2023银行从业资格笔记:操作风险管理
导语:操作风险是遭受潜在损失的可能,是指由于客户、设计不当的控制体系、控制系统失灵以及不可控事件导致的各类风险。我们一起来看看相关的考试内容吧。
1概述
定义与特点
1.定义:由不完善或有问题的内部程序、员工、信息科技体系以及外部事件所造成损失的风险。包括法律,不包括策略和声誉
2.特点:具体、分散、差异、复杂、内生、转化
相关概念辨析:
1.COSO委员会和巴塞尔委员会于2004年在内部控制和全面风险管理的理解上趋于一致,操作风险属于全面风险管理的组成部分。
2.合规是操作风险的管理目标
监管规则:2010年6月《商业银行资本管理办法》包括管理架构、政策制度、数据管理、信息系统、成果应用的那个
分类:
1.人员因素:内部欺诈、失职违规、知识/技能匮乏、核心雇员流失、违反用工法
2.内部流程:财务会计错误、文件合同缺失、产品设计缺陷、错误监控报告、结算支付错误、交易定价错误3.系统缺陷:数据信息质量、违反系统安全规定、系统设计开发的战略风险、系统的稳定性兼容性适宜性4.外部事件:外部欺诈、洗钱、政治风险、监管规定、业务外包、自然灾害、恐怖威胁
识别方法:自我评估法、因果分析法
2操作风险评估与控制
商业银行通过内部管理能够有效的防范操作风险,但是并非所有的操作风险都能够被控制和防止。对于巨灾可以通过风险转移。 5.3.1 风险评估与控制环境
1.公司治理
公司治理是现代商业银行稳健运营/发展的核心;完善的公司治理结构,是商业银行有效的防范和控制操作风险的前提。良好的公司治理目标:
建立独立董事制度,对董事会讨论事项发表客观公正的意见。建立外部监事制度,对董事会、董事、高级管理层及其成员进行监督。必须明确董事会、监事会、高管层和内部相关部门在控制操作风险的职责:
第一,高管层负责具体执行董事会批准的操作风险管理系统。
第二,风险管理部门具体执行操作风险管理系统。
第三,业务管理部门要定期的向风险管理部门就操作风险状况进行报告。
第四,内部审计部门要监督操作风险管理措施的贯彻落实,确保业务管理者将操作风险保持在可容忍的程度以下,以及要保证风险控制措施的有效性和完整性。
2.内部控制
加强内部控制是商业银行管理操作风险的基础。巴塞尔委员会认为,资本约束并不是控制操作风险的最好方法。对付操作风险的第一道防线,应该是操作风险的内部控制。 3.合规管理文化
合规问题是我国商业银行操作风险管理的核心问题。内部控制体系和风险管理文化,是操作风险管理的基础。健康有效的合规管理文化包括以下内容:
一、树立正确的合规管理理念
二、加强管理层的驱动作用
三、充分发挥人的主导作用
四、创建学习型组织
4.信息系统
3操作风险评估
1定义与原理:商业银行应当制定操作风险评估机制,将风险评估整合入业务处理流程,建立操作风险和控制自我评估或其他评估工具,定期评估主要业务条线的操作风险,并将评估结果应用到风险考核、流程优化和风险报告中
2原则:业务流程所有人第一评估;动态管理;重要性
3步骤:准备,包括确认评估对象、绘制流程图、收集整理操作风险信息2.评估,包括识别和评估固有风险、识别和评估现有控制、评估剩余风险、提出优化方案3.报告,包括正和评估成果、提交报告
操作风险控制
控制环境:公司治理、内部控制、风险文化
4风险缓释
1.业务连续性管理计划,使得银行在实际的业务构成中,不中断实现连续的营业。这主要通过建立灾难应急恢复和业务连续方案,明确在中断事件中恢复服务的备用机制,确保商业银行在低概率的严重业务中断事件发生时能够执行这些方案。
2.商业保险,只是操作风险管理的补充手段之一,预防和减少操作风险的发生,最终还是要靠商业银行自身加强风险管理。
3.业务外包,最终责任人仍然是商业银行。流程分立项、采购、合同管理、持续管理与监督
5主要业务风险控制
1.柜台业务,泛指通过商业银行柜面办理的业务,是商业银行各项业务操作的集中体现,也是最容易引发操作风险的业务环节。风险点:现金存取款。操作风险的形成原因:柜台人员安全意识不强,缺乏岗位制约和自我保护意识;柜台工作强度大,但收入不高,工作缺乏热情和责任感等等。操作风险控制要点注意的细节:首先严格执行各柜台业务规定,严禁不经授权办理业务查询;有价单证应该视同现金管理,有价单证应该按照“专人管理,柜员领用”的要求,业务的印章遵循“归口管理,分级负责”的原则,只能在业务办理的时候使用,不能预先加盖业务印章。印、押、和证相互分管使用,严禁混岗操作。库房管理要求“双人库管,同进同出”。
2.法人信贷业务,是国内企业/机构类业务最重要的部分,也是国内商业银行最主要的商业银行业务。
3.个人信贷业务,风险点:个人住房按揭贷款的风险点主要包括房地产开发商与客户串通,或直接使用虚假客户资料骗取个人住房按揭贷款;未核实第一还款来源或在第一还款来源不充足的情况下,向客户发放个人住房贷款;房产中介机构以虚假购房人名义申请二手房贷款,骗取商业银行信用;内部勾结编造客户资料骗取商业银行贷款等等。对于个人信贷要严格做好三查制度即:贷前的调查,贷时或贷中的审查以及贷后的检查。
4.资金交易业务,三台职责分工:1.前台交易;2.中台风险管理;3.后台结算清算。风险点:体现权限等级,部门分工,职责分离原则,做到前台交易和后台结算分离,自营业务与代客业务分离,业务操作和风险监控分离,建立岗位和部门之间的监督约束机制。
5.代理业务,是商业银行中间业务的一种。
5.4 操作风险监控与报告
5.4.1关键风险指标法
原则:整体、重要、敏感、可靠、有效
应用流程:①识别与定义关键风险指标②设置关键风险指标阔值③确认关键风险指标④监控和分析关键风险指标⑤指定优化或整改方案⑥报告关键风险指标⑦关键风险指标更新
5.4.2损失数据收集
1. 定义:操作风险损失数据的搜集、汇总、监控、分析和报告工作
2.原则:重要、准确、统一、谨慎
3.步骤:损失事件识别;损失事件填报;损失金额确定;损失事件信息审核;损失数据收集验证
4.价值:在高级计量法下,用于损失计量和验证的内部损失数据至少有5年的观测期,初次,允许使用3年的内部历史数据
5.4.3风险报告:风险状况、损失事件、诱因与对策、关键风险指标、资本金水平
5.5操作风险资本计量
6基本指标法
操作风险的监管成本=[前三年的总收入*固定百分比加总]/3
总收入=净利息收入+净非利息收入,不包括保险收入、银行账户上出售证券实现的盈利,固定百分比为15%
5.5.2 标准法
(1)将整个业务分成9条业务线,度量每个业务线的风险,再把风险加总。
(2)标准法中银行的产品线:公司金融、交易和销售、零售银行、商业银行、支付和清算、代理服务、资产管理、零售经纪、其他,操作风险资本系数β值如下:
①零售银行、资产管理和零售经纪业务条线为12%
②商业银行和代理服务业务条线为15%
③公司金融、支付和结算、交易和销售、其他条线为18%
5.5.3高级计量法,需要得到监管部门的批准之后才可以使用。一旦通过批准使用了高级计量法,没有经过监管部门的批准,不能从高级计量法退回到标准法或者是单一指标法。有损失分布法、内部衡量法、打分卡法
1.数据处理①内部损失数据②外部损失数据③情景分析数据④业务经营环境和内部控制要素
2.模型建立与计量①损失分布法的方法论②模型的精密度③分布选择④资本拟合⑤相关性处理⑥模型验证
①优化操作风险管理流程②促进风险管理文化的转变③丰富操作风险的管理手段④完善绩效考核体系
银行从业资格笔记
长期以来,社会各界对银行业的风险管理都聚焦于信用风险和市场风险,而对操作风险并未予以足够的重视,对其认识和管理都处于较低水平。然而,随着金融管制的放松、银行经营业务范围及产品的多样化和复杂化,操作风险的破坏力和影响力愈发显现,对其研究和管理也迫在眉睫。在此背景下,2004年的巴塞尔新资本协议规范了操作风险的定义①,并提出操作风险的最低资本要求,为各国银行业加强操作风险管理敲响警钟和提供指导;中国银监会于2007年6月发布了《商业银行操作风险管理指引》(以下简称《指引》),为加强银行业操作风险管理、推进完善银行业公司治理结构、提升风险管理能力提供指导。
一、我国银行业操作风险危机四伏
受旧体制等不利影响,我国银行业面临着严重的操作风险。表1列示了近年来部分银行操作风险事件。
通过综合分析我国银行业操作风险损失事件,其具有的特点主要有:
1.操作风险主要形式是欺诈①。欺诈包括内部员工的欺诈、外部人员的欺诈以及内外部勾结的欺诈,其中内部员工欺诈和内外部勾结的欺诈是我国当前存在的主要形式,并且这种类型的损失事件一旦发生,就具有单笔损失金额大和社会影响力大的特点。
2.操作风险大都发生在基层分支机构,且与上层机构的控制力负相关。我国银行的业务运作大多数集中在基层机构,总、分行则更偏重于行使管理职能,当分支机构距离较远、受到的监管较弱时,分支机构的一些违规操作就不易被发现,操作风险发生的可能性就更大。
二、我国银行业操作风险的影响因素
目前,我国银行业普遍存在内部控制制度不完善的问题,这是导致操作风险频发的最主要原因。我国银行业内部控制不健全性主要表现在:
1.操作风险管理意识薄弱。目前,我国银行业的主营业务仍以信贷为主,因此银行风险管理的焦点都集中于信用风险,而对于操作风险,从管理层到基层员工对其管理的意识都有待于提高。
2.操作风险专业化管理部门缺位。我国绝大多数银行均未设立独立的专业化的操作风险管理部门,对其管理主要是依靠非专业部门负责,以定性管理为主,主要依赖专家的主观判断,缺乏科学和专业的管理。此外,根据巴塞尔新资本协议,用于计算监管资本的内部操作风险计量法,必须建立在对内部损失数据至少5年的观察基础上,而我国由于缺乏数据,很少采用定量分析控制操作风险的科学方法。
3.分行制的组织形式不利于监管。我国银行主要采用分行制,该体制下的直线管理职能削弱了内部控制的力度和有效性,各层次的负责人横向权利过大,为操作风险的孕育提供了空间。
4.管理体系不完善。我国银行业普遍存在管理层次多而繁杂,各层次权责不清,缺乏相互制衡、权责明晰和相互独立的管理体系,容易出现管理的真空地带和重复低效管理。
5.管理制度不健全。我国银行业风险管理所需的制度建设不健全,现有的制度大都流于形式,存在不切实际、难以执行的问题,此外,仍有部分正常经营所必备的规章制度缺位,导致管理盲点的存在。
三、完善我国银行业操作风险管理体系
由于我国银行业对操作风险的重视长期不足,导致银行对操作风险的管理长期处于低效率和不足的水平。因此,克服各种不利因素,及时建立完善的操作风险管理体系,具有重要的现实意义。银行操作风险管理和内部控制在内容、对象和范围上有着密切的联系,因此健全内部控制机制的形成有助于银行操作风险的高效管理。本文结合COSO委员会关于内部控制五要素的阐述和银监会发布的《指引》,设计一套适合我国银行业操作风险管理的体系。
COSO委员会所述的内部控制包括五要素:控制环境、风险评估、控制活动、信息与沟通和监控,以下分别从这五方面构建操作风险管理体系。
(一)控制环境
控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素。控制环境塑造企业风险管理文化,影响银行内部各成员的风险意识,关系着风险管理控制制度的贯彻和执行。
《指引》指出,操作风险管理需要创造一个良好的控制环境。首先,银行董事会应充分了解本行的主要操作风险所在,把它作为一种必须管理的主要风险类别,努力促进这种公司文化的建立,并且提供充足的资源支持在各职能部门实施操作风险管理,还应当把操作风险管理纳入到业绩评估程序中,强调风险管理为银行关注重点。其次,应建立一个能够有效执行操作风险管理框架要求的组织架构,该组织架构应明确界定各职能部门的责权关系、上下级报告关系,并且制定严格的监管审计制度。最后,应根据本行对操作风险的承受能力,制定规范的操作风险管理政策,该政策应对存在于本行各类业务中的操作风险进行界定,列明本行操作风险的具体构成,应明确识别、评估、监测与控制操作风险所应依据的原则、政策和方法。
(二)风险评估
风险评估是指操作风险管理部根据职能部门的信息,识别、量化和分析相关风险以实现既定目标,从而形成操作风险管理的核心内容。风险评估系统包括以下三个子系统:
1.风险识别子系统
风险识别子系统的作用是将操作风险进行定义和分类,它的主要部分是“知识库”。“知识库”是一种风险映射,将职能部门的业务与风险类别之间建立对应关系。具体来说,“知识库”将银行业务分为若干个风险档次,并将所有的业务归类到相应的风险档次之中,并存储在数据库的相应位置。
2.风险计量子系统
风险计量子系统由“模型库”和“预警库”组成。该系统在初步识别原始数据的基础上,利用“模型库”中的风险计量模型对风险进行量化,将定性的操作风险数字化。其中风险计量模型利用数理统计方法量化银行操作风险,“模型库”再将风险计量模型计算机程序化,即编写计算机软件以实现风险计量模型的功能。而“预警库”则是预先在系统内设定的不同职能部门的市场风险限额指标,在“模型库”计算出风险值之后,“预警库”就可以对实际风险承担与预先设定的风险限额自动比较,若发生超限额的情况,“预警库”会将该信息同时反馈到风险评价子系统中,实现实时风险监控的功能。
3.风险评价子系统
风险评价子系统主要提供风险汇总报告,并对各职能部门风险承担状况进行评价,为风险管理决策层提供支持。“报告库”针对经“模型库”风险计量子系统测量的风险结果,根据指定的报告模式进行综合汇总,为管理层提供银行风险的数据。“评价库”是对综合报告进行的深入分析,通过对具体风险的分析评价,提出风险改进意见。
总的说来,风险评估系统中,风险识别子系统归类操作风险,风险计量子系统量化操作风险,评价子系统评价并报告操作风险。这一系列活动的完成,关键在于设计出一整套计算机程序以实现上述几个子系统的功能。我国银行应当根据本行业务的特点,设计出自己的风险管理程序,或者直接从专业公司引进成熟又适合自身的风险管理系统。
(三)控制活动
控制活动是指那些有助于管理层决策顺利实施的政策和程序,主要包括明确银行各部门的职责、对各部门活动的控制和对偏离授权的行为进行调整。
首先,《指引》明确规定了各组织层次在操作风险管理系统中的职责,以便整个系统有条不紊的运作,各层次的职责具体为:银行高层负责制定操作风险管理的战略和总体政策;风险管理委员会建立风险管理的操作方法;各职能部门具体实施。
其次,对各职能部门活动的控制分为两个层次:第一个层次是各职能部门,应定期向负责操作风险管理的部门通报本部门操作风险管理的总体状况,及时通报重大操作风险事件;第二个层次是操作风险管理部门应当提供风险预警指标,将风险限额建立在各业务部门的不同的层面,然后为每个关键风险指标设定门槛值,一旦风险值超过门槛值则启动预警系统。
最后,操作风险部门应当对于超过门槛值的采取必要的整改措施,及时修正执行中的偏差。
(四)信息与沟通
各职能部门的信息沟通是整个操作风险系统的基础,系统的数据来源于各职能部门。只有将信息及时有效地传递给操作风险管理部,才能及时进行信息分类。《指引》规定,职能部门应当根据统一的操作风险管理评估方法,建立持续、有效的操作风险报告程序,从制度上建立有效的信息和沟通机制。此外,《指引》要求建立案件查处和相应的信息披露制度,通过对案件查处的信息披露有良好的警示作用,对案件的及时总结能有效地避免同类风险事件的发生。
(五)监控
监控的核心在于监控的制度性和监控的独立性。《指引》规定,监控的制度性建设要求风险管理委员会应当建立指向清晰的定期监控体系,清晰的监控系统可以明确监管者的责任范围,而定期监查行为有利于快速发现并且纠正操作风险。监控独立性依靠操作风险管理部与其他职能部门相对保持独立,不能存在从属关系,应当受董事会或其下属的审计委员会直接领导。
与此同时,银行还需要对其内部监管人员进行严格培训,使其对银行各项业务活动和岗位责任的执行情况依据相关制度标准进行监控,及时预见潜在风险并极力阻止其发生,实现银行操作风险的有效管理。
【银行从业资格笔记:操作风险管理】相关文章:
银行从业资格《个人贷款》笔记:风险管理11-12
银行从业资格风险管理:信用风险监测与报告11-13
2017银行从业资格《风险管理》章节讲义08-21