商业银行操作风险度量与管理.ppt

商业银行操作风险度量与管理OperationalRiskMeasurementandManagementofCommercialBanks,南开大学经济学院金融学系李志辉教授2006年11月30日,主要内容,操作风险界定操作风险现状分析操作风险度量模型操作风险实证度量内部控制与操作风险操作风险管理（ORM）体系,操作风险界定,操作风险的提出操作风险特征操作风险损失事件,操作风险的提出,风险管理越来越受到金融机构的重视。科学有效的金融风险管理一方面可以保证金融机构健康、持续地运行，另一方面可以降低企业防范风险的资金成本，提高企业的竞争力。目前，金融机构所面临的风险大体可以概括为市场风险(MarketRisk)、信用风险(CreditRisk)以及操作风险(OperationalRisk)。市场风险是指由于特定的市场风险因素变化而引起的净收入或投资组合价值的波动。信用风险是指由于机构外部的合作伙伴、借款人、供货商违约引起的净收入或者净资产的波动。市场风险和信用风险很早就引起了金融机构的重视，到目前为止都已经有了较为成熟的风险管理技术。,操作风险的涵义,虽然操作风险这个概念的提出已有较长的历史，但将其与其他两种风险并列为金融机构面临的三种主要风险则是最近几年的事情。国际银行监管巴塞尔委员会2001年以来连续三次发表长篇咨询报告，与业界磋商如何建立稳妥的操作风险管理和监管机制。在学术界，操作风险的研究也得到长足的发展，出现了一批从不同角度出发的操作风险度量模型，为操作风险的管理提供了较为可靠的基础。操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。本定义包括法律风险，但不包括策略风险和声誉风险(strategicandreputationalrisk)。,BBA关于操作风险的界定,巴塞尔协议发展与操作风险,1988,1988年巴塞尔协议：信用风险资本要求,操作风险管理：引入操作风险,1998.9,1999.6,新资本协议框架：强调操作风险及其定量分析对银行的重要性,2004.6,巴塞尔协议II,1992,1988年巴塞尔协议实施,1996,资本协议关于市场风险的修订案：市场风险资本要求,操作风险管理与监管的稳健做法,2003.2,2001.9,操作风险法规政策,操作风险高级计量法（AMA）原则,2004.1,资本配置：当前与未来,行业趋势,操作风险凸现原因,金融全球化的迅速发展，跨国金融交易和服务面临不同的社会、政治和法律制度，增加了银行的操作风险暴露新技术的发展尤其是信息技术在金融领域的广泛应用，大大提高了银行金融服务的效率，但同时加大了商业银行的操作风险信用风险和市场风险管理技术的迅速发展，在缓释信用风险和市场风险的同时，加大了操作风险金融创新和市场压力需要银行开发更为复杂的金融产品,操作风险的特征,具体特质性复杂性分散性差异性内生性,*表示不包括操作风险中高频、低额的部分。,市场风险、信用风险与操作风险的比较,操作风险部分典型案例（国际）,操作风险国内部分案例（国内银行）,1997年6月，福州市商业银行马江支行原行长贺冬玉将拆入资金7000万人民币中的3690万挪用4家私有公司使用及马江支行自购股票。1998年5月，原中国银行南海支行丹灶办事处信贷员谢炳峰、储蓄员麦容辉共同贪污5250万元潜逃。事后，警方追回赃款人民币3311万元，检察机关扣押并追回588万元，尚有972万未能追回。1998年9月22日，江苏扬州的郝氏兄弟利用自制装置侵入工商银行扬州分行电脑系统，将72万元转入以其假名开设的银行活期存折，并提款26万元。2002年1月6日，中国银行巴黎第九区分行总值40多万欧元现钞和法郎现金被盗。盗贼还破坏了分行的相关通讯线路，导致中国银行巴黎第九区分行和十三区支行互联网中断，以致两处分支机构无法正常营业。20022003年6月，工商银行上海外高桥保税区支行向“姚康达”一人就发放个人住房贷款7141万元，这些资金被用于购买128套住房，炒作房地产。2003年审计署审计报告中公布的“华光案”中，冯明昌利用其控制的13家关联企业，累计从工商银行广东南海支行获得贷款74.21亿元，案发后，其中28.8亿元无法归还。,国内银行近年部分操作损失事件,我国商业银行操作风险特征,操作风险具有很强的突发性商业银行的操作损失事件呈二维分布（高频、低额低频、高额）人员因素引起的操作风险占了大多数商业银行操作风险的单笔损失金额呈逐年上升趋势我国商业银行操作风险职务犯罪严重我国商业银行操作风险分布特点明显（损失事件58%来自内部欺诈，损失金额49%发生在信贷部门）,福克思2004中国银行业巨贪100强,个人金额第一名：中国银行广东省分行开平市支行前行长“余振东”涉案金额：4.85亿美元，折合人民币约40亿巨款。,银行系统机构、职工数目（2004年底）,目前的操作风险管理存在的问题,操作风险认识的落后操作风险度量技术的落后缺乏健全的操作风险管理框架,操作风险现状分析,损失事件和业务部门国际现状我国现状（1990年2003年）,损失事件和业务部门,损失事件业务部门,损失事件分类（7大类）,内部欺诈（InternalFraud）：有机构内部人员参与的诈骗、盗用资产、违犯法律以及公司的规章制度的行为。例如内部人员虚报头寸、内部人员偷盗、在职员的账户上进行内部交易等等。外部欺诈（ExternalFraud）：第三方的诈骗、盗用资产、违犯法律的行为。例如抢劫、伪造、开具空头支票以及黑客行为对计算机系统的损坏。雇用合同以及工作状况带来的风险事件（EmployPractices&WorkspaceSafety）：由于不履行合同、或者不符合劳动健康、安全法规所引起的赔偿要求。例如，工人赔偿要求、违犯雇员的健康安全规定、有组织的罢工以及各种应对顾客负有的责任。,客户、产品以及商业行为引起的风险事件（Client,Products&BusinessPractices）：有意或无意造成的无法满足某一顾客的特定需求，或者是由于产品的性质、设计问题造成的失误。例如受托人违约、滥用客户的秘密信息、银行账户上的不正确的交易行为、洗钱、销售未授权产品等。有形资产的损失（DamagetoPhysicalAssets）：由于灾难性事件或其他事件引起的有形资产的损坏或损失。例如恐怖事件、地震、火灾、洪灾等。经营中断和系统出错（BusinessDisruption&SystemFailure）：例如软件或者硬件错误、通信问题以及设备老化。涉及执行、交割以及交易过程管理的风险事件（ExecutionDelivery&ProcessManagement）：交易失败、过程管理出错、与合作伙伴、卖方的合作失败。例如交易数据输入错误、间接的管理失误、不完备的法律文件、未经批准访问客户账户、合作伙伴的不当操作以及卖方纠纷等。,业务部门（8个）,公司财务（CorporateFinance）：合并与收购、股份承销、资产证券化、首次公开上市发行、政府债券和高收益债券等。交易与销售（Trading&Sales）：固定收益债券、股权、商品期货、信用产品、自有头寸证券、租赁与赎回、经纪、债务。零售银行业务（RetailBanking）：零售的存贷款业务、私人的存贷款业务、委托理财、投资建议。商业银行业务（CommercialBanking）：项目融资、房地产、出口融资、交易融资、代收帐款、租赁、担保、贷款。支付与清算（Payment&Settlement）：支付、转帐、清算。代理服务（AgencyServices）：契约、存款收据、证券借贷、发行和支付代理。资产管理（AssetManagement）：可自由支配的资金管理和不可自由支配的资金管理。零售经纪（RetailBrokerage）：零售的经纪执行以及其他服务。,国际现状,2002年6月巴塞尔银行监管委员会下设的风险管理小组(RMG)。2002年损失数据调查中89个银行提交了数据，是2001年30家银行的近3倍。89家银行提供的组合数据涵盖了逾4,7000个损失事件。,89家银行2002年损失事件数目,89家银行损失金额的分布（单位：千欧元）,每一业务部门和事件类型的损失事件数目,业务部门和事件类型的总损失金额（单位：百万欧元）,我国现状（1990年2003年）,研究所涉及的我国商业银行操作风险损失事件全部来自于国内外媒体的公开报道。共有操作风险损失事件71起，涉及我国国内的商业银行7家，时间跨度由1990年至2003年，给银行带来的损失多至5.3亿元，少至2500元。每一笔损失，我们都记录了其损失事件类型（LossEventType）、业务部门（BusinessLine）、损失金额.如果相应的损失事件中清楚提及商业银行名称、所属地域的，也对这些信息做了记录。,国有商业银行损失事件数目（根据公开媒体报道）,国有商业银行损失金额,损失按地区划分,操作风险度量模型,操作风险的定性评估操作风险的定量度量方法新巴塞尔资本协议中的度量方法操作风险高级计量模型及其应用,操作风险的定性评估,自我评估（Self-assessment）风险图（RiskMapping）关键风险指标（KeyRiskIndicators，KRIs）情景分析（ScenarioAnalysis）,操作风险度量方法体系,由上至下法(Top-downApproaches),由上至下法着眼点在于总体的目标(例如净收入、净资产)，然后考虑风险因素和损失事件对其造成的影响。这一类的模型包括证券因素模型、收入模型、开支模型、操作杠杆模型、情景分析、风险概括模型。一般的步骤是：1.确定目标变量。2.确定可以影响目标变量的因素和事件。3.建立模型，反映目标变量和因素、事件的关系。4.计算变量的方差，将其中不能被外部因素解释的部分或者能被风险因素解释的部分作为操作风险。,证券因素模型(StockFactorModel),证券因素模型(StockFactorModel)可以用来分析上市公司的操作风险。选取的目标变量是股票的市值，解释变量是一些影响股票市值的因素。rtb1(Pt/Pt)b2(Pt/Pt)b3(Pt/Pt)Kt其中，rt是公司股票的收益率，Pt/Pt是第i个风险因素的收益率，bi代表了对这些因素的敏感程度。我们在确定了影响股票收益的因素以后，可以通过数据回归出模型，然后将股票收益率的方差中不能被模型解释的部分作为由于企业内部管理因素而导致的风险，即操作风险。,收入模型(Income-basedModels),收入模型(Income-basedModels)的着眼点在于企业的收入。它将企业的历史收入作为目标变量，将企业外部的一些风险因素作为解释变量。这些因素可以是市场因素、行业因素以及信用因素等。与前面的证券模型相同，将这些外部因素不能解释的收入的方差值作为企业的操作风险。在很多情况下，历史数据可能不足，这时可以选取季度甚至月份的收入数据。,开支模型(Expense-basedModels),开支模型(Expense-basedModels)将企业的历史开支和操作风险联系起来。首先收集企业历史上的开支数据，然后调整这些数据以反映企业内部发生的结构性变化，最后将这些开支数据的波动率作为操作风险值，因为开支的波动可能来自操作失误、罚款、经营中的损失。开支模型的特点是简单易行，但是它只能反映部分操作风险，对于信誉风险、机会成本以及影响收入的损失则没有考虑。,操作杠杆模型(OperatingLeverageModels),在企业的经营中，一般可变成本近似地与收入同步增长，因此它对净收入的波动率没有太大的影响。操作杠杆风险是指由于收入波动率和开支波动率的不同所引起的风险，它依赖于资产与运营开支的比率。一般我们选取固定资产和运营开支的简单函数来代表操作杠杆。例如，银行可以将操作杠杆定义为10%的固定资产加上25%的3个月的运营开支。操作杠杆风险是操作风险的一个重要组成部分，但是它丢掉了很多其他方面的操作风险。,风险概况模型(RiskProfilingModels),选取一些可以反映企业运行风险状况的指标，连续跟踪这些指标的值，但是并不把它们和某种目标变量联系起来。例如这些指标可以是交易量、操作不当引起的损失、意外报告的数目、人员流失比率、人员空缺率等等，所有可以反映或者预测运行异常的指标都可以包括进来。,由下至上法(Bottom-upApproaches),自下而上的方法首先考虑企业运转的一些基本要素(例如资产、负债、重要的经营过程、重要的资源等)，然后考虑这些因素的潜在变化可能会对目标变量(以市场方式标价的资产价值、净收入等)带来怎样的影响。模型中一般使用风险因素或特定的损失事件来代表潜在的变化。经常使用的自下而上的模型包括资产负债管理、市场因素模型、精算损失模型、随机模型、操作方差、压力测试、操作清单等。建立一个由下至上模型的步骤包括：1.确定目标变量，一般为损益值、成本、净资产价值。2.确定一些重要的过程和资源或者一些重要的资产和负债。在此过程中，需要牢记：往往大部分的风险蕴含在很少的几个重要过程和资源中。3.将这些过程和资源映射到一系列我们已经掌握了历史数据的风险因素和损失事件。4.模拟一定时间范围内的风险因素和损失事件的可能变化，同时也要考虑这些因素和事件之间的依赖关系。对于它们的统计分布，可以使用参数估计，也可以使用蒙特卡罗(MonteCarlo)模拟。5.使用模拟得出的分布和前面使用的映射关系，给出对目标变量的可能影响。,巴塞尔银行业监管委员会推行的度量方法,（一）基本指标法（TheBasicIndicatorApproach，BIA）（二）标准法（TheStandardisedApproach，SA）（三）高级计量法(AdvancedMeasurementApproaches，AMA),基本指标法,采用基本指标法银行持有的操作风险资本应等于前三年总收入的平均值乘上一个固定比例(用表示)。资本计算公式如下：KBIA=GIx其中，KBIA=基本指标法需要的资本，GI=前三年总收入的平均值，=15%，由巴塞尔委员会设定，将行业范围的监管资本要求与行业范围的指标联系起来。总收入定义为：净利息收入加上非利息收入。这种计算方法旨在(1)反映所有准备(例如，未付利息的准备)的总额；(2)不包括银行账户上出售证券实现的利润(或损失)；(3)不包括特殊项目以及保险收入。,标准法,在标准法中，银行的业务分为8个产品部门：公司金融(corporatefinance)、交易和销售(trading&sales)、零售银行业务(retailbanking)、商业银行业务(commercialbanking)、支付和清算(payment&settlement)、代理服务(agencyservices)、资产管理(assetmanagement)和零售经纪(retailbrokerage)。在各产品部门中，总收入是个广义的指标，代表业务经营规模，因此也大致代表各产品线的操作风险暴露。计算各产品部门资本要求的方法是，用银行的总收入乘以一个该产品部门适用的系数(用值表示)。值代表行业在特定产品部门的操作风险损失经验值与该产品部门总收入之间的关系。应注意到，标准法是按各产品部门计算总收入，而非在整个机构层面计算，例如，公司金融指标采用的是公司金融业务产生的总收入。,标准法,总资本要求是各产品线监管资本的简单加总。总资本要求如下所示：KTSA=(GI1-8x1-8)其中:KTSA=用标准法计算的资本要求；GI1-8=按基本指标法的定义，8个产品线中各产品线过去三年的年均总收入；1-8=由委员会设定的固定百分数，建立8个产品线中各产品线的总收入与资本要求之间的联系。值详见下表：,第二次定量影响测算（QIS2）调查结果中离差,高级计量法(AMA),内部衡量法（IMA）损失分布法（LDA）极值原理法（EVT）贝叶斯网络法（BBN）记分卡法（SCA）,高级计量法是指，银行用定量和定性标准，通过内部操作风险计量系统计算监管资本要求。使用高级计量法应获得监管当局的批准。鉴于操作风险计量方法处于不断演进之中，巴塞尔委员会不规定用于操作风险计量和计算监管资本所需的具体模型。,高级计量法模式,操作风险度量中的数据问题,操作风险损失数据库内、外操作损失数据我国商业银行操作损失数据搜集,操作损失数据库的类型,第一类数据库的资料来源于公开披露的操作损失数据，即此类数据库由达到一定金额（阀值）而需向公众披露的损失数据组成。典型代表OpVar数据库。第二类操作损失数据库：建立在银行公会基础上的，在一定的保密原则下，通过签订协定，银行将其内部损失数据提交给银行公会以建立数据库。作为回报，参与其中的银行可利用其中数据补充自身内部数据。典型代表全球操作损失数据库（GOLD）。,操作损失数据库的类型,操作风险ORX（操作风险数据交流）项目是另一类型的数据库，其数据收集始于2002年1月，以对现有商业数据专业分析为基础。参与银行按一定标准提交数据；托管人按客户要求将数据匿名化、整理和标准化；管理机构操作风险将数据合并，按客户的需求进行分析并提供报告。之后，经过比例调整或其它的处理后，管理机构提供标准报告。最后，参与银行根据业务部门和或区域和或损失事件接收数据。相对而言，操作风险ORX数据库的运作更为严格，它还需要对数据的调整和校验。如果一家银行想成为操作风险ORX协会的会员，这家银行必须论证自己有足够的收据搜集能力。2003年，包括花旗集团、高盛、瑞士信贷第一波士顿、美洲银行、摩根大通、雷曼兄弟、美林、摩根士丹利以及瑞士银行在内的20家全球最大的金融机构已开始组建名为全球监管信息数据库。这个数据库利用了全球2万多个信息来源和数据库，其中包括过去30年美国监管机构所采取的惩戒措施，这些监管机构包括证交会、全美证券交易商协会和纽约证交所等。,数据库的损失数据分析,取自OpVantage（）网站，给出的是10多年内损失金额大于100万美元的7000多起损失事件的全部损失（总金额达2720亿美元）。,操作风险损失数据库的局限性,可审计性：提交操作损失数据库的数据并非都经过独立的外部审计，如果这些数据出现在银行财务报表中，那么它们应该是经过审计的，或至少是可以被审计的。但并非所有数据都是如此。管理标准：数据库中的数据并不总是可比的，因为它是汇集了全行业的数据。银行间管理和监控标准各异，管理质量也不尽相同。起点标准：对于报告起点的选择也会影响数据的数量及其准确性。选择起点时，既要考虑数据库的所有使用者，也要依据数据提供者和损失的不同而不同。,内、外损失数据结合,多数银行才开始内部操作损失数据的搜集，还未建立起内部操作损失数据库，已经建立起来的数据库中的损失事件多数为高频、低额的。内部操作数据的不足使得各银行难以精确计算操作风险资本要求，尤其是对于高额低频的事件类型。使用外部数据度量操作风险会产生内外数据的不同质、扩大规模问题和缺乏兼容性等一系列问题。外部数据库一般只记录极端损失，即损失额最高的部分（公开披露的部分），并且没有经过严格的统计处理。这样综合了内部数据与外部数据进行的损失分布估计会偏向于高额损失，因而计算出来的操作风险资本要求会严重高估。,内、外损失数据比较,外部数据的处理,定量方法：直接将外部数据导入模型。对于内部数据中很少（或没有）高额损失的损失类型，美国银行和花旗银行的员工使用外部数据来估计其操作风险暴露。定性方法，引入外部数据加强讨论。大通曼哈顿银行要求其风险管理人员根据业务部门对应的外部数据来模拟可能的高额损失。可以想象，如果某种高额损失过去10年中在多家银行发生，经理就很难再假定在其部门发生的概率为0.1%。,国内银行所做的操作数据搜集,20022003年，在银行监管部门的组织下，国家开发银行、中国工商银行、中国银行、中国建设银行和中信实业银行参加了巴塞尔委员会推行的“第三次定量影响测试”（QIS3），向巴塞尔委员会提供了数据，测算了新协议中操作风险对各行资本充足率的影响。2004年，中国工商银行出台了操作风险管理框架，并将其作为中国工商银行全面风险管理框架的一部分，这标志着工商银行在我国金融系统内第一家正式将操作风险的监督管理纳入具体议事日程。2004年开展了全行操作风险情况问卷调查。,国内银行所做的操作数据搜集,2004年6月，中国建设银行按照巴塞尔新资本协议对操作风险的定义和分类，在全行开展了1998年至2003年的操作风险损失事件调查。形成了建行操作风险损失事件调查数据分析报告，全面、系统地总结了建行操作风险管理状况并提出相关建议。2004年，中国银行通过独立稽核体系，针对各级机构的经营状况和风险特点，对14个一级分行（稽核覆盖面44%），219个二级分行（稽核覆盖面77%），821个城区支行（稽核覆盖面54%），625个县支行（稽核覆盖面45%），4个信息中心（稽核覆盖面50%）和22个境外机构（稽核覆盖面81%）进行稽核，完成专项稽核1357个（其中经济责任稽核1070个），个案调查109个。,中国商业银行操作风险实证度量,操作风险水平度量操作风险的微观效应,业务部门损失事件数目与损失金额,不同类型损失事件数目与损失金额,年度损失事件数目与损失金额,损失分布法（LDA）流程,操作风险损失金额分布图,操作风险的微观效应商业银行操作损失事件披露对市值的影响,上市银行操作损失统计度量方法实证结果结论,上市银行披露的作为被诉方的案件（万元）,损失事件披露与股价、市值波动,操作损失事件披露日股价及市值波动,操作损失事件披露次日股价及市值波动,研究方法：三因子报酬确定模型（three-factorreturngeneratingmodel）,不同窗口区间内的异常收益表,上市银行规模、TobinQ值和累计异常收益,结论分析,事件分析法结果显示银行股价同操作损失事件存在显著的负相关。结果显示股价对操作损失的变化显著高于操作损失本身金额的，表明此类事件除了本身损失的金额外还对银行未来的现金流产生负面预期影响。对于TobinQ值较高的银行，股价波动更大。,内部控制与操作风险,内部控制基本原理我国商业银行内部控制制度的缺陷我国商业银行内部控制体系设计,内部控制基本原理,内部控制是以一定的内部控制环境为背景，对风险进行识别、评估并实施各种控制措施，而监督评价与纠正体系则是在信息交流的基础上，对其控制过程不断进行评价与调整。,我国商业银行内部控制制度的缺陷,内部控制理念缺乏内部控制制度设计不完善内部控制执行不力信息交流渠道缺乏,我国商业银行内部控制体系设计,操作风险管理（ORM）体系,操作风险管理框架操作风险缓释机制商业银行操作风险管理实践我国商业银行操作风险管理体系的构建,操作风险管理定义：旨在评估、度量和控制银行由于内部程序、人员及系统或外部事件而导致的总体程序。,操作风险管理框架,操作风险管理战略操作风险管理流程操作风险管理基础设施操作风险管理环境,操作风险管理框架图,操作风险管理战略,风险偏好风险战略的核心内容业务目标风险政策,操作风险管理流程,操作风险管理基础设施,操作风险管理组织架构风险数据和信息系统度量技术政策与程序,美国花旗集团操作风险管理架构图,操作风险缓释机制,操作风险缓释的涵义保险缓释业务外包,操作风险缓释的涵义,操作风险缓释是指金融机构采取如抵押、担保、金融衍生品等风险缓释工具，或者采取保险、融资等手段所实施的风险转移技术。,操作风险分布与缓释策略,操作风险管理选择策略,保险缓释,保险范围保险赔付巴塞尔委员会对保险的处理方法标准,高级计量法允许银行出于计算最低监管资本的需要，在计量操作风险时认可保险的风险缓释影响。保险的缓释作用不超过操作风险总资本要求的20%。,保险范围,银行可以为操作风险事件购买保险。原则上，保险是资本的直接替代。由于存在信息不对称，对保险公司来说，要区分高风险的银行和低风险的银行可能很难或者成本很高。为了缓解道德风险的影响，保单通常包含一项扣减。扣减意味着部分风险没有得到保险。保单还可能包含一个责任上限，它可以使银行有管理风险的激励，但也同样意味着部分风险没有得到保险。由此可见，银行通过保险替代资本和内部控制的程度是有限的。保险还具有促进风险管理的间接作用。保险的存在能使保险者与被保险者合作，监控并尽力降低风险。这种做法能够减少风险暴露。,保险赔付,即使银行购买了保险，但仍可能有保险公司不履行它们的责任。更加严重的问题来自于保险公司延迟赔付。对于急需得到赔付资金缓解流动性困难的银行来说，这个问题尤其受到关注。巴塞尔委员会尝试通过量化冲击研究（QuantitativeImpactStudy，QIS）收集