银行稽核部内控总稽核：BASEL-和-COSO-与商业银行操作风险管理

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,B,asel,和 COSO,与,商业银行操作风险管理,银行稽核部内控总稽核,Basel 和 COSO 与商业银行操作风险管理,目 录,B,asel,和COSO（操作）风险管理理念的差异,目前存在的困惑和问题,企业风险和操作风险的概念,银行业操作风险管理思路的探索,1,Basel 和 COSO 与商业银行操作风险管理,第一部分,Basel,和,COSO,（,操作,）,风险,管理理念,的,差异,2,Basel,和,COSO,（操作）风险管理理念的差异,区别,/,联系,Basel,COSO,定义,风险是一种可能性，风险管理是对过程的管理,目标,建立和健全全面风险管理体系,(,内部控制体系,),风险分类,分为信用风险、市场风险和操作风险,未分类,评价方法,定量计量,定性评价,管理模式,通过准备金和资本及风险缓释技术控制风险在可接受的范围以内,通过八要素的评价控制风险的发生,内部控制与风险管理,内部控制是风险管理的手段之一,风险管理是内部控制的延伸，甚至认为内部控制大于风险管理,3,Basel 和 COSO 与商业银行操作风险管理,第二部分,目前存在的,困惑和,问题,4,目前存在的困惑和问题,问题：,操作风险的本质是什么？如何在定义中反映其本质特征？,操作风险计量和管理的对象是什么？,操作风险是否包括外部事件或者欺诈舞弊等人为因素导致的负面影响？,操作风险管理是否直接创造收益,还是仅减少损失？,5,目前存在的困惑和问题,问题之一,操作风险概念的争论,6,操作风险概念的争论,操作风险浮出水面,20,世纪,90,年代以来，一些全球顶尖的商业银行纷纷爆出惊天大案，有的银行甚至因此从人们的视线中消失。,1995,年，巴林银行驻新加坡外汇交易员里森违规进行未授权及隐匿的期权和期货交易，并隐藏亏损，最终导致享誉全球的巴林银行倒闭。,1996,年，日本大和银行纽约分行员工井口俊英帐外买卖美国联邦债券，并伪造文件隐瞒亏损，在,11,年间有三万多笔交易未经授权，造成,11,亿美元的损失，最后不得不全面从美国撤退，并与住友银行合并。,2002,年，联合爱尔兰银行员工,John,Rosnak,为了弥补原先投资公私股票损失而伪造交易单，希望借远期外汇交易弥补损失，结果越陷越深，给银行造成,7.5,亿美元的损失。,7,操作风险概念的争论,巴赛尔新资本协议定义：,操作风险是指由不完善或失灵的内部程序、人员及系统或外部事件所造成损失的风险。本定义包括法律风险，但不包括策略风险和声誉风险,(strategic and reputational risk),。,英国银行家协会（,BBA,）定义：,操作风险指按照人的因素、流程、系统和外部事件等操作风险产生的四个主要来源对操作风险进行界定。,全球风险专业人员协会（,GARP,）定义：,操作风险是与业务相联系的风险，可以分为两个部分：操作失败风险和操作战略风险。,三十国集团的定义：,由于不完善的系统及控制、人员失误、管理失败所导致损失的风险。,8,操作风险概念的争论,巴塞尔委员会关于操作风险的详细界定,事件类型,定义,内部欺诈,故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失，此类事件至少涉及内部一方，但不包括性别,/,种族歧视事件。,外部欺诈,第三方故意骗取、盗用财产或逃避法律导致的损失。,就业政策和工作场所安全,违反就业、健康或安全方面的法律或协议、个人工伤赔付或者因性别,/,种族歧视事件导致的损失。,客户、产品及业务操作,因疏忽未对特定客户履行分内义务（如信托责任和适当性要求）或产品性质或设计缺陷导致的损失。,实体资产损坏,实体资产因自然灾害或其他事件丢失或毁坏导致的损失。,业务中断和系统失败,业务中断或系统失败导致的损失。,执行、交割及流程管理,交易处理或流程管理失败和因交易对手方及外部销售商关系导致的损失。,9,操作风险概念的争论,英国银行家协会关于操作风险的界定,第一级：因素,第二级：定义,人,雇员欺诈、犯罪,越权行为、欺诈交易、操作失误,违反用工法,劳动力中断，关键人员流失或缺乏,流程,支付清算、传输风险,文件、合同风险,估价、定价风险,内部、外部报告风险,执行规章、流程,策略风险、管理变动,出售风险,10,操作风险概念的争论,英国银行家协会关于操作风险的界定（续）,第一级：因素,第二级：定义,系统,科技投资风险,系统开发和执行,系统功能,系统失败,系统安全,外部事件,法律、公共责任,犯罪,外部采购、供应商风险,外部开发风险灾难、基础设施,政策调整、政治政府风险,11,目前存在的困惑和问题,问题之二,操作风险计量的现实困难,与理论困惑,12,操作风险计量的现实困难与理论困惑,Basel,关于计提操作风险所需资本的方法,基本指标法,标准法,高级法,(AMA),内部衡量法,(IMA),损失分布法,(LDA),记分卡法,13,操作风险计量的现实困难与理论困惑,基本指标法,K,BIA,=(GI,1n,)/n,式中：,K,BIA,-,基本指标法需要的资本,GI-,前三年中正的总收入的平均值,n-,过去三年总收入为正的年度数量,-,15%,是总收入与资本要求之间的关系,14,操作风险计量的现实困难与理论困惑,标准法,K,TSA,=,years1-3,max(GI,1-8,1-8,),0/3,式中：,K,TSA,-,是标准法计算的资本要求；,GI,1-8,-,是公司融资、交易和销售、零售业务、商行业务、支付清算、代理服务、资产管理和零售经纪等8类产品线中每个产品线过去三年的年均收入；,1-8,-,是8个产品线中各产品线的总收入与资本要求之间的关系，在12%-18%之间。,15,操作风险计量的现实困难与理论困惑,高级计量法（内部模型法）,EL=EIPELGE,式中：预期损失(,EL)Expected Loss,风险,暴露（,EI)Exposure Indicator,损失发生概率（,PE)Probability of Loss Event,损失事件金额（,LGE)Loss Given that Event,16,操作风险计量的现实困难与理论困惑,Basel在规范操作风险的计算方法中给出了三种方法，可是，前两种指标法和标准法并不是计量损失的方法，而是为防范商业银行操作风险所需资本的计提方法。这虽然解决了目前因为数据原因而无法准确计量风险损失给计提资本带来的影响，但是,这两种方法对于操作风险管理过程却没有什么实质意义,。,国际上另一大风险管理组织COSO委员会虽然在风险计量技术方面落后于Basel委员会，但其更加注重对风险的过程管理，强调通过四个目标和八个要素对企业实施全面的风险管理,。,17,操作风险计量的现实困难与理论困惑,COSO,委员会利用银行业对操作风险的传统评估方法提出了对企业内部风险进行评估的计算方法，即：,固有风险,风险管理（控制质量）,=,剩余风险,在这个公式中不仅有风险本身，还有以风险为管理对象的管理体系和管理行为，以及施加管理后的效果。从这个风险评估公式中我们可以比较清楚地看到,COSO,管理委员会的风险管理理念，其一，风险管理是一个非线性过程；其二，风险并不因为有了管理而被消灭；最后，剩余风险即是风险管理的结果，又是下一步风险管理对象。应该说，在目前尚无法解决银行内部风险损失计量的情况下，上述风险评估方法是比较切合实际的风险管理方法。,18,操作风险计量的现实困难与理论困惑,然而，上述评估方法及公式仍存在着较为明显的缺陷。最为明显的在于公式本身并不能用于实际评估计算。我们知道,:,固有风险（Inherent,Risk）是指在不考虑任何风险控制措施下，业务本身客观存在的原始风险。无论对风险的定义是,“,损失,”,还是,“,收益,”,，对风险定量的最基本单位都应是金额,。,风险管理或控制质量（Control,Quality）是指商业银行针对固有风险建立的管理体制、制度安排和管理效力，暨企业内部控制机制的适当性和有效性，是商业银行对内部风险实施管理和控制所采取措施的力（强）度。因此，对控制质量定量的最基本单位显然不能是金额，只能是分数值或是一种模糊概念如强、中、弱等,。,“,固有风险,”,和,”,控制质量,”,是两个内涵不同、定量单位不一的非同类项，非同类项之间是无法相减的。,19,Basel 和 COSO 与商业银行操作风险管理,第三部分,企业风险和操作风险的概念,20,企业风险和操作风险的概念,国际内部审计师协会定义：,风险是一个事件、行动或不行动对相关的组织或活动可能产生不利影响的可能性。换句话说，就是不利事情发生的可能性,。,21,企业风险和操作风险的概念,风险的概念,-,定义,风险是指,因可能的损失而导致,预期,收益的,不确定性。,22,企业风险和操作风险的概念,企业风险是指企业在运营过程中面临的所有影响企业经营目标的不确定性，如环境风险、运营风险和信息风险等。,一个企业的运营分为内部运作和外部营销两个部分，内部运作是基础，是企业产品价值增值的动力。外部营销（在营销产品的同时营销自己）离不开市场环境，企业通过外部市场获取必要的生产资料（人、财、料）并最终实现企业的经营目标。,23,企业风险和操作风险的概念,企业在内部运作和外部营销过程中面临着来自内外两个方面的影响。即引起企业损失的原因有两个（成因分析)：,外部（原因）风险更多的表现为市场中交易对手的风险；,内部（原因）风险是企业内部运作过程中发生的风险，但对企业的外部形象产生影响，如策略风险、合规风险等。,24,企业风险和操作风险的概念,企业风险的定义：,由于来自内/外部原因可能引起的损失而导致企业经营目标的不确定性。,外部风险是指,由于环境、交易对手和信息等原因而导致企业经营目标的不确定性。,由于企业是社会生产环节的一部分，企业要维持其生存和发展就离不开市场这样的社会环境。因此，企业在日常经营活动中将会面临来自企业外部的诸多风险。如环境风险、交易对手风险和信息风险等。,内部风险是指由于企业内部主客观原因而导致（发生）偏离或未达到企业经营目标的不利事件的可能性。,25,企业风险和操作风险的概念,主观原因导致的内部风险是指人为因素故意为之，如内部欺诈、舞弊行为等，其结果一般都会给企业带来直接的经济损失。,客观原因导致的风险主要是指由于主观认识局限性等非主观意愿而出现的决策失误和管理失败及工作疏忽等操作风险，这类失误或失败给企业带来的不一定都是直接的经济损失，有相当一部分是对企业形象或声誉方面的间接损失。,但无论是主观还是客观原因出现的内部风险都是对企业经营目标的反动，企业的所有决策、行动都是朝着企业既定的经营目标努力的，而欺诈和舞弊等主观原因引起的内部风险则是朝着相反的方向用力；即使是客观原因引起的操作风险也会使企业的努力受到衰减。,26,企业风险和操作风险的概念,操作风险定义：,由于人的主观认识局限性而导致反向偏离预期目标的可能性。,从范围上讲，操作风险可能随时发生在企业内部运作或外部营销过程中的所有管理和经营活动之中。,27,企业风险和操作风险的概念,企业风险,（信誉风险）,外部风险,内部风险,环境风险,信息风险,运营（营销）风险,欺诈舞弊,操作风险,策略风险,合规风险,信用风险,市场风险,法律风险,28,企业风险和操作风险的概念,区别内部风险与操作风险的意义：,两者的性质上加以区别，前者包括了违法行为，而后者仅仅是一种工作上的失误。,在明确了性质后可以从管理上增强不同管理部门的职能，加强了管理的针对性。,在管理技术和方法上应该区分损失和失误等不同的处理模式。,在对人员的处理上前者已经触犯了刑律自然是要开除公职追究其刑事责任，而后者需要分析具体情况定之。,29,Basel 和 COSO 与商业银行操作风险管理,第四部分,银行业操作风险管理思路的探索,30,银行业操作风险管理思路的探索,制定机