现代金融机构操作风险管理.ppt

现代金融机构操作风险管理颜至宏博士 课程简介 第一讲金融机构的经验第二讲认识操作风险第三讲军中的操作风险管理第四讲如何管理操作风险第五讲操作风险测度 前言 操作风险对金融机构的从业人员来说是一个既熟悉又陌生的领域 操作风险是一个古老的风险 自商业活动诞生伊始就伴随其左右 并时时刻刻存在于商业运行过程中 但是人们对操作风险的关注是近两年才开始的事情 中国的金融机构关注操作风险的时间则更短 很多从业人员还不能给出完整的操作风险定义 操作风险包含 Transaction交易InadequateSupervision监管不足Reputation名誉InsufficientTraining培训不足Compliance合规PoorManagement管理不善 Execution执行Information讯息Relationship关系People人员Legal Regulatory法律监管ConflictofInterest利益冲突 Settlement结算KeyMan主要人员Theft偷盗Fraud欺诈InternetBanking网路银行Customer客户Interruption中断 Technological技术LackofResources资源不足Criminal刑事犯罪RogueTrader疯狂交易PhysicalAssets有形资产Moralehazard道德风险 第一讲金融机构的经验 国外操作风险大事记 1995巴林银行驻新加坡外汇交易员里森 Lesson 违规进行未经授权及隐匿的期权和期货交易 并隐藏亏损 最终导致享誉全球的百年老店灰飞烟灭 1996日本大和银行 DaiwaBank 纽约分行员工井口俊英帐外买卖美国联邦债券 并伪造文件 隐瞒亏损 在11年间有3万多笔交易未经授权 造成11亿美元的损失 最后不得不全面从美国撤退 并落得与住友银行 SumitomoBank 合并的下场 2002联合爱尔兰银行 AlliedIrishBank AIB 一位名叫鲁克纳克 JohnRosnak 的员工为了弥补原先投资公司股票的损失而伪造交易单 希望借远期外汇交易弥补损失 结果越陷越深 给银行造成7 5亿美元的损失 2004澳大利亚国民银行 NationalAustraliaBank 4个外汇交易员进行澳大利亚元和新西兰元兑美元的外资期权交易 结果判断失误遭受损失 为了掩盖损失 他们制造了大量虚假交易 到案发时共给银行造成3 6亿澳元的损失 巴塞尔委员会在2002年举行了一次全球性的针对操作风险的调查 全球有89家大型银行参加了调查 这些银行一共报告了47 296件损失超过1万欧元的操作风险事件 平均每家银行在这一年间发生了528起操作风险事件 国内操作风险事例 2001金融机构利用票据市场管理漏洞将大量商业银行资金投向股市房地产开发商虚假按揭骗取银行资金内外勾结骗取银行资金2005中国银行黑龙江河松街支行大案中国银行大连分行爆出600万美金银行资金挪用案建设银行吉林分行3 2亿元存款蒸发案 国内金融机构操作风险管理现状 国内金融机构关于操作风险的认识误区 操作风险就是操作性风险或操作中的风险将操作风险等同于金融犯罪操作风险是无法计量的 因而不能为其分配资本各种操作风险事件之间是孤立的 毫无联系的操作风险管理只是内部审计部门的事情 与其他部门无关 国内金融机构操作风险管理现状 从国内的现状来看 各家机构在操作风险管理上普遍存在诸多缺陷 这集中表现在 错误的操作风险管理理念重事后管理 轻事前防范重个案查处 轻全面分析重基层操作人员管理 轻高层管理人员管理重审计稽核 轻全面管理 国内金融机构操作风险管理现状 不健全的操作风险管理架构操作风险管理职责分散 缺乏专门的管理部门基层分支机构操作风险管理职能缺失内部审计部门权威性不强 国内金融机构操作风险管理现状 单一的操作风险管理手法过分依靠内部审计 忽略外部审计力量制度建设跟不上 制度执行不力电子化手段缺乏 控制操作风险 内部控制角度的反思 内控失灵 大案要案频频发生 所谓内部控制就是金融机构为实现经营目标 通过制定和实施一系列制度 程序和方法 对风险进行事前防范 事中控制 事后监督和纠正的动态过程的机制 内部控制的最终目标就是要实现商业银行安全稳健地运行 内控失灵 大案要案频频发生 金融机构的内部控制应当是一个由不同要素 不同运行环节组成的有机体 从要素体系来看 内部控制必须包括内部控制环境风险识别与评估内部控制措施信息交流与反馈监督评价与纠正 内控失灵 大案要案频频发生 从运行体系来看 内部控制是一个由决策建设与管理执行与操作监督与评价持续改进五个环节组成的有机系统 见下一页 决策 内部控制机制 建设与管理 持续改进 执行 监督评价 商业银行内部控制框架 内控失灵 大案要案频频发生 国内外金融业的实践显示 为了确保内部控制的有效运行 商业银行必须遵循全面审慎有效独立四大内部控制原则 内控失灵 大案要案频频发生 国内金融机构的内部控制普遍存在的突出问题要素不健全运行环节不完善控制水平不高最近几年 国内银行业大案要案频频发生就是内部控制长期失灵的集中体现和爆发 完善内部控制的两个关键 完善内部控制体系至少包括10个方面的内容 每次案件发生之后 机构的高层管理者和风险管理部门必定会提到这些内容 但总得不到解决和落实 根源就在于未能抓住机构内部控制体系的关键 即细节和执行 完善内部控制的两个关键 细节 内控体系成败的基础内部控制体系必须实现对银行各项业务过程 各个操作环节 各个岗位和各个单位的全部覆盖 每个风险点都应有相应的内控制度和内控措施 业务操作和管理措施的执行必须严格遵循相关的操作流程 既不能有疏漏 也不能随意变更 内部控制体系中存在的问题必须及时得到纠正 确保内控体系的持续改进 细节决定成败 细节也是内控体系成败的基础 完善内部控制的两个关键 执行 内控体系成败的关键从国外的经验来看 确保制度得到有效执行需要四项机制的支持 有效的激励机制 激励各相关岗位 相关人员做到有章必循 执制必严 严格的风险责任制 强大的合规检查制 强有力的内部审计制 防范操作风险 制度变革角度的思考 防范操作风险 制度变革角度的思考 2005年3月 中国银监会发布了 关于加大防范操作风险了作力度的通知 即业界所说的操作风险十三条 以下简称 通知 要求银行机构加大工作力度 采取切实措施 有效防范和控制操作风险 从实现银行可持续发展和建立风险管理长效机制来看 防范操作风险既需填补窟窿 扬汤止沸的治标之策 更需追本溯源 釜底抽薪的治本之举 具体包括 理念转变 所谓理念转变就是指发展理念的转变 长期以来 主导国内银行业的是规模崇拜和速度崇拜为主要表现的传统发展理念 这种发展理念的突出特征就是片面追求发展的速度和规模的快速扩张 造成这种局面的原因不仅仅在于商业银行自身 更多的是当时不健全的银行业经营环境和监管环境所致 理念转变 我国银行业监管机构在很长一段时间内未能将最低资本要求作为主要监管手段 出于防范金融风险的考虑 我国对资产规模较小的商业银行实施了某些限制 比如业务资格的限制 受诸多政策限制 特别是分业经营格局的约束 长期以来国内商业银行的盈利模式单一 收入主要来源于存贷款利差 理念转变 正是上述三大因素造成主导国内银行业的发展理念为规模崇拜和速度崇拜 如果国内银行业不能尽快树立起以全面 有质量 有效益的发展为特征的科学发展观 而是仍然受传统发展理念地支配 片面追求发展速度和规模 大案要案的发生将难以避免 角色转换 银行的行长 包括分支行行长 充当的是经理入角色 其本质是经济人 行长的经理人角色有两重含义 对于总行行长来说 其对股东委托的银行经营状况负责 并接受来自董事会及外部监管机构的监督约束 对于分支行行长来讲 其对总行行长委托的分支行经营状况负责 并接受来又急行地监督制约 角色转换 市场 计划 转轨期 银行行长所具有的行政人角色和道德人本质给商业银行的日常经营带来三大危害 角色转换 银行内部上下级之间不是平等的委托代理关系 而是行政隶属关系 在这种行政体制下 一切惟权力至上 行长拥有相当大的决策权 那些监督约束措施在行政权力面前都变得形同虚设 从而容易诱发大案要案 银行行长的行政人角色决定了其追求的是任期内的政绩最大化 从而不可避免走上片面追求业务发展的错误道路 将内部控制建设让位于业务发展 架构再造 长期以来 我国商业银行的组织架构是按照方便经营的原则设置的 在这种原则下设置的组织架构必然表现为 强前台 弱中后台 造成国内银行业普遍存在 大支行 小总行 强支行 弱总行 的情形 架构再造 20世纪80年代 西方商业银行掀起组织架构再造浪潮 其目的就是打破原有的那种重业务发展 条块式的组织架构设置 建立起扁平化 垂直化的经营管理架构 其中 最核心的内容就是经营管理权上收 在确保分支机构经营职能的情况下 强化总行的管理职能 这样做有两个好处 架构再造 实行扁平化经营之后 整个银行与客户和市场的距离更近一步 市场反应速度得到提高 银行能及时把握市场动态 并实现上下联动 资源共享 提高市场竞争实力 实行垂直化管理 总行管理职能得到强化 对分支机构的控制能力提高 特别是支行行长权力得到削弱 总行下派风险经理 改变原来架构下存在的分支机构风险管理职能缺失状况 提高银行的风险管理能力 体制改革 研究发现 最近几年国内银行业发生的大案要案呈现出两个显著特征 即基层分支机构发案多 支行行长作案多 究其原因就在于商业银行总行对下属分支行的控制能力较低 造成这一问题的深层次原因则在于 国内商业银行长期实行的是以行政层级管理为主要特征的管理体制 体制改革 实践表明 要想降低基层分支机构的案发率 特别是支行行长参与的作案率 就必须改革这种行政层级管理体制 转而实施业务垂直管理体制 业务垂直管理体制的核心就是变原来的行政条线管理为业务条线管理 银行的管理活动是按业务条线垂直进行的 完善系统 从我国的情况来看 国内商业银行的业务信息系统存在两大问题 系统建设起步较晚 系统不完善 存在很多漏洞 特别是未能彻底实现数据在全行的集中和共享 有些业务的电子化水平仍然较低 系统功能仍然局限于服务经营 尚未实现服务经营与服务管理并重 系统不能为银行的战略决策 管理活动 尤其是风险管理 提供充分 完整的数据和信息 完善系统 国内外的实践早已表明 通过建立完整的业务系统和信息管理系统可以极大地降低银行面临的风险 尤其是操作风险 就系统建设来讲 中资银行要比外资银行落后20年左右 在操作风险日益严峻 高科技犯罪日渐突出的情况下 尽快对现有业务系统进行升级 建立起完善的业务信息系统已成为国内商业银行的当务之急 第二讲认识操作风险 重点 操作风险浮出水面操作风险界定来自银行业现实案例的实证分析 国际上对于操作风险的界定可归纳为三种观点 广义概念狭义概念与介于两者之间的概念 又称为战略操作风险概念 广义的操作风险概念 这个概念的外延非常广泛 它把市场风险和信用风险以外的所有风险都视为操作风险 优势 涵盖了除市场风险和信用风险损失以外所有潜在损失对利润和成本的影响 不足 正因为定义广泛 很多金融机构感到全面实践它非常困难 从而不得不将其限定在相对易于计量的范围内 这种定义的弱点在于未能计量到的因素可能对利润和成本带来极大的影响 而我们却一无所知 狭义操作风险概念 狭义的操作风险概念认为 只有金融机构中运营部门有关的风险才是操作风险 即由于控制 系统及运营过程中的错误或疏忽而可能引致的潜在损失的风险 优点 将每个后台部门的管理重点集中到他们所面临的主要风险上缺点 没有将在以上分类以外的细分操作风险纳入管理 继而遭受一些不可预见的损失 战略操作风险概念 第三种观点首先区分为可控制事件和由于外部实体如监督机构 竞争对手的影响而难以控制的事件 进而将可控制事件的风险定义为操作风险 对应另一类事件的风险也就是一些研究机构所称的 战略性风险 或 营销风险 优点 可操作性强 显然 广义概念和狭义概念均不利于操作风险管理工作的开展 广泛的内涵往往使人们很难对其进行准确计量 而狭义的概念往往会因不能涵盖所有操作风险而使银行遭受到一些意想不到的损失 因此 越来越多的人倾向于接受介于广义和狭义之间的操作风险概念 几个比较有代表性的定义 巴塞尔委员会的定义英国银行家协会的定义全球风险专业人员协会 GlobalAssociationofRiskProfessionals GAPR 的定义 根据2003年发布的巴塞尔新资本协议征询意见稿 操作风险是指由不完善或失灵的内部程序 人员和系统 或外部事件导致的损失的风险巴塞尔委员会关于操作风险的定义突出强调了银行内部人员操作和业务系统因素所导致的操作风险 从国际银行业监管的趋势来看 越来越多的国家采用巴塞尔委员会的监管标准 巴塞尔委员会的定义 巴塞尔委员会关于操作风险的详细界定 英国银行家协会的定义 英国银行家协会对操作风险的定义主要按照四个来源 英国银行家协会关于操作风险的界定 从某种程度上讲 英国银行家协会关于操作风险的界定更为系统 直观 容易掌握 便于分析汇报 因而操作性更强 值得国内银行或企业借鉴 全球风险专业人员协会关于操作风险的界定全球风险专业人员协会认为操作风险是与业务操作相联系的风险 可以分为两个部分 操作失败风险和操作战略风险 操作风险 操作战略风险对下列环境因素做出反应时选择不合适战略的风险 政治税收监管政府社会竞争其他 操作失败风险在实现特定战略时由于下面因素而导致的风险 人过程技术 具体来说 全球风险专业人员协会关于操作风险的界定又可细分为以下内容 控制性风险流程风险名誉风险人力资源风险法律风险收购风险营销风险技术风险 税收变更风险监管变更风险营运能力风险安全性风险项目风险供应商风险自然灾害风险人为灾害风险 全球风险专业人员协会认为操作风险不仅仅存在于金融机构 同样存在于工业 石油 天然气以及建筑等其他行业 因此 他们在对操作风险进行界定时更侧重于从一般企业角度 而不仅仅面向商业银行 基于中国国情的操作风险定义 对比以上三种观点 我们认为 三种界定方式的核心内容是一致的 即都是围绕人员因素 流程因素 系统因素 时间因素来展开的 但三者又有所不同 由于各国的经济 政治和社会环境不同 特别是商业银行的业务范围不同 将这些定义直接拿到国内并不合适 从商业银行操作风险管理角度来讲 有必要结合国内商业银行的实际情况来对操作风险进行重新界定 贵公司是否有一个满意的风险蓝图 来自证券与银行业的现实案例 人员因素引起的操作风险 从某种程度上讲 商业银行仍然具有劳动力密集型行业的特征 这种特征使得商业银行所面临的操作风险大多数都与人员因素有关 人员因素涵盖了所有与银行内部人员有关的事件引起的操作风险 员工操作失误案例 台湾富邦证券交易员下单误操作事件2005年6月27日上午 中国台湾证券交易所突然发生电脑死机 最后导致交易所更换了新的操作系统 而查明的原因是富邦证券的一位交易员将美林证券的下单新台币8000万元误操作为80亿元 造成整个交易所电脑系统无法运作 成为了台湾股市开始电子化交易以来最大的错账事件 其他案例 日本瑞穗证券操盘手股票卖单输入错误指令案 摩根斯坦利交易员股票买单输入数字错误案 启示与建议 加强对业务人员业务技能的培训加强对业务人员业务规章 流程的教育完善对业务人员的监督管理机制 根据各项业务的需要适时添加复核和后督岗位进一步健全损失负责人制度 明晰业务员 管理人员在各项业务的直接 间接责任 以提高工作人员的警惕性 减少操作失误 并将操作失误纳入员工评价机制中 员工违法行为案例 中信实业银行票据诈骗案2002年中信实业银行上海南京西路支行信贷科长陈某与同伙先找到一家大客户 到南京西路支行存了 亿元人民币 方式是定期存款 然后 他们瞒着客户伪造了一份保证合同 内容是该客户愿意为其他四家单位开具的汇票提供 的担保 自 年 月始 经陈之手 累计开了 亿元的汇票 然后 他和同伙就拿这些汇票去其他银行贴现 套取现金 其他案例 中行高山案 内外勾结票据诈骗 中行开平支行40亿资金窃案工行河南票据诈骗案中航油案 启示与建议建立标准作业流程 StandardOperatingProcedure SOP 使用资讯科技加强流程控管增加透明度加强内控建设 尤其要做到有章可循 有章必循 违规必纠 执规必严 完善监督检查机制 重点是交叉检查和关键点检查 加强与银行员工的沟通交流 掌握员工的思想动态 尽早发现其不良企图和作案动机 将他们的犯罪行为扼杀在萌芽状态 案例 摩根斯坦利性别歧视案美国著名投资银行摩根 斯坦利公司12日就性别歧视指控与各原告及控方代表美国平等就业机会委员会达成和解 同意赔付5400万美元 案件一主要原告获赔1200万美元 1998年 摩根 斯坦利公司一位叫阿莉森 席弗林的女员工控告公司因性别歧视不给其职务晋升机会 并向美国平等就业机会委员会提出申诉 随后 有更多女性职员提出类似起诉 人事管理问题 启示与建议要严格执行 劳动法 劳动合同 及相关劳动法规 银行内部相关规章制度的制定必须严格符合以上法规的要求 并在员工中做好宣传学习工作 保证满足每个员工的知情权 要树立 人性化 用工的理念 在用工过程中要坚决避免出现歧视性政策 尤其是性别歧视方面 更应引起注意 对于涉及内部员工违规的事件 要在充分调查 弄清事实的基础上 给出合理适当的解决方案 案例 联合爱尔兰银行案2002年2月6日总部设在都柏林的爱尔兰最大的金融公司 联合爱尔兰银行宣布 该银行在美国巴尔的摩的分行被骗走7 5亿美元 通常 外汇交易人员每天经手的货币买卖交易以数十亿美元计 他们不仅从事即时买卖 而且进行远期交易 根据相关规定 为了确保不使交易损失积累过多 交易人员必须通过购买选择性合约弥补可能的亏空 如果外汇市场走势与交易员的预测背道而驰 他们的交易头寸就会用选择性合约弥补 一位交易人员说 因为用于购买选择性合约的现金需要在一家信贷银行的帐户上预先支付 鲁斯纳克可能一直在与外部人员合作 据报道 案件嫌疑人鲁斯纳克目前已经向调查人员初步承认 他曾经做了一系列没有规避风险的日元对美元的交易 当交易失败后 他的损失愈聚愈大 为了弥补损失 他开始伪造与其他银行的交易合同 制造一种没有亏空的假象 为此 他还伪造了大量由其他银行发来的传真 根据美国联邦法律 伪造银行文件最多可以被判处30年徒刑 员工越权行为 其他案例 霸菱银行倒闭案澳大利亚国民银行案中航油案 启示和建议 员工越权行为造成的操作风险往往非常隐蔽 不易防范 从而给银行带来巨大损失 甚至于使银行陷入破产倒闭的境地 因此 加强队银行操作人员的监督管理 尤其是对其授权 岗位职责的执行情况加强监督检查就先得尤为重要 劳动力中断 案例 汇丰银行 HSBC 罢工风波英国金融业工会Amicus于5月23日宣布 因劳资双方薪酬谈判破裂 汇丰银行员工将于5月27日罢工一天 这次罢工将是8年以来英国银行业的首次罢工 汇丰银行员工对薪金不满由来已久 早在5月11日 拥有超过1万名汇丰控股员工的Amicus工会便放出风来 称5月27日是汇丰控股的年度股东会日 也是长周末假期前的星期五 员工可能在这天罢工 不过该工会发言人也表示 我们希望向汇丰控股发出明确信息 汇丰需要重返谈判桌 避免发生损毁性的罢工行动 5月23日 劳资双方在调解仲裁服务处的调解下 进行了为期30个小时的谈判 但最后谈判宣告破裂 此次罢工行动不可避免 该工会发言人罗布 欧内尔表示 恐怕双方没有办法解决争端了 现实情况是 10 的员工今年都不会得到加薪 而45 员工的加薪幅度还比不过通货膨胀的速度 此前 汇丰银行表示已拨出破记录的1 64亿英镑支付薪酬和花红 该银行2 3英国文职员工的薪酬高于市场平均 而该银行已准备对薪酬低于市场平均的1 3员工做出加薪 在这次谈判破裂后 汇丰银行又发表声明称 谈判时银行给出了 一系列的提议 目的就是在2006年的时候 给予今年没有享受加薪的员工提升薪水 但是 工会拒绝了所有的提议 汇丰还表示 争端已经持续了4个月了 工会没有做出任何让步 但是汇丰银行已经提高了2005年的总体工资水平 重申了分派薪资待遇 还调整了薪酬级别 据悉 Amicus工会这个月初曾经调查了汇丰2 3万文职人员中的1万多名员工 其中21 支持某种形式的工业行动 工业行动包括拒绝超时工作 拒绝严格遵守工作职责和罢工 在这些投票发表意见的员工中有68 支持罢工 大约占英国汇丰银行员工数量的4 预计罢工当天提款机 电话和网上银行服务及主要分行不会受影响 流程因素引起的操作风险 流程因素引起的操作风险是指由于商业银行业务流程设计不合理或流程没有被严格执行而造成的损失的风险 案例 银行上门收款业务流程案某商业银行根据原来与客户的上门收款协议 派工作人员上门收取客户存款 并在客户交接本上签写了现金包数和数额 回行后发现数额不对 第二天 银行打电话通知客户 客户未作反应 银行按照协议的规定向客户签发了进帐单 1个月后 该客户以银行在双方交接簿上签发的数额向法院提起诉讼 要求该商业银行以该数额承担本息的返还义务 最终判定该商业银行按客户交接本上签收的数额向客户支付本息的义务 流程设计不合理 启示和建议业务流程设计不合理不仅影响银行的经营效率 流程中的漏洞还有可能被不法分子利用 从而给银行造成损失 因此在开发新业务时 要全面考量可能出现的问题 针对可能出现风险的每个点完善业务流程 处理方式与人事问题一样 首先建立或从新设计标准作业流程 SOP 案例 贷前审查不严导致不良贷款K公司于1997年11月17日 1999年11月26日分别在H银行贷款300万元 400万元用于研制 xx型免疫图像分析系统 2000年7月因计划向全国市场推广该产品 又在银行申请流动资金400万元 当H银行收款后才得知K公司当年未办理工商年检手续 在银行督促其尽快补办时 K公司承诺由新注册的J公司承接这笔贷款 2001年7月贷款到期 K公司经营不善 无力归还 J公司又迟迟不予承接 贷款发生逾期 流程执行不严格 启示和建议很多流程因素引起的操作损失都是可以避免的 因此 对于流程执行不严格导致的操作风险 防范的关键在于严格落实各项规章制度 严格执行各项业务流程 为此 就需要商业银行建立起强有力的监督检查制度 系统因素引起的操作风险 银行也是一个高度依赖电子化系统的行业 系统的良好运转是保证银行正常运营与发展的基本条件 因此系统因素给银行带来的风险不容忽视 系统因素引起操作风险的情况可以分为系统失灵或瘫痪 系统本身的漏洞以及客户信息安全性 案例 东京证交所系统故障造成2 5亿美元损失瑞穗证券公司下属于日本第二大金融公司瑞穗金融控股集团 其操盘手12月 日在接受客户委托卖出股票时 因操作失误将 以每股 万日元的价格卖出 股 的指令错误输入成 以每股 日元的价格卖出 万股 结果导致东京证交所整个股市行情异常波动 大盘暴跌 点 瑞穗证券公司也因此在 分钟内损失 亿日元 在整个交易事故中累计损失至少 亿日元 瑞穗证券公司如及时纠正错误 本可以大大减少损失 但由于东京证交所的计算机交易系统存在问题 无法接受撤单指令 致使损失扩大 该公司操盘手的助手在下错单后很快就发现问题 几乎与此同时 负责监视交易状况的东京证交所有关人员也发现了异常情况 并电话通知了瑞穗证券公司 该证券公司立即通过计算机终端下达了撤单指令 但指令被系统拒绝 证券公司还通过东京证交所的交易终端发出撤单指令 也没能成功 启示和建议某种意义上讲 商业银行就是一家信息处理工厂 靠经营信息赚取利润 这生动地说明了信息对商业银行的重要性 这就要求银行必须确保客户信息和经营管理信息的真实 完整 安全 有效 任何信息的丢失 都将给银行造成巨大损失 外部事件引起的操作风险 银行的经营处于一定的政治 社会 经济环境中 经营环境的变化 外部突发事件都会影响到银行的经营活动 甚至会产生损失 外部事件引起银行损失的范围非常广泛 案例 深发展15亿骗贷案广东南海华光74亿骗贷案中行6 45亿虚假按揭骗贷案 外部欺诈 启示和建议银行在日常的经营管理中树立风险意识 时刻提高警惕 从思想上重视可能发生的风险 提高银行业务操作 如贷款 人员的专业技能 增强识假辨假能力 不让犯罪分子有机可乘 严格按照操作程序开展业务 一方面要求信贷人员切实遵守银行的业务操作程序 另一方面要加强内部监督 防范信贷人员的道德风险 外部人员作案不仅包括诈骗 还包括抢劫 盗窃等犯罪事件 这要求银行必须加强安全保障措施 才能防患于未然 外部经营环境变化 商业银行与经济运行具有高度相关性 因此 商业银行必须加强对宏观经济形势 行业运行态势的分析研究 以便于准确预期政府的政策取向 防范风险 案例 J P 摩根的分拆20世纪20年代资本市场快速发展 很多金融机构也将大量贷款投入股市 当股市发生危机后 很多银行发生倒闭 经济受到重创 为避免再次发生类似危机 也为了保护商业银行稳健运行 美国国会于1933年通过了 格拉丝 斯第格尔法案 第一次明确了商业银行与投资银行的分业 并且将J P 摩根银行限制于商业银行领域 而将其证券业务部独立出来 成立了摩根士丹利银行 专营股票和债券业务 在随后的经营中 J P 摩根银行错过了许多发展的机会 并于2000年9月被大通银行 ChaseManhattanBank 兼并 案例 非典的影响2002年底开始爆发的 非典 疫情使各行各业均收到不同程度的影响 银行业在 非典 中业收到了很大打击 非典疫情大大减少了那些面对面交易的银行业务银行的正常运营依赖于各个环节的正常工作 一旦因疫情使银行办公区域成为隔离区 银行的系统运行就可能受到影响 甚至直接影响前台业务操作和银行资金的流动 最终影响企业生产和经济运行 社会服务业 批发零售业 纺织和轻工业受 非典 的冲击比较大 直接影响这些企业的还本付息能力 从而影响银行投向这些行业贷款的安全性 外部突发事件 启示和建议保持对突发事件的敏感性建立切实可行的应急方案在事件发生后 商业银行整个系统要严格贯彻执行各项措施 步骤 保证应急方案真正发挥效用 从而降低损失 第三讲 军中的操作风险管理 操作风险不仅限于金融业务中 人类的一切活动和机构组织中都会发生 早在操作风险管理盛行于金融业之前 它就已被生活中几个领域所关注 自其产生以来 军队 这一管理人与技术的组织 一直都在设计操作风险的管理方法 军队多年来作为一种组织已经开发出一些准则 军队的法则 军队进行操作风险管理的目的在于加强操作环境中的有害识别 以便消除风险或将其减小到可接受的程序 美军开发了一些简单办法用以帮助军官们合乎逻辑地做出可靠的决策 以达到管理识别风险的目的 这些方法的总结构通行于各个分部 但在细化和具体实施方面却是根据各部的具体情况设计的 美空军操作风险管理的6个步骤 1识别风险 6监督和考评 5实施风险控制措施 4制定控制决策 3分析风险控制措施 2评估风险 资料来源 CSG GRM2000年根据美空军少校M Crowell资料改编 美军所使用的操作风险管理过程可大致细分为6个步骤 1操作分析 危害列表 危害原因列表 危害深入识别 2评估弊口危害 评估危害严重程度 识别灾难概率 完成评估风险 3识别风险控制措施 评估效果控制 对风险控制的措施排列优先次序 4筛选风险控制的措施 风险决策 6监督 考评 5阐明实施 明确责任 提供支持 资料来源 USAF www andersen af mil 及CSG GRM 2000 1识别风险 1 先识别危害或风险关键是将操作中的敞口性危害全部列出 5 M模型 人 机器 媒体 管理 任务 为操作系统的分析以及任务的完成中各复杂要素间关系的确定提供了基本框架在5 M模型中 许多要素之间都存在较大的重叠 这是由其直接相关性导致的 但领导和管理仍是其中最重要的5 M模型侧重识别具体灾难发生的可能原因 即操作风险 因此 军队非常强调5 M模型中各要素的细化内容 并根据自己的经验对5 M模型中各要素中的所有风险根源进行了细化 5 M模型综合风险识别检查对照表 资料来源 USAF www andersen af mil 及CSG GRM 2000 5 M模型综合风险识别检查对照表 续 资料来源 USAF www andersen af mil 及CSG GRM 2000 1识别风险 识别操作风险的方法对操作进行分析列出可能的危害列出危害原因对危害加以深入的识别 2评估风险 美军队提供了实行5 M模型检查对照表中要素的系统 这种方法简单而实用 美空军风险等级 资料来源 USAF www andersen af mil 由CSG整理 GRM 2000 2评估风险 续 评估敞口性风险评估危害程度评估灾难发生概率完成风险评估 3分析风险控制措施 对风险评估完成之后 美空军就进行控制措施分析 识别风险控制措施确定风险控制的效果对可用的风险控制措施排列优先次序风险控制措施的识别包括 通过参考因素表尽量寻找多一些被选的风险控制措施 风险控制措施包括规避 降低 分散和转移 手段 集思广益 事故分析专案组以及假设分析风险控制效果的确定是对每项控制措施作用的评判 手段 灾难风险指数测量 具体时间和外来时间评估风险控制中的优先次序是为即将选用什么样的控制办法做准备 手段 使用计算机模型 机会评估及成本 效益分析等 4制定控制决策 在风险控制措施的优先顺序排好后 美空军中负责承接风险的人员必须制定风险控制决策 寻求控制措施的成本与风险严重程度达到均衡的 适当平衡点 风险等级 高 低 分配的资源 事故的降低 分配于风险降低中的资源 5实施风险控制的措施 阐明实施阐明实施包括是人们明白控制措施的内涵明确责任责任是风险管理中重要的一环 它要求责任人签字并有所有相关风险决策的书面文件提供支持要想取得成功 施令者必须支持既定的控制措施 这要求控制措施在实行前先由施令者认可批准 6监督和考评 操作一旦开始就必须进行监督 以保证取得 有效的控制并使其继续存在在操作发生变化时 要能识别出其中需要进一步加以管理的风险采取行动纠正无效的风险控制 通过管理步骤的重新开始来应对新的危害对操作风险也要进行定期考评 考评程序必须有系统性 在控制风险中一旦发生资产消耗 必须进行成本 效益分析 以判断风险与成本是否持平 军中的操作风险经验 12个经验教训 1 操作风险管理是一个过程 而不是一项计划 它要求各级决策都要将风险纳入考虑范围 2 操作风险管理是 用符合逻辑的常识进行决策的方法在操作之前 期间和之后要对5 M模型中的要素进行整合并非截然不同的新方法 任务型的 3 永远使用正确的方法论 5 M概念管理 标准 程序 价值观 目标 人机器媒体 环境 任务或灾难 4 采用6个步骤 空军作战司令部 识别风险评估风险分析风险控制措施制定控制决策实施风险控制措施监督和考评 风险管理的力度应根据所允许时间的长短而有所不同 匆忙 时间是关键 快速考虑上述6个步骤预有准备 6个步骤全部采用 增加时间和技巧深入 6个步骤全部采用 增加时间技巧和精力 5 明鉴和军队两方面的研究表明 管理和程序的不当占灾难性事件的80 人员是灾难性事件的决定因素 因此必须对人员加以领导 理想的管理应是能保证每个人在完成其任务的过程中都多少有些风险管理意识 参与程序 全心投入 个人 拥有 项目团队成员信息资料提供者协同者评论和反馈提供者机械式工作者 检查或强化对象 质量 最好 最差 精选控制措施的常见问题 资料来源 CSG GRM2000年根据美国海军第27战机联队资料改编 6 安全建筑于诚信和领导之上 并在效率高的交流中得以创造和保持 企业文化 7 在建立一种个人所有的风险文化时 可以设想以下5种等级的操作风险管理培训思想灌输 让人人了解什么是操作风险使用者 向相关人员介绍操作风险管理的6个步骤高级班 培训相关人员如何运用操作风险管理以及各种手段领导者 能使责任人进行操作风险管理决策高层领导 提供操作风险管理基础知识 8 通过规划进行风险的预测和管理高效节省是第一原则 当风险能在操作规划阶段就被提出时 管理起来就容易多了 9 风险决策应出于正确的管理级别该级别的决策者要有必要的信息和经验来作出好的决策 授权批准部门的级别应与风险承受的程度相关 10 不接受任何无谓的风险接受无谓风险的领导者是在用别人的生命赌博 只有在任务完成过程中有必要时才去冒险 11 在效益高于成本是去承担风险 该法则有两个重要真理 任何操作中都存在一定程度的风险操作风险管理的目标并非杜绝风险 而在于管理 以最小的损失求得任务的圆满完成 12 保持简单明了 该法则有3个真理 复杂化往往是风险的根源沟通是降低风险的基础别人不一定知道你是怎么想的 第四讲如何管理操作风险 重点 操作风险管理的一般框架国内商业银行操作风险管理现状控制操作风险 内部控制角度的反思防范操作风险 制度变革角度的思考 前言 对于银行的高级管理层和专门的风险管理人员来说 它们更加关注 如何管理操作风险 这一问题 这一问题包含两个核心内容 即谁来管理和如何管理操作风险 操作风险管理的一般框架 谁来管理操作风险 谁来管理操作风险 董事会应批准在全行范围内采用操作风险管理系统 并将操作风险作为一种主要风险来管理 以确保银行的安全与稳定 应为高级管理层制定识别 评估 监测与控制 缓释操作风险所应依据的原则或指示 并负责核准高级管理层拟定的相应政策 负责建立一个能够有效执行操作风险管理系统的管理架构 董事会 负责对本行的操作风险管理系统进行定期检查 以应对由于外部市场变化和其他环境因素导致的操作风险以及新的产品 业务 系统相关的操作风险 还应确保本行的操作风险管理系统受到内审部门全面 有效地监督 谁来管理操作风险 监事会实施财务监督 负责对商业银行遵守法律规定的情况以及董事会 管理层履行职责的情况进行监督 要求董事会 管理层纠正损害银行利益的行为 谁来管理操作风险 高级管理层负责执行经董事会批准的操作风险管理系统 应确保本行的业务经营是由一批拥有必要的经验 技能和资源的称职员工来承担 而且负责本行风险监控与合规性检查的员工必须拥有独立于其所监控的部门的权力 高级管理层 应确保负责操作风险管理的员工与负责信贷 市场和其他风险的员工 以及本行内诸如负责购买保险和联系外包业务的人员进行有效的沟通 要确保银行的薪酬政策与其对风险的喜好相适应 负责制定操作风险管理的政策及相关文件 谁来管理操作风险 风险管理部门在操作风险管理过程中 风险管理部门的作用最为关键 一方面 该部门要负责执行董事会转达给高级管理层的操作风险管理系统 并为之制定相应的政策 程序和步骤 另一方面 该部门还要负责指导业务管理层 或称为分支机构 的操作风险管理活动 并定期检查 评估所有分支机构的操作风险管理状况 第三 风险管理部门还需为操作风险管理开发相应的技术或方法 具体来说 这包括 风险管理部门 开发测度和监控操作风险的技术和方法 制定定期监测操作风险状况和重大损失风险的程序 并定期向董事会和高级管理层报告相关信息 通过资产组合调整为操作风险提留足够的资本准备 以便有效地控制操作风险 对操作风险发展趋势进行定期考察 并对操作风险集中程度进行分析 在考察现有业务以及引人新产品或创新之前 进行适当的风险 收益分析 谁来管理操作风险 业务管理层业务管理层主要是指从事具体业务运作的分支机构管理者以及操作人员 内部审计部门高级管理层需要了解其下达的任务 战略是否得到执行以及结果是否有效 这就是内部审计部门的责 同时 审计部门还需确保业务管理者将操作风险保持在可容忍的水平下 控制措施的有效性和完整性 为完成上述目标 内部审计部门将开展以下活动 内部审计部门 定期审核负责审计操作风险测度方法 模型的设计和概念还需审核风险定价模型和交易部门所使用的股价体系审批程序 风险估测程序的重大变动 风险测度模型覆盖的风险范围 通过一些检验过程来检查模型的精确度 谁来管理操作风险 合规部门一般意义上讲 合规部门的职责是协助高级管理层有效管理银行面临的合规风险 银行合规部门的具体职责如下所述 就合规法律 规则和准则向高级管理层提出建议协助高级管理层就合规问题对员工进行教育 并成为银行员工咨询有关合规问题的内部联络部门 合规部门 合规风险的识别 量化和评估监测 测试和报告 法定责任和联络 合规方案 谁来管理操作风险 后勤保障部门在操作风险管理过程中 后勤保障部门的职责包括 制定应急和连续营业方案 以确保在严重的业务中断事件中连续经营并控制住损失 识别那些对迅速恢复服务至关重要的关键业务程序 包括那些依赖外部供应商或其他第三方的业务 定期检查灾难恢复和业务连续方案 以保证与其目前的经营和业务战略吻合 操作风险管理框架 操作风险管理框架 风险战略风险战略设定了银行操作风险管理的最终目标和基本方法 包括业务目标 风险偏好 操作风险管理防范以及对操作风险管理政策的解释 具体来说 风险战略包括业务目标 策略 风险偏好和风险政策三方面 风险战略 业务目标 策略 风险偏好如何设置风险偏好具体来说 商业银行是通过回答以下问题来决定自身风险偏好的 运行过程中 什么样的操作风险是银行准备接受的 什么样的操作风险是银行不接受的 银行最希望的操作风险承受水平是什么 银行对每一项业务活动引发的操作风险是否应付自如 风险偏好 这些操作风险水平与银行的发展战略 收益率目标和资产水平等是否一致 银行可以从哪里减少操作风险 银行是否存在因厌恶操作风险而不愿开展业务 产品 的时候 如果开展这些业务会给银行带来哪些额外的风险 在业务开展中 处于风险地位的资金的最大限额是多少 风险偏好 风险偏好 商业银行在设置操作风险偏好时必须考虑到以下问题 不能妨碍业务的正常开展 换句话说 风险偏好不能过于保守 当然 也不能过于激进 风险偏好不仅要与企业风险意识和风险文化水平一致 还应该与银行的管理技巧和管理经验一致 风险偏好不能超越银行风险管理基础设备所能承受的水平 基础设施包括人员 组织结构 科技系统等 风险偏好 风险偏好的定性与定量分析风险偏好的定性分析包括 银行的经营活动是否符合法律 政策 产品交易的控制和自动化是否在合适的水平 银行对业务控制和损失时间的披露是否公开 透明 对风险的评估是否合适等 对风险偏好的定量分析包括 风险图中什么样的频率和强度的组合形成不可接受的风险 操作风险损失水平和不同风险指标的变动标准等 风险战略 风险政策风险政策就是对操作风险管理中各相关部门所负有的职责 所采用的技术和方法等问题的具体规定 它应包括以下几方面内容 操作风险管理的目标 操作风险定义及其管理流程还要对银行操作风险管理架构及其相应的作用 责任作出明确规定 风险政策应描绘出操作风险管理工具和报告运用的预期效果 风险政策 为了确保风险政策得到有效执行 银行还应出台一套与风险政策相配套的制度 这一套制度至少应涵盖以下四方面内容 银行高层对银行风险管理目标执行情况的定期审查制度 风险管理部门对风险管理控制措施遵守情况的检查制度 审查 处理和解决违规问题的相关政策 程序和步骤 确保有一套操作风险各管理层责任明确的成文的审批和授权制度 操作风险管理框架 操作风险流程所谓操作风险流程就是操作风险管理活动从开始到结束所经历的完整过程 应包括 风险识别风险识别就是要回答以下问题 在业务运行过程中 银行面临哪些操作风险 什么因素会导致操作风险的发生 这些风险的严重程度是怎样的 操作风险流程 风险识别 风险识别 操作风险流程 风险评估在识别了潜在的操作风险之后 银行需要对这些风险进行评估 以判断银行对这些风险的承受能力 并找出那些不可接受的风险作为缓释的目标 风险评估的方法有很多 较为常用的包括 记分卡法检查表法叙述法工作间交流法 风险评估 除上述方法之外 巴塞尔银行监管委员会还推荐了如下3种识别 评估操作风险的工具 风险对应关系风险指标计量 操作风险流程 控制 管理控制操作风险的方法有很多 如管理洞察力 信息处理 行为监控 自动化操作 流程控制 责任分离 政策等等 经验显示 那些有效的风险管理方案会针对每一业务流程提出最优的控制方法 并将其列入风险管理进程或政策 在这些控制方法中 最常用的就是职责分离 控制 管理 除了职责分离 银行还可以采用以下方法来控制操作风险 密切监测遵守制定风险限度或权限 限额 的情况 对接触和使用银行资产的记录进行安全防卫 确保员工拥有适当的技能和培训 识别某些回报似乎与合理预期不符的业务系列或产品 如 某种低风险 低收益的交易活动出现高回报 就要怀疑此类交易是否存在违规 定期对交易和账户进行复核和对账 操作风险流程 监测 度量操作风险管理实践中常常对以下内容进行监测 风险诱因风险指标风险指标的选择应遵循3项原则 这些指标应该具有前瞻性 并且可以反映操作风险潜在的原因 例如推广新产品 员工流动 交易中断 系统检修等 这些指标必须具有风险敏感性 能深入分析损失组合的变动情况 指标必须能满足使用者的需要 监测 度量 损失事件因果模型通过对上述4个方面的监控 将有助于银行的管理层了解现有风险状况 包括它如何发生变化和值得注意的风险警告 操作风险流程 风险报告风险报告的目的在于向高级管理层揭示以下信息 银行的主要风险源及整体风险状况风险的发展趋势将来值得关注的地方根据巴塞尔委员会的有关规定及银行业的实际做法 风险报告大致包括 风险报告 风险报告 风险评估结果损失事件风险诱因风险指标资本金水平 风险报告 业务部门操作风险报告高级管理层 内部损失数据风险指标风险评估风险识别 外部损失数据同业比较资本分析业务目标分析 风险评估损失事件风险诱因关键指标资本分析压力测试 制定 调整政策配置资源跟踪反馈风险财务策略 风险管理部门 操作风险管理报告流程 020406080100120发生频率 log分布 10 20 30 40 50 60 70 损失强度 零售金融 操作行为 公司金融 操作风险图样本 操作风险管理框架 基础设施操作风险管理基础设施是构成操作风险管理框架的基础 是操作风险管理活动赖以开展的前提条件 为操作风险管理过程提供组织的 数据的 方法的 操作的和系统的支持 具体来看 操作风险管理基础设施包括以下内容 基础设施 操作风险管理组织结构恰当的操作风险管理组织结构应将所有相关部门和人员涵盖在内 在操作风险管理的各个部分设置一名操作风险经理 这些风险经理统一向首席风险官报告 将操作风险管理职责赋予一个委员会通常要比单个部门管理风险更有效 有效的操作风险管理组织结构往往会明确规定银行内部各部门的作用 权限及责任 操作风险管理组织结构范例一 分支机构操作风险人员 操作风险相关人员功能和规人事保险信息技术法律 分支机构管理 操作风险管理组织结构范例二 内部审计 操作风险管理组织结构 数据和信息系统方法政策与程序 操作风险管理框架 环境基础所谓风险管理环境是指风险管理活动所影响的范围或风险管理行为所面临的境况 包括 风险管理文化交流与沟通责任与意识人员培训等内容 操作风险管理的8个关键因素 制定明确的 有针对性的操作风险政策建立风险识别的通用标准对每项业务绘制业务流程图将有助于风险管理人员识别和管理操作风险建立一个详细的操作风险分类表 如表4 3所示 对操作风险进行界定和分类 操作风险管理最优实践 1 政策 2 风险识别 3 业务流程 4 测度方法 5 风险敞口管理 6 风险报告 7 风险分析 8 经济资本 操作风险管理的8个关键因素 衍生产品中的操作风险存在哪里 显然 操作风险自始至终都存在 交易之前 之中 之后 之前识别客户要求风险 起关键作用的关键人物 特别是与重要客户的沟通 之中结构交易风险 模型风险披露挪用 之后交割产品风险 监控方面的不足模型风险关键人物任期的连续性 衍生商品业务中的操作风险 操作风险管理的8个关键因素 开发易于理解的操作风险评估框架准确管理和报告操作风险敞口井采取适当行动对风险进行保值开发使用的风险分析工具和方法开发将操作风险测度结果转换为经济资本需求量的技术 续前表 独立的操作风险管理部门 花旗集团首席操作风险监控官 花旗集团的合规管理人员和首席会计师 共同制定风险自我测试与控制的政策 RCSA 花旗银行的操作风险政策 包括RCSA的标准 由各个业务部门具体组织实施 根据业务部门各自的治理结构 政策和管理流程 每个员工的岗位的操作风险管理 包括风险自我测试与控制 RCSA 外部审计人员独立审计 操作风险报告 花旗集团管理层 花旗集团董事会 花旗集团操作风险管理基础架构 第五讲操作风险测度 重点 定性测度操作风险量化方法测度操作风险测度操作风险的四个步骤 前言 在操作风险管理实践中 商业银行的高级管理层更希望风险管理部门将那些抽象 复杂的操作风险转变为直观 简单的数字 即量化操作风险 如此一来 它们可以直观地看出银行目前面临的操作风险现状 并很容易观察出操作风险的变动趋势 不幸的是 由于操作风险损失数据的缺乏以及风险因素与发生的可能性和损失大小之间的关系捉摸不定 量化操作风险是一件十分困难的事情 相比较而言 操作风险的定性测量方法虽简单易行 但在为操作风险分配资本面前却无能为力 5 1定性测度操作风险 定量法的困难操作风险损失数据缺乏某些操作风险的风险因素与风险发生的概率和损失大小之间并无清晰的关系 定性法的缺陷受制于专家的主观判断缺乏统一标准而导致结果变化莫测 为什么用定性法 测度操作风险的关键巴赛尔委员会于1998年9月在关于银行监管的报告中对30家主要银行进行了调查 调查显示测度操作风险的4个关键环节是 选择一种方法 清晰地描述操作风险敞口 风险因素及潜在损失在风险敞口 风险因素和潜在损失之间建立联系对高频率 低影响的事件和低频率 高影响的事件区别对待将判定操作风险损失的模型和报告纳入银行的核心业务运营和管理环节 基于内部控制的定性测度银行业在测度操作风险过程中 一种常用的办法是首先了解某项业务 或部门 的操作风险管理办法 然后请经验丰富的专家或风险管理人员在做出 客观 判断的基础上对操作风险进行评估 这就是基于内部控制的操作风险测度方法 这种测度方法是建立在若干审计标准和指南基础上的 不同国家有不同的内部控制框架 内部控制的基本原理 内部牵制内部控制内部控制结构内部控制的完整框架 旧COSO报告 企业风险管理 新COSO报告 内部牵制 1905年 L R Dicksee最早提出内部牵制 InternalCheck 他认为 内部牵制由三个要素构成 职责分工 会计记录 人员轮换 1930年 GeorgeE Bennett发展了内部牵制的概念 他于1930年给内部牵制制度下了一个完整的定义 内部牵制是帐户和程序组成的协作系统 这个系统使得员工在从事本身工作时 独立地对其他员工的工作进行连续性的检查 以确定其舞弊的可能性 内部控制 1949年 AICPA的审计程序委员会发布了一分特别报告 内部控制 一种协调制度要素及其对管理当局和独立审计人员的重要性 该报告第一次给内部控制制度下了如下权威定义 内部控制由组织的计划和组织内部为保护其财产安全 检查其会计资料的准确性和可靠性 提高经营效率 保证既定的管理政策得以实施而采取的所有方法和措施 内部控制结构 内部控制的完整框架 1985年 由AICPA IIA FEI AAA IMA等共同发起成立了 全国舞弊性财务报告委员会 即Treadway委员会 两年后 根据该会的建议 其赞助机构又成立了专门研究内部控制问题的组织 即COSO委员会 1992年美国国会的 反对虚假财务报告委员会 NCFR 下属的由AAA AICPA IIA FEI和IMA等专业团体组织参与的 发起组织委员会 COSO 美国COSO内部控制框架1992年9月 美国的COSO提出了 内部控制整体框架 COSO认为 内部控制是一个由一系列行为组成的过程 这些行为涉及整个公司运作的方方面面 具体来讲 内部控制框架有5个组成部分 内部控制的完整框架 内部控制内部环境风险评估控制活动信息与沟通监督 美国COSO内部控制框架控制环境控制环境是提供控制人员进行各项活动及进行监控活动的基础 既包括企业的诚信度和道德观 也包括员工的道德标准和能力 风险评估风险评估就是识别和分析实现目标的过程中存在的重要风险 它是决定如何管理风险的基础 控制活动控制活动就是帮