第十章風險管理5-操作風險.ppt

1、第十章：風險管理操作風險,2012年12月,巴塞爾委員會調查結果,銀行業(yè)務越來越依賴于集成的自動系統(tǒng)。廣泛的自動化系統(tǒng)的使用將會把人為處理過程中的錯誤轉化為系統(tǒng)出錯的風險。 電子商務蓬勃發(fā)展，所蘊涵的風險還沒有被很好的理解。 大規(guī)模的銀行業(yè)的兼并、收購、分拆會帶來新舊管理系統(tǒng)銜接的問題。 銀行需要為商業(yè)提供大規(guī)模的交易，這對高級的內部控制和后備系統(tǒng)的持續(xù)維護提出了很高的要求。 銀行使用了各種風險緩解技術（例如資產證券化、信用衍生產品的使用）來將風險轉化為信用風險和市場風險，但是帶來了新的風險，例如法律風險。 更多的業(yè)務采用外包的形式，雖然減少了某些風險，但帶來了新的風險。,操作風險引起重視的背

2、景,操作風險引起重視的背景,社會轉型 法制的不健全 社會道德體系 社會流動性增加（國際、國內） 腐敗 IT技術的快速發(fā)展與人員素質,操作風險的定義,巴塞爾委員會在2001年的銀行操作風險管理文獻中給出了操作風險的定義：源于不完善或有問題的內部程序、人員及系統(tǒng)或外部事件所造成損失的風險。這個定義包括了法律風險，但是將策略風險、信譽風險和系統(tǒng)風險排除在外。 巴塞爾委員會允許銀行在實踐中使用不同的操作風險的定義，但是無論定義的形式如何，都應該能夠涵蓋以下這些風險： 內部欺詐：有機構內部人員參與的詐騙、盜用資產、違犯法律以及公司的規(guī)章制度的行為。例如內部人員虛報頭寸、內部人員偷盜、在職員的賬戶上進行內

3、部交易等等。,外部欺詐：第三方的詐騙、盜用資產、違犯法律的行為。例如搶劫、偽造、開具空頭支票以及黑客行為對計算機系統(tǒng)的損壞。 雇用合同以及工作狀況帶來的風險事件：由于不履行合同、或者不符合勞動健康、安全法規(guī)所引起的賠償要求。例如，工人賠償要求、違犯雇員的健康安全規(guī)定、有組織的罷工以及各種應對顧客負有的責任。 客戶、產品以及商業(yè)行為引起的風險事件：有意或無意造成的無法滿足某一顧客的特定需求，或者是由于產品的性質、設計問題造成的失誤。例如受托人違約、濫用秘密的客戶信息、銀行賬戶上的不正確的交易行為、洗錢、銷售未授權產品等。,操作風險的定義,操作風險的定義,有形資產的損失：由于災難性事件或其他事件引

4、起的有形資產的損壞或損失。例如恐怖事件、地震、火災、洪災等。 經營中斷和系統(tǒng)出錯：例如軟件或者硬件錯誤、通信問題以及設備老化。 涉及執(zhí)行、交割以及交易過程管理的風險事件：交易失敗、過程管理出錯、與合作伙伴、賣方的合作失敗。例如交易數據輸入錯誤、間接的管理失誤、不完備的法律文件、未經批準訪問客戶賬戶、合作伙伴的不當操作以及賣方糾紛等。,操作風險導致的損失事件的特點,導致損失事件發(fā)生的原因非常復雜，可能是人為造成的（如欺詐），也可能是由客觀條件造成的（如信息系統(tǒng)崩潰、災害等）；可能是來自于金融內部的（內部人員舞弊），也可能是來自于金融機構外部的（外部人員欺詐），可能是由于主觀蓄意造成的，也可能是無

5、意的失誤。 損失事件造成的損失分布范圍非常廣。小至由于銀行自動提款機錯誤發(fā)生的幾百元的損失，大到由于內外部人員勾結進行欺詐造成數十億元的損失。,操作風險導致的損失事件的特點,損失事件發(fā)生的頻率具有很大的差別。一些在清算過程中的錯誤以及信用卡業(yè)務中的欺詐行為，在單個商業(yè)銀行中每年發(fā)生的次數可能成百上千。但是一些極端的損失事件在很長事件內都沒有先例可循。 一般而言，金額巨大的損失事件發(fā)生頻率較低，發(fā)生頻率較大的損失事件損失金額一般較小。,操作風險損失數據的統(tǒng)計分類,操作風險損失數據的統(tǒng)計分類,操作風險損失數據的統(tǒng)計分類,操作風險損失數據的統(tǒng)計分類,操作風險損失數據的統(tǒng)計分類,所有涉及歧視的事件,操

6、作風險損失數據的統(tǒng)計分類,操作風險損失數據的統(tǒng)計分類,操作風險損失數據的統(tǒng)計分類,損失事件對應到業(yè)務部門的原則,(a)所有業(yè)務活動必須按1級目錄規(guī)定的8個業(yè)務部門對應歸類，相互不重合，列舉要達到窮盡； (b)對業(yè)務部門框架內業(yè)務起輔助作用的銀行業(yè)務或非銀行業(yè)務，如果無法按業(yè)務部門直接對應歸類，必須歸入其所輔助的業(yè)務部門。如果輔助多個業(yè)務部門，則必須采用客觀標準歸類； (c)在將總收入歸類時，如果此業(yè)務無法與某一特定業(yè)務部門對應，則適用資本要求最高的業(yè)務部門。此業(yè)務部門也同樣適用于任何相關的輔助業(yè)務； (d)如果銀行總收入（按基本指標法計算）仍等于8個業(yè)務部門的總收入之和，銀行可以使用內部定價方

7、法在各業(yè)務部門間分配總收入；,(e)因計算操作風險將業(yè)務按業(yè)務部門歸類時采用的定義，必須與計算其他類風險（如信用風險、操作風險）監(jiān)管資本所采用的定義相同。一旦背離此原則，則需引起異議并明確記錄； (f)銀行采用的對應流程應當有明確的文字說明。尤其是業(yè)務部門的書面定義應清晰、詳盡，使第三方可以復制業(yè)務部門對應的做法。文字說明中必須規(guī)定對違反情況應引起異議并保持記錄； (g)必須制定新業(yè)務或產品對應的流程； (h)高級管理層負責制定業(yè)務部門對應政策（經董事會批準）； (i)業(yè)務部門對應流程必須接受獨立審查。,損失事件對應到業(yè)務部門的原則,操作風險管理的一般步驟,1.確定風險管理的范圍和目標：高層管

8、理人員在咨詢董事會后應當結合企業(yè)的經營策略、風險偏好為操作風險管理制定明確的范圍和目標。另外，還應當制定一些具體、短期的目標，以保證風險管理工作穩(wěn)步朝既定目標發(fā)展。這些短期目標可以是： l準確地定義一些重要的損失事件并為其命名，這樣可以保證在以后的管理工作中更方便地討論、分析這些風險。 l建立一個損失事件日志，為建立定量分析操作風險的模型積累數據。 l建立統(tǒng)計模型分析特定損失事件的成因以及它們之間的聯系。 l進行基于風險的資源配置以及情景分析。 建立一個專門的操作風險管理組織，給予其充分的授權和資源支持。所有的規(guī)定、決議、模型應當以文本模式記錄下來，并且保證相關人員可以方便地獲得。,操作風險管

9、理的一般步驟,2、確定重要的風險：職員在高級管理人員的支持下必須確定哪些是重要的過程、資源和損失事件。操作風險管理的失敗在很多情況下是由于包括的內容太廣泛，因此在確定的時候需要嚴格按照高層制定的精確的目標。首先必須對經營中重要的過程和資源有清楚的了解，然后再試圖找出可能影響它們的操作風險。查找風險因素一方面可以直接向部門經理調查，另一方面可以通過研究企業(yè)內部、外部的損失數據，使用策略框架和與行業(yè)內運行較好的企業(yè)進行比較。需要特別關注的風險因素包括：操作杠桿、交易范圍以及交易量、利率、金融產品和服務的復雜性、日期效應、操作中的變化以及管理中的自滿情緒。最后應當確定存在哪些重要的損失事件。,操作風

10、險管理的一般步驟,3、對風險進行估計：使用從各種途徑得到的數據估計那些重要的過程、資源中的操作風險，估計的內容不但包括風險導致的沖擊的大小，還包括損失事件發(fā)生的概率。對于不能定量分析的風險，必須找出這些風險的起因以及可以采取什么樣的措施。另外，如果不同風險之間具有重要的依賴關系，還需要對它們的相關性進行估計。用來估計損失事件的頻率以及嚴重程度的有三類方法：歷史數據分析、主觀風險評價以及根據依賴關系對風險進行估計。更進一步，可以使用統(tǒng)計方法來估計風險因素的頻率以及損失程度的分布函數，常用的分布函數有三類：經驗分布（Empirical Distribution）、形狀分布（Shape Distri

11、bution）、參數分布（Parametric Distribution）。最后建立操作風險數據庫存儲對于損失事件的確認和度量結果，以供后面的風險分析和資源分配使用。,操作風險管理的一般步驟,4、深度分析，步驟如下： （1）將這些風險加總：將風險按照事件或者因素加總，可以區(qū)分不同風險的先后次序，有效地進行資源配置，評價操作風險管理的執(zhí)行情況。如果分析的目標是降低收入的波動性，那么只需要將本期的風險加總。如果分析的目標是保護資產負債表或者估計VaR的值，那么加總的范圍將涉及到多個時期。 （2）在確定了損失事件的風險以及損失事件所處的經營過程后，負責該過程的風險管理人員就要考慮可行的風險管理措施。

12、,操作風險管理的一般步驟,（3）分析單個損失事件： a)了解引起損失的風險因素的發(fā)生概率、沖擊大小。 b)了解損失事件發(fā)生的先后順序。 c) 確定該損失事件的發(fā)生次數隨時間變化的趨勢。 d) 確定可能引發(fā)該損失事件的其他事件。 e) 對比同類損失事件，以找出共同的風險因素。 f) 考慮企業(yè)可以在多大程度上控制該損失事件（可控制、可影響、不可控制），然后考慮可行的措施。,（4）分析具有風險的過程和資源：從整個企業(yè)的角度考慮操作風險和資源的分配。 （5）分析重要的風險因素：分析風險因素是否在企業(yè)的控制范圍之內，如果在企業(yè)的控制之下，企業(yè)應當設法預報風險、降低風險水平、改變風險因素的分布（例如降低它

13、的方差）或者設法在企業(yè)內部抵消這種風險。如果風險因素在企業(yè)控制范圍之外，那么可以借助保險等手段，將風險轉移給一些可以更好處理這種風險的機構。 （6）對風險管理措施進行評價：大多數風險管理措施都具有成本以及副作用。了解它們的成本并且權衡這種成本與管理帶來的收益，最后決定是否有必要采取干涉措施。,操作風險管理的一般步驟,操作風險管理的一般步驟,5、采取措施消除處于經營過程和資源中的風險。一般采取的措施可以分為： (1) 風險回避和風險因素管理（Risk Avoidance and Factor Management）：風險回避是指企業(yè)回避某些具有風險的經營活動甚至完全退出行業(yè)。風險因素管理通過降低

14、風險因素水平、改變風險因素分布情況或者改變企業(yè)對風險因素的敏感程度來改善經營環(huán)境。 (2)損失預報（Loss Prediction）：損失預報的目標在于減少損失的不確定性，具體表現就是災難性損失和未預期損失的降低。損失預報技術使得管理人員可以更好地估計未來的損失的頻率和大小，改善對于重要風險因素的估計，了解哪些事件使得錯誤更可能發(fā)生。,操作風險管理的一般步驟,(3) 損失預防（Loss Prevention）：損失預防的主要目的是減少損失事件發(fā)生的可能性?？梢圆捎玫拇胧┌ǎ褐匦略O計經營過程、重新設計工作、重新設計產品和服務、功能自動化、人體工程學、欺詐的預防與偵測、企業(yè)資源規(guī)劃、基于可靠性的

15、維護。 (4) 損失控制（Loss Control）：損失控制的主要作用是降低一些主要損失事件對企業(yè)的沖擊，而在降低發(fā)生頻率方面的效果則很有限。因此損失控制對一些發(fā)生頻率較低、但一旦發(fā)生會對企業(yè)產生較大沖擊的損失事件較為有效，而對那些發(fā)生頻繁的損失事件作用不大。可以采用的措施包括：存貨管理和緩沖、冗余系統(tǒng)、診斷控制、系統(tǒng)內部限制、遵守規(guī)章制度、財產安全管理、計算機安全管理、內部外部審計、質量控制。,操作風險管理的一般步驟,(5) 降低損失以及應急措施（Loss Reduction and Contingency Management）：降低損失是指能夠降低損失的嚴重程度但是并不影響損失發(fā)生頻率

16、的風險管理措施。損失降低一般適用于一些難于預測的外部事件。降低損失的具體措施可以分為兩類：一類是在損失事件發(fā)生前，制定各種緊急情況下的應急措施（Contingency Management）；另一種是在損失事件發(fā)生后通過危機管理（Crisis Management）減輕損失。 (6) 風險融資（Risk Financing）：風險融資是指企業(yè)將損失事件以一定的費用轉移給外部團體或者通過改變資本結構來抵御風險。風險轉移的具體形式包括對沖、保險、擔保、合約、證券化和項目融資。改變資本結構的具體措施可以是提供更多的資本、降低債務水平、降低操作杠桿、經營分散化、自我保險。,6、對操作風險的監(jiān)測和報告：

17、良好、規(guī)范的報告制度是風險管理成功的重要前提。對風險進行連續(xù)的監(jiān)測，定期的報告循環(huán)機制可以周期性地考察操作風險管理的需求、不斷提高管理的有效性。,操作風險管理的一般步驟,操作風險的度量模型,由上至下法（Top-down Approaches）： 由上至下法著眼點在于總體的目標（例如凈收入、凈資產），然后考慮風險因素和損失事件對其造成的影響。一般的步驟是： 1確定目標變量。 2確定可以影響目標變量的因素和事件。 3建立模型，反映目標變量和因素、事件的關系 4. 計算變量的方差，將其中不能被外部因素解釋的部分作為操作風險。,由上至下法舉例：,證券因素模型:（Stock Factor Model）可

18、以用來分析上市公司的操作風險。選取的目標變量是股票的市值，解釋變量是一些影響股票市值的因素。 其中， 是公司的股票的收益率， 是第 個風險因素的收益率， 代表了對這些因素的敏感程度。我們在確定了影響股票收益的因素以后，可以通過數據回歸出模型。然后將股票收益率的方差中不能被模型解釋的部分作為由于企業(yè)內部管理因素而導致的風險，即操作風險。,由上至下法舉例：,收入模型（Income-based Models）的著眼點在于企業(yè)的收入。它將企業(yè)的歷史收入作為目標變量，將企業(yè)外部的一些風險因素作為解釋變量。這些因素可以是市場因素、行業(yè)因素以及信用因素等。與前面的證券模型相同，將這些外部因素不能解釋的收入的

19、方差值作為企業(yè)的操作風險。在很多情況下，歷史數據可能不足，這時可以選取季度、甚至月份的收入數據。 開支模型（Expense-based Models）將企業(yè)的歷史開支和操作風險聯系起來。首先收集企業(yè)歷史上的開支數據，然后調整這些數據以反映企業(yè)內部發(fā)生的結構性變化，最后將這些開支數據的波動率作為操作風險值。因為開支的波動可能來自于操作失誤、罰款、經營中的損失。開支模型的特點是簡單易行，但是它只能反映部分操作風險，對于信譽風險、機會成本以及影響收入的損失則沒有考慮。,自下而上的方法（Bottom-up Approaches）： 由下至上法則將總體目標分解成若干子目標，然后分別考慮風險因素和損失事件

20、對它們的影響。一般地先選擇企業(yè)運轉的一些基本要素（例如資產、負債、重要的經營過程、重要的資源等），然后考慮這些因素的潛在的變化可能會對目標變量（以市場方式標價的資產價值、凈收入等）帶來怎樣的影響。模型中一般使用風險因素或特定的損失事件來代表潛在的變化。,操作風險的度量模型,由下至上法一般步驟,1.確定目標變量，一般為損益值、成本、凈資產價值。 2. 確定一些重要的過程和資源或者一些重要的資產和負債。在此過程中，需要牢記：往往大部分的風險蘊含在很少的幾個重要過程和資源中。 3.將這些過程和資源映射到一系列已經掌握了歷史數據的風險因素和損失事件。 4.模擬一定時間范圍內的風險因素和損失事件的可能變

21、化，同時也要考慮這些因素和事件之間的依賴關系。對于它們的統(tǒng)計分布，可以使用參數估計，也可以使用蒙特卡羅模擬（Monte Carlo Simulation）。 5.使用模擬得出的分布和前面使用的映射關系，給出對目標變量的可能影響。,由下至上法舉例,市場因素模型（Market Factor Models）主要用來衡量可在市場交易的資產的風險，這些資產的價值在很大程度上受到連續(xù)的市場因素的影響。在計算出這些市場因素的分布情況后，就可以得出資產的價值分布情況。VaR模型就是一個很好的例子。 精算損失模型（Actuarial Loss Model）主要被保險公司采用，用來估計現金的流入和流出。保險公司根

22、據自己豐富的客戶損失記錄，可以計算出很多特定的損失事件的頻率以及損失程度的分布。然后利用這些數據，估計未來的保費收入以及賠償支出。,由下至上法舉例,因果模型（Causal Model）把歷史的損失數據和主觀的對損失事件的因果關系假設結合起來，來估計當某一事件發(fā)生時特定損失事件發(fā)生的條件概率。一般的因果模型包括過錯樹（Fault Tree）、事件樹（Event Tree）、事件模擬（Event Simulation）等。 壓力測試（Stress Test）是一種極端的測試方法，它通過對風險因素或者損失事件的值給定某個極端的值，然后考察在這樣的壓力下公司的操作風險管理會出現什么樣的問題，以檢驗管理

23、中可能存在的不足。在檢驗過程中，通?？梢院雎燥L險因素之間的相關性。,巴塞爾委員會的漸進度量模型,Basel委員會按照銀行的風險管理水平由低到高以及對操作風險的認識逐漸提升，提出了三種方法度量操作風險，這些方法由低級到高級依次是：基本指標法、標準化方法和內部度量法。度量的方法越高級，需要的損失事件的信息越多，作為回報，最后計算出的商業(yè)銀行需要為操作風險分配的資本就越少。,巴塞爾委員會的漸進度量模型,基本指標法（Basic Indicator Approach） 基本指標法選取一個反映銀行經營規(guī)模的指標（例如總收入），乘以一個由監(jiān)管當局確定的系數，這樣就得出了需要分配的資本。計算公式 KBIA =

24、 GI KBIA是基本指標法需要的資本， GI是前三年總收入的平均值, = 15%，由巴塞爾委員會設定?？偸杖攵x為：凈利息收入加上非利息收入。 基本指標法適用于內部控制尚不完善、而且也沒有對歷史的操作風險損失事件記錄的銀行。,巴塞爾委員會的漸進度量模型,標準化方法（Standardized Approach） 標準化方法將銀行業(yè)務分為8個業(yè)務部門：公司金融、交易和銷售、零售銀行業(yè)務、商業(yè)銀行業(yè)務、支付和清算、代理服務、資產管理和零售經紀；每個部門確定了不同的指標，而針對每個部門的系數也是由監(jiān)管部門制定的。 標準法的計算公式 KSA = GIii KSA是基本指標法需要的資本， GIi是對應部

25、門前三年總收入的平均值, i是對應部門由巴塞爾委員會設定的固定百分數。,標準化各業(yè)務部門值,巴塞爾委員會的漸進度量模型,巴塞爾委員會的漸進度量模型,高級度量法（Advanced Measurement Approach） 高級度量法的是依賴于銀行自身的損失數據，由銀行自身開發(fā)操作風險的度量模型，需要監(jiān)管部門的批準。 高級度量法包含三種方法：內部度量法、損失分布法損失分布法 、打分卡方法。,內部度量法（Internal Measurement Approach） 內部度量法的基礎是將銀行業(yè)務分為若干個業(yè)務部門、損失事件分為若干類型，對每種類型度量操作風險的預期損失，進而來估計操作風險的監(jiān)管資本。

26、 l KIMA = Kij = ijELij = ij PEijLGEij PE：在給定的時間段內，某種操作風險損失事件的發(fā)生概率；LGE：損失事件發(fā)生時可能導致的損失金額的大??；EL：預期損失。ij值可以由銀行自己確定，但需要得到監(jiān)管部門的批準。,巴塞爾委員會的漸進度量模型,巴塞爾委員會的漸進度量模型,損失分布法（Loss Distribution Approach） 損失分布法利用歷史損失數據來估計每一個業(yè)務部門、損失事件類型組合在未來某個時間段中的損失分布情況,然后利用損失分布的分位數來確定監(jiān)管資本。 損失分布法需要估計損失事件發(fā)生頻率（frequency）和損失金額（loss amou

27、nt），并且給出二者的具體分布。 發(fā)生頻率描述在一定的時間長度內損失事件可以發(fā)生的次數，而損失金額則描述一次損失事件可能帶給金融機構的損失大小。,巴塞爾委員會的漸進度量模型,描述損失強度的分布 對數正態(tài)分布（高頻率風險類型） g(x)=（1/x）(2)-1/2exp(-(lnx -u)/ 2 )2/), x 0。 Possion分布： ()是GAMMA函數， g(x)= (x-1 exp(-x/)/ ( (), x 0。 雙參數雙曲線分布： B()是Bessel函數, g(x)= exp(-（2+x2)1/2)/ (2 B(), x 0。,巴塞爾委員會的漸進度量模型,描述損失事件發(fā)生頻率分布：

28、 二項分布B(N,p),p損失事件發(fā)生頻率,N是所有事件總數 b(n) = （N/n）pn(1-p)N-n, n=0,1,N (嚴重缺點： 需要知道N)。 Possion分布： 是損失事件發(fā)生期望頻率 b(n) = nexp(-)/n!, n=0,1,2, 負二項分布： b(n) = （+n -1/n）(1/1+)(/1+)n, n=0,1,2,巴塞爾委員會的漸進度量模型,假設一定時間內損失事件數量是隨機變量N，每個事件的損失強度是隨機變量L且獨立同分布，則這個時間內操作風險損失X的波動性為： Var(X) = E(N)Var(L) + Var(N)E(L)2 假設N服從泊松分布，L服從指數分

29、布，則有 Var(N) = E(N), Var(L) = E(L)2 于是Var(X) = 2 E(N)E(L)2,巴塞爾委員會的漸進度量模型,記分卡方法（Scorecard Approach） 在記分卡方法中，銀行（也可以是一個業(yè)務部門）首先設定一個初始的資本值，然后利用對風險控制環(huán)境打分的方法來對這個值進行調整。這種方法旨在計算資本需求時加入對未來的風險控制改善的考慮。打分標準可以建立在對實際風險度量的基礎上，但通常都是使用一些可以反映風險的指標。記分卡方法與前面的兩種方法不同，它更多的使用了定性的方法。,巴塞爾委員會的漸進度量模型,記分卡方法是銀行對風險和內控的一個自我評估。評估的內容主

30、要有；風險事件、風險事件發(fā)生的可能性、風險事件造成的損失強度、風險控制的有效性、風險控制的成效。需要主觀給出：風險事件發(fā)生的概率、風險時間可能造成的損失額度、風險控制成功的百分比、實施風險控制前后風險減少的比例。,極值模型（Extreme Value Model）,操作風險有很大的厚尾特性，通過簡單的損失分布方法無法準確地估計發(fā)生在分布尾部的極端的損失值，而利用極值理論則可以較好地對損失分布的尾部進行估計。 極值模型將損失事件按照損失金額的大小分為兩個部分來考慮，位于分界值u以上的利用極值理論來擬合分布，位于分界值u以下的部分，則通過一般的損失分布法來擬合分布。最后將分布的兩個部分結合在一起，就得到了極值模型下的損失分布。 通常