商业银行操作风险管理.ppt
,商业银行操作风险管理,声 明,本讲座涉及所有内容,均为本人个人观点,不代表任何第三方或机构,特此声明。,3,教育:1998.08-1999.12 加拿大艾伯特大学访问研究1990.02-1993.05 西安交大管理博士1983.09-1989.12 西安交大计算机软件学士工作:2005.07 现在 加拿大皇家银行总行2000.01 2005.10 中国工商银行总行副总经理/四川分行行长助理、党委委员1999.01-1999.12 加拿大皇家银行总行学习工作1993.06-1998.07 中国工商银行计划部1991.10-1993.04 中国国务院发展研究中心访问研究,个人主要简历,操作风险:一个新的风险管理前沿操作风险管理:巴塞尔新资本协议框架国际活跃银行的实践我国银行操作风险管理,主要内容,近年来,银行面临的操作风险暴露不断增加,出于监管压力和内部管理的双方面原因,操作风险正在成为一个新的风险管理前沿领域。巴塞尔新资本协议对操作风险提出明确的监管资本要求。一些重大的风险事件,引起了人们对操作风险的重视。20世纪90年代以来发生的一些金融机构风险事件给银行带来巨额损失。新技术革命的发展尤其是信息技术在金融领域的广泛应用,大大提高了银行金融服务的效率,但同时加大了商业银行操作风险。信用风险和市场风险管理技术的迅速发展,在缓释信用风险和市场风险的同时,加大了操作风险。金融全球化的迅速发展,跨国界金融交易和服务面临不同的社会、政治和法律制度,增加了银行的操作风险暴露。,操作风险:一个新的风险管理前沿,巴林银行1995,交易员未经授权及隐匿的期权和期货交易损失13亿美元,导致百年银行倒闭国民西敏寺银行一个新的计算机系统问题导致严重的系统崩溃,使400个支行和300个ATMs不得不立刻关闭德意志银行由于在转换成欧元时的疏忽,55000个客户在德国的证券帐户被透支瑞士银行集团(UBS)由于在结构性权益衍生品的定价错误导致了1亿2千万瑞士法郎的损失大和银行1995年,资金交易的前台、中台没有分离,后台伪造文件等原因,在长大11年的资金交易中,有3万笔交易没有经过授权,由此导致的损失11亿美元,操作风险:一个新的风险管理前沿,国外操作风险损失事件,Operational Risk,Inc研究显示,自20世纪80年代以来,金融机构因操作性风险遭受的损失超过了2000亿美元普华永道1999年对12家顶级银行调查显示,1992-98平均每年的操作风险损失在50亿美元以上,操作风险:一个新的风险管理前沿,国外操作风险损失事件,操作风险:一个新的风险管理前沿,2005年以来新闻曝光的部分案件:中国银行黑龙江分行河松街支行,涉案的存款金额10亿元中国建设银行长春分行铁路支行内外勾结,骗取30多家单位共3亿元存款建设银行吉林省分行国际业务部原负责人王兴泉涉嫌挪用资金 800万美元中国农业银行内蒙包头分行爆出骗取银行贷款等违法中国银行北京分行爆出虚假按揭案,涉案金额6.45亿元涉案金额近2,000,000,000元!,国内操作风险损失事件,操作风险:一个新的风险管理前沿,国内操作风险损失事件,操作风险:一个新的风险管理前沿操作风险管理:巴塞尔新资本协议的框架国际活跃银行的实践我国银行操作风险管理,主要内容,操作风险管理:巴塞尔新资本协议的框架,最低资本要求,每家银行应根据其风险特征评估其内部资本充足状况监管当局应对内部评估情况进行检查建议银行持有高于监管要求的资本,通过不断加大透明度和公众披露来推动市场纪律由于新协议允许银行使用内部计量方法计算资本要求,公开的信息披露则十分重要,监管检查,市场纪律,给出计算操作风险资本要求的连续的计算方法:基本指标法(The Basic Indicator Approach)标准法(The Standardised Approach)高级计量法(Advanced Measurement Approaches),操作风险管理:巴塞尔新资本协议的框架,操作风险的定义,操作风险管理:巴塞尔新资本协议的框架,有两种定义方式列举原因列举效果BIS定义的问题采取了列举原因的方式,容易使人产生歧意。实践中无法根据该定义来开发管理框架。金融机构自己定义好的定义方式应该是将原因与效果说清楚Basel委员会允许各银行使用自己的定义,操作风险的定义,操作风险管理:巴塞尔新资本协议的框架,Internal fraud 内部欺诈 External fraud 外部欺诈 Employt practices&workplace safety 就业政策和工作场所安全性 Clients,products&business practices 客户,产品及业务操作 Damage to physical assets 实体资产损坏 Business disruption and system failure 业务中断和系统失败 Execution,delivery and process management 执行,交割及流程管理,操作风险 损失类型,操作风险管理:巴塞尔新资本协议的框架,Corporate finance 公司金融 Trading and sales 交易和销售 Retail banking 零售银行业务 Payment and settlement 支付和结算 Agency services 代理服务 Commercial banking 商业银行业务 Asset management 资产管理 Retail brokerage 零售经纪,操作风险 产品线划分,操作风险管理:巴塞尔新资本协议的框架,操作风险计量模型,操作风险管理:巴塞尔新资本协议的框架,操作风险管理:巴塞尔新资本协议的框架,操作风险管理:巴塞尔新资本协议的框架,操作风险管理:巴塞尔新资本协议的框架,操作风险管理:巴塞尔新资本协议的框架,高级计量法(AMA):巴塞尔新资本协议考虑到操作风险计量技术的发展,赋予银行在计量模型选择上较大的灵活性,鼓励国际活跃银行开发和使用风险敏感性高的高级计量方法(advanced measurement approaches)。主要包括内部衡量法、损失分布法、平衡记分卡等。银行采用高级计量法必须满足监管当局对风险管理、内部控制和损失数据积累等方面一系列的严格标准。,操作风险管理:巴塞尔新资本协议的框架,操作风险管理原则,巴塞尔委员会在2003年颁布了操作风险管理和监管的稳健做法,该“做法”从营造适宜的风险管理环境,风险管理的识别、评估、监测缓释、控制,监管者的作用以及信息披露的作用四个方面确立了与建立操作风险管理框架有关的10条原则。,操作风险管理:巴塞尔新资本协议的框架,操作风险管理原则,原则1:董事会应了解本行的主要操作风险所在,把它作为一种必须管理的主要风险类别,核准并定期审核本行的操作风险管理系统。该系统应对存在于本行各类业务中的操作风险进行界定,并制订识别、评估、监测与控制、缓释操作风险所应依据的原则。原则2:董事会要确保本行的操作风险管理系统受到内审部门全面、有效的监督。内审部门必须拥有一支独立运作、训练有素、业务精良的内审队伍。内审部门不应直接负责操作风险的管理。原则3:高级管理层应负责执行经董事会批准的操作风险管理系统。该系统应在银行内各部门得以持续的贯彻执行,并且各级员工也应了解自己在操作风险管理中的责任。高级管理层还应负责制订相关政策、程序和步骤,以管理存在于银行重要产品、活动、程序和系统中的操作风险。原则4:银行应该识别和评估所有重要产品、活动、程序和系统中固有的操作风险。银行还应该确保在引进或采取新产品、活动、程序和系统之前,对其中固有的操作风险已经经过了足够的评估步骤。原则5:银行应该制定一套程序来定期监测操作风险状况和重大损失风险。对积极支持操作风险管理的高级管理层和董事会,应该定期报告有关信息。,操作风险管理:巴塞尔新资本协议的框架,操作风险管理原则,原则6:银行应该制定控制和缓释重大操作风险的政策、程序和步骤。银行应该定期检查其风险限度和控制战略,并且根据其全面的风险喜好和状况,通过使用合适的战略,相应地调整其操作风险状况。原则7:银行应该制定应急和连续营业方案,以确保在严重的业务中断事件中连续经营并控制住损失。原则8:银行监管者应该要求所有的银行,不管其大小,制定有效的制度来识别、评估、监测和控制、缓释重大操作风险,并且作为全面风险管理方法的一部分。原则9:监管者应该直接或间接地对银行有关操作风险的政策、程序和做法进行定期的独立评估。监管者应该确保有适当的机制保证他们知悉银行的进展情况。原则10:银行应该进行足够的信息披露,允许市场参与者评估银行的操作风险管理方法。,主要内容,操作风险:一个新的风险管理前沿操作风险管理:巴塞尔新资本协议的框架国际活跃银行的实践我国银行操作风险管理,国际活跃银行的实践,界定操作风险,鉴于巴塞尔协议代表着国际银行业监管的发展趋势,巴塞尔协议关于操作风险的定义对各国商业银行界定操作风险有着重要的影响。但巴塞尔协议关于操作风险的定义是从监管者角度出发的,主要考虑监管需要,不能完全满足商业银行风险管理的实际。各国际商业银行一般在巴塞尔协议操作风险定义的基础上给出本行的操作风险界定。下面是几家国际性商业银行关于操作风险的定义。花旗集团:操作风险是由于内部流程、人员或系统不完善或失败以及外部事件而造成损失的风险。包括同业务操作和市场行为相关联的声誉和授权风险。美洲银行:操作风险是由于涉及人员、过程、技术、外部事件、执行、法律、合规与监管(compliance and regulatory matters)、声誉等事件造成损失的可能性。渣打银行:操作风险是源于技术、流程、基础设施、人事等方面的失误所造成的直接或间接损失的风险以及其他具有操作影响的风险。加拿大皇家银行:操作风险是源于流程、技术、人员行为以及外部事件的欠缺或失败而造成的直接或间接损失的风险。德意志银行:操作风险是由员工、合同规定和文本保留、技术、基础设施故障和灾祸、外部影响和客户关系等方面产生损失的潜在风险。,国际活跃银行的实践,操作风险管理框架,国际活跃银行的实践,操作风险管理框架:XXX银行,国际活跃银行的实践,操作风险管理组织结构,国际活跃银行的实践,操作风险管理流程,国外银行的操作风险管理是由董事会、管理当局和其他人员共同完成的一个过程,这个过程包括确定银行操作风险策略、识别可能影响银行的潜在风险、将操作风险控制在银行的风险偏好限度内等环节,从而为实现银行管理目标提供一个合理的保证。,国际活跃银行的实践,操作风险识别,风险识别是指通过一定的标准和手段,鉴别分析业务活动中一切可能导致操作风险的因素和产生风险的环节点,确定风险的性质和种类以及风险产生的原因与影响的过程。每个银行的管理当局通常会设计一套完整的程序来识别操作风险的特性和种类,以及操作风险的原因和产生的影响。识别程序一般沿着三条主线展开:第一条主线是操作风险产生的原因,称为风险因素识别;第二条是操作风险事件的类型,称为风险事件识别;第三条是操作风险造成的后果,称为风险影响识别。在每条主线下,根据分析的内容,分层次、分步骤地逐步深入,最终确定风险的所在和事件的性质。,国际活跃银行的实践,操作风险识别模式,国际活跃银行的实践,操作风险识别的常用工具,1、内部损失/事件数据库(Internal loss/event databases)。它是在标准化的操作风险事件分类基础上,对银行内部已发生的风险事件进行确认和记录,并采用结构化的方式进行存储所形成的数据集。2、外部损失/事件数据库(External loss/event databases)。外部损失/事件数据库和内部损失/事件数据库的作用相似。通过对其他银行的操作风险事件的分析,来识别和控制自身的操作风险暴露,尤其是那些影响大但发生概率小的事件。外部数据主要有两种来源:一种是同行协会,如,为分享损失数据,花旗、摩根、德意志、美洲等12家金融机构在苏黎世发起成立的非营利性组织-操作风险数据互换协会(ORX);另一种新闻媒体或专职的代理商,银行自己搜集媒体信息或者从公共数据库(如SAS)得到信息。3、情景分析(Scenario analysis)。是指通过广泛深入地考虑重大事件对银行的影响和潜在风险,来识别、评估和控制风险暴露。操作风险分析人员通过设计各种不同的情景包括政治、经济、军事和自然灾害在内的各项外部环境,可以是以往发生的,也可以是假设性的仿真情景,然后分析这些情景会影响哪些业务、发生的概率及影响的大小。一旦出现新的金融产品、新的金融业务、新的技术,就应应用情景分析评价随之而来的风险。4、流程图(Process mapping)。流程图分析是指通过分析银行每项产品和活动所经过的流程和使用的系统,来识别操作风险暴露的方法。,国际活跃银行的实践,在识别出潜在不利风险的基础上,银行还会对操作风险的影响程度和控制能力进行评估,由此确定自身对这些风险的承受能力。这个评估过程一般由风险管理部门和业务管理部门的自我评估来完成,而监管部门、外部审计等组织的独立评估会对自我评估过程起到很好的参考和推动作用,自我评估过程经常会借助外部评估的结论来修正完善自己的评估结果。,风险评估,国际活跃银行的实践,ZFG的自我评估流程,国际活跃银行的实践,风险评估,RCSA的实施流程,风险与控制自我评估(Risk and Control Self Assessment简称RCSA)是国际银行普遍采用的一种风险评估技术。第一步信息收集和审查是指在一定范围内完整、准确地收集有关信息资料,客观、公正地对这些信息资料进行审查,对有关的整体情况进行初步了解和掌握。第二步主要是合理综合运用流程分析、风险驱动因素分析、风险事件分析等方法,科学地确定调查问卷或研讨会上需要提出的鉴定性问题,并对这些问题按照重要性原则进行排序。第三步真正开始进入自我评估实施阶段,由RCSA执行人员组织落实,通过对各部门、各业务操作环节有关人员的问卷调查,或通过座谈会形式获取对上述所有鉴定性问题的答复。第四步征求有关风险管理人员和内控管理专家的意见,对有关内容进行修正和完善,得出银行操作风险和内控管理的自我评估结论。,国际活跃银行的实践,风险控制与缓释,对已识别的操作风险,银行通常会根据所评估的风险影响程度,采用适当的风险管理策略和措施加以管理。一般来说,在管理操作性风险方面银行可以采取四种策略:避免、缓释、转移和承担。何时应用这四种战略取决于银行的风险偏好和风险容忍度,以及银行对控制缓释措施和操作风险的成本收益分析。1、对发生频率和影响强度都较很高的风险,由于风险通常超过了银行的承受能力,一般采取避免的方式。2、对于发生频率高、影响强度小的风险,银行通常采用缓释的方法。这是银行最常用的方式,包括加强内部控制、加大技术投资等措施,它涉及从业务程序的完善、员工的培训、技术方案的改进、企业文化的建设等多个方面。3、对于发生频率低、影响强度大的风险,银行应采取转移的策略。如业务外包、保险等。4、对于频率和影响强度都较小的风险,由于风险程度在银行的风险容忍限度内或是出于无奈,银行会采取承担的策略,保留一定水平的操作风险或自我防范那种风险。,国际活跃银行的实践,风险监测与计量,有效的监测程序对充分管理操作风险至关重要,动态监测活动有利于及时发现和纠正管理操作风险的政策、程序和流程中存在的缺陷,及时发现和处理这些缺陷可以大大减少操作风险损失事件的发生频率和严重程度。国外先进银行一般都有一套完整的程序来监测操作风险状况和重大损失风险,并将监测情况定期报告董事会、高级管理层或相关的管理责任层。常用的监测工具主要有风险图和监测指标两种。,风险监测与计量:风险图,国际活跃银行的实践,风险图是一组用以描述风险种类及其发生频率和强度的散点图(如图),其数据主要来源于自我评估结果或损失事件历史数据。它可以帮助管理当局非常直观地看出银行的主要风险所在,识别那些需要管理控制的风险,通过及时减少频率或损失强度,使风险降低到可接受的区域。,国际活跃银行的实践,风险监测与计量:风险监测指标,风险监测指标是银行在对操作风险点进行准确识别的基础上,通过设定一些可度量的变量来反映特定风险的暴露情况,这些变量往往与该风险的产生有直接的联系,变量值的变化反映风险水平的变化。监测指标一般都设有门槛值,称作放大机制或触发水平,表示指标的变化限度或容忍限度,一旦达到此水平,银行就会考虑采取行动,从而达到帮助银行明确识别各项重大风险,促使银行对这些风险采取适当行动的目的。,国际活跃银行的实践,风险监测与计量:KRI指标,近年来,加拿大皇家银行、德意志银行、花旗银行等国际化大商业银行越来越重视对操作风险和损失的控制与管理,开始使用许多技术方法来量化其业务经营中的操作风险程度。那些反映和暴露高风险、高损失领域的指标KRI也吸引了业界更为关注的目光。但是由于银行之间没有就KRI指标的开发形成一个统一的框架,同样的一个指标在各大银行间的定义各不相同,即使是在同一家银行内的功能非常相近的部门之间对这一指标的定义也有较大的差异。,国际活跃银行的实践,风险监测与计量:KRI指标,风险管理协会(Risk Management Association,简称RMA)分三个阶段进行KRI的开发:第一阶段定义一个标准的风险点二维矩阵、制作风险地图;第二阶段选择小规模的高风险点,定义并详细列出KRI。然后选择一个较大规模的银行金融机构,确定风险地图,并对较多风险点进行识别、定义,详细列出标准的KRI;第三阶段详细列出所需要的KRI,完成整个研发任务。这项研发工作进展顺利,2004年6月进入研发第二阶段,至2004年12月已取得了以下几个方面的主要成果:提议的业务线、风险分类和业务功能三维立体框架下的二元矩阵(如图3-2)得到了验证,被称为是观察风险的最简捷的方法;对KRI体系下的程序和风险作了标准化的定义,它对大量的银行业务线都具有较强的适用性;设计了令人满意的银行风险地图;生成了一个包含1800个KRI的资料库。,国际活跃银行的实践,风险监测与计量:XXX KRI指标,国际活跃银行的实践,LED的运作程序,风险监测与计量:LED,损失事件数据库英文全称Loss Event Database,简称LED。LED是在标准化的操作风险事件分类基础上,对银行已发生的风险事件进行确认和记录,并采用结构化的方式进行存储。LED是操作风险管理和建模的基础。目前国际上一些大型的现代化商业银行,例如加拿大皇家银行、花旗、摩根大通、德意志等银行,已经积累了一些内部操作风险事件损失数据,他们认为这些操作风险事件损失的历史数据是对操作风险的最好反映。建立LED的一般程序如左图。,国际活跃银行的实践,风险分析与报告,风险分析与报告是操作风险管理的最后环节,也是下一个管理循环的开始,报告通常作为下一循环的行动指南和管理依据。国外商业银行的操作风险分析一般在两个层次上进行,即操作风险主管部门和业务部门。操作风险管理部门利用损失数据库、业务流程图、风险自我评估、监测指标等工具产生的结果,对全行和业务线层次上的关键风险点进行深入分析,并形成分析报告。业务部门通过定期组织操作风险管理会议,实施风险自我评估,分析所有有关操作风险的信息,如实际损失、监测指标、审计报告等,来分析本部门的操作风险状况,制定控制或缓释操作风险的具体措施;业务部门还会定期与操作风险管理部门会商,识别和讨论主要风险,并将会商的结果和下步计划形成报告报风险管理部门和本部门风险委员会。报告的途径和路线因银行规模和内部组织结构的差异而有所不同。一些小银行由于组织管理结构简单,报告由各部门直接报告给高级管理层;而在一些大的金融集团,由于机构设置复杂,报告层次较多,从业务管理部门和风险管理部门两条路线分别报告,形成网络式报告。,国际活跃银行的实践,FORTIS集团的OR报告路线,风险分析与报告,国际活跃银行的实践,积极开发高级计量法,巴塞尔新资本协议允许风险管理水平高的大银行根据自身实际情况,开发使用高级计量法来计量操作风险资本需要。相对于基本指标法和标准法来说,高级计量法在计提监管资本上具有优势。同时,高级计量法具有较高的风险敏感性,能够比较准确地计算所需经济资本,并能够通过在各部门的经济资本分配形成有效的风险约束的绩效管理模式。因此,各主要国际活跃银行都在积极开发操作风险高级计量法模型。,国际活跃银行的实践,积极开发高级计量法,左边的雷达图描绘了目前国际商业银行在运用高级计量法方面相关因素的差距和不足。离边界的距离表示对应方面的差距。可以看出,影响高级计量法开发和使用的一些难点包括:关键风险指标(KRIs)、情景分析、数据收集、报告等。,国际活跃银行的实践,积极开发高级计量法:Abank的情况,积极开发高级计量法:XXX银行的情况,国际活跃银行的实践,主要内容,操作风险:一个新的风险管理前沿操作风险管理:巴塞尔新资本协议的框架国际活跃银行的实践我国银行操作风险管理,我国银行操作风险管理,经过多年的探索,已经形成了一套以内部控制为核心的操作风险防范机制。监管部门高度重视操作风险防范,出台了防范操作风险的13条意见,开展了操作风险大检查和银行案件专项治理。风险管理缺乏灵活性和自主性,没有形成以资本计量和资本配置为核心的风险管理体系,风险管理落后于银行业发展和竞争的需要,同国际活跃银行相比有很大的差距。对操作风险这一新的风险管理领域的研究和实践才刚刚起步。,现状,我国银行操作风险管理,建议,形成涵盖操作风险的全面风险管理体系加强公司治理和内部控制建设积极开发操作风险经济资本计量和分配技术加强操作风险监管,形成有力的监管约束进一步加大对操作风险的研究,商业银行操作风险管理,谢谢大家!,