第10章操作风险管理PPT课件

第第1010章章 操作风险管理操作风险管理10.110.1操作风险概述操作风险概述2004年巴塞尔委员会综合各方意见，将操作风险定义为“由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险”。本定义所指操作风险包括法律风险，但不包括声誉风险和战略风险。表10-1 信用风险、市场风险与操作风险之比较风险类型含义与 收 益 关系风险业务领域风险评估主要管理方法信用风险银行交易对手或债务人不能正常履行合约或信用品质发生变化，而导致交易另一方或债权人遭受损失的潜在可能性风 险 与 收益 呈 正 方向变化需要授信的资产业务、担保承诺类业务和金融衍生业务专家法、信用评级发、风险分类法、KMV、VaR、保险模型等授信限额、贷款转让、资产证券化、信用衍生工具、法律诉讼等市场风险被用于交易的资产或可交易资产的价值发生变化而导致损失的风险风 险 与 收益 呈 正 方向变化收益或损失受利率、汇率等金融市场价格影响的业务综合度量：VaR、压力测试、情景分析；利率风险：久期、缺口分析；汇率风险：敞口分析缺口管理、衍生金融工具、外汇风险敞口管理、免疫管理等操作风险由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险风 险 与 收益 呈 反 方向变化所有资产、负债、中间业务，总后台的保障支持业务外部风险：外部事件；内部风险：人员、系统和流程公司文化与职业道德、人员技能培训、系统改进、流程优化、加强内部控制等10.2 10.2 操作风险的识别操作风险的识别10.2.110.2.1操作风险的种类操作风险的种类与其他风险相似，操作风险构成也包括风险因素、风险事故和损失三个方面。操作风险因素通常可以分为两类：内部风险因素和外部风险因素。其中内部风险因素包括人员因素、程序因素和技术因素，外部风险因素包括人为事故和自然灾害。将操作风险划分为人员因素操作风险、流程操作风险、技术操作风险和外部操作风险几大类别1.1.人员因素操作风险人员因素操作风险人员因素主要是指因员工管理不当以及因员工的知识、技能、经验匮乏而导致操作风险发生的概率或损失程度增加。人员因素导致的操作风险事故及损失主要表现1.内部欺诈是指员工故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失。2.2.失职违规：失职违规：企业内部员工因过失没有按照雇佣合同、内部员工守则、相关业务及管理规定操作或者办理业务造成的风险，主要包括因过失、未经授权的业务或交易行为以及超越授权的活动。3.核心雇员流失体现为对关键人员依赖的风险，包括缺乏不足够的后援/替代人员，相关信息缺乏共享和文档记录，缺乏岗位轮换机制等。4.违反用工法是指违反就业、健康或安全方面的法律或协议，包括劳动法、合同法等，造成个人工伤赔付或因性别/种族歧视事件导致的损失；5.5.知识知识/技能匮乏技能匮乏表10-3 内部欺诈导致损失的原因分析原因类别原因示例未经授权的活动交易不报告交易品种未经授权（存在资金损失）头寸计价错误（故意）盗窃和欺诈欺诈/信贷欺诈/假存款盗窃/挪用公款/抢劫资用资产，恶意损毁资产伪造多户头支票欺诈等贿赂/回扣/内幕交易等表10-4 违反用工法造成损失的原因分析原因类别原因类别原因示例原因示例劳资关系劳资关系薪酬、福利、雇佣合同终止后的安排薪酬、福利、雇佣合同终止后的安排有组织的劳工运动有组织的劳工运动安全安全/环境环境一般责任，包括坠落、滑倒等一般责任，包括坠落、滑倒等违反员工健康及安全规定事件违反员工健康及安全规定事件工人的劳保开支工人的劳保开支性别、种族歧视性别、种族歧视所有涉及歧视的案件所有涉及歧视的案件2.2.流程操作风险流程操作风险内部流程引起的操作风险是指由于企业业务流程缺失、设计不完善，或者没有被严格执行而造成的损失。主要包括：财务/会计错误、文件/合同缺陷、产品设计缺陷、错误监控/报告、结算/支付错误、交易/定价错误六个方面。表10-5 内部流程风险原因分析原因类别原因示例流程缺失缺乏必要的流程流程设计不完善设计不完善的流程流程无效1.依赖手工录入2.管理信息不准确3.管理信息不及时4.未保留相应文件5.流程中断6.项目和主动变更的增加或集中7.项目未达到特定目标8.项目资金不足9.流程发生冲突3.3.技术操作风险技术操作风险技术操作操作风险，又被称为系统操作风险，是指由于信息科技部门或服务供应商提供的计算机系统或设备发生故障或其他原因，企业不能正常提供部分、全部服务或业务中断而造成的损失。它包括系统设计不完善和系统维护不完善所产生的风险。具体表现为：数据/信息质量风险、违反系统安全规定、系统设计/开发的战略风险，以及系统的稳定性、兼容性、适宜性方面存在问题等方面。4.4.外部操作风险外部操作风险业经营是在一定的政治、经济和社会环境中发生的，经营环境的变化、外部突发事件等都会影响企业的正常经营活动，甚至发生损失。具体包括：外部欺诈外部欺诈/盗窃、洗钱、政治风险、违反盗窃、洗钱、政治风险、违反监管规定、业务外包、自然灾害、恐怖威胁。监管规定、业务外包、自然灾害、恐怖威胁。10.2.2 操作风险的识别方法1.自我风险评估是指商业银行识别和评估潜在操作风险以及自身业务活动的控制措施、适当程度及有效性的操作风险管理工具。2.因果分析方法就是对风险诱因、风险指标和损失事件进行历史统计，并形成相互关联的多元分布。该模型可以确定哪一种或哪些因素与风险具有最高的关联度，从而为操作风险管理指明方向。10.3 操作风险的评估与资本计算10.3.1 10.3.1 操作风险评估的要素操作风险评估的要素1.内部操作风险损失事件数据；2.外部相关损失数据；3.情景分析；4.本行的业务经营环境和内部控制因素10.3.210.3.2自我评估法自我评估法在操作风险自我评估的过程中，根据评审对象的不同，采用流程分析法、情景模拟法、引导会议法、调查问卷法等方法，并借助操作风险定义及损失事件分类、操作风险损失事件历史数据、各类业务检查报告等相关资料进行操作风险自我评估。自我评估的工作流程依次为：全员风险识别与报告；作业流程分析和风险识别与评估；控制活动识别与评估；制定与实施控制优化方案；报告自我评估工作和日常监控。10.3.3 10.3.3 基本指标法基本指标法基本指标法（Basic Indicator Approch）是指以单一的指标作为衡量商业银行整体操作风险的尺度，并以此为基础配置操作风险资本的方法。11nBIAiiKGIn10.3.4 标准法标准法（Standardised Approach）的原理是，将商业银行的所有业务划分为8类产品线，对每一类产品线规定不同的操作风险资本要求系数，并分别求出对应的资本，然后加总8类产品线的资本，即可得到商业银行总体操作风险资本要求。根据巴塞尔委员会的要求，在标准法中，8类银行产品线分别为公司金融、交易和销售、零售银行业务、商业银行业务、支付和结算、代理服务、资产管理和零售经纪。1 81 81 31max,03TSAyearKGI表10-7 产品线及对应系数产品线值系数（%）公司金融18交易和销售18零售银行业务12商业银行业务15支付和结算18代理业务15资产管理12零售经纪12操作风险资本81iiix10.3.5 高级度量法高级度量法（Advanced Measurement Approch，AMA）是指商业银行在满足巴塞尔委员会提出的资格要求以及定性和定量标准的前提下，通过内部操作风险度量系统计算监管资本要求。目前，业界比较流行的高级度量法主要有内部衡量法（Internal Measure Approach，IMA）、损失分布法（Loss Distribution Approach，LDA）极值理论以及记分卡（Scorecard Approach，SCA）等。1.1.内部衡量法内部衡量法内部衡量法按照巴塞尔新资本协议将操作风险分为内部欺诈，外部欺诈，雇佣合同以及工作状况带来的风险，客户、产品与业务活动带来的风险，有形资产损失，经营中断和系统错误，涉及执行、交割和流程管理的风险等7种风险类别。连同上面产品线的划分，可以形成56个产品线类别风险类别组合。对每个组合根据历史损失数据估计操作风险事件发生概率（PE）、风险事件发生时的损失（LEG）。每个组合的预期损失值(EL)等于PE、LEG和风险暴露指标（EI）的乘积。该方法假设预期损失（损失分布的均值）和操作风险所需资本之间具有固定的稳定关系，这种关系可以是线性的，也可能是非线性的。内部衡量法内部衡量法,IMAi ji jiji ji ji ji jijKELEIPELEG 2.2.损失分布法损失分布法损失分布法是银行利用操作风险损失数据对单个风险的损失概率分布进行模拟，估计出一定时间内（比如1年）风险的具体分布形式，计算出单个风险的风险价值（VaR），并加总得到总的操作风险计量结果。3.3.极值理论极值理论操作风险的极值理论（Extreme Value Theory）是专门用来衡量操作风险损失分布的尾部即损失极端值的方法，它通过推导超过一定临界水平的操作风险损失的具体分布函数，得出一定置信水平下VaR的估计值和超过临界水平的损失的期望值，并以此作为提取操作风险监管资本的参照。POT(PEAK OVER THRESHOLD)模型目前，主要的操作风险极值理论模型是POT(Peak Over Threshold)模型，该模型通过对样本中超过某一充分大的阀值(threshold)的数据进行建模，能有效地利用有限的观察数据。当阀值趋于极大时，对于超过确定阀值的随机变量的分布近似为广义帕累托分布。广义帕累托分布可以很好地描述操作风险损失分布的“厚尾”特征。运用数据分析可以得到合适的阀值，并可以计算出一定置信水平下的操作风险VaR值。4 4记分卡方法记分卡方法记分卡是对操作风险的一个自我评估，主要包括以下组成部分：风险事件、风险拥有者、风险发生的可能性、风险严重程度、缓释风险的控制措施、控制实施者、控制设计和控制影响等。评估专家通过对影响风险的主要因素，如内控因素、人员状况、内外部环境、硬件设施以及历史风险损失等给每一类操作风险记分，得到风险发生可能频率和损失严重程度的估计。这样可以计算出操作风险的预期损失和非预期损失。操作风险预期损失等于风险暴露乘以损失事件发生频率乘以风险事件发生时的损失。操作风险非预期损失可以按照预期损失的一定比例推算，也可以结合其他方法或通过记分方式直接给出估计。10.4 10.4 操作风险的管理操作风险的管理10.4.110.4.1操作风险管理的环境操作风险管理的环境操作风险管理的环境包括：1.公司治理；2.内部控制；3.合规文化；4.信息系统。10.4.210.4.2操作风险管理的措施操作风险管理的措施根据管理和控制操作风险的能力，可以将操作风险划分为四大类：可规避的操作风险、可降低的操作风险、可缓释的操作风险和应承担的操作风险。可规避的操作风险指那些商业银行可以通过调整业务规模、改变市场定位、放弃某些产品等措施让其不再出现的操作风险；可降低的操作风险（如交易差错、记账差错等）可以通过采取更为有力的内部控制措施（如轮岗、强制休假、差错率考核等）来降低风险发生频率；10.4.210.4.2操作风险管理的措施操作风险管理的措施可缓释的操作风险，如火灾、抢劫、高管欺诈等，商业银行往往很难规避和降低，甚至有些无能为力，但可以通过制定应急和连续营业方案、购买保险、业务外包等方式将风险转移或缓释。商业银行不管尽多大努力，采取多好的措施，购买多好的保险，总会有些操作风险发生，这些是商业银行必须承担的风险，需要为其计提损失准备或分配资本金。10.4.210.4.2操作风险管理的措施操作风险管理的措施1.1.连续营业方案连续营业方案2 2商业保险商业保险3 3业务外包业务外包10.5 10.5 操作风险的监测与报告操作风险的监测与报告10.5.1 10.5.1 风险诱因风险诱因/环节监测环节监测从实际来看，操作风险的形成，特别是重大操作风险事件的形成，往往是因素同时作用的结果。对这些因素进行监测将有助于企业及时发现风险。10.5.2 10.5.2 关键风险指标监测关键风险指标监测关键风险指标（KRI）是指可以代表某一风险领域变化情况并可定期监控的统计指标。关键风险指标可用于监测可能造成损失事件的各项风险及控制措施，并作为反映风险变化情况的早期预警指标（高级管理层可据此迅速采取措施）。确定关键风险指标的三个步骤为：第一步，了解业务和流程；第二步，确定并理解主要风险领域；第三步，定义风险指标并按其重要程度进行排序，确定主要的风险指标。10.5.2 10.5.2 关键风险指标监测关键风险指标监测关键风险指标的显著波动可能意味着操作风险的总体性变化。商业银行可以自主地选择一些能够充分反映本行经营特色的关键风险指标，并为其设定阈值，同时根据这些关键风险指标所反映的风险状况确定适当的监测频率使得操作风险管理部门能够及时向髙级管理层发出预警，及时对异常风险状况采取行动。商业银行通过监测和分析不同使其自身关键风险指标的变化，并与同类金融机构进行横向比较，有助于深入理解操作风险状况的变化趋势，为操作风险管理提供早期预警。10.5.3 10.5.3 操作风险的预警操作风险的预警操作风险预警系统是指能够对操作风险的发生提前发出警报的经济金融指标系统。在操作风险不断聚集时系统内的相关指标会显示出与正常状态下不同的异常情况。因此，可以通过监测指标出现的异常变化衡量风险发生的可能性。10.5.4 10.5.4 操作风险的报告操作风险的报告国际先进银行普遍采用的操作风险报告路径是，各业务部门负责收集与操作风险相关的内部数据和信息，并报告至风险管理部门，风险管理部门汇总内外风险信息并集中处理、评估后，形成操作风险报告递交髙级管理层。而有些商业银行的业务单位、内部职能部门、操作风险管理部门和内部审计部门均可单独向高级管理层汇报。操作风险报告内容主要包括：风险状况，损失事件，诱因与对策，关键风险指标，资本金水平。