运营风险管理

©2006摩根士丹利版权所有。未经摩根士丹利表示同意，不得抄袭或剪辑本文资料。运营风险管理发展与模范做法简介本文件所载信息和意见不是旨在供全面研究、或提供财务或法律意见用途，及不应被依赖或用以取代任何有关个别情况的个别建议。©2006摩根士丹利版权所有。未经摩根士丹利表示同意，不得抄袭或剪辑本文资料。运营风险管理:基础结构运营风险管理涉及哪些人员？•核心操作团队-交易处理支援﹙后台﹚部–交易处理、结萛、损益计萛、持仓估值等-财务部–财政汇报、法定金融报告、向监管单位提交的报告-信息技术部–市场数据、风险系统、订单途径、帐目及记录、电信•财政管理团队-司库部–融资、现金管理、流动资金管理-税务部-信贷部–信用评级、设定信用风险限额、限额使用监察•其它后援支持部门-法律事务部–实施及确保遵守法规要求-内部审计部–审查内部控制的适足和有效性-人力资源部–招聘、培训、表现评审-总务部–办公大楼、办公室服务、物料供应-保安部–公司财产和信息系统的安全保障©2006摩根士丹利版权所有。未经摩根士丹利表示同意，不得抄袭或剪辑本文资料。运营风险管理:定义定义•国际结萛银行在2001年1月发放的新巴塞尓资本协议里，运营风险被定义为“由于在操作程序、人员和系统上的不足或失误或由于外部事件而引致直接或间接损失的风险”•在较广义的层面上，风险可被定义为足以阻碍实现任何业务目标的威胁(业务目标比如“出色的客户服务”、争取最高收入、成本控制、准确/及时的交易操作程序、监管条例的遵守等)©2006摩根士丹利版权所有。未经摩根士丹利表示同意，不得抄袭或剪辑本文资料。运营风险管理:当前的发展•巴塞尔资本协定(BasleCapitalAccord)[2001年9月]–通过量化损失遭遇，为运营风险专门拨出法定资本金–建立适当的管理和控制架构旨在减低风险•英國FSA法案[2001年11月]–对风险管理错误要付上无限责任–强调首席执行官，执行委员会，董事会和董事的风险控制责任•新加坡2001年证券和期货法案[首席执行官和董事们的责任]–确保在操作的所有方面都遵守了有效的成文政策–确認、解决并监控所有与业务活动相关的风险–对于内部政策是否得到遵守，自行决断的权限及运营和会计程序以及所有有关法律、法规和规定是否得到遵守进行监控•Sarbanes-Oxley法案[2002年6月]–第302條:建立有效的控制程序以确保提交给SEC正确的资料–第404條:建立有效的控制程序以确保财政报告的准确性监管机构重视运营风险管理的趋势正在加强资本金处罚、无上限的财务责任和刑事责任正变得更为普遍董事的责任与公司治理架构相联系监管风险和运营风险管理之间的传统界綫日渐模糊请注意“有效性”一词的使用…很难界定…是个程度问题©2006摩根士丹利版权所有。未经摩根士丹利表示同意，不得抄袭或剪辑本文资料。运营风险管理:管理架构运营风险管理模范做法中的主要要素•管理和组织–董事会的作用–执行委员会和操作委员会的作用–董事会和委员会的构成(相关业务、法律和财务专家）–行政管理（会议的频率、范围和内容、会议记录和后续行动）•责任的下放–董事们需举证他们职责下放的基础–以全球业务和跨境控制的需求为重要考虑点–确保职责、责任和所给与的自行决断的权限清晰明确–为每一流程和职能部门清楚的指明控制责任•沟通–公司高层应设定期望指标，然后通过政策实现上情下达–通过定时风险报告，程序计量报告和问题呈报途径，确保下情上达–考虑重要性–本地影响，区域影响，全球影响整体风险管理架构中，职责和责任要清晰明确©2006摩根士丹利版权所有。未经摩根士丹利表示同意，不得抄袭或剪辑本文资料。运营风险管理:标准和政策•政策，标准和程序–行为准则–风险管理指导原则（风险委员会、风险极限、市场风险、信贷风险、流动资金管理和融資能力、操作风险和法律风险）–遵纪守法手册（全球规则、本地规则、管理交易台的作法等）–程序手册和成文政策（财务、交易流程、司库、信息技术等）•重点–有效的成文政策和程序的构成–完整性:政策和程序应该覆蓋所有关键的业务和流程，并应包括重要的风险控制点和相关的规定和法规；–维护更新:随着系统、组织、规定和法规的变化，政策和程序也应进行相应的修订;–培训:制定和实行政策和程序之后，随着组织的变化，还需要进行再培训.行为准则管辖所有员工用于所有销售和交易业务的风险管理指导原则用于所有受监管业务的遵纪守法手册管辖基础设施后援操作的政策和程序如果标准、政策和程序不能行之有效，则责任下放的结构会受到威胁©2006摩根士丹利版权所有。未经摩根士丹利表示同意，不得抄袭或剪辑本文资料。运营风险管理:控制架构•控制环境–业务目标拟定–风险=不能实现业务目标–设计控制措施，以确保实现业务目标–控制措施的设计(是否有，是否充分)•查考直接证据来确保有效的控制措施–风险汇报，管理和监控程序–风险因素分析–对比标准和模范做法进行自我评估•检查在公司里哪些是已知的传统的做法是擬定业务目标，指出潜在风险和制定控制风险措施，将控制风险証据的设计匯編成文，然后测试其有效性；这一套流程非常耗时，而且本质上是具周期性的更有效的方法是查考直接证据来确保有效的控制环境，通过检查风险报告和风险因素分析，并将自己采取的做法与标准相对比，来确定控制措施是否行之有效，从而找出无效的或需要加强的控制措施请注意：如果没有建立风险报告或监控程序，則有需要建立©2006摩根士丹利版权所有。未经摩根士丹利表示同意，不得抄袭或剪辑本文资料。运营风险管理:衡量与监控•风险汇报和内部监控程序–以目前数据和历史数据为基础的滞后指标–所设计的流程应确保控制措施行之有效[报告，计量分析，管理层审核等]–将趋势、交易量、异常项目、失误、虧损、错误及尚待解决的问题等量化•风险指标或因素(参见附件)–主要指标注重变化并确保变化得到适当的处理–以下方面的变化：战略举措，新业务或新产品，新系统，法律和监管环境的变化以及组织上的变化•自我评估–将标准和惯常做法进行对比–进行检查，以找出漏洞、不一致和重复之处–将不同的部门或将位于不同区域的单位来对比尤为有效关于风险因素的例子，请参见附件©2006摩根士丹利版权所有。未经摩根士丹利表示同意，不得抄袭或剪辑本文资料。运营风险管理:尚待解决的问题•问题来源:–风险因素分析，风险汇报和自我评估–虧损，问题上报–内部审计–外部审计–监管机构•成文并受监控的行动计划–整合和剔除重复的部分–确認主题–界定问题所在，商定的行动计划要精确–责任制和后续行动–向风险控制小组及执委会和运营委员会报告及时地针对尚待解决的问题是至关重要高级管理层要采取主动的措施，确保问题得到解决©2006摩根士丹利版权所有。未经摩根士丹利表示同意，不得抄袭或剪辑本文资料。运营风险管理:独立监督•独立监督小组–内部审计部–监管守纪部–外部核数部–运营风险管理部–市场风险部•主要事項–范围排除和重叠–审查的频率–文件汇编–报告和问题跟踪确保没有漏洞是关鍵为提高效率起见，应避免重叠和重复©2006摩根士丹利版权所有。未经摩根士丹利表示同意，不得抄袭或剪辑本文资料。运营风险管理:一笔交易的周期执行销售交易员风险管理$$交割和收付金額–融资$税务风险监控信贷监控财务报告$每日损益/帳目审议交易入帳-直接/间接看一下过去曾出现过的财务灾难，在这些案例中运营风险管理方面的失败曾造成巨大的损失，也曾造成严重的资产或资金的流动性危机:•霸菱银行(Barings)•爱尓兰联合银行﹙AlliedIrishBank﹚•住友(Sumitomo)•安然(Enron)•大宇(Daewoo)•百富勤﹙Peregrine﹚©2006摩根士丹利版权所有。未经摩根士丹利表示同意，不得抄袭或剪辑本文资料。附件:风险因素战略举措1.针对各国市场的新策略；2.新的办事机构、市场、交易所、战略联盟、合资公司、法人实体；3.关键的内部议题；4.关键的外部议题（政府计划、政治或经济事件）；5.行业技术的变化。新产品和新业务的批准程序要考虑以下问题，以确定是否可以对与新产品计划有关的风险进行相应的管理：1.复杂性–架构和各系统能否给予支持；2.风险的量化：能否用标准的应用程序模拟出市场风险；3.风险的量化：能否用标准的应用程序模拟出信贷风险；4.可能会使用比较容易出现错误或疏忽的非标准电子数据表；5.融资的影响，资产负债表的利用情况和法定资本的使用情况；6.工作人员是否掌握了相关的知识和技能；7.对产品或市场的监督管理程度；8.新成立作会计用途实体的利用情况；9.对某种产品的跨境贸易支持、风险管理或远程控制的程度；10.需要人工处理的程度；11.异常的结算要求或新的结算程序。终止法人实体、办事机构或吊销有关执照1.使用合适的终止业务程序指南；2.法人实体的清算；3.与客户的联系和现有义务的转移；4.与外部机构（监管部门、交易所）的联系。组织结构方面的变化和造成工作压力的因素1.高层管理人员轮换，在经验或关键人员上的损失；2.迅速发展或萎缩的领域–参考人力资源数据；3.人员频繁更换、平均任职期限很短；4.缺少培训–由于频繁更换，因此需要重新进行培训；5.比较公司财政预算的人员数量，部门/分部人手严重不足，或按照工作量或预期表现，资源不足（工作人员、培训和经验等方面）；6.紧张的工作环境：工作时间长，身兼数职，士气问题；7.依赖性–对关键雇员的依赖程度和接班人计划。©2006摩根士丹利版权所有。未经摩根士丹利表示同意，不得抄袭或剪辑本文资料。附件:风险因素-续实施远程监督或管理的领域1.从多个地点对某一业务进行后援；2.没有确定实际负责各个环节的人员；3.销售职能，要考虑在信贷风险、文件编制、抵押物或保证金方面的支持；4.交易职能，要考虑风险的化解及管理，独立的审计部门，融资方面的后援；5.自动化订单流程，要考虑是否符合当地有关的法律法规，客户订单优先处理，从远程地点发送订单的方法。交易与资本市场1.风险系统功能欠缺，风险额度没有确定；2.风险数据用非标准的独立电子数据表控制﹙显示标准系统缺乏所需功能及完整性﹚；3.没有被包括在公司风险累计系统里的市场风险；4.没有准确地输入风险（具体的合同条款、参数、套期等）；5.风险系统的容量与性能问题、市场数据、订单路径；6.交易策略的透明度；7.融资策略的透明度；8.估值参数的透明度；9.高盈利/意外损失或P&L(损益表)调整的领域；10.异常的交易策略﹙办公室外的成交、迟交的交易单等﹚；11.管理监督（了解风险、限额超出原因、失误、异常交易、融资等）。对手方违约1.信贷风险系统功能欠缺，风险额度没有确定；2.风险数据用非标准的独立电子数据表控制﹙显示标准系统缺乏所需功能及完整性﹚；3.没有被包括在公司风险累计系统内的信贷风险；4.交易细节记录的精确性；5.估值的精确性；6.信贷和抵押系统的容量与性能问题；7.了解政策/程序/相关的规定；8.管理监督（风险、限额超出原因、失误、风险集中程度等）。融资、资本和现金管理1.了解交易策略和对融资的影响；2.是否有及时的信息流，以使融资高效和有效（足够的融资能力和控制资金的波动性）；3.潜在的“不明借项”的风险；4.潜在的“欺诈”风险（现金支付控制措施）；5.意外的透支项；©2006摩根士丹利版权所有。未经摩根士丹利表示同意，不得抄袭或剪辑本文资料。附件:风险因素-续融资、资本和现金管理(续)6.了解特定国家或货币的问题，其中包括：a）融资的限制和能否兑换；b）资本注入与汇回本国；c）外汇风险对冲；7.是否有应急资金策略（是否周全，是否切实可行）；8.银行账户户主与对帐控制。销售与经销1.订单路径系统功能欠缺；2.容量与性能问题；3.开立账户时的困难﹙证明文件、信贷风险评估、产品适用评估等﹚；4.潜在的“中国墙”问题(指有明确条文界定有哪些活动可参与，有哪些不可以)：•交易人员与投资银行部的分隔；•掌握非公开或敏感信息的交易员的实际所处位置需隔离；•自营买卖和代客买卖的交易人员分隔；5.许可（待批，拜访人员、出差、保证连续性计划）；6.销售人员对政策、程序