操作风险基础概念版本

操作风险一.风险的分类和定义分类定义风险1.风险分类合规信用风险操作风险市场风险2.风险定义•因顾客、客户或其他方无法按约定的条款和条件履行还款或履约义务的风险。造成资金预付、承诺或投资的操作失败也可能导致信用风险；信用风险•资产、负债或营业收入的价值因市场行情变化而受到负面影响的风险，例如市场波动。这些风险来自于为客户持有或公司自行持有的目的，例如公司为了进行流动性管理而持有的目的；市场风险•因内部流程不充分或失灵、人员、系统或外部事件而造成损失的风险。操作风险包括未能以成功、及时、具有成本效益的方式实施战略目标和行动计划。操作风险是银行内部每项业务、产品、服务和职能都固有的风险，因此每个业务线和每个员工的日常职责中都包括操作风险的管理。操作风险3.操作风险分类操作风险流程风险外部风险系统风险人员风险3.1操作风险分类定义•因为对产品、服务或变化没有切实有效地制作文档记录、处理或执行所造成的风险。流程风险还包括与未能以完整、准确和及时的方式记录和报告财务及管理信息有关的风险；流程风险•因管理上的不足、组织结构的缺陷、人力资源不充足或人力资源方面的其他不足造成业务需求无法得到满足的风险；人员风险•因公司直接控制以外的因素造成的风险，包括与供应商、联盟伙伴和服务提供商有关的风险，以及政治、社会、文化、环境因素；外部风险•因业务活动支撑系统或技术的缺陷、复杂性和不稳定而造成的风险。系统行动计划也可能同时涉及技术及处理风险。这是不同类型操作风险彼此重叠的一个范例。系统风险3.2流程风险分类财务/会计错误文件/合同缺陷产品设计缺陷错误监控/报告结算/支付错误交易/定价错误3.3人员风险分类内部欺诈失职违规知识/技能匮乏核心雇员流失违反用工法3.4外部风险分类外部欺诈/盗窃洗钱政治风险监管规定业务外包自然灾害恐怖威胁3.5系统风险分类数据/信息质量违反系统安全规定系统设计/开发的战略风险系统稳定性、兼容性、适宜性二.巴塞尔协议和国内监管机构的要求监管巴塞尔协议证监会人民银行银监会1.巴塞尔新资本协议的要求•制定实施描述操作风险职能主要元素的政策和规程，包括操作风险的识别、测量、监督和控制；政策•向董事会和高级管理层报告风险暴露和损失数据；•报告必须在业务线（LOB）和集团级别上进行，覆盖风险暴露、损失数据、业务环境和内控措施评估，至少每季度报告一次；•向董事会和高级管理层报告相关的集团级风险信息；报告•巴塞尔协议规定七类损失事件类型对内部风险损失进行分类；•建立搜集内部损失事件数据、相关的外部损失事件数据、内部及环境风险控制因素和情境分析结果的体系，为分析框架提供支持；•制定分析框架各元素的数据收集和修改标准文件；•设定集团将操作风险损失划分为损失事件的下限值；•集团执行统一的风险处理方式。计算监管资本时，与信用风险有关的损失作为信用风险处理；•至少搜集各业务线、事件、产品和地点5年的内部损失数据；操作损失数据的收集•制定关于在操作风险框架内使用外部损失数据的政策和规程文件；•管理层必须审核外部数据以确保理解行业经验；•实施鉴别和评价业务环境和内控因素的流程；•对照实际的操作损失，比较风险评估的结果；•采用先进的数据管理做法，使数据具备采用高级测量法（AMA）进行处理的条件。风险评估1.巴塞尔新资本协议的要求(续)•制定关于确定如何将情境分析纳入操作风险框架的政策和规程；•在操作风险框架中组合使用内部损失数据、相关的外部数据、风险评估和情境分析；情景分析•测试操作风险框架和结果的准确性和适当性；•结果的测试和验证要独立于操作风险管理职能部门和业务线测试和验证•以书面文件的方式记述明显及隐含的依赖性假设的恰当性；•制定分析框架各元素的数据收集和修正标准文件；•建立适当的操作风险数据下限；•实施估算机构操作风险暴露的全面的操作风险分析框架；•以书面文件的方式记录分析框架所有基础假设的依据以及对假设的任何后续修改的依据；•操作风险的资本金要求是预期和非预期损失之和，除非金融机构能根据监管标准证明预期损失可以得到抵消；•为了反映风险减少因素的影响，可缩减操作风险暴露的估算结果，但最高不超过20%；分析框架•作为操作风险框架的一部分，建立独立的集团操作风险职能部门、业务线监督机制和独立的测试及验证机制；•董事会必须监督操作风险框架。必须清楚地确定管理角色和责任；•董事会和管理层负责确保分配适当的资源以支持操作风险框架；•建立独立的操作风险管理职能部门，负责集团的操作风险框架；•业务线管理层负责各业务单位内部操作风险的日常管理；•业务线管理层必须本业务线内部的确保内部控制措施和做法符合集团的政策和规程；•内控结构必须达到或超过监管机构制定的最低监管标准；•操作风险框架必须采用监管机构对操作风险的定义。内部监测2.巴塞尔新资本协议的资本计量要求基本指标法标准法高级计量法2.1资本计量—基本指标法•银行越大，非利息收入越高，操作风险就越大，分配的经济资本就越多；•3年总收入的平均值作为衡量指标：操作风险的监管成本＝(前三年的总收入X固定百分比加总)÷3；•提取总收入的15%作为资本：总收入＝净利息收入＋净非利息收入不包括保险收入、银行账户上出售证券实现的盈利2.2资本计量—标准法业务种类财务指标计提因子(%)企业融资总收入18贸易和销售总收入18零售银行业务总收入12商业银行业务总收入15支付和结算总收入18代理服务和托管总收入15零售经纪总收入12资产管理总收入12•将整个业务分成8条产品线，度量每个业务线的风险，再把风险加总；•巴塞尔设定了8种产品线每个产品线的β值（商业银行在特定产品线的操作风险损失经营值与该产品线总收入之间的关系）；•计提的总资本等于各业务分别计提的资本之和；•采用标准法的基本要求：董事会和高管层应当积极参与监督操作风险管理架构；具完整而且切实可行的操作风险的管理系统；该拥有充足的资源来支持在主要产品线上和控制及审计领域采用该方法。2.2资本计量—标准法(续:国内银行)代理业务资金交易任务个人信贷业务法人信贷业务柜台业务2.3资本计量—高级计量法a.资格要求；b.定性标准：•设置独立的操作风险管理岗位，负责设计和实施操作风险管理框架；•在全行范围内对主要业务条线分配操作风险资本。必须以正式文件形式制定内部操作风险管理政策、制度和流程，并在文件中明确规定对违规的处理办法；c.定量标准：•表明采用的操作风险计量方法考虑到了潜在的较为严重的概率分布“尾部”损失事件；•无论采用哪种方法，必须表明操作风险计量方法，与信用风险的内部评级法具有相当的稳健标准；•任何操作风险内部计量系统，必须提供与巴塞尔委员会所规定的操作风险范围和损失事件类型一致的操作风险分类数据；•例外：在内部业务实践过程中，能够足以准确的计算出预期损失；d.内部数据要求：•无论是用于损失计量还是用于验证，具有至少五年的内部损失数据。对于初次使用高级计量法的商业银行要求可以适度放宽，允许使用三年的历史数据；e.外部数据要求：•对外部数据配合专家的情景分析，求出严重风险事件下的风险暴露，这相当于一个极端情况下的压力测试；f.业务经营环境和内部控制因素。3.银监会的监管要求•2005年3月22日，出台了《关于加大操作风险管理力度的通知》•2007年3月12日，出台了《中国银行业实施新资本协议指导意见》•2007年5月14日，出台了《商业银行操作风险管理指引》•2007年12月25日，出台《商业银行压力测试指引》•2008年9月，正式发布《商业银行操作风险资本计量指引》中国银监会•1988年，国际结算银行(BIS)发布资本协议•1995年，提出市场风险修正案•2003年，出台了《操作风险管理与监管的稳健原则》•2004年，正式发布《新资本协议》，将操作风险纳入第一支柱•《有效银行核心监管原则》原则15：–操作风险:银行监管当局必须满意地看到，银行具备与其规模及复杂程度相匹配的识别、评价、监测和缓解操作风险的风险管理政策和程序。巴塞尔委员会三.操作风险的识别和管理1.识别并充分了解所面临的所有风险种类；2.在已有的战略目标的基础上定义风险管理偏好；3.对各种风险和控制手段进行评估；4.降低损失发生的可能性及其影响；5.降低整体业务表现的不确定性；6.将操作风险管理和内部控制、安保、合规和设施管理等部门联系结合起来；7.争取更准确地识别出各种风险，从而将其控制在既定的期望水平上。1.操作风险的不同类型危害程度高频高危低频高危高频低危低频低危频率2.银行的应对措施高频高危•撤出•避免进入高频低危•强化内部控制•优化组织•加强教育培训•完善和升级IT系统低频高危•通过保险的方式转移可预见且可控风险•通过提高资本充足率抵御不可控风险低频低危•忽略不计3.操作风险点的识别与评估—发生频率评估表等级描述解释概率参考值1极可能预计大多数情况下发生，或现实中大量发生1%—2很可能很可能会发生，或现实中经常发生0.1%—≤1%3可能在某种情况下可能发生，或现实中发生过几次0.03%—≤0.1%4不太可能在某种情况下能够发生，但可能性极小，现实中偶尔发生0.001%—≤0.03%5罕见仅在例外情况下发生，或很多年发生一次—≤0.001%4.操作风险点的识别与评估—影响程度评估表等级描述解释损失金额参考值A极大极大的损失金额100万≤—B较大较大的损失金额10万≤—100万C中等中等的损失金额1万≤—10万D较小较小的损失金额1千≤—1万E极小极小的损失金额0—1千5.操作风险点的识别与评估—风险等级表影响程度发生频率E—极小D—较小C—中等B—较大A—极大1—极可能IIIIVIVVV2—很可能IIIIIIIVVV3—可能IIIIIIIIIVV4—不太可能IIIIIIIIVV5—罕见IIIIIIIIIVI—极小风险II—低风险III—中等风险ＩＶ—高风险Ｖ—极大风险6.关键风险指标(KRI)风险地图(RiskMap)27重点：控制重点：风险重点：损失关键操作风险控制(KORC)关键风险指标(KRI)风险自我评估(RSA)风险地图（RiskMap）损失数据库(LED)操作风险评估程序(ORAP)每一种工具的其重点与优势操作风险管理工具的重点与使用操作风险管理工具的定义•通过产品、活动、流程、职能、区域等多个维度确立评估单元，采用自上而下和自下而上等方式有效识别汇总风险点，并以彩虹图等形式展示出操作风险整体分布的识别评估工具风险地图(RiskMap)•是指在流程中控制重要风险点以及同时控制多个风险点的措施。每个关键操作风险控制包括：流程阶段、对应风险点、控制目标、控制措施等关键操作风险控制(KORC)•是代表某一风险领域变化情况并可定期监控的统计指标。关键风险指标可用于监测可能造成损失事件的各项风险及控制措施，并作为反映风险变化情况的早期预警指标，管理层可据此迅速采取措施关键风险指标(KRI)•业务流程的参与者、经营管理活动的实施者根据操作风险管理的基本原理，采用一定的方法，对业务流程、经营管理活动中存在的操作风险状况与控制活动效果进行的定性评价活动风险自我评估(RSA)•基于局域网和WEB的收集和存储所有本行由于操作风险造成的损失的全部信息的工具损失数据库(LED)操作风险评估程序(ORAP)操作风险管理工具的目的与各部门的责任操作风险管理工具工具目的风险管理部的责任业务单位的责任工具所提供的结果风险自我评估(RSA)确认现有业务中合适的风险改善计划提供识别方法、架构、原则识别风险及拟定改善计划现有业务经营风险及其改善方案风险地图(RiskMap)有效识别汇总各类风险点确认各类风险点识别风险点并提交操作风险整体分布二维图表损失数据库(LED)籍由历史损失识别操作风险损失资料分析、维护、呈报记录及通报损失事件操作损失季报(业务单位)操作损失季报(管理单位)关键操作风险控制(KORC)检查重要流程的控制点保存最近的控制点资料识别流程主要控制点重要业务流程的主要控制点清单关键风险指标(KRI)监控操作风险风险敞口情况提供风险评估架构及规范监督风险变化情况控制点评估报表操作风