第十章风险管理5-操作风险

第十章：风险管理—操作风险房勇2012年12月2不同类别的风险信用风险65%市场风险15%操作风险20%巴塞尔委员会调查结果3银行业务越来越依赖于集成的自动系统。广泛的自动化系统的使用将会把人为处理过程中的错误转化为系统出错的风险。电子商务蓬勃发展，所蕴涵的风险还没有被很好的理解。大规模的银行业的兼并、收购、分拆会带来新旧管理系统衔接的问题。银行需要为商业提供大规模的交易，这对高级的内部控制和后备系统的持续维护提出了很高的要求。银行使用了各种风险缓解技术（例如资产证券化、信用衍生产品的使用）来将风险转化为信用风险和市场风险，但是带来了新的风险，例如法律风险。更多的业务采用外包的形式，虽然减少了某些风险，但带来了新的风险。操作风险引起重视的背景4操作风险引起重视的背景社会转型法制的不健全社会道德体系社会流动性增加（国际、国内）腐败IT技术的快速发展与人员素质5操作风险的定义巴塞尔委员会在2001年的银行操作风险管理文献中给出了操作风险的定义：源于不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。这个定义包括了法律风险，但是将策略风险、信誉风险和系统风险排除在外。巴塞尔委员会允许银行在实践中使用不同的操作风险的定义，但是无论定义的形式如何，都应该能够涵盖以下这些风险：内部欺诈：有机构内部人员参与的诈骗、盗用资产、违犯法律以及公司的规章制度的行为。例如内部人员虚报头寸、内部人员偷盗、在职员的账户上进行内部交易等等。6外部欺诈：第三方的诈骗、盗用资产、违犯法律的行为。例如抢劫、伪造、开具空头支票以及黑客行为对计算机系统的损坏。雇用合同以及工作状况带来的风险事件：由于不履行合同、或者不符合劳动健康、安全法规所引起的赔偿要求。例如，工人赔偿要求、违犯雇员的健康安全规定、有组织的罢工以及各种应对顾客负有的责任。客户、产品以及商业行为引起的风险事件：有意或无意造成的无法满足某一顾客的特定需求，或者是由于产品的性质、设计问题造成的失误。例如受托人违约、滥用秘密的客户信息、银行账户上的不正确的交易行为、洗钱、销售未授权产品等。操作风险的定义7操作风险的定义有形资产的损失：由于灾难性事件或其他事件引起的有形资产的损坏或损失。例如恐怖事件、地震、火灾、洪灾等。经营中断和系统出错：例如软件或者硬件错误、通信问题以及设备老化。涉及执行、交割以及交易过程管理的风险事件：交易失败、过程管理出错、与合作伙伴、卖方的合作失败。例如交易数据输入错误、间接的管理失误、不完备的法律文件、未经批准访问客户账户、合作伙伴的不当操作以及卖方纠纷等。8操作风险导致的损失事件的特点导致损失事件发生的原因非常复杂，可能是人为造成的（如欺诈），也可能是由客观条件造成的（如信息系统崩溃、灾害等）；可能是来自于金融内部的（内部人员舞弊），也可能是来自于金融机构外部的（外部人员欺诈），可能是由于主观蓄意造成的，也可能是无意的失误。损失事件造成的损失分布范围非常广。小至由于银行自动提款机错误发生的几百元的损失，大到由于内外部人员勾结进行欺诈造成数十亿元的损失。9操作风险导致的损失事件的特点损失事件发生的频率具有很大的差别。一些在清算过程中的错误以及信用卡业务中的欺诈行为，在单个商业银行中每年发生的次数可能成百上千。但是一些极端的损失事件在很长事件内都没有先例可循。一般而言，金额巨大的损失事件发生频率较低，发生频率较大的损失事件损失金额一般较小。操作风险损失数据的统计分类业务部门分类（1）1级目录2级目录业务群组公司财务公司财务兼并与收购，承销、私有化，证券化，研究，债务（政府、高收益），股本，银团，首次公开发行上市，配股市政/政府金融商人银行咨询服务交易和销售销售固定收入，股权，外汇，商品，信贷，融资，自营证券头寸，贷款和回购，经纪，债务，经纪人业务做市自营头寸资金业务私人银行业务私人贷款和存款，银行服务，信托和不动产，投资咨询银行卡服务商户/商业/公司卡,零售店品牌(privatelabels)和零售业务操作风险损失数据的统计分类业务部门分类（2）1级目录2级目录业务群组零售银行业务零售银行业务零售贷款和存款，银行服务，信托和不动产私人银行业务私人贷款和存款，银行服务，信托和不动产，投资咨询银行卡服务商户/商业/公司卡,零售店品牌(privatelabels)和零售业务商业银行业务商业银行业务项目融资，不动产，出口融资，贸易融资，保理，租赁，贷款，担保，汇票支付和结算外部客户支付和托收，资金转账，清算和结算操作风险损失数据的统计分类业务部门分类（3）1级目录2级目录业务群组代理服务托管第三方账户托管，存托凭证，证券贷出（消费者），公司行为（Corporateactions）公司代理发行和支付代理公司信托资产管理可支配基金管理集合，分散，零售，机构，封闭式，开放式，私募基金非可支配基金管理集合，分散，零售，机构，封闭式，开放式零售经纪零售经纪业务执行指令等全套服务操作风险损失数据的统计分类损失事件类型定义业务举例内部欺诈故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失，此类事件至少涉及内部一方，但不包括性别/种族歧视事件交易不报告（故意）交易品种未经授权（存在资金损失）头寸计价错误（故意）欺诈/信贷欺诈/假存款盗窃/勒索/挪用公款/抢劫盗用资产恶意损毁资产伪造多户头支票欺诈走私窃取账户资金/假冒开户人/等等违规纳税/逃税（故意）贿赂/回扣内幕交易（不用企业的账户）操作风险损失数据的统计分类外部欺诈第三方故意骗取、盗用财产或逃避法律导致的损失，盗窃/抢劫伪造多户头支票欺诈黑客攻击损失盗窃信息（存在资金损失）就业政策和工作场所安全性违反就业、健康或安全方面的法律或协议，个人工伤赔付或者因性别/种族歧视事件导致的损失薪酬，福利，雇佣合同终止后的安排有组织的劳工行动一般责任（滑倒和坠落，等等）违反员工健康及安全规定事件的工人的劳保开支所有涉及歧视的事件操作风险损失数据的统计分类客户，产品以及商业行为因疏忽未对特定客户履行份内义务（如信托责任和适当性要求）或产品性质或设计缺陷导致的损失违背信托责任/违反规章制度适当性/披露问题（违规披露零售客户信息,泄露私密\冒险销售为多收手续费反复操作客户账户保密信息使用不当贷款人责任（LenderLiability）反垄断不良交易/市场行为操纵市场内幕交易（不用企业的账户）未经当局批准的业务活动洗钱产品缺陷（未经授权等）模型误差未按规定审查客户超过客户的风险限额咨询业务产生的纠纷操作风险损失数据的统计分类实体资产损坏实体资产因自然灾害或其他事件丢失或毁坏导致的损失自然灾害损失外部原因（恐怖袭击、故意破坏）造成的人员伤亡经营中断和系统出错经营中断或系统出错导致的损失硬件软件电信动力输送损耗/中断操作风险损失数据的统计分类执行，交割以及交易过程交易处理或流程管理失败和因交易对手方及外部销售商关系导致的损失错误传达信息数据录入、维护或登载错误超过最后期限或未履行义务模型/系统误操作会计错误/交易方认定记录错误其他任务履行失误,交割失败担保品管理失败交易相关数据维护未履行强制报告职责外部报告失准（导致损失）客户许可/免责声明缺失法律文件缺失/不完备未经批准登录账户客户记录错误（导致损失）（客户资产因疏忽导致的损失或毁坏）非客户合作方的失误与非客户合作方的纠纷外包与外部销售商的纠纷18损失事件对应到业务部门的原则(a)所有业务活动必须按1级目录规定的8个业务部门对应归类，相互不重合，列举要达到穷尽；(b)对业务部门框架内业务起辅助作用的银行业务或非银行业务，如果无法按业务部门直接对应归类，必须归入其所辅助的业务部门。如果辅助多个业务部门，则必须采用客观标准归类；(c)在将总收入归类时，如果此业务无法与某一特定业务部门对应，则适用资本要求最高的业务部门。此业务部门也同样适用于任何相关的辅助业务；(d)如果银行总收入（按基本指标法计算）仍等于8个业务部门的总收入之和，银行可以使用内部定价方法在各业务部门间分配总收入；19(e)因计算操作风险将业务按业务部门归类时采用的定义，必须与计算其他类风险（如信用风险、操作风险）监管资本所采用的定义相同。一旦背离此原则，则需引起异议并明确记录；(f)银行采用的对应流程应当有明确的文字说明。尤其是业务部门的书面定义应清晰、详尽，使第三方可以复制业务部门对应的做法。文字说明中必须规定对违反情况应引起异议并保持记录；(g)必须制定新业务或产品对应的流程；(h)高级管理层负责制定业务部门对应政策（经董事会批准）；(i)业务部门对应流程必须接受独立审查。损失事件对应到业务部门的原则20操作风险管理的一般步骤1.确定风险管理的范围和目标：高层管理人员在咨询董事会后应当结合企业的经营策略、风险偏好为操作风险管理制定明确的范围和目标。另外，还应当制定一些具体、短期的目标，以保证风险管理工作稳步朝既定目标发展。这些短期目标可以是：l准确地定义一些重要的损失事件并为其命名，这样可以保证在以后的管理工作中更方便地讨论、分析这些风险。l建立一个损失事件日志，为建立定量分析操作风险的模型积累数据。l建立统计模型分析特定损失事件的成因以及它们之间的联系。l进行基于风险的资源配置以及情景分析。建立一个专门的操作风险管理组织，给予其充分的授权和资源支持。所有的规定、决议、模型应当以文本模式记录下来，并且保证相关人员可以方便地获得。21操作风险管理的一般步骤2、确定重要的风险：职员在高级管理人员的支持下必须确定哪些是重要的过程、资源和损失事件。操作风险管理的失败在很多情况下是由于包括的内容太广泛，因此在确定的时候需要严格按照高层制定的精确的目标。首先必须对经营中重要的过程和资源有清楚的了解，然后再试图找出可能影响它们的操作风险。查找风险因素一方面可以直接向部门经理调查，另一方面可以通过研究企业内部、外部的损失数据，使用策略框架和与行业内运行较好的企业进行比较。需要特别关注的风险因素包括：操作杠杆、交易范围以及交易量、利率、金融产品和服务的复杂性、日期效应、操作中的变化以及管理中的自满情绪。最后应当确定存在哪些重要的损失事件。22操作风险管理的一般步骤3、对风险进行估计：使用从各种途径得到的数据估计那些重要的过程、资源中的操作风险，估计的内容不但包括风险导致的冲击的大小，还包括损失事件发生的概率。对于不能定量分析的风险，必须找出这些风险的起因以及可以采取什么样的措施。另外，如果不同风险之间具有重要的依赖关系，还需要对它们的相关性进行估计。用来估计损失事件的频率以及严重程度的有三类方法：历史数据分析、主观风险评价以及根据依赖关系对风险进行估计。更进一步，可以使用统计方法来估计风险因素的频率以及损失程度的分布函数，常用的分布函数有三类：经验分布（EmpiricalDistribution）、形状分布（ShapeDistribution）、参数分布（ParametricDistribution）。最后建立操作风险数据库存储对于损失事件的确认和度量结果，以供后面的风险分析和资源分配使用。23操作风险管理的一般步骤4、深度分析，步骤如下：（1）将这些风险加总：将风险按照事件或者因素加总，可以区分不同风险的先后次序，有效地进行资源配置，评价操作风险管理的执行情况。如果分析的目标是降低收入的波动性，那么只需要将本期的风险加总。如果分析的目标是保护资产负债表或者估计VaR的值，那么加总的范围将涉及到多个时期。（2）在确定了损失事件的风险以及损失事件所处的经营过程后，负责该过程的风险管理人员就要考虑可行的风险管理措施。24操作风险管理的一般步骤（3）分析单个损失事件：a)了解引起损失的风险因素的发生概率、冲击大小。b)了解损失事件发生的先后顺序。c)确定该损失事件的发生次数随时间变化的趋势。d)确定可能引发该损失事件的其他事件。e)对比同类损失事件，以找出共同的风险因素。f)考虑企业可以在多大程度上控制该损失事件（可控制、可影响、不可控制），然后考虑可行的措施。25（4）分析具有风险的过程和资源：从整