操作风险数据库

一、建立操作风险损失数据库的重要意义1、收集数据过程本身是对银行所面临的操作风险的识别过程定义不仅是为实务从事者提供一致的含义，它也是操作风险分类、度量和控制的前提和基础，不同的定义反映了对操作风险管理的目的与范围。数据收集本质上是对定义讨沦的再阐述，是对所选择的操作风险定义的具体化。收集数据时，首先要解决的问题是对操作风险损失数据进行分类，确定什么样的数据需要收集，确定操作风险损失数据库的结构。数据的结构决定了特定分析方式的可行性和所得结果的实用性。分类是对定义内涵的进一步细化.分类必须保持一致，按照一定的逻辑类型，特定的分类结构决定着特定分析方法可行性和得到结论的实用性。如果分类是任意的，任何从数据得出的价值也是不规则的。例如，确定完整的风险矩阵是采用自下而上法计算操作风险的资本要求的前提和基础，确定预期损失和非预期损失的大小是正确选择风险转移方式的条件。日前我国监管机构对操作风险没有统一的定义，银监会有关部门负责人就《通知》答记者问时认为操作风险是由于银行内部控制及公司治理机制的失效，具体表现为失误、欺、越权交易以及包括信息技术系统的重大失效或诸如火灾和其他灾难等事件。然而，要对操作风险更系统的认识，需要有一一个统一的定义。目前.巴塞尔委员会对操作风险的定义得到业界的广泛接收，它确定的业务类别-一事件类型风险矩阵能够清楚显示各业务类别的操作风险,以及以什么样的事件形式而存在，便于对了解操作风险产生的原因、在风险管理中有效地识别和控制操作风险。为了与国际接轨，我国的商业银行应当采用巴塞尔委员会关于操作风险的分类体系，把银行的操作风险损失映射到这个标准矩阵中去，在标准矩阵中再进一步细分了每个单元的损失类型，做到不遗漏不重叠，涵盖所有的业务损失。2操作风险损失数据库的建立是操作风险计量的前提和基础操作风险的完全分析的基础是数据的完整性和质量，如果数据稀少、有偏、不完整或有瑕疵，任何分析的结果都是值得怀疑、甚至是毫无意义的，町能形成“输入的是垃圾，输出的也是垃圾”。为了解决高级法所面临的数据问题，部分大型国际活跃银行开始建立自己的损失数据库，另外也出现了一些官方性质或商业性质的数据库.例如，在瑞士所建立的“操作风险资料交换协会”，会员包括一些北美与欧洲知名的大型国际性银行，该协会除收集操作风险损失资料外，也确定了信息比较与共享原则。英国银行家协会也于20年6月建构全球操作风险损失数据库，初期参与资料提供的会员包括英国、欧洲、北美及澳洲等22家银行。其主要目的是协助会员银行全面提升操作风险管理品质、提供操作风险量化分析与模型建立的工具，及达成最佳资本配置的目标.3收集操作风险损失资料也是健全与完善操作风险管理的重要手段收集操作风险内部损失资料除可强化组织内部对操作风险的了解与认识,通过过去的损失经验与采取的改善行动来掌握操作风险的整体风险，全面提升操作风险管理的品质。进行损失资料收集还隐含着组坌一｝文化方面的问题.一般来说.业对于损失事件的发生多持管理错误的心态。一一日.发乍损失事件，除非损失相当严重，多是视而不见，更不用说确实收集相关损失资料.随着操作风险正式纳人资本计提范畴后，如何建构系统有效的方式收集损失资料已成为落实操作风险管理的重要一环。若能将错误视为改善的契机，对损失事件捉供者以适度保护，同时确保资料的机密性,分离数据收集、资料分析与执法等主体，将可鼓励员I:以积极、正自的心态揭露操作风险损失事实｝:，收集操作风险损失资料除一强化组织内部对操作风险的意识外，借着分析过去的损失经验，对掌握操作风险的整体情形，采取适当的改善行动，及提升操作风险管理的品质都有助益。操作风险损失数据库的结构与内容根据巴塞尔委员会对操作风险的定义.在建立损失数据库时应收集以F方面的信息：事件发生、发现及结束时间，事件发l牛的地点，事件的责任主体，事件发生的业务类别和事件类别，损失大小，损失收叫金额及其收回的途径，是否与市场风险和信用风险相亲相关，事件原因的描述等内容.此外，基于管理上的日的，一些额外信息也有收集的必要。例如，没有造成任何财务损失的事件资料、或具有信用风险特性的损失事件资料，包括与诈欺相关的信用损失等。虽然这些搠失事件资料无须列入操作风险法定资本的计算之中，不过，若从操作风险管理的层而来看，仍有收集的必要.闪此，侄收集损失事件资料时,可依其日的不同，区分为法定资本需求与砜险管珊需求但前提是损失事件资料收集必须以统一的方式进行，有先进、完善的资料收集系统相配合.事实上，内部损失事件资料的完善与否取决于资料收集过程的—致性完整性管理阶层除须确认操作风险损失事件佶息的收集涵盖所有重要业务单何、事件、产品型态，及地理区域外，也项建立与损失资料收集相荚的政策与程序,如指派对操作风险及相关资料收集具充分［解的适当人员来管理内部损失资料.收集数据要处理好的几个问题3.1正确归并新资本协议的三种风险损失数据过去我们经常把操作风险看作是市场风险和信用风险的一部分或称作“其它风险”，因此在收集操作风险损失数据的时候要正确区分这三种风险。例如我们传统上认为巴林银行倒是由市场风险造成，但它足典型意义上的未授做交易所形成的操作风险。如果操作风险损失与信用风险相关，拜在过去已反映住银行的信用风险数据库中（如抵押品管理失败），虽然根据新资本议的要求，在计算最低监管资本时应将其视为信用风险损失，对此类损失不必汁入操作风险资本。但是，银行应将所有的操作风险损失记录在内部操作风险数据库中,以与操作风险定义范围和损失事件类型保持一致。任何与信J}J风险有关的损失，应该在内部操作风除数据库cfl地反映出来如做标记J。如槊操作风险损失f场风险哭，则根据新框架要求，往汁算最低监管资本时应视操作风险损失因而此类数据应放入操作风险损失数据库。2要确定合适的阂值收集损失数据时需要设定适当的总损失底线，确定合适―的损失金额收集底线本身是一件复杂的事情，如果阂值定得过高，可能收集不到足够的损失数据以反映操作风险损失的厚尾性，在进行量化分析时出现样本不够的偏差；阈值过小，会增加收集的成本。因此确定阈值要根据量化分析和管理的要求和成本来确定.适当的底线可因行而异，在一家银行内部也可因业务类别和损失事件类型而异，可依据不同产品型态、业务类别、地理区域或其它因素来决定，当然这个底线必须合理，例如不可排除重要的损失事件，且须掌握银行操作风险损失的重婪部分。巴寒尔委员会风险管理小组在QIS2中确定的底线是lOOOO欧元/美元，而欧洲银行的一般标准是10欧元.根据我国商业银行的实际情况，目前数据收集的底线确定为人民币10元较为合适。3. 3正确处理内外部数据库的关系对内部数据的跟踪记录是开发使用可行的操作风险计量系统的前提。但低频高损的操作风险事件很少在一家银行内发生，银行这方面的历史数据积累年限也较短。尽管有一些有关操作风险的著名案例，例如高山案件，但是大多数银行都缺少估计操作风险大小所需的损失事件的数目.所以既要注意在积累内部数据，又要弓1人行业整体数据做补充。外部数据的来源有四种:①通过公共信息渠道收集;②操作风险数据库软件，如OpRiskAnalytics、Opvantage、FitchRisk等。这些软件由一些著名的金融机构开发,已发展得较为成熟，但其数据收集同样容易受到主观影响;⑧行业数据库，这在我们国家是非常重要的，目前已有银行向银监会报告损失数据的要求，因此由银监督会自身或指定一个机构如银行业协会建造一个行业数据库是最为恰当和可行的；④保险公司也是外部损失数据来源的重要渠过，主要从保险公司的理赔及其它外部管道取得损失资料，可用作分析并提供相关报告。3— 4正确处理资料的保密性和操作风险披露制度的关系由于担心披露操作风险损失事件会损伤自身声誉，或被执法机关所获知，甚至被个人用于对抗银行的手段，很多银行在信息披露方面持消极态度。同时，我国的监管机构也没有强制性的损失数据披露要求，只在《通知》第五条中要求商业银行“进一步扩大社会和新闻舆论对银行的监督;对已发生的大案，可以披露的，要加强信息披露工作，及时详细介绍整改规划和具体措施，正确引导公众舆论，争取主动。”然而实际应用中什么是可以披露的，是一个模糊的概念。因此，要保证外部数据有充足的来源，需要银行监管机构有进一步的细化规定。部分机密性的损失数据可以更多地由监管机构收集，这部分数据的使用者只能了解损失金额以及业务类别和事件形式等有限内容,一方面保证了数据的保密性，同时又满足了数据共享的要求。结论数据收集是对自身所面临的操作风险的一个识别过程，同时也是计量操作风险的前提和基础,以及健全与完善操作风险管理的重要手段。我国银行业应当根据巴塞尔委员会对操作风险的分类体系建立自己操作风险损失数据库。在这个过程中要注意内部数据与外部数据的结合与补充，作到银行自身内部数据库与行业性、商业性和官方性的数据库的相互结合.目前由银监会自己或指定某个机构建立一个行业性的数据库是最为恰当和可行。证券公司操作风险识别目前证券公司的操作风险主要分布在自营业务、经纪业务、投资银行业务、资产管理业务、投资咨询业务等方面，同时计划资金部作为公司业务的支持部门，其资金运用和调度，对公司风险具有直接的重大影响。其中，自营业务中，主要是由于内部管理出现漏洞、管理失控或存在缺陷，使得内部人员操作不当，有时甚至出现利用管理漏洞或缺陷而违法违规谋利的内部人犯罪，造成证券公司的损失。经纪业务中，主要有操作流程风险、电脑网络系统风险（电脑、网络出现各种故障，尤其是导致交易瘫痪的严重故障）、违规违法经营风险。投资银行业务主要体现在项目人员没有做到应尽的调查职责、对项目公司材料的准确性、全面性、真实性没有深入细致的了解；或者项目人员为了促进项目的成功，与公司串通编制虚假材料，骗取融资资格；或者项目人员携带项目跳槽，为原公司带来损失；由于证券发行人问题或券商项目人员的操作问题，使证券发行申请被否决，证券发行项目流失，券商在该项目中的前期投入成本付之东流。资产管理业务中，主要是在投资阶段违反权限管理协议规定进行操作，使用公司法人账户和其他非委托人证券账户为客户进行投资操作，未履行公司授权与决策程序，操作人员未按指令操作造成损失，操作人员越权操作;在清算过程清算部资金清算错误造成损失,财务部核算错误造成损失，结项时收款人名称与委托协议中委托人名称不一致;在开户与资金人账环节，开户证明材料不全造成纠纷，未履行对客户资金的专户管理,客户的委托资金账户对应多个证券账户，未履行资金人账程序造成纠纷，资金人账有关文件不完备造成纠纷。投资咨询业务中,有违反投资咨询业务资格认定制度的风险，尚未实行资格审批的从业人员从事证券投资咨询，违反证券公司内部控制防火墙原则产生的风险，尚未在投资咨询业务和自营、承销等业务部门之间建立“防火墙”，违反相关利益人回避原则的风险，证券投资咨询机构及其执业人员在与自身有利害冲突的下列情况下没有进行执业回避，传播虚假信息、诱骗投资买卖的行为，诱导投资者从事短线交易，与机构或庄家串谋制造虚假信息,信息误导行为.在计划资金部业务中，主要存在业务流程漏洞或不完善、计算机系统包括通讯系统）不稳定（包括系统自身软件或硬件有缺陷、病毒侵入、外界侵入或者其他不可抗因素如盗窃、火灾、断电等造成系统暂时不可使用或永久损害）、员工业务操作不熟练或失误、或者员工个人原因（如生病、品行有缺陷）、其它部门不能提供即时有效的配合或服务。如上分析，操作风险一方面会给证券公司带来实际的资金损失，如操作不当造成的业务收入损失，违规经营造成的罚款损失等；另一方面，违规经营造成的操作风险还会给证券公司的信誉带来很大的负面影响，产生潜在损失。二、西方证券公司操作风险管理方法根据西方证券公司操作风险管理的实践，目前各机构分别处于操作风险管理的五个发展阶段上，如图所示。从操作风险管理的发展来看，目前大多数西方证券公司都处于认知、监控阶段，少数规模大、实力强的公司达到了量化和整合阶段.自我评估、风险图/流程分析、风险指标跟踪分析、风险临界指标分析和损失数据库模型图1操作风险管理的五个发展阶段等技术得到了广泛应用。其中自我评估技术包括使用询问、调查表和利用外部评估等辅助手段。另外还有一些技术要求较高，还未在证券公司内推广，如经济资本配置方法、资本资产定价模型和风险调整的资本收益率法。三、我国证券公司操作风险的管理就我国证券公司而言，其对操作风险的管理仍处于传统管理阶段，主要依靠内部控制程序来实现岗位分离和责任分离。21年证监会颁布了《证券公司内部风险控制指引》，旨在推动证券公司内控体制的发展。各证券公司都制定了详细的内部控制制度，并上报证监会.大部分公司的内控制度都着眼于各项业务流程的岗位责任分离和内部稽核，其一个突出的问题是在风险管理的组织制度上缺乏以独立风险管理部门为中心，与各企业部门紧密联系的风险内部管理系统这一有效运作机制和组织制度的保障。尽管内控制度中都列明了设立独立的风险管理委员会，但实际上大部分证券公司的风险管理委员会都由总经理和各部门经理组成，缺乏独立性，从而很难做出独立的风险管理决策。还有一些证券公司以内部稽核委员会取代风险管理委员会，将风险管理简单地视为风险稽核和审计.由于整个公司的风险管理处于一种业务分立、部门分立的状态，同时风险管理的手段又仅限于单一的制度控制，因此很难做到事前防范风险，操作风险管理经常流于事后的控制。考虑到我国证券公司的发展现状，由于缺乏风险损失数据，因此很难采取量化风险管理手段。但目前从操作风险的传统管理阶段过渡到认知和监控阶段还是可行的。（一）操作风险管理的组织结构设置风险管理组织结构分为两个层次：一是总公司层次的风险管理委员会；二是每个子公司和业务部门内部的风1系统化的风险度量和管理工具2跨部门的风险分析3建立风险指标和损失之间的相关性4基于风险分析和资本实力考虑的保险策略5风险调整的收益分析险控制部.风险管理委员会的主要职责是负责考虑整个企业的风险管理理念及战略问题，集行政检查监督、业务稽核审计和内部管理于一身，直接对董事会和总经理负责。具体而言:委员会向董事会提交独立风险报告；委员会有权审阅所有的日常交易记录，听取风险管理经理、风险政策负责人以及合规部门的汇报，形成风险管理建议；向董事会提出风险管理建议，包括根据风险管理执行部门和子公司或业务部门内的风险控制部的建议建立操作风险管理指标体系；雇佣有经验的专业人员和设立适当的业务操作系统;建立独立的风险管理单位来度量、控制和报告风险；建立稽核检查制度和稽核处罚制度；督促各项内部管理措施的和规章制度的贯彻实施，保证独立地履行监督反馈职能；定期检查风险程度；经常重新评估审视“风险管理政策"；法律、税收、会计等事项的安排.子公司或业务部门内的风险控制部的主要职责为：测量、监督所在部门的风险情况，并及时向风险管理委员会及其下属的风险管理部门报告；提出针对风险来源的具体控制办法；制定本部门或公司风险管理的各项制度，作为高层的风险参谋，策划风险管理的各项工作;提出风险管理的改进办法；建立有效的事后补救机制.二制定统一的操作风险管理指标统一的操作风险管理指标应该包括：保证金管理指标、交易程序控制指标、技术支持指标、项目评估和报批控制指标、承销环境控制、资金使用控制指标，对操作风险的度量始于数据库的建立。数据库的建立和管理对理解整个企业的风险控制环境至关重要。数据库应该分别分析每个业务单位导致潜在损失的活动。数据