)性質(zhì)、規(guī)模和產(chǎn)品復雜程度以及風險管理水平，基于內(nèi)部損失數(shù)據(jù)、外部損失數(shù)據(jù)、情景分析、業(yè)務(wù)經(jīng)營環(huán)境和內(nèi)部控制因素，建立操作風險計量模型以及本行操作風險監(jiān)管資本的方法。 銀行應(yīng)當基于內(nèi)部損失數(shù)據(jù)、外部損失數(shù)據(jù)、情景分析、業(yè)務(wù)經(jīng)營環(huán)境和內(nèi)部控制因素建立操作風險計量模型。 巴塞爾委員會鼓勵銀行自主開發(fā)適合自身的AMA模型。并在2001年發(fā)布的新資本協(xié)議征求意見稿中推薦了損失分步法（LDA）（主流選擇）、內(nèi)部衡量法（L