操作风险管理的战略和政策课件.ppt

1、第第4 4章操作风险管理章操作风险管理第一节操作风险概述第一节操作风险概述第二节操作风险度量第二节操作风险度量第三节操作风险控制第三节操作风险控制2023-2-62第一节操作风险概述第一节操作风险概述一、操作风险的含义一、操作风险的含义广义概念：广义概念：信用风险和市场风险之外的风险信用风险和市场风险之外的风险狭义概念：狭义概念：因内控、系统及运营过程中的错误或疏忽而可能导致潜在因内控、系统及运营过程中的错误或疏忽而可能导致潜在损失的风险。损失的风险。巴塞尔委员会：巴塞尔委员会：由于不完善或有问题的内部程序、人员、系统或外部由于不完善或有问题的内部程序、人员、系统或外部事件造成直接或间接损失的

2、风险。事件造成直接或间接损失的风险。2023-2-63交易错误令道指一度暴跌千点交易错误令道指一度暴跌千点 纽约证交所的场内交易员纽约证交所的场内交易员2023-2-64二、操作风险的主要特征二、操作风险的主要特征来源于金融机构的日常运营，主要由人为因素所致来源于金融机构的日常运营，主要由人为因素所致发生频率很低，一旦发生损失极大发生频率很低，一旦发生损失极大单个操作风险因素与操作性损失之间不存在清晰量化的关系单个操作风险因素与操作性损失之间不存在清晰量化的关系2023-2-65二、操作风险的表现形式二、操作风险的表现形式从国内银行发生操作风险损失的案例，可总结为六种表现形式：从国内银行发生操

3、作风险损失的案例，可总结为六种表现形式：执行风险：执行者不能正确理解决策者意图或有意的犯错执行风险：执行者不能正确理解决策者意图或有意的犯错信息风险：信息在机构内外的产生、接收、处理、转移环节出现障碍信息风险：信息在机构内外的产生、接收、处理、转移环节出现障碍关系风险：因产品和服务、管理等方面问题影响客户与金融机构的关系关系风险：因产品和服务、管理等方面问题影响客户与金融机构的关系法律风险：金融机构的经营管理活动不符合法规要求法律风险：金融机构的经营管理活动不符合法规要求人员风险：缺乏足够合格员工、员工评估和考核缺陷引起人员风险：缺乏足够合格员工、员工评估和考核缺陷引起系统事件风险：电脑系统等

4、出现故障所致系统事件风险：电脑系统等出现故障所致2023-2-66二、操作风险的表现形式二、操作风险的表现形式根据巴塞尔委员会对操作风险按银行部门的分类：根据巴塞尔委员会对操作风险按银行部门的分类：金融机构财务：兼并与收购、股份承销、资产证券化、首次公金融机构财务：兼并与收购、股份承销、资产证券化、首次公开上市发行、政府债券和高收益债券等。开上市发行、政府债券和高收益债券等。交易与销售：固定收益债券、股权、商品期货、信用产品、自交易与销售：固定收益债券、股权、商品期货、信用产品、自有头寸证券、租赁与赎回、经纪、债务。有头寸证券、租赁与赎回、经纪、债务。零售银行业务：零售的存贷款、私人存贷款、委

5、托理财、投资零售银行业务：零售的存贷款、私人存贷款、委托理财、投资建议。建议。商业银行业务：项目融资、房地产、出口融资、交易融资、代商业银行业务：项目融资、房地产、出口融资、交易融资、代收账款、租赁、担保、贷款。收账款、租赁、担保、贷款。代理服务：契约、存款收据、证券借贷、发行和支付代理。代理服务：契约、存款收据、证券借贷、发行和支付代理。资产管理：可自由支配的资金管理和不可自由支配的资金管理。资产管理：可自由支配的资金管理和不可自由支配的资金管理。零售经纪：零售的经纪执行以及其他服务。零售经纪：零售的经纪执行以及其他服务。2023-2-67三、操作风险的成因三、操作风险的成因内部欺诈内部欺诈

6、外部欺诈外部欺诈雇佣合同以及工作状况带来的风险事件雇佣合同以及工作状况带来的风险事件客户、产品以及商业行为引起的风险事件客户、产品以及商业行为引起的风险事件有形资产损失有形资产损失经营中断和系统出错经营中断和系统出错涉及执行、交割及交易过程管理的风险事件涉及执行、交割及交易过程管理的风险事件2023-2-68内部欺诈（内部欺诈（Internal Fraud）：有机构内部人员参）：有机构内部人员参与的诈骗、盗用资产、违犯法律以及公司的规章制与的诈骗、盗用资产、违犯法律以及公司的规章制度的行为。例如内部人员虚报头寸、内部人员偷盗、度的行为。例如内部人员虚报头寸、内部人员偷盗、在职员的账户上进行内部

7、交易等等。在职员的账户上进行内部交易等等。外部欺诈（外部欺诈（External Fraud）：第三方的诈骗、盗）：第三方的诈骗、盗用资产、违犯法律的行为。例如抢劫、伪造、开具用资产、违犯法律的行为。例如抢劫、伪造、开具空头支票以及黑客行为对计算机系统的损坏。空头支票以及黑客行为对计算机系统的损坏。雇用合同以及工作状况带来的风险事件（雇用合同以及工作状况带来的风险事件（Employ Practices&Workspace Safety）：由于不履）：由于不履行合同、或者不符合劳动健康、安全法规所引起行合同、或者不符合劳动健康、安全法规所引起的赔偿要求。例如，工人赔偿要求、违犯雇员的的赔偿要求。例

8、如，工人赔偿要求、违犯雇员的健康安全规定、有组织的罢工以及各种应对顾客健康安全规定、有组织的罢工以及各种应对顾客负有的责任。负有的责任。客户、产品以及商业行为引起的风险事件（客户、产品以及商业行为引起的风险事件（Client,Products&Business Practices）：有意或无）：有意或无意造成的无法满足某一顾客的特定需求，或者是意造成的无法满足某一顾客的特定需求，或者是由于产品的性质、设计问题造成的失误。例如受由于产品的性质、设计问题造成的失误。例如受托人违约、滥用客户的秘密信息、银行账户上的托人违约、滥用客户的秘密信息、银行账户上的不正确的交易行为、洗钱、销售未授权产品等。不

9、正确的交易行为、洗钱、销售未授权产品等。有形资产的损失（有形资产的损失（Damage to Physical Assets）：）：由于灾难性事件或其他事件引起的有形资产的损由于灾难性事件或其他事件引起的有形资产的损坏或损失。例如恐怖事件、地震、火灾、洪灾等。坏或损失。例如恐怖事件、地震、火灾、洪灾等。经营中断和系统出错（经营中断和系统出错（Business Disruption&System Failure）：例如软件或者硬件错误、通）：例如软件或者硬件错误、通信问题以及设备老化。信问题以及设备老化。涉及执行、交割以及交易过程管理的风险事件涉及执行、交割以及交易过程管理的风险事件（Execut

10、ion Delivery&Process Management）：交易失败、过程管理出错、）：交易失败、过程管理出错、与合作伙伴、卖方的合作失败。例如交易数据输与合作伙伴、卖方的合作失败。例如交易数据输入错误、间接的管理失误、不完备的法律文件、入错误、间接的管理失误、不完备的法律文件、未经批准访问客户账户、合作伙伴的不当操作以未经批准访问客户账户、合作伙伴的不当操作以及卖方纠纷等。及卖方纠纷等。一、操作风险评估步骤一、操作风险评估步骤收集信息收集信息信息来源部门报告，信息跨度信息来源部门报告，信息跨度1年年风险评估框架风险评估框架通过对原因和结果分析，写出特定业务部门风险评估报告通过对原因和结

11、果分析，写出特定业务部门风险评估报告考察和核实考察和核实风险管理部门同其他部门高管一起评估与核实，修正风险管理部门同其他部门高管一起评估与核实，修正评估结果的最后报告评估结果的最后报告得出结果，按风险发生可能性和严重性，由高至低列出操作风险概览得出结果，按风险发生可能性和严重性，由高至低列出操作风险概览2023-2-612二、操作风险度量模型二、操作风险度量模型（一）基本指标法（一）基本指标法（二）标准化方法（二）标准化方法（三）内部衡量法（三）内部衡量法（四）损失分布法（四）损失分布法2023-2-613（一）基本指标法（一）基本指标法（BIA）是把单一的风险暴露指标与一个固定的百分比相乘得

12、出监管资本要是把单一的风险暴露指标与一个固定的百分比相乘得出监管资本要求。求。KGI（Gross Income）BIA要监管资本应达到现行最小监管资本的要监管资本应达到现行最小监管资本的12%。一般设定。一般设定12%20%优点：简单易行优点：简单易行缺点：不精确且计算出的监管资本偏高；统一的缺点：不精确且计算出的监管资本偏高；统一的值无法体现收入的值无法体现收入的不同风险特征，不同银行单位收入所需监管资本相同，失去了银不同风险特征，不同银行单位收入所需监管资本相同，失去了银行对操作风险管理的激励作用。行对操作风险管理的激励作用。适用范围：业务范围面窄的小银行适用范围：业务范围面窄的小银行20

13、23-2-614（二）标准化方法（二）标准化方法（SA）将银行业务按操作风险大小划分为八大类别。每项业务类别的监管将银行业务按操作风险大小划分为八大类别。每项业务类别的监管资本就是该类别的风险暴露指标与其资本就是该类别的风险暴露指标与其因子的乘积。因子的乘积。八大业务有：金融机构融资、交易和销售、零售银行、商业银行、八大业务有：金融机构融资、交易和销售、零售银行、商业银行、支付和结算、代理服务和监理、资产管理和零售经纪支付和结算、代理服务和监理、资产管理和零售经纪总监管资本是上述八大业务监管资本的和，即：总监管资本是上述八大业务监管资本的和，即：KREii值由巴塞尔委员会统一确定，但不能小于值

14、由巴塞尔委员会统一确定，但不能小于12%。缺陷：仍不能体现风险差异。缺陷：仍不能体现风险差异。2023-2-6152023-2-616产品线产品线 系数（系数（%）公司金融（公司金融（1）18交易和销售交易和销售（2）18零售银行业务零售银行业务（3）12商业银行业务商业银行业务（4）15支付和清算支付和清算（5）18代理服务代理服务（6）15资产管理资产管理（7）12零售经纪零售经纪（8）12（三）内部衡量法（三）内部衡量法（IMA）在标准化基础上，对每一业务类别进一步细分成在标准化基础上，对每一业务类别进一步细分成7个风险类型，对于个风险类型，对于每个业务类型和风险类型有每个业务类型和风险

15、类型有56种组合，银行可使用自己的损失数种组合，银行可使用自己的损失数据来计算该组合的预期损失值（据来计算该组合的预期损失值（EL），再考虑到非预期损失），再考虑到非预期损失（UL），则监管资本等于：），则监管资本等于：1、当、当EL和和UL呈线性关系：呈线性关系：KYi,jELi,j2、当、当EL和和UL非线性关系：非线性关系：KYi,jELi,jRPIi,jYi,j是预期损失转化为监管资本的参数，由巴塞尔是预期损失转化为监管资本的参数，由巴塞尔委员会根据行业整体数据在一定置信水平一定委员会根据行业整体数据在一定置信水平一定期间确定。期间确定。RPIi,j为风险特征指数。为风险特征指数。20

16、23-2-617（三）内部衡量法（三）内部衡量法（IMA）说明：说明：ELEIPELGEEI：风险暴露指标：风险暴露指标PE:一定期间风险发生的概率一定期间风险发生的概率LGE:给定风险损失发生下的损失比率给定风险损失发生下的损失比率内部衡量法的优点：内部衡量法的优点：突出个性差异突出个性差异更有针对性（非预期损失和期望损失间存在稳定联系）更有针对性（非预期损失和期望损失间存在稳定联系）2023-2-618（四）损失分布法（四）损失分布法（LDA）是由银行自身针对每个业务类型估计操作风险损失在一定期间内的是由银行自身针对每个业务类型估计操作风险损失在一定期间内的概率分布。概率分布。重点：估计出

17、操作风险发生概率（重点：估计出操作风险发生概率（PE）和损失比率（）和损失比率（LGE）服从何）服从何种概率分布。种概率分布。2023-2-61999%VaR（四）损失分布法（四）损失分布法（LDA）例如：操作风险发生次数服从泊松分布，损失幅度服从对数正态分布。例如：操作风险发生次数服从泊松分布，损失幅度服从对数正态分布。则在一定置信水平下，操作风险损失分布则在一定置信水平下，操作风险损失分布F（X）的在险价值直接）的在险价值直接度量了最大可能损失。度量了最大可能损失。特点：特点：银行可自主划定自己的业务类别和风险类型银行可自主划定自己的业务类别和风险类型通过计算通过计算VaR直接衡量非预期损

18、失。直接衡量非预期损失。不足：不足：可比性不够，对银行内部数据要求高可比性不够，对银行内部数据要求高2023-2-620第三节操作风险管理第三节操作风险管理一、操作风险管理的原则一、操作风险管理的原则二、如何建立有效的操作风险管理框架二、如何建立有效的操作风险管理框架三、操作风险管理工具保险三、操作风险管理工具保险四、巴林银行倒闭的教训四、巴林银行倒闭的教训2023-2-621一、操作风险管理的原则一、操作风险管理的原则操作风险管理核心人。（道德、能力、激励）操作风险管理核心人。（道德、能力、激励）2003年年2月，巴塞尔委员会月，巴塞尔委员会(The Basel Committee on B

19、anking Supervision)提出操作风险管理的提出操作风险管理的10项原则。项原则。2005年，中国银监会发布了年，中国银监会发布了关于加大防范操作风险工作力度的通关于加大防范操作风险工作力度的通知知（操作风险管理的（操作风险管理的13条铁律）条铁律）2023-2-622一、操作风险管理的原则一、操作风险管理的原则1、董事会应意识到操作风险管理的主要内容，应批准、定期复议银、董事会应意识到操作风险管理的主要内容，应批准、定期复议银行操作风险管理框架。行操作风险管理框架。2、董事会应保证由操作上独立的、受过训练、有经验的人员对操作、董事会应保证由操作上独立的、受过训练、有经验的人员对操

20、作风险的管理进行有效全面而独立的审计。风险的管理进行有效全面而独立的审计。3、高级管理人员有责任实施董事会批准的操作风险管理框架。、高级管理人员有责任实施董事会批准的操作风险管理框架。4、银行应对所有重要的产品、业务活动、管理过程、管理体系内在、银行应对所有重要的产品、业务活动、管理过程、管理体系内在的操作风险进行确定和评估。的操作风险进行确定和评估。2023-2-623一、操作风险管理的原则一、操作风险管理的原则5、银行应对操作风险和重大的损失进行日常监控，对高级管理人员、银行应对操作风险和重大的损失进行日常监控，对高级管理人员和董事会进行日常报告。和董事会进行日常报告。6、银行应有相应的政

21、策、过程和程序来控制重大的操作风险。、银行应有相应的政策、过程和程序来控制重大的操作风险。7、银行应具备业务连续计划，以保证连续业务操作能力，在业务中、银行应具备业务连续计划，以保证连续业务操作能力，在业务中断的情况下使损失最小。断的情况下使损失最小。8、监管当局应要求所有的银行、无论大小，都建立有效的框架来确、监管当局应要求所有的银行、无论大小，都建立有效的框架来确定评估或缓解操作风险，作为全面风险管理的一部分。定评估或缓解操作风险，作为全面风险管理的一部分。2023-2-624一、操作风险管理的原则一、操作风险管理的原则9、监管当局应直接或间接地对银行操作风险的政策、程序和做法进、监管当局

22、应直接或间接地对银行操作风险的政策、程序和做法进行日常的、独立的评估。行日常的、独立的评估。10、银行应进行充分而公开的信息披露，让市场参与者评估银行操作、银行应进行充分而公开的信息披露，让市场参与者评估银行操作风险的管理方法。风险的管理方法。2023-2-625二、如何建立有效的操作风险管理框架二、如何建立有效的操作风险管理框架有效的操作风险管理框架应包括四部分：战略、流程、基础设施、有效的操作风险管理框架应包括四部分：战略、流程、基础设施、环境。环境。2023-2-626基础设施基础设施环境环境风险识别风险识别控制框架控制框架评估评估监测和度量监测和度量报告报告目标目标战略战略治理模板治理

23、模板目标目标政策政策流程流程验证和再评估验证和再评估二、如何建立有效的操作风险管理框架二、如何建立有效的操作风险管理框架1、操作风险管理的战略和政策、操作风险管理的战略和政策战略：由董事会制定，包括业务目标、金融机构治理结构、风险偏好及战略：由董事会制定，包括业务目标、金融机构治理结构、风险偏好及操作风险政策。操作风险政策。政策：创立起银行确定、度量和监控所有重要操作风险的机制，而且应政策：创立起银行确定、度量和监控所有重要操作风险的机制，而且应该满足：董事会批准、适合风险范围和业务活动，能被管理风险的人该满足：董事会批准、适合风险范围和业务活动，能被管理风险的人员完全理解。这些政策包括：新产

24、品开发、内控、信息技术、人力资员完全理解。这些政策包括：新产品开发、内控、信息技术、人力资源、变化管理、业务连续性规划、内部审计等。源、变化管理、业务连续性规划、内部审计等。2023-2-6271、操作风险管理的战略和政策、操作风险管理的战略和政策2023-2-628董事会董事会集团集团风险管理委员会风险管理委员会审计委员会审计委员会业务业务1业务业务2集团支持性集团支持性职能部门职能部门风险管理职能部门风险管理职能部门法律、合规、法律、合规、人力资源部门人力资源部门内部审计内部审计三条线管理三条线管理2、操作风险管理过程、操作风险管理过程1）确定操作风险）确定操作风险2）风险评估与量化）风险

25、评估与量化3）风险缓释）风险缓释4）风险监控）风险监控5）风险汇报）风险汇报2023-2-6293、操作风险管理的基础设施、操作风险管理的基础设施指风险管理系统和管理工具。包括：系统、数据、方法、政策和程序。指风险管理系统和管理工具。包括：系统、数据、方法、政策和程序。系统：用来支持自我评估、损失数据库、风险指标收集和报告、保险管系统：用来支持自我评估、损失数据库、风险指标收集和报告、保险管理和资本模型的工具。理和资本模型的工具。数据：是目标管理和决定的核心。数据：是目标管理和决定的核心。方法：四种类型，投资、移出、接受和管理、转嫁方法：四种类型，投资、移出、接受和管理、转嫁2023-2-63

26、0中风险高风险中风险低风险损失程度损失程度损失可能性关注关注4、记分卡方法、记分卡方法是计算操作风险资本金的是计算操作风险资本金的“高级法高级法”之一，或称风险地图或风险清单。之一，或称风险地图或风险清单。它是金融机构对风险与内控的一个自我评估。包括风险事件、风险拥有它是金融机构对风险与内控的一个自我评估。包括风险事件、风险拥有者、风险发生概率、风险影响力、缓释风险的控制措施、控制实施者、者、风险发生概率、风险影响力、缓释风险的控制措施、控制实施者、控制设计和控制影响。控制设计和控制影响。特点：特点：基于对机构未来发生事件的预期而非过去的总结。基于对机构未来发生事件的预期而非过去的总结。能较好

27、地适应内控制度，具有一定的内部弹性。能较好地适应内控制度，具有一定的内部弹性。不需外界数据和内部数据库，且能尽早计算出操作风险资本金不需外界数据和内部数据库，且能尽早计算出操作风险资本金2023-2-6315、操作风险管理的环境、操作风险管理的环境指企业风险文化和相关的外部因素指企业风险文化和相关的外部因素风险文化：是风险管理的软件，表现为风险管理的态度、价值观、目风险文化：是风险管理的软件，表现为风险管理的态度、价值观、目标和行为等。标和行为等。银行应有专门的董事负责操作风险。董事会应建立一个委员会来授权、银行应有专门的董事负责操作风险。董事会应建立一个委员会来授权、管理和实施操作风险战略及

28、每日的决策，保证管理风险的流程顺畅，管理和实施操作风险战略及每日的决策，保证管理风险的流程顺畅，委员会应定期审议操作风险报告，保证满足银行的风险管理要求。委员会应定期审议操作风险报告，保证满足银行的风险管理要求。2023-2-632三、操作风险管理工具保险三、操作风险管理工具保险以特定风险为对象的标准化保单为主。以特定风险为对象的标准化保单为主。银行一篮子保险银行一篮子保险错误与遗漏保险错误与遗漏保险经理与高级职员责任险经理与高级职员责任险商业综合责任险商业综合责任险财产保险财产保险雇员行为责任险雇员行为责任险未授权交易保险未授权交易保险计算机犯罪保险计算机犯罪保险电子保险电子保险2023-2-633