商业银行操作风险管理PPT课件

商业银行操作风险管理2010.提纲操作风险命题提出的背景操作风险的定义、类型及特点我国商业银行操作风险管理的现状加强操作风险管理的措施操作风险的监管建议.一、操作风险命题提出的背景.1988年巴塞尔委员颁布的《巴塞尔协议》对信用风险的一系列要求拉开了规范全球银行业风险管理的序幕。国内外各家银行都努力按照《巴塞尔协议》的要求规范着自己的信用风险和市场风险管理然而进人90年代后，国际金融界发生了一系列由操作风险导致的银行案件。.巨额金融损失的经典案例1992年、1993年，马来西亚银行因对汇率预期失误分别损失30多亿美元和20多亿美元1995年，具有223年悠久历史的英国巴林银行因在衍生产品交易中损失13亿美元宣布破产1996年，员工井口俊英账外买卖美国联邦债券隐瞒亏损最终造成日本大和银行损失11亿美元。98年长期资本公司破产新加坡中航油事件，损失5.5亿美元.这些案件对长期关注信用风险和市场风险的商业银行风险管理提出了严峻挑战，使银行经营人员开始意识到操作风险管理的重要性。2003年巴塞尔委员会发布了《操作风险管理和监管稳健做法》对商业银行操作风险监管提出了10条原则2004年6月正式公布了《新巴塞尔资本协议》。《新巴塞尔资本协议》不但把风险区分为市场风险、信用风险和操作风险三类，而且把操作风险纳入到了资本充足率的计算之中，从而确立了操作风险在商业银行风险管理中的重要地位。.二、操作风险的定义、种类和特点.操作风险的定义国际上对操作风险的定义一直存有争议广义操作风险概念，它把信用风险和市场风险之外的所有风险都视为操作风险。狭义操作风险概念，认为只有与业务运营部门有关的风险才是操作风险。监管部门对操作风险的定义基本一致《新巴塞尔资本协议》中，确认了操作风险是指由于不完善或失灵的内部程序、人员和系统或外部事件导致风险。银监会在《商业银行操作风险指引》将操作风险定义为：由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。定义所指操作风险包括法律风险，但不包括策略风险和声誉风险。.引起操作风险的因素内部因素人：操作失误、违法行为、越权行为、违反用工法、关键人员流失流程：流程不合理、流程执行不严格系统系统失灵：系统漏洞、数据信息安全性外部因素外部事件：外部欺诈突发事件：自然灾害、抢劫、工作场所安全性经营环境的不利变化：政策、监管环境变化.操作风险的分类内部欺诈风险主要包括商业银行内部工作人员受贿、贪污、挪用、诈骗、偷盗、抢劫、受贿、不尽职调查、越权违规发放不合规贷款、在不良资产处置中进行市场操纵和内部交易、进行未授权交易、超过限额交易、未报告的交易、走私、违规进行协议透支、未经授权访问客户账户、窃取信息、设置病毒等行为给银行造成的损失。外部欺诈风险主要包括外部不法分子单独或伙同银行内部工作人员诈骗、挪用、偷盗、抢劫、诈骗贷款、恶意逃废银行债务、虚假交易、伪造文件、信用证欺诈、恶意透支、伪造银行卡、窃取信息，黑客入侵、克隆网上银行和电话银行、防火墙瘫痪、破坏通信线路等行为而给银行造成的损失。.客户、产品和经营行为风险主要包括商业银行在业务经营活动中，由于洗钱、销售歧视、高息揽存、不恰当广告、产品功能设计不完善、侵害他人版权、营业时间及服务质量疏忽、错误的理财建议、不当或不法利用客户存款信息、单方面修改、擅自提高服务价格、签订贷款合同后未发放贷款、未动态掌握客户信息导致客户调查失败、无效借款合同、无金融许可证和营执照发放贷款、强迫销售产品、未对敏感问题进行披露、泄露客户信息等行为给银行造成的损失。执行交割和流程管理风险主要包括违反规章操作、违规建立不被承认账户、票据及现金传递错误、利息计算错误、缺乏客户允许、开户无法定文件，外部揽存人员违规，逆程序或跨程序发放贷款、合同执行管理不规范、抵押担保手续不完备、传递错误、贷后管理不到位、未履行强制性报告义务、缺乏法定文件、任务执行错误等行为给银行造成的损失。.经营中断和系统错误风险主要表现为由于通信故障、交易不成功而造成客户或银行资金损失。劳动用工及工作场所风险主要表现为银行与员工在劳动用工管理、合同管理、福利保障方面，在营业场所安全方面，违反相关规定形成的诉讼而给银行造成的损失。物理资产破坏风险主要表现为洪水、地震、火灾等自然因素而造成的物理资产损失。.操作风险成因有明显的内生性市场风险、信用风险一般为外生性风险，是由于外部不确定的因素引发的，如外界的债务人资质变动或市场价格波动而引发的风险。而操作风险，除自然灾害及外部冲击等一些不可测的意外事件外，大多是由于内部不合规的操作因素引起的，它的防范依赖于银行的结构、效率和控制能力，如内部程序、人员和系统的不完备或失效，银行工作人员越权或从事职业道德不允许的或风险过高的业务都会导致银行产生损失。操作风险与预期收益非一一对应对于信用风险和市场风险来说，存在风险和报酬的一一对应关系，风险越大，收益也越大，是一种投资风险或带有投机性的风险，但是这种关系并不适用于操作风险，操作风险引起的损失在很多情况下与收益之间的关系;并不明显，也不一致。银行无时无刻不在承担着操作风险，可这无法保证银行能够长时间、持续的获得收益，而且操作风险损失在大多数情况下也与收益的产生没有必然的联系。操作风险的特点.操作风险有较强的人为性操作风险存在于商业银行的日常营运，因此人为因素在引发操作风险的因素占有重要的地位。绝大多数的操作风险则更多可以归因于有意或无意的、来自企业内部或外部的人为操作失误，只要与人相关的业务，都存在操作风险。因此，在业务规模大、交易量大、结构变化迅速的业务领域受到操作风险冲击的可能性最大。操作风险有较大的危害性主要体现在三个方面:一是直接的经济损失:大宗的金融衍生交易、内部人员长期从事非法交易带来的巨额经济损失会给银行带来毁灭性打击，这从巴林银行倒闭可以看出。二是银行声誉上的损害:银行自成立之日起，就以严谨细致、审慎规范的形象出现。因此商业银行一旦出现操作风险，就会超出社会各界的心理承受能力，包括投资者在内的社会各界会认为银行普遍管理不当，很可能会继续发生损失，从而给银行声誉带来严重损害。进一步的，当客户对银行信心不足时，会发生存款挤兑。三是由声誉上的损害引发的股价下跌。.操作风险有较大的广泛性操作风险发生的可能性几乎遍布银行的所有业务环节，从产品的复杂性、新技术的应用、人员的流动、人员的欺诈行为、规章制度的建设到会计系统的稳定，银行内任何一个环节都可能引发操作风险。可见，任何一个部门都不可能游离于操作风险管理之外。在内涵上，它包括了银行内部很大一部分风险，如控制风险、信息技术风险、法律风险以及欺诈风险等，相信将来还会有许多新的风险不断被归入其中。操作风险的复杂性操作风险的因素较为复杂，如产品的复杂性、新技术的应用、人员流动、违规操作等都可能引起操作风险，而通常可以监测和识别的操作风险与由此可能导致的损失规模、频率之间不存在直接的关系，常常带有鲜明的个案特征，因而银行的风险管理部门很难确定哪些因素对于操作风险管理来说更为重要。.三、我国商业银行对操作风险管理的现状.20世纪90年代以后，操作风险问题越来越突出，特别是近两年有加速曝露的趋势。就己披露的案件看，大案要案触目惊心。如2004年发生的交通银行锦州分行2.21亿元核销不良贷款作假案、山西“7.28”系列诈骗案:2005年发生的中国银行黑龙江河松街支行10亿元诈骗案、吉林建行两起总值4亿元大案、中国银行北京分行的6.45亿元按揭贷款骗贷案、光大银行广州越秀支行的近亿元骗贷案等等。可以肯定的是，这些案件只是银行业操作风险中的“冰山一角”，大量的损失金额较小的操作风险还没有披露。我国银行业操作风险的严重性令人担忧.对操作风险的认识存在5大误区操作风险就是操作性风险或操作中的风险操作性风险不能等同于操作风险，尽管操作性风险是操作风险中发生频率最大、占比最高的风险类型。从操作性风险占的比为70%。正如前面所述，这种将操作风险狭隘地定义为操作性风险的做法，往往会使得建立在这一认识基础上的操作风险管理体系不能覆盖所有的操作风险，从而使银行难以防范那些突发事件的冲击，如国内某行出现的系统瘫痪。操作风险等同于金融犯罪金融犯罪显然不包括那些由于银行自身不完善的流程和系统漏洞以及外部事件等因素造成的操作风险。最简单的例子就是操作失误，比如银行员工误将取款操作成存款，或者数字录入错误等均属于操作风险的范畴，但并不构成犯罪。将操作风险等同于金融犯罪，往往会使银行无意识地缩小操作风险的管理范围，错误地将操作风险管理等同于金融犯罪管理，从而将操作风险管理职责不恰当地赋予内部监督或安全保卫部门。这恰恰是造成目前我国银行业操作风险管理进展缓慢的原因所在。.操作风险是无法计量的，因而不能为其分配资本如果我们就单个年份来看，一些操作风险事件是无规律的，一旦将这些操作风险事件放在很长一段时间和同类型的大量数据中就会发现，这些操作风险往往会以某种稳定的概率发生。这正是人们量化操作风险的基础。为操作风险分配资本的最大好处就在于，当银行遭受某种灾难性损失的时候不至于瘫痪，甚至于倒闭。在不可量化思想的支配下，很难想象银行会致力于操作风险量化模型的开发。这或许是国内银行业操作风险管理水平难以提升的重要原因之一。各种操作风险事件之间是孤立的、毫无联系的表面看来，工作人员的操作失误、银行员工的欺诈以及关键人员的流失三者之间并无多大联系。而停电、诈骗以及“非典”之间更是风马牛不相及。由此，很多人得出“各种操作风险事件之间是孤立的、毫无联系的，从而操作风险是突发事件”的结论。这其实是忽略了隐藏在不同表面现象背后的共性本质，忽略了众多随机变量近似地服从正态分布的统计原理。以工作人员操作失误、银行员工欺诈和关键人员流失三类风险事件来看，它们的本质均是人的因素引起的操作风险，且在足够长期限和足够多数据的情况下可以近似地描绘出其概率分布。只有看到各种操作风险事件之间的联系，才能准确地描述银行面临的操作风险，进而从整体上把握操作风险。这正是巴塞尔委员会关于操作风险定义的基础所在。那种以孤立的、隔离的眼光看待操作风险的做法只能将各个操作风险视作突发事件，也就无法从整体上把握银行面临的操作风险，更不用说对其进行科学有效的管理了.操作风险管理只是内部监督部门的事情，与其他部门无关国外的风险管理实践表明，有效的风险管理既需要一个独立的管理部门，也离不开各业务部门的支持。惟有此才能确保风险管理的独立性和专业性的有机结合。将操作风险管理单独赋予内部审计部门，只能导致操作风险管理专业性的低下，很多银行的风险隐患极有可能因此而无法被发现。根据操作风险的定义，操作风险是一个涉及面非常广的范畴。同样，操作风险管理也将涉及许多部门，如安全保卫部门、科技部门、后勤事务部门等。这就难免出现部门之间需要协调的情况。显然，这仅靠内部审计一个部门是不够的。国外的银行往往会成立一个委员会，该委员会由各涉及操作风险的部门组成，以对一些跨部门的问题进行协调。.我国商业银行操作风险的分类及特点为更好地识别我国商业银行现阶段的操作风险，对五种损失类型（劳动用工及工作场所风险、物理资产破坏风险广泛存在于八条业务线中，未列出）八条业务线的操作风险结合起来，形成我国商业银行的操作风险图.表1我国商业银行操作风险的风险分类表.表1我国商业银行操作风险的风险分类表（续1）.表1我国商业银行操作风险的风险分类表（续2）内部欺诈风险外部欺诈风险客户、产品和经营行为风险执行交割和流程管理风险经营中断和系统错误风险国际业务信用证修改、签订对外合作协议未经有权人签字，收款不入账，走私，超过最高限额收付外币，受贿假钞、信用欺诈、信用证欺诈、伪造变造票据诈骗未经准许获取账户信息、洗钱、违反外汇规章制度办理业务、未经批准办理国际业务、客户调查失败、未经批准擅自开立外币账户、乱用科目开立账户制度操作失误、传递错误、缺乏法律文件、缺乏客户允许、涉外收支上报不及时、未按规定计结利息、提前或延期议付寄单、文字表达错误不能持续经营银行卡业务伪造或修改取现凭证、超越限大额套现、违规进行协议透支、盗用客户密码假冒申请、中介公司欺诈性申请、伪造银行卡、特约商户欺诈、恶意透支、非法窃取信息银行卡设计有误、单方面修改合同及章程、捆绑销售银行卡、未经批准开办新的业务、不恰当的交易行为、服务上的职业疏忽未按规定审核申请人资料、漏查止付单、账号金额输入错误、银行卡及对账单传递失误、外包失误无法正常处理业务.表1我国商业银行操作风险的风险分类表（续3）内部欺诈风险外部欺诈风险客户、产品和经营行为风险执行交割和流程管理风险经营中断和系统错误风险中间业务贪污、盗窃、虚假交易、未授权交易、超过限额交易、未报告的交易信用欺诈、虚假交易、伪造文件不恰当广告、不真实宣传、泄密、顾问行为争议、强势销售保险和基金、模仿其它银行产品、无执照行为、未对敏感问题进行披露、不当利用重要信息、不恰当的交易行为缺乏客户允许划账、违章操作、制度操作失误、任务执行错误未履行强制性报告义务、超委托范围办理业务、违规开立账户缺乏法定文件、传递错误数据丢失电子银行业务未经授权访问客户、窃取信息、修改账户余额及存款积数、设置病毒、窃取密码、盗窃现金黑客入侵、数据操纵、克隆网页、窃取客户信息、防火墙瘫痪、伪造电子货币、破坏通信线路、非法占有资金未及时对客户进行风险信息提示、泄露客户私人信息、产品设计有误、洗钱、不恰当的市场行错误的交流、错误的操作、交易不成功、传递错误、逾期支付款项硬件瘫痪、软件瘫痪、程序错误、计算机病毒、UPS失灵、通信故障.表2我国商业银行操作风险损失事发生数目及损失金额的统计表2003年我国商业银行损失事件及损失程度(单位:次、万元)资料来源:樊欣、杨晓光:“中国商业银行操作风险”，《CFEF研究报告》，2003年9月。.由表可以看出我国商业银行操作损失的分布特征:就业务部门角度而言，损失事件主要集中在商业银行业务和零售银行业务；就损失事件类型而言，损失事件主要可以归因于内部欺诈、外部欺诈;从损失金额来看，商业银行业务部门占了绝大部分。.表3我国商业银行操作风险抽样分布表.表4内部欺诈事件涉及金额及人员身份分布表(单位:万元).对比以上诸表可以看出我国商业银行的操作风险具有以下特征:1．操作风险事件多发于商业银行业务从业务线来看，我国商业银行操作风险主要集中在商业银行业务和零售银行业务。商业银行业务中的操作风险事件占到了总数的74.65%，损失金额占比更达到了97.6%，零售银行业务中的操作风险事件占总数的18.31%，但损失金额不大，占比为0.03%。2．欺诈事件占操作风险事件的绝大多数首先从损失事件类型看，我国商业银行损失事件主要归因于内部欺诈和外部欺诈，发生频率分别为55%、20%左右，损失金额也很大，内部欺诈损失金额约占总损失额的2/3，外部欺诈损失金额占30%左右，两种损失事件几乎占到了全部损失金额的99%。这说明，在我国商业银行内，操作风险发生的最常见的形式是内部欺诈和外部欺诈以及内外部相勾结的欺诈行为。这类行为一旦发生，一般隐匿时间较长，银行的损失也极大。这也说明，目前我国商业银行的内部控制机制还不健全，或者说对于内部控制制度的执行还不够严格。.3．内部欺诈事件损失金额巨大进一步分析，可看出，我国商业银行内部欺诈事件涉及金额当中，有一半集中在一千万到一亿之间，有近2/3的内部欺诈事件涉及金额超过一千万，并有少数案件涉案金额超过十亿元。内部欺诈类型的操作风险给我国商业银行带来了巨大的损失。4．管理人员欺诈所占比重较大管理人员欺诈占到总数约60.5%，特别是在内部欺诈损失金额最大的区间，管理层实施的欺诈占到81%。这是由于长期以来国有银行公司治理结构改革过于强调法人治理神话，强调如何处理好股东与经理人之间的委托代理关系，但忽视了对银行内部管理层中内部人控制问题的研究。“一把手算数”、“个人权利太大”是我国国有商业银行操作风险控制中面临的最大难题，内部牵制制度形同虚设在现实中经常被逾越而造成巨额操作风险损失。也使得内部员工欺诈盛行，尤其是管理人员实施的比重较大成为当前我国商业银行操作风险的突出表现。.5．内部欺诈事件多发于基层分支机构。这是由于长期以来我国商业银行的组织体系是以分行为主、行政主导的科层式组织架构，其基本特征是分散经营、分行主导、分权管理、行政服从。由于这种组织架构层级过多、管理链条过长、信息传导不顺畅，导致分支机构成为事实上的准法人，衍生出“弱总行—强分行”的管理体制，使得总行对分支行的控制基本处于失控或控制不足的状态。使得基层行成为滋生腐败、内部欺诈案件的温床。基于以上特点，我国商业银行和监管部门对操作风险的监控重点应放防范内部欺诈上，尤其在基层分支机构和管理人员。.2004年，中国工商银行出台了《操作风险管理框架》，并将其作为《中国工商银行全面风险管理框架》的一部分，这标志着工商银行成为在我国金融系统内第一家正武将操作风险的监督管理纳入具体议事日程的银行。操作风险管理分为对七大损失事件的管理，分别是内部欺诈，外部欺诈，雇用合同以及工作状况带来的风险事件，客户、产品以及商业行为引起的风险事件，有形资产的损失，经营中断和系统出错，涉及执行、交割以及交易过程管理的风险事件。2004年工商银行开展了全行操作风险情况问卷调查，调查结果显示:信贷、票据、个人金融和会计结算专业将是控制防范操作风险的重点。.四、商业银行强化操作风险管理的措施.操作风险管理部门建设巴塞尔协议要求，银行必须全面建立操作风险管理架构。该架构的核心内容是:必须有一个独立的或者专门的部门负责操作风险管理。目前我国的商业银行风险管理的现状与要求相去甚远，大多数银行的风险管理部门仍然停留在过去的信用风险管理为主的水平，也可以说，这些银行的风险控制架构是为了应对信用风险而建立的，风险管理部门实质上是一个信用风险管理部门。这使操作风险的管理长期游走在银行风险管理框架以外，没有一个专门的各机构对其负责。国外商业银行值得我们借鉴纽约银行强调操作风险管理组织架构的独立性，并将其分为三个层次:(1)风险委员会:与操作风险管理相关的职能为—负责对银行操作风险策略的监督及核准;定期开会讨论关键风险及操作风险提案;对操作风险管理系统的有效性提出审核等。(2)操作风险管理部门:负责操作风险政策及评估、监督、衡量风险的工具。(3)各级业务部门管理人员:负责维持业务范围内内控系统的正常运作，并维持银行风险布局与银行所订立的政策一致。.除此之外纽约银行还强调在全行内营造强健的操作风险管理文化，认为银行必须维持恰当的政策、程序和内部控制系统的运作，以维持健全的操作环境。其中银行的内控系统是用来巩固银行财务、业务环境、市场操作、法规遵循等的健全;内部稽核则负责监督测试其财务报告系统整体的有效性;而操作风险的处理程序则可确保政策能一致地被执行。.制订尽可能详尽的业务规章制度和操作流程要根据业务发展和形势的变化,不断增强对风险点的覆盖密度。在制定业务流程和相关业务政策时,要充分考虑操作风险管理和内部控制的要求,保证各级操作风险管理人员能够参与各项重要的程序、控制措施和政策审批,以确保与操作风险管理总体政策的一致。对那些与现实不相适应的规章制度要及时修改、废止,并总结重大风险事件的经验教训,及时发现并弥补制度设计和执行上的缺陷,不断完善风险管理制度体系。风险管理部门还应针对不同岗位分别制定操作风险管理手册,涵盖相应岗位全部现行的业务流程,风险点等,使员工能根据手册速查,了解某项业务的具体办理方法、依据,以及发生某种操作风险后,应该如何处理和向上汇报。.加大对各岗位、各业务操作环节的检查监督力度在检查监督中,要重点检查是否存在为片面追求业务发展、短期效益、领导意志或其他原因而逆程序操作、人为简化操作环节或代客签字等严重违规的现象;要检查分析是否存在因业务量与人员数量匹配失衡而引发的制度无法有效落实。.五、对商业银行操作风险监管的建议.在防范和控制商业银行的操作风险过程中，我国的银行监督管理委员会应发挥外部监管的主要作用。应加强对银行操作风险管理的制度、体系和流程的监督检查，对其定期进行评估，将主要精力放在提高操作风险管理制度、控制体系、防范机制等方面的合理性、完整性和有效性上，这样可以达到事半功倍的效果。在监管标准方面，由于我国商业银行管理操作风险水平不高，量化管理还没有完全贯彻实施，再加上大多数商业银行还没有达到最低资本的要求，因此银监会目前还不宜对所有商业银行提出统一的要求。但是可以根据各商业银行的操作风险状况，提出单个银行应达到的标准。其他银行可以参照类似的银行进行管理。在业务方面，银监会应减少对商业银行单笔业务操作风险的监管检查，以提高监管效率和质量。目前对操作风险管理的重点可以放在“过程监管”上，确立违规就是风险的理念，强调合规监管是风险监管的起点，加强对商业银行合规性检查，促使商业银行依法合规经营。在监管方式方面，银监会应经常组织各商业银行交流操作风险管理的经验和做法，对潜在的操作风险迹象及时预警或提示，更好的促进商业银行的操作风险管理。.谢谢各位！.感谢亲观看此幻灯片，此课件部分内容来源于网络，如有侵权请及时联系我们删除，谢谢配合！