搜索
什么是操作风险?时间发布组织文件名称定义1998年巴塞尔委员会《操作风险管理调查报告》市场风险和信用风险以外的其他风险。2001年英国银行业协会《操作风险管理调查报告》由于内部程序、人员、系统的不完善或失误,或外部事件造成直接损失或间接损失的风险。2001年巴塞尔委员会《巴塞尔新资本协议》(征求意见稿)由于内部的程序、人员、系统不充足或运行失当以及因为外部事件的冲击等导致直接损失或间接损失的可能性的风险。该定义包括法律风险,但排除政策性风险与声誉风险。2003年巴塞尔委员会《操作风险管理与监管的稳健做法》由于不当或失败的内部程序、人员和系统或因外部事件导致损失的风险。2004年巴塞尔委员会《巴塞尔新资本协议》由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。本定义包括法律风险,但不包括策略风险和声誉风险。2007年中国银监会《商业银行操作风险管理指引》由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险,但不包括策略风险和声誉风险。操作风险的定义四大风险因素和七大损失类型人员内部流程IT系统外部事件指故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失事件,此类事件至少涉及内部一方,但不包括歧视及差别待遇事件指违反就业、健康或安全方面的法律或协议,个人工伤赔付或者因歧视及差别待遇导致的损失事件指因未按有关规定造成未对特定客户履行份内义务(如诚信责任和适当性要求)或产品性质或设计缺陷导致的损失事件因交易处理或流程管理失败,以及与交易对手方、外部供应商及销售商发生纠纷导致的损失事件因信息科技系统生产运行、应用开发、安全管理以及由于软件产品、硬件设备、服务提供商等第三方因素,造成系统无法正常办理业务或系统速度异常所导致的损失事件指第三方故意骗取、盗用、抢劫财产、伪造文件、攻击商业银行信息科技系统或逃避法律监管导致的损失事件因自然灾害或其他事件(如恐怖袭击)导致实物资产丢失或毁坏的损失事件风险因素内部欺诈就业制度和工作场所安全事件客户、产品和业务活动事件执行、交割和流程管理事件信息科技系统事件外部欺詐实物资产的损坏损失类型操作风险损失形态损失形态具体描述因商业银行发生操作风险事件引发法律诉讼或仲裁,在诉讼或仲裁过程中依法支出的诉讼费用、仲裁费用及其他法律成本。如违反知识产权保护规定等导致的诉讼费、外聘律师代理费、评估费、鉴定费等由于疏忽、事故或自然灾害等事件造成实物资产的直接毁坏和价值的减少。如火灾、洪水、地震等自然灾害所导致的账面价值减少等由于内部操作风险事件,导致商业银行未能履行应承担的责任造成对外的赔偿。如因银行自身业务中断、交割延误、内部案件造成客户资金或资产等损失的赔偿金额由于偷盗、欺诈、未经授权活动等操作风险事件所导致的资产账面价值直接减少。如内部欺诈导致的销账、外部欺诈和偷盗导致的账面资产/收入损失,以及未经授权或超授权交易导致的账面损失等由于操作风险事件引起的其他损失因操作风险事件所遭受的监管部门或有权机关罚款及其他处罚。如违反产业政策、监管法规等所遭受的罚款、吊销执照等2.监管罚没3.资产损失4.对外赔偿5.追索失败6.账面减值7.其它损失由于工作失误、失职或内部事件,使原本能够追偿但最终无法追偿所导致的损失,或因有关方不履行相应义务导致追索失败所造成的损失。如资金划转错误、相关文件要素缺失、跟踪监测不及时所带来的损失等1.法律成本5操作风险结构起因事件结果事件类别:•内部诈欺•外部欺诈•雇用惯例和工作场所安全•客户、产品及营业行为•人员或资产损失•营运中断与系统当机•执行、运送及操作流程的管理结果类别:•影响损益–账户冲销–丧失追索权–法律责任–赔偿–资产遗失或损坏•主管机关的监管行动•客户投诉•信誉受损•其它影响起因类别:•组织•信息科技•信息、资料•人力资源•操作流程•外部事件荷兰银行的操作风险结构重点在于区分“起因”,“事件”及“结果”三个关键因素,因为每一个关键因素都可能被使用作为分析操作风险的起点。一、操作风险绪论—风险特征1.具体性。不同类型的操作风险具有各自具体的特性,难以用一种方法对各类操作风险进行准确的识别和计量,原因在于操作风险中的风险因素主要存在于银行的业务操作中,几乎涵盖了银行的所有业务,操作风险事件前后之间有关联,但是单个的操作风险因素与操作性损失之间并不存在可以定量界定的数量关系,个体性较强。2.分散性。试图用一种方法来覆盖操作风险管理的所有领域几乎是不可能的,原因在于操作风险管理实际上覆盖了银行经营管理中几乎所有方面的不同风险,既包括发生频率高、造成损失相对较低的日常业务流程处理上的小错误,也包括发生频率低、造成损失相对较高的大规模舞弊、自然灾害等,而且操作风险与各类风险相互交叠,涉及面广。同时操作风险管理不可能由一个部门完成,必须建立操作风险管理的框架体系。3.差异性。不同业务领域操作风险的表现方式存在差异,原因在于业务规模小、交易量小、结构变化不太迅速的业务领域,虽然操作风险造成的损失不一定低,但是发生操作风险的频率相对较低;而业务规模大、交易量大、结构变化迅速的业务领域,受到操作风险冲击的可能性也大。4.复杂性。银行风险管理部门难以确定哪些因素对于操作风险管理来说是最重要的,原因在于引起操作风险的因素较复杂,如产品的复杂性、产品营销渠道的拓展、人员流动以及规章制度的变化等都可能引起操作风险,而通常可以监测和识别的操作风险,与由此可能导致的损失的规模、频率之间不存在直接关系,常常带有鲜明的个案特征。5.内生性。除自然灾害、恐怖袭击等外部事件外,操作风险的风险因素很大比例上来源于银行的业务操作,属于银行的内生风险。6.转化性。操作风险是基础性风险,对其他类别风险,如信用风险、市场风险等有重要影响,操作风险管理不善,将会引起风险的转化,导致其他风险的产生,2008年爆发的金融危机为我们分析风险之间的转化机制提供了很好的样本。操作风险的特点操作风险事件案例2008年1月法国兴业银行爆发全球金融史上最大弊案,一位年轻交易员越权作多欧洲股价指数期货,造成该行亏损49亿欧元(72亿美元),使得兴业银行当年全年营收净利剩下9.47亿欧元,比前年下跌82%。2001年11月UBS交易员把「每股61万日圆,卖出16股」打成「每股16日圆,卖出61万股」,在几秒钟内使公司损失7,100万英镑。1995年1月巴林银行(Barings)倒闭之案例:→流程控管的监督失衡:总行稽核与里森间的信任与放任→系统控管:超过限额的风险预警机制未发挥作用→系统安全:李森同时具有设定系统权限与限额的能力。2006年交行某分行发生一起涉案金额约2亿元人民币的客户资金诈骗案。2009年12月底某基金公司“乌龙门”事件(申购赎回清单计算偏差)。操作风险事件案例2001年美国911事件,许多设在世界贸易中心的金融公司丧失了大量财产、员工与数据数据。2006年12月26日晚间恒春大地震造成国际海缆中断,台湾及东亚各地网络与电话服务都因此受到严重影响。2008年汶川大地震造成在地震受灾严重地区,银行运营活动停止(绵竹市某家大型商业银行营业网点)如何管理操作风险?二、操作风险管理——基本概念操作风险管理是指在实现组织经营目标过程中,相关人员将组织的操作风险控制在组织可接受范围之内的方法和过程,以保障组织经营目标的实现。操作风险管理覆盖面组织结构:包括治理结构、内部控制、组织文化人员:包括人员素质、人员稳定性、绩效及薪酬结构、内部欺诈外部因素:包括外部欺诈、经营产所安全性、外部突发事件业务流程:包括业务流程设计缺陷、业务流程执行不规范信息科技系统:计算机硬件、计算机软件、通信二、操作风险管理—管理目标操作风险管理的总目标:将业务操作风险控制在一个可以接受的范围内,使得各类业务完成目标之总和可以为企业的总体经营目标的实现提供操作保障。保证资产安全保证业务运转连续性保证企业和业务的效益和效率保证经营的合规性操作风险管理的目标保证流程任务完成的正确性操作风险管理原则企业操作风险管理的六条基本原则:(1)客观性:以风险事件为管理的基础。(2)一致性;建立统一的风险评估规则和计量口径。(3)相关性:考虑各类风险事件的传递和关联(4)透明性:建立公开的行政管理制度和规范(5)整体性:从体系的角度实现业务管理的协调、关联、和匹配(6)完整性:操作风险管理力争做到全面覆盖能有效降低操作风险,使内在风险-已降低风险=剩余风险最小化的操作风险管理的12条黄金法则(Hans-UlrichDoerig,瑞士信贷集团):(1)战略;(2)结构;(3)系统化;(4)员工;(5)安全;(6)速度;(7)利益相关者;(8)共同价值观;(9)技能;(10)象征;(11)风格;(12)同步银监会操作风险管理13条原则(1)高度重视防范操作风险的规章制度建设;(2)切实加强稽核建设;(3)加强对基层行的合规性监督;(4)订立职责制,明确总行及各级分支机构的责任,形成明确的制度保障;(5)坚持相关的行务管理公开制度;(6)建立和实施基层主管轮岗轮调和强制性休假制度,并确保这一安排纳入总行及各级分支机构的人事管理制度;(7)严格规范重要岗位和敏感环节工作人员八小时内外的行为,建立相应的行为失范监察制度;(8)对举报查实的案件,举报人属于来自基层的员工(包括合同工、临时工)的,要予以重奖;(9)加强和完善银行与客户、银行与银行以及银行内部业务台账与会计账之间的适时对账制度,对对账频率、对账对象、可参与对账人员等做出明确规定;(10)加强未达账项和差错处理的环节控制,记账岗位和对账岗位必须严格分开,坚决做到对未达账和账款差错的查核工作不返原岗处理(11)严格印章、密押、凭证的分管与分存及销毁制度,坚决执行制度规定,并对此进行严格检查,对违规者进行严厉惩处(12)加强对可能发生的账外经营的监控(13)迅速改进科技信息系统,提高通过技术手段防范操作风险的能力,支持各类管理信息的适时、准确生成,为业务操作复核和稽核部门的稽查提供坚实基础操作风险管理流程识别评估监测缓释流程分析风险控制识别RSACSAKRILDC行动计划识别从业务流程出发,分析业务中的关键风险点;使用流程图法、流程分析法等工具。评估以业务流程为基点,对风险与控制进行自我评估;使用风险地图、问卷调查法等工具。风险控制和缓释在评估结果的基础上,根据可选方案对风险进行控制和缓释;使用行动计划、控制措施优化、保险等措施。监控、计量和报告对风险和控制情况进行监控、计量和报告;使用关键风险指标、操作风险报表/报告、资本计量等工具。操作风险管理工具体系操作风险管理三大工具:风险与控制自我评估(RCSA)、损失数据收集(LDC)和关键风险指标(KRI)。三大工具贯穿操作风险管理始终,为高效率、系统化的操作风险管理提供帮助。风险识别风险评估风险监测风险控制流程分析:识别主要业务流程或业务活动中固有的操作风险事件以及目前本行具备的相应控制措施损失数据收集(LDC):针对操作风险事件的相关信息,进行数据收集、内容分析、整改分析设计与执行、损失分配、内外部报告等程序风险与控制自我评估(RCSA):通过流程分析,识别和评估流程中潜在操作风险以及自身业务活动的控制措施、适当程度及有效性的操作风险管理工具。关键风险指标(KRI):代表某一风险领域变化情况并可定期监控的统计指标,可用于监测可能造成损失事件的各项风险及控制措施,并作为反映风险变化情况的早期预警指标。行动计划:通过三大工具的应用,根据对风险暴露严重程度的判断,采取相应的措施,将风险暴露降低到可接受的水平操作风险管理三大工具的相互作用风险控制自我评估RCSA损失数据收集LDC关键风险指标KRI真实的损失数据为KRI设置提供了参考KRI异常往往指向真实的损失事件操作风险管理三大工具——目录-风险与控制自我评估(RCSA)-关键风险指标(KRI)-损失数据收集(LDC)风险与控制自我评估(RCSA)•RCSA是一种通过调查金融机构管理层和员工有关对操作风险损失事项发生可能性和严重性的估