操作风险数据库
银行操作风险事件及损失数据收集(LDC)管理办法模版
银行操作风险事件及损失数据收集(LDC)管理办法(1.0版,xxx年)第一章总则第一条为进一步规范我行操作风险事件及损失数据收集与报告工作,以便全面、及时掌握我行操作风险及损失情况,有效防范和控制操作风险、减低损失,根据中国银行业监督管理委员会(以下简称“银监会”)下发的《商业银行操作风险管理指引》及《商业银行资本管理办法(试行)》等相关规定,制定本办法。
第二条操作风险事件是指由不完善或有问题的内部程序、员工、信息科技系统,以及外部事件所造成财务损失或非财务影响的事件,包括法律风险事件,但不包括策略风险事件和声誉风险事件。
操作风险事件包括操作风险损失事件和操作风险非损失事件。
操作风险损失事件是指给我行造成了直接经济损失的操作风险事件。
操作风险非损失事件是指虽未对我行造成直接的经济损失,但对我行营运、客户、监管、声誉等方面造成了非财务负面影响的操作风险事件。
第三条操作风险事件及损失数据收集应遵循“全面性、及时性、重要性、完整性、统一性、谨慎性、保密性”的基本原则。
(一)全面性原则。
对于本办法中规定应收集的操作风险事件及损失数据均需收集,不得瞒报、漏报。
(二)及时性原则。
应及时确认、完整记录、准确统计操作风险事件所导致的财务损失或造成的非财务影响,避免因时效问题造成当期统计数据不准确。
(三)重要性原则。
在统计操作风险事件及损失数据时,要对损失金额较大、非财务影响较严重以及发生频率较高的事件进行重点关注和整改。
(四)完整性原则。
收集操作风险事件及损失数据,应详尽收集所有必要信息,确保信息的准确性,并如实进行完整记录及上报。
(五)统一性原则。
全行对于操作风险事件及损失数据的统计标准、收集范围、程序和方法应保持相对一致,确保统计结果客观、准确,并具有可比性。
(六)谨慎性原则。
应审慎确认操作风险损失,进行客观、公允统计,准确计量损失金额,避免出现多计或少计操作风险损失的情况。
(七)保密性原则。
对于收集管理过程中的保密信息,未经批准不得擅自对外提供或披露,避免对我行造成不良影响。
银行操作风险管理政策
ⅩⅩ银行操作风险管理政策目录第一章总则 (3)第一条【宗旨】 (3)第二条【定义】 (3)第三条【操作风险的主要类别】 (3)第四条【适用范围】 (4)第五条【操作风险管理的工作目标】 (4)第二章操作风险管理的组织框架与职责分工 (4)第六条【架构原则】 (4)第七条【董事会及其风险管理委员会】 (5)第八条【高级管理层】 (5)第九条【分行管理层】 (6)第十条【风险管理部】 (7)第十一条【各业务条线和职能部门】 (7)第十二条【法律合规、运营管理、信息科技、安全保卫、人力资源等部门】 (8)第十三条【内部审计部门和纪检监察部门】 (9)第三章操作风险管理制度 (9)第十四条【范畴】 (9)第十五条【制度体系】 (9)第十六条【操作风险管理政策】 (9)第十七条【操作风险管理基本制度】 (10)第十八条【内部控制制度】 (10)第十九条【紧急事故应急处理制度】 (10)第二十条【业务(操作风险管理)细则】 (11)第二十一条【对分支行业务(操作风险管理)细则的特别规定】 (11)第四章操作风险管理流程和技术 (11)第一节业务标准操作流程管理 (11)第二十二条【基本思路】 (11)第二十三条【职责】 (12)第二节操作风险识别与评估 (12)第二十四条【操作风险识别】 (12)第二十五条【操作风险评估】 (13)第二十六条【操作风险控制自我评估(RCSA)】 (13)第三节操作风险控制与缓释 (13)第二十七条【操作风险应对措施】 (13)第二十八条【外包】 (14)第二十九条【保险】 (14)第四节操作风险监测与报告 (14)第三十条【操作风险监测】 (14)第三十一条【关键风险指标】 (14)第三十二条【操作风险报告】 (15)第三十三条【操作风险预警】 (15)第三十四条【操作风险事件举报】 (15)第五节操作风险管理系统 (15)第三十五条【操作风险管理系统】 (15)第六节操作风险资本管理 (16)第三十六条【监管资本】 (16)第三十七条【经济资本】 (16)第七节配合监管 (16)第三十八条【政策程序报备】 (16)第三十九条【提交报告】 (16)第四十条【配合检查】 (17)第四十一条【整改】 (17)第五章操作风险管理文化 (17)第四十二条【操作风险管理文化】 (17)第四十三条【传达】 (18)第四十四条【业务培训】 (18)第四十五条【操作风险管理人员培训】 (18)第四十六条【全员操作风险管理培训】 (18)第四十七条【操作风险管理考核及奖惩】 (18)第六章附则 (19)第四十八条【重检】 (19)第四十九条【解释】 (19)第五十条【实施】 (19)附件:名词解释 (20)一、操作风险来源 (20)二、固有风险与剩余风险 (20)三、可能性和影响性 (21)四、操作风险应对措施 (21)五、关键风险指标(Key Risk Indicator,KRI) (21)六、风险映射 (22)七、操作风险控制自我评估(RCSA) (22)八、操作风险损失(事件)数据库 (22)九、风险地图(Risk Map) (23)第一章总则第一条【宗旨】根据董事会确定的发展战略和风险管理总目标,以及中国银行业监督管理委员会《商业银行操作风险管理指引》,参考国际银行业操作风险管理的经验,特制定本操作风险管理政策。
银行操作风险事件及损失数据收集(LDC)管理办法模版
银行操作风险事件及损失数据收集(LDC)管理办法(1.0版,xxx年)第一章总则第一条为进一步规范我行操作风险事件及损失数据收集与报告工作,以便全面、及时掌握我行操作风险及损失情况,有效防范和控制操作风险、减低损失,根据中国银行业监督管理委员会(以下简称“银监会”)下发的《商业银行操作风险管理指引》及《商业银行资本管理办法(试行)》等相关规定,制定本办法。
第二条操作风险事件是指由不完善或有问题的内部程序、员工、信息科技系统,以及外部事件所造成财务损失或非财务影响的事件,包括法律风险事件,但不包括策略风险事件和声誉风险事件。
操作风险事件包括操作风险损失事件和操作风险非损失事件。
操作风险损失事件是指给我行造成了直接经济损失的操作风险事件。
操作风险非损失事件是指虽未对我行造成直接的经济损失,但对我行营运、客户、监管、声誉等方面造成了非财务负面影响的操作风险事件。
第三条操作风险事件及损失数据收集应遵循“全面性、及时性、重要性、完整性、统一性、谨慎性、保密性”的基本原则。
(一)全面性原则。
对于本办法中规定应收集的操作风险事件及损失数据均需收集,不得瞒报、漏报。
(二)及时性原则。
应及时确认、完整记录、准确统计操作风险事件所导致的财务损失或造成的非财务影响,避免因时效问题造成当期统计数据不准确。
(三)重要性原则。
在统计操作风险事件及损失数据时,要对损失金额较大、非财务影响较严重以及发生频率较高的事件进行重点关注和整改。
(四)完整性原则。
收集操作风险事件及损失数据,应详尽收集所有必要信息,确保信息的准确性,并如实进行完整记录及上报。
(五)统一性原则。
全行对于操作风险事件及损失数据的统计标准、收集范围、程序和方法应保持相对一致,确保统计结果客观、准确,并具有可比性。
(六)谨慎性原则。
应审慎确认操作风险损失,进行客观、公允统计,准确计量损失金额,避免出现多计或少计操作风险损失的情况。
(七)保密性原则。
对于收集管理过程中的保密信息,未经批准不得擅自对外提供或披露,避免对我行造成不良影响。
运维操作风险管理解决方案
运维操作风险管理 解决方案奇智(上海)信息科技有限公司目 录1 项目背景 (3)1.1 项目背景 (3)1.2 项目要求 (3)2 需求分析 (3)2.1 需求理解-运维操作风险管理 (3)2.2 实现目标-简单有效 (4)2.2.1 对用户影响最小 (4)2.2.2 提高操作透明度 (4)2.2.3 增强操作可控性 (4)3 方案设计 (4)3.1 整体设计思路 (4)3.2 操作网关方式部署 (6)3.3 用好共享帐号解决身份管理 (8)3.4 访问控制列表一目了然 (9)3.5 操作权限控制的黑白名单 (11)3.6真正解决问题的操作审计 (12)3.7 具体操作审计说明 (13)3.7.1 网络设备的终端字符命令(Telnet/SSH)的操作审计 (13)3.7.2 直接登录操作系统进入数据库操作审计 (15)3.7.3 图形化操作- Windows图形(RDP) (15)3.7.4 图形化操作-Unix/Linux图形(Xwindows) (17)3.7.5 文件上传下载(FTP/SFTP/SCP) (17)3.7.6 各种图形的C/S客户端工具操作和Https Web访问操作: (17)4 方案优势 (18)3.1 简单可行 (18)3.2 操作风险整体解决方案 (18)3.2 简化帐号密码管理 (19)3.3 权限的细粒度控制 (19)3.4 专业的操作审计 (19)5 产品优势 (19)5.1 成熟 (19)5.2 先进 (21)1 项目背景1.1 项目背景面对运维操作的操作审计。
运维操作主要是指对服务器、网络设备、数据库等信息系统重要资源进行读写访问、变更配置、启动关闭、运行维护等操作,涉及这些重要资源的管理员、操作员、业务用户等操作人员。
1.2 项目要求解决方案要具有实用性、先进性不仅仅只是购买一款安全审计产品,而要提供更多的控制方法和先进的管理理念尽可能小的影响现有信息系统的正常运作尽可能多的支持各种操作方式对维护操作进行一定的访问和操作控制,对违规行为进行报警或阻断能对审计结果进行查询检索,要从海量记录中快速找到有价值的信息2 需求分析2.1 需求理解-运维操作风险管理我们对需求的理解是—用户需要运维操作风险管理的整体解决方案,而不仅仅只是审计这个功能需求。
操作风险数据库
操作风险数据库----240f5b64-715f-11ec-9fe7-7cb59b590d7d一、建立操作风险损失数据库的重要意义1.数据收集过程本身就是识别银行面临的操作风险的过程。
该定义不仅为从业者提供一致的含义,也是操作风险分类、度量和控制的前提和基础。
不同的定义反映了操作风险管理的目的和范围。
数据收集本质上是对操作风险定义的重新定义和选定定义的具体化。
在收集数据时,首先要解决的问题是对操作风险损失数据进行分类,确定需要收集的数据类型,并确定操作风险损失数据库的结构。
数据结构决定了具体分析方法的可行性和结果的实用性。
分类是对定义内涵的进一步细化。
分类必须保持一致,按照一定的逻辑类型,特定的分类结构决定着特定分析方法可行性和得到结论的实用性。
如果分类是任意的,任何从数据得出的价值也是不规则的。
例如,确定完整的风险矩阵是采用自下而上法计算操作风险的资本要求的前提和基础,确定预期损失和非预期损失的大小是正确选择风险转移方式的条件。
最近,中国监管部门对操作风险没有统一的定义。
银监会有关部门负责人在回答记者有关通知的提问时认为,操作风险源于本行内部控制和公司治理机制的失效,具体表现为错误、欺诈、越权交易、欺诈、欺诈、欺诈、欺诈、欺诈、欺诈、欺诈、欺诈、欺诈、欺诈、欺诈、欺诈等,信息技术系统的重大故障或火灾等事件。
然而,更系统地理解操作风险需要一个统一的定义。
目前,巴塞尔委员会对操作风险的定义已被业界广泛接受。
巴塞尔委员会确定的业务类别-事件类型风险矩阵可以清楚地显示每个业务类别的运营风险以及如何应对事件形式而存在,便于对了解操作风险产生的原因、在风险管理中有效地识别和控制操作风险。
为了与国际接轨,我国的商业银行应当采用巴塞尔委员会关于操作风险的分类体系,把银行的操作风险损失映射到这个标准矩阵中去,在标准矩阵中再进一步细分了每个单元的损失类型,做到不遗漏不重叠,涵盖所有的业务损失。
1.2操作风险损失数据库的建立是操作风险度量的前提和基础。
作业风险评估数据库(正式版0622)
目录
第一部分 配电安装
第1节 10kV变压器安装 第2节 10kV变压器更换 第3节 10kV开关柜安装 第4节 10kV开关柜更换 第5节 0.4kV低压柜安装、直流盘柜安装 第6节 配电房内电力电缆敷设安装 第7节 配电房内终端头安装 第8节 电房附属设施安装 7 21 33 50 76 94 102 113
第1节10kv变压器安装7第2节10kv变压器更换21第3节10kv开关柜安装33第4节10kv开关柜更换50第5节04kv低压柜安装直流盘柜安装76第6节配电房内电力电缆敷设安装94第7节配电房内终端头安装102第8节电房附属设施安装113第1节变压器试验119第2节高压开关柜环网柜分支箱断路器试验135第3节电压互感器电气试验148第4节电流互感器电气试验165第5节避雷器电气试验185第6节电力电缆试验199第7节接地网试验214第8节直流屏调试221第9节二次电缆接线及继电保护调试228第10节电缆判别233第11节电缆故障查找242第12节低压母排试验255目录第一部分配电安装第二部分配电试验第1节施工前准备269第2节地基处理284第3节基础施工323第4节附属工程369第1节10kv架空线安装导线拉线水泥杆379第2节10kv架空线检修更换导线拉线水泥杆405第3节10kv架空线金具安装金具绝缘子435第4节10kv架空线金具更换金具绝缘子449第5节10kv配电线路附件检修更换隔离刀闸瓷瓶避雷器跌落式保险468第1节施工前准备479第2节电缆沟电缆井施工486第3节附属施工539第1节10kv配电线路检修更换550第2节电力电缆敷设560第1节04kv低压线路检修更换导线电缆578第2节04kv低压设备检修更换电容补偿装置开关柜低压隔离刀闸596第3节04kv低压金具检修更换610第四部分配电线路第五部分电缆土建第六部分电力电缆第三部分线路土建第七部分低压线路第八部分变压器油试验第1节绝缘油闪点测量试验628第2节绝缘油水分试验632第3节绝缘油击穿电压试验637第1节企业行政办公管理及后服务644第2节仓储及设备材料管理672第3节现场安全督查698第4节工程投标及市场经营722第5节工程技术管理工作729第九部分综合部分
风险数据库的搭建
风险数据库的搭建在当今复杂多变的商业环境中,企业面临着各种各样的风险。
为了有效地识别、评估和管理这些风险,搭建一个完善的风险数据库成为了至关重要的任务。
风险数据库不仅能够为企业提供全面、准确的风险信息,还能为决策制定提供有力的支持,帮助企业提前做好防范措施,降低风险带来的损失。
那么,什么是风险数据库呢?简单来说,风险数据库就是一个集中存储和管理风险相关信息的系统。
它包含了对各种风险的详细描述、风险发生的可能性、风险可能造成的影响程度、风险的来源、风险的应对策略等重要信息。
通过对这些信息的整理和分析,企业能够更好地了解自身所面临的风险状况,从而有针对性地进行风险管理。
要搭建一个有效的风险数据库,首先需要明确搭建的目标和范围。
我们需要确定这个数据库是为了满足整个企业的风险管理需求,还是仅仅针对某个特定的业务部门或项目。
同时,还要明确需要涵盖哪些类型的风险,比如市场风险、信用风险、操作风险、合规风险等等。
只有明确了目标和范围,才能确保数据库的搭建具有针对性和实用性。
接下来,就是收集风险信息。
这是一个非常关键的步骤,需要企业内部各个部门的协同合作。
可以通过问卷调查、访谈、案例分析等方式,从不同的渠道收集风险信息。
例如,财务部门可以提供关于资金流动和财务报表方面的风险信息;市场营销部门可以分享市场竞争和客户需求变化带来的风险;生产部门可以讲述生产过程中的质量控制和供应链方面的风险。
在收集信息的过程中,要确保信息的准确性和完整性,避免遗漏重要的风险因素。
收集到风险信息后,就需要对其进行整理和分类。
可以按照风险的类型、发生的领域、风险的严重程度等不同的标准进行分类。
比如,将市场风险分为市场需求波动、竞争对手策略变化等子类别;将信用风险分为客户信用评级下降、应收账款逾期等。
通过合理的分类,能够使风险信息更加清晰有序,便于后续的分析和管理。
在对风险信息进行整理分类的基础上,还需要对风险进行评估。
评估风险的可能性和影响程度是非常重要的环节。
我国商业银行操作风险的量化评估
商业银行风险可以分为信用风险、市场风险和操作风险。
根据《巴塞尔协议》,操作风险可被定义为“由于内部程序、人员、系统的不完善或失误,及外部事件造成直接或间接损失的风险”。
对操作风险来说,将其作为银行三大风险之一还是近几年的事,这是因为国内外银行发生的一系列大问题均与操作风险有关。
除了英国巴林银行破产和澳大利亚国民银行1.4亿美元的巨额损失外,巴塞尔委员会在2002年的调查中还显示,参加调查的银行一共报告了47,029件损失,其中五家银行的损失就达80亿欧元,可见操作风险在国外银行风险中发生的普遍性。
国内的情况也较相似,从广东开平分行4.83亿美元的巨额损失到中行刘金宝和建行张恩照事件,足以说明国内银行的操作风险也是较大的。
面对操作风险带来的巨大损失,国内商业银行应积极采取对策,防范化解风险,其中一项重要的工作就是量化操作风险,为风险评估奠定数据基础。
虽然操作风险的量化和管理在国际银行业还处于初级阶段,国内银行也才刚刚开始,但量化观念和方法的引入将对国内银行业的发展产生较大的推动力。
一、操作风险量化评估的必要性与其他风险相比,操作风险具有突发性、偶然性和难以预测等特点,很难确切计量。
如果就单个年份来看,一些操作风险事件是无规律的,一旦将这些事项放在很长一段时间和同类型的大量数据中来看,我们会发现,这些操作风险往往会以某种稳定的概率发生,这正是人们量化操作风险的基础。
1.量化后的操作风险更易于被精确地识别和分析。
瑞士银行总裁维特说:“我们从不承担未经计算的风险”,这说明了风险计量的重要性。
近年来,银行的风险管理越来越多的体现出数理化、定量化的特征,逐步由简单的技术管理过渡到复杂的统计分析管理,并最终走向定量分析。
2.为操作风险分配应有的经济资本提供依据。
长期以来,人们认为操作风险是不可量化的,不能为其分配资本,这种看法是一个误区。
操作风险的损失可分为预期损失、未预期损失和灾难性损失。
预期损失可编入预算中,对于未预期损失,银行应将其初步量化后,为其分配合适的经济资本。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、建立操作风险损失数据库的重要意义1、收集数据过程本身是对银行所面临的操作风险的识别过程定义不仅是为实务从事者提供一致的含义,它也是操作风险分类、度量和控制的前提和基础,不同的定义反映了对操作风险管理的目的与范围。
数据收集本质上是对定义讨沦的再阐述,是对所选择的操作风险定义的具体化。
收集数据时,首先要解决的问题是对操作风险损失数据进行分类,确定什么样的数据需要收集,确定操作风险损失数据库的结构。
数据的结构决定了特定分析方式的可行性和所得结果的实用性。
分类是对定义内涵的进一步细化。
分类必须保持一致,按照一定的逻辑类型,特定的分类结构决定着特定分析方法可行性和得到结论的实用性。
如果分类是任意的,任何从数据得出的价值也是不规则的。
例如,确定完整的风险矩阵是采用自下而上法计算操作风险的资本要求的前提和基础,确定预期损失和非预期损失的大小是正确选择风险转移方式的条件。
日前我国监管机构对操作风险没有统一的定义,银监会有关部门负责人就《通知》答记者问时认为操作风险是由于银行内部控制及公司治理机制的失效,具体表现为失误、欺、越权交易以及包括信息技术系统的重大失效或诸如火灾和其他灾难等事件。
然而,要对操作风险更系统的认识,需要有一一个统一的定义。
目前.巴塞尔委员会对操作风险的定义得到业界的广泛接收,它确定的业务类别——事件类型风险矩阵能够清楚显示各业务类别的操作风险,以及以什么样的事件形式而存在,便于对了解操作风险产生的原因、在风险管理中有效地识别和控制操作风险。
为了与国际接轨,我国的商业银行应当采用巴塞尔委员会关于操作风险的分类体系,把银行的操作风险损失映射到这个标准矩阵中去,在标准矩阵中再进一步细分了每个单元的损失类型,做到不遗漏不重叠,涵盖所有的业务损失。
1.2 操作风险损失数据库的建立是操作风险计量的前提和基础操作风险的完全分析的基础是数据的完整性和质量,如果数据稀少、有偏、不完整或有瑕疵,任何分析的结果都是值得怀疑、甚至是毫无意义的,町能形成“输入的是垃圾,输出的也是垃圾”。
为了解决高级法所面临的数据问题,部分大型国际活跃银行开始建立自己的损失数据库,另外也出现了一些官方性质或商业性质的数据库。
例如,在瑞士所建立的“操作风险资料交换协会”,会员包括一些北美与欧洲知名的大型国际性银行,该协会除收集操作风险损失资料外,也确定了信息比较与共享原则。
英国银行家协会也于2000年6月建构全球操作风险损失数据库,初期参与资料提供的会员包括英国、欧洲、北美及澳洲等22家银行。
其主要目的是协助会员银行全面提升操作风险管理品质、提供操作风险量化分析与模型建立的工具,及达成最佳资本配臵的目标。
1.3 收集操作风险损失资料也是健全与完善操作风险管理的重要手段收集操作风险内部损失资料除可强化组织内部对操作风险的了解与认识,通过过去的损失经验与采取的改善行动来掌握操作风险的整体风险,全面提升操作风险管理的品质。
进行损失资料收集还隐含着组坌_}{文化方面的问题.一般来说.业对于损失事件的发生多持管理错误的心态。
一一日.发乍损失事件,除非损失相当严重,多是视而不见,更不用说确实收集相关损失资料。
随着操作风险正式纳人资本计提范畴后,如何建构系统有效的方式收集损失资料已成为落实操作风险管理的重要一环。
若能将错误视为改善的契机,对损失事件捉供者以适度保护,同时确保资料的机密性,分离数据收集、资料分析与执法等主体,将可鼓励员 I:以积极、正自的心态揭露操作风险损失事实}:,收集操作风险损失资料除_f『强化组织内部对操作风险的意识外,借着分析过去的损失经验,对掌握操作风险的整体情形,采取适当的改善行动,及提升操作风险管理的品质都有助益。
2 操作风险损失数据库的结构与内容根据巴塞尔委员会对操作风险的定义.在建立损失数据库时应收集以F方面的信息:事件发生、发现及结束时间,事件发l牛的地点,事件的责任主体,事件发生的业务类别和事件类别,损失大小,损失收叫金额及其收回的途径,是否与市场风险和信用风险相亲相关,事件原因的描述等内容。
此外,基于管理上的日的,一些额外信息也有收集的必要。
例如,没有造成任何财务损失的事件资料、或具有信用风险特性的损失事件资料,包括与诈欺相关的信用损失等。
虽然这些搠失事件资料无须列入操作风险法定资本的计算之中,不过,若从操作风险管理的层而来看,仍有收集的必要。
闪此,侄收集损失事件资料时,可依其日的不同,区分为法定资本需求与j砜险管珊需求但前提是损失事件资料收集必须以统一的方式进行,有先进、完善的资料收集系统相配合。
事实上,内部损失事件资料的完善与否取决于资料收集过程的一一致性完整性管理阶层除须确认操作风险损失事件佶息的收集涵盖所有重要业务单何、事件、产品型态,及地理区域外,也项建立与损失资料收集相荚的政策与程序,如指派对操作风险及相关资料收集具充分r解的适当人员来管理内部损失资料。
3 收集数据要处理好的几个问题3.1 正确归并新资本协议的三种风险损失数据过去我们经常把操作风险看作是市场风险和信用风险的一部分或称作“其它风险”,因此在收集操作风险损失数据的时候要正确区分这三种风险。
例如我们传统上认为巴林银行倒是由市场风险造成,但它足典型意义上的未授做交易所形成的操作风险。
如果操作风险损失与信用风险相关,拜在过去已反映住银行的信用风险数据库中(如抵押品管理失败),虽然根据新资本议的要求,在计算最低监管资本时应将其视为信用风险损失,对此类损失不必汁入操作风险资本。
但是,银行应将所有的操作风险损失记录在内部操作风险数据库中,以与操作风险定义范围和损失事件类型保持一致。
任何与信J}J风险有关的损失,应该在内部操作风除数据库cfl 地反映出来(如做标记J。
如槊操作风险损失 f 场风险ff]哭,则根据新框架要求,往汁算最低监管资本时应视操作风险损失因而此类数据应放入操作风险损失数据库。
3.2 要确定合适的阂值收集损失数据时需要设定适当的总损失底线,确定合适__的损失金额收集底线本身是一件复杂的事情,如果阂值定得过高,可能收集不到足够的损失数据以反映操作风险损失的厚尾性,在进行量化分析时出现样本不够的偏差;阈值过小,会增加收集的成本。
因此确定阈值要根据量化分析和管理的要求和成本来确定。
适当的底线可因行而异,在一家银行内部也可因业务类别和损失事件类型而异,可依据不同产品型态、业务类别、地理区域或其它因素来决定,当然这个底线必须合理,例如不可排除重要的损失事件,且须掌握银行操作风险损失的重婪部分。
巴寒尔委员会风险管理小组在QIS2中确定的底线是lOOOO欧元/美元,而欧洲银行的一般标准是1000欧元。
根据我国商业银行的实际情况,目前数据收集的底线确定为人民币1000元较为合适。
3.3 正确处理内外部数据库的关系对内部数据的跟踪记录是开发使用可行的操作风险计量系统的前提。
但低频高损的操作风险事件很少在一家银行内发生,银行这方面的历史数据积累年限也较短。
尽管有一些有关操作风险的著名案例,例如高山案件,但是大多数银行都缺少估计操作风险大小所需的损失事件的数目。
所以既要注意在积累内部数据,又要弓1人行业整体数据做补充。
外部数据的来源有四种:①通过公共信息渠道收集;②操作风险数据库软件,如OpRiskAnalytics、Opvantage、Fitch Risk 等。
这些软件由一些著名的金融机构开发,已发展得较为成熟,但其数据收集同样容易受到主观影响;⑧行业数据库,这在我们国家是非常重要的,目前已有银行向银监会报告损失数据的要求,因此由银监督会自身或指定一个机构如银行业协会建造一个行业数据库是最为恰当和可行的;④保险公司也是外部损失数据来源的重要渠过,主要从保险公司的理赔及其它外部管道取得损失资料,可用作分析并提供相关报告。
3-4 正确处理资料的保密性和操作风险披露制度的关系由于担心披露操作风险损失事件会损伤自身声誉,或被执法机关所获知,甚至被个人用于对抗银行的手段,很多银行在信息披露方面持消极态度。
同时,我国的监管机构也没有强制性的损失数据披露要求,只在《通知》第五条中要求商业银行“进一步扩大社会和新闻舆论对银行的监督;对已发生的大案,可以披露的,要加强信息披露工作,及时详细介绍整改规划和具体措施,正确引导公众舆论,争取主动。
”然而实际应用中什么是可以披露的,是一个模糊的概念。
因此,要保证外部数据有充足的来源,需要银行监管机构有进一步的细化规定。
部分机密性的损失数据可以更多地由监管机构收集,这部分数据的使用者只能了解损失金额以及业务类别和事件形式等有限内容,一方面保证了数据的保密性,同时又满足了数据共享的要求。
4 结论数据收集是对自身所面临的操作风险的一个识别过程,同时也是计量操作风险的前提和基础,以及健全与完善操作风险管理的重要手段。
我国银行业应当根据巴塞尔委员会对操作风险的分类体系建立自己操作风险损失数据库。
在这个过程中要注意内部数据与外部数据的结合与补充,作到银行自身内部数据库与行业性、商业性和官方性的数据库的相互结合。
目前由银监会自己或指定某个机构建立一个行业性的数据库是最为恰当和可行。
证券公司操作风险识别目前证券公司的操作风险主要分布在自营业务、经纪业务、投资银行业务、资产管理业务、投资咨询业务等方面,同时计划资金部作为公司业务的支持部门,其资金运用和调度,对公司风险具有直接的重大影响。
其中,自营业务中,主要是由于内部管理出现漏洞、管理失控或存在缺陷,使得内部人员操作不当,有时甚至出现利用管理漏洞或缺陷而违法违规谋利的内部人犯罪,造成证券公司的损失。
经纪业务中,主要有操作流程风险、电脑网络系统风险(电脑、网络出现各种故障,尤其是导致交易瘫痪的严重故障)、违规违法经营风险。
投资银行业务主要体现在项目人员没有做到应尽的调查职责、对项目公司材料的准确性、全面性、真实性没有深入细致的了解;或者项目人员为了促进项目的成功,与公司串通编制虚假材料,骗取融资资格;或者项目人员携带项目跳槽,为原公司带来损失;由于证券发行人问题或券商项目人员的操作问题,使证券发行申请被否决,证券发行项目流失,券商在该项目中的前期投入成本付之东流。
资产管理业务中,主要是在投资阶段违反权限管理协议规定进行操作,使用公司法人账户和其他非委托人证券账户为客户进行投资操作,未履行公司授权与决策程序,操作人员未按指令操作造成损失,操作人员越权操作;在清算过程清算部资金清算错误造成损失,财务部核算错误造成损失,结项时收款人名称与委托协议中委托人名称不一致;在开户与资金人账环节,开户证明材料不全造成纠纷,未履行对客户资金的专户管理,客户的委托资金账户对应多个证券账户,未履行资金人账程序造成纠纷,资金人账有关文件不完备造成纠纷。
投资咨询业务中,有违反投资咨询业务资格认定制度的风险,尚未实行资格审批的从业人员从事证券投资咨询,违反证券公司内部控制防火墙原则产生的风险,尚未在投资咨询业务和自营、承销等业务部门之间建立“防火墙”,违反相关利益人回避原则的风险,证券投资咨询机构及其执业人员在与自身有利害冲突的下列情况下没有进行执业回避,传播虚假信息、诱骗投资买卖的行为,诱导投资者从事短线交易,与机构或庄家串谋制造虚假信息,信息误导行为。