1、西方商业银行操作风险管理实践简介,伦敦分行 方文建2005年9月19日,2005年9月19日,一、伦敦分行关于操作风险管理的调研二、西方商业银行操作风险管理实践介绍三、商业银行操作风险管理案例四、探讨与思考,2005年9月19日,一、伦敦分行关于操作风险管理的调研,第一次调研:2005年3/4月 操作风险管理实务分析第二次调研:2005年4/5月 西方商业银行操作风险管理实践简析(详见中国银行情况通报第19期、第23期),2005年9月19日,第一次调研,主题:操作风险管理实务分析银行内部欺诈风险的识别与防范原则:“务实、具体、可行”方式:当地同业现场访谈和深入交流重点:操作风险尤其是银行内部
2、员工作案(即内部欺诈)风险给银行带来的现实威胁、涉及的实际问题、需要的切实措施,2005年9月19日,第二次调研,主题:西方商业银行操作风险管理实践简析 方式:对当地主流银行实地考察 参考咨询机构研究课题 重点:从实践角度出发,围绕操作风险管理体系和架构,概述银行监管机构要求,介绍西方银行目前进展,探讨组织结构设置,研究管理方式方法,讨论搭建总体架构,2005年9月19日,(一)操作风险管理的总体背景操作风险的定义操作风险管理的重要性操作风险管理的监管要求操作风险管理的实施进程(二)操作风险管理的实践操作风险管理的组织架构和职责分工操作风险管理的识别、评估和衡量工具和方法操作风险的缓释操作风险
3、管理的信息系统,二、西方商业银行操作风险管理实践介绍,2005年9月19日,(一)操作风险管理的总体背景,1. 操作风险的定义Basel : the risk of loss resulting from inadequate or failed internal processes, people and system or from external events.Bank of China: 由于内部程序不完善、操作人员差错或舞弊、IT系统失灵和技术失误以及外部事件给我行造成直接或间接损失的风险,2005年9月19日,2. 操作风险管理的重要性提高盈利的质量和稳定性提高综合竞争能力,20
4、05年9月19日,操作风险与市场风险、信贷风险的区别,2005年9月19日,市场风险和信用风险无论在识别、管理、量化模型、资本准备还是监管方面,都已经比较成熟;而操作风险则处于起始阶段,各行方法不一、各自摸索,同时还面临数据不充分的困难。,2005年9月19日,从范围来看,市场风险是由市场变化所带来损失的风险,信用风险则与债务人或交易对手有关,而操作风险则跟银行整个体系有关,只要有员工、系统存在的地方,就有可能发生操作风险。从损失来看,市场风险与交易风险敞口大小有关,其最大限度是在某一交易中投入的全部资金或全部潜在债务。信用风险的最大限度则是资产金额或者是或有资产金额。而操作风险则不同,所带来
5、的损失可能远远超出银行的承受能力。,2005年9月19日,从计量来看,最大区别是有效数据的充足与否。操作风险因为记录历史短、概率小而数据较少。另外市场风险和信用风险计量的一般是直接损失,而操作风险的计量在考虑直接损失的同时还应该考虑诸如经营中断、法律成本、信誉受损等间接损失。从与企业文化关系角度来看,操作风险与企业文化的相互作用关系极其紧密。操作风险与管理层、董事会、普通员工、甚至信件收发人员都有关系,其管理所形成的做法、流程、系统等反过来对企业文化也会产生影响。,2005年9月19日,3. 操作风险管理的监管要求,巴塞尔委员会要求银行必须对操作风险专门管理,提供相应监管资本支持,并于1998
6、年发布的操作风险管理专题文件中第一次阐述了这一立场,新协议中正式将操作风险管理纳入全面风险管理要求2003年2月发布操作风险管理和监控的稳健做法,2005年9月19日,稳健做法认为银行在操作风险管理中应综合考虑经营规模、业务性质、复杂性等一系列因素。同时它还强调,不管银行的经营规模与业务范围如何,有效的操作风险管理框架至少应包括由董事会和高级管理人员制定的明确战略、浓厚的操作风险与内控氛围、有效的内部报告机制及应急预案等多种因素。,2005年9月19日,稳健做法中提出的十大原则可以分为风险管理环境、风险管理措施、监管职责、信息披露等四个方面。其中风险管理环境阐述银行董事会和管理层、组织架构和内
7、部交流方面的要求,风险管理措施包括风险识别、评估、监控及缓释措施和流程,监管职责对银行监管机构提出宏观和具体要求,信息披露指明银行应加强透明度。,2005年9月19日,操作风险管理三大方法,2005年9月19日,德勤2004年对全球银行风险管理状况调研 162家机构参与;47%为商业银行,24%为综合金融公司,20%为投资银行,9%为零售专业银行;约32%为亚洲机构,26%为欧洲机构,24%为南美洲机构,18%为北美洲机构;资产超过1000亿美元的机构占1/4强,1/3以上机构资产介于100亿美元和1000亿美元之间。,4. 操作风险管理的实施进程,2005年9月19日,国际银行操作风险管理进
8、程,2005年9月19日,按资产规模考察操作风险管理进展,2005年9月19日,一般而言大型银行机构(资产超过1000亿美元)进展较快,很多都已经进入了第四或第五阶段,小型机构(资产少于10亿美元)大部分停留在第一阶段。值得注意的是,尚未着手开始操作风险管理的机构中,以100至1000亿美元资产规模的中型机构居多,而并非是小型机构。,2005年9月19日,(二)操作风险管理实践介绍,1. 操作风险管理的组织架构和职责分工 日趋集中、独立的操作风险管理职能部门 全职、兼职的操作风险管理人员管理层、业务部门、操作风险管理职能部门和稽核部门之间明确的职责分工业务部门是操作风险管理的主要执行和责任部门
9、,2005年9月19日,操作风险管理组织结构比较,德勤2004年调研,2005年9月19日,银行操作风险管理组织结构建设呈现持续发展态势,逐步向集中化的操作风险管理模式迁移。2004年多达78的机构表示它们采用独立的风险控制和稽核手段管理操作风险。董事会和高级管理层对操作风险管理的参与程度各行状况不一,但56的机构都有高层积极参与。值得注意的是,由业务部门直接控制操作风险,未设独立监控岗位的银行比例进一步减少,2004年只占15,这表明各行在强调业务部门在操作风险管理中发挥重要作用的同时,加强了管理部门和专职监控人员的参与、赋予其明确的权力。,2005年9月19日,操作风险管理组织结构比较 另
10、一角度,2005年9月19日,集中化的操作风险管理部门:在全行范围内应用和推广管理工具、管理方法、管理政策监控操作风险敞口和损失,积累和集中处理相关数据提交高层操作风险管理报告,规划操作风险缓释策略,2005年9月19日,2005年9月19日,与市场风险管理时控制交易员敞口的方法不同,对操作风险的全面管理和控制一般不容易仅落实到某一个特定部门或个人,应责成基层管理人员和专职支持部门共同担当此任,例如业务一线经理人员,风险管理部门、信息科技部门、人力资源部门、法律与合规部门、稽核监察部门等。另外,在搭建组织结构时尤应注意管理职权的适当分离,确保操作风险管理、稽核监察等职能在其所属分支机构中的适度
11、独立性,2005年9月19日,操作风险管理组织结构的设计应纳入两类部门或人员:专职支持部门和基层管理人员,因此应涉及到有关的操作风险管理部门和各个业务部门。设计中还应考虑理顺报告路线,明确谁向谁负责。操作风险管理的组织架构应能充分体现出银行整体操作风险管理政策和流程的设置,并服务于最终实现全面风险管理和全球操作风险管理的目标。,2005年9月19日,2005年9月19日,组织结构,分散与集中?适合职责与汇报路线高度集中的几种情形:与本土距离遥远,特别在新兴市场缺乏替母公司或企业着想的部门经理和控制人员短期行为主导、缺乏长效文化时间要求紧迫,2005年9月19日,组织结构,专职与兼职?业务部门与
12、分支机构中的“操作风险协调员”: (确保损失事项正确登记,协助开展自我评估)如何确保有效工作?应由集团操作风险专家提供现场培训业务部门或当地控制职能部门要有替母公司或企业着想的职员损失登记和风险评估系统应简单、界面友好、易于操作,以避免投入精力过多而与本职工作冲突,2005年9月19日,2. 操作风操作风险管理的识别、评估和衡量,当前国际大银行尝试采用的主流方法有自我风险评估(Risk Self-Assessments) 、损失事项登记 (Loss Event Registers) 、风险指标设置 (Key Risk Indicators) 等,另外风险打分卡 (Scoring cards)
13、等技术也在实践中得到应用,2005年9月19日,前提:操作风险的定义损失事件的分类Basel: Level 1: 7 (internal fraud, external fraud, employment practices and workplace safety, clients-products-business practices,damage to physical assets, business disruption and system failures, execution-delivery-process management)Level 2 : 22Level 3: 56
14、与信用风险和市场风险的界定,2005年9月19日,自我风险评估,目标:识别业务流程的潜在风险,评估控制的有效性方法:由操作风险管理部门和/或行内专家研究制定风险评估问题清单,并由操作风险管理部门人员、业务部门操作风险负责人、分支机构操作风险负责人组成工作组并定期召开研讨会。自下而上评估结果使用:潜在风险评分、内控有效性评分、风险描绘、改进措施制定、内部稽核跟踪。作为管理层考核指标。潜在损失的衡量和内部资本的分配(与情景法结合),2005年9月19日,风险量化评价图,2005年9月19日,评估结果的更广泛使用:部门经理:员工考核,对内部或外部稽核的报告(节省时间和精力)内部和外部稽核:用于评估内
15、控的有效性或薄弱之处,制定行动计划高管层:企业或业务部门的风险状况直观描绘;及时采取应对措施高管层和内外审:与满足监管要求协同进行,2005年9月19日,汇丰集团、ING银行等在实践中即采用这种方式,并且都是至少每年召开一次研讨会。如汇丰集团首先在各分支机构由业务部门人员进行集体讨论(Brain Storming),再逐级汇集到分支机构业务联络员、操作风险联络员、分支机构首席操作风险官、分支机构首席执行官、总部操作风险管理主管,自我风险评估,2005年9月19日,损失事项登记系统/损失数据统计系统,由于根据巴塞尔协议要求,采用高级计量法至少要有3年的历史损失数据,目前大部分欧洲银行都在不同程度
16、上积累了一定的操作风险损失数据,其中部分机构还建立了操作风险损失事项(Loss Event)和数据统计网络,通过内部网络系统定期或实时报告有关情况。,2005年9月19日,在实践中,各行最低报告限制不尽相同,以金额为例,欧洲绝大部分银行要求对超过1万欧元的的零售业务损失予以报告,对超过2.5万欧元的批发业务损失予以报告,而最近某金融机构规定对15万美元以上的投行业务损失才进行登记。,2005年9月19日,值得借鉴的做法,不仅跟踪事件类别,而且跟踪事件原因对相关人员的自动通知、询问对大额损失事后总结经验教训通知上一层管理人员、财务人员、稽核人员对列入信用和市场风险的损失单独统计对预测损失和最终损
17、失的单独统计和跟踪,2005年9月19日,风险指标法,风险指标是指用来考察银行风险状况的统计数据和/或指标,通常可以体现为财务指标或管理指标,可以包括交易失败次数、员工流动比率、错误遗漏频率、错漏严重程度等。对各项指标进行定期审查,以提醒银行有关风险变化情况。,2005年9月19日,目前几乎所有欧洲银行都至少已经设置了最基本的风险指标,例如按业务部门考察员工病假天数、合同工比例、系统死机频率等。大部分欧洲银行开始设置更为详尽的风险指标,并在全行范围内进行整合,避免遗漏任何细节。很多机构都希望银行业广泛推行的风险指标计量方法能为监管机构所接受。,2005年9月19日,ING银行已经设置了一整套风
18、险指标系统,根据不同业务共设置了60个指标项目,提供相应的“红绿灯”警戒线系统,设置风险容忍度,向管理层定期提交概要报告。,2005年9月19日,操作风险打分卡,操作风险打分卡能把定性评估转换成定量指标,以便对不同的操作风险类别进行排序。某些打分项对应的风险可能仅与某类业务品种有关,例如个人按揭贷款中的某些风险,而另一些打分项可以对应多种业务中的操作风险,例如员工操作错漏频率等。具体分值可以根据风险大小来确定,也可以根据风险缓释和控制措施的到位程度来打分。打分卡可以独立使用,根据各部门在管理和控制各类操作风险方面的业绩,来决定对其经济资本的分配,也可以与损失登记、风险指标等互相结合,相辅相成。
19、,2005年9月19日,经济资本的计算方法,两种方法损失数据模型法 内部数据和外部数据情景分析法,2005年9月19日,54的机构利用基于自我评估的情景分析方法(即风险自我评估法的一种,可以由操作风险管理部门和业务部门共同参照内部损失案例和外部损失案例,模拟多种可能产生操作风险损失的情景,并设置一系列假设参数进行敏感性分析)来尝试分配经济资本,46的机构则在分析内部和外部损失数据的基础上分配资本,其中25%主要利用内部积累的损失数据,17内外部数据相结合,仅有4%的机构尚未建立内部数据库、又想通过数量方法分配资本,只能利用外部数据。,2005年9月19日,银行可以向有关咨询机构等购买外部数据,
20、也可以参加互惠性组织,在成员间共享彼此操作风险损失数据,形成外部数据样本库。总部设在瑞士的操作风险数据交换所(The Operational Riskdata eXchange Association, ORX)即为一家非盈利性组织,负责在成员机构间采集、交换和整合数据,美洲银行、德意志银行、阿诺银行、摩根大通银行、BNP巴黎巴银行、ING银行、欧洲清算银行等都是其成员。,2005年9月19日,3. 操作风险的缓释,购买保险 (及风险保值)业务持续计划(Business continuity plan) Contingency planning (physical events and los
21、s)Plus strategic issues (disruption of system, unauthorized activities, risk of loss to reputation, etc.),2005年9月19日,BCP 管理:风险评估 制定计划测试文件形成,2005年9月19日,危机管理安全和紧急疏散应急通讯中心灾备中心与公众和媒体的联络,2005年9月19日,4.操作风险管理信息系统,国际主流银行的操作风险管理信息系统都仍在探索与构建过程之中,其完善程度与成熟发达的市场风险和信用风险管理信息系统相比不可同日而语。管理信息系统可以通过外部采购和自我开发构建,目前市场上有一
22、些系统可以用于风险评估,侧重点、客户定位、复杂程度和购置成本各不相同。但总体来看,当前操作风险管理的信息系统仍比较落后,例如汇丰集团、 ING银行等的操作风险信息管理虽然经过信息系统规集,但最终统计汇总仍基于手工报表。,2005年9月19日,三、商业银行操作风险管理案例,INGBTMCSFB,2005年9月19日,ING银行操作风险管理,2000年中开始着手五大支柱操作风险公司治理 操作风险委员会全面负责 新产品须通过操作风险审查 提高风险意识,2005年9月19日,自我风险评估 地区研讨会(“片会”)研究需要的评估内容、评估结果 每年一次 操作风险管理部门主办 业务部门贯彻评估过程 设置矩阵
23、式指标,2005年9月19日,关键风险指标 高度概括 操作风险管理部门与业务部门共同制定 60项指标 15页报告 前2页:最重要的16项指标损失事故报告跟踪整改,2005年9月19日,BTM银行操作风险管理,1999年开始着手操作风险协调委员会:按季度开会自我风险评估关键风险指标:CEO层面14项指标 共85项指标损失数据收集:按月报告 信科部门负责,2005年9月19日,CSFB的情景分析,目标:分配资本以覆盖操作风险步骤:操作风险情景识别选择分析参数业务专家评审更新参数模版管理层委员会评审确定操作风险资本,2005年9月19日,四、探讨与思考,2005年9月19日,操作风险管理的总体架构,
24、银行在考虑操作风险管理架构时,应考虑三个问题:一是创造、加强和管理什么样的操作流程和组织结构;二是分别从全行角度和各个业务部门/分支机构两个层面来看,应各由谁来进行管理;三是各方应如何负责。,2005年9月19日,操作风险管理理想架构?,来源:KPMG,2005年9月19日,信息系统建设,合格的操作风险管理信息系统应能囊括广泛的操作风险管理信息,从一线高效提取和积累数据,向后台和管理层综合提供各种信息,不需要多次重复录入,能与其他内部系统顺畅接驳,也可在必要时同外部信息系统相联,执行下载数据和进行运算等功能。信息系统用户应可以对原始数据进行编辑、整理、维护、更新。,2005年9月19日,银行应
25、在整个操作风险管理框架内综合考虑银行董事会、管理层、各业务和管理部门的需求,审慎采购和设计操作风险管理信息系统。总行的操作风险管理职能部门应考虑如何存储和积累数据及信息,搭建合适的内部网络平台。在系统设计之初,应预留出今后不断更新版本和扩充功能的空间。信息系统应能将重点集中在操作风险管理的关键领域。,2005年9月19日,操作风险管理与内控建设的关系,加强内控建设是操作风险管理最为有效的途径之一。对于管理落后、内控薄弱的银行尤为如此。内控体系的建立和内控制度的完善对操作风险的防范、监控将起到十分积极的作用。,2005年9月19日,内控建设并不等于操作风险管理。从巴塞尔协议对操作风险的定义来看,
26、操作风险是在“内控不足或内控失灵”时发生的风险。即使内控制度十分完善,操作风险依然存在。“存在操作的地方就存在操作风险” 。,2005年9月19日,操作风险管理的独立化、专业化,从组织结构和人员配置来看,西方商业银行的操作风险管理职能有明显的独立化的趋势,并随之出现了专业化的管理人员。首席操作风险官(CHIEF OPERATIONAL RISK OFFICER) 、操作风险经理(OPERATIONAL RISK MANAGER) 等均是近年来出现的岗位。,2005年9月19日,鉴于操作风险的特殊性与复杂性,可以考虑建立一支专业水平高、独立性强的队伍来进行管理。,2005年9月19日,从事有关操
27、作风险管理的人员应具备丰富从业经验,对一线操作和后台管理、各项银行业务较为熟悉,具有深入分析、及时发现、迅速控制操作风险的能力。各级业务部门可以考虑在部门内部设立兼职岗位,监控本部门的操作风险。,2005年9月19日,操作风险管理队伍可保持适度独立性。分支机构的操作风险管理人员在向其管理层负责的同时,向上一级操作风险管理者汇报,以最大限度地防范操作风险。各级业务部门的操作风险管理岗位人员在向其本部门管理层负责的同时,向本机构内的操作风险管理人员汇报。,2005年9月19日,操作风险管理应及早着手,大部分银行是由于监管压力和全行整体风险管理战略而考虑加强操作风险管理。我行对外正处于基本确定战略投
28、资者,向最终上市冲刺的关键时期,加之历史上发生的一些大型操作风险案件,以及国内其他银行和其他企业发生的类似情况,外部投资者一定会将操作风险管理作为一个重要方面来考量,监管机构也已经并且还会施加具有针对性的压力或提出更严格的宽泛性要求,完善操作风险管理可尽早进行。如准备采取高级计量法计算风险资本,损失数据的积累更宜早不宜迟。,2005年9月19日,防止操作风险管理失效,避免前车之鉴。其他银行操作风险管理不力的原因包括:缺乏高层支持;企业文化不佳;岗位职责模糊;组织机构混乱;操作风险管理政策不连贯;操作风险概念未深入人心;风险报告不符合经营管理需要;决策贯彻执行不力;交流和教育培训不力。,2005年9月19日,2005年9月19日,谢谢大家!,
