搜索
操作风险管理RiskAdvisoryServices,12March2007©AllrightsreservedFilename:ORMAwarenessPresentationCH-Final-120307©Allrightsreserved2目录•操作风险概要•操作风险管理架构•操作风险管理的治理架构•管理和实施操作风险管理的困难及解决方案•操作风险管理程序和工具•操作风险的经济资本和法定资本©Allrightsreserved3操作风险概要©Allrightsreserved4操作风险的定义•巴塞尔II操作风险是指起因于银行内部操作、人员及系统的不当或失误,或因外部事件造成银行损失的风险。此定义包括法律风险,但不包括策略风险及信誉风险。©Allrightsreserved5操作风险在风险架构中所占的位置操作风险市场风险信用风险策略/业务风险操作风险实为最基本的风险。在风险架构中,其居中的位置可直接影响其它的风险类别合规风险合规风险合规风险合规风险©Allrightsreserved6有效管理操作风险对银行具有甚么意义?•强化操作风险管理品质,提高股东价值-减少操作损失和收入的不稳定性-减低资本的需求•提高名誉-保险经纪人、评级机构、证券分析人员、主管机关•提升信用评级•绩效管理与风险敏感度挂钩•强化定价技巧•改善操作流程•提高客户满意度©Allrightsreserved7操作风险管理的指导原则–建议设定•操作风险管理≠资本计算•各层级主管应对其管辖范围内的操作风险负指导及控制责任。©Allrightsreserved8操作风险管理架构©Allrightsreserved9操作风险管理工具与方法学的支撑原则风险自我评估RiskSelfAssessment操作风险评估程序OperationalRiskAssessmentProcess损失数据库CorporateLossDatabase关键风险指标KeyRiskIndicators关键操作风险控制KeyOperationalRisksControls第二支柱:监理审查程序Pillar2:Supervisoryreview治理结构GovernanceStructure组织结构OrganisationStructure操作风险管理与监督凖则SoundPrinciples第四原则:银行应识别及评估主要产品、活动、流程及系统相关的操作风险第四原则:银行应确保其新推出产品、活动、流程及系统前,相关的操作风险均经适当评估第五原则:银行应建立ㄧ套操作程序,定期监督操作风险及主要损失敞口第五原则:银行应建立ㄧ套操作程序,定期监督操作风险及主要损失风险敞口第六原则:银行应依照整体风险偏好程度,定期检查风险限额及控制方案的可行性,以适当调整操作风险组合第一原则:董事会应核准及定期检查银行的操作风险管理架构,并应拟定操作风险的识别、评估、监督、控制/缓释处理准则第三原则:高管层应负责董事会批准的操作风险管理架构在全行持续地彻底执行,且各阶层应了解其责任©Allrightsreserved10重点:控制重点:风险重点:损失关键操作风险控制(KORC)关键风险指标(KRI)风险自我评估(RSA)损失数据库(CLD)操作风险评估程序(ORAP)每一种工具有其重点与优势操作风险管理工具的重点与使用©Allrightsreserved11操作风险结构–建议设定起因事件结果事件类别:•内部诈欺•外部欺诈•雇用惯例和工作场所安全•客户、产品及营业行为•人员或资产损失•营运中断与系统当机•执行、运送及操作流程的管理结果类别:•影响损益–账户冲销–丧失追索权–法律责任–赔偿–资产遗失或损坏•主管机关的监管行动•客户投诉•信誉受损•其它影响起因类别:•组织•信息科技•信息、资料•人力资源•操作流程•外部事件荷兰银行的操作风险结构重点在于区分“起因”,“事件”及“结果”三个关键因素,因为每一个关键因素都可能被使用作为分析操作风险的起点。©Allrightsreserved12操作风险管理工具的目的与各部门的责任新业务经营风险及其改善方案取得相关部门的意见提供风险评估架构及规范操作风险评估程序控制点评估报表监督风险变化情况提供风险评估架构及规范关键风险指标重要业务流程的主要控制点清单识别流程主要控制点保存最近的控制点资料关键操作风险控制操作损失季报(业务单位)操作损失季报(管理单位)记录及通报损失事件损失资料分析、维护、呈报损失数据库现有业务经营风险及其改善方案识别风险及拟订改善计划提供识别方法、架构、原则风险自我评估识别适合新业务的风险改善计划监测操作风险风险敞口情况检查重要流程的控制点藉由历史损失识别操作风险确认现有业务中合适的风险改善计划工具所提供的结果业务单位的责任操作风险部的责任工具目的操作风险管理工具©Allrightsreserved13监督及报告执行控制措施风险自我评估(RSA)新业务风险评估(ORAP)损失数据库(CLD)关键风险指标(KRI)识别风险衡量与评估风险关键操作风险控制(KORC)操作风险管理周期–建议设定©Allrightsreserved14操作风险管理的治理架构©Allrightsreserved15操作风险管理治理及组织架构-建议设定董事会总裁业务单位A业务单位B风险管理部操作风险管理人员稽核委员会操作风险管理部门稽核部门稽核部门稽核部门查证各个业务单位必须委任一位操作风险管理人员,负责与风险管理部的操作风险管理部门密切合作操作风险管理委员会操作风险管理人员稽核部门主管指导操作风险管理委员会•拥有核准所订定主要操作风险管理政策的决定权•委员会成员(举例)–总裁(CEO)–财务总监(CFO)–风险管理总监–其它被总裁委任的成员查证查证查证©Allrightsreserved16操作风险管理委员会的主要职责–建议设定•检查严重或灾难性的操作风险事件•核准具高操作风险的业务计划书•核准操作风险管理的政策、规范和方法论•监督操作风险管理的按期实施•讨论操作风险的资本分配©Allrightsreserved17操作风险管理部门–建议设定操作风险管理部门政策及沟通支援执行报告操作风险管理报告Toolkit政策系统外部操作风险管理部门主管必须负全部责任,其下则依部门规模大小,决定个别成员须负责一个或更多上述五个关键机制,且各成员的间必须能够相互支援。内部Toolkit工具协调操作风险管理机制对外报告是什么如何完成管理信息分析控制建议监督五个关键功能:©Allrightsreserved18操作风险管理部门–建议制定•政策及沟通–拟定及修改银行操作风险管理政策–与银行各业务单位及外部机构(例如监理机构、专业团体)沟通和交流•支援–拟定及强化操作风险管理程序和工具–主导操作风险管理系统的选择及执行•执行–协助业务单位实施操作风险管理工具•报告–搜集操作风险相关信息•分析–分析操作风险管理的管理报告–确保业务单位遵守操作风险管理程序和在必要时提供咨询服务©Allrightsreserved19操作风险的经济资本和法定资本©Allrightsreserved20经济资本的计算巴塞尔II–操作风险的最低法定资本要求计算方法及细节:基本指标法标准法高级衡量法前三年中正值的营业毛利乘上固定比率(α,15%)的平均值八个业务类别每年各自的营业毛利乘上各自系数(β,12%,15%或18%)的总和的三年平均值由符合质和量的标准的内部操作风险衡量系统所计算出来的风险值©Allrightsreserved21经济资本的计算操作风险经济资本的衡量,必须包括质和量的因素•提供衡量操作风险管理有效性的指标•作为计算操作风险资本的必要依据•困难–损失数据的完整性和准确性–把损失资料按比例排列–银行的组织有所变动–损失资料内容不明确或模棱两可–外部损失资料–但最重要的是,必须改变银行的管理文化量的因素:对过去损失资料的分析是必要的质的因素:对银行风险控制品质的了解也同样重要•不能只着重过去的损失–过去发生的损失,并不一定会历史重演–缺乏改善操作风险控制的诱因–管理阶层无法发挥影响力•银行组织对操作风险也有一定的影响,对于如产品复杂程度、业务规模等,其内部控制质量分析是必要的•困难–非客观性及非一致性–难以量化©Allrightsreserved22经济资本的计算现在过去未来内部损失资料外部损失资料+情景分析业务经营环境及内部控制因素+操作风险的经济资本着重未来着重过去©Allrightsreserved23经济资本的计算预期损失非预期损失灾难性损失事件损失准备覆盖的损失资本覆盖的损失资本未能覆盖的损失负面冲击可能性©Allrightsreserved24操作风险管理程序和工具©Allrightsreserved25风险自我评估©Allrightsreserved26风险自我评估业务单位子业务单位风险自我评估是使用结构性方法来帮助业务单位识别和评估其自身的操作风险,从而计划适当的改善计划•识别和评估明确的操作风险及组织风险•风险乃由业务单位自行评估(此点是与稽核最明显的区别)•被识别的风险将会根据其“可能性”与“冲击”而绘制成图表•制定相应的改善计划及适当地分派责任于拥有此风险的业务单位开始决定风险评估的次序及范围识别风险评估风险行动和监测按需要再次进行自我风险评估©Allrightsreserved27不同类别的风险敞口需要不同类型的控制措施频率危害程度高频高危低频高危高频低危低频低危•高频低危的风险敞口-设立控制措施,以预防损失•低频高危的风险敞口-设立应变计划,以减低损失©Allrightsreserved28风险自我评估组织风险透过一组的问题去协助业务单位评估其控制文化概况及识别需要注意的范围风险自我评估的程序,包括评估业务单位的控制文化012345ABCDEFGHIJKLMNOPQRSTUVWXYZ©Allrightsreserved29风险自我评估应注意事项•确定业务单位、操作风险管理部门和稽核部门各自的任务和职责•确定自我风险评估的实施计划,并提供培训•进行试验性的风险自我评估•监督改善计划与实施•如业务单位能够自行识别风险,管理层应提供奖励而不是惩罚©Allrightsreserved30风险自我评估•好处–风险由业务单位自行评估–改善计划亦由业务单位自行决定–增强业务单位对操作风险的了解–促使员工参与对操作风险的评估•实施的难题–获得管理阶层的认同,从而分配足够的资源以进行自我风险评估–上述的好处难以被量化–监督改善行动的实施,并不容易©Allrightsreserved31损失数据库©Allrightsreserved32损失数据库损失数据库是用作记录银行内跟操作风险有关的损失数据,从而分析损失发生的地方及决定必须采取的改善计划•损失数据库是有系统性地记录跟操作风险有关的损失数据•其作用为–分析和识别操作范围内必须注意的地方–令管理层能够主动地关注和管理操作风险处理措施–记录银行内部过去的损失数据,以用作计算操作风险的经济资本和法定资本©Allrightsreserved33损失数据库•认定或发展一系统以支持损失数据库•损失数据库开始是应尽量从简,待其发展逐渐成熟后,才进一步追求更精密的设计和结构–必须对损失数据的定义有一致的共识–操作风险管理协调员的分配,必须横跨所有业务单位–发展一方法以确保损失数据的记录,能有恰当的覆盖面及完整和正确性–在开始时应尽快进行损失数据的搜集及记录–往后应研究参与(或建立)一外部损失数据库的可行性©Allrightsreserved34•好处–有助于对过去损失资料概况的了解–提供进行改善行动的基础–能够分析及报告跟操作风险有关的损失数据–能够计算操作风险的经济资本和法定资本•实施的难题–首先要改变管理文化,特别是业务单位必须能面对操作上的不当或失误–对损失数据的定义,所有业务单位必须达成一致的共识–损失数据必须有恰当的覆盖面,并为完整和正确的–必须处理好与其它类型风险的界限(例如如何区别信用损失和操作损失)损失数据库©Allrightsreserved35关键操