商业银行操作风险管理

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,商业银行操作风险管理,2010,提 纲,操作风险命题提出的背景,操作风险的定义、类型及特点,我国商业银行操作风险管理的现状,加强操作风险管理的措施,操作风险的监管建议,一、操作风险命题提出的背景,1988年巴塞尔委员颁布的巴塞尔协议对信用风险的一系列要求拉开了规范全球银行业风险管理的序幕。国内外各家银行都努力按照巴塞尔协议的要求规范着自己的信用风险和市场风险管理,然而进人90年代后，国际金融界发生了一系列由操作风险导致的银行案件。,巨额金融损失的经典案例,1992年、1993年，马来西亚银行因对汇率预,期失误分别损失30多亿美元和20多亿美元,1995年，具有223年悠久历史的英国巴林银行因在衍生产品交易中损失13亿美元宣布破产,1996年，员工井口俊英账外买卖美国联邦债券隐瞒亏损最终造成日本大和银行损失11亿美元。,98年长期资本公司破产,新加坡中航油事件，损失5.5亿美元,这些案件对长期关注信用风险和市场风险的商业银行风险管理提出了严峻挑战，使银行经营人员开始意识到操作风险管理的重要性。,2003年巴塞尔委员会发布了操作风险管理和监管稳健做法对商业银行操作风险监管提出了10条原则,2004年6月正式公布了新巴塞尔资本协议。新巴塞尔资本协议不但把风险区分为市场风险、信用风险和操作风险三类，而且把操作风险纳入到了资本充足率的计算之中，从而确立了操作风险在商业银行风险管理中的重要地位。,二、操作风险的定义、种类和特点,操作风险的定义,国际上对操作风险的定义一直存有争议,广义操作风险概念，它把信用风险和市场风险之外的所有风险都视为操作风险。,狭义操作风险概念，认为只有与业务运营部门有关的风险才是操作风险。,监管部门对操作风险的定义基本一致,新巴塞尔资本协议中，确认了操作风险是指由于不完善或失灵的内部程序、人员和系统或外部事件导致风险。,银监会在商业银行操作风险指引将操作风险定义为：由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。定义所指操作风险包括法律风险，但不包括策略风险和声誉风险。,引起操作风险的因素,内部因素,人：操作失误、违法行为、越权行为、违反用工法、关键人员流失,流程：流程设计不合理、流程执行不严格系统,系统失灵：系统漏洞、数据信息安全性,外部因素,外部事件：外部欺诈,突发事件：自然灾害、抢劫、工作场所安全性,经营环境的不利变化：政策、监管环境变化,操作风险的分类,内部欺诈风险,主要包括商业银行内部工作人员受贿、贪污、挪用、诈骗、偷盗、抢劫、受贿、不尽职调查、越权违规发放不合规贷款、在不良资产处置中进行市场操纵和内部交易、进行未授权交易、超过限额交易、未报告的交易、走私、违规进行协议透支、未经授权访问客户账户、窃取信息、设置病毒等行为给银行造成的损失。,外部欺诈风险,主要包括外部不法分子单独或伙同银行内部工作人员诈骗、挪用、偷盗、抢劫、诈骗贷款、恶意逃废银行债务、虚假交易、伪造文件、信用证欺诈、恶意透支、伪造银行卡、窃取信息，黑客入侵、克隆网上银行和电话银行、防火墙瘫痪、破坏通信线路等行为而给银行造成的损失。,客户、产品和经营行为风险,主要包括商业银行在业务经营活动中，由于洗钱、销售歧视、高息揽存、不恰当广告、产品功能设计不完善、侵害他人版权、营业时间及服务质量疏忽、错误的理财建议、不当或不法利用客户存款信息、单方面修改合同、擅自提高服务价格、签订贷款合同后未发放贷款、未动态掌握客户信息导致客户调查失败、无效借款合同、无金融许可证和营执照发放贷款、强迫销售产品、未对敏感问题进行披露、泄露客户信息等行为给银行造成的损失。,执行交割和流程管理风险,主要包括违反规章制度操作、违规建立不被承认账户、票据及现金传递错误、利息计算错误、缺乏客户允许、开户无法定文件，外部揽存人员违规，逆程序或跨程序发放贷款、合同执行管理不规范、抵押担保手续不完备、传递错误、贷后管理不到位、未履行强制性报告义务、缺乏法定文件、任务执行错误等行为给银行造成的损失。,经营中断和系统错误风险,主要表现为由于通信故障、交易不成功而造成客户或银行资金损失。,劳动用工及工作场所风险,主要表现为银行与员工在劳动用工管理、合同管理、福利保障方面，在营业场所安全方面，违反相关规定形成的诉讼而给银行造成的损失。,物理资产破坏风险,主要表现为洪水、地震、火灾等自然因素而造成的物理资产损失。,操作风险成因有明显的内生性,市场风险、信用风险一般为外生性风险，是由于外部不确定的因素引发的，如外界的债务人资质变动或市场价格波动而引发的风险。而操作风险，除自然灾害及外部冲击等一些不可测的意外事件外，大多是由于内部不合规的操作因素引起的，它的防范依赖于银行的结构、效率和控制能力，如内部程序、人员和系统的不完备或失效，银行工作人员越权或从事职业道德不允许的或风险过高的业务都会导致银行产生损失。,操作风险与预期收益非一一对应,对于信用风险和市场风险来说，存在风险和报酬的一一对应关系，风险越大，收益也越大，是一种投资风险或带有投机性的风险，但是这种关系并不适用于操作风险，操作风险引起的损失在很多情况下与收益之间的关系;并不明显，也不一致。银行无时无刻不在承担着操作风险，可这无法保证银行能够长时间、持续的获得收益，而且操作风险损失在大多数情况下也与收益的产生没有必然的联系。,操作风险的特点,操作风险有较强的人为性,操作风险存在于商业银行的日常营运，因此人为因素在引发操作风险的因素占有重要的地位。绝大多数的操作风险则更多可以归因于有意或无意的、来自企业内部或外部的人为操作失误，只要与人相关的业务，都存在操作风险。因此，在业务规模大、交易量大、结构变化迅速的业务领域受到操作风险冲击的可能性最大。,操作风险有较大的危害性,主要体现在三个方面:一是直接的经济损失:大宗的金融衍生交易、内部人员长期从事非法交易带来的巨额经济损失会给银行带来毁灭性打击，这从巴林银行倒闭可以看出。二是银行声誉上的损害:银行自成立之日起，就以严谨细致、审慎规范的形象出现。因此商业银行一旦出现操作风险，就会超出社会各界的心理承受能力，包括投资者在内的社会各界会认为银行普遍管理不当，很可能会继续发生损失，从而给银行声誉带来严重损害。进一步的，当客户对银行信心不足时，会发生存款挤兑。三是由声誉上的损害引发的股价下跌。,操作风险有较大的广泛性,操作风险发生的可能性几乎遍布银行的所有业务环节，从产品的复杂性、新技术的应用、人员的流动、人员的欺诈行为、规章制度的建设到会计系统的稳定，银行内任何一个环节都可能引发操作风险。可见，任何一个部门都不可能游离于操作风险管理之外。在内涵上，它包括了银行内部很大一部分风险，如控制风险、信息技术风险、法律风险以及欺诈风险等，相信将来还会有许多新的风险不断被归入其中。,操作风险的复杂性,操作风险的因素较为复杂，如产品的复杂性、新技术的应用、人员流动、违规操作等都可能引起操作风险，而通常可以监测和识别的操作风险与由此可能导致的损失规模、频率之间不存在直接的关系，常常带有鲜明的个案特征，因而银行的风险管理部门很难确定哪些因素对于操作风险管理来说更为重要。,三、我国商业银行对操作风险管理的现状,20世纪90年代以后，操作风险问题越来越突出，特别是近两年有加速曝露的趋势。就己披露的案件看，大案要案触目惊心。如2004年发生的交通银行锦州分行2.21亿元核销不良贷款作假案、山西“7.28”系列诈骗案:2005年发生的中国银行黑龙江河松街支行10亿元诈骗案、吉林建行两起总值4亿元大案、中国银行北京分行的6.45亿元按揭贷款骗贷案、光大银行广州越秀支行的近亿元骗贷案等等。可以肯定的是，这些案件只是银行业操作风险中的“冰山一角”，大量的损失金额较小的操作风险还没有披露。我国银行业操作风险的严重性令人担忧,对操作风险的认识存在5大误区,操作风险就是操作性风险或操作中的风险,操作性风险不能等同于操作风险，尽管操作性风险是操作风险中发生频率最大、占比最高的风险类型。从操作性风险占的比为70%。正如前面所述，这种将操作风险狭隘地定义为操作性风险的做法，往往会使得建立在这一认识基础上的操作风险管理体系不能覆盖所有的操作风险，从而使银行难以防范那些突发事件的冲击，如国内某行出现的系统瘫痪。,操作风险等同于金融犯罪,金融犯罪显然不包括那些由于银行自身不完善的流程和系统漏洞以及外部事件等因素造成的操作风险。最简单的例子就是操作失误，比如银行员工误将取款操作成存款，或者数字录入错误等均属于操作风险的范畴，但并不构成犯罪。将操作风险等同于金融犯罪，往往会使银行无意识地缩小操作风险的管理范围，错误地将操作风险管理等同于金融犯罪管理，从而将操作风险管理职责不恰当地赋予内部监督或安全保卫部门。这恰恰是造成目前我国银行业操作风险管理,进展缓慢的原因所在。,操作风险是无法计量的，因而不能为其分配资本,如果我们就单个年份来看，一些操作风险事件是无规律的，一旦将这些操作风险事件放在很长一段时间和同类型的大量数据中就会发现，这些操作风险往往会以某种稳定的概率发生。这正是人们量化操作风险的基础。为操作风险分配资本的最大好处就在于，当银行遭受某种灾难性损失的时候不至于瘫痪，甚至于倒闭。在不可量化思想的支配下，很难想象银行会致力于操作风险量化模型的开发。这或许是国内银行业操作风险管理水平难以提升的重要原因之一。,各种操作风险事件之间是孤立的、毫无联系的,表面看来，工作人员的操作失误、银行员工的欺诈以及关键人员的流失三者之间并无多大联系。而停电、诈骗以及“非典”之间更是风马牛不相及。由此，很多人得出“各种操作风险事件之间是孤立的、毫无联系的，从而操作风险是突发事件”的结论。这其实是忽略了隐藏在不同表面现象背后的共性本质，忽略了众多随机变量近似地服从正态分布的统计原理。以工作人员操作失误、银行员工欺诈和关键人员流失三类风险事件来看，它们的本质均是人的因素引起的操作风险，且在足够长期限和足够多数据的情况下可以近似地描绘出其概率分布。只有看到各种操作风险事件之间的联系，才能准确地描述银行面临的操作风险，进而从整体上把握操作风险。这正是巴塞尔委员会关于操作风险定义的基础所在。那种以孤立的、隔离的眼光看待操作风险的做法只能将各个操作风险视作突发事件，也就无法从整体上把握银行面临的操作风险，更不用说对其进行科学有效的管理了,操作风险管理只是内部监督部门的事情，与其他部门无关,国外的风险管理实践表明，有效的风险管理既需要一个独立的管理部门，也离不开各业务部门的支持。惟有此才能确保风险管理的独立性和专业性的有机结合。将操作风险管理单独赋予内部审计部门，只能导致操作风险管理专业性的低下，很多银行的风险隐患极有可能因此而无法被发现。根据操作风险的定义，操作风险是一个涉及面非常广的范畴。同样，操作风险管理也将涉及许多部门，如安全保卫部门、科技部门、后勤事务部门等。这就难免出现部门之间需要协调的情况。显然，这仅靠内部审计一个部门是不够的。国外的银行往往会成立一个委员会，该委员会由各涉及操作风险的部门组成，以对一些跨部门的问题进行协调,。,我国商业银行操作风险的分类及特点,为更好地识别我国商业银行现阶段的操作风险，对五种损失类型（劳动用工及工作场所风险、物理资产破坏风险广泛存在于八条业务线中，未列出）八条业务线的操作风险结合起来，形成我国商业银行的操作风险图,内部欺,诈风险,外部欺,诈风险,客户、产品和,经营行为风险,执行交割和,流程管理风险,经营中断和,系统错误风险,存款,及支,付结,算业,务,账外高息揽、,空存实取、收,款不入账、盗,窃现金、提供,虚假存单、内,部人员抢劫、,挪用资金、伪,造印鉴,利用假票,据、假存,单、假存,折、假印,鉴、假币,诈骗，盗,窃、抢劫,现金,洗钱、对小额存取款收,费歧视、高息揽存、不,恰当广告、存款品种设,计不完善、侵害他人版,权、营业时间服务质量,疏忽、错误的理财建,议、不当或不法利用,客户存款信息,违反规章制度操作，