導語:操作風險是遭受潛在損失的可能,是指由於客戶、設計不當的控制體系、控制系統失靈以及不可控事件導致的各類風險。我們一起來看看相關的考試內容吧。
1概述
定義與特點
1.定義:由不完善或有問題的內部程式、員工、資訊科技體系以及外部事件所造成損失的風險。包括法律,不包括策略和聲譽
2.特點:具體、分散、差異、複雜、內生、轉化
相關概念辨析:
委員會和巴塞爾委員會於2004年在內部控制和全面風險管理的理解上趨於一致,操作風險屬於全面風險管理的組成部分。
2.合規是操作風險的管理目標
監管規則:2010年6月《商業銀行資本管理辦法》包括管理架構、政策制度、資料管理、資訊系統、成果應用的那個
分類:
1.人員因素:內部欺詐、失職違規、知識/技能匱乏、核心僱員流失、違反用工法
2.內部流程:財務會計錯誤、檔案合同缺失、產品設計缺陷、錯誤監控報告、結算支付錯誤、交易定價錯誤3.系統缺陷:資料資訊質量、違反系統安全規定、系統設計開發的戰略風險、系統的穩定性相容性適宜性4.外部事件:外部欺詐、洗錢、政治風險、監管規定、業務外包、自然災害、恐怖威脅
識別方法:自我評估法、因果分析法
2操作風險評估與控制
商業銀行通過內部管理能夠有效的防範操作風險,但是並非所有的操作風險都能夠被控制和防止。對於巨災可以通過風險轉移。 5.3.1 風險評估與控制環境
1.公司治理
公司治理是現代商業銀行穩健運營/發展的核心;完善的公司治理結構,是商業銀行有效的防範和控制操作風險的前提。良好的公司治理目標:
建立獨立董事制度,對董事會討論事項發表客觀公正的意見。建立外部監事制度,對董事會、董事、高階管理層及其成員進行監督。必須明確董事會、監事會、高管層和內部相關部門在控制操作風險的職責:
第一,高管層負責具體執行董事會批准的操作風險管理系統。
第二,風險管理部門具體執行操作風險管理系統。
第三,業務管理部門要定期的向風險管理部門就操作風險狀況進行報告。
第四,內部審計部門要監督操作風險管理措施的貫徹落實,確保業務管理者將操作風險保持在可容忍的程度以下,以及要保證風險控制措施的有效性和完整性。
2.內部控制
加強內部控制是商業銀行管理操作風險的基礎。巴塞爾委員會認為,資本約束並不是控制操作風險的最好方法。對付操作風險的第一道防線,應該是操作風險的內部控制。 3.合規管理文化
合規問題是我國商業銀行操作風險管理的核心問題。內部控制體系和風險管理文化,是操作風險管理的基礎。健康有效的合規管理文化包括以下內容:
一、樹立正確的合規管理理念
二、加強管理層的驅動作用
三、充分發揮人的主導作用
四、建立學習型組織
4.資訊系統
3操作風險評估
1定義與原理:商業銀行應當制定操作風險評估機制,將風險評估整合入業務處理流程,建立操作風險和控制自我評估或其他評估工具,定期評估主要業務條線的操作風險,並將評估結果應用到風險考核、流程優化和風險報告中
2原則:業務流程所有人第一評估;動態管理;重要性
3步驟:準備,包括確認評估物件、繪製流程圖、收集整理操作風險資訊2.評估,包括識別和評估固有風險、識別和評估現有控制、評估剩餘風險、提出優化方案3.報告,包括正和評估成果、提交報告
操作風險控制
控制環境:公司治理、內部控制、風險文化
4風險緩釋
1.業務連續性管理計劃,使得銀行在實際的業務構成中,不中斷實現連續的營業。這主要通過建立災難應急恢復和業務連續方案,明確在中斷事件中恢復服務的備用機制,確保商業銀行在低概率的嚴重業務中斷事件發生時能夠執行這些方案。
2.商業保險,只是操作風險管理的補充手段之一,預防和減少操作風險的發生,最終還是要靠商業銀行自身加強風險管理。
3.業務外包,最終責任人仍然是商業銀行。流程分立項、採購、合同管理、持續管理與監督
5主要業務風險控制
1.櫃檯業務,泛指通過商業銀行櫃面辦理的業務,是商業銀行各項業務操作的集中體現,也是最容易引發操作風險的業務環節。風險點:現金存取款。操作風險的形成原因:櫃檯人員安全意識不強,缺乏崗位制約和自我保護意識;櫃檯工作強度大,但收入不高,工作缺乏熱情和責任感等等。操作風險控制要點注意的細節:首先嚴格執行各櫃檯業務規定,嚴禁不經授權辦理業務查詢;有價單證應該視同現金管理,有價單證應該按照“專人管理,櫃員領用”的要求,業務的印章遵循“歸口管理,分級負責”的原則,只能在業務辦理的時候使用,不能預先加蓋業務印章。印、押、和證相互分管使用,嚴禁混崗操作。庫房管理要求“雙人庫管,同進同出”。
2.法人信貸業務,是國內企業/機構類業務最重要的部分,也是國內商業銀行最主要的商業銀行業務。
3.個人信貸業務,風險點:個人住房按揭貸款的風險點主要包括房地產開發商與客戶串通,或直接使用虛假客戶資料騙取個人住房按揭貸款;未核實第一還款來源或在第一還款來源不充足的情況下,向客戶發放個人住房貸款;房產中介機構以虛假購房人名義申請二手房貸款,騙取商業銀行信用;內部勾結編造客戶資料騙取商業銀行貸款等等。對於個人信貸要嚴格做好三查制度即:貸前的調查,貸時或貸中的審查以及貸後的檢查。
4.資金交易業務,三臺職責分工:1.前臺交易;2.中臺風險管理;3.後臺結算清算。風險點:體現許可權等級,部門分工,職責分離原則,做到前臺交易和後臺結算分離,自營業務與代客業務分離,業務操作和風險監控分離,建立崗位和部門之間的監督約束機制。
5.代理業務,是商業銀行中間業務的一種。
5.4 操作風險監控與報告
5.4.1關鍵風險指標法
原則:整體、重要、敏感、可靠、有效
應用流程:①識別與定義關鍵風險指標②設定關鍵風險指標闊值③確認關鍵風險指標④監控和分析關鍵風險指標⑤指定優化或整改方案⑥報告關鍵風險指標⑦關鍵風險指標更新
5.4.2損失資料收集
1. 定義:操作風險損失資料的蒐集、彙總、監控、分析和報告工作
2.原則:重要、準確、統一、謹慎
3.步驟:損失事件識別;損失事件填報;損失金額確定;損失事件資訊稽核;損失資料收集驗證
4.價值:在高階計量法下,用於損失計量和驗證的內部損失資料至少有5年的觀測期,初次,允許使用3年的內部歷史資料
5.4.3風險報告:風險狀況、損失事件、誘因與對策、關鍵風險指標、資本金水平
5.5操作風險資本計量
6基本指標法
操作風險的監管成本=[前三年的總收入*固定百分比加總]/3
總收入=淨利息收入+淨非利息收入,不包括保險收入、銀行賬戶上出售證券實現的盈利,固定百分比為15%
5.5.2 標準法
(1)將整個業務分成9條業務線,度量每個業務線的風險,再把風險加總。
(2)標準法中銀行的產品線:公司金融、交易和銷售、零售銀行、商業銀行、支付和清算、代理服務、資產管理、零售經紀、其他,操作風險資本系數β值如下:
①零售銀行、資產管理和零售經紀業務條線為12%
②商業銀行和代理服務業務條線為15%
③公司金融、支付和結算、交易和銷售、其他條線為18%
5.5.3高階計量法,需要得到監管部門的批准之後才可以使用。一旦通過批准使用了高階計量法,沒有經過監管部門的批准,不能從高階計量法退回到標準法或者是單一指標法。有損失分佈法、內部衡量法、打分卡法
1.資料處理①內部損失資料②外部損失資料③情景分析資料④業務經營環境和內部控制要素
2.模型建立與計量①損失分佈法的方法論②模型的精密度③分佈選擇④資本擬合⑤相關性處理⑥模型驗證
①優化操作風險管理流程②促進風險管理文化的轉變③豐富操作風險的管理手段④完善績效考核體系
銀行從業資格筆記
長期以來,社會各界對銀行業的風險管理都聚焦於信用風險和市場風險,而對操作風險並未予以足夠的重視,對其認識和管理都處於較低水平。然而,隨著金融管制的放鬆、銀行經營業務範圍及產品的多樣化和複雜化,操作風險的破壞力和影響力愈發顯現,對其研究和管理也迫在眉睫。在此背景下,2004年的巴塞爾新資本協議規範了操作風險的定義①,並提出操作風險的最低資本要求,為各國銀行業加強操作風險管理敲響警鐘和提供指導;中國銀監會於2007年6月釋出了《商業銀行操作風險管理指引》(以下簡稱《指引》),為加強銀行業操作風險管理、推進完善銀行業公司治理結構、提升風險管理能力提供指導。
一、我國銀行業操作風險危機四伏
受舊體制等不利影響,我國銀行業面臨著嚴重的操作風險。表1列示了近年來部分銀行操作風險事件。
通過綜合分析我國銀行業操作風險損失事件,其具有的特點主要有:
1.操作風險主要形式是欺詐①。欺詐包括內部員工的欺詐、外部人員的欺詐以及內外部勾結的欺詐,其中內部員工欺詐和內外部勾結的欺詐是我國當前存在的主要形式,並且這種型別的損失事件一旦發生,就具有單筆損失金額大和社會影響力大的特點。
2.操作風險大都發生在基層分支機構,且與上層機構的控制力負相關。我國銀行的業務運作大多數集中在基層機構,總、分行則更偏重於行使管理職能,當分支機構距離較遠、受到的監管較弱時,分支機構的一些違規操作就不易被發現,操作風險發生的可能性就更大。
二、我國銀行業操作風險的影響因素
目前,我國銀行業普遍存在內部控制制度不完善的問題,這是導致操作風險頻發的最主要原因。我國銀行業內部控制不健全性主要表現在:
1.操作風險管理意識薄弱。目前,我國銀行業的主營業務仍以信貸為主,因此銀行風險管理的焦點都集中於信用風險,而對於操作風險,從管理層到基層員工對其管理的意識都有待於提高。
2.操作風險專業化管理部門缺位。我國絕大多數銀行均未設立獨立的專業化的操作風險管理部門,對其管理主要是依靠非專業部門負責,以定性管理為主,主要依賴專家的主觀判斷,缺乏科學和專業的管理。此外,根據巴塞爾新資本協議,用於計算監管資本的內部操作風險計量法,必須建立在對內部損失資料至少5年的觀察基礎上,而我國由於缺乏資料,很少採用定量分析控制操作風險的科學方法。
3.分行制的組織形式不利於監管。我國銀行主要採用分行制,該體制下的直線管理職能削弱了內部控制的力度和有效性,各層次的負責人橫向權利過大,為操作風險的孕育提供了空間。
4.管理體系不完善。我國銀行業普遍存在管理層次多而繁雜,各層次權責不清,缺乏相互制衡、權責明晰和相互獨立的管理體系,容易出現管理的真空地帶和重複低效管理。
5.管理制度不健全。我國銀行業風險管理所需的制度建設不健全,現有的制度大都流於形式,存在不切實際、難以執行的問題,此外,仍有部分正常經營所必備的規章制度缺位,導致管理盲點的存在。
三、完善我國銀行業操作風險管理體系
由於我國銀行業對操作風險的重視長期不足,導致銀行對操作風險的管理長期處於低效率和不足的水平。因此,克服各種不利因素,及時建立完善的操作風險管理體系,具有重要的現實意義。銀行操作風險管理和內部控制在內容、物件和範圍上有著密切的聯絡,因此健全內部控制機制的形成有助於銀行操作風險的高效管理。本文結合COSO委員會關於內部控制五要素的闡述和銀監會發布的《指引》,設計一套適合我國銀行業操作風險管理的體系。
COSO委員會所述的內部控制包括五要素:控制環境、風險評估、控制活動、資訊與溝通和監控,以下分別從這五方面構建操作風險管理體系。
(一)控制環境
控制環境是指對建立、加強或削弱特定政策、程式及其效率產生影響的各種因素。控制環境塑造企業風險管理文化,影響銀行內部各成員的風險意識,關係著風險管理控制制度的貫徹和執行。
《指引》指出,操作風險管理需要創造一個良好的控制環境。首先,銀行董事會應充分了解本行的主要操作風險所在,把它作為一種必須管理的主要風險類別,努力促進這種公司文化的建立,並且提供充足的資源支援在各職能部門實施操作風險管理,還應當把操作風險管理納入到業績評估程式中,強調風險管理為銀行關注重點。其次,應建立一個能夠有效執行操作風險管理框架要求的組織架構,該組織架構應明確界定各職能部門的責權關係、上下級報告關係,並且制定嚴格的監管審計制度。最後,應根據本行對操作風險的承受能力,制定規範的操作風險管理政策,該政策應對存在於本行各類業務中的操作風險進行界定,列明本行操作風險的具體構成,應明確識別、評估、監測與控制操作風險所應依據的原則、政策和方法。
(二)風險評估
風險評估是指操作風險管理部根據職能部門的資訊,識別、量化和分析相關風險以實現既定目標,從而形成操作風險管理的核心內容。風險評估系統包括以下三個子系統:
1.風險識別子系統
風險識別子系統的作用是將操作風險進行定義和分類,它的主要部分是“知識庫”。“知識庫”是一種風險對映,將職能部門的業務與風險類別之間建立對應關係。具體來說,“知識庫”將銀行業務分為若干個風險檔次,並將所有的業務歸類到相應的風險檔次之中,並存儲在資料庫的相應位置。
2.風險計量子系統
風險計量子系統由“模型庫”和“預警庫”組成。該系統在初步識別原始資料的基礎上,利用“模型庫”中的風險計量模型對風險進行量化,將定性的操作風險數字化。其中風險計量模型利用數理統計方法量化銀行操作風險,“模型庫”再將風險計量模型計算機程式化,即編寫計算機軟體以實現風險計量模型的功能。而“預警庫”則是預先在系統內設定的不同職能部門的市場風險限額指標,在“模型庫”計算出風險值之後,“預警庫”就可以對實際風險承擔與預先設定的風險限額自動比較,若發生超限額的情況,“預警庫”會將該資訊同時反饋到風險評價子系統中,實現實時風險監控的功能。
3.風險評價子系統
風險評價子系統主要提供風險彙總報告,並對各職能部門風險承擔狀況進行評價,為風險管理決策層提供支援。“報告庫”針對經“模型庫”風險計量子系統測量的風險結果,根據指定的報告模式進行綜合彙總,為管理層提供銀行風險的資料。“評價庫”是對綜合報告進行的深入分析,通過對具體風險的分析評價,提出風險改進意見。
總的說來,風險評估系統中,風險識別子系統歸類操作風險,風險計量子系統量化操作風險,評價子系統評價並報告操作風險。這一系列活動的完成,關鍵在於設計出一整套計算機程式以實現上述幾個子系統的功能。我國銀行應當根據本行業務的特點,設計出自己的風險管理程式,或者直接從專業公司引進成熟又適合自身的風險管理系統。
(三)控制活動
控制活動是指那些有助於管理層決策順利實施的政策和程式,主要包括明確銀行各部門的職責、對各部門活動的控制和對偏離授權的行為進行調整。
首先,《指引》明確規定了各組織層次在操作風險管理系統中的職責,以便整個系統有條不紊的運作,各層次的職責具體為:銀行高層負責制定操作風險管理的戰略和總體政策;風險管理委員會建立風險管理的操作方法;各職能部門具體實施。
其次,對各職能部門活動的控制分為兩個層次:第一個層次是各職能部門,應定期向負責操作風險管理的部門通報本部門操作風險管理的總體狀況,及時通報重大操作風險事件;第二個層次是操作風險管理部門應當提供風險預警指標,將風險限額建立在各業務部門的不同的層面,然後為每個關鍵風險指標設定門檻值,一旦風險值超過門檻值則啟動預警系統。
最後,操作風險部門應當對於超過門檻值的採取必要的整改措施,及時修正執行中的偏差。
(四)資訊與溝通
各職能部門的資訊溝通是整個操作風險系統的基礎,系統的資料來源於各職能部門。只有將資訊及時有效地傳遞給操作風險管理部,才能及時進行資訊分類。《指引》規定,職能部門應當根據統一的操作風險管理評估方法,建立持續、有效的操作風險報告程式,從制度上建立有效的資訊和溝通機制。此外,《指引》要求建立案件查處和相應的資訊披露制度,通過對案件查處的資訊披露有良好的警示作用,對案件的及時總結能有效地避免同類風險事件的發生。
(五)監控
監控的核心在於監控的制度性和監控的獨立性。《指引》規定,監控的制度性建設要求風險管理委員會應當建立指向清晰的定期監控體系,清晰的監控系統可以明確監管者的責任範圍,而定期監查行為有利於快速發現並且糾正操作風險。監控獨立性依靠操作風險管理部與其他職能部門相對保持獨立,不能存在從屬關係,應當受董事會或其下屬的審計委員會直接領導。
與此同時,銀行還需要對其內部監管人員進行嚴格培訓,使其對銀行各項業務活動和崗位責任的執行情況依據相關制度標準進行監控,及時預見潛在風險並極力阻止其發生,實現銀行操作風險的有效管理。
