《操作风险与控制本地化工作说明(交行)》由会员分享,可在线阅读,更多相关《操作风险与控制本地化工作说明(交行)(20页珍藏版)》请在金锄头文库上搜索。
1、操作风险操作风险管理管理体系建设项目体系建设项目 全行推广全行推广培训培训- RCSA问卷的本地化问卷的本地化学习目标学习目标了解风险与控制自我评估了解风险与控制自我评估(RCSA)问卷本地化的目的问卷本地化的目的了解风险与控制自我评估了解风险与控制自我评估(RCSA)问卷本地化进行方式问卷本地化进行方式12 风险与控制自我评估风险与控制自我评估(RCSA)问卷本地化的目的问卷本地化的目的 风险与控制自我评估风险与控制自我评估(RCSA)问卷本地化工作说明问卷本地化工作说明大纲大纲本地化的目的流程分析与流程分析与RCSA的主要工作以及辅助工具的主要工作以及辅助工具4执行流程分析执行流程分析制作
2、制作RCSA问卷问卷进行进行RCSA问卷填答问卷填答 (风险风险/控制评分控制评分)设计与执行设计与执行 行动方案行动方案流程分析模板操作风险字典库控制字典库RCSA问卷模板RCSA评分标准风险地图行动方案模版质量检查模板流程分析与RCSA的主要工作为以下四项:内内 容容 类类 型型子流程子流程前后子流前后子流 程程步骤的投步骤的投 入与产出入与产出流程步骤流程步骤控制措施控制措施标的风险类型标的风险类型执执 行行 人人 员员信信 息息 系系 统统编编 号号内内 容容子 流 程 名 称子 流 程 编 号承 接 流 名 称后 续 流 程 名 称使 用 数 据/ 信 息/ 文 件产 出 数 据/
3、信 息/ 文 件步 骤 名 称步 骤 编 号步 骤 内 容 说 明配 备 控 制 措 施 注 记控 制 类 型 编 号控 制 类 型 概 述控 制 措 施 补 充 说 明风 险 事 件 类 型 编 号风 险 事 件 类 型 概 述风 险 因 子 类 型 编 号风 险 因 子 类 型 概 述步 骤 的 操 作 人 员使 用 的 信 息 系 统流程综合说明表流程综合说明表_内容概要说明内容概要说明流程综合说明表包含以下19项字段,本说明表将完整描述流程的细节内容(包括流程步骤、 执行人员等),并说明目前针对操作风险所配备的控制措施以及其所要管控的标的操作风 险(固有操作风险类型)。RRRR- -1
4、 1RRRR- -2 2RRRR- -3 3RRRR- -4 4RRRR- -5 5RRRR- -6 6RRRR- -7 7RRRR- -8 8RR_9RR_9RRRR- -1010剩余风险评分频率严重度间接损失1间接损失2间接损失3间接损失4间接损失5风险暴露* (直接损失)剩余风险 落点调整后的风 险地图落点RCSA问卷问卷_内容概要说明内容概要说明1 12 2- -1 12 2- -2 23 3- -1 13 3- -2 24 4- -1 14 4- -2 25 5- -1 15 5- -2 25 5- -3 35 5- -4 45 5- -5 5操作风险 事件综合 说明风险事件风险因子
5、直接损失影响类型间接损失影响类型编号类型编号类型编号类型声誉严重 受损运营中断广大客户 服务质量 受损监管行动员工安全1010- -1 11010- -2 21111- -1 11111- -2 2IRIR- -1 1IRIR- -2 2IRIR- -3 3C C- -1 1C C- -2 2C C- -2 2控制落实度评分单位与频率风险评分单位与频率固有风险评分(直接损失)控制评分单位频率单位频率频率严重度风险暴露* (直接损失)设计落实度有效性*6 6- -1 16 6- -2 27 7- -1 17 7- -2 28 8- -1 18 8- -2 28 8- -3 39 9- -1 19
6、 9- -2 2新资本协议损失形态风险事件对应的子流程控制类型控制设计评分单位与频率编号类型编号流程编号类型内容单位频率注:1-11为基础字段,IR、C、RR为评分字段6流程分析结果构成流程分析结果构成RCSA问卷主体问卷主体7子流程子流程步骤步骤控制类控制类 型型风险事风险事 件类型件类型风险因风险因 子类型子类型子流程1步骤1.1控制控制a风险风险AF1风险ZF2步骤1.2控制a风险ZF3控制控制c风险JF2风险风险AF2风险LF3子流程2步骤2-1控制控制b风险风险AF2风险CF1风险风险 事件事件 类型类型控制控制 类型类型风险风险 因子因子子流程子流程.风险风险 暴露暴露 评分评分控
7、制控制 有效有效 性评性评 分分风险风险 A控制控制aF1,F 2子流程1 子流程3 子流程5控制控制b控制控制c注:省略部分字段流程分析流程分析 : 流程综合说明表流程综合说明表注:省略部分字段RCSA问卷问卷依据流程分析的结果,参考操作风险与控制字典库,识别及整理流程中固有的操作风险事 件(以及其成因、影响效果与新资本协议损失型态的匹配关系),以及针对这些固有的操 作风险,目前已配备的控制措施。据此,可以整理出流程的RCSA问卷。8为什么需要本地化?为什么需要本地化?1.总行先前识别出风险事件的综合说明内容以及相关信息可能与分行的现状不同2.总行规范的控制类型以及控制措施内容,分行可能因为
8、不同的运营情形,在实际 作法上与总行的规范不同(例如:实际操作的人员不一样或是有些控制措施并没有 执行)3.总行先前规范的评分单位可能与分行的实际情形有差别(例如:分行可以指定不同 的人员或岗位来进行评分)如果直接使用总行的标准模板进行风险与控制的评估工作,会有 什么问题?思考本地化的目的: 使分行或网点能够依据贴近实际情形的风险与控制,更为准确地 进行评估的工作。9RCSA问卷需要进行本地化的部问卷需要进行本地化的部分分 _基础字段基础字段(以以会计会计业务的业务的个人存款个人存款流程为例流程为例)操作风险事件内容说明及操作风险事件内容说明及 相关信息相关信息控制措施控制措施评分单位评分单位
9、本次推广不强制要求对操本次推广不强制要求对操 作风险事件内容说明及相作风险事件内容说明及相 关信息进行本地化关信息进行本地化本次推广应完成本地化的部本次推广应完成本地化的部分分补充说明:操作风险字典库补充说明:操作风险字典库操作风险字典库包括以下四个子字典库(分类表):操作风险因子、操作风险事件、新资本协议损失事件形态、操作风险事件影响效果。操作操作风险因子分类表风险因子分类表 的一级目录的一级目录员工内部程序信息系统外部事件操作操作风险事件分类表风险事件分类表 的一级目录的一级目录内部事件外部事件损失事件形态分类表损失事件形态分类表 的一级目录的一级目录内部欺诈外部欺诈就业政策和工作场所 安
10、全客户、产品和业务 活动事件资产的损坏信息科技系统事件执行、交付或交割、 及过程管理事件影响类型分类表影响类型分类表 的一级目录的一级目录直接损失间接损失补充说明:操作风险字典库补充说明:操作风险字典库_风险因子分类表风险因子分类表依据新资本协议对操作风险的定义,操作风险是指由不完善或有问题的内部程序、员工和 信息科技系统,以及外部事件所造成损失的风险。我们以此架构为基础,将这四大因子加 以细化,成为具有三级目录的风险因子分类表。以下为第一级与第二级目录的内容。一级目录一级目录二级目录二级目录H员工H1人员职能H2薪酬与奖金制度H3文化与沟通环境H4工作分配H5合同、社会保障与雇员状况的管理H
11、6工作环境安全P内部程序P1操作程序效率与效果P2操作程序配备与设计P3内部环境安全管理体系T信息系统T1系统功能T2数据管理环境E外部事件E1机构往来E2外包商管理银行设立银行设立/并购并购/营业处营业处 所设置违反法规所设置违反法规银行财务银行财务/会计会计/税务处税务处 理违反法规理违反法规银行产品银行产品/营业项目营业项目/营营 业行为违法业行为违法银行资金使用银行资金使用/提拨违法提拨违法劳资冲突劳资冲突/雇用关系违法雇用关系违法 或有重大纠纷或有重大纠纷特殊岗位资格及兼职状特殊岗位资格及兼职状 况违法况违法内部人员窃盗内部人员窃盗/抢劫行为抢劫行为内部人员伪冒内部人员伪冒/伪变造伪
12、变造/ 窜改行为窜改行为销售销售/咨询咨询/业务业务/服务違服务違 法或纠纷法或纠纷业务及交易错误业务及交易错误法律相关程序错误法律相关程序错误客户资产、文档、数据客户资产、文档、数据 维护与管理维护与管理错误错误银行公告银行公告/揭露揭露/重大信重大信 息报告违规息报告违规内部人员挪用内部人员挪用/侵占侵占/虚虚 报行为报行为契约契约/文件文件/担保品担保品/征信征信 /管理错误管理错误其他恶意行为其他恶意行为内部事件内部事件外部人员窃盗外部人员窃盗/抢劫抢劫外部人员伪冒外部人员伪冒/变造变造/窜窜 改行为改行为外部人员其他恶意行为外部人员其他恶意行为交易对象操作错误或与交易对象操作错误或与
13、 交易对象有重大纠纷交易对象有重大纠纷委外厂商操作错误或与委外厂商操作错误或与 委外厂商有重大纠纷委外厂商有重大纠纷外部事件外部事件补充说明:操作风险字典库补充说明:操作风险字典库_风险事件分类表风险事件分类表依据国内外的实践经验,我们设计了第一版的操作风险事件分类表。以下为风险事件分类 表的第一级与第二级目录。設備損毀設備損毀/故障故障外部环境重大变更外部环境重大变更天灾人祸或外部提供的天灾人祸或外部提供的 设备损坏或服务中断设备损坏或服务中断工作权责划分工作权责划分强制休假强制休假/代理代理 人员人员/轮调制度轮调制度业务业务/交易限额交易限额 制度制度盘点制度盘点制度信息系统核对信息系统
14、核对/ 提示功能提示功能检查制度检查制度影音摄录影音摄录考核制度考核制度信息安控措施信息安控措施 双重管控制度双重管控制度复核制度复核制度权限管控权限管控确认单制度确认单制度表单、报表检查表单、报表检查 或核对功能或核对功能书面纪录书面纪录归档保管归档保管控制字典库控制字典库_总体性控制类型总体性控制类型控制字典库控制字典库_环节环节性控制类型性控制类型补充说明:控制字典库补充说明:控制字典库管控操作风险的控制措施可简单分为以下两大类(控制字典库亦是基于此架构建立):1.总体性控制措施:针对流程总体的运营环境(风险因子)所设计,或是同时对流程中多个步骤或环节可能引发的操作风险事件有风险有管控效
15、果的控制措施2.环节性的控制措施:针对流程环节中可能引发的操作风险事件所设计的控制措施标准化文档模板标准化文档模板培训制度培训制度操作程序设计操作程序设计风险缓释举措风险缓释举措RCSA问卷本地化工作说明RCSA问卷本地化调整重点问卷本地化调整重点 (以以会计会计金库金库管理流程为例管理流程为例)15步骤一:步骤一:确认操作风险事件内容说明及相关信息确认操作风险事件内容说明及相关信息为使评估人员可以明确了解评估标的:操作风险事件代表的意义,需确认操作风险事件的综合说明是 否符合分行现状。若需增加或调整应参考风险字典库完成相应的工作。 操作风险事件综合说明是参考风险事件(2-1和2-2栏)、诱发
16、该项风险事件的关键风险因子(3-1和3- 2栏)、造成的损失影响效果(4-1至5-5栏),以及与风险事件相关的业务流程(7-1和7-2栏),用简 洁的文字描述该项风险事件,从而完成RCSA问卷的风险评估标的。RCSA问卷本地化调整重点问卷本地化调整重点 (以以会计会计金库金库管理流程为例管理流程为例)步骤步骤二二:确认控制措施确认控制措施为使评估人员可以明确了解评估标的、控制措施代表的意义,需确认控制措施的内容说明是否符合分 行现状。若需增加或调整应参考控制字典库完成相应的工作。控制措施说明的字段包含类型编号、类型概述以及控制措施(8-1、8-2栏以及8-3栏)1617RCSA问卷本地化调整重点问卷本地化调整重点 (以以会计会计金库金库管理流程为例管理流程为例)根据风险事件说明以及控制措施,确认各项控制措施和该项操作风险事件与分行相关的评分单位。步骤三:步骤三:确认风险以及各项控制措施的评分单位确认风险以及各项控制措施的评分单位1818补充说明:补充说
