中级银行从业风险管理教材要点:第五章操作风险管理
来源 :中华考试网 2017-11-27
中第五章 操作风险管理
操作风险是指由于不完善或有问题的内部程序、员工、信息科技系统以及外部事件所造成损失的风险,包括法律风险,但不包括声誉风险和战略风险。
操作风险可分为:人员因素、内部流程、系统缺陷和外部事件四大类别。
5.1操作风险识别与监测
5.1.1操作分险识别的主要方法
损失分析识别法,主要使用过往发生的损失数据记录等信息识别操作风险及其诱因,损失数据包括内部损失数据和发生在同业的外部损失数据;
指标分析识别法,主要选择一些和操作风险产生有关的关键指标,通过监控指标表现和趋势,识别操作风险及其产生原因。
5.1.2损失风险识别法
损失数据收集要求:损失数据收集工作要明确损失的定义、损失形态、统计标准、职责分工和报告路径等内容,保障损失数据统计工作的规范性。
损失数据收集要坚持以下原则:重要性、及时性、统一性、谨慎性、全面性。
规范数据管理的要求:一是应明确损失数据口径,包括总损失、回收后净损失、保险缓释后净损失;二是应建立适当的数据阀值,可就数据收集和建模制定不同阀值,但应避免建模阀值大大高于收集阀值,并就阀值情况进行合理解释说明;三是应分析不同数据采集时点的差异,包括发生日、发现日、核算日等;四是应明确合并及分拆规则。
损失数据收集的核心环节:损失事件识别、损失事件填报、损失金额确定、损失事件信息审核、损失数据验证。验证工作重点关注数据的全面性、准确性和及时性。
损失事件的事件类型:内部欺诈事件;外部欺诈事件;就业制度和工作场所活动事件;客户、产品和业务活动事件;实物资产的损坏;信息科技系统事件;执行、交割和流程管理时间。
损失事件的损失形态分类:一般包括直接损失和间接损失,并可进一步划分为法律成本、监管罚没、资产损失、对外赔偿、追索失败、账面减值、其他损失等七类。
5.1.3指标分析识别法
操作风险关键风险指标通常包括交易量、员工水平、技能水平、客户满意度、市场变动、产品成熟度、地区数量、变动水平、产品复杂程度和自动化水平。
关键风险指标监控的原则:整体性、重要性、敏感性、可靠性、有效性。
关键风险指标法的核心步骤:识别与定义关键风险指标—设置关键风险指标阀值—确认关键风险指标—监控和分析关键风险指标—制定优化或整改方案—报告关键风险指标—关键风险指标更新。
确认关键风险指标主要包括记录所设定的关键风险指标、完成关键风险指标信息模板、审批关键风险指标等三个步骤。
5.2操作风险评估
5.2.1操作风险评估的主要方法
商业银行通常采用定性与定量相结合的方法来评估操作风险。 固有风险-控制风险=剩余风险
自评工作应坚持原则:全面性、及时性、客观性、重要性。
5.2.1操作风险评估的核心流程(准备、评估、报告)
准备阶段:制定评估计划—识别评估对象(业务流程、管理活动)—绘制流程图—收集评估背景信息;
评估阶段:识别主要风险点—召开会议—开展评估—制定改进方案
开展评估,一是固有风险评估(通常用发生频率和损失严重度矩阵来分析);二是控制有效性评估;三是剩余风险评估(固有风险暴露-控制有效性=剩余风险暴露)。
报告阶段:整合结果—双线报告(上级对口部门、同级操作风险管理部门)
5.3操作风险报告
5.3.1操作风险报告的总体要求
操作风险报告应包括主要操作风险事件的详细信息、已确认或潜在的重大操作风险损失等信息、操作风险及控制措施的评估结果、关键风险指标检测结果,并制定流程对报告中反映的信息采取有效行动。
5.3.2各类操作风险报告的主要内容
操作风险管理报告:操作风险牵头管理部门编写,定期分析报告期内操作风险的基本状况、采取的主要措施、存在的风险隐患和应关注的管理问题,并提出工作建议。报告提交高管层和董事会。
操作风险专项报告:业务部门编写,分析报告各业务或产品存在的隐患,提交牵头部门,报告高管层。
操作风险检测报告:牵头部门报告,根据各项检测指标值得变化和移动分析操作风险变化趋势,对潜在的重大风险隐患进行提前揭示。
操作风险损失事件报告:牵头部门组织开展,事件发生时间、涉及业务领域、损失金额等内容。
5.4操作风险控制与缓释
5.4.1操作风险控制原则
根据风险和收益匹配原则,银行一般选择四种策略控制操作风险:
1.降低风险,即通过风险管理、内部控制程序对各风险环节进行控制,减少操作风险发生的可能性,降低风险损失的严重程度;
2.承受风险,即对于无法降低又无法避免的风险,如人员、流程、系统等引起的操作风险,采取承担并通过定价、拨备、资本等方式进行主动管理;
3.转移或缓释风险,即通过外包、保险、专门协议等工具,将损失全部或部分转移至第三方;
4.回避风险,即通过撤销危险地区网点、关闭高风险业务等方式进行规避。
5.4.2操作风险缓释 目前,主要的操作风险缓释手段有业务连续性管理计划、商业保险和业务外包等。
业务连续性计划是指为实现业务连续性而制定的各类规划及实施的各项流程
国际上,商业银行所面临的很多操作风险可以通过购买特定保险加以缓释:
1.一揽子保险,主要承保内部盗窃和欺诈以及外部欺诈风险;
2.错误与遗漏保险,主要承保无法提供服务或服务过失的风险;
3.经理与高级职员责任险,主要承保经理与高级职员操作市场、洗钱、未对敏感信息进行披露、不当利用重要信息等行为造成潜在损失的风险;
4.未授权交易保险,主要承保未报告、未授权、超授权交易引起的直接财物损失;
5.财产保险,主要承保火灾、雷电、爆炸、碰撞等自然灾害引起的财产损失;
6.营业中断保险,主要承保因设备瘫痪、电信中断等事件导致的营业中断而引发的损失;
7.商业综合责任险,主要承保营业过程中发生的事故对第三者造成身体伤害或物质损失的责任;
8.电子保险,主要承保电子设备自身的脆弱性所引发的风险损失;
9.计算机犯罪保险,主要承保计算机犯罪引发的风险。
保险缓释最高不超过操作风险监管资本要求的20%
常见的业务外包工作有:技术外包、程序外包、业务营销外包、专业性服务外包、后勤性事务外包。
5.4.3主要业务条线的操作风险控制
柜面业务:操作风险控制措施:
1.完善规章制度和业务操作流程,不断细化操作细则,并建立岗位操作规范和操作手册,通过制度规范来防范操作风险;
2.加强业务系统建设,尽可能将业务纳入系统处理,并在系统中自动设立风险监控要点,发现操作中的风险点能及时提供警示信息;
3.加强岗位培训,特别是新业务和新产品培训,不断提高柜员操作技能和业务水平,同时培养柜员岗位安全意识和自我保护意识;
4.强化一线实时监督检查,促进事后监督向专业化、规范化迈进,改进检查监督方法,同时充分发挥各专业部门的指导、检查和督促作用。
法人信贷业务:操作风险控制措施:
1.牢固树立审慎稳健的信贷经营理念,坚决杜绝各类短期行为和粗放管理;
2.倡导新型的企业信贷文化,在业务办理过程中,加入法的精神和硬性约束,实现以人为核心向以制度为核心的转变,建立有效的信贷决策机制;
3.改革信贷经营管理模式,建立跨区域的授信垂直管理和独立评审体系,对授信集中管理,将信贷规章制度建立、执行、监测和监督权力分离,信贷岗位设置分工合理、职责明确,做到审贷分离、业务经办与会计账务分离等;
4.明确主责任人制度,对银行信贷所涉及的调查、审查、审批、签约、贷后管理等环节,明确主责任人及其责任,强化信贷人员责任和风险意识;
5.加快信贷电子化建设,运用现代信息技术,把信贷日常业务处理、决策管理流程、贷款风险分类预警、信贷监督检查等行为全部纳入计算机处理,形成覆盖信贷业务全过程的科学体系;
6.提高信贷人员综合素质,造就一支具有风险意识、良好职业道德、扎实信贷业务知识、过硬风险识别能力的高素质队伍;
7.把握关键环节,有针对性地对重要环节和步骤加强管理,切实防范信贷业务操作风险;
8.提高法律介入程度,将法律支持深入到信贷业务各环节,形成法律支持的全程制度化流程管理。
个人信贷业务:操作风险控制措施
1.实行个人信贷业务集约化管理,提升管理层次,实现审贷部门分离;
2.成立个人信贷业务中心,由中心进行统一调查和审批,实现专业化经营和管理;
3.优化产品结构,改进操作流程,重点发展以质押和抵押为担保方式的个人贷款,审慎发展个人信用贷款和自然人保证贷款;
4.加强规范化管理,理顺个人贷款前台和后台部门之间的关系,完善业务转授权制度,加强法律审查,实行档案集中管理,加快个人信贷电子化建设;
5.切实做好个人信贷贷前调查、贷时审查、贷后检查各环节的规范操作,防范信贷业务操作风险;
6.强化个人贷款发放责任约束机制,细化个人贷款责任追究办法,推行不良贷款定期问责制度、到期提示制度、逾期警示制度和不良责任追究制度;
7.在建立责任制的同时配置以奖励制度,将客户经理的贷款发放质量与其收入挂钩。
资金业务:操作风险控制措施
代理业务:操作风险控制措施
5.5操作风险资本计量
商业银行可采用基本指标法、标准法或高级计量法计量操作风险资本要求。
5.5.1总体监管规则
银行使用高级计量法须经监管当局核准,一旦采用了高级法,未经许可不能退回使用相对简单的方法。
我国操作风险计量规则有以下特点:
一是在政策导向上,基本指标法和标准法体现规则导向,银监会明确了计量规则,保证各行结果可比,避免套利;高级法体现原则导向,银监会仅明确数据、计量原则,商业银行自行选择计量方法,体现对风险管理较好银行的激励;
二是在核准思路上,核准前,对银行实施准入监管,仅核准符合要求的银行实施较为高级的方法,核准后,体现持续监管原则,持续监测高级方法体系的运行情况,及时要求银行整改,并对整改不到位的银行采取监管措施,直至取消实施资格;
三是在审慎监管方面,银监会认定商业银行内部控制不健全、操作风险管理薄弱的,可要求商业银行提高操作风险资本。
5.5.2政策要点
标准法和高级计量法:治理架构清晰、信息系统适用、数据收集全面、风险评估有效、风险监测敏感、连续性管理体系健全、报告体系稳健、内部审查严格、内控内审充分、配合监管。
高级计量法:计量与管理有效融合、数据全面准确、计量合理审慎
5.5.3主要计量方法
基本指标法(自主决定是否采用):
基本指标法操作风险资本=过去三年汇总每年整的总收入的平均值乘以固定比例(α=15%)。
某年收入为负,分子、分母都不考虑。
基本指标法计量方法简单,资本与收入呈线性关系,银行的收入越高,操作风险资本要求越大,资本对风险缺乏敏感性,对改进风险管理作用不大。
标准法:标准法操作风险资本=银行各条线前三年总收入的平均值乘上一个固定比例(ß)再加总。
共8个条线:公司金融*18%、交易和销售*18%、支付和清算*18%;
商业银行业务*15%、代理服务*15%;
零售银行业务*12%、资产管理*12%、零售经纪12%。
监管当局明确了9条归类原则:
一是所有业务活动必须按1级目录规定的8个业务条线对应归类,相互不重合,列举须穷尽;
二是对业务条线框架内业务起辅助作用的银行业务或非银行业务,如无法直接归类,必须归入所辅助的业务条线;
三是在将总收入归类时,如无法与特定业务对应,则适用资本要求最高的业务条线;
四是如果总收入仍等于8个业务条线总收入之和,可使用内部定价法在各业务条线间分配总收入;
五是按业务条线归类时采用的定义必须与计算其他类风险监管资本所采用的定义相同;
六是银行采用的对应流程应有明确的文字说明; 七是必须制定新业务或产品对应的流程;
八是需有高级管理层负责制定业务条线对应政策; 九是业务条线对应流程必须接受独立审查。
总收入=(利息收入-利息支出)+(手续费和佣金收入+净交易损益+证券投资净损益+其他营业收入+净非利息收入)
业务归类补充指引:
一是零售银行业务总收入含对零售客户和按零售客户对待的中小企业放贷和垫款产生的净利息收入;
二是商业银行业务的总收入包括向公司、银行同业、主权客户放贷和垫款产生的净利息收入和收购的公司应收账款产生的收入;
三是交易和销售业务的总收入等于因交易而持有的工具的损益,减去资金成本,加批发经纪业务收费;
四是其他5个产品的总收入主要包括各类产品线的净收费/佣金收入。
五是总收入中不应忽略营运开支。
高级计量法:巴塞尔推荐了内部衡量法、损失分布法(主流选择)和打分卡法三种计量模型。
内部衡量法:是基于银行损失数据计算操作风险监管资本的一种方法。对每一业务条线/事件类型组合分别计算预期损失(EL),并引入换算因子,将预期损失转化为非预期损失(UL)
操作风险资本(UL)=换算因子*预期损失=换算因子*(操作风险暴露*损失概率*损失程度)
引入风险特征指数(RPI)来体现各银行风险管理水平的高低。
内部衡量法是银行由基本的由上至下模型向复杂的操作风险资本计量模型过渡的方法,计算简便。但该方法也存在一定缺陷:一是换算因子是监管部门根据银行业整体的操作风险状况设定的统一标准,不一定普遍适用;二是预期损失和非预期损失之间不一定满足该方法假设的线性关系。
打分卡法:与其他高级计量模型相比,打分卡法尽管采用了部分历史数据,但更多偏重于定性分析,其主要目标是以前瞻性的眼光,捕捉各业务条线的风险特征与控制环境,掌握潜在风险,进而降低操作风险损失事件发生频率与严重度。
缺点:主观性太强,过于依赖风险管理人员的经验和知识。
损失分布法:银行对每个业务条线/事件类型组合分别估计频率和严重度两个概率分布函数,用蒙特卡罗模拟方法拟合出一定置信水平(99.9%)和区间(一年)的操作风险VaR值。
相比内部衡量法,损失分布法的优势在于:一是损失分布法直接计量非预期损失,更符合实际损失分布;二是损失分布法中,银行自主决定业务线/事件类型的组合和各类风险参数,能更好地体现银行的业务特性,避免了监管干预可能造成“一刀切”的问题。
5.6业务外包风险管理
应遵循原则:一是制定外包的风险管理框架以及相关制度,并将其纳入全面风险管理体系;二是根据审慎经营原则制定其外包战略发展规划,确定与其风险管理水平相适宜的外包活动范围;三是对于战略管理、核心管理以及内部审计等职能不宜外包。
5.6.1业务外包管理的主要框架
组织架构:董事会(审议)、高级管理层(制定)、外包管理团队(执行)
业务外包风险管理应做好以下工作:业务外包风险评估、尽职调查、外包协议管理、外包服务承诺、分包风险管理、跨境外包管理、其他事项。
5.6.2业务外包管理的监督管理
外包活动存在以下情形的,监管可要求银行纠正或采取替代方案,并视情况予以问责:违反相关法律、行政法规及规章;违反本机构风险管理政策、内控制度及操作流程;存在重大风险隐患;其他认定的情形。
5.7信息科技风险管理
5.7.1信息科技治理 首席信息官,直接向行长汇报,并参与决策。
5.7.2信息科技风险管理
信息科技风险防范措施:明确的信息科技风险管理制度、技术标准和操作规程等,定期进行更新和公示;确定潜在风险区域,并对这些区域进行详细和独立的监控,实现风险最小化。
5.7.3信息安全
主要管理要求:一是信息科技部门应落实信息安全管理职能;二是应建立有效管理用户认证和访问控制的流程;三是应根据信息安全级别,将网络划分为不同的逻辑安全区域;四是应确保所有计算机操作系统和系统软件的安全;五是应采取措施确保所有信息系统的安全;六是应制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和预防欺诈;七是应采取加密技术,防范涉密信息在传输、处理、储存过程中出现泄漏或被篡改的风险,并建立密码设备管理制度,确保使用符合国家要求的加密技术和加密设备;八是应配备切实有效的系统,确保所有终端用户设备的安全,并定期对所有设备进行安全检查;九是应制定相关制度和流程,严格管理客户信息的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁;十是应对所有员工进行必要的培训,使其充分掌握信息科技风险管理制度和流程,了解违反规定的后果,并对违反安全规定的行为采取零容忍政策。
5.7.4信息系统开发、测试和维护
5.7.5信息科技运行
5.7.6业务连续性管理
5.7.7信息科技审计 至少每三年进行一次全面审计