搜索
操作风险管理概述与实务不断加剧的操作风险一体化程度越来越高更高的业绩压力复杂的业务违法行为依赖于技术实务操作和诉讼交易量增大,速度加快•流程–流程缺失、不合理等。引发操作风险的因素•人员–操作失误、违法行为、越权行为、违反用工法、关键人员流失、关键岗位空缺等。•系统–系统失灵、软硬件故障、系统漏洞等。•外部事件–外部欺诈、外部突发事件、外部经营环境的不利变化等。4某商业银行操作风险统计情况注:根据某商业银行操作风险损失数据整理。损失原因笔数笔数占比金额占比人员因素198241.44%54.66%内部流程175636.71%32.69%外部事件52510.96%12.55%系统因素52110.89%0.10%主要内容一、操作风险概述二、操作风险监管发展历程三、操作风险管理实务一、操作风险概述1、广义定义市场风险和信用风险以外的风险。2、巴塞尔委员会定义由于不完善或有问题的内部程序、人员以及系统或外部事件所造成损失的风险。包括法律风险,但不包括策略风险和声誉风险。(一)操作风险定义3、花旗集团定义由于内部流程、人员或系统不完善或失败以及外部事件而造成损失的风险。包括与业务操作和市场行为相关联的声誉和特许经营风险。4、中国银监会定义由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险,但不包括策略风险和声誉风险。5、中国工商银行定义由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险,包括法律风险,但不包括战略风险和声誉风险。因无法履行的合同(全部或部分)、诉讼、不利的判决或其他法律程序使银行的业务中断或对银行状况造成不利影响而带来的风险。公众对某家银行做法持负面评价(无论真实与否),从而导致其客户群缩小、发生昂贵的诉讼及/或使其收入下降的可能性。来源于不合适的业务战略,或与该战略有关的假设条件、参数、目标以及其它特征有了负面的改变。法律风险声誉风险策略风险信用风险和市场风险一般都和收益成正比例关系,而操作风险不存在这种相关性,无法通过承担更多的操作风险来增加收益,操作风险纯粹意味着损失。风险与收益不匹配分散性内生性多样性操作风险覆盖面广,存在于银行各个部门,风险事件的发生难于预测,导致难以通过数学模型进行管理。由于操作风险不易量化和缓释,通常高级管理层较少关注这一风险。除自然灾害、恐怖袭击等外部事件外,操作风险大部分为内生风险,人员因素导致的操作风险占大多数。引发操作风险的因素复杂多样,既有员工、场所,还有系统、程序等。(二)操作风险的特征利润的上升并不需要操作风险敞口的增加风险信用市场操作利润三种风险比较(三)操作风险事件类型*内部欺诈未经授权的活动、盗窃或者欺诈,且这些事件至少涉及银行内部一方。外部欺诈由银行之外的第三方实施的偷盗或欺诈。用工制度和工作场所安全与劳资关系、工作环境安全性以及各种歧视相关的各种事件。客户、产品和业务活动未能对客户完全履行义务,以及产品性质或设计存在缺陷。实物资产的损坏自然灾害或其他有关的事件。营业中断和系统瘫痪业务中断或系统失败导致的损失。执行、交割和流程管理与交易处理或流程管理、交易对手和外部供应商有关的事件。*巴塞尔委员会操作风险损失事件类型二、操作风险监管发展历程(一)国际银行业操作风险监管1、前新资本协议时期(1)《有效银行监管核心原则》(1997年9月)原则13:该原则强调监管者要确保银行建立全面的风险管理程序以识别、计量、监测和控制各项重大的风险并适时设立资本金。监管者应督促检查银行是否建立了有效的内控系统并保持有效运转,一旦发现违规迹象,应立即采取监管措施,并建议充分利用审计信息,进行现场检查等以保证监管效率。(2)《内部控制系统的评估框架》(1998年)内控失效的5个表现3类内控目标改进措施1)银行内部缺少控制观念导致管理疏忽2)缺少对表内外业务特定活动的风险评估3)对组织架构和职责以及绩效考核缺乏关键的控制或控制失效4)沟通不畅5)审计程序其它监管行为缺乏效率1)内部控制的效率和效果2)财务和管理信息的可靠性与完整性3)严格遵守监管法规(3)《操作风险的管理与监管的稳健做法》(2003年2月)营造适宜的风险管理环境1、操作风险管理体系2、内部审计3、执行的职责风险管理活动4、识别、评估操作风险5、监控操作风险6、控制/减缓操作风险7、应急和连续经营方案信息披露的作用10、公开披露监管者的作用8、对风险管理体系的监管审查9、独立评估(1)《新资本协议》(2004年6月)2、新资本协议时期第一支柱•首次纳入资本计提范畴•计算方法•监管第二支柱•比照严格管理•监管评估•开发管理框架第三支柱•质的披露要求•量的披露要求原则15–操作风险:银行监管当局必须满意地看到,银行应具备与其规模及复杂程度相匹配的识别、评价、监测和控制/缓解操作风险的风险管理政策和程序。(2)新版有效银行监管核心原则(2006年10月)(3)《操作风险管理和监管的良好作法》(2010年12月)2)银行操作风险管理的三道防线•业务条线管理•独立的法人操作风险管理部门•独立的评估与审查1)监管机构的任务•建立评估机制•监管评估的范围•监管措施的制定•鼓励银行持续改善内部管理3)银行操作风险管理原则基本原则1、“高层声音”2、操作风险框架公司治理3、操作风险管理框架建立及监督4、操作风险偏好和容忍度报告5、高级管理层风险管理环境6、内在操作风险的识别和评估7、评估的正式程序8、重要风险敞口监测9、操作风险管理体系10、业务弹性和连续性方案信息披露的作用11、公开信息披露(3)《操作风险管理和监管的良好作法》(续)(二)我国银行业操作风险监管——20世纪90年代中期至2002年左右监管部门和银行内部主要侧重于研究与银行盈利能力密切相关的信用风险和市场风险,操作风险的监管政策在我国仍然是一片空白。但少数学者已经开始探索操作风险管理和监管问题。1、萌芽阶段2、起步阶段——2002年至2006年(1)《商业银行内部控制指引》(2002年9月)全文有五处明确提到操作风险,其中有两处表述为“操作性风险”,也是操作风险的一类,且大量的内容体现的是操作风险的管理理念。如第四章“资金业务的内部控制”中强调统一授信和前后台职责分离,防止越权交易和欺诈行为等,都是典型的防范操作风险的手段。(2)《关于加大防范操作风险工作力度的通知》(2005年3月)简称“操作风险十三条”•机构管理方面:涉及规章制度建设、稽核体制建设、基层行合规性监督、订立职责制、行务管理公开等。•人员管理方面:涉及轮岗论调与强制休假、重要岗位人员监控、举报人员的奖励机制等。•账户管理方面:涉及对账制度、未达账项管理、印押证管理、账外经营监控、信息科技系统改进等。2、起步阶段(续)3、发展完善阶段(1)《中国银行业实施新资本协议指导意见》(2007年2月)•要求银行制定切实可行的新资本协议实施规划•首次提出银行应对操作风险计提资本•此外还指出银监会将加快操作风险资本监管的研究和规制的进程,并将公布符合我国商业银行实际的操作风险资本计算方法——2007年至今(2)《商业银行操作风险管理指引》(2007年5月)•首次在正式中文文件中给出操作风险的定义和操作风险事件的分类•明确要求商业银行为操作风险管理提供组织和职能保证•强调加强内部控制对降低操作风险的重要意义3、发展完善阶段(续)(3)《商业银行操作风险监管资本计量指引》(2008年10月)•我国商业银行只能选择标准法、替代标准法和高级计量法•明确了商业银行使用标准法时总收入的范围,并制定了业务条线的归类原则•制定了商业银行操作风险损失数据收集统计原则•提出了商业银行操作风险损失事件统计的主要内容3、发展完善阶段(续)(4)《商业银行资本管理办法》(2012年1号令)以巴塞尔新资本协议(BaselII)三大支柱为基础,统筹考虑第三版巴塞尔协议(BaselIII)的新要求,构建了符合国内银行业实际的资本监管框架《办法》分10章、180条和17个附件,其中第六章对操作风险加权资产计量进行了规范3、发展完善阶段(续)三、操作风险管理实务——以某商业银行操作风险管理项目为例(一)名词解释操作风险偏好是对操作风险的基本态度和公司管理层对操作风险管理的承诺。是银行根据发展规划以及业务能力和风险控制能力,确定下来的风险容忍程度和风险远景规划,是战略层面的内容。操作风险容忍度是将战略层面的操作风险偏好转化至实际管理层面的管理工具,是风险偏好更为具体的表现。操作风险偏好操作风险容忍度操作风险容忍度区分操作风险容忍度分为四个等级,分别以绿色、黄色、橙色、红色加以区分。绿色表示安全区域,黄色表示应加强监控的区域;橙色表示应予警戒的区域,红色表示不可忍受区域。操作风险地图为一个由频率横轴以及严重度(金额)纵轴所组合成的二维象限,当中每一格区域代表不同的操作风险暴露值(即频率与严重度的乘积);而通过边界值的设置可以将该二维象限划分成不同的区域,对映至不同的操作风险容忍度。分为固有风险暴露评估和剩余风险暴露评估。其中,固有风险暴露是指假设不存在任何控制措施,未来一年内发生操作风险损失的可能性和金额。剩余风险暴露是指考虑相关控制措施的影响,即操作风险事件发生的可能性和严重程度在控制措施后有可能降低的情况下,未来一年内发生操作风险损失的可能性和金额。操作风险地图风险暴露评估操作风险管理的三项工具操作风险管理LDC-损失数据收集(反思操作风险管理或缓释方案失效的原因并思考新的应对方案)KRI-关键风险指标设计与监控(通过预警信息的监控以即时采取行动方案)RCSA-风险与控制自我评估(流程改善或控制措施改进的依据)人体健康管理病史及发病纪录(反思发病原因并采取新的应对方案)血压/血糖/体重等健康指标监控(警戒信息产生时,立即采取应对手段)定期身体健康评估(调整用药、加强运动等控制措施的依据)操作风险管理的流程风险识别评估/计量缓释/控制检验/再评估监测报告反馈风险识别流程分析:识别主要业务流程或业务活动中固有的操作风险事件以及目前本行具备的相应控制措施。损失数据收集:针对操作风险事件的相关信息,进行数据收集、内容分析、整改分析设计与执行、损失分配、内外部报告等程序。风险评估风险与控制自我评估:通过流程分析,识别和评估流程中潜在操作风险以及自身业务活动的控制措施、适当程度及有效性的操作风险管理工具。风险监测关键风险指标:代表某一风险领域变化情况并可定期监控的统计指标,可用于监测可能造成损失事件的各项风险及控制措施,并作为反映风险变化情况的早期预警指标。风险控制行动计划:通过三大工具的应用,根据对风险暴露严重程度的判断,采取相应的措施,将风险暴露降低到可接受的水平。(二)操作风险识别1、流程分析板块业务类别主流程子流程主流程牵头部门子流程负责部门依据业务属性,将流程划分为以下7大业务板块:•公司业务•国际业务•会计业务•零售业务•资金业务•离岸业务•其他业务板块大类的子项。例如,公司业务板块就下设了10余个业务类别:•公司授信•公司理财•票据贴现•银团贷款•资产保全•企业现金管理……在业务类别项下遵循切割原则所梳理出的流程项目。例如公司授信业务类别对应的主流程有:•公司授信(截至批复前)流程•一般授信提款流程•贷后管理流程……主流程项下,主要的执行环节。例如贷后管理主流程下设的子流程有:•贷后日常监控•贷后预警•五级分类•抵质押物出库……主流程的业务设计部门或制度设计部门。子流程主要环节的执行部门。梳理每个子流程所包含的流程步骤,识别涉及的人员和系统。识别每个步骤中的控制措施。识别每项控制措施所针对的风险事件和风险因子。生成综合说明表进一步流程分析过程及结果(1)(2)(3)(4)综合说明表示例(会计业务-重要空白凭证出入库管理)子流程使用文件流程步骤控制类型控制措施风险识别执行人员风险事件类型风险因子类型(1)风险因子类型(2)网点或库房上级部门凭证柜员凭证库管员账户管理员会计主管管理人员重要空白凭证库房管理凭证调出单、空白重要(面额)凭证领用(入库)书、印鉴出库银行财产