风险管理讲义第5章.doc

风险管理精讲班第20讲课件讲义（环球职业教育在线） 风险管理精讲班第20讲讲义 第五章操作风险管理 5.1 操作风险识别 巴塞尔委员会将操作风险定义为“由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险”。本定义所指操作风险包括法律风险，但不包括声誉风险和战略风险。 本节从人员因素、内部流程、系统缺陷和外部事件四个方面对操作风险形成的原因、损失种类及特征进行分析。 5.1.1 人员因素 操作风险的人员因素主要是指因商业银行员工发生内部欺诈、失职违规，以及因员工的知识/技能匮乏、核心员工流失、商业银行违反用工法等造成损失或者不良影响而引起的风险。 1. 内部欺诈 内部欺诈是指员工故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失。 2. 失职违规 商业银行内部员工因过失没有按照雇用合同、内部员工守则、相关业务及管理规定操作或者办理业务造成的风险，主要包括因过失、未经授权的业务或交易行为以及超越授权的活动。员工越权行为包括滥用职权、对客户交易进行误导或者支配超出其权限的资金额度，或者从事未经授权的交易等，致使商业银行发生损失的风险。商业银行应对员工越权行为导致的操作风险予以高度关注。 3. 知识/技能匮乏 在工作中，自己意识不到缺乏必要的知识，按照自己认为正确而实际错误的方式工作； 意识到自己缺乏必要的知识，但是由于颜面或者其他原因而不向管理层提出或者声明其无法胜任某一工作或者不能处理面对的情况； 意识到本身缺乏必要的知识，并进而利用这种缺陷。 4. 核心雇员流失 核心雇员流失体现为对关键人员依赖的风险，包括缺乏足够的后援/替代人员，相关信息缺乏共享和文档记录，缺乏岗位轮换机制等。 5. 违反用工法 违反用工法是指违反就业、健康或安全方面的法律或协议，包括劳动法、合同法等，造成个人工伤赔付或因性别/种族歧视事件导致的损失。 5.1.2 内部流程 内部流程引起的操作风险是指由于商业银行业务流程缺失、设计不完善，或者没有被严格执行而造成的损失。 1 财务/会计错误 2 文件/合同缺陷。主要表现为抵押权证、房产证丢失等。 3 产品设计缺陷 4 错误监控/报告。错误监控/报告是指商业银行监控/报告流程不明确、混乱，负责监控/报告的部门的职责不清晰，有关数据不全面、不及时、不准确，造成未履行必要的汇报义务或者对外部汇报不准确（发生损失）。 5 结算/支付错误 6 交易/定价错误 5.1.3 系统缺陷 系统缺陷引发的操作风险是指由于信息科技部门或服务供应商提供的计算机系统或设备发生故障或其他原因，商业银行不能正常提供部分、全部服务或业务中断而造成的损失。 1 数据/信息质量 2 违反系统安全规定 3 系统设计/开发的战略风险 4 系统的稳定性、兼容性、适宜性 5.1.4 外部事件 1外部欺诈/盗窃 外部欺诈是指外部人员故意骗取、盗用财产或逃避法律而给商业银行造成损失的行为，包括外部的盗窃、抢劫、涉枪行为；伪造、变造多户头支票，骗贷等欺诈行为。该类风险是给商业银行造成损失最大、发生次数最多的操作风险之一。 2洗钱 3政治风险 4监管规定 5业务外包 6自然灾害 7恐怖威胁 操作风险事件类型 巴塞尔委员会规定的可能造成实质性损失的操作风险事件类型： （1） 内部欺诈； （2） 外部欺诈； （3） 员工行为和工作场所问题； （4） 客户、产品和经营行为； （5） 实物资产的损毁； （6） 经营的中断和系统的瘫痪； （7） 执行、交货和流程管理。 5.2操作风险计量及经济资本配置 巴塞尔委员会根据目前商业银行的实际做法，在巴塞尔新资本协议中为商业银行提供三种可供选择的操作风险经济资本计量方法，即基本指标法、标准法和高级计量法。这三种计算方法在复杂性和风险敏感性上是逐渐增强的，那些操作风险管理仍处于较低水平的、尚未达到量化阶段的商业银行可以选择较为简单的基本指标法和标准法，我国商业银行也可以由此开始。不过商业银行采取基本指标法和标准法计算操作风险资本金只是过渡阶段的选择，一方面，这两种方法是针对操作风险较低的商业银行设计的；另一方面，高级计量法的风险敏感度更高，采用这种方法更能反映商业银行操作风险的真实状况，因此包括中国银行业在内的所有商业银行均应努力向高级计量法靠近。 5.2.1 基本指标法 资本计算公式如下： 其中： KBIA表示基本指标法需要的资本； GI表示前三年中各年为正的总收入； n表示前三年中总收入为正数的年数； ，这个固定比例由巴塞尔委员会设定，将行业范围的监管资本要求与行业范围的指标联系起来。 巴塞尔委员会会把总收入定义为：净利息收入加上非利息收入，不包括银行账户上出售证券实现的盈利，不包括保险收入。 由于基本指标法比较简单，巴塞尔新资本协议中未对采用该方法提出具体标准。但是，巴塞尔委员会鼓励采用此方法的商业银行遵循委员会于2003年2月发布的操作风险管理和监管的稳健做法。 5.2.2 标准法 标准法的原理是，将商业银行的所有业务划分为8类产品线，对每一类产品线规定不同的操作风险资本要求系数，并分别求出对应的资本，然后加总8类产品线的资本，即可得到商业银行总体操作风险资本要求。 在标准法中，8类银行产品线分别为公司金融、交易和销售、零售银行业务、商业银行业务、支付和结算、代理服务、资产管理和零售经济。 在标准法中，总资本要求是各产品线监管资本的简单加总，其计算公式如下： 其中： 表示标准法计算的资本要求； 表示8类产品线中各产品线过去3年的年均总收入； 表示由巴塞尔委员会设定的固定百分数。 巴塞尔委员会提出，未具备使用标准法的资格，商业银行必须至少满足如下条件： 董事会和高级管理层应当积极参与监督操作风险管理架构； 银行应当拥有完整且确实可行的操作风险管理系统； 银行应当拥有充足的资源支持在主要产品线上和控制及审计领域采用该方法。 5.2.3 高级计量法 高级计量法是指商业银行在满足巴塞尔委员会提出的资格要求以及定性和定量标准的前提下，通过内部操作风险计量系统计算监管资本要求。使用高级计量法需得到监管当局的批准，且一旦商业银行采用了高级计量法，未经监管当局批准不可退回使用相对简单的方法。 业界比较流行的高级计量法主要有内部横量法、损失分步法、以及记分卡等。 巴塞尔委员会对实施高级计量法提出了具体标准。 （1） 资格要求 （2） 定性标准。商业银行必须设置独立的操作风险管理岗位，负责设计和实施商业银行的操作风险管理框架。 （3） 定量标准。商业银行在开发系统的过程中，必须有操作风险模型开发和模型独立验证的严格程序。 （4） 内部数据要求。无论用于损失计量还是用于验证，商业银行必须具备至少5年的内部损失数据。对初次使用高级计量法的商业银行，允许使用3年的历史数据。 （5） 外部数据要求。商业银行的操作风险计量系统必须利用相关的外部数据，尤其是预期将会发生非经常性、潜在的严重损失时，商业银行必须建立标准的程序，规定在什么情况下必须使用外部数据以及使用外部数据的方法。 （6） 业务经营环境和内部控制因素 风险管理精讲班第21讲课件讲义（环球职业教育在线） 风险管理精讲班第21讲讲义 5.3操作风险评估与控制 5.3.1 风险评估与控制环境 1公司治理 良好的公司治理目标： 完善股东大会、董事会、监事会及其下设的议事和决策机构，建立议事规则和决策程序； 明确董事会和董事、监事会和监事、高级管理层和高级经理人员在组织管理中的责任； 建立独立董事制度，对董事会讨论事项发表客观公正的意见； 建立外部监视制度，对董事会、董事、高级管理层及其成员进行监督。 董事会、监事会和高级管理层及内部相关部门在防范和控制操作风险方面所承担的职责。 2内部控制 健全的内部控制体系是商业银行有效识别和防范操作风险的重要手段。加强内部控制建设是商业银行管理操作风险的基础，巴塞尔委员会认为，资本约束并不是控制操作风险的最好方法，对付操作风险的第一道防线是严格的内部控制。 3合规管理文化 目前，违规、内部欺诈等损失事件在我国商业银行操作风险中占比超过80%，这说明我国商业银行内部控制存在的最严重问题是制度的遵循性，也就是内部控制的符合性或者合规性问题。 健康有效的合规管理文化至少包括以下几方面的内容： 一是要树立正确的合规管理理念；二是加强管理层的驱动作用；三是充分发挥人的主导作用；四是创建学习型组织。 4信息系统 商业银行信息系统包括主要面向客户的业务处理系统和主要供内部管理使用的管理信息系统。 5.3.2 风险评估要素、原则和方法 1风险评估要素 一是内部操作风险损失事件数据。内部操作风险损失数据收集是商业银行对内部操作风险损失事件形成的损失信息记录、汇总、分析的过程。操作风险损失数据的收集要遵循客观性、全面性、动态性、标准化的原则。 客观性 全面性 动态性 标准化 （1）损失数据收集的内容 总损失数额信息； 损失事件发生的时间、发生的单位信息； 总损失中收回部分信息； 损失事件发生的主要原因的描述信息（描述信息的详细程度应与总损失规模相称）。 （2）损失数据收集的流程 （3）损失数据收集的步骤 二是外部数据。由于那些可能危及商业银行安全的低频率、高损失事件是很稀少的，所以，必须利用相关的外部数据（无论是公开数据还是行业整合数据）来解决多数商业银行评估操作风险时因内部损失数据有限、样本数过少而导致统计结果失真的问题。 使用外部数据必须配合采用专家的情景分析，求出严重风险事件下的风险暴露。 三是业务环境和内部控制因素。 为了满足监管资本的要求，商业银行在风险计量框架中使用这些因素时，须符合以下标准； 要将每一个因素调整为有意义的风险要素，应基于实际经验，并征求专家对相关业务领域的意见。 在风险评估中，商业银行对这些因素变动的敏感度和不同因素相对权重的设定必须合理。 该框架及各种实施情况，包括针对实际评估作出调整的理由，都应当有文件支持，并接受商业银行内部和监管当局的独立审查。 2风险评估原则 由表及里原则。具体可以划分为：非流程风险、流程环节风险和控制派生风险。 自上而下原则。 从已知到未知原则。 3风险评估方法 操作风险识别与评估的主要方法包括自我评估法、损失事件数据方法和流程图等。其中，运用最广泛、方法最成熟的自我评估法被称为操作管理的三大基础管理工具之一。 （1）自我评估法的原则 自我评估法就是在商业银行内部控制体系的基础上，通过开展全员风险识别，识别出全行经营管理中存在的风险点，并从损失金额和发生概率两个角度来评估风险大小。 自我评估的主要目标是鼓励各级机构承担责任及主动对操作风险进行识别和管理。 （2）自我评估的作用 （3）自我评估的工具和方法 （4）自我评估的工作流程 第一阶段：全员风险识别与报告。 第二阶段：作业流程分析和风险识别与评估。作业流程分析和风险识别与评估是进行控制措施识别与评估的基础和前提。 第三阶段：控制活动识别与评估。 第四阶段：制定与实施控制优化方案。自我评估的最终目的是优化控制措施，解决没有控制、控制不足以及控制过度问题。 第五阶段：报告自我评估工作和日常监控。 5.3.3主要业务风险控制 1柜台业务 柜台业务泛指通过商业银行柜面办理的业务，是商业银行各项业务操作的集中体现，也是最容易引发操作风险的业务环节。柜台业务范围较广，包括账户管理、存取款、现金库箱、印押证管理、票据凭证审核、会计核算、帐务处理等各项操作。 （1）主要操作风险点 账户开立、使用、变更与撤销； 现金存取款； 柜员管理； 重要凭证和重要物品管理； 现金库箱管理； 平账和账务核对； 抹账、错账冲正、挂账、挂失业务。 （2）操作风险成因 （3）操作风险控制要点 完善规章制度和业务操作流程，不断细化操作细则，并建立岗位操作规范和操作手册，通过制度规范来防范操作风险。 加强业务系统建设，尽可能将业务纳入系统处理，并在系统中自动设立风险监控要点，发现操作中的风险点能及时提供警示信息。 加强岗位培训，特别是新业务和新产品培训，不断提高柜员操作技能和业务水平，同时培养柜员岗位安全意识和自我保护意识。 强化一线实施监督检查，促进事后监督向专业化、规范化迈进，改进检查监督方法，同时充分发挥各专业部门的指导、检查和督促作用。 严格执行各项柜台业务规定。 2法人信贷业务 法人信贷业务是国内企业/机构类业务最重要的部分，也是国内商业银行最主要的商业银行业务。法人信贷业务是商业银行经营的以企业/机构客户为服务对象的信贷业务，包括法人客户贷款业务、贴现业务、商业银行承兑汇票等业务。按照法人信贷业务的流程，可分为评级授信、信贷调查、信贷审查、信贷审批、贷款发放、贷后管理六个环节。 （1）主要操作风险点 评级授信 信贷调查 信贷审查 信贷审批 信贷放款 贷后管理 （2）操作风险成因 （3）操作风险控制要点 牢固树立审慎稳健的信贷经营理念，坚决杜绝各类短期行为和粗放管理。 倡导新型的企业信贷文化。 改革信贷经营管理模式。 明确主责任人制度。 加快信贷电子化建设。 提高信贷从业人员综合素质。 把握关键环节。 提高法律介入程度。 3个人信贷业务 （1）主要操作风险点 个人住房按揭贷款 个人大额耐用消费品贷款 个人生产经营贷款 个人质押贷款 （2）操作风险成因 （3）操作风险控制要点 牢固树立个人信贷业务科学发展观。 实行个人信贷业务集约化管理。 优化产品结构，改进操作流程。 加强规范化管理。 切实做好个人信贷贷款前调查、贷时审查、贷后检查各个环节的规范操作，防范信贷业务操作风险。 强化个人贷款发放责任约束机制。 4资金交易业务 资金交易业务是商业银行中间业务的一类，指商业银行为满足客户保值或提高自身资金收益或防范市场风险等方面的需要，利用各种金额工具进行的资金和交易活动，包括资金管理、资金存放、资金拆借、债券买卖、外汇买卖、黄金买卖、金融衍生产品交易等业务。从资金交易业务流程来看，可分为前台交易、中台风险交易、后台清算三个环节。 （1）主要操作风险点 前台交易 中台风险管理 后台结算清算 （2）操作风险成因 （3）操作风险控制要点 树立全面全程的风险管理理念。 建立并完