下载文档原格式
银行操作风险事件及损失数据收集(LDC)管理办法(1.0版,xxx年)第一章总则第一条为进一步规范我行操作风险事件及损失数据收集与报告工作,以便全面、及时掌握我行操作风险及损失情况,有效防范和控制操作风险、减低损失,根据中国银行业监督管理委员会(以下简称“银监会”)下发的《商业银行操作风险管理指引》及《商业银行资本管理办法(试行)》等相关规定,制定本办法。
第二条操作风险事件是指由不完善或有问题的内部程序、员工、信息科技系统,以及外部事件所造成财务损失或非财务影响的事件,包括法律风险事件,但不包括策略风险事件和声誉风险事件。
操作风险事件包括操作风险损失事件和操作风险非损失事件。
操作风险损失事件是指给我行造成了直接经济损失的操作风险事件。
操作风险非损失事件是指虽未对我行造成直接的经济损失,但对我行营运、客户、监管、声誉等方面造成了非财务负面影响的操作风险事件。
第三条操作风险事件及损失数据收集应遵循“全面性、及时性、重要性、完整性、统一性、谨慎性、保密性”的基本原则。
(一)全面性原则。
对于本办法中规定应收集的操作风险事件及损失数据均需收集,不得瞒报、漏报。
(二)及时性原则。
应及时确认、完整记录、准确统计操作风险事件所导致的财务损失或造成的非财务影响,避免因时效问题造成当期统计数据不准确。
(三)重要性原则。
在统计操作风险事件及损失数据时,要对损失金额较大、非财务影响较严重以及发生频率较高的事件进行重点关注和整改。
(四)完整性原则。
收集操作风险事件及损失数据,应详尽收集所有必要信息,确保信息的准确性,并如实进行完整记录及上报。
(五)统一性原则。
全行对于操作风险事件及损失数据的统计标准、收集范围、程序和方法应保持相对一致,确保统计结果客观、准确,并具有可比性。
(六)谨慎性原则。
应审慎确认操作风险损失,进行客观、公允统计,准确计量损失金额,避免出现多计或少计操作风险损失的情况。
(七)保密性原则。
对于收集管理过程中的保密信息,未经批准不得擅自对外提供或披露,避免对我行造成不良影响。
ⅩⅩ银行操作风险管理政策目录第一章总则 (3)第一条【宗旨】 (3)第二条【定义】 (3)第三条【操作风险的主要类别】 (3)第四条【适用范围】 (4)第五条【操作风险管理的工作目标】 (4)第二章操作风险管理的组织框架与职责分工 (4)第六条【架构原则】 (4)第七条【董事会及其风险管理委员会】 (5)第八条【高级管理层】 (5)第九条【分行管理层】 (6)第十条【风险管理部】 (7)第十一条【各业务条线和职能部门】 (7)第十二条【法律合规、运营管理、信息科技、安全保卫、人力资源等部门】 (8)第十三条【内部审计部门和纪检监察部门】 (9)第三章操作风险管理制度 (9)第十四条【范畴】 (9)第十五条【制度体系】 (9)第十六条【操作风险管理政策】 (9)第十七条【操作风险管理基本制度】 (10)第十八条【内部控制制度】 (10)第十九条【紧急事故应急处理制度】 (10)第二十条【业务(操作风险管理)细则】 (11)第二十一条【对分支行业务(操作风险管理)细则的特别规定】 (11)第四章操作风险管理流程和技术 (11)第一节业务标准操作流程管理 (11)第二十二条【基本思路】 (11)第二十三条【职责】 (12)第二节操作风险识别与评估 (12)第二十四条【操作风险识别】 (12)第二十五条【操作风险评估】 (13)第二十六条【操作风险控制自我评估(RCSA)】 (13)第三节操作风险控制与缓释 (13)第二十七条【操作风险应对措施】 (13)第二十八条【外包】 (14)第二十九条【保险】 (14)第四节操作风险监测与报告 (14)第三十条【操作风险监测】 (14)第三十一条【关键风险指标】 (14)第三十二条【操作风险报告】 (15)第三十三条【操作风险预警】 (15)第三十四条【操作风险事件举报】 (15)第五节操作风险管理系统 (15)第三十五条【操作风险管理系统】 (15)第六节操作风险资本管理 (16)第三十六条【监管资本】 (16)第三十七条【经济资本】 (16)第七节配合监管 (16)第三十八条【政策程序报备】 (16)第三十九条【提交报告】 (16)第四十条【配合检查】 (17)第四十一条【整改】 (17)第五章操作风险管理文化 (17)第四十二条【操作风险管理文化】 (17)第四十三条【传达】 (18)第四十四条【业务培训】 (18)第四十五条【操作风险管理人员培训】 (18)第四十六条【全员操作风险管理培训】 (18)第四十七条【操作风险管理考核及奖惩】 (18)第六章附则 (19)第四十八条【重检】 (19)第四十九条【解释】 (19)第五十条【实施】 (19)附件:名词解释 (20)一、操作风险来源 (20)二、固有风险与剩余风险 (20)三、可能性和影响性 (21)四、操作风险应对措施 (21)五、关键风险指标(Key Risk Indicator,KRI) (21)六、风险映射 (22)七、操作风险控制自我评估(RCSA) (22)八、操作风险损失(事件)数据库 (22)九、风险地图(Risk Map) (23)第一章总则第一条【宗旨】根据董事会确定的发展战略和风险管理总目标,以及中国银行业监督管理委员会《商业银行操作风险管理指引》,参考国际银行业操作风险管理的经验,特制定本操作风险管理政策。
银行操作风险事件及损失数据收集(LDC)管理办法(1.0版,xxx年)第一章总则第一条为进一步规范我行操作风险事件及损失数据收集与报告工作,以便全面、及时掌握我行操作风险及损失情况,有效防范和控制操作风险、减低损失,根据中国银行业监督管理委员会(以下简称“银监会”)下发的《商业银行操作风险管理指引》及《商业银行资本管理办法(试行)》等相关规定,制定本办法。
第二条操作风险事件是指由不完善或有问题的内部程序、员工、信息科技系统,以及外部事件所造成财务损失或非财务影响的事件,包括法律风险事件,但不包括策略风险事件和声誉风险事件。
操作风险事件包括操作风险损失事件和操作风险非损失事件。
操作风险损失事件是指给我行造成了直接经济损失的操作风险事件。
操作风险非损失事件是指虽未对我行造成直接的经济损失,但对我行营运、客户、监管、声誉等方面造成了非财务负面影响的操作风险事件。
第三条操作风险事件及损失数据收集应遵循“全面性、及时性、重要性、完整性、统一性、谨慎性、保密性”的基本原则。
(一)全面性原则。
对于本办法中规定应收集的操作风险事件及损失数据均需收集,不得瞒报、漏报。
(二)及时性原则。
应及时确认、完整记录、准确统计操作风险事件所导致的财务损失或造成的非财务影响,避免因时效问题造成当期统计数据不准确。
(三)重要性原则。
在统计操作风险事件及损失数据时,要对损失金额较大、非财务影响较严重以及发生频率较高的事件进行重点关注和整改。
(四)完整性原则。
收集操作风险事件及损失数据,应详尽收集所有必要信息,确保信息的准确性,并如实进行完整记录及上报。
(五)统一性原则。
全行对于操作风险事件及损失数据的统计标准、收集范围、程序和方法应保持相对一致,确保统计结果客观、准确,并具有可比性。
(六)谨慎性原则。
应审慎确认操作风险损失,进行客观、公允统计,准确计量损失金额,避免出现多计或少计操作风险损失的情况。
(七)保密性原则。
对于收集管理过程中的保密信息,未经批准不得擅自对外提供或披露,避免对我行造成不良影响。
运维操作风险管理 解决方案奇智(上海)信息科技有限公司目 录1 项目背景 (3)1.1 项目背景 (3)1.2 项目要求 (3)2 需求分析 (3)2.1 需求理解-运维操作风险管理 (3)2.2 实现目标-简单有效 (4)2.2.1 对用户影响最小 (4)2.2.2 提高操作透明度 (4)2.2.3 增强操作可控性 (4)3 方案设计 (4)3.1 整体设计思路 (4)3.2 操作网关方式部署 (6)3.3 用好共享帐号解决身份管理 (8)3.4 访问控制列表一目了然 (9)3.5 操作权限控制的黑白名单 (11)3.6真正解决问题的操作审计 (12)3.7 具体操作审计说明 (13)3.7.1 网络设备的终端字符命令(Telnet/SSH)的操作审计 (13)3.7.2 直接登录操作系统进入数据库操作审计 (15)3.7.3 图形化操作- Windows图形(RDP) (15)3.7.4 图形化操作-Unix/Linux图形(Xwindows) (17)3.7.5 文件上传下载(FTP/SFTP/SCP) (17)3.7.6 各种图形的C/S客户端工具操作和Https Web访问操作: (17)4 方案优势 (18)3.1 简单可行 (18)3.2 操作风险整体解决方案 (18)3.2 简化帐号密码管理 (19)3.3 权限的细粒度控制 (19)3.4 专业的操作审计 (19)5 产品优势 (19)5.1 成熟 (19)5.2 先进 (21)1 项目背景1.1 项目背景面对运维操作的操作审计。
运维操作主要是指对服务器、网络设备、数据库等信息系统重要资源进行读写访问、变更配置、启动关闭、运行维护等操作,涉及这些重要资源的管理员、操作员、业务用户等操作人员。
1.2 项目要求解决方案要具有实用性、先进性不仅仅只是购买一款安全审计产品,而要提供更多的控制方法和先进的管理理念尽可能小的影响现有信息系统的正常运作尽可能多的支持各种操作方式对维护操作进行一定的访问和操作控制,对违规行为进行报警或阻断能对审计结果进行查询检索,要从海量记录中快速找到有价值的信息2 需求分析2.1 需求理解-运维操作风险管理我们对需求的理解是—用户需要运维操作风险管理的整体解决方案,而不仅仅只是审计这个功能需求。
操作风险数据库----240f5b64-715f-11ec-9fe7-7cb59b590d7d一、建立操作风险损失数据库的重要意义1.数据收集过程本身就是识别银行面临的操作风险的过程。
该定义不仅为从业者提供一致的含义,也是操作风险分类、度量和控制的前提和基础。
不同的定义反映了操作风险管理的目的和范围。
数据收集本质上是对操作风险定义的重新定义和选定定义的具体化。
在收集数据时,首先要解决的问题是对操作风险损失数据进行分类,确定需要收集的数据类型,并确定操作风险损失数据库的结构。
数据结构决定了具体分析方法的可行性和结果的实用性。
分类是对定义内涵的进一步细化。
分类必须保持一致,按照一定的逻辑类型,特定的分类结构决定着特定分析方法可行性和得到结论的实用性。
如果分类是任意的,任何从数据得出的价值也是不规则的。
例如,确定完整的风险矩阵是采用自下而上法计算操作风险的资本要求的前提和基础,确定预期损失和非预期损失的大小是正确选择风险转移方式的条件。
最近,中国监管部门对操作风险没有统一的定义。
银监会有关部门负责人在回答记者有关通知的提问时认为,操作风险源于本行内部控制和公司治理机制的失效,具体表现为错误、欺诈、越权交易、欺诈、欺诈、欺诈、欺诈、欺诈、欺诈、欺诈、欺诈、欺诈、欺诈、欺诈、欺诈等,信息技术系统的重大故障或火灾等事件。
然而,更系统地理解操作风险需要一个统一的定义。
目前,巴塞尔委员会对操作风险的定义已被业界广泛接受。
巴塞尔委员会确定的业务类别-事件类型风险矩阵可以清楚地显示每个业务类别的运营风险以及如何应对事件形式而存在,便于对了解操作风险产生的原因、在风险管理中有效地识别和控制操作风险。
为了与国际接轨,我国的商业银行应当采用巴塞尔委员会关于操作风险的分类体系,把银行的操作风险损失映射到这个标准矩阵中去,在标准矩阵中再进一步细分了每个单元的损失类型,做到不遗漏不重叠,涵盖所有的业务损失。
1.2操作风险损失数据库的建立是操作风险度量的前提和基础。
风险数据库的搭建在当今复杂多变的商业环境中,企业面临着各种各样的风险。
为了有效地识别、评估和管理这些风险,搭建一个完善的风险数据库成为了至关重要的任务。
风险数据库不仅能够为企业提供全面、准确的风险信息,还能为决策制定提供有力的支持,帮助企业提前做好防范措施,降低风险带来的损失。
那么,什么是风险数据库呢?简单来说,风险数据库就是一个集中存储和管理风险相关信息的系统。
它包含了对各种风险的详细描述、风险发生的可能性、风险可能造成的影响程度、风险的来源、风险的应对策略等重要信息。
通过对这些信息的整理和分析,企业能够更好地了解自身所面临的风险状况,从而有针对性地进行风险管理。
要搭建一个有效的风险数据库,首先需要明确搭建的目标和范围。
我们需要确定这个数据库是为了满足整个企业的风险管理需求,还是仅仅针对某个特定的业务部门或项目。
同时,还要明确需要涵盖哪些类型的风险,比如市场风险、信用风险、操作风险、合规风险等等。
只有明确了目标和范围,才能确保数据库的搭建具有针对性和实用性。
接下来,就是收集风险信息。
这是一个非常关键的步骤,需要企业内部各个部门的协同合作。
可以通过问卷调查、访谈、案例分析等方式,从不同的渠道收集风险信息。
例如,财务部门可以提供关于资金流动和财务报表方面的风险信息;市场营销部门可以分享市场竞争和客户需求变化带来的风险;生产部门可以讲述生产过程中的质量控制和供应链方面的风险。
在收集信息的过程中,要确保信息的准确性和完整性,避免遗漏重要的风险因素。
收集到风险信息后,就需要对其进行整理和分类。
可以按照风险的类型、发生的领域、风险的严重程度等不同的标准进行分类。
比如,将市场风险分为市场需求波动、竞争对手策略变化等子类别;将信用风险分为客户信用评级下降、应收账款逾期等。
通过合理的分类,能够使风险信息更加清晰有序,便于后续的分析和管理。
在对风险信息进行整理分类的基础上,还需要对风险进行评估。
评估风险的可能性和影响程度是非常重要的环节。
商业银行风险可以分为信用风险、市场风险和操作风险。
根据《巴塞尔协议》,操作风险可被定义为“由于内部程序、人员、系统的不完善或失误,及外部事件造成直接或间接损失的风险”。
对操作风险来说,将其作为银行三大风险之一还是近几年的事,这是因为国内外银行发生的一系列大问题均与操作风险有关。
除了英国巴林银行破产和澳大利亚国民银行1.4亿美元的巨额损失外,巴塞尔委员会在2002年的调查中还显示,参加调查的银行一共报告了47,029件损失,其中五家银行的损失就达80亿欧元,可见操作风险在国外银行风险中发生的普遍性。
国内的情况也较相似,从广东开平分行4.83亿美元的巨额损失到中行刘金宝和建行张恩照事件,足以说明国内银行的操作风险也是较大的。
面对操作风险带来的巨大损失,国内商业银行应积极采取对策,防范化解风险,其中一项重要的工作就是量化操作风险,为风险评估奠定数据基础。
虽然操作风险的量化和管理在国际银行业还处于初级阶段,国内银行也才刚刚开始,但量化观念和方法的引入将对国内银行业的发展产生较大的推动力。
一、操作风险量化评估的必要性与其他风险相比,操作风险具有突发性、偶然性和难以预测等特点,很难确切计量。
如果就单个年份来看,一些操作风险事件是无规律的,一旦将这些事项放在很长一段时间和同类型的大量数据中来看,我们会发现,这些操作风险往往会以某种稳定的概率发生,这正是人们量化操作风险的基础。
1.量化后的操作风险更易于被精确地识别和分析。
瑞士银行总裁维特说:“我们从不承担未经计算的风险”,这说明了风险计量的重要性。
近年来,银行的风险管理越来越多的体现出数理化、定量化的特征,逐步由简单的技术管理过渡到复杂的统计分析管理,并最终走向定量分析。
2.为操作风险分配应有的经济资本提供依据。
长期以来,人们认为操作风险是不可量化的,不能为其分配资本,这种看法是一个误区。
操作风险的损失可分为预期损失、未预期损失和灾难性损失。
预期损失可编入预算中,对于未预期损失,银行应将其初步量化后,为其分配合适的经济资本。
交通银行操作风险管理项目业务手册一、本文概述1、背景介绍a. 交通银行及其操作风险管理项目的简述交通银行是中国五大国有商业银行之一,其业务涵盖广泛,包括个人、企业及金融机构客户。
在过去的几年中,交通银行一直致力于提升其风险管理能力,其中操作风险管理是重中之重。
操作风险管理项目旨在识别、评估和管理交通银行内部的操作风险,以确保银行业务的稳健运行。
b. 编写本手册的目的和意义为了帮助交通银行的操作风险管理项目组成员更好地理解和执行风险管理任务,编写本手册具有重要的目的和意义。
本手册旨在提供清晰、实用的操作指南,使得项目组成员能够快速掌握操作风险管理的基本概念、流程和方法。
通过提供实际案例和最佳实践,本手册旨在提高项目组成员的专业技能和实际操作能力。
通过本手册,项目组成员可以更好地了解交通银行的操作风险管理项目,掌握风险识别、评估和管理的基本技能。
这将有助于提高交通银行的全面风险管理能力,保障银行业务的安全和稳定运行。
2、使用指南2、使用指南 a. 本手册的结构和组织方式本手册按照交通银行操作风险管理项目的实施流程进行组织和结构,包括以下六个章节:第一章概述:介绍了操作风险管理的背景和重要性,以及交通银行操作风险管理项目的目标和意义。
第二章项目启动:详细介绍了项目启动阶段的主要工作内容,包括项目团队的组建、风险评估的策划、风险评估的执行和风险评估的报告编写等。
第三章风险识别:阐述了风险识别的概念和方法,以及在交通银行操作风险管理项目中的具体应用。
第四章风险评估:介绍了风险评估的方法和工具,包括定量评估和定性评估,以及在交通银行操作风险管理项目中的具体应用。
第五章风险控制:详细介绍了风险控制的主要措施和工具,包括内部控制、风险缓释、资本计量等,以及在交通银行操作风险管理项目中的具体应用。
第六章项目监控与收尾:介绍了项目监控与收尾阶段的主要工作内容,包括风险管理计划的制定、风险监控的执行、风险管理报告的编写和项目总结等。
核电厂运行操作风险评估标准和风险管控摘要:现阶段,大多数电厂对于作业工业安全风险识别和管控力度都是非常大的。
通过探究核电厂运行操作有关状态报告和经验反馈情况来看,运行操作期间引起的运行事件在核电厂运行统计数据中占据着非常高的比例,因为我国核电厂并没有创建相应的运行操作风险评估体系,对应运行操作活动的风险评估和控制缺少相应的指导。
在本篇文章中,主要从运行操作、风险识别、分析评定和风险控制等多方面入手,制定了规范性的运行操作风险评估和控制流程,引进了合理的运行操作风险管理方式。
关键词:核电厂运行操作;评估风险;风险控制策略加强核电厂风险管理关系到社会公众的生命、健康和财产、环境安全,既是大规模核电建设的先决条件之一,也是当前经济社会发展的必然要求。
对于核能的和平开发和利用而言,加强核电站风险管理始终是一个全球性的重大课题,这一课题不仅在技术上处于前沿位置,而且具有显著的系统性和综合性。
我国核电运行风险识别和评估目标明确要求采取合理方式精准的识别出电厂生产活动开展过程中潜在的运行风险,了解到运行风险对电厂造成的不良影响,可是核电全面风险管理准则中没有具体的做法和相应的标准,现有的国内核电机组使用防人因失误工具也只是在工作中对运行操作风险加以控制,并没有提前定量评价运行操作风险面。
对于我国核电运行操作风险管理现状,就需要制定与核电机组运行操作风险评估标准和风险控制相符合的措施。
1、运行操作风险评估标准1.1风险评估理论分析在风险管理过程中,风险评估是非常重要的,一方面,其涉及到了风险识别、风险分析、风险评定,是动态性判断风险分析风险产生可能性和造成影响的项依据,而且也是依照标准原则确定风险水平的基本过程。
当前阶段,采取的方式包含了故障树分析法、矩阵分析法、作业条件危险性分析法、风险程度分析法。
当评估运行操作风险的过程中,结合各项方式的特征创建风险发生的可能性、后果严重性和风险可控性的三维度综合评价。
1.2识别风险在风险管理期间识别风险是首要环节主要是全面的分析判断和分类运行操作中存在的潜在性风险,遵循矩阵分析法、作业条件危险法和设备可靠性分析原则,通过总结运行事件,按照风险发生的严重性、风险发生的可能性和可控制性归纳出识别的要点、问卷调查识别结果,获取精准数据,按照机组影响程度对各风险因素进行打分以后,为后期风险分析和评定奠定建设的基础。
输煤运行作业风险数据库
摘要:
1.输煤运行作业风险数据库的概述
2.输煤运行作业风险数据库的重要性
3.输煤运行作业风险数据库的构建方法
4.输煤运行作业风险数据库的应用实例
5.输煤运行作业风险数据库的未来发展方向
正文:
输煤运行作业风险数据库是一款用于记录和分析输煤运行作业中可能出现的各种风险的数据库,对于输煤行业的安全运行有着重要的作用。
首先,输煤运行作业风险数据库的概述,它是一款专业性的数据库,主要用于收集、整理和分析输煤运行作业中可能出现的各种风险,包括人为风险、设备风险、环境风险等,以便于及时发现和预防可能出现的安全事故。
其次,输煤运行作业风险数据库的重要性。
输煤行业的运行安全是关系到国家能源安全和人民生命财产安全的大事,而输煤运行作业风险数据库则可以为输煤行业的安全运行提供有力的保障。
通过对风险的及时识别和预防,可以有效降低输煤运行作业中的安全事故发生率,保障输煤行业的安全稳定运行。
然后,输煤运行作业风险数据库的构建方法。
构建输煤运行作业风险数据库需要从以下几个方面入手:一是收集风险数据,包括对历史事故的分析、对现有作业流程的评估等;二是对风险数据进行分类整理,以便于后续的查询和分析;三是建立风险评估模型,通过对风险数据的分析,及时发现和预警可能
出现的安全风险。
接下来,输煤运行作业风险数据库的应用实例。
例如,在输煤运行作业中,如果设备出现故障,可以通过查询风险数据库,及时发现类似故障的解决方案,避免因故障处理不当而引发的安全事故。
最后,输煤运行作业风险数据库的未来发展方向。
随着科技的发展,输煤运行作业风险数据库将更加智能化和精细化,可以更好地服务于输煤行业的安全运行。
附录三操作风险损失数据收集规则一、操作风险损失事件定义本规则所称操作风险损失事件是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部因素所造成银行发生直接财务损失的操作事件。
操作风险损失事件原则上不包括策略风险和声誉风险事件。
二、操作风险损失事件统计原则(一)重要性原则。
在统计操作风险损失事件时,要对损失金额较大和发生频率较高的操作风险损失事件进行重点关注和确认。
(二)及时性原则。
应及时确认、完整记录、准确统计操作风险损失事件所导致的直接财务损失,避免因提前或延后造成当期统计数据不准确。
(三)统一性原则。
操作风险损失事件的统计标准、范围、程序和方法要保持一致,以确保统计结果客观、准确及可比。
(四)谨慎性原则。
对操作风险损失进行确认时,要保持必要的谨慎,应进行客观、公允统计,准确计量损失金额,不得出现多计或少计操作风险损失的情况。
三、操作风险损失事件类型(一)内部欺诈。
指故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失事件,此类事件至少涉及内部一方,但不包括性别/种族歧视事件。
(二)外部欺诈。
指第三方故意骗取、盗用、抢劫财产、伪造要件、攻击商业银行IT系统或逃避法律监管导致的损失事件。
(三)就业制度和工作场所安全事件。
指违反就业、健康或安全方面的法律或协议,个人工伤赔付或者因性别/种族歧视导致的损失事件。
(四)客户、产品和业务活动事件。
指因未按有关规定造成未对特定客户履行份内义务(如信托责任和适当性要求)或产品性质或设计缺陷导致的损失事件。
(五)实物资产的损坏。
因自然灾害或其他事件(如恐怖袭击)导致实物资产丢失或毁坏的损失事件。
(六)IT系统事件。
因信息科技系统生产运行、应用开发、安全管理以及由于软件产品、硬件设备、服务提供商等第三方因素,造成系统无法正常办理业务或系统速度异常所导致的损失事件。
(七)执行、交割和流程管理事件。
因交易处理或流程管理失败,以及与交易对手方、外部供应商及销售商发生纠纷导致的损失事件。
一、建立操作风险损失数据库的重要意义1、收集数据过程本身是对银行所面临的操作风险的识别过程定义不仅是为实务从事者提供一致的含义,它也是操作风险分类、度量和控制的前提和基础,不同的定义反映了对操作风险管理的目的与范围。
数据收集本质上是对定义讨沦的再阐述,是对所选择的操作风险定义的具体化。
收集数据时,首先要解决的问题是对操作风险损失数据进行分类,确定什么样的数据需要收集,确定操作风险损失数据库的结构。
数据的结构决定了特定分析方式的可行性和所得结果的实用性。
分类是对定义内涵的进一步细化。
分类必须保持一致,按照一定的逻辑类型,特定的分类结构决定着特定分析方法可行性和得到结论的实用性。
如果分类是任意的,任何从数据得出的价值也是不规则的。
例如,确定完整的风险矩阵是采用自下而上法计算操作风险的资本要求的前提和基础,确定预期损失和非预期损失的大小是正确选择风险转移方式的条件。
日前我国监管机构对操作风险没有统一的定义,银监会有关部门负责人就《通知》答记者问时认为操作风险是由于银行内部控制及公司治理机制的失效,具体表现为失误、欺、越权交易以及包括信息技术系统的重大失效或诸如火灾和其他灾难等事件。
然而,要对操作风险更系统的认识,需要有一一个统一的定义。
目前.巴塞尔委员会对操作风险的定义得到业界的广泛接收,它确定的业务类别——事件类型风险矩阵能够清楚显示各业务类别的操作风险,以及以什么样的事件形式而存在,便于对了解操作风险产生的原因、在风险管理中有效地识别和控制操作风险。
为了与国际接轨,我国的商业银行应当采用巴塞尔委员会关于操作风险的分类体系,把银行的操作风险损失映射到这个标准矩阵中去,在标准矩阵中再进一步细分了每个单元的损失类型,做到不遗漏不重叠,涵盖所有的业务损失。
1.2 操作风险损失数据库的建立是操作风险计量的前提和基础操作风险的完全分析的基础是数据的完整性和质量,如果数据稀少、有偏、不完整或有瑕疵,任何分析的结果都是值得怀疑、甚至是毫无意义的,町能形成“输入的是垃圾,输出的也是垃圾”。
为了解决高级法所面临的数据问题,部分大型国际活跃银行开始建立自己的损失数据库,另外也出现了一些官方性质或商业性质的数据库。
例如,在瑞士所建立的“操作风险资料交换协会”,会员包括一些北美与欧洲知名的大型国际性银行,该协会除收集操作风险损失资料外,也确定了信息比较与共享原则。
英国银行家协会也于2000年6月建构全球操作风险损失数据库,初期参与资料提供的会员包括英国、欧洲、北美及澳洲等22家银行。
其主要目的是协助会员银行全面提升操作风险管理品质、提供操作风险量化分析与模型建立的工具,及达成最佳资本配臵的目标。
1.3 收集操作风险损失资料也是健全与完善操作风险管理的重要手段收集操作风险内部损失资料除可强化组织内部对操作风险的了解与认识,通过过去的损失经验与采取的改善行动来掌握操作风险的整体风险,全面提升操作风险管理的品质。
进行损失资料收集还隐含着组坌_}{文化方面的问题.一般来说.业对于损失事件的发生多持管理错误的心态。
一一日.发乍损失事件,除非损失相当严重,多是视而不见,更不用说确实收集相关损失资料。
随着操作风险正式纳人资本计提范畴后,如何建构系统有效的方式收集损失资料已成为落实操作风险管理的重要一环。
若能将错误视为改善的契机,对损失事件捉供者以适度保护,同时确保资料的机密性,分离数据收集、资料分析与执法等主体,将可鼓励员 I:以积极、正自的心态揭露操作风险损失事实}:,收集操作风险损失资料除_f『强化组织内部对操作风险的意识外,借着分析过去的损失经验,对掌握操作风险的整体情形,采取适当的改善行动,及提升操作风险管理的品质都有助益。
2 操作风险损失数据库的结构与内容根据巴塞尔委员会对操作风险的定义.在建立损失数据库时应收集以F方面的信息:事件发生、发现及结束时间,事件发l牛的地点,事件的责任主体,事件发生的业务类别和事件类别,损失大小,损失收叫金额及其收回的途径,是否与市场风险和信用风险相亲相关,事件原因的描述等内容。
此外,基于管理上的日的,一些额外信息也有收集的必要。
例如,没有造成任何财务损失的事件资料、或具有信用风险特性的损失事件资料,包括与诈欺相关的信用损失等。
虽然这些搠失事件资料无须列入操作风险法定资本的计算之中,不过,若从操作风险管理的层而来看,仍有收集的必要。
闪此,侄收集损失事件资料时,可依其日的不同,区分为法定资本需求与j砜险管珊需求但前提是损失事件资料收集必须以统一的方式进行,有先进、完善的资料收集系统相配合。
事实上,内部损失事件资料的完善与否取决于资料收集过程的一一致性完整性管理阶层除须确认操作风险损失事件佶息的收集涵盖所有重要业务单何、事件、产品型态,及地理区域外,也项建立与损失资料收集相荚的政策与程序,如指派对操作风险及相关资料收集具充分r解的适当人员来管理内部损失资料。
3 收集数据要处理好的几个问题3.1 正确归并新资本协议的三种风险损失数据过去我们经常把操作风险看作是市场风险和信用风险的一部分或称作“其它风险”,因此在收集操作风险损失数据的时候要正确区分这三种风险。
例如我们传统上认为巴林银行倒是由市场风险造成,但它足典型意义上的未授做交易所形成的操作风险。
如果操作风险损失与信用风险相关,拜在过去已反映住银行的信用风险数据库中(如抵押品管理失败),虽然根据新资本议的要求,在计算最低监管资本时应将其视为信用风险损失,对此类损失不必汁入操作风险资本。
但是,银行应将所有的操作风险损失记录在内部操作风险数据库中,以与操作风险定义范围和损失事件类型保持一致。
任何与信J}J风险有关的损失,应该在内部操作风除数据库cfl 地反映出来(如做标记J。
如槊操作风险损失 f 场风险ff]哭,则根据新框架要求,往汁算最低监管资本时应视操作风险损失因而此类数据应放入操作风险损失数据库。
3.2 要确定合适的阂值收集损失数据时需要设定适当的总损失底线,确定合适__的损失金额收集底线本身是一件复杂的事情,如果阂值定得过高,可能收集不到足够的损失数据以反映操作风险损失的厚尾性,在进行量化分析时出现样本不够的偏差;阈值过小,会增加收集的成本。
因此确定阈值要根据量化分析和管理的要求和成本来确定。
适当的底线可因行而异,在一家银行内部也可因业务类别和损失事件类型而异,可依据不同产品型态、业务类别、地理区域或其它因素来决定,当然这个底线必须合理,例如不可排除重要的损失事件,且须掌握银行操作风险损失的重婪部分。
巴寒尔委员会风险管理小组在QIS2中确定的底线是lOOOO欧元/美元,而欧洲银行的一般标准是1000欧元。
根据我国商业银行的实际情况,目前数据收集的底线确定为人民币1000元较为合适。
3.3 正确处理内外部数据库的关系对内部数据的跟踪记录是开发使用可行的操作风险计量系统的前提。
但低频高损的操作风险事件很少在一家银行内发生,银行这方面的历史数据积累年限也较短。
尽管有一些有关操作风险的著名案例,例如高山案件,但是大多数银行都缺少估计操作风险大小所需的损失事件的数目。
所以既要注意在积累内部数据,又要弓1人行业整体数据做补充。
外部数据的来源有四种:①通过公共信息渠道收集;②操作风险数据库软件,如OpRiskAnalytics、Opvantage、Fitch Risk 等。
这些软件由一些著名的金融机构开发,已发展得较为成熟,但其数据收集同样容易受到主观影响;⑧行业数据库,这在我们国家是非常重要的,目前已有银行向银监会报告损失数据的要求,因此由银监督会自身或指定一个机构如银行业协会建造一个行业数据库是最为恰当和可行的;④保险公司也是外部损失数据来源的重要渠过,主要从保险公司的理赔及其它外部管道取得损失资料,可用作分析并提供相关报告。
3-4 正确处理资料的保密性和操作风险披露制度的关系由于担心披露操作风险损失事件会损伤自身声誉,或被执法机关所获知,甚至被个人用于对抗银行的手段,很多银行在信息披露方面持消极态度。
同时,我国的监管机构也没有强制性的损失数据披露要求,只在《通知》第五条中要求商业银行“进一步扩大社会和新闻舆论对银行的监督;对已发生的大案,可以披露的,要加强信息披露工作,及时详细介绍整改规划和具体措施,正确引导公众舆论,争取主动。
”然而实际应用中什么是可以披露的,是一个模糊的概念。
因此,要保证外部数据有充足的来源,需要银行监管机构有进一步的细化规定。
部分机密性的损失数据可以更多地由监管机构收集,这部分数据的使用者只能了解损失金额以及业务类别和事件形式等有限内容,一方面保证了数据的保密性,同时又满足了数据共享的要求。
4 结论数据收集是对自身所面临的操作风险的一个识别过程,同时也是计量操作风险的前提和基础,以及健全与完善操作风险管理的重要手段。
我国银行业应当根据巴塞尔委员会对操作风险的分类体系建立自己操作风险损失数据库。
在这个过程中要注意内部数据与外部数据的结合与补充,作到银行自身内部数据库与行业性、商业性和官方性的数据库的相互结合。
目前由银监会自己或指定某个机构建立一个行业性的数据库是最为恰当和可行。
证券公司操作风险识别目前证券公司的操作风险主要分布在自营业务、经纪业务、投资银行业务、资产管理业务、投资咨询业务等方面,同时计划资金部作为公司业务的支持部门,其资金运用和调度,对公司风险具有直接的重大影响。
其中,自营业务中,主要是由于内部管理出现漏洞、管理失控或存在缺陷,使得内部人员操作不当,有时甚至出现利用管理漏洞或缺陷而违法违规谋利的内部人犯罪,造成证券公司的损失。
经纪业务中,主要有操作流程风险、电脑网络系统风险(电脑、网络出现各种故障,尤其是导致交易瘫痪的严重故障)、违规违法经营风险。
投资银行业务主要体现在项目人员没有做到应尽的调查职责、对项目公司材料的准确性、全面性、真实性没有深入细致的了解;或者项目人员为了促进项目的成功,与公司串通编制虚假材料,骗取融资资格;或者项目人员携带项目跳槽,为原公司带来损失;由于证券发行人问题或券商项目人员的操作问题,使证券发行申请被否决,证券发行项目流失,券商在该项目中的前期投入成本付之东流。
资产管理业务中,主要是在投资阶段违反权限管理协议规定进行操作,使用公司法人账户和其他非委托人证券账户为客户进行投资操作,未履行公司授权与决策程序,操作人员未按指令操作造成损失,操作人员越权操作;在清算过程清算部资金清算错误造成损失,财务部核算错误造成损失,结项时收款人名称与委托协议中委托人名称不一致;在开户与资金人账环节,开户证明材料不全造成纠纷,未履行对客户资金的专户管理,客户的委托资金账户对应多个证券账户,未履行资金人账程序造成纠纷,资金人账有关文件不完备造成纠纷。
投资咨询业务中,有违反投资咨询业务资格认定制度的风险,尚未实行资格审批的从业人员从事证券投资咨询,违反证券公司内部控制防火墙原则产生的风险,尚未在投资咨询业务和自营、承销等业务部门之间建立“防火墙”,违反相关利益人回避原则的风险,证券投资咨询机构及其执业人员在与自身有利害冲突的下列情况下没有进行执业回避,传播虚假信息、诱骗投资买卖的行为,诱导投资者从事短线交易,与机构或庄家串谋制造虚假信息,信息误导行为。
