注:为银行自身业务提供支付结算服务时产生的操作风险损失,归入行内接受支付结算服务的业务条线。
三、高级
计量法实施条件和计量规则
商业银行使用高级
计量法,应符合本附件规定的标准法实施条件外,以及在治理结构、数据处理、模型建立等方面的要求:
(一)治理结构
1.商业银行的操作风险计量应成为操作风险管理流程的重要组成部分,相关计量体系应能促进商业银行改进全行和各业务条线的操作风险管理,支持向各业务条线配置相应的资本。
2. 商业银行应当根据本办法附件16的要求,建立对操作风险资本计量系统严格的独立验证程序。验证应包括操作风险高级计量模型及支持体系,证明高级计量模型能够充分反映低频高损事件风险,审慎计量操作风险的监管资本。商业银行的操作风险管理系统和流程应接受第三方的验证,验证应覆盖业务条线和全行的操作风险管理,验证的标准和程序应符合本办法的规定。
(二)数据处理
商业银行操作风险计量系统的建立应基于内部损失数据、外部损失数据、情景分析、业务经营环境和内部控制等四个基本要素,并对其在操作风险计量系统中的作用和权重做出书面合理界定。上述四项基本要素应分别至少符合以下要求:
1.内部损失数据
(1)商业银行应当具备至少5年观测期的内部损失数据。初次使用高级
计量法的商业银行,可使用3年期的内部损失数据。
(2)商业银行应当书面规定对内部损失数据进行加工、调整的方法、程序和权限,有效处理数据质量问题。
(3)商业银行的内部损失数据应全面覆盖对全行风险评估有重大影响的所有重要业务活动,并应设置合理的损失事件统计金额起点。
(4)商业银行操作风险计量系统使用的内部损失数据应与本附件规定的业务条线归类目录和损失事件类型目录建立对应关系。
(5)商业银行除收集损失金额信息外,还应收集损失事件发生时间、损失事件发生的原因等信息。
(6)商业银行对由一个中心控制部门(如信息科技部门)或由跨业务条线及跨期事件引起的操作风险损失,应制定合理具体的损失分配标准。
(7)商业银行应当建立对损失事件的跟踪和检查机制,及时更新损失事件状态和损失金额等的变化情况。
(8)商业银行应当收集记录没有造成任何损失影响或带来收益的事件,此类事件可不用于建模,但应通过情景分析等方法评估其风险及损失。
(9)商业银行对因操作风险事件(如抵押品管理缺陷)引起的信用风险损失,如已将其反映在信用风险数据库中,应视其为信用风险损失,不纳入操作风险监管资本计量,但应将此类事件在操作风险内部损失数据库中单独做出标记说明。
(10)商业银行对因操作风险事件引起的市场风险损失,应反映在操作风险的内部损失数据库中,纳入操作风险监管资本计量。
(11)商业银行的操作风险内部损失数据收集情况及评估结果应接受银监会的监督检查。
2.外部损失数据
(1)商业银行的操作风险计量系统应使用相关的外部数据,包括公开数据、银行业共享数据等。
(2)商业银行应书面规定外部数据加工、调整的方法、程序和权限,有效处理外部数据应用于本行的适应性问题。
(3)外部数据应包含实际损失金额、发生损失事件的业务规模、损失事件的原因和背景等信息。
(4)实施高级
计量法的商业银行之间可以适当的形式共享内部数据,作为操作风险计量的外部数据来源。商业银行之间汇总、管理和共享使用内部数据,应遵循事先确定的书面规则。有关规则和运行管理机制应事先报告银监会。
(5)商业银行对外部数据的使用情况应接受银监会的监督检查。
3.情景分析
(1)商业银行应当综合运用外部数据及情景分析来估计潜在的操作风险大额损失。
(2)商业银行应当对操作风险计量系统所使用的相关性假设进行情景分析。商业银行应及时将事后真实的损失结果与情景分析进行对比,不断提高情景分析的合理性。
4.业务经营环境和内部控制因素
商业银行在运用内部、外部损失数据和情景分析方法计量操作风险时,还应考虑到可能使操作风险状况发生变化的业务经营环境、内部控制因素,并将这些因素转换成为可计量的定量指标纳入操作风险计量系统。
(三)模型建立和计量
1. 商业银行用于计量操作风险资本要求模型的置信度应不低于99.9%,观测期为1年。
2.操作风险计量系统应具有较高的精确度,考虑到了非常严重和极端损失事件发生的频率和损失的金额。
3.商业银行如不能向银监会证明已准确计算出了预期损失并充分反映在当期损益中,应在计量操作风险资本时综合考虑预期损失和非预期损失之和。
4.商业银行在加总不同类型的操作风险资本时,可以自行确定相关系数,但要书面证明所估计的各项操作风险损失之间相关系数的合理性。
5.商业银行可以将保险作为操作风险高级
计量法的缓释因素。保险的缓释最高不超过操作风险资本要求的20%。
四、操作风险损失事件统计要求
(一)操作风险损失事件类型
1.内部欺诈事件。指故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失事件,此类事件至少涉及内部一方,但不包括歧视及差别待遇事件。
2.外部欺诈事件。指第三方故意骗取、盗用、抢劫财产、伪造要件、攻击商业银行信息科技系统或逃避法律监管导致的损失事件。
3.就业制度和工作场所安全事件。指违反就业、健康或安全方面的法律或协议,个人工伤赔付或者因歧视及差别待遇导致的损失事件。
4.客户、产品和业务活动事件。指因未按有关规定造成未对特定客户履行份内义务(如诚信责任和适当性要求)或产品性质或设计缺陷导致的损失事件。
5.实物资产的损坏。指因自然灾害或其他事件(如恐怖袭击)导致实物资产丢失或毁坏的损失事件。
6.信息科技系统事件。指因信息科技系统生产运行、应用开发、安全管理以及由于软件产品、硬件设备、服务提供商等第三方因素,造成系统无法正常办理业务或系统速度异常所导致的损失事件。
7.执行、交割和流程管理事件。指因交易处理或流程管理失败,以及与交易对手方、外部供应商及销售商发生纠纷导致的损失事件。
表3 操作风险损失事件类型目录
1级目录
| 简要解释
| 2级目录
| 3级目录
| 编号示例
|
内部欺诈
| 故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失,此类事件至少涉及内部一方,但不包括歧视及差别待遇事件
| 行为未经
授权
| 故意隐瞒交易
| 1.1.1
|
未经授权交易导致资金损失
| 1.1.2
|
故意错误估价
| 1.1.3
|
其他
| 1.1.4
|
盗窃和欺诈
| 欺诈/信用欺诈/不实存款
| 1.2.1
|
盗窃/勒索/挪用公款/抢劫
| 1.2.2
|
盗用资产
| 1.2.3
|
恶意损毁资产
| 1.2.4
|
伪造
| 1.2.5
|
支票欺诈
| 1.2.6
|
走私
| 1.2.7
|
窃取账户资金/假账/假冒开户人/等等
| 1.2.8
|
违规纳税/故意逃税
| 1.2.9
|
贿赂/回扣
| 1.2.10
|
内幕交易(不用本行的账户)
| 1.2.11
|
其他
| 1.2.12
|
外部欺诈
| 第三方故意骗取、盗用财产或逃避法律导致的损失
| 盗窃和欺诈
| 盗窃/抢劫
| 2.1.1
|
伪造
| 2.1.2
|
支票欺诈
| 2.1.3
|
其他
| 2.1.4
|
系统安全性
| 黑客攻击损失
| 2.2.1
|
窃取信息造成资金损失
| 2.2.2
|
其他
| 2.2.3
|
就业制度和工作场所安全事件
| 违反劳动合同法、就业、健康或安全方面的法规或协议,个人工伤赔付或者因歧视及差别待遇事件导致的损失
| 劳资关系
| 薪酬,福利,劳动合同终止后的安排
| 3.1.1
|
有组织的工会行动
| 3.1.2
|
其他
| 3.1.3
|
环境安全性
| 一般性责任(滑倒和坠落等)
| 3.2.1
|
违反员工健康及安全规定
| 3.2.2
|
劳方索偿
| 3.2.3
|
其他
| 3.2.4
|
歧视及差别待遇事件
| 所有涉及歧视的事件
| 3.3.1
|
客户、产品和业务活动事件
| 因疏忽未对特定客户履行份内义务(如诚信责任和适当性要求)或产品性质或设计缺陷导致的损失
| 适当性,披露和诚信责任
| 违背诚信责任/违反规章制度
| 4.1.1
|
适当性/披露问题(了解你的客户等)
| 4.1.2
|
未尽向零售客户的信息披露义务
| 4.1.3
|
泄露隐私
| 4.1.4
|
强制推销
| 4.1.5
|
为多收手续费反复操作客户账户
| 4.1.6
|
保密信息使用不当
| 4.1.7
|
贷款人责任
| 4.1.8
|
其他
| 4.1.9
|
不良的业务或市场行为
| 垄断
| 4.2.1
|
不良交易/市场行为
| 4.2.2
|
操纵市场
| 4.2.3
|
内幕交易(用本行的账户)
| 4.2.4
|
未经有效批准的业务活动
| 4.2.5
|
洗钱
| 4.2.6
|
其他
| 4.2.7
|
产品瑕疵
| 产品缺陷(未经许可等)
| 4.3.1
|
模型错误
| 4.3.2
|
其他
| 4.3.3
|
客户选择,业务推介和风险暴露
| 未按规定审查客户信用
| 4.4.1
|
对客户超风险限额
| 4.4.2
|
其他
| 4.4.3
|
咨询业务
| 咨询业务产生的纠纷
| 4.5.1
|
实物资产的损坏
| 实体资产因自然灾害或其他事件丢失或毁坏导致的损失
| 灾害和其他事件
| 自然灾害损失
| 5.1.1
|
外力(恐怖袭击、故意破坏)造成的人员伤亡和损失
| 5.1.2
|
信息科技系统事件
| 业务中断或系统失灵导致的损失
| 信息系统
| 硬件
| 6.1.1
|
软件
| 6.1.2
|
网络与通信线路
| 6.1.3
|
动力输送损耗/中断
| 6.1.4
|
其他
| 6.1.5
|
执行、交割和流程管理事件
| 交易处理或流程管理失败和因交易对手方及外部销售商关系导致的损失
| 交易认定,执行和维护
| 错误传达信息
| 7.1.1
|
数据录入、维护或登载错误
| 7.1.2
|
超过最后期限或未履行义务
| 7.1.3
|
模型/系统误操作
| 7.1.4
|
账务处理错误/交易归属错误
| 7.1.5
|
其他任务履行失误
| 7.1.6
|
交割失误
| 7.1.7
|
担保品管理失效
| 7.1.8
|
交易相关数据维护
| 7.1.9
|
其他
| 7.1.10
|
监控和报告
| 未履行强制报告职责
| 7.2.1
|
外部报告不准确导致损失
| 7.2.2
|
其他
| 7.2.3
|
招揽客户和文件记录
| 客户许可/免则声明缺失
| 7.3.1
|
法律文件缺失/不完备
| 7.3.2
|
其他
| 7.3.3
|
个人/企业客户账户管理
| 未经批准登录账户
| 7.4.1
|
客户信息记录错误导致损失
| 7.4.2
|
因疏忽导致客户资产损坏
| 7.4.3
|
其他
| 7.4.4
|
交易对手方
| 与同业交易处理不当
| 7.5.1
|
与同业交易对手方的争议
| 7.5.2
|
其他
| 7.5.3
|
外部销售商和供应商
| 外包
| 7.6.1
|
与外部销售商的纠纷
| 7.6.2
|
其他
| 7.6.3
|
(二)操作风险损失数据收集统计原则
商业银行应当根据以下规定并结合本机构的实际,制定操作风险损失数据收集统计实施细则,并报银监会备案。
1.重要性原则。在统计操作风险损失事件时,应对损失金额较大和发生频率较高的操作风险损失事件进行重点关注和确认。
2.及时性原则。应及时确认、完整记录、准确统计操作风险损失事件所导致的直接财务损失,避免因提前或延后造成当期统计数据不准确。
3.统一性原则。操作风险损失事件的统计标准、范围、程序和方法应保持一致,以确保统计结果客观、准确及可比。
4.谨慎性原则。应审慎确认操作风险损失,进行客观、公允统计,准确计量损失金额,避免出现多计或少计操作风险损失的情况。
(三)操作风险损失形态
1.法律成本。因商业银行发生操作风险事件引发法律诉讼或仲裁,在诉讼或仲裁过程中依法支出的诉讼费用、仲裁费用及其他法律成本。如违反知识产权保护规定等导致的诉讼费、外聘律师代理费、评估费、鉴定费等。
2.监管罚没。因操作风险事件所遭受的监管部门或有权机关罚款及其他处罚。如违反产业政策、监管法规等所遭受的罚款、吊销执照等。
3.资产损失。由于疏忽、事故或自然灾害等事件造成实物资产的直接毁坏和价值的减少。如火灾、洪水、地震等自然灾害所导致的账面价值减少等。
4.对外赔偿。由于内部操作风险事件,导致商业银行未能履行应承担的责任造成对外的赔偿。如因银行自身业务中断、交割延误、内部案件造成客户资金或资产等损失的赔偿金额。
5.追索失败。由于工作失误、失职或内部事件,使原本能够追偿但最终无法追偿所导致的损失,或因有关方不履行相应义务导致追索失败所造成的损失。如资金划转错误、相关文件要素缺失、跟踪监测不及时所带来的损失等。
6.账面减值。由于偷盗、欺诈、未经授权活动等操作风险事件所导致的资产账面价值直接减少。如内部欺诈导致的销账、外部欺诈和偷盗导致的账面资产或收入损失,以及未经授权或超授权交易导致的账面损失等。
7.其他损失。由于操作风险事件引起的其他损失。
(四)操作风险损失事件认定的金额起点和范围界定
1.操作风险损失统计金额起点。商业银行应当根据操作风险损失事件统计工作的重要性原则,合理确定操作风险损失事件统计的金额起点。商业银行对设定金额起点以下的操作风险损失事件和未发生财务损失的操作风险事件也可进行记录和积累。
2.操作风险损失事件统计范围界定。商业银行应当依据本办法合理区分操作风险损失、信用风险损失和市场风险损失界限,对于跨区域、跨业务种类的操作风险损失事件,商业银行应当合理确定损失统计原则,避免重复统计。
(五)操作风险损失事件统计的主要内容
商业银行的操作风险损失事件统计内容应至少包含:损失事件发生的时间、发现的时间及损失确认时间、业务条线名称、损失事件类型、涉及金额、损失金额、缓释金额、非财务影响、与信用风险和市场风险的交叉关系等。
附件13:
商业银行风险评估标准
一、全面风险管理框架的评估
(一)商业银行应当建立与其内部资本充足评估程序相互衔接和配合的完善的全面风险管理框架,维护银行的稳健运行和持续发展。全面风险管理框架应当包括以下要素:
1.有效的董事会和高级管理层监督。
2.适当的政策、程序和限额。
3.全面、及时的识别、计量、监测、缓释和控制风险。
4.良好的管理信息系统。
5.全面的内部控制。
(二)商业银行董事会和高级管理层对全面风险管理框架的有效性负首要责任,根据风险承受能力和经营战略确定风险偏好,并确保银行各项限额与风险偏好保持一致。
(三)商业银行董事会和高级管理层应当具备全面风险管理所需的知识和管理经验,熟悉主要业务条线特别是新业务领域的运营情况和主要风险,确保风险政策和控制措施有效落实。
商业银行董事会和高级管理层应当充分了解风险计量、风险加总的主要假设和局限性,确保管理决策信息充分可靠。
(四)商业银行董事会和高级管理层应当持续关注银行的风险状况,并要求风险管理部门及时报告风险集中和违反风险限额等事项。
(五)商业银行董事会和高级管理层应当清晰确定业务部门和风险管理部门的职责划分和报告路线,并确保风险管理部门的独立性。
(六)商业银行应当完善与自身发展战略、经营目标和财务状况相适应的全面风险管理政策及流程,针对主要风险设定风险限额,确保限额与资本水平、资产、收益及总体风险水平相匹配。风险政策、流程和限额应确保实现以下目标:
1.完善全行层面和单个业务条线层面的风险管理功能,确保全面及时地识别、计量、监测、缓释和控制信贷、投资、交易、证券化、表外等重要业务的风险。
2.确保风险管理流程能够充分识别主要风险暴露的经济实质,包括声誉风险和估值不确定性等。
3.各级管理层应及时掌握违反内部头寸限额情况,并根据设定程序采取措施。
4.确保对新业务、新产品的风险管理和控制。业务开办前,应当召集风险管理、内部控制和业务条线等部门对新业务、新产品进行评估,以确保银行事先具备足够的风险管控能力。
5.建立定期评估和更新机制,确保风险政策.流程和限额的合理性。
(七)商业银行应当建立与全面风险管理相适应的管理信息系统体系,相关管理信息系统应具备以下主要功能:
1.支持各业务条线的风险计量和全行风险加总。
2.识别全行范围的集中度风险,以及信用风险、市场风险、流动性风险、声誉风险等各类风险相互作用产生的风险。
3.分析各类风险缓释工具在不同市场环境的作用和效果。
4.支持全行层面的压力测试工作,评估各种压力场景对全行及主要业务条线的影响。
5.具有适当的灵活性,及时反映风险假设变化对风险评估和资本评估的影响。
(八)商业银行应当建立全面风险管理的内控机制,确保相关决策信息的准确和全行风险管理政策的有效实施。
二、信用风险、市场风险和操作风险的评估
(一)商业银行应当建立完善的信用风险、市场风险和操作风险管理体系,相关要素包括但不限于:
1.董事会的监督控制。
2.高级管理层的职责。
3.适当的组织架构和人员安排。
4.各类风险的管理政策、方法、程序和限额。
(二)商业银行应当评估银行账户信用风险暴露分类的标准、程序和覆盖范围,确认分类标准的合理性和合规性、标准执行的一致性,确保信用风险暴露的全覆盖、监管资本要求覆盖所有信用风险暴露。
(三)商业银行使用权重法计提信用风险监管资本的,应针对有外部评级与无外部评级的信用风险暴露,分别评估其权重法下的风险权重与潜在风险的匹配度。若银行发现风险暴露所蕴含的风险显著高于其风险权重,尤其针对未评级风险暴露,银行在评估总体资本充足水平时应考虑更高的信用风险。
(四)商业银行应当清晰界定内部评级法覆盖的信用风险暴露的范围,并一致地执行,防止监管资本套利。
(五)商业银行应当评估内部评级体系所采用的违约、损失、经济衰退期等关键定义的合理性,掌握内部使用的关键定义与本办法关于商业银行内部评级体系对应定义规定之间的差异以及由此导致的监管资本计量结果的偏差。
(六)商业银行应当评估信用风险参数压力测试的审慎性,包括设置压力情景的合理性和相关性、压力情景与信用风险参数之间逻辑关系的严谨性等。
(七)商业银行应当评估内部评级体系验证是否达到本办法关于商业银行资本计量高级方法验证的相关要求,确保用于计算信用风险监管资本要求的风险参数的准确性和审慎性。
商业银行应当评估内部评级体系应用范围和应用程度,确保用于计算资本充足率的信用风险参数在信用风险管理中发挥重要作用。
(八)商业银行应当评估采用信用风险缓释技术可能存在的剩余信用风险。这些风险包括:
1.由于交易对手违约导致无法及时占有抵质押品。
2.由于缺乏流动性导致抵质押品难以变现。
3.保证人拒绝或延迟支付。
4.相关文档失效。
(九)商业银行应当评估信用风险缓释管理的政策、流程、估值和信息系统是否达到本办法关于商业银行信用风险缓释监管资本计量的相关要求。
(十)商业银行市场风险资本计量应当覆盖下列风险:
1.交易账户利率风险和股票风险。
2.交易账户和银行账户的汇率风险和商品风险。
3.相关期权性风险。
(十一)商业银行应当清晰界定采用内部模型法和标准法计量的市场风险监管资本要求的范围,并一致地实施,防止商业银行资本套利。
(十二)采用标准法计量市场风险监管资本时,商业银行应当建立金融工具拆分标准和程序,做到期限确定合理、风险参数选择审慎,确保监管资本要求计量的审慎性。
(十三)采用内部模型法计量市场风险监管资本时,商业银行应当达到本办法关于商业银行市场风险内部模型法的相关要求;对市场风险计量模型的验证,商业银行应当达到本办法对商业银行资本计量高级方法验证的相关要求,确保商业银行用于计算市场风险监管资本要求的风险参数的准确性和审慎性。
(十四)商业银行应当根据本办法关于商业银行操作风险监管资本计量的有关要求,计量操作风险资本。
采用基本指标法或标准法计量操作风险监管资本的商业银行,与其他规模和业务相类似的银行相比,其总收入指标明显偏低或为负值,可能低估操作风险资本要求时,应当适当提高其操作风险资本。
(十五)使用高级
计量法计量操作风险资本要求的商业银行,其计量模型应当持续满足本办法关于商业银行资本计量高级方法验证的相关要求。
