第5章操作风险的度量.ppt

1,第5章,操作风险的度量,由于我国正处在经济转轨过程之中，与现代市场经济相适应的法律及各种规章制度建设尚有很多欠缺，公民遵纪守法意识淡薄，加之社会巨变带来的汲汲于富贵的浮躁心理，各种违规和欺诈事件层出不穷。我国操作风险的度量和管理技术相对落后，心有余而力不足，风险的披露程度不足，重视度不够；大多数金融机构还未完整、清晰的认识，员工意识不强，也没系统的防范、控制操作风险的框架和机制；大多数银行缺乏足够的损失数据，内部操作损失数据库不完善；缺乏成熟的科学的数量模型来度量操作风险，不能正确反映所承受的风险，软硬件设备不够先进，发现危机和应对危机的能力均相对低下。因此，操作风险是我国金融机构面临的重要风险，我国商业银行的操作风险管理水平亟待提高。,3,学习目标,通过本章学习，您可以了解或掌握：1.操作风险度量方法的历史演变过程；2.基本指标法、标准法、内部度量法、损失分布法及其改进方法、记分卡法与其他度量法的基本原理与应用步骤；3.各类操作风险度量方法的比较与分析。,4,主要内容,第一节操作风险度量的历史演变兼述巴塞尔委员会对操作风险的度量与监管第二节基本指标法和标准法第三节内部度量法第四节损失分布法第五节记分卡法与其他度量法第六节操作风险度量方法的比较与分析,据统计，银行业发生的案件中，80是源于自身的操作风险。风险管理是一种程序，它要识别风险，评估风险，并针对风险来制定相应对策。在银行，风险管理部是很重要的部，这个部干什么呢？它要分析银行运用资产有什么样的风险，这些风险究竟有多大，银行可接受的风险的水平有多高，然后银行既然有这么多的风险，采取什么政策对付这些风险，这叫风险管理。银行通过风险管理发现了风险，认定了风险，评价了风险，并且制定了风险应对的对策。（一）操作风险设别就是找出操作风险因素，根据直接或间接的症状将潜在的风险找出来，形成风险清单。按照导致操作风险的不同因素，操作风险可分类设别：1程序风险的设别程序风险指在执行业务过程中产生的各类风险，主要源于薄弱的过程，如结算和支付、不遵守内部或外部政策规定以及客户交往上的失败等。程序风险是国有商业银行操作风险中最突出的风险。,(1)违规执行。如在客户信用等级评定中发现多次人为修改评级数据，人为加大定性指标分值，故意抬高企业信用等级，有意避开信贷管制等。(2)盲目执行。在执行过程中，非执行者本人意图，盲目听从上级的指示，以服从代替制度；或人员素质不到位，对制度没有深刻了解、业务不熟悉，导致执行中出现错误。(3)随意执行。业务操作中不能严格按制度和流程要求执行，而是随意按自己的经验或他人要求省略程序甚至逆程序操作。如临柜业务权限卡失控等问题。2人员风险的设别人员风险包括雇员与银行整体利益冲突，或其他内部欺诈行为，主要源于人力资源管理和员工道德水平。我国商业银行中由人员因素导致的操作风险在当前阶段尤为突出。(1)人员配置和职位设计不够合理。(2)缺乏足够激励与约束。(3)培训与考核尚未足够。,3系统风险的设别目前，银行都实现了网络化，这样系统的评估与升级、系统日常维护、系统安全保护就显得尤为重要，一旦出现失误，就会产生操作风险。系统操作风险主要表现在四个方面：（1）系统失灵或崩溃风险；（2）系统漏洞风险；（3）系统操作人员失误操作、违规越权操作和故意非法入侵风险；（4）系统外部入侵风险。4外部风险的设别外部风险主要由外部不可控因素引起，包括外部欺诈风险、法律风险和抢劫、黑客攻击、盗窃以及地震、战争等不可抗因素。从长期来看，随着银行业电子化程度不断提高，黑客攻击等技术性因素产生的操作风险越来越多。(二)操作风险分析应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。,1、操作风险发生的可能性分析操作风险发生的可能性一般用所谓“U状曲线”来描述。因为任何一家银行新业务开展或新系统刚上线时，由于规章制度不完善、员工操作经验不足、管理上的漏洞等因素，都会使得出现操作风险的概率较高。如果这些问题逐步解决，就会使操作风险的频率降低。不过，当已有的系统开始老化、当现有的市场经济环境发生变化后，原有的规章制度与系统已经不适用已经发生新变化的运营环境了，此时的操作风险又重新上升。(1)业务前端易发风险操作性风险主要是人为风险，凡属外部诈骗或内外勾结，必然牵涉到为客户服务的前端人员。如与客户接触较多的客户经理、上门收款人员、代客户办理柜台业务的会计人员以及大厅接柜人员等，较易受到不良客户的诱惑而联合作案。(2)监控末端易发风险主要是流程性风险，一般监控链条越长，监控的力度越弱，末端越易引发案件。如地处偏远的同城支行、异地支行以及授信管理中下放,审批权限的个人业务等，都处于管理监督末端，不法人员有较强的作案动机和较大的作案空间。(3)管理“病灶”易发风险由于操作性风险是一种累积性风险，因此，经常产生违规问题、屡查屡犯等“病灶”环节容易导致大家见怪不怪，从而引发案件。如客户经理代为对账、开户资料不全、印押证未坚持三分管等屡查屡犯问题，就是很多大案要案的案发条件。(4)交叉结合部易发风险操作性风险的积累性特点，还使风险更易发生在柜台业务的上下手之间、不同管理部门的职能交叉之间、不同分支机构之间，以及银行间的清算交换环节等结合部上。如接柜员与记账员票据传递环节、集团客户在不同分支机构间贷款等。(5)内外转型易发风险外部转型包括宏观政策调整、市场供求急变、同业竞争加剧等变化；内部转型包括业务增长方式的转变、业务流程的再造、新系统上线、新产品开发等。这些变化都容易产生管理真空，给作案分子可乘之机。,(6)“光环笼罩”易发风险“光环笼罩”是指在有多种荣耀笼罩下，极易产生监控的“视觉盲区”，往往不被列为内控监督的重点。2、操作风险量化操作风险量化的方式常用的有三种：基本指标法、标准法和高级计量法。（1）基本指标法，即操作风险以银行业务活动的规模来测量，如操作风险资本金等于前三年总收入的平均值乘以15%。它比较适用于规模较小、业务单一的银行，而对业务复杂的银行则不太适合。（2）以产品线分类计算的标准法，就是对不同业务线的操作风险进行分类监控和分类度量。（3）高级计量法就是指银行可以依靠其内部系统决定针对操作风险的资本要求。而高级计量法转化可操作的方式就是尝试运用打分卡法和损失分布法。3、确定重点关注的操作风险和优先控制的操作风险。,（三）风险应对应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。1、操作风险分布与缓释策略,2、操作风险管理选择策略,3、操作风险应对办法（1)风险规避是对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。(2)风险降低是在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。(3)风险分担是准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。(4)风险承受是对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。,操作风险管理程序,15,第一节,操作风险度量的历史演变兼述巴塞尔委员会对操作风险的度量与监管,操作风险的新表现,伴随着经济、金融全球一体化进程的深入，操作风险管理的紧迫感、重要性显得越来越突出：日益增多的诉讼、迅速调整的法律和监管体系、不断涌现的网络银行和网上贸易等新的经济模式、更为复杂的交易工具和交易战略、快速攀升的各类产品交易量、更加动荡的金融市场、不断升级的技术系统等等，使金融机构所面临的操作风险越来越细碎而繁杂，操作风险所带来的威胁越来越严重而且防不胜防（巴林银行高损失、低频率）。,16,人们对操作风险的重视程度,据统计，美国1979-2003年出现经营问题的163家银行中，有81%的问题银行缺乏良好的信贷政策或者即使有好政策也形同虚设，有63%的问题银行对关键部门及其高管人员的内部监管不到位，有59%的问题银行没有在事先、事中和事后(动态)对贷款逐笔进行有效的风险管理。毕马威公司的全球风险调查：信用风险、市场风险、操作风险及其他风险所要求的经济资本占资本总额的比例依次由20世纪90年代初期之前的55%,35%,5%，5%变成现在（2009年左右）的40%，35%，20%和5%。将来有可能演变成30%，25%，40%，5%。,17,资本配置：当前与未来,行业趋势,巴林银行倒闭震撼性标志事件,1999年6月巴II草案第一稿20世纪90年代中后期前期定性20世纪90年代中后期后期定性与定量,一、第一阶段：以定性为主的操作风险度量方法,(一)第一阶段中操作风险度量的主要方法在20世纪90年代中后期，特别是20世纪90年代初期之前，在本阶段对操作风险的度量和管理，主要通过业务流程规定和操作手册并配以外部或内部的审计、监察、评估、控制等管理措施进行。1.早期的操作风险度量方法，主要靠专家或管理人员运用下述四种定性方法对业务运营状况进行度量和评估：外部审计评估法内部自我评价法风险指示器预测法组合管理法,20,一、第一阶段：以定性为主的操作风险度量方法,外部审计评估法：即由外部审计部门检查业务过程以找到漏洞或薄弱环节的方法内部自我评价法：即要求每个业务部门都对操作风险的来源、发生的可能性以及严重程度做出主观评价的方法风险指示器预测法：即由风险管理部门通过风险指示器发布主观风险预测的方法组合管理法：即视情况将上述三种方法采用不同的组合进行管理的方法,21,遵循步骤,上述四方法以定性为主的评估方法，不论运用何种方法对操作风险进行度量和评估时，基本都要遵循以下方式和步骤：先了解企业的业务流程以及每个流程中控制、管理操作风险的措施，然后由经验丰富的专家或管理人员做出分析、判断，在此基础上对操作风险进行估测。,22,(二)COSO的内部控制系统1.COSO(CommitteeofSponsoringOrganizations)在1992年发布的著名的内部控制整体框架中提出了适用于包括金融机构在内的所有企业的内部控制思想和框架。2.该框架在预防、减少、消除、评估企业内部业务流程中的操作风险方面极为有效。,23,一、第一阶段：以定性为主的操作风险度量方法(续),第（2）问题内部控制与风险控制（如何强化银行内部控制）,Unit2,内部控制,一、银行竞争从内部控制开始（一）什么是内部控制五部委颁布的企业内部控制基本规范：内部控制，是由公司董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制就是单位内部一切按制度办事的协调发展机制内部控制是组织内部事先约定规则、按规则办事、用规则管人、依规则分享利益的协调发展机制。,资源投入（战略）,战略,内,部,控,制,运营,银行竞争力,产出目标（增值）,分配,起点,业务,人,职责,行为,流程,目标,执行,内部控制,银行参与竞争,（二）银行竞争是从制度保障开始,(三)银行的金三角与有效管理的三大法宝,银行文化,产品/服务,团队,内部控制,有效管理的三大法宝用文化凝聚人心用内控驾驭人性用事业成就人生,二、内部控制政策问题认识内部控制的几点说明：（一）内部控制是以规则为前提的制衡架构组织内部的各参与者，由于性格、利益等不同，需要事前对重要事项约定成俗，无规矩不成方圆，通过按规则办事、用规则管人，形成内部制衡的一种运作框架。（事先讲好）（二）制衡的目的是协调利益并形成合力制衡的运作框架是协调利益形成合力，是一个战斗的堡垒，而不是在堡垒里战斗、不是搞内部斗争，是要提升竞争力，把组织内部的各种力量导向既定的目标。司马迁在史记中所说：“世上熙熙皆为利来，世上攘攘皆为利往。”（三）内部控制要讲究控制程序内部控制的程序，就是达到制衡所规定的流程与采取的手段，通常指组织制定和实施的一系列控制的形式、方法、措施和程序。（四）内部控制的效果是执行及优化内部控制政策强调执行，不是写在纸上、挂在墙上。突出2点：,1、在内部控制的规则面前人人平等内部控制的执行是法治而不是人治，制度、流程、职责是内部控制的“游戏规则”，按制度办事、用制度管人。（1）内部控制高于一切（2）制度面前人人平等（3）维护制度的权威性2、内部控制是一个动态过程，因为银行经营环境和风险是变化的，执行以后根据存在的问题，不断完善。（五）内部控制是一种生态定律无论是人类社会还是自然界都必须遵循内部控制的制衡定理，否则就需要付出代价。在自然界的生态平衡，是内部控制的制衡定律起作用如新西兰的田鼠。,德国前总理施罗德是一富国的总理，根据德国的会计控制，国家领导人周末度假，其家属乘坐政府飞机一律要自掏腰包，施罗德一家度一次周末自己要交3700美元，后来改乘自己破旧的“大众”汽车。,三、内部控制的主要要素构建了以控制环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系、相互促进的五要素内部控制框架。,工作,岗位,人,要求设岗,要求人的素质,胜任工作不称职，工作无法完成成为冗员,因人设岗,正常的岗位设置和人员安排,不正常的岗位设置和人员安排,（一）控制环境（第1个内控要素）内部环境是公司实施内部控制的基础，包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。划分岗位职责,规定业务流程划分岗位职责以后，就要在职权范围内办事，规定业务流程就是规范每一个业务办理的程序。案例：公司有11个分公司、51名会计。（1）建立内部控制制度（2）纳税方法改革（3）改革会计体制马W公司，89年带着大笔资金进来。当时珠海M与W签订为其15年的合资协议。中方没有资金，就以厂房等作价，条件要求占51%的股份。马方同意了这个要求，但它提了一个条件：厂房折旧按三年算（国内一般折旧是按10年算），业务发展需要资金时双方可以追加投资。当年、90年、91年又亏损，W公司又单方面追加了投资，M由89年的51%稀释到17%，而W公司得到了83%的股份。,流程现状评估,流程差距分析,流程设计,流程执行规划,人力资源政策（1）招聘、培训、规范提高员工素质和办事能力，培养合作精神和敬业精神。,观念知识技能态度操守（执行力）以实用为导向的职业知识以专业为导向的职业技能以价值为导向的职业观念以结果为导向的职业思维以敬业为导向的职业态度以生存为导向的职业心理有知识才有境界，有境界才有视野，有视野才有思路，有思路才有出路。,这样的培训，使全体人员的品行、操守、价值观进行熏陶，逐步形成“（敬业+智慧+爱心）”的队伍，保持一种涵养。拿庄子的话来说,就是“保光”，什么是“保光”？就是用你的知识和心态来保持一种涵养生命的光芒.管理者的品行及素质（希尔顿饭店案例）(2)考核与奖惩定期或不定期对员工业绩进行考核。对贡献突出的表扬、物质奖励或晋升；对不胜任及时调整；对玩忽职守，甚至造成损失的应批评、经济处罚、降级、解聘。(3)解雇惯例、职工信用保险、休假和工作轮换、保密条款与竞业禁止。企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。,企业文化建设三流企业做产品、二流企业做市场、一流企业做内控、卓越企业做文化；企业文化是内部控制的重要部分文化是一种文治与教化,塑造一种理念、形成一套制度、体现一种精神。形成通过内部控制来提升竞争力、通过责任心来提高企业的执行力，即基层员工要有责任心，中层员工要有进取心，高层员工要有事业心。1、成功企业文化的八大特点愿景统一，理念完备，行为规范，形象鲜明；传播畅达，知行合一；与时俱进，生生不息。2、世界500强企业文化的共同点（1）以顾客为中心（2）团队合作（3）平等对待员工（4）创新与激励。,松下公司的员工每天早晨咏诵松下精神：（1）产业报国（2）光明正大（3）团结一致（4）奋发向上（5）礼貌谦让（6）顺应同化（7）感谢报恩,3、企业文化建设的趋势企业文化是一个企业的身份证，它比产品、技术、乃至人才更能代表一个企业的竞争力。英国首相丘吉尔说：“我宁可失去一个印度，也不肯失去一个莎士比亚。”现在企业文化建设的趋势：在产品（服务）上附加企业文化、甚至国家（民族）文化，形成企业竞争的软实力。我们今天吃着麦当劳，喝着洋可乐，不是因为它的东西特别好，而是它的产品或服务所富有的文化。,中国产品产量、销量甚至世界第一：如我国电视机、空调、衬衫产销量世界第一；我国电池产量超过日本，位居世界第一；中国的钢材产量稳居世界第一；中国数控机床产量居世界第一；中国汽车产销量居世界第一；中国电视剧产量世界第一；据联合国粮农组织(FAO)统计，中国蔬菜播种面积和产量分别占世界的43%、49%，均居世界第一。,英国前首相撒切尔夫人在2002年出版的治国之道(Statecraft)一书中这样写道：“不用担心中国企业的竞争力，因为今天他们出口最多的电视机上没有附加任何文化观念。”,4、企业文化建设程序（1）领导重视，多数认可；（2）引进外部专家，进行咨询服务；（3）调研诊断，企业文化测评；（4）系统策划，抓住机遇；（5）文本编撰（企业理念的系统提炼）（6）推进：文化与产品的融合,领导者要有文化文化：以文化之领导者要有风格风格：风范定格领导者要有形象形象：形态象征,我们看到满街的咖啡店，惟有星巴克一枝独秀；优美的“绿色美人鱼”，竟然与麦当劳的“m”一道成了美国文化的象征。自1999年进入中国以来，在大陆开了200家.,LV包/路易威登：Abbesses斜挎包国内专柜约11000,香港专柜约9600,（二）风险评估风险评估包括风险识别、风险分析、风险应对。（三）控制活动控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。（四）信息与沟通1、建立单位的信息管理系统（1）内部信息形成与利用（2）建立目标市场的信息（3）建立竞争对手会计信息平台：竞争对手会计是通过提供竞争者成本资源、成本结构、产品定价、市场份额、销售利润等财务与非财务信息，并进行深入分析，以帮助管理者进行战略定位和应对竞争局面，保持相对优势的一种现代会计管理方法。20世纪90年代初的国际商业机器公司（IBM）连年亏损，1993年郭士纳出任首席执行官，建立竞争对手会计，并运用到公司战略以提高竞争力，准确判断竞争对手并拉拢IBM客户，几年后，IBM重新站立起来。,内部控制审计,日常业务审计,风险管理,反商业秘密,（五）内部监督内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。实施内部监督必须强化内部审计,内部审计负责日常的业务审计、风险管理、反商业机密控制。,四、主要操作风险的控制（一）人事风险的控制银行首要的风险是人事风险。在银行的各种风险中间，人事风险最大；在人事风险当中，管理层的风险最大；在管理层的风险中，领导班子的风险最大；在领导班子的风险当中，“一把手”的风险最大。人事风险的控制要解决以下问题：1、领导责任不清、缺少领导责任的科学评价；2、人员配置和职位设计不够合理3、缺乏足够激励与约束4、培训与考核未到位（二）组织结构风险的控制我们的银行有党委书记、董事长、行长，组织机构设置和职能界定也有问题，银行各个部门之间出现一种叫“扯皮文化”，有人称“免责文化”，大家都不愿意负这个责任，有责任的时候推诿。1、根据业务需要设置机构2、规定机构的职能,（三）制度风险的控制银行是一个需要高度关注制度规定的行业。从表面看，银行的规章制度堆积如山，似乎已经很完善了。其实不然，面临严重的制度风险。1、主管部门制定规章制度的时候没有规划，有随意性，缺乏对规章制度的论证，征求意见的范围程序等也缺乏规定。2、在规章制度颁布并实施的时候，没有充分的测试，规章制度一经制定出来就要执行，应该先找几个支行做试点试行，要不要对规章制度进行检验，到底有没有可操作性，这是一个很重要的问题。3、总行一般接到人民银行和中央的规定就要落实中央的规定，在短时间内制定一些规章制度。但把它们拿到分行、支行以后，人家看了很痛苦，为什么痛苦？因为他们没法操作，这就有风险问题。4、规章制度种类纷杂，缺乏统一规范。有个支行的规章制度有43种，大量的通知、批复，函、附件等都构成规章制度，名称缺乏统一规范，什么叫管理规定，什么叫实施细则，什么叫做制度，出现相似内容运用不同的规章制度，使用者眼花缭乱。,五、银行职员的财商与职业素养（一）银行职员的财商财商是与智商、情商并列的现代社会能力三大不可或缺的素质。作为一个银行工作者首先应该有比较高的财商。财商指一个人在财务方面的智力，是理财的智慧。科学定义：财商是一个人认识财富和驾驭财富的能力，它包括两方面的能力：一是正确认识金钱及金钱规律的能力；二是正确应用金钱及金钱规律的能力。,智商,情商,财商,一个人基本具有的素质,一个社会人所要的素质,一个经济人的基本素质,活在这个财商时代,（二）重视财商教育财商教育就是进行财富知识积累、塑造对待财富的心态，培养掌钱能力、赚钱能力。1、我国对小孩不重视财商教育在我国，目前基础教育所设立的各门学科中，从没有对孩子们进行过财商教育。这也许是受了中国一句老话“君子言义，小人言利”的影响，人们总觉得孩子们的主要任务是学习，离金钱越远越好。2、在国外，财商教育一般都是从娃娃抓起在国外，从小开始财商教育已经是普遍共识。据了解，法国孩子3、4岁即开始“家庭理财课程”；在美国，所有小学都有着明确的理财教育目标，比如说，7岁的孩子要能看懂价格标签，8岁要知道储蓄，9岁要能制定开销计划等等。3、形成了不同的对待财富的心态西方国家强化财商教育，重视财富知识,塑造对待财富的心态,提高掌钱能力、发展依法赚钱能力。,(三)银行职员的职业素养-专业,专业的过程就是步入职业的进程：先做职业人、再做专业事,低调做人（要有人缘）,如何专业,高调做事（有执行力）,从专业视角来做专业事,想做事、能做事、做成事,3.内部控制系统的构成环境控制子系统：是指企业运营过程中的企业文化、经营理念、组织结构、人力素养与人力资源配置等状况，具体内容包括管理阶层的经营理念与营运风格、员工的诚信度与道德观、企业运营的组织结构、员工职责划分和人力资源政策等。行为控制子系统：是为确保企业经营目标的顺利实现而对包括董事会、管理层在内的所有企业人员的行为进行规范、约束所采取的相关政策、措施和程序，旨在对企业人员有可能出现的妨碍实现企业经营目标的不当行为进行即有有效的控制，从而保证企业内部控制系统免受人为因素的干扰。,52,一、第一阶段：以定性为主的操作风险度量方法(二)COSO的内部控制系统(续),3.内部控制系统的构成信息与沟通子系统：是为确保企业员工顺利获得企业经营活动所需要的各种信息而设立的信息系统。风险评估子系统：旨在对包括企业的生产、营销、财务以及其他运营活动在内的整个运营过程中的有可能妨碍实现经营目标的所有风险因素进行辨识、分析和评估，从而能及时预防、化解企业经营活动中的各种风险以确保企业内部控制系统尽可能免受风险的干扰和威胁。监控子系统：是对企业经营活动的全过程、所有环节进行适时的监管、检查，并在必要时、在授权范围内及时做出矫正、调整和补救的动态系统。,53,一、第一阶段：以定性为主的操作风险度量方法(二)COSO的内部控制系统(续),系统的检验和评判,上述系统在实际应用中的有效性可靠程度，尚须进一步检验和评判。大多数公司在对内部控制系统进行检验和评判时会选择自我评价法：首先内部审计人员与被评价单位管理人员组成一个小组，管理人员在内部审计人员的帮助下对本部门内部控制的合理性和有效性进行初步评价；然后对初步评价结果进行集体讨论和分析，在此基础上确认评价结果，提出改进建议，并将最终的内部控制评价结果连同改进建议整理成文，出具内部控制的评价报告；最后根据内部控制评价报告，按照轻重缓急对内部控制各子系统的缺陷进行排序，以确定解决问题的优先顺序和资源分配方案。,54,一、第一阶段：以定性为主的操作风险度量方法(续),(三)以定性为主的操作风险度量方法的评述很大程度上依赖于审计人员、业务管理者或操作风险管理者的知识、经验和操作水平，容易受到人为因素的干扰;与市场风险、信用风险相比，包含了更多不可量化的因素和内容;定性方法在操作风险的度量与管理中发挥着量化方法难以替代的作用。,55,二、第二阶段：定性与量化结合的操作风险度量方法,(一)巴塞尔委员会的基本情况介绍1.1974年，巴塞尔委员会由十国集团中央银行行长倡议成立。2.1975年9月，第一个巴塞尔协议出台。3.1983年5月，推出修改后的巴塞尔协议，是对前一个协议的具体化和明细化。,56,二、第二阶段：定性与量化结合的操作风险度量方法(一)巴塞尔委员会的基本情况介绍(续),4.1988年7月，推出关于统一国际银行的资本计算和资本标准的报告，即所谓的旧巴塞尔协议。5.1991年11月，重新详细定义了普通准备金和坏账准备金。6.1994年6月，重新规定了OECD成员国资产的风险权重。,57,7.1995年4月，针对巴塞尔报告难以有效防范以金融衍生工具为主引致的市场风险，对银行某些表外业务的风险权重进行调整。1996年1月，推出资本协议关于市场风险的补充规定，正式将操作风险纳入管理框架。1997年9月，发布有效银行监管的核心原则。10.1998年9月，发布操作风险管理的咨询文件。,58,二、第二阶段：定性与量化结合的操作风险度量方法(一)巴塞尔委员会的基本情况介绍(续),11.1999年6月至2001年9月，通过新巴塞尔资本协议的三个征求意见稿，开创性地提出以资本充足率、监督检查和市场约束为支柱的资本监管框架。12.2003年2月，巴塞尔委员会提出管理操作风险的十项原则。13.2006年12月，新巴塞尔协议及其补充规定开始正式实施。,59,二、第二阶段：定性与量化结合的操作风险度量方法(一)巴塞尔委员会的基本情况介绍(续),(二)在新巴塞尔协议框架下对操作风险的度量与管理新巴塞尔协议对操作风险做了明确界定。正式将操作风险与信用风险、市场风险一起纳入到资本充足率的计算框架中。,60,二、第二阶段：定性与量化结合的操作风险度量方法(续),3.提出了操作风险的三类度量方法：(1)基本指标法(2)标准法(3)高级度量法内部度量法损失分布法记分卡法,61,二、第二阶段：定性与量化结合的操作风险度量方法(续),要求“银行应当披露更为详细的操作风险信息”。2003年2月，提出操作风险管理的“十条原则”：风险管理环境的规范性要求(见原则一至三)风险管理流程的规范性要求(见原则四至七)监管者行为的规范性要求(见原则八、九)信息披露的规范性要求(见原则十),62,二、第二阶段：定性与量化结合的操作风险度量方法(续),(三)其他金融机构对操作风险的度量与管理英国金融服务管理局SMASC的方法集成式审慎监管办法美国联邦银行监管机构操作风险高级计量法监管指引（草案）美国COSO委员会更加完善的全面风险管理框架中国银行业监督管理委员会关于加大防范操作风险工作力度的通知,63,二、第二阶段：定性与量化结合的操作风险度量方法(续),64,第二节,基本指标法和标准法,基本指标法与标准法,基本指标法和标准法赖以建立的前提是隐含假设：操作风险所引致的损失与金融机构总收入之间存在一种线性关系。于是可按照总收入的一定比例即操作风险敏感系数来度量操作风险，进而计量操作风险的监管资本。两种方法的主要差异在于：基本指标法对所有业务类型设定了相同的操作风险敏感系数；而标准法则先区别了业务类型，然后针对于不同的业务类型分别设定不同的操作风险敏感系数。,一、基本指标法,1.根据基本指标法，机构持有的操作风险资本应等于该机构前三年中各年正的总收入加总后的均值成一个固定比例（用表示）。公式表示(5.2.1)：根据基本指标法计算得到的操作风险资本GI：为前三年中各年正的总收入加总后的平均值：操作风险敏感系数（由巴塞尔委员会设定）,66,一、基本指标法(续),3.优点：简单易行，易于操作；便于横向比较不同机构间的操作风险状况。,67,一、基本指标法(续),4.缺点：采用统一的操作风险敏感系数可能导致计量结果严重偏离现实，且使资本配置及管理优劣奖惩机制难以自动发挥作用；历史总收入指标反映的是历史收入水平，与旨在度量机构在未来业务经营中可能发生损失的操作风险度量模型不完全匹配；无法反映不完善或故障出现在何处，从而无法及时发现、度量、控制操作风险。,68,二、标准法,1.标准法对金融机构的所有业务类型进行了细分和归类，然后根据各业务类型的不同风险特性分别确定了更加合理的、对应于各业务类型的操作风险敏感系数，在此基础上再对操作风险进行度量。操作步骤：(1)对金融机构所有业务类型的细分和归类；业务类型对应表如表5-1所示,69,二、标准法(续),70,表5-1业务类型对应表,二、标准法(续),(2)依次选择、确定各业务类型的基本指标；(3)根据各业务类型的风险特性对系数进行设定；,71,二、标准法(续),(4)对操作风险总资本的计算。将各业务类型的操作风险资本按年简单加总后取前三年和的平均值。(5.2.2)：用标准法计算的操作风险资本；：8个业务类型中第j个业务类型在过去第y年的总收入；：由于巴塞尔委员会设定的第j个业务类型的操作风险系数。,72,二、标准法(续),3.标准法在下列情况下较为适用：董事会和高级管理层制定了正确可行的操作风险管理目标和策略，并积极参与操作风险管理框架的构建与维护;操作风险管理系统相关概念清晰、稳健，执行准确有效;在主要业务类型上以及控制与审计领域对采用标准法有充足的资源支持。,73,74,第三节,内部度量法,高级度量法通过估计操作风险事件所引致的未预期损失来计算操作风险资本。高级度量法中各种方法的主要差别在于操作风险未预期损失的估计方法的不同。内部度量法的基本思想是：先根据历史数据通过估计损失次数与损失严重程度的平均值得到操作风险预期损失；然后假设操作风险的预期损失与未预期损失之间存在某种线性关系，由此即可得到未预期损失。,高级度量法的根本不同,一、内部度量法的一般步骤,对金融机构所有业务/损失类型进行划分：(1)首先将金融机构的所有业务划分成8种业务类型；(2)进一步将每个业务类型分为7种不同的操作风险损失类型；(3)把56个风险单元排列成矩阵的形式，其中第i行第j列位置上的风险单元称为ij风险单元。,76,一、内部度量法的一般步骤(续),2.基本风险指标的确定和估计：(1)确定每个风险单元的风险暴露指标(EI)；(2)根据历史数据，计算出每个风险单元出现损失的频率(PE)以及损失发生后的平均损失比率(LGEr)。,77,历史损失数据主要包括所有风险单元的损失金额、损失事件发生的时间以及导致损失事件发生的主要因素的描述性信息等等。根据新巴塞尔协议的要求，用于计算监管资本的高级度量法，一般要有5年以上的内部损失历史数据作为计量依据。对于首次使用高级度量法的金融机构，可暂时使用3年的历史数据。,一、内部度量法的一般步骤(续),计算每个风险单元的预期损失：(5.3.1)：ij风险单元的预期损失：ij风险单元的风险暴露：ij风险单元发生损失的概率：ij风险单元发生损失后的平均损失比率,79,一、内部度量法的一般步骤(续),对应于每个风险单元转换因子的确定及未预期损失的计量：(5.3.2)假设各个风险单元相互独立，整个机构的未预期损失就等于所有风险单元未预期损失之和：(5.3.3),80,二、内部度量法在应用中的不足与修正,(一)内部历史数据的不足及其修正优势：银行可以采用自身的损失数据去计算未预期损失，进而确定应持有的操作风险资本，这比基本指标法和标准法更能真实地反映银行所面临的操作风险，从而为银行实施更加有效的操作风险管理措、进一步提高自身竞争力奠定了坚实的基础。,81,(一)内部历史数据的不足及其修正,1.不足：PE和LGEr的计量需要大量内部历史数据，但是实际应用中难以做到。其一，操作风险事件大多是低频率高损失事件，很少在单个金融机构内多次发生，甚至从未发生过；其二金融机构的新业务不断涌现，而对于新业务来说，根本就不可能存在历史数据。,82,(一)内部历史数据的不足及其修正,2.修正：巴塞尔协议建议使用内部度量法的机构选择外部数据来弥补内部数据的不足。修正公式为(5.3.4)：可平衡或降低甚至消除单个银行和整个行业之间的损失概率差异的调整因子。,83,(二)公式(5.3.2)的不足及其修正,不足：预期损失和未预期损失间未必是线性关系；操作风险损失在很大程度上是内生的(涉及人、流程、管理和设备)，所以外部数据与银行自身潜在损失通常并不具有严格的相关性，这就意味着现实中单一银行的操作风险损失分布几乎不可能与行业损失分布完全一致。2.常用的修正方法：引入风险特征指数（RiskProfileIndex,RPI）调整基于内部度量法所计算出的操作风险资本值。,84,RPI反映的是单一银行各风险单元的具体操作风险状况与整个行业操作风险的区别，取决于银行自身的某种风险单元与整个行业对应风险单元的操作风险损失分布的偏移程度。所以引进RPI的目的就是为了减少甚至消除银行自身与整个行业损失分布的不一致性，以最大限度地减少运用内部度量法计算未预期损失的偏差。RPI1该单元的操作风险损失分布较之行业整体分布呈厚尾分布RPI1薄尾分布,二、内部度量法在应用中的不足与修正（续）,3.引入和RPI后RPI后的修正公式(5.3.5):经调整因子调整后ij风险单元出现损失的概率。,86,87,第四节,损失分布法LossDistributionApproaches,引言,损失分布法的特点：将每个风险单元发生损失的次数视为随机过程；将每个风险单元损失发生后的损失程度视为一个随机事件。2.损失分布法的本质:估计每个风险单元进而整个金融金融机构因操作风险而导致的损失分布。,88,一、操作风险事件描述,假设某金融机构有ST个风险单元；第ij风险单元在某个时间段内发生的损失事件为独立同分布的随机事件；损失发生后对应于n次损失的损失程度为独立同分布的随机时间，依次用表示；4.假设损失事件与损失发生后的损失严重程度独立。,89,二、基于损失分布法度量操作风险的一般步骤,(一)损失次数与损失程度的概率分布模型损失次数的概率分布模型（离散型分布）：设ij风险单元在某个时间段内（例如1年）出现n次损失的概率密度函数为：(5.4.1)(2)一般都假定损失次数n服从以下分布：几何分布二项分布泊松分布负二项分布,90,二、基于损失分布法度量操作风险的一般步骤,几何分布:风险单元前n次连续出现损失而第n+1未出现二项分布：假设一段时间内的操作事件总数为N，且都相互独立，两种状态，损失概率为p,该风险单元发生损失的次数服从二项分布,91,二、基于损失分布法度量操作风险的一般步骤,泊松分布：当p很小，N很大时，即操作风险发生的次数很少时，用泊松分布替代二项分布负二项分布（或帕斯卡分布）：在某风险单元下，在不发生损失的事件出现k次以前损失事件发生n次分布；n表示损失事件出现的次数，p表示一次损失事件发生的概率,92,二、基于损失分布法度量操作风险的一般步骤(一)损失次数与损失程度的概率分布模型(续),2.损失程度的概率分布模型：(1)第ij风险单元在某个时间段内（例如1年）损失事件k发生时的损失严重程度的概率密度函数为(5.4.3),93,二、基于损失分布法度量操作风险的一般步骤(一)损失次数与损失程度的概率分布模型(续),(2)损失程度分布形式：指数分布、对数正态分布（高频风险事件）Gamma分布（较大偏度和峰度的损失）极值理论（低频高损失）,94,二、基于损失分布法度量操作风险的一般步骤(一)损失次数与损失程度的概率分布模型(续),3.对损失次数分布与损失程度分布的贝叶斯估计：在历史数据缺乏的情况，仅仅使用少量数据对损失次数与损失程度的概率分布进行估计，会产生很大的抽样误差，这必将导致对损失分布的估计进而对操作风险的度量出现谬之千里的状况。为此，根据巴塞尔协议的建议，可以使用外部的、行业的损失数据对内部数据加以补充，也可以使用基于风险经理或专家观点的内部记分卡数据、外部协会的数据或其他公开数据。但是外部样本数据的不确定性大于内部数据。利用外部数据导致偏差，利用贝叶斯估计解决。,95,二、基于损失分布法度量操作风险的一般步骤(一)损失次数与损失程度的概率分布模型(续),3.对损失次数分布与损失程度分布的贝叶斯估计：(1)参数估计公式（数据缺乏时）(5.4.5)(2)基本思路首先，分别计算出主观数据和客观数据的相关参数的“先验分布密度函数”；然后，利用公式(5.4.5)将两个参数的密度函数相乘就得到模型参数的“后验分布密度函数”；最后，从“后验分布密度函数”中获得参数的点估计。,96,二、基于损失分布法度量操作风险的一般步骤(一)损失次数与损失程度的概率分布模型(续),(3)运用贝叶斯估计和经典估计得到的后验分布比较,97,二、基于损失分布法度量操作风险的一般步骤(续),(二)单个风险单元操作风险损失分布的估计思路1.ij风险单元发生了n次损失时的总损失为(5.4.8)2.由损失次数n独立于总损失，得到ij风险单元的总损失小于x的概率为(5.4.9)3.代入损失次数（5.4.1）和损失程度（5.4.3）的概率分布表达式，可得操作风险损失分布的具体表达式为(5.4.10),98,二、基于损失分布法度量操作风险的一般步骤(续),(三)单个风险单元在一定置信水平下的VaR与未预期损失的计算思路借助于ij风险单元总损失的概率分布可获得一定置信水平下的VaRij；相应置信水平下该风险单元的未预期损失为(5.4.11),99,二、基于损失分布法度量操作风险的一般步骤(续),(四)整个金融机构操作风险总体损失分布的估计1.假定：各个风险单元的操作风险事件同时发生，且结果相互独立。金融机构的总体损失：将各风险单元在一定置信度下未预期损失之和作为整个金融机构在该置信度下的未预期损失UL，(5.4.12)3.上述方法的不完善之处：忽略了各个风险单元操作风险事件的相关性。,100,职能依赖,操作风险具有典型的内在性特征，即市场风险一般由外部不确定因素引发；而操作风险则主要由金融机构内部的不确定因素所导致，机构的各风险单元之间的内部联系非常紧密而又复杂，有可能出现某一风险单元失控直接导致其他一系列风险单元失控的状况，这就是所谓的机构内部独有的“职能依赖”。在金融机构内部因操作风险而导致的这种失控一般为服从一定的概率分布的随机事件，所以仅仅以协方差矩阵来刻画上述状况显然是不够的。为此，需要对前述的损失分布法进行改进。,三、损失分布法的改进,(一)Copula法1.构建Copula函数的关键：(1)边缘分布函数的确定；(2)变量相关关系的确定；(3)Copula函数形式的选择与确定。,102,三、损失分布法的改进(一)Copula法(续),2.边缘分布函数的确定：假设某个风险单元在x时刻之前保持正常，则该风险单元在t期内发生操作风险事件的边缘分布函数可估计如下(5.4.13)其中，为风险单元的故障率函数。,103,三、损失分布法的改进(一)Copula法(续),3.相关关系的确定：(1)选择A、B单元的历史数据；(2)可获得该机构A、B两个风险单元在t期内发生操作风险事件的相关系数：(5.4.14),104,三、损失分布法的改进(一)Copula法(续),4.Copula函数形式的选择与确定正态Copula极值Copula阿基米得CopulaArchimaxCopula,105,(二)考虑职能依赖的失控随机模型,106,三、损失分布法的改进(续),(二)考虑职能依赖的失控随机模型1.在考虑职能依赖的情况下第i个风险单元在t时间段内失控的概率为(5.4.18),109,三、损失分布法的改进(二)考虑职能依赖的失控随机模型(续),不同职能依赖水平下风险单元失控对其他风险单元和整个机构运行的影响：(1)为简单起见，假设Y(t)=0.由（5.4.18）容易推导出职能依赖水平的表示式(2)通过MonteCarlo方法，随机选取不同的pi和pij进行模拟。,111,三、损失分布法的改进(二)考虑职能依赖的失控随机模型(续),3.举例(1)例子描述某机构包含50个风险单元无条件概率pmax,i0.02共模拟50000次，每次随机模拟其中一个单元失控导致其他单元乃至整个机构的损失情况,112,三、损失分布法的改进(二)考虑职能依赖的失控随机模型(续),(2)模拟结果(见图5-2)结果一，红色部分表示，当max,ij1.6，整个机构在初始状态运行正常时的状态变化情况；结果二，黑色部分表示，当max,ij1.6，整个机构在初始状态运行失控时的状态变化情况；结果三，蓝色部分表示，当max,ij2.0，整个机构在初始状态运行正常时的状态变化情况。,113,三、损失分布法的改进(二)考虑职能依赖的失控随机模型(续),(3)结果分析当职能依赖程度较低时，某风险单元失控并没有导致其他单元和整个机构失控并出现大的损失；当职能依赖程度较高时，则出现了由较小损失值向大损失值突变的情况，表明某风险单元的失控导致了其他单元乃至于整个机构失控并出现损失突变。,114,三、损失分布法的改进(二)考虑职能依赖的失控随机模型(续),(4)图示图5-2考虑职能依赖的失控随机模型的模拟,115,四、基于MonteCarlo模拟法的损失分布的估计,1.步骤：从ij风险单元的损失次数分布中随机抽取一个损失事件次数N；(2)从ij风险单元的损失程度分布中随机抽取N个样本；(3)加总N个样本数据之和，即得到该持有期内的总损失；(4)不断重复上述过程，依次得到m个总损失；,116,四、基于MonteCarlo模拟法的损失分布的估计(续),(5)绘制损失的直方图；(6)先将以上各次Monte-Carlo模拟过程中求得的总损失量进行加总，再取其平均数，即得到ij风险单元的总损失平均值；(7)根据ij风险单元的模拟损失分布，计算该风险单元在一定置信度水平下的VaR值；(8)计算ij风险单元以及整个金融机构的未预期损失。,117,四、基于MonteCarlo模拟法的损失分布的估计(续),2.举例：(1)左图是假设损失次数服从泊松分布而绘制的概率分布图；(2)右上图是假设损失程度服从对数正态分布而绘制的概率分布图；(3)右下图是基于左图和右上图并经过10000次Monte-Carlo模拟得到的某风险单元的损失分布。,118,四、基于MonteCarlo模拟法的损失分布的估计(续),119,120,第五节,记分卡法与其他度量法ScorecardApproaches,记分卡法与损失分布法的差别是：损失分布法要通过搜集历史数据来估计各风险单元的损失次数和损失强度的概率分布；而采用记分卡法对损失分布进行估计时则较少采用历史数据，而更多地偏重于专家的主观估计。,121,一、运用记分卡法度量操作风险的基本步骤,122,对金融机构的所有业务/损失类型进行划分,此与内部度量法一致;对每个风险单元进行流程细分，找出