银行稽核部内控总稽核：BASEL和COSO与商业银行操作风险管理

《银行稽核部内控总稽核：BASEL和COSO与商业银行操作风险管理》由会员分享，可在线阅读，更多相关《银行稽核部内控总稽核：BASEL和COSO与商业银行操作风险管理（45页珍藏版）》请在装配图网上搜索。

1、B Basel asel 和和 COSO COSO 与与商业银行商业银行操作风险管理操作风险管理银行稽核部内控总稽核银行稽核部内控总稽核1 1Basel 和 COSO 与商业银行操作风险管理 目目 录录B Baselasel和和COSOCOSO（操作）风险管理理念的差异（操作）风险管理理念的差异目前存在的困惑和问题目前存在的困惑和问题企业风险和操作风险的概念企业风险和操作风险的概念银行业操作风险管理思路的探索银行业操作风险管理思路的探索2 2Basel 和 COSO 与商业银行操作风险管理 第一部分第一部分BaselBasel和和COSOCOSO（操作操作）风险风险管理理管理理念念的的差异差异

2、3 3Basel和COSO（操作）风险管理理念的差异区别区别/ /联系联系BaselCOSO定义定义风险是一种可能性，风险管理是对过程的管理目标目标建立和健全全面风险管理体系(内部控制体系)风险分类风险分类分为信用风险、市场风险和操作风险未分类评价方法评价方法定量计量定性评价管理模式管理模式通过准备金和资本及风险缓释技术控制风险在可接受的范围以内通过八要素的评价控制风险的发生内部控制与风险管理内部控制与风险管理内部控制是风险管理的手段之一风险管理是内部控制的延伸，甚至认为内部控制大于风险管理4 4Basel 和 COSO 与商业银行操作风险管理 第二部分第二部分目前存在的目前存在的困惑和困惑和

3、问题问题5 5目前存在的困惑和问题问题：问题：q操作风险的本质是什么？如何在定义中反映其本质特征？操作风险的本质是什么？如何在定义中反映其本质特征？q操作风险计量和管理的对象是什么？操作风险计量和管理的对象是什么？q操作风险是否包括外部事件或者欺诈舞弊等人为因素导致操作风险是否包括外部事件或者欺诈舞弊等人为因素导致的负面影响？的负面影响？q操作风险管理是否直接创造收益操作风险管理是否直接创造收益, ,还是仅减少损失？还是仅减少损失？6 6目前存在的困惑和问题 问题之一问题之一操作风险概念的争论操作风险概念的争论7 7操作风险概念的争论操作风险浮出水面操作风险浮出水面20世纪90年代以来，一些全

4、球顶尖的商业银行纷纷爆出惊天大案，有的银行甚至因此从人们的视线中消失。1995年，巴林银行驻新加坡外汇交易员里森违规进行未授权及隐匿的期权和期货交易，并隐藏亏损，最终导致享誉全球的巴林银行倒闭。1996年，日本大和银行纽约分行员工井口俊英帐外买卖美国联邦债券，并伪造文件隐瞒亏损，在11年间有三万多笔交易未经授权，造成11亿美元的损失，最后不得不全面从美国撤退，并与住友银行合并。2002年，联合爱尔兰银行员工John Rosnak为了弥补原先投资公私股票损失而伪造交易单，希望借远期外汇交易弥补损失，结果越陷越深，给银行造成7.5亿美元的损失。8 8操作风险概念的争论巴赛尔新资本协议定义：操作风险

5、是指由不完善或失灵的内部程序操作风险是指由不完善或失灵的内部程序、人员及系统或外部事件所造成损失的风险。本定义包括法律风险，、人员及系统或外部事件所造成损失的风险。本定义包括法律风险，但不包括策略风险和声誉风险但不包括策略风险和声誉风险(strategic and reputational risk)。英国银行家协会（BBA）定义：操作风险指按照人的因素、流程、系操作风险指按照人的因素、流程、系统和外部事件等操作风险产生的四个主要来源对操作风险进行界定。统和外部事件等操作风险产生的四个主要来源对操作风险进行界定。全球风险专业人员协会（GARP）定义：操作风险是与业务相联系的操作风险是与业务相联

6、系的风险，可以分为两个部分：操作失败风险和操作战略风险。风险，可以分为两个部分：操作失败风险和操作战略风险。三十国集团的定义：由于不完善的系统及控制、人员失误、管理失由于不完善的系统及控制、人员失误、管理失败所导致损失的风险。败所导致损失的风险。9 9操作风险概念的争论 巴塞尔委员会关于操作风险的详细界定巴塞尔委员会关于操作风险的详细界定事件类型事件类型定义定义内部欺诈故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失，此类事件至少涉及内部一方，但不包括性别/种族歧视事件。外部欺诈第三方故意骗取、盗用财产或逃避法律导致的损失。就业政策和工作场所安全违反就业、健康或安全方面的法律或协议、

7、个人工伤赔付或者因性别/种族歧视事件导致的损失。客户、产品及业务操作因疏忽未对特定客户履行分内义务（如信托责任和适当性要求）或产品性质或设计缺陷导致的损失。实体资产损坏实体资产因自然灾害或其他事件丢失或毁坏导致的损失。业务中断和系统失败业务中断或系统失败导致的损失。执行、交割及流程管理交易处理或流程管理失败和因交易对手方及外部销售商关系导致的损失。1010操作风险概念的争论 英国银行家协会关于操作风险的界定英国银行家协会关于操作风险的界定第一级：因素第一级：因素第二级：定义第二级：定义人雇员欺诈、犯罪越权行为、欺诈交易、操作失误违反用工法劳动力中断，关键人员流失或缺乏流程支付清算、传输风险文件

8、、合同风险估价、定价风险内部、外部报告风险执行规章、流程策略风险、管理变动出售风险1111操作风险概念的争论英国银行家协会关于操作风险的界定（续）英国银行家协会关于操作风险的界定（续）第一级：因素第一级：因素第二级：定义第二级：定义系统科技投资风险系统开发和执行系统功能系统失败系统安全外部事件法律、公共责任犯罪外部采购、供应商风险外部开发风险灾难、基础设施政策调整、政治政府风险1212目前存在的困惑和问题问题之二操作风险计量的现实困难操作风险计量的现实困难与理论困惑与理论困惑1313操作风险计量的现实困难与理论困惑BaselBasel关于计提操作风险所需资本的方法关于计提操作风险所需资本的方法

9、基本指标法标准法高级法(AMA) 内部衡量法(IMA) 损失分布法(LDA) 记分卡法1414操作风险计量的现实困难与理论困惑基本指标法 KBIA = (GI1n )/n式中：KBIA - 基本指标法需要的资本 GI - 前三年中正的总收入的平均值 n - 过去三年总收入为正的年度数量 - 15%是总收入与资本要求之间的关系1515操作风险计量的现实困难与理论困惑标准法 KTSA =years1-3max(GI1-81-8),0/3式中：KTSA-是标准法计算的资本要求； GI1-8 -是公司融资、交易和销售、零售业务、商行业务、支付清算、代理服务、资产管理和零售经纪等8类产品线中每个产品线过

10、去三年的年均收入； 1-8 -是8个产品线中各产品线的总收入与资本要求之间的关系，在12%-18%之间。1616操作风险计量的现实困难与理论困惑高级计量法（内部模型法） EL = EIPELGE式中：预期损失(EL) Expected Loss 风险暴露（EI) Exposure Indicator 损失发生概率（PE) Probability of Loss Event 损失事件金额（LGE) Loss Given that Event1717操作风险计量的现实困难与理论困惑Basel在规范操作风险的计算方法中给出了三种方法，可是，前两种指标法和标准法并不是计量损失的方法，而是为防范商业银行

11、操作风险所需资本的计提方法。这虽然解决了目前因为数据原因而无法准确计量风险损失给计提资本带来的影响，但是,这两种方法对于操作风险管理过程却没有什么实质意义。国际上另一大风险管理组织COSO委员会虽然在风险计量技术方面落后于Basel委员会，但其更加注重对风险的过程管理，强调通过四个目标和八个要素对企业实施全面的风险管理。1818操作风险计量的现实困难与理论困惑 COSO委员会利用银行业对操作风险的传统评估方法提出了对企业内部风险进行评估的计算方法，即： 固有风险 风险管理（控制质量） = 剩余风险 在这个公式中不仅有风险本身，还有以风险为管理对象的管理体系和管理行为，以及施加管理后的效果。从这

12、个风险评估公式中我们可以比较清楚地看到COSO管理委员会的风险管理理念，其一，风险管理是一个非线性过程；其二，风险并不因为有了管理而被消灭；最后，剩余风险即是风险管理的结果，又是下一步风险管理对象。应该说，在目前尚无法解决银行内部风险损失计量的情况下，上述风险评估方法是比较切合实际的风险管理方法。1919操作风险计量的现实困难与理论困惑 然而，上述评估方法及公式仍存在着较为明显的缺陷。最为明显的在于公式本身并不能用于实际评估计算。我们知道: 固有风险（Inherent Risk）是指在不考虑任何风险控制措施下，业务本身客观存在的原始风险。无论对风险的定义是“损失”还是“收益”，对风险定量的最基

13、本单位都应是金额。 风险管理或控制质量（Control Quality）是指商业银行针对固有风险建立的管理体制、制度安排和管理效力，暨企业内部控制机制的适当性和有效性，是商业银行对内部风险实施管理和控制所采取措施的力（强）度。因此，对控制质量定量的最基本单位显然不能是金额，只能是分数值或是一种模糊概念如强、中、弱等。 “固有风险” 和” 控制质量” 是两个内涵不同、定量单位不一的非同类项，非同类项之间是无法相减的。2020Basel 和 COSO 与商业银行操作风险管理第三部分企业风险和操作风险的概念企业风险和操作风险的概念2121企业风险和操作风险的概念国际内部审计师协会定义： 风险是一个事

14、件、行动或不行动对相关的组织或活动可能产生不利影响的可能性。换句话说，就是不利事情发生的可能性。 2222企业风险和操作风险的概念风险的概念-定义 风险是指因可能的损失而导致预期收益的不确定性。2323企业风险和操作风险的概念 企业风险是指企业在运营过程中面临的所有影响企业经营目标的不确定性，如环境风险、运营风险和信息风险等。 一个企业的运营分为内部运作和外部营销两个部分，内部运作是基础，是企业产品价值增值的动力。外部营销（在营销产品的同时营销自己）离不开市场环境，企业通过外部市场获取必要的生产资料（人、财、料）并最终实现企业的经营目标。 2424企业风险和操作风险的概念 企业在内部运作和外部

15、营销过程中面临着来自内外两个方面的影响。即引起企业损失的原因有两个（成因分析)： 外部（原因）风险更多的表现为市场中交易对手的风险； 内部（原因）风险是企业内部运作过程中发生的风险，但对企业的外部形象产生影响，如策略风险、合规风险等。 2525企业风险和操作风险的概念企业风险的定义： 由于来自内/外部原因可能引起的损失而导致企业经营目标的不确定性。 外部风险是指由于环境、交易对手和信息等原因而导致企业经营目标的不确定性。由于企业是社会生产环节的一部分，企业要维持其生存和发展就离不开市场这样的社会环境。因此，企业在日常经营活动中将会面临来自企业外部的诸多风险。如环境风险、交易对手风险和信息风险等

16、。 内部风险是指由于企业内部主客观原因而导致（发生）偏离或未达到企业经营目标的不利事件的可能性。 2626企业风险和操作风险的概念 主观原因导致的内部风险是指人为因素故意为之，如内部欺诈、舞弊行为等，其结果一般都会给企业带来直接的经济损失。 客观原因导致的风险主要是指由于主观认识局限性等非主观意愿而出现的决策失误和管理失败及工作疏忽等操作风险，这类失误或失败给企业带来的不一定都是直接的经济损失，有相当一部分是对企业形象或声誉方面的间接损失。 但无论是主观还是客观原因出现的内部风险都是对企业经营目标的反动，企业的所有决策、行动都是朝着企业既定的经营目标努力的，而欺诈和舞弊等主观原因引起的内部风险

17、则是朝着相反的方向用力；即使是客观原因引起的操作风险也会使企业的努力受到衰减。 2727企业风险和操作风险的概念操作风险定义： 由于人的主观认识局限性而导致反向偏离预期目标的可能性 。 从范围上讲，操作风险可能随时发生在企业内部运作或外部营销过程中的所有管理和经营活动之中。 2828企业风险和操作风险的概念 企业风险（信誉风险）外部风险内部风险环境风险信息风险运营（营销）风险欺诈舞弊操作风险策略风险合规风险信用风险市场风险法律风险2929企业风险和操作风险的概念区别内部风险与操作风险的意义：u两者的性质上加以区别，前者包括了违法行为，而后者仅仅是一种工作上的失误。u在明确了性质后可以从管理上增

18、强不同管理部门的职能，加强了管理的针对性。u在管理技术和方法上应该区分损失和失误等不同的处理模式。u在对人员的处理上前者已经触犯了刑律自然是要开除公职追究其刑事责任，而后者需要分析具体情况定之。3030Basel 和 COSO 与商业银行操作风险管理第四部分第四部分银行业操作风险管理思路的探索银行业操作风险管理思路的探索3131银行业操作风险管理思路的探索制定机构制定机构文件名称文件名称巴塞尔委员会巴塞尔委员会巴塞尔新资本协议银行组织内部控制系统框架操作风险管理与监管的稳健做法COSOCOSO委员会委员会COSO企业风险管理-整合框架COSOI内部控制-整体框架银监会银监会商业银行内部控制评价

19、试行办法证监会证监会公开发行证券的公司信息披露编报规则第18号商业银行信息披露特别规定上交所上交所上海证券交易所上市公司内部控制指引联交所联交所企业管治常规守则企业管治报告人民银行人民银行商业银行内部控制指引财政部财政部企业内部控制规范基本规范和17项具体规范（征求意见稿）审计署审计署审计机关内部控制测评准则美国国会美国国会萨班斯-奥克斯利法案404条款3232银行业操作风险管理思路的探索 归纳起来，上表所列各监管要求，从总体上反映的都是Basel巴塞尔新资本协议和COSO企业风险管理整合框架关于风险管理和内部控制方面的要求。Basel巴塞尔新资本协议主要侧重操作风险计量，但前两种指标法和标准

20、法并不是计量损失的方法，而是为防范商业银行操作风险所需资本的计提方法，只有高级计量法提出了计量操作风险损失的方法，旨在促进商业银行不断摸索高级计量法以提高自身防范操作风险的能力，但对如何加强操作风险管理的论述却略显不足。而COSO企业风险管理整合框架弥补了这一缺陷，其强调通过四个目标和八个要素对企业实施全面的风险管理。 在这种情况下，我们可以根据Basel和COSO的管理理念，将两种要求与方法合二为一，通过风险评估和内控评价对流程和环节的梳理解决高级计量法采集数据的问题，并实现商业银行内部风险（操作风险）管理的路径和统一问题。3333一、内部风险评估的概念 商业银行对内部风险进行评估是指通过定

21、性和定量分析对企业内部风险(客观事物)的影响和可能性进行预测、对企业内部控制体系的制度安排和管理效力（主观行为）进行判断的过程，并就后者作用于前者之后的后果给予结论。风险评估的主要目的在于及时、全面、准确地了解企业内部风险及风险管理和内部控制状况，掌握自身的缺点和不足，及时堵塞管理上的漏洞；在提升企业内控管理水平的同时，进一步推进和完善企业全面风险管理体系的建设。银行业操作风险管理思路的探索3434银行业操作风险管理思路的探索 风险评估工作的范围涵盖整个商业银行各个级别层面，各个业务领域。从机构范围上说，风险评估工作应覆盖商业银行所有境内外机构。境内机构包括总行本部、一级分行/总行直属分行、二

22、级分行/一级分行直属支行、二级分行以下经营性机构等；境外机构包括所有海外分行和下属支行。从业务分类方面看，风险评估工作应覆盖商业银行所有业务条线。风险评估工作的时间范围应与企业绩效考核的时间范围相一致。 风险评估的评估对象是商业银行的业务条线、业务产品线和各层级机构。单个机构的单个业务条线是风险评估方法所设定的最基础的评估对象。风险评估工作首先是要评估单个机构单个业务条线的风险值，在此基础上，将单个机构单个业务条线的风险值汇总形成业务条线、业务产品线和各层级机构的风险值。 3535银行业操作风险管理思路的探索二、内部风险评估方法 根据COSO委员会提出的风险评估基本原理，风险评估需要对内部风险

23、（固有风险）和内部控制体系（控制质量）分别进行评级与评价，从而得出剩余风险。1、固有风险的评级方法 根据COSO的概念，固有风险发生风险后的影响可能性 （1） 但是，COSO没有给出这个公式进一步的计算方法，我们知道当风险发生后所产生的影响就是风险所导致的后果，它应该等于该项业务风险暴露的数值与风险发生时损失比率的乘积，即: 发生风险后的影响 = 风险暴露事件损失比率 （2） 3636银行业操作风险管理思路的探索 根据Basel中操作风险高级计量法（内部模型法）的理念，将（2）式代入（1）式： 固有风险发生风险后的影响可能性 风险暴露事件损失比率损失发生概率（可能性） 预期损失(EL) 即：银

24、行某一业务机构/条线因内部风险而导致的损失我们称为该机构/条线的固有风险可能产生的预期损失，即： EL = EIPELGE 预期损失(EL) Expected Loss 风险暴露（EI) Exposure Indicator 损失发生概率（PE） Probability of Loss Event 事件损失比率（LGE） Loss Given that Event3737银行业操作风险管理思路的探索 上述方法由于前文所提原因，目前尚难以实现。然而，Basel对操作风险计提资本的标准法为我们提供了解决问题的另一个思路。根据“收益的波动性（对于企业而言）就是风险”这一理念，Basel在标准法中按照

25、银行的年收入来确定操作风险损失所需要计提的资本。标准法先将银行的所有业务划分为八个产品线，对每个产品线规定不同的操作风险资本要求系数，并分别求出对应的资本，然后把各产品线的资本加总，即可得到银行总体操作风险资本要求。 KTSA= years1-3max(GI1-81-8),0/3 式中： KTSA-是标准法计算的资本要求； GI1-8 -是公司融资、交易和销售、零售业务、商行业务、支付清算、代理服务、资产管理和零售经纪等8类产品线中每个产品线过去三年的年均收入； 1-8 -是8个产品线中各产品线的总收入与资本要求之间的关系，在12%-18%之间。 在Basel标准法中，用收入和业务风险性质的重

26、要性来决定产品线应计提的风险资本。其中，衡量收入的指标是各产品线过去三年的年均总收入，反映业务性质重要性的因子是系数。 3838银行业操作风险管理思路的探索 根据上述原理，我们可以在商业银行内部资金价格转移系统和内部分润机制尚未完整的情况下，以业务规模、收入比率和业务风险性质等因素作为衡量商业银行不同业务条线固有风险的指标。具体而言，就是以各业务条线全年收入与固有风险系数（与系数一致）的乘积得到该业务条线的固有风险值。基本计算公式如下：业务条线固有风险 = 该业务条线全年收入 该业务条线对应的固有风险系数（1218） 对于难以确定全年收入的业务条线，如资产或负债类业务，可以先计算出该业务条线大

27、致的收益比率或收益折算系数（平均收益率或主要收益率），再用业务量乘以收益折算系数得出业务收入。即：资产或负债类业务收入 业务量 收益折算系数 确定收益折算系数有两个方法，一是统一由各业务部门提供该业务条线的平均收益率；二是如果平均收益率确定困难，也可以用业务条线的主要收益率代替平均收益率。 需要明确的是：其一，评估风险并非是测量风险，它不要求得出损失或收益的具体数值，只要求在一个标准下将各评估对象的风险进行排序或得到各评估对象之间风险大小的对比关系。其二，公式中的总收入是个广义的指标，是各业务条线不扣除费用支出的毛收入。3939银行业操作风险管理思路的探索2、控制质量的评价方法 控制质量的评价

28、就是对企业内部控制的评价，是对企业内部控制体系及运行效率所做的客观的、独立的分析判断，即对企业管理行为的评价。评价的对象是企业对内部风险进行管理的体制、制度安排及管理效力，具体而言，就是企业内部控制体系设施的适当性和内部控制体系执行的有效性。评价从企业战略、运营、合规和财务四个维度，针对企业内部目标设定、内部环境、风险确认、风险评估、风险策略、控制活动、信息沟通、检查监督等八个方面进行。评价范围包括企业内部的机构、业务条线、流程和环节。评价方法包括询问、观察、检查和重做四种。评价结论根据具体分值划分为强、可接受和弱三类。 4040银行业操作风险管理思路的探索1）内控设计的适当性评价：2）内控执

29、行的有效性评价：4141银行业操作风险管理思路的探索3）整合上面内控设计和内控执行两个维度的结论，综合判断内控评价结论，其组合关系如下图所示：4242银行业操作风险管理思路的探索3、剩余风险的计算 剩余风险是指风险管理或控制质量作用于固有风险后结果的剩余部分，或是固有风险在控制质量的作用下的后果。根据这个定义我们可以对固有风险评级结果和控制质量评价结论进行整合后得出剩余风险评级结果，即企业内部风险评估结果，用下列公式表示： 剩余风险 固有风险控制失效 （1） 假设企业的内部控制效果满分为1，那么控制失效的部分就等于满分1与内部控制效果（实际得分）的差。用控制质量系数表示内部控制效果： 控制失效

30、 （1控制质量系数） （2） （3） %100100）内控评价结论（分数值控制质量系数4343银行业操作风险管理思路的探索 公式中的控制质量系数通过企业内部控制评价得到，企业内控评价结论（分数值）与控制质量系数的对应关系如下表： 将（2）式代入（1）式，则内部风险评估公式转化为： 剩余风险 固有风险 （1控制质量系数） （4） 上述公式计算出的剩余风险并非表示该评估对象由于存在内部风险而可能导致的损失金额，因此，剩余风险的评估单位可以用“风险单位”表示，即“多少个风险单位”。 公式（4）说明，评估对象的内部控制管理效力越好，则内控评价结论越好，控制质量系数越大，从而剩余风险越低，即内部风险越低；评估对象的内部控制管理效力越差，则内控评价结论越差，控制质量系数越小，从而剩余风险越高，即内部风险越高，这时企业应加强相应的管理措施。 4444谢 谢！THANKS