BASEL2COSO2与银行风险管理

、 与银行风险管理 第二节 巴赛尔委员会建议的风险管理十大原则 建立一个良好的 风险管理环境 风险管理：识别、 评估、监控、 缓释、控制 确定操作风险管理框架，操作风险定义和操作风险管理原则 建立内部审计部门的全面有效的监督检查机制 获得高级管理层关于履行操作风险古那里职能的有关承诺 从各方面（如产品、活动、流程、系统）健全操作风险的 识别和评估机制 完善对操作风险特征的监控，如建立重要风险暴露的 预警识别机制和向董事会汇报重大操作风险隐患的制度 建立控制和缓释重大操作风险的政策、流程和程序 制订业务连续性计划 确保操作风险框架的有效性 建立健全恰当的监管机制 建立一整套披露政策以完善公众信息披露的适当性 监管者的职责 设定 披露要求 原则 1 原则 2 原则 3 原则 4 原则 5 原则 6 原则 7 原则 8 原则 9 原则 10 操作风险的计量与分配资本 巴塞尔银行监管委员会为银行提供了三种可选择的操作风险资本计算方法： 1. 基本指标法 2. 标准法 3. 高级计量法 基本指标法 (n )/n 式中： 总收入与资本要求之间的关系 基本指标法只考虑“正的总收入”，不考虑负的总收入 第二支柱第 778段：总收入仅仅是代用指标，如果银行的收益低，经常连续出现负的总收入，则可能低估操作风险的资本要求 总收入 以 15% 第一年 80 12 第二年 第三年 120 18 总和 30 平均 总和 /2= 15 标准法： ( 10/3 式中： 易和销售、零售业务、商行业务、支付清算、代理服务、资产管理和零售经纪等 8类产品线中每个产品线过去三年的年均收入； 1个产品线中各产品线的总收入与资本要求之间的关系，在 12%间。 资本要求 = 0 + 第一年 总收入 值 乘积 产品线 1 60 12% 品线 2 5% 品线 3 30 18% 计 80 二年 总收入 系数 乘积 产品线 1 30 12% 品线 2 5% 品线 3 8% 计 三年 总收入 系数 乘积 产品线 1 80 12% 品线 2 10 15% 品线 3 30 18% 计 120 高级计量法（内部模型法）： 期损失 (风险 暴露（ 失发生概率（ 失事件金额（ 实施高级计量法的难点和不利因素： 操作风险构成复杂，性质各异，要将 务流程系统和法律因素等完全不同的风险因素用同样方法统一衡量，其难度是显而易见的； 操作风险具有内生性，而且大多与金融机构中人的作用有关，要客观量化这样的风险十分困难； 许多操作风险与市场风险和信用风险密切联系，前者与后者之间往往是原因和结果的关系，而非是三种相互独立的风险，不少损失数据很难区分归类于哪类风险； 实施高级计量法的难点和不利因素（续）： 操作风险的损失数据稀少，不仅难以满足统计模拟的数据要求，而且也难以满足模型验证的数据要求，尤其是在市场 风险事件之间的相关性也难以识别和量化； 大量的数据分析和模拟对计算计软硬件的要求很高，成本支出较大。 美国 美国全国反虚假财务报告委员会下属的发起人委员会的英文缩写。反虚假财务报告委员会是由美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建的。成立于上个世纪 1985年。发布的相关指引： 监控内部控制系统的指引 对财务报告的内部控制 内部控制整体框架 全国虚假财务报告委员会报告 全面风险管理 衍生工具使用的内部控制问题 虚假财务报告： 1987该委员会于 1992年 9月提出了 内部控制整体框架 报告。该报告的核心内容是内部控制的定义、目标和要素。 2004年 9月 企业风险管理 (架 。该报告提出了用于理解和评价企业层面所有机构风险的一致性综合框架或方法。 内部控制整体框架 ( 内部控制是一个过程，受机构的董事会、管理层以及其他人员的影响，设计内部控制是为以下类别的目标的实现提供合理的保证： 运营的效果和效率 财务报告的可靠性 遵守适用的法律和法规 内部控制整体框架 ( 内部控制包括的五大要素： 控制环境 风险评估 控制活动 信息与沟通 监督 企业风险管理整体框架 ( 企业风险管理是一个受机构的董事会、管理层以及其他人员影响的过程，它可以运用在 战略设定 并贯穿与企业当中，设计企业风险管理旨在确认影响机构的潜在事件，并在风险偏好内管理风险，为机构目标的实现提供合理保证。 全面风险管理拓展了 内部控制框架整体中内部控制的一些原理，包括： 内部环境 设定目标 事件识别 风险评估 余风险以及相关的风险； 风险响应 信息与沟通 在及潜在事件的相关数据，采用其它沟通渠道的重要性； 角色与职责 事会职责延伸； 企业风险管理整体框架 ( 内部环境 目标设定 事项识别 风险评估 风险应对 控制活动 信息与沟通 监控 的三个基本方面： 目标：策略、运营、报告、合规； 八个组成要素； 全面风险管理的概念： 事件与风险 风险偏好与风险容忍度 组合层面视角 评估和管理； 是对三大风险进行管理。 哪么全面是指什么？ 针对机构的所有风险 对机构个层面、各流程全覆盖 全员参与的风险管理文化 分析、判断、评估风险的方法： 固有风险 控制质量 剩余风险 固有风险和剩余风险分为高、中、低； 控制质量分为强、可接受、弱。 固有风险、控制质量和剩余风险的对应矩阵关系： 控 制 质 量 业务活动的固有风险 低 中 高 剩余风险评估 弱 低或中 中或高 高 可接受 低 中 高 强 低 低或中 中或高 者既相互联系，又存在区别。 部控制是企业风险管理不可分割的一部分， 成了一个更强有力的概念和管理工具。组织运用 理论上 未理清 要素与各评价维度之间的关系，在实际工作中很难操作 内控环境 目标设定 风险识别 .标设定 风险识别 . 标设定 风险识别 .营 财务 合规分支机构业务条线操作流程战略 运营 财务 合规合理性全面性适当性有效性分支机构 业务条线 操作流程 素与各评价维度之间的关系： 内部 环境 目标 设定 事件 识别 风险 评估 风险 应对 控制 活动 信息与 沟通 监督 内部 控制 体系 内控设置适当性 战略 运营 报告 内控执行有效性 合规 评价内容 评价对象 内控评价工作整体框架 : 内部控制体系综合评价 内控设置的适当性 内控执行的有效性 （控制环境、风险评估、信息与沟通、监督） 调查问卷 以流程梳理工作为基础，评价一二三道防线检查计划执行情况、检查结果及问题整改情况 董事会、管理层及下属各委员会； 总行各职能部门； 各一级分行 /直属分行； 各二级分行 总行主要业务条线部门； 各一级分行 /直属分行； 部分二级分行及以下机构； 制活动 ” 要素 + 作）风险管理理念的差异 区别 / 联系 为三大风险 未分类管理概念六个全的全面风险管理体系（全面范围全球体系全程过程全员文化全新方法全额计量）全面风险管理框架管理方法 定量计量 定性评价管理要素准备金、资本、组合管理及风险缓释技术四目标、八要素内部控制与风险管理关系内部控制是风险管理的手段之一风险管理是内部控制的延伸，甚至认为内部控制大于风险管理建立和健全全面风险管理体系 ( 内部控制体系 )风险是一种可能性，风险管理是对过程的管理国际金融界和 操作风险管理是一个往复和非线性的过程 。与其他已经存在的方式（如 同，操作风险具有一定 的独特性，这种独特性导致难以找到一个好的方法来管理它。 但是，我们强调的是操作风险管理对于公司治理结构的合理性和重要性，尽管产生操作风险的业务流程在不断地变化，但一个成功的操作风险管理的关键是“ 过程而不是结果 ”。 操作风险管理与内部控制方法论 固有风险的评级方法： 风险 暴露（ 固有风险 风险后果（影响） 可能性 损失发生概率（ 损失事件金额（ 预期损失 ( O A B X 工作投入 工作效果 C Y 资本与风险的对应关系 资本 风险 各监管部门不约而同的按照 以理解为： 这是对非银行业企业在风险管理技术远远落后于银行业情况下的无奈选择； 用 商业银行如何协调 首先，我们要承认两个现实： 国际银行业的风险管理水平高于其它行业 ; 除了 规范的市场风险、信用风险、操作风险（含法律风险）外，其它风险目前难以量化，甚至准确的评估都很难，仅限于简单的评价。 其次，我们要面临两个问题： 银行业是否要平等地执行两个要求 实事求是的看问题，科学地对待 综上， 从一个部门在战术上可以尝试对多种风险的管理；但从公司层面在战略战役上仅可用作内部控制或操作风险管理。 前提：将 的管理对象明确为操作风险； 结论： 的方法是上市商业银行实施 操作风险高级计量法之路径。商业银行在实施 时需要参考相关规定，整合两个委员会的要求统一规划、统一实施。 操作风险管理与内部控制方法论 第 三 节 操作风险管理与内部控制方法论 操作风险管理与内部控制方法论 操作风险管理与内部控制的基本方法 根据风险评估结论和企业的风险偏好制订相应地风险政策 根据企业战略目标对企业内外部环境进行分析，判断利弊趋势 环境评价 风险评估 风险对应 风险管理 监督改进 针对企业内部文化、组织、架构、流程等要素，评估客观固有的风险和企业管理风险之能力 通过内部控制和风险转移、缓释、保险等技术对风险实施管理，降低操作风险发生的概率 通过有效地信息沟通渠道对企业风险实施实时监控，并由内审部门监督风险的持续改进状况 操作风险管理与内部控制方法论 一、明确管理控制对象、梳理流程找出风险点 判断决策 方案选择 优点 缺点业务流程和辅助流程与C O S O 和S O X 的方法一致；获取全行风险与控制相关信息；识别业务改进机会；评估整个流程中的工作交接点；鼓励跨职能的讨论与沟通；耗时；为了对整套流程进行评估，需要准备所有的业务流程图；跨职能的探讨可能需要很多的事前安排与准备；业务领域容易沟通协调 无法考虑全行跨职能的问题；无法对流程中工作交接点的风险与控制进行识别与评估；产品更紧密的与银行组织和战略相联系随着产品的数量增加，复杂程度相应提高；无法识别不同职能的所有风险；无法对流程中工作交接点的风险与控制进行识别和评估。选择管理控制对象操作风险管理与内部控制方法论 以风险（管理）为导向的内控建设和内控评价的目标是建立健全风险管理体制，是以预防欺诈舞弊案件和重大事故隐患为主要目的的； 由于风险隐患藏匿于业务流程之中，因此，必须通过流程梳理识别出风险点和控制的薄弱环节，进而完善相关制度和措施，以提高内部控制的效力。 流程梳理是内控建设的关键点和基础工作 操作风险管理与内部控制方法论 流程梳理是我们内控体系建设的关键环节和基础工作，应作为我们今后几年工作的重点，以流程梳理为突破口是源于： 符合外部监管的要求； 符合建立流程银行的国际趋势； 符合中资银行目前业务实际和发展方向； 与 操作风险管理与内部控制方法论 在目前 化流程是不现实的，我们的目的是要解决难点，为建立健全内控体系打下基础： 怎样梳理 ? 范化的方法 梳理成何样？ 准化的标杆 操作风险管理与内部控制方法论 企业内部所有部门都应按照本部门的职能梳理出所有的业务流程和辅助流程，辅助流程包括但不限于以下方面： 政策、制度制定与颁布流程 授权、审批、颁布与检查流程 人事选拔、聘任与考核流程 采购流程 费用报销流程 重大事项报告流程 突发（紧急）事件处置与报告（应急机制） 内控自我评估流程 操作风险管理与内部控制方法论 流程梳理的方法和要求： 由流程设计主管部门负责对 流程进行梳理 ，找出各环节的功能、风险点和控制要求； 由操作风险管理部门和内审部门共同组成工作小组确认上述工作内容。 操作风险管理与内部控制方法论 流程梳理阶段需要明确的概念！ 名称 内涵 业务步骤 （ 为了完成某一流程而必须存在的固有步骤。 控制环节 （ 为了控制风险而特意设置的控制环节。 操作风险管理与内部控制方法论 梳理流程的方法 （以 “ 个人住房贷款 ” 为例） 与业务部门进行访谈，了解个人住房贷款从接收客户资料 审批 发放 自动扣款 评级 核销的完整的流程是什么； 根据与业务部门访谈结果，并参考 “ 个人住房贷款 ” 管理办法，画出流程图，并根据专业判断确定流程中哪个环节属于操作过程（ 哪些属于控制环节（ 将画好的流程图拿给业务部门进行讨论，业务部门对画好的流程图就 “ 操作步骤 ” 、 “ 是否为控制点 ” 提出修改意见； 修改流程图； 再次与业务部门讨论直到流程图能够准确的描述该业务产品的工作流程为止； 根据修订的流程图就重要控制点对业务部门的内部控制进行抽样或穿行测试。 操作风险管理与内部控制方法论 二、采集数据建立 损失类别 定义 示例实际损失对业务会产生消极影响的损失事件内部或外部欺诈，违反政策程序会带来积极财务影响的损失事件由于市场变动等因素的影响，已经发生但是会给业务带来益处的损失事件当市场价格朝着有利方向变动时，执行股份卖出而非买入指令从而带来财务收益接近损失在财务损失发生前，掌握明细科目的控制情况生成了错误的客户对帐单，在投寄前发现错误操作风险管理与内部控制方法论 损失数据构成示例 损失数据 何时？ 为什么？ 多少？ 哪一种？ 主体？ 对损失时间 负责的成本中心 负责管理跟 进的联系人 业务线、 地理区域 损失事件 的类别 总帐损失 登录的科目 损失补偿 的类型 补偿金额 损失金额 根本原因 该损失事件 是否有引发更大损失 事件的迹象 该损失事件 是否有引发信用或市场风 险损失的迹象 损失事件 发生的日期 损失事件 暴露的日期 损失补偿日期 损失事件 核销的日期 操作风险管理与内部控制方法论 三、开展 险和控制评估 即： 固有风险 风险管理 （ 控制质量 ） = 剩余风险 在上面的公式中不仅有风险本身 ， 还有以风险为管理对象的管理体系和管理行为 ， 以及施加管理后的效果 。 操作风险管理与内部控制方法论 从这个风险评估公式中我们可以比较清楚地看到 一 ， 风险管理是一个非线性过程；其二 ， 风险并不因为有了管理而被消灭；最后 ，剩余风险即是风险管理的结果 ， 又是下一步风险管理对象。 开展 八大要素对机构或流程的 内部环境 进行判断 、 实施 风险识别 、 评估 （ 固有 ） 风险 和控制质量 操作风险管理与内部控制方法论 剩余风险本质上是固有风险和控制质量之间的净风险。换言之，固有风险与控制质量的衍生物即为剩余风险。数学表达式： 固有风险 控制质量 剩余风险 固有风险和剩余风险分为高、中、低； 控制质量分为强、可接受、弱。 操作风险管理与内部控制方法论 固有风险、控制质量和剩余风险的对应矩阵关系： 控 制 质 量 业务活动的固有风险 低 中 高 剩余风险评估 弱 低或中 中或高 高 可接受 低 中 高 强 低 低或中 中或高 操作风险管理与内部控制方法论 四、根据风险偏好设置内控 目标 、制订风险（ 应对 ）管理政策，建立预警 控制 体系 通过“ ey 键风险指标” 工具，设计从不同维度反映未来发生可能性的指标体系，用于预警未来可能发生的风险。 指标分为“事前控制损失发生的原因” 和“事后控制损失导致的影响” 两类指标。 操作风险管理与内部控制方法论 例一：由于服务不周导致客户不满 原因 :系统、交易量、员工流失率、员工水平 指标：客户投诉 交易量；有经验员工数量 交易量。 例二：流程错误 原因：无经验员工、交易量 指标：员工从业年数 行业标准；错误 交易量。 操作风险管理与内部控制方法论 五、全面风险评估与内控评价 全面风险评估是指由内审部门组织的对企业内部风险 (客观事物 )和内部控制体系（主观行为）进行分析、衡量、判断的过程，它是企业风险管理的重要内容之一。评估的目的是为了及时、全面、准确地 了解监督 企业内部风险及风险管理和内部控制状况，掌握自身的缺点和不足，及时 沟通信息 ，以便堵塞管理上的漏洞；在提升企业内控管理水平的同时，进一步推进和完善企业全面风险管理体系的建设。 操作风险管理与内部控制方法论 风险评估的内容： 风险成分：内部风险 /固有风险（ 内部控制 /控制质量（ 组合风险 /剩余风险（ 趋势因素：上升、稳定、下降 操作风险管理与内部控制方法论 评估方法： 固有风险风险评级 控制质量内控评价 /测试 操作风险管理与内部控制方法论 内部风险又称固有风险是指在不考虑任何风险控制措施下，业务本质客观存在的原始风险。内部风险基本上产生于业务单元中。它需要通过对一些重要业务活动的检查来进行监督管理。 内部风险建立在下列因素基础之上： 活动水平或与公司（集团）资源有关的头寸； 交易的数量； 行动的复杂性； 组织的潜在损失。 操作风险管理与内部控制方法论 根据 在标准法中按照银行的年收入来确定操作风险损失所需要计提的资本。先将银行的所有业务划分为八个产品线，对每个产品线规定不同的操作风险资本要求系数，并分别求出对应的资本，然后把各产品线的资本加总，即可得到银行总体操作风险资本要求。 3(8 1 0/3 式中： 易和销售、零售业务、商行业务、支付清算、代理服务、资产管理和零售经纪等 8类产品线中每个产品线过去三年的年均收入； 1 个产品线中各产品线的总收入与资本要求之间的关系，在12%间。 在 标准法中，用收入和业务风险性质的重要性来决定产品线应计提的风险资本。其中，衡量收入的指标是各产品线过去三年的年均总收入，反映业务性质重要性的因子是 系数。 操作风险管理与内部控制方法论 根据上述原理，我们可以在商业银行内部资金价格转移系统和内部分润机制尚未完整的情况下，以业务规模、收入比率和业务风险性质等因素作为衡量商业银行不同业务条线固有风险的指标。具体而言，就是以各业务条线全年收入与固有风险系数（与 系数一致）的乘积得到该业务条线的固有风险值。基本计算公式如下： 业务条线固有风险 = 该业务条线全年收入 该业务条线对应的固有风险系数（ 12 18） 对于难以确定全年收入的业务条线，如资产或负债类业务，可以先计算出该业务条线大致的收益比率或收益折算系数（平均收益率或主要收益率），再用业务量乘以收益折算系数得出业务收入。即： 资产或负债类业务收入 业务量 收益折算系数 确定收益折算系数有两个方法，一是统一由各业务部门提供该业务条线的平均收益率；二是如果平均收益率确定困难，也可以用业务条线的主要收益率代替平均收益率。 需要明确的是：其一，评估风险并非是测量风险，它不要求得出损失或收益的具体数值，只要求在一个标准下将各评估对象的风险进行排序或得到各评估对象之间风险大小的对比关系。其二，公式中的总收入是个广义的指标，是各业务条线不扣除费用支出的毛收入。 操作风险管理与内部控制方法论 内控评价的基本概念： 内控评价是指企业对自身的内部控制体系设置的合理性和有效性进行评判 。 评价从企业战略 、 运营 、 合规和财务四个维度 ， 针对企业内部目标设定 、 内部环境 、 风险识别 、 风险评估 、 风险策略 、 控制活动 、 信息沟通 、 检查监督八个方面进行 。 评价范围包括所有机构 、 业务条线和流程环节 。 操作风险管理与内部控制方法论 内控评价的目的 商业银行 内控评价的目的是通过对商业银行内部控制适当性和有效性的评价 ， 全面审视银行内部控制体系 ， 发现内控体系存在的缺陷和不足 ，并进行持续的改进和完善 ， 以不断提高内部控制和风险管理水平 ， 构建商业银行全面 、 系统 、 高效 、 透明的内部控制体系 ， 保证其发展战略和经营目标的实现 。 内控评价工作是商业银行开展全面风险管理的重要内容之一 ， 也是商业银行实施企业内部控制的重要一环 ， 它不仅是公司治理的需要 ， 也是内部控制体系建设的需要 ， 通过对内部控制风险状况的自我评估 ， 使我们充分了解企业自身的缺点和不足 ， 及时堵塞管理上的漏洞 ， 在提升商业银行内控管理水平的同时 ， 进一步推进和完善企业全面风险管理体系的建设 。 操作风险管理与内部控制方法论 内控评价方法 对企业内部控制的评价，是对企业内部控制体系及运行效率所做的客观的、独立的分析判断，即对企业管理行为的评价。 评价的对象是企业对内部风险进行管理的体制、制度安排及管理效力，具体而言，就是企业内部控制体系设施的适当性和内部控制体系执行的有效性。评价从企业战略、运营、合规和财务四个维度，针对企业内部目标设定、内部环境、风险识别、风险评估、风险策略、控制活动、信息沟通、检查监督等八个方面进行。 评价范围包括企业内部的机构、业务条线、流程和环节。评价方法包括询问、观察、检查和重做四种。 评价结论根据具体分值划分为强、可接受和弱三类。 操作风险管理与内部控制方法论 内控设计适当性评价 的对象是机构层面，因为内部控制表现为控制质量，其职能保留在业务活动中，是通过机构有组织的活动对固有风险进行管理的行为。风险管理要素包括： 内部控制环境和识别风险的因素（环境、识别）； 董事会和高级管理层的观点暨风险偏好（目标）； 体现风险偏好的政策、程序和限额（应对）； 风险评估、监测和信息交流系统（评估、沟通）； 问题的反馈、纠正等内部控制体系（监督纠正）。 操作风险管理与内部控制方法论 评价内部控制（控制质量）适当性的方法： 询问、观察、检查和重做。 询问是指以口头或文字提问方式向有关人员询问相关内部控制和业务执行情况。询问的特点如下：（ 1）效果最弱的评价方法；（ 2）询问应该以其他评价方法辅助；（ 3）可以询问多于一个人（即互相印证）。 操作风险管理与内部控制方法论 观察是指评价人员亲临被评价单位的操作现场，实地观察有关人员的实际操作情况，以确定既定控制措施是否得到严格执行。观察的特点如下：（ 1）比询问方法更为可靠；（ 2）一般用于观察员工执行控制程序；（ 3）可能需要其他 评价 方法辅助。 操作风险管理与内部控制方法论 检查是指评价人员抽取一定数量的账表、凭证等书面证据和其他有关书面资料，检查是否认真执行相关控制制度，以判断内部控制是否得到有效贯彻执行。检查的特点如下：（ 1）最易得到的资产（如现金及存货）存在性的证据；（ 2）一般用于检查文件或报告。 操作风险管理与内部控制方法论 重做是指 评价 人员就某项内部控制制度，按照被评价单位的业务程序全部或部分重做一次，以验证既定的控制措施是否被贯彻执行。重做包括如下方式：（ 1）以独立资料来源进行比较；（ 2）用独立计算的方式去模仿系统计算的方式；（ 3）向用作 评价 的系统输入假设性的交易数据，比较预期结果与真实结果。 操作风险管理与内部控制方法论 内部控制执行的有效性评价 是通过对操作层面控制状况进行测试实现的 。 主要内容是指对业务流程和辅助流程中的所有重要控制环节进行测试与评价 。 对重要控制环节的测试是由被评价部门或机构的上级对其进行有组织、有针对性的检查活动，并由企业的内审部门进行核实确认的过程。 企业各条线的业务主管部门，根据风险评估结果和内控评价的需要，制订相应地内控检查计划，具体落实到所有业务条线中的各流程及其重要控制环节。并组织实施检查计划后将结果送交内审部门确认。 操作风险管理与内部控制方法论 1）内控设计的适当性评价： 2）内控执行的有效性评价： 操作风险管理与内部控制方法论 整合上面内控设计和内控执行两个维度的结论，综合判断内控评价结论，其组合关系如下图所示： 操作风险管理与内部控制方法论 剩余风险的计算 剩余风险是指风险管理或控制质量作用于固有风险后结果的剩余部分，或是固有风险在控制质量的作用下的后果。根据这个定义我们可以对固有风险评级结果和控制质量评价结论进行整合后得出剩余风险评级结果，即企业内部风险评估结果，用下列公式表示： 剩余风险 固有风险 控制失效 （ 1） 假设企业的内部控制效果满分为 1，那么控制失效的部分就等于满分 1与内部控制效果（实际得分）的差。用控制质量系数表示内部控制效果： 控制失效 （ 1控制质量系数） （ 2） （ 3） %100100 ）内控评价结论（分数值控制质量系数操作风险管理与内部控制方法论 公式中的控制质量系数通过企业内部控制评价得到，企业内控评价结论（分数值）与控制质量系数的对应关系如下表： 将（ 2）式代入（ 1）式，则内部风险评估公式转化为： 操作风险管理与内部控制方法论 剩余风险 固有风险 （ 1控制质量系数） （ 4） 上述公式计算出的剩余风险并非表示该评估对象由于存在内部风险而可能导致的损失金额，因此，剩余风险的评估单位可以用 “ 风险单位 ” 表示，即 “ 多少个风险单位 ” 。 公式（ 4）说明，评估对象的内部控制管理效力越好，则内控评价结论越好，控制质量系数越大，从而剩余风险越低，即内部风险越低；评估对象的内部控制管理效力越差，则内控评价结论越差，控制质量系数越小，从而剩余风险越高，即内部风险越高，这时企业应加强相应的管理措施。 谢 谢！ 主要内容 风险管理的基本概念及 操作风险管理与内部控制的主要内容 风险的基本概念 信誉风险 无法满足股东期望的损失风险 策略风险 无法选择最佳市场方案的损失风险 操作风险 不恰当处理产品的损失损失风险 市场风险 财资工具价值改变的损失风险 信用风险 借款人违约的损失风险 流动性风险 不恰当融资的损失风险 产品风险 风险的基本概念 风险 损失 ? 风险是指损失发生的不确定性 风险的基本概念 损失 收益 风险的定义有多种，概括起来是：未来价值的波动率或是：可接受的未来价值。 风险的基本概念 风险的特性 : 1 、两面性：既有损失，也有收益；且以收益为主导； 2、 不确定性：可能发生 、 也可能不发生 ， 发生的结果可能大 、 也可能小；是未来发生某种结果的一个过程； 3、 可测性：可以在事先通过概率的方法在一定范围内做出预测； 4、 可控性：可以通过管理进行控制； 风险的基本概念 风险的概念 风险是指 因可能的损失而导致 预期 收益的 不确定性。 提出问题： 风险资产 总资本 资本充足率 = 8 % 总资本 核心资本附属资本 风险资产 (资产额 风险权重 ) 资本与风险的对应关系 资本 风险 风险管理的意义和目的 商业银行进行风险管理不仅仅满足于风险的识别、测量和监督，满足于监管的要求 果如此，就失去了办商业银行的意义。因此： 资本的目的在于增值，风险管理实质在于资本经营。 风险的概念与划分 信用风险的定义 由于交易对手的违约行为而导致的资产与预期收益的不确定性。 信贷管理与风险管理的区别 信贷管理概念 A） 授信风险管理 B） 授信控制管理 C） 授信业务管理 风险管理概念 A） 授信风险管理 B） 操作风险因素 C） 操作风险衡量 贷款客户 已分别逾期 14天及30天 ,授信政策规定需要联络逾期30天或以上之客戶 联络 客戶 B C B 授信政策规定需要联络预期 30天或以上之客戶 分行 络 到1/3 之逾期 授信 客戶 B C 银行预期贷款 比上月上升了 2，预期亏损率将会 上升 1 A A 信用风险管理的对象和目的 对象：资本 切入点：客户 目的：根据资本抵御风险的能力和商业银行统一的风险偏好主动地将资产按照经济资本的要求配置于最为合理的客户和产品，利用限额、定价及缓释等技术手段，争取在锁定损失的前提下获取最大股东收益。 风险的概念与划分 市场风险的定义 由于市场价格的波动而导致的银行表内表外头寸与预期收益的不确定性。 市场风险的性质 峰度 9 . 2 0 2 偏度 0 6 3050100150200250- 9. 6%- 8. 4%- 7. 2%- 6. 0%- 4. 8%- 3. 6%- 2. 4%- 1. 2%0 1 2 3 4 6 7 8 9 0 . 0 05 0 . 0 01 0 0 . 0 01 5 0 . 0 02 0 0 . 0 02 5 0 . 0 0上证频数 正态分布概率市场风险来自于整个经济体系而不是交易对手或内部，因而具有系统性风险的特征，尤其是利率和汇率风险； 由于市场风险的这种特征，所以很难分散掉，组合管理的方法也很难实施，市场风险一般运用套期保值（即对冲）或保险的方法加以规避； 市场风险通常采用盯市的方法； 市场风险具有数据优势和易于衡量的特点； 市场风险的概率分步通常采取正态分布的假设，因为市场价格的波动及由此带来的投资收益的波动以其期望值为中心，主要集中于相近的两侧，而远离期望值的极端情况测很少发生，而且形状大致是呈钟型对称的。 O A B X 工作投入 工作效果 C Y 风险测量技术的发展与种类 五级贷款分类； 标准法 ( 收益的波动性：自上而下； 贷款减值：贴现现金流； 违约的波动性：自下而上； 风险测量的方法 根据巴塞尔新资本协议的要求，商业银行衡量信用风险的方法分为： A、 标准法 、 内部评级法 称为 基础 高级 风险的测量 标准法 总资本核心资本附属资本 风险资产 （资产额 风险权重） 风险资产 总资本 资本充足率 = 8 % 监管资本 = （ 资产 权重） 8% 受险价值 损失衡量的方法 受险价值 险价值 是指在正常的市场条件和给定的置信水平（通常为 99）上，在给定的持有期限内，某一投资组合预期可能发生的最大损失；或者说，在正常的市场条件和给定的持有期限内，该投资组合发生 置信水平）。 P 表示某一金融资产在一定持有期 下的在险价值，即可能的损 失上限； 表示给定的置信水平，一般设为 99； t = 1险价值 个交易或头寸由于市场反向运动在未来一个选定的时期内，以一个设定的概率的预期最大损失量。它可以通过下式计算而得： 头寸相对于相关风险 因素改变量的敏感性 风险因素的 可能变化幅度 头寸的当前价值 可能的损失提供一个概率表达； 强调了超过 99%的 东需要投资的资本金以保证公司在一定的概率（ 99%）下发生违约时能够支付； 不同的期限选取和概率选取将直接影响资本充足率的水平； 受险价值 其一：持有期，即确定计算在哪一段时间内的持有资产的最大损失值，也就是明确风险管理者关心资产在一天内一周内还是一个月内的风险价值。持有期的选择应依据所持有资产的特点来确定，比如对于流动性较强的交易头寸往往需以每日为周期计算风险收益和 衍生产品的实践和规则 建议对场外 巴塞尔委员会对银行要求 10日为一个周期。 盯市（每日清算）的组合应该选择 1日，而对一些期限较长的头寸则可以以每月为周期；非金融的上市公司以月度或季度位一个周期（结合披露财务信息的周期）；银行公司以 10日为一个周期同时也就意味着银行可以利用以两周即 10个营业日来调整自己的头寸。 其二：置信水平在一定程度上反映了银行对风险的不同偏好。 用于防止破产清算的 巴塞尔委员会要求银行类公司统一采用 99的置信区间 ，就意味着允许银行平均 4年可以出现一次破产的概率。 各银行的风险偏好不同，比如 花旗银行选择 大通曼哈顿选择 9。 其三：观察期是对给定持有期限的回报的波动性和关联性考察的整体时间长度，是整个数据选取的时间方位。 用多长的历史数据会显著影响 250天、 500天、 1000天甚至更长，时间短了不具有代表性，时间长了又会带来冗余噪音。 具体选择多少要通过后验测试（ 优化选择，但是一经选定就应该遵循前后的一致性。 其四；计算方法 参数法（又叫分析方法）； 非参数方法（历史模拟法、蒙特卡洛法）； 半参数方法（极值法）。 该综合考虑监管规则、资产的流动性、数据收集处理难易程度、资产组合调整的频度等因素。 历史模拟法的隐含的假定是资产价格的历史变化在未来可以重现 历史模拟法不需要估计分布、也不需要估计参数，容易接受 需要较多的历史数据，并且针对每一种 “ 历史情况的情景 ” 都要对组合进行完全的价值重估，对资产数目多的头寸计算耗时较长。 目前有 2种常见的方法：历史数据法和历史数据模拟法。 参数法也称方差一协方差法 (或分析方法 ) 但是通过历史数据的波动性和相关性 “ 组合收益率的历史波动性 ” （标准差）推算 参数法的核心是 2个假设：风险对称和线性可加。 是 一种 “ 最流行 ” 的方法。 但参数法有可能存在 “ 模型风险 ” 导致 “ 低估风险 ” ，现实中许多市场因子的回报表现出明显的非正态性。 蒙特卡洛法 优点是不存在非线性和非正态等问题，它可以处理复杂的包含期权的套期保值型的头寸 缺点是耗费时间较长 对市场因子的假设分布形式往往是很关键的一环，如果分布就假设错了，这种 “ 精确 ” 方法带来的只能是更大的错误。 是其算法却是一个复杂的统计问题，其原因是收益率实际上是不知道的，需要估计。 从方法论上，首先把风险分成风险暴露（ 风险因子（ 2个部分，然后按照以下六个步骤计算。 识别出对资产组合的风险因子，如：价格的对数收益率的变动，基准利率的变动，基础资产价格的变动，汇率的变动； 通过统计和概率的方法，得出风险因子的波动特性，如分布形式、期望值、标准差、方差。 分析名义值对风险因子的暴露程度，即 “ 处于风险之中的资产 ” 的市场价值； 建立组合价值重估函数，可以利用资产定价公式进行 “ 全价计算 ” ，也可以利用组合对风险因子的敏感性指标进行 “ 一阶近似 ” 或 “ 二阶近似 ” ； 通过各种方法对风险因子的未来进行模拟（如历史法、参数法、蒙特卡洛法），并按照各种因子交互之下的各种情景，对组合的价值进行重估，从而得到组合的损失的概率分布； 最后一步，通常是按照事先给定的概率水平，求取损失分布的一个分位数。这个分位数就代表了 风险的测量 工具 风险暴露 ( 违约概率 ( 违约损失率 ( 可预见之损失 ( 不可预见之损失 ( 授信风险值 ( 风险资本平衡回报率 (n 情景 /压力测试 (险的测量 可预见损失 可预见损失是贷款组合的损失在统计上的平均值 可预见之损失 (险暴露 (违约概率 (违约损失率 (部 评级模型类别及关系 國家評級 行业评级 授信评级 客户资信评级 授信条件评级 L=担保押品 M 家评级受险价值 概率 可预见的平均损失 非 预期损失 =常损失 准备金和 资本金无法弥补的损失 损失 =0 频繁发生 的损失 平均损失 预期损失 + 非预期损失 损失概率 损失 受险价值 风险衡量的方法 受险价值 不可预见损失是偏离预期值 (可预见损失值 )的损失。它的取值是根据不同的容忍度要求而变化，有不同的容忍度要求，就有不同的不可预见损失。 受险价值 风险衡量的方法 受险价值 不可预见损失是偏离预期值 (可预见损失值 )的损失。它的取值是根据不同的容忍度要求而变化，有不同的容忍度要求，就有不同的不可预见损失。 这个给定的部分一般以百分比表示，称为 “ 容忍度 ” 。容忍度是其损失超过这个最大值的概率。要评价潜在损失的具体数值，就必须指定一个容忍度。容忍度越低，： “ 在 5%的容忍度下 00”，就是指未来有 5%的概率，损失会超过 100。 所以， 受险价值 时间 00 600 300 损失的最大离差 某一组合损失的平均值 受险价值 风险衡量的方法 异常损失 异常损失 是指超过最大不可预见损失的损失。这种情况的发生将导致银行的违约。由于发生异常损失的概率很低，因此不能以统计手段测量出它的具体数值。只能利用压力测试，通过主观判断在极端情况下的损失 。 受险价值 法定（监管）资本 是根据监管标准计算出的满足资本充足比率要求的资本 经济 (风险 )资本 是银行在极端的市场环境中用作补偿不可预见损失的资本 经济资本 法定资本 根据对资本的测量方法区分为： 本质 一致 受险价值 资本要求 管理水平 按标准法计算出的资本需求 对于管理水平不高的银行而言，严格按照协议 按内评法计算的资本需求 收入 盈利