第五章_操作风险管理

第五章操作风险管理操作风险2004年《巴塞尔新资本协议》率先将操作风险的衡量和管理纳入金融机构的风险管理框架中，并要求金融机构为操作风险配置相应的资本。操作风险管理操作风险——由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。《巴塞尔新资本协议》率先将操作风险的衡量与管理纳入金融机构的风险管理框架中，并要求金融机构为操作风险配置相应的资本。资本充足比率＝总资本/（信用风险＋市场风险＋操作风险）操作风险基本架构操作风险风险识别风险计量风险评估与控制风险监测与报告1.1操作风险的识别主要内容：形成操作风险的人员因素、内部流程、系统缺陷以及外部事件的种类与内容。1.1.1人员因素操作风险中的人员因素主要指因商业银行员工发生内部欺诈、失职违规以及因员工的知识技能匮乏、核心员工流失、商业银行违反用工法等造成损失或者不良影响而引起的风险。人员因素—内部欺诈内部欺诈是指员工故意骗取、盗用财产或者违反监管规章、法律或公司政策导致的损失。员工违法行为：内部人员作案以及内外勾结作案。人员因素—内部欺诈原因类别原因示例未经授权的活动盗窃或欺诈交易不报告交易品种未经授权（存在资金损失）头寸计价错误（故意）欺诈/信贷欺诈/假存款盗窃/挪用公款/抢劫盗用资产，恶意损毁资产伪造多户头支票欺诈等贿赂/回扣/内幕交易等人员因素—失职违规失职违规主要指商业银行内部员工因过失没有按照雇佣合同、内部员工准则、相关业务及管理规定操作或者办理业务造成的风险。主要表现：滥用职权、对客户交易进行误导、支配超出期限的资金额度或从事未经授权的交易等。在各商业银行完成股改上市后，为了发展业务，可能造成基层分支机构以越权放款或化整为零，短贷长用、借新还旧等方式规避上级监管，追求片面的信贷业务增长，忽略长期风险的控制。人员因素—知识/技能匮乏意识不到专业知识的匮乏，按照主观判断进行工作意识到专业知识的缺乏，碍于颜面或其他原因未向管理层反映意识到本身知识上的缺乏，并据此利用该缺陷三种行为模式给商业银行带来经济或者声誉方面的损失属于欺诈人员因素—核心雇员损失核心雇员具备商业银行普通人员不具备的知识，掌握商业银行大量技术和关键信息，如交易员、高级客户经理等。核心雇员流失体现为对关键人员依赖的风险，包括缺乏足够的后援/替代人员，相关信息缺乏共享和文档记录，缺乏岗位轮换机制等。人员因素—违反员工法违反员工法是指违法就业、健康或者安全方面的法律或协议，包括劳动法，合同法等，造成个人工伤赔付或因性别/种族歧视事件导致的损失。人员因素—违反用工法原因分析原因类别原因示例劳资关系安全/环境性别、种族歧视薪酬、福利、雇佣合同终止后的安排有组织的劳工运动一般责任，包括坠落、滑倒等违反员工健康及安全规定事件工人的劳保开支所有涉及歧视的案件1.1.2内部流程内部流程引起的操作风险是指由于商业银行业务流程缺失、设计不完善、或者没有严格执行而造成的损失。财务/会计错误文件/合同缺陷产品设计缺陷错误监控/报告结算/支付错误交易/定价错误内部流程缺陷主要包括：内部流程—财务/会计错误商业银行内部在财务管理和会计财务处理方面存在流程错误，主要原因是财会制度不完善，管理流程不明晰，财会系统建设存在缺陷等。商业银行从2007年开始根据新的会计准则进行财务制度的设计和相应管理流程的调整，有必要对相应操作风险予以关注，尤其是上市商业银行在不良贷款拨备方面的处理。内部流程—文件/合同缺陷文件/合同缺陷又称为文件/合同瑕疵，是指各类文件档案的制定、管理不善，包括不合适的或者不健全的文档结构，以及协议中出现错误或者缺乏协议等，主要表现为抵押权证、房产证丢失等。作为关键流程的有效控制与否的证据，文件/合同历来是各商业银行加强档案管理的重点。内部流程—产品设计缺陷产品设计缺陷是指商业银行为公司、个人、金融机构等客户提供的产品在业务管理框架、权利义务结构、风险管理要求等方面存在不完善、不健全等问题。随着外资商业银行的进入，发达国家的先进金融工具会直接在我国转化并进入市场。为了满足客户要求，各商业银行会竞相模仿甚至在条件方面更优惠客户、流程更简单，但若产品设计不合理或者执行不到位，将造成更严重的风险。内部流程—错误监控/报告错误监控/报告是指商业银行监控/报告流程不明确、混乱，负责监控/报告的部门的职责不明晰，有关数据不全面、不及时、不准确，造成未履行必要的汇报义务或者对外部汇报不准确（发生损失）。内部流程—结算/支付错误结算/支付错误是指因商业银行结算支付系统失灵或延迟，如现金未及时送达网点以及对方商业银行等。国内外商业银行均在大力推进运营与后台支持的集中化，在流程方面即加强对前台和中台的控制，又重视对商业银行总体管理的流程重整。内部流程—交易/定价错误交易/定价错误是指在交易过程中，因未遵循操作规定，交易和定价产生错误。1.1.3系统缺陷系统缺陷引发的操作风险是指由于信息科技部门或服务供应商提供的计算机系统或设备发生故障或其他原因，商业银行不能正常提供部分、全部服务或业务中断而造成的损失。包括系统设计不完善和系统维护不完善所产生的风险。1.1.3系统缺陷1.一些计算机系统中，对于闰年的计算和识别出现问题，不能把2000年识别为闰年，即在该计算机系统的日历中没有2000年2月29日这一天，而是直接由2000年2月28日过渡到了2000年3月1日；2.在一些比较老的计算机系统中，在程序中使用了数字串99(或99/99等)来表示文件结束、永久性过期、删除等一些特殊意义的自动操作，这样当1999年9月9日(或1999年4月9日即1999年的第99天)来临时，计算机系统在处理到内容中有日期的文件时，就会遇到99或99/99等数字串，从而将文件误认为已经过期或者将文件删除等错误操作，引发系统混乱甚至崩溃等故障。1.1.3系统缺陷数据/信息质量风险违反系统安全规定系统设计/开发战略风险系统的稳定性、兼容性、适宜性系统设计不完善系统维护不完善系统缺陷引发的操作风险系统缺陷—数据/信息质量商业银行对数据/信息质量的管理主要是防止各类文件档案的制定、管理不善，业务操作中的数据出现差错，如金额、币别等输入错误。企业级数据库的建设，如核心银行系统、管理信息系统、全面集成的报告体系都离不开数据，数据/信息的质量是风险防范的重点之一。系统缺陷—违反系统安全规定系统安全包括外部系统安全、内部系统安全以及对计算机病毒和对第三方程序欺诈的防范等。违反系统安全突破存储限制系统信息传递/系统修改信息传送失败第三方界面失败系统无法完成任务数据、系统崩溃主要表现系统缺陷—系统设计/开发的战略风险商业银行应当对信息系统的项目立项、开发、验收、运行和维护实施有效管理，不能片面追求快速见效或者贪大求全，超越本行业务要求，要在战略高度评价经营管理的需求，要慎重对待系统设计、开发全过程。系统缺陷—系统的稳定性、兼容性、适宜性技术部门应当与业务部门互相协调，确保系统的整体稳定运行，核心银行系统与相关系统有效兼容，与业务需求和管理需求保持相当的适宜性。1.1.2外部事件商业银行的经营在一定的政治、经济和社会环境中发生的，经营环境的变化，外部突发事件等都会影响商业银行的正常经营活动，甚至发生损失。具体而言，包括外部人员故意欺诈，骗取或盗用银行资产及违反法律而对商业银行的客户、员工、财务资源或声誉可能或已造成负面影响的事件，这类事件是内部控制失败或内部控制的薄弱环节，或是外部因素对商业银行运作或声誉造成的威胁。外部事件—外部欺诈/盗窃外部欺诈是指外部人员故意盗取、盗用财产或逃避法律而给商业银行造成损失的行为，包括外部的盗窃、抢劫、涉枪行为；伪造、变造多户头支票，骗贷等行为。该类风险是给商业银行造成损失最大、发生次数最多的操作风险。外部事件—洗钱洗钱是指通过各种手段将违法所得合法化的行为，例如毒品犯罪洗钱等。目前，全球反恐的推进，对商业银行在经营过程中设定相应程序、政策以对付恐怖融资和洗钱行为提出了更高的要求。外部事件—政治风险政治风险是指由于战争、征用、罢工和政府行为、公共利益集团或极端分子活动而引起的活动。例如，本国政府或者商业银行海外机构所在地政府新兴的立法，公共利益集团的持续压力，极端组织的行动，政变、政府更替等。外部事件—监管规定监管规定是指未遵照金融监管当局的规定而引起的风险。在出台新的进入监管规定或者金融监管加强，新的金融监管者发生改变，出现新的金融监管重点时，较易出现此方面的风险。具体表现主要有违反监管规定，未按时提供监管报表；国家进行宏观调控期间，商业银行应当及时调整有关政策，避免市场变化而给商业银行造成风险。外部事件—业务外包业务外包引起的操作风险是指由于供应商的过错而造成服务或供应中断或者撤销而引发的风险。具体表现为商业银行提供产品或服务的供应商中断，或者拒绝产品或服务的供应。例如，供电局拉闸限电，供应商破产等。外部事件—自然灾害由于自然因素造成商业银行财产损失，包括火灾、洪水、地震等。例如，2006年中国台湾地区地震造成海底光缆断裂，使大陆多家商业银行的通信和业务受到影响。外部事件—恐怖威胁顾名思义，恐怖活动、绑架或者爆炸等人为因素都会造成商业银行的财产损失。操作风险计量与经济资本配置巴塞尔委员会根据目前商业银行风险经济资本计量方法，即基本指标法、标准法和高级计量法。三种计算方法在复杂性和风险敏感性上是逐渐增强的，对于较低操作风险管理水平、尚未到达量化阶段的商业银行可以选择简单的指标法和标准法。高级计量法的风险敏感度相对其他两种方法更，采用这种方法更能反映商业银行操作风险的真实状况，因此包括中国银行业在内的所有商业银行均应努力向高级计量法靠近。基本指标法基本指标法是以单一的指标作为衡量商业银行整体操作风险的尺度，并以此为基础配置操作风险资本的方法。资本计算公式：是基本指标法需要的资本表示前三年中各年为正的总收入表示前三年中总收入为正数的年数标准法标准法的计量原理：将所有业务划分为8类产品线，对每一类产品线规定不同的操作风险资本要求系数，并分别求出对应的资本，然后加总八类产品线的资本，即可得到商业银行总体操作风险资本要求。8类产品线：公司金融、交易和销售、零售银行业务、商业银行业务、支付和结算、代理服务、资产管理、零售经纪标准法的计量方法总资本的计量公式：表示8类产品线中各产品线过去3年的平均总收入表示由巴塞尔委员会设定的固定百分数。要求：银行应该拥有充足的资源支持在主要产品线上和控制及审计领域采用该方法。应该拥有完整且确实可行的操作风险管理系统高级计量法1.商业银行在满足巴塞尔委员会提出的资格要求以及定性和定两标准的前提下，通过内部操作风险计量系统计算监管资本要求。2.使用高级计量法之后，未经监管当局批准不可退回使用相对简单的方法。3.方法主要有：内部衡量法、损失分布法、记分卡法等。高级计量法4.高级计量法的使用要求：资格要求定性标准定量标准内部数据要求外部数据要求业务经营环境和内部控制因素风险评估与控制商业银行应该制定操作风险控制程序、步骤以及方法和措施，并且以制度形式确保有关风险管理系统的内部政策能被遵循。公司治理结构、内部控制体系、合规文虎和信息系统建设对商业银行控制操作风险至关重要。风险评估与控制的环境1.公司治理良好的公司治理目标：1.完善股东大会、董事会、监事会及其下设的议事和决策机构，建立议事规则和决策程序；2.明确董事会和董事、监事会和监事、高级管理层和高级经理人员在组织管理中的责任。3.建立独立董事制度，对董事会讨论事项发表客观公正的意见。4.建立外部监事制度、对董事会、董事、高级管理层及其成员进行监督。风险评估与控制的环境董事会、监事会和高级管理层及相关部门职责：董事会负责批准在全行范围内采用操作风险管理系统，并将操作风险作为主要风险来管理；负责制定风险流程每个步骤的原则或指示，并拟定相应政策；负责建立整体架构；负责管理系统的定期检查。监事会负责对银行遵守法规以及