《风险管理操作风险培训课件》由会员分享,可在线阅读,更多相关《风险管理操作风险培训课件(56页珍藏版)》请在金锄头文库上搜索。
1、第十章:风险管理操作风险,房勇 2012年12月,2,巴塞尔委员会调查结果,3,银行业务越来越依赖于集成的自动系统。广泛的自动化系统的使用将会把人为处理过程中的错误转化为系统出错的风险。 电子商务蓬勃发展,所蕴涵的风险还没有被很好的理解。 大规模的银行业的兼并、收购、分拆会带来新旧管理系统衔接的问题。 银行需要为商业提供大规模的交易,这对高级的内部控制和后备系统的持续维护提出了很高的要求。 银行使用了各种风险缓解技术(例如资产证券化、信用衍生产品的使用)来将风险转化为信用风险和市场风险,但是带来了新的风险,例如法律风险。 更多的业务采用外包的形式,虽然减少了某些风险,但带来了新的风险。,操作风
2、险引起重视的背景,4,操作风险引起重视的背景,社会转型 法制的不健全 社会道德体系 社会流动性增加(国际、国内) 腐败 IT技术的快速发展与人员素质,5,操作风险的定义,巴塞尔委员会在2001年的银行操作风险管理文献中给出了操作风险的定义:源于不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。这个定义包括了法律风险,但是将策略风险、信誉风险和系统风险排除在外。 巴塞尔委员会允许银行在实践中使用不同的操作风险的定义,但是无论定义的形式如何,都应该能够涵盖以下这些风险: 内部欺诈:有机构内部人员参与的诈骗、盗用资产、违犯法律以及公司的规章制度的行为。例如内部人员虚报头寸、内部人员偷盗
3、、在职员的账户上进行内部交易等等。,6,外部欺诈:第三方的诈骗、盗用资产、违犯法律的行为。例如抢劫、伪造、开具空头支票以及黑客行为对计算机系统的损坏。 雇用合同以及工作状况带来的风险事件:由于不履行合同、或者不符合劳动健康、安全法规所引起的赔偿要求。例如,工人赔偿要求、违犯雇员的健康安全规定、有组织的罢工以及各种应对顾客负有的责任。 客户、产品以及商业行为引起的风险事件:有意或无意造成的无法满足某一顾客的特定需求,或者是由于产品的性质、设计问题造成的失误。例如受托人违约、滥用秘密的客户信息、银行账户上的不正确的交易行为、洗钱、销售未授权产品等。,操作风险的定义,7,操作风险的定义,有形资产的损
4、失:由于灾难性事件或其他事件引起的有形资产的损坏或损失。例如恐怖事件、地震、火灾、洪灾等。 经营中断和系统出错:例如软件或者硬件错误、通信问题以及设备老化。 涉及执行、交割以及交易过程管理的风险事件:交易失败、过程管理出错、与合作伙伴、卖方的合作失败。例如交易数据输入错误、间接的管理失误、不完备的法律文件、未经批准访问客户账户、合作伙伴的不当操作以及卖方纠纷等。,8,操作风险导致的损失事件的特点,导致损失事件发生的原因非常复杂,可能是人为造成的(如欺诈),也可能是由客观条件造成的(如信息系统崩溃、灾害等);可能是来自于金融内部的(内部人员舞弊),也可能是来自于金融机构外部的(外部人员欺诈),可
5、能是由于主观蓄意造成的,也可能是无意的失误。 损失事件造成的损失分布范围非常广。小至由于银行自动提款机错误发生的几百元的损失,大到由于内外部人员勾结进行欺诈造成数十亿元的损失。,9,操作风险导致的损失事件的特点,损失事件发生的频率具有很大的差别。一些在清算过程中的错误以及信用卡业务中的欺诈行为,在单个商业银行中每年发生的次数可能成百上千。但是一些极端的损失事件在很长事件内都没有先例可循。 一般而言,金额巨大的损失事件发生频率较低,发生频率较大的损失事件损失金额一般较小。,操作风险损失数据的统计分类,操作风险损失数据的统计分类,操作风险损失数据的统计分类,操作风险损失数据的统计分类,操作风险损失
6、数据的统计分类,所有涉及歧视的事件,操作风险损失数据的统计分类,操作风险损失数据的统计分类,操作风险损失数据的统计分类,18,损失事件对应到业务部门的原则,(a) 所有业务活动必须按1级目录规定的8个业务部门对应归类,相互不重合,列举要达到穷尽; (b) 对业务部门框架内业务起辅助作用的银行业务或非银行业务,如果无法按业务部门直接对应归类,必须归入其所辅助的业务部门。如果辅助多个业务部门,则必须采用客观标准归类; (c) 在将总收入归类时,如果此业务无法与某一特定业务部门对应,则适用资本要求最高的业务部门。此业务部门也同样适用于任何相关的辅助业务; (d) 如果银行总收入(按基本指标法计算)仍
7、等于8个业务部门的总收入之和,银行可以使用内部定价方法在各业务部门间分配总收入;,19,(e) 因计算操作风险将业务按业务部门归类时采用的定义,必须与计算其他类风险(如信用风险、操作风险)监管资本所采用的定义相同。一旦背离此原则,则需引起异议并明确记录; (f) 银行采用的对应流程应当有明确的文字说明。尤其是业务部门的书面定义应清晰、详尽,使第三方可以复制业务部门对应的做法。文字说明中必须规定对违反情况应引起异议并保持记录; (g) 必须制定新业务或产品对应的流程; (h) 高级管理层负责制定业务部门对应政策(经董事会批准); (i) 业务部门对应流程必须接受独立审查。,损失事件对应到业务部门
8、的原则,20,操作风险管理的一般步骤,1. 确定风险管理的范围和目标:高层管理人员在咨询董事会后应当结合企业的经营策略、风险偏好为操作风险管理制定明确的范围和目标。另外,还应当制定一些具体、短期的目标,以保证风险管理工作稳步朝既定目标发展。这些短期目标可以是: l 准确地定义一些重要的损失事件并为其命名,这样可以保证在以后的管理工作中更方便地讨论、分析这些风险。 l 建立一个损失事件日志,为建立定量分析操作风险的模型积累数据。 l 建立统计模型分析特定损失事件的成因以及它们之间的联系。 l 进行基于风险的资源配置以及情景分析。 建立一个专门的操作风险管理组织,给予其充分的授权和资源支持。所有的
9、规定、决议、模型应当以文本模式记录下来,并且保证相关人员可以方便地获得。,21,操作风险管理的一般步骤,2、确定重要的风险:职员在高级管理人员的支持下必须确定哪些是重要的过程、资源和损失事件。操作风险管理的失败在很多情况下是由于包括的内容太广泛,因此在确定的时候需要严格按照高层制定的精确的目标。首先必须对经营中重要的过程和资源有清楚的了解,然后再试图找出可能影响它们的操作风险。查找风险因素一方面可以直接向部门经理调查,另一方面可以通过研究企业内部、外部的损失数据,使用策略框架和与行业内运行较好的企业进行比较。需要特别关注的风险因素包括:操作杠杆、交易范围以及交易量、利率、金融产品和服务的复杂性
10、、日期效应、操作中的变化以及管理中的自满情绪。最后应当确定存在哪些重要的损失事件。,22,操作风险管理的一般步骤,3、对风险进行估计:使用从各种途径得到的数据估计那些重要的过程、资源中的操作风险,估计的内容不但包括风险导致的冲击的大小,还包括损失事件发生的概率。对于不能定量分析的风险,必须找出这些风险的起因以及可以采取什么样的措施。另外,如果不同风险之间具有重要的依赖关系,还需要对它们的相关性进行估计。用来估计损失事件的频率以及严重程度的有三类方法:历史数据分析、主观风险评价以及根据依赖关系对风险进行估计。更进一步,可以使用统计方法来估计风险因素的频率以及损失程度的分布函数,常用的分布函数有三
11、类:经验分布(Empirical Distribution)、形状分布(Shape Distribution)、参数分布(Parametric Distribution)。最后建立操作风险数据库存储对于损失事件的确认和度量结果,以供后面的风险分析和资源分配使用。,23,操作风险管理的一般步骤,4、深度分析,步骤如下: (1)将这些风险加总:将风险按照事件或者因素加总,可以区分不同风险的先后次序,有效地进行资源配置,评价操作风险管理的执行情况。如果分析的目标是降低收入的波动性,那么只需要将本期的风险加总。如果分析的目标是保护资产负债表或者估计VaR的值,那么加总的范围将涉及到多个时期。 (2)在
12、确定了损失事件的风险以及损失事件所处的经营过程后,负责该过程的风险管理人员就要考虑可行的风险管理措施。,24,操作风险管理的一般步骤,(3)分析单个损失事件: a) 了解引起损失的风险因素的发生概率、冲击大小。 b) 了解损失事件发生的先后顺序。 c) 确定该损失事件的发生次数随时间变化的趋势。 d) 确定可能引发该损失事件的其他事件。 e) 对比同类损失事件,以找出共同的风险因素。 f) 考虑企业可以在多大程度上控制该损失事件(可控制、可影响、不可控制),然后考虑可行的措施。,25,(4)分析具有风险的过程和资源:从整个企业的角度考虑操作风险和资源的分配。 (5)分析重要的风险因素:分析风险
13、因素是否在企业的控制范围之内,如果在企业的控制之下,企业应当设法预报风险、降低风险水平、改变风险因素的分布(例如降低它的方差)或者设法在企业内部抵消这种风险。如果风险因素在企业控制范围之外,那么可以借助保险等手段,将风险转移给一些可以更好处理这种风险的机构。 (6)对风险管理措施进行评价:大多数风险管理措施都具有成本以及副作用。了解它们的成本并且权衡这种成本与管理带来的收益,最后决定是否有必要采取干涉措施。,操作风险管理的一般步骤,26,操作风险管理的一般步骤,5、采取措施消除处于经营过程和资源中的风险。一般采取的措施可以分为: (1) 风险回避和风险因素管理(Risk Avoidance a
14、nd Factor Management):风险回避是指企业回避某些具有风险的经营活动甚至完全退出行业。风险因素管理通过降低风险因素水平、改变风险因素分布情况或者改变企业对风险因素的敏感程度来改善经营环境。 (2)损失预报(Loss Prediction):损失预报的目标在于减少损失的不确定性,具体表现就是灾难性损失和未预期损失的降低。损失预报技术使得管理人员可以更好地估计未来的损失的频率和大小,改善对于重要风险因素的估计,了解哪些事件使得错误更可能发生。,27,操作风险管理的一般步骤,(3) 损失预防(Loss Prevention):损失预防的主要目的是减少损失事件发生的可能性。可以采用的
15、措施包括:重新设计经营过程、重新设计工作、重新设计产品和服务、功能自动化、人体工程学、欺诈的预防与侦测、企业资源规划、基于可靠性的维护。 (4) 损失控制(Loss Control):损失控制的主要作用是降低一些主要损失事件对企业的冲击,而在降低发生频率方面的效果则很有限。因此损失控制对一些发生频率较低、但一旦发生会对企业产生较大冲击的损失事件较为有效,而对那些发生频繁的损失事件作用不大。可以采用的措施包括:存货管理和缓冲、冗余系统、诊断控制、系统内部限制、遵守规章制度、财产安全管理、计算机安全管理、内部外部审计、质量控制。,28,操作风险管理的一般步骤,(5) 降低损失以及应急措施(Loss
16、 Reduction and Contingency Management):降低损失是指能够降低损失的严重程度但是并不影响损失发生频率的风险管理措施。损失降低一般适用于一些难于预测的外部事件。降低损失的具体措施可以分为两类:一类是在损失事件发生前,制定各种紧急情况下的应急措施(Contingency Management);另一种是在损失事件发生后通过危机管理(Crisis Management)减轻损失。 (6) 风险融资(Risk Financing):风险融资是指企业将损失事件以一定的费用转移给外部团体或者通过改变资本结构来抵御风险。风险转移的具体形式包括对冲、保险、担保、合约、证券化和项目融资。改变资本结构的具体措施可以是提供更多的资本、降低债务水平、降低操作杠杆、经营分散化、自我保险。,29,6、对操作风险的监测和报告:良好、规范的报告制度是风险管理成功的重要前提。对风险进行连续的监测,定期的报告循环机制可以周期性地考察操作风险管理的需求、不断提高管理的有效性。,操作风险管理的一般步骤,30,操作风险的度量模型,由上至下法(Top-down Ap
