《操作风险管理概述.ppt》由会员分享,可在线阅读,更多相关《操作风险管理概述.ppt(72页珍藏版)》请在三一办公上搜索。
1、1,商业银行操作风险管理及监管,2,目 录,一、操作风险基本概念各类定义历史演变特征与其他风险的区别三、操作风险管理组织构架职能分工管理流程:识别、评估、控制与缓释、监测、报告量化分析和资本计提,二、操作风险战略风险偏好业务发展四、操作风险监管监管范围操作风险事件及其报告路线监管当局的定期检查,3,操作风险基本概念,定义,4,巴塞尔委员会:由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。本定义包括法律风险,但不包括策略风险和声誉风险。JP摩根:各公司业务和支持活动中内生的一种风险因素,这类风险表现为各种形式的错误、中断或停滞,可能导致财务损失或者给公司带来其他方面的损害。英国
2、银行家协会:由于内部程序、人员、系统的不完善或失误,或外部事件造成直接或间接损失的风险。花旗集团:由于内部流程、人员或系统不完善或失败以及外部事件而造成损失的风险。包括与业务操作和市场行为相关联的声誉和特许经营风险。美洲银行:由于涉及人员、过程、技术、外部事件、执行、法律、合规与监管、声誉等事件造成损失的可能性。渣打银行:源于技术、流程、基础设施、人事等方面的失误所造成的直接或间接损失的风险以及其他具有操作影响的风险。加拿大皇家银行:源于流程、技术、人员行为以及外部事件的欠缺或失败而造成的直接或间接损失的风险。,操作风险的定义,5,定义(续),法律风险*,策略风险*,声誉风险*,因无法履行的合
3、同(全部或部分)、诉讼、不利的判决或其他法律程序使银行的业务中断或对银行状况造成不利影响而带来的风险。,公众对某家银行做法持负面评价(无论真实与否),从而导致其客户群缩小、发生昂贵的诉讼及/或使其收入下降的可能性。,来源于不合适的业务战略,或与该战略有关的假设条件、参数、目标以及其它特征有了负面的改变。,*以上定义引自FSI Connect文件,6,操作风险监管的历史演变,1988,1988 年资本协议:信用风险资本要求,1999.6,新资本协议征求意见稿:强调操作风险及其定量分析对银行的重要性,2004.6,新资本协议,1992,1988年资本协议实施,1996,资本协议修订案:市场风险资本
4、要求,操作风险管理与监管的稳健做法,2003.2,操作风险高级计量法原则,2004.1,7,因果关系,原因为什么发生?人员违规、程序不合理、系统故障、外部冲击,事件*发生了什么?,欺诈、交易记录输入错误、系统数据丢失,影响结果如何?,资金损失、声誉受损、罚款,*:事件是指已经成为现实的损失;所以事件不涵盖潜在损失。,8,事件分类,-客户、产品和业务实践,与满意度、忠诚缺失、销售业务等相关的成本和法律责任,黑客、分支行抢劫,-外部欺诈,前台/中台/后台执行错误、程序故障,-执行和程序错误,-雇佣和工作场所安全,风险事件,案例,-内部欺诈,-业务中断和系统故障,软件、硬件和电信问题,雇员盗取,头寸
5、错报,与不正当地辞退职工、骚扰、薪酬等相关的成本和法律责任,9,事件和产品条线矩阵*,*新资本协议的分类方法,10,特征,风险与收益不匹配分散性内生性多样性,除自然灾害、恐怖袭击等外部事件外,操作风险大部分为内生风险。,引发操作风险的因素复杂多样,既有员工、场所,还有系统、程序等。,信用风险和市场风险一般都和收益成正比例关系,而操作风险不存在这种相关性。,操作风险覆盖面广,其管理模式应战略政策管理集中,日常性操作风险管理分散化到各业务部门。,11,三种风险特征比较,利润的上升并不需要操作风险敞口的增加,利润,风险,12,三大风险的主要区别,就信用风险和市场风险而言,风险是个中性概念,既包含潜在
6、的损失,也意味着潜在的盈利机会,金融机构必须通过承担风险获取收益。但操作风险纯粹意味着损失。就信用风险和市场风险而言,银行可以借助业务产品组合的多样化效果降低整体风险,改善风险回报分布。但多样化与操作风险之间没有这种必然联系。,13,*表示不包括操作风险中高频、低额的部分。,三种风险的量化分析比较,14,操作风险战略,风险偏好,15,风险偏好,风险偏好:根据发展规划和现有的业务能力和风险控制能力,银行确定下来的风险容忍程度。一般可分为积极型、中性和保守型。积极型风险偏好:是指银行制定积极型发展规划,在推行这一规划时同时主动积极的承担相应的风险,进行风险套利,推进风险主动动态配置。中性风险偏好:
7、是指银行制定比较稳妥的发展规划,在推行这一规划的同时承担相应的风险,不进行风险套利,也不主动规避某些风险,推进风险中性配置。保守型风险偏好:是指银行制定比较保守的发展规划,在推行这一规划的同时尽量规避相应的风险,不进行风险套利,推进风险被动保守配置。,16,操作风险管理,17,第一阶段是传统阶段:只有内部控制,缺乏正规的操作风险管理架构。第二阶段是识别阶段:专人负责操作风险管理,制定了相应的制度,能实施自我评估,收集损失事件的数据。第三阶段是监测阶段:能跟踪收集相关数据,制定了定性和定量指标,实施打分卡策略,形成综合报告体系,系统性培训。第四阶段是定量阶段:具备全面综合的数据库,能借助数理模型
8、深入分析带来的影响。第五阶段是整合阶段:操作风险管理、战略规划、质量控制和经济资本管理有机结合,提高股东价值。,操作风险管理的发展阶段,18,我国银行操作风险管理差距,19,我国银行操作风险管理差距(续),20,操作风险管理的好处,确保连续经营,提高风险管理能力降低银行损失,提升股东投资收益满足监管要求,促进银行业稳健运行,21,操作风险管理,管理体系,22,操作风险管理体系基本要素,营造合适的操作风险管理环境,操作风险管理程序,信息披露的作用*,原则 董事会和高管层职责,原则_,原则充分的对外信息披露,操作风险管理与监管的稳健做法,操作风险管理体系 的基本要素,营造合适的操作风险管理环境,资
9、本计提规定*,董事会的监督控制高管层职责适当的组织结构*,政策方法 程序缓释手段,资本计提,操作风险管理政策、方法和程序*,*:表示稳健做法里不涵盖;*:表示是对稳健做法相应原则的扩展;*:表示相互存在差异,23,组织构架参考示意图,商业银行董事会,层级1,层级2,商业银行高管层,层级3,负责操作风险管理的相关部门或牵头部门*,内审部门或外审,法律、合规、信息科技、安保、人力资源部门,业务部门,业务部门,业务部门,业务部门,业务部门,业务部门,业务部门,业务部门,*:考虑到中国商业银行现状,我们对商业银行不作单独设立操作风险管理部门的硬性要求,但商业银行必须有相应的部门或牵头部门独立行使操作风
10、险管理职能-引自商业银行操作风险管理指引,24,董事会相应职责*,承担监控操作风险管理有效性的最终责任,制定,操作风险管理战略、总体政策以及奖惩制度等,审查,高管层的操作风险职责、权限和报告制度,审阅,高管层提交的操作风险报告,了解,操作风险管理的总体情况、高管层处理重大操作风险事件的有效性,确保,全行的操作风险管理决策体系的有效性;本行从事的各项业务面临的操作风险控制在可以承受的范围内;高管层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险;操作风险管理体系接受内审部门的有效审查与监督;全行范围有效地推动操作风险管理体系地建设。,*:引自商业银行操作风险管理指引,25,高管层相应职责
11、*,负责执行董事会批准的操作风险管理战略、总体政策及体系,在操作风险的日常管理方面,对董事会负最终责任,根据董事会制定的操作风险管理战略及总体政策,负责制定、定期审查和监督执行操作风险管理的政策、程序和具体的操作规程,并定期向董事会提交操作风险总体情况的报告,全面掌握本行操作风险管理的总体状况,特别是各项重大的操作风险事件或项目,明确界定各部门的操作风险管理职责以及操作风险报告的路径、频率、内容,督促各部门切实履行操作风险管理职责,以确保操作风险管理体系的正常运行,为操作风险管理配备适当的资源,包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为操作风险管理人员提供培训、赋予操作风险
12、管理人员履行职务所必需的权限等,及时对操作风险管理体系进行检查和修订,以便有效地应对内部程序、产品、业务活动、信息科技系统、员工及外部事件和其他因素发生变化而所造成的操作风险损失事件,*:引自商业银行操作风险管理指引,26,操作风险管理牵头部门职责*,27,业务部门相应职责*,*:引自银行操作风险管理指引,28,其他支持部门相应职责*,法律合规部门,信息科技部门,安全保卫部门,人力资源部门,管好操作风险的三大防线,人员,内部审计,内部控制,*:引自商业银行操作风险管理指引,29,其他支持部门的相应职责*(续),内审部门,不直接负责或参与其他部门的操作风险管理,定期检查评估本行的操作风险管理体系
13、运作情况,监督操作风险管理政策的执行情况,监督操作风险管理政策的执行情况,对新出台的操作风险管理政策、程序和具体的操作规程进行独立评估,向董事会报告操作风险管理体系运行效果的评估情况,外审部门,银监会鼓励业务复杂程度较高和规模较大的商业银行委托社会中介机构对其操作风险管理体系定期进行审计和评价,*:引自商业银行操作风险管理指引,30,操作风险管理,管理流程,31,操作风险管理流程,风险识别,评估/计量,缓释/控制,检验/再评估,监测,报告,反馈,操作风险管理是一个连续的过程,32,操作风险的识别,对影响经营绩效、带来财务或非财务损失的内外部操作风险加以识别,考虑的各项因素,内在操作风险的整体情
14、况*,银行运行所处的内外部环境,银行的独特环境因素,银行的战略目标,内外部的变化及变化速度,*内在风险:由行为活动产生的“内在”或“内含”的东西,造成损失的可能性、成本、持续性。,33,操作风险评估,根据损失经验、假设分析等逐一测评所有被识别出来的内部或外部操作风险因素的影响程度,以确定哪些风险可接受,哪些风险不可接受,需加以控制或转移。,操作风险评估应重点考虑的因素:1.操作风险因素的发生频率2.操作风险因素的影响程度3.操作风险等级4.风险的可接受程度5.控制的有效性,操作风险识别与评估的主要方法包括:操作风险与内部控制自我评估、操作损失事件数据法和流程图等。,34,风险评估方法一:自我评
15、估,自我评估:是在银行内部控制体系基础上,通过开展全员风险识别,识别出全行经营管理中存在的风险点,并从损失金额和发生概率两个角度来评估风险度大小。自我评估的主要目标:是鼓励各级机构承担责任及主动对操作风险进行识别管理。自我评估通常的方法:流程分析法、情景模拟法、引导会议法、德尔菲法(专家预测法)、调查问卷法等。,35,自我评估的工作流程,作业流程分析和风险识别与评估,全员风险识别与报告,控制活动识别与评估,制定与实施控制优化方案,报告自我评估工作与日常监控,影响打分卡自我评估,并对风险进行分类寻找风险要素,并设计衡量指标综合分析各项因素,专家打分频率打分卡自我评估,并对风险进行分类寻找风险要素
16、,设计打分指标体系综合各项要素,专家打分,36,打分卡示意图*,概率,影响,*:针对新资本协议中的操作风险的7种事件类型,每一种都可以计算出其概率和影响,形成打分卡示意图。,37,高,低,影响,高,低,频率,严重关注,彻底避免,作为日常管理,列入成本,积极重视,强化管理,引入外部数据库、保险,进行风险转移,操作风险评估结果的意义,38,风险控制与缓释,操作风险控制/缓释是指根据操作风险识别评估的结果,结合发展战略、业务规模与复杂性,通过采取流程控制、行为监控、电子化、保险等一系列控制/缓释方法,对操作风险进行转移、分散、降低、规避,将其调整到可接受的风险水平。,应急预案的制定和实施,强化内部控
17、制,保险,外包,39,*:参照1998年9月的BCBS的银行内部控制基本原则,引自商业银行操作风险管理指引,40,COSO内部控制框架与全面风险管理比较,41,应急和业务连续方案*,制定与其业务规模和复杂性相适应的应急和业务连续方案,建立恢复服务和保证业务连续运行的备用机制,定期检查、测试其灾难恢复和业务连续机制,确保在出现灾难和业务严重中断时这些方案和机制的正常执行,*:引自商业银行操作风险管理指引,42,风险缓释*,商业银行应当制定与外包业务有关的风险管理政策,确保业务外包有严谨的合同和服务协议、各方的责任义务规定明确。,商业银行可购买保险以及与第三方签订合同,并将其作为缓释操作风险的一种
18、方法,但不应因此忽视控制措施的重要作用。购买保险等方式缓释操作风险的商业银行,应当制定相关的书面政策和程序。,*:引自商业银行操作风险管理指引,43,操作风险管理,管理流程:风险监测,44,风险监测,操作风险监测是指通过对各类风险指标的日常监测,对操作风险状况及其控制/缓释措施的质量实施动态、持续的监测。,就政策、流程和内部控制出现的问题,快速发现问题并采取补救措施 能减少潜在损失事件的发生频率和严重程度 有识别关键风险指标的流程 潜在的操作风险新来源,为何银行要监测操作风险,银行监测操作风险的总体状况频率,根据有关风险、发生频率和操作环境变化,45,风险报告,风险报告:在对自身的操作风险进行
19、识别、评估、监测和缓释等相关管理工作的时候,形成的文档化材料或电子材料,按照相关程序报送相关部门或负责人,使得相关部门或负责人可以及时有效地对操作风险状况进行了解和控制管理的行为。商业银行高管层应确定操作风险报告的频率、路径、内容、载体和负责人等相关事宜,并确保风险报告有效执行。,46,风险报告体系,47,风险报告流程,识别,48,风险报告样本,专业工作站,报告,风险面,损失数据报告样本,49,操作风险管理,量化分析,50,损失数据收集作业-2002年巴塞尔委员会,2002年调查中,涉及89个银行,逾4,7000个损失事件。,51,89家银行损失金额的分布(单位:千欧元),52,每一业务部门和
20、事件类型的损失事件数目,53,业务部门和事件类型的总损失金额(单位:百万欧元),54,损失数据收集作业-2004年美国,55,某商业银行操作风险统计情况,注:根据某商业银行操作风险损失数据整理。,56,某商业银行操作风险损失金额占比,注:根据某商业银行操作风险损失数据整理。,57,某商业银行产品线损失金额占比,注:根据某商业银行操作风险损失数据整理。,58,某商业银行操作风险损失特征,注:根据某商业银行操作风险损失数据整理。,59,操作风险损失特征比较,2002年巴塞尔委员会操作风险损失分布作业的统计结果显示:按产品线类型看,主要集中在4个产品线:“零售银行”、“交易与销售”、“商业银行”和“
21、零售经纪”4个产品线合计发生的事件占全部操作风险事件的86%,仅“零售银行”一个产品线发生的损失事件比重高达61%。按事件类型看,4类事件数目占全部7类事件总数的93%:“外部欺诈”及“执行、交割和流程”比重最大,分别为42%和35%,“就业政策和工作场所安全性”占9%,“客户产品及业务操作”占7%。按产品线类型看,损失金额中,“零售银行”比重最大为29%。“商业银行”和“销售与推销”的损失事件个数虽然比较少,但金额相对较大。按事件类型看,损失金额集中在4类事件中:“执行、交割及流程管理”为29%,“实体资产损坏”为24%,“外部欺诈”为16%,“客户产品及业务操作”为13%。,60,操作风险
22、损失特征比较(续),某中资银行操作风险损失特征为:人员因素是操作风险损失事件形成的主要原因,所造成损失占全部金额的54.66%;内部流程因素造成的损失占比为35.69%;按事件分类,执行、交割和流程管理损失占比为77.16%;其中,内部人员失职违规所造成的损失占这一类事件损失的74.75%;按产品线分类,公司金融业务损失事件占比为61.35%;占全部损失金额的82.15%;其中,表内信贷业务占92.80%。,61,操作风险管理,资本计提,62,操作风险的监管资本要求新资本协议1999年第一次征求意见稿(CP-1)-建议对信用风险和市场风险以外的“其他风险”施加资本要求2001年第二次征求意见稿
23、(CP-2)-应当对操作风险提出资本要求-“其他风险”由第2支柱和第3支柱覆盖2001年操作风险工作论文-调低资本要求(从总资本要求的15%调到12%)-提出高级计量法(AMA)的概念2002年第三次定量测试(QIS 3)-提出alpha/beta的建议值-进一步加工高级计量法-取消高级计量法资本要求的下限值(75%),操作风险资本要求方面的进展,63,2002年损失数据收集测试-19个国家的89家银行参与测试2003年第三次征求意见稿-提出“标准法替代形式”-提出产品线对应表-允许“局部”使用高级计量法-提出保险缓释的认可标准2004年1月母国和东道国之间对用高级计量法计量资本的认可原则20
24、04年新资本协议最终稿-第一支柱第五部分:操作风险-附录6 产品线对应表;附录7损失事件分类详表,操作风险资本要求方面的进展(续),64,资本计提的三种方法,巴塞尔II操作风险的最低法定资本要求,基本指标法,标准法,高级计量法,前三年中正值的营业毛利乘上固定比率(,15%)的平均值,八个业务类别每年各自的营业毛利乘上各自系数(,12%,15%或 18%)的总和的三年平均值*,由符合质和量的标准的内部操作风险衡量系统所计算出来的风险值,*:中国商业银行操作风险类型以内外部欺诈为主,65,从上至下vs从下至上法,从上至下法一开始便对行业设定一个总的资本额度将这样额度依据不同风险:市场、信用和操作进
25、行配置将每一部分配置到单个金融机构从下之上法识别每一风险源开发计量风险程度的计量方法根据计量结果导出资本基本指标法 从上至下标准法 内部计量法 损失分布法 从下之上,66,基本法(BIA),资本要求为过去三年正年度总收入(GI)乘上一个固定比例()并加总后的平均值GI:监管当局或国家会计标准下的纯利息收入+纯非利息收入不包括负收入或零收入的年份=15%非定性标准 鼓励银行遵照稳健操作做法不希望国际间活跃银行或有重大操作风险暴露的银行使用这一方法,资本要求=(GI1n x)/n,67,基本法(BIA)(续),68,标准法(TSA),将银行活动映射到8条业务线框架内每一业务线的资本要求通过相应的指
26、标和系数相乘而得指标:年度总收入(如 BIA法所述)系数:新协议规定的()总的资本要求等于3年内的每一业务线每年监管资本要求的简单相加的平均值,资本要求=years 1-3 max(GI1-8 x 1-8),0/3,69,标准法下的系数参照值*,*:引自新资本协议,70,案例:标准法计算示例(续),71,标准法替代形式(ASA),方法和标准法相同,除2条业务线(零售和商业)指标:3年以上的总放款余额的均值(非风险权重和资产总额):和标准法的beta相同,例如零售业务线(12%)和商业业务线(15%)m:0.035可作为国家自由裁量权下的可供备选,但是主要市场上大型综合银行没有这种选择权国家监管当局确定适当的合格标准,资本要求=指标 x x m,72,高级计量法,损失频率,损失额度,预期损失,非预期损失,灾难性损失,定价,费用和储备,资本,公司不能吸收,
