风险管理第五章 操作风险管理ppt课件.ppt
第五章 操作风险管理,主要内容,5.1 操作风险概述5.2 操作风险评估5.3 操作风险控制5.4 操作风险监测与报告5.5 操作风险资本计量,商业银行资本管理办法(试行)将信用风险、市场风险和操作风险同步纳入银行资本计量与监管的范围,5.1 操作风险概述,5.1.1操作风险的定义与特点5.1.2操作风险相关概念辨析5.1.3操作风险的监管规则5.1.4操作风险的分类5.1.5操作风险识别方法,5.1.1操作风险的定义与特点,定义:是指由不完善或有问题的内部程序、员工、信息科技系统以及外部事件所造成损失的风险。险包括法律风险,但不包括声誉风险和战略风险。特点:具体性;分散性;差异性;复杂性;内生性;转化性,5.1.2操作风险相关概念辨析,1.COSO委员会和巴塞尔委员会于2004年在“内部控制”和“全面风险管理”的理解上趋于一致,操作风险属于全面风险管理的组成部分。2.合规是操作风险的管理目标,二者在实践中存在重叠。,5.1.3操作风险的监管规则,1.国际监管规则主要是巴塞尔委员会的监管规则,主要有有效银行监管的核心原则、操作风险管理、操作风险管理与监管的稳健办法、巴塞尔新资本协议等文件。2.国内监管规则主要执行的是银监会的系列监管规定,主要有关于加大防范操作风险工作力度的通知(“操作风险13条”)、商业银行操作风险管理管理指引、商业银行资本管理办法(试行)等文件。,5.1.4操作风险的分类,可按人员因素、内部流程、系统缺陷和外部事件四大类别分类1.人员因素主要是指因商业银行员工发生内部欺诈、失职违规,以及因员工的知识技能匮乏、核心雇员流失、违反用工法等造成损失或者不良影响而引起的风险。(1)内部欺诈是指故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失,此类事件至少涉及内部一方,但不包括歧视及差别待遇事件主要集中于内部人作案和内外勾结作案两种,属于最常见的操作风险类型。,(2)失职违规商业银行内部员工因过失没有按照雇佣合同、内部员工守则、相关业务及管理规定操作或者办理业务造成的风险,主要包括过失、未经授权的业务以及超越授权的活动。员工越权行为包括滥用职权、对客户进行误导、支配超出其权限的资金额度,致使商业银行发生损失的风险。,(3)知识/技能匮乏主要有三种: 自己意识不到缺乏必要的知识技能,按照自己认为正确而实际错误的方式工作; 意识到自己缺乏必要的知识/技能,但由于颜面或其他原因,未向管理层提出或声明其无法胜任或不能正确处理面对的情况; 意识到自己缺乏必要的知识/技能,并进而利用这种缺陷危害商业银行的利益。在前两种情况下,如果其负责核心业务方面的工作,则很可能给商业银行带来经济或声誉方面的损失。第三种情况则被认为属于内部欺诈。,(4)核心雇员流失核心雇员流失造成的风险体现为商业银行对关键人员(如交易员、高级客户经理)过度依赖的风险,包括缺乏足够的后备人员、关键信息缺乏共享和文档记录、缺乏岗位轮换机制等。(5) 违反用工法商业银行因违反劳动合同法、就业、健康或安全方面的法规或协议等,造成个人工伤赔付或因歧视及差别待遇事件导致的损失。,2. 内部流程内部流程因素引起的操作风险是指由于商业银行业务流程缺失、设计不完善,或者没有被严格执行而造成的损失,主要包括财务/会计错误、文件/合同缺陷、产品设计缺陷、错误监控/报告、结算/支付错误、交易/定价错误六个方面,3. 系统缺陷是指由于信息科技部门或服务供应商提供的计算机系统或设备发生故障或其他原因,导致商业银行不能正常提供全部/部分服务或业务中断而造成的损失。系统缺陷引发的风险包括系统设计不完善和系统维护不完善所产生的风险,具体表现为数据/信息质量、违反系统安全规定、系统设计/开发的战略风险,以及系统的稳定性、兼容性、适宜性方面的问题。,4. 外部事件商业银行是在一定的政治、经济和社会环境中运营的,经营环境的变化、外部突发事件等都会影响其正常的经营活动甚至造成损失。外部事件可能是内部控制失败或内部控制的薄弱环节,也可能是外部因素对商业银行运作或声誉造成的“威胁”.(1)外部欺诈(2)洗钱(3)政治风险(4)监管规定(5)业务外包(6)自然灾害(7)恐怖威胁,1.操作风险原因,是指诱发操作风险转变为操作风险损失事件的原由,通常一个操作风险损失事件可由一个或多个操作风险原因引发一级操作风险原因分类有信息科技系统、流程、人员、经营活动、环境、政治、监管和破坏或事故等八类。2.操作风险损失事件分类援用了银监会的操作风险损失事件分类分为一级、二级、三级,3.操作风险影响分类是指操作风险损失事件发生后对银行造成的负面影响,包括财务影响(表现为发生了实际或潜在核销或财务账户项下费用)和非财务影响(客户/服务、声誉、员工及法律/监管影响。4.操作风险严重度评级通过等级矩阵进行评级,通过风险概率和影响两个维度来度量风险的严重度。,5.1.5 操作风险的识别,1.自我评估法是在商业银行内部控制体系的基础上,通过开展全员风险识别,识别出全行经营管理中存在的风险点,并从影响程度和发生概率两个角度来评估操作风险的重要程度。2.因果分析模型在综合自我评估结果和各类操作风险报告的基础上,利用因果分析模型能够对风险损失、风险成因和风险类别进行逻辑分析和数据统计,进而形成三者之间相互关联的多远分布。,案例篇,5.2 操作风险评估,5.2.1 操作风险评估的定义与原理5.2.2操作风险评估的原则5.2.3操作风险评估的步骤5.2.4操作风险评估的价值5.2.5操作风险评估与其他管理流程的结合应用,5.2.1 操作风险评估的定义与原理,操作风险评估(RCSA),是指操作风险所有人持续识别、评估并报告业务流程的操作风险及其控制状况的过程。原理:固有风险-控制措施=剩余风险采取定性和定量相结合的方法,5.2.2操作风险评估的原则,1.业务流程所有人负第一评估责任原则2.动态管理原则3.重要性原则,5.2.3操作风险评估的步骤,准备阶段:包括确认评估对象、绘制流程图、收集整理操作风险信息;评估阶段:包括识别和评估固有风险、识别和评估现有控制、评估剩余风险、提出优化方案;报告阶段:包括整合评估成果和提交报告两个步骤,5.3 操作风险控制,5.3.1 操作风险控制环境5.3.2 操作风险缓释5.3.3 主要业务操作风险控制,5.3.1 操作风险控制环境,包括公司治理、内部控制和风险文化等要素。,5.3.2 操作风险缓释,1.业务连续性管理计划(BCP)对于低频高损事件是指为实现业务连续性而制定的各类规划及实施的各项流程。商业银行应定期检查灾难恢复和连续营业方案,保证其与目前的经营和业务战略吻合,并对这些方案进行定期测试,确保商业银行发生业务中断时,能够迅速执行既定方案。2. 商业保险购买保险只是操作风险缓释的一种措施。预防和减少操作风险事件的发生,根本上还是要靠商业银行不断提高自身的风险管理水平。,3. 业务外包从本质上说,业务操作或服务虽然可以外包,但其最终责任并未被“包”出去。外包并不能减少或免除董事会和高级管理层确保第三方行为的安全稳健以及遵守相关法律的责任。过多的外包也会产生额外的操作风险或其他隐患商业银行仍然是外包过程中出现的操作风险的最终责任人,对客户和监管者承担着保证服务质量、安全、透明度和管理汇报的责任。外包服务管理实施流程分立项、采购、合同管理、持续管理与监督等四个环节,5.3.3 主要业务操作风险控制,1. 柜台业务2. 法人信贷业务大致分为评级授信、贷前调查、信贷审查、信贷审批、贷款发放、贷后管理六个环节。3. 个人信贷业务4. 资金交易业务可分为前台交易、中台风险管理、后台结算/清算环节5. 代理业务,5.4 操作风险监测与报告,当前商业银行操作风险监控主要关键指标有:关键风险指标和损失数据搜集两种5.4.1关键风险指标法5.4.2损失数据的搜集5.4.3风险报告,5.4.1关键风险指标法,1.关键风险指标的定义(KRI)是指对一个或多个操作风险敞口,通过反映操作风险发生可能性或影响度或某一控制有效性,对该风险或控制进行定性或定量跟踪监测的操作风险管理流程。通常包括交易量、员工水平、技能水平、客户满意度、市场变动、产品成熟度、地区数量、变动水平、产品复杂程度和自动化水平等,2.关键风险指标监控的原则整体性重要性敏感性可靠性有效性,3.关键风险指标法的应用流程关键风险指标法可选择已经识别出来的主要操作风险因素,并结合商业银行的内、外部操作风险损失事件数据形成统计分析指标,用于评估商业银行整体的操作风险水平。关键风险指标监控由设置风险指标、监控分析、报告关键风险指标、更新关键风险指标等步骤。,4.关键风险指标监控的价值商业银行可自主选择一些能够充分反映本行经营特色的关键风险指标,并为其设定阀值,同时根据这些关键风险指标所反映的风险状况确定适当的监测频率,使得操作风险管理部门能够及时向高级管理层发出预警,及时对异常风险状况采取行动。商业银行通过监控和分析不同时期自身关键风险指标的变化,并与同类金融机构进行横向比较,有助于深入理解操作风险状况的变化趋势,为操作风险管理提供早期预警。,5.关键风险指标与其他管理流程的结合应用,5.4.2损失数据收集,1.损失数据收集的定义(LDC)指操作风险损失数据的搜集、汇总、监控、分析和报告工作。2.损失数据收集的原则重要性原则;准确性原则;统一性原则;谨慎性原则。,3.损失数据收集的步骤(1)损失事件识别:主要是明确收集范围和判断损失金额是否达到收集门槛(2)损失事件填报:事件的真实情况、总体的财务损失金额以及逐笔损失、成本或挽回的明细信息。(3)损失金额确定:是指操作风险事件造成的直接损失和成本金额,也即事件直接导致的对银行收益或股东权益造成的负面影响,或直接导致的运营成本或费用的额外增加。判断是否应纳入的决定因素是:损失和成本是否直接由操作风险事件导致,或者与操作风险事件直接相关,且是真正的经济损失。(4)损失事件信息审核:事件完整性和事件属性(5)损失数据收集验证,4.损失数据收集的价值(1)全面了解一定损失规模以上的损失操作风险损失事件的定性信息和定量财务影响,帮助把握全行操作风险损失在损失额和损失发生频率两个维度的分布情况。(2)识别、跟踪操作风险损失金额较大和损失事件发生较为频繁的部门和流程。(3)符合巴塞尔新资本协议标准法的资本标准(4)为实施巴塞尔新资本协议高级计量法计算操作风险监管资本提供数据基础。在高级计量法下,用于损失计量和验证的内部损失数据至少要有5年内的观测值,如果银行初次使用高级计量法,允许使用3年的内部历史数据。,5.关键风险指标与其他管理流程的结合应用LDC是对操作风险损失事件的跟踪和记录,客观反映全行操作风险的实际损失和分布,为RACA流程产生的评估风险敞口提供实际损失数据验证。实际发生的风险也可引起整改流程。操作风险重大事件报告(SERP)的财务损失数据是操作风险损失数据收集(LDC)的重要数据来源。损失数据也可为风险发生机构的内控考核提供依据。,5.4.3风险报告,国际先进银行普遍采用的操作风险报告路径是:各业务部门负责收集与操作风险相关的内部数据和信息,并报告至操作风险管理部门。操作风险管理部门集中处理、评估后,形成操作风险报告递交管理层。而有些商业银行的业务单位、内部职能部门、操作风险管理部门和内部审计部门均可单独向高级管理层汇报。内容都应当包括风险状况、损失事件、诱因与对策、关键风险指标、资本金水平五个主要部分,5.5 操作风险资本计量,5.5.1 基本指标法5.5.2 标准法5.5.3 高级计量法,商业银行可以选择基本指标法、标准法或高级计量法来计量操作风险资本要求。银行必须采用同信用风险和市场风险一样的方式,对潜在的操作风险损失建立监管资本。,5.5.1 基本指标法,将商业银行视为一个整体来衡量操作风险,只分析银行整体的操作风险水平,而不对其构成进行分析。基本思路:银行所持有的操作风险资本等于前三年总收入的平均值乘上一个固定比例( )。但这样各银行统一的 值,这样具有不同风险特征和风险管理状况的银行每单位的总收入被要求配置相同的监管资本,无法实现监管与激励的相容。巴塞尔委员会建议基本指标法的适用范围是小型的、业务范围限于某一国家或地区内的商业银行,对于业务复杂、规模庞大的国际活跃银行,巴塞尔委员会建议选用更高级的计量方法。,以总收入为基础计量操作风险资本要求。其中, 为按基本指标法计量的操作风险资本要求。GI为过去三年中每年正的总收入。n为过去三年中总收入为正的年数。 为15% 总收入为净利息收入与净非利息收入之和。,5.5.2 标准法,标准法(Standardised Approach)将商业银行的所有业务划分为九条业务线,计算时需要获得每个业务条线的总收入,然后根据各条线不同的操作风险资本要求系数,分别求出对应的资本,最后加总得到商业银行总体操作风险资本要求。在各产品线中,总收入是个广义的指标,代表业务经营规模,因此也大致反映了各产品线的操作风险状况。代表商业银行在特定产品线的潜在操作风险损失与该产品线总收入之间的关系。,公式:各业务条线的操作风险系数如下:(1)零售业务、资产管理和零售经纪业务条线的操作风险资本系数为12%(2)商业银行和代理服务业务条线的操作风险资本系数为15%(3)公司金融、支付和清算、交易和销售以及其它业务条线的操作风险资本系数为18%。,商业银行使用标准法计量操作风险资本应当至少满足以下条件:1. 应当建立清晰的操作风险管理组织架构、政策、工具、流程和报告路线。2.应当建立与本行的业务性质、规模和产品复杂程度相适应的操作风险管理系统。3.应当系统地收集、跟踪和分析与操作风险相关的数据,包括各业务条线的操作风险损失金额和损失频率。4.应当制定操作风险评估机制,将风险评估整合入业务处理流程,5.应当建立关键风险指标体系6.建立全行统一的业务连续性管理政策措施,建立业务连续性管理应急计划7.负责操作风险管理的部门应定期向高级管理层和董事会提交全行的操作风险管理与控制情况报告8.操作风险管理系统和流程应接受内部独立审查9.应当投入充足的人力和物力支持在业务条线实施操作风险管理10.操作风险管理体系及其审查情况都应接受银监会的监督审查,5.5.3 高级计量法,高级计量法(Advanced Measurement Approach ,AMA)是银行根据本行业务性质、规模和产品复杂程度以及风险管理水平,基于内部损失数据、外部损失数据、情景分析、业务经营环境和内部控制因素,建立操作风险计量模型以及本行操作风险监管资本的方法。银行应当基于内部损失数据、外部损失数据、情景分析、业务经营环境和内部控制因素建立操作风险计量模型。,巴塞尔委员会鼓励银行自主开发适合自身的AMA模型。并在2001年发布的新资本协议征求意见稿中推荐了损失分步法(LDA)(主流选择)、内部衡量法(LMA)和打分卡法(SCA)三种计量模型。操作风险高级计量法的技术要点主要包括:一是制定数据清洗标准和使用规则;二是确定模型构建流程。逐项形成包括频率和严重度的分布选择、情景分析数据使用、蒙特卡罗模拟、相关性处理、保险缓释、BEICF资本分配等关键环节的解决方案,最终形成具有本行特点的AMA模型计量流程和办法。,1.数据处理 (1)内部损失数据(ILD)(2)外部损失数据(ELD)(3)情景分析(SA)数据(4)业务经营环境和内部控制要素(BEICFs),2.模型建立与计量基于损失分布法(LDA)构建AMA模型是目前国际银行的主流选择。思路是在数据清洗的基础上,分别对损失频率和严重度的概率分布函数进行估计,采用蒙特卡洛模拟方法进行拟合,进而得到银行操作风险资本额的方法(1)损失分布法(LDA)的方法论基于保险精算技术发展而来。银行对其每个业务部门/事件类型组合分别估计频率和严重度两个概率分布函数,用蒙特卡洛模拟方法拟合出一定置信水平(99.9%)和区间(一年)的操作风险VaR值。,(2)模型的精细度是建立模型的最小单元,直接影响AMA模型的个数、风险敏感度和精细程度,是AMA的核心问题。(3)分布选择(4)资本拟合在获得频率分布和严重度的概率分布函数后,根据99.9%的置信水平,采用蒙特卡罗模拟方法来确定银行操作风险资本额。(5)相关性处理主要包括频率相关性、严重度相关性和累积损失相关性。(6)模型验证证明高级计量模型能够充分反映低频高损事件风险,审慎计量操作风险的监管资本。,高级计量法(AMA)的优势:(1)优化操作风险管理流程(2)促进风险管理文化的转变(3)丰富操作风险的管理手段(4)完善绩效考核体系,