银行稽核部内控总稽核：basel_和_coso_与商业银行操作风险管理

Basel 和 COSO 与商业银行操作风险管理,银行稽核部内控总稽核,1,Basel 和 COSO 与商业银行操作风险管理,目 录Basel和COSO（操作）风险管理理念的差异目前存在的困惑和问题企业风险和操作风险的概念银行业操作风险管理思路的探索,2,Basel 和 COSO 与商业银行操作风险管理,第一部分Basel和COSO（操作）风险管理理念的差异,3,Basel和COSO（操作）风险管理理念的差异,4,Basel 和 COSO 与商业银行操作风险管理,第二部分目前存在的困惑和问题,5,目前存在的困惑和问题,问题：操作风险的本质是什么？如何在定义中反映其本质特征？操作风险计量和管理的对象是什么？操作风险是否包括外部事件或者欺诈舞弊等人为因素导致的负面影响？操作风险管理是否直接创造收益,还是仅减少损失？,6,目前存在的困惑和问题,问题之一操作风险概念的争论,7,操作风险概念的争论,操作风险浮出水面20世纪90年代以来，一些全球顶尖的商业银行纷纷爆出惊天大案，有的银行甚至因此从人们的视线中消失。1995年，巴林银行驻新加坡外汇交易员里森违规进行未授权及隐匿的期权和期货交易，并隐藏亏损，最终导致享誉全球的巴林银行倒闭。1996年，日本大和银行纽约分行员工井口俊英帐外买卖美国联邦债券，并伪造文件隐瞒亏损，在11年间有三万多笔交易未经授权，造成11亿美元的损失，最后不得不全面从美国撤退，并与住友银行合并。2002年，联合爱尔兰银行员工John Rosnak为了弥补原先投资公私股票损失而伪造交易单，希望借远期外汇交易弥补损失，结果越陷越深，给银行造成7.5亿美元的损失。,8,操作风险概念的争论,巴赛尔新资本协议定义：操作风险是指由不完善或失灵的内部程序、人员及系统或外部事件所造成损失的风险。本定义包括法律风险，但不包括策略风险和声誉风险(strategic and reputational risk)。英国银行家协会（BBA）定义：操作风险指按照人的因素、流程、系统和外部事件等操作风险产生的四个主要来源对操作风险进行界定。全球风险专业人员协会（GARP）定义：操作风险是与业务相联系的风险，可以分为两个部分：操作失败风险和操作战略风险。三十国集团的定义：由于不完善的系统及控制、人员失误、管理失败所导致损失的风险。,9,操作风险概念的争论,巴塞尔委员会关于操作风险的详细界定,10,操作风险概念的争论,英国银行家协会关于操作风险的界定,11,操作风险概念的争论,英国银行家协会关于操作风险的界定（续）,12,目前存在的困惑和问题,问题之二操作风险计量的现实困难与理论困惑,13,操作风险计量的现实困难与理论困惑,Basel关于计提操作风险所需资本的方法,14,操作风险计量的现实困难与理论困惑,基本指标法 KBIA = (GI1n )/n式中：KBIA - 基本指标法需要的资本 GI - 前三年中正的总收入的平均值 n - 过去三年总收入为正的年度数量 - 15%是总收入与资本要求之间的关系,15,操作风险计量的现实困难与理论困惑,标准法 KTSA =years1-3max(GI1-81-8),0/3式中：KTSA-是标准法计算的资本要求； GI1-8 -是公司融资、交易和销售、零售业务、商行业务、支付清算、代理服务、资产管理和零售经纪等8类产品线中每个产品线过去三年的年均收入； 1-8 -是8个产品线中各产品线的总收入与资本要求之间的关系，在12%-18%之间。,16,操作风险计量的现实困难与理论困惑,高级计量法（内部模型法） EL = EIPELGE式中：预期损失(EL) Expected Loss 风险暴露（EI) Exposure Indicator 损失发生概率（PE) Probability of Loss Event 损失事件金额（LGE) Loss Given that Event,17,操作风险计量的现实困难与理论困惑,Basel在规范操作风险的计算方法中给出了三种方法，可是，前两种指标法和标准法并不是计量损失的方法，而是为防范商业银行操作风险所需资本的计提方法。这虽然解决了目前因为数据原因而无法准确计量风险损失给计提资本带来的影响，但是,这两种方法对于操作风险管理过程却没有什么实质意义。国际上另一大风险管理组织COSO委员会虽然在风险计量技术方面落后于Basel委员会，但其更加注重对风险的过程管理，强调通过四个目标和八个要素对企业实施全面的风险管理。,18,操作风险计量的现实困难与理论困惑,COSO委员会利用银行业对操作风险的传统评估方法提出了对企业内部风险进行评估的计算方法，即： 固有风险 风险管理（控制质量） = 剩余风险 在这个公式中不仅有风险本身，还有以风险为管理对象的管理体系和管理行为，以及施加管理后的效果。从这个风险评估公式中我们可以比较清楚地看到COSO管理委员会的风险管理理念，其一，风险管理是一个非线性过程；其二，风险并不因为有了管理而被消灭；最后，剩余风险即是风险管理的结果，又是下一步风险管理对象。应该说，在目前尚无法解决银行内部风险损失计量的情况下，上述风险评估方法是比较切合实际的风险管理方法。,19,操作风险计量的现实困难与理论困惑,然而，上述评估方法及公式仍存在着较为明显的缺陷。最为明显的在于公式本身并不能用于实际评估计算。我们知道: 固有风险（Inherent Risk）是指在不考虑任何风险控制措施下，业务本身客观存在的原始风险。无论对风险的定义是“损失”还是“收益”，对风险定量的最基本单位都应是金额。 风险管理或控制质量（Control Quality）是指商业银行针对固有风险建立的管理体制、制度安排和管理效力，暨企业内部控制机制的适当性和有效性，是商业银行对内部风险实施管理和控制所采取措施的力（强）度。因此，对控制质量定量的最基本单位显然不能是金额，只能是分数值或是一种模糊概念如强、中、弱等。 “固有风险” 和” 控制质量” 是两个内涵不同、定量单位不一的非同类项，非同类项之间是无法相减的。,20,Basel 和 COSO 与商业银行操作风险管理,第三部分企业风险和操作风险的概念,21,企业风险和操作风险的概念,国际内部审计师协会定义： 风险是一个事件、行动或不行动对相关的组织或活动可能产生不利影响的可能性。换句话说，就是不利事情发生的可能性。,22,企业风险和操作风险的概念,风险的概念-定义 风险是指因可能的损失而导致预期收益的不确定性。,23,企业风险和操作风险的概念,企业风险是指企业在运营过程中面临的所有影响企业经营目标的不确定性，如环境风险、运营风险和信息风险等。 一个企业的运营分为内部运作和外部营销两个部分，内部运作是基础，是企业产品价值增值的动力。外部营销（在营销产品的同时营销自己）离不开市场环境，企业通过外部市场获取必要的生产资料（人、财、料）并最终实现企业的经营目标。,24,企业风险和操作风险的概念,企业在内部运作和外部营销过程中面临着来自内外两个方面的影响。即引起企业损失的原因有两个（成因分析)： 外部（原因）风险更多的表现为市场中交易对手的风险； 内部（原因）风险是企业内部运作过程中发生的风险，但对企业的外部形象产生影响，如策略风险、合规风险等。,25,企业风险和操作风险的概念,企业风险的定义： 由于来自内/外部原因可能引起的损失而导致企业经营目标的不确定性。 外部风险是指由于环境、交易对手和信息等原因而导致企业经营目标的不确定性。由于企业是社会生产环节的一部分，企业要维持其生存和发展就离不开市场这样的社会环境。因此，企业在日常经营活动中将会面临来自企业外部的诸多风险。如环境风险、交易对手风险和信息风险等。 内部风险是指由于企业内部主客观原因而导致（发生）偏离或未达到企业经营目标的不利事件的可能性。,26,企业风险和操作风险的概念,主观原因导致的内部风险是指人为因素故意为之，如内部欺诈、舞弊行为等，其结果一般都会给企业带来直接的经济损失。 客观原因导致的风险主要是指由于主观认识局限性等非主观意愿而出现的决策失误和管理失败及工作疏忽等操作风险，这类失误或失败给企业带来的不一定都是直接的经济损失，有相当一部分是对企业形象或声誉方面的间接损失。 但无论是主观还是客观原因出现的内部风险都是对企业经营目标的反动，企业的所有决策、行动都是朝着企业既定的经营目标努力的，而欺诈和舞弊等主观原因引起的内部风险则是朝着相反的方向用力；即使是客观原因引起的操作风险也会使企业的努力受到衰减。,27,企业风险和操作风险的概念,操作风险定义： 由于人的主观认识局限性而导致反向偏离预期目标的可能性 。 从范围上讲，操作风险可能随时发生在企业内部运作或外部营销过程中的所有管理和经营活动之中。,28,企业风险和操作风险的概念,29,企业风险和操作风险的概念,区别内部风险与操作风险的意义：两者的性质上加以区别，前者包括了违法行为，而后者仅仅是一种工作上的失误。在明确了性质后可以从管理上增强不同管理部门的职能，加强了管理的针对性。在管理技术和方法上应该区分损失和失误等不同的处理模式。在对人员的处理上前者已经触犯了刑律自然是要开除公职追究其刑事责任，而后者需要分析具体情况定之。,30,Basel 和 COSO 与商业银行操作风险管理,第四部分银行业操作风险管理思路的探索,31,银行业操作风险管理思路的探索,32,银行业操作风险管理思路的探索,归纳起来，上表所列各监管要求，从总体上反映的都是Basel巴塞尔新资本协议和COSO企业风险管理整合框架关于风险管理和内部控制方面的要求。Basel巴塞尔新资本协议主要侧重操作风险计量，但前两种指标法和标准法并不是计量损失的方法，而是为防范商业银行操作风险所需资本的计提方法，只有高级计量法提出了计量操作风险损失的方法，旨在促进商业银行不断摸索高级计量法以提高自身防范操作风险的能力，但对如何加强操作风险管理的论述却略显不足。而COSO企业风险管理整合框架弥补了这一缺陷，其强调通过四个目标和八个要素对企业实施全面的风险管理。 在这种情况下，我们可以根据Basel和COSO的管理理念，将两种要求与方法合二为一，通过风险评估和内控评价对流程和环节的梳理解决高级计量法采集数据的问题，并实现商业银行内部风险（操作风险）管理的路径和统一问题。,33,一、内部风险评估的概念 商业银行对内部风险进行评估是指通过定性和定量分析对企业内部风险(客观事物)的影响和可能性进行预测、对企业内部控制体系的制度安排和管理效力（主观行为）进行判断的过程，并就后者作用于前者之后的后果给予结论。风险评估的主要目的在于及时、全面、准确地了解企业内部风险及风险管理和内部控制状况，掌握自身的缺点和不足，及时堵塞管理上的漏洞；在提升企业内控管理水平的同时，进一步推进和完善企业全面风险管理体系的建设。,银行业操作风险管理思路的探索,34,银行业操作风险管理思路的探索,风险评估工作的范围涵盖整个商业银行各个级别层面，各个业务领域。从机构范围上说，风险评估工作应覆盖商业银行所有境内外机构。境内机构包括总行本部、一级分行/总行直属分行、二级分行/一级分行直属支行、二级分行以下经营性机构等；境外机构包括所有海外分行和下属支行。从业务分类方面看，风险评估工作应覆盖商业银行所有业务条线。风险评估工作的时间范围应与企业绩效考核的时间范围相一致。 风险评估的评估对象是商业银行的业务条线、业务产品线和各层级机构。单个机构的单个业务条线是风险评估方法所设定的最基础的评估对象。风险评估工作首先是要评估单个机构单个业务条线的风险值，在此基础上，将单个机构单个业务条线的风险值汇总形成业务条线、业务产品线和各层级机构的风险值。,35,银行业操作风险管理思路的探索,二、内部风险评估方法 根据COSO委员会提出的风险评估基本原理，风险评估需要对内部风险（固有风险）和内部控制体系（控制质量）分别进行评级与评价，从而得出剩余风险。1、固有风险的评级方法 根据COSO的概念，固有风险发生风险后的影响可能性 （1） 但是，COSO没有给出这个公式进一步的计算方法，我们知道当风险发生后所产生的影响就是风险所导致的后果，它应该等于该项业务风险暴露的数值与风险发生时损失比率的乘积，即: 发生风险后的影响 = 风险暴露事件损失比率 （2）,36,银行业操作风险管理思路的探索,根据Basel中操作风险高级计量法（内部模型法）的理念，将（2）式代入（1）式： 固有风险发生风险后的影响可能性 风险暴露事件损失比率损失发生概率（可能性） 预期损失(EL) 即：银行某一业务机构/条线因内部风险而导致的损失我们称为该机构/条线的固有风险可能产生的预期损失，即： EL = EIPELGE 预期损失(EL) Expected Loss 风险暴露（EI) Exposure Indicator 损失发生概率（PE） Probability of Loss Event 事件损失比率（LGE） Loss Given that Event,37,银行业操作风险管理思路的探索,上述方法由于前文所提原因，目前尚难以实现。然而，Basel对操作风险计提资本的标准法为我们提供了解决问题的另一个思路。根据“收益的波动性（对于企业而言）就是风险”这一理念，Basel在标准法中按照银行的年收入来确定操作风险损失所需要计提的资本。标准法先将银行的所有业务划分为八个产品线，对每个产品线规定不同的操作风险资本要求系数，并分别求出对应的资本，然后把各产品线的资本加总，即可得到银行总体操作风险资本要求。 KTSA= years1-3max(GI1-81-8),0/3 式中： KTSA-是标准法计算的资本要求； GI1-8 -是公司融资、交易和销售、零售业务、商行业务、支付清算、代理服务、资产管理和零售经纪等8类产品线中每个产品线过去三年的年均收入； 1-8 -是8个产品线中各产品线的总收入与资本要求之间的关系，在12%-18%之间。 在Basel标准法中，用收入和业务风险性质的重要性来决定产品线应计提的风险资本。其中，衡量收入的指标是各产品线过去三年的年均总收入，反映业务性质重要性的因子是系数。,38,银行业操作风险管理思路的探索,根据上述原理，我们可以在商业银行内部资金价格转移系统和内部分润机制尚未完整的情况下，以业务规模、收入比率和业务风险性质等因素作为衡量商业银行不同业务条线固有风险的指标。具体而言，就是以各业务条线全年收入与固有风险系数（与系数一致）的乘积得到该业务条线的固有风险值。基本计算公式如下：业务条线固有风险 = 该业务条线全年收入 该业务条线对应的固有风险系数（1218） 对于难以确定全年收入的业务条线，如资产或负债类业务，可以先计算出该业务条线大致的收益比率或收益折算系数（平均收益率或主要收益率），再用业务量乘以收益折算系数得出业务收入。即：资产或负债类业务收入 业务量 收益折算系数 确定收益折算系数有两个方法，一是统一由各业务部门提供该业务条线的平均收益率；二是如果平均收益率确定困难，也可以用业务条线的主要收益率代替平均收益率。 需要明确的是：其一，评估风险并非是测量风险，它不要求得出损失或收益的具体数值，只要求在一个标准下将各评估对象的风险进行排序或得到各评估对象之间风险大小的对比关系。其二，公式中的总收入是个广义的指标，是各业务条线不扣除费用支出的毛收入。,39,银行业操作风险管理思路的探索,2、控制质量的评价方法 控制质量的评价就是对企业内部控制的评价，是对企业内部控制体系及运行效率所做的客观的、独立的分析判断，即对企业管理行为的评价。评价的对象是企业对内部风险进行管理的体制、制度安排及管理效力，具体而言，就是企业内部控制体系设施的适当性和内部控制体系执行的有效性。评价从企业战略、运营、合规和财务四个维度，针对企业内部目标设定、内部环境、风险确认、风险评估、风险策略、控制活动、信息沟通、检查监督等八个方面进行。评价范围包括企业内部的机构、业务条线、流程和环节。评价方法