搜索
1商业银行操作风险管理与内部审计中国银行股份有限公司稽核部周玮zhouwei1128@sina.com2011年7月25日2周玮简介国家审计署高级审计师,中国银行高级经济师,现任中国银行股份有限公司稽核部内控总稽核,中国国际金融学会理事会理事,清华大学继续教育学院顾问,中国人才研究会金融专业委员会资深顾问,亚洲风险与危机管理协会专业顾问。曾任中国银行股份有限公司稽核委员会风险稽核专员,中国银行风险管理部副总经理,中国银行(香港)有限公司风险管理部副总经理兼信用风险管理改革项目管理委员会主任。3授课内容第一单元:1、风险与操作风险的基本概念2、COSO与BASEL两大组织风险管理理念的差异及影响第二单元:3、商业银行操作风险管理与内部控制体系4、内部审计的核心职能及履职基础第三单元:5、内审检查与确认评价实务6、后金融危机时代对商业银行内部审计要求的发展变化和瓶颈41、风险与操作风险的基本概念国际内部审计师协会定义:风险是一个事件、行动或不行动对相关的组织或活动可能产生不利影响的可能性。换句话说,就是不利事情发生的可能性。51、风险与操作风险的基本概念风险=损失?风险是指损失发生的不确定性风险是指损失发生的不确定性61、风险与操作风险的基本概念案例分析:案例分析:市场需求市场需求概率概率收益收益预期收益预期收益旺盛旺盛0.31000.3100一般一般0.5400.540较少较少0.20.2--1010预期收益=预期收益=0.3*100+0.5*40+0.2*0.3*100+0.5*40+0.2*((--1010)=)=30+2030+20--22==4848三种市场情况的收益与预期收益的差额分别为:旺盛旺盛100100--4848==5252一般一般4040--4848==--88较少较少--1010--4848==--5858所以,该产品可能出现的最大风险损失是58。4871、风险与操作风险的基本概念当有另一产品与之比较:如果两项两项产品的预期利益不同时,的预期利益不同时,------取大的;取大的;如果两项产品的预期利益相同时,---取风险损失小的;81、风险与操作风险的基本概念风险的基本概念:损失收益91、风险与操作风险的基本概念风险的特性:1、两面性:既有损失,也有收益;且以收益为主导;2、不确定性:可能发生、也可能不发生,发生的结果可能大、也可能小;是未来发生某种结果的一个过程;3、可测性:可以在事先通过概率的方法在一定范围内做出预测;4、可控性:可以通过管理进行控制;101、风险与操作风险的基本概念风险的概念---定义风险是指因可能的损失而导致预期收益的不确定性。111、风险与操作风险的基本概念银行面临的八大风险1998年9月,巴塞尔银行监管委员会发布了《银行机构的内部控制制度框架》,要求风险评估须覆盖银行及银行集团面临的所有风险:流动性风险;操作风险;法律风险;信誉风险信用风险;国家及转移风险;市场风险;利率风险;121、风险与操作风险的基本概念操作风险浮出水面¾20世纪90年代以来,一些全球顶尖的商业银行纷纷爆出惊天大案,有的银行甚至因此从人们的视线中消失。¾1995年,巴林银行驻新加坡外汇交易员里森违规进行未授权及隐匿的期权和期货交易,并隐藏亏损,最终导致享誉全球的巴林银行倒闭。¾1996年,日本大和银行纽约分行员工井口俊英帐外买卖美国联邦债券,并伪造文件隐瞒亏损,在11年间有三万多笔交易未经授权,造成11亿美元的损失,最后不得不全面从美国撤退,并与住友银行合并。¾2002年,联合爱尔兰银行员工JohnRosnak为了弥补原先投资公私股票损失而伪造交易单,希望借远期外汇交易弥补损失,结果越陷越深,给银行造成7.5亿美元的损失。131、风险与操作风险的基本概念人员人员流程流程系统系统外部外部职责分工不清职责分工不清培训不足培训不足管理层监督不足管理层监督不足保全手段不充分保全手段不充分审计流程不充分审计流程不充分系统设计缺陷系统设计缺陷人力资源管理弱人力资源管理弱实物资产损失实物资产损失流程错误流程错误系统中断系统中断欺诈舞弊欺诈舞弊产品业务实践产品业务实践工作场所安全工作场所安全执行交割管理执行交割管理法律责任法律责任监管税务罚款监管税务罚款资产损失资产损失追索损失追索损失账面价值减低账面价值减低财务影响声誉声誉客户及员工客户及员工非财务影响原因(来源)事件影响内部风险的三要素141、风险与操作风险的基本概念操作风险定义不完善或失灵的内部程序、人员和系统,或外部事件导致损失的风险。——巴塞尔银行监管委员会151、风险与操作风险的基本概念巴塞尔委员会关于操作风险的详细界定事件类型定义内部欺诈故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失,此类事件至少涉及内部一方,但不包括性别/种族歧视事件。外部欺诈第三方故意骗取、盗用财产或逃避法律导致的损失。就业政策和工作场所安全违反就业、健康或安全方面的法律或协议、个人工伤赔付或者因性别/种族歧视事件导致的损失。客户、产品及业务操作因疏忽未对特定客户履行分内义务(如信托责任和适当性要求)或产品性质或设计缺陷导致的损失。实体资产损坏实体资产因自然灾害或其他事件丢失或毁坏导致的损失。业务中断和系统失败业务中断或系统失败导致的损失。执行、交割及流程管理交易处理或流程管理失败和因交易对手方及外部销售商关系导致的损失。161、风险与操作风险的基本概念英国银行家协会关于操作风险的界定第一级:因素第二级:定义雇员欺诈、犯罪越权行为、欺诈交易、操作失误违反用工法劳动力中断,关键人员流失或缺乏支付清算、传输风险文件、合同风险估价、定价风险内部、外部报告风险执行规章、流程策略风险、管理变动出售风险流程人171、风险与操作风险的基本概念英国银行家协会关于操作风险的界定(续)第一级:因素第二级:定义科技投资风险系统开发和执行系统功能系统失败系统安全法律、公共责任犯罪外部采购、供应商风险外部开发风险灾难、基础设施政策调整、政治政府风险外部事件系统181、风险与操作风险的基本概念目前存在的困惑问题:操作风险的本质是什么?如何在定义中反映其本质特征?操作风险计量和管理的对象是什么?操作风险是否包括外部事件或者欺诈舞弊等人为因素导致的负面影响?操作风险管理是否直接创造收益,还是仅减少损失?191、风险与操作风险的基本概念企业风险是指企业在运营过程中面临的所有影响企业经营目标的不确定性,如环境风险、运营风险和信息风险等。一个企业的运营分为内部运作和外部营销两个部分,内部运作是基础,是企业产品价值增值的动力。外部营销(在营销产品的同时营销自己)离不开市场环境,企业通过外部市场获取必要的生产资料(人、财、料)并最终实现企业的经营目标。201、风险与操作风险的基本概念企业在内部运作和外部营销过程中面临着来自内外两个方面的影响。即引起企业损失的原因有两个(成因分析):外部(原因)风险更多的表现为市场中交易对手的风险;内部(原因)风险是企业内部运作过程中发生的风险,但对企业的外部形象产生影响,如策略风险、合规风险等。211、风险与操作风险的基本概念企业风险的定义:由于来自内/外部原因可能引起的损失而导致企业经营目标的不确定性。“企业风险是指未来的不确定性对企业实现其经营目标的影响。”(引自国资委《中央企业全面风险管理指引》)221、风险与操作风险的基本概念外部风险是指由于环境、交易对手和信息等原因而导致企业经营目标的不确定性。由于企业是社会生产环节的一部分,企业要维持其生存和发展就离不开市场这样的社会环境。因此,企业在日常经营活动中将会面临来自企业外部的诸多风险。如环境风险、交易对手风险和信息风险等。231、风险与操作风险的基本概念内部风险是指由于企业内部主客观原因而导致(发生)偏离或未达到企业经营目标的不利事件的可能性。241、风险与操作风险的基本概念客观原因导致的风险主要是指由于主观认识局限性等非主观意愿而出现的决策失误和管理失败及工作疏忽等操作风险,这类失误或失败给企业带来的不一定都是直接的经济损失,有相当一部分是对企业形象或声誉方面的间接损失。主观原因导致的内部风险是指人为因素故意为之,如内部欺诈、舞弊行为等,其结果一般都会给企业带来直接的经济损失。251、风险与操作风险的基本概念但无论是主观还是客观原因出现的内部风险都是对企业经营目标的反动,企业的所有决策、行动都是朝着企业既定的经营目标努力的,而欺诈和舞弊等主观原因引起的内部风险则是朝着相反的方向用力;即使是客观原因引起的操作风险也会使企业的努力受到衰减。261、风险与操作风险的基本概念操作风险定义:由于人的主观认识局限性而导致反向偏离预期目标的可能性。因此,操作风险是单向的只有损失,而没有收益;操作风险管理只是成本投入,并不直接创造收益,但能创造价值。从范围上讲,操作风险可能随时发生在企业内部运作或外部营销过程中的所有管理和经营活动之中。271、风险与操作风险的基本概念企业风险(信誉风险)外部风险内部风险环境风险信息风险运营(营销)风险欺诈舞弊操作风险策略风险合规风险信用风险市场风险法律风险281、风险与操作风险的基本概念区别内部风险与操作风险的意义:首先,两者的性质上加以区别,前者包括了违法行为,而后者仅仅是一种工作上的失误。其次,在明确了性质后可以从管理上增强不同管理部门的职能,加强了管理的针对性。再次,在管理技术和方法上应该区分损失和失误等不同的处理模式。最后,在对人员的处理上前者已经触犯了刑律自然是要开除公职追究其刑事责任,而后者需要分析具体情况定之。29授课内容第一单元:1、风险与操作风险的基本概念2、COSO与BASEL两大组织风险管理理念的差异及影响第二单元:3、商业银行操作风险管理与内部控制体系4、内部审计的核心职能及履职基础第三单元:5、内审检查与确认评价实务6、后金融危机时代对商业银行内部审计要求的发展变化和瓶颈30COSO与BASEL区别/联系BaselCOSO目标定义风险分类分为三大风险未分类管理概念六个全的全面风险管理体系(全面范围全球体系全程过程全员文化全新方法全额计量)全面风险管理框架管理方法定量计量定性评价管理要素准备金、资本、组合管理及风险缓释技术四目标、八要素内部控制与风险管理关系内部控制是风险管理的手段之一风险管理是内部控制的延伸,甚至认为内部控制大于风险管理建立和健全全面风险管理体系(内部控制体系)风险是一种可能性,风险管理是对过程的管理312.1COSO与BASEL---风险定义COSO认为:“风险是一个事项将会发生并给目标实现带来负面影响的可能性”,也就是说风险是给目标带来负面影响即损失的可能性。显然,COSO认为风险就是损失的可能性,机会是收益的可能性。BASEL认为“风险是由于可能的损失而导致预期收益的不确定性”。BASEL强调风险的两面性,风险是由收益主导的,却因可能的损失而失去收益,所以是收益的不确定性。322.1COSO与BASEL---风险管理定义COSO认为:“企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿与企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理的保证”。BASEL则认为“风险管理是一个非线性过程”。OABX工作投入工作效果CY332.2COSO与BASEL---风险分类COSO提到了“事项类别”的概念,提出:“将潜在的事项归入不同的类别可能很有用。……通过归集类似的事项,管理当局能够更好地辨别机会和风险。事项分类还能使管理当局得以考虑其事项识别工作的完整性。”COSO没有就企业风险制订出一套分类标准,可以理解为给企业在识别和评估风险时留有一定的自由空间,使企业在具体实施过程中可以根据企业实际情况灵活的掌握和运用。BASEL委员会根据风险性质的不同,将风险划分为市场风险、信用风险和操作风险,并将敏感性较差的法律风险归入操作风险,对于其它敏感性不足的风险归入新资本协议第二支柱进行管理。342.3COSO与BASEL---