操作风险管理培训课件

《操作风险管理培训课件》由会员分享，可在线阅读，更多相关《操作风险管理培训课件（42页珍藏版）》请在金锄头文库上搜索。

1、Fred Bell 中国银行风险管理合作项目负责人,操作风险管理,操作风险管理,目录 什么是操作风险 RBS 组织结构和方法 操作风险管理框架 操作风险管理手册 操作风险报告 内控,什么是操作风险,“由于内部流程、人员和系统不完善或失败，或由于外部事件引起损失的风险” 来源：巴塞尔协议 “由于人员差错、无效或设计不充分的流程、系统和不当行为（包括犯罪行为）造成的损失” 来源: RBS,什么是操作风险 示例,未经授权员工进入分行电脑系统 内部欺诈 业务数据输入错误 罚息 新产品太受欢迎 - 客户服务延迟、服务成本增加和客户不满 分行反洗钱工作没有重点，反洗钱效果差 监管当局罚款 自然灾害危及员工

2、安全，引起业务中断 网点关闭、客户不便和服务中断,什么是操作风险,作为业务一部分的操作风险无处不在. 可能由于内部或外部因素引起. 可能出现在多个部门。 操作风险是经营不可避免的因素。无法完全消除，只能尽可能减少。 操作风险影响具有隐蔽性，不容易测算。 和其它风险类别不同，操作风险往往由多个原因造成，不易识别。 操作风险到处存在。业务流程或系统设计不合理（无论该系统是支持信贷审核，还是防范欺诈）都会造成操作风险损失。 业务流程的改变也会引起新的操作风险,什么是操作风险管理?,操作风险管理是识别和理解业务流程中的操作风险的敞口，而不是完全避免之。 必须制定操作风险管理战略：规避、转移、缓释还是接

3、受。 .只要理解风险、意识到风险、有透明的披露和充分的监控，接受操作风险也是操作风险管理的一个可能战略。 操作风险随着人员、流程、外部因素和系统改变而不断改变，需要联系评估和监控 保证业务部门在理解风险的前提下进行决策。 必须根据风险与收益配比的原则进行管理 操作风险管理是前瞻性的未来有哪些风险可能影响业务。但是管理的依据是对过去发生的风险的原因和损失的分析。 操作风险管理需要企业文化的改变不可能在一夜之间发生。,操作风险管理职责,操作风险管理人人有责，但职责不同。 业务部门对操作风险管理最终负责。 操作风险管理专家负责支持业务部门理解和评估操作风险。 其它部门专家负责制定有关具体类型操作风险

4、的政策和流程。这些部门包括.: 反欺诈 监察部 法律 法律合规部 合规 法律合规部 人员 人力资源部 系统/ 信息安全 信息科技部,操作风险管理的对象,财务影响,客户或员工影响,声誉影响,原因,原因,原因,Controls,预防性,调查性,纠正性,Risk,事件,RBS 组织框架和方法,RBS 集团组织架构,Sir Fred Goodwin 集团首席执行官,财务管理 John Baines, CEO,公司市场 Johnny Cameron CEO Alan Dickinson, CEO UK 英国公司市场部 (UKCB) Brian Crowe, CEO 全球银行市场部,RBS 保险 Anne

5、tte Court, CEO,集中处理重新 Mark Fisher, CEO,Citizens (美国) Larry Fish, 总裁兼 CEO,UK Europe US Asia,爱尔兰,英国 欧洲 美国 亚洲,英国 欧洲 美国 亚洲,英国 欧洲,美国,Ulster 银行 Cormac McCarthy, CEO,零售市场及 直接银行业务部 Gordon Pell, CEO,零售银行 Chris Sullivan, CEO 零售 银行卡 欧洲直接银行业务 Tesco 个人金融公司 消费信贷,集团办公室,RBS 操作风险管理框架,集团操作风险部,部门,公司市场部,个人银行,集中处理部门,RBS

6、 保险,Ulster,Citizens,风险管理职能部门,业务发起部门,风险管理单位,财富管理,直接金融,操作风险管理程人员配置,部门 2006 年配备人员 集团操作风险 55 公司市场部 60 零售市场 （含直接金融和财富管理) 390 集中处理部 105 RBS 保险 45 Ulster (爱尔兰) 28 Citizens (美国） 12 操作风险管理总员工数 675,操作风险管理框架,操作风险管理框架,RBS 操作风险管理框架 (ORMF) 提供了进行操作风险有效管理的框架结构。 该框架的目的是: 对本集团面临的由于人员差错、流程设计缺失或不充分，系统失灵或不当行为引起的损失风险敞口进行

7、管理; 协助管理层和员工在操作风险关流方面的履职工作 建立全行统一的操作风险管理最低标准（包括指引和相关技术），确保操作风险政策、原则和流程的充分性和有效性。,操作风险管理框架 关键要素,治理机制 确定信息流动和决策权利的正式的结构 职责 确定各部门和业务单位的职责。管理层和员工应正确理解其职责，并具有相应的能力和经验完成操作风险管理政策和流程的要求。 政策、原则和指引 宣传操作风险管理最低要求 指引应规定自我评估方法（内部认证）,概要 治理机制,董事会,集团行政管理委员会,集团风险管理委员会,集团风险管理部,部门操作风险管理团队,集团审计委员会,部门风险委员会,授权,确定操作风险偏好,建议战

8、略、批准控制、管理绩效审核,设计框架、趋势和集团操作风险状况监控、质量评估,添加部门管理层和业务控制环节、监控部门操作风险状况,职责 业务部门,部门首席执行官 (CEO) 部门首席执行官对他/她所在部门业务中所有操作风险的管理负责。包括建立符合操作风险管理手册中最低要求的部门操作风险管理框架，并对季度自我认证结果签字确认。 业务单位和条线管理部门 负责业务条线日常操作风险管理工作。该工作必须是充分和有效的。 部门操作风险管理团队 协助部门管理层制定、维护和监察本部门操作风险管理框架（包括风险管理工作漏洞和风险状况变化的监控）,职责 总行,集团风险管理部 负责制定和维护集团操作风险管理框架和标准

9、，并通过操作风险管理手册为基础的原则和技术的适用达到这一标准。 集团稽核部 对集团和部门操作风险管理的充分性、有效性和连续性进行独立检查。. 专家部门（如人力资源部、反欺诈部和信息安全部门） 在其领域提供具体的专业技术和技能支持，帮助操作风险识别、评估、监控和缓释。集团建立各领域专家小组，帮助集团和部门操作风险管理团队进行操作风险的全面管理。,操作风险管理手册,识别 由于犯罪活动、人员差错、设计流程不充分和不当行为等原因造成损失的风险敞口 评估操作风险发生的概率（频率）及其影响的大型小（财务影响，员工、客户和声誉影响 通过以下方式缓释风险: 规避风险, 在操作流程中实施控制（内控环节）; 将风

10、险转移到更能管理该风险的部门或集团外部机构； 接受剩余风险，将其造成的损失计入业务成本. 监控和报告剩余操作风险敞口（集团可能遭受损失的敞口），确保业务流程对操作风险的持续管理，并及时识别信的操作风险和需要采取的行动。,操作风险管理周期,操作风险管理手册,操作风险管理手册描述了我们执行操作风险管理框架的政策、原则和核心流程。 手册包括以下流程: 风险与控制评估 操作风险事项日志 剩余操作风险数据库 操作风险有效性检查 内部损失数据搜集 业务流程改变操作风险评估 手册还配有指引，方便执行。. 配有执行所需的模板和表格。. 手册与现有操作风险管理流程互为补充(如集团新产品审批流程).,风险与控制评

11、估,风险与控制评估 目的是为了对业务中的风险和风险缓释措施进行评估，并对操作风险管理的充分性进行评价。包括缺失或设计不充分的控制环节的识别。 该流程的最低要求是: 涵盖所有业务领域; 识别业务所有者 (即风险所有者); 识别所有实质性业务流程; 识别和评估所有实质性业务流程的风险的发生概率和影响度; 识别和评估风险缓释措施的充分性; 识别需要连续监控的关键风险指标; 和 对操作风险根据集团操作风险统一分类表进行分类,风险与控制评估 (含关键风险指标),事件报告重点,损失数据重点,事件报告和数据搜集,损失事件分类（示例） 自然或人为灾害 健康、安全与人力资源管理事件 未经授权的行动 (内部） 未

12、经授权的行动 (外部） 供应商失误 违规和违反委托关系行为 处理错误,事件,操务影响,客户与员工影响,声誉影响,原因,原因,原因,风险原因风险（示例）) 人员 流程 IT系统 财产 业务 环境、 政治 监管,影响度分类（示例）) 重大 严重 重要 次要,操作风险报告,操作风险报告 原则,银行应对操作风险状况和实质性风险损失进行定期监控。监控结果应以适当方式向管理层和董事会报告，以支持积极的操作风险管理工作。. 巴塞尔委员会 报告应及时 准确 清晰 一致 连续进行,操作风险报告 最初步骤,理解信息需求 理解为什么需要信息 理解信息的作用 理解需要信息的频率 理解目前能做到的现实情况 建立长期、连

13、续的报告模式和内容,RBS 操作风险内部报告,集团操作风险管理部编制月度操作风险报告 集团操作风险部报告内容: 关键事件和领域风险状况总结，及其风险偏好情况: 收购、出售和转移（或购入）业务部门 新产品, 新监管规定和立法, 欺诈和抢劫网点发生的增加 各部门报告: 各部门重要风险事件和风险状况变化 剩余风险的实质性改变 内部控制的充分性和有效性 月度重大事件数据 审计结果,操作风险报告 基本模式,每月报告欺诈案件的数量、金额、挽回金额，分为: 内部欺诈 外部欺诈 信用卡欺诈 操作风险损失事件的数量和（毛）净额: 原因 业务条线/ 事件发生部门 总行稽核部稽核结果汇总/ 发现的控制问题。包括:

14、原因 业务条线/ 问题发生部门 发现问题的严重性 洗钱损失事件的数量和（毛）净额: 原因 业务条线/ 问题发生部门,操作风险报告 高级模式,报告应包括事件情况、趋势分析，数据评价，以帮助业务部门做好关键事件及其业 务影响分析。报告内容应包括： 出现问题领域 (内部和外部) 关键事件 损失数据、欺诈和不利影响分析 风险状况: - 总体风险水平变化 - 风险控制有效性改变 - 剩余风险改变 (使用关键风险指标等反映),RBS 内部与外部报告,内控,概述,也称三道防线,内控 案例研究,由经验引起的检查行为,RBS 曾一度受到很大的欺诈案件损失 (和英国其它银行一样) RBS 业务部门负责人决定采取行

15、动 发现银行内部某些流程较容易受欺诈袭击 这些流程是: 开户 接受存款 付出资金 授信 内部销帐 系统进入 员工雇用背景调查,内控检查,所有业务部门必须检查以上七个流程有多少和他们相关 对关键业务流程进行图示. 识别并记录每一流程环节的控制 测试控制框架的充分性和有效性 所有控制都要有测试计划 每季度对银行流程内控的有效性和充分性进行测试，并颁发测试证书 每一部门的负责人应签字确认季度测试认证证书,内控认证,内控认证主要关注提高风险管理意识和改善RBS内控机制。需要提高的三个关键领域是: 确定控制设计的充分性 建立风险意识和文化 测试控制的有效性,控制示例,开户 所有与开立新帐户有关的文件都应

16、进行独立检查 测试理由 银行要满足开户方面的监管要求，识别客户身份。否则会被罚款或吊销营业执照。因此必须由网点经理或其它有资质的人员进行检查，保证满足FSA要求。,示例,内部销帐 网点所有帐户必须检查。. 对某些帐户的特定分录进行抽查 通过电脑系统打印本网点行号项下所有荡帐（内部）帐户记录并与总帐核对 测试理由 必须确保过帐和销帐的正确 对所有未平帐户数量和金额必须清楚 对荡帐持续的时间和处理情况必须清楚 对可能发生损失的所有资金项目必须有人进行独立检查,我们对整个零售部门进行自我认证。 该认证的基础是我们正在进行的 你控制的怎么样 (AYIC) 流程。该流程关注七个业务流程。 该流程在以下方面取得了成功:- 通过加强条线间联系改善控制环境和文化 对风险与控制进行检查，并由负责人签字确认. 通示而