银行业初级资格考试风险管理知识点精讲第五章操作风险管理
第一节 操作风险概述(★★★★★)
一、操作风险的定义与特点
1.定义
操作风险是指由不完善或有问题的内部程序、员工、信息科技系统以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险,但不包括策略风险和声誉风险。
2.特点
(1)具体性。不同类型的操作风险具有各自具体的特性,难以用一种方法对各类操作风险进行准确的识别和计量。
(2)分散性。试图用一种方法来覆盖操作风险管理的所有领域几乎是不可能的。(3)差异性。不同业务领域操作风险的表现方式存在差异。
(4)复杂性。银行风险管理部门难以确定哪些因素对于操作风险管理来说是最重要的。
(5)内生性。除自然灾害、恐怖袭击等外部事件外,操作风险的风险因素很大比例上来源于银行的业务操作,属于银行的内生风险。
(6)转化性。操作风险是基础性风险。
二、操作风险相关概念辨析
1.COS0委员会和巴塞尔委员会于2004年在“内部控制”和“全面风险管理”的理解上趋于一致,操作风险属于全面风险管理的组成部分。
内部控制与操作风险管理的发展历程如图5—1所示。
2.合规是操作风险的管理目标,二者在管理实践中存在重叠。
三、操作风险的监管规则
1.国际监管规则
操作风险主要是巴塞尔委员的监管规则,主要有《有效银行监管的核心原则》、《操作风险管理》、《操作风险管理与监管的稳健办法》、《巴塞尔新资本协议》等文件。
2.国内监管规则
操作风险主要执行的是银监会的一系列监管规定,主要有《关于加大防范操作风险工作力度的通知》(“操作风险13条”)、《商业银行操作风险管理指引》、《商业银行资本管理办法(试行)》等文件。
四、操作风险分类(见表5—2)
在商业银行的操作风险管理实践中,还可以从原因、损失事件、影响等角度进行多维度分类和评级,以便运用于风险与控制评估、关键风险指标、损失数据收集、检查、整改及操作风险报告等操作风险管理流程,提升管理效率。
1.操作风险原因,是指诱发操作风险转变为操作风险损失事件的缘由,通常一个操作风险损失事件可由一个或多个操作风险原因引发
2.操作风险损失事件分类援用了银监会的操作风险损失事件分类
3.操作风险影响分类操作风险影响是指操作风险损失事件发生后对银行造成的负面影响,包括可用经济指标衡量的财务影响及无法用经济指标量化的非财务影响。
4.操作风险严重度评级
操作风险严重度可以诵讨等级矩阵讲行评级。
五、操作风险识别方法
商业银行通常借助自我评估法和因果分析模型,对所有业务岗位和流程中的操作风险进行全面且有针对性的识别,并建立操作风险成因和损失事件之间的关系。
(一)自我评估法
自我评估法是在商业银行内部控制体系的基础上,通过开展全员风险识别,识别出全行经营管理中存在的风险点,并从影响程度和发生概率两个角度来评估操作风险的重要程度。
商业银行进行操作风险自我评估的主要目的是鼓励各级机构主动承担责任,加强对操作风险识别、评估、控制和监测流程的有效管理。
(二)因果分析模型
在综合自我评估结果和各类操作风险报告的基础上,利用因果分析模型能够对风险成因、风险指标和风险损失进行逻辑分析和数据统计,进而形成三者之间相互关联的多元分布。
实践中,商业银行通常先收集损失事件,然后识别导致损失的风险成因,方法包括实证分析法、与业务管理部门会谈等,最终获得损失事件与风险成因之间的因果关系。
第二节 操作风险评估(★★★)
一、操作风险评估的定义与原理
1.操作风险评估(RCSA),是指操作风险所有人持续识别、评估并报告业务流程的操作风险及其控制状况的过程。
2.操作风险评估(RCSA)是一种银行操作风险管理手段。
3.商业银行通常采用定性与定量相结合的方法来评估操作风险。
二、操作风险评估原则
1.业务流程所有人负第一评估责任原则:业务流程的所有人(即“风险所有人”)需对风险与控制的评估工作承担第一评估责任。
2.动态管理原则:既要有定期的年度评估,又要根据内部风险管理需要和外部风险信息等情况,开展动态的触发式评估工作。
3.重要性原则:应优先识别和评估对业务目标和管理目标有重大影响的操作风险。
三、操作风险评估的步骤
操作风险评估包括准备、评估和报告三个步骤。准备阶段:包括确认评估对象、绘制流程图、收集整理操作风险信息;评估阶段:包括识别和评估固有风险、识别和评估现有控制、评估剩余风险、提出优化方
案;报告阶段:包括整合评估成果和提交报告两个步骤。
四、操作风险评估的价值
商业银行在全行范围内开展操作风险的自我评估,有助予:
(1)建立覆盖商业银行各项经营管理活动和业务环节的操作风险动态识别和评估机制,实现操作风险的主动识别与内部控制持续优化;
(2)优化和完善各项作业流程,平衡风险与收益,提高服务效率和盈利能力;
(3)在自我评估的基础上建立操作风险事件数据库,构建操作风险管理的基础平台;
(4)为建立操作风险管理的关键风险指标体系和操作风险计量奠定基础;
(5)风险关口前移,在风险事件发生和风险恶化前对风险进行识别并推动对其进行防范,从源头上控制风险隐患;
(6)促进风险管理文化的转变,提高员工参与操作风险管理的主动性和积极性。
五、操作风险评估与其他管理流程的结合应用
RACA对操作风险进行主动的识别和评估,识别控制失当的风险,是操作风险管理过程的开端,后续管理流程——包括检查、整改和考核——都与之紧密联系,后续管理流程产生的信息可为RACA提供识别、评估课题和依据。同时,RACA形成关键风险和关键控制清单,为操作风险管理和内部控制报告提供统一语言。
第三节 操作风险控制
一、操作风险控制环境(★)
商业银行的整体风险控制环境包括公司治理、内部控制和风险文化等要素,对有效管理与控制操作风险至关重要。
二、操作风险缓释(★)
根据商业银行的资本金水平和操作风险管理能力,可以将操作风险划分为可规避的操作风险、可降低的操作风险、可缓释的操作风险和应承担的操作风险。商业银行可根据不同的操作风险类型采取相应的管理策略。
(一)业务连续性管理计划
连续营业方案应当是一个全面的计划,与商业银行经营的规模和复杂性相适应,强调操作风险识别、缓释、恢复以及持续计划,具体包括:业务和技术风险评估、面对灾难时的风险缓释措施、常年持续性/经营性的恢复程序和计划、恰当的治理结构、危机和事故管理、持续经营意识培训等方面。
(二)商业保险
购买商业保险作为操作风险缓释的有效手段,一直是商业银行管理操作风险的重要工具。国内商业银行在利用保险进行操作风险缓释方面还处于探索阶段。
购买保险只是操作风险缓释的一种措施,预防和减少操作风险事件的发生,根本上还是要靠商业银行不断提高自身的风险管理水平。
(三)业务外包
商业银行可以将某些业务外包给具有较高技能和规模的其他机构来管理,用以转移操作风险。同时,外包非核心业务有助于商业银行将重点放在核心业务上,从而提高效率、降低成本。
三、主要业务操作风险控制(★★★★★)
(一)柜台业务
柜台业务泛指通过商业银行柜面办理的业务,是商业银行各项业务操作的集中体现,也是最容易引发操作风险的业务环节。柜台业务范围广泛,包括账户管理、存取款、现金库箱、印押证管理、票据凭证审核、会计核算、账务处理等各项操作。
(二)法人信贷业务
法人信贷业务是我国商业银行最主要的业务种类之一,包括法人客户贷款业务、贴现业务、银行承兑汇票等业务。按照法人信贷业务的流程,可大致分为评级授信、贷前调查、信贷审查、信贷审批、贷款发放、贷后管理六个环节。
(三)个人信贷业务
个人信贷业务是国内商业银行竞相发展的零售银行业务,包括个人住房按揭贷款、个人大额耐用消
费品贷款、个人生产经营贷款和个人质押贷款等业务品种。(四)资金交易业务
商业银行为满足客户保值或提高自身资金收益或防范市场风险等方面的需要,利用各种金融工具进行的资金和交易活动,包括资金管理、资金存放、资金拆借、债券买卖、外汇买卖、黄金买卖、金融衍生产品交易等业务。从资金交易业务流程来看,可分为前台交易、中台风险管理、后台结算/清算三个环节。
(五)代理业务
商业银行接受客户委托,代为办理客户指定的经济事务、提供金融服务并收取一定费用,包括代理政策性银行业务、代理中央银行业务、代理商业银行业务、代收代付业务、代理证券业务、代理保险业务、代理其他银行的银行卡收单业务等。
第四节 操作风险监测与报告(★★★★★)
一、关键风险指标法
1.关键风险指标的定义操作风险关键指标是指对一个或多个操作风险敞口,通过反映操作风险发生可能性或影响度或某一
控制有效性,对该风险或控制进行定性或定量跟踪监测的操作风险管理流程。关键风险指标通常包括交易量、员工水平、技能水平、客户满意度、市场变动、产品成熟度、地区数量、变动水平、产品复杂程度和自动化水平等。
2.关键风险指标监控的原则
关键风险指标监控应遵循整体性、重要性、敏感性、可靠性和有效性原则。
3.关键风险指标法的应用流程
关键风险指标法可选择已经识别出来的主要操作风险因素,并结合商业银行的内、外部操作风险损失事件数据形成统计分析指标,用于评估商业银行整体的操作风险水平。
4.关键风险指标监控的价值
商业银行通过监控和分析不同时期自身关键风险指标的变化,并与同类金融机构进行横向比较,有
助于深入理解操作风险状况的变化趋势,为操作风险管理提供早期预警。5.关键风险指标与其他管理流程的结合应用
KRl数据能够监测和预警关键风险、控制措施及其变化,并提示管理层对超过数据门槛的风险变化采取相关管理措施。
二、损失数据收集
1.损失数据收集的定义
操作风险损失数据收集指操作风险损失数据(包括损失事件信息和会计记录中确认的财务影响)的搜集、汇总、监控、分析和报告工作。
2.损失数据收集的原则
损失数据收集应遵循如下原则:
(1)重要性原则;
(2)准确性原则;
(3)统一性原则;
(4)谨慎性原则。
3.损失数据收集的步骤
损失数据收集主要包括如下核心环节:
(1)损失事件识别;
(2)损失事件填报;
(3)损失金额确定;
(4)损失事件信息审核;
(5)损失数据收集验证。
4.损失数据收集的价值
5.关键风险指标与其他管理流程的结合应用
LDC是对操作风险损失事件的跟踪和记录,客观反映全行操作风险的实际损失和分布,为RACA流程产生的评估的风险敞口提供实际损失数据验证。
三、风险报告
第五节 操作风险资本计量
根据《商业银行资本管理办法(试行)》第九十五条的规定,“商业银行可采用基本指标法、标准法或高级计量法计量操作风险资本要求。”
一、基本指标法