第8章 操作风险管理

1、 金融风险管理第八章 操作风险管理 本章内容安排：l第一节 操作风险管理概述 l第二节 操作风险管理框架 l第三节 操作风险的评估与控制 操作风险案例n 19951995年年2 2月月 ，巴林银行驻新加坡外汇，巴林银行驻新加坡外汇交易员交易员尼克尼克. .里森违规进里森违规进行行未经授权及隐匿未经授权及隐匿的期权和期货交易而导致损失的期权和期货交易而导致损失8.68.6亿英镑亿英镑1414亿美元；亿美元；n 19951995年年9 9月，日本大和银行纽约分行月，日本大和银行纽约分行雇员雇员账外交易账外交易 1111亿亿美元；美元；n 20042004年年1 1月，澳大利亚国民银行因四名月，澳大

2、利亚国民银行因四名交易员交易员违规操作违规操作致致3.63.6亿美元巨额损失。亿美元巨额损失。 n 20082008年年1 1月，法国兴业银行因月，法国兴业银行因交易员交易员违规操作违规操作致致71.671.6亿美元损亿美元损失失 ； n 20062006年，中国交通银行沈阳分行年，中国交通银行沈阳分行员工员工发生发生非法挪用非法挪用客户客户2 2亿元亿元资金案；同年中国银行沈丘支行资金案；同年中国银行沈丘支行员工员工爆发银行承兑汇票爆发银行承兑汇票诈骗诈骗1.461.46亿元事件。亿元事件。纽交所的场内交易员交易错误令道指一度暴跌千点纽交所的场内交易员交易错误令道指一度暴跌千点 4第一节 操

3、作风险管理概述一、操作风险的含义及其特点（一）操作风险的含义 广义的操作风险把市场风险和信用风险以外的所有风险都广义的操作风险把市场风险和信用风险以外的所有风险都视为操作风险。视为操作风险。 巴塞尔委员会定义操作风险为巴塞尔委员会定义操作风险为“由于不完善或有问题的内由于不完善或有问题的内部程序、人员、系统或外部事件造成直接或间接损失的部程序、人员、系统或外部事件造成直接或间接损失的风险风险”，这一关于操作风险的概念介于广义和狭义的操，这一关于操作风险的概念介于广义和狭义的操作风险之间，从中可以发现与操作风险密切相关的四大作风险之间，从中可以发现与操作风险密切相关的四大因素：因素：人员、流程、

4、系统和外部事件人员、流程、系统和外部事件。第一节 操作风险管理概述一、操作风险的含义及其特点（二）操作风险的主要特点操作风险主要来源于金融机构的日常运营，操作风险主要来源于金融机构的日常运营，人为因素是主要原因人为因素是主要原因。操作风险时间发生频率很低，但一旦发生就操作风险时间发生频率很低，但一旦发生就会会造成极大的损失乃至破产造成极大的损失乃至破产。单个的操作风险因素与操作性损失之间单个的操作风险因素与操作性损失之间不存不存在清晰的、可以定量界定的数量关系在清晰的、可以定量界定的数量关系。第一节 操作风险管理概述二、操作风险的表现形式（一）商业银行的业务分类l商业银行的业务部门可以分为：金

5、融机构财务、商业银行的业务部门可以分为：金融机构财务、交易与销售、零售银行业务、商业银行业务、交易与销售、零售银行业务、商业银行业务、支付与清算、代理服务、资产管理和零售经纪支付与清算、代理服务、资产管理和零售经纪等部门，其中等部门，其中投资银行业务和零售银行业务操投资银行业务和零售银行业务操作风险发生的概率最高，且一旦发生风险，带作风险发生的概率最高，且一旦发生风险，带来的损失也最大。来的损失也最大。第一节 操作风险管理概述二、操作风险的表现形式（二）操作风险类型（1 1）执行风险）执行风险，即执行人员不能正确理解管理人员的，即执行人员不能正确理解管理人员的意图或有意错误操作等意图或有意错误

6、操作等（2 2）信息风险）信息风险，即信息在机构内部或者机构内外之间，即信息在机构内部或者机构内外之间的产生、接收、处理、储存、转移等环节出现故障的产生、接收、处理、储存、转移等环节出现故障（3 3）关系风险）关系风险，即因为产品和服务、管理等方面的问，即因为产品和服务、管理等方面的问题影响到客户与金融机构的关系题影响到客户与金融机构的关系第一节 操作风险管理概述二、操作风险的表现形式（二）操作风险类型（4 4）法律风险）法律风险，即金融机构的经营管理活动不符合所，即金融机构的经营管理活动不符合所在地的法律和监管要求所导致的风险在地的法律和监管要求所导致的风险（5 5）人员发现）人员发现，即缺

7、乏足够合格的员工、缺乏对员工，即缺乏足够合格的员工、缺乏对员工表现的掐打评估和考核等导致的风险表现的掐打评估和考核等导致的风险（6 6）系统风险事件）系统风险事件，即电脑系统等出现故障所可能导，即电脑系统等出现故障所可能导致的风险。致的风险。第一节 操作风险管理概述二、操作风险的表现形式（三）操作风险事件损失的主要原因（1 1）内部欺诈）内部欺诈，即有机构内部人员参与的诈骗、盗用资，即有机构内部人员参与的诈骗、盗用资产、违犯法律以及金融机构的规章制度的行为产、违犯法律以及金融机构的规章制度的行为（2 2）外部欺诈）外部欺诈，即第三方的诈骗、盗用资产、违犯法律，即第三方的诈骗、盗用资产、违犯法律

8、行为行为（3 3）雇佣合同以及工作状况带来的风险事件）雇佣合同以及工作状况带来的风险事件，即由于不，即由于不履行合同、或者不符合劳动健康、安全法规所引起履行合同、或者不符合劳动健康、安全法规所引起的赔偿要求的赔偿要求第一节 操作风险管理概述二、操作风险的表现形式（三）操作风险时间损失的主要原因（4 4）客户、产品以及商业行为引起的风险事件）客户、产品以及商业行为引起的风险事件，即有，即有意或无意造成的无法满足某一顾客的特定需求，意或无意造成的无法满足某一顾客的特定需求，或者是由于产品的性质、设计问题造成的失误或者是由于产品的性质、设计问题造成的失误（5 5）有形资产的损失）有形资产的损失，即由

9、于灾难性事件或其它事件，即由于灾难性事件或其它事件引起的有形资产的损坏或损失引起的有形资产的损坏或损失（6 6）经营中断和系统出错）经营中断和系统出错（7 7）涉及执行、交割以及交易过程管理的风险事件。）涉及执行、交割以及交易过程管理的风险事件。第二节 操作风险管理框架本节内容安排：一、操作风险管理的原则二、建立有效的操作风险管理框架第二节 操作风险管理框架一、操作风险管理的原则 操作风险管理的操作风险管理的核心仍然是对人的管理，包括核心仍然是对人的管理，包括对人的道德、能力和良好的激励框架的管理对人的道德、能力和良好的激励框架的管理等。等。巴塞尔委员会于巴塞尔委员会于20032003年年2

10、2月提出了关于操作风月提出了关于操作风险管理的十项原则，其具体内容是：险管理的十项原则，其具体内容是：l原则一原则一：董事会董事会应该意识到操作风险管理的主应该意识到操作风险管理的主要内容，应该批准、定期复议银行操作风险的要内容，应该批准、定期复议银行操作风险的管理框架。管理框架。第二节 操作风险管理框架一、操作风险管理的原则l原则二原则二：董事会应该保证由操作上独立的、受过：董事会应该保证由操作上独立的、受过训练、有经验的人员对操作风险的管理架构进行训练、有经验的人员对操作风险的管理架构进行有效、全面而独立的有效、全面而独立的审计。审计。l原则三原则三：高级管理人员有责任实施董事会批准的：高

11、级管理人员有责任实施董事会批准的操作风险管理框架操作风险管理框架。这个框架应该在银行内部实。这个框架应该在银行内部实施，各层面的人员应该理解自己在操作风险管理施，各层面的人员应该理解自己在操作风险管理中的责任，高级管理人员有责任对银行产品、活中的责任，高级管理人员有责任对银行产品、活动、过程和体系建立管理操作风险的政策、程序动、过程和体系建立管理操作风险的政策、程序和过程，并进行日常管理。和过程，并进行日常管理。第二节 操作风险管理框架一、操作风险管理的原则l原则四原则四：银行应该对所有重要的产品、业务活：银行应该对所有重要的产品、业务活动、管理过程、管理体系内在的操作风险进行动、管理过程、管

12、理体系内在的操作风险进行确定和评估确定和评估。l原则五原则五：银行应该对操作风险和重大的损失进：银行应该对操作风险和重大的损失进行行日常监控日常监控，对高级管理人员和董事会进行日，对高级管理人员和董事会进行日常报告。常报告。第二节 操作风险管理框架一、操作风险管理的原则l原则六原则六：银行应该有相应的：银行应该有相应的政策、过程和程序政策、过程和程序来来控制重大的操作风险。控制重大的操作风险。l原则七原则七：银行应具备业务：银行应具备业务连续计划连续计划，以保证连续，以保证连续业务操作能力，在业务中断的情况下使损失最小。业务操作能力，在业务中断的情况下使损失最小。l原则八原则八：银行的监管当局

13、应该要求所有的银行，：银行的监管当局应该要求所有的银行，不管大小，都建立一个不管大小，都建立一个有效的框架有效的框架来确定、评估、来确定、评估、控制或缓释操作风险，作为全面风险管理的一部控制或缓释操作风险，作为全面风险管理的一部分。分。第二节 操作风险管理框架一、操作风险管理的原则l原则九原则九：监管当局监管当局因该直接或间接地对银行操因该直接或间接地对银行操作风险的政策、程序和做法进行日常的、独立作风险的政策、程序和做法进行日常的、独立的评估。的评估。l原则十原则十：银行应该进行充分而公开的：银行应该进行充分而公开的信息披露信息披露，让市场参与者评估银行操作风险的管理方法让市场参与者评估银行

14、操作风险的管理方法。 第二节 操作风险管理框架二、建立有效的操作风险管理框架l有效的操作风险管理框架包含四个组成部分：有效的操作风险管理框架包含四个组成部分：战战略、流程、基础设施和环境。略、流程、基础设施和环境。基基 础础 设设 施施环环 境境风险识别风险识别控制框架控制框架评评 估估监测和度量监测和度量报报 告告目标目标战略战略治理模板治理模板目标目标政策政策流程流程验证和再评估验证和再评估第二节 操作风险管理框架（一）操作风险管理的战略和政策l战略：由董事会制定，包括业务目标、金融机战略：由董事会制定，包括业务目标、金融机构治理结构、风险偏好及操作风险政策。构治理结构、风险偏好及操作风险

15、政策。l政策：创立起银行确定、度量和监控所有重要政策：创立起银行确定、度量和监控所有重要操作风险的机制，而且应该满足：董事会批准、操作风险的机制，而且应该满足：董事会批准、适合风险范围和业务活动，能被管理风险的人适合风险范围和业务活动，能被管理风险的人员完全理解。员完全理解。19第二节 操作风险管理框架20董事会董事会集团集团风险管理委员会风险管理委员会审计委员会审计委员会业务业务1业务业务2集团支持性集团支持性职能部门职能部门风险管理职能部门风险管理职能部门法律、合规、法律、合规、人力资源部门人力资源部门内部审计内部审计三条线管理三条线管理第二节 操作风险管理框架（二）操作风险管理过程l1

16、1）确定操作风险）确定操作风险l2 2）风险评估与量化）风险评估与量化l3 3）风险缓释）风险缓释l4 4）风险监控）风险监控l5 5）风险汇报）风险汇报21第二节 操作风险管理框架（三）操作风险管理的基础设施l指风险管理系统和管理工具。包括：指风险管理系统和管理工具。包括：系统、数系统、数据、方法、政策和程序。据、方法、政策和程序。l系统：用来支持自我评估、损失数据库、风险系统：用来支持自我评估、损失数据库、风险指标收集和报告、保险管理和资本模型的工具指标收集和报告、保险管理和资本模型的工具22中风险高风险中风险低风险损失程度损失程度损失可能性关注关注第二节 操作风险管理框架（四）记分卡方法

17、 记分卡是金融机构对风险与内控的一个记分卡是金融机构对风险与内控的一个自我自我评估评估，主要包括风险事件、风险拥有者、风险，主要包括风险事件、风险拥有者、风险发生可能性、风险影响力、缓释风险的控制措发生可能性、风险影响力、缓释风险的控制措施、控制实施者、控制设计和控制影响等。记施、控制实施者、控制设计和控制影响等。记分卡方法至少应包括风险事件、风险发生可能分卡方法至少应包括风险事件、风险发生可能性和风险影响力等三个因素。性和风险影响力等三个因素。第二节 操作风险管理框架（五）操作风险管理的环境 操作风险管理的环境包括操作风险管理的环境包括企业风险文化和相企业风险文化和相关的外部因素关的外部因素

18、。企业风险文化是风险管理的软。企业风险文化是风险管理的软件，它表现为风险管理的态度、价值观、目标件，它表现为风险管理的态度、价值观、目标和行为等。和行为等。第三节 操作风险的评估与控制 本节内容安排：l一、操作风险模型化的背景 l二、操作风险评估与测量l三、操作风险管理工具保险l四、操作风险管理模型第三节 操作风险的评估与控制 一、操作风险模型化的背景 l在过去相当长的时期内，操作风险被认为是不能在过去相当长的时期内，操作风险被认为是不能度量的，操作风险模型化也面临一些问题，首先度量的，操作风险模型化也面临一些问题，首先是不能将操作风险的度量与操作风险管理有机地是不能将操作风险的度量与操作风险

19、管理有机地结合起来，其次是数据收集和分析方面所面临的结合起来，其次是数据收集和分析方面所面临的挑战。挑战。l基本指标法、标准化方法、内部衡量法、损失分基本指标法、标准化方法、内部衡量法、损失分布法、以及极值理论方法作为操作风险度量模型布法、以及极值理论方法作为操作风险度量模型都能够为金融机构操作风险管理提供一种可以参都能够为金融机构操作风险管理提供一种可以参照的标准。照的标准。第三节 操作风险的评估与控制 二、操作风险评估与测量收集信息收集信息，即进行完整评估所需的信息。，即进行完整评估所需的信息。1.1.建立风险评估框架建立风险评估框架，即在收集信息的基础上，即在收集信息的基础上，对各类风险

20、的主要因素、人员、流程、技术、对各类风险的主要因素、人员、流程、技术、外部依赖性、总体评价和损失后果按照风险外部依赖性、总体评价和损失后果按照风险评估框架进行分析处理。评估框架进行分析处理。第三节 操作风险的评估与控制 二、操作风险评估与测量考察和核实考察和核实，即在风险评估报告完成后，风，即在风险评估报告完成后，风险管理部门要向同业务部门高层管理人员一险管理部门要向同业务部门高层管理人员一起复查评估结果，核实有关风险因素，修正起复查评估结果，核实有关风险因素，修正评估结果。评估结果。3.3.评估结果的最后报告评估结果的最后报告得出评估结果得出评估结果，即，即按照损失的可能性和严重性，按照高、

21、中、按照损失的可能性和严重性，按照高、中、低的程度给出给累操作风险概览，从而引起低的程度给出给累操作风险概览，从而引起管理层的关注。管理层的关注。 第三节 操作风险的评估与控制 三、操作风险管理工具保险l长期以来，保险一直是操作风险管理的重要工长期以来，保险一直是操作风险管理的重要工具。常用于操作风险管理的具。常用于操作风险管理的保险产品保险产品主要包括主要包括银行一篮子保险、计算机犯罪保险、未授权交银行一篮子保险、计算机犯罪保险、未授权交易保险、财产保险、营业中断保险、错误与遗易保险、财产保险、营业中断保险、错误与遗漏保险、商业综合责任保险、雇员行为责任保漏保险、商业综合责任保险、雇员行为责

22、任保险、经理与高级职员责任保险、电子保险等。险、经理与高级职员责任保险、电子保险等。 第三节 操作风险的评估与控制 四、操作风险管理模型l操作风险度量模型可以划分为三类，即操作风险度量模型可以划分为三类，即基本指基本指标法、标准化方法和高级衡量法标法、标准化方法和高级衡量法，其中高级衡，其中高级衡量法又包括内部衡量法、损失分布法、极值理量法又包括内部衡量法、损失分布法、极值理论模型、记分卡法以及其它一些新的高级衡量论模型、记分卡法以及其它一些新的高级衡量法。法。 第三节 操作风险的评估与控制 四、操作风险管理模型（一）基本指标法l基本法将单一的风险暴露指标与一个固定的百基本法将单一的风险暴露指

23、标与一个固定的百分比分比相乘得出相乘得出监管资本要求监管资本要求。目前建议使用。目前建议使用总收入总收入GIGI作为这一指标，因此所需监管资本作为这一指标，因此所需监管资本K K为：为：K=*GIl基本指标法下的监管资本应达到现行最小监管基本指标法下的监管资本应达到现行最小监管资本的资本的12%12%，因此，因此一般设在一般设在12%12%20%20%。该方法。该方法进适用于一些业务范围较窄的小银行。进适用于一些业务范围较窄的小银行。第三节 操作风险的评估与控制 （二）标准化方法将银行业务按操作风险大小划分为八大类别。每项业将银行业务按操作风险大小划分为八大类别。每项业务类别的监管资本就是该类别的风险暴露指标与其务类别的监管资本就是该类别的风险暴露指标与其因子的乘积。因子的乘积。八大业务有八大业务有：金融机构融资、交易和销售、零售银行、：金融机构融资、交易和销售、零售银行、商业银行、支付和结算、代理服务和监理、资产管理商业银行、支付和结算、代理服务和监理、资产管理和零售经纪和零售经纪K EIii值由巴塞尔委员会统一确定，但不能小于值由巴塞尔委员会统一