风险管理第五章操作风险管理

1、第五章 操作风险管理主要内容 5.1 操作风险概述 5.2 操作风险评估操作风险评估 5.3 操作风险控制操作风险控制 5.4 操作风险监测与报告操作风险监测与报告 5.5 操作风险资本计量操作风险资本计量 商业银行资本管理办法（试行）将信用风险、市场风险和操作风险同步纳入银行资本计量与监管的范围5.1 操作风险概述 5.1.1操作风险的定义与特点 5.1.2操作风险相关概念辨析 5.1.3操作风险的监管规则 5.1.4操作风险的分类 5.1.5操作风险识别方法5.1.1操作风险的定义与特点 定义：是指由不完善或有问题的内部程序、员工、信息科技系统以及外部事件所造成损失的风险。险包括法律风险，

2、但不包括声誉风险和战略风险。 特点： 具体性；分散性；差异性；复杂性；内生性；转化性5.1.2操作风险相关概念辨析 1.COSO委员会和巴塞尔委员会于2004年在“内部控制”和“全面风险管理”的理解上趋于一致，操作风险属于全面风险管理的组成部分。 2.合规是操作风险的管理目标，二者在实践中存在重叠。5.1.3操作风险的监管规则 1.国际监管规则 主要是巴塞尔委员会的监管规则，主要有有效银行监管的核心原则、操作风险管理、操作风险管理与监管的稳健办法、巴塞尔新资本协议等文件。 2.国内监管规则 主要执行的是银监会的系列监管规定，主要有关于加大防范操作风险工作力度的通知（“操作风险13条”）、商业银

3、行操作风险管理管理指引、商业银行资本管理办法（试行）等文件。5.1.4操作风险的分类 可按人员因素、内部流程、系统缺陷和外部事件四大类别分类 1.人员因素人员因素 主要是指因商业银行员工发生内部欺诈、失职违规，以及因员工的知识技能匮乏、核心雇员流失、违反用工法等造成损失或者不良影响而引起的风险。 （1）内部欺诈 是指故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失，此类事件至少涉及内部一方，但不包括歧视及差别待遇事件 主要集中于内部人作案和内外勾结作案两种，属于最常见的操作风险类型。 （2）失职违规 商业银行内部员工因过失没有按照雇佣合同、内部员工守则、相关业务及管理规定操作或者办理

4、业务造成的风险，主要包括过失、未经授权的业务以及超越授权的活动。员工越权行为包括滥用职权、对客户进行误导、支配超出其权限的资金额度，致使商业银行发生损失的风险。 （3）知识/技能匮乏 主要有三种： 自己意识不到缺乏必要的知识技能，按照自己认为正确而实际错误的方式工作； 意识到自己缺乏必要的知识/技能，但由于颜面或其他原因，未向管理层提出或声明其无法胜任或不能正确处理面对的情况； 意识到自己缺乏必要的知识/技能，并进而利用这种缺陷危害商业银行的利益。 在前两种情况下，如果其负责核心业务方面的工作，则很可能给商业银行带来经济或声誉方面的损失。第三种情况则被认为属于内部欺诈。 （4）核心雇员流失 核

5、心雇员流失造成的风险体现为商业银行对关键人员(如交易员、高级客户经理)过度依赖的风险，包括缺乏足够的后备人员、关键信息缺乏共享和文档记录、缺乏岗位轮换机制等。 （5） 违反用工法 商业银行因违反劳动合同法、就业、健康或安全方面的法规或协议等，造成个人工伤赔付或因歧视及差别待遇事件导致的损失。 2. 内部流程内部流程 内部流程因素引起的操作风险是指由于商业银行业务流程缺失、设计不完善，或者没有被严格执行而造成的损失，主要包括财务/会计错误、文件/合同缺陷、产品设计缺陷、错误监控/报告、结算/支付错误、交易/定价错误六个方面 3. 系统缺陷系统缺陷 是指由于信息科技部门或服务供应商提供的计算机系统

6、或设备发生故障或其他原因，导致商业银行不能正常提供全部/部分服务或业务中断而造成的损失。系统缺陷引发的风险包括系统设计不完善和系统维护不完善所产生的风险，具体表现为数据/信息质量、违反系统安全规定、系统设计/开发的战略风险，以及系统的稳定性、兼容性、适宜性方面的问题。 4. 外部事件外部事件 商业银行是在一定的政治、经济和社会环境中运营的，经营环境的变化、外部突发事件等都会影响其正常的经营活动甚至造成损失。外部事件可能是内部控制失败或内部控制的薄弱环节，也可能是外部因素对商业银行运作或声誉造成的“威胁”. （1）外部欺诈（2）洗钱（3）政治风险 （4）监管规定（5）业务外包 （6）自然灾害（7

7、）恐怖威胁 1.操作风险原因，是指诱发操作风险转变为操作风险损失事件的原由，通常一个操作风险损失事件可由一个或多个操作风险原因引发 一级操作风险原因分类有信息科技系统、流程、人员、经营活动、环境、政治、监管和破坏或事故等八类。 2.操作风险损失事件分类援用了银监会的操作风险损失事件分类 分为一级、二级、三级 3.操作风险影响分类 是指操作风险损失事件发生后对银行造成的负面影响，包括财务影响（表现为发生了实际或潜在核销或财务账户项下费用）和非财务影响（客户/服务、声誉、员工及法律/监管影响。 4.操作风险严重度评级 通过等级矩阵进行评级，通过风险概率和影响两个维度来度量风险的严重度。5.1.5

8、操作风险的识别 1.自我评估法 是在商业银行内部控制体系的基础上，通过开展全员风险识别，识别出全行经营管理中存在的风险点，并从影响程度和发生概率两个角度来评估操作风险的重要程度。 2.因果分析模型 在综合自我评估结果和各类操作风险报告的基础上，利用因果分析模型能够对风险损失、风险成因和风险类别进行逻辑分析和数据统计，进而形成三者之间相互关联的多远分布。案例篇5.2 操作风险评估操作风险评估 5.2.1 操作风险评估的定义与原理操作风险评估的定义与原理 5.2.2操作风险评估的原则操作风险评估的原则 5.2.3操作风险评估的步骤操作风险评估的步骤 5.2.4操作风险评估的价值操作风险评估的价值

9、5.2.5操作风险评估与其他管理流程的结合操作风险评估与其他管理流程的结合应用应用5.2.1 操作风险评估的定义与原理操作风险评估的定义与原理 操作风险评估(RCSA)，是指操作风险所有人持续识别、评估并报告业务流程的操作风险及其控制状况的过程。原理：固有风险-控制措施=剩余风险 采取定性和定量相结合的方法5.2.2操作风险评估的原则操作风险评估的原则 1.业务流程所有人负第一评估责任原则 2.动态管理原则 3.重要性原则5.2.3操作风险评估的步骤操作风险评估的步骤 准备阶段：包括确认评估对象、绘制流程图、收集整理操作风险信息； 评估阶段：包括识别和评估固有风险、识别和评估现有控制、评估剩余

10、风险、提出优化方案； 报告阶段：包括整合评估成果和提交报告两个步骤5.3 操作风险控制操作风险控制 5.3.1 操作风险控制环境操作风险控制环境 5.3.2 操作风险缓释操作风险缓释 5.3.3 主要业务操作风险控制主要业务操作风险控制5.3.1 操作风险控制环境操作风险控制环境 包括公司治理、内部控制和风险文化等要素。5.3.2 操作风险缓释操作风险缓释 1.业务连续性管理计划（业务连续性管理计划（BCP） 对于低频高损事件 是指为实现业务连续性而制定的各类规划及实施的各项流程。 商业银行应定期检查灾难恢复和连续营业方案，保证其与目前的经营和业务战略吻合，并对这些方案进行定期测试，确保商业银

11、行发生业务中断时，能够迅速执行既定方案。 2. 商业保险商业保险 购买保险只是操作风险缓释的一种措施。预防和减少操作风险事件的发生，根本上还是要靠商业银行不断提高自身的风险管理水平。 3. 业务外包业务外包 从本质上说，业务操作或服务虽然可以外包，但其最终责任并未被“包”出去。外包并不能减少或免除董事会和高级管理层确保第三方行为的安全稳健以及遵守相关法律的责任。过多的外包也会产生额外的操作风险或其他隐患 商业银行仍然是外包过程中出现的操作风险的最终责任人，对客户和监管者承担着保证服务质量、安全、透明度和管理汇报的责任。 外包服务管理实施流程分立项、采购、合同管理、持续管理与监督等四个环节5.3

12、.3 主要业务操作风险控制主要业务操作风险控制 1. 柜台业务柜台业务 2. 法人信贷业务法人信贷业务 大致分为评级授信、贷前调查、信贷审查、信贷大致分为评级授信、贷前调查、信贷审查、信贷审批、贷款发放、贷后管理六个环节。审批、贷款发放、贷后管理六个环节。 3. 个人信贷业务个人信贷业务 4. 资金交易业务资金交易业务 可分为前台交易、中台风险管理、后台结算可分为前台交易、中台风险管理、后台结算/清算清算环节环节 5. 代理业务代理业务5.4 操作风险监测与报告操作风险监测与报告 当前商业银行操作风险监控主要关键指标有：关键风险指标和损失数据搜集两种 5.4.1关键风险指标法 5.4.2损失数

13、据的搜集 5.4.3风险报告5.4.1关键风险指标法 1.关键风险指标的定义（KRI） 是指对一个或多个操作风险敞口，通过反映操作风险发生可能性或影响度或某一控制有效性，对该风险或控制进行定性或定量跟踪监测的操作风险管理流程。 通常包括交易量、员工水平、技能水平、客户满意度、市场变动、产品成熟度、地区数量、变动水平、产品复杂程度和自动化水平等 2.关键风险指标监控的原则 整体性 重要性 敏感性 可靠性 有效性 3.关键风险指标法的应用流程 关键风险指标法可选择已经识别出来的主要操作风险因素，并结合商业银行的内、外部操作风险损失事件数据形成统计分析指标，用于评估商业银行整体的操作风险水平。 关键

14、风险指标监控由设置风险指标、监控分析、报告关键风险指标、更新关键风险指标等步骤。 4.关键风险指标监控的价值 商业银行可自主选择一些能够充分反映本行经营特色的关键风险指标，并为其设定阀值，同时根据这些关键风险指标所反映的风险状况确定适当的监测频率，使得操作风险管理部门能够及时向高级管理层发出预警，及时对异常风险状况采取行动。商业银行通过监控和分析不同时期自身关键风险指标的变化，并与同类金融机构进行横向比较，有助于深入理解操作风险状况的变化趋势，为操作风险管理提供早期预警。 5.关键风险指标与其他管理流程的结合应用5.4.2损失数据收集 1.损失数据收集的定义（LDC） 指操作风险损失数据的搜集

15、、汇总、监控、分析和报告工作。 2.损失数据收集的原则 重要性原则；准确性原则；统一性原则；谨慎性原则。 3.损失数据收集的步骤 （1）损失事件识别：主要是明确收集范围和判断损失金额是否达到收集门槛 （2）损失事件填报：事件的真实情况、总体的财务损失金额以及逐笔损失、成本或挽回的明细信息。 （3）损失金额确定：是指操作风险事件造成的直接损失和成本金额，也即事件直接导致的对银行收益或股东权益造成的负面影响，或直接导致的运营成本或费用的额外增加。判断是否应纳入的决定因素是：损失和成本是否直接由操作风险事件导致，或者与操作风险事件直接相关，且是真正的经济损失。 （4）损失事件信息审核：事件完整性和事

16、件属性 （5）损失数据收集验证 4.损失数据收集的价值 （1）全面了解一定损失规模以上的损失操作风险损失事件的定性信息和定量财务影响，帮助把握全行操作风险损失在损失额和损失发生频率两个维度的分布情况。 （2）识别、跟踪操作风险损失金额较大和损失事件发生较为频繁的部门和流程。 （3）符合巴塞尔新资本协议标准法的资本标准 （4）为实施巴塞尔新资本协议高级计量法计算操作风险监管资本提供数据基础。在高级计量法下，用于损失计量和验证的内部损失数据至少要有5年内的观测值，如果银行初次使用高级计量法，允许使用3年的内部历史数据。 5.关键风险指标与其他管理流程的结合应用 LDC是对操作风险损失事件的跟踪和记

17、录，客观反映全行操作风险的实际损失和分布，为RACA流程产生的评估风险敞口提供实际损失数据验证。实际发生的风险也可引起整改流程。操作风险重大事件报告（SERP）的财务损失数据是操作风险损失数据收集（LDC)的重要数据来源。损失数据也可为风险发生机构的内控考核提供依据。5.4.3风险报告 国际先进银行普遍采用的操作风险报告路径是：各业务部门负责收集与操作风险相关的内部数据和信息，并报告至操作风险管理部门。操作风险管理部门集中处理、评估后，形成操作风险报告递交管理层。而有些商业银行的业务单位、内部职能部门、操作风险管理部门和内部审计部门均可单独向高级管理层汇报。 内容都应当包括风险状况、损失事件、

18、诱因与对策、关键风险指标、资本金水平五个主要部分5.5 操作风险资本计量操作风险资本计量 5.5.1 基本指标法基本指标法 5.5.2 标准法标准法 5.5.3 高级计量法高级计量法 商业银行可以选择基本指标法、标准法或高级计量法来计量操作风险资本要求。 银行必须采用同信用风险和市场风险一样的方式，对潜在的操作风险损失建立监管资本。5.5.1 基本指标法 将商业银行视为一个整体来衡量操作风险，只分析银行整体的操作风险水平，而不对其构成进行分析。 基本思路：银行所持有的操作风险资本等于前三年总收入的平均值乘上一个固定比例（ ）。但这样各银行统一的 值，这样具有不同风险特征和风险管理状况的银行每单

19、位的总收入被要求配置相同的监管资本，无法实现监管与激励的相容。 巴塞尔委员会建议基本指标法的适用范围是小型的、业务范围限于某一国家或地区内的商业银行，对于业务复杂、规模庞大的国际活跃银行，巴塞尔委员会建议选用更高级的计量方法。 以总收入为基础计量操作风险资本要求。 其中， 为按基本指标法计量的操作风险资本要求。GI为过去三年中每年正的总收入。n为过去三年中总收入为正的年数。 为15% 总收入为净利息收入与净非利息收入之和。nGIKniiBIA)(1BIAK5.5.2 标准法标准法 标准法（Standardised Approach）将商业银行的所有业务划分为九条业务线，计算时需要获得每个业务条

20、线的总收入，然后根据各条线不同的操作风险资本要求系数，分别求出对应的资本，最后加总得到商业银行总体操作风险资本要求。在各产品线中，总收入是个广义的指标，代表业务经营规模，因此也大致反映了各产品线的操作风险状况。代表商业银行在特定产品线的潜在操作风险损失与该产品线总收入之间的关系。 公式： 各业务条线的操作风险系数如下： （1）零售业务、资产管理和零售经纪业务条线的操作风险资本系数为12% （2）商业银行和代理服务业务条线的操作风险资本系数为15% （3）公司金融、支付和清算、交易和销售以及其它业务条线的操作风险资本系数为18%。 商业银行使用标准法计量操作风险资本应当至少满足以下条件： 1.

21、应当建立清晰的操作风险管理组织架构、政策、工具、流程和报告路线。 2.应当建立与本行的业务性质、规模和产品复杂程度相适应的操作风险管理系统。 3.应当系统地收集、跟踪和分析与操作风险相关的数据，包括各业务条线的操作风险损失金额和损失频率。 4.应当制定操作风险评估机制，将风险评估整合入业务处理流程 5.应当建立关键风险指标体系 6.建立全行统一的业务连续性管理政策措施，建立业务连续性管理应急计划 7.负责操作风险管理的部门应定期向高级管理层和董事会提交全行的操作风险管理与控制情况报告 8.操作风险管理系统和流程应接受内部独立审查 9.应当投入充足的人力和物力支持在业务条线实施操作风险管理 10

22、.操作风险管理体系及其审查情况都应接受银监会的监督审查5.5.3 高级计量法高级计量法 高级计量法（Advanced Measurement Approach ,AMA）是银行根据本行业务性质、规模和产品复杂程度以及风险管理水平，基于内部损失数据、外部损失数据、情景分析、业务经营环境和内部控制因素，建立操作风险计量模型以及本行操作风险监管资本的方法。 银行应当基于内部损失数据、外部损失数据、情景分析、业务经营环境和内部控制因素建立操作风险计量模型。 巴塞尔委员会鼓励银行自主开发适合自身的AMA模型。并在2001年发布的新资本协议征求意见稿中推荐了损失分步法（LDA）（主流选择）、内部衡量法（L