商业银行操作风险度量与管理

商业银行操作风险度量与管理Operational Risk Measurement and Management of Commercial Banks主要内容操作风险界定操作风险界定操作风险现状分析操作风险现状分析操作风险度量模型操作风险度量模型操作风险实证度量操作风险实证度量 内部控制与操作风险内部控制与操作风险 操作风险管理（操作风险管理（ORM）体系）体系操作风险界定操作风险的提出操作风险特征操作风险损失事件 操作风险的提出风险管理越来越受到金融机构的重视。科学有效的金融风险管理一方面可以保证金融机构健康、持续地运行，另一方面可以降低企业防范风险的资金成本，提高企业的竞争力。目前，金融机构所面临的风险大体可以概括为市场风险(Market Risk)、信用风险(Credit Risk)以及操作风险(Operational Risk)。市场风险市场风险是指由于特定的市场风险因素变化而引起的净收入或投资组合价值的波动。信用风险信用风险是指由于机构外部的合作伙伴、借款人、供货商违约引起的净收入或者净资产的波动。市场风险和信用风险很早就引起了金融机构的重视，到目前为止都已经有了较为成熟的风险管理技术。操作风险的涵义虽然操作风险这个概念的提出已有较长的历史，但将其与其他两种风险并列为金融机构面临的三种主要风险则是最近几年的事情。国际银行监管巴塞尔委员会_年以来连续三次发表长篇咨询报告，与业界磋商如何建立稳妥的操作风险管理和监管机制。在学术界，操作风险的研究也得到长足的发展，出现了一批从不同角度出发的操作风险度量模型，为操作风险的管理提供了较为可靠的基础。操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。本定义包括法律风险，但不包括策略风险和声誉风险(strategic and reputational risk)。BBA关于操作风险的界定 第一级：因素第一级：因素第二级：定义第二级：定义人（1）雇员欺诈、犯罪；（2）越权行为、欺诈交易、操作失误（3）违反用工法；（4）劳动力中断；（5）关键人员流失或缺乏内部程序（1）支付清算、传输风险；（2）文件、合同风险；（3）估价、定价风险；（4）内部、外部报告风险；（5）执行风险；（6）策略风险、管理变动；（6）出售风险；（7）科技投资风险系统（1）系统开发和执行；（2）系统功能；（3）系统失败；（4）系统安全外部事件（1）法律、公共责任；（2）犯罪；（3）外部采购、供应商风险；（4）外部开发风险；（5）灾难、基础设施；（6）政策调整（7）政治、政府风险巴塞尔协议发展与操作风险19881988 年巴塞尔协议：信用风险资本要求操作风险管理：操作风险管理：引入操作风险引入操作风险新资本协议框架：强调操作风险及其定量分析对银行的重要性巴塞尔巴塞尔协议协议II19921988年巴塞年巴塞尔协议实施尔协议实施1996资本协议关于市场风险的修订案：市场风险资本要求操作风险管理与监管的稳健做法操作风险法规政策操作风险高级计量法（AMA）原则资本配置：当前与未来当前资本配置操作风险 20%市场风险 10%信用风险 70%未来资本配置操作风险 30%市场风险 30%信用风险 40%行业趋势操作风险凸现原因金融全球化的迅速发展，跨国金融交易和服务面临不同的社会、政治和法律制度，增加了银行的操作风险暴露新技术的发展尤其是信息技术在金融领域的广泛应用，大大提高了银行金融服务的效率，但同时加大了商业银行的操作风险信用风险和市场风险管理技术的迅速发展，在缓释信用风险和市场风险的同时，加大了操作风险金融创新和市场压力需要银行开发更为复杂的金融产品操作风险的特征具体特质性复杂性分散性差异性内生性市场风险信用风险操作风险风险头寸风险暴露是否可量化是是不易量化暴露的衡量基准对市场因素的风险敏感性信用状况不易获得完整性投资组合完整性已知已知未知前后期关系依存性及资料相关性依存性低中高数据产生的频率高中低风险度量及检验风险衡量方法VaR；压力测试；经济风险资本信用评分模型；违约损失模型；经济风险资本无一致的方法精确度高中低检验有足够数据进行返回检验短期内的返回检验的进行困难任何时间范围内都难以检验其结果结论市场风险模型建构已趋成熟模型尚合理，但使用上仍须注意无一致的模型*表示不包括操作风险中高频、低额的部分。市场风险、信用风险与操作风险的比较操作风险部分典型案例（国际）机构名称发生年份损失金额（$百万）操作风险产生根源日本大和银行(Daiwa Bank Ltd.)1984-1995年1,100 未经授权（3万笔）的交易行为、伪造会计账册文件，及管理阶层企图隐匿，做出不实揭露。日商住友银行(Sumitomo Corp.)1986-1996 年1,700 从事未经授权之期货商品交易达十年之久。国际商业与信用银行（BCCI）1991 年10,000 欺诈性贷款、虚假存款和洗钱等广泛的非法经营业务活动。英国巴林银行（Barings Bank）1995 年1,600 从事未经授权之交易行为及隐匿巨额期货交易损失。爱尔兰联合银行（AIB）2002年750银行职员鲁斯纳克伪造交易文件，进行违法外汇交易操作风险国内部分案例（国内银行）1997年_月，福州市商业银行马江支行原行长贺冬玉将拆入资金7000万人民币中的3690万挪用4家私有公司使用及马江支行自购股票。1998年_月，原中国银行南海支行丹灶办事处信贷员谢炳峰、储蓄员麦容辉共同贪污5250万元潜逃。事后，警方追回赃款人民币3311万元，检察机关扣押并追回588万元，尚有972万未能追回。1998年_月_日，江苏扬州的郝氏兄弟利用自制装置侵入工商银行扬州分行电脑系统，将72万元转入以其假名开设的银行活期存折，并提款26万元。_年_月_日，中国银行巴黎第九区分行总值40多万欧元现钞和法郎现金被盗。盗贼还破坏了分行的相关通讯线路，导致中国银行巴黎第九区分行和十三区支行互联网中断，以致两处分支机构无法正常营业。2002_年_月，工商银行上海外高桥保税区支行向“姚康达”一人就发放个人住房贷款7141万元，这些资金被用于购买128套住房，炒作房地产。_年审计署审计报告中公布的“华光案”中，冯明昌利用其控制的13家关联企业，累计从工商银行广东南海支行获得贷款74.21亿元，案发后，其中28.8亿元无法归还。国内银行近年部分操作损失事件 机构名称发生年份损失金额操作风险产生根源中国建设银行吉林分行1999.122001.432844万内外勾结，采取私刻印鉴、印章，制作假合同、假存款证明书，伪造资信材料、担保文件等手段，进行贷款、承兑汇票的诈骗中国银行北京分行2000.122002.66.4亿元北京“森豪公寓”的开发商以员工名义，虚构房屋买卖合同，提供虚假收入证明套取按揭贷款和重复按揭贷款中国农业银行包头分行2003.72004.61149万元银行工作人员与社会人员相互串通、勾结作案，挪用联行资金、虚开大额定期存单、办理假质押贷款、违规办理贴现、套取银行信贷资金，谋取高息。中国工商银行南海支行19902003超过20亿元使用虚假的财务报表、经济合同、证明文件，使用虚假的产权证明、抵押物作担保、抵押，骗取银行贷款中国工商银行上海外高桥保税区支行20022003.6涉案金额：7141万以消费信贷名义经营谋利：姚康达将个人住房贷款用于购买128套住房，炒作房地产。中国银行龙江省分行河松街支行2005.1*超过10亿元内外勾结的票据诈骗案件我国商业银行操作风险特征操作风险具有很强的突发性商业银行的操作损失事件呈二维分布（高频、低额低频、高额）人员因素引起的操作风险占了大多数商业银行操作风险的单笔损失金额呈逐年上升趋势我国商业银行操作风险职务犯罪严重我国商业银行操作风险分布特点明显（损失事件58%来自内部欺诈，损失金额49%发生在信贷部门）福克思2004中国银行业巨贪100强个人金额第一名：中国银行广东省分行开平市支行前行长“余振东”涉案金额：亿美元，折合人民币约 40 亿巨款。银行系统机构、职工数目（_年底）单位名称机构数目（个）年末职工数目（人）中国工商银行21,223375,781中国农业银行31,004489,425中国银行11,307220,999中国建设银行14,585310,391中国农业发展银行2,27559,487交通银行2,40354,408中国进出口银行16834浦东发展银行3298,817国家开发银行374,678中信实业银行39111,598中国光大银行4108,906中国民生银行2196,382华夏银行2437,007招商银行41117,829广东发展银行48711,714福建兴业银行2948,050深圳发展银行2556,999恒丰银行721,365合计85,9611,604,670目前的操作风险管理存在的问题 操作风险认识的落后操作风险度量技术的落后缺乏健全的操作风险管理框架操作风险现状分析损失事件和业务部门国际现状我国现状（1990年_年）损失事件和业务部门损失事件业务部门损失事件分类（7大类）内部欺诈（内部欺诈（Internal Fraud）：有机构内部人员参与的诈骗、盗用资产、违犯法律以及公司的规章制度的行为。例如内部人员虚报头寸、内部人员偷盗、在职员的账户上进行内部交易等等。外部欺诈（外部欺诈（External Fraud）：第三方的诈骗、盗用资产、违犯法律的行为。例如抢劫、伪造、开具空头支票以及黑客行为对计算机系统的损坏。雇用合同以及工作状况带来的风险事件（雇用合同以及工作状况带来的风险事件（Employ Practices&Workspace Safety）：由于不履行合同、或者不符合劳动健康、安全法规所引起的赔偿要求。例如，工人赔偿要求、违犯雇员的健康安全规定、有组织的罢工以及各种应对顾客负有的责任。客户、产品以及商业行为引起的风险事件（客户、产品以及商业行为引起的风险事件（Client,Products&Business Practices）：有意或无意造成的无法满足某一顾客的特定需求，或者是由于产品的性质、设计问题造成的失误。例如受托人违约、滥用客户的秘密信息、银行账户上的不正确的交易行为、洗钱、销售未授权产品等。有形资产的损失（有形资产的损失（Damage to Physical Assets）：由于灾难性事件或其他事件引起的有形资产的损坏或损失。例如恐怖事件、地震、火灾、洪灾等。经营中断和系统出错（经营中断和系统出错（Business Disruption&System Failure）：例如软件或者硬件错误、通信问题以及设备老化。涉及执行、交割以及交易过程管理的风险事件（涉及执行、交割以及交易过程管理的风险事件（Execution Delivery&Process Management）：交易失败、过程管理出错、与合作伙伴、卖方的合作失败。例如交易数据输入错误、间接的管理失误、不完备的法律文件、未经批准访问客户账户、合作伙伴的不当操作以及卖方纠纷等。业务部门（8个）公司财务（公司财务（Corporate Finance）：合并与收购、股份承销、资产证券化、首次公开上市发行、政府债券和高收益债券等。交易与销售（交易与销售（Trading&Sales）：固定收益债券、股权、商品期货、信用产品、自有头寸证券、租赁与赎回、经纪、债务。零售银行业务（零售银行业务（Retail Banking）：零售的存贷款业务、私人的存贷款业务、委托理财、投资建议。商业银行业务（商业银行业务（Commercial Banking）：项目融资、房地产、出口融资、交易融资、代收帐款、租赁、担保、贷款。支付与清算（支付与清算（Payment&Settlement）：支付、转帐、清算。代理服务（代理服务（Agency Services）：契约、存款收据、证券借贷、发行和支付代理。资产管理（资产管理（Asset Management）：可自由支配的资金管理和不可自由支配的资金管理。零售经纪（零售经纪（Retail Brokerage）：零售的经纪执行以及其他服务。国际现状_年_月巴塞尔银行监管委员会下设的风险管理小组(RMG)。_年损失数据调查中89个银行提交了数据，是_年30家银行的近3倍。89家银行提供的组合数据涵盖了逾4,7000个损失事件。89家银行_年损失事件数目 损失事件数目银行数目全面综合信息部分综合信息未提供信息05027124115110085031012001462620150017421150110001432910012000300320015212业务部门未提供信息1001总额8932114689家银行损失金额的分布（单位：千欧元）家银行损失金额的分布（单位：千欧元）总的损失金额损失事件数目损失事件产生金额数目比例（）总金额比例（）0103130.719340.0210503674577.77204899.250100471910.03247834.210050042178.984764510.950010005631.23878185.01000100006191.3174875222.410000930.2376410448.3总计47269100.07795525100.0每一业务部门和事件类型的损失事件数目 内部欺诈外部欺诈雇用合同以及工作状况带来的风险事件客户、产品以及商业行为引起的风险事件有形资产的损失经营中断和系统出错涉及执行、交割以及交易过程管理的风险事件无事件类型信息总体公司财务170.04%200.04%730.15%730.15%160.03%80.02%2140.45%20.00%4230.89%交易与销售470.10%950.20%1010.21%1080.23%330.07%1370.29%46039.74%80.02%513210.86%零售银行业务12682.68%1710736.19%20634.36%21254.50%5201.10%1630.34%528911.19%3470.73%2888261.10%商业银行业务840.18%17993.81%820.17%3080.65%500.11%470.10%10122.14%320.07%34147.22%支付与清算230.05%3220.68%540.11%250.05%90.02%820.17%13342.82%30.01%18523.92%代理服务30.01%150.03%190.04%270.06%80.02%320.07%13812.92%50.01%14903.15%资产管理280.06%440.09%390.08%1310.28%60.01%160.03%8371.77%80.02%11092.35%零售经纪590.12%200.04%7941.68%5391.14%70.01%500.11%17733.75%260.06%32686.91%无业务部门信息350.07%6171.31%8031.70%540.11%130.03%60.01%1350.29%360.08%16993.59%总体15643.31%2003942.39%40288.52%33907.17%6621.40%5411.14%1657835.07%4670.99%47269100.00%业务部门和事件类型的总损失金额（单位：百万欧元）内部欺诈外部欺诈雇用合同以及工作状况带来的风险事件客户、产品以及商业行为引起的风险事件有形资产的损失经营中断和系统出错涉及执行、交割以及交易过程管理的风险事件无事件类型信息总体公司财务49.40.63%5.00.06%2.50.03%157.92.03%8.00.10%0.50.01%49.60.64%0.60.01%273.53.51%交易与销售59.50.76%40.40.52%64.80.83%193.42.48%87.91.13%17.60.23%698.48.96%1.10.1%1163.114.92%零售银行业务331.94.26%787.110.10%340.04.36%254.13.26%87.51.12%26.50.34%424.55.45%37.40.48%2289.029.36%商业银行业务21.20.27%324.94.17%20.40.26%156.42.01%1072.913.76%18.20.23%619.47.95%23.20.30%2256.828.95%支付与清算23.00.29%21.00.27%11.60.15%10.50.13%15.00.19%78.61.01%93.51.20%0.30.00%253.43.25%代理服务0.20.00%3.90.05%7.60.10%5.00.06%100.01.28%40.10.51%174.12.23%0.80.01%331.64.25%资产管理6.40.08%4.60.06%10.20.13%77.00.99%2.30.03%2.30.03%113.21.45%0.050.00%216.52.78%零售经纪61.50.79%1.20.02%50.70.65%158.62.03%513.26.58%28.00.36%97.11.25%3.40.04%913.711.72%无业务部门信息10.50.13%23.40.30%18.70.24%11.50.15%6.70.09%0.70.01%22.70.29%3.80.05%97.91.26%总体563.57.23%1211.315.54%526.66.76%1024.513.14%1893.424.29%212.52.73%2292.629.41%71.10.91%7795.5100.00%我国现状（1990年_年）研究所涉及的我国商业银行操作风险损失事件全部来自于国内外媒体的公开报道。共有操作风险损失事件71起，涉及我国国内的商业银行7家，时间跨度由1990年至_年，给银行带来的损失多至5.3亿元，少至2500元。每一笔损失，我们都记录了其损失事件类型（Loss Event Type）、业务部门（Business Line）、损失金额.如果相应的损失事件中清楚提及商业银行名称、所属地域的，也对这些信息做了记录。国有商业银行损失事件数目（根据公开媒体报道）国有商业银行损失金额损失按地区划分操作风险度量模型操作风险的定性评估操作风险的定量度量方法新巴塞尔资本协议中的度量方法操作风险高级计量模型及其应用操作风险的定性评估自我评估（Self-assessment）风险图（Risk Mapping）关键风险指标（Key Risk Indicators，KRIs）情景分析（Scenario Analysis）操作风险度量方法体系由上至下法(Top-down Approaches)由上至下法着眼点在于总体的目标(例如净收入、净资产)，然后考虑风险因素和损失事件对其造成的影响。这一类的模型包括证券因素模型、收入模型、开支模型、操作杠杆模型、情景分析、风险概括模型。一般的步骤是：1.确定目标变量。2.确定可以影响目标变量的因素和事件。3.建立模型，反映目标变量和因素、事件的关系。4.计算变量的方差，将其中不能被外部因素解释的部分或者能被风险因素解释的部分作为操作风险。证券因素模型(Stock Factor Model)证券因素模型(Stock Factor Model)可以用来分析上市公司的操作风险。选取的目标变量是股票的市值，解释变量是一些影响股票市值的因素。rtb1(P t/P t)b2(P t/P t)b3(P t/P t)Kt其中，rt是公司股票的收益率，P t/P t 是第i个风险因素的收益率，bi代表了对这些因素的敏感程度。我们在确定了影响股票收益的因素以后，可以通过数据回归出模型，然后将股票收益率的方差中不能被模型解释的部分作为由于企业内部管理因素而导致的风险，即操作风险。收入模型(Income-based Models)收入模型(Income-based Models)的着眼点在于企业的收入。它将企业的历史收入作为目标变量，将企业外部的一些风险因素作为解释变量。这些因素可以是市场因素、行业因素以及信用因素等。与前面的证券模型相同，将这些外部因素不能解释的收入的方差值作为企业的操作风险。在很多情况下，历史数据可能不足，这时可以选取季度甚至月份的收入数据。开支模型(Expense-based Models)开支模型(Expense-based Models)将企业的历史开支和操作风险联系起来。首先收集企业历史上的开支数据，然后调整这些数据以反映企业内部发生的结构性变化，最后将这些开支数据的波动率作为操作风险值，因为开支的波动可能来自操作失误、罚款、经营中的损失。开支模型的特点是简单易行，但是它只能反映部分操作风险，对于信誉风险、机会成本以及影响收入的损失则没有考虑。操作杠杆模型(Operating Leverage Models)在企业的经营中，一般可变成本近似地与收入同步增长，因此它对净收入的波动率没有太大的影响。操作杠杆风险是指由于收入波动率和开支波动率的不同所引起的风险，它依赖于资产与运营开支的比率。一般我们选取固定资产和运营开支的简单函数来代表操作杠杆。例如，银行可以将操作杠杆定义为10%的固定资产加上25%的3个月的运营开支。操作杠杆风险是操作风险的一个重要组成部分，但是它丢掉了很多其他方面的操作风险。风险概况模型(Risk Profiling Models)选取一些可以反映企业运行风险状况的指标，连续跟踪这些指标的值，但是并不把它们和某种目标变量联系起来。例如这些指标可以是交易量、操作不当引起的损失、意外报告的数目、人员流失比率、人员空缺率等等，所有可以反映或者预测运行异常的指标都可以包括进来。由下至上法(Bottom-up Approaches)自下而上的方法首先考虑企业运转的一些基本要素(例如资产、负债、重要的经营过程、重要的资源等)，然后考虑这些因素的潜在变化可能会对目标变量(以市场方式标价的资产价值、净收入等)带来怎样的影响。模型中一般使用风险因素或特定的损失事件来代表潜在的变化。经常使用的自下而上的模型包括资产负债管理、市场因素模型、精算损失模型、随机模型、操作方差、压力测试、操作清单等。建立一个由下至上模型的步骤包括：1.确定目标变量，一般为损益值、成本、净资产价值。2.确定一些重要的过程和资源或者一些重要的资产和负债。在此过程中，需要牢记：往往大部分的风险蕴含在很少的几个重要过程和资源中。3.将这些过程和资源映射到一系列我们已经掌握了历史数据的风险因素和损失事件。4.模拟一定时间范围内的风险因素和损失事件的可能变化，同时也要考虑这些因素和事件之间的依赖关系。对于它们的统计分布，可以使用参数估计，也可以使用蒙特卡罗(Monte Carlo)模拟。5.使用模拟得出的分布和前面使用的映射关系，给出对目标变量的可能影响。巴塞尔银行业监管委员会推行的度量方法（一）基本指标法（一）基本指标法（The Basic Indicator Approach，BIA）（二）标准法（二）标准法（The Standardised Approach，SA）（三）高级计量法（三）高级计量法(Advanced Measurement Approaches，AMA)基本指标法基本指标法采用基本指标法银行持有的操作风险资本应等于前三年总收入的平均值乘上一个固定比例(用表示)。资本计算公式如下：KBIA=GI x 其中，KBIA=基本指标法需要的资本，GI=前三年总收入的平均值，=15%，由巴塞尔委员会设定，将行业范围的监管资本要求与行业范围的指标联系起来。总收入定义为：净利息收入加上非利息收入。这种计算方法旨在(1)反映所有准备(例如，未付利息的准备)的总额；(2)不包括银行账户上出售证券实现的利润(或损失)；(3)不包括特殊项目以及保险收入。标准法 在标准法中，银行的业务分为8个产品部门：公司金融(corporate finance)、交易和销售(trading&sales)、零售银行业务(retail banking)、商业银行业务(commercial banking)、支付和清算(payment&settlement)、代理服务(agency services)、资产管理(asset management)和零售经纪(retail brokerage)。在各产品部门中，总收入是个广义的指标，代表业务经营规模，因此也大致代表各产品线的操作风险暴露。计算各产品部门资本要求的方法是，用银行的总收入乘以一个该产品部门适用的系数(用值表示)。值代表行业在特定产品部门的操作风险损失经验值与该产品部门总收入之间的关系。应注意到，标准法是按各产品部门计算总收入，而非在整个机构层面计算，例如，公司金融指标采用的是公司金融业务产生的总收入。标准法总资本要求是各产品线监管资本的简单加总。总资本要求如下所示：KTSA=(GI1-8 x 1-8)其中:KTSA=用标准法计算的资本要求；GI1-8=按基本指标法的定义，8个产品线中各产品线过去三年的年均总收入；1-8=由委员会设定的固定百分数，建立8个产品线中各产品线的总收入与资本要求之间的联系。值详见下表：业务部部门 系数系数公司金融(1)18%交易和销售(2)18%零售银行业务(3)12%商业银行业务(4)15%支付和清算(5)18%代理服务(6)15%资产管理(7)12%零售经纪(8)12%第二次定量影响测算（第二次定量影响测算（QIS2QIS2）调查结）调查结果中果中 离差离差 高级计量法(AMA)内部衡量法（IMA）损失分布法（LDA）极值原理法（EVT）贝叶斯网络法（BBN）记分卡法（SCA）高级计量法是指，银行用定量和定性标准，通过内部操作风险计量系统计算监管资本要求。使用高级计量法应获得监管当局的批准。鉴于操作风险计量方法处于不断演进之中，巴塞尔委员会不规定用于操作风险计量和计算监管资本所需的具体模型。高级计量法模式操作风险度量中的数据问题操作风险损失数据库 内、外操作损失数据 我国商业银行操作损失数据搜集操作损失数据库的类型第一类数据库的资料来源于公开披露的操作损失数据，即此类数据库由达到一定金额（阀值）而需向公众披露的损失数据组成。典型代表OpVar数据库。第二类操作损失数据库：建立在银行公会基础上的，在一定的保密原则下，通过签订协定，银行将其内部损失数据提交给银行公会以建立数据库。作为回报，参与其中的银行可利用其中数据补充自身内部数据。典型代表全球操作损失数据库（GOLD）。操作损失数据库的类型操作风险ORX（操作风险数据交流）项目是另一类型的数据库，其数据收集始于_年_月，以对现有商业数据专业分析为基础。参与银行按一定标准提交数据；托管人按客户要求将数据匿名化、整理和标准化；管理机构操作风险将数据合并，按客户的需求进行分析并提供报告。之后，经过比例调整或其它的处理后，管理机构提供标准报告。最后，参与银行根据业务部门和或区域和或损失事件接收数据。相对而言，操作风险ORX数据库的运作更为严格，它还需要对数据的调整和校验。如果一家银行想成为操作风险ORX协会的会员，这家银行必须论证自己有足够的收据搜集能力。_年，包括花旗集团、高盛、瑞士信贷第一波士顿、美洲银行、摩根大通、雷曼兄弟、美林、摩根士丹利以及瑞士银行在内的20家全球最大的金融机构已开始组建名为全球监管信息数据库。这个数据库利用了全球2万多个信息来源和数据库，其中包括过去30年美国监管机构所采取的惩戒措施，这些监管机构包括证交会、全美证券交易商协会和纽约证交所等。数据库的损失数据分析取自OpVantage（）网站，给出的是10多年内损失金额大于100万美元的7000多起损失事件的全部损失（总金额达2720亿美元）。操作风险损失数据库的局限性 可审计性：提交操作损失数据库的数据并非都经过独立的外部审计，如果这些数据出现在银行财务报表中，那么它们应该是经过审计的，或至少是可以被审计的。但并非所有数据都是如此。管理标准：数据库中的数据并不总是可比的，因为它是汇集了全行业的数据。银行间管理和监控标准各异，管理质量也不尽相同。起点标准：对于报告起点的选择也会影响数据的数量及其准确性。选择起点时，既要考虑数据库的所有使用者，也要依据数据提供者和损失的不同而不同。内、外损失数据结合多数银行才开始内部操作损失数据的搜集，还未建立起内部操作损失数据库，已经建立起来的数据库中的损失事件多数为高频、低额的。内部操作数据的不足使得各银行难以精确计算操作风险资本要求，尤其是对于高额低频的事件类型。使用外部数据度量操作风险会产生内外数据的不同质、扩大规模问题和缺乏兼容性等一系列问题。外部数据库一般只记录极端损失，即损失额最高的部分（公开披露的部分），并且没有经过严格的统计处理。这样综合了内部数据与外部数据进行的损失分布估计会偏向于高额损失，因而计算出来的操作风险资本要求会严重高估。内、外损失数据比较 数据属性优势劣势内部数据1.可直接反映银行的历史损失。2.资料搜集较为容易且可节省搜集成本。1.银行过去的损失经验可能未涵盖尾部损失。2.过于内部导向(inward focused)，缺乏与外界的连结、互动。外部数据1.可提供内部损失数据库较难掌握之资讯，如发生机率低、损失严重的事件。2.其它机构发生操作风险的成因与解决方式可供借鉴，避免重蹈覆辙。1.外部损失数据未必与银行直接相关，因此须加以筛选。2.资料搜集与管理困难度较高。内、外部数据结合内、外部数据结合时，可提高模型预测力。数据管理难度提高外部数据的处理定量方法：直接将外部数据导入模型。对于内部数据中很少（或没有）高额损失的损失类型，美国银行和花旗银行的员工使用外部数据来估计其操作风险暴露。定性方法，引入外部数据加强讨论。大通曼哈顿银行要求其风险管理人员根据业务部门对应的外部数据来模拟可能的高额损失。可以想象，如果某种高额损失过去10年中在多家银行发生，经理就很难再假定在其部门发生的概率为0.1%。国内银行所做的操作数据搜集2002_年，在银行监管部门的组织下，国家开发银行、中国工商银行、中国银行、中国建设银行和中信实业银行参加了巴塞尔委员会推行的“第三次定量影响测试”（QIS3），向巴塞尔委员会提供了数据，测算了新协议中操作风险对各行资本充足率的影响。_年，中国工商银行出台了操作风险管理框架，并将其作为中国工商银行全面风险管理框架的一部分，这标志着工商银行在我国金融系统内第一家正式将操作风险的监督管理纳入具体议事日程。_年开展了全行操作风险情况问卷调查。国内银行所做的操作数据搜集_年_月，中国建设银行按照巴塞尔新资本协议对操作风险的定义和分类，在全行开展了1998年至_年的操作风险损失事件调查。形成了建行操作风险损失事件调查数据分析报告，全面、系统地总结了建行操作风险管理状况并提出相关建议。_年，中国银行通过独立稽核体系，针对各级机构的经营状况和风险特点，对14个一级分行（稽核覆盖面44%），219个二级分行（稽核覆盖面77%），821个城区支行（稽核覆盖面54%），625个县支行（稽核覆盖面45%），4个信息中心（稽核覆盖面50%）和22个境外机构（稽核覆盖面81%）进行稽核，完成专项稽核1357个（其中经济责任稽核1070个），个案调查109个。中国商业银行操作风险实证度量操作风险水平度量操作风险的微观效应 业务部门损失事件数目与损失金额不同类型损失事件数目与损失金额年度损失事件数目与损失金额损失分布法（LDA）流程操作风险损失金额分布图 操作风险的微观效应商业银行操作损失事件披露对市值的影响上市银行操作损失统计 度量方法 实证结果 结论上市银行披露的作为被诉方的案件（万元）2002年2003年2004年2005年6月案件数金额案件数金额案件数金额案件数金额深圳发展银行76178.9135965.0614109332412700浦东发展银行15519.21336.24128.1933239华夏银行*9133008123001016226民生银行1449-1902未公布招商银行67000153087.553113254.51113329.1损失事件披露与股价、市值波动 操作损失事件披露日股价及市值波动操作损失事件披露日股价波动市值损失与损失事件本身损失比较下跌上升不变大于小于等于比率38.46%53.85%7.69%100%00操作损失事件披露次日股价及市值波动操作损失事件披露次日股价波动市值损失与损失事件本身损失比较下跌上升不变大于小于等于比率76.93%15.38%7.69%100%00研究方法：三因子报酬确定模型（three-factor return generating model）不同窗口区间内的异常收益表 窗口区间CARAAR窗口区间CARAAR(0,0)-0.24%-0.24%(-1,+1)-2.01%-0.67%(-1,+1)-2.01%-0.67%(-1,+2)-5.97%-1.99%(-2,+2)-2.87%-0.57%(-1,+3)-5.93%-1.19%(-3,+3)-1.50%-0.21%(-1,+5)-3.37%-0.48%(-5,+5)-0.21%-0.02%(-1,+10)-10.02%-0.91%(-10,+10)11.13%0.53%(-1,+15)-10.75%-0.51%(-15,+15)-3.42%-0.11%(-1,+20)-1.27%-0.04%(-20,+20)12.84%0.31%(0,+1)-2.16%-0.05%(-2,-1)3.25%1.63%(0,+2)-6.12%-3.06%(-3,-1)4.58%1.53%(0,+3)-6.09%-2.03%(-5,-1)3.32%0.66%(0,+5)-3.52%-0.70%(-10,-1)21.31%2.13%(0,+10)-10.17%-1.02%(-15,-1)7.49%0.50%(0,+15)-10.91%-0.73%(-20,-1)14.26%0.71%(0,+20)-1.42%-0.07%上市银行规模、TobinQ值和累计异常收益深圳发展银行浦东发展银行民生银行招商银行总资产（亿元）2105.064924.515123.356714.23总负债（亿元）2056.134783.084985.196491.61市值（亿元）97.42177.69185.41327.19资本充足率（%）10.748.248.059.27TobinQ均值1.06601.02071.02381.0156CAR（0，+2）-2.97%-0.83%-2.84%0.53%结论分析事件分析法结果显示银行股价同操作损失事件存在显著的负相关。结果显示股价对操作损失的变化显著高于操作损失本身金额的，表明此类事件除了本身损失的金额外还对银行未来的现金流产生负面预期影响。对于TobinQ值较高的银行，股价波动更大。内部控制与操作风险内部控制与操作风险内部控制基本原理 我国商业银行内部控制制度的缺陷 我国商业银行内部控制体系设计 内部控制基本原理 内部控制是以一定的内部控制环境为背景，对风险进行识别、评估并实施各种控制措施，而监督评价与纠正体系则是在信息交流的基础上，对其控制过程不断进行评价与调整。我国商业银行内部控制制度的缺陷内部控制理念缺乏 内部控制制度设计不完善内部控制执行不力 信息交流渠道缺乏 我国商业银行内部控制体系设计操作风险管理（ORM）体系操作风险管理框架操作风险缓释机制商业银行操作风险管理实践我国商业银行操作风险管理体系的构建 操作风险管理定义：旨在评估、度量和控制银行由于内部程序、人员及系统或外部事件而导致的总体程序。操作风险管理框架操作风险管理战略操作风险管理流程操作风险管理基础设施操作风险管理环境操作风险管理框架图 操作风险管理战略风险偏好风险战略的核心内容业务目标风险政策操作风险管理流程操作风险管理基础设施操作风险管理组织架构风险数据和信息系统度量技术政策与程序美国花旗集团操作风险管理架构图操作风险缓释机制操作风险缓释的涵义保险缓释业务外包操作风险缓释的涵义操作风险缓释是指金融机构采取如抵押、担保、金融衍生品等风险缓释工具，或者采取保险、融资等手段所实施的风险转移技术。操作风险分布与缓释策略操作风险管理选择策略保险缓释保险范围保险赔付巴塞尔委员会对保险的处理方法标准 高级计量法允许银行出于计算最低监管资本的需要，在计量操作风险时认可保险的风险缓释影响。保险的缓释作用不超过操作风险总资本要求的20%。保险范围银行可以为操作风险事件购买保险。原则上，保险是资本的直接替代。由于存在信息不对称，对保险公司来说，要区分高风险的银行和低风险的银行可能很难或者成本很高。为了缓解道德风险的影响，保单通常包含一项扣减。扣减意味着部分风险没有得到保险。保单还可能包含一个责任上限，它可以使银行有管理风险的激励，但也同样意味着部分风险没有得到保险。由此可见，银行通过保险替代资本和内部控制的程度是有限的。保险还具有促进风险管理的间接作用。保险的存在能使保险者与被保险者合作，监控并尽力降低风险。这种做法能够减少风险暴露。保险赔付即使银行购买了保险，但仍可能有保险公司不履行它们的责任。更加严重的问题来自于保险公司延迟赔付。对于急需得到赔付资金缓解流动性困难的银行来说，这个问题尤其受到关注。巴塞尔委员会尝试通过量化冲击研究（Quantitative Impact Study，QIS）收集有关银行操作风险保险的数据，但是结果并不令人满意，因为仅收集了3年期间11个国家的30家银行的数据。这些数据只能很有限地跟踪应被保险的操作风险。这个研究发现仅有2.4%的损失事件（事件总数为7463件）得到了保险赔付，但这并不意味着保险不重要，而是表明只有很小一部分操作风险得到了保险。巴塞尔委员会对保险的处理方法不论基本指标法，还是标准法，都不允许从最低资本要求中扣减保险额，只有高级计量法允许在有限的程度上这样做。巴塞尔委员会正在考虑与赔付及时性、保险范围的确定性、保单的期限、保险者的信用等级及再保险的使用等有关的标准，设想开发包含保险影响的最低资本计算方法。标准银行能否享受这种风险缓释作用，取决于是否符合以下标准：保险人的理赔支付能力评级最低为A(或相当的评级)。保险覆盖的项目与银行的实际操作风险损失暴露之间对应关系明确。银行披露因保险作用而减少的操作风险资本要求。无论对监管当局对银行采取的监管措施，还是对于倒闭银行的接管方或清算人来说，保单都不规定除外条款或限制条件。业务外包业务外包的概念是罗斯佩罗（Ross Perot）在1962年建立电子数据系统公司（Electronic Data Systems，EDS）时提出的。业务外包是指商业银行利用外包服务商（为银行集团内的附属实体或集团以外的实体）来完成以前由自身承担的业务活动。金融机构业务外包比例 业务外包比例外包比例运输9%房地产/附属机构管理11%联络中心/呼叫中心15%销售/市场营销13%加工18%人力资源19%财务20%配送和物流22%操作风险管理的演进传统的内部控制、稽核方式 操作风险监控阶段 设立操作风险管理架构 操作风险量化度量阶段 将操作风险纳入综合风险管理阶段 由于对操作风险的认识不足，操作风险管理仍相当粗糙，依然停留在以内部控制或稽核等方式进行管理，尚未设置专责单位或指派人力负责，当失事件发生时，才开始谋求对策。开始意识到操作风险是须妥善管理，逐步展开专门单位、人员责。同时，建立起操作风险管理架构，针对操作风险管理的各个环节：风险识别、衡量与监控与冲销，拟定政策与必要施行程序。开始针对足以反映操作风险的各项指标进行追踪与自我评估，而高层管理人员则依据上述结果，确定对操作风险策略。开始发展量化模型，衡量操作风险，操作风险管理功能在本阶段已日趋完善。将操作风险管理融入银行整体风险管理之中，而操作风险衡量则须与市场风险、信用风险加以整合，也就是综合风险管理的概念。商业银行操作风险管理体系基本构成要素操作风险管理架构模式内部稽核功能引导模式（Internal Audit as a Lead Role in Operational Risk Management）分权式（Dedicated but Decentralized Support）集权式（Head Office Operational Risk Function）集权式操作风险组织结构图 商业银行内部控制系统框架商业银行综合信息管理系统公司治理结构银行内部控制目标操作风险识别与评估内部控制制度建设内部控制制度执行商业银行业务部门内 部 监 督 评 价 纠 正外 部 监 督 管 理 评 价操作风险提示操作风险管理程序操作风险点的判别操作风险水平度量管理评价与反馈操作风险的缓释存款及柜台业务信贷业务计算机信息系统损失数据搜集度量模型选择操作风险状况操作风险战略制订管理经验董事会总行总行风险管理委员会总行操作风险管理部操作风险管理部分行总行其它业务部门其它业务部门操作风险管理岗分行其它业务部门其它业务部门操作风险管理岗基层其它业务部门其它业务部门操作风险管理岗操作风险管理部基层行操作风险总监操作风险主管操作风险经理操操作作风风险险管管理理总总体体组组织织框框架架图图谢谢大家！