操作风险数据库.docx

1、一、建立操作风险损失数据库的重要意义 1、收集数据过程本身是对银行所面临的操作风险的识别过程 定义不仅是为实务从事者提供一致的含义，它也是操作风险分 类、度量和控制的前提和基础，不同的定义反映了对操作风险管理的 目的与范围。数据收集本质上是对定义讨沦的再阐述，是对所选择的 操作风险定义的具体化。收集数据时，首先要解决的问题是对操作风 险损失数据进行分类，确定什么样的数据需要收集，确定操作风险损 失数据库的结构。数据的结构决定了特定分析方式的可行性和所得结 果的实用性。 分类是对定义内涵的进一步细化.分类必须保持一致，按照一定 的逻辑类型，特定的分类结构决定着特定分析方法可行性和得到结论

2、的实用性。如果分类是任意的，任何从数据得出的价值也是不规则的。 例如，确定完整的风险矩阵是采用自下而上法计算操作风险的资本要 求的前提和基础，确定预期损失和非预期损失的大小是正确选择风险 转移方式的条件。 日前我国监管机构对操作风险没有统一的定义，银监会有关部门 负责人就《通知》答记者问时认为操作风险是由于银行内部控制及公 司治理机制的失效，具体表现为失误、欺、越权交易以及包括信息技 术系统的重大失效或诸如火灾和其他灾难等事件。然而，要对操作风 险更系统的认识，需要有一一个统一的定义。目前.巴塞尔委员会对 操作风险的定义得到业界的广泛接收，它确定的业务类别-一事件类 型风险矩阵能够清楚显示各

3、业务类别的操作风险,以及以什么样的 事件形式而存在，便于对了解操作风险产生的原因、在风险管理中有 效地识别和控制操作风险。为了与国际接轨，我国的商业银行应当采 用巴塞尔委员会关于操作风险的分类体系，把银行的操作风险损失映 射到这个标准矩阵中去，在标准矩阵中再进一步细分了每个单元的损 失类型，做到不遗漏不重叠，涵盖所有的业务损失。 1. 2操作风险损失数据库的建立是操作风险计量的前提和基础 操作风险的完全分析的基础是数据的完整性和质量，如果数据稀少、 有偏、不完整或有瑕疵，任何分析的结果都是值得怀疑、甚至是毫无 意义的，町能形成“输入的是垃圾，输出的也是垃圾”。为了解决高 级法所面临的数据问题

4、部分大型国际活跃银行开始建立自己的损失 数据库，另外也出现了一些官方性质或商业性质的数据库.例如，在瑞 士所建立的“操作风险资料交换协会”，会员包括一些北美与欧洲知 名的大型国际性银行，该协会除收集操作风险损失资料外，也确定了 信息比较与共享原则。英国银行家协会也于20年6月建构全球操作 风险损失数据库，初期参与资料提供的会员包括英国、欧洲、北美及 澳洲等22家银行。其主要目的是协助会员银行全面提升操作风险管理 品质、提供操作风险量化分析与模型建立的工具，及达成最佳资本配 置的目标. 1. 3收集操作风险损失资料也是健全与完善操作风险管理的重要手 段 收集操作风险内部损失资料除可强化组织内

5、部对操作风险的了解与 认识,通过过去的损失经验与采取的改善行动来掌握操作风险的整体 风险，全面提升操作风险管理的品质。进行损失资料收集还隐含着组 坌一｝文化方面的问题.一般来说.业 对于损失事件的发生多持管理 错误的心态。一一日.发乍损失事件，除非损失相当严重，多是视而不 见，更不用说确实收集相关损失资料.随着操作风险正式纳人资本计 提范畴后，如何建构系统有效的方式收集损失资料已成为落实操 作风险管理的重要一环。若能将错误视为改善的契机，对损失事件捉 供者以适度保护，同时确保资料的机密性,分离数据收集、资料分析与 执法等主体，将可鼓励员I:以积极、正自的心态揭露操作风险损失事 实｝:，收集操作

6、风险损失资料除一强化组织内部对操作风险的意识 外，借着分析过去的损失经验，对掌握操作风险的整体情形，采取适 当的改善行动，及提升操作风险管理的品质都有助益。 2操作风险损失数据库的结构与内容 根据巴塞尔委员会对操作风险的定义.在建立损失数据库时应收集以 F方面的信息：事件发生、发现及结束时间，事件发l牛的地点，事件 的责任主体，事件发生的业务类别和事件类别，损失大小，损失收叫 金额及其收回的途径，是否与市场风险和信用风险相亲相关，事件原 因的描述等内容.此外，基于管理上的日的，一些额外信息也有收集 的必要。例如，没有造成任何财务损失的事件资料、或具有信用风 险特性的损失事件资料，包括与诈欺

7、相关的信用损失等。虽然这些搠 失事件资料无须列入操作风险法定资本的计算之中，不过，若从操作 风险管理的层而来看，仍有收集的必要.闪此，侄收集损失事件资料时, 可依其日的不同，区分为法定资本需求与砜险管珊需求但前提是损 失事件资料收集必须以统一的方式进行，有先进、完善的资料收集系 统相配合.事实上，内部损失事件资料的完善与否取决于资料收集过 程的—致性完整性管理阶层除须确认操作风险损失事件佶息的 收集涵盖所有重要业务单何、事件、产品型态，及地理区域外，也项 建立与损失资料收集相荚的政策与程序,如指派对操作风险及相关资 料收集具充分［解的适当人员来管理内部损失资料. 3收集数据要处理好的几个问题

8、 3.1正确归并新资本协议的三种风险损失数据 过去我们经常把操作风险看作是市场风险和信用风险的一部分或称 作“其它风险”，因此在收集操作风险损失数据的时候要正确区分这 三种风险。例如我们传统上认为巴林银行倒 是由市场风险造成，但它 足典型意义上的未授做交易所形成的操作风险。如果操作风险损失与 信用风险相关，拜在过去已反映住银行的信用风险数据库中（如抵押 品管理失败），虽然根据新资本议的要求，在计算最低监管资本时 应将其视为信用风险损失，对此类损失不必汁入操作风险资本。但是， 银行应将所有的操作风险损失记录在内部操作风险数据库中,以与操 作风险定义范围和损失事件类型保持一致。任何与信J} J

9、风险有关的 损失，应该在内部操作风除数据库cfl地反映出来如做标记J。如槊 操作风险损失f场风险ff哭，则根据新框架要求，往汁算最低监管资 本时应视操作风险损失因而此类数据应放入操作风险损失数据库。 3. 2要确定合适的阂值 收集损失数据时需要设定适当的总损失底线，确定合适―的损失金额 收集底线本身是一件复杂的事情，如果阂值定得过高，可能收集不到 足够的损失数据以反映操作风险损失的厚尾性，在进行量化分析时出 现样本不够的偏差；阈值过小，会增加收集的成本。因此确定阈值要 根据量化分析和管理的要求和成本来确定.适当的底线可因行而异， 在一家银行内部也可因业务类别和损失事件类型而异，可依据不同产

10、 品型态、业务类别、地理区域或其它因素来决定，当然这个底线必 须合理，例如不可排除重要的损失事件，且须掌握银行操作风险损失的 重婪部分。巴寒尔委员会风险管理小组在QIS2中确定的底线是 lOOOO欧元/美元，而欧洲银行的一般标准是10欧元.根据我国商 业银行的实际情况，目前数据收集的底线确定为人民币10元较为 合适。 3 . 3正确处理内外部数据库的关系 对内部数据的跟踪记录是开发使用可行的操作风险计量系统的前提。 但低频高损的操作风险事件很少在一家银行内发生，银行这方面的历 史数据积累年限也较短。尽管有一些有关操作风险的著名案例，例如 高山案件，但是大多数银行都缺少估计操作风险大小所需的

11、损失事件 的数目.所以既要注意在积累内部数据，又要弓1人行业整体数据做补 充。外部数据的来源有四种:①通过公共信息渠道收集;②操 作风险数据库软件，如OpRiskAnalytics、Opvantage、Fitch Risk 等。这些软件由一些著名的金融机构开发,已发展得较为成熟，但其 数据收集同样容易受到主观影响;⑧行业数据库，这在我们国家是非 常重要的，目前已有银行向银监会报告损失数据的要求，因此由银 监督会自身或指定一个机构如银行业协会建造一个行业数据库是最 为恰当和可行的；④保险公司也是外部损失数据来源的重要渠过，主 要从保险公司的理赔及其它外部管道取得损失资料，可用作分析并提 供相关

12、报告。 3 — 4正确处理资料的保密性和操作风险披露制度的关系 由于担心披露操作风险损失事件会损伤自身声誉，或被执法机关所获 知，甚至被个人用于对抗银行的手段，很多银行在信息披露方面持消 极态度。同时，我国的监管机构也没有强制性的损失数据披露要求， 只在《通知》第五条中要求商业银行“进一步扩大社会和新闻舆论对 银行的监督;对已发生的大案，可以披露的，要加强信息披露工作，及时 详细介绍整改规划和具体措施，正确引导公众舆论，争取主动。”然 而实际应用中什么是可以披露的，是一个模糊的概念。因此，要 保证外部数据有充足的来源，需要银行监管机构有进一步的细化规 定。部分机密性的损失数据可以更多地由监

13、管机构收集，这部分数据 的使用者只能了解损失金额以及业务类别和事件形式等有限内容,一 方面保证了数据的保密性，同时又满足了数据共享的要求。 4结论 数据收集是对自身所面临的操作风险的一个识别过程，同时也是计量 操作风险的前提和基础,以及健全与完善操作风险管理的重要手段。 我国银行业应当根据巴塞尔委员会对操作风险的分类体系建立自己 操作风险损失数据库。在这个过程中要注意内部数据与外部数据的结 合与补充，作到银行自身内部数据库与行业性、商业性和官方性的数 据库的相互结合.目前由银监会自己或指定某个机构建立一个行业性 的数据库是最为恰当和可行。 证券公司操作风险识别 目前证券公司的操作风险主要

14、分布在自营业务、经纪业务、投资银行 业务、资产管理业务、投资咨询业务等方面，同时计划资金部作为公 司业务的支持部门，其资金运用和调度，对公司风险具有直接的重大 影响。其中，自营业务中，主要是由于内部管理出现漏洞、管理失控 或存在缺陷，使得内部人员操作不当，有时甚至出现利用管理漏洞或 缺陷而违法违规谋利的内部人犯罪，造成证券公司的损失。经纪业务 中，主要有操作流程风险、电脑网络系统风险（电脑、网络出现各种 故障，尤其是导致交易瘫痪的严重故障）、违规违法经营风险。投资银 行业务主要体现在项目人员没有做到应尽的调查职责、对项目公司 材料的准确性、全面性、真实性没有深入细致的了解；或者项目人员 为了促

15、进项目的成功，与公司串通编制虚假材料，骗取融资资格；或 者项目人员携带项目跳槽，为原公司带来损失；由于证券发行人问题 或券商项目人员的操作问题，使证券发行申请被否决，证券发行项目 流失，券商在该项目中的前期投入成本付之东流。资产管理业务中， 主要是在投资阶段违反权限管理协议规定进行操作，使用公司法人账 户和其他非委托人证券账户为客户进行投资操作，未履行公司授权与 决策程序，操作人员未按指令操作造成损失，操作人员越权操作;在清 算过程清算部资金清算错误造成损失,财务部核算错误造成损失， 结项时收款人名称与委托协议中委托人名称不一致;在开户与资金人 账环节，开户证明材料不全造成纠纷，未履行对客户资

16、金的专户管理, 客户的委托资金账户对应多个证券账户，未履行资金人账程序造成纠 纷，资金人账有关文件不完备造成纠纷。投资咨询业务中,有违反投 资咨询业务资格认定制度的风险，尚未实行资格审批的从业人员从事 证券投资咨询，违反证券公司内部控制防火墙原则产生的风险，尚未 在投资咨询业务和自营、承销等业务部门之间建立“防火墙”，违反 相关利益人回避原则的风险，证券投资咨询机构及其执业人员在与自 身有利害冲突的下列情况下没有进行执业回避，传播虚假信息、诱骗 投资买卖的行为，诱导投资者从事短线交易，与机构或庄家串谋制造 虚假信息,信息误导行为.在计划资金部业务中，主要存在业务流程漏 洞或不完善、计算机系统包

17、括通讯系统）不稳定（包括系统自身软件 或硬件有缺陷、病毒侵入、外界侵入或者其他不可抗因素如盗窃、火 灾、断电等造成系统暂时不可使用或永久损害）、员工业务操作不熟 练或失误、或者员工个人原因（如生病、品行有缺陷）、其它部门不 能提供即时有效的配合或服务。如上分析，操作风险一方面会给证券 公司带来实际的资金损失，如操作不当造成的业务收入损失，违规经 营造成的罚款损失等；另一方面，违规经营造成的操作风险还会给证 券公司的信誉带来很大的负面影响，产生潜在损失。 二、西方证券公司操作风险管理方法 根据西方证券公司操作风险管理的实践，目前各机构分别处于操作风 险管理的五个发展阶段上，如图所示。 从操

18、作风险管理的发展来看，目前大多数西方证券公司都处于认知、 监控阶段，少数规模大、实力强的公司达到了量化和整合阶段.自我评 估、风险图/流程分析、风险指标跟踪分析、风险临界指标分析和损 失数据库模型 图1操作风险管理的五个发展阶段 等技术得到了广泛应用。其中自我评估技术包括使用询问、调查表和 利用外部评估等辅助手段。另外还有一些技术要求较高，还未在证券 公司内推广，如经济资本配置方法、资本资产定价模型和风险调整的 资本收益率法。 三、我国证券公司操作风险的管理 就我国证券公司而言，其对操作风险的管理仍处于传统管理阶段，主要 依靠内部控制程序来实现岗位分离和责任分离。21年证监会颁布 了《

19、证券公司内部风险控制指引》，旨在推动证券公司内控体制的发 展。各证券公司都制定了详细的内部控制制度，并上报证监会.大部 分公司的内控制度都着眼于各项业务流程的岗位责任分离和内部稽 核，其一个突出的问题是在风险管理的组织制度上缺乏以独立风险管 理部门为中心，与各企业部门紧密联系的风险内部管理系统这一有效 运作机制和组织制度的保障。尽管内控制度中都列明了设立独立的风 险管理委员会，但实际上大部分证券公司的风险管理委员会都由总经 理和各部门经理组成，缺乏独立性，从而很难做出独立的风险管理决 策。还有一些证券公司以内部稽核委员会取代风险管理委员会，将风 险管理简单地视为风险稽核和审计.由于整个公司的风

20、险管理处于一 种业务分立、部门分立的状态，同时风险管理的手段又仅限于单一 的制度控制，因此很难做到事前防范风险，操作风险管理经常流于事 后的控制。考虑到我国证券公司的发展现状，由于缺乏风险损失数据， 因此很难采取量化风险管理手段。但目前从操作风险的传统管理阶段 过渡到认知和监控阶段还是可行的。 （一）操作风险管理的组织结构设置 风险管理组织结构分为两个层次：一是总公司层次的风险管理委员 会；二是每个子公司和业务部门内部的风1系统化的风险度量和管理 工具2跨部门的风险分析3建立风险指标和损失之间的相关性4基于 风险分析和资本实力考虑的保险策略5风险调整的收益分析险控制部. 风险管理委员会的主

21、要职责是负责考虑整个企业的风险管理理念及 战略问题，集行政检查监督、业务稽核审计和内部管理于一身，直接 对董事会和总经理负责。具体而言:委员会向董事会提交独立风险报 告；委员会有权审阅所有的日常交易记录，听取风险管理经理、风险 政策负责人以及合规部门的汇报，形成风险管理建议；向董事会提 出风险管理建议，包括根据风险管理执行部门和子公司或业务部门内 的风险控制部的建议建立操作风险管理指标体系；雇佣有经验的专业 人员和设立适当的业务操作系统;建立独立的风险管理单位来度量、 控制和报告风险；建立稽核检查制度和稽核处罚制度；督促各项内部 管理措施的和规章制度的贯彻实施，保证独立地履行监督反馈职能； 定

22、期检查风险程度；经常重新评估审视“风险管理政策"；法律、税 收、会计等事项的安排.子公司或业务部门内的风险控制部的主要职 责为：测量、监督所在部门的风险情况，并及时向风险管理委员会 及其下属的风险管理部门报告；提出针对风险来源的具体控制办法； 制定本部门或公司风险管理的各项制度，作为高层的风险参谋，策划 风险管理的各项工作;提出风险管理的改进办法；建立有效的事后补 救机制.二制定统一的操作风险管理指标统一的操作风险管理指标应 该包括：保证金管理指标、交易程序控制指标、技术支持指标、项目 评估和报批控制指标、承销环境控制、资金使用控制指标，对操作风 险的度量始于数据库的建立。数据库的建立和管理对

23、理解整个企业的 风险控制环境至关重要。数据库应该分别分析每个业务单位导致潜在 损失的活动。数据库应该采取自下而上汇总建立的方法，以避免遗漏 风险. 1. 风险诱因/环节 2. 关键风险指标 关键风险指标的选择应遵循以下四个原则： ① 相关性 ② 可测量性 ③ 风险敏感性 ④ 实用性 确定关键风险指标的三个步骤为： 第一步，了解业务和流程； 第二步,确定并理解主要风险领域； 第三步，定义风险指标并按其重要程度进行排序，确定主要的风 险指标. 根据操作风险的识别特征，操作风险关键指标包括包括人员风险 指标、流程风险指标、系统风险指标和外部风险指标。 ① 人员在当前部门的从

24、业年限 ② 员工人均培训费用 ③ 客户投诉占比 ④ 失败交易数量占比 ⑤ 柜台平均工作量 ⑥ 交易结果和财务核算结果间的差异 ⑦ 前后台交易不匹配占比 ⑧ 系统故障时间 ⑨ 系统数量 ⑩ 反洗钱警报占比 3. 因果分析模型 因果分析模型就是对风险诱因、风险指标和损失事件进行历史统 计，并形成相互关联的多元分布. 为量化操作风险，邓肯威尔逊开发出了“因果关系模型”方法, 运用VaR技术对操作风险进行计量。 5. 4. 2风险报告程序 1. 岗位设置及职责 ① 各部门对操作风险的管理情况负直接责任。 ② 设置独立的操作风险管理部门或操作风险管理委员会。 ③ 建立独

25、立的内部审计部门。 2. 报告路径 一般而言，各业务部门负责收集相关数据和信息，并报告至风险 管理部门，风险管理部门进行分析、评估后，形成最终报告，并呈送 高级管理层。 需要注意的是，风险报告在完成后到报送至高级管理层及其他相 关部门之间，还需要必要的检查和确认，以保证报告的内容以及风险 评估的流程与实际情况和相关规定相符。 5. 4. 3风险报告内容 风险报告内容大致包括风险状况、损失事件、诱因及对策、关键 风险指标、资本金水平五个部分。 1. 风险状况 风险评估结果通常以风险图、风险表等形式来展示. 2. 定损事件 3. 诱因与对策 4. 关键风险指标 5. 操作风险资本水平