w32y3~
第5章操作风险管理 fN2lLn9/u
5.1操作风险识别 G!yPw:X
巴塞尔委员会将操作风险定义为“由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险”。本定义所指操作风险包括法律风险,但不包括声誉风险和战略风险。 $:^td/p J
本节从人员因素、内部流程、系统缺陷和外部事件四个方面对操作风险形成的原因、损失种类及特征进行分析。 8
FhdN
5.1.1人员因素 2Khv>#l
操作风险的人员因素主要是指因商业银行员工发生内部欺诈、失职违规,以及因员工的知识/技能匮乏、核心员工流失、商业银行违反用工法等造成损失或者不良影响而引起的风险。 QZ8IV>
1.内部欺诈 xyxy`qR A
内部欺诈是指员工故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失。 Y4YJJYvD
2.失职违规 }-`4DHgq
商业银行内部员工因过失没有按照雇用合同、内部员工守则、相关业务及管理规定操作或者办理业务造成的风险,主要包括因过失、未经授权的业务或交易行为以及超越授权的活动。员工越权行为包括滥用职权、对客户交易进行误导或者支配超出其权限的资金额度,或者从事未经授权的交易等,致使商业银行发生损失的风险。商业银行应对员工越权行为导致的操作风险予以高度关注。 T> p&$]OG
3.知识/技能匮乏 xYB{;K
①在工作中,自己意识不到缺乏必要的知识,按照自己认为正确而实际错误的方式工作; D6Wa.,r
②意识到自己缺乏必要的知识,但是由于颜面或者其他原因而不向管理层提出或者声明其无法胜任某一工作或者不能处理面对的情况; moE2G?R
③意识到本身缺乏必要的知识,并进而利用这种缺陷。 GtHivC
4.核心雇员流失 QsW/X0YBv
核心雇员流失体现为对关键人员依赖的风险,包括缺乏足够的后援/替代人员,相关信息缺乏共享和文档记录,缺乏岗位轮换机制等。 jb)ZLA;L_c
5.违反用工法 Xwtqi@zlE
违反用工法是指违反就业、健康或安全方面的法律或协议,包括劳动法、合同法等,造成个人工伤赔付或因性别/种族歧视事件导致的损失。 )M^
gT}M
5.1.2内部流程 H"F29Pu2
内部流程引起的操作风险是指由于商业银行业务流程缺失、设计不完善,或者没有被严格执行而造成的损失。 FGkVqZ Y2?
1.财务/会计错误 4&iCht
=
2.文件/合同缺陷。主要表现为抵押权证、房产证丢失等。 qJw_
3.产品设计缺陷 Yr|4Fl~U
4.错误监控/报告。错误监控/报告是指商业银行监控/报告流程不明确、混乱,负责监控/报告的部门的职责不清晰,有关数据不全面、不及时、不准确,造成未履行必要的汇报义务或者对外部汇报不准确(发生损失)。 Qg/rRiV
5.结算/支付错误 E(|>Ddv B&
6.交易/定价错误 S8gs-gL#Og
5.1.3系统缺陷 6w7 7YTJ
系统缺陷引发的操作风险是指由于信息科技部门或服务供应商提供的计算机系统或设备发生故障或其他原因,商业银行不能正常提供部分、全部服务或业务中断而造成的损失。 "Rl}VeDY
1.数据/信息质量 LH6vLuf
2.违反系统安全规定 P93@;{c(
3.系统设计/开发的战略风险 @o.I ;}*N
4.系统的稳定性、兼容性、适宜性 sR8"3b<qA
5.1.4外部事件 A %-6`>
1.外部欺诈/盗窃 :gC#hmm^
外部欺诈是指外部人员故意骗取、盗用财产或逃避法律而给商业银行造成损失的行为,包括外部的盗窃、抢劫、涉枪行为;伪造、变造多户头支票,骗贷等欺诈行为。该类风险是给商业银行造成损失最大、发生次数最多的操作风险之一。 fc@A0Hf
2.洗钱 B7%U_F|m
3.政治风险 ,z?':TZ
4.监管规定 bPMhfK2 %
5.业务外包 hv+zGID7
6.自然灾害 ,+ ~W4<f
7.恐怖威胁 wA.\i
操作风险事件类型 Xf
mwVjy
巴塞尔委员会规定的可能造成实质性损失的操作风险事件类型: rM"l@3hP
(1)内部欺诈; g,Y/M3>(
(2)外部欺诈; BerwI
7!=
(3)员工行为和工作场所问题; J8D,ZfPN`d
(4)客户、产品和经营行为; .e5Mnd%$M
(5)实物资产的损毁; E} .^kc[(4
(6)经营的中断和系统的瘫痪; <-0]i_4sK
(7)执行、交货和流程管理。 @ .KGfNu
5.2 操作风险计量及经济资本配置 -']56o_sQ/
巴塞尔委员会根据目前商业银行的实际做法,在《巴塞尔新资本协议》中为商业银行提供三种可供选择的操作风险经济资本计量方法,即基本指标法、标准法和高级计量法。这三种计算方法在复杂性和风险敏感性上是逐渐增强的,那些操作风险管理仍处于较低水平的、尚未达到量化阶段的商业银行可以选择较为简单的基本指标法和标准法,我国商业银行也可以由此开始。不过商业银行采取基本指标法和标准法计算操作风险资本金只是过渡阶段的选择,一方面,这两种方法是针对操作风险较低的商业银行设计的;另一方面,高级计量法的风险敏感度更高,采用这种方法更能反映商业银行操作风险的真实状况,因此包括中国银行业在内的所有商业银行均应努力向高级计量法靠近。 |K~Nw&rZ]
5.2.1基本指标法 K+iP6B
资本计算公式如下: I2DpRMy
其中: i?;Kq~,
KBIA表示基本指标法需要的资本; ?1".;foZ
GI表示前三年中各年为正的总收入; zMJT:7*`|
n表示前三年中总收入为正数的年数; .sA.C]f
这个固定比例由巴塞尔委员会设定,将行业范围的监管资本要求与行业范围的指标联系起来。 *|l/6!WM
巴塞尔委员会会把总收入定义为:净利息收入加上非利息收入,不包括银行账户上出售证券实现的盈利,不包括保险收入。 |&jXp%4T
由于基本指标法比较简单,《巴塞尔新资本协议》中未对采用该方法提出具体标准。但是,巴塞尔委员会鼓励采用此方法的商业银行遵循委员会于2003年2月发布的《操作风险管理和监管的稳健做法》。 .8|X
5.2.2标准法 Vz[C=_m
标准法的原理是,将商业银行的所有业务划分为8类产品线,对每一类产品线规定不同的操作风险资本要求系数,并分别求出对应的资本,然后加总8类产品线的资本,即可得到商业银行总体操作风险资本要求。 B\n[.(].r
在标准法中,8类银行产品线分别为公司金融、交易和销售、零售银行业务、商业银行业务、支付和结算、代理服务、资产管理和零售经济。 uVU)d1N
在标准法中,总资本要求是各产品线监管资本的简单加总,其计算公式如下: lRdChoL$2
其中: ~_ a-E
表示标准法计算的资本要求; 2BobH_H
表示8类产品线中各产品线过去3年的年均总收入; tI{
_y
表示由巴塞尔委员会设定的固定百分数。
l+0P
巴塞尔委员会提出,未具备使用标准法的资格,商业银行必须至少满足如下条件: 3N:D6w-R
①董事会和高级管理层应当积极参与监督操作风险管理架构; h1(4Ic
②银行应当拥有完整且确实可行的操作风险管理系统; O1kl70,`R
③银行应当拥有充足的资源支持在主要产品线上和控制及审计领域采用该方法。 { "E\Jcjl\
5.2.3高级计量法 &~w}_Fjk
高级计量法是指商业银行在满足巴塞尔委员会提出的资格要求以及定性和定量标准的前提下,通过内部操作风险计量系统计算监管资本要求。使用高级计量法需得到监管当局的批准,且一旦商业银行采用了高级计量法,未经监管当局批准不可退回使用相对简单的方法。 *owU)
业界比较流行的高级计量法主要有内部横量法、损失分步法、以及记分卡等。 yppo6HGD
巴塞尔委员会对实施高级计量法提出了具体标准。 k+4#!.HX^
(1)资格要求 u2[w#
(2)定性标准。商业银行必须设置独立的操作风险管理岗位,负责设计和实施商业银行的操作风险管理框架。 U%<Inb}ad
(3)定量标准。商业银行在开发系统的过程中,必须有操作风险模型开发和模型独立验证的严格程序。 iyog`s c
(4)内部数据要求。无论用于损失计量还是用于验证,商业银行必须具备至少5年的内部损失数据。对初次使用高级计量法的商业银行,允许使用3年的历史数据。 (tQc
(5)外部数据要求。商业银行的操作风险计量系统必须利用相关的外部数据,尤其是预期将会发生非经常性、潜在的严重损失时,商业银行必须建立标准的程序,规定在什么情况下必须使用外部数据以及使用外部数据的方法。 %%wNZ{
(6)业务经营环境和内部控制因素 2px|_)i
5.3 操作风险评估与控制 #89!'W
5.3.1风险评估与控制环境 \|ao`MMaD<
1.公司治理 uwBiW
良好的公司治理目标: E~:x(5'%d
①完善股东大会、董事会、监事会及其下设的议事和决策机构,建立议事规则和决策程序; abEmRJTmW
②明确董事会和董事、监事会和监事、高级管理层和高级经理人员在组织管理中的责任; Mc}^LDX
③建立独立董事制度,对董事会讨论事项发表客观公正的意见; Tb-F]lg$
④建立外部监视制度,对董事会、董事、高级管理层及其成员进行监督。 {zFMmPid
董事会、监事会和高级管理层及内部相关部门在防范和控制操作风险方面所承担的职责。 bYPK h
2.内部控制 YAmb`CP
健全的内部控制体系是商业银行有效识别和防范操作风险的重要手段。加强内部控制建设是商业银行管理操作风险的基础,巴塞尔委员会认为,资本约束并不是控制操作风险的最好方法,对付操作风险的第一道防线是严格的内部控制。 m#F`] {
3.合规管理文化 4Z,!zFS$`
目前,违规、内部欺诈等损失事件在我国商业银行操作风险中占比超过80%,这说明我国商业银行内部控制存在的最严重问题是制度的遵循性,也就是内部控制的符合性或者合规性问题。 ]0\MmAJRn
健康有效的合规管理文化至少包括以下几方面的内容: y)gKxRaCS
一是要树立正确的合规管理理念;二是加强管理层的驱动作用;三是充分发挥人的主导作用;四是创建学习型组织。 b_):MQ1{
4.信息系统 gzg_>2Sj
商业银行信息系统包括主要面向客户的业务处理系统和主要供内部管理使用的管理信息系统。 F}qc0
5.3.2风险评估要素、原则和方法 x$%!U[!3
1.风险评估要素 e~':(/%|5;
一是内部操作风险损失事件数据。内部操作风险损失数据收集是商业银行对内部操作风险损失事件形成的损失信息记录、汇总、分析的过程。操作风险损失数据的收集要遵循客观性、全面性、动态性、标准化的原则。 <